| 序號 |
功能項 |
功能詳情 |
| * |
設備性能 |
規格為**,內存大小≥***,硬盤容量≥****????***,電源≥冗余電源,接口≥*千兆電口+*千兆光口***+。支持并發用戶數≥****,加密流量≥**** |
| * |
部署要求 |
為了滿足未來的發展,需要支持****/****雙棧網絡**配置 |
| * |
為充分利用設備的網絡性能,綜合網關部署時支持配置聚合網口,并支持將聚合網口作為綜合網關的網絡部署**。聚合網口支持通過哈希或***.***等標準對閑置網口進行網口綁定,支持通過***探測機制對聚合網口進行健康檢查。 |
| * |
為了滿足未來的高可用需求,綜合網關需要支持本地集群部署且最少*臺設備即可組建集群,單集群的最大節點數量不得少于*臺;本地集群組建時,集群中的節點可承載工作負載功能,不需要依賴其它外置設備。(提供配置截圖證明,加蓋廠商公章) |
| * |
資源發布 |
通過隧道模式,可以支持基于***、***、****等協議代理訪問業務資源,支持發布**、**范圍、**段、具體域名及通配符域名等形式的服務器地址,滿足常見辦公業務的代理,收縮業務暴露面。為簡化資源發布配置,隧道模式應支持同一個資源發布多個服務器地址;管理員還可基于業務的特殊性,自主選擇優先使用長連接或短連接進行業務代理。 |
| * |
通過***模式,可以支持基于****或*****協議代理訪問業務資源,支持發布**或域名形式的后端服務器地址,可配置業務應用的具體訪問***路徑。為了保持用戶訪問應用體驗的一致性,后端服務器地址需支持多地址配置;為適應較復雜的內外網訪問場景,***應用的前端訪問地址應支持多地址訪問。存在前置代理設備的場景,還應支持從***字段獲取源**。 |
| * |
支持配置應用資源指定的打開方式,如瀏覽器等;為了適應某些業務系統對瀏覽器的兼容性,還應支持配置應用打開的指定瀏覽器類型。 |
| * |
為適應復雜多樣的內部業務系統,***模式下發布應用資源時,支持透明代理、智能改寫等模式,以合理適配較規范化的業務系統及復雜老舊的非常規站點。 |
| * |
為提升業務應用的數據安全性,零信任系統應支持針對發布的***應用開啟***水印,水印內容至少包括:用戶名+當前登錄后查看,起到威懾與溯源作用,有效預防數據泄露。(提供證明材料,加蓋廠商公章) |
| ** |
對于一些主要在主站點中點擊使用的子站點***業務系統,且子站點跟主站點業務系統權限一致的場景,為簡化管理員配置,零信任系統應支持開啟依賴站點功能。為方便業務快速上線,還應支持自動采集站點功能對依賴站點進行梳理。 |
| ** |
支持以私有***發布企業資源,無需額外購買***服務即可使用域名訪問內網資源,支持管理員自主配置是否允許從具體網絡區域(局域網/互聯網)接入時使用此私有***解析地址。(提供證明材料,加蓋廠商公章) |
| ** |
為方便維護人員管理應用權限,支持直接在應用授權界面為單一應用或某個應用分類分配用戶授權,授權方式支持直接授權給用戶所在的組織架構、用戶關聯的角色或用戶本身,并展示應用直接授權的組織架構、授權角色或用戶數量。 |
| ** |
終端接入 |
為了不改變員工原有使用習慣,保障員工的使用體驗,需支持以下主流瀏覽器訪問***資源: *、支持***及以上版本瀏覽器訪問***資源 *、支持******????**及以上版本訪問***資源 *、支持****、*******、*****、******等其他主流瀏覽器訪問***資源 *、支持微信內置瀏覽器、釘釘內置瀏覽器訪問***資源 *、支持*******、***各大手機廠商的自帶瀏覽器訪問***資源 *、支持國產操作系統瀏覽器接入并訪問***資源 |
| ** |
國產硬件***的國產操作系統終端,需提供國產操作系統與零信任廠商的兼容性證明,(提供證明材料,加蓋廠商公章)包括但不限于麒麟***×龍芯、麒麟***×龍芯*********、麒麟***×飛騰、麒麟***×鯤鵬、麒麟***×兆芯、麒麟***×海光、麒麟***×海思麒麟;統信***×龍芯(******、******)、統信***×龍芯(******)、統信***×飛騰、統信***×鯤鵬、統信***×海光、統信***×兆芯等。 |
| ** |
為了保障員工順利訪問經零信任隧道模式代理的業務,零信任客戶端應兼容主流非國產終端,包括但不限于:********(**位、**位)、*********(**位、**位)、*********(**位、**位)、*******、*******、*******、*******、***等非國產操作系統的終端。 |
| ** |
為了提升用戶體檢,支持用戶自主配置是否開啟開機自啟動零信任客戶端,支持管理員配置是否允許用戶在客戶端下載安裝后自動攜帶登錄地址。 |
| ** |
支持配置企業的***作為零信任客戶端下載地址,以降低設備本身的非業務訪問帶寬壓力。(提供證明材料,加蓋廠商公章) |
| ** |
支持不同平臺的終端同時在線,管理員可分別設置可同時在線的**或移動終端個數,配置范圍不小于*-****,當超過終端個數時,可以注銷最早登錄的終端,且被注銷的終端有對應的注銷提醒; 管理員可設置允許終端在線數為*,以禁止用戶通過此類終端接入訪問。(提供證明材料,加蓋廠商公章) |
| ** |
支持終端設備可視管理 *、支持用戶自助查看在線或離線終端列表,并注銷其他終端,避免賬號盜用; *、支持查看同賬號登錄過的終端信息,包括但不限于設備名稱、設備系統類型、接入地址、最后登錄時間等。 |
| ** |
為方便手機端與**端需同時使用的員工: *、支持手機***通過掃描**端二維碼自動填入零信任接入地址; *、手機***登錄后需支持掃碼上線**。 |
| ** |
為方便管理用戶的終端,并對其進行分類管理,支持為終端設置資產類型,如企業終端、個人終端、企業納管個人終端等類型。 |
| ** |
為方便統一管理用戶的終端,支持為接入系統的終端設置標簽,支持通過終端標簽來配置特殊的上線準入策略及應用訪問策略。終端標簽應至少內置內網終端、外網終端、開發終端、辦公網終端等標簽,且支持管理員自定義新增標簽。 |
| ** |
支持以表格的形式批量導入導出終端列表,可查看接入系統的終端詳細類型,包括但不限于:終端名稱、品牌、操作系統、資產類型、終端標簽、硬件特征碼、***地址、授權類型、最后登錄用戶、最后接入方式、最后接入**、最后接入網絡區域、最后活躍時間、首次接入時間、閑置時長、在線狀態等。 |
| ** |
認證管理 |
為了進一步保障用戶身份安全,需支持多因素認證,支持管理員結合已對接的主認證和輔認證類型進行設置,可自由選擇采用首次認證+二次認證+終端認證+增強認證等方式。 |
| ** |
支持對接外部用戶服務器來導入用戶目錄(如**/****、企業微信、釘釘等),并為未導入用戶配置登錄策略,可設置其禁止登錄,或設置允許登錄但為其配置默認訪問權限,簡化管理人員的用戶配置。 |
| ** |
支持免輔助認證,員工手動勾選信任瀏覽器后,在信任有效期內該瀏覽器登錄不需要重復進行輔助認證,提升用戶體驗,時長有效期可設置范圍不小于*-**天。(提供證明材料,加蓋廠商公章) |
| ** |
為強化系統認證安全性,可配置在觸發異常環境的條件時,用戶需完成增強認證才可登錄。可配置的異常環境包括但不限于:賬號首次登錄、賬號在該終端首次登錄、閑置賬號登錄、弱密碼登錄、異常時間登錄、非常用地點登錄等。 |
| ** |
在業務系統已經有第三方統一身份認證系統的場景下,零信任系統支持通過票據共享的方式跟統一身份認證系統進行單點登錄對接,以間接實現業務系統的單點登錄對接。為了適應多種身份認證系統獲取票據的方式,票據共享應至少支持反向*****對接及票據注入等模式。 |
| ** |
支持中國商用密碼標準,支持加密算法***、***、***。(提供證明材料,加蓋廠商公章) |
| ** |
支持使用商密密碼卡進行加密 |
| ** |
支持在控制臺對密碼卡進行管理(包括:激活、取消激活、密鑰備份/恢復、管理***口令) |
| ** |
用戶管理 |
支持通過組織架構、角色等方式進行本地用戶管理。新增或修改本地用戶時,可編輯的用戶屬性應包括但不限于:用戶名、顯示名、組織信息、關聯角色、手機號碼、密碼、電子郵箱、用戶有效期、賬號是否啟用、應用授權等。 |
| ** |
支持管理員自行配置單位的弱密碼庫,可配置不少于***行的弱密碼。 |
| ** |
支持管理員自定義用戶密碼組合方式是否需要包含字母、數字、特殊字符; |
| ** |
支持管理員根據情況自行選擇密碼能否包含用戶名、新密碼不能與歷史前*次密碼重復、密碼不能包含連續重復字符的次數、密碼能否包含鍵盤連續排序字符等安全規則。 |
| ** |
數據安全 |
支持***、安卓手機***集成零信任***,從而實現安全接入、沙箱等功能,避免單獨安裝零信任手機客戶端,提升用戶使用體驗 |
| ** |
支持應用封裝功能: *、支持通過控制臺上傳*******、***原包應用進行自動封裝,使***具備零信任接入能力; *、支持封裝后從控制中下載的封裝后和封裝前的安裝包; *、支持應用封裝列表展示; *、支持應用詳情展示 *、支持基于已經封裝的應用覆蓋上傳新的安裝包 *、支持主應用自動封裝和子應用自動封裝 |
| ** |
支持移動端***應用商店功能(提供證明材料,加蓋廠商公章): *、支持移動端***應用商店(終端用戶可以通過手機端***應用商店下載安裝封裝應用,不依賴零信任***); *、支持配置程序認證后才能訪問***應用商店(必須經過零信任訪問控制系統認證才可以下載安裝應用,保護企業應用不被隨意下載)????; *、支持配置成不經過認證可直接訪問***應用商店(此配置下終端用戶無需認證,即可直接訪問***應用商店地址下載應用); *、***應用商店地址支持鏈接分發; *、***應用商店地址支持二維碼分發 |
| ** |
可直接為已經集成零信任***并發布到安卓或***應用市場的公有化生態應用配置策略,使其具有零信任接入能力及數據防泄漏能力,如泛微**、致遠**等。若未發布此應用策略,此***僅具備零信任接入能力。 |
| ** |
支持以文件為單位,對工作應用產生的數據進行加密保存; 支持透明加解密技術,加解密過程對用戶無感知,在工作空間內可直接打開文檔進行預覽和編輯 |
| ** |
文件加密支持“一文一密”即每個文件獨立密鑰,以確保沙箱組件被卸載、模塊驅動被摘除的情況下,終端用戶仍無法明文取出文件。(提供證明材料,加蓋廠商公章) |
| ** |
為節省資源,可靈活啟用工作空間,允許用戶在滿足特定條件的情況下才啟用沙箱策略,如企業資產的終端在內網使用時無需啟用沙箱辦公、員工個人終端在互聯網接入時才需要啟用沙箱辦公,應支持對指定工作空間或全部工作空間配置沙箱準入策略。 |
| ** |
支持對工作空間添加屏幕水印,水印至少包含自定義提醒、用戶名、時間、空間名稱、手機號后四位、終端***地址等信息;(提供證明材料,加蓋廠商公章) |
| ** |
支持為工作空間配置禁止截屏策略,啟用后任何截屏程序都無法對工作空間打開的窗口截屏或錄屏; |
| ** |
支持工作空間內允許使用截圖工具進行截屏時,或對工作空間拍照時,截圖和照片帶有水印信息。 |
| ** |
為滿足不同工作空間分配的業務應用存在域名解析不同的需求,應支持***隔離功能,實現對空間內域名配置指定***服務器進行解析。 |
| ** |
針對*******系統用戶,支持配置虛擬專線功能,當用戶登錄零信任客戶端之后,自動斷開互聯網連接,避免互聯網威脅影響內網業務系統。(提供證明材料,加蓋廠商公章) |
| ** |
**端和移動端均支持通過安全碼激活客戶端為授權客戶端,從而可進行***敲門和連接,安全碼支持共享碼和一人一碼兩種模式,支持短信分發安全碼,保障業務的安全性。一人一碼模式下,當實際登錄用戶跟分發***安全碼綁定的用戶不一致時,零信任系統可以阻止用戶登錄上線并產生安全告警,幫助管理員溯源,進一步提升系統安全性。(提供證明材料,加蓋廠商公章) |
| ** |
審計能力 |
支持用戶安全日志提取,審計中心應將具有異常登錄行為的用戶日志自動打標簽為用戶安全日志,以便于管理員快速審計定位。用戶安全日志包括但不限于:賬號安全(應包含帳號首次登錄、異常時間登錄、非常用地點登錄、弱密碼登錄、爆破登錄、閑置賬號登錄、帳號在新終端登錄等)、中間人攻擊、***安全(應包含***端口掃描、***爆破攻擊、***敲門偽造、***重放攻擊、***安全碼泄漏等)、******劫持等。(提供證明材料,加蓋廠商公章) |
| ** |
|
支持以虛擬**方式,訪問真實的業務系統,以配合其他對**有要求的安全設備工作,以及便于流量分析類設備進行流量分析。(提供證明材料,加蓋廠商公章) |
| ** |
|
支持共享虛擬**池模式,為用戶組分配一個**地址段,用戶組內的用戶首次連接時分配一個**端內的虛擬**,可根據**資源的充裕情況配置用戶注銷后立即釋放虛擬**或注銷后指定時間再釋放,若未釋放時則代表用戶與虛擬**綁定,便于用戶訪問行為可追溯。 |
| ** |
|
支持將設備安全事件單獨記錄在設備安全日志中,事件類型包括但不限于:接口掃描、接口********攻擊、接口參數爆破、接口越權調用等設備***防護日志。 |
| ** |
|
支持提供****服務來對接運維監控設備,可在控制臺下載***庫。 |
| ** |
|
為了方便快速運維排障,支持管理員在控制臺遠程獲取在線終端的日志,若終端不在線時支持加入排隊列表,排隊列表中的終端上線后自動收集日志。 |
| ** |
運維能力 |
支持***(***防護),可阻斷基于***對設備發起的攻擊。 |
| ** |
為方便管理員統籌查看管理零信任系統的整體運行狀態,支持對設備自身的安全狀態和策略配置進行巡檢,對設備的整體狀態進行打分,統計所有檢查的正常項、異常項和告警項,并輸出巡檢報告。報告應至少包含檢測項、檢查狀態、存在的問題描述、建議改進措施等。支持在設備上查看及下載巡檢報告。(提供證明材料,加蓋廠商公章) |
| ** |
應支持檢查設備是否開啟自動備份功能。 |
| ** |
支持管理員在控制臺查看“用戶狀態”,支持篩選異常狀態的用戶,如爆破鎖定、***鎖定、異地登錄等,支持管理員手動解鎖用戶。 |
| ** |
支持設備端口安全檢查,包括但不限于: *、支持遠程運維***端口開啟檢查; *、支持服務隱身(***)功能使用狀況檢查; *、支持控制臺接入**限制情況檢查; *、支持****指定**地址接入檢查。 |
| ** |
支持設備審計和日志檢查,包括但不限于: *、支持對剩余日志空間進行檢查; *、支持對******日志連通性進行檢查; *、支持檢查是否了虛擬**功能。 |
| ** |
支持接入安全配置檢查,(提供證明材料,加蓋廠商公章)包括但不限于: *、支持對免認證應用的授信證書進行檢查; *、支持對免認證應用的前端地址進行檢查; *、支持檢測是否啟用了防中間人配置; *、支持****監聽端口開啟檢查; *、支持對啟用的***協議是否安全進行檢查; *、支持對是否啟用應用防護策略進行檢查; *、支持對***模式應用的授信證書進行檢查; *、支持對***模式應用的前端地址進行檢查。 |
| ** |
支持業務告警能力: *、支持告警信息設置,告警事件應包含但不限于:***使用率超過**%、內存使用率超過**%、磁盤占用率超過**%、本機網卡異常、序列號即將到期、在線用戶數已達購買授權數、認證服務器連通異常、集群故障、關鍵服務運行異常、虛擬**分配超額等。 *、支持配置郵箱服務器,告警事件支持郵件通知管理員 |
| ** |
產品資質能力 |
為了確認能夠支持國密改造,需提供國家密碼管理局商用密碼檢測中心出具的含有“訪問控制系統”或“***”字樣,符合**/*????****標準或**/*????****標準要求,以及符合**/*????****《密碼模塊安全技術要求》第二級的《商用密碼產品認證證書》(提供證明材料,加蓋廠商公章) |
| ** |
為證明產品方案的成熟性與先進性,所投零信任產品需在****年***中國零信任網絡訪問解決方案????廠商評估報告中位列綜合排名前三的領導者位置,并出具由***蓋章確認的證明文件。(提供證明材料,加蓋廠商公章) |
| ** |
為保證零信任產品的架構規范性,應提供中國信通院認證的零信任***設備****????***** *****證書。(提供證明材料,加蓋廠商公章) |
| ** |
為了保障零信任產品開發的安全性,要求所投產品廠商具備中國網絡安全審查技術與認證中心(****)的信息安全軟件開發服務一級資質(提供證明材料,加蓋廠商公章) |
| ** |
為了保障零信任產品廠商應對突發網絡安全事件應急能力,所投產品的生產廠商應是國家互聯網應急響應中心網絡安全應急服務國家級支撐單位(提供證明材料,加蓋廠商公章) |
| ** |
為了保障零信任產品廠商開發能力,所投產品的生產廠商應具備*****認證(提供證明材料,加蓋廠商公章) |
