中邮消费金融有限公司网络安全管控升级项目招标答疑纪要

正文内容

中邮消费金融有限公司网络安全管控升级项目（招标编号：ZTJS-002968-202504-0010） 招标答疑纪要 各投标人：     凡招标文件与本答疑纪要文件不一致之处，以本答疑纪要文件为准。本纪要作为招标文件的一部分，各投标人应仔细阅读本纪要，认真编制投标文件。本项目对各投标人提出的疑问解答如下：   一、澄清答疑内容： 《附件 1:中邮消费金融公司网络安全管控升级项目技术规范书》中需要澄清的点如下： 1. 6.2.6 SPA 敲门机制 需提供单包授权能力(SPA)，支持 UDP+TCP 组合的单包授权技术，未授权用户无法连接零信任设备，无法扫描到服务端口。 ---该条内容具有较强的指向性嫌疑，UDP+TCP技术并不是最优技术路线为什么规范书中一定用指定用该技术?该技术在一定程度上还存在敲门放大技术问题 原因如下： UDP+TCP 技术敲门,控制器开放一个公网 UDP 端口和一个公网 TCP 端口，该方式敲门并非最优技术路线,存在敲门放大的技术问题,该技术方式 TCP端口默认不对任何源IP开放，只有 UDP 敲门成功后,才会放行客户端所在的源IP 访问 TCP 端口的权限(在一段时间内（一般放行几十秒)可以访问此 TCP 端口)，在放行期间，因为同一个网络下(如同一WIFI下)经过 SNAT后,所有用户的出口 IP 是相同的,都使用了同-个源!P,如果这个网络中恰好存在恶意攻击者,那么这个攻击者无需 UDP 敲门,也可以直接访问和攻击 TCP 端口，因此该技术不是最优敲门技术指向性较强。 零信任网关采用纯 UDP 协议敲门技术更安全更优： 将敲门包和认证数据包融合，同时通过 UDP 端口传输给控制器，控制器无需开放任何 TCP端口，只有零信任客户端发的符合协议且认证通过后(UDP端口默认丢弃一切数据包，不给响应)，才会给客户端响应，并且给客户端发放网关的公钥证书，客户端使用网关的公钥证书和自己的私钥才能和网关进行通信协商,协商通过后才能和网关进行通信,即使恶意攻击者和正常用户在同一网络下，也无法访问和攻 UDP 端口，纯 UDP 协议不存在敲门放大问题技术上安全性更高 答：本项目需覆盖①公司自有人员、外部合作机构人员通过终端远程访问贷后检查等内部B/S生产系统的场景； ②公司自有人员、驻场外包人员通过终端访问远程C/S、B/S架构桌面云等应用场景； ③公司自有人员、驻场外包人员通过终端访问飞邮（定制版飞书）SaaS云文档以及工作协同、人力、财务等内部办公系统的场景。 上述场景需支撑有客户端及无客户端的授权用户接入下开展对应场景安全管控，仅通过UDP一种方式无法满足无端（客户端）管控场景下的授权用户接入使用。 因此“需提供单包授权能力（SPA），支持UDP+TCP组合的单包授权技术，未授权用户无法连接零信任设备，无法扫描到服务端口。（提供系统截图证明）”，请按技术规范书进行应答。 2. 6.5.13 与 6.7.17 这两点功能重复： 6.5.13  IPv6 兼容性  甲方部分生产应用已支持IPv6，需支持对Ipv6网络进行以上独立策略管控 6.7.17  IPv6兼容性  支持对 IPv4 和 IPv6 双栈策略控制 支持对 IPv6 网络独立策略控制 ---存在功能重复描述，需要解释下。 答：6.5.13和6.7.17分别对应“应用隔离”和“PC沙箱空间管理”两项功能，请按技术规范书进行应答。     二、原招标公告和招标文件的其他内容不变。   中邮消费金融有限公司      中通建设工程管理有限公司2025年5月12日