恒丰银行数据中心零信任平台建设项目POC测试供应商征集公告

一、采购人：（略）
联系方式：（略）
采购代理机构：（略）
二、采购项目名称：（略）
（略）：/
采购项目分包情况：
标包
采购
内容
数量
供应商资格要求
1
（略）建设
1宗
1、供应商须在中华人民共和国境内注册，具备合法的营业执照，具有独立法人资格。
2、供应商须为所投产品原厂商。
3、（略）建设项目案例（案例需包含SDK封装APP使用（使用规模5000人以上）和客户端远程接入使用）。
4、供应商需遵循《网络安全法》等法律法规规定，所投产品需提供公安部颁发的《网络安全专用产品安全检测证书》、《（略）安全专用产品销售许可证》。
5、供应商未被列入“信用中国”网站(（略）.cn)中的“失信被执行人名单、重大税收违法失信主体、政府采购严重违法失信行为记录名单”。
6、单位：（略）
7、本项目不允许联合体参与测试。
三、项目背景、测试范围及技术要求
1、项目背景：
为满足恒丰银行信创终端远程接入需求，提升恒丰银行用户远程接入和应用发布的安全防护能力，推动恒丰银行IPV6规模部署，（略）零信任设备进行选型。
2、需求范围：
本次POC（略），包括控制节点和代理节点。
3、技术要求：
零信任设备配置性能要求：
产品组件
配置
性能
零信任控制节点
冗余电源、风扇，国产CPU，（略），CPU≥8核，内存≥32G，万兆光口≥4个，千兆电口≥4个，千兆光口≥4个，软硬一体化设备
用户并发数≥16000
零信任代理节点-（略）
冗余电源、风扇，国产CPU，（略），CPU≥8核，内存≥32G，万兆光口≥4个，千兆电口≥4个，千兆光口≥4个，软硬一体化设备
用户并发数≥16000
加密流量≥2500Mbps
访问桌面云用户并发数≥500
零信任代理节点-（略）
冗余电源、风扇，国产CPU，（略），CPU≥8核，内存≥16G，万兆光口≥2个，千兆电口≥4个，千兆光口≥4个，软硬一体化设备
用户并发数≥5000
加密流量≥900Mbps
访问桌面云用户并发数≥80
注：性能指标为必须满足项。
（略）零信任设备控制节点技术指标要求如下：
功能类别
规格参数要求
可靠性指标
*集群功能
1、支持多台设备集群部署，通过负载均衡模式对外提供服务，单台设备故障不影响业务连续性
2、本地集群组建时，集群中的节点可承载工作负载功能，不需要依赖其它外置负载均衡设备。
3、支持分布式集群部署，且最少2个节点即可组建分布式集群
*集群故障切换时间
集群故障切换时间优化，被动故障不超过60S，主动故障不超过100S恢复。
*集群模式下授权共享和漂移
1、本地集群下各节点的零信任授权数均可共享使用，集群的总接入授权数是各节点授权数的总和。
2、集群节点故障后剩余节点仍能接管所有业务，分布式集群及本地集群均需支持授权漂移机制：集群中的单节点故障后，集群的总授权数跟故障前保持一致。
*配置同步
多台设备之间业务配置自动同步
*配置备份
支持设备配置通过SFTP等方式：（略）
*关键部件冗余
支持电源风扇等关键部件冗余
*端口聚合
支持端口聚合功能，（略）口故障不影响业务连续性
设备部署
*旁路部署
（略）部署，（略）由引流的方式：（略）
*分离式部署
设备的控制节点和代理节点支持分离式部署，控制平面和数据平面的分离
*双栈部署
1、设备支持IPV4/IPV6双栈部署
2、支持IPV6环境的客户端接入和资源发布
用户管理
*本地用户管理
1、支持通过组织架构、角色等方式：（略）
2、新增或修改本地用户时，可编辑的用户属性应包括但不限于：用户名、组织信息、关联角色、（略）码、密码、电子邮箱：（略）
*外部用户管理
1、支持通过AD/LDAP同步用户和组织架构，包括新增、更新、删除
2、支持全量同步、自动增量同步、手动增量同步
3、同步外部用户时，可配置的属性包括但不限于：用户名、组织架构、所属角色、帐号状态、有效期、（略）码、电子邮箱：（略）
4、提供精细化管理能力，支持在组织架构或角色页面编辑外部导入的用户，为用户设置认证策略及用户策略，可选择用户是否继承上级组织架构的应用授权，支持查看用户关联的角色及组织架构赋予的应用授权，并可单独为用户添加个人应用。
*批量导入/导出用户
1、支持本地用户目录的用户导入\导出
2、支持外部认证用户目录的用户导入\导出
用户组
1、（略）的用户组进行增删改查操作（新增、修改、删除、添加成员）
2、通过用户组导入/导出功能，能够对用户组进行批处理动作，可以批量导入、导出、删除、修改动作
3、支持配置多个用户组，多个用户组可配置相同或不同的LDAP
*（略）管理
（略）的处置策略；
1、对于创建后长时间未使用、（略），（略）。
2、（略）的时长可自定义配置，可配置范围不得小于1-365天。
3、（略）后是否自动锁定。（略）状态。
*用户密码安全规则支持自定义
1、支持管理员自定义用户密码组合方式：（略）
2、支持管理员自定义新密码不能与历史前N次密码重复、密码不能包含连续重复字符的次数、密码能否包含键盘连续排序字符等安全规则。
认证管理
*认证方式：（略）
（略）密码认证、LDAP/AD认证、动态令牌认证等认证方式：（略）
*多因素认证
（略）密码+短信、（略）密码+动态令牌、外部认证+短信、外部认证+动态令牌等多因素认证方式：（略）
*（略）关
支持配置HTTP/HTTPS（略）关。
终端接入
*资源访问
支持客户端和浏览器两种资源访问方式：（略）
1、支持IE11、Chrome78及以上版本、Edge、Firefox、（略）浏览器等访问WEB资源
2、客户端应兼容主流国产硬件CPU（略）终端，包括但不限于麒麟V10×龙芯、麒麟V10×龙芯LoongArch、麒麟V10×飞腾、麒麟V10×鲲鹏、麒麟V10×兆芯、麒麟V10×海光、麒麟V10×海思麒麟；统信V20×龙芯（3A3000、3A4000）、统信V20×龙芯（3A5000）、统信V20×飞腾、统信V20×鲲鹏、统信V20×海光、统信V20×兆芯等
3、客户端应兼容主流非国产终端，包括但不限于：Windows7（32位、64位）、Windows10（32位、64位）、Windows11（32位、64位）、MacOS、Ubuntu、Android、iOS、鸿蒙（含原生鸿蒙）（略）的终端。
*手机SDK封装
支持iOS、安卓手机、鸿蒙（原生）APP集成零信任SDK，实现安全接入等功能。
*移动封装应用灰度更新
为方便APP应用的开发人员定向测试新版本的稳定性，封装应用应支持“灰度更新”机制。
1、支持直接在已发布应用的基础上新增beta版本，并为beta版本的应用配置单独的分发用户对象和安全策略。
2、支持管理员查看封装应用beta情况，并支持直接将beta版本转成正式版向用户推送更新。
3、支持管理员在控制台查看历史版本并快速回退至该版本。
*移动安全APP远程运维
为快速对自动封装的APP或集成零信任SDK的APP进行运维排障，支持在控制台选择对应的APP定向远程获取：（略）
终端管理
1、支持终端设备的批量导入和导出功能，导入导出有固定的模板格式
2、（略）的终端设置标签，支持通过终端标签来配置特殊的上线准入策略及应用访问策略。
*授信终端
支持设置授信终端绑定，支持配置绑定授信终端的可信（略）域、增强认证条件；并可限定用户可绑定的授信终端数量：
1、支持查看/添加/移除授信终端
2、管理员可配置仅允许授信终端登录的认证策略
*准入策略
支持符合准入策略规则的终端可登录零信任设备。
1、准入策略因子包括：
计算机名、终端MAC地址：（略）
2、准入策略可通过单一条件或条件组的方式：（略）
3、准入策略可指定适用用户范围和排除用户
4、准入策略支持对触发条件的用户设置处置动作，如注销登录，并可基于处置动作自定义提示语
*访问控制
支持配置动态资源访问规则，为单位：（略）
1、动态访问控制策略可支持按需授权，支持用户或用户组直接关联到应用
2、（略）（略）设定访问控制策略，（略）需包括Windows、macOS、linux/麒麟/统信、iOS/Android；
3、动态访问控制策略支持通过单一条件或条件组的方式：（略）
4、动态访问控制策略支持灵活的处置动作，包括阻止访问、注销登录、（略），并可基于处置动作自定义提示语；
*虚拟IP
1、支持共享虚拟IP池模式，为用户组分配一个IP地址：（略）
2、支持独享虚拟IP模式，可配置一个独享IP池，在独享IP池中为用户分配指定的虚拟IP地址：（略）
客户端自带登录地址：（略）
支持管理员配置是否允许用户在客户端下载安装后自动携带登录地址：（略）
*内网DNS解析能力
1、为适配单位：（略）
2、（略）DNS解析（略）DNS解析，并支持额外排除部分域名地址：（略）
单用户接入带宽限制
支持管理员配置指定用户在单个代理节点上的带宽限制，可精确配置上行带宽（（略）关的带宽）和下行带宽（（略）关接受的带宽），针对不同的代理节点可以配置不同的带宽限制。
CDN接入能力
1、支持配置CDN作为零信任客户端下载地址：（略）
2、当客户端通过CDN加速等代理方式：（略）
资源发布
*发布模式
1、通过隧道模式，可以支持基于TCP、UDP、ICMP等协议代理访问业务资源，支持发布IP、IP范围、IP段、具体域名及通配符域名等形式的服务器地址：（略）
2、通过WEB模式，可以支持基于http或https协议代理访问业务资源，支持发布IP或域名形式的后端服务器地址：（略）
*细粒度的资源发布
1、隧道应用支持配置到业务服务器的具体端口，且支持配置客户端接入IP限制，只有满足（略）域条件的终端才能访问此应用。
2、WEB资源发布时应支持到URL路径级别，且支持配置URL路径规则。黑名单模式下，（略）径；白名单模式下，（略）径。
3、资源发布范围可自定义，支持针对不同的用户/用户组发布不同的资源
*WEB页面安全
1、应支持针对发布的WEB应用开启WEB水印，水印内容至少包括：用户名+当前年月日。
2、应支持对WEB应用禁止复制、禁止打印、禁止下载、禁止鼠标右键、禁止浏览器调试。
*桌面云应用
1、为提高桌面云远程访问时的安全性，支持将恒丰银行现有桌面云服务器发布成零信任的代理应用；
2、为提升终端用户使用的便利性，（略）应支持跟恒丰银行桌面云服务器进行单点登录对接，实现仅需在零信任进行认证即可直接进入云桌面进行业务办公，无需重复验证。
*应用授权
支持直接在应用授权界面为单一应用或某个应用分类分配用户授权，授权方式：（略）
安全特性
*服务隐身
1、支持SPA单包授权能力，支持UDP+TCP组合的单包授权技术，未授权用户无法连接零信任设备，无法扫描到服务端口。
2、PC端和移动端均支持通过安全码激活客户端为授权客户端，从而可进行SPA敲门和连接，安全码支持共享码、一人一码和一次一码等多种模式，支持短信分发安全码，保障业务的安全性。不同安全码模式均应同时支持PC端和移动端使用。
*虚拟专线
支持配置虚拟专线功能，当用户登录零信任客户端之后，（略）连接，（略）。
*（略）络域
1、支持对用户PC终端的出站、（略）络域进行管控，以实现用户登录零信任客户端后，（略）络域对应的IP、IP范围、IP段、域名，且只能被限定的IP、IP范围、IP段访问；
2、（略）络规则支持配置仅对终端上的某些指定进程生效；
3、支持终端用户通过工作台面板、任务栏菜单等方式：（略）
4、（略），包括但不限于Windows、macOS、麒麟kylin、统信UOS等。
*自适应认证
可配置在触发异常环境的条件时，用户需完成增强认证才可登录。可配置的异常环境包括但不限于：帐号首次登录、帐号在该终端首次登录、账号在该地点：（略）
*可信进程
1、内置一些常见攻击工具进程黑名单，管理员可基于内置的名单进行增减，（略）时会被打上标签，以方便快速定位排查问题终端。
2、支持配置仅可信的进程可访问指定的应用，或不可信的进程阻止访问。

防机器人
提供强安全性的点击图像校验码机制，图形校验码支持中文和英文。
权限管理
*（略）
1、支持新增/删除/（略）
2、（略）状态
*管理员分级分权
1、支持新增/删除/修改管理组，内置审计管理员、安全管理员、系统管理员等管理组；通过管理组管理权限的配置，实现管理员分级分权。
2、管理组支持按控制台模块分配权限，支持对模块配置[只读]、[完全控制]两种权限；
权限导入/导出
1、支持按照指定的EXCEL\CSV格式文件导入用户权限
2、支持按用户、组织机构、用户组导出权限，导出格式为EXCEL、CSV
日志审计
*日志查询
1、用户日志：通过用户日志模块，管理员可以查看用户登录、访问业务的实时记录，记录用户终端IP、接入IP、分配的虚拟IP，记录每个终端登录认证时“单包授权”的日志信息记录
2、管理员日志：记录管理员登录控制台后所有的操作
3、系统日志：（略）运行日志、安全防护日志
4、（略）（略）关的用户访问日志、管理员日志及设备安全防护日志。
*日志设置
1、支持定义本地日志存储的类型，包含用户日志、管理日志、系统日志；
2、支持通过syslog日志外发，支持UDP和TCP两种协议；
3、支持通过远程日志服务功能，（略）
4、支持日志外发自定义选择要发送的日志类型和字段
流量镜像
（略）的WEB（略），如态势感知等设备。
（略）运维
*SNMP
支持提供SNMP服务来对接运维监控设备，可在控制台下载MIB库。
*时间与日期设置
支持配置NTP服务器地址：（略）
*终端日志收集
1、支持用户在客户端自助进行日志收集。
2、支持管理员在控制台远程获取：（略）
*终端诊断工具
支持终端环境诊断排查，提供终端诊断工具，支持对当前终端的基本环境进行扫描和一键修复
*客户端灰度升级
支持零信任客户端的按需灰度升级。
*控制台接入
1、支持启用接入控制台的IP限制，启用后只有名单内的IP地址：（略）
2、支持连续输错密码后锁定IP；
3、支持配置会话超时注销；
4、支持配置允许SSH、ping等远程运维连接设备。
*加密算法支持
1、支持中国商用密码标准，支持加密算法SM2、SM3、SM4等。
2、支持使用商密密码卡进行加密
3、支持在控制台对密码卡进行管理（包括：激活、取消激活、密钥备份/恢复、管理KEY口令）
4、需具备国家密码管理局颁发的安卓、IOS、Win和Linux的客户端/SDK国密证书和控制节点的国密证书
WEBCONSOLE
支持在控制台上提供命令面板，（略）络配置和排障命令，方便运维人员对设备进行维护，网络测试以及故障排查
（略）
*在线用户
1、支持查看当前在线用户终端总数；
2、支持查看当前在线用户，用户信息至少包括用户名、组织架构、终端类型、浏览器类型、接入IP、最后接入时间、认证方式：（略）
3、支持管理员对在线用户进行注销操作。
*设备状态
支持查看当前设备运行状态，包括但不限于设备硬件状态（CPU、内存、磁盘占比等）、并发会话数、并发用户数、（略）络吞吐、（略）络吞吐峰值等信息
*业务告警
支持告警信息设置，告警事件应包含但不限于：CPU、内存和磁盘使用率超阈值、内存使用率超阈值、集群故障、关键服务运行异常等。
设备自动化
*API对接
支持通过OPENAPI的方式：（略）
（略）零信任设备代理节点技术指标要求如下：
功能类别
规格参数要求
可靠性指标
*集群功能
1、支持多台设备集群部署，通过负载均衡模式对外提供服务，单台设备故障不影响业务连续性
2、本地集群组建时，集群中的节点可承载工作负载功能，不需要依赖其它外置负载均衡设备。
*集群故障切换时间
集群故障切换时间优化，被动故障不超过60S，主动故障不超过100S恢复。
*集群模式下授权共享和漂移
1、本地集群下各节点的零信任授权数均可共享使用，集群的总接入授权数是各节点授权数的总和。
2、集群节点故障后剩余节点仍能接管所有业务，分布式集群及本地集群均需支持授权漂移机制：集群中的单节点故障后，集群的总授权数跟故障前保持一致。
*配置同步
多台设备之间业务配置自动同步
*配置备份
支持设备配置通过SFTP等方式：（略）
*关键部件冗余
支持电源风扇等关键部件冗余
*端口聚合
支持端口聚合功能，（略）口故障不影响业务连续性
设备部署
*旁路部署
（略）部署，（略）由引流的方式：（略）
*分离式部署
设备的控制节点和代理节点支持分离式部署，控制平面和数据平面的分离
*双栈部署
设备支持IPV4/IPV6双栈部署
日志审计
*日志查询
1、用户日志：通过用户日志模块，管理员可以查看用户登录、访问业务的实时记录，记录用户终端IP、接入IP、分配的虚拟IP
2、管理员日志：记录管理员登录控制台后所有的操作
3、系统日志：（略）运行日志、安全防护日志
*日志设置
1、支持定义本地日志存储的类型，包含用户日志、管理日志、系统日志；
2、支持通过syslog日志外发，支持UDP和TCP两种协议；
3、支持通过远程日志服务功能，（略）
4、支持日志外发自定义选择要发送的日志类型和字段
流量镜像
（略）的WEB（略），如态势感知等设备。
（略）运维
*SNMP
支持提供SNMP服务来对接运维监控设备，可在控制台下载MIB库。
*时间与日期设置
支持配置NTP服务器地址：（略）
*控制台接入
1、支持启用接入控制台的IP限制，启用后只有名单内的IP地址：（略）
2、支持连续输错密码后锁定IP；
3、支持配置会话超时注销；
4、支持配置是否允许SSH、ping等远程运维连接设备。
*加密算法支持
1、支持中国商用密码标准，支持加密算法SM2、SM3、SM4等。
2、支持使用商密密码卡进行加密
3、支持在控制台对密码卡进行管理（包括：激活、取消激活、密钥备份/恢复、管理KEY口令）
4、需具备国家密码管理局颁发的代理节点的国密证书
（略）
*设备状态
支持查看当前设备运行状态，包括但不限于设备硬件状态（CPU、内存、磁盘占比等）、并发会话数、并发用户数、（略）络吞吐、（略）络吞吐峰值等信息
*业务告警
支持告警信息设置，告警事件应包含但不限于：CPU、内存和磁盘使用率超阈值、内存使用率超阈值、集群故障、关键服务运行异常等。
设备自动化
*API对接
支持通过OPENAPI的方式：（略）
注：*为必须满足项。
四、议程安排：
1.报名参与时间：自2024年9月7日起至2024年9月14日止，上午8:30－11:30，下午14:00－17:00（北京时间，法定公休日、法定节假日除外）
2.报名方式：（略）
注：供应商在报名期间须进行采购人：（略）
3.报名电话：（略）
4.是否接受测试反馈时限：2024年9月18日17：00时（北京时间）（略）邮箱：（略）
5.测试地点：（略）
五、有关说明：
采购人：（略）
六、公告发布媒介：
（略）、（略）、（略）上发布。（略）站转载无效。
七、联系方式：（略）
1.采购人：（略）
联系人：（略）
联系电话：（略）
发布人：（略）
发布时间：2024年9月6日