根据网络安全建设的现状和我中心实际管理需求,需要采购一套集内部网络安全防护、内网IP地址准入及管理、设备控制、软件正版化管理、杀毒软件管理、软硬件资产、弱口令登录风险防范等功能为一体的,且可以直接部署的商品成熟软件(硬件部分不需要联调联试集成服务),即本项目“网络安全准入综合管理系统”。最终实现对单位人员、网络、资产的体系化全周期的安全保护,现将相关事项公告如下:
一、软件名称:“网络安全准入综合管理系统软件”
二、软件总体预算:不超过150000.00(大写:拾伍万元整)
三、软件主要功能:(主要功能界面须截图证明 ,加盖厂商公章 )
采用端口镜像准入技术,准入系统旁路部署在防火墙旁旁,将边界防护起来,所有违规终端机非法终端,均无法接入到政务外网和互联网内,只有合法设备并符合安全策略的终端才可接入到网内。
通过将网内收集到的IP/mac进行绑定,借助网络准入技术进行网络管控,当发现接入终端的ip/mac与绑定列表不同时,出发网络阻断,该终端无法继续访问网络。同时针对已安装客户端的终端,通过网卡绑定策略对终端进行限制更改IP地址,如果发现网内终端更改了ip地址,立即更改回原有IP地址,从而做到网内ip地址防止私自更改的效果。
以图形化方式在系统后台展示网内所有IP地址的使用情况,包括已分配开机、已分配未开机、未分配以及ip地址使用记录等内容;通过交换机Snmp/Telnet/ssh等协议,将网内所有可网关交换机自动添加到准入系统内,同时准入系统可通过图形化展示的方式,将网内所有终端的网络位置展示出来。管理员通过在准入系统后台输入ip地址直接进行一键定位,此时可查看到终端所在交换机端口、该ip地址对应的设备类型,以及相关的mac地址都可在图形页面上查看。
建立软件常态化检测模式,对网内终端的操作系统和常规办公软件进行正版化检测,及时发现软件异常使用情况,确保软件使用的合法合规。
能够检测办公终端上安装软件序列号和激活情况,通过与企业购买的正版软件授权序列号进行校对,形成违规安装软件清单,同时对安装非正版软件的办公终端进行提示、预警等违规处理。
对网内终端自动收集终端硬件资产信息,包括厂商、型号、CPU、内存、硬盘、网卡、光驱、显示器、键盘、鼠标等;同时对硬件资产变动告警和审计,支持导出资产变动审计报告。对网内终端安装的软件也可进行收集,对网内所有终端安装的软件一目了然。
为保证局网内终端杀毒软件安装率达到100%,准入控制系统全力支持检查主流的杀毒软件产品(包括火绒、诺顿、Mcafee、瑞星、卡巴斯基、金山等30种以上主流杀毒软件)。当发现入网终端没安装杀毒软件,可通过自动修复方式,主动引导终端安装杀毒软件。
可通过telnet、ssh、snmp等远程管理协议,自动识别网内交换机设备,并生成可视化面板,直观展示每台交换机的接入信息。同时可根据终端的IP、MAC、使用人等信息,一键定位终端所在交换机的端口。
四、系统规格配置及技术功能参数
序号 |
系统 |
名称 |
模块 |
技术功能参数 |
1 |
网络准入控制系统 |
管理后台 |
准入管理 |
支持策略路由、端口镜像、透明网桥、802.1X、ARP、DHCP、VLAN隔离、Portal等准入技术,支持准入技术自由组合使用,满足各种复杂网络环境。 |
2 |
VLAN隔离技术须实现无客户端下的端口级准入效果,vlan隔离须采用不同正常vlan对应不同隔离vlan的方式,并可对通过小路由器、hub接入的设备实现颗粒度管控,不得采用全禁全放的风险行为。 |
|||
3 |
终端通过有线或无线申请接入,可无需用户操作,自动引导终端设备至认证入网页面。 |
|||
4 |
★支持划定关键业务范围,针对终端用户发起的访问请求可强制要求二次认证校验。 |
|||
5 |
运维管理 |
软件、消息分发:支持基于部门、角色(分组)、设备或ip段进行软件、消息分发,分发周期支持立即、每天、每周、每月等周期设置。针对分发的源文件支持设置保留或不保留,分发后支持重启或关闭计算机。 |
||
6 |
远程协助:支持管理员或终端用户双向发起远程协助。 |
|||
7 |
IP资源管理:支持提供图形化的ip地址台账;支持一键绑定全网ip/mac;支持检查ip/组织架构绑定。 |
|||
8 |
提供网络诊断工具,支持通过Web管理界面进行ping、抓包、traceroute、nslookup等。 |
|||
9 |
提供IP地址分配矩阵图,可以通过组织架构为维度查看IP地址分配矩阵图;能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的IP使用情况。 |
|||
10 |
软硬件资产管理 |
能够对全网计算机上安装的软/硬件信息进行统计并形成台账,同时能够针对软硬件资产变动进行记录。 |
||
11 |
设备识别 |
无客户端进行设备特征指纹收集,进行设备分类,抗设备伪造。 |
||
12 |
边界管理 |
★支持自动生成全网拓扑图,5分钟自动更新一次网络拓扑信息并刷新。(功能截图 ,加盖厂商公章 ) |
||
13 |
★能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息;支持在界面上提供对该网络设备进行TELNET、SSH等管理;能够在网络拓扑图上由用户自定义显示的节点类型,方便用户通过不同方式查看拓扑连接。(功能截图 ,加盖厂商公章 ) |
|||
14 |
★支持可网管型交换机面板图形化展现各接口状态(up、down、trunk、单/多MAC等),以及各接口下联的终端详细信息(IP、地址、MAC地址等),交换机型号库100+以上。(功能截图 ,加盖厂商公章 ) |
|||
15 |
支持自动识别、发现及阻断网络内私接的家用路由器、hub,提供网络定位功能(可直接定位接入的交换机端口 );可一键禁止全网的随身wifi(含软件版)使用。 |
|||
16 |
身份认证 |
支持用户名密码、Ukey、指纹等认证方式,支持与AD域、LDAP、钉钉、Email联动。与钉钉等作为认证源时,终端认证自动跳转认证服务,无需打开相关app。 |
||
17 |
★支持设置来宾专属地址段;来宾入网提供二维码、来宾码、自助申请(管理员审批)多种方式;提供来宾入网审批气泡弹窗提醒功能,被访人点击即可审批。(功能截图 ,加盖厂商公章 ) |
|||
18 |
与AD域联动支持单点登录;支持管理员自定义域信息属性到认证设备,包括但不限于用户姓名、部门、联系电话等。 |
|||
19 |
业务安全 |
★支持关键业务端口映射,可设置映射的端口及选择映射的协议类型。(功能截图 ,加盖厂商公章 ) |
||
20 |
安全基线检查 |
支持IE控件、IE主页、操作系统版本、磁盘使用、计算机开关机、计算机名称、垃圾文件、服务端口、网络连接、系统时间、远程桌面、主机防火墙、p2p软件、软件黑白名单、黑白进程、系统服务、Guest来宾账户、密码策略、屏幕保护 、弱口令、共享检查。 |
||
21 |
★支持主流的杀毒软件版本、病毒库和运行情况的检查,包括但不限于微软MSE、火绒、安天、天融信、赛门铁克、瑞星、卡巴斯基、金山毒霸、江民、NOD32、360、天擎、亚信趋势、小红伞、可牛、Avast等,支持自动下发软件及运行修复功能。(功能截图 ,加盖厂商公章 ) |
|||
22 |
安检规范支持评分、设置修复期限,终端用户在允许期内即使不修复可正常使用网络。 |
|||
23 |
★支持自定义安全检查项,通过检测终端文件、指定文件版本、大小、MD5,注册表的项、注册表值,进程、服务状态进行检查。通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。(功能截图 ,加盖厂商公章 ) |
|||
24 |
软件产品正版化检查,包括但不限于 windows、office、WPS产品的授权信息正版化检查。 |
|||
25 |
安全基线检查 |
支持操作系统版本、磁盘使用、计算机名称、网络监听端口、系统时间、主机防火墙、必须安装的软件、禁止安装软件、必须允许进程、禁止运行进程、软件白名单、系统服务、密码策略、弱口令检查。 |
||
26 |
系统补丁 |
准入设备具有完整的补丁管理子系统,无需第三方补丁服务器支持,自身即可以提供完整的流程化补丁管理,包括同步更新、补丁分发表等功能。 |
||
27 |
准入设备能够对补丁进行分级,分为:严重、重要、中等的类别;能够在终端的浏览器页面显示入网终端的补丁检查情况;准入系统自身能够支持windows系列补丁库、补丁检查和补丁分发安装;支持windows10补丁检查及自动修复。 |
|||
28 |
报警信息 |
支持系统报警、网络报警、终端报警等报警类型,超过20种以上自定义报警类型。支持报警信息通过Syslog、邮件进行输出。 |
||
29 |
报表 |
支持提供每日/周/月入网报告及终端安全评估报告。 |
||
30 |
系统管理 |
管理页面布局及内容支持自定义,内容包括但不限于系统自身接口状态、流量等。 |
||
31 |
在多管理员状态下,支持设置私有、公有规范策略。私有规范只有创建账号有权限更改、删除,公有规范所有管理员均可更改或删除。 |
|||
32 |
提供移动端专属平台管理页面进行便捷管理,包括但不限于:设备快速定位、设备审核、实时报警监控、客户端卸载确认码生成等。 |
|||
33 |
高可用 |
支持多种灵活的部署方式,无需改变网络结构,部署方式包括但不限于独立部署、双机热备部署、探针式部署、负载均衡部署、集群部署 |
||
34 |
★支持智能逃生判断及管理恢复机制,在单位时间内终端异常离线达到指定逃生阀值则放开网络管控,当终端在线数达到阀值临界点时恢复网络管控;可灵活设置策略生效时间。(功能截图 ,加盖厂商公章 ) |
|||
35 |
提供专属逃生平台对系统服务状态进行实时评估,逃生平台策略被触发时可保障业务的稳定运行;策略包括但不限于系统服务异常等。 |
|||
36 |
客户端 |
客户端 |
支持安全客户端(Agent)、安全控件、无客户端等多种模式;提供Windows、linux、MAC OS、安卓、IOS专属客户端。 |
|
37 |
提供中标麒麟(龙芯)、银河麒麟(飞腾)、统信UOS等国产操作系统专属客户端。 |
|||
38 |
★支持灵活的客户端卸载策略,包括但不限于万能卸载码,一对一卸载码,无需卸载码等多种模式。支持设置离线客户端策略,包括但不限于超过指定时间后客户端自动卸载,提醒用户确认是否卸载等。(功能截图 ,加盖厂商公章 ) |
|||
39 |
★客户端支持自定义菜单栏及终端用户故障诊断,诊断过程支持录屏,诊断结果支持一键压缩打包。(功能截图 ,加盖厂商公章 ) |
|||
40 |
产品资质 |
产品资质 |
★公安部《计算机信息系统安全专用产品销售许可证》(提供证书证明材料) |
|
41 |
★国家保密局《涉密信息系统产品检测证书(接入控制系统)》(提供证书证明材料) |
|||
42 |
★国家版权局《计算机软件著作权登记证书》(提供证书证明材料) |
|||
43 |
★中国国家信息安全产品认证证书(提供证书证明材料) |
四、评分标准
1、评分标准为百分制,价格分满分为30分。
2、第三条“软件主要功能”中的8款功主要功能,每缺少一项扣5分,共计40分(未提供截图证明的,视为无此项功能)。
3、第四条“系统规格配置及技术参数”中带“★”标志的核心技术功能参数每缺少一项扣2分,共计30分。
4、综合得分最高者获得供应商资格。
五、公告时间
公告时间:2022年7月29日至2022年8 月4日
六、其他事项
(一)项目起止时间为:自签订合同之日起40个工作日内完工。项目实施期间,我中心将根据需要听取项目进展情况汇报。
(二)项目不接受联合体申报。
(三)项目由信息中心负责,联系人:郭工,联系电话:88630365
三亚市环境信息和宣教中心
2022年7月29日