XX系统-信息安全防护体系-零信任安全访问能力项目采购需求.docx

XX系统-信息安全防护体系-零信任安全访问能力项目采购需求一、项目背景与建设目标项目背景：按照XX部相关标准规范要求，结合省XX厅云平台、警综平台等建设实际及信息安全现状，为提升XX系统安全防护能力，规范建设安全管理能力，为新一代XX信息网智能化建设提供立体化纵深防御体系，形成严密安全保障。目标内容：基于我省新一代XX信息网及安全基础设施，升级扩容省厅现有安全访问通道；建设数据交换通道，加强可信检控管理，部署数据中心配套安全防护能力；建设零信任体系一期，包括统一认证服务、权限管理服务、业务审计服务、环境感知服务、业务安全策略控制服务等；加强各服务联动和能力集成,实现各安全子系统的整体对接协同，初步构建零信任体系。二、建设内容建设任务建设分项分项说明采购类型单位数量安全访问通道（升级扩容）可信检控管理（政法链路）为可信接入检控、可信应用检控提供集中配置、集群管理、连接会话管理、访问授权判定、风险响应等能力。根据设备环境、用户行为等属性及可信环境感知状态，动态控制用户的应用访问，保证业务应用访问的安全策略控制及强制实施。2U机箱；冗余电源（550W）、4T硬盘；2*USB;1*VGA;1*BMC;标配4*千兆电口；产品3年质保；为TAP、TIP提供集中配置、管理、会话、授权等能力。可和外部身份与访问管理平台实硬件台2现认证、权限策略管理等能力。可信检控管理为可信接入检控、可信应用检控提供集中配置、集群管理、连接会话管理、访问授权判定、风险响应等能力。根据设备环境、用户行为等属性及可信环境感知状态，动态控制用户的应用访问，保证业务应用访问的安全策略控制及强制实施。2U机箱；冗余电源（550W）、4T硬盘；2*USB;1*VGA;1*BMC;标配4*千兆电口;产品3年质保；为TAP、TIP提供集中配置、管理、会话、授权等能力。可和外部身份与访问管理平台实现认证、权限策略管理等能力。硬件台2数据泄露检测网络数据防泄漏系统，机架式设备，网络流量监控能力2Go支持常见的网络数据保护，包括：HTTP、HTTPS、FTP、SMTP、IMAP协议解析、对通过网络上传的附件和外发的内容进行扫描和监控、支持实现网络风险事件审计功能；支持多种策略配置，包括支持根据不同的组织机构下发不同的策略、支持针对不同的用户、用户组下发不同的策略、支持针对不同类别/级别的数据下发不同的策略、支持根据指定邮件域、收发邮件地址进行策略配置；支持基于机器学习和自然语言处理识别技术；支持持续样本学习及机器学习智能规则管理；支持通过机器学习实现数据内容识别规则在线调优，可持续提高识别准确性。硬件台1日志审计性能：事件处理最高3000EPS。硬件规格：标准IU机箱，6个千兆电口，2个扩展插槽（可选2万兆光、4千兆电、4千兆光），1个Conso1e硬件台1接口，单电源，4T硬盘。包含50个日志源授权，三年硬件维保服务和三年软件升级维护服务。负载均衡性能参数：最高4层吞吐量：40Gbps,并发连接数：12000000,4层新建连接数CPS：500000,7层新建连接数RPS：500000o硬件参数：规格：2U,硬盘容量：240GSSD,电源：冗余电源，接口：6千兆电口+2万兆光口SFP+o要求同时支持链路负载均衡，服务器负载均衡，全局负载均衡，支持主动与被动故障检测等功能。产品质保（*5年）；软件升级（*5年）；硬件台2蜜罐主机（2U标准上架设备；含滑轨）一台。4*GE电口；2*1OGE光口；4*1JSB接口；1*DB9COnSoIe接口；冗余电源；4TBSATA存储硬盘。含系统软件一套。含三年产品标准维保服务；三年软件升级维护服务。硬件台1驻场人员服务日常运维安全访问通道，配置相关策略，针对各业务系统对接提供相关指导协助。熟练掌握本项目安全系统的规划部署、测试、实施及优化等；熟练掌握XX大数据智能化应用安全体系要求；具备良好的逻辑分析能力及较强的学习能力，有团队合作精神和敬业精神；语言表达能力较强，思路清晰，能顺畅的与管理部门和业务对象进行沟通。服务年3原信息中防火墙系统（一级多核AMP+架构，网络层吞吐量60G,并发连接21000万，每秒新建连接数60万，标准2U机硬件台2心安全设备升级网）（核心产品）箱，冗余电源，标准配置1个COnSOIe口、1个HA接口，1个MGT接口，4口万兆多模SFP板卡，支持2对硬件bypass；4口千兆多模SFP板卡；支持2对硬件bypass；8千兆电口板卡；另有1个接口板卡扩展插槽，支持液晶屏，含三年硬件维保服务。三年IPS和三年AV特征库升级。日志审计系统（原信息中心）事件处理性能最高Iooooepso硬件规格：标准2U机箱，4个千兆电口，1块RA1D卡，2个扩展插槽（可选2万兆光、4千兆电、4千兆光），冗余电源，8TB*3块硬盘，使用RIAD5数据保护。包含500授权节点，包含三年硬件标准维保，三年软件升级服务。硬件台1负载均衡（PKI系统）标准2U设备，千兆电口26个，万兆电口22个，双电源，四层吞吐230G,最大并发连接数21200万，4层每秒新建连接数（CPS）250万/秒，7层每秒新建连接数（RPS）260万/秒。硬盘256GSSD.,质保5年，软件升级5年。硬件台2数据传输通道下一代防火墙1采用多核架构，IU机架式设备，千兆电口14个，千兆光口8个，万兆光口8个（配置2个万兆单模光模块）。硬件台4下一代防火墙2采用多核架构，CPU物理核心数：8,内存16G,硬盘配置:64GSSD,2U机架式设备,8个千兆电口，4个千兆光口，4个万兆光口，2个扩展槽位，双交流电源。硬件台2集控探针1inUX操作系统，网络接口26个；10/100M/1000M电口。硬件台1设备准入控制器6个IOooMBASE-T接口,2个万兆光口。每秒事务数（TPS）：222000（次/秒），最大吞吐量：硬件Zx224GbPSo数据交换节点交换能力：4Gbps;最大支持服务个数：260；最大传输延时：VIOmSo硬件台8数据交换接口机4个10/100/1000MbaSe-TX；4个万兆口（含万兆光模块），支持扩展插槽；硬件Zx4数据传输节点内外网接口各标配6个100/IOOOMBase-TX网络接口，2个IOOOoM光口。具有两个独立主机，独立主机之间，仅使用单个无源分光器进行单纤连接，不存在反方向的物理通道。硬件台6数据交换管控节点配置4个1001000MBase-TX网口。硬件台1可信应用数据检控节点4个101001000MBase-T电口，2个万兆光口。硬件台1集中监控管理系统4个10/100M/1000M电口；数据库容量：21TB；最大支持业务数量：1000;最大监控并发用户数量：25000；硬件台1交换机1交换容量22.56TbPs,包转发率2720MPPs,以上指标以官网最小值为准;万兆光口N24个（满配万兆多模光模块），40GQSFP+端口22个，业务插槽22个，冗余250W交流电源，冗余风扇；硬件台2交换机2交换容量22.56TbPs,包转发率2720MPPs,以上指标以官网最小值为准;万兆光口224个（配置12个万兆多模光模块），5G2.5G/1G自适应电口28个，40GQSFP+端口22个，业务插硬件台4槽22个，冗余250W交流电源，冗余风扇；零信任体系一期警综平台.零信任模块-认证服务升级警综平台认证功能，建设零信任模块认证服务。在数据域单独部署，提供可信检控点的接口服务，增加认证因子，提供认证代理服务。定制化软件人/月56警综平台零信任模块-权限服务升级警综平台权限功能，建设零信任模块权限服务，包含个人管理权限，异常鉴权的预警等功能。定制化软件人/月32警综平台.寄信任模块-基础要素管理升级警综平台应用管理、建设服务目录，建设零信任模块，部署到数据域。包含服务目录管理、应用目录、对接API网关、对接云服务总线等功能。定制化软件人/月8警综平台.零信任模块-地市级级联升级警综平台认证服务、基础要素管理服务，支持针对地市级开放统一标准化接口。定制化软件人/月4环境感知服务中心提供2000节点环境感知客户端软件，三年服务期内提供免费升级服务。商品化软件占八、2000环境感知代理提供环境感知客户端的接入代理功能，将客户端到环境感知服务之间的请求以及环境感知风险信息发送到环境感知服务。环境感知服务负责对终端身份进行可信标识，对终端环境进行感知和度量，并传递给策略控制服务，协助策略控制服务完成终端的可信环商品化软件套48境核查，从而实现动态访问控制的目的。环境感知服务应具备生成终端身份标识管理、感知策略管理、环境感知内容管理、终端环境感知报告、云桌面联动感知等功能。环境感知内容应具备系统环境感知与度量、物理环境感知与度量、安全配置风险感知与度量等方面。环境感知服务与策略控制服务、终端、应用之间联动。与策略控制服务联动实现可信环境感知结果的查询和通知；与终端联动实现终端环境数据的上报及感知策略下发；与应用联动是实现应用环境数据的上报及感知策略下发。业务安全策略控制中心(1)实时数据：业务策略控制中心的首页从系统概览，提高获取信息效率的角度，提供了展示当前天实时的数据接入、信任查询推送、登录设备数、登录用户数、各信任模型的计算情况以及资源使用情况。(2)风险汇聚：业务策略控制提供了风险汇聚的能力，可将环境感知中心、审计中心、权限中心、认证中心和安全访问平台及安全防护策略控制服务传递的风险信息进行收集、汇聚，用于后续关联分析和信任评估。(3)风险识别：业务策略控制中心内置了事件的详细分类信息，只有被系统识别，并且能归类到系统事件分类中的事件，才会被响应。(4)信任评估：业务策略控制中心的信任基线计算根据多方输入的事件、日志等信息的持续性分析，根据基线配置，对用户、终端设备、移动端设备、服务器设备、API用户5个大类主体进行信任等级的计算，界面上展示各类主商品化软件套65体的基线配置项数据。(5)联动通报指令：业务策略控制提供下发安全控制指令的能力，策略执行点下发相关执行指令。(6)统计中心：在业务策略控制中心数据统计中心部分，管理员可以对其它模块请求提交日志进行搜索查看，对大数据应用访问情况有总体统计展示，并且能够自己定义并生成相关的日志访问报表。支持厅机关新一代XX网业务系统IOO个以内的访问汇聚风险，提供风险识别和大数据分析。省厅害信任体系集成开发集成开发整体零信任体系，梳理业务需求，统一协调各功能模块进行对接，规范管理接口文档，组织相关测试方案。按照部标的要求进行功能点核对。服务套1驻场人员1名日常运维零信任体系，配置零信任体系相关策略，针对各业务系统对接提供相关指导协助。一名驻场人员(综合运营)三年驻场服务。服务年3整体项目集成费用根据项目总体费用，项目集成费用3.3%。服务项