江蘇睢寧農村商業銀行指掌易移動安全管理平臺采購

產品

模塊

指標項

功能描述

移動安全管理平臺

系統整體功能要求

系統整體功能要求

1.支持iOS、Android、PC多平臺的移動辦公安全管理；

2.iOS不需要安裝設備管理配置文件，Android不需要激活設備管理器，滿足BYOD環境下輕量化實現方式；

3.提供600個移動端和100個PC端授權。原廠一年維保服務。

系統用戶及認證管理

系統用戶及認證管理

用戶同步：支持手動導入、支持基于模版批量導入、支持與AD/LDAP；

用戶管理：1、實現創建、修改、刪除、導入、導出用戶；

          2、實現搜索、查看用戶信息；

          3、實現激活/取消激活用戶，已停用用戶無法登錄

用戶認證：1、支持平臺本地認證；

2、支持AD/LDAP、第三方IAM認證；

3、支持多因素認證：支持用戶名密碼+短信驗證碼相組合的雙因素認證，通過與第三方系統對接支持動態口令、數字證書、生物特征等認證方式，并支持各認證方式的組合滿足雙因素認證的要求

移動設備管理

對設備的遠程操作

1、實現遠程對設備鎖定、擦除、刪除、標記丟失、標記找回及清除密碼

2、支持設備定位，包括實時定位及歷史軌跡；支持播放鈴聲；支持消息通知；支持強制設備鎖屏；支持標記丟失；支持擦除設備；支持刪除設備；支持清除設備密碼；支持SD卡狀態變更

設備管控策略

強制密碼、應用黑白名單、WiFi黑白名單、藍牙黑白名單、URL黑白名單，企業WiFi配置、APN配置、內部郵件配置、設置墻紙等

設備功能控制策略

安卓設備：支持Android設備限制，禁止使用攝像頭/禁止發送短信/禁止使用WiFi網絡/禁止開啟WiFi網絡/強制開啟WiFi網絡/禁止開啟移動數據網絡/強制開啟移動數據網絡/禁止使用外置存儲（TF卡）/禁止開啟網絡共享熱點/禁止使用系統原生瀏覽器/禁止使用麥克風/禁止修改系統時間和日期/禁止使用定位服務/禁止開啟開發者選項、USB調試及數據傳輸/禁止使用藍牙/禁止恢復出廠設置/禁止使用移動數據網絡（2G/3G/4G）/禁止使用第二張SIM卡/禁止使用設備分身、訪客僅/禁止使用下拉通知欄/禁止使用APN設置/禁止截屏/禁止開啟飛行模式/禁止使用設備備份/強制開啟GPS/強制關閉GPS/禁止安裝外部來源應用/禁止使用NFC/禁止MTP數據傳輸；

支持在安卓設備禁止使用攝像頭功能上配置例外應用（可要求提供相關配置截圖）；

安卓設備支持禁止使用設備分身、訪客（可要求提供相關配置截圖）

移動端品牌、系統適配

移動端品牌、系統適配

移動設備管理支持國產五大品牌：華為、榮耀、小米、OPPO、VIVO，終端形態包括手機、平板；

移動設備管理支持Android、鴻蒙、IOS系統

移動設備合規管理

系統類型合規

設備破解情況、設備在線狀態；系統版本、SIM卡、電量、存儲空間狀態的合規檢測及合規策略的配置

應用類型合規

設置必裝應用檢測，一旦違規觸發違規機制

違規機制

違規告警、遠程鎖定設備、擦出企業應用、恢復出廠設置、禁用企業應用

安全桌面

設置安全桌面，設備啟動后自動進入安全桌面狀態，同時可以設置安全桌面內可見內容

移動端內容管理

文件夾管理

實現查看、新建、編輯、刪除文件夾、實現根目錄刪除

文件管理

支持支持單個文件或文件夾壓縮包的上傳，支持所有格式：e.g. PNG、JPG、PDF、DOC、DOCX、XSL、PPT、TXT、HTML、mp3、mp4等

安全策略

1、支持文檔上傳自動加密

2、支持受限閱讀，文檔只能加密應用查看

3、實現對文件有效期、文件分發通知、文件下載和預覽權限、文件自動下載進行設置

移動端數據備份

通話記錄

對終端產生通話記錄進行數據備份，包含通話時間、通話類型等并進行數據統計，自定義時間段內撥打接通、撥打未接通、來電接通、來電未接通次數

短信記錄

對終端產生短信記錄進行數據備份，包含短信記錄、彩信記錄，并對短信發送次數、接收次數、彩信發送次數、彩信接收次數統計

通訊錄

對終端通訊錄產生數據進行數據備份?？蛇h程添加/刪除通信錄數據

相冊

對終端相冊數據進行備份，包含相冊圖片數據、視頻數據

移動應用管理及數據安全

應用生命周期管理

支持H5，本地H5，APK、IPA文件的后臺上傳，基于用戶、組織等進行應用分發；

支持應用的多版本管理、灰度發布、應用的下架以及回收

應用安全服務能力

對上傳平臺的應用提供APP加固服務、提供代碼混淆、放反編譯、加密等能力；

對上傳平臺的APP提供APP檢測服務，包括APP自身代碼漏洞、邏輯漏洞、低安全性能力等檢測能力，并可導出APP檢測報告

應用賦能

1、快速沙箱化：可以快速對apk、ipa文件進行沙箱化處理，并提供響應的安全能力；

2、原包影響：沙箱化后的原包增量不超過30M（直接影響APP初始化、啟動的效率）；

3、應用進程：工作空間的應用安裝，需獨立安裝在操作系統內，具備獨立的進程，保障應用能繼承原有操作系統的安全性，以及應用運行的性能及穩定性

基礎辦公套件

1、安全郵件：提供企業私有、統一、具備安全能力的辦公套件；

2、安全通訊錄：提供企業內部通訊錄管理模塊；

3、安全文件管理器：提供企業內部文件預覽及文件管理的套件

應用數據DLP策略

1、Android企業應用與H5應用支持應用水印支持明水印與暗水印模式

2、Android企業應用與H5應用支持截屏/錄屏保護，禁止對此應用截屏或錄屏，或監控對此應用的截屏操作，上報截屏信息，禁止此應用自身的截屏/錄屏操作

3、Android企業應用與H5應用支持復制、粘貼保護，僅允許應用數據復制粘貼至開啟此保護的應用，或禁止應用數據復制粘貼至任何應用

4、Android企業應用與H5應用支持應用數據加密

5、Android企業應用與H5應用支持應用文件隔離，實現文件路徑加密混淆

6、Android企業應用支持安全鍵盤功能，具備隨機按鍵布局模式

7、Android企業應用與H5應用支持應用運行安全策略，包括禁止應用啟動、 禁止應用自啟動、禁止通知欄消息、禁止后臺運行

8、Android企業應用與H5應用支持使用網絡控制，包括禁止使用WiFi網絡、禁止使用移動數據網絡

9、Android企業應用與H5應用支持系統權限限制，包括禁止撥打電話、禁止發送短信、禁止讀取短信、禁止修改刪除短信、禁止讀取通話記錄、禁止修改刪除通話記錄、禁止讀取聯系人、禁止修改刪除聯系人、禁止獲取手機號、禁止調用藍牙、禁止調用打印服務、禁止訪問多媒體資源、禁止調用攝像頭、禁止調用錄音功能、禁止獲取地理位置；

10、以上策略，具備基于角色、應用、應用不同版本的細粒度策略執行，同時上述策略可以動態變更

應用數據策略模版

1、支持設置復制粘貼白名單限制字符數

2、水印的大小、顏色、角度、內容進行靈活配置

3、支持配置Android、iOS、H5應用策略模板（需提供相關配置截圖）

兼容性要求

兼容性要求

通用操作系統：支持CentOS、Redhat操作系統；

信創：中標麒麟；

通用數據庫：支持Oracle、Mysql數據庫；

信創數據庫：達夢數據庫、人大金倉數據庫

移動端能力擴展要求

本地日志收集(門戶客戶端)

在服務端對平臺客戶端本地日志進行收集

應用性能監控(集成SDK)

應用集成性能監控SDK，可收集應用運行的性能情況，比如崩潰、卡頓

應用行為監控(集成SDK)

應用集成行為監控SDK，可收集用戶使用應用的點擊習慣

JS SDK

豐富H5應用對終端本地功能的調用能力，例如相機拍照、GPS定位、撥打電話等

SSO SDK

單點登錄SDK，應用集成后可以實現單點登錄

安全能力SDK

提供移動端安全能力SDK，應用集成后具備安全空間所有安全能力

PC端工作域

工作域管理

支持創建、修改、刪除多個工作域；

支持搜索、查看工作域信息

應用管理

支持Windows應用自動上報和手動添加；

支持搜索和查看應用詳情

安全策略

1、支持配置工作域水印，可設置僅工作域應用窗口水印和全屏水??；

2、支持配置工作域截屏檢測控制；

3、支持配置工作域打印控制；

4、支持限制系統剪貼板，支持控制工作域外數據拷貝至沙箱和工作域內拷出字數限制；

5、支持配置工作域剪貼板復制粘貼白名單；

6、支持smb協議訪問控制

應用策略

1、支持配置工作域內應用攔截方式；

2、支持配置應用黑/白名單，支持按用戶、生效時間和應用選擇

網絡策略

1、支持配置網絡黑/白名單，支持IP、IP段、IP區間和域名控制；

2、支持控制工作域內SDP資源訪問控制；

3、支持網絡策略導入、導出

文件外發設置

1、支持配置工作域外發流程、大小限制和文件外發審計參數；

2、支持與移動端聯動，通過移動端進行外發審批操作；

3、支持設置外發審批模式，支持特權工作域或特權用戶

預置應用

1、支持配置網頁鏈接類型應用，打開后快速使用本地默認瀏覽器打開。支持配置指定的瀏覽器打開；

2、支持預置本地原生應用，支持配置應用進程名稱和啟動參數；

3、支持預置samba文件服務器，客戶端可使用資源管理器打開；

4、支持原生應用未安裝時進行錯誤提示或提示下載軟件倉庫應用

全局配置

支持配置截屏操作審計和截屏圖片審計

工作域DNS配置

支持為指定工作域配置沙箱內域名解析服務器

應用管理

已安裝應用管理

支持展示用戶所有已安裝應用；

支持自定義添加應用

軟件倉庫

1、支持第三方PC應用的上傳、發布、下架和編輯操作；

2、支持對第三方應用進行分發和下載；

3、支持對第三方軟件進行分類展示設置；

4、支持對接獨立下載服務，應用上傳支持本地發布/遠程發布類型

PC客戶端策略

客戶端限制性策略

支持動態下發客戶端強制開機自啟、自動登錄、卸載&退出限制、隱藏窗口等限制，并支持通過心跳調整和下發；

支持下發網絡數據加密功能，防止中間人攻擊

PC工作域審計

程序啟動攔截日志

支持查看工作域啟動禁止程序被攔截日志；

支持數據搜索和導出

復制粘貼攔截日志

1、支持查看工作域復制粘貼被攔截日志

2、支持查看復制粘貼的文本、圖片和文件內容；

3、支持數據搜索和導出

網絡攔截日志

支持查看工作域訪問禁止網絡被攔截日志；

支持數據搜索和導出

打印控制日志

支持查看工作域中打印文件日志；

支持數據搜索和導出

截圖審計日志

支持查看工作域截圖審計日志，支持查看截圖內容；

支持數據搜索和導出

外發審計日志

支持查看文件外發審批流程和審核日志

syslog協議

審計日志支持通過syslog協議發送至第三方日志服務器

SDP零信任網關架構及兼容性

安全架構符合SDP規范

安全架構需符合CSA定義的SDP規范，采用客戶端+控制器+網關的SDP安全架構，控制流和數據流分離

先認證后鏈接

采用先認證后接入的安全協議，在允許接入網關等之前先檢查用戶身份合法性

端口隱藏

業務系統和SDP網關均無需對外暴露任何TCP端口，使用SPA單包授權技術，僅通過認證的用戶才能通過網關正常訪問業務，減少互聯網暴露面，降低惡意攻擊和入侵風險

多類型終端接入

支持Android 7.0-11.x、iOS 11.0-14.x、Windows 7 32/64bit、Windows 10 32/64bit、MacOS 10.12以上等終端的接入

SDP零信任網關認證

SPA單包授權

需支持SPA單包授權技術，客戶端先向控制器發送SPA認證消息，認證通過后，網關的端口才能對客戶端開放

UDP敲門

SPA消息通過UDP協議敲門，控制器僅需開放一個UDP端口，避免開放TCP端口容易被掃描和攻擊的問題。

客戶端IP黑名單

在IP黑名單中的客戶端無法發起SPA敲門，控制器默認丟棄請求

用戶體驗

SDP零信任網關客戶端支持配置多個服務信息

客戶端支持配置和保存多個服務器信息，可便捷切換

和安全工作空間客戶端整合

使用安全工作空間客戶端（包括移動端、PC端）即可自動登錄SDP網關，用戶無感知