Web应用安全管理系统需求说明

Web应用安全管理系统需求说明（一）项目概况随着互联网协议第六版（IPv6）成为互联网升级演进的必然趋势，各高校、企业、单位均开始落实IPv6的规模部署和应用，国家、各省监管单位针对IPv6应用发布的要求也越来越高，如何保持与IPv4一样的安全性、Web应用加密一致等问题显得尤为重要。目前，各高校、职校均存在通过服务器直接发布加密应用的问题，在IPv4、IPv6场景下满足安全发布的同时，如何针对学校对外发布的应用做可视化分析、统计，如何发现学校中长期实用的应用系统、如何对各类Web应用系统做合理的标签分组以及分组后如何应急处置问题成为各高校关注的重心。目前我校通过负载均衡设备发布Web应用，截止2023年已累计发布Web应用166个，包括校网、OA办公、教务、人事、科研等业务系统。通过负载均衡设备发布Web应用目前存在的问题：1、管理功能弱：发布Web应用操作繁琐复杂；无法制定任务计划定时发布或关闭Web应用，特别在网络安全重保时期，给学校带来安全隐患的同时增加大量工作；2、安全防护弱：无法对各Web应用做分类控制，一旦单个系统被攻击，无法针对其做及时的安全应急处理；3、负载均衡设备已过保，且单台设备运行，存在较高单点故障风险。Web应用安全发布系统项目作为基础设施项目，将实现对学校Web应用统一、安全、快速发布，安全管理。项目建设充分、必要。（二）具体要求指标项详细功能指标要求规格配置性能参数1）提供2台硬件作为工作节点配置为2288HV5/1*4208/32GDDR4内存/2*2T

SATA

7.5K/2*1G（RJ45）+2*10G（含多模）／2*900W／导轨；2）管理节点与工作节点分开部署，管理节点负责日志存储，配置下发数据库备份，工作节点处理用户请求，热备冗余，数据同步，避免单点故障；3）可通过增加工作端数量横向扩展系统性能；4）要求提供资源统一发布与管理系统，且系统支持管理不少于1000个网站。部署方式1）提供与操作系统、数据库以及其他平台软件深度整合的统一介质，能够实现操作系统、数据库、其他平台软件和系统的统一安装；2）支持多种安装方式，包括ISO及虚机模板；3）支持国产操作系统，包括：中标麒麟v7、银河麒麟v4v10、麒麟信安v3.3；支持国产CPU：海光、兆芯、鲲鹏、飞腾；支持全中文操作界面以及全中文用户手册。基本要求资源管理要求1）支持HTTP、HTTPS、WebSocket、HLS等协议；2）支持IPv4与IPv6资源的相互转换；3）支持资源的批量导入导出、批量删除、应用访问策略、应用安全策略、应用SSL证书等；4）支持对资源的自定义分组及分级，并支持资源树结构的展现；5）支持资源生命周期管理，支持用户自定义资源备案信息，包括申请信息及资源有效期，支持资源到期时自动告警；6）支持HTTPS类型Web资源的证书管理，支持系统内自建证书，支持系统直接签发可信证书，支持对接DNS服务器签发通配可信证书，支持合并多条证书生成完整证书链；7）支持对不同资源自定义错误页面、登录页面、协议端口、缓存策略等；8）支持优化网页代码，减少单次传输流量，降低服务器压力/负载，提升浏览器渲染效率；9）支持自定义资源访问用户数阈值，访问超限时自动按照用户访问优先级进行响应；10）支持对资源进行备份，可自定义备份的生成时间及周期；11）支持从时间段、用户、IP三个维度灵活切换资源（精确到URL）访问方式，包括直接访问、认证后访问及禁止访问，且支持设置周期性切换；12）支持通过微信对资源一键断网；13）支持基于会话和基于负载的负载均衡调度方式；14）提供多种安全策略模板并支持用户自定义安全策略，可实现防网页篡改，阻止XSS攻击、SQL注入等攻击。基本要求认证用户与门户管理1）支持本地用户管理，支持接入外部统一认证系统，包括LDAP、RADIUS、OAuth、CAS企业微信，由投标人在项目交付前根据用户需求完成外部统一认证系统接入；2）支持多种登录方式，包括用户名密码、短信认证、微信认证等；3）支持用户分组，以及分组资源访问权限管理；4）支持自定义单个本地账号的有效期；5）支持个性化资源访问门户，可基于用户组及其访问权限展示资源列表。监控告警1）支持对资源的可达性巡检；2）支持跟踪用户访问实时监控资源可达性；3）支持基于异常持续时间、发生频次的告警策略管理；4）支持通过短信、微信、邮件向管理员发送告警通知消息，自带微信告警服务平台，只需关注即可使用；5）支持根据不同的告警类型和对象选择不同的告警接收者。日志统计分析1）支持记录与查询全量日志，包括用户账号、用户IP、终端、请求时间、访问URL、请求结果等；2）支持根据访问量、浏览器、操作系统、设备类型、请求来源地理位置进行统计分析，并可根据时间段及不同时间维度（日、周、月、年）进行统计，通过可视化图表展示变化趋势；3）支持无损存储资源性能数据信息并进行统计分析，包括请求数、响应数、流量大小、错误数等，并可根据时间段及不同时间维度（日、周、月、年）进行统计，通过可视化图表展示变化趋势；4）支持统计分析攻击行为，包括攻击来源、攻击URL、攻击信息；5）支持对接专业的日志分析平台，实现将以IP标识的日志转化为以终端+账号为标识。系统构架要求安全要求1）支持通过HTTPS、SSH协议进行管理；2）支持管理分析端和业务端独立部署，实现配置的统一管理和下发，可根据业务需要实时在线扩容，保障业务的独立平稳运行；3）支持在线升级系统且无需重启，保证业务的连续性；4）配置数据、日志数据、性能数据分别采用专用数据库存储，优化数据存储结构，提升数据存取效率；5）支持自动定期系统配置备份，并可通过备份进行系统恢复；6）支持监控系统自身运行状态，包括CPU、内存、负载状态、网卡流量以及磁盘使用情况；7）支持管理端与业务端的时钟同步；8）支持操作日志的记录与查询；9）支持系统用户的权限管理，系统管理员可管理所有资源并自定义域管理员的管理域，域管理员只可对指定域内资源进行管理。界面展现要求1) 支持多种浏览器，要求支持在iOS（iPhone/iPad）、Android等操作系统的移动设备展现；无需安装插件即可在P