XX学校信息网络安全提升——零信任访问控制系统与终端安全管理系统项目建设需求说明.pdf

该【XX学校信息网络安全提升——零信任访问控制系统与终端安全管理系统项目建设需求说明 】是由【青山代下】上传分享，文档一共【19】页，该文档可以免费在线阅读，需要了解更多关于【XX学校信息网络安全提升——零信任访问控制系统与终端安全管理系统项目建设需求说明 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。学校信息网络安全提升——零信任访问控制系统与终端安全管理系统项目建设需求说明一、技术要求(一)项目概况随着学校数字化改革工作推进,终端用户访问控制与安全管理日益成为需迫切解决的问题。本项目主要以学校师生用户不同数字身份为中心,依据安全可控的零信任访问控制机制,根据用户数字ID身份分配不同访问权限;适配PC端、移动端、钉钉、微信、自建App等多种终端,提供教学信息系统、管理信息系统、数字资源服务(知网、维普等)等多种资源访问形式,同时支持HTTPS代理和SSL访问隧道,针对B/S、C/S结构应用提供加密隧道传输。用户在校内、校外访问相关资源权限统一,访问式一模致,体验感受良好。,教职工1000人、,学校数字校园访问峰值出现在每学期选课阶段。供应商应有类似项目经验,零信任访问方案在满足设备技术参数的基础上,应满足学校实际工作需要,特别是对选课高峰期应提供解决方案,有效满足学校选课需要。按照数字经院设计规划,配合学校完成用户身份资源融合,投标方案应提供实现自动化分配用户资源权限,可视化展现系统管理数据等能力。同时,结合用户实时的身份信息、终端环境信息和应用敏感度,能实现对不同安全要求的应用,以及不同范围的用户进行不同安全力度的应用准入,实现动态的访问控制。提供自适应身份认证安全机制,如当用户访问使用弱密码时需进行增强认证,当用户在异常时间段登录时需进行增强认证,当用户在异地登录时,必须进行增强认证,降低被攻击入侵的风险,最终达到安全和体验最佳平衡。零信任访问控制系统含零信任控制中心和零信任安全代理网关,实现“流量身份化”和“动态自适应访问控制”,提供网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景智慧经院应用安全访问需求。1EDR平台授权的基础上,对终端授权数量进行扩容。基于AI智能分析引擎+行为检测机制为核心构建终端主动防御能力。通过灵活多样的处置方式、微隔离等自研技术达到快速响应的效果,本项目应能在运维、管理、技术支持、巡检等方面提供优质服务,运维方便,在服务期内提供不少于每半年一次的上门巡检服务,同时提供高效、安全、便捷的技术响应服务。(二)需满足的质量、安全、技术规格、:最大并发用户数(个):4000,新建用户数(个/秒):110。硬件参数:规格:1U,内存大小:16G,硬盘容量:零信任128GSSD,电源:冗余电源,接口:6千兆电口+41控制中1台千兆光口SFP(含光模块)。心含:零信任接入授权(不低于3200套),零信任可信控制器(*1台);零信任访问控制系统软件(*1套);产品质保(3年);软件原厂升级(3年);性能参数:最大理论加密流量不低于:750Mbps,最大理论并发用户数(个)不低于:7500,最大理论https并发连接数(个)不低于:120000,理论零信任https新建连接数(个/秒)不低于:730。2安全代硬件参数:规格:2U,内存大小:16G,硬盘容量:1台理网关240GSSD,电源:冗余电源,接口:6千兆电口+4千兆光口SFP(含光模块)+2万兆光口SFP+(含光模块)。含:零信任访问控制系统软件(*1套);产品质保(32);软件升级(3年)。终端安含:PC端点安全软件授权(不低于20套);服务器3全管理端点安全软件授权(不低于125套);软件原厂升级1套系统(3年).详细参数()零信任控制中心序号项目功能项具体参数1U机箱,内存大小≥16G,硬盘容量≥128G硬件规SSD,电源:冗余电源,接口:≥6千兆电口,格要求1控制中心要求≥4千兆光口SFP(带光模块)。性能要最大并发用户数(个)≥4000,新建用户数(个求/秒)≥110;接入授权≥3200套。为降低零信任系统部署实施复杂度,避免因部署迁移而产生大量重复性策略配置工作,本次所投产品应支持导入原有VPN系统的配置信2兼容性要求兼容***,支持导入的配置信息至少应包含角色、用户、用户组、资源、资源组等,以实现平滑切换,快速无误部署落地。提供相关证明材料。为了满足灵活部署的要求,控制中心应具备IPV4/IPV6双栈网络IP配置,可自主选择配置网络部LAN口或WAN口。为了保护设备的安全,可具署备默认限制所有IP通过WAN口访问系统,具备通过配置IP白名单的方式来放通WAN口接3设备部署入的特殊需求。为了提高系统可靠性,保障单台设备故障时系集群部统仍可正常运行,控制中心应支持本地集群部署署,且最少2台设备即可组建集群,单集群的最大节点数量不得少于4台;本地集群组建时,3赖其它外置设备。为了使系统资源利用最大化,本地集群与分布式集群下各节点的零信任授权数均可共享使用,集群的总接入授权数是各节点授权数的总和。提供相关证明材料为了保障系统的稳定性,集群节点支持故障后剩余节点仍能接管所有业务,分布式集群及本地集群均需支持授权漂移机制:集群中的单节点故障后,集群的总授权数跟故障前保持一致,且总授权数保留时间不得少于30天。隧道资源支持TCP、UDP、ICMP等协议,可通隧道资过IP、IP范围、IP段、域名和通配符域名进行源资源发布,同一资源可发布多个服务器地址,TCP协议支持长连接。产品基于身份化实现先认证、在连接,保护业务系统的安全。所有业务访问,需先经过零信任控制中心认证后,才能建立连接。(提供具有AS标识的第三方检测机构出具的检测报告)4资源发布为有效抵御恶意软件和有针对性地攻击,WEB资源发布时应具有到URL路径级别,且具有配Web资置URL路径规则。黑名单模式下,用户只能访源问不在黑名单内的路径;白名单模式下,用户只能访问白名单内的路径。且为了简化管理员配置,URL黑白名单还应具有*?等通配符配置。对于一些主要在主站点中点击使用的子站点WEB业务系统,且子站点跟主站点业务系统权限一致的场景,为简化管理员配置,零信任系4上线,还应具有自动采集站点功能对依赖站点进行梳理。为更好满足老师日常办公使用****惯,终端对于浏览器应满足:1、支持以下浏览器的主流版本访问WEB资源:IE、Chrome、Edge、Firefox、Opera、Safari等。浏览器2、支持微信内置浏览器、钉钉内置浏览器访问兼容性WEB资源。3、支持Android、iOS等手机厂商的自带浏览器访问WEB资源。4、支持国产操作系统浏览器接入并访问WEB资源。支持主流国产硬件CPU和国产操作系统,包括但不限于麒麟V10×龙芯、麒麟V10×龙芯LoongArch、麒麟V10×飞腾、麒麟V10×鲲鹏、5终端接入终端兼麒麟V10×兆芯、麒麟V10×海光、麒麟V10×容性(国海思麒麟;统信V20×龙芯(3A3000、3A4000)、产化)统信V20×龙芯(3A5000)、统信V20×飞腾、统信V20×鲲鹏、统信V20×海光、统信V20×兆芯等。(提供兼容性证明材料)具有不同平台的终端同时在线,管理员可分别设置可同时在线的PC或移动终端个数,配置范围不小于0-1000,当超过终端个数时,可以注终端管销最早登录的终端,且被注销的终端有对应的理注销提醒;管理员可设置允许终端在线数为0,以禁止用户通过此类终端接入访问。为了保障学校师生认证安全与便捷性的平衡,需具有设置授信终端绑定,具有置配绑定授信5定用户可绑定的授信终端数量:具有用户满足单一条件或多个条件后自助绑定,可配置条件包括但不限于网络区域、终端资产标签、终端标签类型等,最多可配置条件数不得少于3条。为满足学校后续多样化安全便捷认证需求,具有以下认证方式:本地账号密码认证、LDAP/AD认证、、CAS标准协议的票据认证、Radius账号认证、HTTPS帐号认证、证书主认证、证书辅认证、短信主认证方认证、短信辅认证、标准Radius令牌认证、第式三方令牌认证、TOTP动态令牌认证等认证方式,并可与企业微信、阿里钉钉、飞书结合实现扫码认证,具有飞书用户或个人微信企业号通过H5接入。其中短信认证具有配置HTTPS短信网关、腾讯云短信网关、阿里云短信网关及Socket短信网关等网关类型。6身份认证支持免辅助认证。用户勾选信任浏览后,器在免辅助该下有器效期内不需要进行辅助认证。有认证效期时长可设置1-90天。支持在满足以下条件时,可自动拉起客户端并自动登录,可配置的条件包括但不限于:授信终端、Windows域环境、自定义网络环境等。支持在满足以下条件时,免除二次认证,可配自适应置的条件包括但不限于:授信终端、Windows认证域环境、自定义网络环境等。支持在发现异常环境时,自动进行增强认证,可配置的异常环境包括但不限于:帐号首次登录、帐号在该终端首次登录、闲置帐号登录、6等。支持与企业微信、钉钉等主流超级APP对接,单点登实现与在企业微信或钉钉工作台上发布的H5录微应用单点登录。支持与第三方用户管理服务器对接,包括但不限于LDAP用户目录、AD域用户目录、企业微外部用信用户目录、钉钉用户目录等,可配置的属性户管理包括但不限于:用户过滤、用户名、外部ID、7用户管理组织架构、所属角色、帐号状态、有效期、手机号码、电子邮箱等。支持按表格模板批量导入/导出本地用户和组批量导织架构,支持通过手动/自动方式批量同步外部入/导出用户,可设置自动同步的时间间隔。支持动态访问控制策略,可根据用户、应用配置规则使用范围,可基于Windows、macOS、Linux、iOS、Android、麒麟、统信等操作系统单配置策略。独产品支持基于身份化实现动态访问控制,不仅在登陆时进行评估,而且在业务访问期间,持动态访续、自适应地动态评估安全,实时地调整访问问控制8访问安全控制权限。(AS标识的第三方检测机构出具的检测报告)处置动作包括阻止访问、注销登录、锁定账号等,可基于处置动作自定义提示语,支持短信增强认证、告警灰度处置方式,可配置处置有效时长。动态上支持动态上线准入策略,可指定适用用户范围线准入和排除用户,可基于Windows、macOS、Linux、7iOSAndroid、麒麟、统信等操作系统单独配置策略。支持“与”、“或”条件嵌套,可通过单一条件或条件组的进行策略配置,条件变量包括但不限于:终端名称、MAC地址、终端本地IP列表、操作系统版本、终端资产类型、终端标签类型、存在指定文件、操作系统安装的补丁、运行进程、运行指定杀毒软件、运行任一杀毒软件、零信任客户端版本、安装指定软件、开启系统防火墙、用户接入城市、用户登录国家、用户登录时间、弱密码、授信终端、授信域环境、闲置帐号、帐号首次登录、帐号在该终端首次登录、异常时间登录、非常用地点登录等。提供相关证明材料处置动作包括注销登录,可基于处置动作自定义提示语,支持信短增强认证、告警灰度处置方式,可配置处置有效时长。为了最大程度缩小网络、业务暴露面,零信任平台需提供单包授权能力(SPA),具有UDP+TCP服务隐组合的单包授权技术,未授权用户无法连接零身信任设备,无法扫描到服务端口,不会出现敲门放大漏洞。针对Windows系统用户,具有配置虚拟专线功9安全特性能,当用户登录零信任客户端之后,自动断开虚拟专互联网连接,避免互联网威胁影响内网业务系线统。2、具有通过桌面悬浮球的方式,用户可一键切换内网或互联网。威胁感支持与我校现有态势感知平台实现基于身份的知互联威胁感知互联,支持将用户访问零信任系统的8WEB知设备,以完善系统的用户行为审计溯源能力,提升设备自身的安全性,需提供与态势感知设备进行感知互联的方案或满足威胁感知互联的证明文件。具有用户安全日志提取,审计中心应将具有异常登录行为的用户日志自动打标签为用户安全日志,以便于管理员快速审计定位。用户安全日志包括但不限于:帐号安全(应包含帐号首次登录、异常时间登录、非常用地点登录、弱具有全密码登录、爆破登录、闲置帐号登录、帐号在10审计能力面的日新终端登录等)、中间人攻击、SPA安全(应包志记录含SPA端口扫描、SPA爆破攻击、SPA敲门伪造、SPA重放攻击、SPA安全码泄漏等)、cookie劫持等。提供相关证明材料需支持并配合学校完成日志服务集成功能。支持按学校要求提供数据展示大屏相关数据,或提供学校数据大屏集成服务。具有配置同名用户连续登录错误超过上限时锁定账号,并于指定时长后自动恢复,具有配置防爆破同IP用户连续登录错误超过上限时锁定IP,并于指定时长后自动恢复11设备安全防机器防机器人输入,提供强安全性的点击图像校验人码机制,图形校验码具有中文和英文1、具有对接多个设备进行openapi接口调用OpenAPI2、具有限制openapi调用ip范围支持虚拟IP,可以通过虚拟IP访问后端业务系12安全特性虚拟IP统,虚拟IP支持共享模式和独享模式,以配合其他对IP有要求的安全设备工作,以及便于流9料支持与学校现网中的终端安全系统实现安全协同,现网终端安全系统将资产信息同步到零信任控制中心,以加强控制中心资产管理与测绘能力;同时支持现网终端安全系统将终端风险评分同步给控制中心,以实现控制中心根据终端风险评分设置准入策略。远程办公时,可联终端安动学校现网的终端安全系统在登录前进行检全协同测,未检测通过无法登录;不符合的检测项可以一键修改和查看修复指引。支持端控安全环境检测、免端流量环境监测,对学校现网的终端安全系统安装情况进行检查、对未装端的用户进行隔离及修复处置。需提供与终端安全系统安全协同的方案或满足安全协同的证明文件。提供终端诊断工具,支持对终端的基本环境进行扫描和一键修复,诊断内容应包括但不限于:WindowsTemp目录可写状态、DNS驱动状态、零信任服务运行状态、零信任http服务检测状态、关键控件完整性检测、可疑病毒驱动检测、终端诊是否启动IE代理、是否启动IE自动代理脚本、断13运维管理虚拟网卡状态、虚拟网卡注册表、Hiworld病毒检测、、客户端系统兼容性、零信任客户端系统依赖库返回情况、零信任核心文件返回情况、系统防火墙规则、本地DNS列表、终端系统本地时间等。终端日支持用户在客户端自助进行日志收集,管理员志收集可远程获取在线终端的日志。10