货物正文中国中化零信任网络产品采购项目招标公告2021-11-1218:57:43

招标编号：0747-2160SCCZK145

1.招标条件

本次中国中化零信任网络产品采购项目的招标人为中化信息技术有限公司，招标项目资金来自企业自筹，出资比例为100%。该项目已具备招标条件，现对如下设备采购进行公开招标。

2.项目概况与招标范围

招标项目：中国中化零信任网络产品采购项目

项目编号：0747-2160SCCZK145

采购内容：

序号

产品名称

数量

单位

备注

1

可信访问控制中心

2

台

包含与竹云IAM集成服务

2

可信应用代理

4

台

包含25个应用接入服务

3

终端环境安全感知系统

1

套

包含与奇安信3W个天擎终端集成服务

主要技术规格：详见第五章供货要求

（1）可信访问控制中心

要求类型

具体要求

说明

数量

2台

*

性能要求

单台加密吞吐≥5Gbps，最大并发连接数≥50000，RPS≥40000。

*

硬件要求

专用硬件，配备冗余电源。

*

部署要求

支持集群部署，可横向扩展性，集群性能满足3万客户端访问。

*

网络隐身功能

支持TCP和UDP单包授权机制

*

支持根据设备清单库对客户端进行鉴权识别

*C

可信应用代理功能

支持可信应用代理集群的统一管理，可统一配置管理维护

*

配置管理可信应用代理集群，支持IP、端口、类型、启用/停用配置

*

配置管理消息分发支持自动、手动两种类型

*

集群消息支持消息签名验证，保障消息传递安全

*

消息推送传递失败后，记录状态，支持手动强制同步

*

用户管理功能

支持与竹云IAM平台进行用户和用户信息同步

*

支持用户、分组统一管理，包括用户信息增删改查、备份导出、状态管理

*

支持单个、批量添加、导入/导出用户及用户组，支持导入密码加解密的文件

*

支持按用户选择认证服务器

*

支持用户姓名、密码、邮箱、电话等属性设置

*

支持强密码校验，首次登录强制修改密码功能

*

支持用户/组形成1:N归属，支持父组/子组之间继承

*

用户状态可设置：允许、锁定、禁止，支持认证失败指定次数后自动锁定用户

*

动态认证功能

支持根据业务需要，可配置先设备认证后用户认证，或者先用户认证再设备认证的认证策略。

*C

支持根据用户需要，可采用免认证规则，合法设备、合法的人不需要进行认证。

*C

支持信任分认证策略，当终端设备信任分不能达到设定的要求时，禁止登录访问。

*C

支持动态判定用户使用的设备发生变化时禁止访问，并重新进行认证

*C

支持动态判定用户在非常用地理位置进行登录时要求重新认证

*C

支持动态判定用户在非常用时间进行登录时要求重新认证

*C

支持动态判定同一个用户在多个设备进行登录时要求重新认证

*C

支持动态判定同一个设备有多个用户进行登录时禁止登录访问

*C

支持动态判定设备认证失败次数达到设定值时禁止登录访问

*C

支持动态判定Windows终端没有安装杀毒软件、有高危漏洞、感染病毒时禁止登录访问。

*C

支持动态判定Windows终端没有安装指定软件/运行指定进程、未禁止远程桌面、未启用休眠唤醒密码功能时禁止登录访问。

*C

支持动态判定macOS终端未开启防火墙、未关闭屏幕共享、未关闭蓝牙共享等功能时禁止登录访问。

*C

设备认证功能

支持按应用安全等级有选择的进行设备认证

*

支持设备信任分判定，根据信任分数来判定设备认证是否认证通过

*C

设备认证的终端类型支持Windows、macOS、Android、iOS、Linux等

*C

支持配置对指定IP做设备认证或不做设备认证

*C

支持设备入域检查，未加入AD域设备不通过认证。

*C

动态应多因子认证功能

支持当用户使用的设备发生变化时进行多因子认证

*C

支持当用户在非常用地理位置进行登录时进行多因子认证

*C

支持当用户在非常用时间进行登录时进行多因子认证

*C

支持当同一个用户在多个设备进行登录时进行多因子认证

*C

支持当同一个设备有多个用户进行登录时进行多因子认证

*C

支持当设备认证失败次数达到用户设定值时进行多因子认证

*C

用户会话管理功能

支持用户会话自动创建、维护、销毁全生命周期管理

*

支持用户会话状态查询、状态控制等功能

*C

用户会话支持分布式、持久化机制，全局生效，宕机自恢复。

*

访问令牌管理功能

支持三级令牌管理：用户、应用、API三级令牌的全生命周期管理。

*

支持用户令牌、应用令牌、API令牌的申请、颁发、撤销、同步等安全访问控制机制。

*

信任评估功能

支持信任评估模型，可根据主体的终端环境感知结果、认证强度、风险情况形成主体的信任等级或信任评分。

*C

支持信任评估例外，可针对特定的用户按照时间、次数进行信任等级或信任评分的调整。

*C

授权策略管理功能

支持基于角色的授权策略配置，可配置主体、客体角色授权。

*

支持基于属性的授权策略配置，可为角色授权配置属性条件过滤规则。

*

支持可信环境风险、用户行为分析、用户环境属性等多维度的授权策略统一管理。

*

动态访问控制功能

支持根据用户行为、信任评分、应用安全等级、终端环境感知结果等多种条件进行动态访问控制，动作包括：允许、禁止、二次认证等。

*C

动态风险控制功能

支持基于用户认证次数异常、频繁认证失败、连续认证失败等行为进行大数据分析，形成操作异常策略，实现动态帐号锁定，可设置操作异常策略事件达到指定次数后锁定帐号一段时间。

*C

支持基于终端环境感知结果（如：禁止从网络访问计算机、关机清除虚拟内存、密码策略、未安装特定软件、操作系统版本等）进行大数据分析，形成终端配置风险策略，实现动态阻断。

*C

支持基于同一设备频繁登录失败、同一设备多用户登录、同用户在多个设备登录、同一IP频繁登录失败、同一IP多用户登录、同用户在多个IP登录、同一设备连续登录失败、同一IP连续登录失败等行为进行大数据分析，形成暴力破解策略进行动态设备冻结。

*C

支持基于终端地理位置异常、用户/设备在新地理位置登录、用户/设备移动速度异常等行为进行大数据分析，形成位置异常策略实现动态访问控制，可要求用户进行二次认证。

*C

支持用户IP地址异常、一个用户同时在不同IP地址登录等行为进行大数据分析，形成IP异常策略实现动态控制，可要求用户进行二次认证。

*C

支持基于用户登录时间异常、用户访问时间异常等行为进行大数据分析，形成时间异常策略实现动态控制，可要求用户进行二次认证。

*C

支持基于用户登录设备异常、多帐号同设备、同帐号多设备、帐号在新设备登录等行为进行大数据分析，形成设备异常策略实现动态控制，可要求用户进行二次认证。

*C

风险事件溯源功能

支持对动态风险控制功能产生的各类风险事件进行溯源，可溯源到事件发生的时间、IP、用户、设备、具体异常行为等信息。

*C

自身安全防护功能

支持用户登陆日志、用户操作日志、系统运行等信息的日志采集、管理及审计，并支持日志通过syslog外发。

*

服务

提供3年产品原厂商设备硬件保修、软件升级和技术支持服务；

提供产品原厂商的实施服务；

提供现场培训服务，指导相关人员能熟练掌握系统；

提供与竹云IAM集成服务。

*

（2）可信应用代理

要求类型

具体要求

说明

数量

4台

*

性能要求

单台加密吞吐≥5Gbps，最大并发连接数≥50000，RPS≥40000。

*

硬件要求

专用硬件，配备冗余电源。

*

部署要求

支持集群部署，可横向扩展性，集群性能满足3万客户端访问，支持25个应用系统接入并实配25个应用系统接入授权。

*

网络隐身功能

支持TCP和UDP单包授权机制

*

支持根据设备清单库对客户端进行鉴权识别

*C

应用资源管理功能

支持对应用名称、应用地址、应用域名、应用协议等应用系统资源管理

*

支持Web应用登录表单自定义填充

*C

支持Web应用登出状态自动检测

*

支持Web应用URL参数自定义配置

*C

支持应用系统安全等级管理

*C

支持TCP协议的业务应用代理

*

应用发布管理功能

支持token传递、消息透传等多种方式发布应用

*

支持令牌传递模式，支持URL、Header、Cookie自定义传递

*

支持静态页面接管及定制功能

*

应用安全加固功能

支持对用户发起的应用请求的字段的进行合法性检测

*

支持应用登录/登出URL、参数匹配检测及响应

*

应用级动态访问控制功能

支持与终端环境安全感知系统联动，在收到终端环境安全感知系统的客户端可信环境安全状态变更通报时，根据可信访问控制中心的策略进行访问控制

*

支持基于浏览器类型的动态访问控制策略

*C

支持用户登录时间异常情况下进行二次认证的访问控制策略

*C

支持设备认证异常情况下进行二次认证的访问控制策略

*C

支持地理位置异常情况下进行二次认证的访问控制策略

*C

支持设备曾登录多个用户情况下进行二次认证的访问控制策略

*C

支持用户曾在多个设备登录情况下进行二次认证的访问控制策略

*C

支持通过虚拟机进行访问的动态访问控制策略

*C

支持基于信任评估与应用安全等级访问控制策略

*C

支持自动从物理PC生成设备ID，设备ID串安全加密，防伪造

*

支持基于风险分数的安全策略执行，可根据评估结果自动执行放行、阻止、二次认证

*C

传输安全功能

支持应用配置HTTP强制转换HTTPS，自动完成HTTP到HTTPS加密服务

*

支持国密算法

*C

集群管理功能

支持配置统一集群管理中心，使用签名校验等方式进行安全认证

*

应用对接功能

支持自定义多因子认证项及用户名/密码输入表单

*

日志审计功能

支持终端用户业务访问日志、网络访问流量统计等，日志支持上报、外发，便于实现业务数据的审计、安全风险的分析。

*

服务

提供3年产品原厂商设备硬件保修、软件升级和技术支持服务；

提供产品原厂商的实施服务；

提供现场培训服务，指导相关人员能熟练掌握系统；

提供与25个应用的接入集成服务。

*

（3）终端环境安全感知系统

要求类型

具体要求

说明

数量

1套，配备3万个终端授权。

*

性能要求

支持10万以上终端在线，终端请求响应小于200ms。

*

系统服务端部署要求

支持集群部署，可横向扩展性。

*

支持多数据中心场景下的系统级联部署，终端漫游到不同的数据中心区域情况下环境感知结果能够实时传递，实现动态访问控制。

*

支持可信访问控制中心实时接收访问本地数据中心应用的终端的感知结果变化通知

*

系统客户端部署要求

支持通过终端安全管理系统等软件分发工具批量部署

*

客户端兼容性要求

支持Windows7及以上版本的操作系统

*

支持macOS10.14及以上版本的操作系统

*C

支持麒麟、统信、鲲鹏等国产操作系统

*C

客户端基础安全感知功能

支持防病毒软件感知，能够检测终端上是否安装防病毒软件。

*C

支持病毒环境感知，能够感知终端病毒感染情况。

*C

支持病毒库更新感知，能够检查病毒库的更新及时情况。

*C

支持系统漏洞感知，能够发现终端是否存在高危漏洞，能够检查补丁的更新及时情况。

*C

Windows系统安全感知功能

支持身份认证安全风险感知，可感知内容包括：密码策略、用户登录失败策略、唤醒设置、屏幕保护设置。

*C

支持网络安全访问控制风险感知，可感知内容包括：SAM帐户和共享的匿名枚举、可匿名访问的命名管道、可匿名访问的共享、未验证的RPC客户端的限制、远程桌面配置等。

*C

支持Windows防火墙状态感知

*C

可感知项支持自定义风险等级、扣分标准、修复方式。

*C

macOS系统安全感知功能

支持感知：操作系统版本、防火墙状态、文件共享状态、远程登录配置、远程Apple事件、蓝牙共享配置、互联网共享配置、屏幕共享设置、锁屏密码配置等。

*C

应用合规感知功能

支持软件环境风险感知，支持软件/进程黑名单、白名单、红名单机制。

（说明：黑名单=禁止，白名单=允许，红名单=必须安装/运行。）

*C

支持系统服务环境风险感知，支持服务黑名单、白名单、红名单机制。

*C

支持外设合规感知，包括：多网卡开启感知、热点开启感知、蓝牙开启感知、USB移动存储感知。

*C

支持应用软件合规感知，包括：录屏软件开启感知、远控软件开启感知、虚拟机软件开启感知。

*C

支持网络连接感知，包括：互联网连接感知、磁盘目录共享感知、Wi-Fi连接感知。

*C

支持系统账户风险感知，包括：隐藏账户感知、应禁用账户感知。

*C

实时感知功能

支持客户端实时监控终端的环境是否发生变更，发生变更后立刻对变更部分重新进行感知，并调整环境感知评估结果。

*

自身安全功能

支持为终端生成唯一设备可信标识，具备唯一性和不变性，在和其他外部设备联动时，整个业务访问过程使用设备可信标识对终端进行标识，不使用IP、MAC等可篡改属性。

*C

客户端和服务端通信加密，系统管理页面访问使用HTTPS加密。

*

客户端具备自我保护功能，恶意软件或服务无法终止客户端相关进程，无法修改客户端的配置文件，无法绕过客户端的感知监控。

*

终端策略管理功能

支持对安装了客户端的终端进行统一管理，包括分组管理、查看所有终端的状态、策略统一下发等。

*

支持自定义客户端界面，包括客户端标题、客户端LOGO、是否显示托盘图标等。

*

感知模板功能

支持创建多个环境感知模板，模板支持基础安全感知、系统安全感知、应用合规感知、物理环境感知等感知分类的配置项，可对所有感知项进行风险自定义和扣分规则自定义。

*C

外部联动功能

支持和可信访问控制中心联动，提供终端设备可信标识、终端基本信息及感知结果。

*

支持终端感知结果变更后推送给可信访问控制中心

*

服务

提供3年产品原厂商设备硬件保修、软件升级和技术支持服务；

提供产品原厂商的安装实施服务；

提供现场培训服务，指导相关人员能熟练掌握系统；

提供与30000个天擎终端的集成服务。

*

交货地点：北京

交付期：合同签订之日起30个日历日内项目现场到货，到货后1个月内完成产品部署，产品部署完毕后3个月内完成系统集成、联调测试和项目上线试运行，项目上线后1个月内完成用户培训，上线运行3个月后进行项目验收。

3.投标人资格要求

3.1资质要求

（1）具有独立承担民事责任的能力；

（2）具有履行合同所必须的设备和专业技术能力。

3.2财务要求

投标人提供近3年（2018年至2020年）经会计师事务所或审计机构审计的财务会计报表，包括资产负债表、现金流量表、利润表的复印件。

3.3信誉要求

投标文件递交截止时间前，投标人不得被列入失信被执行人名单或被列入“信用中国”的其他失信行为，且在公示期内。

3.4其他要求

（1）投标人必须是原厂商或原厂商（直接）授权的代理商；

（2）投标人为代理商的须提交由原厂商为本次投标产品所出具的《授权函》原件（原厂商签字盖章）；

（3）投标人须提交由原厂商针对本项目投标产品满足“*”号参数要求的《应标承诺书》原件（原厂商签字盖章）；

（4）投标人须提交由原厂商出具的《服务承诺函》原件（原厂商签字盖章）；

（5）本次招标不接受联合体投标。

3.5符合法律、法规规定的其他条件。

4.招标文件的获取

4.1凡有意参加投标者，请于2021年11月17日17:00（北京时间24小时制，下同）前，登录中化商务电子招投标平台(e.sinochemitc.com)领购电子版招标文件，不提供纸质文件。潜在投标人需先进行网上注册（免费）。

4.2招标文件每套售价1000.00元人民币，售后不退。完成领购手续后，可在平台下载招标文件和增值税电子普通发票。

4.3未在招标代理机构登记领购招标文件的潜在投标人，其投标文件将予以拒收。

中化商务电子招投标平台技术支持联系电话：010-86391277。

5.投标文件的递交

5.1投标文件递交的截止时间（投标截止时间，下同）：2021年12月3日9:30。

5.2投标文件递交地点：北京市西城区复兴门内大街28号凯晨世贸中心中座7层703大会议室投标文件递交登记处。

逾期送达的、未送达指定地点的或者不按照招标文件要求密封的投标文件，招标人将予以拒收。

6.发布公告的媒介

本次招标公告在中化商务电子招投标平台上发布。

7.联系方式

招标人：中化信息技术有限公司

地址：北京市西城区复兴门内大街28号凯晨世贸中心中座7层

邮编：100031

联系人：王国文

电话：010-59567826

电子邮箱：wangguowen@sinochem.com

招标代理机构：中化商务有限公司

地址：北京市西城区复兴门外大街A2号中化大厦21层

邮编：100045

联系人：杨灿、詹慧文

电话：18911319574、18911319688

电子邮箱：yangcan01@sinochem.com、zhanhuiwen@sinochem.com

2021年11月12日