1

★

硬件

要求

提供1台国产零信任设备,提供远程安全接入功能,设备硬件搭载国产CPU处理器,内置符合中国商用密码标准的加密卡,采用国产主流服务器操作系统。内存≥16G,硬盘容量≥128G SSD,接口:千兆电口≥6,千兆光口≥4。

否

2

★

性能要求

最大理论加密流量(Mbps)≥300,最大理论建议并发用户数≥600, IPSEC性能参数:加密最大流量(Mbps)≥100,理论并发隧道数(Tunnel)≥1000。配套提供不少于300并发访问的永久授权。

是

3

#

身份认证

为满足身份安全要求,应支持多因素认证,至少包括:账号密码认证、短信认证、证书认证、动态令牌认证、扫码认证,以及对接统一认证平台实现单点登录等认证方式。可配置的异常环境包括但不限于:账号首次登录、账号在该终端首次登录、闲置账号登录、弱密码登录、异常时间登录、非常用地点登录等。

是

4

#

应支持与现有办公区上网行为管理设备通过OAuth2.0协议对接,支持使用本次零信任设备作为上网行为管理的认证源登录上线,提供设备制造商盖章承诺函。

是

5

#

终端接入

为了保障用户在国产化终端上的正常业务访问,零信任客户端应在支持常用桌面端如Windows系统、Mac系统,移动端如Android系统、鸿蒙系统、IOS系统的基础上,兼容主流国产硬件CPU的国产操作系统终端。需提供国产操作系统与接入设备厂商的兼容性证明,包括但不限于目前国内主流如麒麟、统信、鸿蒙等国产操作系统,包括但不限于龙芯、飞腾、海光、兆芯、鲲鹏等国产芯片。

是

6

#

国家商用密码

支持中国商用密码标准,支持加密算法SM2、SM3、SM4。

支持使用商密密码卡进行加密;支持在控制台对密码卡进行管理(包括:激活、取消激活、密钥备份/恢复、管理KEY口令)

否

7

#

移动端 SDK 封装

支持iOS、安卓手机APP集成零信任SDK,从而实现安全接入、数据安全沙箱等功能,避免单独安装零信任手机客户端,支持通过控制台上传Android、iOS原包应用进行自动封装。支持为已经集成零信任SDK并发布到安卓或iOS应用市场的公有化生态应用配置策略,使其具有零信任接入能力及数据防泄漏能力(需提供产品功能截图证明)

是

8

#

安全特性

为了最大程度缩小网络、业务暴露面,零信任平台需提供单包授权能力(SPA),支持UDP+TCP组合的单包授权技术,未授权用户无法连接零信任设备,无法扫描到服务端口。安全码支持共享码和一人一码及一次一码三种模式,可通过短信分发安全码。一人一码模式下,当实际登录用户跟分发SPA安全码绑定的用户不一致时,零信任系统可以产生安全告警。一次一码模式下激活码被用户使用并正常登录零信任系统后转换为安全码加密存储,换码成功后激活码失效,控制台日志须体现用户首次登录后的换码过程。(需提供产品功能截图证明)

是

9

#

可支持接入现有安全运营中心进行数据接入分析和阻断,产品支持与现有终端安全软件联动管理,在零信任设备完成终端安全策略设置和内网终端安全软件的统一管理,支持检测到某主机有僵木蠕毒的C2通信时,手动或自动化将恶意域名信息下发到终端安全软件做C2通信的封锁遏制,支持管理员下发一键隔离指令,对终端恶意文件进行隔离。(以上需提供产品功能截图证明,并加盖厂商公章)

是

10

#

审计及运维能力

应支持将具有异常登录行为的用户日志自动打标签为用户安全日志,以便于管理员快速审计定位。用户安全日志包括但不限于:帐号安全(应包含帐号首次登录、异常时间登录、非常用地点登录、弱密码登录、爆破登录、闲置帐号登录、帐号在新终端登录等)、中间人攻击、SPA安全(应包含SPA端口扫描、SPA爆破攻击、SPA敲门伪造、SPA重放攻击、SPA安全码泄漏等)、cookie劫持等。(需提供产品功能截图证明)

是

11

支持终端环境诊断排查,提供终端诊断工具,支持对当前终端的基本环境进行扫描和一键修复;支持客户端应用访问诊断,输入应用地址后自动检测应用连通性;支持客户端自助日志收集;

否

12

#

数据迁移

支持根据现网远程接入设备及账户密码信息,提供快速平滑的用户迁移和产品策略配置同步服务,投标人提供所投产品功能满足承诺函。

是

13

#

产品资质

为保证零信任产品的架构规范性,要求所投产品提供中国信通院认证的零信任SDP设备Zero Trust Ready证书,提供有效证书复印件。

是

14

#

为证明产品的软件成熟性与先进性,要求所投产品提供由中国软件协会颁发的年度优秀软件产品证书,提供有效证明材料。

是

15

★

售后服务

提供不少于三年维保及售后服务。

否