恒丰银行数据中心零信任平台建设项目POC测试供应商征集公告

恒丰银行数据中心零信任平台建设项目POC测试供应商征集公告

恒丰银行数据中心零信任平台建设项目POC测试供应商征集公告

一、采 购 人:恒丰银行股份有限公司 地 址:山东省济南市泺源大街8号

联系方式:0531-********

采购代理机构:港投工程咨询有限公司 地 址:济南市历下区经十路9777号鲁商国奥城2号楼1010室

联系方式:176*****666

二、采购项目名称:恒丰银行数据中心零信任建设项目POC测试供应商征集

采购项目编号: /

采购项目分包情况:

标包

采购

内容

数量

供应商资格要求

1

恒丰银行数据中心零信任平台建设

1宗

1、供应商须在中华人民共和国境内注册,具备合法的营业执照,具有独立法人资格。

2、供应商须为所投产品原厂商。

3、供应商所提供的产品自2021年8月1日以来商业银行总行数据中心有至少1例零信任平台建设项目案例(案例需包含SDK封装APP使用(使用规模5000人以上)和客户端远程接入使用)。

4、供应商需遵循《网络安全法》等法律法规规定,所投产品需提供公安部颁发的《网络安全专用产品安全检测证书》、《计算机信息系统安全专用产品销售许可证》。

5、供应商未被列入“信用中国”网站(www.creditchina.gov.cn)中的“失信被执行人名单、重大税收违法失信主体、政府采购严重违法失信行为记录名单”。

6、单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得同时参加本次测试。

7、本项目不允许联合体参与测试。

三、项目背景、测试范围及技术要求

1、项目背景:

为满足恒丰银行信创终端远程接入需求,提升恒丰银行用户远程接入和应用发布的安全防护能力,推动恒丰银行IPV6规模部署,需对恒丰银行数据中心零信任设备进行选型。

2、需求范围:

本次POC测试范围为数据中心零信任平台,包括控制节点和代理节点。

3、技术要求:

零信任设备配置性能要求:

产品组件

配置

性能

零信任控制节点

冗余电源、风扇,国产CPU,国产操作系统,CPU≥8核,内存≥32G,万兆光口≥4个,千兆电口≥4个,千兆光口≥4个,软硬一体化设备

用户并发数≥*****

零信任代理节点-高端型号

冗余电源、风扇,国产CPU,国产操作系统,CPU≥8核,内存≥32G,万兆光口≥4个,千兆电口≥4个,千兆光口≥4个,软硬一体化设备

用户并发数≥*****

加密流量≥2500Mbps

访问桌面云用户并发数≥500

零信任代理节点-低端型号

冗余电源、风扇,国产CPU,国产操作系统,CPU≥8核,内存≥16G,万兆光口≥2个,千兆电口≥4个,千兆光口≥4个,软硬一体化设备

用户并发数≥5000

加密流量≥900Mbps

访问桌面云用户并发数≥80

注:性能指标为必须满足项。

数据中心零信任设备控制节点技术指标要求如下:

功能类别

规格参数要求

可靠性指标

*集群功能

1、支持多台设备集群部署,通过负载均衡模式对外提供服务,单台设备故障不影响业务连续性

2、本地集群组建时,集群中的节点可承载工作负载功能,不需要依赖其它外置负载均衡设备。

3、支持分布式集群部署,且最少2个节点即可组建分布式集群

*集群故障切换时间

集群故障切换时间优化,被动故障不超过60S,主动故障不超过100S恢复。

*集群模式下授权共享和漂移

1、本地集群下各节点的零信任授权数均可共享使用,集群的总接入授权数是各节点授权数的总和。

2、集群节点故障后剩余节点仍能接管所有业务,分布式集群及本地集群均需支持授权漂移机制:集群中的单节点故障后,集群的总授权数跟故障前保持一致。

*配置同步

多台设备之间业务配置自动同步

*配置备份

支持设备配置通过SFTP等方式定时自动同步至第三方服务器

*关键部件冗余

支持电源风扇等关键部件冗余

*端口聚合

支持端口聚合功能,单个网口故障不影响业务连续性

设备部署

*旁路部署

设备支持旁路部署,通过路由引流的方式进行数据传输

*分离式部署

设备的控制节点和代理节点支持分离式部署,控制平面和数据平面的分离

*双栈部署

1、设备支持IPV4/IPV6双栈部署

2、支持IPV6环境的客户端接入和资源发布

用户管理

*本地用户管理

1、支持通过组织架构、角色等方式进行本地用户管理。

2、新增或修改本地用户时,可编辑的用户属性应包括但不限于:用户名、组织信息、关联角色、手机号码、密码、电子邮箱、用户有效期、帐号是否启用、应用授权等。

*外部用户管理

1、支持通过AD/LDAP同步用户和组织架构,包括新增、更新、删除

2、支持全量同步、自动增量同步、手动增量同步

3、同步外部用户时,可配置的属性包括但不限于:用户名、组织架构、所属角色、帐号状态、有效期、手机号码、电子邮箱等。

4、提供精细化管理能力,支持在组织架构或角色页面编辑外部导入的用户,为用户设置认证策略及用户策略,可选择用户是否继承上级组织架构的应用授权,支持查看用户关联的角色及组织架构赋予的应用授权,并可单独为用户添加个人应用。

*批量导入/导出用户

1、支持本地用户目录的用户导入\导出

2、支持外部认证用户目录的用户导入\导出

用户组

1、通过用户组管理功能可以对系统的用户组进行增删改查操作(新增、修改、删除、添加成员)

2、通过用户组导入/导出功能,能够对用户组进行批处理动作,可以批量导入、导出、删除、修改动作

3、支持配置多个用户组,多个用户组可配置相同或不同的LDAP

*闲置账号管理

支持定义闲置账号的处置策略;

1、对于创建后长时间未使用、长时间不登录或登录后长时间不使用的用户帐号,支持检测并判定为闲置帐号。

2、闲置帐号的时长可自定义配置,可配置范围不得小于1-365天。

3、可设置检测闲置账号后是否自动锁定。支持锁定后手动恢复帐号状态。

*用户密码安全规则支持自定义

1、支持管理员自定义用户密码组合方式;

2、支持管理员自定义新密码不能与历史前N次密码重复、密码不能包含连续重复字符的次数、密码能否包含键盘连续排序字符等安全规则。

认证管理

*认证方式

支持本地账号密码认证、LDAP/AD认证、动态令牌认证等认证方式。

*多因素认证

支持本地账号密码+短信、本地账号密码+动态令牌、外部认证+短信、外部认证+动态令牌等多因素认证方式

*短信网关

支持配置HTTP/HTTPS等多种短信网关。

终端接入

*资源访问

支持客户端和浏览器两种资源访问方式

1、支持IE11、Chrome 78及以上版本、Edge、Firefox、国产操作系统浏览器等访问WEB资源

2、客户端应兼容主流国产硬件CPU的国产操作系统终端,包括但不限于麒麟V10×龙芯、麒麟V10×龙芯LoongArch、麒麟V10×飞腾、麒麟V10×鲲鹏、麒麟V10×兆芯、麒麟V10×海光、麒麟V10×海思麒麟;统信V20×龙芯(3A3000、3A4000)、统信V20×龙芯(3A5000)、统信V20×飞腾、统信V20×鲲鹏、统信V20×海光、统信V20×兆芯等

3、客户端应兼容主流非国产终端,包括但不限于:Windows7(32位、64位)、Windows10(32位、64位)、Windows11(32位、64位)、MacOS、Ubuntu、Android、iOS、鸿蒙(含原生鸿蒙)等非国产操作系统的终端。

*手机SDK封装

支持iOS、安卓手机、鸿蒙(原生)APP集成零信任SDK,实现安全接入等功能。

*移动封装应用灰度更新

为方便APP应用的开发人员定向测试新版本的稳定性,封装应用应支持“灰度更新”机制。

1、支持直接在已发布应用的基础上新增beta版本,并为beta版本的应用配置单独的分发用户对象和安全策略。

2、支持管理员查看封装应用beta情况,并支持直接将beta版本转成正式版向用户推送更新。

3、 支持管理员在控制台查看历史版本并快速回退至该版本。

*移动安全APP远程运维

为快速对自动封装的APP或集成零信任SDK的APP进行运维排障,支持在控制台选择对应的APP定向远程获取日志

终端管理

1、支持终端设备的批量导入和导出功能,导入导出有固定的模板格式

2、支持为接入系统的终端设置标签,支持通过终端标签来配置特殊的上线准入策略及应用访问策略。

*授信终端

支持设置授信终端绑定,支持配置绑定授信终端的可信网络区域、增强认证条件;并可限定用户可绑定的授信终端数量:

1、支持查看/添加/移除授信终端

2、管理员可配置仅允许授信终端登录的认证策略

*准入策略

支持符合准入策略规则的终端可登录零信任设备。

1、准入策略因子包括:

计算机名、终端MAC地址、操作系统、运行的软件、设备标签、客户端版本号、运行的杀毒软件、安装的终端安全管理软件、安装的防病毒软件等

2、准入策略可通过单一条件或条件组的方式灵活组合嵌套

3、准入策略可指定适用用户范围和排除用户

4、准入策略支持对触发条件的用户设置处置动作,如注销登录,并可基于处置动作自定义提示语

*访问控制

支持配置动态资源访问规则,为单位不同业务不同部门提供灵活丰富的访问控制策略:

1、动态访问控制策略可支持按需授权,支持用户或用户组直接关联到应用

2、动态访问控制策略支持针对操作系统单独设定或多系统设定访问控制策略,操作系统需包括Windows、macOS、linux/麒麟/统信、iOS/Android;

3、动态访问控制策略支持通过单一条件或条件组的方式灵活组合嵌套,可支持的条件变量应包括但不限于:终端名称、MAC地址、终端本地IP列表、操作系统版本、终端资产类型、终端标签类型、存在指定文件、操作系统安装的补丁、运行进程、运行指定杀毒软件、零信任客户端版本、安装指定软件、授信终端、授信域环境、异常时间登录、新地点登录、非常用地点登录等;

4、动态访问控制策略支持灵活的处置动作,包括阻止访问、注销登录、锁定账号,并可基于处置动作自定义提示语;

*虚拟IP

1、支持共享虚拟IP池模式,为用户组分配一个IP地址段,用户组内的用户首次连接时分配一个IP端内的虚拟IP,可根据IP资源的充裕情况配置用户注销后立即释放虚拟IP或注销后指定时间再释放

2、支持独享虚拟IP模式,可配置一个独享IP池,在独享IP池中为用户分配指定的虚拟IP地址,在独享资源池中给用户绑定的虚拟IP不会释放。应支持批量导入的方式为用户绑定虚拟IP,并支持导出查看系统配置的虚拟IP对应关系。

客户端自带登录地址

支持管理员配置是否允许用户在客户端下载安装后自动携带登录地址。

*内网DNS解析能力

1、为适配单位自建的内网DNS服务器,应支持管理员自行配置内网DNS解析,以实现终端用户在零信任客户端登录后可以使用单位自建的内网DNS进行域名解析。

2、支持配置内网DNS解析的域名白名单实现仅部分指定域名才能使用内网DNS解析,并支持额外排除部分域名地址。

单用户接入带宽限制

支持管理员配置指定用户在单个代理节点上的带宽限制,可精确配置上行带宽(即客户端发送到网关的带宽)和下行带宽(即客户端从网关接受的带宽),针对不同的代理节点可以配置不同的带宽限制。

CDN接入能力

1、支持配置CDN作为零信任客户端下载地址,以降低设备本身的非业务访问带宽压力。

2、当客户端通过CDN加速等代理方式接入访问业务系统时,支持获取CDN加速前的访问IP,并在日志中记录此IP为客户端IP。

资源发布

*发布模式

1、通过隧道模式,可以支持基于TCP、UDP、ICMP等协议代理访问业务资源,支持发布IP、IP范围、IP段、具体域名及通配符域名等形式的服务器地址,满足常见办公业务的代理,收缩业务暴露面。

2、通过WEB模式,可以支持基于http或https协议代理访问业务资源,支持发布IP或域名形式的后端服务器地址,可配置业务应用的具体访问URL路径。支持通过域名+URL路径发布和授权应用。

*细粒度的资源发布

1、隧道应用支持配置到业务服务器的具体端口,且支持配置客户端接入IP限制,只有满足网络区域条件的终端才能访问此应用。

2、WEB资源发布时应支持到URL路径级别,且支持配置URL路径规则。黑名单模式下,用户只能访问不在黑名单内的路径;白名单模式下,用户只能访问白名单内的路径。

3、资源发布范围可自定义,支持针对不同的用户/用户组发布不同的资源

*WEB页面安全

1、应支持针对发布的WEB应用开启WEB水印,水印内容至少包括:用户名+当前年月日。

2、应支持对WEB应用禁止复制、禁止打印、禁止下载、禁止鼠标右键、禁止浏览器调试。

*桌面云应用

1、为提高桌面云远程访问时的安全性,支持将恒丰银行现有桌面云服务器发布成零信任的代理应用;

2、为提升终端用户使用的便利性,零信任系统应支持跟恒丰银行桌面云服务器进行单点登录对接,实现仅需在零信任进行认证即可直接进入云桌面进行业务办公,无需重复验证。

*应用授权

支持直接在应用授权界面为单一应用或某个应用分类分配用户授权,授权方式支持直接授权给用户所在的组织架构、用户关联的角色或用户本身,并展示应用直接授权的组织架构、授权角色或用户数量。

安全特性

*服务隐身

1、支持SPA单包授权能力,支持UDP+TCP组合的单包授权技术,未授权用户无法连接零信任设备,无法扫描到服务端口。

2、PC端和移动端均支持通过安全码激活客户端为授权客户端,从而可进行SPA敲门和连接,安全码支持共享码、一人一码和一次一码等多种模式,支持短信分发安全码,保障业务的安全性。不同安全码模式均应同时支持PC端和移动端使用。

*虚拟专线

支持配置虚拟专线功能,当用户登录零信任客户端之后,自动断开互联网连接,避免互联网威胁影响内网业务系统。

*虚拟网络域

1、支持对用户PC终端的出站、入站网络规则划分虚拟网络域进行管控,以实现用户登录零信任客户端后,在特定的网络域下只能主动访问网络域对应的IP、IP范围、IP段、域名,且只能被限定的IP、IP范围、IP段访问;

2、虚拟网络域的网络规则支持配置仅对终端上的某些指定进程生效;

3、支持终端用户通过工作台面板、任务栏菜单等方式切换虚拟网络域;

4、虚拟网络域功能需支持主流操作系统,包括但不限于Windows、macOS、麒麟kylin、统信UOS等。

*自适应认证

可配置在触发异常环境的条件时,用户需完成增强认证才可登录。可配置的异常环境包括但不限于:帐号首次登录、帐号在该终端首次登录、账号在该地点首次登录、账号在新地点登录、账号在非常用地点登录、闲置帐号登录、弱密码登录、异常时间登录等。

*可信进程

1、内置一些常见攻击工具进程黑名单,管理员可基于内置的名单进行增减,匹配上此名单的进程访问零信任系统时会被打上标签,以方便快速定位排查问题终端。

2、支持配置仅可信的进程可访问指定的应用,或不可信的进程阻止访问。

防机器人

提供强安全性的点击图像校验码机制,图形校验码支持中文和英文。

权限管理

*管理员帐号

1、支持新增/删除/修改管理员账号

2、支持配置管理员过期时间和账号状态

*管理员分级分权

1、支持新增/删除/修改管理组,内置审计管理员、安全管理员、系统管理员等管理组;通过管理组管理权限的配置,实现管理员分级分权。

2、管理组支持按控制台模块分配权限,支持对模块配置[只读]、[完全控制]两种权限;

权限导入/导出

1、支持按照指定的EXCEL\CSV格式文件导入用户权限

2、支持按用户、组织机构、用户组导出权限,导出格式为EXCEL、CSV

日志审计

*日志查询

1、用户日志:通过用户日志模块,管理员可以查看用户登录、访问业务的实时记录,记录用户终端IP、接入IP、分配的虚拟IP,记录每个终端登录认证时“单包授权”的日志信息记录

2、管理员日志:记录管理员登录控制台后所有的操作

3、系统日志:记录系统运行日志、安全防护日志

4、支持在控制中心查看接入该控制中心的代理网关的用户访问日志、管理员日志及设备安全防护日志。

*日志设置

1、支持定义本地日志存储的类型,包含用户日志、管理日志、系统日志;

2、支持通过syslog日志外发,支持UDP和TCP两种协议;

3、支持通过远程日志服务功能,可以将日志发送到多个第三方日志平台

4、支持日志外发自定义选择要发送的日志类型和字段

流量镜像

支持将用户访问零信任系统的WEB资源访问流量解密后镜像给外部网络流量分析系统,如态势感知等设备。

系统运维

*SNMP

支持提供SNMP服务来对接运维监控设备,可在控制台下载MIB库。

*时间与日期设置

支持配置NTP服务器地址,通过NTP自动校正设备时间。

*终端日志收集

1、支持用户在客户端自助进行日志收集。

2、支持管理员在控制台远程获取在线终端的日志

*终端诊断工具

支持终端环境诊断排查,提供终端诊断工具,支持对当前终端的基本环境进行扫描和一键修复

*客户端灰度升级

支持零信任客户端的按需灰度升级。

*控制台接入

1、支持启用接入控制台的IP限制,启用后只有名单内的IP地址才能接入访问零信任控制台;

2、支持连续输错密码后锁定IP;

3、支持配置会话超时注销;

4、支持配置允许SSH、ping等远程运维连接设备。

*加密算法支持

1、支持中国商用密码标准,支持加密算法SM2、SM3、SM4等。

2、支持使用商密密码卡进行加密

3、支持在控制台对密码卡进行管理(包括:激活、取消激活、密钥备份/恢复、管理KEY口令)

4、需具备国家密码管理局颁发的安卓、IOS、Win和Linux的客户端/SDK国密证书和控制节点的国密证书

WEB CONSOLE

支持在控制台上提供命令面板,内嵌常规的网络配置和排障命令,方便运维人员对设备进行维护,网络测试以及故障排查

监控中心

*在线用户

1、支持查看当前在线用户终端总数;

2、支持查看当前在线用户,用户信息至少包括用户名、组织架构、终端类型、浏览器类型、接入IP、最后接入时间、认证方式等;

3、支持管理员对在线用户进行注销操作。

*设备状态

支持查看当前设备运行状态,包括但不限于设备硬件状态(CPU、内存、磁盘占比等)、并发会话数、并发用户数、实时网络吞吐、历史网络吞吐峰值等信息

*业务告警

支持告警信息设置,告警事件应包含但不限于: CPU、内存和磁盘使用率超阈值、内存使用率超阈值、集群故障、关键服务运行异常等。

设备自动化

*API对接

支持通过OPEN API的方式将零信任系统的能力开放给第三方业务系统进行调用配置。

数据中心零信任设备代理节点技术指标要求如下:

功能类别

规格参数要求

可靠性指标

*集群功能

1、支持多台设备集群部署,通过负载均衡模式对外提供服务,单台设备故障不影响业务连续性

2、本地集群组建时,集群中的节点可承载工作负载功能,不需要依赖其它外置负载均衡设备。

*集群故障切换时间

集群故障切换时间优化,被动故障不超过60S,主动故障不超过100S恢复。

*集群模式下授权共享和漂移

1、本地集群下各节点的零信任授权数均可共享使用,集群的总接入授权数是各节点授权数的总和。

2、集群节点故障后剩余节点仍能接管所有业务,分布式集群及本地集群均需支持授权漂移机制:集群中的单节点故障后,集群的总授权数跟故障前保持一致。

*配置同步

多台设备之间业务配置自动同步

*配置备份

支持设备配置通过SFTP等方式定时自动同步至第三方服务器

*关键部件冗余

支持电源风扇等关键部件冗余

*端口聚合

支持端口聚合功能,单个网口故障不影响业务连续性

设备部署

*旁路部署

设备支持旁路部署,通过路由引流的方式进行数据传输

*分离式部署

设备的控制节点和代理节点支持分离式部署,控制平面和数据平面的分离

*双栈部署

设备支持IPV4/IPV6双栈部署

日志审计

*日志查询

1、用户日志:通过用户日志模块,管理员可以查看用户登录、访问业务的实时记录,记录用户终端IP、接入IP、分配的虚拟IP

2、管理员日志:记录管理员登录控制台后所有的操作

3、系统日志:记录系统运行日志、安全防护日志

*日志设置

1、支持定义本地日志存储的类型,包含用户日志、管理日志、系统日志;

2、支持通过syslog日志外发,支持UDP和TCP两种协议;

3、支持通过远程日志服务功能,可以将日志发送到多个第三方日志平台

4、支持日志外发自定义选择要发送的日志类型和字段

流量镜像

支持将用户访问零信任系统的WEB资源访问流量解密后镜像给外部网络流量分析系统,如态势感知等设备。

系统运维

*SNMP

支持提供SNMP服务来对接运维监控设备,可在控制台下载MIB库。

*时间与日期设置

支持配置NTP服务器地址,通过NTP自动校正设备时间。

*控制台接入

1、支持启用接入控制台的IP限制,启用后只有名单内的IP地址才能接入访问零信任控制台;

2、支持连续输错密码后锁定IP;

3、支持配置会话超时注销;

4、支持配置是否允许SSH、ping等远程运维连接设备。

*加密算法支持

1、支持中国商用密码标准,支持加密算法SM2、SM3、SM4等。

2、支持使用商密密码卡进行加密

3、支持在控制台对密码卡进行管理(包括:激活、取消激活、密钥备份/恢复、管理KEY口令)

4、需具备国家密码管理局颁发的代理节点的国密证书

监控中心

*设备状态

支持查看当前设备运行状态,包括但不限于设备硬件状态(CPU、内存、磁盘占比等)、并发会话数、并发用户数、实时网络吞吐、历史网络吞吐峰值等信息

*业务告警

支持告警信息设置,告警事件应包含但不限于: CPU、内存和磁盘使用率超阈值、内存使用率超阈值、集群故障、关键服务运行异常等。

设备自动化

*API对接

支持通过OPEN API的方式将零信任系统的能力开放给第三方业务系统进行调用配置。

注:*为必须满足项。

四、议程安排:

1.报名参与时间:自2024 年9月7日起至2024年9月14日止,上午8:30-11:30,下午14:00-17:00 (北京时间,法定公休日、法定节假日除外)

2.报名方式:邮箱报名。请将营业执照副本、信用中国截图、案例合同、法定代表人授权委托书(或法人代表证明)、身份证复印件、供应商需为所投产品原厂商承诺函、《网络安全专用产品安全检测证书》、《计算机信息系统安全专用产品销售许可证》扫描成1个PDF,(将上述材料命名为单位名称+项目名称及报名信息word版(项目名称、测试人名称、联系人姓名、联系人手机号、联系人邮箱)发至采购代理邮箱gangtouzhaobiao@163.com进行报名)。

注:供应商在报名期间须进行采购人网站注册并审核通过后(https://pms.hfbank.com.cn/pms/eps/gys/gyszc/RegGys.html)报名才有效。网站注册审核单位选择恒丰银行总行,具体操作流程见《供应商操作手册》。注册过程中如有问题,可致电恒丰银行张老师0531-********。若已注册,可忽略本要求。

3.报名电话:176*****666

4.是否接受测试反馈时限:2024年9月18日17:00时(北京时间)前将确认函加盖公章扫描后回传至港投工程咨询有限公司邮箱(邮箱:gangtouzhaobiao@163.com),逾期未发送的供应商视为自动放弃(以收件时间为准)。

5.测试地点:山东省烟台市芝罘区通世南路与通姜路路口东恒丰银行数据中心。

五、有关说明:

采购人不统一组织供应商对现场进行勘察。无论供应商对现场考察与否,都将被视为熟悉履行合同有关的一切情况,并承担一切与测试有关的风险、责任和义务,勘察现场所发生的一切费用由供应商自行承担。

六、公告发布媒介:

本项目公告在恒丰银行官网、中国招标投标公共服务平台、金采网上发布。其他网站转载无效。

七、联系方式:

1.采 购 人:恒丰银行股份有限公司 2.采购代理机构:港投工程咨询有限公司

联 系 人:郭经理 联 系 人:谢工

电 话:0531-******** 电话:176*****666

发 布 人:港投工程咨询有限公司

发布时间:2024年9月6日

,山东,济南市,历下区,烟台市,芝罘区,济南,烟台,0531-,公安部

联系人:郝工
电话:010-68960698
邮箱:1049263697@qq.com

标签: 零信任平台建

0人觉得有用

招标
业主

港投工程咨询有限公司

关注我们可获得更多采购需求

关注
相关推荐
 
查看详情 免费咨询

最近搜索

热门搜索