序号

功能项

功能详情

1

设备性能

规格为1U，内存大小≥16G，硬盘容量≥128GSSD，电源≥冗余电源，接口≥6千兆电口+4千兆光口SFP+。支持并发用户数≥1000，加密流量≥480M

2

部署要求

为了满足未来的发展，需要支持IPV4/IPV6双栈网络IP配置

3

为充分利用设备的网络性能，综合网关部署时支持配置聚合网口，并支持将聚合网口作为综合网关的网络部署IP。聚合网口支持通过哈希或802.3ad等标准对闲置网口进行网口绑定，支持通过ARP探测机制对聚合网口进行健康检查。

4

为了满足未来的高可用需求，综合网关需要支持本地集群部署且最少2台设备即可组建集群，单集群的最大节点数量不得少于4台；本地集群组建时，集群中的节点可承载工作负载功能，不需要依赖其它外置设备。（提供配置截图证明，加盖厂商公章）

5

资源发布

通过隧道模式，可以支持基于TCP、UDP、ICMP等协议代理访问业务资源，支持发布IP、IP范围、IP段、具体域名及通配符域名等形式的服务器地址，满足常见办公业务的代理，收缩业务暴露面。为简化资源发布配置，隧道模式应支持同一个资源发布多个服务器地址；管理员还可基于业务的特殊性，自主选择优先使用长连接或短连接进行业务代理。

6

通过WEB模式，可以支持基于http或https协议代理访问业务资源，支持发布IP或域名形式的后端服务器地址，可配置业务应用的具体访问URL路径。为了保持用户访问应用体验的一致性，后端服务器地址需支持多地址配置；为适应较复杂的内外网访问场景，WEB应用的前端访问地址应支持多地址访问。存在前置代理设备的场景，还应支持从XFF字段获取源IP。

7

支持配置应用资源指定的打开方式，如浏览器等；为了适应某些业务系统对浏览器的兼容性，还应支持配置应用打开的指定浏览器类型。

8

为适应复杂多样的内部业务系统，web模式下发布应用资源时，支持透明代理、智能改写等模式，以合理适配较规范化的业务系统及复杂老旧的非常规站点。

9

为提升业务应用的数据安全性，零信任系统应支持针对发布的WEB应用开启WEB水印，水印内容至少包括：用户名+当前年月日，起到威慑与溯源作用，有效预防数据泄露。（提供证明材料，加盖厂商公章）

10

对于一些主要在主站点中点击使用的子站点WEB业务系统，且子站点跟主站点业务系统权限一致的场景，为简化管理员配置，零信任系统应支持开启依赖站点功能。为方便业务快速上线，还应支持自动采集站点功能对依赖站点进行梳理。

11

支持以私有DNS发布企业资源，无需额外购买DNS服务即可使用域名访问内网资源，支持管理员自主配置是否允许从具体网络区域（局域网/互联网）接入时使用此私有DNS解析地址。（提供证明材料，加盖厂商公章）

12

为方便维护人员管理应用权限，支持直接在应用授权界面为单一应用或某个应用分类分配用户授权，授权方式支持直接授权给用户所在的组织架构、用户关联的角色或用户本身，并展示应用直接授权的组织架构、授权角色或用户数量。

13

终端接入

为了不改变员工原有使用习惯，保障员工的使用体验，需支持以下主流浏览器访问WEB资源：

1、支持IE8及以上版本浏览器访问WEB资源

2、支持Chrome69及以上版本访问WEB资源

3、支持Edge、Firefox、Opera、Safari等其他主流浏览器访问WEB资源

4、支持微信内置浏览器、钉钉内置浏览器访问WEB资源

5、支持Android、iOS各大手机厂商的自带浏览器访问WEB资源

6、支持国产操作系统浏览器接入并访问WEB资源

14

国产硬件CPU的国产操作系统终端，需提供国产操作系统与零信任厂商的兼容性证明，（提供证明材料，加盖厂商公章）包括但不限于麒麟V10×龙芯、麒麟V10×龙芯LoongArch、麒麟V10×飞腾、麒麟V10×鲲鹏、麒麟V10×兆芯、麒麟V10×海光、麒麟V10×海思麒麟；统信V20×龙芯（3A3000、3A4000）、统信V20×龙芯（3A5000）、统信V20×飞腾、统信V20×鲲鹏、统信V20×海光、统信V20×兆芯等。

15

为了保障员工顺利访问经零信任隧道模式代理的业务，零信任客户端应兼容主流非国产终端，包括但不限于：Windows7（32位、64位）、Windows10（32位、64位）、Windows11（32位、64位）、MacOS10、MacOS11、MacOS12、Android、iOS等非国产操作系统的终端。

16

为了提升用户体检，支持用户自主配置是否开启开机自启动零信任客户端，支持管理员配置是否允许用户在客户端下载安装后自动携带登录地址。

17

支持配置企业的CDN作为零信任客户端下载地址，以降低设备本身的非业务访问带宽压力。（提供证明材料，加盖厂商公章）

18

支持不同平台的终端同时在线，管理员可分别设置可同时在线的PC或移动终端个数，配置范围不小于0-1000，当超过终端个数时，可以注销最早登录的终端，且被注销的终端有对应的注销提醒；

管理员可设置允许终端在线数为0，以禁止用户通过此类终端接入访问。（提供证明材料，加盖厂商公章）

19

支持终端设备可视管理

1、支持用户自助查看在线或离线终端列表，并注销其他终端，避免账号盗用；

2、支持查看同账号登录过的终端信息，包括但不限于设备名称、设备系统类型、接入地址、最后登录时间等。

20

为方便手机端与PC端需同时使用的员工：

1、支持手机APP通过扫描PC端二维码自动填入零信任接入地址；

2、手机APP登录后需支持扫码上线PC。

21

为方便管理用户的终端，并对其进行分类管理，支持为终端设置资产类型，如企业终端、个人终端、企业纳管个人终端等类型。

22

为方便统一管理用户的终端，支持为接入系统的终端设置标签，支持通过终端标签来配置特殊的上线准入策略及应用访问策略。终端标签应至少内置内网终端、外网终端、开发终端、办公网终端等标签，且支持管理员自定义新增标签。

23

支持以表格的形式批量导入导出终端列表，可查看接入系统的终端详细类型，包括但不限于：终端名称、品牌、操作系统、资产类型、终端标签、硬件特征码、MAC地址、授权类型、最后登录用户、最后接入方式、最后接入IP、最后接入网络区域、最后活跃时间、首次接入时间、闲置时长、在线状态等。

24

认证管理

为了进一步保障用户身份安全，需支持多因素认证，支持管理员结合已对接的主认证和辅认证类型进行设置，可自由选择采用首次认证+二次认证+终端认证+增强认证等方式。

25

支持对接外部用户服务器来导入用户目录（如ad/ldap、企业微信、钉钉等），并为未导入用户配置登录策略，可设置其禁止登录，或设置允许登录但为其配置默认访问权限，简化管理人员的用户配置。

26

支持免辅助认证，员工手动勾选信任浏览器后，在信任有效期内该浏览器登录不需要重复进行辅助认证，提升用户体验，时长有效期可设置范围不小于1-90天。（提供证明材料，加盖厂商公章）

27

为强化系统认证安全性，可配置在触发异常环境的条件时，用户需完成增强认证才可登录。可配置的异常环境包括但不限于：账号首次登录、账号在该终端首次登录、闲置账号登录、弱密码登录、异常时间登录、非常用地点登录等。

28

在业务系统已经有第三方统一身份认证系统的场景下，零信任系统支持通过票据共享的方式跟统一身份认证系统进行单点登录对接，以间接实现业务系统的单点登录对接。为了适应多种身份认证系统获取票据的方式，票据共享应至少支持反向OAuth对接及票据注入等模式。

29

支持中国商用密码标准，支持加密算法SM2、SM3、SM4。（提供证明材料，加盖厂商公章）

30

支持使用商密密码卡进行加密

31

支持在控制台对密码卡进行管理（包括：激活、取消激活、密钥备份/恢复、管理KEY口令）

32

用户管理

支持通过组织架构、角色等方式进行本地用户管理。新增或修改本地用户时，可编辑的用户属性应包括但不限于：用户名、显示名、组织信息、关联角色、手机号码、密码、电子邮箱、用户有效期、账号是否启用、应用授权等。

33

支持管理员自行配置单位的弱密码库，可配置不少于10W行的弱密码。

34

支持管理员自定义用户密码组合方式是否需要包含字母、数字、特殊字符；

35

支持管理员根据情况自行选择密码能否包含用户名、新密码不能与历史前N次密码重复、密码不能包含连续重复字符的次数、密码能否包含键盘连续排序字符等安全规则。

36

数据安全

支持iOS、安卓手机APP集成零信任SDK，从而实现安全接入、沙箱等功能，避免单独安装零信任手机客户端，提升用户使用体验

37

支持应用封装功能：

1、支持通过控制台上传Android、iOS原包应用进行自动封装，使APP具备零信任接入能力；

2、支持封装后从控制中下载的封装后和封装前的安装包；

3、支持应用封装列表展示；

4、支持应用详情展示

5、支持基于已经封装的应用覆盖上传新的安装包

6、支持主应用自动封装和子应用自动封装

38

支持移动端web应用商店功能（提供证明材料，加盖厂商公章）：

1、支持移动端web应用商店（终端用户可以通过手机端web应用商店下载安装封装应用，不依赖零信任app）；

2、支持配置程序认证后才能访问web应用商店（必须经过零信任访问控制系统认证才可以下载安装应用，保护企业应用不被随意下载）；

3、支持配置成不经过认证可直接访问web应用商店（此配置下终端用户无需认证，即可直接访问web应用商店地址下载应用）；

4、web应用商店地址支持链接分发；

5、web应用商店地址支持二维码分发

39

可直接为已经集成零信任SDK并发布到安卓或ios应用市场的公有化生态应用配置策略，使其具有零信任接入能力及数据防泄漏能力，如泛微OA、致远OA等。若未发布此应用策略，此APP仅具备零信任接入能力。

40

支持以文件为单位，对工作应用产生的数据进行加密保存；

支持透明加解密技术，加解密过程对用户无感知，在工作空间内可直接打开文档进行预览和编辑

41

文件加密支持“一文一密”即每个文件独立密钥，以确保沙箱组件被卸载、模块驱动被摘除的情况下，终端用户仍无法明文取出文件。（提供证明材料，加盖厂商公章）

42

为节省资源，可灵活启用工作空间，允许用户在满足特定条件的情况下才启用沙箱策略，如企业资产的终端在内网使用时无需启用沙箱办公、员工个人终端在互联网接入时才需要启用沙箱办公，应支持对指定工作空间或全部工作空间配置沙箱准入策略。

43

支持对工作空间添加屏幕水印，水印至少包含自定义提醒、用户名、时间、空间名称、手机号后四位、终端MAC地址等信息；（提供证明材料，加盖厂商公章）

44

支持为工作空间配置禁止截屏策略，启用后任何截屏程序都无法对工作空间打开的窗口截屏或录屏；

45

支持工作空间内允许使用截图工具进行截屏时，或对工作空间拍照时，截图和照片带有水印信息。

46

为满足不同工作空间分配的业务应用存在域名解析不同的需求，应支持DNS隔离功能，实现对空间内域名配置指定DNS服务器进行解析。

47

针对Windows系统用户，支持配置虚拟专线功能，当用户登录零信任客户端之后，自动断开互联网连接，避免互联网威胁影响内网业务系统。（提供证明材料，加盖厂商公章）

48

PC端和移动端均支持通过安全码激活客户端为授权客户端，从而可进行SPA敲门和连接，安全码支持共享码和一人一码两种模式，支持短信分发安全码，保障业务的安全性。一人一码模式下，当实际登录用户跟分发SPA安全码绑定的用户不一致时，零信任系统可以阻止用户登录上线并产生安全告警，帮助管理员溯源，进一步提升系统安全性。（提供证明材料，加盖厂商公章）

49

审计能力

支持用户安全日志提取，审计中心应将具有异常登录行为的用户日志自动打标签为用户安全日志，以便于管理员快速审计定位。用户安全日志包括但不限于：账号安全（应包含帐号首次登录、异常时间登录、非常用地点登录、弱密码登录、爆破登录、闲置账号登录、帐号在新终端登录等）、中间人攻击、SPA安全（应包含SPA端口扫描、SPA爆破攻击、SPA敲门伪造、SPA重放攻击、SPA安全码泄漏等）、cookie劫持等。（提供证明材料，加盖厂商公章）

50

支持以虚拟IP方式，访问真实的业务系统，以配合其他对IP有要求的安全设备工作，以及便于流量分析类设备进行流量分析。（提供证明材料，加盖厂商公章）

51

支持共享虚拟IP池模式，为用户组分配一个IP地址段，用户组内的用户首次连接时分配一个IP端内的虚拟IP，可根据IP资源的充裕情况配置用户注销后立即释放虚拟IP或注销后指定时间再释放，若未释放时则代表用户与虚拟IP绑定，便于用户访问行为可追溯。

52

支持将设备安全事件单独记录在设备安全日志中，事件类型包括但不限于：接口扫描、接口webshall攻击、接口参数爆破、接口越权调用等设备API防护日志。

53

支持提供SNMP服务来对接运维监控设备，可在控制台下载MIB库。

54

为了方便快速运维排障，支持管理员在控制台远程获取在线终端的日志，若终端不在线时支持加入排队列表，排队列表中的终端上线后自动收集日志。

55

运维能力

支持WAF(WEB防护)，可阻断基于WEB对设备发起的攻击。

56

为方便管理员统筹查看管理零信任系统的整体运行状态，支持对设备自身的安全状态和策略配置进行巡检，对设备的整体状态进行打分，统计所有检查的正常项、异常项和告警项，并输出巡检报告。报告应至少包含检测项、检查状态、存在的问题描述、建议改进措施等。支持在设备上查看及下载巡检报告。（提供证明材料，加盖厂商公章）

57

应支持检查设备是否开启自动备份功能。

58

支持管理员在控制台查看“用户状态”，支持筛选异常状态的用户，如爆破锁定、ACL锁定、异地登录等，支持管理员手动解锁用户。

59

支持设备端口安全检查，包括但不限于：

1、支持远程运维SSH端口开启检查；

2、支持服务隐身（SPA）功能使用状况检查；

3、支持控制台接入IP限制情况检查；

4、支持SNMP指定IP地址接入检查。

60

支持设备审计和日志检查，包括但不限于：

1、支持对剩余日志空间进行检查；

2、支持对syslog日志连通性进行检查；

3、支持检查是否了虚拟IP功能。

61

支持接入安全配置检查，（提供证明材料，加盖厂商公章）包括但不限于：

1、支持对免认证应用的授信证书进行检查；

2、支持对免认证应用的前端地址进行检查；

3、支持检测是否启用了防中间人配置；

4、支持HTTP监听端口开启检查；

5、支持对启用的TLS协议是否安全进行检查；

6、支持对是否启用应用防护策略进行检查；

7、支持对web模式应用的授信证书进行检查；

8、支持对web模式应用的前端地址进行检查。

62

支持业务告警能力：

1、支持告警信息设置，告警事件应包含但不限于：CPU使用率超过80%、内存使用率超过80%、磁盘占用率超过80%、本机网卡异常、序列号即将到期、在线用户数已达购买授权数、认证服务器连通异常、集群故障、关键服务运行异常、虚拟IP分配超额等。

2、支持配置邮箱服务器，告警事件支持邮件通知管理员

63

产品资质能力

为了确认能够支持国密改造，需提供国家密码管理局商用密码检测中心出具的含有“访问控制系统”或“SDP”字样，符合GM/T0024标准或GM/T0025标准要求，以及符合GM/T0028《密码模块安全技术要求》第二级的《商用密码产品认证证书》（提供证明材料，加盖厂商公章）

64

为证明产品方案的成熟性与先进性，所投零信任产品需在2022年IDC中国零信任网络访问解决方案厂商评估报告中位列综合排名前三的领导者位置，并出具由IDC盖章确认的证明文件。（提供证明材料，加盖厂商公章）

65

为保证零信任产品的架构规范性，应提供中国信通院认证的零信任SDP设备ZeroTrust Ready证书。（提供证明材料，加盖厂商公章）

66

为了保障零信任产品开发的安全性，要求所投产品厂商具备中国网络安全审查技术与认证中心（CCRC）的信息安全软件开发服务一级资质（提供证明材料，加盖厂商公章）

67

为了保障零信任产品厂商应对突发网络安全事件应急能力，所投产品的生产厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位（提供证明材料，加盖厂商公章）

68

为了保障零信任产品厂商开发能力，所投产品的生产厂商应具备CMMI5认证（提供证明材料，加盖厂商公章）

响应单位

地址

项目名称

呼和浩特市卫生健康委员会OA系统零信任设备采购项目

响应报价

￥：元

大写：

交货期

序号

货物名称

生产厂家、品牌、规格型号

技术参数要求

响应参数

单价

总价