1、珠海出入境检验检疫局移动办公平台技术及集成要求二一四年三月十日1目 录一、项目概述 .2(一)网络拓扑图 .2(二)实施目标 .2(三)实施原则 .3(1)高安全性 .3(2)易维护性 .3(3)扩展性 .3(4)可靠性 .3(5)开放性 .3(四)安全环境 .4(五)应用规模及范围 .4二、项目需求 .4三、 技术要求 .5(一)移动办公数据交换平台技术要求 .5(1)移动办公接入设备性能及配置指标要求 .5(2)移动办公接入设备功能要求 .5(二)移动业务专用网络技术要求 .10(三)设备系统集成要求 .12四、维护与服务 .12(一)技术服务要求 .12(二)技术培训要求 .13(三)保
2、修与维护 .14(四)其他 .15五、 供应商资质要求 .152珠海出入境检验检疫局移动办公平台技术及集成要求珠海出入境检验检疫局移动办公平台是通过无线网络技术构建的一个高安全性、高可用性、易维护性的信息化平台,该平台为领导和一线工作人员在工作中能够随时、随地、随身获取办公自动化系统的支持。解决传统有线网络支持下的办公自动化无法提供即时处理的问题,从而减少工作延迟情况的出现,提高了整体工作效率。该项目所需设备、实施具体技术和集成要求如下:一、项目概述(一)网络拓扑图本项目移动办公平台主要是在珠海出入境检验检疫局的内网内部署移动办公接入设备并提供业务认证和安全服务,为珠海出入境检验检疫局的每个移
3、动办公用户提供独立、移动的办公环境,如图所示:O A 服务器内网用户移动办公 代理服务器移动办公接入设备防火墙W I F I 或 3 G移动终端设备移动终端设备移动终端设备内 网S S L 隧道加密压缩传输网 闸(二)实施目标将移动用户和珠海检验检疫局 OA 办公自动化系统有机地整合在一3起,为工作人员提供使用便捷的珠海检验检疫移动办公平台,实现“3A办公” ,即办公人员可在任何时间(Anytime) 、任何地点(Anywhere)处理与 OA 系统的任何事情(Anything) ,实现了办公空间的拓展和工作效率的提高。(三)实施原则针对主要的移动办公技术架构进行研讨和论证,基于移动办公平台保
4、密性和安全性方面的考虑,移动办公平台采用基于移动终端的主流应用虚拟化技术构建,同时还必须遵循以下基本建设原则:(1)高安全性具有用户认证和用户授权机制确保登陆安全;在线应用时不将业务系统的数据以明文方式通过 3G 网络向移动智能终端进行传输;在线访问的应用数据不会在移动智能终端上缓存;智能终端设备丢失或其他原因需要暂停业务时,可锁定用户所有的数据并阻止用户登录,保证用户的机密信息不会泄漏。(2)易维护性操作简单,实用性高,具有易操作、易维护的特点,系统具有专业的管理维护终端,方便系统维护。(3)扩展性能够很好地应对业务应用系统的扩展、用户规模的增长、覆盖范围的增长。(4)可靠性实现智能移动终端
5、和 OA 办公系统进行随时、随地和随身的可靠连接。4(5)开放性保留既有 OA 办公系统的用户界面风格和习惯操作方式,实现完整的平移,使 OA 办公系统功能均能在移动终端上完整地得以实现,保持原 OA 办公系统的完整性和独立性。(四)安全环境(1)支持手机令牌认证(2)支持手机 UIM 卡绑定(3)支持手机终端硬件特征码绑定(4)支持 SD 卡证书认证(5)支持 USBKEY 证书认证(6)支持短信认证(五)应用规模及范围 珠海出入境检验检疫局移动办公平台应用规模为 1000 个移动智能终端用户、300 个用户并发访问,本次项目为 23 个终端用户、50 个用户并发访问。二、项目需求序号 项目
6、名称 内容 数量 技术要求移动办公接入设备 1 台 详见移动办公接入平台技术要求多线路模块 1 套 /安全桌面模块 1 套 /远程应用发布模块 1 套 /远程应用发布接入授权 50 个 /设备配套 SSL VPN 短信模块 1 套 /1 移动办公数据交换平台设备配套 SSL VPN 接入授权 50 个 /2 移动业务专 用网络 移动终端:移动业务专用 3G网络接入点 23 个 移动业务专用网络技术要求3 施工周期 合同签订之日起 15 个日历日内实施完毕。5序号 项目名称 内容 数量 技术要求4 质保期必须为本项目整体提供三年及以上免费质量保证服务(其中移动终端保修期为一年,移动办公接入设备保
7、修期为三年),质保期由验收之日起计算。3、技术要求以下技术要求中所列参数为必须满足项。(一)移动办公数据交换平台技术要求(1)移动办公接入设备性能及配置指标要求指标 指标项 规格要求SSL VPN 加密速度 100MSSL VPN 并发用户数 300SSL VPN性能参数SSL VPN 每秒新建用户数 60IPSec VPN 加密速度 22MIPSec VPN性能参数 IPSec VPN 隧道数 3000网络接口 具备至少 4 个 10/100/1000 Base-T 千兆电口(2)移动办公接入设备功能要求项目 功能指标要求IPSec VPN、SSL VPN 二合一设备,同时支持 IPSec
8、VPN 和 SSLVPN 两种 VPN 协议采用标准 SSL 协议,对外仅开放 443 端口支持对基于 TCP、UDP、ICMP 的所有 B/S、C/S 应用系统的支持,例如视频、语音、Ping 等服务;支持 Web 参数修正,可针对Flash、Java、Applet、视频等对象进行修正,无需安装插件访问 B/S应用;支持终端使用包括 Win7、Mac、Linux 等操作系统来登录 SSL VPN 系统,并完整支持该操作系统下的各种 IP 层以上的 B/S 和 C/S 应用;支持 Windows Mobile、IPhone OS、Symbian、Android 操作系统的智能手机、PDA 等移
9、动终端的 SSL VPN 接入支持终端使用包括 Firefox、Safari、Google Chrome、Opera 浏览器来登录 SSLVPN 系统,登录后可完整支持通过 SSLVPN 发布的各种 IP 层以上的 B/S 和 C/S 应用支持 GDCA、网证通等第三方数字证书;支持 Android 系统智能终端采用硬件 TF 卡 CA 认证方式;支持完整性支持针对 Andriod、IOS 智能终端第三方应用程序(APP)的 SSL VPN6软件开发包(SDK),实现 APP 的 L3VPN 接入,客户开发量在 20 行代码以内产品应支持主流的商业加密算法,包括:AES、DES、3DES、DH
10、、RSA、RC4、MD5、SHA1 等,并支持加载扩展 SM1等其他安全算法模块。可支持虚拟门户功能,在一台设备上配置多个域名或者 IP 地址,配置不同的使用界面,提供给用户独立的使用体验; 可支持远程应用发布功能:只传输鼠标、键盘操作和显示数据,无需安装客户端即可支持 C/S 模式软件系统的远程使用。支持客户端、服务端权限细化控制、远程存储,支持虚拟打印机、本地输入法映射;支持远程应用单点登录支持 Web 文件共享功能,用户登录 SSL VPN 后无需安装插件即可使用,进行文件打包下载、上传、删除、重命名、剪切、复制、粘贴、新建文件夹等常用文件操作 支持登录用户在资源页面上直接点击资源列表来
11、启动本机的 C/S 应用系统客户端,减少业务操作。 管理员可在线对登录用户发布即时广播信息。 支持用户登录界面、服务界面的完全自定义,上传单独的 Web 页面作为用户登录界面、服务界面支持服务界面资源以文本或图标方式显示,支持自定义资源图标 支持单点登录功能(SSO),支持移动用户登录 VPN 后再登录内部B/S、C/S 应用系统时不需要二次重复认证。支持针对 B/S 单点登录用户名密码加密传输,保证安全;支持智能手机等移动终端的 B/S 单点登录;支持针对不同的访问资源设定不同的 SSO 用户名和密码,支持用户自行修改 SSO 账号。 支持认证后,直接跳转到用户资源默认服务应用页面,无需出现
12、资源列表 提供一定技术,防止用户误操作关闭 IE 浏览器导致 VPN 隧道断开,如:用户误操作时,将将 IE 最小化到系统托盘或悬浮窗口。 支持公有账号及私有账号设置,公有账号允许多人同时接入,私有账号仅可一人接入,便于根据需要设置 支持用户自行设置 SSL VPN 开机自登录、桌面快捷方式,避免 SSLVPN登录的繁琐;支持 SSLVPN C/S 客户端方式启动,SSLVPN 登录过程脱离浏览器 支持 SSL VPN 登录界面默认登录方式,并可针对不同的用户组采用的认证方式显示不同默认登录方式的 SSLVPN 登录界面支持智能递推技术,针对多外链的门户网站进行动态嗅探页面内的链接并完成资源自
13、动授权,防止资源漏访 支持在 Vista 系统中以 User 权限登录正常使用 SSL VPN支持 ISA 代理环境下的无缝接入支持通过域服务器下发控件,可在只有 user 权限的机器上安装 SSL 控件 易用性支持资源导入导出,单独保存配置 7支持安全桌面功能,强制受保护的指定资源仅可在安全桌面下使用;安全桌面下默认仅可与 SSLVPN 通信,断开互联网链接;在安全桌面内默认禁止外网和本地局域网通讯,禁止和本机默认桌面的通信,防止使用包括 USB 口设备、打印机等外设的信息外泄。退出安全桌面后清除安全桌面内一切操作和遗留的痕迹,保证重要应用使用的安全性。安全桌面根据用户需要自行配置按用户组、
14、单独用户启用;可配置安全桌面下可访问的指定网段;可配置允许使用 COM 端口、允许使用打印机、允许与切换到默认桌面、允许本地通信;支持更换安全桌面壁纸、文件明文导出及审计、数据加密保存、离线访问等功能。 产品必须可在用户登录 SSLVPN 时智能判断存在中间人攻击行为,断开被攻击的连接,并可提示异常现象和记录攻击日志。 支持用户终端登录前、登陆后的安全性检测,检测范围包括:用户接入 IP、接入时间、接入线路 IP、进程、文件、注册表、操作系统、使用终端,可以检测出客户端是否安装指定的防火墙或杀毒软件 支持客户端安全策略库,并支持自动升级针对同一用户/用户组可根据客户端检查结果的安全级别进行不同
15、的资源授权,保护重要资源安全 支持针对指定用户/用户组设置允许/禁止用户登录 SSLVPN 后自行修改密码、用户描述、手机号码,便于用户对个人信息的自行变更 支持客户端注销后自动清除所有缓存、Cookies、浏览器历史记录、保存的表单信息,实现零痕迹访问终端安全可配置用户在接入 SSL VPN 的同时,断开与 Internet 其他连接 产品应具有用户/用户组细粒度的权限分配功能:可以针对被访问资源的 IP 地址、端口、提供的服务、URL 地址等进行权限控制;针对同一B/S 资源,可对不同用户做到细致到 URL 级别的授权。 支持主从认证账号绑定,必须实现 SSL VPN 账号与应用系统账号的
16、唯一绑定,VPN 资源中的系统只能以指定账号登陆,加强身份认证,防止登录 SSL VPN 后冒名登录应用系统 支持关键文件保护功能,可针对特定应用关键文件进行锁定,防止用户进行篡改进行越权权限、服务器安全针对服务器地址保护方面,可支持 SSLVPN 资源列表界面上的用户授权资源隐藏;针对 B/S 应用,可进行 URL 地址伪装,防止服务器真实 IP地址泄露 产品必须支持 Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、CA 等认证方式;可针对用户/用户组设置认证方式的与、或组合,可进行 LDAP、USB KEY、硬件特征码、短信认证或动
17、态令牌的四因素捆绑认证 身份认证产品必须支持用户的硬件特征码认证,通过自动获取而非手动输入获取登录终端硬件信息并生产证书;不同用户必须允许拥有不同数目的硬件特征码个数;硬件特征码审批支持自动审批及分级分权管理 8支持将 LDAP 指定 OU 中将用户导入到 SSLVPN 指定用户组,可根据该OU 中的子 OU 结构自动创建子用户组并完成用户导入;支持定时自动同步导入。在 LDAP 中新增用户,在未及时导入 SSLVPN 前,该用户可通过 LDAP 认证后,根据所属 OU 自动映射到指定用户组,根据所属安全组自动映射到指定角色享有相应资源授权。LDAP 认证支持扩展读取手机号码属性、虚拟 IP
18、属性、授权资源属性,方便管理员进行管理 同一 RADIUS 认证支持服务器多地址配置;RADIUS 认证支持读取手机号码、虚拟 IP;通过 RADIUS 认证的用户,可根据该用户字段属性自动映射到指定用户组,并享有该用户组所绑定的角色资源授权,方便进行管理 支持有驱 USB KEY、无驱 USB KEY 认证,无驱 KEY 无需在客户端安装驱动,方便用户 支持随机验证码短信认证,可自定义所发送短信信息格式,支持用户端短信重发功能;支持结合移动、联通、电信的短信网关进行认证;可结合短信猫自行搭建 SSLVPN 短信认证平台;支持 webservice 短信认证设备内部必须支持自建 CA 中心,便
19、于数字证书认证平台搭建;并支持与基于 PKI 体系的第三方 CA 进行结合认证 ,可根据 CA 某字段将通过CA 认证的用户自动映射到指定用户组,方便进行权限授权配置;支持多 CA 环境;支持 CRL 证书撤销列表支持匿名登录,无需认证直接登录 SSLVPN,只提供 SSL 加密隧道传输 支持图形校验码,验证码必须包含数字和字母组合;支持软键盘认证,每次登陆数字和密码随机变换;支持基于同用户名或同 IP 的防暴力破解,可设置锁定时间进行自动解锁或手动解锁 支持密码强度设置,如限定密码最小长度、密码必须包含数字字母特殊字符组合、密码不能包含用户名;设置用户第一次登录必须修改初始密码,新密码不能与
20、旧密码相同;设置每隔指定天数用户必须修改密码,密码过期前几天提示修改 必须支持至少 4 条以上的外网多线路配置,客户端无需安装插件、非依靠 IP 地址库、根据速度探测实现用户端接入线路的自动优选;并在设备单臂部署模式下,多线路接入前置网关,仅依靠 SSLVPN 设备同样可实现 SSLVPN 接入用户的多线路自动优选功能仅通过 SSLVPN 设备可实现资源负载均衡功能,用户接入同一资源根据权值可动态负载到多台承载服务器上 支持单边加速功能,支持 web 服务,TCP 服务,L3VPN 服务,远程应用发布的单边加速支持 HTP 快速传输协议,大幅优化无线环境(CDMA、GPRS、WIFI、3G)、
21、高丢包、高延等恶劣网络环境下传输速度及效率针对 B/S 资源支持 WebCache 技术,动态缓存页面元素,提高 Web 页面响应速度 远程应用发布支持自有 SRAP 协议,极大提高应用访问速度 高速性针对 PDA 等手持移动终端上的 B/S 资源使用,可实时动态调整页面架构适应终端进行显示,实现 Web 优化,提高用户体验 9支持 5 级以上的管理员分级分权限管理,从 Admin 派生树形结构下级管理员;上级管理员可分配下级管理员享有设备配置模块权限,可管理的用户、资源、角色权限,并可限制下级管理员是否允许创建下级管理员、创建资源、创建角色;上级管理员可限制下级管理员对权限内配置享有查看或配
22、置权限 支持 10 级以上用户组树形结构分级管理,下级组可继承上级组的角色,资源及认证方式等属性 支持基于用户、用户组分配不同的虚拟 IP;对于用户仅启用 L3VPN 应用/仅启用 TCP 应用/仅启用 Web 应用,都可支持用户的虚拟 IP 绑定支持基于用户、用户组的流量控制和会话限制、无流量超时时间、账号过期时间、闲置失效时间设置 支持系统实时监控,图形化显示一段时间内的运行状况,可查看 CPU占用率、各条线路网络吞吐量、各条线路的 IP 地址及发送接收流速、并发会话数、SSL 并发用户数;可查看历史最高并发用户数并显示时间记录;可实时查看 SSL 接入用户的用户名、发送流速、接收流速、发
23、送流量、接收流量、接入时间、并发会话数、接入 IP、虚拟 IP、认证方式等信息,并可在线中断指定用户 支持独立日志中心进行 SSLVPN 实时日志记录,可详细记录用户访问资源记录(用户、主机 IP、资源、时间)、管理员日志(管理员、主机IP、时间、管理行为、对象)、系统日志、告警日志;可根据用户名、主机 IP 等信息进行用户行为查询;可提供用户组/用户流量排行及查询、资源流量排行及查询、资源活跃程度、用户活跃程度等记录;提供暴破登录记录;可提供用户登陆 SSLVPN 采用非绑定账号访问应用系统的记录 高管理要求支持整体网关配置的本地及远程备份、恢复功能;支持 SSLVPN 配置的单独备份、恢复
24、功能,并支持历史配置的回滚 支持不依赖于第三方的动态 IP 寻址系统和动态 IP 组网支持(非DDNS)设备端多线路部署下,必须支持线路状态实时探测,若线路状态不稳定,用户端可实时切换 SSLVPN 接入线路,并保持 SSLVPN 连接不中断;支持 SSLVPN 隧道断线自动重连 稳定性、可扩展性支持 253 台不同型号设备间进行集群(A/A),支持路由模式、单臂模式下多线路部署的集群;支持集群设备间 Session 同步,一台设备宕机后其上用户无需重新登录 SSLVPN 可继续使用;可扩展分布式集群功能,无需专门的全局负载设备即可实现异地 SSLVPN 设备间的接入用户负载分担、速度优选接入,异地设备间互为备份,分布式集群中用户可通过唯一的一个地址访问到所有加入到分布式集群的 SSLVPN 设备支持 IPSecVPN 移动用户的 LocalDB、LDAP、RADIUS、USBKEY 认证,支持硬件鉴权绑定用户登录终端;支持移动用户有效接入时间、过期时间设置,支持用户最后一次登录时间记录;可允许/禁止用户在线修改密码,可允许/禁止同时多人以同一账号以 IPSecVPN 移动客户端方式登陆 IPSec VPN 功能支持硬件网关的硬件鉴权,可根据设备本身的硬件信息生成证书,分支设备接入总部根据该证书进行验证,防止非法网关的接入