网络安全准入系统

网络安全准入系统网络安全准入系统 产品清单产品清单 序号 1 2 1.1. 网络准入控制管理系统网络准入控制管理系统 品目名称 网络准入控制管理系统 LIS 数据实时备份系统 技术规格 详见附件 详见附件 数量 1 项 1 项 序号序号 1 2 指标指标 品牌型号 硬件特征及 性能要求 ★北信源 VRV-BMG-FY 参数要求参数要求 ★单台最少支持 300 个用户数的并发 ★应具备液晶显示系统，能实时查看设备的CPU 和内存占用情况、系 统运行状态以及设备的网络接口IP 信息。 硬件支持至少 4 个千兆电口 支持至少 500M 的数据吞吐率 单台至少支持双路业务控制 满足 7*24 小时不间断工作，设备无故障运行时间不低于80000 小时 3注册管理支持自定义注册信息，要求可以定义必须填写的注册信息项，可根据 需要启用/禁用自定义项。 要求可根据需要自定义客户端注册的服务端地址，客户端可自动识别 服务端信息并注册。 要求提供终端注册的日志记录功能， 并可根据时间、 设备名、注册者、 IP 及动作等关键字进行记录查询。 ★应能根据准入客户端保活情况确定客户端的事实存在（未被卸载或 者终止进程） ，保活周期应不高于1 分钟（即如若准入客户端被卸载， 1 分钟内就可以发现） ★准入客户端应支持一对多注册功能，即单一的准入客户端可与多台 准入控制硬件设备进行联动，并且可以在每台硬件设备上查看到客户 端的注册信息。 ★要求支持注册审核管理功能，已注册终端必须通过管理员手动审核 通过之后才可以接入网络。 ★要求必须支持针对 IE、 QQ 登陆及弹出窗口等 web 形式的访问提供入 网重定向提示，提示进行客户端注册。 4资产管理要求支持终端硬件资产统计和查询，统计内容应至少包含CPU、内存、 硬盘等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关 外设信息。 要求支持终端软件资产统计和查询，统计内容应至少包含操作系统版 本、操作系统补丁安装情况、IE 版本、主机名称、网卡MAC 信息以及 设备内安装的应用软件使用情况。 ★要求支持设备资产信息变化报警，报警未注册设备、注册程序卸载 行为，实时检测硬件设备变化情况 （如设备硬件变化、 网络地址更改、 USB 设备接入等） 。 必须支持对终端计算机软件安装信息的收集，包括当前软件安装信息 和历史安装信息。 5身份认证与 安全检查 ★要求支持本地认证系统，支持自定义本地用户和密码，支持本地认 证用户自行修改密码。 要求支持与 Radius 认证系统联动进行身份认证，必须支持包含PAP、 EAP-MD5、MD5-CHAP 等加密认证方式。 支持与 AD 域服务器、LDAP 服务器实现联动认证，并且支持帐户信息 的自动同步以及导入导出； ★要求支持与 CA 认证系统联动实现身份认证，必须支持当前主流 CA 厂家的认证配套流程 ★要求支持认证超时机制，超时帐户强制自动登出，要求超时时间可 以自行配置。必须支持帐户超期统一登出机制，登出时间可根据需要 自行设置。 要求支持帐户尝试登录限制，要求尝试登录次数可进行配置，尝试登 录失败可锁定帐户，锁定时间可按需配置。 ★要求支持帐户角色绑定功能，不同用户帐户继承所属角色的访问权 限以及安检要求。 ★要求支持安检规范定义配置功能，可根据角色属性定制不同的安检 规范，安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、 系统共享资源检查、IE 主页修改项检查、guest 来宾帐户启用情况检 查、远程桌面启用情况检查、系统启动项检查、系统进程检查等。 ★要求支持安全域控制功能，可根据角色属性定制不同的安全域，用 户认证成功后，安全域角色控制功能自动生效，相关角色帐户只能访 问指定的安全控制域。 要求支持认证日志记录和查询功能， 可根据认证帐户、 认证起止日期、 认证起止时间、 认证动作行为以及 IP 地址等组合因素查询认证日志信 息。 ★要求支持未认证通过用户入网时进行阻断，能够提供web 重定向提 醒，并说明入网阻断原因。 ★要求支持对身份认证通过后的用户终端进行安全检查，并对安检进 度提供进度条提示， 未通过安检的终端给出未通过项提示并阻断入网， 支持安检未通过一键修复功能。 6准入控制要求支持基于源 IP 设置准入控制白名单，并且支持基于源IP 设置准 入控制流程。 ★要求支持基于目的 IP 设置准入控制白名单， 对白名单范围内的目的 IP 不进行准入控制。 ★要求必须支持串接和镜像监听部署模式。 ★要求必须支持支持策略路由、旁路干扰、透明串接、虚拟网关等多 种准入控制模式。 ★要求支持基于终端心跳和终端水印认证双重准入判断，自动发现采 用 NAT 模式入网的终端并强制认证。 ★要求支持准入策略制定功能,可根据访问 IP 源、目的域以及准入流 程进行策略制定，目的域需是IP、端口以及目录的组合 ★要求支持准入流程差异化控制，可根据准入策略控制终端仅注册、 仅认证、注册及认证、注册认证及安检等差异化准入控制策略。 ★要求不依靠准入网关实现未安装桌面安全管理软件终端不能访问已 安装桌面安全管理软件终端的功能，但已安装桌面安全管理软件的终 端之间可以实现互访。 ★要求必须支持认证的终端在发生违规操作时必须二次认证。 要求支持对路由、无线、AP、HUB 等环境下的终端实施准入控制，支 持对 IPHONE、IPAD 等非 windows 操作系统的终端实施准入控制。 要求支持采用丢包、ACL、 TCP 连接干扰以及动态 VLAN 切换等方式实 现准入控制 7交换机管理★应能提供管理交换机的模拟视图，根据交换机的端口数量自动生成 交换机的模拟视图，并能通过交换机模拟视图确定端口的物理开启 / 关闭情况。 ★应能提供交换机端口的统计列表，统计内容包含交换机端口名、初 始 VLAN、当前 VLAN 以及端口的开启/关闭情况。 ★应能针对具体的交换机端口手动配置端口的当前VLAN 以及 VLAN 的 映射关系， 当终端所在交换机端口处于某种状态时可自动将端口VLAN 切换到映射 VLAN，支持一键初始化交换机所有端口VLAN。 8访客控制要求支持外来终端或者访客初次入网阻断，并给出入网指导提示 ★要求支持外来终端或者访客自助申请上网码，只需要提供管理员要 求提供的入网申请资料，便可申请上网码，要求支持管理员自定义入 网申请内容。 ★要求支持访客自助查询上网码功能，访客提交入网资料并经管理员 审批通过后，可以自助查询上网码。 ★要求支持访客上网码自动分配和手动分配模式， 针对手动分配模式， 可提供访客申请入网邮件提醒功能。 ★要求支持访客上网码短信审核功能，管理员无需登录管理平台，只 需回复短信就可以对访客入网进行审核。 要求支持设置访客入网的截止时间，时间截止后自动阻断访客接入网 络。 ★要求支持访客超时帐户处理，对于超时访客帐户，可设定自动清除 机制，到期自动删除超时访客帐户 9系统监控要求支持对系统本身业务接口的连接状态以及接口速率进行监控，支 持对系统本身的 CPU 以及内存使用率提供仪表盘式图形化实时监控数 据，支持数据自动刷新。 支持根据时间段对终端在线情况提供趋势图表，可以根据终端注册状 态进行区分显示，支持最近