序号

设备名称

参数要求

单位

数量

1

安全应用代理设备

一、安全应用代理设备

★1、基本要求：千兆电口≥8个，万兆光口≥12个，扩展槽≥2个，双电源，1U设备；吞吐量≥20G，双向流量≥3G，最大并发链接数≥200W，隧道最大每秒新建连接数≥4W，支持最大并发用户数（个）≥8000个（总用户数不限制），本次配置3000个零信任并发接入授权，并采用双机虚拟化部署，增加冗余性、可靠性；

★2、支持客户端与管理平台、网关分别进行SDP单包敲门认证，保障资源只对授信终端可见；（提供具有第三方检测机构出具的带有CNAS或CMA标识的检测报告证明并盖投标人公章）；

3、分时分域访问：支持主动选择访问区域，一台零信任网关实现互联网、内网、专网访问隔离，互斥访问；

4、多网关：支持主动选择零信任网关，多台零信任网关部署在不同的网络区域，手动选择需要连接的零信任网关；

5、流量镜像：支持流量镜像功能；

6、支持URL过滤功能；

7、支持二层和三层组网下的 IP/MAC 绑定功能；

★8、逃生机制:零信任网关备逃生机制，当检测到异常后能自动隔离或进行全流量放通保障业务正常运行,管理平台掉线，在线用户能够继续进行访问（提供具有第三方检测机构出具的带有CNAS或CMA标识的检测报告证明并盖投标人公章）；

9、支持客户端、管理平台、网关之间的数据传输加密，保证数据安全性；

10、支持 IPv4 和 IPv6 双栈网络，无论源地址或目的地址处于 IPv4还是 IPv6网络，均能正常访问业务互不影响；

11、支持在客户端上显示用户信用分评价，包含引起信用分数变化的原因，便于用户了解当前是否存在异常行为；

12、可自定义客户端下载地址及端口，并支持设置自动升级及灰度升级方式；

13、支持客户端申请注册本地账号。

台

2

2

零信任安全管理平台

二、零信任安全管理平台

★1、支持最大并发用户数（个）≥8000个（总用户数不限制），本次配置3000个零信任并发接入授权；

★2、支持开启管理平台及网关的SDP功能，非SDP白名单中的地址无法扫描到任何开放端口，提高安全性；（提供具有第三方检测机构出具的带有CNAS或CMA标识的检测报告证明并盖投标人公章）

★3、支持安全模式的选择，认证通过前不暴露管理平台的真实地址；（提供具有第三方检测机构出具的带有CNAS或CMA标识的检测报告证明并盖投标人公章）

4、支持安全监控大屏动态展示，显示终端异常行为、信用等级、资源访问 TOP5、安全趋势等信息，并支持点击跳转查看详细信息；

5、为满足多样化的认证需求，支持以下认证方式：本地认证、Radius、LDAP、证书认证、TOTP令牌认证、阿里云短信网关认证、中国移动云 MAS 平台短信认证、生物识别、二维码扫描等认证方式；

6、为满足内外网用户统一管控的使用需求，支持隧道、非隧道访问场景下的准入控制；

7、支持基于多种维度的访问控制方式，包括用户网段、用户身份、所属域、地区、时间；

8、可配置免认证白名单，在不登录客户端的情况下控制其访问；

9、支持登录前及认证通过后重定向到指定的URL地址；

10、支持基于终端的环境信息（系统版本、手机越狱、关闭防火墙、使用文件共享、未运行杀毒软件、开放TCP改为端口、开放UDP高危端口、非法外联）控制其登录或强制下线；

11、支持强制开启、智能触发多因素认证，智能触发的条件包括：账号连续认证错误、新终端首次登录、地理位置变化、非法外联、关闭防火墙、开启文件共享、未运行杀毒软件；

★12、支持用户画像功能，可以查看用户基础信息、活跃地区、授权资源、 流量统计、常访问资源、活跃在线时间段等统计信息（提供具有第三方检测机构出具的带有CNAS或CMA标识的检测报告证明并盖投标人公章）；

13、支持在线用户数限制，当达到用户限制数后，会将第一次登录的终端强制下线；

14、为避免受到网络波动影响使用，支持设置客户端老化时间；

15、支持发布公告广告，设置有效期并定期更新；

16、支持查询管理平台日志、网关日志、诊断日志、管理员操作日志并可导出到syslog服务器中；

17、支持配置文件的新增、上传，并能够进行导出、切换、删除等操作；

18、便于快速部署系统，可设置学习时间及次数，学习内容包括资源列表（登录名、资源内容、下发网关、操作）；终端列表（登录名、硬件指纹、操作系统、学习时间、Mac地址、IP地址、地理位置、操作）；

19、支持自定义管理员角色权限、密码策略、参数等配置；

20、支持设置系统时间及NTP服务器，并能将时间同步到零信任网关；

21、产品具有UDP敲门数据包防重放能力，防止采取抓包重放仿冒的非法登录行为；

22、环境终端防护适配：支持 PC、手机等多种终端，支持的操作系统应包括：主流Windows\Linux\MAC OS \Android\ios\鸿蒙\统信\麒麟等操作系统；

23、所投产品制造商须具备中国信息安全测评中心颁发的信息安全服务资质-安全工程类二级及以上证书（三级＞二级＞一级）。（须提供证书复印件并加盖投标人公章）

24、所投产品制造商须具备中国网络安全审查技术与认证中心颁发的信息安全应急处理服务资质一级证书（一级＞二级＞三级）。（须提供证书复印件并加盖投标人公章）

25、所投产品制造商须具备中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质一级证书（一级＞二级＞三级）。（须提供证书复印件并加盖投标人公章）

套

1

3

配套安全服务

三、配套安全服务

1、安全风险评估服务

参照国家标准 20984 文件及行业相关政策要求，以及国内国际权威安全管理体系标准，结合业务实际场景，为学校的网络安全场景提供风险评估服务，完成服务后需提供《安全风险评估报告》。

2、安全巡检服务

开展常态化运行维护工作，包括：日常巡检、状态监测、操作配置、配置备份、特征库更新、故障处理、硬件维保等。完成后提供全面的安全巡检报告，并给出对应的整改建议，完成服务后需提供《安全巡检报告》。

3、脆弱性分析服务

提供脆弱性分析服务，定期对学校的Web应用和主机系统进行脆弱性识别，评估网络风险等级，并提供安全加固建议，完成服务后需提供《脆弱性分析报告》。

4、基线核查服务

对指定的目标主机的操作系统进行安全检查，发现其潜在的安全隐患。结合基线配置列表和安全专家的经验，对采购人检查目标资产业务系统配置安全隐患进行检查，查找潜在的安全风险， 并给出对应的基线配置优化建议进行整改。 完成服务后需提供《基线配置核查报告》。

5、安全咨询服务

按照学校要求落实网络安全整体建设规划、设计网络结构改造及优化方案、网络技术咨询、安全技术咨询、安全需求分析、服务期间安全咨询、相关政策文件及上级单位文件落实咨询等服务，完成服务后需提供《安全咨询服务报告》。

1

套

序号

设备名称

参数要求

单位

数量

1

安全应用代理设备

一、安全应用代理设备

★1、基本要求：千兆电口≥8个，万兆光口≥12个，扩展槽≥2个，双电源，1U设备；吞吐量≥20G，双向流量≥3G，最大并发链接数≥200W，隧道最大每秒新建连接数≥4W，支持最大并发用户数（个）≥8000个（总用户数不限制），本次配置3000个零信任并发接入授权，并采用双机虚拟化部署，增加冗余性、可靠性；

★2、支持客户端与管理平台、网关分别进行SDP单包敲门认证，保障资源只对授信终端可见；（提供具有第三方检测机构出具的带有CNAS或CMA标识的检测报告证明并盖投标人公章）；

3、分时分域访问：支持主动选择访问区域，一台零信任网关实现互联网、内网、专网访问隔离，互斥访问；

4、多网关：支持主动选择零信任网关，多台零信任网关部署在不同的网络区域，手动选择需要连接的零信任网关；

5、流量镜像：支持流量镜像功能；

6、支持URL过滤功能；

7、支持二层和三层组网下的 IP/MAC 绑定功能；

★8、逃生机制:零信任网关备逃生机制，当检测到异常后能自动隔离或进行全流量放通保障业务正常运行,管理平台掉线，在线用户能够继续进行访问（提供具有第三方检测机构出具的带有CNAS或CMA标识的检测报告证明并盖投标人公章）；

9、支持客户端、管理平台、网关之间的数据传输加密，保证数据安全性；

10、支持 IPv4 和 IPv6 双栈网络，无论源地址或目的地址处于 IPv4还是 IPv6网络，均能正常访问业务互不影响；

11、支持在客户端上显示用户信用分评价，包含引起信用分数变化的原因，便于用户了解当前是否存在异常行为；

12、可自定义客户端下载地址及端口，并支持设置自动升级及灰度升级方式；

13、支持客户端申请注册本地账号。

台

2

2

零信任安全管理平台

二、零信任安全管理平台

★1、支持最大并发用户数（个）≥8000个（总用户数不限制），本次配置3000个零信任并发接入授权；

★2、支持开启管理平台及网关的SDP功能，非SDP白名单中的地址无法扫描到任何开放端口，提高安全性；（提供具有第三方检测机构出具的带有CNAS或CMA标识的检测报告证明并盖投标人公章）

★3、支持安全模式的选择，认证通过前不暴露管理平台的真实地址；（提供具有第三方检测机构出具的带有CNAS或CMA标识的检测报告证明并盖投标人公章）

4、支持安全监控大屏动态展示，显示终端异常行为、信用等级、资源访问 TOP5、安全趋势等信息，并支持点击跳转查看详细信息；

5、为满足多样化的认证需求，支持以下认证方式：本地认证、Radius、LDAP、证书认证、TOTP令牌认证、阿里云短信网关认证、中国移动云 MAS 平台短信认证、生物识别、二维码扫描等认证方式；

6、为满足内外网用户统一管控的使用需求，支持隧道、非隧道访问场景下的准入控制；

7、支持基于多种维度的访问控制方式，包括用户网段、用户身份、所属域、地区、时间；

8、可配置免认证白名单，在不登录客户端的情况下控制其访问；

9、支持登录前及认证通过后重定向到指定的URL地址；

10、支持基于终端的环境信息（系统版本、手机越狱、关闭防火墙、使用文件共享、未运行杀毒软件、开放TCP改为端口、开放UDP高危端口、非法外联）控制其登录或强制下线；

11、支持强制开启、智能触发多因素认证，智能触发的条件包括：账号连续认证错误、新终端首次登录、地理位置变化、非法外联、关闭防火墙、开启文件共享、未运行杀毒软件；

★12、支持用户画像功能，可以查看用户基础信息、活跃地区、授权资源、 流量统计、常访问资源、活跃在线时间段等统计信息（提供具有第三方检测机构出具的带有CNAS或CMA标识的检测报告证明并盖投标人公章）；

13、支持在线用户数限制，当达到用户限制数后，会将第一次登录的终端强制下线；

14、为避免受到网络波动影响使用，支持设置客户端老化时间；

15、支持发布公告广告，设置有效期并定期更新；

16、支持查询管理平台日志、网关日志、诊断日志、管理员操作日志并可导出到syslog服务器中；

17、支持配置文件的新增、上传，并能够进行导出、切换、删除等操作；

18、便于快速部署系统，可设置学习时间及次数，学习内容包括资源列表（登录名、资源内容、下发网关、操作）；终端列表（登录名、硬件指纹、操作系统、学习时间、Mac地址、IP地址、地理位置、操作）；

19、支持自定义管理员角色权限、密码策略、参数等配置；

20、支持设置系统时间及NTP服务器，并能将时间同步到零信任网关；

21、产品具有UDP敲门数据包防重放能力，防止采取抓包重放仿冒的非法登录行为；

22、环境终端防护适配：支持 PC、手机等多种终端，支持的操作系统应包括：主流Windows\Linux\MAC OS \Android\ios\鸿蒙\统信\麒麟等操作系统；

23、所投产品制造商须具备中国信息安全测评中心颁发的信息安全服务资质-安全工程类二级及以上证书（三级＞二级＞一级）。（须提供证书复印件并加盖投标人公章）

24、所投产品制造商须具备中国网络安全审查技术与认证中心颁发的信息安全应急处理服务资质一级证书（一级＞二级＞三级）。（须提供证书复印件并加盖投标人公章）

25、所投产品制造商须具备中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质一级证书（一级＞二级＞三级）。（须提供证书复印件并加盖投标人公章）

套

1

3

配套安全服务

三、配套安全服务

1、安全风险评估服务

参照国家标准 20984 文件及行业相关政策要求，以及国内国际权威安全管理体系标准，结合业务实际场景，为学校的网络安全场景提供风险评估服务，完成服务后需提供《安全风险评估报告》。

2、安全巡检服务

开展常态化运行维护工作，包括：日常巡检、状态监测、操作配置、配置备份、特征库更新、故障处理、硬件维保等。完成后提供全面的安全巡检报告，并给出对应的整改建议，完成服务后需提供《安全巡检报告》。

3、脆弱性分析服务

提供脆弱性分析服务，定期对学校的Web应用和主机系统进行脆弱性识别，评估网络风险等级，并提供安全加固建议，完成服务后需提供《脆弱性分析报告》。

4、基线核查服务

对指定的目标主机的操作系统进行安全检查，发现其潜在的安全隐患。结合基线配置列表和安全专家的经验，对采购人检查目标资产业务系统配置安全隐患进行检查，查找潜在的安全风险， 并给出对应的基线配置优化建议进行整改。 完成服务后需提供《基线配置核查报告》。

5、安全咨询服务

按照学校要求落实网络安全整体建设规划、设计网络结构改造及优化方案、网络技术咨询、安全技术咨询、安全需求分析、服务期间安全咨询、相关政策文件及上级单位文件落实咨询等服务，完成服务后需提供《安全咨询服务报告》。

1

套