《XX系统-信息安全防护体系-零信任安全访问能力项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX系统-信息安全防护体系-零信任安全访问能力项目采购需求.docx(87页珍藏版)》请在三一办公上搜索。
1、XX系统-信息安全防护体系-零信任安全访问能力项目采购需求一、项目背景与建设目标项目背景:按照XX部相关标准规范要求,结合省XX厅云平台、警综平台等建设实际及信息安全现状,为提升XX系统安全防护能力,规范建设安全管理能力,为新一代XX信息网智能化建设提供立体化纵深防御体系,形成严密安全保障。目标内容:基于我省新一代XX信息网及安全基础设施,升级扩容省厅现有安全访问通道;建设数据交换通道,加强可信检控管理,部署数据中心配套安全防护能力;建设零信任体系一期,包括统一认证服务、权限管理服务、业务审计服务、环境感知服务、业务安全策略控制服务等;加强各服务联动和能力集成,实现各安全子系统的整体对接协同,
2、初步构建零信任体系。二、建设内容建设任务建设分项分项说明采购类型单位数量安全访问通道(升级扩容)可信检控管理(政法链路)为可信接入检控、可信应用检控提供集中配置、集群管理、连接会话管理、访问授权判定、风险响应等能力。根据设备环境、用户行为等属性及可信环境感知状态,动态控制用户的应用访问,保证业务应用访问的安全策略控制及强制实施。2U机箱;冗余电源(550W)、4T硬盘;2*USB;1*VGA;1*BMC;标配4*千兆电口;产品3年质保;为TAP、TIP提供集中配置、管理、会话、授权等能力。可和外部身份与访问管理平台实硬件台2现认证、权限策略管理等能力。可信检控管理为可信接入检控、可信应用检控提
3、供集中配置、集群管理、连接会话管理、访问授权判定、风险响应等能力。根据设备环境、用户行为等属性及可信环境感知状态,动态控制用户的应用访问,保证业务应用访问的安全策略控制及强制实施。2U机箱;冗余电源(550W)、4T硬盘;2*USB;1*VGA;1*BMC;标配4*千兆电口;产品3年质保;为TAP、TIP提供集中配置、管理、会话、授权等能力。可和外部身份与访问管理平台实现认证、权限策略管理等能力。硬件台2数据泄露检测网络数据防泄漏系统,机架式设备,网络流量监控能力2Go支持常见的网络数据保护,包括:HTTP、HTTPS、FTP、SMTP、IMAP协议解析、对通过网络上传的附件和外发的内容进行扫
4、描和监控、支持实现网络风险事件审计功能;支持多种策略配置,包括支持根据不同的组织机构下发不同的策略、支持针对不同的用户、用户组下发不同的策略、支持针对不同类别/级别的数据下发不同的策略、支持根据指定邮件域、收发邮件地址进行策略配置;支持基于机器学习和自然语言处理识别技术;支持持续样本学习及机器学习智能规则管理;支持通过机器学习实现数据内容识别规则在线调优,可持续提高识别准确性。硬件台1日志审计性能:事件处理最高3000EPS。硬件规格:标准IU机箱,6个千兆电口,2个扩展插槽(可选2万兆光、4千兆电、4千兆光),1个Console硬件台1接口,单电源,4T硬盘。包含50个日志源授权,三年硬件维
5、保服务和三年软件升级维护服务。负载均衡性能参数:最高4层吞吐量:40Gbps,并发连接数:12000000,4层新建连接数CPS:500000,7层新建连接数RPS:500000o硬件参数:规格:2U,硬盘容量:240GSSD,电源:冗余电源,接口:6千兆电口+2万兆光口SFP+o要求同时支持链路负载均衡,服务器负载均衡,全局负载均衡,支持主动与被动故障检测等功能。产品质保(*5年);软件升级(*5年);硬件台2蜜罐主机(2U标准上架设备;含滑轨)一台。4*GE电口;2*1OGE光口;4*lJSB接口;1*DB9COnSoIe接口;冗余电源;4TBSATA存储硬盘。含系统软件一套。含三年产品标
6、准维保服务;三年软件升级维护服务。硬件台1驻场人员服务日常运维安全访问通道,配置相关策略,针对各业务系统对接提供相关指导协助。熟练掌握本项目安全系统的规划部署、测试、实施及优化等;熟练掌握XX大数据智能化应用安全体系要求;具备良好的逻辑分析能力及较强的学习能力,有团队合作精神和敬业精神;语言表达能力较强,思路清晰,能顺畅的与管理部门和业务对象进行沟通。服务年3原信息中防火墙系统(一级多核AMP+架构,网络层吞吐量60G,并发连接21000万,每秒新建连接数60万,标准2U机硬件台2心安全设备升级网)(核心产品)箱,冗余电源,标准配置1个COnSOIe口、1个HA接口,1个MGT接口,4口万兆多
7、模SFP板卡,支持2对硬件bypass;4口千兆多模SFP板卡;支持2对硬件bypass;8千兆电口板卡;另有1个接口板卡扩展插槽,支持液晶屏,含三年硬件维保服务。三年IPS和三年AV特征库升级。日志审计系统(原信息中心)事件处理性能最高100ooepso硬件规格:标准2U机箱,4个千兆电口,1块RAlD卡,2个扩展插槽(可选2万兆光、4千兆电、4千兆光),冗余电源,8TB*3块硬盘,使用RIAD5数据保护。包含500授权节点,包含三年硬件标准维保,三年软件升级服务。硬件台1负载均衡(PKI系统)标准2U设备,千兆电口26个,万兆电口22个,双电源,四层吞吐230G,最大并发连接数21200万
8、,4层每秒新建连接数(CPS)250万/秒,7层每秒新建连接数(RPS)260万/秒。硬盘256GSSD.,质保5年,软件升级5年。硬件台2数据传输通道下一代防火墙1采用多核架构,IU机架式设备,千兆电口14个,千兆光口8个,万兆光口8个(配置2个万兆单模光模块)。硬件台4下一代防火墙2采用多核架构,CPU物理核心数:8,内存16G,硬盘配置:64GSSD,2U机架式设备,8个千兆电口,4个千兆光口,4个万兆光口,2个扩展槽位,双交流电源。硬件台2集控探针LinUX操作系统,网络接口26个;10/100M/1000M电口。硬件台1设备准入控制器6个IOooMBASE-T接口,2个万兆光口。每秒
9、事务数(TPS):222000(次/秒),最大吞吐量:硬件Zx224GbPSo数据交换节点交换能力:4Gbps;最大支持服务个数:260;最大传输延时:VIOmSo硬件台8数据交换接口机4个10/100/1000MbaSe-TX;4个万兆口(含万兆光模块),支持扩展插槽;硬件Zx4数据传输节点内外网接口各标配6个100/100OMBase-TX网络接口,2个100OoM光口。具有两个独立主机,独立主机之间,仅使用单个无源分光器进行单纤连接,不存在反方向的物理通道。硬件台6数据交换管控节点配置4个1001000MBase-TX网口。硬件台1可信应用数据检控节点4个101001000MBase-T
10、电口,2个万兆光口。硬件台1集中监控管理系统4个10/100M/1000M电口;数据库容量:21TB;最大支持业务数量:1000;最大监控并发用户数量:25000;硬件台1交换机1交换容量22.56TbPs,包转发率2720MPPs,以上指标以官网最小值为准;万兆光口N24个(满配万兆多模光模块),40GQSFP+端口22个,业务插槽22个,冗余250W交流电源,冗余风扇;硬件台2交换机2交换容量22.56TbPs,包转发率2720MPPs,以上指标以官网最小值为准;万兆光口224个(配置12个万兆多模光模块),5G2.5G/1G自适应电口28个,40GQSFP+端口22个,业务插硬件台4槽2
11、2个,冗余250W交流电源,冗余风扇;零信任体系一期警综平台.零信任模块-认证服务升级警综平台认证功能,建设零信任模块认证服务。在数据域单独部署,提供可信检控点的接口服务,增加认证因子,提供认证代理服务。定制化软件人/月56警综平台零信任模块-权限服务升级警综平台权限功能,建设零信任模块权限服务,包含个人管理权限,异常鉴权的预警等功能。定制化软件人/月32警综平台.寄信任模块-基础要素管理升级警综平台应用管理、建设服务目录,建设零信任模块,部署到数据域。包含服务目录管理、应用目录、对接API网关、对接云服务总线等功能。定制化软件人/月8警综平台.零信任模块-地市级级联升级警综平台认证服务、基础
12、要素管理服务,支持针对地市级开放统一标准化接口。定制化软件人/月4环境感知服务中心提供2000节点环境感知客户端软件,三年服务期内提供免费升级服务。商品化软件占八、2000环境感知代理提供环境感知客户端的接入代理功能,将客户端到环境感知服务之间的请求以及环境感知风险信息发送到环境感知服务。环境感知服务负责对终端身份进行可信标识,对终端环境进行感知和度量,并传递给策略控制服务,协助策略控制服务完成终端的可信环商品化软件套48境核查,从而实现动态访问控制的目的。环境感知服务应具备生成终端身份标识管理、感知策略管理、环境感知内容管理、终端环境感知报告、云桌面联动感知等功能。环境感知内容应具备系统环境
13、感知与度量、物理环境感知与度量、安全配置风险感知与度量等方面。环境感知服务与策略控制服务、终端、应用之间联动。与策略控制服务联动实现可信环境感知结果的查询和通知;与终端联动实现终端环境数据的上报及感知策略下发;与应用联动是实现应用环境数据的上报及感知策略下发。业务安全策略控制中心(1)实时数据:业务策略控制中心的首页从系统概览,提高获取信息效率的角度,提供了展示当前天实时的数据接入、信任查询推送、登录设备数、登录用户数、各信任模型的计算情况以及资源使用情况。(2)风险汇聚:业务策略控制提供了风险汇聚的能力,可将环境感知中心、审计中心、权限中心、认证中心和安全访问平台及安全防护策略控制服务传递的
14、风险信息进行收集、汇聚,用于后续关联分析和信任评估。(3)风险识别:业务策略控制中心内置了事件的详细分类信息,只有被系统识别,并且能归类到系统事件分类中的事件,才会被响应。(4)信任评估:业务策略控制中心的信任基线计算根据多方输入的事件、日志等信息的持续性分析,根据基线配置,对用户、终端设备、移动端设备、服务器设备、API用户5个大类主体进行信任等级的计算,界面上展示各类主商品化软件套65体的基线配置项数据。(5)联动通报指令:业务策略控制提供下发安全控制指令的能力,策略执行点下发相关执行指令。(6)统计中心:在业务策略控制中心数据统计中心部分,管理员可以对其它模块请求提交日志进行搜索查看,对
15、大数据应用访问情况有总体统计展示,并且能够自己定义并生成相关的日志访问报表。支持厅机关新一代XX网业务系统100个以内的访问汇聚风险,提供风险识别和大数据分析。省厅害信任体系集成开发集成开发整体零信任体系,梳理业务需求,统一协调各功能模块进行对接,规范管理接口文档,组织相关测试方案。按照部标的要求进行功能点核对。服务套1驻场人员1名日常运维零信任体系,配置零信任体系相关策略,针对各业务系统对接提供相关指导协助。一名驻场人员(综合运营)三年驻场服务。服务年3整体项目集成费用根据项目总体费用,项目集成费用3.3%。服务项1三、项目需求(一)定制化软件工作量测算建设中心功能模块指标参数人/月警综平台
16、.与环境感与环境感知客户端进行对接获取客户端评分,用以判断用户是否可以进行登录及后续操作。零信任模块-认证服务知客户端对接需对接各地市部署的环境感知评分获取接口,解析接口响应信息;向警综平台输出环境感知结果,包含评分信息、优化建议、安全软件下载链接、环境感知软件下载链接等信息;风险分析,根据评分执行阻断、提醒等操作,并记录分析日志令牌管理令牌分为用户令牌、应用令牌;用户令牌中需包含用户标识、机构标识、创建时间、过期时间等信息;应用令牌需包含用户标识、机构标识、应用标识、创建时间、过期时间等信息;令牌生成需基于JWT+国密算法进行令牌生成。支持国密算法,保证令牌信息的机密性,系统除支持RSA算法
17、的证书外,同时支持国产的SM算法证书,支持基于国产密码算法的SSL功能,保证客户端到服务器之间的数据传输安全。提供用户令牌和应用令牌在各使用节点的全生命周期集中管理,包括:签发、撤销、验证、更新、加密等。管理功能:支持通过用户名、用户身份证号、用户IP、令牌类型、在线时间、部门信息进行令牌的筛选;支持对指定令牌的手动注销功能。支持根据接收到的风险指令或自有策略判断结果,调整相应令牌状态;支持将令牌及其状态通知给需要核验令牌的相关方。令牌黑名单管理1、包含增加、删除、查询功能;2、可以设置指定用户、IP、时间段,令牌受限,不允许登录零信任体系内的所有功能。系统支持认证因子、认证等级、AK.SK、
18、固定SK配置管理。注册升级应用管理升级1、认证管理部分添加零信任令牌属性选择2、细化应用管理,分为基本配置、高级配置、扩展信息、附加信息。认证管理升级1、在认证参数列表中添加令牌信息;2、对接认证服务中心,获取用户令牌和应用令牌;3、添加零信任令牌发放功能,包含用户令牌和应用令牌,对应用统一认证、第三方组件代理认证等相关模块进行功能集成。认证功能根据配置确定应用的认证方式;根据认证方式调用对应的认证因子进行认证;根据各认证因子反馈的认证结果进行综合判定,根据结果签发令牌;支持持续认证;支持认证过程中的风险检测输出及处理。人像认证组件:B/S端自动调起摄像头;自动识别画面内是否存在人像;自动拍照
19、并上传服务器进行校验;支持活体检测功能与人像1:1比对接口对接;与认证中心对接,完成认证后可以进入警综平台。二次认证支持用户二次认证,例如:用户通过短信验证码登录门户(当前安全等级较低为一级),需要登录安全等级较高的应用,例如执法办案系统,此时则会弹出二次认证界面,要求进行PKl认证。支持权限提升需要时的二次认证;支持登录状态失效是的二次认证;提供独立组件,供第三方系统需要时进行二次认证;二次认证支持单因子认证也支持多因子认证。认证因子管理支持的认证因子包含但不限于口令、数字证书、生物特征,其中生物特征包括但不限于人脸、声纹等生物特征以及复合生物特征;认证因子信息包括但不限于认证因子名称、安全
20、等级、启用状态、认证因子管理平台地址;支持认证因子信息的管理,包括但不限于增、删、改、查;支持认证因子的标准化接入和管理;支持活体检测等措施与多因子认证的组合;支持组合不同的认证因子满足不同的安全级别需求:支持申请材料的上传、删除、下载等功能;支持认证因子的启用、停用功能。认证因子第三方对接支持格尔网关认证。支持辅警证书认证。认证服务代理支持代理跨网跨域访问认证服务;部署在安全访问通道或用户域。实现认证信息和返回令牌的跨域传递,最终通过令牌实现用户在用户域内能够访问数据域内的资源。支持与认证服务间加密通信;支持标准协议,认证服务接口支持国密SSL;支持通过负载均衡和集群部署等形式,确保认证服务
21、的持续可用,同时允许对认证能力进行扩容。日志管理支持多维度日志记录,包括但不限于注册、配置、认证、维护等操作日志;支持相关认证因子认证日志的接收;支持日志的标准化输出。定时对早期日志进行归档;认证服务接口用户基本信息接口服务。用户详细信息接口服务。用户令牌生成服务。应用令牌生成服务。用户令牌校验服务应用令牌校验服务用户令牌更新服务应用令牌更新服务用户令牌撤销服务应用令牌撤销服务添加应用信息同步接口,支持第三方需要使用本接口的系统可以通过本接口获取全部应用信息,并保持增量更新。所有接口服务都需注册到服务总线;提供统一的第三方调用辅助JAR;支持全省应用对接并提供技术支持。与第三方对接与业务安全策
22、略控制、审计中心等服务对接推送风险、日志等信息,包含风险传递服务对接、认证令牌接收服务对接、认证日志接收服务对接、用户下线推送服务对接、应用下线推送服务对接、审计日志中的登录、应用操作等日志推送服务对接等安全管理中心对接用户、组织机构、应用目录、服务目录数据。警综平台.零信任模块-权限服规则权限配置1、包含规则权限的增、删、改、查等功能。2、支持根据部门、人员类别、警种之中的单个或多个构建规则组合,并与应用进行关联配置。3、规则权限服务缓存服务。在系统启动时自动将规则权限加载到内存中;自动从数据库中将新的规则更新到规则中;务4规则解析服务。根据部门、人员类别、警种自动遍历组装,通过特定算法重新
23、生成新的规则列表;提升用户登录平台后获取规则权限无需等待,大幅度降低等待时间;5规则权限与警综平台权限体系融合。个人权限管理1、包含个人权限申请、个人权限申请审批、个人权限收回等功能。2、个人权限申请:用户可以在应用商店中对无权限的应用发起权限申请;支持按警综角色、应用信息(菜单级)申请;支持自动查找管理员,若管理员不存在则无法申请;3、个人权限申请审批:包含审批通过、审批退回等功能包含待审批列表、历史列表支持通过用户名、虚拟号、所属部门、查询范围、人员类别等信息进行筛选支持申请内容查看4、个人权限收回:包含收回、全部收回、组合收回等功能;支持同步应用树查看人员数量支持应用树查询;支持按用户姓
24、名、身份证号、所属部门等信息进行筛选支持查看个人信息支持多应用进行人员筛选并进行权限回收权限审批-辅助管理员1、根据应用管理中的辅助管理员配置分配本功能模块权限2、包含审批通过、审批退回、待审批列表、历史记录等功能3、管理员审批时可以查看审批内容、申请理由、申请时间、申请人等信息4、管理员审批时可以填写理由,并通过消息中心反馈给申请人5、申请单失效自动回收,提供定时任务,自动检测预期的申请单,自动设置为失效辅助管理员授权1、根据应用管理中的辅助管理员配置分配本功能模块权限2、提供管理人员列表的查询、详情查看、授权等功能3、辅助管理员授权仅允许单行数据操作4、权限授权列表展现辅助管理员拥有的权限
25、列表支持一级权限的授权、回收;支持子级应用的授权、回收;支持应用简称、全称的筛选功能。应用级鉴权服务接口1、支持第三方系统、网关、安全通道等第三方应用或服务通过本接口获取应用权限信息;2、传入用户令牌,服务接口返回对应有权限的应用列表3、支持单应用、多应用鉴权4、支持按人员获取权限列表5、支持资源权限等级获取异常鉴权预警支持对鉴权过程中的非正常鉴权产生预警;预警种类包括:用户异常时间鉴权预警、用户异常IP鉴权预警等;接收风险指令结果,对鉴权过程进行阻断;标准化输出预警结果;日志管理支持多维度日志记录,包括但不限于注册、配置、认证、维护等操作Fl志;支持相关认证因子认证日志的接收;支持日志的标准
26、化输出。定时对早期历史日志进行归档;警综平台.零信任模块-基础要素管理服务目录1、包含服务目录的增、册IJ、改、查、启用、停用、导入、导出等功能;2、服务包含但不限于服务名称、服务IP、服务端口、服务目录、注册人、责任民警、运维人员、所属应用、登记时间、更新时间、数据来源等信息;3、对接云资源管理平台服务目录,支持定时同步数据到本服务目录;4、提供服务全量、增量同步接口服务,为零信任可信APl网关提供数据支持;5、记录操作日志,方便管理员回溯历史记录;应用目录升级1、添加警种、运维工程师、责任民警、所属部门、责任领导、辅助管理员、相关人员、简要说明等信息的维护管理2、针对应用添加业务、地区、层
27、次、警种等分类方式3、支持应用手册的上传、下载、删除等功能4、支持AK、SK、固定SK信息的获取及查看5、应用上架服务及应用同步服务升级警综平台.零信任模块-地市级级联地市级级联认证服务支持开发通用接口,允许地市级通过标准化接口进行级联。2、服务目录支持地市服务目录级联,支持定时同步数据到本服务目录。3、基础要素库人员目录开放标准通用接口,支持传输加密认证,支持地市级级联。4、基础要素库应用管理目录开放标准通用接口,支持传输加密认证,支持地市级级联。(二)硬件采购详细需求1.安全访问通道扩容(1)可信检控管理(政法链路)(2台)指标项技术指标及参数集群化部署要求与XX厅原有安全访问通道政法链路
28、的可信检控控制服务器进行集群化部署基本参数2U机箱;冗余电源(550W)、24T硬盘;21Console口;标配N4*千兆电口;24个万兆光口。最大并发用户数21000,每秒新建连接数27000,每秒权限判定数23000标配国密卡,支持SMl、SM2、SM3、SM4国密算法,SM2签名(次/秒)12600,SM2验证(次/秒)24500,SM2密钥对生成(tps)10000,SMl加密/解密2IGbps,SM4加密/解密24GbPS可信应用检控集群管理可信接入检控集群的统一管理,统一配置管理维护配置管理可信接入检控集群,支持IP、端口、类型,启用/停用配置配置管理消息支持自动、手动两种类型分发
29、集群消息支持消息签名验证,保障消息传递安全消息推送传递失败后,记录状态,支持手动强制同步可信应用检控集群管理可信应用检控集群的统一管理,统一配置管理维护配置管理可信应用检控集群,支持IP、端口、类型,启用/停用配置配置管理消息支持自动、手动两种类型分发集群消息支持消息签名验证,保障消息传递安全消息推送传递失败后,记录状态,支持手动强制同步0Auth2标准支持支持标准0Auth2,须提供AuthorizationCode模式支持标准OAUth2,提供ReStAPI接口服务支持标准OAUth2,提供JAVA、PHP、Python.C/C+客户端SDK及DemoOIDC标支持标准OIDC开放身份协议
30、,提供IDToken身份令牌服务准支持支持标准OIDC开放身份协议,提供RestAPI接口服务支持标准OIDC开放身份协议,提供JAVA、PHP、Python.C/C+客户端SDK及DemoXACML标准支持可配置过滤RBAC角色,删减RBAC中不满足属性的权限基于属性的扩展授权协议,提供主体、客体授权策略配置环境属性配置支持:来源IP、设备系统、系统帐号配置可信环境感知:设备可信风险分等级设置用户管理提供用户、分组统一管理功能,包括用户信息增删改查用户信息备份导出、状态管理单个、批量添加,导入/导出用户及用户组,支持导入导出密码加解密支持按组、按用户选择认证服务器提供名字、密码、邮箱、电话等
31、属性设置,允许自定义用户属性、扩展字段支持强密码校验,首次登录强制修改密码功能用户/组可形成1比N归属,支持父组/子组之间继承支持用户按认证服务器、组织关系自动分组用户状态可设置:允许,锁定、禁止状态控制,支持认证失败次数、属性设定自动锁定用户状态资源管理支持API服务/API服务组两级分类资源配置,API组包含API服务列表支持APl用户、APl用户组两级分类资源配置,APl用户组支持父组/子组模式支持HTTP、HTTPS类WEB应用配置配置管理支持密码代填、Token传递、透传模式、代理模式四类WEB应用代理,提供产品功能相关证明材料支持GET、PoST方法设置,支持URLEnCOding
32、、JSON.FOrmat格式设置登录格式,支持用户标识URI、用户标识属性提取自定义设置。支持SSH、RDP、TELNET.VNC四类运维资源配置管理统一提供AppID、访问密钥管理配置,为各类资源提供认证、验签服务接口,提供产品功能相关证明材料。设备管理提供设备状态、可信风险属性的查询、管理。提供终端管理、状态查询功能,可按区域、状态过滤查询考虑兼容、对接、运维等因素,建议可信检控控制服务能与可信接入检控、可信应用检控等产品和组件为同一品牌。授权策略管理支持基于角色的授权策略配置,配置主体、客体角色授权支持基于属性的授权策略配置,可为角色授权提供属性条件过滤规则与控制提供可信环境风险、用户行
33、为分析、用户环境属性多维度的授权策略统一管理功能支持和授权服务联动通过授权服务的应用授权接口、API授权接口、运维授权接口等获取应用、API、运维业务权限列表支持权限变更订阅支持订阅授权服务的权限变更服务,以便实时获取最新权限授权判定与执行支持为可信接入检控、可信应用检控、可信运维代理提供实时的访问权限判定代理连接会话管理支持为可信接入检控、可信应用检控、可信运维代理提供集中的代理连接会话管理用户会话服务提供用户会话自动创建、维护、销毁全生命周期管理用户会话状态查询、状态控制功能用户会话支持分布式、持久化机制,全局生效,宕机自恢复访问令牌服务提供用户令牌、应用令牌、API令牌的申请、颁发、撤销
34、、同步等安全访问控制机制支持三级令牌管理:用户、应用、APl三级令牌的全生命周期管理令牌转换服务:提供OlDC、SAMLOAUCh2令牌转换服务动态访提供动态策略评估引擎,动态计算用户、行为、风险、环境等安全因子,持问控制引擎续完成用户、设备、应用的可信状态评估,具备一种基于用户的安全访问控制的方法,提供相关证明。引擎提供对外ReStAPl标准接口,可完成内部、外部授权访问的动态评估支持数据库、NoSQL库、策略、设备、用户信息外部资源信息查询支持XACML标准、JSON格式,自定义属性、类型引擎决策系统具备多核多平台并行安全操作系统。支持硬件或微服务扩展。设备属性跨级汇聚支持部、省、市三级的
35、设备属性自动汇聚、上报设备可信状态属性自动汇聚部级管理可设置、过滤感知部分省、市级风险省级管理可设置、过滤感知省级、市级风险各级设备可信状态属性可在统一管理平台查询可信风险通报风险通报实现将异常信息通报给统一身份与权限管理。异常信息包括:终端异常、违规操作等。支持统一多级式风险感知与通报。XXPKICA证书双向认证支持可信CA导入/导出管理,支持PEM/DER/PCKS7证书格式导入支持双向证书认证机制提供证书CRL撤销列表、OPCS撤销同步机制提供证书过滤、用户/组织关系、用户名+证书多重认证开启功能RADIUS认证支持监听地址、端口、超时、PAPCHAPMS-CHAPvlMSYHAPv2协
36、议支持NAS配置管理,支持每个NAS配置不同密钥支持RADIUS验证多种模式:密码+动态口令、前缀模式、后缀模式、ChaIlenge模式认证AD认证&LDAP认证支持LDAP认证,支持CIientBaSeDN设置及认证支持LDAP协议的查询、认证指令支持WindOWSIWA统一认证,支持用户通过IWA机制自动认证、免密登录其它第三方认证协议支持数据库用户名、密码认证:配置数据库、登录名、表、行列支持PoP3、SMTP、IMAP三种邮件协议、服务器设置,支持邮件帐号密码认证支持HTTP认证:IP、端口、URL、用户、密码及HTTPReSPOnSe检测认证支持短信认证:短信网关设置、单次短信有效时
37、间、发送超时、短信提示模板、验证失败次数配置单点登录SSO提供单点登录令牌认证服务提供SSO共享、不共享配置及策略控制支持密码代填、Token验证两类SSo机制支持单点登出、登出过程自定义流程控制功能可靠性支持3台以上分布式集群。统一管理门户,支持用户会话、应用、APl多级令牌持久化支持统一存储、分布式缓存及状态监控支持一键集群自动安装,分布式安装、升级、启停业务日志审计要求拥有高性能的syslog日志处理和存储方法技术,要求提供相关技术文件复印件。提供用户登陆日志、用户操作日志、系统运行日志等信息采集、管理及审计,并支持日志服务器上报。本地存储空间支持审计日志本地留存6个月以上。(2)可信检
38、控管理(2台)指标项技术指标及参数集群化部署要求与原有安全访问通道数据域链路的可信检控管理系统进行集群化部署基本参数2U机箱;冗余电源(550W)、24T硬盘;1Console口;标配24*千兆电口;24个万兆光口。最大并发用户数21000,每秒新建连接数27000,每秒权限判定数23000标配国密卡,支持SMl、SM2、SM3SM4国密算法,SM2签名(次/秒)12600,SM2验证(次/秒)24500,SM2密钥对生成(tps)10000,SMl加密/解密2IGbps,SM4加密/解密24GbPS可信接可信接入检控集群的统一管理,统一配置管理维护入检控集群管理配置管理可信接入检控集群,支持
39、IP、端口、类型,启用/停用配置配置管理消息支持自动、手动两种类型分发集群消息支持消息签名验证,保障消息传递安全消息推送传递失败后,记录状态,支持手动强制同步可信应用检控集群管理可信应用检控集群的统一管理,统一配置管理维护配置管理可信应用检控集群,支持IP、端口、类型,启用/停用配置配置管理消息支持自动、手动两种类型分发集群消息支持消息签名验证,保障消息传递安全消息推送传递失败后,记录状态,支持手动强制同步0Auth2标准支持支持标准0Auth2,须提供AuthorizationCode模式支持标准OAUth2,提供RCStAPl接口服务支持标准OAUth2,提供JAVA、PHP、Python
40、C/C+客户端SDK及DemoOIDC标准支持支持标准OIDC开放身份协议,提供IDJoken身份令牌服务支持标准OIDC开放身份协议,提供RestAPI接口服务支持标准OIDC开放身份协议,提供JAVA、PHP、Python.C支+客户端SDK及DemoXACML标准支持可配置过滤RBAC角色,删减RBAC中不满足属性的权限基于属性的扩展授权协议,提供主体、客体授权策略配置环境属性配置支持:来源IP、设备系统、系统帐号配置可信环境感知:设备可信风险分等级设置用户管理提供用户、分组统一管理功能,包括用户信息增删改查用户信息备份导出、状态管理单个、批量添加,导入/导出用户及用户组,支持导入导出密
41、码加解密支持按组、按用户选择认证服务器提供名字、密码、邮箱、电话等属性设置,允许自定义用户属性、扩展字段支持强密码校验,首次登录强制修改密码功能用户/组可形成1比N归属,支持父组/子组之间继承支持用户按认证服务器、组织关系自动分组用户状态可设置:允许,锁定、禁止状态控制,支持认证失败次数、属性设定自动锁定用户状态资源管理支持API服务/API服务组两级分类资源配置,API组包含API服务列表支持APl用户、APl用户组两级分类资源配置,APl用户组支持父组/子组模式支持HTTP、HTTPS类WEB应用配置配置管理支持密码代填、Token传递、透传模式、代理模式四类WEB应用代理,提供产品功能相
42、关证明材料支持GET、POST方法设置,支持URLEnCOding、JS0NFonnat格式设置登录格式,支持用户标识URI、用户标识属性提取自定义设置。支持SSH、RDP、TELNET、VNC四类运维资源配置管理统一提供AppID、访问密钥管理配置,为各类资源提供认证、验签服务接口,提供产品功能相关证明材料。设备管理提供设备状态、可信风险属性的查询、管理。提供终端管理、状态查询功能,可按区域、状态过滤查询考虑兼容、对接、运维等因素,建议可信检控控制服务能与可信应用接入代理、可信应用检控等产品和组件为同一品牌。授权策略管理支持基于角色的授权策略配置,配置主体、客体角色授权支持基于属性的授权策略
43、配置,可为角色授权提供属性条件过滤规则与控制提供可信环境风险、用户行为分析、用户环境属性多维度的授权策略统一管理功能支持和授权服务联动通过授权服务的应用授权接口、API授权接口、运维授权接口等获取应用、APK运维业务权限列表支持权限变更订阅支持订阅授权服务的权限变更服务,以便实时获取最新权限授权判支持为可信接入检控、可信应用检控、可信运维代理提供实时的访问权限判定与执行定代理连接会话管理支持为可信接入检控、可信应用检控、可信运维代理提供集中的代理连接会话管理用户会话服务提供用户会话自动创建、维护、销毁全生命周期管理用户会话状态查询、状态控制功能用户会话支持分布式、持久化机制,全局生效,宕机自恢
44、复访问令牌服务提供用户令牌、应用令牌、API令牌的申请、颁发、撤销、同步等安全访问控制机制支持三级令牌管理:用户、应用、APl三级令牌的全生命周期管理令牌转换服务:提供OlDC、SMLOAUeh2令牌转换服务动态访问控制引擎提供动态策略评估引擎,动态计算用户、行为、风险、环境等安全因子,持续完成用户、设备、应用的可信状态评估,具备一种基于用户的安全访问控制的方法,提供相关证明。引擎提供对外ReStAPl标准接口,可完成内部、外部授权访问的动态评估支持数据库、NoSQL库、策略、设备、用户信息外部资源信息查询支持XACML标准、JSON格式,自定义属性、类型引擎决策系统具备多核多平台并行安全操作系统。支持硬件或微服务扩展。设备属性跨级汇聚支持部、省、市三级的设备属性自动汇聚、上报设备可信状态属性自动汇聚部级管理可设置、过滤感知部分省、市级风险省级管理可设置、过滤感知省级、市级风险各级设备可信状态属性可在统一管理平台查询可信风险通报风险通报实现将异常信息通报给统一身份与权限管理。异常信息包括:终端异常、违规操作等。支持统一多级式风险感知与通报。XXPKICA证书双支持可信CA导入/导出管理,支持PEM/DER/PCKS7证书格式导入支持双向证书认证机制向认
