绿城中国零信任安全接入平台项目

正文内容

（编号：GTH****-**** 模**） 零信任安全接入平台 项目招标公告 一、招标项目 绿**国 零信任安全接入平台 项目 二、建设背景与建设内容 *、项目背景： 当前集团多数核心业务系统部署在公有云上，为方便业务快速开展将业务系统直接映射在互联网上，网络边界逐渐模糊，随之带来更多安全风险。结合绿城信息安全发展现状，存在业务系统互联网暴露严重、多套身份源安全标准不一致、终端安全能力薄弱、缺乏动态访问控制能力等问题。 *、建设内容： *.* 建设目标： （*）搭建零信任安全接入平台，该平台作为办**全和数据安全的统一管理平台，能够提供统一的控制台供管理员完成配置和管理； （*）收缩业务系统互联网暴露面，应用无需改造，在接入零信任平台后可实现对外不暴露任何业务端口和服务； （*）加强数据传输安全，支持TLS、国密等多种加密算法，为无端/有端模式下的系统访问提供加密通道； （*）用户通过PC端/移动端访问业务系统时，无需安装客户端，也可提供便捷、稳定、安全的办公访问模式，不改变原有访问习惯、访问过程无延迟； （*）实现多个身份源、认证源的统一管理，支持现有CAS/AD/绿城通的同时认证，提供短信验证、动态码等多种多因素认证方式； （*）可根据不同组织配置不同的访问权限，能够实现url 级别的精细化和动态权限管理，并能够实现审计和拦截； （*）后台控制粒度精细化，多维度下发策略，支持敏感数据识别，安全日志审计，具有系统明暗水印功能、文件下载拦截等数据安全能力； （*）具备终端一体化管理的扩展能力，如零信任访问、终端准入、杀毒、桌管、数据防泄漏等多个模块，用户只需安装一个客户端即可使用所有功能，也可基于组织架构分配不同的模块权限。 *.* 具体需求详见附件《零信任安全接入平台项目招标需求》。 *.* 在开标日期前，需与招标方核对详细项目需求并完成产品POC。 三、报名参加投标的供应商应符合下列条件 *、资格条件： A）投标人为中华人民**国境内注册具有独立法人资格的公司，人员规模** 人以上； B）注册资金在人民币****万元及以上（或等值外币）； C）具备：*）ISO****质量体系认证；*）ISO*****信息安全管理体系标准认证，以上证书须提供证书扫描件； D）投标产品须拥有国家有关权威部门颁发的相关认证资质（依据项目类型明确具体认证资质）。 *、业绩要求： A）近三年内，具备至少*个合同额***万以上的集团化公司项目案例，建设内容与本次需求匹配度高，须提供相应的业绩证明材料。（如中标通知书、合同扫描件等，至少包括主体名称、项目概况、产品模块、时间、签字盖章页等）； B）近三年年均营业额最低****万元人民币以上，投标人的营业时间不得少于*年。 *、信誉要求： A）投标人不属于在“信用中国”网站（www.creditchina.gov.cn）中查明的失信被执行人。 B）不接受被绿**国列为D级（*年内）、或者黑名单的供应商参与。 *、联合体投标：不允许。 *、分包转包：中标单位必须独立完成本项目，不得分包/转包给第三方。 *、投标人不能作为其他投标人的分包人同时参加投标。单位负责人为同一人或者存在控股、管理关系的不同单位，不得同时参加投标。 *、法律、行政法规规定的其他条件。 四、招标人将对报名的供应商进行资格审查，审查合格并接到投标邀请的供应商方可参加投标。投标人递交的投标文件应包括：(*)资信标书及其他资料；（*）技术标书；（*）商务标书。 五、报名时间及方式 报名时间：自本公告公布日起至 ****年** 月** 日时止。 本次招标只接受绿**国招采平台（https://lczc.gtcloud.cn）在线报名。请于报名截止时间前，在绿**国招采平台中进行供方注册、提交相关资料，经审批同意完成注册，然后点击相关公告报名。 六、报名联系人及联系电话 联 系 人：绿**国数字化建设中心 陈靖鸿 电话：*********** 联系人邮箱：*********** 联系地址：杭大路*号**世纪广场A座**楼 七、监察投诉电话： ****-********(工作日*时-**时) 绿城集团监察部 张先生 投诉邮箱：*********** 公告附件：《零信任安全接入平台项目招标需求》 （一）系统要求 技术要求分类 详细规格参数 ★系统架构 系统平台底层支持虚拟化环境部署、云平台部署，系统架构组件微服务化、支持独立部署、横向扩展和HA，支持结合实际使用场景灵活组合或扩展。 ★部署架构 *、系统支持所有功能及模块集中管理，以列表或图形方式集中展示各个组件的信息，如服务地址、组件名称、组件状态，可通过统一后台查看各个组件运行日志。 *、系统支持监控各个组件所属服务器的CPU、内存、硬盘、活跃连接等软硬件**占用。 *、零信任网关、控制中心支持本地集群和公有云的分布式部署，并由一个控制台集中进行管理和配置，支持纯软件的部署方式。 *、支持IPV*应用部署发布，支持HTTP、HTTPS、飞书工作台应用发布。 系统部署按照招标人要求，部署在我司指定的服务器端或云端。 （二）功能要求 技术要求分类 详细规格参数 基础能力 身份管理 ★支持与绿**国主数据平台对接，获取绿城组织架构、账号等信息，支持AD域、飞书等多个身份源的信息同步。 ★支持与绿**国CAS认证中心以及AD对接，管理员可根据应用采用的认证方式选择该应用在零信任平台采用AD认证或CAS认证，用户前端无感。 ★支持组织架构和用户定时同步，支持多个身份源的统一管理，身份源与认证源分离。 支持账号会话策略，如会话有效期、会话最大空闲时间、账号并发会话限制。 支持限制账号登录终端的数量，配置终端与账号强绑定，同时可以对特权账号进行白名单放行。 支持对设备进行可信资产检查，仅允许可信资产清单内的设备进行账号登录。 具备闲置账号管理，定时对账号进行闲置检查，可以设置闲置时间及闲置后自动禁用，同时可以生成闲置账号报表。 支持离职账号终端信息自动回收、访问权限自动回收功能。 支持不同应用设定不同的认证方式，支持基于用户、访问时间、访问数据量等对用户的访问进行拦截或二次认证。 应用**发布 ★支持七层应用**发布能力，可将基于域名将B/S、H*、SaaS等应用**统一发布。 ★支持四层应用**发布能力，基于TCP/UDP协议，泛域名、IP地址范围、端口范围进行隧道**发布。 ★支持HTTPS双向认证功能，在用户访问应用时网关会校验用户的客户端证书，确保访问时用户身份的合法性。 HTTP应用发布支持多种回连模式代理用户访问，支持单服务器模式部署应用模式，高可用模式部署的应用和负载均衡模式部署的应用。 ★支持先试点再全局方式发布应用，可通过改写本地解析/平台基于分组发布**等方式做到对同一个应用的不同访问路径。试点用户通过零信任通道，其余用户正常访问不受影响。 支持拦截模式发布应用，默认拦截所有访问，网关根据管控中心判断每一个请求是否合法，决定是否允许用户访问应用系统。 支持观察模式发布应用，此模式下网关不对用户访问拦截，但会记录用户的每一个访问行为并记录匹配的安全策略，可实现策略验证，减小直接拦截模式发布应用的兼容性风险。 支持数据审计模式，支持对未采用CAS认证中心及AD的认证方式的应用，用户无需进行零信任侧身份认证，根据IP或账号对用户行为进行审计，以及动态访问控制。 支持Bypass模式，只对流量进行代理，不做任何控制，实现软件故障逃生。 ★支持Web业务应用的连通性监控告警功能，当Web应用连通性检测失败后进行告警，快速发现业务侧异常 支持API接口发现功能，对API**的IP访问可进行白名单控制和UserAgent访问校验。 日志管理 ★支持系统平台分析日志syslog或kafka外发。 ★支持终端设备信息日志审计，如终端硬件信息、系统信息、安全信息、软件信息、文件信息、网络信息、外设信息等日志采集记录。 支持终端合规基线检查、攻击检测日志记录，日志需要标识终端使用人和终端唯一标识信息。 支持基于四层网络**访问日志、基于域名**访问日志、设备登录日志记录，日志需要标识终端使用人和终端唯一标识信息，以及访问被阻断的原因。 web应用访问日志记录，日志需要标识应用系统的用户身份信息，需要能记录对应用访问成功和阻断标识，可以记录数据下载状态，以及访问被阻断的原因。 应用访问控制 应用基本安全保障 ★支持基于组织架构、角色、账号进行**授权，授权可支持对具体某个应用下URL级别细粒度**授权。 ★支持指定用户或用户组强制使用客户端访问，便于外包、供应商人员访问时强制部署终端。 ★支持基于应用的可信终端绑定功能，对于敏感应用限制固定账号终端访问。 当业务系统爆发漏洞时，通过区分出漏洞URL，快速调整访问控制策略，实现业务不下线保障应用系统安全。 提供应用权限列表，应用发布支持选择该应用访问权限是否可由用户主动申请，如可主动申请将该应用展示在应用权限列表内，用户可根据自身需求发起申请，管理员可通过后台指定管理员对用户的申请进行审批。 访问控制 ★支持基于应用的动态访问控制。 ★支持基于IP地址范围的访问控制。 ★支持基于时间范围的访问控制。 ★支持基于访问成员属性的访问控制。 ★支持基于终端合规基线检测结果的访问控制。 支持基于终端攻击检测结果的访问控制。 支持基于HTTP应用的下载控制。 支持基于数据安全的动态访问控制，基于用户的敏感数据访问历史/访问量进行控制。 增强认证 动态访问控制具备灰度处置的能力，可以触发用户增强认证，用户认证成功后可以继续访问，确保安全的同时不影响正常业务流程。 应用数据安全 敏感数据管控 可以识别业务应用下的API接口，可对API接口进行加白。 识别敏感API接口，API包含哪些敏感数据，哪些员工通过这个API接口访问了敏感数据，下载了敏感文件。 可以对应用访问的敏感数据识别，识别是否在获取手机号、银行卡号、身份证等敏感数据。 可以对应用下载/导出功能进行控制，可检测是否存在敏感文件下载。 ★支持对敏感数据进行分类分级，分类分级策略可根据使用需求进行自定义，包括识别内容和等级划分。 支持动态数据脱敏，根据员工角色和权限级别，对其访问的前端敏感数据进行脱敏处理。且对行为审计记录，确保数据安全的同时不影响正常业务流程。 对数据使用风险进行分析和告警，可以基于使用人的角度识别风险，以及进行禁用，注销等操作。 支持通过输入数据敏感词或上传敏感文件，对敏感数据或文件进行一键溯源，追溯都有什么人在什么时间访问过这些敏感数据或敏感文件。 水印 ★支持配置应用水印，Web水印可配置显示姓名、部门、手机号等用户身份信息，防止手机拍照或截屏等信息泄露方式，可追溯。 支持从应用中下载、导出的文件添加水印，水印支持**印/暗水印两种模式。 用户感知优化 免认证 支持客户端/网关间自动拉取认证信息，用户在客户端或应用侧已经进行过零信任访问认证且认证未过期，客户端或应用应免除用户登录过程，无需重复认证。 访问延时 ★对于接入平台的应用，不增加首次登录/日常使用的页面加载延时。 客户端优化 支持客户端定制化UI界面。 支持开机自启动、自动连接、自动准入等能力。 提供客户端自检功能，如发现异常支持自动修复。 终端安全（该部分作为项目二期建设的前置要求，本标段暂不实施） 终端管理 ★支持终端功能一体化管理，包括但不限于SDP、杀毒、桌管、DLP等能力的模块化扩展。可做到基于部门/分组开启不同功能模块。 客户端支持Windows/Mac/linux/iOS/Android/iPadOS等系统。 支持终端IT资产校验，通过MAC地址、终端SN号等识别并验证公司资产。 支持终端硬件**保护功能，当终端CPU、内存、硬盘**达到设定的警戒值时，影响客户端性能的终端安全策略自动进入等待队列，低于警戒值后继续执行。 支持终端Agent防退出，防卸载功能，根据终端生成退出卸载授权码，实现一机一码。 支持终端设备信息采集上报，支持终端硬件信息、系统信息、安全信息、软件信息、文件信息、网络信息、外设信息等，采集数据必须具备终端和身份标识，以便实现精准审计及安全分析。 检查终端是否满足基础安全需求，若不符合则提示客户端进行修复或改进，如安全基线检查，如防病毒、补丁管理等。 终端安全 终端主机蜜罐防御能力，支持向终端下发蜜罐策略，模拟主机服务，同时采集并上报蜜罐访问日志。 支持通过DNS解析识别挖矿域名，在出现疑似挖矿病毒感染或恶意访问时实时告警。并且协助运营人员快速定位感染挖矿病毒的员工的设备ID、时间、特征命中等详细信息，快速处置，减少影响面。 支持通过DNS解析识别APT组织域名，在出现疑似APT入侵行为时实时告警。并且协助运营人员快速定位被APT入侵的员工的设备ID、时间、特征命中等详细信息，快速处置，减少影响面。 支持按用户组下发客户端策略，可配置定期下发或实时下发。 支持从服务端给客户端下发病毒库更新指令实现统一管理客户端的病毒库版本；支持根据客户端分组设置病毒库更新方式如从管控中心更新、从互联网更新、优先从互联网更新、优先从管控中心更新等。 终端杀毒 支持终端杀毒功能，可对终端进行快速扫描、全盘扫描，发现病毒后将其清除至隔离区。 支持隔离区功能，可将病毒文件隔离至隔离区，用户可通过隔离区恢复误杀文件。 支持信任区功能，用户可通过将软件添加至信任区，避免软件被隔离。 支持对网页下载、U盘拷贝、文件共享、IM传送等场景的落盘文件进行实时查杀。 支持从管控中心设置定时自动修复任务实现系统漏洞修复；支持客户端从管控中心主动获取系统实现系统漏洞修复。 支持软件分发，管理员可通过后台向客户端下发组织需要安装的其他软件。 桌面管理 支持软件商店，管理员可将组织内需要使用的软件上传至软件商店，用户可通过访问软件商店根据自己需要下载软件。 软件监控，支持查看组织内现有的软件信息、软件类型、软件版本、安装数量等信息。 支持盗版软件检测，展示其影响终端以及用户数量，并透出盗版原因并给与处置建议。 支持对系统进程配置黑名单、白名单等管理方式，实现统一管控终端上运行的进程，优化终端性能体验。 支持面向终端提供弹窗防护、垃圾清理、优化加速、文件粉碎等小工具，实现员工可自行管理优化终端运行环境。 平台内置常用敏感数据规则库，同时支持自定义敏感数据分类分级规则，支持把加密文件和修改后缀的文件作为分类分级的条件之一。 终端数据安全 支持查看所有敏感数据在所有终端分布情况，提供终端数据资产全局可视化能力，可根据数据敏感等级、数据分类、文件类型进行筛选查看。 支持配置单次/周期性扫描终端本地敏感文件分布并提供可视化视图/报表功能。 支持对用户终端敏感文件文件行为进行监控，可对创建、修改、重命名、压缩、删除等数据各类行为进行监控，管理员可在后台进行查看。 支持识别常见办公文档如文本文件、**WPS、微软Office、PDF、源代码、图片、音视频，可准确识别修改后缀名的文件，支持通过OCR识别外发图片中的文字。 支持自定义字典、关键词、正则表达式和机器学习算法等方式创建规则，识别文件内容。 支持常用数据应用通道，即时通信、浏览器、网盘、云邮箱、代码托管平台、云笔记、博客、远程控制系统、文件传输工具，包括应用程序版及网页版。 支持检测用户外发敏感文件时进行处置，处置动作包括审计、放行、拦截、文件级拦截，弹窗内容可以自定义，支持不同用户触发告警规则时，以邮箱、短信、Webhook方式通知到指定人员。 支持敏感数据全生命周期管理，全链路调查敏感数据的来源，都有哪些人拥有，在哪些通道上外发，支持对敏感数据流传进行溯源跟踪，实现全生命周期审计。 支持根据外发文件类型/外发通道/外发控制制定匹配策略，规则windows与macO环境下支持程度应持平。 支持封禁常见外设如U盘、手机、平板、蓝牙、打印机、ADB，macOS环境下还应支持封禁隔空投送通道。 支持屏幕**印、屏幕暗水印、打印水印、防拍照水印、文件溯源暗水印等水印能力。 注：★为必须满足项，需在讲标中响应并提供相应截图。 附件