招标信息

入网规范管理系统

指标项

功能描述

平台管理要求

硬件性能要求

具有独立自主知识产权，须为标准机架式硬件产品，1U机架结构；标准配置单电源；标准配置6个1000MBASE-T接口，可配置1个接口卡 每秒事务数（TPS)：≥1700（次/秒），最大吞吐量：≥800Mbps，最大并发连接数：1600（条）。

平台自身安全

1）平台访问控制：支持设置WEB、SSH、SNMP、数据库访问IP范围，限制指定的IP范围内的终端才能通过WEB、SSH、SNMP、数据库等访问平台；

2）▲为加强平台自身安全防护，防范针对默认系统端口的恶意暴力登录，需支持自定义web业务端口、数据库端口、SSH端口；（提供产品功能截图，加盖原厂公章）

3）▲为转移针对平台的恶意攻击，防范针对平台设备的恶意请求，需支持将指定来源（IP，端口）的访问请求转发到指定目的服务器地址；（提供产品功能截图，加盖原厂公章）

4）为防范管理员账号盗用、冒用，需支持管理员登录安全：

4.1）支持配置管理员密码最小长度，最长使用期限，密码复杂度；

4.2）支持配置管理员账户锁定策略，防止暴力破解管理员密码；

4.3）▲支持管理员账户双因子认证，支持使用短信码、Ukey证书作为双因子；（提供产品功能截图，加盖原厂公章）

准入设备管理

1）▲为方便使用平板、智能手机进行准入设备基本操作，需支持移动终端专用管理APP，实现设备快速定位、设备审核、实时报警监控、小助手确认码生成、准入控制器管理、平台基本信息、关机与重启等操作。（提供产品功能截图，加盖原厂公章）

2）▲为了降低管理员学习成本和信息获取难度，提高管理员的运维效率，需支持在首页一键全局搜索，包括但不限于用户、设备、功能菜单、IP地址、MAC地址等，并支持功能菜单收藏功能，把常用功能菜单收藏并统一展示；（提供产品功能截图，加盖原厂公章）

管理员账号管理

1）支持系统管理员、安全管理员、审计员三权分立管理：

1.1）系统管理员（admin），负责整个系统运维，业务配置，策略制定及业务运行数据审计；

1.2）安全管理员（secadmin），负责审核新建系统管理员，设置系统管理员的管辖权限；

1.3）审计员（audit），负责审计系统管理员，安全管理员的操作日志；

2）分权分域管理：支持按照组织架构创建多级管理账户，并分配不同的部门权限，支持根据不同管理员分配不同的界面菜单权限，包括但不限于对菜单的查看、操作等权限；

客户端要求

客户端兼容

▲目前已经完成了部分国产化电脑替代，目前有Windows、统信（银河麒麟）等PC终端，以及智能手机、PAD等移动终端，为满足多类终端的准入控制需求，同时减少成本投入，需要一个管理平台可以同时对Windows电脑、国产化电脑、安卓手机进行安全检查：（提供产品功能截图，加盖原厂公章）

1）支持适配Windows系统电脑，包括但不限于XP、Win7、Win8、Win10、win11，支持认证引导和准入管理；

2）支持适配国产化终端，支持包括但不限于飞腾、鲲鹏、海思等CPU架构，操作系统支持但不限于银河麒麟、统信UOS、中标麒麟、等；

3）支持IOS、Android等移动终端专属客户端；

客户端推送

为减少对员工正常工作的影响，以及实现便捷、快速地客户端安装部署，同时满足未来国产化替代的要求，需支持包括但不限于如下客户端推送方式：

▲1）引导式入网界面安装：开启准入管控后，支持通过浏览器完成身份认证、控件安装、设备注册、安全检查、检查结果展现等全流程引导管理，引导员工完成客户端安装。同时支持在入网web页面检测终端是否安装客户端，并在已安装客户端的情况下，自动引导用户打开客户端,使用客户端完成入网流程；（提供产品功能截图，加盖原厂公章）

▲2）无扰式客户端推送：在未开启准入管控的前提下，支持在不中断现有网络业务的情况下，针对终端访问指定服务器的行为，智能推送客户端下载页面，并可强制完成客户端安装或员工关闭客户端下载界面可继续访问网络；（提供产品功能截图，加盖原厂公章）

▲3）国产化客户端静默推送：支持批量推送客户端到国产化电脑，并进行静默安装，无需人工输入root账号和密码；（提供产品功能截图，加盖原厂公章）

客户端升级

为减少客户端版本升级带来的故障，需支持客户端灰度升级，支持基于IP地址段、终端所属部门进行分批客户端升级；

常用应用收藏

▲为给员工提供便利，解决员工记不住常用业务系统访问网址的问题，需支持定义应用收藏：

1）需支持基于IP范围、终端所属部门等客户端上展示应用系统统一入口，员工通过客户端点击即可打开指定的应用系统界面。（提供产品功能截图，加盖原厂公章）

入网流程管理

准入场景设计

▲为满足不同人员、不同终端类型的入网需求，需支持基于终端属性和角色定义准入场景策略，符合这类定义的终端在接入后，按照场景的执行身份认证、安全检查、客户端安装、注册审核等策略入网并获得网络访问权限：（提供产品功能截图，加盖原厂公章）

1）需支持基于终端属性定义准入场景策略，包括不限于按IP地址、终端类型、指定终端、终端部门、操作系统，

2）需支持基于终端角色定义准入场景策略；

3）需支持多种条件组合精确定义准入场景的应用对象；

入网界面管理

支持终端用户通过浏览器发起HTTP请求、HTTPS请求时自动重定向到指定的入网流程界面，引导员工一步步地完成身份认证、客户端安装、安全合规检查、注册审核等入网流程；

支持按终端IP地址、终端类型自定义重定向到指定url;

支持自定义添加需要重定向的HTTP端口、HTTPS端口、重定向的url；

哑终端快速入网

▲目前有打印机、摄像头、考勤机等哑终端，为了实现无需人工对哑终端IP进行例外，需支持基于终端类型自动授信入网，接入后可访问指定的安全域，防止越权访问或哑终端被攻陷后作为跳板攻击其他业务网络；（提供产品功能截图，加盖原厂公章）

自动禁止指定终端入网

▲严禁指定操作系统接入单位内网的安全管理要求，需支持包括但不限于基于操作系统、终端类型等禁止终端接入单位网络；（提供产品功能截图，加盖原厂公章）

终端准入控制

准入控制技术

为适应复杂的网络环境，需要支持多种准入技术：

1）支持包含但不限于透明网桥、VLAN隔离、802.1x、策略路由、镜像流量、ARP、DHCP、portal准入、等准入技术；

▲2）支持多厂商交换机的虚拟网关的VLAN隔离技术，实现无客户端下端口级准入控制；（提供产品功能截图，加盖原厂公章）

3）同时单台准入控制设备支持至少2种准入技术组合使用，以增强环境的兼容性。

802.1x准入技术

1）支持终端认证成功后，下发标准的，或厂商私有的Radius属性 ；

2）支持通过动态授权（CoA）的方式下发VLAN/ACL；

3）支持AD域单点登录，在802.1x环境下，支持安全登录模式，用户使用自己的AD域账户，第一次登录已加域的Windows系统时，先完成802.1x认证，然后自动完成域账户登录到系统，避免第一次无法登录的问题；

4）支持账户、MAC地址与SSID的绑定，只允许账户、MAC地址在指定SSID上认证；

IPv6准入

1）支持在IPv6网络环境的部署准入，对IPv4/IPv6双栈终端接入行为管控，引导终端完成网络接入，适用于客户网络环境存在IPv6网络的场景；

2）▲支持IPv6网络环境下的违规外联行为检测；（提供产品功能截图，加盖原厂公章）

NAT环境下准入

1）支持自动发现NAT设备，并识别终端数目、类型，支持针对不同的IP段内的NAT设备，设置自动阻断或者手动阻断NAT设备入网；

▲2）为避免无线路由器等NAT环境下终端管控失效，需支持NAT环境下终端的精准管控，实现NAT环境下每台终端都需要经过入网管控；（提供产品功能截图，加盖原厂公章）

多管控模式切换

▲为便于管理员进行紧急管理措施，需支持多管控模式一键切换，包括但不限于如下管控模式：（提供产品功能截图，加盖原厂公章）

1）管控模式：开启管控模式，即对管控范围内的终端进行准入管控；

2）逃生模式：开启逃生模式，即放开对终端的准入管控；

3）实施模式：开启实施模式，终端访问被阻断URL，会推送客户端安装页面，管理员可强制终端安装客户端完成入网，也可允许终端继续访问网络；

4）合规模式：合规模式下，只有终端安检不合规，被隔离，或存在违规行为（IP/MAC绑定违规，指纹违规）等情况禁止访问网络，其他终端可以正常访问网络

智能逃生机制

支持包括但不限于如下逃生机制：

1）支持在管理页面启用逃生模式；

2）提供外部监测程序，发现设备异常后自动启用逃生模式，并发出告警通知;

3）支持自动应急逃生方式，系统检测到设备运行中出现异常和故障能够自动逃生；

人员身份认证

身份认证方式

为落实实名制入网，平台需支持多种身份认证方式：

1）支持包含但不限于：本地账号密码认证、LDAP/AD认证、UKEY用户认证、手机短信账户认证、Mac地址用户认证、指纹认证、联动第三方Radius认证、联动外部邮箱认证。支持从AD，LDAP，钉钉，飞书，企业微信等系统同步组织架构，同步用户账户及相关属性；

2）支持用户使用已登录的钉钉/飞书/企业微信APP扫描PC入网页面的二维码，授权PC认证入网；

▲3）为解决钉钉、企微扫码认证不稳定的问题，需支持统一代理认证，实现在无需设置钉钉、飞书、企业微信等服务器为白名单服务器的场景下，支持PC通过上述APP扫码完成认证；（提供产品功能截图，加盖原厂公章）

4）支持用户使用手机登录钉钉/飞书/企业微信后，通过准入微应用完成手机认证入网；

关键资源二次认证

为保障关键业务资源的安全，终端入网后访问网络内的关键资源时需支持二次身份核实：

1）支持通过服务器IP，域名，端口定义关键业务；

2）支持通过手机APP扫码，或重新输入密码完成二次身份认证；

手机快速入网

为方便员工手机可以快速接入网络，需支持但不限于以下三种手机快速入网方式：

▲1）手机扫码入网：用户在PC上通过客户端认证入网后，打开客户端的授权入网页面二维码，手机扫描二维码即可完成认证接入网络；（提供产品功能截图，加盖原厂公章）

▲2）手机按压指纹入网：支持使用移动设备的生物指纹功能完成准入入网身份认证；（提供产品功能截图，加盖原厂公章）

PC终端安全检查

Windows电脑安全检查

1）支持不少于30个终端安全检查项，包含但不限于杀毒软件检查、域用户检查、远程桌面检查、系统补丁检查、软件黑白名单检查、必装软件检查、屏保检查等；

▲2）为了确保对Windows操作系统终端进行更细致的安全检查，支持自定义安检项，通过检测终端文件、指定文件版本、大小、MD5，注册表的项、注册表值，进程、服务状态进行检查。支持灵活的对终端进行安全检查和修复，通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。（提供产品功能截图，加盖原厂公章）

▲3）支持针对电脑未设置开启密码、密码弱口令进行检查，针对对存在弱口令的用户可提供弹窗引导修改，支持自动修改成管理员指定的口令。（提供截图，加盖厂商公章）

国产化电脑安全检查

1）无需额外部署产品，即可支持对Linux类型的终端、银河麒麟、统信等国产操作系统终端进行安全基线的检查，让终端在接入网络前保证其安全性和合规性要求；

2）支持不少于25个终端安全检查项，包含但不限于杀毒软件检查、域用户检查、远程桌面检查、系统补丁检查、软件黑白名单检查、必装软件检查、弱口令检查等；

▲3）支持自定义定义检查项，支持检查文件是否存在，文件大小，文件md5等（提供产品功能截图，加盖原厂公章）

Win系统补丁管理

按微软官方公告以月为周期发布补丁库，支持自动更新或手动上传补丁文件，支持进行补丁检查、补丁修复、补丁安全及修复统计；

移动存储介质管理

移动存储介质管理

为了避免电脑上随意读写移动存储设备，导致敏感信息数据泄露，病毒或木马引入等风险，支持规范移动存储介质在电脑上的使用，包含对USB设备进行注册、审核、例外、插拔审计、使用控制、分区加密、设置密码访问、USB设备与终端绑定等。

违规外联管理

违规外联监管

1）支持检查Windows国产化电脑是否存在违规外联上网行为（访问的地址为非定义的内网地址范围）并进行告警、断网等自动处置，如通过3/4/5G等无线网卡、代理、USB网络共享、连接非法的无线网络SSID等违规外联行为；

2）支持检测终端在访问互联网时，是否使用规定互联网出口线路，避免终端用户私设线路连接到互联网，防范安全风险；

智能网络切换

支持智能网络切换，禁止终端同时连接内网、互联网，防止终端被植入木马后，被互联网上的恶意人员操控，作为跳板，攻击内网终端或服务器。

资产管理

网络资产识别

1）支持通过主动扫描或被动流量监听的方式，根据内置的指纹规则库或者自定义指纹库，自动对网络内的非PC资产进行识别并分类，可识别包括但不限于PC电脑、智能手机、交换机、网络安全设备、摄像头、打印机等资产；

2）支持通过主动或被动方式采集设备特征形成终端唯一标识，并支持自动或手动绑定终端唯一标识，实现终端设备防伪冒；

网络设备运维

1）支持以telnet/ssh/snmp等方式自动发现和管理网络设备，获取网络设备端口状态及配置，自动绘制网络设备拓扑图；

2）▲为管理员落实网络准入管控措施提供信息与便利，需支持包括但不限于如下图形化管理方式：（提供产品功能截图，加盖原厂公章）

1）支持展示端口UP/DOWN，VLAN，类型，是否启用802.1X等信息

2）支持开启/关闭全局802.1X、开启/关闭端口802.1X、修改端口VLAN；

终端准入快照

▲为便于管理员进行故障排查和定位，需支持记录终端7天内的准入状态快照，快照内容包括但不限于终端上线时间、阻断或放通、IP地址、接入位置、认证时间、认证账户、安检规范及结果、可访问域、下线时间等终端准入状态信息。同时支持在同一界面上集成基于web的ping、路由追踪、抓包、网络测试、获取终端日志等常规运维工具；（提供产品功能截图，加盖原厂公章）

软件/消息分发

1）支持给Windows、Android终端推送消息通知，并支持设置消息在终端桌面上的存活时间；

2）支持给Windows、Android终端批量分发软件；

报警管理中心

自定义报警规则

为了及时监控设备各项运行状态，支持管理员自定义报警规则，可以监控系统、网络、终端和资源四大事件，可以定义报警级别、报警方式、报警沉默周期、生效时间和联系人。

自定义报警模板

系统至少内置30+报警模板，可以允许管理员编辑邮件标题、邮件内容和短信/即时通讯软件告警内容。

多种报警方式

为了及时通知报警内容，报警方式支持但不限于短信、邮件、钉钉、企业微信和飞书等方式。

产品资质要求

授权和售后函

提供原厂的项目授权函和三年质保的售后函。

网络安全专用产品证书

▲所投产品经过公安部计算机信息系统安全产品质量监督检验中心的安全检测，符合《信息安全技术 网络安全专用产品技术要求》和《信息安全技术 终端接入控制产品安全技术要求》（第三级）中的安全要求，并获得公安部颁发的《网络安全专用产品安全检测证书》（终端接入控制三级）。

中国国家信息安全产品认证证书

▲所投产品具有《中国国家信息安全产品认证证书》