精选中国电信集团CTGMBOSS终端标准化管理产品入围选型技术规范书.docx
《精选中国电信集团CTGMBOSS终端标准化管理产品入围选型技术规范书.docx》由会员分享,可在线阅读,更多相关《精选中国电信集团CTGMBOSS终端标准化管理产品入围选型技术规范书.docx(16页珍藏版)》请在冰点文库上搜索。
精选中国电信集团CTGMBOSS终端标准化管理产品入围选型技术规范书
1.1.范围
终端本规范为中国电信集团公司(以下简称“甲方”)推行CTG-MBOSS终端标准化的技术规范标准,是中国电信集团向设备供应商(以下简称“乙方”)进行终端标准化管理产品入围选型的技术规范依据,供设备供应商编写方案建议书和报价之用,是设备供应商投标过程技术方案的依据。
卖方所提供的所有各项软件设备和系统应符合技术标准的要求如下:
(1)符合有关国际标准(如ISO、ITU-T、ETSI、IETF等)、国家已颁发的相关技术要求和文件。
卖方应在建议书中具体说明,并附上相应的详细技术资料;
(2)若卖方的设备和系统包含自己的专用标准,应在建议书中具体说明,并附上相应的详细技术资料;
(3)本文件中未给出,但ITU-T已有建议的系统设备性能和功能均应满足ITU-T最新建议要求;
(4)国家已颁发的相关技术要求和文件;
(5)中国电信相关规范;
卖方如对以上规范内容有不满足的地方,请作出相应说明。
对于满足部分,应给出明确的书面承诺。
本规范主要参考了中国电信《CTG-MBOSS安全规范技术规范-终端安全分册》编写而成。
1.2.说明
中国电信在任何时候保留和拥有对本规范书的解释权和修改权。
卖方应根据技术规范书的要求提供技术建议书和商务报价。
卖方提供的各项设备及系统的功能、性能应完全符合或者高于本规范书要求。
对于本文件未规定的产品性能,卖方应提出建议,并陈述其理由。
卖方提交技术建议书应包含的内容见第2节的要求,商务报价书应单独分册。
技术建议书要求采用中文书写,同时提供相应的电子文档(WORD格式),设备技术资料可提供英文。
在产品选型各个阶段,甲方将以书面形式要求乙方对有关问题进行进一步的技术澄清,乙方应以书面资料给予正式应答;所有各阶段的技术澄清文件都将作为选型依据。
卖方如果对本技术规范书有疑问可以通过书面材料与买方联系。
在规定的建议书提交最后期限以前,买方将以书面材料给予答复。
有关买方答复材料的复印件也将递交所有得到技术规范书的卖方。
在选型过程中,买方将以书面形式要求卖方对有关问题进行进一步的技术澄清,卖方应以书面资料给予正式应答;所有各阶段的技术澄清文件都将作为选型依据。
买方在任何时候保留和拥有对本文件的解释权。
买方有权在选型过程中,根据需要修改和补充本规范书内容。
未经中国电信书面许可,乙方不得以任何形式向第三方透露本规范书内容。
在本规范书中,对各条目的要求有下列表达方式:
“必须”、“应”:
表示现阶段系统建设的基本需要,该条目必须实现;
“建议”:
表示将来网络、设备和技术发展的目标,一般情况下希望该条目实现,但在某些特定情况下可以忽略该条目;
“可以”:
表示该条目属于可选。
投标方应对以下提出的每一项功能、性能要求,如实地说明其产品的支持程度。
如无特别说明,投标方声明支持的功能应为产品已实现的功能,不包括有能力支持但尚未实现的、近期将要实现的、未来计划实现的功能。
中国电信将适时对产品进行验证测试,如发现投标方声明支持的功能和性能要求与测试结果不符,中国电信将保留采取进一步措施的权利。
1.3.建议书要求
一、建议书的内容格式要求
乙方所提供的建议书应按照以下内容格式进行编制:
1.综述
2.项目技术规范书
3.技术规范书点对点应答
4.总体方案建议
5.系统设备配置及费用清单(包含可能的第三方软件)
6.培训计划
7.技术承诺
8.技术服务、支持、保修
9.技术文档
10.相关产品的销售许可证
二、技术规范书点对点应答要求
乙方的建议书中,要求对本规范书所提出各项要求进行逐条逐项答复、说明和解释,首先对实现或满足程度明确做出“满足”、“不满足”、“部分满足”等应答,不得使用“明白”、“理解”等词语。
在答复中,要求明确满足程度。
仅应答“部分满足”或要求进行解释时,才允许详细解释,应答“满足”或“不满足”时的详细解释视为无效解释。
三、乙方在建议书中应说明给甲方提供的技术文件、技术支持、技术服务、人员培训等的范围和程度。
四、乙方应在建议书中详细提供:
1、系统原理、结构描述
2、设备能提供的功能分类;
3、设备性能;
4、软件、硬件设备清单;
5、如果涉及到硬件设备,提供硬件设备的重量、安装方式和场地、环境等要求;
五、乙方应在建议书中列出提供的书面技术资料的详细清单。
六、乙方应列出其建议书中所提供系统的推出时间、在全世界范围内的应用情况以及在各国的使用情况。
2.总体技术要求
2.1.总体要求
一、系统各项技术应遵循国家相关标准和技术体制,没有相应国家标准则须遵循国际标准。
对于现存多种标准的技术,乙方应与甲方共同协商选定标准。
一旦相应的中国(或国际)标准确立,乙方应保证在一年内无偿过渡到甲方要求相应的中国(或国际)标准。
二、乙方应向甲方提供完整的、最新的且成熟的技术和产品。
三、本系统涉及的设备和系统供应厂家可能不只一家,因此在遵循本技术规范的基础上,要求各厂家在系统集成方面提供充分的合作性和技术支持。
在项目实施中,不同的系统提供商由甲方工程管理单位统一协调,各厂家须积极配合,涉及到的互联接口,必须提供具体技术细节资料。
四、如果乙方目前难以达到甲方所提出的功能和性能技术要求,甲方要求通过商务条件使乙方承诺进行产品的技术升级。
五、乙方负责提交系统的功能和性能测试方案供甲方确认,如果甲方组织测试,乙方必要配合甲方完成系统的测试。
六、乙方应根据甲方的业务需求及相关的技术规划要求,提出完整的项目管理、系统设计、工程培训、项目施工、项目验收、技术支持方案以及乙方人力资源供给方案。
七、乙方必须对工程技术文件以及由甲方提供的所有内部资料、技术文档和信息予以保密。
乙方必须遵守与甲方签订的保密协议,未经甲方书面许可,乙方不得以任何形式向第三方透露本工程技术规范书以及本项目的任何内容。
八、乙方提供系统详细的配置和性能指标。
明确性能计算方法及扩容能力。
2.2.系统指标要求
一、整个系统在部署时,要能够支持当前主流的操作系统windows2000,windows2003,windowsXP,windowsVISTA,系统给出部署终端管理客户端主机最低配置。
二、系统中用于终端管理时,终端在未处理任何后台作业时,CPU的使用率不超过10%,操作系统启动时间不超过180秒。
2.3.系统设计要求
2.3.1.可扩展性
系统具有良好可扩展性,支持新用户终端、新帐号的增加和扩展。
2.3.2.兼容性要求
系统支持当前主流的windows操作系统WINDOWS2000,WINDOWSXP,WINDOWS2003和WINDOWSVISTA。
兼容主流的OFFICE办公软件、杀毒软件、浏览器等,支持跟其他厂商产品联动。
2.3.3.可靠性要求
系统要能够连续长时间不间断工作,并能在不影响系统运转的情况下做到模块在线测试、更新、加载。
采用高可靠性的产品和技术,充分考虑整个系统运行的安全策略和机制。
系统要具有较强的容错能力和良好的恢复能力。
乙方应提供故障倒换时间和测试数据。
2.3.4.先进性和成熟性
系统采用国际最新的科技成果,从而保证整个系统在技术上处于领先地位,系统在建成后一段时间内(1到2年)不会因技术落后而大规模调整,并能够通过升级保持系统的先进性,延长其生命周期,同时又要保证先进的技术是稳定的、成熟的。
2.3.5.开放性和灵活性
系统提供开放接口,接口支持电信集团OA系统、IT综合管理系统的二次开发。
系统与其他系统之间的通信接口,应符合开放系统互联标准和协议,以方便集团和各省中心系统间的互联和管理,系统提供的资源分析和分析报表可灵活定制。
2.4.系统易用性
终端管理系统面向广大电信员工,大部分不是专业技术人员,终端部署和操作时要简单、容易操作使用,和常用的WINDOWS操作习惯相一致,提供统一的、风格一致的用户操作工管理界面。
乙方所提供的系统应具备完善的联机帮助功能,帮助文件必须支持中文。
3.系统功能技术要求
3.1.用户管理
用户管理包含如下功能:
目录管理、资源管理、账户管理、终端策略管理。
3.1.1.目录管理
具有层次化的目录信息,包括用户信息、组织信息、网络资源信息,
3.1.2.资源管理
用户可以通过多种方式在目录结构中查询自己所需要的用户信息、组织信息、网络资源信息。
3.1.3.账户管理
管理用户身份和网络资源控制访问验证,应支持多种用于证明身份的验证机制,包括Kerberos,x.509认证以及智能卡等。
3.1.4.终端策略管理。
策略管理主要包括了以下几个方面:
●服务管理:
禁用不必要的服务。
●设备管理:
确定允许/禁止在终端上使用的设备。
●驱动管理:
确定终端上可加载的驱动程序及驱动程序更新。
●软件限制策略:
在终端允许/禁止使用的软件。
●IP地址:
除第三方终端及新安装系统使用动态地址分配,用户无权更改IP地址。
●安全策略:
终端管理员可以针对不同的用户和用户组制定访问文件等资源的访问权限,以控制终端信息的安全性。
●桌面配置策略:
终端管理员可以配置终端执行程序的权限,限制用户使用规定之外的应用程序,可以控制不同用户的终端界面显示内容,能够对不同用户和终端的连接访问行为进行监控。
●屏幕保护策略:
员工离开桌面一定时间后,系统自动进入屏保,对锁屏。
用户需重新输入密码后才能重新操作系统。
3.2.准入管理
接入管理具备以下四方面功能:
身份认证、安全检查、权限控制,以及接入管理。
3.2.1.身份认证
身份认证需要支持用户名、密码、证书、USBKey多种认证方式,支持包括802.1x以及基于LDAP域的多种认证方式。
在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口和VLAN等信息,进行强身份认证。
3.2.2.安全检查
身份认证通过后进行终端安全检查,验证用户终端的安全状态是否合格。
合格的终端才能被允许进入企业网络,不合格的终端将根据相应策略被限制在隔离区进行安全修复。
安全检查内容应包括:
●补丁的安装情况;
●防病毒软件的安装情况;
●病毒代码库的更新情况;
●黑白软件安装与运行检查;
●安全状态定时评估
●防火墙的配置情况;
●屏幕保护的配置情况;
●桌面安全检查,代理、双网卡、MAC地址修改、IP地址获取方式限制、ARP防御、流量异常检测;
●特定服务的运行状况;
●特定软件的安装及运行情况;
●支持手动或自动修复方式。
3.2.3.权限控制
安全检查都通过后,需要对给终端用户进行授权,权限控制满足:
●基于身份的权限控制:
动态ACL/VLAN下发。
●隔离:
支持基于安全检查结果的动态ACL更改。
●接入时段限制:
包括固定时段的限制和周期型接入时段限制。
●客户端类型和版本控制:
支持客户端版本自动升级。
●上网流量限制:
可以配置IP流量阈值和对应处理策略。
3.2.4.接入管理
主要功能包括:
●实时监控:
实时监控在线用户的终端安全状态,及时获取终端安全信息,发现感染病毒后根据安全策略可将其限制到隔离区,强制或提醒不符合安全策略的终端用户主机进行防病毒软件升级,病毒库升级,补丁安装。
●终端信息查询:
包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置、已启动服务列表等。
●安全日志审计:
记录终端接入网络的情况并对所有违反安全策略的事件;定时收集客户端的实时安全状态并记录日志;查询用户的安全状态日志、安全事件日志、认证失败日志。
●在线用户控制:
消息下发、强制下线,管理员可以强制行为“可疑”的用户下线,可以配置客户端弹出式广告、自动运行WEB页面和自动运行命令。
3.3.维护管理
维护管理包括以下五个功能模块:
系统管理、软件管理、补丁管理、资产管理,以及远程支持。
3.3.1.系统管理
应能够提供:
●提供终端映像制作工具,构建用于部署的各省公司标准桌面映像;终端映像部署实现系统的快速安装、卸载和修复。
●用户状态和数据迁移,确定应用的优先级,选择需要备份和数据迁移的应用,能确定应用的配置和数据存放的位置。
●操作系统的备份和恢复,提供备份校验。
3.3.2.软件管理
实现功能包括:
●软件打包:
软件打包工具应支持多种打包格式,包括程序生成安装包、多文件MSI安装包、普通的软件安装包、操作系统映像等。
●软件分发:
软件的安装和删除都随终端用户和终端设备加入或退出管理组自动完成,支持断点续传功能。
●软件安装和卸载:
提供安装工具,支持管理员重新打包或更改信息,编写脚本,为任何基于Windows的应用程序创建包,可以允许权限较低的已登录用户使用管理员的权限安装软件。
●软件升级:
可设置升级提示,支持自动升级和手动升级。
●软件下载:
软件下载状态报告,支持断点续传功能。
●软件使用情况监控:
可针对软件应用程序使用情况进行跟踪的状态,可按预先设定的日程计划或在下一次建立连接时将使用情况报告上载至管理平台。
●软件安装情况监控:
报告软件安装和操作系统升级的状态。
3.3.3.补丁管理
对系统的补丁进行及时更新,实现:
●补丁获取:
自动提示补丁发布情况,定期查阅最新的安全公告获得操作系统、应用软件的最新补丁及相关说明。
●补丁测试:
对补丁和软件进行兼容性、安全性测试,评估补丁对企业内部环境的影响并决定是否安装该安全补丁。
●补丁打包:
如果决定安装该安全补丁,下载该安全补丁并根据不同类型制订补丁安装策略。
●补丁扫描:
通过补丁扫描,查询并确定需要安装补丁的终端。
●补丁分发:
按分发策略,执行分发计划,支持多级分发模式,在建立多级分法架构时,可自动完成补丁的分发同步操作。
●补丁验证:
检查补丁的分发状况,统计成功和失败比例,对分发失败的终端进行及时的处理,并定期生成报表。
3.3.4.资产管理
资产管理包含以下信息:
●硬件资产信息:
包括CPU、内存型号与大小、显卡型号与显存大小、Modem型号、以太网卡型号与MAC地址、无线网卡型号与MAC地址、蓝牙型号与MAC地址、显示屏型号、硬盘型号和容量和配件信息等。
●软件资产信息:
对终端软件应用进行信息收集和统计,对软件授权许可实际使用情况进行跟踪。
●许可证管理:
提供软件资产授权使用状况统计报表,了解许可证的使用情况。
●资产变更管理:
能够自动发现新增设备和未管理设备等,能够实时对软、硬件资产变动进行跟踪查询,并且提示告警变更动作。
●资产统计:
应具备较强的报表生成功能,可根据集团公司及各省公司的需要统一定制资产报表并定期生成。
3.3.5.远程支持
为系统管理员提供丰富的远程诊断、远程帮助工具,使得系统管理员能够对异地的终端系统进行远程诊断、修复,包含如下远程维护手段:
●远程交流:
提供远程交流工具,当异地用户终端故障出现,系统管理员可以通过远程交流工具与异地的终端用户进行沟通。
●远程控制:
提供远程控制功能,系统管理员在权限许可范围内通过远程操作工具对异地的终端系统进行远程操作。
●远程状况检测:
可以通过远程网络检测工具检查异地终端的网络连接情况。
●远程文件传输:
在远程控制时支持远程文件传输,支持文件断点续传,支持系统文件传动。
●远程重启:
可以通过远程启动工具对异地的终端系统进行关机和重启的操作。
3.4.平台管理
平台管理包含平台监控、平台基础服务和接口联动三个功能模块。
3.4.1.平台监控
通过平台监控功能,实现:
●系统、服务和进程的实时监控:
、对操作系统和应用程序事件、性能状况的监控,对管理范围内的重要事件信息进行捕获和评估,并及时呈现给系统管理员。
●及时报警:
提供预配置方式,当管理系统捕获事件后,可以及时报警,通知系统管理员,报警可支持邮件、手机、短信、声音等多种方式。
●提供知识库支持:
通过知识库系统帮助系统管理员根据发生的事件尽快诊断出问题所在,知识库支持更新,可以不断完善和丰富。
●报表生成:
管理系统应提供智能和灵活的报表和图表生成功能,预制多个针对系统、应用系统和IT环境的报表模板。
3.4.2.基础服务
基本服务包括两大类,一类是网络层次的服务,包含:
网络名字解析、远程访问、文件共享等;另一类是为应用程序提供的服务,包含:
消息队列、组件服务、UDDI、用户认证、授权管理。
3.4.3.接口联动
支持联动功能,与第三方IT服务管理平台、办公OA等进行接口联动。
3.5.终端安全
遵循CTG-MBOSS终端安全管理规范,着重围绕以下几方面进行终端安全设计和建设:
防病毒及恶意软件、终端系统检查和加固、终端安全审计、网络访问控制、上网行为监控、终端内容安全,以及终端信息保护。
3.5.1.防病毒及恶意软件删除
终端防病毒和恶意软件防护应提供如下功能:
●防病毒软件部署:
提供防病毒软件统一安装、管理、病毒库更新、隔离功能;统一完成防病毒软件客户端的安装,对未安装防病毒软件、工作异常的防病毒软件等进行安装和修复,以确保防病毒软件系统的正常工作,并禁止用户卸载;检查病毒码的检查更新状况;对不能通过反病毒软件正常更新的终端,通过软件分发的方式进行强制更新;检查反病毒软件的部署状况,并提交统计报告。
●恶意软件的检查与删除:
支持恶意软件删除工具检查终端计算机是否受到特殊流行的恶意软件的感染,并提示是否需要删除或者隔离感染文件。
当检测和删除过程完成时,此工具将显示一个报告,说明检测到并删除了哪些恶意软件(如果有)等检查结果并生成日志文件。
●防止间谍软件的检查与删除:
间谍软件的检测,根据指示消除检测到的间谍软件,预定的扫描和删除,预先防范,支持后台运行,提供自动更新,保持最新的代码库。
3.5.2.系统检查和加固
提供系统检查和加固功能,在现有安全环境的基础上,通过优先安全策略的配置,提高安全保障等级,降低安全风险;终端系统检查和加固应包括以下内容:
●操作系统的完整性:
检测系统存在的漏洞和问题。
●可疑文件检查:
检查是否存在可能的恶意软件。
●网络:
检查终端网络协议、端口开放情况,对非安全的网络配置进行调整,检查终端是否开启和使用文件及打印机共享,共享是否安全限制。
●清除冗余账户:
保持更新、清除冗余账户。
●禁用服务:
最小授权、禁用不必要的服务。
3.5.3.终端安全审计
终端安全管理应对终端用户行为和终端的事件进行审计管理,审计内容包含:
●终端用户对终端的读、写、授权等一系列行为;登录事件;对象访问事件;进程跟踪事件;系统事件;策略更改事件;审计模块可以对终端的安全事件日志进行归档并定期清理日志。
●审计模块还能定期清理日志,对过期日志进行归档或删除,防止日志文件过大。
3.5.4.网络访问控制
限制终端用户对企业内部网,企业外部网、互联网的访问控制,提供对互联网的基于目录的访问控制管理,访问控制实现以下管理目标:
●外网访问控制;
●内网访问控制;
●端口使用情况查询及控制;
3.5.5.上网行为监控
上网行为控制主要集中体现在以下几个方面:
●特定软件使用限制:
对诸如QQ,BT,网络游戏等与日常工作无关的一些应用软件的使用限制。
●邮件的审计:
对接收发送邮件进行审计,对邮件及附件中的关键字、域名、附件能做简单控制。
●访问时间限制:
对特定网络实行特定的访问时间限制。
●端口访问控制:
通过端口设置,防止非授权访问。
●网络访问行为审计:
对终端访问网络的行为进行审计记录,并定期生成报表。
3.5.6.终端内容和信息安全
CTG-MBOSS承载了大量的中国电信核心数据,如经营指标、财务及人事信息等,通过终端管理技术手段使得终端信息,文档和电子邮件能进行权限控制,保护数字化成果和财产不受损失,其主要功能应包括:
●内容安全保护:
对文档内的编辑权限和内容进行保护,保护文档信息在内部网络流转过程中,不被非法查看、复制和篡改。
提供信息权限管理功能,针对特定的文档限制使用剪切、复制、粘贴、打印、拷屏等权限控制操作,使得文档拥有者可以定义文档修改权限,还可以对文档的转发传播进行禁止转发和设置截止日期的限制,过期文档将无法被再打开。
●文档数据保护管理:
支持指定需要加密的文件或者文件夹,在加密的文件夹中创建的文件采用加密方式进行存储,提供加密和解密工具,对重要数据进行加密和解密恢复,保证一旦发生终端丢失,不会造成关键信息的泄漏,加密策略足够保障企业对信息安全要求。
4.技术支持和技术培训
4.1.技术服务
一、乙方应提供系统安装调试时所需的工程设计资料,乙方有责任在保证安全和质量的前提下提供技术服务,包括技术咨询等。
二、如果甲方需要对平台进行测试,乙方应根据甲方要求提供相应的软件硬件设备,配合甲方测试工作。
三、乙方在系统投产后,如对系统软硬件有所改进,增加新功能以及适应ITU-T新建议所做修改的最新版本,均应免费提供甲方使用。
四、对于目前为止ITU-T尚未形成最终建议的规范,乙方应在ITU-T发表一定时期内免费修改及更新软件版本和必要的系统设备硬件。
五、在系统试运行期间,根据需要乙方有责任派技术人员到现场指导维护工作。
4.2.技术培训
一、乙方应负责甲方技术人员和管理专家的技术培训,培训内容包括两个方面:
中级培训:
人数待定,培训内容:
系统的操作、平台的维护方法、安装调测、排除故障。
培训目标:
培训对象需要达到独立操作维护平台的目标。
高级培训:
人数待定,培训内容:
高级系统操作,高级故障诊断。
培训目的:
能熟练使用所提供的各种工具,排除平台运行中的各种问题。
地点应在乙方培训中心进行。
二、操作维护培训和高级培训应包括所提供全套培训教材(中/英文)和培训课程计划表。
乙方应详细开列各种培训费用,如培训地点、时间、培训规模等项目,如果乙方提出变更,应提出书面通知,并承担变更中发生的全部费用。
5.保修及售后服务
5.1.保修期
一、从最终验收完成之后的二年为保修期,期间乙方要保修除消耗品以外的所有乙方提供的设备。
在保修期内,如果系统发生故障,乙方要调查故障原因并修复直至满足最终验收指标和性能的要求,或者更换整个或部分有缺陷的材料及设备。
以上都应是免费的。
5.2.保修期内服务方式
一、保修期内乙方应提供7x24小时技术服务。
乙方应对其在中国的售后服务、技术支持方面的情况做出说明(包括在中国有无技术支持中心、地点设在何处等)。
二、保修期内在系统发生严重故障的情况下,乙方应在4小时内赶赴现场并于24小时内解决故障。
三、对于因系统缺陷、软件瑕疵、补丁区满或同时包含修正软件缺陷和新功能的升版,乙方要免费提供新版本并免费实施升级(如需更换硬件则免费提供),并同时免费提供版本软件安装带、盘、相应的License等的更新(指功能完善、打补丁类)。
四、保修期内每年提供一次免费系统现场巡检服务。
五、要求乙方对中国电信提供终端统一管理系统快速响应机制,确定统一服务联系人,对中国电信集团公司网网络运行维护部提出的问题在24小时内响应并提供解决方案。
5.3.保修期后的服务内容
一、乙方应说明与保修期内服务等级相同的保修期后维保年费率,按成交价百分比计算。
其中列明备品、备件和消耗材料及人员服务内容和相应费率(不计入总价)。
5.4.版本管理的要求
为了保证系统版本的统一,原则上要求在网上运行的终端软件和系统软件版本必须统一,对于同一大版本下存在多个小版本的,乙方必须每半年根据买方的安排免