内网安管理产品招标要求.docVIP

内网安全管理产品招标要求 技术要求 （一）分级部署和多级集中管理 管理构架上支持采用分级部署、分级管理和集中管理相结合的方式。 级联网络，要提供上级直接查询下级数据的功能。 支持中央汇总、区域本地分布式报警方式相结合的管理机制，不同级系统逐级汇总网络设备变化、违规行为、系统运行状况异常信息，方便网管人员进行查询。 支持扩展建立信息安全管理通告模块（量身定制），提供统一的内部网络安全信息公告平台。 支持INTEL的VPRO技术，既主动管理技术。 （二）终端设备接入管理 能自动发现整个网络中的终端系统的IP地址、机器名和MAC地址，允许管理者对终端系统按部门进行登记管理，形成网络基本情况数据库，生成网络拓扑图，并且要求跨Vlan、跨路由。 对新接入网络的设备，不论是否安装个人防火墙要求系统能在15秒内发现并识别。 对网络中的终端的进行注册管理，根据设定的安全策略允许/禁止终端接入网络，采集硬件设备信息、位置信息。 要求支持网络终端IP分组功能，按照不同的区域、部门进行划分管理组。自动检测网络中IP资源使用情况，列表注册客户端、未注册客户端及机器在线情况，以取代原始的数据资料记载的手段，增强设备管理信息的实时性、准确性。 支持识别可管理型交换机（可网管），在交换机端口针对终端的具体连接端口进行关闭和启动，达到控制终端入网通讯的目的（可选），并可根据网管型交换机生成简单网络拓扑图。 要求支持对客户端MAC和IP地址的绑定管理，IP和主机名绑定，任意其中一个发生改变，系统将自动报警，报警后自动恢复原有IP配置。 要求支持对合法计算机IP地址使用的保护机制，对新接入设备占用他人IP地址的行为进行自动断网，不影响合法计算机在网络中的正常使用。 要求支持内网完整性管理，对网络中计算机的接入、带出行为进行报警，并能够自动阻断违规行为。 要求支持对未授权的终端设备接入具有阻断能力（不依赖交换机、路由器），同时提供安全源事件远程阻断，系统在管辖范围内。 支持接入网关或802.1X方式的两种或两种以上的接入控制管理模式。 （三）终端IT资产管理 系统要求支持管理网络终端软硬件资产：采集客户端的硬件设备信息（诸如硬盘、CPU、内存等）、位置信息（设备名称、使用人、联系电话、房间号等），注册后存储到数据库中;可自动发现客户端安装的软件，将所有相关数据入库管理；支持在管理中心对注册客户端进行联机卸载。 系统要求支持设备资产信息变化报警，报警未注册设备、注册程序卸载行为，实时检测硬件设备变化情况（如设备硬件变化、网络地址更改、USB设备接入等）。 必须支持对终端计算机软件安装信息的收集，包括当前软件安装信息和历史安装信息。 （四）移动存储管理 支持对移动存储设备接入管理控制，定义USB标识，根据策略禁止非法USB存储，支持通过移动存储设备认证方式控制本单位与外来移动存储设备的接入。 支持移动存储使用权限控制，能够实现本单位移动存储设备带外无法使用。 支持对移动存储数据的读写控制，审计数据的写入与读出，并可以根据策略定制进行限制。 支持移动存储设备只写策略控制，对指定的移动存储设备使其只能被写入数据，移动存储设备中的数据无法被读取和输出。 支持对普通移动存储设备划分加密区，加密区需要通过密码认证才能访问。 （五）统一安全策略 系统要求提供安全策略制定功能，根据终端安全防护需要提供安全策略（全局策略、本地策略、备份策略）。 策略制订后，能够自动分发至网络中所有注册终端，根据策略类型决定如何执行。 策略需支持上级锁定并强制下级执行，下级无法修改。 可以定义策略执行的网络环境，如在特定网络中策略有效或无效。 （六）网络主机运维管理 要求支持对网络中客户端流量进行监控报警：对客户端设备流量进行采样并实时排序，监视网络的异常流量和异常连接，客户端输入或输出流量超越管理员设定阈值时报警，对可疑发包、可疑并发连接进行阻断，防止非法入侵、滥用网络资源。 要求支持对重要主机进行运维监控，支持对客户端硬盘、CPU 、内存等系统资源应用状况的监控，在超过管理员设定阈值时自动报警。 要求支持系统重要进程、服务器、软件等的运行监控，对关键进程、关键服务进行保护，并在其发生死锁时自动恢复。 要求支持对重要服务器、路由器、交换机等网络设备的保护，有效保障网络的稳定运行。 系统必须支持远程文件备份机制，要求把指定的文件在规定时间间隔内备份到指定服务器。 要求系统支持管理员多路呼叫帮助平台，每个管理员可同时对多个用户提供远程帮助。 （七）非法外联监控 要求支持监控网络中客户端的非法外联行为，实时检测内部网络（包括物理隔离和逻辑隔离网络）用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为，并远程告警或断网。 支持监控已注册的设备网络连接行为，如改变网络地址接入其它网络，根据接入网络环