发布时间:2023年05月26日
因业务发展需要,****拟对指掌易移动安全管理平台项目进行招标,现将相关事项公告如下:
一、招标内容:
产品 | 模块 | 指标项 | 功能描述 |
移动安全管理平台 | 系统整体功能要求 | 系统整体功能要求 | 1.支持iOS、Android、PC多平台的移动办**全管理; 2.iOS不需要安装设备管理配置文件,Android不需要激活设备管理器,满足BYOD环境下轻量化实现方式; 3.提供600个移动端和100个PC端授权。原厂一年维保服务。 |
系统用户及认证管理 | 系统用户及认证管理 | 用户同步:支持手动导入、支持基于模版批量导入、支持与AD/LDAP; 用户管理:1、实现创建、修改、删除、导入、导出用户; 2、实现搜索、查看用户信息; 3、实现激活/取消激活用户,已停用用户无法登录 用户认证:1、支持平台本地认证; 2、支持AD/LDAP、第三方IAM认证; 3、支持多因素认证:支持用户名密码+短信验证码相组合的双因素认证,通过与第三方系统对接支持动态口令、数字证书、生物特征等认证方式,并支持各认证方式的组合满足双因素认证的要求 | |
移动设备管理 | 对设备的远程操作 | 1、实现远程对设备锁定、擦除、删除、标记丢失、标记找回及清除密码 2、支持设备定位,包括实时定位及历史轨迹;支持播放铃声;支持消息通知;支持强制设备锁屏;支持标记丢失;支持擦除设备;支持删除设备;支持清除设备密码;支持SD卡状态变更 | |
设备管控策略 | 强制密码、应用黑白名单、WiFi黑白名单、蓝牙黑白名单、URL黑白名单,企业WiFi配置、APN配置、内部邮件配置、设置墙纸等 | ||
设备功能控制策略 | 安卓设备:支持Android设备限制,禁止使用摄像头/禁止发送短信/禁止使用WiFi网络/禁止开启WiFi网络/强制开启WiFi网络/禁止开启移动数据网络/强制开启移动数据网络/禁止使用外置存储(TF卡)/禁止开启网络共享热点/禁止使用系统原生浏览器/禁止使用麦克风/禁止修改系统时间和日期/禁止使用定位服务/禁止开启开发者选项、USB调试及数据传输/禁止使用蓝牙/禁止恢复出厂设置/禁止使用移动数据网络(2G/3G/4G)/禁止使用第二张SIM卡/禁止使用设备分身、访客仅/禁止使用下拉通知栏/禁止使用APN设置/禁止截屏/禁止开启飞行模式/禁止使用设备备份/强制开启GPS/强制关闭GPS/禁止安装外部来源应用/禁止使用NFC/禁止MTP数据传输; 支持在安卓设备禁止使用摄像头功能上配置例外应用(可要求提供相关配置截图); 安卓设备支持禁止使用设备分身、访客(可要求提供相关配置截图) | ||
移动端品牌、系统适配 | 移动端品牌、系统适配 | 移动设备管理支持国产五大品牌:华为、荣耀、小米、OPPO、VIVO,终端形态包括手机、平板; 移动设备管理支持Android、鸿蒙、IOS系统 | |
移动设备合规管理 | 系统类型合规 | 设备破解情况、设备在线状态;系统版本、SIM卡、电量、存储空间状态的合规检测及合规策略的配置 | |
应用类型合规 | 设置必装应用检测,一旦违规触发违规机制 | ||
违规机制 | 违规告警、远程锁定设备、擦出企业应用、恢复出厂设置、禁用企业应用 | ||
安全桌面 | 设置安全桌面,设备启动后自动进入安全桌面状态,同时可以设置安全桌面内可见内容 | ||
移动端内容管理 | 文件夹管理 | 实现查看、**、编辑、删除文件夹、实现根目录删除 | |
文件管理 | 支持支持单个文件或文件夹压缩包的上传,支持所有格式:e.g. PNG、JPG'>下载 |
安全策略
1、支持文档上传自动加密
2、支持受限阅读,文档只能加密应用查看
3、实现对文件有效期、文件分发通知、文件下载和预览权限、文件自动下载进行设置
移动端数据备份
通话记录
对终端产生通话记录进行数据备份,包含通话时间、通话类型等并进行数据统计,自定义时间段内拨打接通、拨打未接通、来电接通、来电未接通次数
短信记录
对终端产生短信记录进行数据备份,包含短信记录、彩信记录,并对短信发送次数、接收次数、彩信发送次数、彩信接收次数统计
通讯录
对终端通讯录产生数据进行数据备份。可远程添加/删除通信录数据
相册
对终端相册数据进行备份,包含相册图片数据、视频数据
移动应用管理及数据安全
应用生命周期管理
支持H5,本地H5,APK、IPA文件的后台上传,基于用户、组织等进行应用分发;
支持应用的多版本管理、灰度发布、应用的下架以及回收
应用安全服务能力
对上传平台的应用提供APP加固服务、提供代码混淆、放反编译、加密等能力;
对上传平台的APP提供APP检测服务,包括APP自身代码漏洞、逻辑漏洞、低安全性能力等检测能力,并可导出APP检测报告
应用赋能
1、快速沙箱化:可以快速对apk、ipa文件进行沙箱化处理,并提供响应的安全能力;
2、原包影响:沙箱化后的原包增量不超过30M(直接影响APP初始化、启动的效率);
3、应用进程:工作空间的应用安装,需独立安装在操作系统内,具备独立的进程,保障应用能继承原有操作系统的安全性,以及应用运行的性能及稳定性
基础办公套件
1、安全邮件:提供企业私有、统一、具备安全能力的办公套件;
2、安全通讯录:提供企业内部通讯录管理模块;
3、安全文件管理器:提供企业内部文件预览及文件管理的套件
应用数据DLP策略
1、Android企业应用与H5应用支持应用水印支持**印与暗水印模式
2、Android企业应用与H5应用支持截屏/录屏保护,禁止对此应用截屏或录屏,或监控对此应用的截屏操作,上报截屏信息,禁止此应用自身的截屏/录屏操作
3、Android企业应用与H5应用支持复制、粘贴保护,仅允许应用数据复制粘贴至开启此保护的应用,或禁止应用数据复制粘贴至任何应用
4、Android企业应用与H5应用支持应用数据加密
5、Android企业应用与H5应用支持应用文件隔离,实现文件路径加密混淆
6、Android企业应用支持安全键盘功能,具备随机按键布局模式
7、Android企业应用与H5应用支持应用运行安全策略,包括禁止应用启动、 禁止应用自启动、禁止通知栏消息、禁止后台运行
8、Android企业应用与H5应用支持使用网络控制,包括禁止使用WiFi网络、禁止使用移动数据网络
9、Android企业应用与H5应用支持系统权限限制,包括禁止拨打电话、禁止发送短信、禁止读取短信、禁止修改删除短信、禁止读取通话记录、禁止修改删除通话记录、禁止读取联系人、禁止修改删除联系人、禁止获取手机号、禁止调用蓝牙、禁止调用打印服务、禁止访问多媒体**、禁止调用摄像头、禁止调用录音功能、禁止获取地理位置;
10、以上策略,具备基于角色、应用、应用不同版本的细粒度策略执行,同时上述策略可以动态变更
应用数据策略模版
1、支持设置复制粘贴白名单限制字符数
2、水印的大小、颜色、角度、内容进行灵活配置
3、支持配置Android、iOS、H5应用策略模板(需提供相关配置截图)
兼容性要求
兼容性要求
通用操作系统:支持CentOS、Redhat操作系统;
信创:中标**;
通用数据库:支持Oracle、Mysql数据库;
信创数据库:达梦数据库、人大金仓数据库
移动端能力扩展要求
本地日志收集(门户客户端)
在服务端对平台客户端本地日志进行收集
应用性能监控(集成SDK)
应用集成性能监控SDK,可收集应用运行的性能情况,**崩溃、卡顿
应用行为监控(集成SDK)
应用集成行为监控SDK,可收集用户使用应用的点击习惯
JS SDK
丰富H5应用对终端本地功能的调用能力,例如相机拍照、GPS定位、拨打电话等
SSO SDK
单点登录SDK,应用集成后可以实现单点登录
安全能力SDK
提供移动端安全能力SDK,应用集成后具备安全空间所有安全能力
PC端工作域
工作域管理
支持创建、修改、删除多个工作域;
支持搜索、查看工作域信息
应用管理
支持Windows应用自动上报和手动添加;
支持搜索和查看应用详情
安全策略
1、支持配置工作域水印,可设置仅工作域应用窗口水印和全屏水印;
2、支持配置工作域截屏检测控制;
3、支持配置工作域打印控制;
4、支持限制系统剪贴板,支持控制工作域外数据拷贝至沙箱和工作域内拷出字数限制;
5、支持配置工作域剪贴板复制粘贴白名单;
6、支持smb协议访问控制
应用策略
1、支持配置工作域内应用拦截方式;
2、支持配置应用黑/白名单,支持按用户、生效时间和应用选择
网络策略
1、支持配置网络黑/白名单,支持IP、IP段、IP区间和域名控制;
2、支持控制工作域内SDP**访问控制;
3、支持网络策略导入、导出
文件外发设置
1、支持配置工作域外发流程、大小限制和文件外发审计参数;
2、支持与移动端联动,通过移动端进行外发审批操作;
3、支持设置外发审批模式,支持特权工作域或特权用户
预置应用
1、支持配置网页链接类型应用,打开后快速使用本地默认浏览器打开。支持配置指定的浏览器打开;
2、支持预置本地原生应用,支持配置应用进程名称和启动参数;
3、支持预置samba文件服务器,客户端可使用**管理器打开;
4、支持原生应用未安装时进行错误提示或提示下载软件仓库应用
全局配置
支持配置截屏操作审计和截屏图片审计
工作域DNS配置
支持为指定工作域配置沙箱内域名解析服务器
应用管理
已安装应用管理
支持展示用户所有已安装应用;
支持自定义添加应用
软件仓库
1、支持第三方PC应用的上传、发布、下架和编辑操作;
2、支持对第三方应用进行分发和下载;
3、支持对第三方软件进行分类展示设置;
4、支持对接独立下载服务,应用上传支持本地发布/远程发布类型
PC客户端策略
客户端限制性策略
支持动态下发客户端强制开机自启、自动登录、卸载 退出限制、隐藏窗口等限制,并支持通过心跳调整和下发;
支持下发网络数据加密功能,防止中间人攻击
PC工作域审计
程序启动拦截日志
支持查看工作域启动禁止程序被拦截日志;
支持数据搜索和导出
复制粘贴拦截日志
1、支持查看工作域复制粘贴被拦截日志
2、支持查看复制粘贴的文本、图片和文件内容;
3、支持数据搜索和导出
网络拦截日志
支持查看工作域访问禁止网络被拦截日志;
支持数据搜索和导出
打印控制日志
支持查看工作域中打印文件日志;
支持数据搜索和导出
截图审计日志
支持查看工作域截图审计日志,支持查看截图内容;
支持数据搜索和导出
外发审计日志
支持查看文件外发审批流程和审核日志
syslog协议
审计日志支持通过syslog协议发送至第三方日志服务器
SDP零信任网关架构及兼容性
安全架构符合SDP规范
安全架构需符合CSA定义的SDP规范,采用客户端+控制器+网关的SDP安全架构,控制流和数据流分离
先认证后链接
采用先认证后接入的安全协议,在允许接入网关等之前先检查用户身份合法性
端口隐藏
业务系统和SDP网关均无需对外暴露任何TCP端口,使用SPA单包授权技术,仅通过认证的用户才能通过网关正常访问业务,减少互联网暴露面,降低恶意攻击和入侵风险
多类型终端接入
支持Android 7.0-11.x、iOS 11.0-14.x、Windows 7 32/64bit、Windows 10 32/64bit、MacOS 10.12以上等终端的接入
SDP零信任网关认证
SPA单包授权
需支持SPA单包授权技术,客户端先向控制器发送SPA认证消息,认证通过后,网关的端口才能对客户端开放
UDP敲门
SPA消息通过UDP协议敲门,控制器仅需开放一个UDP端口,避免开放TCP端口容易被扫描和攻击的问题。
客户端IP黑名单
在IP黑名单中的客户端无法发起SPA敲门,控制器默认丢弃请求
用户体验
SDP零信任网关客户端支持配置多个服务信息
客户端支持配置和保存多个服务器信息,可便捷切换
和安全工作空间客户端整合
使用安全工作空间客户端(包括移动端、PC端)即可自动登录SDP网关,用户无感知
二、招标要求:
1、投标人须获得厂商代理授权,具有履行合同所必需的设备和专业技术能力;
2、本项目不允许联合体投标,也拒绝挂靠、分包或转包;
3、持有真实、有效的营业执照、组织机构代码证、税务登记证或加载统一社会信用代码的营业执照。3年内,在经营活动中
没有重大违法记录,正常经营未处于责令停业、财产被接管、冻结、破产等状态。具有健全的财务会计管理制度,并能开具
合法的增值税专用发票;
4、投标人及其法定代表人不得为失信被执行人。招标人对投标人及法定代表人失信信息进行查询(具体以开标当天“信用
中国”网站www.****.cn查询为准),若为失信被执行人的,则否决其投标。
三、报名时间:即日起至2023年05月31日17:00,逾期报名恕不接受。
四、报名资料:
1、企业法人营业执照、企业法人代表授权书、企业法人身份证复印件或授权代表身份证复印件;
2、代理商提供原厂针对项目产品的授权函及质保承诺函;
3、****公司相关资质、资格证明文件。
五、报名地址:**省睢**元府东路99号。
六、联系方式:
联 系人:胡亚
联系电话:152****3614
邮政编码:221200
![](http://wap.qianlima.com/imgs/xunhuan.png)