零信任訪問(wèn)控制系統(tǒng)與終端安全管理系統(tǒng)需求

零信任訪問(wèn)控制系統(tǒng)與終端平安管理系統(tǒng)需求〔一〕工程概況隨著學(xué)校數(shù)字化改革工作推進(jìn)，終端用戶訪問(wèn)控制與平安管理日益成為需迫切解決的問(wèn)題。本工程主要以學(xué)校師生用戶不同數(shù)字身份為中心，依據(jù)平安可控的零信任訪問(wèn)控制機(jī)制，根據(jù)用戶數(shù)字ID身份分配不同訪問(wèn)權(quán)限；適配PC端、移動(dòng)端、釘釘、微信、自建人口口等多種終端，提供教學(xué)信息系統(tǒng)、管理信息系統(tǒng)、數(shù)字資源效勞〔知網(wǎng)、維普等〕等多種資源訪問(wèn)形式，同時(shí)支持S代理和SSL訪問(wèn)隧道，針對(duì)B/S、C/S結(jié)構(gòu)應(yīng)用提供加密隧道傳輸。用戶在校內(nèi)、校外訪問(wèn)相關(guān)資源權(quán)限統(tǒng)一，訪問(wèn)模式一致，體驗(yàn)感受良好。學(xué)校數(shù)字校園訪問(wèn)峰值出現(xiàn)在每學(xué)期選課階段。供給商應(yīng)有類似工程經(jīng)驗(yàn)，零信任訪問(wèn)方案在滿足設(shè)備技術(shù)參數(shù)的根底上，應(yīng)滿足學(xué)校實(shí)際工作需要，特別是對(duì)選課頂峰期應(yīng)提供解決方案，有效滿足學(xué)校選課需要。按照數(shù)字經(jīng)院設(shè)計(jì)規(guī)劃，配合學(xué)校完成用戶身份資源融合，投標(biāo)方案應(yīng)提供實(shí)現(xiàn)自動(dòng)化分配用戶資源權(quán)限，可視化展現(xiàn)系統(tǒng)管理數(shù)據(jù)等能力。同時(shí)，結(jié)合用戶實(shí)時(shí)的身份信息、終端環(huán)境信息和應(yīng)用敏感度，能實(shí)現(xiàn)對(duì)不同平安要求的應(yīng)用，以及不同范圍的用戶進(jìn)行不同平安力度的應(yīng)用準(zhǔn)入，實(shí)現(xiàn)動(dòng)態(tài)的訪問(wèn)控制。提供自適應(yīng)身份認(rèn)證平安機(jī)制，如當(dāng)用戶訪問(wèn)使用弱密碼時(shí)需進(jìn)行增強(qiáng)認(rèn)證，當(dāng)用戶在異常時(shí)間段登錄時(shí)需進(jìn)行增強(qiáng)認(rèn)證，當(dāng)用戶在異地登錄時(shí)，必須進(jìn)行增強(qiáng)認(rèn)證，降低被攻擊入侵的風(fēng)險(xiǎn)，最終到達(dá)平安和體驗(yàn)最正確平衡。零信任訪問(wèn)控制系統(tǒng)含零信任控制中心和零信任平安代理網(wǎng)關(guān)，實(shí)現(xiàn)“流量身份化〞和“動(dòng)態(tài)自適應(yīng)訪問(wèn)控制〞，提供網(wǎng)絡(luò)隱身、動(dòng)態(tài)自適應(yīng)認(rèn)證、終端動(dòng)態(tài)環(huán)境檢測(cè)、全周期業(yè)務(wù)準(zhǔn)入、智能權(quán)限基線、動(dòng)態(tài)訪問(wèn)控制、多源信任評(píng)估等核心能力，滿足新形勢(shì)下多場(chǎng)景智慧經(jīng)院應(yīng)用平安訪問(wèn)需求。終端平安管理系統(tǒng)在原有EDR平臺(tái)授權(quán)的根底上，對(duì)終端授權(quán)數(shù)量進(jìn)行擴(kuò)容?；贏I智能分析引擎+行為檢測(cè)機(jī)制為核心構(gòu)建終端主動(dòng)防御能力。通過(guò)靈活多樣的處置方式、微隔離等自研技術(shù)到達(dá)快速響應(yīng)的效果，

本工程應(yīng)能在運(yùn)維、管理、技術(shù)支持、巡檢等方面提供優(yōu)質(zhì)效勞，運(yùn)維方便，在服務(wù)期內(nèi)提供不少于每半年一次的上門巡檢效勞，同時(shí)提供高效、平安、便捷的技術(shù)響應(yīng)效勞。〔二〕需滿足的質(zhì)量、平安、技術(shù)規(guī)格、物理特性等要求：1.設(shè)備清單及技術(shù)參數(shù)序號(hào)設(shè)備名稱技術(shù)參數(shù)數(shù)量計(jì)量單位1零信任控制中心性能參數(shù)：最大并發(fā)用戶數(shù)〔個(gè)〕：4000,新建用戶數(shù)〔個(gè)/秒〕：110。硬件參數(shù)：規(guī)格：15內(nèi)存大?。?6G，硬盤容量：128GSSD，電源：冗余電源，接口：6千兆電口+4千兆光口SFP〔含光模塊〕。含：零信任接入授權(quán)〔不低于3200套〕，零信任可信控制器〔*1臺(tái)〕；零信任訪問(wèn)控制系統(tǒng)軟件〔*1套〕；產(chǎn)品質(zhì)?！?年〕；軟件原廠升級(jí)〔3年〕；1臺(tái)2零信任平安代理網(wǎng)關(guān)性能參數(shù)：最大理論加密流量不低于：750Mbps，最大理論并發(fā)用戶數(shù)〔個(gè)〕不低于：7500，最大理論s并發(fā)連接數(shù)〔個(gè)〕不低于：120000，理論s新建連接數(shù)〔個(gè)/秒〕不低于：730。硬件參數(shù)：規(guī)格：25內(nèi)存大?。?6G，硬盤容量：240GSSD，電源：冗余電源，接口：6千兆電口+4千兆光口SFP〔含光模塊〕+2萬(wàn)兆光口SFP+〔含光模塊〕。含：零信任訪問(wèn)控制系統(tǒng)軟件〔*1套〕；產(chǎn)品質(zhì)保〔3年〕；軟件升級(jí)〔3年〕。1臺(tái)3終端安含：PC端點(diǎn)平安軟件授權(quán)〔不低于20套〕；效勞器端點(diǎn)1套全管理系統(tǒng)平安軟件授權(quán)〔不低于125套〕；軟件原廠升級(jí)〔3年〕2.詳細(xì)參數(shù):〔1〕零信任控制中心序號(hào)工程功能項(xiàng)具體參數(shù)1控制中心要求硬件規(guī)格要求1U機(jī)箱，內(nèi)存大小三166,硬盤容量三128GSSD,電源:冗余電源，接口：三6千兆電口，三4千兆光口SFP〔帶光模塊〕。性能要求最大并發(fā)用戶數(shù)〔個(gè)〕三4000,新建用戶數(shù)〔個(gè)/秒〕三110；接入授權(quán)三3200套。2兼容性要求兼容性為降低零信任系統(tǒng)部署實(shí)施復(fù)雜度，防止因部署遷移而產(chǎn)生大量重復(fù)性策略配置工作，本次所投產(chǎn)品應(yīng)支持導(dǎo)入原有VPN系統(tǒng)的配置信息，支持導(dǎo)入的配置信息至少應(yīng)包含角色、用戶、用戶組、資源、資源組等，以實(shí)現(xiàn)平滑切換，快速無(wú)誤部署落地。3設(shè)備部署網(wǎng)絡(luò)部署為了滿足靈活部署的要求，控制中心應(yīng)具備IPV4/IPV6雙棧網(wǎng)絡(luò)IP配置，可自主選擇配置LAN口或WAN口。為了保護(hù)設(shè)備的平安，可具備默認(rèn)限制所有IP通過(guò)WAN口訪問(wèn)系統(tǒng)，具備通過(guò)配置IP白名單的方式來(lái)放通WAN口接入的特殊需求。集群部署為了提高系統(tǒng)可靠性，保障單臺(tái)設(shè)備故障時(shí)系統(tǒng)仍可正常運(yùn)行，控制中心應(yīng)支持本地集群部署，且最少2臺(tái)設(shè)備即可組建集群，單集群的最大節(jié)點(diǎn)數(shù)量不得少于4臺(tái)；本地集群組建時(shí)，集群中的節(jié)點(diǎn)可承載工作負(fù)載功能，不需要依賴其它外置設(shè)備。為了使系統(tǒng)資源利用最大化，本地集群與分布式集群下各節(jié)點(diǎn)的零信任授權(quán)數(shù)均可共享使用，集群的總接入授權(quán)數(shù)是各節(jié)點(diǎn)授權(quán)數(shù)的總和。為了保障系統(tǒng)的穩(wěn)定性，集群節(jié)點(diǎn)支持故障后剩余節(jié)點(diǎn)仍能接管所有業(yè)務(wù)，分布式集群及本地集群均需支持授權(quán)漂移機(jī)制：集群中的單節(jié)點(diǎn)故障后，集群的總授權(quán)數(shù)跟故障前保持一致，且總授權(quán)數(shù)保存時(shí)間不得少于30天。隧道資范圍、IP段、域名和通配符域名進(jìn)行資源發(fā)布，同一隧道資源支持TCP、UDP、ICMP隧道資范圍、IP段、域名和通配符域名進(jìn)行資源發(fā)布，同一資源可發(fā)布多個(gè)效勞器地址，TCP協(xié)議支持長(zhǎng)連接。產(chǎn)品基于身份化實(shí)現(xiàn)先認(rèn)證、在連接，保護(hù)業(yè)務(wù)系統(tǒng)的平安。所有業(yè)務(wù)訪問(wèn)，需先經(jīng)過(guò)零信任控制中心認(rèn)證后，才能建立連接。為有效抵御惡意軟件和有針對(duì)性地攻擊，WEB資源發(fā)布時(shí)應(yīng)具有到URL路徑級(jí)別，且具有配置URL路徑規(guī)則。資源發(fā)布黑名單模式下，用戶只能訪問(wèn)不在黑名單內(nèi)的路徑；白資源發(fā)布黑名單模式下，用戶只能訪問(wèn)不在黑名單內(nèi)的路徑；白Web資名單模式下，用戶只能訪問(wèn)白名單內(nèi)的路徑。且為了簡(jiǎn)源 化管理員配置，URL黑白名單還應(yīng)具有*?等通配符配置。對(duì)于一些主要在主站點(diǎn)中點(diǎn)擊使用的子站點(diǎn)WEB業(yè)務(wù)系統(tǒng)，且子站點(diǎn)跟主站點(diǎn)業(yè)務(wù)系統(tǒng)權(quán)限一致的場(chǎng)景，為簡(jiǎn)化管理員配置，零信任系統(tǒng)應(yīng)具有開(kāi)啟依賴站點(diǎn)功能。為方便業(yè)務(wù)快速上線，還應(yīng)具有自動(dòng)采集站點(diǎn)功能對(duì)依賴站點(diǎn)進(jìn)行梳理。

5終端接入瀏覽器兼容性為更好滿足老師日常辦公使用習(xí)慣，終端對(duì)于瀏覽器應(yīng)滿足：1、支持以下瀏覽器的主流版本訪問(wèn)WEB資源：IE、Chrome、Edge、Firefox、Opera、Safari等。2、支持微信內(nèi)置瀏覽器、釘釘內(nèi)置瀏覽器訪問(wèn)WEB資源。3、支持Android、iOS等廠商的自帶瀏覽器訪問(wèn)WEB資源。4、支持國(guó)產(chǎn)操作系統(tǒng)瀏覽器接入并訪問(wèn)WEB資源。終端兼容性咽產(chǎn)化〕支持主流國(guó)產(chǎn)硬件CPU和國(guó)產(chǎn)操作系統(tǒng)，包括但不限于麒麟V10X龍芯、麒麟V10X龍芯LoongArch、麒麟V10X飛騰、麒麟V10X鯤鵬、麒麟V10X兆芯、麒麟V10X海光、麒麟V10X海思麒麟；統(tǒng)信V20X龍芯〔3A3000、3A4000〕、統(tǒng)信V20X龍芯〔3A5000〕、統(tǒng)信V20X飛騰、統(tǒng)信V20X鯤鵬、統(tǒng)信V20X海光、統(tǒng)信V20X兆芯等。終端管理具有不同平臺(tái)的終端同時(shí)在線，管理員可分別設(shè)置可同時(shí)在線的PC或移動(dòng)終端個(gè)數(shù)，配置范圍不小于0-1000,當(dāng)超過(guò)終端個(gè)數(shù)時(shí)，可以注年銷最早登錄的終端，且被注銷的終端有對(duì)應(yīng)的注銷提醒；管理員可設(shè)置允許終端在線數(shù)為0,以禁止用戶通過(guò)此類終端接入訪問(wèn)。為了保障學(xué)校師生認(rèn)證平安與便捷性的平衡，需具有設(shè)置授信終端綁定，具有配置綁定授信終端的可信網(wǎng)絡(luò)區(qū)域、增強(qiáng)認(rèn)證條件；并可限定用戶可綁定的授信終端數(shù)量：具有用戶滿足單一條件或多個(gè)條件后自助綁定，可配置條件包括但不限于網(wǎng)絡(luò)區(qū)域、終端資產(chǎn)標(biāo)簽、終端標(biāo)簽類型等，最多可配置條件數(shù)不得少于3條。身份認(rèn)證認(rèn)證方式為滿足學(xué)校后續(xù)多樣化平安便捷認(rèn)證需求，具有以下認(rèn)證方式：本地賬號(hào)密碼認(rèn)證、LDAP/AD認(rèn)證、OAuth2.0標(biāo)準(zhǔn)協(xié)議的票據(jù)認(rèn)證、CAS標(biāo)準(zhǔn)協(xié)議的票據(jù)認(rèn)證、Radius賬號(hào)認(rèn)證、S帳號(hào)認(rèn)證、證書主認(rèn)證、證書輔認(rèn)證、短信主認(rèn)證、短信輔認(rèn)證、標(biāo)準(zhǔn)Radius令牌認(rèn)證、第三方令牌認(rèn)證、TOTP動(dòng)態(tài)令牌認(rèn)證等認(rèn)證方式，并可與企業(yè)微信、阿里釘釘、飛書結(jié)合實(shí)現(xiàn)掃碼認(rèn)證，具有飛書用戶或個(gè)人微信企業(yè)號(hào)通過(guò)由接入。其中短信認(rèn)證具有配置S短信網(wǎng)關(guān)、騰訊云短信網(wǎng)關(guān)、阿里云短信網(wǎng)關(guān)及Socket短信網(wǎng)關(guān)等網(wǎng)關(guān)類型。免輔助認(rèn)證支持免輔助認(rèn)證。用戶勾選信任瀏覽器后，在該瀏覽器下有效期內(nèi)不需要進(jìn)行輔助認(rèn)證。有效期時(shí)長(zhǎng)可設(shè)置1-90天。自適應(yīng)認(rèn)證支持在滿足以下條件時(shí)，可自動(dòng)拉起客戶端并自動(dòng)登錄，可配置的條件包括但不限于：授信終端、Windows域環(huán)境、自定義網(wǎng)絡(luò)環(huán)境等。支持在滿足以下條件時(shí)，免除二次認(rèn)證，可配置的條件包括但不限于：授信終端、Windows域環(huán)境、自定義網(wǎng)絡(luò)環(huán)境等。支持在發(fā)現(xiàn)異常環(huán)境時(shí)，自動(dòng)進(jìn)行增強(qiáng)認(rèn)證，可配置的異常環(huán)境包括但不限于：帳號(hào)首次登錄、帳號(hào)在該終端首次登錄、閑置帳號(hào)登錄、弱密碼登錄、異常時(shí)間登錄、非常用地點(diǎn)登錄等。單占登支持與企業(yè)微信、釘釘?shù)戎髁鞒?jí)APP對(duì)接，實(shí)現(xiàn)與在錄企業(yè)微信或釘釘工作臺(tái)上發(fā)布的H5微應(yīng)用單點(diǎn)登錄。7用戶管理外部用戶管理支持與第三方用戶管理效勞器對(duì)接，包括但不限于LDAP用戶目錄、AD域用戶目錄、企業(yè)微信用戶目錄、釘釘用戶目錄等，可配置的屬性包括但不限于：用戶過(guò)濾、用戶名、外部ID、組織架構(gòu)、所屬角色、帳號(hào)狀態(tài)、有效期、號(hào)碼、電子郵箱等。批量導(dǎo)入/導(dǎo)出支持按表格模板批量導(dǎo)入/導(dǎo)出本地用戶和組織架構(gòu)，支持通過(guò)手動(dòng)/自動(dòng)方式批量同步外部用戶，可設(shè)置自動(dòng)同步的時(shí)間間隔。8訪問(wèn)平安動(dòng)態(tài)訪問(wèn)控制支持動(dòng)態(tài)訪問(wèn)控制策略，可根據(jù)用戶、應(yīng)用配置規(guī)則使用范圍，可基于Windows、macOS、Linux、iOS、Android、麒麟、統(tǒng)信等操作系統(tǒng)單獨(dú)配置策略。產(chǎn)品支持基于身份化實(shí)現(xiàn)動(dòng)態(tài)訪問(wèn)控制，不僅在登陸時(shí)進(jìn)行評(píng)估，而且在業(yè)務(wù)訪問(wèn)期間，持續(xù)、自適應(yīng)地動(dòng)態(tài)評(píng)估平安，實(shí)時(shí)地調(diào)整訪問(wèn)控制權(quán)限。處置動(dòng)作包括阻止訪問(wèn)、注銷登錄、鎖定賬號(hào)等，可基于處置動(dòng)作自定義提示語(yǔ)，支持短信增強(qiáng)認(rèn)證、告警灰度處置方式，可配置處置有效時(shí)長(zhǎng)。動(dòng)態(tài)上線準(zhǔn)入支持動(dòng)態(tài)上線準(zhǔn)入策略，可指定適用用戶范圍和排除用戶，可基于Windows、macOS、Linux、iOS、Android、麒麟、統(tǒng)信等操作系統(tǒng)單獨(dú)配置策略。支持“與〞、“或〞條件嵌套，可通過(guò)單一條件或條件組的進(jìn)行策略配置，條件變量包括但不限于：終端名稱、MAC地址、終端本地IP列表、操作系統(tǒng)版本、終端資產(chǎn)類型、終端標(biāo)簽類型、存在指定文件、操作系統(tǒng)安裝的補(bǔ)丁、運(yùn)行進(jìn)程、運(yùn)行指定殺毒軟件、運(yùn)行任一殺毒軟件、零信任客戶端版本、安裝指定軟件、開(kāi)啟系統(tǒng)防火墻、用戶接入城巾'、用戶登錄國(guó)家、用戶登錄時(shí)間、弱密碼、授信終端、授信域環(huán)境、閑置帳號(hào)、帳號(hào)首次登錄、帳號(hào)在該終端首次登錄、異常時(shí)間登錄、非常用地點(diǎn)登錄等。處置動(dòng)作包括注銷登錄，可基于處置動(dòng)作自定義提示語(yǔ)，支持短信增強(qiáng)認(rèn)證、告警灰度處置方式，可配置處置有效時(shí)長(zhǎng)。9平安特性效勞隱身為了最大程度縮小網(wǎng)絡(luò)、業(yè)務(wù)暴露面，零信任平臺(tái)需提供單包授權(quán)能力〔SPA〕，具有UDP+TCP組合的單包授權(quán)技術(shù)，未授權(quán)用戶無(wú)法連接零信任設(shè)備，無(wú)法掃描到服務(wù)端口，不會(huì)出現(xiàn)敲門放大漏洞。虛擬專線針對(duì)Windows系統(tǒng)用戶，具有配置虛擬專線功能，當(dāng)用戶登錄零信任客戶端之后，自動(dòng)斷開(kāi)互聯(lián)網(wǎng)連接，防止互聯(lián)網(wǎng)威脅影響內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)。2、具有通過(guò)桌面懸浮球的方式，用戶可一鍵切換內(nèi)網(wǎng)或互聯(lián)網(wǎng)。威脅感知互聯(lián)支持與我校現(xiàn)有態(tài)勢(shì)感知平臺(tái)實(shí)現(xiàn)基于身份的威脅感知互聯(lián)，支持將用戶訪問(wèn)零信任系統(tǒng)的WEB資源訪問(wèn)流量解軍密后鏡像給現(xiàn)有的態(tài)勢(shì)感知設(shè)備，以完善系統(tǒng)的用戶行為審計(jì)溯源能力，提升設(shè)備自身的平安性。10審計(jì)能力具有全面的日志記錄具有用戶平安日志提取，審計(jì)中心應(yīng)將具有異常登錄行為的用戶日志自動(dòng)打標(biāo)簽為用戶平安日志，以便于管理員快速審計(jì)定位。用戶平安日志包括但不限于：帳號(hào)安全〔應(yīng)包含帳號(hào)首次登錄、異常時(shí)間登錄、非常用地點(diǎn)登錄、弱密碼登錄、爆破登錄、閑置帳號(hào)登錄、帳號(hào)在新終端登錄等〕、中間人攻擊、SPA平安〔應(yīng)包含SPA端口掃描、SPA爆破攻擊、SPA敲門偽造、SPA重放攻擊、SPA平安碼泄漏等〕、cookie劫持等。支持按學(xué)校要求提供數(shù)據(jù)展示大屏相關(guān)數(shù)據(jù)，或提供學(xué)校數(shù)據(jù)大屏集成效勞。11設(shè)備平安防爆破具有配置同名用戶連續(xù)登錄錯(cuò)誤超過(guò)上限時(shí)鎖定賬號(hào)，并于指定時(shí)長(zhǎng)后自動(dòng)恢復(fù)，具有配置同IP用戶連續(xù)登錄錯(cuò)誤超過(guò)上限時(shí)鎖定IP，并于指定時(shí)長(zhǎng)后自動(dòng)恢復(fù)防機(jī)器人防機(jī)器人輸入，提供強(qiáng)平安性的點(diǎn)擊圖像校驗(yàn)碼機(jī)制，圖形校驗(yàn)碼具有中文和英文OpenAPI1、具有對(duì)接多個(gè)設(shè)備進(jìn)行openapi接口調(diào)用2、具有限制openapi調(diào)用ip范圍12平安特性虛擬IP支持虛擬IP，可以通過(guò)虛擬玨訪問(wèn)后端業(yè)務(wù)系統(tǒng)，虛擬IP支持共享模式和獨(dú)享模式，以配合其他對(duì)IP有要求的平安設(shè)備工作，以及便于流量分析類設(shè)備進(jìn)行流量分析。終端安全協(xié)同支持與學(xué)?，F(xiàn)網(wǎng)中的終端平安系統(tǒng)實(shí)現(xiàn)平安協(xié)同，現(xiàn)網(wǎng)終端平安系統(tǒng)將資產(chǎn)信息同步到零信任控制中心，以加強(qiáng)控制中心資產(chǎn)管理與測(cè)繪能力；同時(shí)支持現(xiàn)網(wǎng)終端安全系統(tǒng)將終端風(fēng)險(xiǎn)評(píng)分同步給控制中心，以實(shí)現(xiàn)控制中心根據(jù)終端風(fēng)險(xiǎn)評(píng)分設(shè)置準(zhǔn)入策略。遠(yuǎn)程辦公時(shí)，可聯(lián)動(dòng)學(xué)?，F(xiàn)網(wǎng)的終端平安系統(tǒng)在登錄前進(jìn)行檢測(cè)，未檢測(cè)通過(guò)無(wú)法登錄；不符合的檢測(cè)項(xiàng)可以一鍵修改和查看修復(fù)指引。支持端控平安環(huán)境檢測(cè)、免端流量環(huán)境監(jiān)測(cè)，對(duì)學(xué)?，F(xiàn)網(wǎng)的終端平安系統(tǒng)安裝情況進(jìn)行檢查、對(duì)未裝端的用戶進(jìn)行隔離及修復(fù)處置。13運(yùn)維管理終端診斷提供終端診斷工具，支持對(duì)終端的根本環(huán)境進(jìn)行掃描和一鍵修復(fù)，診斷內(nèi)容應(yīng)包括但不限于：WindowsTemp目錄可寫狀態(tài)、DNS驅(qū)動(dòng)狀態(tài)、零信任效勞運(yùn)行狀態(tài)、零信任效勞檢測(cè)狀態(tài)、關(guān)鍵控件完整性檢測(cè)、可疑病毒驅(qū)動(dòng)檢測(cè)、是否啟動(dòng)IE代理、是否啟動(dòng)IE自動(dòng)代理腳本、虛擬網(wǎng)卡狀態(tài)、虛擬網(wǎng)卡注冊(cè)表、Hiworld病毒檢測(cè)、IE的TLS1.01.11.2協(xié)議啟用狀態(tài)、客戶端系統(tǒng)兼容性、零信任客戶端系統(tǒng)依賴庫(kù)返回情況、零信任核心文件返回情況、系統(tǒng)防火墻規(guī)則、本地DNS列表、終端系統(tǒng)本地時(shí)間等。終端日志收集支持用戶在客戶端自助進(jìn)行日志收集，管理員可遠(yuǎn)程獲取在線終端的日志?！?〕零信任平安代理網(wǎng)關(guān)序號(hào)工程功能項(xiàng)具體參數(shù)1代理網(wǎng)關(guān)要求硬件規(guī)格要求產(chǎn)品不少于6個(gè)千兆以太網(wǎng)電口，4個(gè)千兆光口〔含光模塊〕，2個(gè)萬(wàn)兆光口〔含光模塊〕，內(nèi)存大小三16G，硬盤容量三240G55口，支持冗余電源，2U機(jī)箱。性能要求加密流量三750Mbps，并發(fā)用戶數(shù)三7500個(gè)，s并發(fā)連接數(shù)三120000個(gè)，s新建連接數(shù)三730個(gè)/秒。2設(shè)備部署網(wǎng)絡(luò)部署為了滿足靈活部署的要求，代理網(wǎng)關(guān)應(yīng)支持IPV4/IPV6雙棧網(wǎng)絡(luò)IP配置，可自主選擇配置LAN口或WAN口。為了保護(hù)設(shè)備的平安，可支持默認(rèn)限制所有IP通過(guò)WAN口訪問(wèn)系統(tǒng)，支持通過(guò)配置IP白名單的方式來(lái)放通WAN口接入的特殊需求。端口聚合為充分利用設(shè)備的網(wǎng)絡(luò)性能，代理網(wǎng)關(guān)部署時(shí)具有配置聚合網(wǎng)口，并具有將聚合網(wǎng)口作為代理網(wǎng)關(guān)的網(wǎng)絡(luò)部署IP。聚合網(wǎng)口具有通過(guò)哈?；?02.3ad等標(biāo)準(zhǔn)對(duì)閑置網(wǎng)口進(jìn)行網(wǎng)口綁定，具有通過(guò)ARP探測(cè)機(jī)制對(duì)聚合網(wǎng)口進(jìn)行健康檢查。本地集群部署為了提高系統(tǒng)可靠性，保障單臺(tái)設(shè)備故障時(shí)系統(tǒng)仍可正常運(yùn)行，代理網(wǎng)關(guān)應(yīng)支持本地集群部署，且最少2臺(tái)設(shè)備即可組建集群；本地集群組建時(shí)，集群中的節(jié)點(diǎn)可承載工作負(fù)載功能，不需要依賴其它外置設(shè)備。3審計(jì)能力流量鏡像支持將用戶通過(guò)代理網(wǎng)關(guān)訪問(wèn)的WEB資源流量牟密后，鏡像給現(xiàn)網(wǎng)態(tài)勢(shì)感知設(shè)備，以完善風(fēng)險(xiǎn)用戶行為審計(jì)溯源能力，防止因加密流量導(dǎo)致無(wú)法監(jiān)測(cè)和審計(jì)到真實(shí)風(fēng)險(xiǎn)。威脅同步支持與學(xué)?，F(xiàn)有態(tài)勢(shì)感知設(shè)備實(shí)現(xiàn)威脅同步，同步用戶信息，包括用戶登錄、登出、分配IP、訪問(wèn)資源記錄的日志數(shù)據(jù)，實(shí)現(xiàn)遠(yuǎn)程接入用戶與平安事件關(guān)聯(lián)分析，分析出異常用戶，以用戶為可視化視角，呈現(xiàn)風(fēng)險(xiǎn)問(wèn)題、風(fēng)險(xiǎn)程度、內(nèi)網(wǎng)資源訪問(wèn)情況等。支持同步管理員操作日志，滿足審計(jì)要求。4設(shè)備安全防爆破支持配置同IP用戶連續(xù)登錄錯(cuò)誤超過(guò)上限時(shí)鎖定IP，并于指定時(shí)長(zhǎng)后自動(dòng)恢復(fù)。防機(jī)器人防機(jī)器人輸入，提供強(qiáng)平安性的點(diǎn)擊圖像校驗(yàn)碼機(jī)制。5設(shè)備健康檢查設(shè)備巡檢報(bào)告為方便管理員統(tǒng)籌查看管理代理網(wǎng)關(guān)的整體運(yùn)行狀態(tài)，支持對(duì)設(shè)備自身的平安狀態(tài)和策略配置進(jìn)行巡檢，對(duì)設(shè)備的整體狀態(tài)進(jìn)行打分，統(tǒng)計(jì)所有檢查的正常項(xiàng)、異常項(xiàng)和告警項(xiàng)，并輸出巡檢報(bào)告。支持在設(shè)備上查看及下載巡檢報(bào)告。報(bào)告應(yīng)至少包含檢測(cè)項(xiàng)、檢查狀態(tài)、存在的問(wèn)題描述、建議改良措施等。設(shè)備穩(wěn)定性檢查為保證設(shè)備穩(wěn)定性，支持設(shè)備進(jìn)行健康檢查，包括但不限于：1、應(yīng)支持系統(tǒng)黑匣子及核心進(jìn)程的狀態(tài)檢測(cè)。2、應(yīng)支持CPU負(fù)載、內(nèi)存負(fù)載、磁盤空間、網(wǎng)卡健康、硬盤健康、網(wǎng)卡日志、BIOS固件等硬件相關(guān)狀態(tài)的檢測(cè)。3、應(yīng)支持軟件版本及補(bǔ)丁修復(fù)狀態(tài)等檢測(cè)。API防護(hù)檢查包括但不限于：1、支持API接口爆破檢查；2、支持API接口越權(quán)調(diào)用；3、支持API接口掃描；4、支持APIWebShell攻擊。平安保護(hù)支持VPN平安功能自身平安保護(hù)，包括：平安運(yùn)行、失敗保護(hù)、輸出VPN平安功能數(shù)據(jù)的可用性、保密性和完整性，VPN平安功能數(shù)據(jù)傳輸、物理平安保護(hù)、可信恢復(fù)等機(jī)制。6質(zhì)保要求質(zhì)保要求提供設(shè)備制造廠商質(zhì)保三年〔3〕終端平安管理系統(tǒng)序號(hào)指標(biāo)項(xiàng)具體要求1產(chǎn)品形態(tài)產(chǎn)品可以純軟件交付，包含管理控制中心軟件及終端客戶端軟件，其中管理控制中心可云化部署，同時(shí)也支持硬件管理平臺(tái)交付。本次提供不少于20個(gè)PC主機(jī)端授權(quán)，不少于125個(gè)效勞器主機(jī)端授權(quán)。2管理控制中心要求管理平臺(tái)支持在64位的Centos7或ubuntu操作系統(tǒng)環(huán)境部署。3兼容性要求為保證軟件兼容性、提高運(yùn)維管理效率，要求本次安裝軟件的終端可以在學(xué)?，F(xiàn)有的終端平安管理平臺(tái)上進(jìn)行統(tǒng)一管理與運(yùn)維。4多維度威脅展示支持全網(wǎng)風(fēng)險(xiǎn)展示，包括但不限于未處理的勒索病毒數(shù)量、暴力破解數(shù)量、WebShell后門數(shù)量、高危漏洞及其各自影響的終端數(shù)量。提供勒索病毒整體防護(hù)體系入口，直觀展示最近七天勒索病毒防護(hù)效果，包括已處置的勒索病毒數(shù)量、已阻止的勒索病毒行為次數(shù)、已阻止的未知進(jìn)程操作次數(shù)、已阻止的暴力破解攻擊次數(shù)。5云端威脅分析支持跳轉(zhuǎn)鏈接至云端平安威脅響應(yīng)系統(tǒng)，針對(duì)已發(fā)生的威脅提供詳細(xì)的分析結(jié)果，包含威脅分析、網(wǎng)絡(luò)行為、靜態(tài)分析、分析環(huán)境和影響分析。6影子終端發(fā)現(xiàn)支持按照掃描網(wǎng)段、掃描方式、掃描協(xié)議、掃描端口對(duì)終端進(jìn)行掃描，及時(shí)發(fā)現(xiàn)尚未納入管控的終端。7資產(chǎn)管理支持全網(wǎng)視角的終端資產(chǎn)統(tǒng)一清點(diǎn)，便于幫助用戶快速發(fā)現(xiàn)風(fēng)險(xiǎn)面。清點(diǎn)信息包括操作系統(tǒng)、應(yīng)用軟件、監(jiān)聽(tīng)端口和主機(jī)賬戶，其中操作系統(tǒng)、應(yīng)用軟件和監(jiān)聽(tīng)端口支持從資產(chǎn)和終端兩個(gè)視角進(jìn)行統(tǒng)計(jì)和展示。支持對(duì)系統(tǒng)賬號(hào)信息進(jìn)行梳理，了解賬號(hào)權(quán)限分布概況以及風(fēng)險(xiǎn)賬號(hào)分布情況，可按照隱藏賬號(hào)、弱密碼賬號(hào)、可疑root權(quán)限賬號(hào)、長(zhǎng)期未使用賬號(hào)、夜間登錄、多IP登錄進(jìn)行賬號(hào)分類查看，支持統(tǒng)計(jì)最近一年未修改密碼的賬戶。8消息下發(fā)支持對(duì)在線終端下發(fā)實(shí)時(shí)通知消息。9升級(jí)管理支持客戶端的錯(cuò)峰升級(jí)或灰度升級(jí)，可根據(jù)實(shí)際情況控制客戶端同時(shí)升級(jí)的最大數(shù)量，防止大量終端程序同時(shí)更新造成網(wǎng)絡(luò)擁堵或I/O風(fēng)暴。10威脅檢測(cè)支持本地查殺緩存，具備二級(jí)緩存機(jī)制：終端側(cè)使用全盤文件緩存，加速本地二次掃描速度，減少對(duì)本地虛擬化環(huán)境的資源消耗；管理平臺(tái)側(cè)使用全網(wǎng)文件緩存，加速云查殺速度，減少通過(guò)互聯(lián)網(wǎng)進(jìn)行云查殺的帶寬消耗。支持一鍵云鑒定效勞，提供云端專家+沙箱+多引擎鑒定能力，結(jié)合云端威脅情報(bào)對(duì)已告警的威脅文件再次進(jìn)行綜合研判并給出100%黑白結(jié)果，用戶可自助對(duì)管理平臺(tái)告警的威脅快速判斷是否誤報(bào)和了解威脅詳情。11終端自保護(hù)支持禁止黑客工具啟動(dòng)，包含：冰刃、xuetr、ProcessHacker、PCHunter、火絨劍、Mimikatz的自啟動(dòng)，可以防止黑客攻擊。12Webshell事件處理支持展示終端檢測(cè)到的WebShell事件及事件詳情，包括：惡意文件名稱，威脅等級(jí)，受感染的文件，發(fā)現(xiàn)時(shí)間，檢測(cè)引擎，文件類型，文件名，文件Hash值，文件大小，文件創(chuàng)立時(shí)間；可配置WebShell實(shí)時(shí)掃描，一旦發(fā)現(xiàn)WebShell文件，可自動(dòng)隔離或僅上報(bào)不隔離。13Windows效勞器安全加固支持windows效勞器RDP遠(yuǎn)程登錄保護(hù)，可開(kāi)啟RDP遠(yuǎn)程登錄二次認(rèn)證，以防止黑客對(duì)效勞器的入侵。14勒索病毒專防基于勒索病毒攻擊過(guò)程，建立多維度立體防護(hù)機(jī)制，提供事前入侵防御-事中反加密-事后檢測(cè)響應(yīng)的完整防護(hù)體系，展示勒索病毒處置情況，對(duì)勒索病毒及變種實(shí)現(xiàn)專門有效防御。支持對(duì)勒索入侵的主流方式RDP暴破做全方位保護(hù)，包括RDP登錄校驗(yàn)、RDP文件加白二次校驗(yàn)等功能。15Windows終端合規(guī)檢查一鍵式操作對(duì)指定終端/終端組進(jìn)行合規(guī)性檢查，包括身份鑒別、訪問(wèn)控制、平安審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范，對(duì)不合規(guī)的檢查項(xiàng)提供設(shè)置建議，并可視化展示終端的基線合規(guī)檢查結(jié)果。16Linux終端合規(guī)檢查一鍵式操作對(duì)指定終端/終端組進(jìn)行合規(guī)性檢查，包括身份鑒別、訪問(wèn)控制、平安審計(jì)、SSH策略檢測(cè)、入侵防范、惡意代碼防范，對(duì)不合規(guī)的檢查項(xiàng)提供設(shè)置建議，并可視化展示終端的基線合規(guī)檢查結(jié)果。17windows智御支持對(duì)Windows停更的系統(tǒng)提供專項(xiàng)防護(hù)，包括0day漏洞防護(hù)、文件防護(hù)、暴破入侵防護(hù)、系統(tǒng)脆弱點(diǎn)識(shí)別和風(fēng)險(xiǎn)端口封堵等多項(xiàng)核心功能。18威脅處置支持與我校現(xiàn)有態(tài)勢(shì)感知平臺(tái)實(shí)現(xiàn)威脅處置，當(dāng)終端平安軟件檢測(cè)到威脅時(shí)，支持管理員在態(tài)勢(shì)感知平臺(tái)管理界面批量下發(fā)強(qiáng)力專殺工具到內(nèi)網(wǎng)各個(gè)終端，實(shí)現(xiàn)快速查殺任務(wù)，并查看任務(wù)狀態(tài)、結(jié)果并進(jìn)行處置。19windows漏洞修復(fù)及補(bǔ)丁管理支持流行Windows高危漏洞的輕補(bǔ)丁免疫防御，支持Windows補(bǔ)丁批量一鍵修復(fù)。20Linux漏洞掃描支持對(duì)Linux終端掃描系統(tǒng)漏洞、提供漏洞分析詳情和修復(fù)建議。21流量可視效勞器詳情支持展示效勞器的資源狀態(tài)〔CPU占有率、內(nèi)存占有率和磁盤率〕、流量分布Top5、該效勞器開(kāi)放的效勞。流量線詳情支持展示該流量線對(duì)應(yīng)的控制策略；圖形化顯示效勞器間流量關(guān)系，包括訪問(wèn)詳情、流量趨勢(shì)等。22遠(yuǎn)程桌面控制支持遠(yuǎn)程控制管控終端桌面的功能，便于管理員能夠及時(shí)對(duì)存在故障的終端進(jìn)行維護(hù)。23全網(wǎng)威脅狩獵支持基于威脅情報(bào)的病毒文件哈希值、行為、域名、網(wǎng)絡(luò)連接等各項(xiàng)終端系統(tǒng)層、應(yīng)用層行為數(shù)據(jù)在全網(wǎng)終端發(fā)起搜索，挖掘潛伏攻擊，快速定位出全網(wǎng)終端感染該威脅的情況。24威脅感知互聯(lián)支持與我?，F(xiàn)有態(tài)勢(shì)感知平臺(tái)實(shí)現(xiàn)威脅感知互聯(lián)。支持將終端平安軟件客戶端檢測(cè)出來(lái)的惡意文件事件、暴力破解事件、微隔離事件的日志同步給現(xiàn)有的態(tài)勢(shì)感知設(shè)備，以完善系統(tǒng)的用戶行為審計(jì)溯源能力，提升設(shè)備自身的平安性。〔四〕、工程其他要求.網(wǎng)絡(luò)信息平安要求認(rèn)證授權(quán)：保證用戶的合法性和用戶使用信息資源的權(quán)利，防止內(nèi)部敏感信息泄露和效勞所提供的信息資源被非法訪問(wèn)，造成嚴(yán)重的平安事故。信息保密：充分利用密碼技術(shù)，對(duì)于需要保密的信息，采用密碼技術(shù)進(jìn)行加解密處理，防止信息的非授權(quán)泄露，確保涉密信息在產(chǎn)生、存儲(chǔ)、傳遞和處理過(guò)程中的保密。數(shù)據(jù)完整性：建立數(shù)據(jù)完整性檢驗(yàn)機(jī)制，保證收發(fā)雙方數(shù)據(jù)的一致性，防止信息被非授權(quán)修改。審計(jì)：記錄應(yīng)用運(yùn)維、管理及運(yùn)行日志，對(duì)事件進(jìn)行分析，并能提供預(yù)警信息。數(shù)據(jù)備份；利用數(shù)據(jù)庫(kù)的備份功能將建設(shè)的平臺(tái)和系統(tǒng)數(shù)據(jù)備份到指定的效勞器或存儲(chǔ)系統(tǒng)上。要求投標(biāo)人從物理平安、網(wǎng)絡(luò)平安、系統(tǒng)平安、應(yīng)用軟件平安、用戶平安、數(shù)據(jù)平安等幾個(gè)方面提出配套的平安體系完善方案，以便防范平安風(fēng)險(xiǎn)，網(wǎng)絡(luò)平安要求到達(dá)網(wǎng)絡(luò)平安等級(jí)保護(hù)2.0或以上要求并提供相關(guān)證明文件或承諾上線符合網(wǎng)絡(luò)平安等級(jí)保護(hù)2.0的要求。.準(zhǔn)入要求系統(tǒng)準(zhǔn)入標(biāo)準(zhǔn)：工程系統(tǒng)部署應(yīng)遵循學(xué)校信息化建設(shè)工程和網(wǎng)絡(luò)平安相關(guān)制度或標(biāo)準(zhǔn)要求，對(duì)學(xué)校網(wǎng)絡(luò)效勞、云計(jì)算資源效勞、域名效勞等都應(yīng)落實(shí)專人負(fù)責(zé)，定期巡檢。部署運(yùn)維：部署在學(xué)校內(nèi)私有云環(huán)境，投標(biāo)人有責(zé)任和義務(wù)配合相關(guān)業(yè)務(wù)完成私有云環(huán)境申請(qǐng)，負(fù)責(zé)標(biāo)準(zhǔn)部署系統(tǒng)所在操作系統(tǒng)和應(yīng)用、數(shù)據(jù)庫(kù)等環(huán)境。部署在公有云環(huán)境，投標(biāo)人有責(zé)任和義