科技创新安全管理软件技术要求.docVIP

安全管理软件技术要求 一、总体要求 浙江省“千万工程”大型商业网点统计信息系统项目因网络安全管理需要采购安全管理软件一套，以提高内网机密性、可信性、可控性和可靠性。同时可规划内网资源，规范行为，优化使用和增强管理。具体要求如下： 1．配置一套安全管理软件，用户数不小于100用户。 2．配置安全U盘10个（要求与安全管理软件同一品牌）。 二、需采购的设备清单 序号 设备名称 数量 指标 1 安全管理软件 1套 详见设备技术规格需求说明 三、设备技术规格要求说明 安全管理软件（1套） 序号 指标项 性能功能指标要求 备注 1 分级管理 系统构架上要能够支持采用集中管理、分级管理和分级部署的方式，上级可以直接调用查询下级服务器的数据和控制下级服务器策略的功能。 2 分权管理 系统能够对管理员具有角色进行权限设置，同时对管理员进行分级的权限设置和管理。基于角色基于分权限管理，按照管理区域、管理范围、管理模块、策略模块、等对不同的管理员账户进行分配，如分为系统管理员、安全操作员和安全审计员等多种用户。 ＊ 3 非法内联 对网络中所有终端进行授权认证，发现未经授权的终端接入行为应能及时发现并阻止其接入网络，支持交换机基于802.1X的Radius认证、终端IP通讯加密及探针阻断多种方式相结合。 4 非法外联 要求能够对终端计算机的非法外联行为进行控制，实时检测内网用户通过调制解调器、ADSL、无线网卡等设备进行拨号，当有拨号行为后，系统自动报警并进行阻断。支持自动发现多网卡行为，可以根据策略进行断网。能够对终端计算机的访问互联网能力进行检测，一旦发现有访问互联网能力可以根据策略进行断网处理。 5 地址绑定 要求支持对终端计算机MAC、IP地址、主机名、网关地址、网络掩码、DNS地址及IP地址获取方式(静态、DHCP)绑定。任何一个参数发生改变，系统将自动报警，报警后自动恢复原有配置，管理员可以批量修改终端的网络掩码、网关地址及DNS。 ＊ 6 共享管理 支持检查终端计算机共享文件夹功能，可以禁止使用默认共享和用户自建共享文件夹，可强制终端用户以只读方式进行共享，并可自动将策略下发之前的可写共享强制为只读共享。 7 外设管理 要求对外接设备进行控制，控制外设接口的使用，启用或禁用软驱、光驱、U盘、USB接口、打印机、PCMCIA设备、智能卡设备、Model、串口、并口、1394接口、红外接口、蓝牙设备、无线网卡、冗余网卡、CD-RW刻录机等，并且可设置设备操作权限。要求能够对设备的使用权限进行管理，只有在管理员许可的情况下，才可以对设备的使用进行操作。 8 防病毒软件监控 要求能够对当前主流防病毒软件（至少10种）的安装和运行进行监控，并且可以对防病毒软件的病毒库更新状况监控，根据策略对不更新病毒库的终端计算机进行报警、本地提示、阻断网络以及关机等多种处理方式。 ＊ 9 进程管理 要求采用进程、服务黑、白、红名单方式对终端计算机进行管理，黑名单：禁止在计算机上运行黑名单中定义的进程和服务，白名单：只允许运行系统及白名单中所定义的进程和服务，红名单：如果不运行进程红名单的进程、服务将进行隔离处理(断网保护、关机)。 ＊ 10 性能监控 要求对主机的性能进行监控，包括CPU、内存、磁盘和网络流量等。可以设置阈值，当上述资源超过设定阈值后，应支持系统报警和关机等多种处理方式。 ＊ 11 移动存储管理 要求对全网使用的移动存储介质做统一管理，禁止未经过注册的移动存储设备在内网中使用。 ＊ 对移动存储设备进行安全级别划分，级别不同或者级别不够，不能正常的访问使用移动存储设备。 要求能够支持移动存储设备在线认证和本地认证两种方式。 能够支持对移动存储数据的使用次数和使用时间进行控制，超过使用次数后，或者超过使用期限，可以限制移动设备的读写以及是否允许使用。 能够支持对移动存储数据进行透明加密，避免由于移动设备丢失，造成移动设备内重要数据外泄。 操作系统只能识别安全U盘的引导区，引导区从芯片上作只读处理，无法对引导区进行格式化及写入操作。 数据区至少具备普通数据存储区及专用区，可为专用区设置访问密码。 普通用户无法进行操作日志删除操作。 安全U盘必须可接受终端管理系统统一管理，在系统管理系统中，可指定安全U盘数据区的读写权限。 12 补丁管理 要求支持Windows系统补丁和应用程序补丁，如各种Windows操作系统安全补丁以及Office等应用程序更新补丁，能够进行索引文件更新。 要求支持补丁测试功能，对新下载的补丁进行真实环境的自动测试，测试完成后确认补丁安全再在指定时间后大面积下发补丁。 13 网络管理 要求能够自动发现网络内所有