序 号

项目名称

需求

预算（万元）

备 注

1

移动终端安全管理系统

1、▲性能参数：最大理论加密流量（Mbps）≥500，最大理论并发用户数≥600，最大理论https并发连接数（个）≥16000，理论https新建连接数（个/秒）≥80。

2、▲硬件参数：规格≥1U，内存大小≥8G，硬盘容量≥128G SSD，电源：单电源，接口≥6千兆电口+2千兆光口SFP。本次接入授权≥300。

3、★为了不改变员工原有使用习惯，保障员工的使用体验，需支持以下主流浏览器访问WEB资源：

1）、支持IE8及以上版本浏览器访问WEB资源

2）、支持Chrome 69及以上版本访问WEB资源

3）、支持Edge、Firefox、Opera、Safari等其他主流浏览器访问WEB资源

4）、支持微信内置浏览器、钉钉内置浏览器访问WEB资源

5）、支持Android、iOS各大手机厂商的自带浏览器访问WEB资源

6）、支持国产操作系统浏览器接入并访问WEB资源（以上要求提供产品功能界面截图证明）

4、★为满足单位多样化安全便捷认证需求，控制中心在不需要额外搭建认证平台、认证组件的情况下便可支持以下认证方式：本地账号密码认证、LDAP/AD认证、OAuth2.0标准协议的票据认证、CAS标准协议的票据认证、证书认证、HTTP(S)短信认证、腾讯云短信网关、阿里云短信网关、标准Radius令牌认证、本地OTP动态令牌认证等认证方式，并可与企业微信、阿里钉钉结合实现扫码认证。（要求提供产品功能界面截图证明）

5、控制中心应支持与外部用户管理服务器进行对接，包括LDAP用户目录、企业微信用户目录、（以上要求提供产品功能界面截图证明）

6、★为满足组织灵活的管理要求，支持配置动态访问规则，可配置化的ACL规则引擎，可以灵活地将终端环境、用户身份、处置动作等进行配置，为单位不同业务不同部门提供灵活丰富的访问控制策略：

1）、动态访问控制策略可指定适用用户范围和排除用户，可指定适用应用；

2）、动态访问控制策略支持针对操作系统单独设定访问控制策略，操作系统需包括Windows、Mac OS、iOS/Android；

3）、动态访问控制策略支持“与”、“或”条件嵌套，可支持应用信息、端点信息、用户信息、内置变量进行条件设置；

4）、动态访问控制策略支持灵活的处置动作，包括阻止访问、注销登录、锁定账号，并可基于处置动作自定义提示语；

5）、当用户不满足访问控制条件时，可提供豁补救动作，补救动作包括：增强认证、安全警示等，且可设置灰度处置的时间范围（以上要求提供产品功能界面截图证明）

7、支持在登录上线后，持续、动态检测终端环境安全，不符合后注销用户或锁定用户，便于及时定位并响应终端威胁（以上要求提供产品功能界面截图证明）

8、★支持基于不同的应用，针对用户信息设定访问控制策略，包括：是否为授信终端；访问应用进程的信任状态；接入的网络区域；是否为异常时间段登录；是否为授信域环境；是否为异地登录；是否为弱密码登录（以上要求提供产品功能界面截图证明）

9、★由于单位业务系统众多，员工权限交错复杂，需零信任平台提供权限梳理基本能力，帮助排除零信任建设障碍，且须支持应用采集、试运行、正式运行等多个阶段的梳理支持。（以上要求提供产品功能界面截图证明）

10、★采集阶段，可将用户与应用之间的关系可视，并提供权限确认机制验证权限有效性。基于身份化流量分析方式将权限可视，解决人工梳理导致的耗时长、难实现的问题；试运行阶段，能够不中断用户访问业务，提前试运行，并在该阶段对权限结构进行调优，以避免正式上线后，大面积影响用户访问业务。在此期间，用户均可以访问业务，未授权用户可以通过提交"访问理由"继续访问业务；正式运行阶段，进行智能权限梳理后，可将权限规范化，并正式上线。在此期间，只有有权限的用户才能访问业务系统。

（以上要求提供产品功能界面截图证明）

10、★SPA：为了最大程度缩小网络、业务暴露面，零信任平台需提供SPA（单包授权机制），即可支持所有用户都必须安装安全专属客户端，经过SPA鉴权之后才能够访问认证登录界面，支持配置源IP地址白名单，白名单内的IP可正常访问。（以上要求提供产品功能界面截图证明）支持设备证书管理、域名证书管理，便于运维。

为了满足单位有序平滑、推广零信任接入，需支持零信任客户端的按需灰度升级。

11、★支持控制台配置灰度升级策略（仅为升级推广策略配置，并非强制升级策略；策略支持每日升级上限、升级客户端总数、升级持续时间条件）；支持查看灰度升级进度：（近七天客户端灰度升级数量、客户端升级数量占比）；支持灰度升级状态自动从灰度升级转换为全面升级（以上要求提供产品功能界面截图证明）。

12、防爆破：支持配置同名用户连续登录错误超过上限时锁定账号，并于指定时长后自动恢复；支持配置同IP用户连续登录错误超过上限时锁定IP，并于指定时长后自动恢复（以上要求提供产品功能界面截图证明）；

13、提供售后服务体系ISO9001认证证书；

14、为保障软件开发质量，要求厂商具有CMMI5级认证证书，提供证明材料；

15、具备国家版权局颁发的《计算机软件著作权登记证书》，提供证明材料

▲中标后提供原厂商盖章授权函及售后服务承诺书

标有“▲”的为实质性参数，不可偏离，否则视为无效标；标有“★”的为重要性参数指标或要求。

10

院

内

招

标

2

准入控制系统

1、▲基于linux开发的专用系统，标准机架式硬件产品，所有功能基于一台设备即可实现，无需额外购买服务器、操作系统及数据库等中间件，具有独立自主知识产权，要求系统要求符合公安部终端接入控制标准（GA/T1105-2013）起草厂商（提供相关证明材料），产品功能必须是以准入控制为核心功能，任何非以准入控制为核心的产品一律否决。（提供相关证明材料，并加盖原厂公章）

2、1U机架结构；标准配置单电源；标准配置6个1000MBASE-T接口，可配置1个接口卡每秒事务数（TPS)：≥1200（次/秒），最大吞吐量：≥900Mbps，最大并发连接数：1200（条）；支持600个授权。

3、支持热备、负载均衡部署。提供监控软件对系统平台服务状态进行实时监控评估，触发关键事件时接管准入系统并提供指定服务。

4、支持策略路由、端口镜像、透明网桥、802.1X、ARP、DHCP、VLAN隔离准入技术；支持多种技术同时启用。VLAN隔离技术须支持无客户端下端口级准入效果，不得改变现有网络环境；此技术须支持对小路由、hub的管理实现颗粒度管控，不得采用全禁全放的方式。为避免不同VLAN隔离后可通信，VlAN隔离技术需支持一个正常VLAN对应一个隔离VLAN的方式。单台准入设备可支持至少4路策略路由准入控制，支持至少4个镜像口进行准入控制，支持至少2种准入技术组合使用，以增强环境的兼容性。（提供截图，加盖原厂公章）

4、准入设备应至少提供安全客户端（Agent）、浏览器控件、无客户端等多种模式；提供Windows、linux、MAC OS、安卓、IOS、国产操作系统专属客户端及APP，Windows客户端非802.1x准入技术下安装包需小于5M、内存占用小于40M。（提供相关证明材料，并加盖原厂公章。客户端支持自定义菜单栏及终端用户故障诊断，诊断过程支持录屏，诊断结果支持一键压缩打包。

5、自动发现网络中连接的NAT设备，包括NAT设备的IP/MAC地址、所在交换机和连接的端口；可自动判断NAT设备下连接的终端类型。（提供公安部计算机信息系统安全产品质量监督中心检测报告中的功能性认定截图，加盖原厂商公章。支持通过SNMP、SSH、TELNET等方式对交换机进行管理，可绘制出交换机网络拓扑图并采集交换机的信息，包括但不限于接口是否连接、接口类型、接口下设备类型、数量 及接口开闭的情况。（提供公安部计算机信息系统安全产品质量监督中心检测报告中的功能性认定截图，加盖原厂商公章。

5、支持用户名密码、Ukey、指纹等认证方式，支持与AD域、LDAP联动。支持基于时间、ip地址段开启认。支持设置来宾专属地址段。▲来宾入网提供二维码、来宾码、自助申请（管理员审批）多种方式。（提供产品截图加盖厂商公章）与AD域联动支持单点登录；支持管理员自定义域信息属性到认证设备，包括但不限于用户姓名、部门、联系电话等。

6、支持IE控件、IE主页、操作系统版本、磁盘使用、计算机开关机、计算机名称、垃圾文件、服务端口、网络连接、系统时间、远程桌面、主机防火墙、p2p软件、软件黑白名单、黑白进程、系统服务、Guest来宾账户、密码策略、屏幕保护 、弱口令、共享检查。支持主流的杀毒软件版本、病毒库和运行情况的检查，包括但不限于微软MSE、火绒、安天、天融信、赛门铁克、瑞星、卡巴斯基、金山毒霸、江民、NOD32、360、天擎、趋势、小红伞、可牛、Avast等，支持自动修复功能。（提供产品功能截图），安检规范支持评分、自动修复。远程协助：支持管理员或终端用户双向发起远程协助。

7、可设置策略非存储介质自动放行。管理员可以通过对存储介质注册、授权的方式来加强管理存储介质的使用范围和权限，并支持存储介质分区加密。未经标识的存储介质将不能在企业内使用。针对不同注册状态的存储介质制定不同的控制策略，能够对存储介质进行只读、禁用、放行、脱机生效以及时间范围等做精细控制。所有的流程在线完成。终端用户在线申请，管理员在线审批及策略下发；

8、▲能与区卫健局、区人民医院网络准入系统信息共享同步，包括但不限于资产信息同步、统一认证同步、告警同步、双机热备等提供相关证明；能够与主流动态口令认证系统相结合，提供动态密码联动认证机制。支持与国内外主流U-Key联动认证。

9、产品获得公安部《计算机信息系统安全专用产品销售许可证》；

10、产品获得国家保密局《涉密信息系统产品检测证书（接入控制系统）》和国家版权局《计算机软件著作权登记证书》；

11、产品获得中国国家信息安全产品认证证书；

12、甲方有权对功能进行测试验证，恶意应答将会视为失信行为，除被拒绝外甲方保留追责的权利。

标有“▲”的为实质性参数，不可偏离，否则视为无效标。

12

院

内

招

标