准入控制系统需求说明.doc

附件： 准入控制系统需求说明 招标项名称 招标项分类 参数要求 1.商务要求 商务要求 产品同时具备《计算机信息系统安全专用产品销售许可证》和《计算机软件著作权登记证》。 产品原厂商应具备至少三个国家级三级（或以上）级联网络中相关安全项目实施的案例，且每案例管理计算机终端数量不少于1000台，并提供书面证明。 产品原厂商应具有对国家级大型网络的安全保障经验和实际案例，并提供相关证明。 产品原厂商应具有ISO9001质量管理体系证书、信息安全服务资质（安全工程类、安全开发类）一级、CMMI 3及以上证书、软件企业认定证书和高新技术企业证书。 产品原厂商具备商用密码产品生产定点单位证书和商用密码产品销售许可证）规划布局内重点软件企业证书等级保护建设服务机构评估合格证书信息安全等级保护协调小组办公室信息系统安全专用产品备案证明》除外,不允许其他进程执行5．移动存储管理模块 移动存储管理系统 具备认证标签和策略相结合的方式对移动存储设备接入进行管理，实时发现并管理接入网络中的移动存储设备（如U盘、移动硬盘等）。 具备移动存储设备在格式化和重新分区时授权标签不可被擦除。 具备标签和策略相结合的方式，对移动存储的使用权限进行控制（禁止使用、只读使用、读写使用）。 具备对移动存储介质标签进行分部门管理，打过标签的移动存储设备只能在策略指定的范围内使用。 具备将通用移动存储设备分为交换区和保密区，并可以分别设置不同的密码，以提高信息的安全性。离网之后，保密区不可见，防止保密区敏感信息泄露。 具备移动存储介质接入行为审计，提供详细的文件操作审计记录（文件的创建、复制、删除、修改、和重命名等操作），提供详细的移动存储设备的插入和拔出动作的详细记录。 6.准入控制模块 性能要求 单台最少支持200个用户数的并发。 硬件支持至少4个千兆电口。 支持至少100 Mbps的数据吞吐率。 单台至少支持2路业务控制，最多可扩充4路业务控制。 满足7*24小时不间断工作，设备无故障运行时间不低于80000小时。 注册管理 支持自定义注册信息，要求可以定义必须填写的注册信息项，可根据需要启用/禁用自定义项。 要求可根据需要自定义客户端注册的服务端地址，客户端可自动识别服务端信息并注册。 要求支持根据IP、使用人、部门、注册情况、开关机情况等多种组合查询已注册的终端。 要求必须支持针对IE、QQ登陆及弹出窗口等web形式的访问提供入网重定向提示，提示进行客户端注册。 资产管理 要求支持终端硬件资产统计和查询，统计内容应至少包含CPU、内存、硬盘等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关外设信息。 要求支持终端软件资产统计和查询，统计内容应至少包含操作系统版本、操作系统补丁安装情况、IE版本、主机名称、网卡MAC信息以及设备内安装的应用软件使用情况。 要求支持设备资产信息变化报警，报警未注册设备、注册程序卸载行为，实时检测硬件设备变化情况（如设备硬件变化、网络地址更改、USB设备接入等）。 必须支持对终端计算机软件安装信息的收集，包括当前软件安装信息和历史安装信息。 身份认证 要求支持本地认证系统，支持自定义本地用户和密码，支持本地认证用户自行修改密码。 要求支持与Radius认证系统联动进行身份认证，必须支持包含PAP、EAP-MD5、MD5-CHAP等加密认证方式。 支持与AD域服务器、LDAP服务器实现联动认证。 要求支持与CA认证系统联动实现身份认证，必须支持当前主流CA厂家的认证配套流程。 要求支持认证超时机制，超时帐户强制自动登出，要求超时时间可以自行配置。必须支持帐户超期统一登出机制，登出时间可根据需要自行设置。 要求支持帐户尝试登录限制，要求尝试登录次数可进行配置，尝试登录失败可锁定帐户，锁定时间可按需配置。 要求支持帐户角色绑定功能，不同用户帐户继承所属角色的访问权限以及安检要求。 要求支持安检规范定义配置功能，可根据角色属性定制不同的安检规范，安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共享资源检查、IE主页修改项检查、guest来宾帐户启用情况检查、远程桌面启用情况检查、系统启动项进程检查等。 要求支持安全域控制功能，可根据角色属性定制不同的安全域，用户认证成功后，安全域角色控制功能自动生效，相关角色帐户只能访问指定的安全控制域。 要求支持认证日志记录和查询功能，可根据认证帐户、认证起止日期、认证起止时间、认证动作行为以及IP地址等组合因素查询认证日志信息。 要求支持未认证通过用户入网时进行阻断，能够提供web重定向提醒，并说明入