【正文】 服務來進行基礎信息的交互，采用標準的， 協(xié)議標準讀取服務。軟件需要獲取短信系統(tǒng)的服務來實現短信驗證，手機信息獲取等功能其相關要求如下：統(tǒng)一認證，是目前比較流行的企業(yè)業(yè)務整合的解決方案之一。統(tǒng)一的定義是在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。本次招標除實現平臺之間的統(tǒng)一認證外，由于服務器均不向外網開放，只能可以登錄，還要實現利用客戶端拔入代替?zhèn)鹘y(tǒng)的登錄，實現平臺的統(tǒng)一認證。具體地說，用戶只要通過、蘋果手機、安卓手機、電腦的客戶端登錄，即可自動登錄西教網內網的各個平臺，訪問西教網的所有內網可訪問的資源。本平臺要求在分布式數據資源共享網絡系統(tǒng)中，采用如下的統(tǒng)一認證登錄解決方案。對于西教網原有的登錄系統(tǒng)在保持原有功能的情況，對于認證部分進行調整定制（由中標公司負責），采用通用的認證算法，實現跨平臺的統(tǒng)一認證，統(tǒng)一認證登錄和統(tǒng)一注銷。新的平臺系統(tǒng)需要支持協(xié)議，進行與西教網平臺登錄認證的集成。數據的傳輸加密支持多種對稱和非對稱加密算法，保證用戶信息在傳輸過程中不被竊取和篡改。系統(tǒng)必須具有完善的安全保障體系，并且系統(tǒng)提供證書管理功能，支持協(xié)議中需要用到的數字證書，支持多種多級登錄認證機制，如用戶名密碼、動態(tài)口令，系統(tǒng)支持標準的和連接。系統(tǒng)通過應用裝配工廠完成對行為層基礎應用的重組，在不同的認證需求下只需通過簡單的配置修改就可以完成業(yè)務流的修改。需要支持端，移動端認證。12 統(tǒng)一認證登錄流程圖 統(tǒng)一認證登錄實現原理當用戶第一次訪問應用系統(tǒng)的時候，因為還沒有登錄，會被引導到門戶認證中心進行登錄；根據用戶提供的登錄信息，認證系統(tǒng)進行身份效驗，如果通過效驗，返回給用戶一個認證的憑據；用戶再訪問別的應用的時候就會將這個帶上，作為自己認證的憑據，應用系統(tǒng)接受到請求之后會把送到認證中心進行效驗，檢查的合法性。如果通過效驗，用戶就可以在不用再次登錄的情況下訪問應用系統(tǒng)或別的應用系統(tǒng)。所有應用系統(tǒng)共享一個身份認證系統(tǒng)。認證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證；認證成功后，認證系統(tǒng)應該生成統(tǒng)一的認證標志，返還給用戶。另外，認證系統(tǒng)還應該對進行效驗，判斷其有效性。 所有應用系統(tǒng)能夠識別和提取信息要實現的功能，讓用戶只登錄一次，就必須讓應用系統(tǒng)能夠識別已經登錄過的用戶。應用系統(tǒng)應該能對進行識別和提取，通過與認證系統(tǒng)的通訊，能自動判斷當前用戶是否登錄過，從而完成統(tǒng)一認證登錄的功能。 比如說，我現在有個分站點和個認證中心。當用戶訪問分站點的時候，分站點會發(fā)到驗證中心進行驗證。驗證中心判斷用戶是否已經登錄。如果未登錄，則返回到驗證中心登錄入口進行登錄，否之則返回驗證到分站點，直接進入分站點。 對接用例說明具體對接文檔與代碼可在中標公司與我中心簽訂保密協(xié)議后提供。描述用例圖由參與者（）、用例（ ）、系統(tǒng)邊界、箭頭組成，用畫圖的方法來完成。用例文檔編號用例名參與者登錄認證中心所有用戶訪問其他系統(tǒng)所有用戶創(chuàng)建用戶聯系表所有用戶設置其他系統(tǒng)系統(tǒng)管理員用例圖 應用系統(tǒng)運行環(huán)境說明西教網應用系統(tǒng)原有硬件環(huán)境說明：參能虛擬化集群布置與物理機布置相結合的方式，數據統(tǒng)一存放于中心存儲中，目前可為對接定制軟件提供一臺 （）內存的測試用物理機及若干虛擬機（可分配數量為，可分配內存為，網絡連接為冗余萬兆，與存儲互聯為）服務器端運行環(huán)境要求操作系統(tǒng) 組件 數據庫 應用軟件客戶端運行環(huán)境要求操作系統(tǒng) 、 、 、等及以下版本瀏覽器要求包括及以下版本或其他內核的瀏覽器，以及非內核瀏覽器，如， ，二、技術要求 設備采購清單序號設備名稱參數要求數量單位保修安全統(tǒng)一接入平臺詳見招標參數套三年異構融合存儲設備詳見招標參數套三年中心備份存儲詳見招標參數臺三年 技術規(guī)范要求 安全統(tǒng)一接入平臺指標項指標要求 性能要求加密速度≥并發(fā)用戶數≥每秒新建用戶數≥加密速度≥隧道數≥防火墻吞吐量≥最大并發(fā)會話數目≥網絡接口≥個千兆電口，個千兆光口，并預留至少一個可用擴展槽；電源：雙電源尺寸及以上配置移動終端管理授權個：可針對封裝的移動應用終端應用進行注冊、數據擦除、丟失告警等管理，同時能夠在 登錄客戶端下載或打開單位移動業(yè)務應用；為了滿足西湖全區(qū)學校老師端進行接入，配置并提供不少于個并發(fā)移動接入端授權；業(yè)務需要為保證平臺可靠性和資源利用率，本次采購設備能夠與先使用設備對接，在硬件故障情況下能夠實現授權遷移，提供廠商證明；為提升我單位信息安全系統(tǒng)的自主可控能力，產品必須支持中國國家標準的商用密碼算法（簡稱“國密”），包括：（含），、。為保證我單位第三方接入的安全性，保證我單位核心系統(tǒng)數據不外泄，要求設備支持安全桌面功能，強制受保護的業(yè)務系統(tǒng)僅可在安全桌面下使用；退出安全桌面后清除安全桌面內一切操作和遺留的痕跡，保證重要應用使用的安全性。支持文件導出的審計、數據加密保存、離線訪問等功能。（提供產品配置界面證明）為加強我單位身份認證，防止登錄 后冒名登錄應用系統(tǒng)，必須支持主從認證賬號綁定，實現 賬號與應用系統(tǒng)賬號的唯一綁定，資源中的系統(tǒng)只能以指定賬號登陸；我單位具有多條外網線路，要求設備必須支持至少條以上的外網多線路配置；并在設備單臂部署模式下，多線路接入前置網關，僅依靠設備同樣可實現接入用戶的多線路自動優(yōu)選功能為保證本次采購的設備性能的可擴展性，保護用戶的前期投資，要求設備支持多機非對稱集群等部署方式。（例如設備支持并發(fā)用戶，如今后增加到并發(fā)用戶,則僅需要購買一臺支持并發(fā)用戶的設備，與原設備組成非對稱集群即可，兩臺設備必須能同時激活。）為解決我單位對訪問中的移動設備（手機、）管理的難題，必須支持設備注冊、數據擦除、丟失告警等移動設備管理功能，同時能夠在 登錄客戶端下載或打開單位移動業(yè)務應用（提供界面配置截圖）為滿足我單位已開發(fā)的安全接入業(yè)務系統(tǒng)需求，必須提供集成的于、平臺的第三方軟件開發(fā)包（），實現對的安全模塊封裝，為減少開發(fā)量，代碼量不超過行（要求提供代碼和企業(yè)證明）；為提升開發(fā)效率，提供安全模塊封裝平臺，無需手動開發(fā)，實現在控制后臺直接上傳應用并封裝；短信服務短信認證提醒，需要實現首次登陸需要短信驗證，后臺可以設置間隔多久需要再次短信認證。手機端登錄記錄硬件設備，以后都無需短信驗證。多次輸入短信驗證錯誤后，將暫停當天的登錄驗證，后臺可以解鎖。后臺管理是否開放短信認證，手機校驗認證服務，綁定個人賬號手機號。硬件廠商提供短信驗證登錄框，所有功能調取服務進行處理，手機端可以要記錄硬件設備，返回給軟件指令。短信提醒密碼修改機制，忘記密碼后可以通過短信獲取重置密碼，短信服務接口。短信異地登錄提醒機制基本特性為滿足我單位移動用戶安全接入及分支機構組網的需求，要求本次招標產品為專業(yè)設備，同時支持 、兩種，非插卡或防火墻帶模塊設備。為保證客戶端接入兼容性，必須支持多種終端系統(tǒng)，如、 、等及以下版本，使用包括及以下版本或其他內核的瀏覽器，以及非內核瀏覽器，如， ，登錄系統(tǒng)，登錄后可完整支持各種層以上的和應用。應具備基于用戶的虛擬專線功能，移動用戶在接入內網的同時斷開與其他連接的功能。支持斷線重連功能。易用性為保障一臺設備為多個不同用戶群體服務的使用效果，實現設備的最大利用率，要求投標產品支持虛擬站點功能，即一臺設備可虛擬成多臺設備，分別使用不同的地址和頁面進行登錄，各虛擬設備之間的用戶、資源相互獨立。每一臺虛擬設備都支持獨立的管理員進行管理。為減少用戶使用業(yè)務系統(tǒng)所需錄入用戶名密碼的次數，提升用戶體驗，本次招標產品需支持統(tǒng)一認證登錄功能（,支持移動用戶登錄后再登錄內部、應用系統(tǒng)時不需要二次重復認證。支持針對統(tǒng)一認證登錄用戶名密碼加密傳輸，保證安全；支持針對不同的訪問資源設定不同的用戶名和密碼，支持用戶自行修改賬號。支持系統(tǒng)遠程應用發(fā)布資源，實現遠程應用在，、全覆蓋；支持優(yōu)化窗口移動，支持遠程應用圖標，支持遠程應用托盤；支持會話保持，會話復用，支持剪切板復制文本，圖片支持遠程桌面功能，支持協(xié)議客戶端用戶使用瀏覽器登錄時，通過短信重置用戶密碼安全性為防止不法分子利用等工具進行欺騙而突破經過加密的協(xié)議，從而獲得單位數據，產品必須支持在用戶登錄時智能判斷存在此類中間人攻擊行為，斷開被攻擊的連接，并可提示異?，F象。為確保遠程移動用戶接入單位內網時不會將公網上的各種威脅，如病毒、木馬、黑客攻擊等引入內網，要求本次招標產品支持用戶登陸前和登陸后的客戶端安全性檢測，檢測范圍包括：進程、文件、注冊表、操作系統(tǒng)等，可以根據檢測出來的安全級別不同給予不同的訪問資源控制。因部分數據屬于內部機密數據，一旦外泄會對我單位造成不良影響，投標設備需支持沙盒技術，強制受保護的指定資源僅可在沙盒桌面下使用；要求在沙盒桌面下默認僅可與通信，斷開互聯網鏈接；在沙盒桌面內默認禁止外網和本地局域網通訊，禁止和本機默認桌面的通信，防止使用包括口設備、打印機等外設的信息外泄。身份認證為滿足不同級別用戶的不同安全級別需求，產品必須支持 、 、短信認證、硬件特征碼、動態(tài)令牌、數字證書認證、等認證方式；可針對用戶用戶組設置認證方式的與、或組合，可進行用戶名密碼、 、硬件特征碼、短信認證或動態(tài)令牌的五因素捆綁認證，為保證后期認證的可拓展性，支持多種短信認證平臺，如、制式短信貓、嘉迅版等為保障接入我單位核心系統(tǒng)終端的合法性，要求設備支持客戶端主機硬件特征碼認證，通過獲取客戶端的硬件信息生成證書（支持、等系統(tǒng)），實現證書和用戶賬戶的綁定，實現接入終端的唯一性控制，支持硬件特征碼自動生成及自動審批高可用性為保障多鏈路情況下，我單位系統(tǒng)訪問的穩(wěn)定性與高速性，要求設備支持啟用多線路時，自動檢測故障線路，并自動踢出故障線路；一旦線路恢復，可在一定時間內自動恢復。為保障我單位網頁訪問質量，必須支持針對不同的頁面進行數據優(yōu)化，通過動態(tài)壓縮技術，基于數據流進行壓縮，減少不必要的數據傳輸。（提供界面配置截圖，并提供自主知識產權證明）為避免我單位業(yè)務跨平臺兼容性，降低多平臺開發(fā)的工作量，必須支持將移動終端或其他系統(tǒng)無法兼容的業(yè)務系統(tǒng)運行于服務器端，辦公人員通過無法兼容的系統(tǒng)登錄后直接使用業(yè)務系統(tǒng)，同時為保障遠程訪問的快速性，支持改寫遠程傳輸協(xié)議（），通過有損壓縮算法、過濾動態(tài)內容技術（）以減少傳輸流量；我單位人員分布廣，為保障惡劣網絡情況下的接入速度，設備需支持單邊加速功能，即在客戶端不安裝任何插件的情況下，實現跨運營商高丟包、高延時下的快速接入。（提供自主知識產權證明并加蓋公章與第三方評測報告）；針對我單位資源，為提升訪問質量，需支持動態(tài)緩存、等技術，提高頁面響應速度。同時通過流緩存技術，實現網關與網關、網關與移動客戶端之間進行多磁盤、雙向、削減冗余數據，降低帶寬壓力；為保障高可用性，要求設備在負載均衡集群部署模式下，支持授權漂移，即當集群中一臺設備宕機，該宕機設備中的并發(fā)授權自動遷移到其他正常的設備中，而無需額外購買授權。日志管理 為幫助我單位更好的管理接入用戶，要求設備支持外置獨立日志中心進行實時日志記錄，可詳細記錄用戶訪問資源記錄（用戶、主機、資源、時間）、管理員日志（管理員、主機、時間、管理行為、對象）、系統(tǒng)日志、告警日志；可根據用戶名、主機等信息進行用戶行為查詢；可提供用戶組用戶流量排行及查詢、資源流量排行及查詢、資源活躍程度、用戶活躍程度等記錄；提供暴破登錄記錄；可提供用戶登陸采用非綁定賬號訪問應用系統(tǒng)的記錄；為滿足我單位多數據量的保存，保障日志平臺運行穩(wěn)定且高可用性，必須支持外置數據中心，同時免費提供自有服務器虛擬化軟件（提供軟件著作權證書）及顆物理授權；防火墻為保障設備的安全性，產品應具備基于狀態(tài)監(jiān)測技術的防火墻功能，能夠抵抗常見的網絡攻擊，能夠進行包過濾或、口之間訪問控制；為了避免人為配置錯誤，產品必須支持對防火墻的過濾規(guī)則能夠進行在線虛擬測試。 平臺對接與用戶端原有應用平臺手機、移動終開發(fā)要求西教網平臺()是我區(qū)教育應用的統(tǒng)一入口，本次安全統(tǒng)一接入平臺除了要求在設備上實現與西教網平臺的對接外也要求廠商實現如下功能（可在設備上實現，也可在我區(qū)原有平臺應用軟件二次開發(fā)實現，中心可以提供相關程序代碼源文件與接口說明）。能夠實現西教網登錄平臺訪問應用系統(tǒng)的統(tǒng)一認證登錄，對于原有的登錄系統(tǒng)在保持原有功能的情況，對于認證部分進行調整，采用通用的認證算法，實現跨平臺的統(tǒng)一認證，統(tǒng)一認證登錄和統(tǒng)一注銷。進行統(tǒng)一認證登錄認證的集成。數據的傳輸加密支持多種對稱和非對稱加密算法，保證用戶信息在傳輸過程中不被竊取和篡改。系統(tǒng)必須具有完善的安全保障體系，并且系統(tǒng)提供證書管理功能，支持協(xié)議中需要用到的數字證書，支持多種多級登錄認證機制，如用戶名密碼、動態(tài)口令，系統(tǒng)支持標準的和連接。系統(tǒng)通過應用裝配工廠完成對行為層基礎應用的重組，在不同的認證需求下只需通過簡單的配置修改就可以完成業(yè)務流的修改。需要支持客戶端，手機端認證。具體要求如下” 用戶登錄的集成和認證，完成統(tǒng)一認證登錄功能對于原有的登錄系統(tǒng)在保持原有功能的情況，對于認證部分進行調整，采用通用的認證算法，實現跨平臺的統(tǒng)一認證，統(tǒng)一認證登錄和統(tǒng)一注銷。系統(tǒng)需要支持協(xié)議，進行統(tǒng)一認證登錄認證的集成。數據的傳輸加密支持多種對稱和非對稱加密算法，保證用戶信息在傳輸過程中不被竊取和篡改。系統(tǒng)必須具有完善的安全保障體系，并且系統(tǒng)提供證書管理功能，支持協(xié)議中需要用到的數字證書，支持多種多級登錄認證機制，如用戶名密碼、動態(tài)口令，系統(tǒng)支持標準的和連接。系統(tǒng)通過應用裝配工廠完成對行為層基礎應用的重組，在不同的認證需求下只需通過簡單的配置修改就可以完成業(yè)務流的修改。需要支持客戶端，手機端認證。 端個人桌面登錄后自適應登錄后西教網的個人桌面可根據用戶權限自動加載產品列表，并可以直接統(tǒng)一認證登錄各個子系統(tǒng)，無需再次驗