公安准入控制系统

1.   要求为2U硬件准入控制设备，具备至少4个1000BASE-T电口，1个1000BASE-T管理口，1个1000BASE-T调试口，2个USB接口，一个RS232串口（RJ-45）；支持最大公安网终端授权数5000个。

2.   数据吞吐≥1.8Gbps，并发连接数≥180万，最大新建连接数≥18000个/S

3.   ★所投准入系统设备支持在现有网络中无需部署客户端；支持与“一机两用”系统通过专用接口进行数据同步。（禁止使用数据库触发器模式实现，防止出现一机两用系统故障；提供数据对接说明文档）

4.   对计算机进行基于“一机两用”程序的认证，对未安装“一机两用”客户端程序计算机给予隔离及重定向。

5.   对安装“一机两用”系统，但是版本号不合格设备进行强制认证，给予隔离及重定向，并支持将来的版本更新检测。（提供数据对接说明文档）

6.   支持PKI数字证书认证检测，系统可以针对使用终端是否接入PKI进行认证，对未接入PKI的终端进行隔离进行提示。（提供系统平台功能截图证明）

7.   支持终端强制要求安装防病毒软件，对未安装防病毒软件的计算机给予隔离及重定向。

8.   支持对现网安全助手客户端进行识别，版本号不合格设备进行强制认证，给予隔离及重定向，并支持将来的版本更新检测。（提供识别文档说明）

9.   支持入网终端PKI证书驱动检测，对未PKI证书驱动的程序计算机给予隔离及重定向。

10. 要求支持对路由、无线、AP、HUB等环境下的终端实施准入控制，支持对Windows操作系统和非Windows系统设备的识别并实施准入控制

11. 要求支持与Radius认证系统联动进行身份认证，必须支持包含PAP、EAP-MD5、MD5-CHAP等加密认证方式。支持单账号、多账号认证
  支持根据时间段对终端在线情况提供趋势图表，可以根据终端注册状态进行按时、天、周、月区分显示。

12. 支持对终端的安检状态进行逐项统计，能够统计每条安检项的通过/不通过次数和日志。

13. 要求支持终端重新注册、重新认证、重新安检或者一键隔离。

14. 要求支持基于https的B/S架构管理、支持基于SSH的命令行操作管理界面、支持基于serial串口的设备后台管理模式。 要求支持自定义系统管理员，支持管理员角色定义，支持三权分立的管理员角色管理，支持管理员帐户登录尝试次数限制和超时限制。

15. 要求与公安部发布现行『公安信息通信网联网设备安全管理系统』进行联动及获取现有保护，信任等设备信息（提供数据对接说明文档；加盖『公安信息通信网联网设备安全管理系统』厂商公章）

16. 按照规范要求实现上述功能不得在信息内网新增客户端模式实现，需提供实现上述功能技术说明（提供实现功能说明采用现用哪类客户端技术方式）

1套

内网安全加固模块

1.系统具备可由统一管理平台根据需要统一配置的客户端主机防火墙，可按照策略控制客户端的特定端口的连接

2. 系统支持禁用（开启）指 定的端口，禁止Ping入（出），设定IP区域访问控制，进行包过滤控制等，也可禁止使用代   理服务器，

3. 系统能够管理内网终端能够使用哪些网络协议端口或服务，以限制计算机的端口和相应的网络协议，对计算机用户的网络操作进行监管。

4. 系统支持单独或组合的方式管理TCP或UDP协议，及本地端口或远程端口。本地端口是本地可以对外提供服务或与外界连接的接口，

5. 系统支持管理客户端的ICMP协议，可单独控制客户端是否能够ping入、ping出或同时控制ping入、ping出。

6. 系统支持管理客户端访问控制，通过ip地址管理客户端允许/禁止访问指 定ip地址或者禁止指 定ip地址允许/禁止访问本机。

7. 系统支持管理客户端访问控制，通过域名地址管理客户端允许/禁止指 定域名。

8. 系统支持设置不受控制列表里的规则限制。

9. 系统支持设置不受控制列表里的规则限制。终端准入身份校验

10.   系统支持支持同网段（VLAN）网络环境下终端身份校验。基于端口及数据链路层的的准入，禁止未授权接入设备违规访问本地网络资源。

11.   系统支持针对内网终端端口控制，禁用填充项中指   定端口，开放其它端口；

12.   开放填充项中指 定端口，禁用其它端口；

13.   禁用填充项中指 定端口；

14.   开放填充项中指 定端口；

15.   端口可按照范围进行填写。

16.   系统支持设置客户端只允许填充项中IP地址访问自己，禁止其余IP地址访问。

17.   系统支持客户端只允许自己访问填充项中IP地址，禁止访问其余IP地址。

18.   ★要求与现有公安信息网”一机两用系统”数据对接；不得在终端上新增客户端或插件模式实现（提供数据对接说明文档）

1套

防违规外联

1、系统支持终端计算机的光驱、软驱、移动存储、蓝牙、无线网卡、PPPOE协议等功能进行管理。

2. 系统支持针对内网终端底层系统接口的控制，控制各种类型手机通过与计算机的共享上网模式导致计算机连接互联网，同时禁止计算机通过热点共享模式连接互联网。

3. 系统可统一控制全网计算机，无法修改IP地址的电脑，修改IP界面的“确认”按钮显示为灰色，无法点击。

4. 系统可禁止计算机通过其他方式自动获取IP地址，保证计算机网络状态。

5. 系统支持针对内网设备离网的管理功能，实现设置设备离网时间，超过时间后，自动执行计算机锁屏断网功能。

6. 系统设置终端离网重新接入内网自动解锁，或者通过管理员来解锁。

7. 本系统部署要求在公安内网无需安装任何新客户端，插件模式实现

8.要求所提供的内网安全监控审计系统支持国产中标麒麟操作系统，并提供具有支持国产中标麒麟操作系统的国家保密科技测评中心检测的涉密信息系统产品检测证书（提供证书复印件）

13. ★要求与现有公安信息网”一机两用系统”数据对接；不得在终端上新增客户端或插件模式实现（提供数据对接说明文档）

14.为保证系统统一性所投产品需与内网安全加固模块同一品 牌

一套

违规行为发现系统

1.   要求为2U硬件准入控制设备，具备至少4个1000BASE-T电口，1个1000BASE-T管理口，1个1000BASE-T调试口，2个USB接口，一个RS232串口（RJ-45）；支持最大公安网终端授权数5000个。

2.   数据吞吐≥1.8Gbps，并发连接数≥180万，最大新建连接数≥18000个/S

3.     支持监测全市范围内终端的两网互通（同时连接内网和互联网）的行为，一旦发现，定位其终端地址（内网IP和互联网IP）

4.     提供网中网分析，监测公安网中存在的私有局域网情况，包括NAT设备、网闸设备、小型路由器、代 理服务器、VPN服务器等

5.     监测网络中存在的FTP服务器，实现违规非法FTP发现

6.     所有功能无需采用部署客户端模式实现

7.     支持数据分析提供包括多种图表展现方式，支持快捷的数据关联分析

8.     支持自定义分析视图，可灵活定义数据源、展现方式，适应灵活的个性化分析需求。可以定义在一个视图面板上，显示指 定的多个分析视图，方便分析数据的集中显示

1套

移动介质管理系统

1.     支持对移动存储设备接入管理控制，定义USB标识，根据策略禁止非法USB存储，支持通过移动存储设备认证方式控制本单位与外来移动存储设备的接入。

2.     支持对移动存储数据的读写控制，审计数据的写入与读取，并可以根据策略定制进行限制。

3.     支持对特定USB存储设备进行标签加密，写入加密标签后将普通移动存储介质（U盘、移动硬盘等）分为二个区域：交换区、保密区。交换区和保密区可以根据用户需要，在内部网络中通过策略限制使用方式，交换区在外网使用时同样要输入密码方可使用，保密区在外网不可见。

4.     支持硬件接口控制，控制外设接口的使用，管理员启用或禁用软驱、光驱、U盘、USB接口、打印机、Model、串口、并口、1394接口、红外接口等

5.     可以对时间进行高级设置，灵活设置策略生效的时段。

6.     所投产品具有军用信息安全产品认证证书军C+或以上证书（提供证书复印件）

7.     要求所投产品支持与公安信息内网现有CA系统进行对接，实现登入注册（提供功能截图证明）

8.     ★要求与公安部发布现行『公安信息通信网联网设备安全管理系统』进行联动及获取数据（提供数据对接说明文档）

1套

安全U盘

1.     完全准遵照标准的 USB 协议设 计

2.     可作为普通存储设备，运用随盘提供的管 理工具对设备进行分区，初始化和数据存取访问等操作

3.     可通过统一平台控制定制安全访问策略。

4.     日志存储采用 Append-only 文件系统

5.     8G存储空间大小，提供两块分区空间分别用于信息内网使用及外网使用

6.     ★为保障系统统一性所投产品需与移动介质管理系统同一品 牌

20个