序号

功能与配置参数

1

性能参数：SSL最大理论加密流量（Mbps）≥480Mbps，零信任接入授权≥150个，含IPSEC软件模块，统一端点管理授权软件≥150个。

2

硬件参数：规格：1U，内存大小：16G，硬盘容量：128G SSD，电源：冗余电源，接口：6千兆电口+4千兆光口SFP。

3

产品质保≥3年，软件升级≥3年。

4

为了满足灵活部署的要求，综合网关应支持IPV4/IPV6双栈网络IP配置，可自主选择配置LAN口或WAN口。为了保护设备的安全，可支持默认限制所有IP通过WAN口访问系统，支持通过配置IP白名单的方式来放通WAN口接入的特殊需求。

5

通过隧道模式，可以支持基于TCP、UDP、ICMP等协议代理访问业务资源，支持发布IP、IP范围、IP段、具体域名及通配符域名等形式的服务器地址，满足常见办公业务的代理，收缩业务暴露面。为简化资源发布配置，隧道模式应支持同一个资源发布多个服务器地址；管理员还可基于业务的特殊性，自主选择优先使用长连接或短连接进行业务代理。

6

通过WEB模式，可以支持基于http或https协议代理访问业务资源，支持发布IP或域名形式的后端服务器地址，可配置业务应用的具体访问URL路径。为了保持用户访问应用体验的一致性，后端服务器地址需支持多地址配置；为适应较复杂的内外网访问场景，WEB应用的前端访问地址应支持多地址访问。存在前置代理设备的场景，还应支持从XFF字段获取源IP。

7

为提升WEB业务发布灵活程度，支持通过域名+URL路径发布和授权应用，支持将WEB应用以免认证的形式发布，并且支持对免认证的IP地址进行限制，只允许指定IP免认证访问。

8

支持配置点击工作台的业务应用即可直接拉起对应的CS程序进行访问，包括但不限于浏览器、远程桌面或其他指定程序，支持Windows、macOS、统信UOS、麒麟kylin、Ubuntu等主流操作系统；针对Windows系统，还应支持拉起CS应用时携带启动参数，自动访问管理员设定的地址。

9

为提升业务应用的数据安全性，零信任系统应支持针对发布的WEB应用开启WEB水印，水印内容至少包括：用户名+当前年月日，起到威慑与溯源作用，有效预防数据泄露。

10

10.1为方便管理员统筹查看管理零信任系统的整体运行状态，支持对设备自身的安全状态和策略配置进行巡检，对设备的整体状态进行打分，统计所有检查的正常项、异常项和告警项，并输出巡检报告。
10.2支持在设备上查看及下载巡检报告。
10.3报告应至少包含检测项、检查状态、存在的问题描述、建议改进措施等。

11

设备稳定性检查包括但不限于：
11.1应支持系统黑匣子及核心进程的状态检测。
11.2应支持CPU负载、内存负载、磁盘空间、网卡健康、硬盘健康、网卡日志、BIOS固件等硬件相关状态的检测。
11.3应支持软件版本及补丁修复状态等检测。

12

对于一些主要在主站点中点击使用的子站点WEB业务系统，且子站点跟主站点业务系统权限一致的场景，为简化管理员配置，零信任系统应支持开启依赖站点功能。为方便业务快速上线，还应支持自动采集站点功能对依赖站点进行梳理。

13

支持以私有DNS发布企业资源，无需额外购买DNS服务即可使用域名访问内网资源，支持管理员自主配置是否允许从具体网络区域（局域网/互联网）接入时使用此私有DNS解析地址。

14

支持配置企业的CDN作为零信任客户端下载地址，以降低设备本身的非业务访问带宽压力。

15

支持终端设备可视管理
15.1支持用户自助查看在线或离线终端列表，并注销其他终端，避免账号盗用；
15.2支持查看同账号登录过的终端信息，包括但不限于设备名称、设备系统类型、接入地址、最后登录时间等。

16

为满足单位多样化安全便捷认证需求，支持以下认证方式：本地账号密码认证、LDAP/AD认证、OAuth2.0标准协议的票据认证、CAS标准协议的票据认证、Radius账号认证、HTTPS帐号认证、证书主认证、证书辅认证、短信主认证、短信辅认证、标准Radius令牌认证、第三方令牌认证、TOTP动态令牌认证等认证方式，并可与企业微信、阿里钉钉、飞书结合实现扫码认证，支持飞书用户或个人微信企业号通过H5接入。

17

包括但不限于：
17.1支持对剩余日志空间进行检查；
17.2支持对syslog日志连通性进行检查；
17.3支持检查是否了虚拟IP功能。

18

包括但不限于：
18.1支持远程运维SSH端口开启检查；
18.2支持服务隐身（SPA）功能使用状况检查；
18.3支持控制台接入IP限制情况检查；
18.4支持SNMP指定IP地址接入检查。

19

包括但不限于：
19.1支持疑似管理员测试帐号的残留检查；
19.2支持是否开启找回密码功能检查；
19.3支持疑似用户测试账号的检查。

20

20.1为了最大程度缩小网络业务暴露面，零信任平台需提供单包授权能力（SPA），支持UDP+TCP组合的单包授权技术，未授权用户无法连接零信任设备，无法扫描到服务端口，不会出现敲门放大漏洞。
20.2PC端和移动端均支持通过安全码激活客户端为授权客户端，从而可进行SPA敲门和连接，安全码支持共享码和一人一码两种模式，支持短信分发安全码，保障业务的安全性。
20.3一人一码模式下，当实际登录用户跟分发SPA安全码绑定的用户不一致时，零信任系统可以阻止用户登录上线并产生安全告警，帮助管理员溯源，进一步提升系统安全性。