镇江市地方税务局网络准入控制软件采购要求概要.docVIP

第四部分 镇江市地方税务局网络准入控制软件采购要求 为了提升镇江市地方税务局网络安全管理水平，加强信息资产管理能力，准备实施网络安全管理项目，采购并部署一套集网络准入控制、桌面管理和资产管理为一体的准入控制软件。 镇江地税的网络环境状况和项目建设目标 镇江地税网络环境为覆盖全市的市县两级广域网系统，同时市局的网络又分为通过网闸设备隔离的内外网，市区部署了windows域环境，辖市（区）局没有部署域环境。此次项目要求覆盖以上全部网络。 具体拓扑图 详见招标文件 建设目标 要求在广域网基础上建设以网络安全管理系统为支撑平台的网络准入控制和桌面管理架构，要求每台接入到内网的终端设备都要纳入安全评估和加固管理，并能自动生成设备的资产管理信息，其终端许可数目为1500个。 管理服务器和Radius服务器集中部署在市局，实现对市局所有终端和用户的集中管理和控制，内外网分别部署两套环境。 部署的系统采用完备的冗余等保障措施，确保现有业务的稳定、安全和持续。 产品要求 软件产品必须是国产具有自主知识产权的产品，必备获得国家知识产权管理部门授予的软件著作权登记证书 软件产品必须获得公安部颁发的计算机信息系统安全专用产品销售许可证和国家保密局涉密信息系统产品检测安全证书 产品一经购置后可以终身使用，不得含有任何使用年限的限定,授权包含所有相关的内外网两套服务器软件系统和1500个客户端,使用USB KEY等硬件狗加密技术的硬件狗应该终身免费提供更换 软件产品必须是模块化集成了网络准入控制、桌面安全管理和资产管理功能的统一品牌软件产品，不得含有第三方软件作为功能补充。 所提供的软件必须是市场销售的正常最新版本，不得为任何形式的简化或定制版本 提供成熟度较高的产品（第一个版本发布至今的时间，以著作权登记证书为准） 产品必须支持802.1X或类似准入控制技术，且同时支持H3C和CISCO公司的交换机，不是仅采用ARP或DHCP方式的准入控制 软件产品必须满足以下功能和技术要求： 模块 序号 软件功能和相关要求 技术要求 备注 总体要求 1．1 所有的管理功能必须支持浏览器客户端实现，不需要专用管理软件和控制台 现场演示 1．2 所有报警信息可以通过MAIL、MESSAGE、手机短信向相关管理人员实时报警 1．3 各种策略配置要具有充分的灵活性 1） 能够依据终端设备或者用户的属性来决定是否要应用某个策略，例如：用户所在的部门，终端设备的IP、MAC，所有设备组等； 2） 能够依据终端设备的所在的场景：在线、离线、上班、下班等条件决定终端需要应用某个安全策略。 3）制定策略时提供参考设备信息以简化配置 4）允许特权用户和例外设置 现场演示 1.4 产品要能支持多级网络应用环境 能够进行多级部署 2）提供完备的用户权限配置 3）有代理机制，可以通过在下级区域设置代理或中继服务器减少网络带宽占用 演示用户权限配置 准入控制模块 2.1 基于802.1x的LAN、WLAN、WIFI接入准入控制 1）必须同时支持H3C和CISCO等公司的网络设备，支持动态VLAN切换； 2）支持无线传输动态密钥加密； 3）支持两家以上的主流无线控制器厂商 现场演示 2.2 基于EoU认证的网络准入控制 能支持HUB、VPN、WAN、无线AP等各种接入方式的准入控制，在HUB接入交换机的情况下，要能对HUB上的每个终端单独进行接入控制。 现场演示 2.3 准入认证凭据要支持微软AD、LDAP的用户密码认证；支持X.509的数字证书认证；支持对终端的硬件ID验证，要能有效防止通过伪造合法MAC、IP、盗用用户名密码方式接入网络。 要求支持准入控制绑定以下类型ID： 硬件ID（MAC+主板+硬盘+CPU） 代理ID（每次安装代理时，要求随机产生不同的ID） 现场演示 2.4 紧急情况下支持逃生模式，允许电脑设备直接接入网络 2.5 有便利的接入故障排查功能 在一个管理页面中分析清楚以下所有信息： 1、电脑从哪台交换机的哪个端口接入的； 2、电脑的IP、MAC、主机名、用户名； 3、电脑的用户名密码是否正确； 4、电脑的安全策略设置是否正确；5、电脑的接入时间 2.6 访客管理功能 1）访客可以分布在不同的地理位置和不同的VLAN中； 2）支持通过HTTP和POP3方式提醒访客输入访客码，或提醒未安装Agent的终端安装Agent； 3）访客放行管理，访客可以通过在提醒的WEB页面中输入合法访客码后访问网络，或者通过访客管理员输入管理员账号和密码予以放行。 4）放行的访客有时长限制，可以是小时、天数限制，放行的访客有审计纪录。 现场演示 2．7 检查接入的机器是否存在一些主机安全漏洞，如有则切换到修复区进行修复。 检查安全项目有： 杀毒软件程序、病毒库版本、杀毒引擎 计算机帐号是否弱密