序 號

項目名稱

需求

預(yù)算（萬元）

備 注

1

移動終端安全管理系統(tǒng)

1、▲性能參數(shù)：最大理論加密流量（Mbps）≥500，最大理論并發(fā)用戶數(shù)≥600，最大理論https并發(fā)連接數(shù)（個）≥16000，理論https新建連接數(shù)（個/秒）≥80。

2、▲硬件參數(shù)：規(guī)格≥1U，內(nèi)存大小≥8G，硬盤容量≥128G SSD，電源：單電源，接口≥6千兆電口+2千兆光口SFP。本次接入授權(quán)≥300。

3、★為了不改變員工原有使用習(xí)慣，保障員工的使用體驗，需支持以下主流瀏覽器訪問WEB資源：

1）、支持IE8及以上版本瀏覽器訪問WEB資源

2）、支持Chrome 69及以上版本訪問WEB資源

3）、支持Edge、Firefox、Opera、Safari等其他主流瀏覽器訪問WEB資源

4）、支持微信內(nèi)置瀏覽器、釘釘內(nèi)置瀏覽器訪問WEB資源

5）、支持Android、iOS各大手機廠商的自帶瀏覽器訪問WEB資源

6）、支持國產(chǎn)操作系統(tǒng)瀏覽器接入并訪問WEB資源（以上要求提供產(chǎn)品功能界面截圖證明）

4、★為滿足單位多樣化安全便捷認證需求，控制中心在不需要額外搭建認證平臺、認證組件的情況下便可支持以下認證方式：本地賬號密碼認證、LDAP/AD認證、OAuth2.0標(biāo)準(zhǔn)協(xié)議的票據(jù)認證、CAS標(biāo)準(zhǔn)協(xié)議的票據(jù)認證、證書認證、HTTP(S)短信認證、騰訊云短信網(wǎng)關(guān)、阿里云短信網(wǎng)關(guān)、標(biāo)準(zhǔn)Radius令牌認證、本地OTP動態(tài)令牌認證等認證方式，并可與企業(yè)微信、阿里釘釘結(jié)合實現(xiàn)掃碼認證。（要求提供產(chǎn)品功能界面截圖證明）

5、控制中心應(yīng)支持與外部用戶管理服務(wù)器進行對接，包括LDAP用戶目錄、企業(yè)微信用戶目錄、（以上要求提供產(chǎn)品功能界面截圖證明）

6、★為滿足組織靈活的管理要求，支持配置動態(tài)訪問規(guī)則，可配置化的ACL規(guī)則引擎，可以靈活地將終端環(huán)境、用戶身份、處置動作等進行配置，為單位不同業(yè)務(wù)不同部門提供靈活豐富的訪問控制策略：

1）、動態(tài)訪問控制策略可指定適用用戶范圍和排除用戶，可指定適用應(yīng)用；

2）、動態(tài)訪問控制策略支持針對操作系統(tǒng)單獨設(shè)定訪問控制策略，操作系統(tǒng)需包括Windows、Mac OS、iOS/Android；

3）、動態(tài)訪問控制策略支持“與”、“或”條件嵌套，可支持應(yīng)用信息、端點信息、用戶信息、內(nèi)置變量進行條件設(shè)置；

4）、動態(tài)訪問控制策略支持靈活的處置動作，包括阻止訪問、注銷登錄、鎖定賬號，并可基于處置動作自定義提示語；

5）、當(dāng)用戶不滿足訪問控制條件時，可提供豁補救動作，補救動作包括：增強認證、安全警示等，且可設(shè)置灰度處置的時間范圍（以上要求提供產(chǎn)品功能界面截圖證明）

7、支持在登錄上線后，持續(xù)、動態(tài)檢測終端環(huán)境安全，不符合后注銷用戶或鎖定用戶，便于及時定位并響應(yīng)終端威脅（以上要求提供產(chǎn)品功能界面截圖證明）

8、★支持基于不同的應(yīng)用，針對用戶信息設(shè)定訪問控制策略，包括：是否為授信終端；訪問應(yīng)用進程的信任狀態(tài)；接入的網(wǎng)絡(luò)區(qū)域；是否為異常時間段登錄；是否為授信域環(huán)境；是否為異地登錄；是否為弱密碼登錄（以上要求提供產(chǎn)品功能界面截圖證明）

9、★由于單位業(yè)務(wù)系統(tǒng)眾多，員工權(quán)限交錯復(fù)雜，需零信任平臺提供權(quán)限梳理基本能力，幫助排除零信任建設(shè)障礙，且須支持應(yīng)用采集、試運行、正式運行等多個階段的梳理支持。（以上要求提供產(chǎn)品功能界面截圖證明）

10、★采集階段，可將用戶與應(yīng)用之間的關(guān)系可視，并提供權(quán)限確認機制驗證權(quán)限有效性。基于身份化流量分析方式將權(quán)限可視，解決人工梳理導(dǎo)致的耗時長、難實現(xiàn)的問題；試運行階段，能夠不中斷用戶訪問業(yè)務(wù)，提前試運行，并在該階段對權(quán)限結(jié)構(gòu)進行調(diào)優(yōu)，以避免正式上線后，大面積影響用戶訪問業(yè)務(wù)。在此期間，用戶均可以訪問業(yè)務(wù)，未授權(quán)用戶可以通過提交"訪問理由"繼續(xù)訪問業(yè)務(wù)；正式運行階段，進行智能權(quán)限梳理后，可將權(quán)限規(guī)范化，并正式上線。在此期間，只有有權(quán)限的用戶才能訪問業(yè)務(wù)系統(tǒng)。

（以上要求提供產(chǎn)品功能界面截圖證明）

10、★SPA：為了最大程度縮小網(wǎng)絡(luò)、業(yè)務(wù)暴露面，零信任平臺需提供SPA（單包授權(quán)機制），即可支持所有用戶都必須安裝安全專屬客戶端，經(jīng)過SPA鑒權(quán)之后才能夠訪問認證登錄界面，支持配置源IP地址白名單，白名單內(nèi)的IP可正常訪問。（以上要求提供產(chǎn)品功能界面截圖證明）支持設(shè)備證書管理、域名證書管理，便于運維。

為了滿足單位有序平滑、推廣零信任接入，需支持零信任客戶端的按需灰度升級。

11、★支持控制臺配置灰度升級策略（僅為升級推廣策略配置，并非強制升級策略；策略支持每日升級上限、升級客戶端總數(shù)、升級持續(xù)時間條件）；支持查看灰度升級進度：（近七天客戶端灰度升級數(shù)量、客戶端升級數(shù)量占比）；支持灰度升級狀態(tài)自動從灰度升級轉(zhuǎn)換為全面升級（以上要求提供產(chǎn)品功能界面截圖證明）。

12、防爆破：支持配置同名用戶連續(xù)登錄錯誤超過上限時鎖定賬號，并于指定時長后自動恢復(fù)；支持配置同IP用戶連續(xù)登錄錯誤超過上限時鎖定IP，并于指定時長后自動恢復(fù)（以上要求提供產(chǎn)品功能界面截圖證明）；

13、提供售后服務(wù)體系ISO9001認證證書；

14、為保障軟件開發(fā)質(zhì)量，要求廠商具有CMMI5級認證證書，提供證明材料；

15、具備國家版權(quán)局頒發(fā)的《計算機軟件著作權(quán)登記證書》，提供證明材料

▲中標(biāo)后提供原廠商蓋章授權(quán)函及售后服務(wù)承諾書

標(biāo)有“▲”的為實質(zhì)性參數(shù)，不可偏離，否則視為無效標(biāo)；標(biāo)有“★”的為重要性參數(shù)指標(biāo)或要求。

10

院

內(nèi)

招

標(biāo)

2

準(zhǔn)入控制系統(tǒng)

1、▲基于linux開發(fā)的專用系統(tǒng)，標(biāo)準(zhǔn)機架式硬件產(chǎn)品，所有功能基于一臺設(shè)備即可實現(xiàn)，無需額外購買服務(wù)器、操作系統(tǒng)及數(shù)據(jù)庫等中間件，具有獨立自主知識產(chǎn)權(quán)，要求系統(tǒng)要求符合公安部終端接入控制標(biāo)準(zhǔn)（GA/T1105-2013）起草廠商（提供相關(guān)證明材料），產(chǎn)品功能必須是以準(zhǔn)入控制為核心功能，任何非以準(zhǔn)入控制為核心的產(chǎn)品一律否決。（提供相關(guān)證明材料，并加蓋原廠公章）

2、1U機架結(jié)構(gòu)；標(biāo)準(zhǔn)配置單電源；標(biāo)準(zhǔn)配置6個1000MBASE-T接口，可配置1個接口卡每秒事務(wù)數(shù)（TPS)：≥1200（次/秒），最大吞吐量：≥900Mbps，最大并發(fā)連接數(shù)：1200（條）；支持600個授權(quán)。

3、支持熱備、負載均衡部署。提供監(jiān)控軟件對系統(tǒng)平臺服務(wù)狀態(tài)進行實時監(jiān)控評估，觸發(fā)關(guān)鍵事件時接管準(zhǔn)入系統(tǒng)并提供指定服務(wù)。

4、支持策略路由、端口鏡像、透明網(wǎng)橋、802.1X、ARP、DHCP、VLAN隔離準(zhǔn)入技術(shù)；支持多種技術(shù)同時啟用。VLAN隔離技術(shù)須支持無客戶端下端口級準(zhǔn)入效果，不得改變現(xiàn)有網(wǎng)絡(luò)環(huán)境；此技術(shù)須支持對小路由、hub的管理實現(xiàn)顆粒度管控，不得采用全禁全放的方式。為避免不同VLAN隔離后可通信，VlAN隔離技術(shù)需支持一個正常VLAN對應(yīng)一個隔離VLAN的方式。單臺準(zhǔn)入設(shè)備可支持至少4路策略路由準(zhǔn)入控制，支持至少4個鏡像口進行準(zhǔn)入控制，支持至少2種準(zhǔn)入技術(shù)組合使用，以增強環(huán)境的兼容性。（提供截圖，加蓋原廠公章）

4、準(zhǔn)入設(shè)備應(yīng)至少提供安全客戶端（Agent）、瀏覽器控件、無客戶端等多種模式；提供Windows、linux、MAC OS、安卓、IOS、國產(chǎn)操作系統(tǒng)專屬客戶端及APP，Windows客戶端非802.1x準(zhǔn)入技術(shù)下安裝包需小于5M、內(nèi)存占用小于40M。（提供相關(guān)證明材料，并加蓋原廠公章。客戶端支持自定義菜單欄及終端用戶故障診斷，診斷過程支持錄屏，診斷結(jié)果支持一鍵壓縮打包。

5、自動發(fā)現(xiàn)網(wǎng)絡(luò)中連接的NAT設(shè)備，包括NAT設(shè)備的IP/MAC地址、所在交換機和連接的端口；可自動判斷NAT設(shè)備下連接的終端類型。（提供公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督中心檢測報告中的功能性認定截圖，加蓋原廠商公章。支持通過SNMP、SSH、TELNET等方式對交換機進行管理，可繪制出交換機網(wǎng)絡(luò)拓撲圖并采集交換機的信息，包括但不限于接口是否連接、接口類型、接口下設(shè)備類型、數(shù)量 及接口開閉的情況。（提供公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督中心檢測報告中的功能性認定截圖，加蓋原廠商公章。

5、支持用戶名密碼、Ukey、指紋等認證方式，支持與AD域、LDAP聯(lián)動。支持基于時間、ip地址段開啟認。支持設(shè)置來賓專屬地址段。▲來賓入網(wǎng)提供二維碼、來賓碼、自助申請（管理員審批）多種方式。（提供產(chǎn)品截圖加蓋廠商公章）與AD域聯(lián)動支持單點登錄；支持管理員自定義域信息屬性到認證設(shè)備，包括但不限于用戶姓名、部門、聯(lián)系電話等。

6、支持IE控件、IE主頁、操作系統(tǒng)版本、磁盤使用、計算機開關(guān)機、計算機名稱、垃圾文件、服務(wù)端口、網(wǎng)絡(luò)連接、系統(tǒng)時間、遠程桌面、主機防火墻、p2p軟件、軟件黑白名單、黑白進程、系統(tǒng)服務(wù)、Guest來賓賬戶、密碼策略、屏幕保護 、弱口令、共享檢查。支持主流的殺毒軟件版本、病毒庫和運行情況的檢查，包括但不限于微軟MSE、火絨、安天、天融信、賽門鐵克、瑞星、卡巴斯基、金山毒霸、江民、NOD32、360、天擎、趨勢、小紅傘、可牛、Avast等，支持自動修復(fù)功能。（提供產(chǎn)品功能截圖），安檢規(guī)范支持評分、自動修復(fù)。遠程協(xié)助：支持管理員或終端用戶雙向發(fā)起遠程協(xié)助。

7、可設(shè)置策略非存儲介質(zhì)自動放行。管理員可以通過對存儲介質(zhì)注冊、授權(quán)的方式來加強管理存儲介質(zhì)的使用范圍和權(quán)限，并支持存儲介質(zhì)分區(qū)加密。未經(jīng)標(biāo)識的存儲介質(zhì)將不能在企業(yè)內(nèi)使用。針對不同注冊狀態(tài)的存儲介質(zhì)制定不同的控制策略，能夠?qū)Υ鎯橘|(zhì)進行只讀、禁用、放行、脫機生效以及時間范圍等做精細控制。所有的流程在線完成。終端用戶在線申請，管理員在線審批及策略下發(fā)；

8、▲能與區(qū)衛(wèi)健局、區(qū)人民醫(yī)院網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)信息共享同步，包括但不限于資產(chǎn)信息同步、統(tǒng)一認證同步、告警同步、雙機熱備等提供相關(guān)證明；能夠與主流動態(tài)口令認證系統(tǒng)相結(jié)合，提供動態(tài)密碼聯(lián)動認證機制。支持與國內(nèi)外主流U-Key聯(lián)動認證。

9、產(chǎn)品獲得公安部《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》；

10、產(chǎn)品獲得國家保密局《涉密信息系統(tǒng)產(chǎn)品檢測證書（接入控制系統(tǒng)）》和國家版權(quán)局《計算機軟件著作權(quán)登記證書》；

11、產(chǎn)品獲得中國國家信息安全產(chǎn)品認證證書；

12、甲方有權(quán)對功能進行測試驗證，惡意應(yīng)答將會視為失信行為，除被拒絕外甲方保留追責(zé)的權(quán)利。

標(biāo)有“▲”的為實質(zhì)性參數(shù)，不可偏離，否則視為無效標(biāo)。

12

院

內(nèi)

招

標(biāo)