扬州农村商业银行终端准入安全管理系统采购公告

序号

指标项目

要求描述

1.1

产品制造商资质证书

《计算机软件著作权登记证书》；

公安部《安全产品销售许可证》；

软件提供全功能模块；允许参数有小范围偏离度，需要提供偏离度参数表；

1.2

产品部署及兼容性

终端部署支持客户端、IE控件、无客户端模式，针对不同终端进行不同部署；

支持多种准入技术能够兼容不同的网络环境和接入场景；

支持主流厂商各种类型网络厂商设备；

支持Windows、Linux、MAC OS、移动智能设备等各类型硬件的准入控制；

产品界面支持IE、非IE浏览器；

1.3

代理客户端操作系统支持

支持Windows2003、2008、XP、7、8、10等操作系统；

支持MAC OS上安装代理准入；

支持在linux系统上安装代理准入；

支持在智能手机上安装APP准入；

支持32位及64位OS, 支持中、英文及其他语言的操作系统；

1.4

代理软件自保护功能

终端代理软件可以隐藏；

终端用户不能自行卸载、删除、停用终端代理软件，具备自我保护功能；

终端代理文件不能被修改；

终端代理程序卸载口令可以根据需要动态修改，防止口令泄密；

安全模式下可以自动启动，并可以达到上述1，2，3，4项要求；

1.5

后台服务系统多平台支持

后台支持windows2003/2008/2012系统、支持Ubuntu、Centos等系统；数据库支持SQL2005/2008/2012数据库、PostGreSQL数据库；

支持厂家自己研发的非关系型数据库，以支持大数据量审计信息下的查询等；（提供产品截图和文档说明）

序号

指标项目

要求描述

2.1

统一管理入口模块

所有功能必须在一套管理平台实现；

提供统一的管理系统登录入口；

登录管理平台后，管理员在使用过程中不需要重复登录或分别登录多套系统。

2.2

统一数据与报表展示模块

统一展示被管理终端设备的相关数据，能统一查询统计被管理终端设备的状态信息、被应用的各种安全策略、安全漏洞信息，及管理任务所需的各类报表；

统一展示被管理终端上用户的操作数据，能统一查询统计用户的操作记录、用户的管理策略及违规信息，及管理任务所需的各类报表；

统一展示管理员的操作结果和操作审计记录；

统一展示服务设备的运行数据，如网络设备、准入控制设备的运行状态，及管理任务所需的各类报表。

2.3

管理策略集中维护模块

在统一的管理界面下，定义面向终端设备、终端用户的各类安全管理策略；

有统一的界面查询策略的应用状态，并对策略进行更新和维护。

2.4

分级授权管理模块

要求管理平台支持分级管理，实现如下分级授权功能：

本系统可设置不同的管理员可管理相应范围内的设备、用户；

上级管理员可定义管理策略，强制下级管理员执行，同时上级管理员可查看下级管理员定义的安全管理策略；

各级管理员，可对本级及下级管理范围内的数据做查询、统计、汇总；

支持集中LIC授权。

序号

指标项目

要求描述

3.1

准入控制技术支持类型

必须支持基于802.1x的网络准入方式，包括有线环境802.1x与无线环境802.1x；（提供包括产品使用截图、802.1X认证审计信息等）

需要支持端口镜像方式准入；

需要支持策略路由方式准入；

需要支持DHCP方式准入；

需要支持FAKE DNS方式准入；

需要支持Cisco EOU方式准入；

需要支持protal方式准入 ；

需要支持移动终端设备指纹认证方式准入，以防止身份仿冒和提供认证用户友好性；

需要支持微信准入。

3.2

准入身份认证源

能自动同步AD/LDAP上的组织架构信息和用户帐号信息，组织架构信息用于设置用户的资源访问权限；

终端准入身份验证至少需要兼容微软AD域帐号验证、LDAP帐号验证、X.509证书帐号验证；

可以集成HR、OA、MAIL第三方认证源；

根据用户组织架构和员工信息单独设置准入帐号体系。

3.3

准入安全检查项

接入帐号的合法性，接入的硬件信息，包括MAC地址、主机硬件标识、接入的交换机端口等；

接入设备的安全设置，防病毒软件的安装与更新信息，必须要支持现有防病毒客户端的准入检查；

Guest来宾账户检查、弱口令账户检查、AD域用户检查、共享目录检查；

系统补丁检查、注册表项检查、文件要求检查、软件配置检查、软件组配置检查、准入客户端的软标签；

扩展准入安全检查功能，内置人性化的编程语言，可以定制支持任意检查项，要求提供配置界面和配置手册。（提供功能截图和配置手册）

3.4

准入友好提醒

需要支持对未安客户端软件的终端通过Web与邮件重定向方式的提醒；

需要支持对未通过身份检查的终端通过Web与邮件重定向方式的提醒；

需要支持对未通过终端安全检查的终端通过Web与邮件重定向方式的提醒；

提醒内容需要包括接入失败的准确原因；

支持HTTPS重定向。（提供测试报告）

3.5

准入支持的终端类型

必须支持Windows客户端的网络准入，在接入设备上安装Agent软件，实现准入认证；

必须支持Linux客户端的网络准入，在接入设备上安装Agent软件，实现准入认证；

必须支持MAC OS客户端的网络准入，在接入设备上安装Agent软件，实现准入认证；

必须支持在智能手机（包括IOS和Android平台上安装APP应用实现准入）；

智能区分电脑和移动设备。支持电脑必须安装安全助手接入，移动设备使用无代理认证；

支持设定特权账户和特权部门电脑使用无代理认证

需要支持网络打印机等无法安装Agent软件的设备接入，依据设备的MAC地址或IP地址信息进行验证；

支持IP语音电话，具备cisco和AVAYA的案例；

为满足移动办公的需要，要求支持无线智能终端的802.1x接入认证，要求在安装IOS/Android/WP等中实现无客户端的802.1x准入认证。

3.6

有线环境下802.1x认证技术支持灵活的ACL动态下发

需在有线环境下支持Cisco二层交换机和三层交换机的802.1X+ACL动态下发；

需在有线环境下支持H3C二层交换机和三层交换机的802.1X+ACL动态下发；

需在有线环境下支持华为二层交换机和三层交换机的802.1X+ACL动态下发；

需要在有线环境下支持锐捷二层交换机和三层交换机的802.1X+ACL动态下发；

3.7

无线802.1X场景下准入认证

在无线环境下，至少需要支持Cisco/Aruba/AUTELAN/H3C /Netgear/Ruckus/傲天动联/深信服等主流品牌；

支持在windows环境下的客户端上的无线802.1x认证，无线802.1x认证不能依赖微软内置的802.1x，可在客户端上自动选择自动认证；

同时支持有线802.1x和无线802.1x无缝切换，即在有线环境下客户端自动认证，切换到无线环境下客户端同样自动认证。

3.8

访客管理

外来临时接入终端，没有安装客户端的情况下，在提醒的Web页面中输入放行代码后，可获得指定时长与指定权限的网络访问；

可以预先定义不同的访客级别，根据级别自动授权相应的网络权限与访问时长，其访客级别根据输入的访客代码自动判断、自动应用；

访客放行支持通过访客码的方式、短信验证、邮件验证的方式；

支持通过HTTP和POP3方式提醒访客输入访客码，或提醒未安装Agent的终端安装Agent；

访客放行管理，访客可以通过在提醒的WEB页面中输入合法访客码后访问网络，或者通过访客管理员输入管理员账号和密码予以放行，放行的访客有时长限制，可以是小时、天数限制，放行的访客有审计纪录；访客可以通过邮件方式获得被访人授权允许后自动放行；

支持访客帐号延期管理；能够导出帐号认证的报表；

提供‘访客认证界面’用户自定义配置功能，便于快速定制适配的界面。

3.9

在网安全检查

1）当非法终端伪造IP/MAC仿冒合规设备时，自动发现设备特征信息发生变化，能够提示告警或自动阻断非法终端访问网络；

2）合规设备的应用程序不能正常对外服务时能够提示告警；

3）提供网络异常行为检查，发现并阻止APT攻击；

上述功能不依赖于安装代理客户端

3.10

准入控制认证身份绑定

要求支持用户和交换机端口绑定；

要求支持用户和机器硬件ID绑定；

在无线802.1x准入环境下支持用户和ssid绑定；

在无线802.1x准入环境下支持MAC和ssid绑定；

绑定对应关系支持通过excel导入方式；

绑定对应关系支持导出编辑。

3.11

接入故障排查

需要在一个界面直观展示以下全部信息：

终端从哪台交换机的哪个端口接入；

终端在接入时的IP、MAC、主机名、用户名；

终端的用户名密码是否正确；

终端的安全条件是否符合要求；

终端的接入时间。

3.12

网络准入审计

对所有用户接入网络的行为进行审计，内容至少包括：用户名、设备IP地址、设备名称、接入时间、所属部门、连接的交换机、连接的交换机端口等；

3.13

设备类型管理

能够发现自助设备并进行分类；

根据设备类型控制分配不同的网络权限；

3.14

终端脱缰风险管理

能自动分析未经准入控制直接获得网络访问的设备，并给出设备的IP/MAC、位置、接入时间等信息；

能自动发现未开启准入控制协议的交换机端口，提供交换机名称、端口号、端口状态、责任人、连接的设备等信息。

3.15

可靠性与性能

准入系统的部署，不能改变网络结构，不影响网络性能；

任何单个部件发生故障的情况下，包括：服务器、数据库等故障的情况下，无需人工干预，终端仍然能够正常接入网络；

紧急情况下，提供逃生功能，允许终端直接接入网络；

单台服务器峰值准入认证性能不低于800次/秒，需提供测试数据和测试方法；

序号

指标项目

要求描述

4.1

补丁下载

需要自动从软件厂商的公共云补丁服务器上自动下载指定级别、指定语言、指定系统类型的漏洞库CAB文件；

可以与文件网间自动交换产品联动，确保内网补丁服务器与互联网主机间，在无法建立IP通信的前提下，实现内网服务器补丁的自动摆渡，杜绝人工干预。

4.2

补丁分发

需要支持补丁分发时意外中断后的断点续传；

需要支持分级分发，即：一级服务器将补丁下发给各二级服务器，二级服务器下发给所管理的终端。

4.3

分发带宽控制

为减轻补丁分发对网络的影响，需要支持补丁分发的带宽控制，要求可以设置补丁分发时所占用的带宽。

4.4

分发中继

要求对补丁分发带宽占用进行优化：

对于分支机构没有服务器的情况，要求对其中的一台机器分发，该机器自动为其它客户端分发补丁。

4.5

分发时间限制

需要考虑补丁分发对带宽、对业务终端性能的影响：

要求补丁分发时，可以指定分发的开始时间、结束时间。

4.6

补丁安装

要求支持客户端自动检测并自动从服务器下载补丁安装；

要求支持客户端手工选择需要安装的补丁，然后安装。

智能忽略安装不上的补丁，防止反复不断地去安装，影响终端性能。

支持蓝屏修复。

4.7

安装统计

要求能自动统计终端补丁程序安装率，并提供补丁分发报表；

需要分别从补丁，或终端角度查看、统计补丁安装情况。

序号

指标项目

要求描述

5.1

使用管理

需要可对普通移动存储介质的使用进行管控，包括禁用、使用审计等管理。

5.2

注册管理

需要可对普通移动存储介质进行注册与授权，可授权给指定的用户使用，其它用户无法使用。

5.3

加密管理

需要对普通移动存储介质进行加密，并且要求可区分安全级别：

普通加密区：通过密码即可打开；

专用加密区：只能在内部环境打开。

5.4

使用管控

需要禁止或审计对于移动存储介质的文件读写功能，要求可单向控制，即要求可控制只读或只写。

5.5

禁止自动运行

需要可禁止移动存储介质程序的自动运行，和执行移动存储介质上可执行程序的功能，防范病毒感染。

5.6

审计信息

需要审计移动存储介质的使用情况，至少需要包括使用的：人、机器、时间等信息，以及所有通过移动存储介质拷贝出去的文件审计及文件上传备份。

序号

指标项目

要求描述

6.1

外设管控

要求对使用：Modem、GPRS、蓝牙、红外等可以联接外网或导致数据外泄的行为进行禁止与审计；

支持对安卓设备、苹果设备、WP设备的禁用以及例外管理；

支持对未知设备的管控；

6.2

外网连接控制

需要对通过任何方式，包括：以太网卡、Modem拨号、代理、3G4G网卡外联等方式与互联网联通的行为进行管控，至少需要支持禁止与审计；

实现智能设备连接控制，实现禁用但允许充电；

能够禁止WIFI热点的连接；支持支持对各种随身wifi的禁用，包括360随身wifi百度wifi猎豹wifi等；

能够禁止同时使用两个以上网络端口，并可以在某些场景下进行例外设置；

发现内网电脑外联时先阻断其网络连接，防止其报警；

无线白名单管理。在支持对终端的无线网络进行禁用/启用的基础上，可以基于无线网络的SSID实现无线网络的黑白名单管理，允许连接合法的无线网络，其他不可连接且不可见

6.3

刻录光驱管控

在需要使用光驱的情况下，需要禁止通过光驱刻录将数据外泄；

能够对光驱刻录的行为及内容进行审计。

,

6.4

禁止双网卡连接

需要禁止同时使用两个网络端口，要求不影响VPN拨号等正常应用；

自动禁用与外网互联的网卡。

6.5

文件外传控制

需要审计及禁止通过共享、FTP等方式将文件外传；

需要对文件的读、写操作行为进行审计与控制。

6.6

网络行为管理

需要审计与禁止Web访问行为；

需要审计与禁止使用指定邮件服务器的收发行为；

需要禁止与审计FTP上传下载行为。

Web访问与上传，支持http、https的URL访问控制；

论坛发帖内容审计，包括文字、文件内容；

对员工浏览求职网站访问行为进行审计，并统计分析。

6.7

即时通信工具审计

启动控制。需要支持最新版本的QQ/MSN/fetion/ AiWawa/Reuters（路透软件）/微信（网页版）等即时通讯工具的禁止与审计；

通讯内容审计。需要支持最新版本的QQ/MSN/fetion/ AiWawa/Reuters（路透软件）/微信（网页版）等即时通讯工具的聊天记录、聊天截图、发送附件、接收附件通过在线和离线方式上传到后台文件服务器进行审计；

关键字告警。需要支持即时通讯关键字告警，并通过邮件进行告知管理员；

需要支持能够根据通讯时间、通讯工具、设备名称、用户名称、通讯帐号、通讯昵称、通讯群号、设备MAC、设备IP、聊天对象等进行聊天内容查询以及文件记录查询，并且能够根据组合条件进行查询；

以上审计需要支持离线场景。

6.8

终端防火墙管理

禁止未安装代理程序的非法接入机器与内部机器通信；

禁止指定机器能够访问哪些IP和端口；

禁止指定机器能够开放哪些IP和端口；

6.9

安全检查动态脚本扩展能力

支持高级语言脚本，简单易用，涵盖读写文件、注册表，实现多线程等；避免频繁定制开发；

2）可支持任意检查项，要求提供配置界面和配置手册。

序号

指标项目

要求描述

7.1

终端安全检查

1）要求自动检查终端的安全状况，至少需要包括：系统弱口令、共享可写权限、指定级别补丁未安装、存在可疑的文件与注册表项等；

2）需要按照漏洞项目或终端设备查看漏洞统计信息。

7.2

黑白名单进程控制

1）需要对终端运行的软件进行管控，除常用的软件黑名单外，还要求支持软件白名单控制，即：只能运行白名单中的软件，非白名单中的软件默认禁止运行；

2）要求可以按照签名、CRC校验值、源文件名等方式排列名单，3）需要自动采集样本电脑上的白名单软件，并自动根据策略配置生成对应的CRC校验值、源文件名等参数。

序号

指标项目

要求描述

8.1

资产统计报表

要求自动搜集安装了管理软件的终端软、硬件信息，并按照指定的条件进行统计汇总，导出报表。

8.2

资产变更报警

终端的硬件或软件的配置发生变化时，要求自动告警。

8.3

软件分发

1）软件分发支持带宽优化及控制、支持各种格式安装包，支持Multicast方式的分发以节约带宽；

2）需要可自动对终端实现远程的软件分发，并自动安装；

3）需要支持分发给指定机器后，由指定机器给同网段其它机器分发安装；

4）支持常见软件的静默安装；

5）支持常见软件的静默卸载；

8.4

远程协助

需要支持客户端主动发起远程协助请求与管理员发起请求两种模式；

要求远程协助时，管理员可直接给客户机传送文件；

需要对管理员的协助过程进行录像审计；

需要支持NAT环境下的远程协助，即被协助终端位于防火墙后面也必须可以远程协助。

8.5

IP与MAC管理

需要实现IP、MAC地址的绑定；

需要对违反IP、MAC绑定规则的终端自动断网。

8.6

IP使用轨迹记录

需要记录终端设备使用过的IP地址，包括开始使用时间、结束使用时间等信息，并要求可通过曾经使用过的IP地址来进行查找定位。

8.7

设备智能分类

1）能够自动识别已经发现的终端设备，并进行类型分类；

2）可以识别Windows、Linux、Android、iOS等操作系统类型；

3）识别方式不能采用攻击式主动发包，不能影响网络设备和终端的正常运行，不能触发IDS、IPS的安全设备报警。

8.8

节能管理

节能管理区分工作时间和非工作时间，在终端规定的时间内没有动作的时候，有关机，注销，锁定，重新启动，睡眠，休眠，关闭显示器，锁定并关闭显示器，不作处理等可选操作。

8.9

网络拓朴发现和设备定位

自动发现所有网段，快速定位终端机器所在的交换机和端口所在位置，便于对终端进行快速发现和支持；

设备发现过程中，不扫描网络，避免为IDS等误报为网络病毒发作。

提供交换机端口下所连接终端的详细信息，包括设备IP、MAC、当前用户、VLAN信息等。

序号

指标项目

要求描述

9.1

事件处理预案

事件告警处理：

自定义事件发生后的时间执行点，定义不同的时间点为了升级告警级别；

选择通过客户端、message、email、手机短信方式告警

通过与客户端、交换机或硬件防火墙联动执行

自定义通知相关管理员。

事件恢复处理：

自定义事件恢复后的时间执行点；

选择通过客户端、message、email、手机短信方式告警

通过与客户端、交换机或硬件防火墙联动执行

自定义通知相关管理员。

9.2

客户端处理预案

以下动作为与客户端Agent协同执行：

支持自定义告警信息内容；

支持设定告警执行时间、停留时间、间隔时间；

支持定义客户端防火墙脚本；

支持当发生紧急事件时，禁用所有网卡；

支持定义批处理脚本；

序号

指标项目

要求描述

10.1

专用协议

使用原厂商自行研发的文件上传模块、不需要再单独安装上传客户端软件；

10.2

在线预览

可以通过统一的管理后台经过认证授权后直接在线预览文件内容；

10.3

上传压缩

上传文件支持自动压缩功能、减少磁盘占用空间。

序号

指标项目

要求描述

11.1

保修期

3年

11.2

服务要求

1）有专门的人员服务，服务人员需对我方的系统、设备等有较深的理解，并保持人员相对稳定，非特殊原因不得随意更换，如确有需要更换的，应安排有相关工作经验的人员，并提前一个月到现场进行工作交接，方可更换；如我方认为工程师达不到要求的，我方提前以书面形式申请更换，接到申请后一个月内更换工程师。如更换后的工程师仍达不到我方要求的，我方可继续申请更换，直至达到要求为止。

2）提供相应的文档（如解决方案、培训资料、常见问题解决方案）。

3）对我方提出的请求做到2小时响应，响应开始后24小时内提出解决方案；紧急故障需要抢修时，需在接到通知后的2小时内抵达现场处理。

4）日常所有服务工作均需我方相关人员确认后方可实施，服务实施完毕须报备我方相关人员确认。

5)提供产品升级和更新服务；