指标项

功能描述

基本要求

基本要求

1.       在柳州市工人医院联软LV7500准入控制系统上增加永久用户授权500个点位。在桌面管理系统上增加永久用户授权500个点位。共1000个点位的用户授权。

2.       柳州市工人医院联软LV7500原有3000点位的一年维保和软件升级服务。

网络环境支持

1.       支持混合厂商大规模网络环境，例如Cisco、H3C、华为、锐捷等厂商的网络设备环境；

2.       支持跨越路由器、VPN、防火墙等复杂环境；

网络接入场景

网络接入场景支持

1.       支持对PC、瘦终端、哑终端、无盘终端工作站等设备通过网线连接交换机接入企业内部网络时进行准入控制；

2.       支持对手机、PAD、笔记本等移动设备通过无线以太网卡连接WLAN接入企业内部网络时进行准入控制；

3.       支持终端设备在外部互联网环境通过VPN手段接入企业内部网络时进行准入控制；

4.       支持多个终端设备通过同一个HUB接入企业内部网络时进行准入控制；

5.       支持设备通过路由器等设备进行NAT转换IP后接入企业内部网络时进行准入控制；

6.       支持根据网络设备、用户、部门、网段、IP地址灵活配置接入管控策略；

7.       支持有客户端、无客户端、Portal等方式接入；

准入控制技术

准入方式

1.       支持基于802.1x的网络准入方式，包括有线环境802.1x与无线环境802.1x，对于有线环境支持802.1x下发ACL特性；

2.       支持LAN/WAN/VPN/HUB等环境下的网络准入控制；

3.       支持端口镜像方式准入；

4.       支持Portal方式准入；

5.       以上技术，需要支持无客户端和有客户端方式。

终端发现和识别

1.       系统能够即时发现接入网络的终端，信息包含：接入设备IP、接入设备MAC、接入的交换机端口、使用设备的用户。

2.       系统能够准确的自动识别常见的Windows、Linux、MAC OSX、IOS和Android系统，并可以生成易于管理的树形结构设备列表。（提供系统截图）

3.       系统能发现网络中常见的IOT设备，需要至少支持：无盘终端工作站、打印机、网络摄像头、IP电话。同时能够根据终端行为进行设备自动分组。

终端在网安全检查

1.       支持对在线终端的网络流量、上网特征实施检查，一旦行为发生异常，需要立即隔离出网络；

2.       支持对指定终端的心跳进行检测，一旦发现心跳中断，需要立即隔离出网络；

3.       准入系统能够检测出通过IP／MAC伪装方式接入网络的行为，并将伪装终端隔离出企业网络。

准入流程控制

未安装客户端

1.     支持对未安装客户端的电脑进行自动重定向式引导，提醒并帮助用户自助安装（需要提供系统截图）；

2.     支持HTTP协议、HTTPS协议的页面重定向、发送Email邮件等形式进行引导；

3.     支持对企业内部指定的免检设备通过IP或MAC地址进行准入放行操作；

4.     支持通过OS内置客户端的设备进行准入认证；

5.     支持通过浏览器访问页面进行准入认证；

已安装客户端

1.     支持对已安装客户端的设备进行身份认证，允许合规用户接入网络；

2.     支持LDAP、AD、内置账号、Mail、数据库等不同的身份认证源；

3.     支持对检查过程中存在安全漏洞的计算机，隔离出工作网络，并提供修复区，引导用户自助修复；

用户准入认证

1.     需要支持身份验证凭据（USB-KEY或AD账号）与计算机MAC地址、接入交换机端口号、客户端软件随机认证码、终端硬件唯一ID、认证用户等进行灵活绑定，并可以满足一对多、一对一、多对一、多对多绑定；

2.     用户账号由信息科在系统中心分配和进行权限管理。用户如需要访问医院网络，必须通过账号在已授权的终端上登录认证后才能访问医院的网络资源。且已登陆账号可注销。

3.     进入医院网络后的用户行为进行网络访问日志记录，包括访问时间、登陆终端、访问内容、操作行为等进行日志记录，管理员可以对访问日志记录进行按终端、用户、时间等条件进行查询和统计，并可打印及导出，以达到对用户访问医院网络的行为进行管理的目的。

4.     可以批量导入用户账户。

5.     可向用户提供自助更改密码服务。

准入安全检查

1.     可检查接入帐号的合法性，接入的硬件信息，包括MAC地址、主机硬件标识等；

2.     接入设备的安全设置，防病毒软件的安装与更新信息，必须要支持现有防病毒客户端的准入检查；

3.     Guest来宾账户检查、弱口令账户检查、AD域用户检查、共享目录检查；

4.     系统补丁检查、注册表项检查、文件要求检查、软件配置检查、软件组配置检查、准入客户端的软标签

违规外联

违规外联

1.     能够针对违规外联终端进行即时断网，并能够实时通知管理员。

2.     准入设备能够支持按照用户角色定义，限制员工的内网访问的地址范围，防止其越权访问操作。

准入控制绑定

1.     支持终端信息与用户信息、网络设备信息一对一绑定，校验绑定认证；

2.     支持用户和MAC地址绑定；

3.     支持用户和交换机端口绑定；

4.     支持用户和接入控制点绑定；

5.     支持在无线802.1x准入环境下用户和ssid绑定；

6.     支持在无线802.1x准入环境下MAC和ssid绑定；

7.     支持通过excel导入导出方式维护绑定对应关系；

入网权限控制

1.     准入系统能够根据用户、部门和设备设置接入网络访问权限；

2.     权限控制需要支持交换机、无线AC、自主的硬件网关；

3.     准入系统能够自动判断打印机、网络摄像头、IP电话，并对这些设备进行自动入网授权，入网权限按照设备类型分配，实现最小化（仅访问实际需要访问的资源）。

4.     能够区分同一用户使用客户端和使用Web认证的网络访问权限。以免权限释放过大（提供系统配置截图）；

移动终端准入

移动终端准入

1.       准入系统支持PAD、iPhone、Android常见移动智能终端接入。

2.       使用Web认证方式，需要具备一次认证多次有效，要避免用户频繁的输入账号密码方式，在保证体验的前提下，同样需要保证接入安全。

访客管理

访客管理

1.       准入系统支持访客接入，提供页面填写申请单方式。访客系统支持：自助接入和审核接入模式，以满足不同的管理需要。（需要提供系统配置截图）

2.       准入系统能够根据访客类型进行网络动态授权。确保访客网络访问权限最小化。（需要提供系统配置截图）

3.       准入系统能够提供驻场外协用户接入，并可以根据外协公司设置网络访问权限。（需要提供系统配置截图）

设备私接管理

NAT设备

具有NAT设备管理功能，能支持对全网NAT设备进行发现和NAT设备定位，并形成NAT设备统一列表,同时能够显示出NAT设备下所接终端类型，能够支持禁止、恢复NAT设备以及NAT下所接终端接入网络。

Hub管理

1.       能够发现内网私接的Hub、傻瓜交换机等非网管设备，当多台计算机通过Hub接入网络时，能够及时产生告警通知管理员，并记录所接入交换机及其端口。

2.       管理员能够通过准入设备禁止Hub下联计算机接入网络。

3.       支持非网管设备下多个终端需分别认证才能入网和只需一台认证即可全部入网两种认证机制。

兼容性

兼容性

1.       准入系统需要兼容主流网络设备，802.1x和Portal技术至少需要支持：思科、华为、华三、锐捷、迈普五个常用品牌的网络交换机和无线AC、AP设备。（需要提供使用客户案例）；

2.       准入客户端需要兼容企业常用的操作系统，WindowsXP／7／8／10，MacOSX、Ubuntu桌面系统、IOS、Android（需要提供客户端运行截图）；

3.       准入需要要支持与深信服上网行为系统对接，可以实现单点登陆；

易用性

易用性

1.       能够针对不同的角色或设备类别有选择的开启入网审核功能，待审核的用户或设备必须经过管理员审批才能入网。

2.       系统应自带帮助功能，以帮助管理员对系统的理解和操作；

3.       系统应该提供的接入记录应该清晰显示：接入状态、接入时间、接入用户、接入设备。接入失败的记录需要提供详细的失败原因，管理员可以快速判断失败原因；

可靠性

可靠性

1.       系统需要支持双机部署方式，确保高可用性；

2.       主备服务器的数据需要时刻保持一致，数据同步时间应低于30秒，以确保备机能够及时代替主机运行；

3.       系统需要支持自动／手动的应急方式，系统检测到运行中出现的异常和故障需要能够自动应急，确保企业网络的可用性；（需要提供简要说明）

4.       系统需要提供本地备份、网络备份和异地备份方式，在系统出现故障后，能够快速恢复到最近的备份状态；

5.       系统能够对自身的运行状态进行健康检查，并定期提供检查报告，可以用于系统巡检；

桌面管理

配置变更

4.       配置变更告警：支持客户端所有的软/硬件变更检查及告警；

5.       支持分析包括CPU、内存、显卡、光驱、硬盘、主板、网卡在内的硬件变更信息；

6.       支持分析除windows补丁外所有软件或特定软件的变更信息；

7.       支持批量下发文件或程序至指定文件夹；

软件分发

4.       软件分发支持带宽优化及控制、支持各种格式安装包，支持Multicast方式的分发以节约带宽；

5.       支持常见软件的静默卸载；

6.       支持字体分发；

7.       支持控制分发时间段，避免工作时间带宽占用；

8.       支持控制软件下发的文件夹；

9.       可设置是否静默安装所下发的软件；

10.    对于分发和安装情况能够及时显示详细信息，包括已成功分发的百分比及需要补做的百分比等；

资产采集

1.       支持终端软/硬件信息、服务信息、进程信息采集；支持终端计算力评估；

2.       支持采集主板、BIOS信息、CPU信息、光驱、硬盘信息、显卡信息、声卡信息、网卡信息、显示器信息、内存信息；

远程协助

1.       远程协助，可设置是否需要经过终端用户同意；

2.       远程监控，管理员直接上到终端用户系统界面，不需要终端用户同意；

3.       请求协助，终端用户可主动请求管理员远程协助；

4.       可设置远程协助时用户是否可以使用键盘与鼠标；

5.       多对一协助，多个管理员可同时对一个终端用户进行协助；

6.       协助消息，在远程监控与协助过程中，管理员可与用户进行消息对话；

7.       远程截屏，在远程监控与协助过程中，管理员可对终端桌面进行截屏操作；

8.       待处理请求:此处可以查看申请远程协助请求的请求人详细信息，以及管理员可以对此次请求做出“协助”、“拒绝”、“导出”的动作；

9.       远程协助历史:可查看远程协助的历史详细信息（包括由管理员发起的、客户端发起的）；

10.    远程协助：支持带宽自动优化功能；支持远程传送文件功能；服务端和客户端都能主动发起呼叫；

11.    支持对管理员的远程会话审计/录像审计功能；

节能管理

1.       节能管理：支持终端闲时节能措施；

2.       支持闲时（鼠标/键盘长时间未操作）终端关机、注销、锁定、重启、睡眠、休眠、关闭显示器等操作；

3.       支持终端解除节能申请；

4.       支持能耗报表统计；

资产管理

资产管理

1.       自动搜集安装了管理软件的终端软、硬件信息，并按照指定的条件进行统计汇总，导出报表；

2.       终端的硬件或软件的配置发生变化时，要求自动告警；

3.       可以批量导入或自动生成资产编号；

4.       可以通知终端用户自行录入资产编号；

5.       可以定义通知范围，并自动判断已经绑定资产编号的设备不通知。

6.       可自行添加删除设备资产的属性条目，包括：设备照片、设备地点、到保日期、备注信息等；

7.       添加的资产属性条目可选择：图片、日期、文本等格式。

8.       实现资产生命周期的所有状态管理，包括从采购、领用到报废清理整个过程的动态管理；

9.       包括采购、库存、领用、维修、借调、报废等环节；

10.    记录并展示资产的履历信息，提供资产的维修、变动、状态、报废等记录信息，实现资产的使用人、硬件变化历史记录等；

11.    支持终端硬件、软件资产变更告警并审计；

12.    提供资产的相关提醒信息，包括：过保信息提醒，归还提醒，维修提醒等；

工具箱

1.       支持在终端提供工具箱服务，包括但不限于文件迁移、垃圾清理、文件删除、大文件查找、截图等办公常用工具；

2.       支持对工具箱内进行自定义编辑，可随意增删修改可用工具；

消息广播

1.       能实现信息发布功能，在网页上发布系统调整、网络变更或机房设备关停、会议通知等广播信息；可设置消息期限

2.       可给指定的IP范围、网段、部门、设备分组或所有代理发送广播信息

3.       提供管理员消息发布渠道，包含通知频率、通知时间段、通知框属性（窗体大小、置顶、关闭）等控制；

软件商店

软件发布

提供标准AppStroe发布流程，包含图标、推荐、置顶、可见范围等功能元素；

软件下载

提供便捷入口，通过代理软件直接搜索软件进行安装下载；

软件评价

提供终端用户评价功能，并做自动统计；

软件更新

提供已安装软件更新功能；

移动存储介质管理

U盘管控

1.       管理员可定义是否允许读、写U盘上的文件；

2.       禁用USB设备时不包括禁止USB键盘和USB鼠标

3.       支持对移动存储介质使用的审计功能，包括IP、 操作时间、插入时间、拔出时间、计算机名等

注册U盘

提供终端自主注册流程，提供按设备、部门、用户等多组合使用范围控制；

加密U盘

1.       提供AES256、国密SM4算法加密程序，可对市面移动存储介质进行安全性质加密；

2.       可支持任意加密算法定制；

专用U盘

1.       提供AES256、国密SM4算法加密程序，支持任意大存储进行加密，并突破文件系统，支持PB、EB级超大文件，

2.       支持任意多文件/文件夹，支持超20亿次随机读写磁盘扇区；

3.       支持管理员密码找回；

非法外联控制

非法外联控制

1.       提供终端设备的外联接口进行安全管控，包括但不限于红外、蓝牙、软盘、光盘、串口、并口、网络接口、USB接口以及其他外联设备；

2.       提供智能设备连接控制，禁用时可提供充电服务；

3.       支持终端连接互联网的审计和控制；

4.       支持禁用终端电脑共享WiFi热点；

5.       提供U盘内可执行文件控制，避免U盘自运行程序；

终端审计及控制

上网管控

1.       支持对客户机的网络访问范围进行设置，只允许客户机访问设定范围内的计算机。

2.       支持审计与禁止Web访问行为；

3.       支持对网站进行分类、并定期更新后导入；

4.       Web访问与上传，支持http、https的URL访问控制；

5.       支持对访问的域名进行检测；

6.       支持对论坛发帖内容进行敏感内容检测；

7.       支持论坛发帖内容审计；

8.       支持对网页上传附件进行审计并留档；

9.       支持IP/MAC地址、计算机名绑定功能，避免出现IPMAC地址冲突、计算机名重复的情况发生；

邮件管控

1.       支持对Outlook、Foxmail等邮件客户端审计和控制；

2.       支持指定收件人/抄送人、标题关键字、正文关键字、附件关键字等进行定点审计，精确邮件发送审计范围；

3.       支对WQQ邮箱（Web）、网易邮箱（Web）等进行审计和控制；

即时通讯管控

1.       提供QQ各版本聊天内容控制并审计，并支持文字、图片、文件独立监控；支持外发文件敏感检查；

2.       提供客户端版/web版微信聊天内容控制并审计，并支持文字、图片、文件独立监控；支持外发文件敏感检查；

3.       提供阿里旺旺的聊天内容控制并审计，并支持文字、图片、文件独立监控；支持外发文件敏感检查；

4.       支持即时通讯关键字（实现and or、按照部门或群组设置不同的关键字）告警；通过邮件进行告知管理员；

5.       支持能够根据通讯时间、通讯工具、设备名称、用户名称、通讯帐号、通讯昵称、通讯群号、设备MAC、设备IP、聊天对象等进行聊天内容查询以及文件记录查询，并且能够根据组合条件进行查询。

文件操作管控

支持管控终端上的文件操作，对通过剪切版（复制剪切）、导入导出、读写（文件资源管理器）等行为，文件源或目的为本地硬盘、移动存储介质（U盘、移动硬盘、SD卡）、网络共享、mstsc远程桌面或其他存储设备，可以进行禁止、审计、备份等管控操作；

FTP管控

支持对终端进行FTP操作时，对FTP站点的登录，站内文件的上传、下载、删除、重命名或其他操作，可以进行禁止、审计、备份等管控；

组策略

提供与Windows组策略相同的显示效果及功能控制；如：计算机配置、用户配置、Windows设备等；

安全检查

1.       系统账户检查：可对系统账户进行如下检查：是否启用Guest帐户、弱口令、屏幕保护口令、检查密码持续未修改时间；

2.       加入AD域检查：检查终端用户是否加入AD域；

3.       共享目录检查：检查终端用户是否共享目录，是否共享任意用户可读目录；

4.       系统补丁检查：可以设置检查指定补丁或者是指定级别以上的系统补丁

5.       可疑文件、可疑注册表项检查：可以检查指定的可疑文件或者是可疑注册表项，以此定位可疑设备

6.       支持对软件黑白名单进行检查；

7.       支持对系统注册表、文件、系统、进程、服务进行任意逻辑组合的检查；

8.       支持基于脚本语言的检查；

9.       支持定期清空在管理客户单上被终端用户保存的用户密码；

10.    支持对计算机名称是否符合规则进行检查；

11.    违规客户端，桌面管理系统设置客户端告警预案和事件处理预案中设置访问控制动作，包括：桌面管理系统代理阻止终端访问网络；

终端安全策略管理

策略管理功能

1.       策略缓存功能：终端脱网或网络环境变化的情况下，管理策略仍然生效；

2.       策略漫游功能：终端脱网或网络环境变化的情况下（如OFFICE、VPN、会议室模式），管理策略可以根据最初设定的变化后环境的策略生效，即多模式策略；

3.       策略统一管理：可统一管理(修改、查询、打印)所有策略；可查看各种策略配置情况；查看具体设备配置了那些策略；

4.       策略执行计划：支持工作时段，可定义上下班时间策略；

防病毒检查

1.       提供主流防病毒软件检查，包括软件版本、杀毒引擎版本、病毒库更新；

2.       可以控制终端用户安装的防病毒软件，以及防病毒软件的版本控制；

3.       可以控制终端用户防病毒软件病毒库的更新日期；

4.       全新防病毒库检测策略架构，可以任意扩展支持任意防病毒软件并且无需升级安全助手；

5.       内置主流防病毒软件（不少于5个）模板；

防火墙

1.       防火墙为双向防火墙，能对终端向外访问与对外提供的服务分别控制；

2.       防火墙提供自定义协议与服务端口，支持TCP、UDP、RDP、HTTP、FTP、共享；

软件黑白名单

1.       支持通过进程名称、进程文件属性（产品名称、公司名称、描述、源文件名、内部名称）、进程文件CRC值、进程文件MD5值、软件名称、目录名称、进程签名等方式对进程黑白名单管理；

2.       支持通过进程名称、进程文件属性（产品名称、公司名称、描述、源文件名、内部名称）、进程文件CRC值、进程文件MD5值、软件名称、目录名称、进程签名等方式对进程运行状态进行监视

Windows本地安全策略

1.       支持禁止修改注册表、禁止修改网络属性、禁止设置TCP/IP属性、禁止设置固定IP等

2.       支持对系统服务的启动类型进行设置

主机监控审计

提供主机终端变更审计，支持操作系统日志审计、操作系统账户变更审计、支持系统服务变更审计、支持系统驱动变更审计、支持自启动项变更审计、支持异常行为审计（口令重试攻击、修改系统账户）等；

终端流程管理

1.       支持基于进程、通讯目标地址、传输协议、通讯方向进行流量控制

2.       支持链接主机链接数；

3.       统计终端所有或指定网络流量；

4.       统计终端ARP广播包、TCP连接数量；

注册表访问控制

1.       支持远程单机或批量创建、修改、删除、重命名注册表的值；

2.       支持任意进程创建、修改、删除、重命名注册表行为的阻止与审计；

产品授权及保修服务

1.       在保修期内，方案提供方应无偿更换由于非人为原因而发生故障的设备。

2.       在保修期内，在接到系统故障通知后，原厂技术人员应做到24小时全天候电话响应，6小时内到达现场，8小时内决定是否24小时内可解决，若24小时内无法解决应免费提供同档次或更高档次备用设备。

3.       购买授权点数后一年内无条件免费软件升级（含软件打补丁和大小版本更新）

4.       方案提供方需与院方配合，根据国家信息安全等级保护制度第三级要求，帮助院方设计、修改安全方案，并且配合完成我院信息系统安全等级保护预定级、正式定级备案工作。

5.       服务台支持，在国内拥有统一的800或400服务电话；