扬州特材信创终端安全管理系统项目公开寻源公告

序号

类别

指标项

技术指标要求

1

平台架构

方案整体架构

1、终端安全管控平台和网关准入控制器支持一体化部署与分离部署，本次采用一体化部署方式；

2、无需用户提供windows服务器操作系统进行部署；

★3、支持对信创、非信创终端进行统一管控，客户端支持Windows、macOS、Linux客户端、国产化统信UOS/**操作系统。

2

硬件要求

★1）内置系统所需的国产化操作系统；

★2）硬件设备参数不低于以下要求：内置海光芯片，2U设备，CPU 8核，内存32G，硬盘4T；冗余电源，4个千兆网口，保修24个月；

3）支持至少2000台终端设备管控；本次项目授权500点。

3

平台扩展

★本次投标产品需同一个客户端，一个管控平台，支持网络准入控制、桌面安全管理、数据防泄露、终端检测响应、防病毒能以模块化的方式实现，同时同一个客户端需具备零信任能力，对外部接入进行管理，实现全网零信任。

4

★原厂商拥有零信任远程移动办**全接入方案，终端一体化平台能够实现与原厂商SDP系统实现对接联动，将零信任客户端集成于一体，实现企业网、非企业网场景统一安全管控。

5

级联管理与分布式部署

★本次投标产品应具备级联部署和分布式部署能力：系统自身功能组件独立模块分布式部署，****集团总部现有终端安全与网络准入管控平台进行统一接入管理的产品，****集团对接，需即时响应满足，免费支持二次开发接入。

6

策略下发管理

★本次投标产品策略下发应支持根据指定设备、设备组、用户、用户组、部门、IP、MAC下发,离线生效，例外管理，策略场景按照客户端在线、客户端离线等状态进行定义。

7

网络准入

设备可视化

★本次投标产品能自动发现识别接入设备的类型并自动分配网络访问权限，显示终端所在交换机端口信息。自定义添加设备类型识别规则条件，以操作系统、开放端口、设备名、MAC地址前缀、MAC地址厂商、IP地址范围等权重。

8

身份验证方式

★本次投标产品支持的身份认证源包括但不限于内置账户、AD/LDAP用户、邮件服务器用户、证书认证，第三方RADIUS服务器认证、UOS域进行认证；支持AD域单点登录认证；

9

网络环境

★本次投标产品支持802.1x、Cisco EoU、WebAuth、Portal、端口镜像、策略路由等多种准入控制方式混合使用，一个系统可同时使用多种准入方式适应复杂网络环境；

10

端口级别准入控制

★本次投标产品支持对不同状态的终端下发不同权限的ACL或切换VLAN进行网络访问**限定，针对思科、华为、华三交换机可直接下发ACL动态规则，无需在交换机预先配置ACL规则，并支持与思科、华为、华三SDN网络环境集成。802.1x可精细化到HUB接入场景下，每个终端分别认证；

11

网关型准入控制

★准入未放行前支持web重定向、邮件重定向方式引导；支持准入控制阻断和提醒模式，提醒并帮助用户自助安装；

12

安全检查

本次投标产品应支持对Windows设备、linux设备、国产信创终端、MacOS终端进行入网安全检查。系统内置防病毒软件安装等常用检查项，支持基于注册表、文件、进程、系统、服务进行自定义检查。提供终端修复引导编辑页面进行引导修复。

13

混合绑定

★本次投标产品需支持用户与计算机MAC地址、接入交换机端口号、接入控制点设备、客户端生成的主机码和随机码绑定；终端硬件唯一ID、认证用户等进行灵活绑定；支持1对1，1对多绑定，并支持设置针对某用户在一定数量范围内的终端自动放行。

14

智能逃生

★本次投标产品需支持智能应急逃生方式，系统检测到运行中出现的异常和故障需要能够自动应急：需提供图形化界面配置一定时间内连续出现多台终端准入失败自动临时放行且阈值可自定义（分钟级别），确保企业网络的可用性；

15

上网行为管理联动

★本次投标产品需支持与深信服上网行为管理系统、网康上网行为管理系统、华为USG等系统联动单点登录，准入认证通过后，无需再进行上网行为系统认证；

16

应用认证

单点登录

本次投标产品支持单点登录功能，提供企业应用标准API接口，支持原生应用及H5应用集成单点登录能力

17

桌面管控

设备基本属性

本次投标产品应能以设备维度展示设备基础信息：IP、MAC地址、用户、部门、计算机名称、软件资产信息、硬件资产信息、进程、服务、网络、注册表、端口等详细信息；

18

本次投标产品应能支持设备检索，检索条件包括但不限于IP/MAC地址、类型、用户、部门、设备组、客户端运行状态、主板型号、CPU型号与频率、内存或硬盘大小、操作系统、设备最近启动/离线/发现时间；

★本次投标产品需支持将自定义查询条件进行标签保存，生成快速查询按钮，后续只需点击标签即可完成设备查询；

19

配置变更事件

本次投标产品应支持设备软件、CPU、内存条、显卡、光驱、硬盘、主板、网卡等软硬件资产变化的监控及审计；

★本次投标产品需支持拆卸硬盘、更换硬盘行为的监控及审计；

20

多平台支持

本次投标产品系统应支持对Windows、macOS、国产终端进行远程协助；

21

远程模式

本次投标产品系统远程模式应支持管理员强制远程、管理员发起申请由终端确定、终端用户主动发起远程申请协助等多种模式；支持多对一、一对多远程模式，在锁屏、注销、系统未登录状态下进行远程协助；支持NAT环境远程；

22

远程审计与交互

本次投标产品支持对管理员的远程会话过程进行详细审计、支持远程协助过程录像；支持带宽自动优化功能；支持远程传送文件和文件夹功能、支持远程即时通讯；

23

消息通知

本次投标产品系统支持对终端进行消息通知，通知内容格式支持纯文本、富文本、HTML文件通知、HTML-zip文件通知、URL通知； 可对通知范围、通知频率、通知时间段、通知框属性（窗体大小、窗体显示位置、置顶、关闭、窗体超时自动关闭）控制；

24

定时开关机与节能管理

本次投标产品支持设置终端定时开机、闲时（鼠标/键盘长时间未操作）终端关机、注销、锁定、重启、睡眠、休眠、关闭显示器等操作；

25

助手首页个性化定制

★本次投标产品需支持在客户端首页进行个性化定制发布企业相关文化/政策/公告相关的图片，进行公告通知，支持将常用网址、业务系统发布在客户端首页，支持在客户端首页发布常用工具，简化故障运维；支持将终端信息显示在客户端首页；

26

安全管控

补丁检查与更新

本次投标产品系统自身可作为补丁服务器对终端补丁安装情况进行检查、强制修复直到修复成功，可与WSUS联动；

支持补丁闲时安装、补丁卸载和安装情况统计（未安装、已安装并生效、已安装未重启、补丁安装率）；

27

补丁服务器离线自动更新方案

本次投标产品系统拥有在不直接开放互联网或代理服务器代理上互联网的网络隔离情况下，将补丁文件、补丁库文件从互联网自动下载更新到内网的解决方案

28

补丁智能中继

★本次投标产品需支持补丁智能中继：手工指定、智能选举某一终端客户端作为中继点，由中继点到服务器下载补丁后，其他PC到中继点获取下载**，支持中继点到服务器、PC到中继点的带宽控制

29

主机防火墙

本次投标产品支持对终端指定进程、协议、IP/域名、端口的入站和出站访问进行审计和阻断控制。实现已安装Agent PC与未安装Agent PC或Agennt离线PC进行隔离，支持DNS黑白名单控制。

30

主机进程管理

本次投标产品支持以进程名称、进程文件属性、进程文件CRC值、进程文件MD5值、软件名称、目录名称、进程签名等方式进行进程黑白名单管控；能对重要进程运行状态进行监视；

31

终端用户操作系统账户管理策略

本次投标产品支持操作系统账户/账户组配置变更、账户登录/注销的行为审计，对账户组成员监控，及时发现终端上存在的违规账户。

32

终端系统自检

本次投标产品在无需准入控制入网安检的情况下，系统支持对终端设置、终端环境、终端安全、软件黑白名单、必装软件、服务黑白名单、浏览器配置进行检查。并支持自定义检查项，对终端的注册表、文件、操作系统版本、进程、服务进行检查；

33

windows本地安全策略与注册表管理

本次投标产品支持对禁止修改网络属性（修改IP/MAC地址等）、使用组策略编辑器、添加打印机、设置系统服务启动类型；

支持禁止使用注册表编辑器、修改注册表，对注册表的读、创建、修改、删除、重命名等操作的阻止与审计；

34

软件分发条件

本次投标产品系统支持对终端进行软件分发，自定义软件分发、下载、安装时间。可在普通user账户下分发，支持软件分发条件、安装检测条件及安装成功条件检查进行设置；

35

中继分发

本次投标产品在软件分发时支持节点缓存和中继功能：

1、支持手工指定或智能学习自动选举终端客户端为中继点，中继点向服务器获取软件**，向本网段内其他PC分发软件**；2、原中继点关机后，支持自动选举新的智能中继点；3、支持中继点到服务器、PC到中继点的带宽限制；4、支持中继点到服务器获取**的时间控制；5、支持手工中继、智能中继同时启用及分区域使用不同的中继方式；

36

软件标准化管理

本次投标产品支持终端软件包扫描采集，对终端软件安装、卸载行为进行禁止和审计；

★本次投标产品需支持已安装软件黑、白名单进行审计、禁止运行和卸载、已授权软件例外；红名单软件审计、自动安装；支持对绿色软件进行采集、禁止运行和审计；

37

软件授权管理

本次投标产品系统支持商业软件的采购订单进行录入管理，录入软件详细信息后进行授权管理，及时发现未授权终端安全软件行为，对违规安装软件一键卸载，******发布和授权，进行授权数量阈值告警；支持授权回收；

★本次投标产品需支持将国家版权局正版化检测工具的配置文件导入到服务器后台，后台根据配置文件规则来统计并展示相关正版软件的信息；

38

使用统计

本次投标产品支持对网站标题、网站URL、进程文件路径、网站访问次数、应用程序使用次数、网站访问时长、应用程序使用时长进行统计；

39

软件**

本次投标******，**软件支持云端自动或手动更新；后台可上传软件，自动获取软件厂商、名称、版本，自定义软件安装、卸载命令及适用的操作系统范围；前端用户界面可针对对不同的用户、部分、设备、设备组发布不同的软件**下载、卸载已安装软件；软件**入口支持安装信息反馈，管理员在后台查看；

40

数据防泄密

非法外联控制

本次投标产品本次投标所提供产品应支持Windows终端外设端口禁止管控，包括但不限于USB接口、共享WIFI热点、蓝牙、光盘、智能设备、串并口以及其他外联设备，并支持通过设备PID、HWID信息进行禁用和例外；可实现无线以太网卡禁用、审计、仅在有线网卡工作时禁用和WiFi黑、名单控制和无线SSID仿冒检测。

41

本次投标产品支持Linux下U盘禁用，macOS支持禁用U盘并审计、未注册U盘只读并审计、禁止和审计自建WiFi、禁用和审计无线网卡、WiFi白名单、蓝牙控制、airdrop的审计和阻断

42

硬件管理策略

★本次投标产品需支持基于设备GUID、设备实例路径、显示名称、设备服务名等进行某一类设备进行管控，包括审计与禁止；

43

网络连接审计与控制

★本次投标产品需支持对终端与互联网或其他网络连接行为进行检测、阻断，检测方式包括PING/TCP/HTTP。处置方式包括：禁用网卡，阻断网络直到事件恢复或必须由管理员恢复；锁屏，必须管理员恢复；

44

移动存储接入管理

本次投标产品系统应能对移动存储设备进行接入管理：用户注册与管理员批量工具注册，并控制终端使用范围。支持禁用、只读控制、插拔记录审计，文件读写控制、审计、审批、弹窗告警

45

邮件管控

★本次投标产品需支持对通过Outlook、Foxmail（非exchange协议）、coremail论客邮箱邮件客户端外发邮件进行审计和控制，能基于发件人/收件人/抄送人（包括邮箱组或单个邮箱的方式，支持*匹配）、标题关键字、正文关键字、正文图片、附件关键字等条件进行敏感匹配定点审计，支持对邮件附件进行透明加解密；

46

屏幕录像

本次投标产品支持屏幕录像播放支持“普通模式”和“极速模式”，播放支持暂停；支持在底部显示用户、设备信息，不遮挡录屏播放；录像分屏审计，多屏切换查看；

★支持基于远程、邮件、插入USB、即时聊**行为进行自动录屏；

47

文件操作管控

本次投标产品支持对文件的读、写、复制、剪切、创建、删除、另存为、**、重命名等动作进行监控、敏感检查、阻断、加密、解密、透明加解密、审批、审计、上传拷贝文件副本；

48

截屏控制

本次投标产品支持对指定进程（进程组）/指定业务系统，禁止截屏；

49

打印管控

本次投标产品支持对文件的打印行为进行禁止、审计、备份等管控操作，对打印文件进行敏感检查和审批，支持打印无水印申请，可基于打印机的访问IP、端口、型号特征进行黑白名单管理；

50

水印

屏幕水印方案

本次投标产品支持屏幕全屏水印、进程水印、URL水印。屏幕水印样式包括明**印、矢量点阵水印、盲水印、二维码水印、图片水印、logo图案矢量水印等多种方式，且支持将两种及以上水印方案任意组合。水印仅显示在应用窗口，且能够跟随应用程序移动缩放而自适应移动缩放；当屏幕水印颜色与背景色相近时，水印颜色自动增强反色；

51

本次投标产品支持屏幕明**印信息宏参数替换（用户名、用户全名、计算机名、计算机全名、IP地址、MAC地址、日期、时间），支持自定义屏幕水印条件；支持水印始终加载在屏幕最上方，遮挡应用窗口；

52

本次投标产品支持屏幕截图控制、附加盲水印（QQ、微信、企业微信、TIM、企业QQ、钉钉、键盘按键截屏）；

53

本次投标产品支持对接高维数据的盲水印技术，实现在用户无感知的情况下的屏幕盲水印以及泄漏后的追溯；

54

打印水印方案

★本次投标产品需支持打印指定文件类型、打印指定应用才会触发打印水印，打印明**印信息宏替换，并可自定义打印水印条件；支持打印矢量水印（以点阵矢量图形方式或者字符附圆点的方式，打印在文档上）；

55

水印追溯

本次投标产品支持二维码水印通过二维码扫描工具进行追溯；支持屏幕矢量水印通过系统编码表进行追溯；支持盲水印通过系统上传图标自动识别进行追溯；支持打印矢量水印通过将相关字和所在的语句输入系统进行追溯；

56

水印支持

本次投标产品支持在Windows、MacOS、国产化UOS/**、ubuntu/centos等linux系统中实现屏幕水印功能；