附件1:
内网管理系统升级增加点数和技术指标要求:
一、升级现有北信源内网管理系统,许可协议600个。
二、在原有基础上增加700个许可协议。
三、参与投标系统需在本院实地测试运行通过。
四、详细技术参数
1.要求投标产品为具有成功实施案例的成熟产品,基于C/S、B/S混合管理模式构架,方便对网络中Windows系统客户端及本系统进行管理。
2.系统必须支持主流的桌机操作系统:WIN98/WIN2000/WIN2003/WINXP/WIN VISTA版本。 3.管理构架上支持采用分级部署、分级管理和集中管理相结合的方式,管理模式为“下管一级”。 4.级联网络,要提供上级直接查询下级数据的功能。
5.支持中央汇总、区域本地分布式报警方式相结合的管理机制,不同级系统逐级汇总网络设备变化、违规行为、系统运行状况异常信息,方便网管人员进行查询。
6.要求支持多级级联管理,至少支持三级以上多个管理控制台的数据级联上报和安全策略的下发执行,独立管理网络要求达到支持5000台以上计算机的管理,本次购买1300台计算机的管理许可,其中600台是已有终端升级部署,并分别做报价体系。
7.客户端终端安全管理软件要求能与现有协和医院本部客户端终端安全管理系统兼容,实现已部署的终端自动升级,实现全区终端的统一平台管理。
8.系统要求提供安全策略制定功能,根据终端安全防护需要提供安全策略(全局策略、本地策略、备份策略)。
9.策略制订后,能够自动分发至网络中所有注册终端,根据策略类型决定如何执行。 10.策略需支持上级锁定并强制下级执行,下级无法修改。
11.可以定义策略执行的网络环境,如在特定网络中策略有效或无效。
12.系统要求支持管理网络终端软硬件资产:采集客户端的硬件设备信息(诸如硬盘、CPU、内存等)、位置信息(设备名称、使用人、联系电话、房间号等),注册后存储到数据库中;可自动发现客户端安装的软件,将所有相关数据入库管理;支持在管理中心对注册客户端进行联机卸载。
13.系统要求支持设备资产信息变化报警,报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB设备接入等)。
14.必须支持对终端计算机软件安装信息的收集,包括当前软件安装信息和历史安装信息。 15.要求支持硬件接口控制,控制外设接口的使用,管理员启用或禁用软驱、光驱、U盘、USB接口、打印机、Model、串口、并口、1394接口、红外接口等。
16.要求支持桌面流量管理,对网络客户端流量进行监控报警,客户端输入或输出流量超过设定阈值时报警,对可疑发包(蠕虫病毒等)行为、多并发连接进行检测、断网,防止非法入侵、滥用网络资源、感染病毒后影响网络正常工作。
17.支持对全网联网计算机的流量统计和流量排名,标示是否发包可疑和当前并发连接数。 18.要求支持进行软件黑白名单管理,网管制订各种黑白名单策略后,报警处置客户端中安装运行的非法软件。
19.要求支持进程执行黑白名单管理,对及时结束非法进程,如QQ、MSN、炒股等,搜索病毒、木马等可疑程序。
20.针对绿色免安装软件,要求能够识别软件的产品名称和源文件名,即使进程名称发生改变也能进行管理和控制。
21.必须具备禁止、允许指定软件在注册表启动项、注册表服务项、(开始)程序菜单中添加相关值和快捷方式。
22.要求支持进行客户端防病毒软件管理,能够识别市场上多种常见杀毒软件,监控防病毒软件在客户端的安装情况、实时运行情况,对没有安装或升级、实时运行杀毒软件的计算机进行处理,如告警、断网,并以图表的形式直观显示,报警未安装、未运行杀毒软件客户端。 23.能够对计算机上的病毒入侵源进行辅助分析和定位,并能够对以定位客户端进行远程提示或阻断。
24.要求支持客户端防火墙功能,对客户端进行端口访问控制、ICMP控制、IP地址访问控制,由管理员制订统一策略在客户端执行。
25.灵活设定管理监控策略,对不同的组设定不同的管理监控策略,实现灵活多变的管理;同一个的客户端可属于不同的多个组,可同时实施多种分组策略
26.客户端系统具有自我防护机制,防止用户随意停止、卸载,在正常模式和安全模式下均提供主机安全代理自身防护功能。并可防止用户停止代理进程、破坏代理运行目录和相关文件、停止代理相关服务。
27.支持IP地址与MAC地址的捆绑功能。
28.支持对客户端不同路径下的不同文件的保护(读取、修改、删除)等操作进行限制或禁止, 29.系统客户端和服务器端相互通信使用双向认证机制,防止已安装同类客户端的非本网络计算机非法进入网络,同时也防止模拟的假客户端和服务器进行通信。 30.要求支持对客户端进行系统安全性检查,包括:
注册表检查:检查注册表键或者键值是否符合某一条件,对不符合检查要求的键值进行添加或删除;
保护注册表,使其不被未授权用户或恶意程序修改;
用户密码检查:检查系统用户、网络共享、屏幕保护等密码是否符合规范; 用户权限检查:监控系统用户及用户组增加、减少的变化。
31.要求支持桌面消息通知并回馈,向客户端发送请求重新注册、客户端代理程序升级等消息;能够查询消息回馈情况,了解消息通知接收效果。
32.要求支持终端点对点信息远程管理功能,诸如屏幕查看、抓包分析、运行进程查看、当前开放端口察看、安装软件审核、漏打补丁查看、终端安全审计、客户端网络配置修改等信息。 33.对客户端的所有用户口令进行检查,并可以自行添加弱口令列表,如果发现系统存在弱口令则进行上报,并进行相应的提示。
34.要求支持对网络中客户端流量进行监控报警:对客户端设备流量进行采样并实时排序,监视网络的异常流量和异常连接,客户端输入或输出流量超越管理员设定阈值时报警,对可疑发包、可疑并发连接进行阻断,防止非法入侵、滥用网络资源。
35.要求支持对重要主机进行运维监控,支持对客户端硬盘、CPU、内存等系统资源应用状况的监控,在超过管理员设定阈值时自动报警。
36.要求支持系统重要进程、服务器、软件等的运行监控,对关键进程、关键服务进行保护,并在其发生死锁时自动恢复。
37.要求支持对重要服务器、路由器、交换机等网络设备的保护,有效保障网络的稳定运行。 38.系统必须支持远程文件备份机制,要求把指定的文件在规定时间间隔内备份到指定服务器。 39.要求系统支持管理员多路呼叫帮助平台,每个管理员可同时对多个用户提供远程帮助。 40.要求支持监控网络中客户端的非法外联行为,实时检测内部网络(包括物理隔离和逻辑隔离网络)用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为,并远程告警或断网。
41.支持对终端PC远程开关机;
42.支持监控已注册的设备网络连接行为,如改变网络地址接入其它网络,根据接入网络环境因素判定其是否非法接入其它网络。
43.客户端非法外联支持详细记录非法上网计算机的名称、单位、上网方式,可以在报警平台和报警查询中获知信息,并且可以对客户端进行提示信息,自动关机,断网等处理。 44.必须支持是否允许使用代理服务器上网的控制。
45.要求支持对互联网补丁进行增量分离下载,经过病毒检测后将补丁导入内网,建立、更新内网补丁库。
46.要求支持按照不同类别对补丁进行归类(系统补丁、IE补丁、应用程序补丁以及网管自定义补丁组等),并详细列表补丁信息。
47.要求支持其他非Windows系统补丁,如各种应用程序更新补丁,用户可以自定义索引文件。 48.要求支持补丁闭环自动测试功能,对新下载的补丁进行真实环境的自动测试(管理员选定测试组计算机),测试完成后确认补丁安全再在指定时间后大面积下发补丁。
49.要求支持客户端补丁自动检测,在内网中建立补丁检测网站,客户端用户访问网站后,Web网页自动检测显示客户端补丁安装信息,用户可进行手动(批量)补丁下载安装;管理员可以在管理平台上点对点远程检测客户端补丁安装状况。
50.要求支持补丁分发策略制定,支持用户自定义补丁策略并自由分发,基于客户端网络IP范围、操作系统种类、补丁类别、风险级别(系统补丁、IE补丁、应用程序补丁以及网管自定义补丁组等)等制定策略,发送至客户端后统一按策略执行应用。
51.要求支持补丁自动分发安装,在指定时间、指定网络范围内以不同方式(如推、拉)分发补丁,或者根据脚本策略统一控制客户端下载补丁。当系统监测到有客户端未打补丁时,可对漏打补丁客户端进行推送补丁。
52.要求支持补丁分发流量和并发连接数控制,支持补丁下载代理转发,以免占用太大带宽,影响网络正常工作。
53.对于长期不打补丁的客户端,要求支持通过补丁管理系统阻止其接入内网的行为;对新接入网络的计算机要求立即安装补丁,否则阻断其入网。
54.要求对网内计算机的补丁安装情况进行整体收集,补丁下发完成后要有信息回馈,便于查询并导出报表。
55.系统能够以数字和图表方式提供统计报表,提供日志及相关报警信息报表,提供自定义编辑报表,支持支持Excel导出
56.要求支持分发普通文件到客户端计算机,在分发软件包时要求能够定义软件安装成功的标志,以便准确了解软件下发后安装情况,并且可以指定软件安装的系统用户类型。 57.投标产品应具有公安部颁发的销售许可证书。 58.投标产品应拥有国家认证的自主知识产权,并能提供相关证明。
