1、IT资源安全无感知访问平台建设项目需求说明本项目将从原有Web资源发布系统、IT资源管理系统结合资源访问控制系统从而构建安全无感知访问体系架构,通过减少或消除用户在访问网络或系统时感受到的安全措施,提高采购人师生访问体验。通过对接采购人统一身份认证实现单点登录,使用HTTPS等加密通信协议保护用户与服务器之间的通信数据不被窃取或篡改,多重校验和授权等环节等安全措项目施,达到加深安全与访问控制管理相互协作的效果。从而加强采购人信息化网络安全建设水平,优化用户资源访问体验。一、资源访问控制系统(一)整体描述1)采用高可靠架构,多工作节点统一配置管理,包含1个资源访问控制系统工作节点。2)提供一套基
2、于HTML5(无需安装客户端/插件)的资源访问系统,用户通过本系统可以访问其授权范围内的资源,且用户的所有访问/操作行为均可完整记录,并可查询和审计。3)配合应用开发公司,结合现有校园手机APP(安卓和iOS,基于H5的校园应用)和微信小程序(智慧校园APP作为移动校园统一访问入口,通过管理与业务管理中心实现事项、应用、服务、资讯、消息、日程的统一管理)进行无感知认证对接,学生登录校园手机APP和微信小程序后即可后端通过VPN安全访问校内应用,无须再次登录VPN。4)对接学校现有Web资源发布系统,无论用户从内网或外网访问资源时,均使用同一套域名即可。(二)配置项1)国产品牌,拥有自主知识产权
3、中文界面。2)提供虚拟机模板,导入虚拟机模板的系统安装方式。3)节点数量:1个资源访问控制系统工作节点。4)提供无限制注册用户数授权及无限制并发用户数授权。(三)、WebVPN功能1)支持通过系统访问HTTP、HTTPS、WebSocketHLS、RDP、VNC、Telnet.SSH等协议的资源,且无须在系统中通过域名或别名对资源进行预先定义或适配;2)支持用户通过门户中导航块直接访问资源,且支持通过门户中的地址栏自定义其访问目标;3)不使用客户端的情况下,全网资源访问无需配置泛解析域名(*)即可进行资源访问;4)支持用户通过IPv4或IPv6利用本系统访问IPV4、IPv6资源;5)针对H
4、nP、HnPS协议的资源,支持单点登录功能,用户登录门户后再访问目标资源时,无须重复认证;6)支持PC、iOS(iPhone/iPad)Android等操作系统的移动设备,无需安装客户端/插件,直接通过支持HTML5的浏览器使用系统全部功能;7)用户的其他应用流量不经过本系统转发,降低系统负载,减少系统所需带宽;8)无需针对基于HnP/HTTPS的应用进行适配,包括绝对路径/特殊代码的适配、子域名/外链的适配、网站改版的更新适配;9)支持在用户访问目标资源时提示用户正在使用WebVPN环境访问;支持用户自行选择极速模式以加速WebVPN访问效果;10)支持使用国密算法进行流量传输;11)支持对
5、业务系统进行加密隐藏;支持生成用户独有加密链接,支持生成一次性链接,登出后即失效;12)支持动态使用IP地址池中的多个地址,且支持对整体以及特定用户进行下载频率控制,避免被误判为攻击或恶意访问。(四)用户及权限管理1)支持临时账号管理;2)支持对接外部统一认证系统,包括LDAP、RADIUS、CAS、OAUth、企业微信、钉钉、中国科技云等;3)支持提供对第三方提供接口进行认证;4)支持对外部认证系统内账号进行自定义规则匹配;5)支持多种登录认证方式,包括用户名密码、短信认证、微信认证,支持双因素认证,支持管理员开启强制双重认证,保证系统安全;6)支持根据用户角色、终端源地址、资源类型、待访问
6、的资源地址四个方面对资源访问进行控制;7)支持对特定IP地址段免认证,便于对特定资源进行引流;8)支持动态禁止频繁登录失败用户再次尝试,并支持自定义其失败频率阈值及禁止再次登录时间;9)系统具备暴力防破解功能,支持自动异常登陆封禁IP、账号,支持管理员手动封禁、解封禁功能;10)支持弱密码检测功能,并且可辅助检测RadiUs、LDAP协议的弱密码,同时可强制用户更新密码后再进行登录;11)支持对认证IP进行校验,限制IP进行认证登录;12)支持行为验证码,防止机器人扫描;13)支持对账号的认证行为进行安全风险检测,并自动封禁存在安全风险的账号;14)支持弱密码强度设置,支持自定义密码强度规则,
7、规则可使用正则表达式等方式设置。(五)门户管理1)支持所见即所得的门户自定义,包括门户登录页、导航页内容、导航分组及分组内资源链接;2)支持个性化门户,可基于用户的访问权限展示其可访问资源导航;3)支持HTTPS类型Web资源的证书管理,且系统提供受浏览器信任的证书,对门户应用该SSL证书;4)支持认证通过后跳转到任意指定页面进行资源访问。(六)日志与报表1)支持记录与查询全量访问日志,包括用户账号、用户IP、终端、请求时间、访问URL、请求结果等;2)支持记录与查询全量登录日志,包括用户账号、用户IP、登录时间及登录结果;3)支持根据访问量、浏览器、操作系统、设备类型、请求来源地理位置进行统
8、计分析,可记录历史在线用户数,并可根据时间段及不同时间维度(日、周、月、年)进行统计,通过可视化图表展示变化趋势;4)支持对用户的登录次数、访问流量等进行统计分析;5)支持对接专业的日志分析平台,实现将以IP标识的日志转化为以终端+账号为标识。(七)安装方式1)提供与操作系统、数据库以及其他平台软件深度整合的统一介质,能够实现操作系统、数据库、其他平台软件和系统的统一安装;2)提供虚拟机模板,支持导入虚拟机模板的系统安装方式;3)支持用户访问请求响应的工作节点采用双机热备的集群模式部署,避免单点故隙;4)支持多机群部署,支持keeplive以及负载均衡模式。(八)产品资质1)所有产品非OEM产
9、品,提供软件著作权证书复印件;(需提供相关证书复印件并加盖公章)2)产品必须获得IPV6Ready证书;3)为保障用户访问安全性,所投产品应当通过商用密码产品认证;4)所投产品支持国产化数据库。二、IT资源管理系统扩容(一)整体描述1)11资源管理系统V9.O升级,有线设备管理授权新增200个(包含交换机、路由器、防火墙等网络设备),无线AP管理授权新增IoOO个,服务器管理授权新增500个,终端管理扩容至无限制。投标人必须确保扩容后对采购人原有系统功能和数据(包括所有历史数据)的平滑迁移,并确保数据的准确性与完整性。(一)配置项1)原有系统型号:网瑞达IT资源管理系统V9.0;原有授权:综合
10、监控单元220000,终端管理22000;2)授权数量:有线设备管理授权新增200个(包含交换机、路由器、防火墙等网络设备),无线AP管理授权1000个,服务器管理授权500个,终端管理数量无限制。(三)资源监控指标1)支持Telemetry协议采集监控;2)支持通过ICMPsSNMP(vl,v2c,v3)WMI、SSH等多种协议对资源进行自动扫描;3)支持自动获取有线设备的名称、描述、类型、制造商、型号、板卡、接口、SN号、软硬件版本、固件版本、堆叠信息、运行时间等信息;4)支持自动计算设备间的连接关系,也可手动添加或编辑连接关系;5)支持统计报表,监控资源按状态(正常、告警、无响应、未监控
11、数量、厂商、类型进行统计;6)支持设备状态秒级监控;7)可以通过专用的硬件设备或软件形式部署,支持虚拟化,支持虚拟机导入;8)支持百度地图等电子地图,将设备的拓扑与真实的地图进行关联。三、Web资源发布系统升级(一)整体描述DWeb资源发布系统VI.O升级,发布资源授权新增50个。投标人必须确保扩容后对采购人原有系统功能和数据(包括所有历史数据)的平滑迁移,并确保数据的准确性与完整性。2)提供IPv6评分检测云平台授权(3年使用期限),对采购人全网IPv6支持程度进行检测,并根据IPv6评分检测结果进行整改。(一)配置项1)原有系统型号:网瑞达Web资源发布系统VI.0;原有授权数量100个;2)授权数量:发布资源授权新增50个。(三)资源发布指标1)支持HnP、HnPS协议资源发布;2)支持IPv4与IPv6资源的相互转换以及资源发布;3)支持不同后端资源端口通过统一端口资源发布;4)支持资源的批量导入导出、批量删除、批量发布/关闭网站、批量修改分组、批量定义错误页面、批量修改访问策略、批量修改安全策略、批量修改备案信息、批量启用/关闭HTTPS、批量修改v4v6发布、批量修改负载均衡、批量修改HnPS算法、批量修改网站标签等;5)访问控制方式包括直接访问、认证访问、禁止访问、镜像访问;认证访问为用户进行认证后继续访问,镜像访问为完全阻断后端资源数据流量。
免费区 
