零信任访问控制系统与终端安全管理系统需求.docxVIP

零信任访问控制系统与终端平安管理系统需求

〔一〕工程概况

随着学校数字化改革工作推进，终端用户访问控制与平安管理日益成为需迫切解决的问题。本工程主要以学校师生用户不同数字身份为中心，依据平安可控的零信任访问控制机制，根据用户数字ID身份分配不同访问权限；适配PC端、移动端、钉钉、微信、自建人口口等多种终端，提供教学信息系统、管理信息系统、数字资源效劳〔知网、维普等〕等多种资源访问形式，同时支持S代理和SSL访问隧道，针对B/S、C/S结构应用提供加密隧道传输。用户在校内、校外访问相关资源权限统一，访问模式一致，体验感受良好。

学校数字校园访问峰值出现在每学期选课阶段。供给商应有类似工程经验，零信任访问方案在满足设备技术参数的根底上，应满足学校实际工作需要，特别是对选课顶峰期应提供解决方案，有效满足学校选课需要。按照数字经院设计规划，配合学校完成用户身份资源融合，投标方案应提供实现自动化分配用户资源权限，可视化展现系统管理数据等能力。

同时，结合用户实时的身份信息、终端环境信息和应用敏感度，能实现对不同平安要求的应用，以及不同范围的用户进行不同平安力度的应用准入，实现动态的访问控制。提供自适应身份认证平安机制，如当用户访问使用弱密码时需进行增强认证，当用户在异常时间段登录时需进行增强认证，当用户在异地登录时，必须进行增强认证，降低被攻击入侵的风险，最终到达平安和体验最正确平衡。

零信任访问控制系统含零信任控制中心和零信任平安代理网关，实现“流量身份化〞和“动态自适应访问控制〞，提供网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力，满足新形势下多场景智慧经院应用平安访问需求。

终端平安管理系统在原有EDR平台授权的根底上，对终端授权数量进行扩容。基于AI智能分析引擎+行为检测机制为核心构建终端主动防御能力。通过灵活多样的处置方式、微隔离等自研技术到达快速响应的效果，

本工程应能在运维、管理、技术支持、巡检等方面提供优质效劳，运维方便，在服务期内提供不少于每半年一次的上门巡检效劳，同时提供高效、平安、便捷的技术响应

效劳。

〔二〕需满足的质量、平安、技术规格、物理特性等要求：

1.设备清单及技术参数

序号

设备名称

技术参数

数

量

计量

单位

1

零信任

控制中

心

性能参数：最大并发用户数〔个〕：4000,新建用户数〔个/秒〕：110。

硬件参数：规格：15内存大小：16G，硬盘容量：128GSSD，电源：冗余电源，接口：6千兆电口+4千兆光口SFP〔含光模块〕。

含：零信任接入授权〔不低于3200套〕，零信任可信控制器〔*1台〕；零信任访问控制系统软件〔*1套〕；产品质保〔3年〕；软件原厂升级〔3年〕；

1

台

2

零信任平安代理网关

性能参数：最大理论加密流量不低于：750Mbps，最大理论并发用户数〔个〕不低于：7500，最大理论s并发连接数〔个〕不低于：120000，理论s新建连接数〔个/秒〕不低于：730。

硬件参数：规格：25内存大小：16G，硬盘容量：240GSSD，电源：冗余电源，接口：6千兆电口+4千兆光口SFP〔含光模块〕+2万兆光口SFP+〔含光模块〕。

含：零信任访问控制系统软件〔*1套〕；产品质保〔3年〕；软件升级〔3年〕。

1

台

3

终端安

含：PC端点平安软件授权〔不低于20套〕；效劳器端点

1

套

全管理系统

平安软件授权〔不低于125套〕；软件原厂升级〔3年〕

2.详细参数:

〔1〕零信任控制中心

序号

工程

功能项

具体参数

1

控制中心要求

硬件规

格要求

1U机箱，内存大小三166,硬盘容量三128GSSD,电源:冗余电源，接口：三6千兆电口，三4千兆光口SFP〔带光模块〕。

性能要

求

最大并发用户数〔个〕三4000,新建用户数〔个/秒〕三110；接入授权三3200套。

2

兼容性要求

兼容性

为降低零信任系统部署实施复杂度，防止因部署迁移而产生大量重复性策略配置工作，本次所投产品应支持导入原有VPN系统的配置信息，支持导入的配置信息至少应包含角色、用户、用户组、资源、资源组等，以实现平滑切换，快速无误部署落地。

3

设备部署

网络部

署

为了满足灵活部署的要求，控制中心应具备IPV4/IPV6双栈网络IP配置，可自主选择配置LAN口或WAN口。

为了保护设备的平安，可具备默认限制所有IP通过WAN口访问系统，具备通过配置IP白名单的方式来放通WAN口接入的特殊需求。

集群部

署

为了提高系统可靠性，保障单台设备故障时系统仍可正常运行，控制中心应支持本地集群部署，且最少2台设备即可组