1.1. 采购需求:
为解决行内边界访问安全管控需求。基于现有的终端管控客户端,最终实现多场景接入管控,通过基于身份的访问控制,来应对边界模糊化带来的控制力度粗,有效性差的问题,以此达到保护我行数据安全的目的。通过基于终端识别设备类型,精细化场景做到个人设备接入及行内管控终端接入不同应用权限分配。
通过建立可信任终端、可信任通道、可信任应用,在终端、传输通道、应用三者之间构建一个专有的、集中管控的、安全的闭环体系,实现端到端的安全环境,防止敏感数据外泄,确保我行内部应用和数据的安全。
要求与我行现有的终端安全管理系统整合,客户端界面统一。
1.2. 技术要求:
1.2.1 采购内容
零信任接入系统一套
包含全行使用授权,管理后台及网关要求双中心部署,同时包含兴业数金单独部署。
1.2.2 功能要求
|
类别 |
功能分类 |
指标项 |
技术要求 |
|
整体要求 |
部署架构 |
整体方案由一体化客户端、零信任安全网关、管理平台(SDP管理平台)组成,要求对接现有终端管理平台,纳入统一管控; |
|
|
零信任管理平台、零信任安全网关,来自同一品牌,非OEM产品; |
|||
|
零信任管理平台(SDP管理平台)支持水平扩展集群部署(重要模块支持分离部署)、分布式部署;零信任安全网关支持水平扩展集群部署、分布式部署; |
|||
|
要求支持双中心部署架构,福建及上海同时部署,应对本地不同的应用; |
|||
|
统一管理 |
管理平台支持PC、移动终端远程接入一体化防护; |
||
|
业务保障 |
要求提供一键逃生功能,保障业务系统的可持续性 |
||
|
系统对接 |
要求与行内统一身份认证系统、EDIP系统、终端安全管理系统对接,实现用户认证、组织架构同步等功能; |
||
|
客户端 |
部署架构 |
无客户端部署 |
行内终端设备,不增加客户端的情况下实现互联网远程接入及业务访问功能,支持Windows11操作系统、科创操作系统 |
|
有客户端部署 |
行外员工个人电脑支持Windows11操作系统、科创操作系统、Mac操作系统 |
||
|
智能接入 |
智能接入 |
需要配合现有终端网络准入系统,实时感知客户端所处环境(企业网/非企业网)并自动选择接入方式:当终端在企业内网接入时,客户端通过802.1x方式以及零信任接入认证,用户只需输入一次用户名密码便可实现双重认证,或仅802.1X的方式实现在内网的认证。当终端在互联网侧接入时,通过零信任网关进行零信任接入认证; |
|
|
网络接入 |
网络接入 |
需要配合现有终端网络准入系统,支持在企业网时,仅开启网络准入; |
|
|
需要配合现有终端网络准入系统,支持企业网同时开启网络准入和零信任网络访问,开启后,终端处于企业网时,展示一体化流程,即先进行准入获取内网IP后,在通过SDP进行业务访问,此时准入不支持双因素认证; |
|||
|
认证方式 |
支持多种认证方式,对于行内设备实现免登陆效果。包括现有账号认证、支持微办公扫码认证(微办公)、短信认证; |
||
|
安全检查 |
提供多种安全检查功能,包括软件安装、补丁更新、防病毒软件、密码策略检查等 |
||
|
业务隐身 |
单包认证 |
支持基于UDP协议的单包认证 |
|
|
SPA服务隐身 支持SPA,在客户端与服务器建立连接前进行身份预认证,实现TCP端口隐藏 |
|||
|
支持管理员在管理后台自定义设置SPA超时时间 |
|||
|
支持SPA白名单配置 |
|||
|
支持SPA-NAT功能 |
NAT环境下支持SPA对单个用户开放 |
||
|
自动SPA认证 |
支持预置SPA认证账号 |
||
|
支持使用准入控制账号认证的用户名密码自动进行SPA认证 |
|||
|
业务动态授权 |
可信认证 |
支持通过设置可信认证增强用户身份安全校验 |
|
|
处置方式 |
支持直接放行所有业务 |
||
|
支持放行某些指定安全等级的业务 |
|||
|
支持禁止访问所有业务 |
|||
|
支持禁止访问指定安全等级应用 |
|||
|
支持强制下线当前用户 |
|||
|
动态授权 |
支持根据终端环境动态授予用户应用访问权限,处置动作有:增强型可信二次认证、允许访问/禁止访问所有业务或者某些等级以下业务,支持仅强制下线以及强制下线并禁用账号 |
||
|
可信二次认证方式支持无需可信认证、账号认证、短信认证 |
|||
|
统一业务门户 |
多门户应用 |
提供统多门户,实现双中心不同应用访问 |
|
|
代理应用 |
提供统一门户,展示代理的业务应用,支持关键字搜索 |
||
|
直连应用 |
提供统一门户,展示直连的业务应用,支持关键字搜索 |
||
|
一键修复环境 |
支持展示终端当前安全评分,并提供一键修复按钮 |
||
|
终端网络隔离 |
支持网络隔离 |
支持多个网络之间隔离,同一终端同一时间只能访问一张网,且只能访问当前网络下指定的应用系统(IP,域名,通信协议,端口和IP地址段) |
|
|
支持多个网络之间互相一键便捷切换 |
|||
|
支持会话隔离 |
支持每个终端访问当前应用时采用唯一会话 |
||
|
水印及审计追溯 |
明文水印 |
支持自定义的明文水印、矢量水印、二维码水印、截屏盲水印等 |
|
|
水印追溯 |
支持二维码水印:通过二维码扫描工具进行追溯; |
||
|
支持屏幕矢量水印:通过点阵图与系统编码表对比进行追溯; |
|||
|
支持盲水印:通过系统上传图标自动识别进行追溯; |
|||
|
应用水印 |
支持基于不同的应用触发不同水印方案; |
||
|
禁止截屏 |
截屏时屏幕显示黑色遮罩; |
||
|
管理后台 |
认证及组织架构管理 |
身份验证 |
支持Radius认证 |
|
支持与EAIP系统进行对接,实现用户统一身份认证。 |
|||
|
组织架构管理 |
支持与EDIP系统进行对接,实现组织架构同步; |
||
|
支持手工维护组织架构部门和成员信息,允许通过导入导出操作进行批量维护、多级部门管理与维护、用户账户生命周期管理 |
|||
|
支持按组织架构绑定虚拟IP段,并且支持使用虚拟IP进行代理; |
|||
|
单点登录SSO |
提供单点登录令牌认证服务 |
||
|
支持Token验证的SSO机制 |
|||
|
支持单点登出、登出过程自定义流程控制功能 |
|||
|
用户及设备统一运维 |
在线用户与设备管理 |
支持对在线用户与设备进行强制下线 |
|
|
支持查看用户应用流量统计详情,包括数据总览应用流量统计、应用隧道控制 |
|||
|
支持用户自助解绑访问设备 |
|||
|
应用发布及运维 |
应用统一展示 |
支持应用分类展示、并支持列表形式展示,可在门户按照应用名搜索应用,支持管理员对应用图标进行个性化定制 |
|
|
支持应用批量导入导出 |
|||
|
应用安全发布 |
支持B/S和C/S架构应用安全发布、TCP协议和UDP协议业务应用代理、支持泛域名 |
||
|
支持根据IP、IP段、端口、端口范围发布应用系统 |
|||
|
支持应用发布审核流程,由应用主管部门的管理员提交应用基础信息后提交应用上架申请,由上级管理员对上架申请的应用信息进行审核发布 |
|||
|
安全审计 |
审计信息 |
支持认证审计,包含用户登录成功、失败,设备信息详情;用户接入业务系统名称,访问时间,使用流量 |
|
|
应用访问审计,包含访问时间、用户名、访问应用名称、访问结果、IP |
|||
|
支持管理员操作审计,包含管理员名称、主机IP、时间、管理员行为、对象 |
|||
|
syslogsnmp |
支持使用syslog日志监控服务,支持使用snmp获取设备资源监控 |
||
|
审计日志清理 |
支持管理端审计日志自动清理 |
||
|
管理员管理 |
三权分立 |
支持安全管理员、系统管理员、审计管理员三个角色 |
|
|
分级管理 |
支持安全管理员、系统管理员以及审计管理员分二级管理员管理 |
||
|
系统运维 |
普通账号运维 |
进程使用非root账号运行,支持使用非root账号重启服务,使用非root账号升级KB,文件用户和用户组为emm(删除用户和用户组为root的文件不影响功能) |
|
|
备份配置与恢复 |
支持备份配置文件,并支持导出和恢复; |
||
|
系统告警 |
提供用户越权访问监控、系统服务监控、用户异地登录登录监控、用户重放攻击监控、新设备登录监控、集群节点监控、系统磁盘监控以及告警历史记录查询 |
||
|
安全网关 |
指定网关接入 |
指定网关接入 |
支持发布应用选择指定的网关区域,根据业务位置,不同应用默认指定不同的网关进行访问 |
|
终端流量管理 |
终端流量管理 |
支持限制用户上下行带宽 |
|
|
支持国际标准协议 |
支持国际标准协议 |
支持标准TLS1.0/TLS1.1/TLS1.2和SSLv3/v2协议 |
|
|
会话协商 |
会话协商 |
支持TLS会话自动重协商 |
|
|
国密(软) |
国密(软) |
客户端跟网关通信采用国密,支持国密算法 |
|
|
中国商用密码 |
中国商用密码 |
客户端跟网关通信可采用硬件国密加密卡,支持国密算法 |
|
|
应用级安全通道 |
应用级安全通道 |
支持每个应用建立单独的通道 |
|
|
支持应用级安全加密隧道 |
支持应用级安全加密隧道 |
支持每个应用单独建立安全加密隧道,并且在管理后台可对指定应用隧道进行开启/关闭操作,不影响其它应用访问 |
|
1.3. 服务要求:
1.3.1.安装调试服务
本项厂商需要提供产品配送、现场实施调试和操作培训等服务,帮助最终用户完成产品的快速上线和使用,保证产品的可用性和技术知识转移;需提供完善的项目迁移实施方案,内容应包括项目组织架构、团队人员构成、迁移技术方案、迁移影响面评估、回退方案等。其中项目实施团队至少应包含2名具备3年或以上的该产品实施经验的实施工程师,且上述工程师应为本项目实施团队的固定人员。
包含总行双中心实施以及兴业数金的实施。
1.3.2.策略调优服务
策略优化工作在总行现场实施,针对系统安全及性能做调优工作。
1.3.3.巡检服务
至少每半年一次对最终用户所购产品进行现场巡检服务,及时发现并解决问题,并提交相应巡检报告。
1.3.4.产品升级服务
应提供服务对象软件版本优化持续升级服务。
1.3.5.远程及现场支持服务
(1)7x24小时电话支持服务
我方若对设备、技术有疑问或发现系统有故障时,厂商需要为用户提供7×24 小时的热线电话技术支持服务。
(2)现场支持服务
在我方特殊时段和出现紧急事件时提供现场支持服务,包括但不限于网络架构调整、突发安全事件、产品软件版本变更过程出现异常等情形。该项服务原则上应免费提供。
1.3.6.产品故障服务
对我方提出的预防性维修要求应在2小时内做出实质性反应,对我方提出的故障性维修要求应在20分钟内做出实质性反应,并及时解决系统运行中的问题。
在确认产品故障之后,如电话支持不能解决问题时,厂商需派技术人员到我方现场提供技术支持服务。如果我方分支机构所在地有厂商分支机构,则要求技术支持人员在2小时内到达我方现场,其他情况要求根据实际交通工具和交通情况以最快的速度到达故障现场。
系统运行过程中如果出现技术故障(如硬件故障、软件故障、配置丢失等)或与其他设备发生冲突,厂商应保证对我方提供3小时内解决此类问题的应急方案,以排除故障使系统得以正常运行。
1.3.7.产品培训服务
提供一次对我方总、分行及子公司相关人员的产品使用培训服务,时间地点由我方确定,厂商提供培训讲师及培训讲师的交通食宿费用。
1.4. 供应商资质要求:
1.4.1.企业成立3年以上,财务稳健,2021-2023年至少两年保持盈利,可稳定提供服务。
1.4.2.具备银行业终端安全项目经验,具有2021-2023年期间与12家股份制、6大国有银行、人民银行或银联合作开展关于零信任接入或终端安全远程接入产品项目的成功案例。
1.4.3.具备ISO 9001质量管理体系认证、ISO 27001信息安全管理体系认证等证书。
二、报名要求 三、征集时间
2.1在兴业银行开立对公账户,若中标本项目,则通过兴业银行对公账户结算该项目相关费用。
2.2充分理解我行服务需求并能够根据需求提供相应的服务。
2.3应具有良好的商业信誉和健全的财务会计制度。
2.4未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“中国执行信息公开网”列入“失信被执行人名单”、未被“中国政府采购网”列入“政府采购严重违法失信行为信息记录名单”、未被“国家企业信用信息公示系统”列入网站“严重违法失信企业名单”、在参加本次采购活动前3年内未出现重大违法违规行为,近三年在我行无不良行为记录,不在兴业银行供应商禁用/退出期内。
本次供应商征集自即日起至2024年1月19日23:59止。
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:张培
电话:010-53658120
手机:13718359801 (欢迎拨打手机/微信同号)
邮箱:zhangpei@zbytb.com
