《深航终端安全管理项目技术需求说明书.docx》由会员分享,可在线阅读,更多相关《深航终端安全管理项目技术需求说明书.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、深航终端安全管理项目技术需求说明书2021年6月变化提供报警日志功能19支持软件黑白名单制度,对黑名单内的软件禁止下载或运行并给用户进行相关提醒。可 通过多种方式对终端软件下载安装情况进行监控,多维度准确识别黑白名单进程20支持在AD User用户权限(最低权限)下安装软件21支持性能监控管理,当CPU、内存在指定时间内使用率超过自定义百分比,产生报警日 志,支持对终端系统盘空间大小超出限定范围产生报警22具备主流厂商杀毒软件运行监测功能,并进行提示或断网处理。能够监测杀毒软件是否 及时更新23支持离线策略和策略漫游功能:终端脱网或网络环境变化的情况下,管理策略在终端上 仍然生效。漫游到异地的
2、办公计算机自动接受该地策略管理,当属地和漫游地策略存在 冲突时,以属地策略为准24支持根据用户数据源的变化实现用户数据和组织结构的自动同步更新(LDAP数据同步)25要求产品具有定时修复漏洞功能,同时可以设置筛选漏洞等级(可根据补丁安全级别、 发布时间、系统版本、支持CVE编号和KB号等方式进行筛选)、软件更新、功能性补 丁等修复类型26支持补丁下载安装顺序设置,可以有效节省漏洞修复时间与减少CPU占用27终端支持智能屏蔽过期补丁、与操作系统不兼容的补丁28具备蓝屏修复功能29可以实现对补丁按类型、分组自动分发,并且可以设置下载前提示、运行前提示、检测 方式等30支持正版软件的正版序列号的读取
3、功能,确保软件正版化31支持检查通过NAT接入的没安装客户端的设备,可以查询设备位置、连接交换机、曾用 NAT设备IP地址、NAT接入时间、设备最近启动时间、设备最近离线时间、设备发现时 间等32提供服务器向客户端批量分发各种文件,如可执行文件并可以自动运行,服务器端可以 选择分发的目标路径、设定运行参数、是否后台运行,同时向客户端发送提示信息,要 求软件分发支持带宽均衡设置33对于软件的分发和安装情况管理后台能够及时显示详细信息,信息包括但不限于已成功 分发的百分比及需要继续下发的百分比等,支持断点续传34可以查看每台终端正在运行的程序清单以及程序占用的系统资源比例。可进行单点软件 控制(分
4、发、卸载某一台终端的软件)35可以对系统的本地安全策略、本地帐户锁定策略、屏保进行设置,同时可以检测系统密 码弱口令,除系统自定义的弱口令外,用户可以自己添加自定义弱口令集36可对本地安全组策略、IE相关设置(安全级别、控件启/停用、主页修改等)进行统一 的策略部署37支持冗余有线网卡、无线网卡、3G网卡、MODEM、ADSL、ISDN等设备的外联控制;违规 外联发生时可针对内外网连接状态分别设置违规处理措施38策略中心各种报警策略的报警信息查询,报警信息包括阻断报警、IP绑定变化、违规外 联、设备变化、流量异常、探头卸载、病毒行为、其他报警和违规上网统计39展示全网终端健康状态、报警信息;可
5、方便的查看问题终端列表40总部管理平台可获取分公司管理平台的管理策略、各类数据统计结果,进行查询、统一 展示等。分公司管理平台管理策略与总部管理平台策略存在冲突的,以总部管理策略为准进行执行41总部与分公司服务器进彳亍策略同步时,需具有高稳定性,具备数据同步异常可自动恢复 的功能,有详细的日志信息42对安全防护、系统漏洞、弱口令等安全项目检查,对IE相关设置、系统设置等项目检 查,对系统垃圾、软件垃圾、注册表等项目检查43可通过策略下发进行定期检查和用户自主检查,完成检查后,客户端弹出检查结果并提 供一键修复功能44向选定用户(在本策略的对象中设定的)计算机发送消息通知,并可以发送URL连接可
6、 点击跳转到页面45可以实现一段时间内持续地向选定用户(在本策略的对象中设定的)计算机发送消息数据防 泄漏1对加密的word、ppt、excel、pdf、压缩文档等文件支持记录、告警、文件留证;2支持检测压缩文件中的敏感数据,且支持检测多层压缩;3终端DLP具备离线状态下防泄露策略生效且记录审计日志的功能,联网后同步审计或 拦截记录;4监控终端各类通道,包括但不限于:外设、文件共享、网页上传https、ftp等5审计或阻断应用程序读取、发送敏感数据,应用程序清单可手动维护,包括但不限于:、 微信、FTP客户端、网盘客户端等;6终端屏幕水印,可定制终端屏幕上显示主机名称、IP、MAC,时间等信息
7、功能;7通过OCR技术识别图片中的敏感数据,审计或阻断带有敏感信息的图片外发行为;8支持机器学习,能对大量文档样本进行聚类分析,生成规则;9支持文件特征指纹检测,对原文档增减、改动仍能通过特征指纹识别,且支持调整特征 指纹相似度的检测阈值;10可定制终端屏幕隐形水印;11可单独对应用程序或网页设置屏幕水印,应用程序与网址可手动维护;12支持敏感信息文件打印水印;13适用于mac系统,可对敏感数据外发行为进行审计或阻断,且License与windows版本 通用;14对触发敏感数据防护规则的操作应统一记录,包括记录工号、姓名、IP、操作时间、操 作动作、操作对象(是否备份留证)以及平台的处理方式
8、;15当触发敏感数据告警功能或需要审批时,支持邮件、短信告警;16审计结果可周期性生成报表,支持批量导出;17对审计结果进行分析,可动态生成可视化报表;18防止点滴式的敏感数据泄露,在特定时间段内外发超过设置阈值的敏感信息条数,触发 告警19审计或阻断或可审批带有敏感附件的邮件,包括但不限于深航0A邮箱,通用邮箱(如邮 箱、网易邮箱等)、邮件客户端(如outlook, foxmail等);一、项目名称深航终端安全管理项目二、项目概述1、项目背景:员工计算机改革后公司对个人电脑缺乏有效管控手段,未实现终端电脑合 规性检测,公司电脑接入公司网络仅进行身份认证,未实现入网安全合规性检查, 存在未按要
9、求安装防病毒软件或更新病毒库,系统补丁未及时更新等现象,极易 引起系统被攻击、渗透,导致系统崩溃,甚至由于公司计算机病毒集中爆发造成 公司网络瘫痪,将严重影响公司生产保障,存在较大终端安全管控风险。2、项目目标:为了加强深航总部、分子公司及基地所有终端设备(合计H600台设备)的 安全管控,确保终端设备入网应管尽管,实现入网安全合规性检查、终端安全管 理、核心岗位(约1250个)敏感数据防泄漏以及所有终端电脑操作行为审计的 管控要求,确保公司终端设备安全稳定运行,最终实现全网终端类设备的安全管 控目标。三、项目建设原则1、整体规划,分步实施项目方案应遵循全盘考虑、分阶段实施的原则。一期在深圳总
10、部基地范围 内实施,包含7840个终端电脑安全合规管控,950个核心岗位终端敏感数据防 泄漏管控;二期待总部实施应用稳定后在分子公司及基地范围内实施;共3760个终端电脑安全合规管控,300个核心核心岗位终端敏感数据防泄漏管控。2、方案可靠性、安全性、易用性、操作性所投产品方案只能通过安装一个代理软件部署安装,避免技术实施复杂、工作量大、确保终端电脑配置内存不低于2G部署后能顺畅运行,减少员工抵触情 绪,提升用户使用体验,多角度考虑方案的可行性;方案中应对系统可靠性和 安全性进行详述,同时满足终端不同操作系统(如WINDOWS、MAC)的安装资源 最小化需求,充分利用现有网络等环境资源,可通过
11、设计、配置等操作,保证系 统界面友好、易于使用、维护简单。3、技术支持和售后服务系统技术服务标准要求,应根据故障级别采取差异化的故障保障策略。(以 下内容参考深航信息化系统事件等级标准)等级说明(根据具体项目定义)响应时限一级事件如:整个系统处于瘫痪状态,完全 无法运行,或者某个功能模块完全无法 运行,对终端业务使用产生严重影响, 同时无替代方案可选。10分钟响应,10分钟评 估问题解决时间,10分钟内恢 复生产。二级事件如:系统核心功能不可用,或者性 能出现严重问题,对终端使用产生严重 影响。10分钟响应,20分钟评 估问题解决时间,30分钟内恢 复生产。三级事件如:系统非核心功能不可用,对
12、终 端使用影响较小,并有其他改进方案替 代。10分钟响应,50分钟评 估问题解决时间,60分钟内恢 复生产。要求服务商在系统上线至终验期间提供至少1名技术人员驻场服务,协助解 决系统上线后的使用问题、系统调优、故障处理等,请在方案内说明具体服务内 容。4、系统维保:(1)系统建设所涉及到的软件及硬件维保售后服务标准:硬件维保费为不高于项目建设标的的8%,软件维保费为不高于项目建设标的的10% o(2)系统所涉及到的软硬件免费维保期标准:软件、硬件维保均为项目终 验后三年免费;5、项目实施周期及具体要求:一期建设目标要求服务商在项目合同签订之日起三个月之内完成;二期建 设目标需在一期建设完成后通
13、知开工之日起三个月之内完成。6、售后服务及安装部署要求:(1)要求提供所投产品原厂商认证技术工程师全程参与整个项目实施相关 工作,总部、分子公司基地均需提供技术人员现场安装调试服务。项目经理由 服务商配备,负责项目整体建设协调相关工作且需全程参与项目实施工作,实施 团队至少五人及以上成员组成(根据项目实施具体要求进行调整)。(2)实施范围包括深航总部基地(如:A区、B区、C区、T3航站楼等), 分公司及基地(其中分公司8个,基地7个,共15个);(3)自项目完成终验之日起,投标方负责对本合同所列设备和系统软件提 供免费三年原厂保修服务,具体保修内容和范围与生产厂商的保修内容和范围完 全一致。在
14、保修期内,用户以有故障的部件换取在保修范围内的部件时,无须另 外支付任何费用,一切由投标方负责,并由投标方协同原厂工程师提供现场更换 服务;若因不可抗力或因招标方违规操作导致设备损坏,投标方则提供有偿维修。(4)投标方提供的所有产品必须保证为全新的原装正品,所有设备的最终 用户必须为深圳航空有限责任公司,以原厂证明文件为准。(5)投标方负责项目招标中所有设备上架、安装、调试和测试,光纤和网 络跳线安装,标签标识、系统策略配置、优化等工作。(6)免费维保期间,投标方须定期(每三个月)对本项目中的关键设备进 行预防性系统检测。在该系统运行过程中,投标方应开通24小时热线电话接受 招标方的电话技术咨
15、询,帮助用户解决在应用过程中遇到的各种技术问题。(7)根据双方约定,本项目实施完成并经最终验收合格后,系统的日常运 行维护由招标方负责。投标方在3年内为招标方免费提供7X24小时电话支持、 邮件支持、远程服务、现场维护等多种方式的技术支持,同时免费提供软件升级 与维护。投标方将根据客户需求和出现的问题提供现场维护服务,解决问题后填写维护记录表。(8)支持维护响应:投标方承诺电话支持响应时间小于20分钟,一般情况 上门服务响应时间小于2小时;在遇系统崩溃等灾难需重建系统时,投标方提供 系统平台重建服务与系统重建现场指导。(9)提供补丁更新服务,定期通过邮件通知我司本阶段关键漏洞或安全服 务信息的
16、更新状况。如果有严重漏洞出现,在3天内提供相应的邮件说明,包括 漏洞的序列号、平台相关性、定义等,评估后完成补丁的升级部署工作。(10)最终验收合格3年后,免费维护期结束。如招标方仍须投标方提供相 应的维护服务,须另行签署付费的服务合同。7、验收标准说明按期完成项目建设各项工作,完成入网合规检查设备部署工作,完成所有终 端用户客户端软件的安装及调试工作,实现入网合规检查、终端安全管理及防泄 密等各项功能指标,各项功能均达到项目要求建设目标,保障系统上线稳定运行 后开展项目验收相关工作,经招标方确认验收合格后,双方签署项目验收报 告。8、提供系统建设定制化需求的开发工作;(根据我司项目建设要求定
17、量, 原则不少于20人天),针对我司提供报表定制开发工作。四、项目建设功能目标(一)实现入网安全合规性检查:所有接入内网终端均须进行安全合规性 检查,防止非法/违规接入,具体实现功能项如下:1、防病毒软件安装情况及状态检查(是否安装了防病毒软件、是否及时更 新了病毒库版本等);2、终端设备补丁状态检查(是否下载安装了最新的补丁,检查补丁完整性, 实现补丁自动安装);3、终端设备软件安装合规性检查(软件黑、白名单设置等)。(二)具备终端安全管理功能:实现全方位的终端安全防护能力,公共电脑 与个人电脑分别具备功能如下:1、公共电脑:资产管理、补丁管理、移动外设管理、远程协助、软件黑白名单、软件许可
18、管理、软件分发、安全管理等;2、个人电脑:资产管理、补丁管理、软件黑白名单功能。(三)实现数据防泄漏功能:防止敏感数据泄露,核心岗位电脑与其他电脑分别具备功能如下:1、核心岗位电脑:文件操作记录审计、终端外设接口管控、数据外发通道 管控(即时通讯软件、邮件等)、核心文件阻断发送、屏幕水印等功能;2、其他电脑:文件操作记录审计功能。五、项目采购需求清单具体采购详细清单如下:序 号产品名称产品功能描述数量单位备注1入网合规 检查硬件 设备基于控制中心平台集中统一管理,对 终端实现合规检查控制管理根据投标方案具体 架构制定(总部A、 B区入网合规检查 设备必须保障HA冗 余,硬件设备数量总 部4台;
19、分公司8 台,合计12台)台方案整体 设计需实 现高可用 (HA冗余) 总部设备 单台最高 限价为16.9万元, 分公司设 备单台最 高限价为4.3万元; (含税)2入网安全 合规性检 查许可所有接入内网终端均须进行安全合规 性检查,防止非法/违规接入,主要实 现功能项如下:1、防病毒软件安装情况及状态检查 (是否安装了防病毒软件、是否及时 更新了病毒库版本等);2、终端设备补丁状态检查(是否下载 安装了最新的补丁,检查补丁完整性, 实现补丁自动安装);3、终端设备软件安装合规性检查(软 件黑、白名单设置等)。11600个3终端安全 管理许可员工个人电脑实现功能:资产管理、 补丁管理、软件黑白
20、名单等8500个4数据防泄 漏许可核心岗位电脑实现功能:文件操作记 录审计、终端外设接口管控、数据外 发通道管控(即时通讯软件、邮件等)、 核心文件阻断发送、屏幕水印功能等1250个其他岗位电脑实现功能:文件操作记 录审计10350个5售后服务技术人员现场安装、调试,分公司设 备托运等费用(服务器和相关硬件设 备等),提供项目涉及的建设辅材(光 纤跳线、光模块、网线等)若干批六、技术规范要求1、建设方案整体要求:(备注:项要求需全部满足,不满足则技术部分评 分为零)序号要求类 别功能要求详细技术要求1认证方 案认证方式方案必须通过802. IX认证方式实现终端电脑入网(入网方式包括有线 和无线
21、)合规检查,先合规检查再认证上网2入网合 规检查 设备总部设备设备性能要求:支持至少4个千兆口,2个万兆口,具备冗余电源, 至少支持3000个终端并发认证,至少支持10000个终端的入网检测和 认证分公司设备部署于规模较大的分公司:设备数量不少于4台,设备性能要求: 支持至少4个千兆口,具备冗余电源,至少支持500个终端并发认证, 至少支持2000个终端的入网检测和认证;部署于普通规模的分公司:设备性能要求:支持至少4个千兆口,具备 冗余电源,至少支持250个终端并发认证,至少支持1000个终端的入 网检测和认证;3客户端 软件资源占用大 小客户端软件安装程序内存占用不能超过60MB;软件所有
22、功能模块开启运行后系统占用内存不能超过150MB;多操作系统支持 Windows、macOS、Linux Android、IOS 客户端;管理易用性支持客户端功能在线调整,在功能调整、问题验证等场景下支持客户端 文件(配置文件、DLL等)实时替换,无需覆盖安装、重启终端;4系统建 设技术 要求系统功能 1、本项目涉及到的所有功能要求(包括入网合规检查控制、终端安 全管理、数据防泄漏等)必须通过一套系统平台,安装一个客户端软件 来实现。 2、系统硬件平台与软件系统部署后各项功能可永久使用; 3、移动设备(手机、IPAD)支持Portal认证模式; 4、实现单点登录(与深航现有上网彳亍为管理系统进
23、行对接); 5、总部实现园区级容灾部署;二级(分公司)部署在专线正常下实 现区域容灾; 6、HA切换时间不能高于5秒,系统宕机逃生时间不能高于5秒;7、基于管理的便利性,要求提供统一的系统管理登录入口,管理员在 使用过程中不需要重复登录或分别登录多套系统。5控制管 理平台 1、总部部署热备方案;分公司部署二级控制台,实现分级统一集中 管理;2、管理平台系统部署使用Linux操作系统。6软件授 权许可 数量 赠送3500个终端安全功能模块软件授权许可2、详细功能需求列表(备注:项要求需全部满足,不满足则技术部分评分 为零)深航终端安全项目需求功能序号需求描述入网合 规检查1系统平台支持802.
24、IX、Portal、应用准入等任一种准入技术2支持有线、无线基于应用协议准入方式,准入配置支持保护服务器区域、例外终端等 灵活的配置方式3支持对接入终端、接入用户或部门以及接入控制点设备指定相应的绑定规则,根据接 入终端或用户是否符合接入规则来决定允许或拒绝其接入4对于web重定向的引导贝曲支持自定义logo和背景皮肤以及告不内容5支持黑、白名单过滤功能6支持与不同品牌的杀毒软件具备兼容效果7.支持入网健康检查策略,策略检查项至少包括:是否安装必需的安全防御软件、是否 安装重要系统补丁8支持bypass功能,支持交换机策略路由逃生模式和旁路逃生模式9支持http和https协议阻断,支持web
25、界面跳转至引导安装界面10支持IPv6协议准入11支持标准802.1X准入、支持策略路由、旁路干扰(端口镜像)、透明串接等多种准入 控制方式混合使用12准入系统能够自动判断打印机、网络摄像头、IP电话,并对这些设备进行自动入网授权, 入网权限按照设备类型分配,实现权限最小化控制,网络权限控制支持TCP/UDP和端口 级别。支持对接入设备的设备类型进行识别,如windows主机,linux服务器,打印机, 网络摄像头等主流终端的识别;支持对手机(IOS、Android) PAD、笔记本等移动设 备通过无线以太网卡连接WLAN接入企业内部网络时进行准入识别和控制13支持在路由器、HUB等网络设备下
26、的终端准入,支持无线网络、VPN等网络环境下终端 准入控制14支持终端修复向导,对不合规的终端提供软隔离,并进行修复向导和一键修复功能15具有NAT识别和检测机制,能够自动发现NAT网络所隐藏的真实计算机设备和IP地址, 对通过NAT入网的计算机可以实现准入控制、安全评估和修复等流程化管理16能够发现内网私接的Hub、傻瓜交换机等非网管设备,当多台计算机通过Hub接入网络 时,能够及时产生告警通知管理员终端安 全管理1可以查看或搜索系统已安装的全部补丁2产品具备漏洞集中修复,强制修复,自动修复功能3产品具备漏洞集中修复过程中的流量控制和保证带宽,补丁分发支持服务端带宽限流 与客户端P2P补丁分
27、发加速,有效节省外网带宽资源4防火墙相关设置、注册表监控和保护等相关设置、系统服务等进行统一的策略部署5支持远程协助终端、远程关机、重启终端6支持客户端进程和服务管理,包括对进程黑白名单的控制和对服务的起停控制7实行IP与MAC绑定。当IP与MAC绑定发生变化时,可对其实施自动恢复、或弹出提 示框、或断开网络并持续阻断该计算机等控制8支持对终端各种外设(USB存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等)、接口 (USB 串口、并口、1394、PCMIA)设置使用权限9日志报表功能包含不限于用户软件下载及安装的统计,操作系统补丁下载安装的统 计,各项功能策略下发完成情况的统计
28、等10总部管理平台可全面管理辖内对象,具有完整的权限。总部管理平台可管理分公司管 理平台,可制定和下发全局统一策略11系统支持根据用户和根据设备两种模式的策略下发,还可根据用户所在组、IP地址、 操作系统、自定义检索等多种方式进行策略分发12系统配置完成后产生配置文件,该文件可导出保存,也可通过导入配置文件恢复系统 配置13组织机构中可配置不同组策略,归属于此组织的员工对应终端自动关联生效对应策 略,当组织变更时,策略能进行相应更新14支持手动添加/创建/修改组织机构和用户信息,允许通过导入导出操作进行批量维护15支持自动同步总部LDAP上的用户信息及组织架构信息。用户信息应包含但不限于工 号、姓名、所属部门、联系方式(包括座机号码、手机号、邮箱地址等)16可支持操作系统:Windows XP. SP3 及以上/Windows Vista/Windows 7/Windows 8/Windows 10/MAC OS17可对补丁分发后的下载状态及安装状态进行实时监控,在下载安装完毕后会自动上报安 装的成功率与失败率(要求提供截图),支持失败修复功能,下载安装数据统计结果上 报汇总时间不得超过三个小时18按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息。对于硬件及软件的