零信任安全接入平台 项目招标公告
一、招标项目
绿**国 零信任安全接入平台 项目
二、建设背景与建设内容
1、项目背景
当前集团多数核心业务系统部署在公有云上,为方便业务快速开展将业务系统直接映射在互联网上,网络边界逐渐模糊,随之带来更多安全风险。结合绿城信息安全发展现状,存在业务系统互联网暴露严重、多套身份源安全标准不一致、缺乏动态访问控制能力等问题。
2、建设内容
2.1 建设目标:
(1)搭建零信任安全接入平台,能够提供统一的控制台供管理员完成配置和管理;
(2)收缩业务系统互联网暴露面,应用无需改造,在接入零信任平台后可实现对外不暴露任何业务端口和服务;
(3)加强数据传输安全,支持TLS、国密等多种加密算法,为无端模式下的系统访问提供加密通道;
(4)用户通过PC端/移动端访问业务系统时,无需安装客户端,也可提供便捷、稳定、安全的办公访问模式,不改变原有访问习惯、访问过程无延迟;
(5)实现多个身份源、认证源的统一管理,支持现有CAS/AD/绿城通的同时认证,提供短信验证、动态码等多种多因素认证方式;
(6)可根据不同组织配置不同的访问权限,能够实现url 级别的精细化和动态权限管理,并能够实现审计和拦截;
(7)后台控制粒度精细化,支持多维度下发策略,具有安全日志审计、应用明暗水印等能力。
2.2 具体需求详见附件《零信任安全接入平台项目招标需求》。
三、报名参加投标的供应商应符合下列条件
1、资格条件:
A)投标人为中华人民**国境内注册具****公司,人员规模100 人以上;
B)注册资金在人民币1000万元及以上(或等值外币);
C)具备:1)ISO9001质量体系认证;2)ISO27001信息安全管理体系标准认证,以上证书须提供证书扫描件。
2、业绩要求:
A)近三年内,具备至少3个合同额100****公司项目案例,建设内容与本次需求匹配度高,须提供相应的业绩证明材料。(如中标通知书、合同扫描件等,至少包括主体名称、项目概况、产品模块、时间、签字盖章页等);
B)近三年年均营业额最低5000万元人民币以上,投标人的营业时间不得少于3年。
3、信誉要求:
A)投标人不属于在“信用中国”网站(www.****.cn)中查明的失信被执行人。
B)不接受被绿**国列为D级(2年内)、或者黑名单的供应商参与。
4、联合体投标:不允许。
5、分包转包:中标单位必须独立完成本项目,不得分包/转包给第三方。
6、投标人不能作为其他投标人的分包人同时参加投标。单位负责人为同一人或者存在控股、管理关系的不同单位,不得同时参加投标。
7、法律、行政法规规定的其他条件。
四、招标人将对报名的供应商进行资格审查,审查合格并接到投标邀请的供应商方可参加投标。投标人递交的投标文件应包括:(1)资信标书及其他资料;(2)技术标书;(3)商务标书。
五、报名时间及方式
报名时间:自本公告公布日起至 2024年11月29日时止。
本次招标只接受绿**国招采平台(https://lczc.****.cn)在线报名。请于报名截止时间前,在绿**国招采平台中进行供方注册、提交相关资料,经审批同意完成注册,然后点击相关公告报名。
六、报名联系人及联系电话
联 系 人:****建设中心 陈靖鸿
电 话:138****4033
联系人邮箱:****@chinagreentown.com
联系地址:杭大路1****广场A座10楼
七、监察投诉电话
0571-****3911(工作日9时-18时) 绿城集团监察部 张先生
投诉邮箱:****@163.com
附件:《零信任安全接入平台项目招标需求》
(一)系统要求
| 技术要求分类 | 详细规格参数 |
| 系统架构 | ★系统平台支持硬件设备部署、虚拟化环境部署、云平台部署,支持多节点、横向扩展和HA,支持结合实际使用场景灵活组合或扩展。 |
| 部署架构 | ★系统支持所有功能及模块集中管理,平台可集中展示各个组件的信息,如服务地址、组件名称、组件状态。 |
| ★系统支持监控各个组件所属服务器的CPU、内存、磁盘等软硬件**占用情况。 | |
| 零信任网关、控制中心支持本地集群和公有云的分布式部署,并由一个控制台集中进行管理和配置,支持纯软件的部署方式。 |
系统部署按照招标人要求,部署在我司指定的服务器端或云端。
(二)功能要求
| 技术要求分类 | 详细规格参数 |
| 身份管理 | ★同时支持与AD域、绿**国主数据平台对接,获取绿城组织架构、账号等身份源信息。 |
| ★同时支持与AD域、****中心(CAS)对接,同时启用多个认证源。 | |
| ★无端方式下,零信任的认证与用户访问的应用原有认证方式保持一致,不改变原有操作习惯,实现前端无感认证。 | |
| 支持组织架构和用户数据定时同步,支持多个身份源的统一管理。 | |
| 应用发布 | ★支持7层/4层**发布能力,可将基于域名、飞书工作台、IP+端口等应用**统一发布。 |
| ★应用**接入支持只针对某个应用URL的具体路径配置,主域名不受影响。 | |
| ★支持HTTPS双向认证功能,在用户访问应用时网关会校验用户的客户端证书,确保访问过程的全链路加密。 | |
| ★支持先试点再全局方式发布应用,可通过改写本地解析/平台基于分组发布**等方式做到对同一个应用的不同访问路径,即试点用户通过零信任通道,其余用户正常访问不受影响。 | |
| **管控 | ★支持基于组织架构、角色、账号进行**授权,授权可支持对具体某个应用下URL级别细粒度**授权。 |
| ★对于接入平台的应用,不明显增加首次登录/日常使用的页面延迟,做到用户访问无感。 | |
| 支持Web业务应用的连通性监控告警功能,当Web应用连通性检测失败时进行告警,可快速发现业务侧异常。 | |
| 对于发布的应用可设置拦截、审计、放行等访问方式,****中心判断每一个请求是否合法,决定是否允许用户访问应用系统。 | |
| 支持应用Bypass模式,只对流量进行代理,不做任何控制,实现软件故障逃生。 | |
| 安全功能 | ★支持配置应用水印,Web水印可配置显示姓名、手机号等用户身份信息,防止手机拍照或截屏等信息泄露方式。 |
| 水印支持**印/暗水印两种模式。 | |
| 访问应用时可指定URL进行页面下载控制。 | |
| 根据组织架构、角色账号等,对其访问的前端敏感数据进行脱敏处理,确保数据安全的同时不影响正常业务流程。 | |
| 日志管理 | ★支持系统平台分析日志syslog或kafka外发。 |
| 支持组件运行日志、WEB应用访问日志、系统登录日志、账号**访问日志等。 |
注:标★为必须满足项。
相关公告
换一批