中国共产党南江县纪律检查委员会多功能一体机、通用软件采购(南竞采【2019】200-1号)

产品功能3: 丰富的安全网络准入控制:支持旁路镜像应用准入、802.1x认证、Portal认证、AD认证、复合认证等多种网络认证技术，适应各种复杂网络环境下的接入部署，支持大型多分支机构网络部署。; 灵活的移动存储管控:给予不同的移动存储介质相应的授权试用范围和读写权限，同时支持设备状态的追踪与管理，实现对移动存储设备的灵活管控，保证终端与移动存储介质进行数据交换和共享过程中的信息安全要求。;

产品功能2: 智能化的补丁管理:可对全网终端进行漏洞扫描并与漏洞类型进行多维关联按需修复，特有蓝屏修复机制、补丁分发流控机制有效提升企业信息系统整体漏洞防护等级; 可靠的安全运维管控:能有效的对终端进行应用程序识别与控制、网络安全防护、非法外联控制、外设使用控制、账号密码安全检测、本地安全策略加固等。;

产品功能1: 实时全面的资产管理:全面展示全网终端软硬件资产、操作系统、网络、进程等详细信息，实时记录资产信息变更，有效管控网络流量、进程服务等，做到管理安全管理一目了然。; 有效查杀已知/未知病毒:结合360云查杀引擎、QEX脚本查杀引擎、AVE启发式查杀引擎、QVM人工智能查杀引擎、系统修复引擎、主动防御技术，有效查杀已知和未知病毒；通过联动360天眼产品有效抵御APT攻击;

深信服天珣内网安全风险管理与审计系统: 应用程序使用审计:支持对终端应用程序的使用情况进行审计，审计的应用程序使用情况包括应用程序的名称、运行时间、停止时间和连续运行时间信息等，方便对终端应用程序的使用进行维护和管理。; Windows事件日志审计:支持将终端系统产生的事件日志发送到服务器，方便管理员进行统一查询。; Windows开关机审计:支持对终端开关机行为进行审计，记录终端Windows操作系统启动、重启和关机的行为，并生成审计日志，上报服务器，掌握终端系统使用真实情况。; Windows登录与注销审计:支持对终端用户登录Windows情况进行审计，掌握每台终端用户活跃情况。; 主机名-IP-MAC变更审计:支持对终端主机名、IP、MAC的变化进行审计，及时发现违规修改终端配置的违规行为。; 客户端运行审计:支持全程跟踪和审计客户端的运行状况，审计的客户端运行状况包括：客户端服务的启用和停止、客户端策略的获取等信息。; 客户端卸载审计:支持对客户端的卸载行为进行审计。; 移动存储设备审计:支持对终端曾经使用过的USB设备进行审计，审计的内容包括：USB设备名称、设备实例ID、使用时间等信息，方便对终端USB设备历史情况进行了解。; 全网威胁管理:支持防病毒功能启用状态统计查询，能够查询已启用防病毒功能的终端和未启用防病毒功能的终端。 支持终端杀毒概况查询，可查询全网终端病毒木马感染状态描述和感染时间 支持防病毒扫描事件趋势，事件对象按时间统计。 支持威胁种类和事件统计，可统计各病毒木马扫描上报发现次数和事件发生次数。 支持各终端病毒库版本、杀毒引擎版本查询。; 终端杀毒基本配置:支持通过策略启动、关闭终端的杀毒软件功能。 支持云查杀以及定时升级终端病毒库版本。 支持主动防御，包括系统关键点防护、注册表防护、驱动加载防护、程序防注入防护、进程防护。 支持文件监控，且监控模式可以根据需要选择强效模式、高、中、低。 支持U盘防护。; 病毒查杀任务管理:支持快速查杀，可快速扫描各系统等关键目录或内存区域。 支持全盘查杀，可扫描系统中的本地磁盘所有目录等区域。 支持自定义查杀文件夹，可扫描终端系统中的本地磁盘指定文件夹区域，支持指定一个或多个文件夹位置。 支持定义通过快速查杀、全盘查杀、自定义查杀文件夹任务发现病毒后进行自动清除。 支持设置终端静默查杀病毒。 支持设置查杀模式，支持智能变频、速度最佳、性能最佳三种模式。 支持设置扫描的文件类型，支持扫描所有文件或者仅扫描程序以及文档文件。 支持对压缩包扫描查杀的控制，可自定义跳过大容量压缩包的扫描查杀。 各扫描任务支持以每天、每周、每月的扫描周期配置。; 信任列表:支持终端手工信任列表，终端可手工定义隔离区域文件的还原及信任，减少误杀率。 支持服务器下发信任列表，可定义指定MD5或目录排除文件列表。; 病毒库更新:支持手动更新控制中心更新包。 支持自动更新控制中心更新包，支持设置自定义更新任务，支持指定天、周、月设置，可精确到时间点。; 病毒查杀能力:具备多个自主研发的本地引擎，能够对已知、未知病毒、木马、恶意程序等进行检测、清除。 能够对各种加壳的病毒文件进行病毒查杀，支持的加壳种类不少于100种。 支持族群式变种病毒的查杀。 具备公有云检测能力，并且公有云特征存储超过10亿。 具备内部私有云建设能力，确保无法连接公有云时仍具备云查能力，私有云建设包括但不限于病毒木马库、漏洞库、恶意URL库等。 具备基于启发式引擎原理，识别未知病毒能力的特征云查杀能力。 预置至少5亿黑名单及1亿白名单，并可按需提供云查黑白名单。可提供接口管理，管理黑白名单以及云查数据。 具备机器学习能力，要求在断网状态下具备不依赖病毒库特征，而采用人工智能识别方式对未知病毒进行查杀。 具备基于多步行为判断的主动防御技术，能够根据样本一系列的行为特征来进行综合的风险判定。并能够监控和清除病毒、木马、恶意程序、广告/捆绑等，防护系统关键点、注册表改写、驱动加载、进程注入等，具备安全沙箱功能运行不受信任的风险程序。 具备宏病毒专杀引擎，可以解析office所有常用版本的文档，处理被感染的文档，将恶意代码清除而保留正常文档。清除操作的粒度可以到清除excel公式、宏脚本中某个函数等。 具备压缩包查杀功能，支持25种解压缩格式，涵盖压缩包、安装包、文档格式解析能力。支持安装脚本级查杀，拦截流氓软件捆绑。 具备系统文件监控能力，能够监控计算机系统所有活跃文件的安全性。 具备边界防护能力，对网页访问、浏览器下载、U盘拷贝等系统入口实时监控，拦截危险文件的落地。 具备勒索病毒防护能力，能够对勒索病毒进行监控，拦截以及恢复受损文件。 能够提供基于多引擎联合检测的服务器集群的病毒检测中心，可在无互联网情况下通过机器学习为全局自动增量运营病毒库。 要求有快速的反应能力，病毒库要求常规情况下，平均每周更新一次，反病毒更新模块允许从 Internet 或当地的服务器下载最新的反病毒数据库和组件。 支持对反病毒数据库更新源进行定制（互联网更新服务器、本地文件夹、网络共享文件夹、内部更新站点、U盘光盘等移动存储介质）。 反病毒软件在更新过程中遇不可抗力等意外情况下中断，在下次重新运行更新时，可使用增量更新技术，在中断之前更新的基础上继续更新，提高更新效率，节约网络流量。; 终端防病毒:支持终端手动快速查杀，可快速扫描各系统等关键目录或内存区域。 支持终端手动全盘查杀，可扫描系统中的本地磁盘所有目录等区域。 支持终端手动自定义查杀文件夹，可扫描终端系统中的本地磁盘指定文件夹区域，支持指定一个或多个文件夹位置。 支持移动存储设备接入查杀，当设备接入时，可自动扫描接入的移动存储设备。; 内容识别能力:能够识别常见的文档类型，MS Office文档、Wps、Rtf、Pdf、各类文本格式 能够识别常见的压缩文件,包含Zip、rar、7Z。 能够识别常见的加密的文档，Office类文档、RAR、PDF文档。 对于不带扩展名或修改扩展名的文件，能根据其文件特征识别其文件类型。 正确识别各种位置的关键字：支持文档页眉、页脚、批注信息识别。 支持各格式文档之间相互嵌套的检测。 支持文件属性识别：能够对文件大小进行识别,能够对文件类型进行识别。; 敏感信息定义:支持关键字，支持对关键词匹配模式的定义，关键词匹配模式包括：任意匹配、全部匹配、匹配次数设置。 支持持关键词模糊匹配，关键词中可以用*号代替不确定的词，如“工资*明细”。 对于符合某种规则的内容，可抽象出正则表达式，然后按正则表达式对文字内容进行检查。产品预置常见的正则表达式，如手机号码、身份证号、银行卡号、IP地址等，并支持基于校验方式检测内容。 正则表达式支持通过校验方式检验模式串的有效性。支持匹配次数设置。 当管理员非常清楚敏感文件是哪些时（比如：某台服务器上的doc文档全部是敏感文件），可以跟据导入的敏感文件的MD5值来匹配判断终端是否拥有该敏感文件。 支持敏感文件类型识别，按照常见文件类型（文本、图片、压缩等类型）定义检测策略。对于不带扩展名或修改扩展名的文件，同样能根据其文件特征识别其文件类型。并可支持后缀名定义识别。 支持敏感文件大小识别，可定义文件大小的范围，对敏感文件大小进行检测。; 检测算法:支持通过文件指纹检测敏感信息，文件指纹识别依据指纹匹配的相似程度进行响应。 通过机器学习，实现样本文档自动分类分级，辅助人工实现策略的调整和优化。 支持自然语言处理特征匹配内容，识别特定格式的文件内容（如源代码、财务报表等），替换或删除文件数据内关键字的情况下仍可识别该文件内容并匹配分类。 支持关键字、正则表达式、文件指纹、文件类型、文件大小、文件MD5等任意组合方式定义检测策略。; 服务器部署、升级和维护:支持快速安装方式，一键安装所需要的所有系统服务器组件和数据库，并支持自动生成客户端安装包。 支持在Windows2008 R2 X64、Windows2012 R2 X64 操作系统上部署。 支持在Linux平台部署。 支持MYSQL数据库。 支持记录服务器的安装（升级）时间等版本信息。 支持安装&升级一体包，智能判断安装&升级服务器。 支持级联部署和分布式部署。 支持服务器卸载时自定义数据库数据处理方式。; 管理方式:支持Https方式访问Web控制台。 支持自定义登录页面LOGO。 支持管理员分级管理，不同的管理员可以授权不同的区域或部门。; 策略管理:支持基于部门下发策略，支持面向不同的终端组织机构下发不同的策略。 支持策略对部门生效，也可以对用户生效，可以单独生效，也可以同时生效。用户策略优先级高于部门策略。 支持服务器主动推送和客户端主动获取两种方式下发策略。 支持在线生效和离线生效两种模式。 支持自定义策略基本信息展示的列。 对安全基线中不能依靠事件获得状态变化的策略可允许管理员自定义策略执行周期。 当安全基线策略不满足要求时，可以通过准入控制或客户端防火墙限制用户网络访问，并给出修复提示。; 平台数据展示:支持对安装系统的服务器性能状况进行实时监控，可以监控和显示管理服务器的CPU使用率、内存使用率、系统所在硬盘分区使用率和数据库可用磁盘空间的状况。 支持实时统计网内终端数量及合规状态。 支持滚动显示终端最新违规事件。 支持多种报表30天/半年/一年内的风险趋势统计展示。; 客户端部署、升级和维护:支持由应用准入引导用户自助完成客户端安装，而不需通过发邮件或现场安装的方式安装客户端。 支持Windows XP SP3（32位），Windows 7（32位/64位）, Windows 8（32位/64位）, Windows 10（32位/64位）系统上部署。 客户端和服务器之间通过SSL加密通道进行通讯。 支持管理员远程批量卸载客户端。 支持NAT环境下正常工作，也能在NAT及非NAT的混合环境下工作。 支持智能升级框架，无需借助单独的升级程序，即可以实现版本的整体升级，也可以实现同一版本的个别模块单独升级，使终端软件升级更容易。 支持客户端自我保护，提供卸载、停止客户端服务的密码保护，防止恶意停止和卸载客户端。 支持将传统桌面管理、终端数据防泄露、终端防病毒结合成为一个单一客户端，实现统一平台管理、数据关联融合及唯一客户端的真正一体化。 支持客户端完整性检查，并将故障终端信息上报到服务器进行统计。; 数据报表:系统提供丰富的终端相关信息的图形化报告和报表，报告和报表覆盖终端接入信息、资产信息、数据防泄露信息、防病毒信息等等，方便用户及时、全面了解内网终端安全和运行状况。 支持柱状图、饼状图、折线图等多种图形报表。 支持Word、Excel、Html和pdf格式导出报表。 支持终端发现，能发现安装或未安装客户端的计算机终端，无论计算机终端上是否运行主机防火墙都能发现。 支持对终端各事件行为进行查询和统计，且支持IP地址、Mac地址、主机名、时间、状态、协议类型等条件进行过滤。 支持基于权限的报告和报表管理，管理员只能查看和导出自己权限内的报告和报表。 支持Syslog方式发送报表到第三方平台,且支持事件类型和日志级别自定义。 支持邮件方式发送违规告警信息到指定邮箱。 支持自定义报表展示的列。; 客户端TITLE图标定制:支持管理员自定义客户端软件的显示名称。 支持管理员自定义客户端软件在系统托盘中显示的图标。; 系统参数配置:支持主备模式对客户端进行管理，客户端优先接受主服务器的管理（策略下发和报表上报），当主服务器宕机，客户端接受备服务器的管理，主备都宕机，则接受中心服务器的管理。 支持自动清除未受控终端信息。 支持手动清除受控终端信息。 支持自定义客户端获取策略时间间隔。 支持文件上传下载流量限制。; 时间策略:支持时间策略，可以设置工作日及时间、加班日期及时间和休假日期及时间。如果启用时间策略，非工作时间（包括休假时间），无论客户端是否离线，客户端启用并执行离线策略；在工作时间（包括加班时间），终端如果在线，则客户端执行在线策略，如果终端离线，客户端则执行离线策略。 如果出现时间叠加，则时间策略的优先级顺序为：加班时间（工作时间）->休假时间（非工作时间）->正常工作时间（工作时间）。 工作日范围包括周一到周五，工作时间范围包括0:00-23:59；加班日期及时间和休假日期及时间支持绝对时间。 支持客户端与服务器之间进行时钟同步，时钟源既可以是管理服务器，也可以使指定地址的NTP服务器。 支持禁止终端用户修改Windows时间。 支持自定义策略生效时间。; 部门与注册:支持客户端安装注册机制，由管理员自定义设置注册项，用户填写并提交后，系统后台自动将终端与该信息绑定保存。 终端注册项除了系统预置的联系电话、地址、Email地址等信息项类型之外，还可以根据用户的个性化要求，新增个性化客户端注册信息项类型，并可以选择该项是否为必填项。 支持IP地址关联部门、终端注册关联部门、管理员手工注册关联部门三种方式。 支持客户端重新注册，即可以设置对指定日期之前注册的客户端，要求重新注册的策略，实现所有客户端重新进行注册。 支持设置客户端注册重复提示周期，定期提示未及时注册的终端用户及时完成客户端注册，提示周期可以精确到分钟。 支持对指定终端注册信息进行查询、修改和删除。 支持对于未提交注册信息的客户端，由管理员集中进行手工注册。 支持批量注册并可导出终端注册信息。; 用户管理:支持AD域类型的身份认证方式，且支持转发认证，无需导入用户数据。 支持使用系统自带的本地用户进行用户账号集中管理，支持用户的创建、修改、删除和用户集中认证管理，也可以批量导入和导出用户，并提供用户导入模块，为用户提供更多、更灵活的用户管理和认证的选择。 支持将用户组作为策略下发对象。 支持AD域OU信息同步。; 系统冗余与备份:支持分布式多服务器架构，服务器之间可以进行负载均衡和冗余，任何一个服务器宕机都不影响其管理范围内的终端正常下载安全策略。 支持策略备份和还原，可备份成完整的不同历史时期的策略，也可选择不同的历史时间点进行还原。 支持策略的导入、导出和删除。 支持对日志和报表数据库进行定期清除和备份操作。; 级联管理:支持服务器级联管理，可以支持无限级的中心服务器进行级联。每一级服务器仍然可以支持一个中心服务器和多个本地服务器，结合级联，对终端管理规模可以极大扩展。 支持灵活方便的服务器级联关系管理，服务器安装时无需指定上下级关系，安装后直接通过Web控制台建立级联关系。 支持级联报表展示，可自定义下级服务器上报的报表信息，级联后，下级服务器会定期自动汇总，自动上报。 支持级联策略下发，上级可以将策略下发到下级，并可强制执行。 支持级联授权分拆管理，即可以根据需要每级独立使用自有的客户端授权，也支持授权逐级分发，根据每级实际的终端数量分配客户端授权数量。 支持授权回收，能够回收下级单位富余的授权数量，并重新对回收的授权数量进行二次分配。 支持查看下级服务器基本信息，包括接收的级联策略、分发的级联授权、级联状态、数据上报时间等。; 进程运行:支持进程红名单，确保必须运行的软件进程处于正常运行状态。 支持进程黑名单，可有效禁止运行与工作无关的软件。 支持进程白名单，强制用户只能运行指定的软件，对于运行的进程白名单之外的进程，可强制禁止。 支持MD5码、源文件名的方式校验进程名，防止用户通过程序改名逃避安全检查。 支持从样本终端上直接计算进程可执行文件的MD5值。 黑名单、白名单违规动作包括提示、结束进程和仅记录。 白名单支持进程取样、排除目录和排除进程签名。 支持列表导入和导出。; 终端敏感文件扫描:支持对终端磁盘上是否存在敏感文件进行扫描，支持的文件格式包括：各版本MS Office文档、Wps、Rtf、Pdf、各类文本格式等。 支持敏感文件查询,可以对包含敏感信息的文件进行精确定位。 支持敏感信息等级文件分布和拥有高风险文件统计。 支持终端本地查看包含敏感信息的文件信息，并支持数据导出。; 敏感信息外发管控:支持基于终端的常用泄密途径的监控，支持文件拷贝、打印、刻录、粘贴板、邮件、web、FTP等行为。 并支持自定义程序监控，对系统中的应用程序进行敏感文件外发管控。 文件拷贝：能够审计本地文档拷贝至移动盘、本地或网络盘的敏感信息行为，审计或阻止包含指定敏感信息文件的拷贝。 文件拷贝：能够支持拷贝文件加解密：含有敏感信息标识的文件需要输入密码加密后才允许拷贝，加密文件需要使用专用解密工具并输入加密密码才能正常打开。 剪贴板：能够审计系统剪贴板敏感信息内容的行为，审计或阻止通过拷贝/剪切动作进行内容复制操作传播敏感信息内容的行为。 打印：对打印的文档内容的审计及控制，自由控制不允许打印包含敏感信息内容的文档。 打印：支持详细审计打印的页面及份数 打印：支持对敏感文件打印水印保护功能，并同时支持自定义水印内容，水印排版支持横向、斜式输出，水印显示方式支持不透明显示与半透明显示。 刻录：能够控制终端的刻录行为：可以禁止终端进行刻录，并可以自定义禁止的刻录软件。 刻录：使用终端DLP产品自带的刻录软件，可对使用产品刻录软件的光盘刻录行为进行审计，并在光盘中生成终端刻录标识。 刻录：使用终端DLP产品自带的刻录软件，可自由控制终端的刻录权限及刻录次数，不允许刻录敏感信息文档。 刻录：使用终端DLP产品自带的刻录软件，可统计终端在指定时间内的刻录次数、刻录文件数及刻录文件大小。 刻录：使用终端DLP产品自带的刻录软件，可基于敏感信息文档上再做文件后缀名的刻录权限控制， QQ外发：能够审计QQ外发敏感信息文件的行为，审计或阻止QQ外发或上传包含指定敏感文件。 QQ外发：能够禁止QQ发送图片和接收图片。 邮件：基于SMTP协议识别，能够审计通过邮件客户端外发邮件的行为，支持对包含指定敏感信息邮件发送的审计或阻止。 邮件：基于SMTP协议识别，能够审计发送的收件人、抄送人、密送人、主题、正文内容、附件信息。 HTTP外发：基于协议识别，能够审计或阻止通过Web邮箱、博客、微博、论坛等网页形式发送文字的行为上报外发文字包含指定敏感信息等敏感信息的网页。 HTTP外发：支持对特定的服务器例外不进行审计。 FTP：基于协议识别，能够审计FTP客户端外发敏感信息文件的行为，审计或阻止包含指定敏感信息的文件外发。 FTP：基于协议识别，能够强制禁止SFTP协议。; 文件审核:支持客户端提交敏感信息文件外发审核申请。 管理员审核文件后，终端在指定的有效时间内可外发已授权的文件。 审核申请信息以邮件的方式通知审核员,审核员与系统管理员独立权限管理，提交授权支持部门分级管理。; 敏感信息外发告警:敏感信息外发事件可通过邮件自动发送到指定地址。 发送邮件中包含详细记录事件产生原因及终端明细。; 敏感文件上传备份:外发的包含敏感信息的文件可上传至服务器备份。 支持根据触发不同事件及不同密级的文档上传备份。 支持备份文件与事件相关联，支持对查看备份的授权处理。; 屏幕水印:支持终端屏幕水印，支持文字水印或图片水印，背景显示指定的水印内容，防止对录屏、截屏、拍照等行为获取到的页面或数据进行利用。 支持在开启指定应用时，才启用水印，提高水印功能的灵活性。; 软件安装:支持软件安装红名单，确保必须安装指定的软件。 支持软件安装黑名单，能够有效阻止安装与工作无关的软件，并能够对违规安装的黑名单软件进行违规处理。 支持软件安装白名单，强制用户只能安装指定的软件，并能够对违规安装的白名单之外的软件进行违规处理。 支持对软件名进行精确匹配或模糊匹配，防止通过修改软件名称逃避安全检查。 违规处理动作包括提示、仅记录、拦截和卸载。 支持列表导入和导出。; 防病毒软件管理:支持检查防病毒软件是否运行，病毒码版本是否升级，支持Symantec、TrendMicro、McAfee、瑞星、CA、驱逐舰、微软等主流防病毒软件。 支持指定病毒码自动更新的期限，或最新的病毒码版本号。 支持手动更新防病毒软件和对应的病毒码版本。; 服务与注册:支持停止并禁用终端Windows服务管理器中的已启用服务。 支持自动启用终端Windows服务管理器中的已禁用服务。 支持通过检测指定注册表项或注册表值的存在，以及检测指定的注册表项和值的匹配关系来判断终端是否有隐藏的木马或病毒。 支持对指定注册表项或键值的保护来防止木马或病毒修改关键注册表而控制用户终端。; Windows帐户策略:支持启用或禁用Windows系统默认的Guest帐号，提高系统安全性。 支持对Windows管理帐号进行管理，可以禁用或启用系统内置的管理员帐号，也可以禁用或启用所有属于管理员组的帐号，提升系统的安全性。 支持修改Windows管理员缺省账号为其他任意名称，减少通过默认管理员帐号进行攻击的风险。 支持帐户锁定，一定次数的无效登录后会自动锁定该账户。 支持用户帐号权限分离，可以为指定用户组添加用户组成员，也可以将指定用户从用户组中移除，方便对系统用户帐号进行有效管理。 支持禁用和删除Windows系统无用帐户，锁定和删除与设备运行、维护等与工作无关的账户，降低Windows系统的安全风险。 支持密码组策略设定，实现密码复杂性要求、密码长度和密码最短使用期限，提供密码的安全性。 支持基于字典的弱密码检测功能。可进行禁用状态下的弱密码检测，可根据检测结果设置终端安全状态。; Windows本地策略:支持对终端的共享资源进行控制和管理，支持的共享资源包括目录共享、打印机共享和IPC共享。 支持检测并上报用户终端上共享资源路径，并可设定是否允许开启共享资源。对于不允许开启共享资源的终端，可强制取消共享。 支持对指定的共享目录，为指定的Windows帐户设定共享权限，可设置的权限范围包括：读取、更改和完全控制，方便对终端共享目录的权限进行管理。 支持SYN攻击防护，通过修改注册表键值来增强终端对SYN攻击的抵御能力。; 用户环境管理:支持启用或关闭终端屏保功能，且可设置屏保恢复时显示登陆界面、启用屏保的等待时间等参数。 支持对Windows远程桌面进行设置，可禁用或启用终端的远程桌面功能，方便对终端进行安全管理。 支持对终端是否加入域或登录到指定AD域进行检查。; 网络准入:可以与支持802.1x协议的交换机联动，实现有线局域网网络准入，对接入的计算机及接入的用户进行认证，支持华为、H3C、锐捷、Cisco等主流网络设备。 支持用户名/密码的准入控制，用户需要通过用户名/密码验证成功后方可接入网络。 支持仅验证客户端的准入控制，只要终端上安装了客户端，用户无需输入用户名/密码即可通过认证并接入网络。 能够通过GUEST VLAN，自动隔离没有安装客户端的计算机，并进行安全修复。 支持基于Port-based端口模式和基于Mac-based模式的认证混合使用，可以实现对交换机下接HUB连接的终端执行准入控制。 支持安全状态检查、可信客户端等多种认证条件。 支持终端可信MAC认证管理。通过可信MAC认证，确保只有合法MAC的终端才能通过认证。同时，系统支持管理员在线对申请接入的终端，进行可信MAC实时认证和授权，方便对新接入的终端进行精确和灵活的管理。 支持终端可信GUID认证管理。GUID具有唯一性和防篡改特性，通过可信GUID认证，确保只有合法的终端才能通过认证。同时，系统支持管理员在线对申请接入的终端，进行可信GUID实时认证和授权，方便对新接入的终端进行精确和灵活的管理。 支持用户登录唯一性认证，保证当前一个帐号只能登录一台机，确保用户帐户的安全。 支持对终端安全状态进行检测，如果终端安全状态不符合安全策略，可以禁止终端接入网络。 支持第三方客户端802.1x认证，即Windows、Linux、IOS等系统平台自带的802.1X客户端在系统中进行认证。 支持的用户认证目录服务包括本地目录服务和AD域目录服务。 支持基于802.1x网络准入MAC免认证，即只认证接入设备的MAC地址，如果MAC地址在MAC免认证列表中，则允许该设备接入网络。方便对特殊终端，如打印机、扫描仪、哑终端等设备进行识别、认证和放行，保证特殊终端的正常使用。 支持动态VLAN跳转，在可信客户端认证（可信MAC和可信GUID）条件下，可配置对应的VLANID，对于认证通过的终端，可根据对应的VLANID跳转到对应VLAN，实现VLAN的动态跳转。 可以与支持WPA-企业或WPA2-企业协议无线AP联联动，实现无线局域网网络准入，对接入的计算机及接入的用户进行认证，支持胖AP和瘦AP。; 应用准入:支持与启明星辰网关设备（目前支持的有P墙、USG、NGIPS、IPS、IDS、T墙）联动实现应用准入控制，由网关设备担任准入控制网关，当终端的访问经过准入网关时，网关设备会对终端进行认证检查，只允许安装客户端且安全状态符合要求的终端经过准入网关进行访问。 支持对使用浏览器进行访问的终端，通过浏览器进行友好提示，引导终端用户完成客户端的自助安装。 支持对终端安全状态进行认证，如果终端安全状态不符合安全策略，能够禁止终端访问受保护的应用、服务器或网络资源。 支持准入状态审计。 支持自定义个性化提示页面。; 补丁管理:支持简体中文、繁体中文、英文等语言的Windows操作系统补丁、IE系统补丁。 支持Windows应用程序补丁，支持MS Office补丁等补丁。 支持离线补丁升级，可以使用工具对补丁分发信息及文件进行导入。 支持补丁报表查询，方便维护人员及时了解到生产网每台计算机安装的补丁情况，也可以查看每个补丁在网络中的安装情况。 支持流量控制，可在空闲时进行补丁分发，也可在指定的时间段内进行补丁分发，最低限度降低补丁分发对网络带宽的影响。 补丁分发前和分发后自定义提示消息。 支持补丁回退功能，强制卸载已安装的补丁。 支持补丁分发P2P，自动从已下载补丁的终端上下载补丁，分担服务器压力。 支持WSUS集成管理，通过修改注册表来协助终端配置好WSUS客户端，使其自动从WSUS服务器上下载补丁。; 资产管理:支持自动统计网内终端数量。 支持自动收集终端资产状况，包括安装的硬件、软件和操作系统的安装时间等信息。 支持通过客户端注册自动绑定计算机所属部门、使用人等信息。实现终端资产与终端用户实名制管理。 支持终端关键硬件发生变化时，自动产生硬件资产变更报警。 支持终端安装的软件发生变化时，自动产生软件资产变更报警。 支持自动识别和区分终端类型是台式机或笔记本电脑，方便用户根据终端类型进行分类管理、查询和统计。 支持自动识别和区分存在多网卡的终端，方便用户对非法外联行为进行控制。 支持识别安装多操作系统的终端，方便用户对终端操作系统安装情况进行了解和统计。 支持多种资产报表，方便资产统计及管理，并支持基于Word、Excel、Pdf和Html格式的报表导出。 支持IP、MAC、部门、使用人、资产号等多种条件查询功能，查询数据支持基于Word、Excel、Pdf和Html格式的报表导出。 支持手动清除异常终端资产信息。; 软件分发:支持客户端软件安装包的自动分发和安装，且支持MSI、EXE、BAT、脚本等格式的安装程序，支持自定义安装包。 支持普通格式文件自动分发，可以将文件自动分发到指定的终端目录下。 支持断点续传，分发过程中异常中断后，可重新从中断点继续分发。 支持流量控制，可在空闲时进行补丁分发，也可在指定的时间段内进行补丁分发，最低限度降低补丁分发对网络带宽的影响。 支持软件分发任务执行完毕后自动关机功能，且可自定义任务完成后自动关机的时间间隔。 支持记录、统计和查询客户端软件分发完成情况。 支持安装完毕后自动删除安装包或安装文件。; 设备管理:支持对终端USB、并口、串口、红外、蓝牙、软驱、光驱、WLAN、1394、PCMCIA卡、MODEM等外设的启用及禁用。 支持识别USB移动硬盘、USB鼠标/键盘等USB设备，并分别设置控制策略。 支持外设取样，可单独启用/禁用未知类型的外部设备。 支持自动收集终端曾经使用过的USB设备的历史记录并上报服务器，可对指定范围终端的USB设备使用历史进行查询。 支持可信无线SSID管理，即终端只能连接指定的SSID，不在可信列表中的无线SSID不允许连接。 支持多网卡非法外联管理，可以设定只有与策略系统通讯的网卡才能发送和接收数据，禁止其他任何网卡发送和接收数据，包括多网卡、拨号连接，VPN连接等。 支持自动识别物理网卡和虚拟网卡，并可自定义选择通讯需要的网卡。 支持自动关机节电，即为终端设定自动关机的条件，一旦条件符合，终端将自动关机，方便管理员对无人值守或者长期空闲的机器进行关机处理。 支持定时自动关机，也支持终端空闲若干时间后执行关机，方便根据不同情况进行处理。 支持自定义自动关机执行前提示信息，并可设置是否需要用户关机确认。 支持将关机信息上报服务器，并自动根据终端类型及管理员设置的终端功率计算节电度数。; 信息发布:支持客户端信息发布功能，通过客户端信息发布，可以对终端用户进行安全教育。并可将事先准备好的安全教育内容，定时通过信息发布到客户端，客户端收到后，将自动弹出信息提示框，并提示终端用户及时阅读，全文阅读完毕并点击确认之后，客户端消息框将不再弹出。 支持设定信息发布有效时间以及重复周期，保证信息发布的时效性。; 客户端绑定:支持客户端IP管理功能，灵活的MAC-IP绑定、User-IP绑定，当用户使用不匹配的IP地址时，系统将自动修正，或视为不符合安全状态，阻断网络访问。 支持从报表导入绑定组合、从文件导入绑定组合以及导出绑定组合。 支持MAC例外和User例外，在例外列表中的MAC和User不做绑定。例外优先级别最高。; 按需支援 【远程桌面】:支持按需支援，当终端出现故障时，可直接通过系统向维护人员发起远程协助请求无需到用户现场处理。 支持管理员主动发起的远程桌面请求自定义是否需要用户确认。 支持远程协助全过程透明，用户可以看到维护人员的操作，保护用户隐私。 支持管理员发起无需用户确认的远程协助，方便远程无人值守的终端。 支持设置远程桌面管理员的管理范围，不同部门的请求自动分配到各自的管理员进行处理。 支持对远程桌面协助进行审计，并记录管理员的操作记录。 支持远程协助对话管理。 支持远程协助在线文件传输。 支持终端信息同步，即直接同步组织架构和在线终端信息，可直接选择对应的终端进行远程，无需输入IP地址等繁琐操作，简便快捷。; 终端实时管控:支持终端实时管控，可点对点操控终端的“服务、进程、网络连接、补丁查询、终端锁屏、终端维护”功能。; 设备认证:支持对接入终端的移动存储设备进行认证，对未认证的移动存储设备，弹出认证和注册提示窗，提示用户对设备进行认证，确保只有认证过的移动存储设备才能够在终端使用。 支持禁止使用、设备只读、设备可读写三种设备授权方式。 支持专用目录加密认证、全盘加密认证两种设备安全认证授权方式。 支持未认证的移动存储设备接入终端时，自动阻止对该移动存储设备的读取或写入操作。 支持对多个移动存储设备或所有移动存储设备进行批量授权，且可对已授权的移动存储设备认证信息进行批量导入和导出，方便对移动存储设备进行高效管理。 支持对USBkey、鼠标键盘等通用输入输出设备进行自动识别，保证其不受启用移动存储认证的影响。 支持专用目录加密认证方式，自动为已授权的移动存储设备创建加密目录，保存到加密目录的文件，将自动被加密。在非内部环境下，移动存储设备仍可以正常使用，但无法打开加密目录中的已加密文件，确保内部资料的安全。 支持全盘加密认证方式，自动安全格式化移动存储设备，所有保存到移动存储设备的文件，全部自动加密。在非内部环境下，移动存储设备无法识别，从而最大限度保证内部资料的安全。; 设备授权:支持对使用专用目录加密和全盘加密认证方式认证的移动存储设备进行授权，使其可以在内部环境中正常使用。 支持对专用目录加密方式认证的移动存储设备设置加密目录的权限，包括读/写、离线读/写，也可设置非加密目录的权限，包括读/写、离线读/写，且非加密目录的权限仅在内部环境生效。 支持对全盘加密方式认证的移动存储设备设置权限，包括读/写、离线读/写。 支持的授权状态包括授权通过、只授权不加密、挂失，方便对移动存储设备进行统一管理。; 未认证设备授权:支持未认证设备授权使用功能，能指定某些特殊终端可以使用未经认证的移动存储设备，提高移动存储管理的灵活性。; ACL:支持对终端访问的目的地址、服务以及发起访问的进程进行管理，只有允许的进程才能对指定目的地址和服务进行访问。 支持对终端接受访问的源地址、接受访问的服务以及接受访问的进程进行管理，只有允许的进程才能接受指定的访问者对指定服务的访问。 支持对终端安全状态进行检查，如果安全状态不符合要求，可以禁止终端进程访问网络，或者接受访问。 支持安全域管理，无须对现有的网络做任何调整和改变，直接对所有管理的客户端按照不同部门或不同的安全防护等级标准，划分安全域，并针对每个安全域或安全域中的每个用户设置域内和域之间的的访问控制权限，实现最细粒度的安全域管理。; PING控制:支持集中对终端PING进行控制，有效保护受控终端被PING，也可以禁止终端对网络进行PING操作。; 流量限制:支持实时监控每个进程的流量，实时自动抑制异常流量，自动限制超过阈值的流量，将蠕虫病毒或非业务流量对网络的影响减到最小，且可对不同的进程设置不同的流量限制规则。 支持实时监控每个远端端口、本端端口、目标地址的流量，实时自动抑制异常流量，自动限制超过阈值的流量，将蠕虫病毒或非业务流量对网络的影响减到最小，且可对不同端口和地址设置不同的流量限制规则。 支持基于带宽绝对值和相对值的流量控制。 支持自定义终端总带宽，且可设置某些进程、端口、目标地址的流量不计入总带宽。 支持对某些进程、端口、目标地址的流量设为不限制流量的类型。; 攻击防护:支持TCP连接监控，保证终端上每个进程的TCP并发连接数和单位时间内的连接数不超过指定的阈值，超过阈值会产生告警并阻断连接。 支持TCP连接白名单，对终端上指定进程的TCP连接行为不予限制。 支持UDP发包监控，保证终端上每个进程在单位时间内发包总数和目标总数不超过指定的阈值，超过阈值会报警并拦截该进程的网络访问。 支持UDP发包白名单，对终端上指定进程的UDP发包行为不予限制。; 非法外联监控:支持对终端的非法外联行为进行监控和告警，一旦发现终端发生非法外联行为，即可根据设定的告警对象和告警方式进行告警，直至非法外联行为中止后才会解除。 支持搜集产生非法外联行为终端的外联证据，增强对非法外联的判断，方便返本溯源。 支持的外联证据搜集包括打印路由信息、打印外设信息、打印网卡信息等。 支持多种方式对非法外联行为进行审计和告警，告警方式包括：终端提示，上报告警事件及电子邮件***