硬件规格:CPU不少于4核 2.5GHz ,内存不少于16G,硬盘不少于1T,不少于1个千兆电口。
授权数量:不少于11套客户端授权。
功能授权:包含准入控制、非法外联、安全基线、终端加固、补丁管理、移动存储管理、主机防火墙、终端审计、软件分发、资产管理、敏感信息发现、终端敏感等级判定、敏感信息外发控制、终端屏幕水印、透明加解密、文档安全外发、分组密钥、离线授权等模块功能。
管理功能:支持策略在线生效和离线生效两种模式。安全基线策略不满足要求时,可以通过客户端防火墙限制用户网络访问,并给出修复提示。支持丰富的终端相关信息的图形化报告和报表,报告和报表覆盖终端接入信息、资产信息、安全基线信息、桌面管理信息、防病毒信息、数据防泄露信息、文档加密信息等,方便用户及时、全面了解内网终端安全和运行状况。
产品安全性:为保障产品的安全支撑能力,产品应采用具有自主知识产权的VSP通用安全平台,具备高效、智能、安全、健壮、易扩展等特点,具有软件著作权证书。
准入控制:支持与支持802.1X协议的交换机联动,实现有线局域网网络准入,对接入的终端及接入的用户进行认证,支持华为、H3C、锐捷、Cisco等主流网络设备。
软件进程管理:支持对终端系统上运行的进程进行限制,策略影响终端合规状态。
非法外联:支持多种方式对触发非法外联行为的终端进行违规动作响应,包括断开网络、客户端告警、关闭操作系统、初始化时断开网络、发送至互联网告警服务器、禁用所有网卡、修改IP地址、修改操作系统密码、强制注销操作系统等多种方式进行违规管理,彻底阻断非法外联终端的数据泄露。
网络控制:支持对终端接受访问的源地址、接受访问的服务以及接受访问的进程进行管理,只有允许的进程才能接受指定的访问者对指定服务的访问。支持对设定网段进行监控,对终端连入连出行为进行管控。保证了主机的连入连出都是在有安装客户端且状态合规的条件下进行,做到更有力度的保护。
文件审计:支持对指定目录文件的读、写、新建、复制、删除、改名、移动等操作进行审计和阻断,可配置审计包含子目录。
网站审计:支持审计终端用户上网行为,并可设置上网黑白名单,允许只能访问的网站和禁止访问的网站,规范上网行为。
FTP审计:支持对终端FTP传输行为进行审计,审计内容包括:FTP服务器地址、操作、传输文件名称、发生时间等信息。
打印审计:支持对终端用户的打印行为进行审计,并可禁止终端的打印行为。
敏感文件识别:支持敏感文件类型识别,按照常见文件类型(文本、图片、压缩等类型)定义检测策略。对于不带扩展名或修改扩展名的文件,同样能根据其文件特征识别其文件类型。并可支持后缀名定义识别。
水印管理:支持终端屏幕水印,支持文字水印、图片水印或点阵水印,背景显示指定的水印内容,防止对录屏、截屏、拍照等行为获取到的页面或数据进行利用。支持使用指定进程开启水印功能的预置类别,包括文档编辑、浏览器、图纸编辑和IM即时通讯等四大类常用进程。
敏感文件外发管理:对敏感文件的拷贝、剪贴、打印、刻录、QQ外发、微信外发、邮件外发、HTTP外发、FTP外发等进行审计和控制,支持可自定义审批流程(审批员之间的审批顺序)。
文档加密:设置全盘扫描强制加密的文件类型,按照常见文件类型(文本、图片、压缩等类型)定义检测策略,并可支持后缀名定义识别。支持多种加密算法,包含“AES”、“ZUC”“SM4”或者自定义加密算法。支持多个密钥,不同部门、单台终端可采取不同的主密钥。
USB管理:支持根据设备类型对终端外设的使用权限进行管控,启用或禁用(移动硬盘/U盘、手机/平板、存储卡、WIFI热点、无线网卡、调制解调器、光驱、蓝牙设备、红外线设备、摄像头、打印机、扫描仪、软驱、鼠标、键盘及其它USB设备)。支持对USB存储设备设置禁止使用、设备只读、设备可读写三种设备授权方式,支持设置专用目录加密认证、全盘加密认证两种设备安全认证授权方式。
运维管理:支持智能补丁分发,终端智能识别自身操作系统版本,下载相应操作系统补丁。支持客户端软件安装包的自动分发和安装,且支持MSI、EXE、BAT、脚本等格式的安装程序,支持自定义安装包。支持客户端IP管理功能,灵活的MAC-IP绑定、User-IP绑定,可绑定客户端的MAC地址、IP地址、掩码,当用户各项绑定信息被擅自修改时,系统将自动修正。支持按需支援,当终端出现故障时,可直接通过系统向维护人员发起远程协助请求。
含现场安装调试及系统培训。
