河北航空远程办公安全接入平台（零信任）采购项目采购公告

设备名称

数量

配置参数

备注

远程办公安全接入平台（零信任）

2台

性能参数

最大理论加密流量（Mbps）:600

最大理论并发用户数：1200

最大理论https并发连接数（个）：60000

理论https新建连接数（个/秒）：240

硬件参数

符合标准网络机柜，配置冗余双电源和冗余风扇

内存：16G

硬盘容量：128G SSD

接口：8千兆电口、2千兆光口SFP、2万兆光口SFP+（含千兆光模块4个，万兆光模块4个，匹配接口数量的≥3米的6类网线）

1套

最新版本零信任访问控制系统软件

用户并发授权

1000个

系统集成

设备上架所需配件、耗材及安装调试服务

产品名称

技术要求

证明材料或说明

远程办公安全接入平台（零信任）

零信任控制中心方面

1.基本功能

1.1为了满足灵活部署的要求，控制中心应支持IPV4/IPV6双栈网络IP配置，可自主选择配置LAN口或WAN口。

/

1.2为了保护设备的安全，可支持默认限制所有IP通过WAN口访问系统，支持通过配置IP白名单的方式来放通WAN口接入的特殊需求。

/

1.3为了保障系统的稳定性，集群节点故障后剩余节点仍能接管所有业务，集群需支持授权漂移机制：集群中的单节点故障后，集群的总授权数跟故障前保持一致。

需提供产品功能截图及第三方权威检测机构出具的带CNAS标识的检测报告证明

1.4为满足单位多样化安全便捷认证需求，需至少支持以下认证方式：本地账号密码认证、LDAP/AD认证、OAuth2.0标准协议的票据认证、CAS标准协议的票据认证、Radius账号认证、HTTPS帐号认证、OIDC企业终端认证等，并可与企业微信、阿里钉钉、飞书结合实现扫码认证。

需满足集团OIDC企业终端认证接口对接功能（提供确保对接成功且实现需求功能的承诺函）。

1.5支持配置点击工作台的业务应用即可直接拉起对应的CS程序进行访问，包括但不限于浏览器、远程桌面或其他指定程序，支持Windows、macOS、统信UOS、麒麟kylin、Ubuntu等主流操作系统。

需提供产品功能截图证明

1.6为了进一步保障用户身份安全，需支持多因素认证，支持管理员结合已对接的主认证和辅认证类型进行设置，可自由选择采用首次认证+二次认证+终端认证+增强认证等方式。

辅认证需满足集团服务治理中心接口对接需求（提供确保对接成功且实现需求功能的承诺函）

1.7支持以私有DNS发布企业资源，无需额外购买DNS服务即可使用域名访问内网资源，支持管理员自主配置是否允许从具体网络区域（局域网/互联网）接入时使用此私有DNS解析地址。

需提供产品功能截图证明

1.8支持配置企业的CDN作为零信任客户端下载地址，以降低设备本身的非业务访问带宽压力。

中标后签订合同前提供功能演示

2.安全能力

2.1为强化系统认证安全性，可配置在触发异常环境的条件时，用户需完成增强认证才可登录。可配置的异常环境包括但不限于：帐号首次登录、帐号在该终端首次登录、账号在非常用地点登录、闲置帐号登录、弱密码登录、异常时间登录等。

需提供产品功能截图及第三方权威检测机构出具的带CNAS标识的检测报告证明

2.2为满足组织灵活的管理要求，支持配置动态访问规则，可以灵活地将终端环境、用户身份、处置动作等进行配置，为单位不同业务不同部门提供灵活丰富的访问控制策略。

/

2.3支持对用户PC终端的出站、入站网络规则划分虚拟网络域进行管控，以实现用户登录零信任客户端后，在特定的网络域下只能主动访问网络域对应的IP、IP范围、IP段、域名，且只能被限定的IP、IP范围、IP段访问；该功能支持主流操作系统，包括但不限于Windows、macOS、麒麟kylin、统信UOS等。

需提供产品功能截图及第三方权威检测机构出具的带CNAS标识的检测报告证明

2.4远程办公安全接入平台（零信任）需提供单包授权能力（SPA），支持UDP+TCP组合的单包授权技术，未授权用户无法连接零信任设备，无法扫描到服务端口，不会出现敲门放大漏洞。

/

2.5为有效防止木马入侵系统后攻击服务器，零信任系统需内置一些常见攻击工具进程黑名单，管理员可基于内置的名单进行增减，匹配上此名单的进程访问零信任系统时会被打上标签，以方便快速定位排查问题终端。

需提供产品功能截图证明

2.6为提升业务应用的数据安全性，零信任系统应支持针对发布的WEB应用开启WEB水印，水印内容至少包括：用户名+当前年月日，起到威慑与溯源作用，有效预防数据泄露。

/

2.7支持配置虚拟专线功能，当用户登录零信任客户端之后，自动断开互联网连接，避免互联网威胁影响内网业务系统。

支持通过桌面悬浮球的方式，用户可一键切换内网或互联网。

需提供产品功能截图证明

3.管理要求

3.1为方便用户快速切换使用新的远程接入方式，应支持直接用户在打开原VPN客户端时直接升级成零信任客户端来登录访问业务，管理员可以自行通过配置决定升级完成后是否卸载原VPN客户端。

需提供产品功能截图证明

3.2支持Windows客户端自助进行日志收集，方便运维排查。

需提供产品功能截图证明

3.3支持终端环境诊断排查，提供终端诊断工具，支持对当前终端的基本环境进行扫描和一键修复，便于员工自行排查修复终端问题，减少IT运维人员工作。

需提供产品功能截图证明

3.4支持管理员自行配置单位的弱密码库，可配置不少于10W行的弱密码。

需提供产品功能截图证明

3.5为方便管理员统筹查看管理零信任系统的整体运行状态，支持对设备自身的安全状态和策略配置进行巡检，对设备的整体状态进行打分，统计所有检查的正常项、异常项和告警项，并输出巡检报告。

需提供产品功能截图证明

3.6支持管理员配置指定用户在单个代理网关上的带宽限制，可精确配置上行带宽（即客户端发送到网关的带宽）和下行带宽（即客户端从网关接受的带宽），针对不同的网关可以配置不同的带宽限制。

需提供产品功能截图证明

零信任代理网关方面

1.基本功能

1.1为了满足灵活部署的要求，代理网关应支持IPV4/IPV6双栈网络IP配置，可自主选择配置LAN口或WAN口。

/

1.2为了保护设备的安全，可支持默认限制所有IP通过WAN口访问系统，支持通过配置IP白名单的方式来放通WAN口接入的特殊需求。

/

1.3为了提高系统可靠性，保障单台设备故障时系统仍可正常运行，代理网关应支持双机主备部署。

/

1.4支持用户访问日志、管理员操作日志、支持用户安全日志提取，审计中心应将具有异常登录行为的用户日志自动打标签为用户安全日志，以便于管理员快速审计定位。用户安全日志包括但不限于：账号安全、中间人攻击、SPA安全、cookie劫持等。

需提供产品功能截图证明

2.安全能力

2.1支持配置同IP用户连续登录错误超过上限时锁定IP，并于指定时长后自动恢复。

需提供产品功能截图证明

2.2防机器人输入，提供强安全性的点击图像校验码机制，图形校验码支持中文和英文。

需提供产品功能截图证明

2.3支持API防护检查，包括但不限于：API接口爆破检查、API接口越权调用、API接口扫描、API Web Shell攻击等。

需提供产品功能截图证明

2.4支持将设备安全事件单独记录在设备安全日志中，事件类型包括但不限于：接口扫描、接口webshall攻击、接口参数爆破、接口越权调用等设备API防护日志。

需提供产品功能截图证明

3.管理要求

3.1为方便管理员统筹查看管理零信任系统的整体运行状态，支持对设备自身的安全状态和策略配置进行巡检，对设备的整体状态进行打分，统计所有检查的正常项、异常项和告警项，并输出巡检报告。

需提供产品功能截图证明

3.2支持查看当前设备运行状态，包括但不限于设备硬件状态（CPU、内存、磁盘占比等）、实时网络吞吐、历史网络吞吐峰值等信息，便于管理员掌握设备整体运行情况。

/

3.3支持告警信息设置，告警事件应包含但不限于： CPU使用率超过80%、内存使用率超过80%、磁盘占用率超过80%、本机网卡异常、序列号即将到期、控制中心连通异常、集群故障等。

/

3.4支持新增/删除/修改管理组，内置审计管理员、安全管理员、系统管理员等管理组；通过管理组管理权限的配置，实现管理员分级分权。

需提供产品功能截图证明