《第四部分-镇江市地方税务局网络准入控制软件采购要求概要(共13页).doc》由会员分享,可在线阅读,更多相关《第四部分-镇江市地方税务局网络准入控制软件采购要求概要(共13页).doc(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上第四部分 镇江市地方税务局网络准入控制软件采购要求为了提升镇江市地方税务局网络安全管理水平,加强信息资产管理能力,准备实施网络安全管理项目,采购并部署一套集网络准入控制、桌面管理和资产管理为一体的准入控制软件。一、 镇江地税的网络环境状况和项目建设目标1、 镇江地税网络环境为覆盖全市的市县两级广域网系统,同时市局的网络又分为通过网闸设备隔离的内外网,市区部署了windows域环境,辖市(区)局没有部署域环境。此次项目要求覆盖以上全部网络。2、 具体拓扑图详见招标文件3、 建设目标要求在广域网基础上建设以网络安全管理系统为支撑平台的网络准入控制和桌面管理架构,要求每台接
2、入到内网的终端设备都要纳入安全评估和加固管理,并能自动生成设备的资产管理信息,其终端许可数目为1500个。管理服务器和Radius服务器集中部署在市局,实现对市局所有终端和用户的集中管理和控制,内外网分别部署两套环境。部署的系统采用完备的冗余等保障措施,确保现有业务的稳定、安全和持续。二、 产品要求1. 软件产品必须是国产具有自主知识产权的产品,必备获得国家知识产权管理部门授予的软件著作权登记证书2. 软件产品必须获得公安部颁发的计算机信息系统安全专用产品销售许可证和国家保密局涉密信息系统产品检测安全证书3. 产品一经购置后可以终身使用,不得含有任何使用年限的限定,授权包含所有相关的内外网两套
3、服务器软件系统和1500个客户端,使用USB KEY等硬件狗加密技术的硬件狗应该终身免费提供更换4. 软件产品必须是模块化集成了网络准入控制、桌面安全管理和资产管理功能的统一品牌软件产品,不得含有第三方软件作为功能补充。5. 所提供的软件必须是市场销售的正常最新版本,不得为任何形式的简化或定制版本6. 提供成熟度较高的产品(第一个版本发布至今的时间,以著作权登记证书为准)7. 产品必须支持802.1X或类似准入控制技术,且同时支持H3C和CISCO公司的交换机,不是仅采用ARP或DHCP方式的准入控制8. 软件产品必须满足以下功能和技术要求:模块序号软件功能和相关要求技术要求备注总体要求11所
4、有的管理功能必须支持浏览器客户端实现,不需要专用管理软件和控制台现场演示12所有报警信息可以通过MAIL、MESSAGE、手机短信向相关管理人员实时报警13各种策略配置要具有充分的灵活性1)能够依据终端设备或者用户的属性来决定是否要应用某个策略,例如:用户所在的部门,终端设备的IP、MAC,所有设备组等;2)能够依据终端设备的所在的场景:在线、离线、上班、下班等条件决定终端需要应用某个安全策略。3)制定策略时提供参考设备信息以简化配置4)允许特权用户和例外设置现场演示1.4产品要能支持多级网络应用环境1) 能够进行多级部署2)提供完备的用户权限配置3)有代理机制,可以通过在下级区域设置代理或中
5、继服务器减少网络带宽占用演示用户权限配置准入控制模块2.1基于802.1x的LAN、WLAN、WIFI接入准入控制1)必须同时支持H3C和CISCO等公司的网络设备,支持动态VLAN切换;2)支持无线传输动态密钥加密;3)支持两家以上的主流无线控制器厂商现场演示2.2基于EoU认证的网络准入控制能支持HUB、VPN、WAN、无线AP等各种接入方式的准入控制,在HUB接入交换机的情况下,要能对HUB上的每个终端单独进行接入控制。现场演示2.3准入认证凭据要支持微软AD、LDAP的用户密码认证;支持X.509的数字证书认证;支持对终端的硬件ID验证,要能有效防止通过伪造合法MAC、IP、盗用用户名
6、密码方式接入网络。要求支持准入控制绑定以下类型ID:1) 硬件ID(MAC+主板+硬盘+CPU)2) 代理ID(每次安装代理时,要求随机产生不同的ID)现场演示2.4紧急情况下支持逃生模式,允许电脑设备直接接入网络2.5有便利的接入故障排查功能在一个管理页面中分析清楚以下所有信息:1、电脑从哪台交换机的哪个端口接入的;2、电脑的IP、MAC、主机名、用户名;3、电脑的用户名密码是否正确;4、电脑的安全策略设置是否正确;5、电脑的接入时间2.6访客管理功能1)访客可以分布在不同的地理位置和不同的VLAN中;2)支持通过HTTP和POP3方式提醒访客输入访客码,或提醒未安装Agent的终端安装Ag
7、ent;3)访客放行管理,访客可以通过在提醒的WEB页面中输入合法访客码后访问网络,或者通过访客管理员输入管理员账号和密码予以放行。4)放行的访客有时长限制,可以是小时、天数限制,放行的访客有审计纪录。现场演示27检查接入的机器是否存在一些主机安全漏洞,如有则切换到修复区进行修复。检查安全项目有:1) 杀毒软件程序、病毒库版本、杀毒引擎2) 计算机帐号是否弱密码、是否启用guest帐号、是否启用屏保3) 是否加入到指定的域4) 系统安全补丁更新5) 指定软件或软件组6) 非法文件和注册表项现场演示2.8产品准入控制验证性能必须达到每秒500用户以上并发接入性能要求提供测试数据和测试方法;必要时
8、进行现场技术验证提供测试数据2.9提供一键恢复控制脚本在特殊时刻利用一键恢复脚本自动撤销所有的准入控制特性桌面和安全管理3.1软件和系统补丁分发1) 不借助第三方软件功能的软件和系统补丁自动分发2) 既支持微软WSUS补丁服务器,同时也有独立的补丁服务器,能够自动从微软网站下载补丁,或者通过COPY方式将补丁导入到补丁服务器;3) 补丁可以支持推、拉的安装方式,能够按照OS版本、补丁级别、补丁是否经过审批、终端设备所在部门或其他分组条件决定补丁是否要在某台设备上安装。支持补丁的卸载和回退。4) 支持分发时带宽限制5) 支持断点续传6) 支持中继设备,减轻带宽压力现场演示3.2远程协助和远程监控
9、1)支持需用户确认和不需确认模式,1) 监控时要能够通知用户已经处于被监控状态2) 支持双向文件传输3) 支持带宽调整现场演示3.3常规性安全检查和评估检查项目有:1) 计算机帐号2) 共享目录读写权限3) 防病毒软件和病毒库更新4) 系统补丁安装情况5) 可疑文件、注册表项6) 非法进程和程序现场演示3.4禁止软件运行禁止的依据包括:1)所属产品名称、2)文件说明、3)文件CRC校验码4、原文件名。5、进程名6)所属目录现场演示3.5终端网络流量异常检查、反ARP网关欺骗1)能够自动检测到终端计算机流量、广播、TCP连接数异常的终端;2)能够统计终端的所有流量,流量统计信息要包含进程、协议、
10、端口、对方IP等信息;3)能够控制终端的流量,控制终端某个进程所能享用的带宽。4)具有反ARP欺骗、反DHCP欺骗功能现场演示3.6Windows本地策略进行统一的设置和控制1) 禁用注册表功能2) 禁止修改网络配置属性3) 禁止使用添加删除程序功能4) 禁止添加打印机5) 禁止开启一些危险服务6) 强制设置DHCP客户端现场演示3.7客户端防火墙管理1) 禁用本地危险服务2) 禁止访问远程服务3) 禁止常见木马端口现场演示3.8非授权外连控制与管理1)要有U盘注册机制,凡是注册过的移动存储介质才可以在特定的终端或部门使用,非授权的设备不能使用2)U盘读写审计与控制,管理员可定义是否允许读、写
11、U盘上的文件,并可定义能读、写哪些类型文件、以及定义写到U盘上的文件是否自动加密;3)可定义能否执行U盘上的EXE,防止U盘内的病毒在单位内部发作4)能识别USB、红外、蓝牙、无线、双网卡等方式的多种连接5)端口要可控制可以使用或者禁止使用;要能区分端口连接的是存储设备还是非存储设备(打印机等),并针对设备类型进行分别处理现场演示3.9网络访问行为审计1)能批量导入网站黑名单;能提供网络访问审计信息的查询和报表管理功能2)禁止和审计FTP上传和下载行为3)禁止和审计使用SMTP和POP3的行为4)能够通过协议分析的方式,禁止各种绿色版的QQ/BT/e-Mule;5)能实现允许使用QQ/MSN,
12、但是不能传文件。现场演示3.10具有软件许可证管理功能对各种软件许可进行分派、控制,能够知道正式许可分配给了哪些用户,知道哪些人在使用盗版版软件。现场演示3.11桌面消息通知功能批量向客户机发送弹出式的消息通知现场演示3.12文件使用行为审计和控制1) 审计通过网络共享读写文件的行为2) 审计通过U盘读写文件的行为3) 审计在本地硬盘读写文件的行为现场演示资产管理4.1设备自动发现和快速定位功能1)自动发现网络设备,自动绘出网络设备的二层连接拓扑2)自动发现网络上的所有终端,发现终端的过程要能不受客户端个人防火墙影响3)能够自动发现设备的IP、MAC和主机名、资产的硬件信息,并快速定位设备所在
13、的交换机端口和位置4)设备移动位置后,应该在10分钟内能够重新确定其位置现场演示4.2设备软硬件详细配置信息采集要求采集到终端以下信息展现:1) 主板、BIOS、序列号、CPU、内存、硬盘、光驱、显卡、声卡、外设等详细信息2) 安装软件和系统补丁信息3) 当前和历史进程信息,并且能够远程开启和关闭进程4) 安全漏洞5)设备配置变更现场演示4.3软硬件配置变更管理对软硬件变动要能实时告警和展现变动明细现场演示4.4资产编号管理及维护纪录管理1) 提供终端编号,包括服务器、笔记本和PC类型2) 提供各种采购和使用信息3) 提供终端维护记录信息4) 生成终端维护报表现场演示4.5资产统计分析报表支持表格、饼图、柱图等多种展现形式现场演示9、项目实施相关的服务器由采购方另行购置不含在报价中,但是供应商应该在标书中对所需的服务器数量和最低参数要求做出明确的表述。10、项目实施中需要使用到的其他相关软件硬件,前款未做说明的一律包含在总价中,不得另行收取费用。11、投标人要负责此软件在镇江全市(含区县)范围内所有地税系统的软件安装、网络设备配置调整和用户培训等相关的全部工作(全部包含在报价中)。专心-专注-专业