零信任訪問控制系統(tǒng)與終端安全管理系統(tǒng)需求

零信任訪問控制系統(tǒng)與終端平安管理系統(tǒng)需求〔一〕工程概況隨著學校數(shù)字化改革工作推進，終端用戶訪問控制與平安管理日益成為需迫切解決的問題。本工程主要以學校師生用戶不同數(shù)字身份為中心，依據(jù)平安可控的零信任訪問控制機制，根據(jù)用戶數(shù)字ID身份分配不同訪問權(quán)限；適配PC端、移動端、釘釘、微信、自建人口口等多種終端，提供教學信息系統(tǒng)、管理信息系統(tǒng)、數(shù)字資源效勞〔知網(wǎng)、維普等〕等多種資源訪問形式，同時支持S代理和SSL訪問隧道，針對B/S、C/S結(jié)構(gòu)應(yīng)用提供加密隧道傳輸。用戶在校內(nèi)、校外訪問相關(guān)資源權(quán)限統(tǒng)一，訪問模式一致，體驗感受良好。學校數(shù)字校園訪問峰值出現(xiàn)在每學期選課階段。供給商應(yīng)有類似工程經(jīng)驗，零信任訪問方案在滿足設(shè)備技術(shù)參數(shù)的根底上，應(yīng)滿足學校實際工作需要，特別是對選課頂峰期應(yīng)提供解決方案，有效滿足學校選課需要。按照數(shù)字經(jīng)院設(shè)計規(guī)劃，配合學校完成用戶身份資源融合，投標方案應(yīng)提供實現(xiàn)自動化分配用戶資源權(quán)限，可視化展現(xiàn)系統(tǒng)管理數(shù)據(jù)等能力。同時，結(jié)合用戶實時的身份信息、終端環(huán)境信息和應(yīng)用敏感度，能實現(xiàn)對不同平安要求的應(yīng)用，以及不同范圍的用戶進行不同平安力度的應(yīng)用準入，實現(xiàn)動態(tài)的訪問控制。提供自適應(yīng)身份認證平安機制，如當用戶訪問使用弱密碼時需進行增強認證，當用戶在異常時間段登錄時需進行增強認證，當用戶在異地登錄時，必須進行增強認證，降低被攻擊入侵的風險，最終到達平安和體驗最正確平衡。零信任訪問控制系統(tǒng)含零信任控制中心和零信任平安代理網(wǎng)關(guān)，實現(xiàn)“流量身份化〞和“動態(tài)自適應(yīng)訪問控制〞，提供網(wǎng)絡(luò)隱身、動態(tài)自適應(yīng)認證、終端動態(tài)環(huán)境檢測、全周期業(yè)務(wù)準入、智能權(quán)限基線、動態(tài)訪問控制、多源信任評估等核心能力，滿足新形勢下多場景智慧經(jīng)院應(yīng)用平安訪問需求。終端平安管理系統(tǒng)在原有EDR平臺授權(quán)的根底上，對終端授權(quán)數(shù)量進行擴容?；贏I智能分析引擎+行為檢測機制為核心構(gòu)建終端主動防御能力。通過靈活多樣的處置方式、微隔離等自研技術(shù)到達快速響應(yīng)的效果，

本工程應(yīng)能在運維、管理、技術(shù)支持、巡檢等方面提供優(yōu)質(zhì)效勞，運維方便，在服務(wù)期內(nèi)提供不少于每半年一次的上門巡檢效勞，同時提供高效、平安、便捷的技術(shù)響應(yīng)效勞?！捕承铦M足的質(zhì)量、平安、技術(shù)規(guī)格、物理特性等要求：1.設(shè)備清單及技術(shù)參數(shù)序號設(shè)備名稱技術(shù)參數(shù)數(shù)量計量單位1零信任控制中心性能參數(shù)：最大并發(fā)用戶數(shù)〔個〕：4000,新建用戶數(shù)〔個/秒〕：110。硬件參數(shù)：規(guī)格：15內(nèi)存大小：16G，硬盤容量：128GSSD，電源：冗余電源，接口：6千兆電口+4千兆光口SFP〔含光模塊〕。含：零信任接入授權(quán)〔不低于3200套〕，零信任可信控制器〔*1臺〕；零信任訪問控制系統(tǒng)軟件〔*1套〕；產(chǎn)品質(zhì)保〔3年〕；軟件原廠升級〔3年〕；1臺2零信任平安代理網(wǎng)關(guān)性能參數(shù)：最大理論加密流量不低于：750Mbps，最大理論并發(fā)用戶數(shù)〔個〕不低于：7500，最大理論s并發(fā)連接數(shù)〔個〕不低于：120000，理論s新建連接數(shù)〔個/秒〕不低于：730。硬件參數(shù)：規(guī)格：25內(nèi)存大小：16G，硬盤容量：240GSSD，電源：冗余電源，接口：6千兆電口+4千兆光口SFP〔含光模塊〕+2萬兆光口SFP+〔含光模塊〕。含：零信任訪問控制系統(tǒng)軟件〔*1套〕；產(chǎn)品質(zhì)?！?年〕；軟件升級〔3年〕。1臺3終端安含：PC端點平安軟件授權(quán)〔不低于20套〕；效勞器端點1套全管理系統(tǒng)平安軟件授權(quán)〔不低于125套〕；軟件原廠升級〔3年〕2.詳細參數(shù):〔1〕零信任控制中心序號工程功能項具體參數(shù)1控制中心要求硬件規(guī)格要求1U機箱，內(nèi)存大小三166,硬盤容量三128GSSD,電源:冗余電源，接口：三6千兆電口，三4千兆光口SFP〔帶光模塊〕。性能要求最大并發(fā)用戶數(shù)〔個〕三4000,新建用戶數(shù)〔個/秒〕三110；接入授權(quán)三3200套。2兼容性要求兼容性為降低零信任系統(tǒng)部署實施復(fù)雜度，防止因部署遷移而產(chǎn)生大量重復(fù)性策略配置工作，本次所投產(chǎn)品應(yīng)支持導入原有VPN系統(tǒng)的配置信息，支持導入的配置信息至少應(yīng)包含角色、用戶、用戶組、資源、資源組等，以實現(xiàn)平滑切換，快速無誤部署落地。3設(shè)備部署網(wǎng)絡(luò)部署為了滿足靈活部署的要求，控制中心應(yīng)具備IPV4/IPV6雙棧網(wǎng)絡(luò)IP配置，可自主選擇配置LAN口或WAN口。為了保護設(shè)備的平安，可具備默認限制所有IP通過WAN口訪問系統(tǒng)，具備通過配置IP白名單的方式來放通WAN口接入的特殊需求。集群部署為了提高系統(tǒng)可靠性，保障單臺設(shè)備故障時系統(tǒng)仍可正常運行，控制中心應(yīng)支持本地集群部署，且最少2臺設(shè)備即可組建集群，單集群的最大節(jié)點數(shù)量不得少于4臺；本地集群組建時，集群中的節(jié)點可承載工作負載功能，不需要依賴其它外置設(shè)備。為了使系統(tǒng)資源利用最大化，本地集群與分布式集群下各節(jié)點的零信任授權(quán)數(shù)均可共享使用，集群的總接入授權(quán)數(shù)是各節(jié)點授權(quán)數(shù)的總和。為了保障系統(tǒng)的穩(wěn)定性，集群節(jié)點支持故障后剩余節(jié)點仍能接管所有業(yè)務(wù)，分布式集群及本地集群均需支持授權(quán)漂移機制：集群中的單節(jié)點故障后，集群的總授權(quán)數(shù)跟故障前保持一致，且總授權(quán)數(shù)保存時間不得少于30天。隧道資范圍、IP段、域名和通配符域名進行資源發(fā)布，同一隧道資源支持TCP、UDP、ICMP隧道資范圍、IP段、域名和通配符域名進行資源發(fā)布，同一資源可發(fā)布多個效勞器地址，TCP協(xié)議支持長連接。產(chǎn)品基于身份化實現(xiàn)先認證、在連接，保護業(yè)務(wù)系統(tǒng)的平安。所有業(yè)務(wù)訪問，需先經(jīng)過零信任控制中心認證后，才能建立連接。為有效抵御惡意軟件和有針對性地攻擊，WEB資源發(fā)布時應(yīng)具有到URL路徑級別，且具有配置URL路徑規(guī)則。資源發(fā)布黑名單模式下，用戶只能訪問不在黑名單內(nèi)的路徑；白資源發(fā)布黑名單模式下，用戶只能訪問不在黑名單內(nèi)的路徑；白Web資名單模式下，用戶只能訪問白名單內(nèi)的路徑。且為了簡源 化管理員配置，URL黑白名單還應(yīng)具有*?等通配符配置。對于一些主要在主站點中點擊使用的子站點WEB業(yè)務(wù)系統(tǒng)，且子站點跟主站點業(yè)務(wù)系統(tǒng)權(quán)限一致的場景，為簡化管理員配置，零信任系統(tǒng)應(yīng)具有開啟依賴站點功能。為方便業(yè)務(wù)快速上線，還應(yīng)具有自動采集站點功能對依賴站點進行梳理。

5終端接入瀏覽器兼容性為更好滿足老師日常辦公使用習慣，終端對于瀏覽器應(yīng)滿足：1、支持以下瀏覽器的主流版本訪問WEB資源：IE、Chrome、Edge、Firefox、Opera、Safari等。2、支持微信內(nèi)置瀏覽器、釘釘內(nèi)置瀏覽器訪問WEB資源。3、支持Android、iOS等廠商的自帶瀏覽器訪問WEB資源。4、支持國產(chǎn)操作系統(tǒng)瀏覽器接入并訪問WEB資源。終端兼容性咽產(chǎn)化〕支持主流國產(chǎn)硬件CPU和國產(chǎn)操作系統(tǒng)，包括但不限于麒麟V10X龍芯、麒麟V10X龍芯LoongArch、麒麟V10X飛騰、麒麟V10X鯤鵬、麒麟V10X兆芯、麒麟V10X海光、麒麟V10X海思麒麟；統(tǒng)信V20X龍芯〔3A3000、3A4000〕、統(tǒng)信V20X龍芯〔3A5000〕、統(tǒng)信V20X飛騰、統(tǒng)信V20X鯤鵬、統(tǒng)信V20X海光、統(tǒng)信V20X兆芯等。終端管理具有不同平臺的終端同時在線，管理員可分別設(shè)置可同時在線的PC或移動終端個數(shù)，配置范圍不小于0-1000,當超過終端個數(shù)時，可以注年銷最早登錄的終端，且被注銷的終端有對應(yīng)的注銷提醒；管理員可設(shè)置允許終端在線數(shù)為0,以禁止用戶通過此類終端接入訪問。為了保障學校師生認證平安與便捷性的平衡，需具有設(shè)置授信終端綁定，具有配置綁定授信終端的可信網(wǎng)絡(luò)區(qū)域、增強認證條件；并可限定用戶可綁定的授信終端數(shù)量：具有用戶滿足單一條件或多個條件后自助綁定，可配置條件包括但不限于網(wǎng)絡(luò)區(qū)域、終端資產(chǎn)標簽、終端標簽類型等，最多可配置條件數(shù)不得少于3條。身份認證認證方式為滿足學校后續(xù)多樣化平安便捷認證需求，具有以下認證方式：本地賬號密碼認證、LDAP/AD認證、OAuth2.0標準協(xié)議的票據(jù)認證、CAS標準協(xié)議的票據(jù)認證、Radius賬號認證、S帳號認證、證書主認證、證書輔認證、短信主認證、短信輔認證、標準Radius令牌認證、第三方令牌認證、TOTP動態(tài)令牌認證等認證方式，并可與企業(yè)微信、阿里釘釘、飛書結(jié)合實現(xiàn)掃碼認證，具有飛書用戶或個人微信企業(yè)號通過由接入。其中短信認證具有配置S短信網(wǎng)關(guān)、騰訊云短信網(wǎng)關(guān)、阿里云短信網(wǎng)關(guān)及Socket短信網(wǎng)關(guān)等網(wǎng)關(guān)類型。免輔助認證支持免輔助認證。用戶勾選信任瀏覽器后，在該瀏覽器下有效期內(nèi)不需要進行輔助認證。有效期時長可設(shè)置1-90天。自適應(yīng)認證支持在滿足以下條件時，可自動拉起客戶端并自動登錄，可配置的條件包括但不限于：授信終端、Windows域環(huán)境、自定義網(wǎng)絡(luò)環(huán)境等。支持在滿足以下條件時，免除二次認證，可配置的條件包括但不限于：授信終端、Windows域環(huán)境、自定義網(wǎng)絡(luò)環(huán)境等。支持在發(fā)現(xiàn)異常環(huán)境時，自動進行增強認證，可配置的異常環(huán)境包括但不限于：帳號首次登錄、帳號在該終端首次登錄、閑置帳號登錄、弱密碼登錄、異常時間登錄、非常用地點登錄等。單占登支持與企業(yè)微信、釘釘?shù)戎髁鞒堿PP對接，實現(xiàn)與在錄企業(yè)微信或釘釘工作臺上發(fā)布的H5微應(yīng)用單點登錄。7用戶管理外部用戶管理支持與第三方用戶管理效勞器對接，包括但不限于LDAP用戶目錄、AD域用戶目錄、企業(yè)微信用戶目錄、釘釘用戶目錄等，可配置的屬性包括但不限于：用戶過濾、用戶名、外部ID、組織架構(gòu)、所屬角色、帳號狀態(tài)、有效期、號碼、電子郵箱等。批量導入/導出支持按表格模板批量導入/導出本地用戶和組織架構(gòu)，支持通過手動/自動方式批量同步外部用戶，可設(shè)置自動同步的時間間隔。8訪問平安動態(tài)訪問控制支持動態(tài)訪問控制策略，可根據(jù)用戶、應(yīng)用配置規(guī)則使用范圍，可基于Windows、macOS、Linux、iOS、Android、麒麟、統(tǒng)信等操作系統(tǒng)單獨配置策略。產(chǎn)品支持基于身份化實現(xiàn)動態(tài)訪問控制，不僅在登陸時進行評估，而且在業(yè)務(wù)訪問期間，持續(xù)、自適應(yīng)地動態(tài)評估平安，實時地調(diào)整訪問控制權(quán)限。處置動作包括阻止訪問、注銷登錄、鎖定賬號等，可基于處置動作自定義提示語，支持短信增強認證、告警灰度處置方式，可配置處置有效時長。動態(tài)上線準入支持動態(tài)上線準入策略，可指定適用用戶范圍和排除用戶，可基于Windows、macOS、Linux、iOS、Android、麒麟、統(tǒng)信等操作系統(tǒng)單獨配置策略。支持“與〞、“或〞條件嵌套，可通過單一條件或條件組的進行策略配置，條件變量包括但不限于：終端名稱、MAC地址、終端本地IP列表、操作系統(tǒng)版本、終端資產(chǎn)類型、終端標簽類型、存在指定文件、操作系統(tǒng)安裝的補丁、運行進程、運行指定殺毒軟件、運行任一殺毒軟件、零信任客戶端版本、安裝指定軟件、開啟系統(tǒng)防火墻、用戶接入城巾'、用戶登錄國家、用戶登錄時間、弱密碼、授信終端、授信域環(huán)境、閑置帳號、帳號首次登錄、帳號在該終端首次登錄、異常時間登錄、非常用地點登錄等。處置動作包括注銷登錄，可基于處置動作自定義提示語，支持短信增強認證、告警灰度處置方式，可配置處置有效時長。9平安特性效勞隱身為了最大程度縮小網(wǎng)絡(luò)、業(yè)務(wù)暴露面，零信任平臺需提供單包授權(quán)能力〔SPA〕，具有UDP+TCP組合的單包授權(quán)技術(shù)，未授權(quán)用戶無法連接零信任設(shè)備，無法掃描到服務(wù)端口，不會出現(xiàn)敲門放大漏洞。虛擬專線針對Windows系統(tǒng)用戶，具有配置虛擬專線功能，當用戶登錄零信任客戶端之后，自動斷開互聯(lián)網(wǎng)連接，防止互聯(lián)網(wǎng)威脅影響內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)。2、具有通過桌面懸浮球的方式，用戶可一鍵切換內(nèi)網(wǎng)或互聯(lián)網(wǎng)。威脅感知互聯(lián)支持與我校現(xiàn)有態(tài)勢感知平臺實現(xiàn)基于身份的威脅感知互聯(lián)，支持將用戶訪問零信任系統(tǒng)的WEB資源訪問流量解軍密后鏡像給現(xiàn)有的態(tài)勢感知設(shè)備，以完善系統(tǒng)的用戶行為審計溯源能力，提升設(shè)備自身的平安性。10審計能力具有全面的日志記錄具有用戶平安日志提取，審計中心應(yīng)將具有異常登錄行為的用戶日志自動打標簽為用戶平安日志，以便于管理員快速審計定位。用戶平安日志包括但不限于：帳號安全〔應(yīng)包含帳號首次登錄、異常時間登錄、非常用地點登錄、弱密碼登錄、爆破登錄、閑置帳號登錄、帳號在新終端登錄等〕、中間人攻擊、SPA平安〔應(yīng)包含SPA端口掃描、SPA爆破攻擊、SPA敲門偽造、SPA重放攻擊、SPA平安碼泄漏等〕、cookie劫持等。支持按學校要求提供數(shù)據(jù)展示大屏相關(guān)數(shù)據(jù)，或提供學校數(shù)據(jù)大屏集成效勞。11設(shè)備平安防爆破具有配置同名用戶連續(xù)登錄錯誤超過上限時鎖定賬號，并于指定時長后自動恢復(fù)，具有配置同IP用戶連續(xù)登錄錯誤超過上限時鎖定IP，并于指定時長后自動恢復(fù)防機器人防機器人輸入，提供強平安性的點擊圖像校驗碼機制，圖形校驗碼具有中文和英文OpenAPI1、具有對接多個設(shè)備進行openapi接口調(diào)用2、具有限制openapi調(diào)用ip范圍12平安特性虛擬IP支持虛擬IP，可以通過虛擬玨訪問后端業(yè)務(wù)系統(tǒng)，虛擬IP支持共享模式和獨享模式，以配合其他對IP有要求的平安設(shè)備工作，以及便于流量分析類設(shè)備進行流量分析。終端安全協(xié)同支持與學?，F(xiàn)網(wǎng)中的終端平安系統(tǒng)實現(xiàn)平安協(xié)同，現(xiàn)網(wǎng)終端平安系統(tǒng)將資產(chǎn)信息同步到零信任控制中心，以加強控制中心資產(chǎn)管理與測繪能力；同時支持現(xiàn)網(wǎng)終端安全系統(tǒng)將終端風險評分同步給控制中心，以實現(xiàn)控制中心根據(jù)終端風險評分設(shè)置準入策略。遠程辦公時，可聯(lián)動學?，F(xiàn)網(wǎng)的終端平安系統(tǒng)在登錄前進行檢測，未檢測通過無法登錄；不符合的檢測項可以一鍵修改和查看修復(fù)指引。支持端控平安環(huán)境檢測、免端流量環(huán)境監(jiān)測，對學?，F(xiàn)網(wǎng)的終端平安系統(tǒng)安裝情況進行檢查、對未裝端的用戶進行隔離及修復(fù)處置。13運維管理終端診斷提供終端診斷工具，支持對終端的根本環(huán)境進行掃描和一鍵修復(fù)，診斷內(nèi)容應(yīng)包括但不限于：WindowsTemp目錄可寫狀態(tài)、DNS驅(qū)動狀態(tài)、零信任效勞運行狀態(tài)、零信任效勞檢測狀態(tài)、關(guān)鍵控件完整性檢測、可疑病毒驅(qū)動檢測、是否啟動IE代理、是否啟動IE自動代理腳本、虛擬網(wǎng)卡狀態(tài)、虛擬網(wǎng)卡注冊表、Hiworld病毒檢測、IE的TLS1.01.11.2協(xié)議啟用狀態(tài)、客戶端系統(tǒng)兼容性、零信任客戶端系統(tǒng)依賴庫返回情況、零信任核心文件返回情況、系統(tǒng)防火墻規(guī)則、本地DNS列表、終端系統(tǒng)本地時間等。終端日志收集支持用戶在客戶端自助進行日志收集，管理員可遠程獲取在線終端的日志?！?〕零信任平安代理網(wǎng)關(guān)序號工程功能項具體參數(shù)1代理網(wǎng)關(guān)要求硬件規(guī)格要求產(chǎn)品不少于6個千兆以太網(wǎng)電口，4個千兆光口〔含光模塊〕，2個萬兆光口〔含光模塊〕，內(nèi)存大小三16G，硬盤容量三240G55口，支持冗余電源，2U機箱。性能要求加密流量三750Mbps，并發(fā)用戶數(shù)三7500個，s并發(fā)連接數(shù)三120000個，s新建連接數(shù)三730個/秒。2設(shè)備部署網(wǎng)絡(luò)部署為了滿足靈活部署的要求，代理網(wǎng)關(guān)應(yīng)支持IPV4/IPV6雙棧網(wǎng)絡(luò)IP配置，可自主選擇配置LAN口或WAN口。為了保護設(shè)備的平安，可支持默認限制所有IP通過WAN口訪問系統(tǒng)，支持通過配置IP白名單的方式來放通WAN口接入的特殊需求。端口聚合為充分利用設(shè)備的網(wǎng)絡(luò)性能，代理網(wǎng)關(guān)部署時具有配置聚合網(wǎng)口，并具有將聚合網(wǎng)口作為代理網(wǎng)關(guān)的網(wǎng)絡(luò)部署IP。聚合網(wǎng)口具有通過哈希或802.3ad等標準對閑置網(wǎng)口進行網(wǎng)口綁定，具有通過ARP探測機制對聚合網(wǎng)口進行健康檢查。本地集群部署為了提高系統(tǒng)可靠性，保障單臺設(shè)備故障時系統(tǒng)仍可正常運行，代理網(wǎng)關(guān)應(yīng)支持本地集群部署，且最少2臺設(shè)備即可組建集群；本地集群組建時，集群中的節(jié)點可承載工作負載功能，不需要依賴其它外置設(shè)備。3審計能力流量鏡像支持將用戶通過代理網(wǎng)關(guān)訪問的WEB資源流量牟密后，鏡像給現(xiàn)網(wǎng)態(tài)勢感知設(shè)備，以完善風險用戶行為審計溯源能力，防止因加密流量導致無法監(jiān)測和審計到真實風險。威脅同步支持與學校現(xiàn)有態(tài)勢感知設(shè)備實現(xiàn)威脅同步，同步用戶信息，包括用戶登錄、登出、分配IP、訪問資源記錄的日志數(shù)據(jù)，實現(xiàn)遠程接入用戶與平安事件關(guān)聯(lián)分析，分析出異常用戶，以用戶為可視化視角，呈現(xiàn)風險問題、風險程度、內(nèi)網(wǎng)資源訪問情況等。支持同步管理員操作日志，滿足審計要求。4設(shè)備安全防爆破支持配置同IP用戶連續(xù)登錄錯誤超過上限時鎖定IP，并于指定時長后自動恢復(fù)。防機器人防機器人輸入，提供強平安性的點擊圖像校驗碼機制。5設(shè)備健康檢查設(shè)備巡檢報告為方便管理員統(tǒng)籌查看管理代理網(wǎng)關(guān)的整體運行狀態(tài)，支持對設(shè)備自身的平安狀態(tài)和策略配置進行巡檢，對設(shè)備的整體狀態(tài)進行打分，統(tǒng)計所有檢查的正常項、異常項和告警項，并輸出巡檢報告。支持在設(shè)備上查看及下載巡檢報告。報告應(yīng)至少包含檢測項、檢查狀態(tài)、存在的問題描述、建議改良措施等。設(shè)備穩(wěn)定性檢查為保證設(shè)備穩(wěn)定性，支持設(shè)備進行健康檢查，包括但不限于：1、應(yīng)支持系統(tǒng)黑匣子及核心進程的狀態(tài)檢測。2、應(yīng)支持CPU負載、內(nèi)存負載、磁盤空間、網(wǎng)卡健康、硬盤健康、網(wǎng)卡日志、BIOS固件等硬件相關(guān)狀態(tài)的檢測。3、應(yīng)支持軟件版本及補丁修復(fù)狀態(tài)等檢測。API防護檢查包括但不限于：1、支持API接口爆破檢查；2、支持API接口越權(quán)調(diào)用；3、支持API接口掃描；4、支持APIWebShell攻擊。平安保護支持VPN平安功能自身平安保護，包括：平安運行、失敗保護、輸出VPN平安功能數(shù)據(jù)的可用性、保密性和完整性，VPN平安功能數(shù)據(jù)傳輸、物理平安保護、可信恢復(fù)等機制。6質(zhì)保要求質(zhì)保要求提供設(shè)備制造廠商質(zhì)保三年〔3〕終端平安管理系統(tǒng)序號指標項具體要求1產(chǎn)品形態(tài)產(chǎn)品可以純軟件交付，包含管理控制中心軟件及終端客戶端軟件，其中管理控制中心可云化部署，同時也支持硬件管理平臺交付。本次提供不少于20個PC主機端授權(quán)，不少于125個效勞器主機端授權(quán)。2管理控制中心要求管理平臺支持在64位的Centos7或ubuntu操作系統(tǒng)環(huán)境部署。3兼容性要求為保證軟件兼容性、提高運維管理效率，要求本次安裝軟件的終端可以在學?，F(xiàn)有的終端平安管理平臺上進行統(tǒng)一管理與運維。4多維度威脅展示支持全網(wǎng)風險展示，包括但不限于未處理的勒索病毒數(shù)量、暴力破解數(shù)量、WebShell后門數(shù)量、高危漏洞及其各自影響的終端數(shù)量。提供勒索病毒整體防護體系入口，直觀展示最近七天勒索病毒防護效果，包括已處置的勒索病毒數(shù)量、已阻止的勒索病毒行為次數(shù)、已阻止的未知進程操作次數(shù)、已阻止的暴力破解攻擊次數(shù)。5云端威脅分析支持跳轉(zhuǎn)鏈接至云端平安威脅響應(yīng)系統(tǒng)，針對已發(fā)生的威脅提供詳細的分析結(jié)果，包含威脅分析、網(wǎng)絡(luò)行為、靜態(tài)分析、分析環(huán)境和影響分析。6影子終端發(fā)現(xiàn)支持按照掃描網(wǎng)段、掃描方式、掃描協(xié)議、掃描端口對終端進行掃描，及時發(fā)現(xiàn)尚未納入管控的終端。7資產(chǎn)管理支持全網(wǎng)視角的終端資產(chǎn)統(tǒng)一清點，便于幫助用戶快速發(fā)現(xiàn)風險面。清點信息包括操作系統(tǒng)、應(yīng)用軟件、監(jiān)聽端口和主機賬戶，其中操作系統(tǒng)、應(yīng)用軟件和監(jiān)聽端口支持從資產(chǎn)和終端兩個視角進行統(tǒng)計和展示。支持對系統(tǒng)賬號信息進行梳理，了解賬號權(quán)限分布概況以及風險賬號分布情況，可按照隱藏賬號、弱密碼賬號、可疑root權(quán)限賬號、長期未使用賬號、夜間登錄、多IP登錄進行賬號分類查看，支持統(tǒng)計最近一年未修改密碼的賬戶。8消息下發(fā)支持對在線終端下發(fā)實時通知消息。9升級管理支持客戶端的錯峰升級或灰度升級，可根據(jù)實際情況控制客戶端同時升級的最大數(shù)量，防止大量終端程序同時更新造成網(wǎng)絡(luò)擁堵或I/O風暴。10威脅檢測支持本地查殺緩存，具備二級緩存機制：終端側(cè)使用全盤文件緩存，加速本地二次掃描速度，減少對本地虛擬化環(huán)境的資源消耗；管理平臺側(cè)使用全網(wǎng)文件緩存，加速云查殺速度，減少通過互聯(lián)網(wǎng)進行云查殺的帶寬消耗。支持一鍵云鑒定效勞，提供云端專家+沙箱+多引擎鑒定能力，結(jié)合云端威脅情報對已告警的威脅文件再次進行綜合研判并給出100%黑白結(jié)果，用戶可自助對管理平臺告警的威脅快速判斷是否誤報和了解威脅詳情。11終端自保護支持禁止黑客工具啟動，包含：冰刃、xuetr、ProcessHacker、PCHunter、火絨劍、Mimikatz的自啟動，可以防止黑客攻擊。12Webshell事件處理支持展示終端檢測到的WebShell事件及事件詳情，包括：惡意文件名稱，威脅等級，受感染的文件，發(fā)現(xiàn)時間，檢測引擎，文件類型，文件名，文件Hash值，文件大小，文件創(chuàng)立時間；可配置WebShell實時掃描，一旦發(fā)現(xiàn)WebShell文件，可自動隔離或僅上報不隔離。13Windows效勞器安全加固支持windows效勞器RDP遠程登錄保護，可開啟RDP遠程登錄二次認證，以防止黑客對效勞器的入侵。14勒索病毒專防基于勒索病毒攻擊過程，建立多維度立體防護機制，提供事前入侵防御-事中反加密-事后檢測響應(yīng)的完整防護體系，展示勒索病毒處置情況，對勒索病毒及變種實現(xiàn)專門有效防御。支持對勒索入侵的主流方式RDP暴破做全方位保護，包括RDP登錄校驗、RDP文件加白二次校驗等功能。15Windows終端合規(guī)檢查一鍵式操作對指定終端/終端組進行合規(guī)性檢查，包括身份鑒別、訪問控制、平安審計、剩余信息保護、入侵防范、惡意代碼防范，對不合規(guī)的檢查項提供設(shè)置建議，并可視化展示終端的基線合規(guī)檢查結(jié)果。16Linux終端合規(guī)檢查一鍵式操作對指定終端/終端組進行合規(guī)性檢查，包括身份鑒別、訪問控制、平安審計、SSH策略檢測、入侵防范、惡意代碼防范，對不合規(guī)的檢查項提供設(shè)置建議，并可視化展示終端的基線合規(guī)檢查結(jié)果。17windows智御支持對Windows停更的系統(tǒng)提供專項防護，包括0day漏洞防護、文件防護、暴破入侵防護、系統(tǒng)脆弱點識別和風險端口封堵等多項核心功能。18威脅處置支持與我校現(xiàn)有態(tài)勢感知平臺實現(xiàn)威脅處置，當終端平安軟件檢測到威脅時，支持管理員在態(tài)勢感知平臺管理界面批量下發(fā)強力專殺工具到內(nèi)網(wǎng)各個終端，實現(xiàn)快速查殺任務(wù)，并查看任務(wù)狀態(tài)、結(jié)果并進行處置。19windows漏洞修復(fù)及補丁管理支持流行Windows高危漏洞的輕補丁免疫防御，支持Windows補丁批量一鍵修復(fù)。20Linux漏洞掃描支持對Linux終端掃描系統(tǒng)漏洞、提供漏洞分析詳情和修復(fù)建議。21流量可視效勞器詳情支持展示效勞器的資源狀態(tài)〔CPU占有率、內(nèi)存占有率和磁盤率〕、流量分布Top5、該效勞器開放的效勞。流量線詳情支持展示該流量線對應(yīng)的控制策略；圖形化顯示效勞器間流量關(guān)系，包括訪問詳情、流量趨勢等。22遠程桌面控制支持遠程控制管控終端桌面的功能，便于管理員能夠及時對存在故障的終端進行維護。23全網(wǎng)威脅狩獵支持基于威脅情報的病毒文件哈希值、行為、域名、網(wǎng)絡(luò)連接等各項終端系統(tǒng)層、應(yīng)用層行為數(shù)據(jù)在全網(wǎng)終端發(fā)起搜索，挖掘潛伏攻擊，快速定位出全網(wǎng)終端感染該威脅的情況。24威脅感知互聯(lián)支持與我?，F(xiàn)有態(tài)勢感知平臺實現(xiàn)威脅感知互聯(lián)。支持將終端平安軟件客戶端檢測出來的惡意文件事件、暴力破解事件、微隔離事件的日志同步給現(xiàn)有的態(tài)勢感知設(shè)備，以完善系統(tǒng)的用戶行為審計溯源能力，提升設(shè)備自身的平安性?！菜摹?、工程其他要求.網(wǎng)絡(luò)信息平安要求認證授權(quán)：保證用戶的合法性和用戶使用信息資源的權(quán)利，防止內(nèi)部敏感信息泄露和效勞所提供的信息資源被非法訪問，造成嚴重的平安事故。信息保密：充分利用密碼技術(shù)，對于需要保密的信息，采用密碼技術(shù)進行加解密處理，防止信息的非授權(quán)泄露，確保涉密信息在產(chǎn)生、存儲、傳遞和處理過程中的保密。數(shù)據(jù)完整性：建立數(shù)據(jù)完整性檢驗機制，保證收發(fā)雙方數(shù)據(jù)的一致性，防止信息被非授權(quán)修改。審計：記錄應(yīng)用運維、管理及運行日志，對事件進行分析，并能提供預(yù)警信息。數(shù)據(jù)備份；利用數(shù)據(jù)庫的備份功能將建設(shè)的平臺和系統(tǒng)數(shù)據(jù)備份到指定的效勞器或存儲系統(tǒng)上。要求投標人從物理平安、網(wǎng)絡(luò)平安、系統(tǒng)平安、應(yīng)用軟件平安、用戶平安、數(shù)據(jù)平安等幾個方面提出配套的平安體系完善方案，以便防范平安風險，網(wǎng)絡(luò)平安要求到達網(wǎng)絡(luò)平安等級保護2.0或以上要求并提供相關(guān)證明文件或承諾上線符合網(wǎng)絡(luò)平安等級保護2.0的要求。.準入要求系統(tǒng)準入標準：工程系統(tǒng)部署應(yīng)遵循學校信息化建設(shè)工程和網(wǎng)絡(luò)平安相關(guān)制度或標準要求，對學校網(wǎng)絡(luò)效勞、云計算資源效勞、域名效勞等都應(yīng)落實專人負責，定期巡檢。部署運維：部署在學校內(nèi)私有云環(huán)境，投標人有責任和義務(wù)配合相關(guān)業(yè)務(wù)完成私有云環(huán)境申請，負責標準部署系統(tǒng)所在操作系統(tǒng)和應(yīng)用、數(shù)據(jù)庫等環(huán)境。部署在公有云環(huán)境，投標人有責任和義