广东省中山市质量计量监督检测所安全访问套件采购项目报价公开征集公告

功能项

功能要求

基础要求

产品须为成熟的独立虚拟化WAF（Web应用防火墙）产品，非硬件绑定或单纯的容器插件，支持以虚拟化镜像（如VMDK、QCOW2等）或ISO安装包形式交付，能够部署在VMware、KVM等主流虚拟化平台。

基础防护

支持透明流、透明代理、反向代理，旁路镜像检测模式及旁路镜像阻断模式。（为保证产品使用技术先进性，提供对应专利证书，并加盖供应商公章）

产品支持混合部署模式，可在单台设备上给不同防护资产配置透明流模式、透明代理、反向代理模式等不同模式。（提供产品功能截图，并加盖供应商公章）

支持多域名多证书防护

支持自定义阻断返回信息，响应码，页面标题以及重定向URL

支持IP访问控制，可根据源目的IP、端口、协议等进行访问控制处理，并可自定义访问过期时长

支持地域访问控制功能，支持根据国家、地区、城市等元素进行地域访问控制，并可自定义访问过期时长

支持Web攻击防护功能，包括命令注入攻击，组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JOSN注入防护、LDAP注入防护、webshell防护

安全防御

支持敏感信息检测防护，检测类型包括：中间件信息保护，数据库信息保护，敏感文件保护，代码错误信息保护，隐私信息保护

支持检测漏洞后门类攻击，包括漏洞利用、后门攻击、文件包含、缓冲溢出、目录遍历、shellcode等

支持检测Web攻击类攻击，包括注入攻击、跨站脚本、Webshell、目录遍历、恶意软件、间谍软件等

支持智能分析DDoS防护，内置五个防护等级，并可自定义防护等级

机器学习

支持机器学习功能，通过流量学习对进行业务建模，并对学习到的URL、host等信息以网站结构树形图进行展示，并支持对URL的访问量和响应健康度进行图形化统计。（为保证产品使用技术先进性，要求提供对应专利证书，并加盖供应商公章）

支持设定最少学习样本数，学习时间段等信息，当样本数大于设定的阈值数，可直接进入防护状态

支持针对机器学习建模后的网站目录，进行防护与白名单配置，

支持Cookie流量自学习功能，通过抓取流量自动获取网站的Cookie数据

系统管理

支持三权分立的管理，系统管理员、审计管理员、账号管理员，可以根据管理账号角色的不同，分配不同的权限

支持标准的SNMP管理，兼容V1、V2、V3版本

支持UKEY方式登陆系统，实现双因子认证

支持在线抓包，ping、traceroute等运维工具

功能项

功能要求

用户管理

新增或修改本地用户时，可编辑的用户属性应包括但不限于：用户名、显示名、组织信息、关联角色、手机号码、密码、电子邮箱、用户有效期、帐号是否启用、应用授权等。

**发布

能力

通过隧道模式，可以支持基于TCP、UDP、ICMP等协议代理访问业务**，支持发布IP、IP范围、IP段、具体域名及通配符域名等形式的服务器地址，满足常见办公业务的代理，收缩业务暴露面。为简化**发布配置，隧道模式应支持同一个**发布多个服务器地址；管理员还可基于业务的特殊性，自主选择优先使用长连接或短连接进行业务代理。

通过WEB模式，可以支持基于http或https协议代理访问业务**，支持发布IP或域名形式的后端服务器地址，可配置业务应用的具体访问URL路径。为了保持用户访问应用体验的一致性，后端服务器地址需支持多地址配置；为适应较复杂的内外网访问场景，WEB应用的前端访问地址应支持多地址访问。存在前置代理设备的场景，还应支持从XFF字段获取源IP。

支持以私有DNS发布企业**，无需额外购买DNS服务即可使用域名访问内网**，支持管理员自主配置是否允许从具体网络区域（局域网/互联网）接入时使用此私有DNS解析地址。

数据防泄密

能力

为提升业务应用的数据安全性，零信任系统应支持针对发布的WEB应用开启WEB水印，水印内容至少包括：用户名+当前年月日，起到威慑与溯源作用，有效预防数据泄露。

在业务应用兼容性良好的情况下，支持以隧道模式发布http/https协议的**，以增加在隧道模式下发布的**的URL级别审计能力，同时支持为隧道**添加WEB水印以及单点登录功能。

终端接入

能力

为了保障人员顺利访问经零信任隧道模式代理的业务，零信任客户端应兼容主流非国产终端，包括但不限于：Windows7（32位、64位）、Windows10（32位、64位）、Windows11（64位）、MacOS10、MacOS11、MacOS12、Android、iOS等非国产操作系统的终端。

为了保障单位员工认证安全与便捷性的平衡，需支持设置授信终端绑定，支持配置绑定授信终端的可信网络区域、增强认证条件；并可限定用户可绑定的授信终端数量：

①支持查看/添加/移除授信终端，及历史登录情况（包括但不限于终端版本、网络位置区域、历史登录用户、录入时间及上次登录时间等）；

②支持查看所有临时登录的终端信息，及历史登录情况（包括但不限于终端版本、网络位置区域、历史登录用户、录入时间及上次登录时间等）；

③支持配置一个帐号在PC端和移动端分别绑定N个终端数量，可设置的数量范围不得小于1~100；

④支持配置一个终端仅允许一个用户绑定；

⑤支持50个用户并发数。

认证管理

能力

为满足便捷化安全便捷认证需求，所投产品需支持用户通过企微扫码认证登录平台。（需提供产品功能截图，并加盖供应商公章）

为了进一步保障用户身份安全，需支持多因素认证，支持管理员结合已对接的主认证和辅认证类型进行设置，可自由选择采用首次认证+二次认证+终端认证+增强认证等方式。

业务访问

安全能力

为满足组织灵活的管理要求，支持配置动态访问规则，可配置化的ACL规则引擎，可以灵活地将终端环境、用户身份、处置动作等进行配置，为单位不同业务不同部门提供灵活丰富的访问控制策略：

①动态访问控制策略可支持按需授权，支持用户或用户组直接关联到应用，避免需要为部门中的个别特殊人员或用户组建立大量角色，简化权限管理，可指定适用应用；

②动态访问控制策略支持针对操作系统单独设定或多系统设定访问控制策略，操作系统需包括Windows、macOS、linux/**/统信、iOS/Android；

③动态访问控制策略支持“与”、“或”条件嵌套，并可通过单一条件或条件组的方式灵活组合嵌套，可支持的条件变量应包括但不限于：应用类型、浏览器版本、客户端源IP、代理网关接入IP、应用访问的进程名称、终端名称、MAC地址、终端本地IP列表、操作系统版本、终端资产类型、终端标签类型、存在指定文件、操作系统安装的补丁、运行进程、运行指定杀毒软件、运行任一杀毒软件、零信任客户端版本、安装指定软件、开启系统防火墙、用户接入城市、用户登录国家、用户登录时间、应用进程的信任状态、弱密码、授信终端、授信域环境等；

④可联动终端EDR的检测评分作为策略条件；

⑤动态访问控制策略支持灵活的处置动作，包括阻止访问、注销登录、锁定账号，并可基于处置动作自定义提示语；

⑥当检测到不符合安全条件时，支持设置如短信增强认证、告警等灵活的补救动作，实现灰度处置，且能配置处置有效时长，平衡员工访问体验和安全保障。

终端数据安全

支持iOS、安卓手机APP集成零信任SDK，从而实现安全接入、沙箱等功能，避免单独安装零信任手机客户端，提升用户使用体验。（需提供产品功能截图，并加盖供应商公章）

安全防护

为有效防止木马入侵系统后攻击服务器，零信任系统需内置一些常见攻击工具进程黑名单，管理员可基于内置的名单进行增减，匹配上此名单的进程访问零信任系统时会被打上标签，以方便快速定位排查问题终端。