零信任访问控制系统采购项目采购公告

功能指标

技术参数

授权要求

★零信任接入授权≥500套

性能要求

★最**论加密流量≥700Mbps，最**论并发用户数≥1650

硬件规格

★采用国产处理器和国产操作系统，内存大小≥16G，硬盘容量≥256G SSD，冗余电源，接口≥4千兆电口+4千兆光口SFP+2万兆光口。（需提供适配国产处理器和国产操作系统的相关证明复印件并加盖厂商公章，可为使用国产CPU和操作系统的检测报告、国产CPU和操作系统厂商出具的授权书、互相认证证书或兼容认证证书等）

产品认证

★产品系列通过国家网络关键设备和网络安全专用产品认证和安全检测认证并在有效期内（https://www.****.cn/wa/netWorkCriticalEquipment.htm）（需提供网页查询结果截图并加盖厂商公章）

★产品符合国家商用密码产品认证规则要求（需提供有效期内的商用密码产品认证证书复印件并加盖厂商公章）

认证管理

★支持对接外部用户服务器来导入用户目录（如企业微信、钉钉等），并为未导入用户配置登录策略，可设置其禁止登录，或设置允许登录但为其配置默认访问权限，简化管理人员的用户配置。（需提供功能截图并加盖厂商公章）

为了进一步保障用户身份安全，需支持多因素认证，支持管理员结合已对接的主认证和辅认证类型进行设置，可自由选择采用首次认证+二次认证+终端认证+增强认证等方式

▲为强化系统认证安全性，可配置在触发异常环境的条件时，用户需完成增强认证才可登录。可配置的异常环境包括但不限于：帐号首次登录、帐号在该终端首次登录、账号在该地点首次登录、账号在新地点登录、账号在非常用地点登录、闲置帐号登录、弱密码登录、异常时间登录等（需提供产品功能截图及第三方权威检测机构出具的带CNAS标识的检测报告证明关键页并加盖厂商公章）

**发布安全

▲为有效抵御恶意软件和有针对性地攻击，WEB**发布时应支持到URL路径级别，且支持配置URL路径规则。

隧道应用支持配置到业务服务器的具体端口，且支持配置客户端接入IP限制，只有满足网络区域条件的终端才能访问此应用。

DNS解析

支持配置内网DNS解析的域名白名单实现仅部分指定域名才能使用内网DNS解析，并支持额外排除部分域名地址。

用户管理

支持通过组织架构、角色等方式进行本地用户管理，新增或修改本地用户时，可编辑的用户属性应包括但不限于：用户名、显示名、组织信息、关联角色、手机号码、密码、电子邮箱、用户有效期、帐号是否启用、应用授权等

支持编辑外部用户的登录安全策略，可根据具体场景配置自动忽略用户名大小写，可设置是否允许未导入的外部用户登录零信任系统，若设置允许时还应支持配置未导入目录的外部用户的默认应用访问权限。

终端接入

▲支持不同平台的终端同时在线，管理员可分别设置可同时在线的PC或移动终端个数，配置范围不小于0-1000，当超过终端个数时，可以注销最早登录的终端，且被注销的终端有对应的注销提醒（需提供功能截图并加盖厂商公章）

文件隔离

支持工作空间与个人空间文件隔离，用户在个人空间指定路径无法查看工作空间的文件。

文件加密

▲文件加密支持“一文一密”即每个文件独立密钥，以确保沙箱组件被卸载、模块驱动被摘除的情况下，终端用户仍无法明文取出文件。（需提供产品功能截图及第三方权威检测机构出具的带CNAS标识的检测报告证明关键页并加盖厂商公章）

剪切板策略

支持个人空间向工作空间和工作空间到个人空间的数据拷贝控制

分权管理

支持新增/删除/修改管理组，内置审计管理员、安全管理员、系统管理员等管理组；通过管理组管理权限的配置，实现管理员分级分权

巡检报告

▲为方便管理员统筹查看管理零信任系统的整体运行状态，支持对设备自身的安全状态和策略配置进行巡检，对设备的整体状态进行打分，统计所有检查的正常项、异常项和告警项，并输出巡检报告（需提供功能截图并加盖厂商公章）

稳定性检查

▲应支持CPU负载、内存负载、磁盘空间、网卡健康、硬盘健康、网卡日志、BIOS固件等硬件相关状态的检测（需提供功能截图并加盖厂商公章）

账号安全

▲支持疑似管理员测试帐号的残留检查，支持是否开启找回密码功能检查，支持疑似用户测试账号的检查（需提供功能截图并加盖厂商公章）

审计能力

▲支持用户访问日志，包括用户、源IP、URL、时间、get请求、post请求、端口等，支持管理员操作日志，含管理员、接入IP、时间、管理行为、对象等（需提供功能截图并加盖厂商公章）

流量镜像

支持将用户访问零信任系统的WEB**访问流量解密后镜像给外部网络流量分析系统，如态势感知等设备，以完善系统的用户行为审计溯源能力，提升设备自身的安全性

防爆破

支持配置同IP用户连续登录错误超过上限时锁定IP，并于指定时长后自动恢复

设备健康检查

▲支持控制台超时时间配置检查，支持管理员登录防爆破、管理员首次登录强制修改密码等管理员安全性登录配置检查。（需提供功能截图并加盖厂商公章）

▲支持将设备安全事件单独记录在设备安全日志中，事件类型包括但不限于：接口扫描、接口webshell攻击、接口参数爆破、接口越权调用等设备API防护日志（需提供功能截图并加盖厂商公章）

支持配置文件检查，支持端口配置检查，支持SSH登录记录

设备状态

支持查看当前设备运行状态，包括但不限于设备硬件状态（CPU、内存、磁盘占比等）、实时网络吞吐、历史网络吞吐峰值等信息，便于管理员掌握设备整体运行情况

支持告警信息设置，告警事件应包含但不限于： CPU使用率超过限、内存使用率超过限、磁盘占用率超过限、本机网卡异常、序列号即将到期、控制中心连通异常、集群故障等

控制台接入安全

支持启用接入控制台的IP限制，启用后只有名单内的IP地址才能接入访问零信任控制台