1策略管理系统.doc

信息系统集成实施服务技术参数 策略管理系统（数量：1套）： 功能 技术参数及性能要求 产品必须为自研产品，拥有自主知识产权，以保证产品开发的可持续性以及可维护性。 产品必须在国内有研发和原厂维护人员，以保证产品在使用过程中对需求和问题的及时响应性。 产品必须支持B/S架构，提供统一的Web管理界面进行集中管理，并且必须通过SSL加密（https）传输，以保证管理员操作的安全性。 产品必须能够支持不少于100,000用户规模的管理能力，以便于未来的扩容。本次配置2000个终端接入控制功能License。 产品必须同时支持用户管理、网络准入控制、访客管理、终端安全（含主机安全检查、员工行为监控、补丁管理、资产管理、软件分发）和移动存储介质管理功能，所有功能必须基于一个管理页面、一个客户端完成 ，不得通过两个及两个以上的产品组成，以便保证产品使用过程中运维的便捷性。 产品必须提供网络准入控制功能，对接入网络的用户进行身份认证和安全检查，保证只有身份认证和安全检查都通过的用户才能接入网络，获取相应的网络访问权限。 产品必须同时支持多种接入认证方案，包括MAC认证、802.1x认证、Portal认证、安全接入网关认证等，以便根据现网具体环境选灵活选择；不得采用ARP欺骗、DHCP网关等影响网络性能的接入认证方案。 产品必须支持多种身份认证方案，包括用户名密码认证、MAC帐号认证、AD（Active Directory）联动认证、LDAP联动认证等；同时为提高身份认证可靠性，必须支持PKI/CA联动认证功能。 产品必须支持多种认证方式，包括安全代理方式、web认证、基于ActiveX控件的webagent认证方式等，以满足不同认证场景下的需要。 产品必须提供用户帐号绑定功能，支持与接入终端的IP、MAC绑定，限制用户接入的终端。 产品必须支持匿名认证功能，用户无需帐号密码，安全检查通过即可接入网络。 产品必须支持与微软AD（Active Directory）联动认证功能，支持Kerberos认证和非Kerberos认证认证两种认证方式，支持联动协议通过SSL加密以保证认证信息的安全性；支持基于OU和账号Group属性进行AD域账号同步功能；提供基于不同步AD域账号的联动认证方案。 产品必须支持与主流第三方LDAP服务器的联动认证功能，包括IBM Tivoli、Sunpen ldap服务器。 产品必须支持安全域划分，按照网络资源的安全等级划分为认证前域、隔离域和多个认证后域，系统根据身份认证和安全检查状态授权用户访问不同安全域。 产品必须提供802.1x认证方案，可与华为、cisco、HP、锐捷等主流厂商的交换机联动，根据接入用户身份认证和安全检查的结果动态向802.1x交换机下发Vlan和ACL规格，以便防止不合法和不安全的终端用户接入网络。 产品必须提供Portal认证方案，根据接入用户身份认证和安全检查的结果动态向portal设备下发ACL规格，以便防止不合法和不安全的终端用户接入网络。 产品必须提供安全接入网关认证方案，根据接入用户身份认证和安全检查的结果动态切换其网络访问权限，以便防止不合法和不安全的终端用户接入网络；网关设备型号具备多样性，支持NP或多核架构，满足电信级别设备要求；且支持冗余备份和业务逃生，保障被管理网络的稳定运维。 产品必须支持终端互访控制功能，支持对随意接入网络的外来机器进行端到端的访问控制；管理员可基于部门和网络区域划分多个可信任域，可信任域之间的访问互相隔离。 产品必须提供Wlan接入控制方案，支持与AC/AP设备联动，提供无线802.1x认证和Portal认证。 产品必须提供网络设备扫描功能，支持自动扫描网络中的设备类型并自动分类，设备类型分为如下几类：交换路由设备、PC设备、服务器、IP电话、网络打印机； 产品必须支持对接入网络的新设备及时发现并通过告警方式通知管理员； 产品必须支持及时发现终端对代理进行卸载的告警管理； 运维审计系统（数量：1套）： 项目 指标项 技术参数及性能要求 对系统必须进行安全加固，数据使用加密存储 审计功能要求 工作原理 系统必须B/S架构，旁路侦听模式，不需要添加任何插件和引擎，也不需要增加任何网络嗅探器。 部署方式 系统必须不改变原网络拓扑 支持各种主流数据库 必须支持并覆盖以下主流商用数据库，包括：Oracle 8/9/10/11等、Sybase所有版本、SQL Server 2000/2005、Informix所有版本、DB2所有版本。 职权分离 必须提供超级管理员、资产管理员和审计管理员权限分离；资产管理员可以添加数据库审计服务器、审计策略制定、审计记录查看等。审计管理