附件：

财政预算单位终端安全接入管理系统单一来源采购项目内容及要求、预算表

产品名称：财政预算单位终端安全接入管理系统  型号：AMS-1500

数量：1套，包含3台硬件设备，一台主服务器、一台热备服务器、一台设备做负载均衡。包含1套中央控制系统及3000用户并发授权。

单价：20万元/台   项目总价：60万元

产品的主要用途、功能以及特点：为预算单位的终端访问财政业务系统提供安全桌面，主要采用虚拟沙盒技术，可对进程、内存、网络、外部接口、文件做隔离，保障在安全桌面下访问业务系统的安全性，并且可通过系统统一配置预算单位终端的业务环境，包括推送、升级插件等。提高预算单位终端的维护质量与效率

采购文件要求

重要提示：实质性要求及重要指标用★标注（“★”必须标注在序号前），★标注项不得负偏离，如果负偏离，则报价文件无效

产品要求（包括配置、标准及技术指标等详细内容）

配置总体要求

软硬件一体实现对财政预算单位终端及业务应用访问过程的安全管理。

硬件要求（产品名称和数量）

数量：3台

系统名称：预算单位客户端安全接入管理系统

1）.2U平台；

2）.主板芯片：不低于INTEL C236 系列芯片 ；

3）.CPU:INTEL 不低于四核E3-1220V5  3.0GHz/4C/8MB，最大睿频不低于3.5GHz；

4）.内存：≥8GB DDR4 ECC，可扩展64GB内存；

5）.硬盘：≥1000GB SATA高速热插拔硬盘，可扩展8块热插拔硬盘；支持SATA RAID0、1、10数据阵列：

6）.网卡：集成2个Intel千兆网卡（RJ45接口）Intel® 10/100/1000  I210 Gigabit；

7）.含1*PCI-E x16，1*PCI-E x8 ，1*PCI-E x4 1*M.2扩展槽，支持3个半高PCI-E扩展；

8）.四个USB接口、一个串口、一个显示器接口；

9）.电源：550W（1+1）冗余电源;交流电源输入 220V，47～63 Hz。工作温度：-10℃～55℃；存储温度：-40℃～85℃；支持服务器加电自启动功能；带专用挂架

部署要求

1、要求系统平台部署简单，满足复杂的网络环境下部署；

2、要求服务器部署即插即用；

3、要求支持热备和负载均衡；

4、要求安全桌面简单易用，可以在安全桌面中直接点击快捷方式访问业务系统。

自主可控

整个管理系统满足自主可控要求，基于开源操作系统与开源数据库开发。

功能要求

总体要求

1、系统需要采用虚拟沙盒技术，支持安全桌面将终端自身系统、网络进行隔离，同时能够为访问业务系统环境提供统一维护（如各种插件，IE浏览器的安装、维护、升级），减少对预算单位终端维护的工作量。

2、要求整个管理平台能够显示用户端登录的在线、离线状态；当前访问业务应用的连接状态信息、策略配置情况，方便管理人员实时了解当前业务应用的被访问的信息。

3、要求管理平台可对应用访问进行统一分配、业务环境统一配置。

安全桌面

1、在安全桌面中提供消息推送功能，能够接收管理员推送的消息

★2、安全桌面插件安装功能：在安全桌面中可以安装访问业务系统时所需的各类插件，并可以显示当前的安装状态。

★3、安全桌面工具集功能：在安全桌面中要求提供工具集框，能够使用办公常用工具（例如记事本、计算器等）。

4、在应用安全桌面启动后，要求自动执行管理端下发的安全管理策略；

★5、安全桌面网络和外设控制功能：在安全桌面中办理业务时，只能够与业务相关的网络进行通讯，其他均不能与终端进行通讯；并且对能够对一些常见的敏感信息泄密的途径进行有效的管理：包括USB存储设备、打印机、光驱等，能够禁止或者按需进行放开。

 6、安全桌面中的背景 ，可以按照用户的需要进行统一设置。

 7、具备用户首次登录必须修改密码的安全机制。

★虚拟沙盒

要求整个管理系统采用虚拟沙盒技术（可在终端用户的windows主机上直接实现），可从网络、磁盘、进程、内存、外设等全方位对系统进行安全隔离与防护，要求虚拟沙盒必须满足的安全机制要包括：

1、沙盒中的进程和普通系统进程，其他应用程序等进程无法通过窗口、消息机制进行通讯；地址空间相互不能访问，无法通过内存扫描、虚拟内存操作来访问对方的内存，可以阻止应用层代码注入等安全风险操作。

2、在沙盒运行时，提供沙盒进程黑白名单，可以配置业务应用必备的运行环境脚本，如Jar包等。

★安全数据通道

能够通过内置集成的VPN，或与用户提供的VPN设备联动，建立安全隧道，保障预算单位终端与业务服务器之间的数据传输安全

★身份认证

1、要求支持用户名密码、USB-Key方式认证。

2、要求系统在使用USB-Key登陆时，与财政现有的吉大正元证书认证系统相结合。

3、在使用USBkey进行登录时，只需用户输入一次pin码，即可完成证书认证、VPN的认证和应用安全系统的认证。

4、支持用户采用VPDN技术的认证和使用，即通过4G方式进行身份认证的方式。输入一次pin码，即可完成证书认证、VPN的认证和应用安全系统的认证

★业务权限分配

可对用户访问业务系统的权限进行配置，从而实现不同账号权限访问不同业务系统。

终端用户管理

1、支持用户分组管理，可针对用户组进行统一授权或其他操作；

2、支持用户信息批量导入，可通过系统下载导入文件模板，将现有用户信息进行批量导入；

3、支持自定义用户属性（例如姓名、部门、电话等）。

策略配置

1、系统自带直接可用的默认管理策略模版，可指导用户使用。

2、系统提供自定义策略模版：可以根据当前网络的管理要求，来定义新的管理策略，进行策略模版的创建、复制、编辑、删除、策略部署。

★应用管理

提供业务访问配置功能，可在安全桌面中定制用户能够访问的业务系统，用户直接点击安全桌面中的业务快捷方式，即可安全的访问业务系统（同时支持B/S、C/S架构应用），针对每个应用可以分配不同的业务插件。

★应用云盘

1、通过云盘可以将终端访问业务需要的各种业务环境进行统一的定制、推送和升级，当终端办理业务时，可通过云盘中的标准业务环境来访问业务

2、应用云盘内置标准化的IE浏览器（至少支持IE6和IE8），保障业务系统访问的可靠性与易用性，防止因终端修改浏览器配置造成的访问异常；

3、可将业务需要的业务应用程序、常用工具等统一存放在云盘中，统一管理、统一维护，提高业务应用访问的便利性。

4、云盘中的浏览器及业务应用的各类插件可在后台统一进行升级。

常规管理功能

要求系统提供其他功能包括：

1、可以进行应用安全综合管理状态展示。包括：策略实施情况；终端用户在线、接入情况；应用访问情况；

2、能够设定管理平台、终端用户的安全桌面在长时间无操作的情况下，自动锁屏的时间。

3、能够针对用户密码的复杂度、长度、密码尝试次数等做严格管控。

4、要求提供屏幕录像功能，能够对预算单位用户业务访问的全过程进行屏幕录制，真实还原历史操作；能够配置第三方存放路径，方便存储录制视频；能够配置备用存放路径，防止由于空间不足导致的视频丢失。

数据管理

1、能够记录系统自身的操作日志，如策略配置、系统登录、终端登录等日志；能够准确的将消息推送、应用访问、应用插件安装、沙盒与本地的交互、客户端的安装、登陆及升级的明细信息保存到日志中。

2、能够按月、季、年来分析、汇总业务应用的访问情况，并支持查询

系统账号权限

针对管理平台的系统账号，要求根据不同权限的管理人员，建立专属的管理人员帐号、并为其分配其负责的管理权限。

客户端升级

1、无须终端做任何操作，只需在管理中心开启升级功能，即可完成客户端自动升级。

2、需提供应用插件统一升级，只需在管理中心配置新的插件，下属预算单位终端登录后即可完成插件升级。

准入功能

要求提供准入功能，预算单位的终端必须通过安全桌面才能访问业务系统，如果不通过安全桌面访问，将无法访问业务系统。