|
指標項 |
規格要求 |
|
基本要求 |
評審項1
標準機架設備,≥1U,雙電源,具備對3000臺終端以上的入網管控提供管理的能力;支持500臺/秒以上的并發管控檢測能力,認證過程不超過10秒;具備與終端安全系統、統一信任服務系統以及安全運營中心等進行聯動和數據交互的能力;支持多種認證方式,提供入網管控系統管理授權≥3000個,提供五年軟件更新、包修服務。國產品牌,產品必須為自主研發(非OEM),操作系統平臺不能基于標準發行版本(Windows/Linux)。【須提供后臺登錄截圖證明】 |
|
部署要求 |
評審項2
支持純旁路部署,不能以任意串聯方式(包括策略路由等邏輯串聯)部署。支持分布式部署,可以通過橫向和縱向部署多臺服務器來擴展管理范圍和增加管理能力,縱向支持無限分級,支持集中大屏查看部署圖,支持全局根據IP/MAC/責任人等定位終端設備。支持高可用性雙機部署,主機故障后備機無降級容災接管,防止準入系統故障終端不能正常入網,主備切換時間不能大于10秒。支持為關鍵服務提供容災工具,DHCP容災工具可在服務器宕機后自動接管IP地址分配工作,容災工具分配IP時仍要保持IP/MAC綁定關系。 |
|
|
準入技術 |
評審項3
★支持多種準入控制技術(MAC認證、DHCP、ARP、SNMP、數據鏡像等),一套系統需支持多種準入技術并行啟用。【須提供功能截圖證明】 |
|
評審項4
支持自定義不同安全級別的接入事件選用不同的阻斷技術進行隔離,例如未授權接入設備,應達到邊界級阻斷,授權未符合安全要求的,基于應用級阻斷控制,可靈活定義。【須提供功能截圖證明】 |
|
評審項5
▲支持基于終端的部門/終端類型/操作系統/標簽和接入VLAN配置不同的準入策略,管理員可查看符合每條準入策略的終端。【須提供功能截圖證明】 |
|
評審項6
▲支持對非法和違規終端的多層阻斷,可同時支持應用級、交換機端口級、網絡邊界級(同HUB之間互訪阻斷)的阻斷效果。【須提供測試證明截圖】 |
|
終端發現 |
評審項7
支持通過SNMP、TELNET、SSH、ARP、流量分析等技術掃描發現終端設備,須為秒級發現,不得大于10秒,并以MAC地址為唯一性存儲及管理終端設備;支持管理員自定義終端類型和終端類型組,可自定義終端類型顯示的圖標。支持自動發現在網終端的MAC地址、IP地址、網卡廠商、TCP服務端口、接入VLAN、接入交換機端口等信息。支持自動識別終端類型,如辦公機、交換機、路由器、打印機等,生成終端類型統計報表。 |
|
評審項8
▲支持管理員自定義類型識別庫規則,可基于網卡廠商、主機名、IP地址、TCP服務、操作系統等多維度組合定義識別規則,支持查看每條規則識別的終端信息。【須提供功能截圖證明】 |
|
評審項9
支持當終端信息發生變化、類型識別庫規則發生變化后,自動秒級重新識別終端類型。支持動態VLAN下發,并支持與系統內置的DHCP服務相結合,構建終端漫游,實現動態VLAN下發、動態IP地址下發靜態化管理、漫游接入管控等效果。 |
|
網絡策略 |
評審項10
▲支持多網卡終端管理,管理員可人工合并/拆分多網卡終端,系統也可自動合并多網卡終端。【須提供功能截圖證明】 |
|
評審項11
支持定義IP/MAC綁定策略,支持在不同VLAN綁定不同IP地址,并可限定終端能夠接入的VLAN,支持基于終端分組限制終端入網是否必須綁定IP/MAC地址。支持IP沖突發現功能,能夠定位沖突IP的MAC地址,能夠對綁定的IP/MAC進行保護,對違規使用綁定IP的終端進行阻斷。支持定義MAC/PORT綁定策略,支持限定終端可接入的交換機和交換機端口,也可限定交換機端口只允許綁定終端接入。 |
|
評審項12
▲支持在不安裝客戶端或插件的情況下,進行MAC地址仿冒(MAC克隆)檢查,支持IP地址、MAC地址、TCP監聽端口、交換機接入端口同時仿冒情況下違規行為的發現和阻斷。【須提供測試證明截圖】 |
|
評審項13
支持在不安裝客戶端或插件的情況下,利用TCP監聽端口檢測應用軟件合規性功能,可靈活的基于部門、操作系統、標簽、設備類型定義不同的TCP合規策略,對不合規的終端進行阻斷并能夠通過Portal頁面引導軟件下載。【須提供功能截圖證明】 |
|
網絡邊界 |
評審項14
能夠發現內網私接的HUB、不可網管交換機等,能夠及時產生告警并阻斷接入設備入網。支持自動發現網中網行為,如小路由、隨身WiFi、免費WIFI、代理上網等行為。支持關閉長時間未接入終端的交換機端口,管理員可自定義時間限制,并支持定義交換機口只允許綁定的終端才能接入。 |
|
評審項15
▲支持對兩個物理上(或者邏輯上)隔離的兩個網絡互聯(誤聯)行為進行智能發現并告警,支持自動定位互聯位置并自動斷開【須提供功能截圖證明】 |
|
網絡設備管理 |
評審項16
支持網絡拓撲管理,支持區分編輯模式和查看模式,可手動修改連接關系。支持分組框選拖動,以及上下左右/水平/垂直對齊功能,支持保存和恢復拓撲圖快照功能。支持在拓撲圖上顯示非法終端告警,支持在拓撲圖上搜索、定位終端功能。 |
|
評審項17
支持自動生成交換機面板圖,可基于端口開關狀態/連接狀態/接入終端數目/告警終端等區分展示,可直接在面板圖上對端口進行開關操作;支持將IP/MAC綁定和MAC/PORT綁定策略同步到交換機配置上;支持批量修改交換機密碼功能,支持批量下發自定義命令到交換機。 |
|
評審項18
▲支持自動備份交換機配置,圖形化高亮提示配置變動,管理員可選中某一個備份配置進行自動恢復到交換機。【須提供功能截圖證明】 |
|
IP地址管理 |
評審項19
支持DHCP集中管理IP地址,支持IP地址的固定下發、在線監控、定期回收、歷史審計等全生命周期的IP地址管理;支持Trunk管理多VLAN的IP分配功能,無需配置交換機DHCP RELAY即可實現為所有VLAN分配固定IP地址。 |
|
評審項20
支持自定義DHCP option功能,以兼容未來不同網絡環境。能夠基于部門、標簽、終端類型、操作系統下發固定的IP地址段。【須提供功能截圖證明】 |
|
評審項21
支持IP地址網格視圖管理,能夠通過圖示直觀的查看各網段中在線、離線、從未使用的狀態,能夠通過顏色區分保留IP地址、可用IP地址、綁定IP、告警IP等。支持管理員分權,至少可劃分系統管理員、安全管理員和安全審計員三類,每一類管理員都可創建多個,可限定管理員管理的部門,其只能看到和管理制定部門的終端。 |
|
系統管理 |
評審項22
支持強制入網終端收看培訓視頻的功能,支持頁面、代理客戶端播放視頻,可基于部門和時間來設置播放策略,不同部門不同時間來播放不同的培訓視頻。【須提供功能截圖證明】 |
|
級聯要求 |
評審項23
▲應與國家氣象總局部署的網絡準入管理系統采用相同技術路線,承諾能符合對接要求,須提供承諾函,格式自擬;支持向總部系統同步本地管理數據,作為無限級分布式部署的下級分支,為總部的集中大屏提供基礎數據,總部可通過集中大屏查看該下級單位的管控總數、在線數、客戶端安裝數、違規數、操作系統明細、設備類型明細等內容,同時可全局檢索IP/MAC/責任人等信息定位下級終端隸屬關系,集中大屏查看部署圖及全局搜索定位【須提供功能截圖證明】 |
