招标技术指标

内网安全管理产品招标要求

技术要求

（一）分级部署和多级集中管理

1、管理构架上支持采用分级部署、分级管理和集中管理相结合的方式，

管理模式为“下管一级”。

2、级联网络，要提供上级直接查询下级数据的功能。

3、支持中央汇总、区域本地分布式报警方式相结合的管理机制，不同

级系统逐级汇总网络设备变化、违规行为、系统运行状况异常信息，

方便网管人员进行查询。

4、支持扩展建立信息安全管理通告模块（量身定制），提供统一的内部

网络安全信息公告平台。

（二）终端设备接入管理

5、能自动发现整个网络中的终端系统的IP地址、机器名和MAC地址，

允许管理者对终端系统按部门进行登记管理，形成网络基本情况数

据库，生成网络拓扑图，并且要求跨Vlan、跨路由。

6、对新接入网络的设备，不论是否安装个人防火墙要求系统能在15秒

内发现并识别。

7、对网络中的终端的进行注册管理，根据设定的安全策略允许/禁止终

端接入网络，采集硬件设备信息、位置信息。

8、要求支持网络终端IP分组功能，按照不同的区域、部门进行划分管

理组。自动检测网络中IP资源使用情况，列表注册客户端、未注册

客户端及机器在线情况，以取代原始的数据资料记载的手段，增强

设备管理信息的实时性、准确性。

9、支持识别可管理型交换机（可网管），在交换机端口针对终端的具体

连接端口进行关闭和启动，达到控制终端入网通讯的目的（可选），

并可根据网管型交换机生成简单网络拓扑图。

10、要求支持对客户端MAC和IP地址的绑定管理，IP和主机名绑定，

任意其中一个发生改变，系统将自动报警，报警后自动恢复原有IP

配置。

11、要求支持对合法计算机IP地址使用的保护机制，对新接入设备占用

他人IP地址的行为进行自动断网，不影响合法计算机在网络中的正

常使用。

12、要求支持内网完整性管理，对网络中计算机的接入、带出行为进行

报警，并能够自动阻断违规行为。

13、要求支持对未授权的终端设备接入具有阻断能力（不依赖交换机、

路由器），同时提供安全源事件远程阻断，系统在管辖范围内，能够

跨越网段并可以跨VLAN对违规联网的计算机设备进行自动阻断。（三）终端IT资产管理

14、系统要求支持管理网络终端软硬件资产：采集客户端的硬件设备信

息（诸如硬盘、CPU、内存等）、位置信息（设备名称、使用人、联

系电话、房间号等），注册后存储到数据库中;可自动发现客户端安

装的软件，将所有相关数据入库管理；支持在管理中心对注册客户

端进行联机卸载。

15、系统要求支持设备资产信息变化报警，报警未注册设备、注册程序

卸载行为，实时检测硬件设备变化情况（如设备硬件变化、网络地

址更改、USB设备接入等）。

16、必须支持对终端计算机软件安装信息的收集，包括当前软件安装信

息和历史安装信息。

（四）移动存储管理

17、支持对移动存储设备接入管理控制，定义USB标识，根据策略禁止

非法USB存储，支持通过移动存储设备认证方式控制本单位与外来

移动存储设备的接入。

18、支持对移动存储数据的读写控制，审计数据的写入与读出，并可以

根据策略定制进行限制。

（五）统一安全策略

19、系统要求提供安全策略制定功能，根据终端安全防护需要提供安全

策略（全局策略、本地策略、备份策略）。

20、策略制订后，能够自动分发至网络中所有注册终端，根据策略类型

决定如何执行。

21、策略需支持上级锁定并强制下级执行，下级无法修改。

22、可以定义策略执行的网络环境，如在特定网络中策略有效或无效。（六）网络主机运维管理

23、要求支持对网络中客户端流量进行监控报警：对客户端设备流量进

行采样并实时排序，监视网络的异常流量和异常连接，客户端输入

或输出流量超越管理员设定阈值时报警，对可疑发包、可疑并发连

接进行阻断，防止非法入侵、滥用网络资源。

24、要求支持对重要主机进行运维监控，支持对客户端硬盘、CPU 、内

存等系统资源应用状况的监控，在超过管理员设定阈值时自动报警。

25、要求支持系统重要进程、服务器、软件等的运行监控，对关键进程、

关键服务进行保护，并在其发生死锁时自动恢复。

26、要求支持对重要服务器、路由器、交换机等网络设备的保护，有效

保障网络的稳定运行。

27、系统必须支持远程文件备份机制，要求把指定的文件在规定时间间

隔内备份到指定服务器。

28、要求系统支持管理员多路呼叫帮助平台，每个管理员可同时对多个

用户提供远程帮助。

（七）非法外联监控

29、要求支持监控网络中客户端的非法外联行为，实时检测内部网络（包

括物理隔离和逻辑隔离网络）用户通过调制解调器、ADSL、双网卡

等设备非法外联互联网行为，并远程告警或断网。

30、支持监控已注册的设备网络连接行为，如改变网络地址接入其它网

络，根据接入网络环境因素判定其是否非法接入其它网络。

31、客户端非法外联支持详细记录非法上网计算机的名称、单位、上网

方式,可以在报警平台和报警查询中获知信息，并且可以对客户端进

行提示信息，自动关机，断网等处理。

32、必须支持是否允许使用代理服务器上网的控制。

（八）终端桌面安全管理及审计

33、要求支持硬件接口控制，控制外设接口的使用，管理员启用或禁用

软驱、光驱、U盘、USB接口、打印机、Model、串口、并口、1394

接口、红外接口等。

34、要求支持桌面流量管理，对网络客户端流量进行监控报警，客户端

输入或输出流量超过设定阈值时报警，对可疑发包（蠕虫病毒等）

行为、多并发连接进行检测、断网，防止非法入侵、滥用网络资源、感染病毒后影响网络正常工作。

35、支持对全网联网计算机的流量统计和流量排名，标示是否发包可疑

和当前并发连接数。

36、要求支持进行软件黑白名单审计管理，网管制订各种黑白名单策略

后，报警处置客户端中安装运行的非法软件。

37、要求支持进程执行黑白名单审计管理，对及时结束非法进程，如QQ、

MSN、炒股等，搜索病毒、木马等可疑程序。

38、针对绿色免安装软件，要求能够识别软件的产品名称和源文件名，

即使进程名称发生改变也能进行管理和控制。

39、必须具备禁止、允许指定软件在注册表启动项、注册表服务项、（开

始）程序菜单中添加相关值和快捷方式。

40、要求支持进行客户端防病毒软件审计，能够识别市场多种常见杀毒

软件，监控防病毒软件在客户端的安装情况、实时运行情况，对没

有安装、实时运行杀毒软件的计算机进行处理，如告警、断网，并

以图表的形式直观显示，报警未安装、未运行杀毒软件客户端。41、支持记录文件操作，包括的记录文件操作类型：创建、打印、访问、

复制、改名、恢复、删除、移动等；对文件拷入、拷出行为进行监

控，能够基于文件名、文件内容等安全性关键字规则对网络客户端

进行搜索。

42、要求支持审计IE访问记录，检查客户端访问某一特定地址的历史信

息，如访问后的IE缓存、Cookie信息、收藏夹等。

43、要求支持给终端计算机指定允许访问的URL或禁止访问的URL。

44、要求支持客户端防火墙功能，对客户端进行端口访问控制、ICMP控

制、IP地址访问控制，由管理员制订统一策略在客户端执行。

45、要求支持对客户端进行系统安全性审计，包括注册表审计：审计注

册表键或者键值是否符合某一条件，对不符合审计要求的键值进行

添加或删除；用户密码审计：审计系统用户、网络共享、屏幕保护

等密码是否符合规范；用户权限审计：监控系统用户及用户组增加、