第一篇:湘潭市商业银行内网桌面安全管理系统招标书
湘潭市商业银行
招
标
文
件
招标项目: 内网桌面安全管理系统
招标编号: XTCCBK20091201
湘潭市商业银行
2009年12月9日
目 录
第一部分 投标邀请函
第二部分 投标人须知
第三部分
第四部分
技术需求书 投标文件格式
申 明
本招标文件专用于湘潭市商业银行“内网桌面安全管理系统”项目邀请招标,湘潭市商业银行对本招标文件及招标文件内容享有解释权。参加投标单位即视为无条件同意本申明,并保证对本招标文件可能涉及的湘潭市商业银行商业秘密予以保密,除经湘潭市商业银行书面同意外,任何单位和个人不得为参与本项目投标以外的目的而出版、复制、传播、销售及使用本招标文件。
第一部分 投标邀请函
公司 : 根据湘潭市商业银行内网桌面安全管理系统项目的需求,现就湘潭市商业银行内网桌面安全管理系统进行邀请招标,邀请贵公司参加投标。
1.项目名称:内网桌面安全管理系统项目 2.招标编号:XTCCBK20091201 3.招标人:湘潭市商业银行 4.项目实施地点:湖南省湘潭市 5.发放标书时间: 2009年12月9日 发放标书地点: 湘潭市商业银行 6.联系人:鲁宏湘
地址:湘潭市河东大道45号商行大楼8楼
联系电话:0731-58517040 *** 7.投标截止时间:2009年12月17日9时
8.标书递交地点:商行大楼七楼湘潭商行法律事务室
联系人:周晓希
9.开标地点与时间:商行大楼八楼会议室 2009年12月17日9时
湘潭市商业银行 2009年12月9日
第二部分 投标人须知
A说明 1.适用范围
1.1本招标文件仅适用于本次邀请投标中所叙述项目,即“内网桌面安全管理系统项目”。2.定义
2.1“招标人”系指组织本次招标活动的采购机构——湘潭市商业银行。
2.2“投标人”系指向招标人提交投标文件的系统集成商或软件开发商。
2.3“服务”系指招标文件规定投标人须承担的技术服务。3.合格的投标人
3.1投标人必须为具有独立企业法人资格,并具有合法名称、组织机构、固定办公场所,具有良好的技术力量、商业信誉和售后服务体系的系统集成商或软件开发商。3.2投标人需通过湘潭市商业银行的资格预审。3.2 投标人应遵守国家的有关法律。
4.投标费用:无论投标过程中的作法和结果如何,投标人自行承担自己所有与参加投标相关的全部费用。
B招标文件说明 5.招标文件的构成
5.1招标文件用于阐明所需招标项目的软件及服务、招标投标程序和合同条款。招标文件由下述部分组成:(1)投标邀请函(2)投标人须知(3)技术需求书(4)投标文件格式
6.招标文件的修改:招标文件的修改书将构成招标文件的一部分,对投标人有约束力。
C投标文件的编写 7.要求
7.1投标人应仔细阅读招标文件的所有内容,按照招标文件的要求提供投标文件,并保证所提供的全部资料的真实性,否则,其投标可能被拒绝。8.投标文件组成
8.1投标文件应包括下列部分:(1)投标函
(2)法定代表人授权委托书(3)投标详细配置清单与价格一览表(4)技术方案(5)项目实施计划(6)售后服务计划
(7)投标人情况简介(8)投标人资格证明文件(9)投标人承诺书
(10)投标人认为需加以说明的其他内容 9.投标文件格式
9.1投标人应按照招标文件附件中所提供的投标文件格式制作投标文件。
9.2投标人需按照本招标文件规定的功能进行投标。10.投标报价
10.1投标人应在“投标价格一览表”中写明投标项目的各项明细报价以及投标总价。
10.2 投标人按上述条款要求填写报价以便于招标人评标。11.投标人资格证明文件
投标人资格证明文件主要包括以下内容:
(1)有效的企业法人营业执照副本复印件并加盖公章;(2)税务登记证书复印件并加盖公章;
(3)企业法人代码证书或事业单位法人代码证书复印件并加盖公章;
(4)有效的软件开发商或系统集成商资质证书复印件并加盖公章;
(5)投标产品应具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》;
(6)国家保密局颁发的《涉密信息系统产品检测证书》;(7)中国信息安全产品测评中心的《国家信息安全测评信息技术产品安全测评证书》;
(8)非投标人制造的产品须提供原厂商针对本项目的授权;(9)投标人认为其它需要提供的文件和证书。12.投标有效期
投标文件从发标之日起,到开标之日止。13.投标文件的签署及规定
13.1投标应准备一份正本和二份副本和一份电子文档,在每一份投标文件上要明确注明“正本”或“副本”字样,一旦正本和副本有差异,以正本为准。
13.2除投标人对错处作必要的修改外(修改处加盖公章),投标文件中不许有加行、涂改或改写。
13.3电报、电话、传真形式的投标概不接受。
D 投标文件的递交 14.投标文件的密封和标记
14.1投标人应将投标文件正本和副本按要求装入招投标专用袋内并密封(密封处贴封条并加盖单位公章),而且要标明招标编号、投标产品名称。
14.2投标文件袋上注明“于2009年12月17日招标前不得启封”字样。
14.3投标文件由投标人法定代表人或法定代表人授权的委托代理人按规定时间送至开标现场。
15.递交投标文件的时间:2009年12月17日9时整。所有投标文件都必须在上述规定的时间内送至招标人。
16.迟交的投标文件:招标人拒收在投标截止时间后送达的投标文件。
E开标和评标 21.评标原则和方法
21.1 评标委员会对每一个投标条件进行比较。21.2对其内容进行分析比较:(1)投标人整体实力;(2)系统方案;(3)投标价格;(4)技术实力;
(5)投标者的资信情况和履约能力;(6)投标者提供的其他优惠条件。
21.3综合分析比较以上各项,评委将根据上述各项得出评标结论。
22.其他注意事项
22.1评标委员会将按照公开、公平、公正的原则对待所有投标
人。
22.2 评标是招标工作的重要环节,评标工作在评标委员会内独立进行。
22.3在投标、开标期间,投标人不得向评委询问情况,不得进行旨在影响评标结果的活动。
22.4 评标委员会不向落标人解释落标原因,不退还投标文件。22.5在投标、评标过程中,如有投标人联合故意抬高报价或其他不正当行为,招标人有权中止招标或评标活动。
F中标与签署合同 23.定标的原则
23.1严格按照招标文件的要求和条件进行评标,择优定标。23.2本次招标,中标通知书将授予符合招标文件要求,并且价格性能比最优的投标者。24.中标通知
24.1评标结束后,由湘潭市商业银行向中标人签发《中标通知书》。
24.2《中标通知书》将作为投标人中标的依据。25.签订合同
25.1中标人按《中标通知书》指定的时间、地点与招标人签订合同。
25.2招标文件、中标方的投标文件及其澄清文件、承诺书等,-10-
均为签订合同的依据。
第三部分 技术需求书
1、项目概要 1.1概述
随着湘潭商行信息化建设的推进,办公电子化已经普及,网络安全和信息安全引起了我行的高度重视。之前,我行已经对网络的边界安全给予了相当的投入,对来自网络外部的安全入侵可以做到有效的防护,但对发起于我行内部网络的不安全因素还无法做到有效的监控和防范。湘潭市商业银行内网桌面安全管理系统项目的建设主要目标是:
1)信息泄密防护:主要包括移动存储介质、打印机、刻录机、无线网络、邮件、文件操作、即时通讯等泄密途径的控制、监控和审计;
2)内网资源管理:主要包括硬件、软件、带宽、IP地址、交换机端口等资源和资产的管理和控制;
3)系统安全增强:主要包括操作系统安全登录、文件加密、补丁分发、病毒库升级、网络访问控制等安全手段和措施;
4)员工行为管理:主要包括即利用即时通讯工具(QQ、MSN、UC、YAHOO、OICQ)聊天、上网浏览、收发私人邮件、BT下载等网络资源滥用的管理以及游戏、视频播放等系统资源滥用的管理。
1.2总体原则
1)安全性原则:产品应有国家相关安全部门的资质认可,符合国家相关的安全和涉密产品的规范要求。2)先进性、成熟性原则:采用业内最新技术,保证系统在建成后一段时间内不会因技术落后而效率降低,并能够通过升级保持系统的先进性,延长其生命周期,同时又要保证先进的技术是稳定的、成熟的;投标方须有3个以上成熟案例。
3)实用性原则:系统必须保证实用,切实符合湘潭市商业银行内网桌面安全管理的功能要求。
4)易用性原则:用户界面要友好、方便,易于用户掌握、操作和使用。
5)可维护性原则:系统设计便于维护,包括应用软件改进和升级等。
6)扩展性原则:在网络设计时要充分考虑到将来网络、用户数扩充的可行性。
7)经济性原则:在保证系统功能完善、先进、可靠的基础上,降低系统的成本和维护费用。
2、系统技术功能要求
必须达到但不限于以下要求:
2.1部署和权限管理
1)系统构架上要能够支持采用集中管理、分级管理和分级部署的方式,上级可以直接调用查询下级服务器的数据和控制下级服务器策略的功能。
2)要求系统必须能够实现对管理员基于角色方式进行权限设置,可对管理员进行分级的权限设置和管理。
3)要求角色基于分权限管理,按照管理区域、管理范围、管理模块、策略模块等对不同的管理员账户进行分配,可分为系统管理员、安全操作员和安全审计员等多种用户。
2.2审计监控
非法内联
1)要求支持配合网络设备实现用户802.1x协议接入认证 2)要求支持主机在内网中的通信认证加密功能
3)要求能够自动发现接入网络的新设备,同时可对连接到网络中的终端计算机进行注册管理,只有注册的终端计算机才可以接入网络。
4)支持特权地址设置功能,IP与MAC绑定、特权IP、特权MAC。非法外联
1)要求能够对终端计算机的非法外联行为进行控制,实时检测内网用户通过调制解调器(包含3G)、ADSL、无线网卡等设备进行拨号,当有拨号行为后,系统自动报警并进行阻断。支持自
动发现多网卡行为,可以根据策略进行断网。
2)能够对终端计算机的访问互联网能力进行检测,一旦发现有访问互联网能力可以根据策略进行断网处理。
3)要求能够对非法外联行为进行详细记录,包括非法外联的计算机的名称、单位、上网方式,在预警平台进行实时报警。审计功能
1)要求能够对硬件资产的使用进行审计,对硬件资产的变更,在预警平台进行实时报警。
2)能够实现文件审计功能,包括的记录文件操作类型:新建、打印、修改、复制、改名、恢复、删除、移动等;对文件拷入、拷出行为进行监控,能够实现本地硬盘和移动设备进行文件审计。
3)能够支持账户登录控制,防止密码暴力破解,要求支持对用户新建、修改和删除用户等行为做详细记录。
4)能够支持打印审计,应支持对本地打印,共享打印和网络打印等多种打印行为进行审计。应可记录打印者、打印文档名称等。监控功能
1)要求支持对终端计算机MAC、IP地址、主机名、网关地址、网络掩码、DNS地址绑定,任何一个参数发生改变,系统将自动报警,报警后自动恢复原有配置.2)要求支持IP地址获取方式(静态、DHCP)绑定。
3)要求对外接设备进行控制,控制外设接口的使用,启用或禁用
软驱、光驱、U盘、USB接口、打印机、PCMCIA设备、智能卡设备、Modem、串口、并口、1394接口、红外接口、蓝牙设备等,并且可设置设备操作权限。
4)要求采用进程黑、白、红名单方式对终端计算机进行管理,黑名单:禁止在计算机上运行黑名单中定义的进程和服务,白名单:只允许运行系统及白名单中所定义的进程,红名单:如果不运行红名单的进程、服务将进行隔离处理(断网保护、关机)。
2.3安全服务
1)能够远程查看终端计算机运行的进程和服务,且支持远程停止进程和服务。
2)能够远程查看终端计算机开启的共享文件夹,并且可以远程进行停用,支持远程查看系统端口、系统硬件设备、系统用户列表等等。
3)远程修改终端计算机的网络参数,进行网络连接的修复,并且对计算机进行远程注销和关机等。
4)要求能够进行远程锁定键盘、鼠标等输入设备,禁止终端计算机使用。
5)要求远程协助能够支持在线交流互动、远程唤醒、文件传送、消息互动功能、多主机自动连续截屏。6)支持远程软件分发。
7)要求具备在线/离线策略,计算机在线或断开网络后,所设置
-16-的使用权限一样受控。
2.4移动存储管理
1)要求对全网使用的移动存储介质做统一管理,禁止未经过注册的移动存储设备在内网中使用,实现移动介质的准入。2)对内网使用的移动介质可授权部门及主机可用,并可对部门和主机进行混合授权,在未授权的部门和主机不可使用,使用方式可至少设定:只读、读写、禁用。
2.5安全加固
1)要求支持Windows系统补丁和应用程序补丁,如各种Windows操作系统安全补丁以及Office等应用程序更新补丁,能够进行索引文件更新。
2)要求支持补丁分发策略制定,支持用户自定义补丁策略并自由分发,基于客户端网络IP范围(系统补丁、安全更新、应用程序补丁等)等制定策略,发送给客户端后按策略执行应用。
2.6网络管理
1)要求能够自动发现网络内所有网络设备(包括三层和二层设备),通过系统提供的智能学习功能,识别网络的物理拓扑结构,自动生成网络物理连接拓扑图。
2)要求能够支持拓扑图的缩放,并且能够观察全局拓扑。
3)动态显示交换机端口状态、流量等信息,可以设置端口流量阀值,当端口流量超过阀值时以图形方式自动报警,帮助系统管理员监视、分析网络性能。4)动态生成实时网络流量图。
2.7资产管理
1)要求能自动收集客户端的IT资产,能够管理包括物理资产在内的所有资产类型。可自动搜集的资产信息,如:所辖客户端的计算机的底层硬件信息、BIOS参数内容、CPU类型、内存数量、系统信息、操作系统版本、已安装的软件等。
2)系统要求支持设备资产信息变化报警,实时检测硬件设备变化情况(如设备硬件变化、USB设备接入等),自动发现客户端软件安装,并根据变化情况进行报警。
3)要求能够支持对终端计算机软件安装信息的收集,包括当前软件安装信息和历史安装信息。
2.8预警与报表管理
1)要求可以对违规事件行为进行实时报警,通过预警平台,统一显示客户端的违规事件行为。
2)要求报表显示内容应当包括IP、MAC、单位、部门、人员姓名、事件类型、类型说明、事件时间等等。
3)要求安全事件报表应该包括:硬件变化、软件安装、IP地址
变化、非法接入、非法外联、进程控制、开机、关机、硬件变化等等。
4)要求策略部署查询能够对客户端策略模块的部署情况进行查询,明确客户端的策略模块部署情况。
2.9系统安全
1)要求能够查看客户端部署模块的版本信息,方便管理员判断客户端工作情况。
2)要求系统具有备份和恢复机制,能过对系统运行和审计信息进行备份,并且支持恢复功能。
3)要求系统具备自我保护功能,代理的程序和进程可做到多进程守护,在正常模式和安全模式下均提供主机安全代理自身防护功能。并可防止用户停止代理进程、破坏代理运行目录和相关文件、停止代理相关服务。
4)要求客户端和服务器端相互通信使用双向认证机制,需支持数字证书校验,防止已安装同类客户端的非本网络计算机非法进入网络。
3、其他要求
1)投标方提出的方案,在技术、产品层面上应是“整体解决”方案,包括风险分析、产品选型与合理配置,以及
安全策略与安全管理的有机结合。
2)投标方设计方案必须考虑湘潭市商业银行系统实际运行环境、网络现状、可扩充性性等,有阶段有步骤的合理设计。
3)本项目初期用户数预计250个。
4)本项目招标包含软件和硬件设备,请分别列出报价明细。5)提供使用与维护培训。
6)售后维护服务内容与承诺,提供免费维护期的时间,并注明维护期满后的年维护费用。
4、特别说明
1)投标商对上述的功能及要求必须充分阅读和理解、特别要对招标人需求进行充分调研,并承诺完成关键功能。2)在项目实施过程中,应能根据招标人的实际需要进行更改,不涉及结构性的更改,不得另行追加费用。3)本邀标书旨在为投标方提供设计参考,邀标方不承担可能由此引发设计失误的责任。邀标方鼓励投标方发挥自身优势,在全面理解湘潭市商业银行网络现状以及日后扩展的基础上,设计出更合理、更先进、更实用、性价比更优的实施方案。
4)在项目实施过程中,投标人在投标书中承诺的组织及施工人员,必须到位(需要有具体的到位时间表),如有
变动,需征得招标人同意,否则按不执行合同论处。5)湘潭市商业银行内网桌面安全管理系统的产权归招标人所有。
5、计划工期和实施方式
项目实施开始后,在30天内完成。
6、现场工作要求
投标方负责本项目的报价、设计、现场安装、调试、招标方培训和技术服务。包括但不限于以下项目:
1)运输、交货、现场的产品安装。2)提供所有产品的交货和安装进度表。3)现场安装投运的合作和管理。
4)提供所有产品的验收、测试方案和技术指标。5)所有产品将按合同要求进行验收测试。6)提供必备的备件工具等,并保证提供优惠服务。7)提供用于现场安装、检查、测试、操作和维护的手册和图纸。
8)提供培训和技术服务。
7、技术文件及资料
为满足招标产品安装和集成的需要,对必要的产品集成投标方应提出的技术建议书,对招标产品提供完备的技术资料,包括
但不限于下列内容:
1)网络管理系统的总体构成方案。2)详细的技术规范书。3)产品清单及详细功能说明书。4)产品或系统总体描述。5)产品参数。6)运行操作手册。7)其他技术资料和图纸。
8、技术服务
投标人应确保其技术建议以及所提供的软、硬件设备的完整性、实用性,保证全部系统及时投入正常运行。否则若出现因投标人提供的软、硬件设备不满足要求、不合理,或者其所提供的技术支持和服务不全面,而导致系统无法实现或不能完全实现的状况,投标人负全部责任。
系统在验收合格后进入工程维护期,投标方提供不少于12个月的免费维护,维护费用由投标方承担。
如果设备在质保期内发生软、硬件故障,投标人应在2小时内予以响应,若无法远程解决则投标方应在24小时内到达维修现场,否则招标方将自行采取必要的措施,由此产生风险和费用应由投标人承担。
9、人员培训
投标人对招标方人员的培训,应使招标方人员可以独立操
作、维护、管理,从而使招标方人员能独立进行管理、故障处理、日常测试维护等工作,确保系统能正常安全运行。
投标人负责提供给培训人员实际的操作环境和培训资料、提供相应的师资。
投标人在建议书中应提出培训内容和计划,具体培训地点和人次由招标方与投标人协商。
第四部分 投标文件格式
投 标 书
致:湘潭市商业银行
根据贵方“湘潭市商业银行内网桌面安全管理系统项目”的投标邀请,投标人提交下述文件正本一份,副本二份,电子文档一份并保证其真实性。(1)投标函
(2)法定代表人授权委托书(3)投标价格一览表(4)技术方案(5)项目实施计划(6)售后服务计划(7)投标人情况简介(8)投标人资格证明文件
(9)投标人认为需加以说明的其他内容
〔以上各项可根据我行需要酌情增减,但应与招标文件正文中“投标文件的组成”部分要求提供的文件相一致〕 据此函,投标人同意如下:
1.所附投标价格表中规定的投标总价为人民币XXX元,即(文字描述)。
2.我方愿按《中华人民共和国招标投标法》、《中华人民共和国合同法》及相关法律法规履行我方的全部责任。
3.投标人己详细审查全部招标文件,包括修改文件以及全部参考资料和有关附件,无其他不明事项。
4.投标人同意提供贵方要求的与其投标有关的一切数据或资料,完全理解招标人在招标文件中确定的评标原则和程序,并理解贵方不一定要接受最低报价的投标。
投标人法定代表人姓名、职务(印刷体): 投标人名称: 单位公章:
法定代表人或授权代理人签字: 日期: 年 月 日
投标人情况简介
1.名称和概况:
A.投标人名称: B.地址:
邮编: 传真/电话: C.成立日期或注册日期: D.法定代表人或主要负责人姓名: 2.财务数据:
A.注册资本: 3.业绩或服务的情况:
4.所属集团(如有的话):
5.其它情况(组织、机构、技术力量、参与本项目的实施人员情况等)
法定代表人授权书
湘潭市商业银行:
本授权书声明:注册于(国家或地区的名称)的(公司名称)的在下面签字的(法人代表姓名、职务)代表本公司授权(单位名称)的在下面签字的(被授权人的姓名、职务)为本公司的合法代理人,就(项目名称)的投标,以本公司名义处理一切与之有关的事务。
本授权书于 年 月 日签字生效,特此声明。
附全权代表情况:
姓名: 性别: 年龄: 职务: 详细通讯地址: 电话: 传真: 邮政编码:
投标人名称(加盖公章): 法人代表签字: 被授权人签字: 日期:
第二篇:内网安全管理系统软件技术要求
附件二
内网安全管理系统软件招标技术要求
一、产品总体要求
1、公司的资质:公司成立10年以上,具有自主研发能力,有成熟稳定的研发队伍的软件行业企业。
2、产品资质要求:必须是自主研发,稳定销售8年以上;拥有自主知识产权,通过公安部检测,获得公安部销售许可证,至少拥有以下资质证明: 公安部《计算机信息系统安全专用产品销售许可证》; 国家版权局颁发的《计算机软件著作权登记证书》; 国家版权局颁发的《计算机软件产品登记证书》;ISO9000质量管理体系认证。
3、产品实施简单,可操作性强,实施后必须保证网络稳定畅通,系统正常运行,不影响正常开展工作。
4、*至少有五家500点客户的安装实施经验。
5、有丰富的行业客户服务经验,能提供后续技术支持和维护更新等服务。
二、技术规范要求
2.1 系统要求
▲客户端操作系统支持包括:Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必须同时支持32位及64位系统。
▲所有监控功能都能按计算机和用户两种模式实现。
▲必须支持瘦客户机、终端服务器、无盘工作站等的使用模式。
*监控系统的部署必须支持多种安装方式,包括web安装、域脚本安装、远程安装以及域组策略安装等。
*必须提供分布式服务器管理功能,并且需要支持跨区域部署管理。*必须隐藏客户端进程。
*支持与AD域的结合,可与域组织架构实时同步。管理端必须支持C/S架构登录。
客户端在离线情况下,控制及日志记录功能依然生效。
附件二
2.2 功能要求
2.2.1 基本功能
能获取计算机的基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息,以及计算机多用户登录信息的查看。
▲支持增加管理员账户并对账户权限可实现细化,如管理范围、功能权限。同时可对非系统管理员的账户可禁用、删除以及修改密码,方便权限回收。
*必须具备管理员以及审计员账户,且相互独立,并且能够提供记录管理员操作的审计平台,包括管理员登陆系统,查看日志,对内网计算机的控制等等。
*支持对各终端所设置策略的总览以及对策略的应用查询方便管理员掌握终端的策略情况,同时具有对策略的导入导出功能及复制功能。*支持邮件报警功能,可以将违规行为详细记录为日志形式并通过邮件发送至指定邮箱。*支持设定自动关机功能,提供在指定时间关机、注销及重启的功能
支持按工作时间段进行策略设置,灵活管理。
支持远程对计算机进行键盘鼠标操作锁定、关闭、重启、注销和发送通知信息等。支持对3g上网卡拨号的日志记录。
2.2.2 基本控制功能(包括基本模块及设备管控模块)
能控制计算机对本机系统设置的操作权限,包括以下多项属性,并且各项可以单独控制: *IP/MAC绑定:修改网络IP/MAC配置
控制面板:控制面板、设置屏幕属性、添加打印机、删除打印机、快速切换用户。计算机管理:设备管理器、使用磁盘管理、本地用户和组、系统服务管理、其它计算机管理。
系统:任务管理器、注册表编辑器、命令提示符、运行注册表中Run下的程序、运行注册表中Run Once下的程序
网络:修改网络属性、显示网上邻居、修改Internet选项、默认网络共享、使用网络共享、增加网络共享
其它:使用print screen键复制屏幕、系统还原、Windows自动更新
▲可以控制内网计算机对常用设备的使用权限,支持对刻录机可读不可写的控制
存储设备包括:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡,MO,Zip)、便携设备(智能手机)等;支持对上面各项的单独控制。
通讯设备包括:串口、并口、USB 控制器和连接器(HUB)、SCSI接口、1394控制器红外线、PCMICA卡、蓝牙设备、MODEM、直接电缆连接、拔号连接等;支持对上面各项的单独控制。
网络接入设备:包括无线网卡,pnp网卡,虚拟网卡等;并且可以对它们单独控制。其它:声音设备,虚拟光驱,任何新设备等的使用。
▲支持USB设备的细分控制,即以下每项可单独控制,支持3G上网卡的控制。USB设备:USB 键盘、USB 鼠标、USB Modem(3G上网卡)、USB 映像设备、USB CDROM、USB 存储、USB 硬盘、USB 网卡、USB其他USB设备;支持对上面各项的单
附件二
独控制。
*支持禁止增加非系统硬盘。
*支持对Iphone等便携式设备的控制 *支持对任何其他外设的控制
*支持对无线网络的连接控制,限制禁止连接的无线网络。
对计算机的硬件变化,设备的插入拔出,存储设备变化,通讯设备变化,软件变化,系统服务变化,启动项变化,系统时钟变化,计算机名称变化,网络配置变化等能提供报警信息并作为日志记录。
2.2.3 移动存储控制
支持对内网计算机控制其对指定移动存储设备的读写权限。支持自动收集客户端上使用过的移动存储信息,并可以自定义添加备注信息。同时支持移动存储分类库,允许对移动存储进行自定义分类,按类库进行管理。支持可按照对移动存储的描述进行控制。
支持所有通过USB接口方式连接计算机的存储设备。
支持在指定计算机上使用制定移动存储设备时,自动对复制/移动的文件进行加解密控制,加密后的文档只允许在具有自动解密权限的客户端计算机处才能打开,否则打开为乱码。
支持将指定移动存储格式化成加密盘,只能在内部装了客户端的计算机处正常使用,非客户端计算机无法使用。
能够记录内网计算机使用移动存储设备的情况;包括操作时间,操作类型(插入/拔出),计算机、用户、移动存储类型等。
2.2.4应用程序管控
支持通过禁止应用程序分类或禁止应用程序名称、应用程序窗口标题的形式来禁止计算机使用非法程序。
针对应用程序更改名称或路径的情况,所做的控制必须依然生效。能自动收集客户端计算机运行过的应用程序,并支持分类管理。
支持记录所有应用程序的启动/关闭、窗口的切换标题动作;并可以按时间范围,计算机范围,应用程序名称,应用程序路径、窗口标题这几种查询条件查询。
支持通过自定义的时间范围,对单个工作人员,部门,或整个网络的计算机的应用程序使用情况进行统计;
统计结果必须有列表和图表两种显示方式;
统计方式必须包括是:按应用程序类别统计、按应用程序名称统计、分项统计(统计各组计算机的应用程序使用),按明细统计等。
2.2.5远程维护
支持远程查看网络内的客户端计算机当前运行的应用程序,进程,性能,设备管理,系统服务,磁盘管理,共享文件夹,计划任务,用户和组等。同时支持对应用程序,进程,附件二
设备管理,系统服务,共享文件夹,计划任务的控制。支持对客户端的远程控制。
支持远程文档传输,提供客户端与控制台相互传送文件的功能。必须支持经过客户端允许或密码设定才能远程控制。支持远程卸载客户端计算机上软件功能
2.2.6屏幕监控
▲屏幕历史记录的数据量:平均一帧数据量少于▲支持对指定应用程序运行过程的屏幕记录。▲支持对应用程序的变频记录。
25K 支持通过控制台实时查看员工当前工作的计算机桌面,并可将当前屏幕保存为图像,支持对终端用户登录的屏幕分屏查看。支持同时对多屏进行监视。支持扩展显示器的监视。
能记录计算机当天的屏幕历史画面,并可以按指定的计算机查看指定日期范围内的屏幕历史记录,以播放器的方式播放某一天的屏幕历史,并可将当前播放的屏幕历史另存为视频文件。
2.2.7资产管理
支持对客户端计算机的硬件和软件资产信息的统计,并支持按分组或计算机统计硬件和软件的分布情况,同时支持设置自定义查询条件。
支持自定义添加企业内的非软硬件资产信息,并支持设置自定义查询条件。
支持实时查看客户端计算机补丁情况,并允许对补丁进行修补,同时不需要另外搭建wsus服务器。
支持自动扫描计算机的系统漏洞并提供解决漏洞问题的建议。支持通过控制台集中向客户端自动分发安装程序并自动安装,或分发各种文件到指定的目录下,以及分发其它执行程序到目标计算机的功能。支持对硬件资产添加自定义信息描述。
三、可靠性要求
数据库的存储能力及维护,为节省数据库维护成本以及防止因部分数据库损坏而影响所有数据,需要对日志数据采用按天存储的功能。每天产生独立的数据库,数据库出错无法修复也只影响受损数据库所保存的当天数据。
当操作系统处于正常模式和安全模式下都能正常监控。
要求监控系统有一定的自我保护能力,不会轻易遭到破坏,并且不能自行卸载,必须通过授权才能卸载。
每个服务器支持超过3000个终端在线管理。
系统进行局域网发现时节点占用带宽不超过20Kbps。
附件二
系统进行文件分发、文件传送等操作时占用带宽不超过200Kbps。系统在局域网环境内进行一遍节点轮询占用带宽数不超过20Kbps。附注:三年免费质保,三年免费服务。产品支持570个工作站。
第三篇:内网边界管理系统
网络边界安全
一、网络边界背景
早期的网络只是为了使分布在不同区域的人们资源共享和通信而建立的。网络发展到今天,全世界的计算机联成了网络。而网络安全也随之而来。信息泄密、外来攻击、病毒木马等等,越来越多的网络安全问题让网络管理者难以应对,而如将内网与外网完全隔开,就会形成信息的“孤岛”,业务无法互通,资源又重复建设,并且随着信息化的深入,在各种网络上信息共享需求也日益强烈。
二、网络边界防护手段
不同安全级别的网络相连,就产生了网络边界。一般来说,防止来自网络外界的入侵,就需要在网络边界上建立可靠的安全防御措施。
从防火墙技术的到多重安全网关技术,再到不同时连接两个网络的网闸技术,都是采用的关卡方式,“检查”的技术各有不同,但对黑客的最新攻击技术都不太好用,也没有监控的手段,对付“人”的攻击行为来说,只有人才是最好的对手。
三、现有边界防护技术的缺陷
面对各种各样包含新技术的攻击手段,现有的防护产品以及其附带的防护技术是否能实现预定功能。现有的安全管理员还不能对这些防护产品性能足够了解,就谈不上正确使用,把产品功能发挥出来。
再说网络边界防护是一个长期需要大投入的工程,一般的主管安全的领导及安全管理员根本不清楚遭受攻击的一些细节,安全管理员根本不知道该怎么防,往哪里防。
购买最新的安全防护产品,或是花大量的时间、资金培养几个资深的安全管理员,且不说两者能不能配合,能不能防住,使边界安全防护达到预期的目标,单单投入方面也不是现有的企业目前所能够承受的。
根据我国现阶段现状,政府和企业不可能在网络安全方面大量投入,而有限的资金又不能投入到最需要的地方去,造成大量的资金浪费。该防的没建设,目前不用防的反而建设了。
对于公开的攻击,只有防护一条路,比如对付DDOS的攻击;但对于入侵的行为,其关键是对入侵的识别,识别出来后阻断它是容易的,但怎样区分正常的业务申请与入侵者的行为是边界防护的重点与难点。
四、符合中国特色的边界管理
面对上述种种问题,现有边界防护技术和产品远远不能满足我国机构和企业的需要。那么我们必须转变思想,找出路!
既然我们现阶段有资金,人员及技术各方面的限制,不可能把网络边界打造成“钢墙铁壁”。没钱修“城墙”,守卫又不合格,那么只能多装摄像头,对所有的边界监控起来,达到不留“死角”的程度。一旦发现有攻击、入侵行为马上报警,马上处置,然后针对被攻击或入侵的薄弱地点,修一段“城墙”,重点防御。较低的投入,把现阶段安全问题管起来,最后达到一个可控可管,齐抓共管的局面。
网络边界安全问题主要可以分为两个方面,一个是由于外网接入到内网中,从而带来的网络安全问题,另一个是内网内部产生的网络安全问题。对于外网的接入,一般网络上都增加了防火墙、VPN路由器等来保证网络的安全,对于在内网出现的问题就没有设备来保证网络的安全问题了。浙江远望电子有限公司的内网边界检查系统出现就解决这个问题,从内部网络开始检查,查找相关的问题,找到问题的源头,进行预警,预警提示后在进行技术或人工手段来阻断相关的问题。远望内网边界检查系统也可以对外网的接入进行监测,通过预警把相应的情况报告给管理员,由管理员进行手动直接断开外来接入或通过网络上技术的手段进行网络断开。并且远望内网边界检查系统可以实现多级级联,逐级对网络进行安全管理。
五、远望内网边界检查管理系统
远望内网边界检查管理系统,通过对内网边界安全监测和管理,防止外来计算机、网络等通过非法手段接入内网,防止因内网边界问题而导致信息泄密,病毒木马入侵,带宽资源因没有注册的设备增加而被严重胡乱占用。通过违规外联和线路边界的发现和监测技术,配置网络边界发现策略,全面发现网内的设备边界和线路边界的异常情况,实现对违规行为的阻断,确保内网的安全。
通过技术手段对网内的设备边界和线路边界的异常情况进行实时扫描、自动检测,及时发现线路边界问题,把相关信息反映到管理员控制页面上。同时在规定时间内对通过非法接入内网等边界问题进行阻断。
平台通过边界注册建立合法边界白名单,并依靠技术手段自动实现网络边界的检查,及时发现存在的非法网络边界,并对违规事件进行取证,方便查找相关责任人以及后续处理。同时支持对违规外联和非法网络边界点的自动预警,将发现的边界违规情况在安全管理平台上产生预警和通报,第一时间责令相关人员进行整改。
第四篇:学生公寓管理系统-招标书
1.5 学生公寓管理系统
采用顶层设计、分级管理的设计思路,将宿舍资源管理、学生入住管理、宿舍日常管理、学生退宿管理、宿舍检查管理、校外人员入住宿舍管理等模块集成,实现学生宿舍管理的数据信息化、流程信息化、决策信息化,最终达到数据共享、管理自动化、管理智能化的目的。
目前我校宿舍管理方式如下:
迎新阶段:
①.本科生:后勤分配新生房源给各学院,各学院在新生到校前安排新生到具体房间和床位,学生登录迎新系统进行查询。
②.硕士、博士生:新生到校报到时可人工分配床位,也可床位自选。 在校阶段:
在校生调宿、退宿、申请入住时提出申请意向,经过辅导员和学院审批后,由学生公寓审批通过,至财务处核算费用后,学生持材料(如:入住通知单)到公寓中心分配房间后在相关公寓楼栋办理具体手续。
离校阶段:
学生在结清相关费用后,在公寓服务中心办理退宿手续,批量删除毕业学生住宿信息。
在退宿、入住、调寝环节,学生信息和门禁系统实时对接,确保学生
入住情况准确。
系统包括6大模块,具体功能说明如下:
1)宿舍基本数据管理
学生信息管理
各级管理老师可以维护和查询自己管辖范围内的学生信息;系统提供数据接口,可进行批量数据导入,或将查询和统计的结果数据导出成EXCEL表格。系
统实现数据集成后,学生的部分信息可以通过数据集成平台从教务、学工等系统共享而来;宿舍管理系统只对宿舍业务相关的学生信息内容进行维护。 宿舍设备资源管理
学校管理人员按管理权限可以对学校的宿舍区、宿舍楼、宿舍等基本信息进行管理,如公共资源配置数量(如热水器、洗衣机、开水炉、彩电等)、住宿费标准、住宿学生类别、备注等信息。
住宿变更流程管理:
宿舍流程管理实现学校管理人员对学生入住、退宿、宿舍调整的申请与审核流程的设置与管理。
2)学生住宿管理
人工分配宿舍:对新进学生分配宿舍,对住宿期间临时调换宿舍、中途入住生进行调整安排。
自动分配宿舍:根据学院男女生入住人数在指定的楼栋、楼层、房间中自动分配宿舍床位。
学生自选床位:特定的学生在指定床位范围内通过网络自选床位。公寓空调安装后,学生出现对空调需求差异,存在挑选有无空调宿舍的情况,学生可根据不同的需求选择宿舍。
住宿管理:
学校相关管理人员对学生进行安排入住,住宿日常管理类型可包括:
中途变更住宿管理:入住登记、退宿登记、延期毕业登记等日常处理项目。批量管理:学生住宿信息的批量导入、变更、删除等。可采用人工手动分配、电脑自动分配、自选床位分配的方式进行登记。
非在校住宿学生管理
学校相关管理老师直接维护学生校外住宿学生的基本信息,进行备案,供今后查询使用,包括学号姓别、院系、年级、班级、校外住宿地址、联系电话、联系人、申请外住日期、家庭详细信息等。
宿舍业务申请与受理
学生可以在线进行入住、退宿及宿舍调整的相关业务,填写详细的申请理由,并送达管理人员进行审核。各级管理老师对学生的入住、退宿、调整申请进行审
核,并填写审批意见。
3)查询统计
住宿信息管理功能主要用于住宿学生的各类信息查询和统计,可以快速直接对住宿人员、宿舍房源)、公共设施设备、宿舍基础数据进行查询,满足校内各部门对宿舍资源使用情况的实时查询统计。查询分为总体查询、分类查询、个别查询、组合查询。总体查询可直接查询校内/区域内总楼栋数、总床位数、总空床位数、总住宿人数等总体数据。分类查询可以根据校区、楼栋号、楼层数、房间号进行统计查询;也可以根据学院、年级、学生属性进行统计查询;或者根据缴费情况、住宿状况进行统计查询。个别查询是根据学生个人信息进行详细查询,可以查到学生的住宿情况、缴费情况等。组合查询是根据所需要的数据进行筛选综合的一种查询方式。
住宿管理系统要有比对功能,住宿名单要与财务处收费名单进行比对,可以实时查询未交费学生情况。
系统提供全校学生住宿情况查询统计报表、学生宿舍调动查询统计报表。通过系统学校的相关管理人员可以查询到各宿舍区房间总数、床位总数、已住总数、空余床位数等详细信息。系统提供数据接口,可将查询和统计的结果数据导出成EXCEL、WORD、PDF文件。
4)宿舍日常管理
楼栋管理员设置
学校相关管理老师设置楼栋管理人员清单以及其所管辖的楼栋。设置完成后,楼栋管理员可以维护本人管理范围内的楼栋的学生住宿情况、卫生检查情况等。 卫生检查管理
根据学校对宿舍卫生管理要求,学校相关管理老师或者楼栋管理员可对宿舍卫生检查情况进行记录和管理,具体可包括宿舍的房间号、检查分数、检查日期、操作日期和操作人等。系统支持定期检查和抽查等多种检查类型。
违章违纪管理
根据学校宿舍管理规定,学校相关管理老师或者楼栋管理员可对住宿人员的违章违纪情况进行登记,供相关管理人员查询使用。系统可自定义多种违纪类型。其他数据的统计管理:对夜不归宿、迟归等学生情况的统计上传,让学院、辅导
员及时了解学生状况,保障住宿生的人身安全,并为学生年终评优评奖提供依据。
5)公寓公共设施设备管理功能
公寓服务中心可通过该功能对公寓楼内公共设施设备数量、使用年限、维修更换情况进行有效地掌控。
将每栋公寓楼内的公用电器和基础设施,如热水器、开水炉、洗衣机、吸顶扇、空调、排风扇、家具、消防设施设备等公共设施数据编入系统。根据中心的工作节点对各类设施设备进行检查、维修、更换,并及时更新系统数据。
6)系统管理
待办事宜:可根据系统中业务开展情况,自动的生成事务性的提醒。可针对
不同的用户提供不同的提醒。如:学生申请入住后,辅导员可收到待审的学生人数提醒。
系统设置:学校相关管理老师设置当前学年、当前学期等系统整体设置。 日志管理:系统自行记录每个用户的访问时间IP地址等信息;每个功能的访问时间IP地址等信息;记录系统的访问日志、数据变化日志以及发生问题日志。
权限管理:可以灵活配置每个用户所属的用户组,以及用户组的的权限,保
证用户在系统中的一切操作在授权范围内进行,当用户发生岗位调整或者岗位职责发生变化时系统可以灵活调整。
本系统与学校其他部门的信息互通
宿舍管理系统作为学校信息化建设中重要一环,不仅承载了和学生住宿相关的业务功能,在其他业务系统或科室信息化建设中也起到了不可替代的作用从迎新系统取得新生数据,宿管系统将新生宿舍分配结果发给迎新系统,让学生未到校前在移动端或PC端即可查询自己的住宿位置;宿管系统将宿舍分配结果和学生日常表现放到公共数据交换平台供学工系统使用,用于学生日常管理;学工处、研工部将学生基本信息及变更信息发送至公共数据交换平台供宿舍管理信息系统使用,实现信息互通;宿舍管理系统比对财务系统的学生住宿费缴纳情况,为管理部门办理学生入住调换退宿提供依据;宿舍管理系统通过集成门禁系统和一卡通系统,学生入住或退宿后系统学
生门卡可自动启用或关闭对用楼栋的门禁。门禁出入记录统计便于学工处或后勤管理部门实时掌握学生动向,提前预警。宿舍管理系统可与学校微信APP接口向学生推送相关信息,比如卫生检查通知、个人宿舍缴费情况等等
第五篇:内网安全管理系统7.0产品白皮书
产品白皮书
内网安全管理系统V7.0
产品白皮书
第1页
产品白皮书
目录
1.产品简介.......................................................................................................................................................1 2.产品构架.......................................................................................................................................................1 3.产品功能.......................................................................................................................................................2 4.产品特点.......................................................................................................................................................2 5.产品性能.......................................................................................................................................................3 6.产品部署.......................................................................................................................................................4
第2页
1.产品简介
内网安全管理系统是用于政府和企业终端安全管理系统。系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理,为政府和企业用户打造一个安全、可信、规范、健康的内网环境。内网安全管理系统可为用户解决如下一系列的内网安全管理问题:
确保入网终端符合要求 全面监测终端健康状况 保证终端信息安全可控 动态监测内网安全态势 快速定位解决终端故障 规范企业员工网络行为 统一内网用户身份管理 杜绝移动存储介质滥用 提高和实现软件正版化
2.产品构架
内网安全管理系统在架构设计上采用了三层管理结构:终端监控引擎、总控中心、管理控制台。
终端监控引擎以服务的形式运行于终端计算机上,是终端计算机管理的核心和基础部件,用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。终端监控引擎的设计充分考虑了稳定性、安全性和兼容性要求。终端监控引擎可防止恶意停止,并全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件。
总控中心用于计算机的集中管理,为终端监控引擎和管理控制台提供一系列的管理服务。由策略管理服务、审计管理服务、Radius认证服务、文件备份服务、补丁与软件分发服务、时间同步服务、网络管理服务、分级管理服务、事件订阅服务、健康状态监测服务等组成。视内网规模和性能要求,这些服务可分别部署在不同的硬件平台上,也可部署在同一个硬件平台上。
管理控制台是系统管理人员提供系统管理入口。采用了B/S方式进行系统管理,通过管理控制台可以完成系统管理的全部操作。三层管理结构大大提高了系统设计开发、安装部署和运行维护的灵活性、便利性和扩展性。
图1 LanSecS®内网安全管理系统架构
3.产品功能
安全审计:提供内网主机安全事件的审计功能,包括文件操作、文档打印、共享访问、服务与进程活动、系统日志、系统账户监控等。提供终端计算机用户行为的监控与审计,包括信息泄密、资源滥用、即时通讯、邮件收发和网站访问等。
安全服务:通过预警平台、远程协助、软件及文件分发等功能实现远程桌面维护以及安全动态、桌面通知、信息发布。
安全加固:提供强大的补丁自动分发机制、病毒库自动下载机制、本地文件安全存储以及移动存储介质的认证与注册管理等功能,保证终端运行环境的安全可控,保障内网运行的可靠性。另外,还提供主机安全策略和IE安全策略的统一设置,加强主机的安全性。
资产管理:提供对内网资产和资源的集中管理能力,包括计算机、交换机、操作系统、软件、硬件,并对资产和资源的变更进行监控和预警。
准入控制:采用可信接入技术,对于接入内网的计算机进行严格的身份认证和健康检查,保证内网业务数据和系统环境的安全。
4.产品特点
完善的分级管理架构,“分散不分立”:通过分级管理,系统可实现跨地域分散部署和集中管理。“分散不分立”,形成有效的和有机的内网安全管理架构。
灵活的分权管理机制,“集中不集权”:系统提供了基于安全角色的授权管理机制,根据功能模块或行政机构的划分自定义安全角色,一种安全角色只能执行其所辖部门范围内的相应安全代理的安全策略和审计事件的管理。“集中不集权”,保证了管理的安全性。
多层次的安全措施,保证系统运行的安全可靠:系统从数据库、网络通讯、策略分发与存储等多个层面加强了安全保护,确保系统运行的安全可靠。
全方位的安全审计功能,有效地防止信息泄密:系统提供对所有输入/输出设备、文件系统、进程、服务、注册表、网络应用、用户身份、操作系统安全策略等进行综合的监控和审计,全方位的监控操作系统的运行状态以及用户的操作行为,实现涉密信息的全程审计与跟踪。
完善的基于数字证书的身份认证机制:系统内嵌身份认证服务,实现了与数字证书的完美结合,管理控制台、监控代理、总控中心以及所有系统管理用户和计算机终端用户均通过数字证书进行身份认证。
丰富、多样的统计报表功能:系统提供列表和统计图的报表输出,报表的输出支持HTML、EXCEL、PDF、RTF等四种格式。同时提供手动报表、自动报表等两种运行模式。
高度模块化设计,需求响应迅速:系统管理控制台、安全代理和总控中心均采用模块化设计,并提供用户设计、开发接口和示例,用户可以根据企业的安全需求定制采购,同时也可以根据需求的变化,在运行时动态改变其工作状态,提高系统的运行效率。
所有组件支持自动升级,系统维护方便、快捷:系统的主机代理及其功能模块均支持基于版本号的网络自动下载更新,只需要在总控中心一次部署即可以完成全网的自动升级。系统的维护和升级非常方便。
客户端监控代理安装部署方式灵活、多样: 内网安全管理系统客户端监控代理同时支持域模式安装、本地安装、网络分发安装以及WEB安装等多种安装部署方式,用户可以根据实际网络环境自由选择。
5.产品性能
内网安全管理系统主要性能指标如下:
总控中心最大并发连接数:3000;
总控中心最大可管理注册主机数量:20000台; 总控中心网络带宽占用:100K/1000客户端; 终端监控引擎CPU占用(静态模式):< 1%;
终端监控引擎内存占用(静态模式):8M。
6.产品部署
内网安全管理系统支持本地部署和分级部署,分级部署示意图如下:
图 2分级部署示意图
点击咨询 