招标信息

系统参数要求

详细规格参数

基础架构

系统架构

系统平台自身支持国产化信创部署。

部署架构

系统支持高可用部署模式。

本项目采用纯软件私有化的部署方式。

部署要求

系统应采用非植入式部署方式，不需要在应用服务器和用户的客户端安装客户端软件，不需要应用系统进行任何的代码二次开发，不需要应用服务器做配置变更，部署对应用无感知。

产品提供多种不同的保护模式，可以根据不同的防护阶段开启不同的防护模式，防护模式至少应包括：透明模式、监听模式和拦截模式。

产品管理

所有功能组件均为同一管理后台。

详细规格参数

攻击防护要求

攻击入口隐藏：在不依赖传统特征库和规则情况下可以对应用层的攻击入口进行隐藏，使自动化工具无法获得应用系统的目录架构和应用层漏洞情况，网站在受保护前存在高危漏洞，受到保护后高危漏洞为0。

自动化未知漏洞攻击防护：不需要攻击特征或规则，即可有效封堵自动化未知漏洞攻击(Struts2反序列等一系列）。

暴力密码猜测、字典攻击或撞库等恶意行为防护：无需设置阈值或频率的情况下可防止攻击者对WEB应用进行暴力密码猜测、字典攻击或撞库等恶意行为。

支持不通过限制访问速率：即可以防止Web CC攻击，应用系统被防护后可以避免单个页面被不停恶意刷新的攻击行为。需详细描述技术实现方式，提供防护前后攻击效果截图和系统告警截图。

针对攻击者使用多源低频的攻击手段进行有效防护，防止攻击者不断更换IP或降低单一IP访问频度来绕过防护策略。

动态封装：对报文中Body内容做动态封装，每次封装的结果均不相同，让攻击者无法直接通过查看Body源代码获得链接、表单信息和JS代码内容，从而实现关键信息的隐藏和漏洞信息的屏蔽，提升下一步攻击的难度。

动态验证：采用动态检查代码验证客户端环境，且每次均随机选取检测项目与数量。通过在原始网页代码中插入主动探测JS代码从而能够发现虚假客户端、违规的客户端和真实客户端类型，有效区分正常浏览器及高级自动化工具访问行为。客户端环境的检查范围包括且不限于客户端的IP地址、操作系统、浏览器版本、浏览器指纹、键盘及鼠标行为等。

动态混淆：提交请求内容混淆：(a)使用动态的混淆算法与密钥对终端用户请求的内容进行保护。(b)对于受保护的请求内容，必须对请求的整体内容进行保护。(c)每次混淆的结果均不相同。

动态令牌：对当前访问的合法请求授予在一定时间内有效的一次性访问令牌（cookie令牌/URL令牌），防止非授权和越权访问行为。

终端环境拦截功能要求：可以基于客户端的运行时环境特征数据实现拦截，包括：客户端指纹，User-Agent、Cookie ID等，实现针对性拦截。

用户行为拦截功能要求：可以基于客户端的真人行为数据实现拦截，包括：键盘输入的次数、鼠标移动的次数、鼠标点击的次数、触摸板开始触摸的次数，实现针对性拦截。

动态拦截功能要求：当请求触发防护规则时，可以设定多种拦截策略，如：阻挡，延时等；且可配置上述拦截策略按百分比随机响应，提升攻击者的对抗分析难度。

系统操作管理

支持创建不同级别的管理员，能够对管理员的能力进行分级分权控制，不同管理员可以对不同的企业资源进行独立的资源授权管理

除系统管理员外，支持创建不同的系统角色，能够对不同的模块功能进行不同的授权，且需要支持“只读”角色

系统参数要求

详细规格参数

场景要求

环境要求

满足征集方生产及测试双环境部署的要求。

运行要求

满足征集方不小于70防护站点的防护要求（系统单位）。

满足征集方在16C/32G计算资源部署的情况下，为70防护站点提供稳定的负载服务质量，应提供满足稳定服务质量的部署实例数量授权。

授权及维保要求

满足征集方五年原厂维保的要求。

系统参数要求

详细规格参数

基础架构

系统架构

系统平台自身支持国产化信创部署。

部署架构

系统支持高可用部署模式。

本项目采用纯软件私有化的部署方式。

产品管理

所有功能组件均为同一管理后台。

系统参数要求

详细规格参数

基础能力

身份管理

支持通过标准OAutp.0、标准SAML、标准CAS、LDAP等协议与公司现有SSO平台的身份认证对接，完成认证

支持从员工中心平台同步架构和用户

支持基于用户、组织架构、角色进行应用授权管理

应用资源发布

支持将B/S、p、SAAS等web应用资源统一发布，支持发布不少于70个应用

将p应用不改变使用习惯情况下发布到IM应用工作台

对web应用，支持应用灰度发布测试，仅有指定部门用户访问经过零信任网关，其他部门依然采用原有访问路径

对web应用，支持放开指定的API接口供其他系统调用，通过IP白名单/UserAgent校验保证安全性

web应用访问日志记录，日志支持标识应用系统的用户身份信息、访问请求方法、请求体、请求主体数据、源IP等信息，需要能记录对应用访问成功和阻断标识，可以记录数据下载状态，以及访问被阻断的原因

支持记录多因子认证日志、管理员日志等多个日志审计维度的日志审计

支持将所有审计信息、系统日志向第三方投递，投递方式包括但不仅限于API接口、Kafka等

免客户端管理

可直接使用浏览器访问，支持HTTP/HTTPS协议应用无需终端部署，支持不低于4000用户并发的使用

针对web应用系统，支持URI级别访问控制

支持基于用户状态的动态访问控制，如时间、地域的应用访问，对指定应用或应用组在非工作时间基于地域来源的禁止访问/下载

支持无客户端状态下，可以使接入的应用不受浏览器同源策略的限制，在域名、协议、端口不相同时也能请求成功，能够支持网关处理跨域、后台处理跨域的能力。当存在多个不同主域名的HTTP应用接入时，可以自动对跨域问题进行处理，避免应用改造

支持单个应用的bypass以及整个网关全部bypass的能力，当出现紧急情况时候具备自动bypass的能力，网关在应用发布时需要具备监控模式和拦截模式等多种模式，便于上线策略验证

支持当应用出现1day等漏洞后，可以在业务不停机情况下进行虚拟补丁修复

数据和安全管控一体化

Web应用数据安全（无客户端场景下）

支持无终端情况下，基于用户对企业内部应用资源的数据安全策略，可以检测识别并审计用户访问应用中包含的敏感数据信息，需要预制不同的数据应用场景，并支持对敏感数据进行分类分级管理，能够将敏感数据与用户的身份进行自动关联还原访问行为形成应用敏感数据日志

支持无端状态下用户请求通过网关的敏感文件检测（文件内容识别），要求支持内置有敏感数据字典，且管理员可自定义关键词或正则表达式的方式创建敏感字段；能够将敏感文件和用户的身份进行自动关联还原访问行为形成应用敏感文件审计日志

支持自动识别访问业务系统的API接口，实现API接口管控

发布API接口后，支持对API调用、访问过程的风险进行分析

支持无端状态下文件附件配置水印的能力，能够支持明水印和暗水印，水印内容支持UID、姓名、员工编号、邮箱、时间或者自定义文件内容，水印字号，透明度可自由调节且水印策略支持的文件大小可以自定义

应用页面应支持防复制、JS防调试，防止数据被复制

应用资源下载控制，文件可查看不能下载

支持从应用中下载、导出的文件添加明/暗水印，水印支持自定义大小、密度、颜色等，支持时间戳显示

敏感数据分类分级，分类分级策略可根据使用需求进行自定义，包括识别内容和等级划分，需要支持多种企业场景的敏感数据分类，可以对敏感数据类型进行批量导入和自定义配置

支持数据使用风险分析和告警，可以基于使用人的角度识别风险，以及进行禁用，注销等操作，需要将用户的访问行为、应用、应用敏感数据、应用敏感文件（文件内容识别）进行关联识别

支持对应用系统业务数据访问时进行动态脱敏，包括个人客户信息：姓名、银行卡号、密码、住址、联系方式、身份证号、交易信息等信息。

行为审计及控制

支持全链路日志审计查询，基于用户的访问痕迹，包括登录、访问应用等身份信息的关联。在发生敏感文件泄露后也可通过日志、水印、快速定位人员。

在发生敏感文件泄露后也可通过日志、水印、截图快速定位人员、泄露的文件信息

安全防护

能够对应用注入攻击、恶意扫描等行为进行检测和告警

支持无客户端状态下，对账号的登录IP地址与HTTP应用访问IP进行一致性校验，防止黑客通过XSS等手段盗取会话后，冒用其他用户会话身份登录

系统操作管理

分级分权

支持创建不同级别的管理员，能够对管理员的能力进行分级分权控制，不同管理员可以对不同的企业资源进行独立的资源授权管理

系统角色管理

除系统管理员外，支持创建不同的系统角色，能够对不同的模块功能进行不同的授权，且需要支持“只读”角色

系统参数要求

详细规格参数

场景要求

环境要求

满足征集方生产及测试双环境部署的要求。

运行要求

满足征集方不小于70防护站点及4000用户的防护要求（系统单位）。

满足征集方在16C/32G计算资源部署的情况下，为70防护站点提供稳定的负载服务质量，应提供满足稳定服务质量的部署实例数量授权。

授权及维保要求

满足征集方五年原厂维保的要求。