《2022年招标技术要求-商密网-副本 .pdf》由会员分享,可在线阅读,更多相关《2022年招标技术要求-商密网-副本 .pdf(45页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、附件 1 货物需求一览表及技术规格申报部门:负责人签字:技术负责人签字:经费主管部门签字:1. 标书编号:2. 项目名称:3. 数量: 1 套4. 报价币种:人民币报价方式:工程总承包价5. 交货日期:合同生效后1 个月,交货期超过2 个月不予考虑。6. 设备用途及基本要求:此次采购的产品用于网络安全建设,主要产品由防火墙、 文档防护系统、VPN 网关、局域网准入控制系统等信息安全产品及安全系统使用的服务器、 存储产品组成。 投标方需针对科工需求提供满足国家信息安全等级保护、 国资委商业秘密保护和公司的相关技术要求的技术方案并完成相关系统集成工作。7. 设备技术要求及主要规格参数:见附件一8.
2、 资格和业绩标准:1、投标单位必须具有独立法人资格,营业执照按时参加年检且在有效期内。2、投标单位应具有计算机信息系统集成二级及以上资质。3、投标单位应具有国家保密局颁发的涉及国家秘密的计算机信息系统集成甲级资质 。4、投标公司从事本专业在5 年以上,具有较雄厚的资金、 技术实力,拥有优秀的设计实施队伍,有成功的网络安全实施经验。9. 系统组成:系统全部设备、软件的供货、运输、安装、调试、验收、移交以及售后服务的全过程服务。防火墙1 台局域网准入控制系统1 套文档安全管理系统1 套VPN网关1 台安全服务器1 台存储系统1 台以太网交换机1 台名师资料总结 - - -精品资料欢迎下载 - -
3、- - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 45 页 - - - - - - - - - 10. 系统附件及零备件:10.1 列出下列各项清单,单独报价,并计入投标总价中:为使设备正常、连续地使用,应提供设备从招标人开始使用所需的完整备件和特种工具清单,包括备件和特种工具的货源及现行价格。11. 提供必要的技术资料:11.1 设备主要技术数据和运行性能的详细描述及提供必要的产品样本;11.2 详细的交货清单;11.3 备件和特种工具清单;11.4 详细技术方案;11.5 防火墙、 VPN、准入控制系统和文档安全管理系
4、统提供厂家授权;11.6 逐条对招标人的技术规格进行评议,指出自己提供的设备和服务是否做出实质性的响应;或逐条填报投标报价表规格响应表。12. 技术服务要求:12.1 投标单位负责产品及设备的安装、调试等,所需设备工具自备;在安装调试前,投标单位必须向买方提交详细的项目实施方案和实施计划,征得买方同意后方可实施;12.2 投标单位在实施现场对买方技术人员进行免费技术培训。12.3 安装、调试、检验、培训及技术服务费用分项报价并计入投标总价。13 验收标准及验收程序:13.1 验收标准:以双方认可的方式和标准进行验收。13.2 验收程序:在买方现场安装调试完毕,进行使用技术培训,按照合同技术附件
5、条款逐项验收,验收合格后双方签字生效。14. 售后服务:14.1 投标单位提供 1-3 年免费保修服务, 具体年限见各子系统。 保修期后, 要求能终身提供广泛、及时、有效、优惠的技术支持和备件供应。14.2 提供标准电话支持服务, 2 个工作日内解决用户问题。 如 2 个工作日不能排除,在保修期内必须免费提供替代设备保障用户正常使用。15. 包装要求及运输方式:15.1 系统应有包装箱,以满足运输、移动要求。包装箱应用新的坚固的经过熏蒸后的木箱或铁皮箱,适于长途运输,防潮、防锈、防震、防粗暴装卸,适于公路运输和整体吊装,保证产品到达之后各项功能完好无损。名师资料总结 - - -精品资料欢迎下载
6、 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 45 页 - - - - - - - - - 16. 交货地点:买方所在地。17. 投标书应以中文打印、签字;投标书应有中文目录,内容按目录顺序汇册。18. 本要求中有未说明事项,由买方和卖方协商解决。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 45 页 - - - - - - - - - 附件一 设备技术要求及主要规格参数1、防火墙技术
7、指标指标要求接口标准 1U 机架式设备 ,标配 4 个 10/100/1000 Base-T 千兆电口, 2 个千兆光口并含 2 个高速 USB2.0 接口, 1 个 RJ45 串口性能整机吞吐量 6Gbps ,七层吞吐量 800Mbps ,并发连接数 1,800,000 ,每秒新建连接数 100,000 部署方式支持网关模式,支持NAT 、路由转发、 DHCP 等功能;支持网桥模式,以透明方式串接在网络中;支持同时开启网关和网桥模式。抗攻击特性设备内置病毒库、漏洞特征库、应用识别库、WEB 应用防护库、数据泄密防护库,并且支持在线自动升级。其中应用识别库的应用总数在1000 条以上,规则总数
8、在2200 条以上;漏洞特征识别库的特征总数在4000 条以上; WEB应用防护识别库规则总数在2000 条以上。数据泄密防护库支持用户自定义敏感信息。设备必须具备传统三层防火墙、IPS、Web 应用防护、杀毒、Web 弱点扫描器、网页防篡改、VPN 等功能模块。IPS 入侵防护微软“ MAPP ”计划会员(微软官方网页截图并加盖厂商公章)特征库获得CVE“兼容性认证证书”漏洞分为保护服务器和保护客户端两大类,便于策略部署支持 APT 检测功能,防止僵尸网络感染PC 终端用户防火墙提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层名师资料总结 - - -精品资料欢迎下载 -
9、- - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 45 页 - - - - - - - - - 协议: FTP 、HTTP 、SMTP 、RTSP 、H.323 (Q.931 ,H.245 , RTP/RTCP ) 、SQLNET 、MMS 、PPTP 等;传输层协议:TCP 、UDP 支持防御 Land 、Smurf 、Fraggle 、WinNuke 、Ping of Death 、Tear Drop 、IP Spoofing 、SYN Flood 、ICMP Flood 、UDP Flood 、DNS Query
10、 Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP 报文标志位不合法攻击防范、支持IP SYN 速度限制、超大 ICMP 报文攻击防范、 地址 /端口扫描的防范、 DoS/DDoS攻击防范、 ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、 MAC 和 IP 绑定功能支持多种 NAT ALG ,包括 DNS 、FTP、H.323 、SIP 等必须支持基于应用制定策略路由的智能选路功能。提供操作界面截图并加盖厂商公章 ;支持基于应用类型划分与带宽分配; 支持基于网站类型的划分与带宽分配。服务器防护支持 OWASP定义 10 大 web 安全威胁,保护服务器免受基于
11、Web 应用的攻击,如SQL 注入防护、 XSS 攻击防护、 CSRF 攻击防护、支持根据网站登录路径保护口令暴力破解。支持管理员页面、管理后台的短信强认证机制(支持 Web 网站隐藏,包括HTTP 响应报文头出错页面的过滤,web 响应报文头可自定义。支持 FTP 服务应用信息隐藏包括:服务器信息、软件版本信息等。WEB 安全防护URL 过滤, 对用户 web 行为进行过滤, 保护用户免受攻击;支持只过滤HTTP GET 、HTTP POST等应用行为;并进行阻断和记录日志。脚本过滤,支持基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚名师资料总结 - - -精品资料欢迎下载 - -
12、- - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 45 页 - - - - - - - - - 本、威胁对象调用、恶意图片等。威胁检测特征库支持独立的web 攻击特征库、应用识别库、IPS 漏洞攻击特征库、敏感信息防泄漏特征库、僵尸网络特征库和URL 库web 攻击特征库 /IPS 特征库应每月至少更新两次病毒防护病毒引擎,基于流引擎查毒技术,可以针对HTTP 、FTP 、SMTP 、POP3等协议进行查杀。防护类型,能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、
13、未知病毒。网页篡改防护支持网关型网页防篡改,无需在服务器中安装任何插件。动态网页 /静态网页支持, 全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web 方式对后台数据库的篡改。业务管理与安全管理分离,支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容。篡改防护效果,支持通过替换、重定向等技术手段,防护篡改页面。报警方式,支持短信报警、邮件报警、控制台报警等多种篡改报警方式敏感信息防泄漏可定义的敏感信息,内置常见敏感信息的
14、特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、MD5 密码等。数据文件敏感信息检测,支持数据库文件敏感信息检测,防止数据库文件被“拖库”、 “暴库”。http 敏感信息检测,支持正常访问http 连接中非法敏感信息的外泄操作。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 45 页 - - - - - - - - - 应用智能识别支持应用更新版本后的主动识别和控制IPSec VPN 功能总部与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,
15、并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证 IPSecVPN连接不中断; 可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略(漏洞风险评估支持服务器的漏洞风险评估功能(为了保障与防火墙之间智能联动,要求漏洞风险评估非第三方软件产品)。支持 web 弱点扫描功能,可扫描WEB 网站 sql 注入、 xss、csrf 、目录遍历、文件包含、命令执行等脚本漏洞支持被动检测方式,通过旁路部署被动进行报文特征匹配、协议异常检测(支持 ftp、mysql 、oracle 、mssql 、ssh 、RDP 、网上邻居NetBI
16、OS 、VNC 等多种应用的弱口令评估与扫描风险评估可以实现与IPS、服务器防护模块的智能策略联动,自动生成策略。数据中心设备必须支持内置数据中心。日志与报表系统提供端口、服务、漏洞、弱密码、WEB 安全漏洞等安全风险评估报表支持 DOS 攻击、 web 防护、 IPS、病毒、 web 威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询提供可定义时间内安全趋势分析报表提供遭受攻击最多服务器、攻击类型分布、 攻击最多来源IP、服务器安全说明、服务器安全分析等内容服务器安全报表支持自定义统计指定IP/用户组 /用户 /应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表名
17、师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 45 页 - - - - - - - - - 支持将统计 /趋势等报表自动发送到指定邮箱支持导出安全统计/趋势等报表,包括网页、PDF 等格式售后服务要求必须在省内有厂家直属的服务办事机构,提供7*24 小时快速上门服务和2 小时内快速响应服务(官网上可查询到办事机构地址) 厂商资质国家规划布局重点软件企业和国家级高新技术企业证书;具有国密办商用密码产品生产定点单位证书售后服务体系通过ISO9001 认证网络安全应急服务支撑单
18、位证书(省级)和CMMI L3认证证书;为了保障项目的环境质量,要求产品制造厂商具备IS014001环境管理体系认证证书产品资质产品应具备软件著作权登记证书;产品应具备计算机信息系统安全专用产品销售许可证;产品应具备ISCCC 中国国家信息安全产品认证证书;产品应具备国家保密局颁发的涉密信息系统产品检测证书和产品检测报告 ;产品应具备公安部销售许可证。产品应具备CVE 兼容性认证证书和OWASP web防火墙认证证书;产品成熟度要求要求下一代防火墙产品正式发布时间超过1 年半以上(提供互联网上第三方媒体对厂商正式发布产品的相关报道截图并加盖厂商公章),投标专家现场百度搜索进行验证。其他中标后三
19、个工作日内,提供样机进行上述功能要求的逐一测试验证,全部通过后才能执行合同流程,测试中发现虚假应标的行为将予以废标处理。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 45 页 - - - - - - - - - 2、局域网准入控制系统指标项规格要求策略中心安全策略外设管理可以设置对客户机USB 存储和非存储设备、 光驱、软驱、移动存储设备及其他设备如串/并口、红外、蓝牙、磁带、1394 设备等的管理状态,允许或是禁止客户机使用上述设备,针对U 盘管理,也可以提供报警。可
20、以为 U 盘设置只读、只写操作权限,并可开启病毒防护机制,既防止终端用户对U 盘进行不必要的操作,还可避免 U 盘成为病毒传播的工具。提供制作授权 /安全/保密 U 盘和 SD 卡功能,以U 盘为例,当实施了禁用U 盘策略后,授权U 盘仍可以在被授权的客户机上使用,未授权的U 盘将被禁止使用,授权U 盘在未安装客户端的计算机上也可以正常使用;保密U 盘将无法在未安装客户端的计算机上使用,并且保密U 盘仅能在被授权的客户机上使用。安全U 盘的使用区域被分成两个部分,其中安全区域相当于保密U 盘,公共区域在授权的客户机和未安装客户端的计算机上可以正常使用, 在未授权的客户机上受USB 移动存储管理
21、策略的限制。既满足了特殊客户对U 盘的使用需求,又保证了数据安全。针对多分区的U 盘或移动硬盘,提供简单制作、完整制作和序列号制作三种模式。不同的制作方式可区分是否保留设备分区情况,以及设备被格式化后是否保留设备安全属性。提供制作非法U 盘,确保同一U 盘在不同的网络中交叉使用时的信息安全。杀毒软件管理可以监控终端计算机杀毒软件安装情况和病毒库更新情况,如果终端计算机未安装指定的杀毒软件,则立即发出报警或阻断其网络通讯,保证全网无死角安装并运行杀毒软件,保障网络安全。同时,提供杀毒软件报表。外联管理可以监控或阻止终端计算机通过拨号、WIFI 等方式连接网络,杜绝违规外联行为,减少局域网安全隐患
22、,同时,提供外联管理报表。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 45 页 - - - - - - - - - 指标项规格要求共享资源管理可以管理和审计终端用户的共享行为,防止涉密信息外泄。补丁管理可以实现监控客户机补丁安装情况及补丁管理。支持安全补丁信息自动更新、客户机补丁漏洞扫描、补丁文件自动下载及分发,对扫描出有补丁漏洞的计算机,可直接阻断其网络通信。同时,提供补丁报表。准入管理可以设定严格或宽松的管理方式,监控和管理外来计算机接入访问网络内服务器区和网内计
23、算机的访问行为,将已授权的终端计算机定义为安全集合,集合内的终端允许访问网内服务器区和集合内终端,禁止未授权的终端计算机访问服务器区和可信集合。提供例外终端列表设置特权终端,允许例外终端访问网络服务器区和安全集合,实现无漏洞 准入控制,保障网络和终端的信息安全。行为策略应用程序管理可以设定计算机只允许运行什么程序或禁止运行什么程序,在操作系统驱动层对进程的运行进行监视和控制,当进程在启动过程中,如果发现有不应该运行的进程,则终止其运行。方便地把通用PC 塑造成工作专用机,明显提高工作效率。同时,提供应用程序管理报表。网站访问管理可以管理和审计终端计算机的上网情况,如对访问过哪些网页和访问时间等
24、进行实时的监视和记录。此外,还可以配置客户端“只允许”访问的网站,或禁止访问的网站,从而对上网行为实施有效管理。同时,提供网站管理报表。桌面策略配置可以管理桌面策略的使用,包括控制面板、 计算机管理、“我的电脑”属性、 “本地连接”属性和组策略, 避免用户因为误操作导致的操作系统或应用软件运行不正常。上网权限管理通过禁止计算机访问其他计算机相应端口的方式,控制计算机收发邮件、访问网页、FTP 等上网权限。并可自定义计算机“只允许”使用的端口或“禁止”使用的端口, 进行严格或宽松的端口管理。常规策略IP/MAC地址管理能够绑定IP 地址、绑定MAC 地址,可有效的杜绝因用户私改终端计算机的IP
25、地址、 MAC 地址而造成的网络中IP冲突等情况的发生,从而有效保证了网络配置的可靠性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 45 页 - - - - - - - - - 指标项规格要求常规策略绑定计算机名可以监控和管理终端计算机的计算机名信息,避免因员工私自更改计算机名而带来的网络信息混乱和管理不便的问题。带宽管理可以非常方便的配置每台计算机可以使用的外网和内网带宽,有效地杜绝占用大量带宽做与工作无关的事情。离线策略可设置计算机在离开局域网后是否仍然执行配置
26、过的策略,可针对不同的需要对计算机进行设置,方便管理。时间同步可使所有计算机保持时间一致,并与本系统服务端时间相同。资产监控可以监控计算机的软、硬资产变更情况,当发现有资产变更时,可发出报警。同时,提供资产报表。远程维护软件分发可以远程实现软件(如业务系统)的批量、自动、高效安装和升级,支持台静默自动安装、断点续传、定时分发、分发补课和结果汇总。发送消息可以给特定的或全体人员发送即时或定时消息,避免了启动邮件系统的繁琐, 还可实现消息窗体的最大化和最前端,保证终端用户第一时间看到所发消息。远程运行程序可以以点对多点的方式在众多的计算机上同时运行指定的程序。这一功能可以用来组成不同的实际应用,例
27、如定时集体杀毒等。远程协助远程协助为网络的管理、维护与故障诊断提供了全方位的平台。该功能的实现方式为由服务器针对目标终端计算机执行,这与Windows提供的终端服务不同。Windows的终端服务为终端计算机登录服务器,并使用服务器的系统资源。而本系统提供的远程协助为服务器登录终端计算机并对终端计算机进行远程协助。当因管理、维护或故障排除需要时,网络管理员可以通过本功能远程登录终端计算机,当服务器显示终端计算机桌面后,即可以对其进行相应的操作。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - -
28、 第 11 页,共 45 页 - - - - - - - - - 指标项规格要求远程监视能够实时看到计算机的屏幕信息和使用情况,但不对其进行鼠标、键盘进行操作,不影响其使用。资产清单可以获取终端计算机的软件、硬件资源的安装信息。系统资源清单通过查看计算机的系统资源清单可以得到客户机当前所有的进程及相应信息、系统服务信息及CPU 、内存等性能情况。开机、关机、重启、注销可以远程对计算机实施开启、关闭、重启或注销操作,极大方便了对于计算机的统一管理和操作。查看注册表可以远程查询终端计算机的相应注册表键值。修改注册表指对一台或多台终端计算机的注册表进行远程修改、添加或删除操作。注册表在Windows
29、系统的配置中起着至关重要的作用。因而远程注册表操作是另一个强大的远程维护功能。但使用该功能必须慎重,以免造成终端计算机系统的损坏。修改计算机名可直接对终端计算机的计算机名称进行修改。配置网络可以用来为终端计算机进行远程网络配置,快速更改方便实现,摆脱令人厌倦的网络配置繁琐操作。支持单网卡、双网卡、隔离卡和单网卡双IP 等多种情况。批量配置网络能够对终端的网关、DNS 等进行远程配置,可以同时对多台计算机进行统一配置。IE 配置可以设置选择局域网是否使用代理服务器和支持何种协议连接 Internet 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -
30、- - - - - 名师精心整理 - - - - - - - 第 12 页,共 45 页 - - - - - - - - - 指标项规格要求阻断 /恢复网络通讯当查明某台计算机出现病毒爆发或人为非法访问、破坏局域网时,网管人员可以立即切断该终端计算机的网络的通信,避免病毒蔓延或恶意攻击及复制等。锁定 /解锁计算机网管人员在对终端计算机进行管理时,可以根据实际情况进行锁定和解锁计算机操作。电源管理可以设置计算机最适用的电源管理方案,例如设置其系统待机时间、硬盘关闭时间等等。查看网络共享可以快速查看网络内的所有共享文件夹,并且能够停止指定的共享资源。收集终端注册信息通过收集终端注册信息功能,目标计
31、算机可在本机上修改注册信息。数据分析中心资产报表提供资产报表,自动搜集计算机硬件资产信息,可查看计算机各类硬件容量、个数等分布情况,报表支持打印、导出、按照多种条件查询等操作。外联管理报表提供阻止违规外联排名报表和终端外联分布情况报表。报表支持打印、导出、按照多种条件查询等操作。杀毒软件报表提供杀毒软件总体情况、杀毒软件产品分布情况和杀毒软件更新情况报表。报表支持打印、导出、按照多种条件查询等操作。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 45 页 - - - -
32、 - - - - - 指标项规格要求客户机信息报表提供操作系统分布情况报表,能够统计客户机中各个版本操作系统的安装分布情况。报表支持打印、导出、按照多种条件查询等操作。补丁报表提供系统补丁修复概览、系统补丁修复明细、Office 补丁修复概览报表、 Office 补丁修复明细、 SQL Server补丁修复概览和 SQL Server补丁修复明细和补丁修复情况报表。报表支持打印、导出、按照多种条件查询等操作。网站管理报表提供浏览网页次数的客户机排名报表、请求网站访问的排名报表、违规访问网站排名报表以及违规访问网站的客户机排名报表。报表支持打印、导出、按照多种条件查询等操作。应用程序管理报表提供
33、违规使用进程类型排名报表、违规使用进程类型的客户机排名报表、违规使用进程排名报表和违规使用进程的客户机排名报表。报表支持打印、导出、按照多种条件查询等操作。外设报表提供 U 盘使用情况分布报表、U 盘使用次数排名报表和U盘使用时间分布报表。报表支持打印、导出、按照多种条件查询等操作。准入管理报表提供准入管理报表。记录显示GNAC时间分布、 GNAC类型分布、计算机报警排名、GNAC 报警分布、终端接入情况趋势分析和终端接入报警排名。报表支持打印、 导出、按多种条件查询等操作。3、文档安全管理系统指标项规格要求整体要求系统设计要求基于业界标准的PDR (防护、检测、响应)安全理论模型进行整体架构
34、设计,提供完备的安全管理平台。由管理员统一制定安全策略,下发给客户端代理进行安全防护;客户端代理实时检测各名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 45 页 - - - - - - - - - 种违规行为,并自动反馈给管理员;管理员依据安全知识库,对各种事件的处理,动态调整安全策略。服务器设计要求支持多用户模式,即同一台计算机可注册多个用户到服务器,进行针对不同用户的分别授权管控。要求服务器支持多实例运行用以稳定的支持5000 点规模以上单服务器部署。授权要求1
35、套, 100 客户端授权服务支持三年产品更新升级安全文档管理加密算法256Bit 加密算法,且算法可替换流式加密算法,内存加载多少加密或解密多少,保证仅有最小体积明文在内存驻留加密技术驱动层透明加解密,可通过应用层进程区分应用程序,确保不影响用户使用习惯支持虚拟沙箱技术,利用虚拟化重定向加密技术,把在线浏览生成或保存的文件定向到特定磁盘区域加以保护,防止数据二次扩散(非应用层加密的重定向)加密驱动在微软Kernel 级,采用双缓存机制, 加密文件过加密驱动文件,非加密文件过微软文件缓存加密产品要基于微软最新的Minifilter 框架开发加密技术与文件类型与应用程序种类无关操作系统支持支持 W
36、in2000 以上所有操作系统文件加密管理支持进程指纹签名,防止进程伪冒,确保合法进程才能打开加密名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 45 页 - - - - - - - - - 文件支持大型应用软件父子进程自动识别,在添加进程时仅需要添加一个主进程,子进程自动应用主进程加密策略,防止由于进程添加不全导致应用软件无法使用,甚至破换文件的可能应用程序版本自适应,当应用程序升级, 不会因为应用程序功能、端口、界面等变化或升级导致加密无法实现支持对某些非可编辑类的
37、文件(如图纸、音频、视频、PDF 等)打开即加密支持对加密文件本身可赋予打印权限,打印权限分为真实打印、虚拟打印支持特权用户的右键自解密支持对用户全盘或指定目录下、指定扩展名的文件进行扫描加密。同时,可指定扫描开始时间,CPU 占用率控制等,不影响用户的正常工作。对扫描工作有日志审计加密模式切换支持加密和非加密模式的转换,非加密模式不能打开密文文件,加密模式下打开非加密模式下产生的明文文件后加密业务系统结合(与网络控制结合)在没有加密网关的环境下,客户端需要向业务服务器发送数据时,支持指定网址的文件解密发送在没有加密网关的环境下,客户端支持对非指定文件类型下载控制(例: 办公室只能在OA 上下
38、载 OFFICE 类型文件, CAD 类文件无法下载)剪切板控制支持对剪切板控制,防止用户从密文文件向明文文件拷贝文件内名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 45 页 - - - - - - - - - 容为了一定程度的工作方便,支持对剪切板的例外控制,可设置密文文件内容允许向明文文件拷贝,且可以控制拷贝字节长度文件备份支持加密文件本地备份和网络备份两种机制,并可设定备份周期、备份时间点以及备份空间的溢出告警截录屏控制支持对PrintScreen键和软截屏软件
39、控制(如QQ、MSN 、360浏览器、 Snap 等一系列软件)对录屏软件控制,确保录屏软件无法使用或者录像显示为黑屏涉密屏幕识别支持当前屏幕如打开加密文件不允许截屏,如果加密文件最小化则允许截屏加密离线控制当客户端离线,在指定周期内可以正常使用加密文件,但对操作文件权限有限制(支持可复选),权限包括:完全不能用;只读,不能修改,禁止另存;禁止打印;禁止自解密加密文件支持离线策略延时启用,延时时间设置后,客户端离线在指定的时间内继续使用离线策略,客户端超时后离线策略自动生效,无论此时是否插网线。支持离线策略漫游修改,当用户需要延长加密文件使用时间,通过验证码或者授权文件修改离线时长及策略通用设
40、置支持文件打印水印,且水印内容、字体、字号、颜色可配置支持本地加密文件图标隐藏文档权限管理自动(强制)密级管理支持根据统一策略,使客户端生成的文件自动带有密级,不同密级的用户操作同一个文件的权限不一样名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 45 页 - - - - - - - - - 手动权限管理支持对文件打开周期、打开范围、 是否有修改权限、是否能打印、打印水印、拷贝拖拽、截屏控制、等方面进行控制文件隔离支持基于部门的文件隔离策略,且无需手动配置密钥,后台自动
41、完成(例: A 部门产生的文件,仅能A 部门打开, B 部门无法打开)在部门隔离基础上支持特权领导跨部门查阅文件权限文件审批在 线 授权审批支持对文件的使用范围、使用时间、是否允许修改、是否可拷贝拖拽、是否可截屏、是否可打印、是否打印水印、是否允许重新授权、是否记录日志等离 线 授权审批当用户无法执行在线授权过程时,支持通过离线授权实现机密文件的授权,文件权限设置与在线授权相同审计追踪管理对于主动授权文件的使用过程,授权作者可设置是否记录使用日志,以便于以后审计与追踪文档外发管理外发文件权限设置对文件的打开口令、打开范围、 打开次数、 操作时长、 修改权限、打印权限、水印等权限做控制。外发文件
42、审批管理支持 Web 平台审批,流程可自定义,支持多级流程可根据实际情况自定义多级审批流程。外发文件必须经过审批许可,审批者可以是一个或多个,审批者可以查看文件内容及权限设定等内容审计追踪管理支持对用户管理、使用系统的活动,如用户、 角色的添加、 删除,外发文件的申请、审批、制作,系统均记录日志。以便于以后审计与追踪名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 45 页 - - - - - - - - - 外发文件使用环境外发文件使用环境对windows 用户权限无特
43、殊要求,对 windows操作系统版本无特殊要求外发服务器参数具有单独的外发服务器,可以支持多人同时在线使用多因子认证文件打开支持多因子认证,如密码、动态口令、绑定key 等支持大文件授权支持单个大文件的外发授权管理,打开过程性能损耗不超过10% 支持目录授权支持对一个或多个目录进行授权支持文件关联授权当授权文件多于一个且互相之间有依赖关系,外发授权后依然保持这种依赖关系。业务数据加密加密控制当终端用户从业务系统上获取涉密信息时,获取到本地的涉密信息将自动加密,加密过程在后台自动完成,对用户透明解密控制当终端用户将本地涉密信息提交到业务系统上时,如果涉密信息是加密的,解密过程在后台自动完成,对
44、用户透明保护警戒终端用户在访问受保护的业务系统时,以标签和红框的方式提醒用户进入受保护状态数据追踪终端用户在从业务系统上取文档到本地,或者在线阅读文档时,记录用户操作文档的行为,并将日志上传到本系统的服务器上,以备数据的追踪审计存储控制支持控制终端用户访问涉密数据,包括如下三种方式:限制其只能在线访问数据,禁止将数据存储到本地;限制其只能将数据保存到安全存储箱;允许存储到本地任意设备。屏幕水印控制终端用户在访问业务系统涉密数据的过程中,可显示屏幕水印。屏幕水印的内容、字体、颜色可由企业配置,支持用户、时间、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - -
45、 - - - - - - 名师精心整理 - - - - - - - 第 19 页,共 45 页 - - - - - - - - - IP 地址、 MAC 地址、计算机名的显示。当用户通过拍照等恶意行为窃取数据时,屏幕水印也会同时被摄取打印控制终端用户在访问涉密数据时,可分虚拟打印、物理打印对打印行为进行控制,同时,支持打印水印防拷贝控制终端用户在访问涉密数据时,禁止通过块拷贝、拖拽等方式将涉密数据转存到非涉密文档中截录屏控制终端用户在访问涉密数据时,禁止通过截屏键、截屏软件、录屏软件以及带有截录屏功能的软件,将涉密数据转存到非涉密文档中安全存储箱终端用户可以将涉密数据存储到安全存储箱中,存储到
46、安全存储箱的文档与外部环境完全分离,只有授权进程才能访问,且安全存储箱中的文档被移动到外部环境中时,将强制加密通用设置当文件落到本地成为加密文件时,相关功能及策略配置应完全覆盖安全文档管理所有项网络接入管理功能认证支持配合网络设备实现用户802.1x协议接入认证,支持证书认证、帐号认证等认证方式自动设备发现自动发现接入网络的新设备,可对连接到网络中的终端计算机进行注册管理,只有注册的终端计算机才可以接入网络准入与阻断支持3 种方式的准入与阻断:通过802.1X协议的准入;通过SNMP 协议联动交换机实现端口阻断;通过ARP 欺骗实现阻断特权地址设置支持特权地址设置功能例如:IP 和 MAC 地
47、址绑定、特权IP 等地址记录对接入网络的主机的IP 地址、 Mac 地址、是否安装客户端等信名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页,共 45 页 - - - - - - - - - 息进行记录,并提供日志查询功能。补丁自动分发和管理功能补丁分发支持Windows系统补丁和应用程序补丁,能够进行索引文件更新;支持补丁自动分发安装,在指定时间、 指定网络范围内分发补丁,或者根据脚本策略统一控制客户端下载补丁;补丁测试支持补丁测试功能,对新下载的补丁进行真实环境的测试,测
48、试完成后确认补丁安全再在指定时间后大面积下发补丁;补丁查询可对计算机终端进行补丁安装状况查询,获知所查询的补丁的安装情况并生成报表。统一配置主机防火墙控制策略应能通过黑白名单和条件访问的自由控制。提供违规访问、未知访问和信任访问的记录。病毒库安全检查支持对卡巴斯基等当前主流防病毒软件(至少10 种)进行监控,监视防病毒软件的安装情况、运行状态和病毒库版本;对不符合安全策略的状态进行报警;支持防病毒软件监测特征的自定义及统一的数据报表功能。文件安全删除可定期删除客户端IE 临时文件和其他系统临时文件等;提供文件安全擦除功能,经过安全擦除处理后的文件无法通过磁盘剩磁的方式恢复数据,管理员可以配置文
49、件擦除的擦写次数。策略合规性管理统一配置终端计算机的Windows安全策略,包括:帐户密码策略,共享策略,屏保策略等;可对不符合安全策略的情况进行报警。登录用户权限合法性检查可检查登录Windows系统的用户权限,当发现登录用户权限与名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页,共 45 页 - - - - - - - - - 策略设置的登录用户权限不一致时,系统可阻止非法用户登录;可向服务器发送非法登录告警信息。软件自身防护功能在正常模式和安全模式下,能防止用户停止代理
50、进程、破坏代理运行目录和相关文件、停止代理相关服务;系统管理通讯是基于数字证书的SSL 安全加密方式, 保证的数据的保密性,防止重放攻击;系统对主机安全代理提供特定的卸载程序,用户只能通过运行卸载程序停用删除主机安全代理。基于逻辑组织的用户管理机制系统需支持“基于用户”的管理模式;部门的组织结构及用户信息都支持从数据库导入;系统需支持“一机多人”及“一人多机”管理模式。硬件设备控制功能应支持对主机下发补丁、防病毒管理等主机策略;应支持对用户下发文件审计,打印审计,移动存储审计等用户策略。应能控制软驱、光驱、USB 口、打印机口、Modem 口、串口、并口、 1394 火线口、红外接口等;应能对