“桌面管理系统”招标文件.doc

内网安全系统招标文件一、 投标要求：1. 投标说明1.1 提请卖方仔细阅读招标文件的全部条款，并做出明确响应。1.2 招标文件中带“*”号的条款及要求，投标方必须满足，若有一项不满足将导致废标。1.3 投标方递交文本投标文件的同时，需提供与投标文件内容一致的备份软盘或光盘一张。2. 投标报价要求投标报价为设备到需方指定地点的价格（应含运保费、集成、调试费等）。3. 投标方的资质要求*3.1具有独立法人资格，企业财务状况良好、注册资金三百万以上；*3.2具有国家信息产业部颁发的计算机信息系统集成三级以上认证资质。*3.3投标方为代理商的必须提供产品制造厂商对本项目的授权书；以上资质证明均须提供有效原件复印材料并加盖公章。4. 产品及产品制造厂商的要求：*4.1 产品须同时具备：中华人民共和国公安部的计算机信息系统安全专用产品销售许可证、中国国家保密局测评中心颁发的涉密信息系统产品检测证书、中国人民解放军信息安全测评认证中心颁发的军用信息安全产品认证证书。*4.2 产品的制造厂商必须通过CMM3级以上认证。二、 招标货物名称、数量序号设备名称单位数量备注1内网安全系统个8000福建省*系统内买断三、 技术规格及要求：1. 对产品的技术要求端口控制USB口设置启用或者禁用，启用时能监控USB设备的接入状态串口设置启用或者禁用并口设置启用或者禁用红外接口设置启用或者禁用PCMCIA设置启用或者禁用1394口设置启用或者禁用第二块网卡接口设置启用或者禁用无线网卡接口设置启用或者禁用PCMCIA设置启用或者禁用DVD/CD-ROM设置启用或者禁用外设控制与管理* USB设备及移动存储设备当USB口启用时，可单独控制U盘、移动硬盘、SD.MS/MMC.SM.XD等移动存储设备为启用、禁止、备份日志、备份全文、自动加密、只读。当USB口启用时，一些特殊设备如USB-key、需要驱动的数码相机、MP3等可以单独控制人体工程学设备：当USB口禁用后，能识别USB鼠标、键盘并可单独控制USB打印机：当USB口禁用后，能识别USB打印机并可单独控制其它设备均禁止* 打印机管理对本地和网络打印机可以设置使用、禁止及监控。打印时保存有关日志（用户名、文件名、份数、时间等）,并可对记录进行模糊文件名查询。并且能够记录打印的内容。软盘设置启用、禁用、只读、并可监控记录CD/DVD-ROM设置启用、禁用、只读IDE硬盘可禁止新插进的计算机硬盘SCSI硬盘可禁止新插进的计算机硬盘网卡可监控新插进计算机的网卡MODEM可禁止或允许通过MODEM、无线等方式拨号外联，并有记录及报警 涉密介质管理集中管理涉密介质，经过认证的USB存储设备才能进入网络正常使用。文档安全服务* 基于进程的透明加解密的被动加密功能实现对客户端文件的强制加密功能。对文件的加密技术是基于进程标记的方式,不受文件类型、进程名称的限制,但对本机用户透明；对客户终端上 文件的强制加密策略由管理员在管理服务器上集中控制；软件必须能防止“块拷贝”，防止从打开的密文文件中将机密数据以块拷贝的方式转移到未受保护的文件中；不能通过网络邻居的方式共享加密文件；软件应具备文件带出的审批流程。* 基于文档的主动加密功能实现对文档的主动加密功能。通过注册认证的合法用户，可以在任意一个文件上单击右键选择“文件加解密”调出文档安全服务功能界面。针对不同安全需求，可选择以下各加密方式确定有权解密查看文件的用户范围，包括：个人加密；小组用户加密；公共用户加密；跨域个人加密。审计功能*网络行为日志包括：网络层事件、HTTP事件、SMTP事件TELNET 事件、FTP访问事件、WEB/BBS事件、MODEM拨号事件、SMTP发件人日志*打印机使用日志提供使用打印机的使用时间、用户名、IP地址、打印文件名*文件操作监控对所有移动存储介质（光驱、软驱、U盘等）上的文件的操作（R、W、X、修改）进行监视，日志尽量明晰简洁；并可对记录进行模糊文件名查询。* 脱网使用日志当客户端脱网后，日志保存在本地，且不能被修改或删除，联网后，日志自动上传至服务器终端信息保护系统保护对关键的应用程序、注册表防篡改禁止端机共享将文件共享关闭，可有选择的对打印共享放开客户端运行状况监控系统进程信息可查询终端计算机上运行的进程，包括进程ID和进程名网络端口信息可查询终端计算机上开放的端口，包括本地端口、远端端口等，监控服务信息*客户端资源使用可查看终端计算机内存、硬盘的使用状态系统设置变更监控安装卸载程序：可以发现客户端已安装的软件程序，以及发现和禁止违规使用的软件禁止修改IP地址：禁止修改并报警，防止内网计算机连入其他非涉密网。可以通过绑定交换机端口来实现硬件变更监控对计算机系统各硬件变更的报警与禁用，如硬盘、网卡、内存等硬件变更报警和禁用禁止非法设备接入对未经授权的移动存贮设备接入进行报警并禁止（或只读）服务状态监控服务是否工作正常合法在线主机发现已安装客户端的计算机能显示是否在线，并记录计算机登录和下线时间特殊情况处理对因特殊情况违反安全策略的行为，经管理员确认后，可以不报警。尤其是不安装客户端的行为。计算机在线时间可记录计算机上线和离线的状态和时间IP-MAC地址绑定可以对客户端进行IP-MAC地址绑定和禁止修改IP，并当有修改行为时，做实时报警可信终端经过认证的终端才能通过认证接入网络。非法外联* 非法外联禁止内网计算机通过任何方式上互联网，如有违例，主动禁止，并禁用联网设备，且记录、报警（最高级）非法接入非法主机接入发现对未授权的计算机接入网络进行实时报警和阻断。对于非法复制IP、MAC，通过同一端口上网的主机能够识别并报警非法主机接入网络要能发现非法主机连接的交换机端口，找到其确切位置，并记录日志系统信息资产管理* 硬件信息可查询系统信息，包括CPU、内存、硬盘、网卡。* 软件信息可查询操作系统、用户、用户组、已安装的程序生成资产台帐报表可根据需要生成资产报表策略发布实时性策略发布后，对客户端机器实时有效分组策略可根据部门、客户端等灵活地下发策略批量发布可逐个发布或群发脱网策略离线状态下发布策略在线后生效限时有效可下发时效性的临时策略本地存贮客户端脱网后，策略依然有效，日志保存在本地并加密存贮，且不能被修改或删除；联网后，日志自动上传至服务器离线策略对于未上网客户端，其在离线状态下，策略依然有效安全模式在不带网络连接的安全模式下登录系统时，策略有效未登录状态系统未登录状态，策略依然有效报警信息报警信息查询报警与日志分类存入，可根据用户需要灵活地查询各种操作日志和报警信息重要违规行为实时报警对非法外连、非法接入、硬件变更、网络设置变更等重大违规行为实时报警系统维护对于防火墙的兼容软件是否可以兼容硬件、软件防火墙软件升级不需要重新安装，远程自动升级网络连接能对特定计算机断开/恢复网络连接* 对系统安全模式的支持产品在系统安全模式下能正常使用系统管理* 分级管理可设多级管理中心，上级中心可下发策略模板，下级中心根据模板设定自己的策略* 角色分配设立系统管理员、日志管理员、督察员等角色，分别行使权限，相互监督系统安全性管理权限实现专人专职：将管理员、操作员、审计员角色分开客户端无法卸载客户端代理程序进程自动启动，不会被发现、中止、和卸载（ 无法通过添加/删除程序，以及修改注册表进行中止和卸载）数据备份与恢复提供数据备份的策略* 数据传输的安全客户端与服务器间的传输进行加密报表审计资产查询客户端有关硬件信息报警信息表对重大的违规信息提供报表。可分类或分部门管理员行为审计表对系统管理员行为进行监督稳定易用稳定性策略发布稳定有效，上报信息简洁迅速，系统长时间运行稳定可靠，无死机现象客户端客户端程序不能占用过多的网络和系统资源，不会降低原系统的正常运行效率中心端界面友好，操作便捷，查询方便，系统稳定反应时间策略生效和上报报警信息迅速兼容性与应用软件、硬件及操作系统（最新补丁）等环境无冲突四、 售后服务和技术支持1. 卖方对其提供的设备（包括所有零配件）为制造厂家提供免费保修时间为准。在保证期内，如果软件设计厂家对买方购买的软件有了升级版本，卖方应及时通知买方，如买方有要求，卖方应向买方免费提供相同功能的系统软件升级和技术支持。2. 卖方安装的任何零配件，必须是其原设备厂家生产的或是经其认可的。所有的替代零配件必须是新的未使用和未经修复的，除非买方提供书面许可，不可使用其他（非新的）配件。3. 保修期内，卖方有责任提供以下形式的技术支持服务：4.1电话咨询：卖方必须为买方提供技术援助电话，解答买方在系统使用中遇到的问题，及时提出解决问题的建议和操作方法电话咨询。4.2现场响应：自收到买方的服务请求起48小时内，若以上两种服务形式不能解决问题，卖方应指派技术人员赶赴现场进行故障处理。遇到重大技术问题，卖方应及时组织有关技术专家进行会诊，并在72小时内采取相应措施以确保系统的正常运行。如果卖方在接到通知后的两个工作日内未作出响应，卖方必须对由于故障所造成的