綠城中國零信任安全接入平臺項目

技術(shù)要求分類

詳細(xì)規(guī)格參數(shù)

基礎(chǔ)能力

身份管理

★支持與綠**國主數(shù)據(jù)平臺對接，獲取綠城組織架構(gòu)、賬號等信息，支持AD域、飛書等多個身份源的信息同步。

★支持與綠**國CAS認(rèn)證中心以及AD對接，管理員可根據(jù)應(yīng)用采用的認(rèn)證方式選擇該應(yīng)用在零信任平臺采用AD認(rèn)證或CAS認(rèn)證，用戶前端無感。

★支持組織架構(gòu)和用戶定時同步，支持多個身份源的統(tǒng)一管理，身份源與認(rèn)證源分離。

支持賬號會話策略，如會話有效期、會話最大空閑時間、賬號并發(fā)會話限制。

支持限制賬號登錄終端的數(shù)量，配置終端與賬號強(qiáng)綁定，同時可以對特權(quán)賬號進(jìn)行白名單放行。

支持對設(shè)備進(jìn)行可信資產(chǎn)檢查，僅允許可信資產(chǎn)清單內(nèi)的設(shè)備進(jìn)行賬號登錄。

具備閑置賬號管理，定時對賬號進(jìn)行閑置檢查，可以設(shè)置閑置時間及閑置后自動禁用，同時可以生成閑置賬號報表。

支持離職賬號終端信息自動回收、訪問權(quán)限自動回收功能。

支持不同應(yīng)用設(shè)定不同的認(rèn)證方式，支持基于用戶、訪問時間、訪問數(shù)據(jù)量等對用戶的訪問進(jìn)行攔截或二次認(rèn)證。

應(yīng)用**發(fā)布

★支持七層應(yīng)用**發(fā)布能力，可將基于域名將B/S、H5、SaaS等應(yīng)用**統(tǒng)一發(fā)布。

★支持四層應(yīng)用**發(fā)布能力，基于TCP/UDP協(xié)議，泛域名、IP地址范圍、端口范圍進(jìn)行隧道**發(fā)布。

★支持HTTPS雙向認(rèn)證功能，在用戶訪問應(yīng)用時網(wǎng)關(guān)會校驗用戶的客戶端證書，確保訪問時用戶身份的合法性。

HTTP應(yīng)用發(fā)布支持多種回連模式代理用戶訪問，支持單服務(wù)器模式部署應(yīng)用模式，高可用模式部署的應(yīng)用和負(fù)載均衡模式部署的應(yīng)用。

★支持先試點再全局方式發(fā)布應(yīng)用，可通過改寫本地解析/平臺基于分組發(fā)布**等方式做到對同一個應(yīng)用的不同訪問路徑。試點用戶通過零信任通道，其余用戶正常訪問不受影響。

支持?jǐn)r截模式發(fā)布應(yīng)用，默認(rèn)攔截所有訪問，****中心判斷每一個請求是否合法，決定是否允許用戶訪問應(yīng)用系統(tǒng)。

支持觀察模式發(fā)布應(yīng)用，此模式下網(wǎng)關(guān)不對用戶訪問攔截，但會記錄用戶的每一個訪問行為并記錄匹配的安全策略，可實現(xiàn)策略驗證，減小直接攔截模式發(fā)布應(yīng)用的兼容性風(fēng)險。

支持?jǐn)?shù)據(jù)審計模式，支持對未采用CAS認(rèn)證中心及AD的認(rèn)證方式的應(yīng)用，用戶無需進(jìn)行零信任側(cè)身份認(rèn)證，根據(jù)IP或賬號對用戶行為進(jìn)行審計，以及動態(tài)訪問控制。

支持Bypass模式，只對流量進(jìn)行代理，不做任何控制，實現(xiàn)軟件故障逃生。

★支持Web業(yè)務(wù)應(yīng)用的連通性監(jiān)控告警功能，當(dāng)Web應(yīng)用連通性檢測失敗后進(jìn)行告警，快速發(fā)現(xiàn)業(yè)務(wù)側(cè)異常

支持API接口發(fā)現(xiàn)功能，對API**的IP訪問可進(jìn)行白名單控制和UserAgent訪問校驗。

日志管理

★支持系統(tǒng)平臺分析日志syslog或kafka外發(fā)。

★支持終端設(shè)備信息日志審計，如終端硬件信息、系統(tǒng)信息、安全信息、軟件信息、文件信息、網(wǎng)絡(luò)信息、外設(shè)信息等日志采集記錄。

支持終端合規(guī)基線檢查、攻擊檢測日志記錄，日志需要標(biāo)識終端使用人和終端唯一標(biāo)識信息。

支持基于四層網(wǎng)絡(luò)**訪問日志、基于域名**訪問日志、設(shè)備登錄日志記錄，日志需要標(biāo)識終端使用人和終端唯一標(biāo)識信息，以及訪問被阻斷的原因。

web應(yīng)用訪問日志記錄，日志需要標(biāo)識應(yīng)用系統(tǒng)的用戶身份信息，需要能記錄對應(yīng)用訪問成功和阻斷標(biāo)識，可以記錄數(shù)據(jù)下載狀態(tài)，以及訪問被阻斷的原因。

應(yīng)用訪問控制

應(yīng)用基本安全保障

★支持基于組織架構(gòu)、角色、賬號進(jìn)行**授權(quán)，授權(quán)可支持對具體某個應(yīng)用下URL級別細(xì)粒度**授權(quán)。

★支持指定用戶或用戶組強(qiáng)制使用客戶端訪問，便于外包、供應(yīng)商人員訪問時強(qiáng)制部署終端。

★支持基于應(yīng)用的可信終端綁定功能，對于敏感應(yīng)用限制固定賬號終端訪問。

當(dāng)業(yè)務(wù)系統(tǒng)爆發(fā)漏洞時，通過區(qū)分出漏洞URL，快速調(diào)整訪問控制策略，實現(xiàn)業(yè)務(wù)不下線保障應(yīng)用系統(tǒng)安全。

提供應(yīng)用權(quán)限列表，應(yīng)用發(fā)布支持選擇該應(yīng)用訪問權(quán)限是否可由用戶主動申請，如可主動申請將該應(yīng)用展示在應(yīng)用權(quán)限列表內(nèi)，用戶可根據(jù)自身需求發(fā)起申請，管理員可通過后臺指定管理員對用戶的申請進(jìn)行審批。

訪問控制

★支持基于應(yīng)用的動態(tài)訪問控制。

★支持基于IP地址范圍的訪問控制。

★支持基于時間范圍的訪問控制。

★支持基于訪問成員屬性的訪問控制。

★支持基于終端合規(guī)基線檢測結(jié)果的訪問控制。

支持基于終端攻擊檢測結(jié)果的訪問控制。

支持基于HTTP應(yīng)用的下載控制。

支持基于數(shù)據(jù)安全的動態(tài)訪問控制，基于用戶的敏感數(shù)據(jù)訪問歷史/訪問量進(jìn)行控制。

增強(qiáng)認(rèn)證

動態(tài)訪問控制具備灰度處置的能力，可以觸發(fā)用戶增強(qiáng)認(rèn)證，用戶認(rèn)證成功后可以繼續(xù)訪問，確保安全的同時不影響正常業(yè)務(wù)流程。

應(yīng)用數(shù)據(jù)安全

敏感數(shù)據(jù)管控

可以識別業(yè)務(wù)應(yīng)用下的API接口，可對API接口進(jìn)行加白。

識別敏感API接口，API包含哪些敏感數(shù)據(jù)，哪些員工通過這個API接口訪問了敏感數(shù)據(jù)，下載了敏感文件。

可以對應(yīng)用訪問的敏感數(shù)據(jù)識別，識別是否在獲取手機(jī)號、銀行卡號、身份證等敏感數(shù)據(jù)。

可以對應(yīng)用下載/導(dǎo)出功能進(jìn)行控制，可檢測是否存在敏感文件下載。

★支持對敏感數(shù)據(jù)進(jìn)行分類分級，分類分級策略可根據(jù)使用需求進(jìn)行自定義，包括識別內(nèi)容和等級劃分。

支持動態(tài)數(shù)據(jù)脫敏，根據(jù)員工角色和權(quán)限級別，對其訪問的前端敏感數(shù)據(jù)進(jìn)行脫敏處理。且對行為審計記錄，確保數(shù)據(jù)安全的同時不影響正常業(yè)務(wù)流程。

對數(shù)據(jù)使用風(fēng)險進(jìn)行分析和告警，可以基于使用人的角度識別風(fēng)險，以及進(jìn)行禁用，注銷等操作。

支持通過輸入數(shù)據(jù)敏感詞或上傳敏感文件，對敏感數(shù)據(jù)或文件進(jìn)行一鍵溯源，追溯都有什么人在什么時間訪問過這些敏感數(shù)據(jù)或敏感文件。

水印

★支持配置應(yīng)用水印，Web水印可配置顯示姓名、部門、手機(jī)號等用戶身份信息，防止手機(jī)拍照或截屏等信息泄露方式，可追溯。

支持從應(yīng)用中下載、導(dǎo)出的文件添加水印，水印支持**印/暗水印兩種模式。

用戶感知優(yōu)化

免認(rèn)證

支持客戶端/網(wǎng)關(guān)間自動拉取認(rèn)證信息，用戶在客戶端或應(yīng)用側(cè)已經(jīng)進(jìn)行過零信任訪問認(rèn)證且認(rèn)證未過期，客戶端或應(yīng)用應(yīng)免除用戶登錄過程，無需重復(fù)認(rèn)證。

訪問延時

★對于接入平臺的應(yīng)用，不增加首次登錄/日常使用的頁面加載延時。

客戶端優(yōu)化

支持客戶端定制化UI界面。

支持開機(jī)自啟動、自動連接、自動準(zhǔn)入等能力。

提供客戶端自檢功能，如發(fā)現(xiàn)異常支持自動修復(fù)。

終端安全（該部分作為項目二期建設(shè)的前置要求，本標(biāo)段暫不實施）

終端管理

★支持終端功能一體化管理，包括但不限于SDP、殺毒、桌管、DLP等能力的模塊化擴(kuò)展?？勺龅交诓块T/分組開啟不同功能模塊。

客戶端支持Windows/Mac/linux/iOS/Android/iPadOS等系統(tǒng)。

支持終端IT資產(chǎn)校驗，通過MAC地址、終端SN****公司資產(chǎn)。

支持終端硬件**保護(hù)功能，當(dāng)終端CPU、內(nèi)存、硬盤**達(dá)到設(shè)定的警戒值時，影響客戶端性能的終端安全策略自動進(jìn)入等待隊列，低于警戒值后繼續(xù)執(zhí)行。

支持終端Agent防退出，防卸載功能，根據(jù)終端生成退出卸載授權(quán)碼，實現(xiàn)一機(jī)一碼。

支持終端設(shè)備信息采集上報，支持終端硬件信息、系統(tǒng)信息、安全信息、軟件信息、文件信息、網(wǎng)絡(luò)信息、外設(shè)信息等，采集數(shù)據(jù)必須具備終端和身份標(biāo)識，以便實現(xiàn)精準(zhǔn)審計及安全分析。

檢查終端是否滿足基礎(chǔ)安全需求，若不符合則提示客戶端進(jìn)行修復(fù)或改進(jìn)，如安全基線檢查，如防病毒、補(bǔ)丁管理等。

終端安全

終端主機(jī)蜜罐防御能力，支持向終端下發(fā)蜜罐策略，模擬主機(jī)服務(wù)，同時采集并上報蜜罐訪問日志。

支持通過DNS解析識別挖礦域名，在出現(xiàn)疑似挖礦病毒感染或惡意訪問時實時告警。并且協(xié)助運(yùn)營人員快速定位感染挖礦病毒的員工的設(shè)備ID、時間、特征命中等詳細(xì)信息，快速處置，減少影響面。

支持通過DNS解析識別APT組織域名，在出現(xiàn)疑似APT入侵行為時實時告警。并且協(xié)助運(yùn)營人員快速定位被APT入侵的員工的設(shè)備ID、時間、特征命中等詳細(xì)信息，快速處置，減少影響面。

支持按用戶組下發(fā)客戶端策略，可配置定期下發(fā)或?qū)崟r下發(fā)。

支持從服務(wù)端給客戶端下發(fā)病毒庫更新指令實現(xiàn)統(tǒng)一管理客戶端的病毒庫版本；支持根據(jù)客戶端分組設(shè)置病毒庫****中心更新、從互聯(lián)網(wǎng)更新、優(yōu)先從互聯(lián)網(wǎng)更新、****中心更新等。

終端殺毒

支持終端殺毒功能，可對終端進(jìn)行快速掃描、全盤掃描，發(fā)現(xiàn)病毒后將其清除至隔離區(qū)。

支持隔離區(qū)功能，可將病毒文件隔離至隔離區(qū)，用戶可通過隔離區(qū)恢復(fù)誤殺文件。

支持信任區(qū)功能，用戶可通過將軟件添加至信任區(qū)，避免軟件被隔離。

支持對網(wǎng)頁下載、U盤拷貝、文件共享、IM傳送等場景的落盤文件進(jìn)行實時查殺。

****中心設(shè)置定時自動修復(fù)任務(wù)實現(xiàn)系統(tǒng)漏洞修復(fù)；****中心主動獲取系統(tǒng)實現(xiàn)系統(tǒng)漏洞修復(fù)。

支持軟件分發(fā)，管理員可通過后臺向客戶端下發(fā)組織需要安裝的其他軟件。

桌面管理

****商店，管理員可將組織內(nèi)需要使用****商店，用****商店根據(jù)自己需要下載軟件。

軟件監(jiān)控，支持查看組織內(nèi)現(xiàn)有的軟件信息、軟件類型、軟件版本、安裝數(shù)量等信息。

支持盜版軟件檢測，展示其影響終端以及用戶數(shù)量，并透出盜版原因并給與處置建議。

支持對系統(tǒng)進(jìn)程配置黑名單、白名單等管理方式，實現(xiàn)統(tǒng)一管控終端上運(yùn)行的進(jìn)程，優(yōu)化終端性能體驗。

支持面向終端提供彈窗防護(hù)、垃圾清理、優(yōu)化加速、文件粉碎等小工具，實現(xiàn)員工可自行管理優(yōu)化終端運(yùn)行環(huán)境。

平臺內(nèi)置常用敏感數(shù)據(jù)規(guī)則庫，同時支持自定義敏感數(shù)據(jù)分類分級規(guī)則，支持把加密文件和修改后綴的文件作為分類分級的條件之一。

終端數(shù)據(jù)安全

支持查看所有敏感數(shù)據(jù)在所有終端分布情況，提供終端數(shù)據(jù)資產(chǎn)全局可視化能力，可根據(jù)數(shù)據(jù)敏感等級、數(shù)據(jù)分類、文件類型進(jìn)行篩選查看。

支持配置單次/周期性掃描終端本地敏感文件分布并提供可視化視圖/報表功能。

支持對用戶終端敏感文件文件行為進(jìn)行監(jiān)控，可對創(chuàng)建、修改、重命名、壓縮、刪除等數(shù)據(jù)各類行為進(jìn)行監(jiān)控，管理員可在后臺進(jìn)行查看。

支持識別常見辦公文檔如文本文件、**WPS、微軟Office、PDF、源代碼、圖片、音視頻，可準(zhǔn)確識別修改后綴名的文件，支持通過OCR識別外發(fā)圖片中的文字。

支持自定義字典、關(guān)鍵詞、正則表達(dá)式和機(jī)器學(xué)習(xí)算法等方式創(chuàng)建規(guī)則，識別文件內(nèi)容。

支持常用數(shù)據(jù)應(yīng)用通道，即時通信、瀏覽器、網(wǎng)盤、云郵箱、代碼托管平臺、云筆記、博客、遠(yuǎn)程控制系統(tǒng)、文件傳輸工具，包括應(yīng)用程序版及網(wǎng)頁版。

支持檢測用戶外發(fā)敏感文件時進(jìn)行處置，處置動作包括審計、放行、攔截、文件級攔截，彈窗內(nèi)容可以自定義，支持不同用戶觸發(fā)告警規(guī)則時，以郵箱、短信、Webhook方式通知到指定人員。

支持敏感數(shù)據(jù)全生命周期管理，全鏈路調(diào)查敏感數(shù)據(jù)的來源，都有哪些人擁有，在哪些通道上外發(fā)，支持對敏感數(shù)據(jù)流傳進(jìn)行溯源跟蹤，實現(xiàn)全生命周期審計。

支持根據(jù)外發(fā)文件類型/外發(fā)通道/外發(fā)控制制定匹配策略，規(guī)則windows與macO環(huán)境下支持程度應(yīng)持平。

支持封禁常見外設(shè)如U盤、手機(jī)、平板、藍(lán)牙、打印機(jī)、ADB，macOS環(huán)境下還應(yīng)支持封禁隔空投送通道。

支持屏幕**印、屏幕暗水印、打印水印、防拍照水印、文件溯源暗水印等水印能力。