**大学附属医院信息安全整改项目
采购需求公示
我院近期拟对“信息安全整改”项目启动采购程序,根据《政府采购信息发布管理办法》(财政部令〔****〕101号)、《关于开展政府采购意向公开工作的通知》(财库〔****〕10号)精神,现将有关该项目的主要用途、功能及使用目的、采购需求(技术参数、主要配置、售后服务等)进行公示。详见附件一:(略)
本次公示是本单位采购工作的初步安排,具体采购项目情况以相关采购公告和采购文件为准。
公示期:(略)
如有异议,请联系: 信息科:田老师 (略)
采招办:(略)
**大学附属医院信息科
(略)
附件一
采购需求书
一、项目概况及总体要求
根据信息系统三级等保测评机构出具的《**大学附属医院网络安全等级保护建设整改报告》及市委网信办、市等保办对医院信息安全作出的相关要求,结合我院目前在用的安全设备的实际状况,项目清单中各产品申请理由如下:
1、 安全防御系统(蜜罐技术)一套
由于网络(略),在医院网络中部署蜜罐系统,主动防守,并与防火墙和入侵检测技术结合,共同抵御网络攻击,从而达到全面加强网络安全性的目的。
2、 数据库防护系统一套
随着数据库防护系统互联网、大数据的爆发,敏感数据泄露是全球最普遍存在的安全事件,尤其是核心业务系统的数据投放到开发、测试、培训及共享等二级数据应用环境,面对着软件开发与运维厂商众多,但是数据安全管理意识淡薄,在数据趋利的时代,极易引发敏感数据从非生产环境泄露的风险,带来不可估量损失,所以数据库防护(略)。
3、 链路负载均衡两台
目前在用的医保(略),该型号设备厂家已停止服务,无法维修。为保障医保应用的连续性与稳定性,计划更换目前在用的2台链路负载均衡设备。
4、 应用负载均衡一台
为了避免网络设备或线路出现故障时引起数据通信中断,保证HIS业务应用服务的连续性,建议为主要网络设备、通信链路和数据处理系统等提供硬件或线路冗余(如负载均衡、防火墙和网闸),从而避免关键节点存在单点故障,以确保在通信线(略),有效增强系统(略)。
5、 网闸一台
现有网闸为****年购置,仅一台,预约挂号、互联网医院、集成平台等存在内外网交(略)交换”,因而现有网闸的策略配置已经饱和,无法再添加新策略,故申请购置一台以做增补。
6、网站安全整改
目前*(略).cn与jdfy.net两个域名之下,为满足信息系统等级保护2.0标(略),必须对所有子网站进行整改,重新设计开发,实现统一域名、统一后台、统一数据库,以及为网站服务器购买必要的“**云”安全服务产品。
7、容灾区防火(略)
为配合外科楼一楼容灾机房的建设,需要在容灾区部署容灾区防火墙以作防护。
8、全流量威胁检测探针(外网风险评估)一套
现有风险评估产品于****年购置,仅部署于内网,而我院外网受到的威胁也呈现出高发态势,故申请为外网增设威胁检测探针。
9、数据库灾备系统扩容
现有数据库灾备系统购置于****年,已按照合同附件要求完成了多个业务系统的容灾备份。本次的扩容需求是实现新增加的业务系统和集成平台的数据库容灾。
10、杀毒软件扩容
目前在用的杀毒软件购置于****年,两个年多来业务系统的扩增导致授权检测模块数量不足,故申请扩容。
11、堡垒机扩容
现有堡垒机购置于****年,两个年多来业务系统的扩增导致管理设备数量已经饱和,故申请扩容。
综上所述,我院需采购以上安全设备作安全防护,保障医院信息系统的稳定运行。
项目采购预算:(略)
二、(略)
采购用途:□科研 □教学 □医疗 □管理 □后勤 ?其他
用途说明:信息安全设备增加、扩容及网站安全整改,以满足医院信息系统的安全等级保护要求。
三、采购需求一览表(货物类):
序号 | 货物名称 | 是否为进口设备 | 单位 | 数量 | 是否属核心产品 |
1 | 安全防御系统(蜜罐技术) | 否 | 套 | 1 | 否 |
2 | 数据库防护系统 | 否 | 台 | 1 | 是 |
3 | 链路负载均衡 | 否 | 台 | 2 | 否 |
4 | 应用负载均衡 | 否 | 台 | 1 | 否 |
5 | 网闸 | 否 | 台 | 1 | 否 |
6 | 网站安全整改 | 否 | 批 | 1 | 否 |
7 | 容灾区防火墙 | 否 | 台 | 1 | 否 |
8 | 全流量威胁检测探针(外网风险评估) | 否 | 套 | 1 | 否 |
9 | 数据库灾备系统扩容 | 否 | 批 | 1 | 否 |
10 | 杀毒软件扩容 | 否 | 批 | 1 | 否 |
11 | 堡垒机扩容 | 否 | 节点 | 100 | 否 |
四、技术指标(按一览表中货物分别填写)
1. 网络安全防御系统(蜜罐技术)(1套)
序号 | 指标项 | 重要性 | 指标要求 | 关键指标理由 |
1 | 硬件规格 | ★ | 1U专用机架式硬件设备,全内置封闭式结构,≥8G内存, ≥1(略)SSD硬盘(略),每个千兆GE口可以独立控制。扩展槽≥2个,每个扩展槽最高可扩展8个千兆电/光口 |
|
2 |
仿真诱捕 | ★ | 支持通(略),并支持在不同网段或VLAN生成和配置虚拟诱饵主机(提供界面截图,并加盖厂商公章) |
|
★ | 支持接入用户自身搭建的应用系统,从而实现完全仿真真实业务系统,生成完全仿真蜜罐(提供界面截图,并加盖厂商公章) |
|
| 支持显示真实主机和虚拟诱饵主机IP地址 |
|
3 | 攻击吸引 |
| 支持配置MAC表aging-time |
|
| 支持在主机上生成linux文件诱饵或windows文件诱饵 |
|
★ | 支持trunk方式将诱捕能力发布到全内网VLAN网段,无侵入式部署不影响真实业务运行 |
|
| 支持自定义端口监听镜像流量 |
|
4 | 攻击感知 | ★ | 支持自动建立隔(略),支持可(略)(提供界面截图,并加盖厂商公章) |
|
| 支持阻断对指定URL地址的访问。 |
|
| 支持根据关键词对网页内容进行检查并阻断访问行为。 |
|
| 支持捕获攻击主机后,自动拦截攻击主机的访问行为 |
|
| 支持根据来源/目的地址、文件类型阻断对FTP服务器的文件上传/下载行为 |
|
| 支持根据邮件地址、邮件主题和(略) |
|
5
|
访问控制
|
| 支持基于源IP目的IP、目的端口的访问控制 |
|
| 支持IP地址开放端口允许被单一或者多个地址连接 |
|
| 访问控制支持拦截和放行策略 |
|
| 支持一键开启、关闭访问控制策略 |
|
| 支持对网络流量、包转发速率进行监控 |
|
| 支持对内网主机数、内网端口数进行监控 |
|
| 支持添加和删除白名单IP地址,白名单内IP地址不受访问控制限制 |
|
6 | 产品资质 | ★ | 产品要求为国内开发,具备自主知识产权,拥有该系统的计算机软件著作权,提供产品销售许可证。 |
|
7 | 厂商资质 |
| 设备生产厂商应具有符合GB/T (略)SO (略)的《质量管理体系认证证书》,认证覆盖范围:计算机软件研发、网络信息安全技术服务(出具加盖厂商公章的复印件) |
|
2.数据库防护系统(1台)
序号 | 指标项 | 重要性 | 指标要求 | 关键指标理由 |
1 | 硬件规格 | ★ | 2U机架式一体机,冗余交流电源,GE(略),内存≥16GB,硬盘存储≥2T |
|
2 | 性能参数 | ★ | 数据库(IP+Port)授权≥30个,纯数据库流量≥60MBps,SQL峰值吞吐量≥****条/秒,在线会话≥20(略) |
|
3 | 部署模式 | ★ | 需支持桥接模式部署、旁路模式部署等 |
|
4 | 数据库类型 |
| 需支持国内外主流数据库类;支持主流大数据平台 |
|
5 | 控制模式 | ★ | 无需数据库DBA权限,且无需在数据(略),即可对数据库安全进行防护控制 |
|
★ | 需支持两种防护模式: 会话阻断:支持依照策略配置对存在风险的会话进行阻断; 拦截语句:支持依照策略配置对会话中的风险语句进行拦截,但不影(略)。 |
|
6 | 防护对象 |
| 需支持通过数据库名称、数据库实例、Schema、表名、字段名、函数等关联信息解析和设置防护规则。 |
|
| 需支持针对Oracle数据库区分PDB/CDB实例进行防护 |
|
7 | 敏感数据发现及脱敏 |
| 支持发现任务的创建,针对指定的数据库进行自动扫描发现,并对任务进行管理。 |
|
| 支持数据关系(略)等相关约束列表。 |
|
| 支持数据字典、字段字典的自定义。 |
|
| 支持针对自动识别的结果提供手动梳理能力,让用户可以对自(略)。 |
|
★ | 系统需内置针对符合特征的敏感数据发现规则,规则包括:身份证、通用证件号、银行卡号、电话号码(手机、座机)、中文姓名、中文地址、企业名称、日期、税号、Email地址、统一社会信用代码、证券号、海关编号等。(提供界面截图,并加盖厂商公章) |
|
★ | 系统需内置针对符合特征的敏感数据掩码脱敏算法,算法包括:身份证(略)(手机、座机)、中文姓名、中文地址、企业名称、日期、Email地址、统一社会信用代码等。(提供(略),并加盖厂商公章) |
|
8 | 风险识别能力 |
| 需支持基于SQL语法解析实现SQL操作的风险识别能力,非正则方式模糊匹配。 |
|
| 系统需具有语句模板抽象能力,能够将语句结构相同但参数不同的语句,抽象(略),并能够根据语句模板配置语句的黑白名单规则,进行拦截和阻断。 |
|
| 需支(略)导出规则,防止(略)。 |
|
9 | 攻击防护 |
| 需提供针对利用已公开的数据库漏洞攻击行为进行拦截的虚拟补丁功能;漏洞分类应涵盖:(略) |
|
★ | 系统提供的漏洞补丁规则必须有:漏洞名(略)。(提供(略),并加盖厂商公章) |
|
| 需支持(略),结果集包含敏感数据,则直接拦截或阻断。 |
|
10 | 数据篡改防护 |
| 需支持通过精准的数据库协议解析,识别数据库风险操作,并能匹配风险规则对风险操作进行拦截或阻断,防止数据遭(略)。 |
|
11 | 检索分析 |
| 需支持风险统计:(略) 需支持风险源分析:基于客户端IP、数据库用户、工具分析风险来源。 |
|
| 需支持风险、语句、会话等多维度的详情检索能力。 |
|
12 | 告警管理 | ★ | 系统告警内容需支持:网卡异常、分区超限、异常关机、CPU超限、内存超限、会话超限(略) |
|
13 | 学习建模 |
| 需提供学习期并(略),构建数据库安全防护模型。通过学习期捕获全量的SQL语法,归类形成SQL语句模板,可建立信任语句规则对合法的SQL模板默认放行策略。 |
|
| 需能提(略),对学习期触发的违规行为类型和数量进行统计和分析。 |
|
14 |
高可用机制 |
| 需支持HA双机主备自动切换,支持策略(略),保障主备间的一致性。 |
|
| 需支持断电Bypass和在线Bypass容灾功能,可自动启动和关闭网口间Bypass导通,保障系统异常环境下的网络畅通。 |
|
15 | 统计报表 |
| 系统需提供不少于20个报表模型,并需支持基于全库、数据库组和单库维度进行展现;报表支持以Word、PDF、HTML等格式保存到本地。 |
|
16 | 权限管理 |
| 需支持三权分立,系统默认设定系统管理员、规则配置员、审计查看员、操作日志查看员等角色。需支(略),分配不同数据库权限和不同的菜单管理权限。 |
|
17 | 数据管理 |
| 需支持审计日志数据的备份与恢复,支持自动备份,备份数据可以选择高性能或高压缩比,支持的备份服务器类型至少包含FTP、SFTP、NFS方式,备份(略)。 |
|
18 | 产品资质 | ★ | 所投产品需具备**部颁发的销售许可证,产品类型属于《(略)。(需提供相关证书或证明文件,并加盖厂商公章) |
|
19 | 厂商资质 |
| 产品的生产厂商为国家信息安全漏洞库技术支撑单位(三级)。(需提供相关证书或证明文件) |
|
| 产品的生产厂商具备国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》。(需提供相关证书或证明文件) |
|
★ | 所投产品的生产厂商具备挖掘国际品牌数据库漏洞能力,所挖漏洞被CVE组织收录且具有编号;所投产品的生产厂商具备挖掘国产品牌数据库漏洞能力,所挖漏洞被CNNVD或CNVD承认且具有编号。提供至少国内外数据库漏洞各5个漏洞编号。(需提供相关证书或证明文件, 并加盖厂商公章) |
|
3. 链路负载均衡(2台)
序号 | 指标项 | 重要性 | 指标要求 | 关键指标理由 |
1 | 性能参数 | ★ | 吞吐量≥3Gbps,并发连结数≥(略),4层**连接数CPS≥(略),千兆电口≥6个,千兆光口≥2个,≥8G内存, ≥128GB SSD硬盘容量; |
|
2 | 设备部署 |
| 支持串接部署方式和旁路部署方式,支持三角传输模式; |
|
3 | 多合一功能集成 | ★ | 提供针对L4/L7内容交换的服务器负载均衡功能,可在单一设备上支持多个应用和服务器集群,可以根据多种算法和要求分配用户的请求; |
|
4 |
负载均衡算法 |
| 支持轮询、加权轮询、按主机加权轮询、加权最小连接、按主机加权最小连接、动态反馈、最快响应、最小流量、加权最小流量、按主机加权最小流量、带宽比例、哈希、主备、首个可用、优先级等算法; |
|
5 | 可编程流量控制 |
| 通过某种编程语言(如lua)实现自定义的流量编排,对IP、TCP、UDP、SSL、HTTP和HTTPS等类型的流量进行分发、修改和统计等操作; |
|
6
|
链路负载均衡 |
| 支持静态IP和PPPOE两种线路接入方式; |
|
| 支持基于五元组条件(源IP地址,源端口,目的IP地址,目的端口,传输层协议号)来进行出站访问的流量调度分发; |
|
★ | 支持基于管理员自定义的时间计划来进行出站访问的流量调度分发;(投标时需提供产品功能截图证明并加盖厂商公章) |
|
| 支持DNS透(略),可基于负载均衡算法代理内网用户进行DNS请求转发,避免单运营商DNS解析出现单一链路流量过载,平衡多条运营商线路的带宽利用率; |
|
| 支持多种链路检测方法,能够通(略),当某一条链路故障时,可将访问流量切换到其它链路,保障用户业务的持久通畅; |
|
★ | 支持链路负载(略),能够分别基于链路监测、应用选路和ISP流量进行投屏展示分析。链路监测展示链路(略);(投标时需提供产品功能截图证明并加盖厂商公章) |
|
7 | 高可用性 |
| 支持双机热备部(略),可自动(略),实现无缝故障切换; |
|
8 | 产品资质 |
★
| 所投产品应具备《IPv6 Ready Phase-2金色认证证书》;(投标时需提供资质证书证明并加盖厂商公章) |
|
| 所投产品厂商应同时为国家信息安全漏洞共享平台(CNVD)技术组成员和用户组成员;(投标时需提供资质证书或官网截图证明并加盖厂商公章) |
|
9 | 厂商资质 |
★
| 所投产品厂商(略)(投标时需提供资质证书证明并加盖厂商公章) |
|
| 所投产品厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位;(投标时需提供资质证书证明并加盖厂商公章) |
|
4.应用负载均衡(1台)
序号 | 指标项 | 重要性 | 指标要求 | 关键指标理由 |
1 | 性能参数 | ★ | 吞吐量≥5Gbps,并发连结数≥(略),4层**连接数CPS≥(略),千兆电口≥6个,千兆光口≥2个,≥8G内存, ≥128GB SSD硬盘容量,至少支持2个USB口和1个RJ45串口; |
|
2 | 设备部署 |
| 支持串接部署方式和旁路部署方式,支持三角传输模式; |
|
3 | 多合一功能集成 |
| 提供针对L4/L7内容交换的服务器负载均衡功能,可在单一设备上支持多个应用和服务器集群,可以根据多种算法和要求分配用户的请求; |
|
4 | 负载均衡算法 |
| 支持轮询、加权轮询、按主机加权轮询、加权最小(略) |
|
5 | 可编程流量控制 |
| 通过某种编程语言(如lua)实现自定义的(略),对IP、TCP、UDP、SSL、HTTP和HTTPS等类型的流量进行分发、修改和统计等操作; |
|
6 |
服务(略) |
| 支持源IP、Cookie(插入/被动/改写)、HTTP-Header、SSL Session ID等(略),支持跨虚拟服务的会话保持。 |
|
★ | 支持被动式健康检查,可根据对业务流量的观测采样,(略)判断机制,对于复杂应用可配置基于RST关闭连接和零窗口等异常TCP传输行为的观测判断机制。(提供设备操作界面截图证明材料并加盖厂商公章) |
|
| 对于超过服务器的连接数上限或者请求数上限的**连(略)直接丢弃数据包 |
|
★ | 服务器负载状态支持投屏展示,能够显示设备的电源状态、风扇转速、磁盘温度、CPU温度、CPU和内存占用率、**连接数、并发连接数、吞吐情况、SSL**和SSL吞吐数据、压缩优化和缓存优化数据;业务的健康状态、**连接数、并发连接数、上下行流量、每秒请求数;节点池的调度算法、健康状态、**连接数、并发连接数、上下行流量;(提供设备操作界面截图证明材料并加盖厂商公章) |
|
7 | 产品资质 |
★
| 所投产品应具备《IPv6 Ready Phase-2金色认证证书》;(投标时需提供资质证书证明并加盖厂商公章) |
|
| 所投产品(略)(CNVD)技术组成员和用户组成员;(投标时需提供资质证书或官网截图证明并加盖厂商公章) |
|
8 | 厂商资质 |
★
| 所投产品厂(略)(投标时需提供资质证书证明并加盖厂商公章) |
|
| 所投产品厂商应是国家互联网应急响应中心网(略)资质证书证明并加盖厂商公章) |
|
5.网闸(1台)
序号 | 指标项 | 重要性 | 指标要求 | 关键(略) |
1 | 硬件架构 | ★ | “2(略),即由内端机、外端机、隔离交换专用硬件三部分组成。隔离交换专用硬件与内、外端机采用专用协议连接,不可编程。 |
|
2 | 产品规格 | ★ | 2U,内外端双侧液晶屏;内端机≥4个10/100/****Base-T接口,≥4个SFP插槽,≥1个MAN口;外端机≥4个10/100/****Base-T接口,≥4个SFP插槽,≥1个 HA口,冗余电源 |
|
3 | 性能要求 | ★ | 吞吐量≥2Gbps;并发连接数≥10万;延时小于1MS;支持与现有网络中网闸实现双机热备功能。 |
|
4 | 操作系统 |
| 操作系统基于Linux内核设计开发,全面加(略),保护主要进程的安全性和稳定性;不采用通用的指令库和函数库,只提供有限的内部调试用指令函数。 |
|
★ | 内置IDS特征库,集成抗DDOS(略),可抵御各类黑客入侵、拒绝服务攻击和病毒木马威胁,保证网闸系统自身的安全。 |
|
5 | 三层路由功能镜像功能 |
| 支持FTP文件传输协议,支持主动被(略)。支持FTP命令参数控制支持对传输文件的类型过滤。支持内容过滤。支持情景模式,能够设置时间段允许文件传输。 |
|
| 代理、透(略)令及命令参数控制策略。 |
|
6 |
文件同步功能 |
| 设备支(略)。无客户端方式无(略),网闸不开放任何(略) |
|
| 支持Samba、FTP、HTTP等多种通信协议。支持手动文件同步和自动文件同步。支持文件内容过滤。支持文件类型黑白名单传输控制。支持windows平台和linux平台。同步传输方向可控,双向或单向。支持一对多或(略)。支持目录内子目录同步,至多支持32级目录。支持中文文件名或目录同步。 |
|
| 支持Samba、FTP、HTTP等多种通信协议。支持手动文件同步和自动文件同步。支持文件内容过滤。支持文(略)。支持windows平台和linux平台。同步(略),双向或单向。支持一对多或多对一文件同步。支持目录内子目录同步,至多支持32级目录。支持中文文件名(略)。 |
|
| 支持文件变动实时同步、定时同步、系统**空闲智能同步等多种同步方式。 |
|
| 支持同步删除和同步覆盖策略配置,并能将同步删除和同步覆盖的文件备份到指定文件夹。 |
|
| 支持文件同步容错策略和告警策略,同步出错能够自(略),出现异常同步状况能够终止同步弹出告警提示并记录日志。 |
|
7 | 数据库访问功能 |
| 提供对多(略)。支持SQL语句控制。支持情景模式,能够设定特定时间允许访问数据库。 |
|
| 代理、透明和路由工作模式下均支持数据库内部命令及命令参数控制策略。 |
|
8 | 数据库同步功能 |
| 设备支持有客户端和无客户端两种数据据库同步方式。无客户端方式无需在用户服务器上安装任何插件,网闸不开放任何服务端口; |
|
| 有客户端方式可提供专用文件同步客户端安装在用户服务器上,提供安全的数(略)。 |
|
| 提供多种主流数据库系统如:ORACLE、SQLSERVER、MYSQL、SYBASE、DB2等之间的同步。 |
|
| 支持客户端与网闸数据摆渡**数据特征绑定,确保只有授权的合法数据表记录可以通过网闸。 |
|
| 支持同构、异构数据库之间的同步,同步可具体设置到字段级别。支持(略),支持多种增量同步方式,可分别定义增加、删除、修改的同步方式。 |
|
| 支持二(略)。支持数据一对一、一对多、多对多的单向或双向交换和同步。支持灵活的数据冲突检测机制,当同步的数据记录发成冲突时,可以灵活处理出现冲突的数据记录。 |
|
| 数据库同步高可靠性,即使发生网络故障,已变化数据也不会丢失。无需修改数据库表结构,不涉及到代码修改及二次开发。 |
|
9 | 产品资质 | ★ | 具有**部GB****测试报告;(投标时需提供报告证明并加盖厂商公章) |
|
10 | 厂商资质 | ★ | 厂商研发体系应通过国际认证CMMI5;(投标时需提供资质证书证明并加盖厂商公章) |
|
| 厂商具有TL****认证;(投标时需提供资质证书证明并加盖厂商公章) |
|
6.网站(略)
序号 | 指标项 | 重要性 | 指标要求 | 关键指标理由 |
1 | 基本功能 |
| 平台主要用于完成医院数据采集、加工、存储及相关数据治理工作、开发工作和数据应用展示等。 |
|
2 | 结构要求 | ★ | 平台采用基于B/S结构,跨主流浏览器运行。 |
|
3 | 系统性能要求 |
| 支持500以上并发,****用户同时在线,保证7*24小时运行。平局无故障工作时间95%以上,有相应的维(略)。 |
|
4 | 医院网站群平台 |
★ | 支持使用linux或Windows操作系统进行部署;支持MySQL等主流数据库系统。源代码及数据库必须全部开放给使用方; |
|
5 | 身份认证 | ★ | 与医院现有信息门户网站平台做好统一身份认证。 |
|
6 | 备份要求 | ★ | 具有网站备份功能,支持数据库和附件异地自动备份;支持每天凌晨备份,并可设置快照保存。 |
|
7 | 日志要求 | ★ | 集中对服务器、云控制台等审计日志进行收集;支持日志查询功能,可以查看后台操作记录,可追溯误操作源头。保存时间满足6个月存放需求。(本次服务期为两年) |
|
8 |
服务要求
|
| 系统支持独立站(略):即每个分站都为完全独立的系统网站、独立服务器、支持独立域名;每个站点通过站群模块实现通信后可在主站后台统一管理分站。 |
|
| 系统也支持后台快速建立分站的模式:每个站点(包括创建的分站)支持站点页面复制,效率快速。支持三级子站建立。 |
|
★ | 配合医院完成该项目每年的三级等保测评及备案工作。 |
|
| 系统支持批量替换敏感词;在特殊紧急情况下,可以快速替换系统中已有的敏感词语、姓名、句子。 |
|
| 支持设置IP 白名单和黑名单;系统支持后台登陆的ip控制、支持后台登陆错误次数限制与锁定、可以修改后台登陆地址。支持定时提醒密码修改模式。 |
|
| 支持防篡改设置,可以对(略)。 |
|
| 支持一键开关停站群、一键禁发内容、能迅速开关机。 |
|
★ | 迁移老网站中所有站点的数据,不丢失;子网站的所有栏目内容在实施整改时可正常使用。投标厂商须提供承诺函。 |
|
| 所有站点设计(略),能在手(略)。 |
|
| 站内数据可进行多维度、自定义统计或查询。 |
|
| 具备强健的权限体系,分别支持角色和个人设置各个模块的权限,权限可以细化到文章栏目管理,支持个人可以管理不同栏目;支持多级审核。支持无限创建角色和角色组。 |
|
7.容灾区防火墙(1台)
序号 | 指标项 | 重要性 | 指标要求 | 关键指标理由 |
1 | 系统结构 |
| 由专用的硬件平台、安全操作系统及功能软件构成,采用自主知(略),采用多核多平台并行处理。 |
|
2 | 操作系统 |
| 安全操作系统采用冗余设计,出于安全考虑,多系统需在设备启动过程中进行选择不得在WEB维护界面中设置系统切换选项。 |
|
3 | 硬件规格 | ★ | 2U机箱,配置为≥6个10/100/**** BASE-T接口,≥2个SFP插槽,≥2个可插拨的扩展槽,标配模块化双冗余电源。 |
|
4 | 性能要求 | ★ | 防火墙吞吐量(略),并发连接数≥300万。 |
|
5 | 系统软件 | ★ | 系统具有良好的扩展性,支持扩展病毒防御、入侵防御、应用识别、网站分类库过滤、IPSEC VPN、APT防御等功能。提供3年防病毒和3年入侵防御规则库升级。 |
|
6 | 工作模式 |
| 支持路由、交(略)。 |
|
7 | 路由交换 |
| 支持静态路由、RIP、RIP(略)主流ISP服务商地址列表,可通过Web界面选择不同的ISP服务商实现快速切换。 |
|
| 支持802.1q、QinQ模式。 |
|
| 支持根据入接口、源/目的IP地址/地址对象、源/目的端口、协议、用户、应用、选路算法、探测、度量值、权重等多种条件设置策略路由。 |
|
8 | 链路聚合 |
| 支持手动和LACP链路聚合,可根据源/目的mac、源/目的IP、源/目的端口、五元组、端口轮(略) |
|
9 | IP/MAC绑定 |
| 支持IPv4/v6双栈IP/MAC静态和动态探测绑定,支持跨三层绑定,支持IP/MA(略)。 |
|
10 | 地址转换 |
| 支持一对一SNAT、多对一SNAT、一对一DNAT、双向NAT、NoNAT等多种转换方式;支持Sticky NAT开关,使相同源IP的数据包经过地址转换后为其转换的源 IP 地址相同。 |
|
11 | DNS Doctoring |
| 支持DNS Doctoring功能,能够将来自内部网络的域名解析请求定向到真实内网**,提高(略),同时支持通过配置多条 DNS Doctoring,实现内网**服务器负载均衡。 |
|
12 | 双栈模式 |
| 支持IPv4/IPv6双栈工作模式。 |
|
13 | 访问控制 |
| 支持IPv6安(略),能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置。 |
|
14 | 安全防护 |
| 支持基于IPv6的病毒防御、入侵防御、URL过滤、ADS、WAF、流量控制、连接限制、文件过滤、数据过滤、邮件安全等。 |
|
15 |
功能虚拟化 |
| 支持配置文件、系统服务、路由、链路聚合、安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、病毒过滤、WAF、内容过滤、审计、报表、防代理等安全功能虚拟化。 |
|
16 | 应用识别 |
| 内置P2P应用、网页应用、加密应用、数据库应用等特征库。 |
|
| 支持应用特征库在线或本地更新,支持自定义应用特征。 |
|
17 | 带宽管理 |
| 支持链路和四层**嵌套的流量控制功能,可基于上下行区域、地址、地理对象、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略,支持带宽策略优先级和针对IP、应用设置白名单。 |
|
18 | 连接控制 |
| 支持对指定的源/目的地址对象、源/目的地理对象、应用制定连接限制策略,控制所有或单IP会话总数及单IP**连接数。 |
|
| 支持监控功能,显示被拦截的IP、地址对象、应用(略)。 |
|
19 | 入侵防御 |
| 支持独立的入侵防护规则特征库,特征总数在****条以上,能对常见漏洞进行安全防护,兼容国家信息安全漏洞库。 |
|
| 规则库支持根据攻击类型、风险等级、流行程度、操作系统等进行分类,防护动作包(略)。 |
|
| 支持针对地址、应用设置入侵防御白名单,支持攻击规则搜索以及自定义,可对自定义规则导入导出; |
|
★ | 厂商能够确保每**少更新1次攻击特征库 |
|
20 | 未知威胁防御 |
| 内置异常行为检测功能,通过统计智能学习算法,对特定地址对象建立监控策略,基于**、并发、流量等数据与上一周期记录值进行比较判定是否异常,如果存在异常则报警。 |
|
21 | 病毒过滤 |
| 支持对HTTP/SMTP/POP3/FTP/IM等协议进行病毒防御。 |
|
| 支持至少2种专业反病毒厂商的病毒特征库,病毒特征库规模超过400万。 |
|
22 | URL过滤 |
| 支持超过80类、****万的URL地址分类库,用户可根据网(略),杜绝非(略)。 |
|
23 | 黑名单 |
| 内置静态黑名单功能,可设置多个对象条件,如:五元组信息、源MAC、地址范围、应用、用户,实现对特定报文进行快速过滤。 |
|
| 内置动态黑名单功能,可与URL过滤、病毒过滤、防代理功能实现联动封锁;支持静态和动态黑名单命中统计和监控。 |
|
24 | 配置维护 |
| 支持多个配置文件并存,配置(略)入导出。 |
|
25 | 产品资质 | ★ | 具有计算机信息系统安全专用产品销售许可证;(需提供资质证(略)) |
|
| 具有国(略)(EAL4+);(需提供资质证书证明并加盖厂商公章) |
|
| 具有中国国家信息安全产品认证证书(ISCCC,三级);(需提供资质证书证明并加盖厂商公章) |
|
★ | 具有防(略)(需提供资质证书证明并加盖厂商公章) |
|
| 具有IPv6产品测试认证证书;(需提供资质证书证明并加盖厂商公章) |
|
26 | 厂商资质 |
| 厂商具有TL****认证;(需提供资质证书证明并加盖厂商公章) |
|
★ | 厂商具有CMMI5认证;(需提供资质(略)) |
|
| 厂商具有国家互联网应急中心颁发的《网络安全应急服务支撑单位-国家级》;(需提供资质证书证明并加盖厂商公章) |
|
★ | 厂商应为国家信息安全漏洞共享平台(CNVD)技术组成员和用户组成员;(需提供资质证书(略)) |
|
8.全流(略)(外网风险评估)(1套)
序号 | 指标项 | 重要性 | 指标要求 | 关键(略) |
1 | 硬件规格 | ★ | 流量吞吐不低于2Gbps,并发会话不低于(略),硬盘容量不低于1T,设备接口不低于4个千兆电口,2个(略),冗余电源。 |
|
2 | 网络协议 |
| 支持常见协议识别并还原网络流量,用于取证分析、威胁发现,支持:http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sqlserver、Sybase、SMB、FTP、SNMP、telnet、nfs等。 |
|
3 | 文件协议 |
| 支持对流量中出现文件传输行为进行发现和还原,并记录文(略),如可执行文件(EXE、DLL、OCX、SYS、COM、apk等)、压缩格式文件(RAR(略))、文(略)(word、excel、pdf、rtf、ppt等)。 |
|
4 | 数据库协议 |
| 支持常见数据库协议的识别或还原:DB2(略) Server、MySQL、PostgreSQL等协议。 |
|
5 | 会话流量 |
| 支持TCP/UDP会话记录、异常流量会话记录、web访问记录、域名解析、SQL访问记录、邮件行为、登录情况、文件传输、FTP控制**、SSL加密协商、telnet行为、IM通信等行为描述。 |
|
6 | 威胁情报 | ★ | 支持基于(略),设备具备主流的IOC,情报总量50+万条(需提供截图证明材料并加盖厂商公章) |
|
7 |
We(略) |
| 支持检测针对(略),如SQL注入、XSS、系统配置等注入型攻击。 |
|
| 支持跨站请求伪造CSRF攻击检测; |
|
| 支持其他类型的WEB攻击,如目录遍历、弱口(略)攻击等检测。 |
|
8 |
Webshel(略) | ★ | 支持基于工具特征的Webshell检测,能通过系统调用、系统配置、文件的操作来及时发现威胁;如:中国菜刀、小(略)(需提供截图证明(略)) |
|
| 支持基于webshell函数的攻击检测,如文件包含漏洞、任意文件写入、任意目录读取、任意文件包含、preg_replace代码执行等 |
|
| 支持基于代理程序的攻击检测,如TCP代理程序、HTTP代理程序等 |
|
9 | 网络攻击检测 |
| 支持多种攻击检测,能更全面的从(略),如:协议异常、网络欺骗、黑市攻击、代码执行等 |
|
10 | 文件还原 |
| 支持对HTTP、FTP_DATA、SMB、SMTP、POP3、WEBMAIL、IMAP、TFTP、QQ、NFS等类型协议的流量进行文件还原 |
|
11 | 抓包分析 |
| 支持通过设备对流量进行抓包分析,可定义抓包流量双向或单向、数量、IP地址、端口或协议类型 |
|
12 | 语义分析 |
| 支持基于网络请求的语义分析检测,能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容,并能提升对未知威胁检测能力 |
|
13 | 旁路阻断 | ★ | 支持基于IP地址的旁路阻断,能够在实时镜像的流量中发现恶意IP并实现实时阻断(需提供截图证明材料并加盖厂商公章) |
|
支持基于URL的旁路阻断,并能将UR(略)(需提供截图证明材料并加盖厂商公章) |
|
14 | 自定义弱口令 |
| 支持自定义弱口令字典,支持HTTP、HTTPS、Telnet、FTP、POP、SMTP、IMAP等协议的自定义弱口令检测。 |
|
15 | 部署模式 |
| 支持旁路部署,可同时接入多个镜像口,每个镜像口相互独立不影响 |
|
16 | 联动功能 | ★ | 可与现有平台进行联动,实现平台高可用性(需提供截图证明材料并加盖厂商公章) |
|
17 | 产品资质 | ★ | 具有计算机信息系统安全专用产品销售许可证;(需提供资质证书(略)) |
|
18 | 厂商资质 | ★ | 厂商具有国家(略)撑单位-国家级》(需提供资质证书证明并加盖厂商公章) |
|
9.数据库灾备系统扩容
序号 | 指标项 | 重要性 | 指标要求 | 关键指标理由 |
1 | 基本功能要求 |
| 实现新增的体检系统和集成平台系统数据实时复制要求。 |
|
| 软件满足源端不(略)。 |
|
★ | 扩容新系统需要和现有灾备系统进行对接,投标(略)盖厂商公章 |
|
| 采用基于数据(略),通过在源端数据库上安装代理程序(Agent)对数据库的日志进行实时分析,获取源(略),形成相关的交易指令和交易数据,通过(略)(Sender)发送到目标端数据库上的接收程序(Receiver),然后通过加载程序(Loader)将交易指令和交易数据转换至目标数据库。 |
|
★ | 要求软件支持Oracle、SQL Server/Mysql等数据库的交易复制,且目标(略),实现业(略),目标系统查询分析等服务,为后期建立数据平台提供基础数据(提供原(略))。 |
|
2 | 兼容性要求 | ★ | 支持Oracle、Sybase、sqlserver、MySQL、DB2、SAP HANA等主流数据库的不同版本,支持华为GaussDB、**PolarDB、腾讯Tbase、达梦、南**用Gba(略) |
|
| 支持主流操作系统:Windows 、Linux(略) Solaris、IBM AIX |
|
★ | 要求软件支持任意数据库版本,硬件平台异构实时灾备,此次需要支持小型机到X86服务器的数据同步(提供此项功能性截图证明文件并加盖厂商公章) |
|
| 支持Oracle/DB2/SQLserver/PG等主流传统关系型数据库同构跨版本数据实时双向同步,以及异构数据库之间数据实时双向同步 |
|
| 支持分布式数据库和传统关系型数据库异构双向同步 |
|
| 支持将Oracle/DB2/SQLserver/PG等数据库的数据实时同步到Kafka平台,以提供给基于Hadoop、Storm、Flink、S(略) |
|
| 所有同步场景既支持数据实时同步,也支持异步同步,用户可配置,平台支持库、用户、表级的数据同步,数据修改同步,数据过滤同步,数据转换等, |
|
| 据同步软件在数据传输过程中,包括异构数据(SQL server到Oracle)传输过程中,对所传输数据进行加工处理,提供表级,字段级,行级的ETL功能。 |
|
3
|
数据库容灾要求 | ★ | 支持生(略)(两端延时在5秒以内),且目标端数据可实时查询,当生产端插入(Insert/ Update/delete)一千条数据后,目标端数据库无需启动,始终处于实时打开验证状态,并通过数据库select语句在5秒以内,查询到该一千条数据变化。在可读写模式下,在容灾库(略)(提供此项功能性截图证明文件并加盖厂商公章)。 |
|
| 支持一对一,双向,一对多,多对一,和级(略) |
|
| 支持从多个数据库中同一类型表的记录整合到一个表中去; |
|
| 支持XML/Json/XF1等文件格式的数据输出,分析及装载 |
|
| 支持DML操作复制、支持SEQUENCE、函数、存储过程、视图、同义词、索引、应用包、用户等数据库对象进行复制; |
|
| 支持DDL操作,包括:表字段的增删及修改、表Drop、表Truncate、索引创建/删除,以及分区表相(略) |
|
| 支持没有(略)参数,可定义并过滤不需要复制的事务; |
|
| 支持按照schema方式设置复制关系,无需单表设置复制关系,支持不同源和目标端在不同的schema名情况下的复制; |
|
| 支持(略),符合双字6节编码;支持DXF数据格式的装载;支持Rowid mapping的方式实现数据快速定位; |
|
4 | 异构复制要求 | ★ | 支持生产端SQL server到Oracle异构数据库环境下的数据实时复制(两端延时在5秒以内),且目标端O(略),当生产端插入一千条数据后,目标端Oracle数据库无需启动,始终处于实时打开验证状态。(提供此项功能性截图证明文件并加盖厂商公章)。 |
|
5 | 非侵(略) |
| 在初始化同步过程中,业务库无须停止,在初始化完成(略),初始化功能可进行多线程,多并发的可视化配置过程; |
|
6 | 传输安全要求 |
| 所投数据库双活容灾软件需支持FTP协议环境下数据实时复制(两端延时在5秒以内),在FTP协议环境下,当生产端插入(Insert)一千条数据后,灾备端数据库无需启动,始终处于实时打开验证状态。 |
|
7 |
故障应对能力 |
| 在遇到系统错误引起的复制中断时,例如硬件故障、数据库故障、网络中断或延迟,分级存储机制能完好的保存已经合成的交易信息,避免数据丢失,直到系统故障解决,恢复从队列传输的中断点开始; |
|
8 | 服务要求 |
| 提供原(略),远程技术支持服务,提供原厂现场无限次数30分钟响应,3小时上门技术支持服务,提供原厂季度巡检和数据一致性稽核和比对服务。 |
|
10.杀毒软件扩容
序号 | 指标项 | 重要性 | 指标要求 | 关键指标理由 |
1 | 品牌要求 |
| 投标产品有**部的安全产品销售许可证,必须是自主开发,拥有自主知识产权,市场主流的,非OEM产品,具有先进性,并成熟可靠。 |
|
2 | 升级要求 | ★ | 提供至少10个物理CPU的三年原厂授权许可,必须与我单位已购买的服务器深度安全防护软件的无缝集成,并统一的集中管控。 |
|
3 |
功能描述 |
| 产品要求提供完整的主机安全防护,同时支持实体服务器防御和虚拟服务器的主机防御(提供截图证明并加盖厂商公章)。在虚拟化环境中,要求和虚拟化环境以无代理方式集成,不需要在每台虚拟机上安装客户端,以便减少对物理机的**占用;主机整体**与搭载虚拟机数量无直接关系;虚拟**消耗不会随虚拟机数量成长。 |
|
| 产品要求提供防(略),不依赖分布式交换机可以无代理运行,并且可集中控管防火墙策略,策略定制可以针对IP,Mac地址或通讯端口,可保护所有基于IP通讯协议(TCP、 UDP、 ICMP 等)和所有框架类型(IP、ARP 等)。(提供截(略)) |
|
| 产品要求提供DPI(深度内容检测)功能,必须可以同时保护操作系统和应用服务(数据库,Web,DHCP等)(提供截图证(略)) |
|
★ | 产品要求提供有操作系统虚拟补丁功能,在服务器尚无(略),提供针(略)。(提供截图证明并加盖厂商公章) |
|
| 具备特征库更新功能,实时追踪并保护最新动态威胁:提供自动扫描功能,针对服务器弱点、漏洞进行安全检测并自动形成防护,产品必须能够防御应用层攻击、SQL Injection 及Cross-site跨网站程序代码改写的攻击。 |
|
| 产品必须提供包含攻击来源、攻击时间及试图利用什么方式进行攻击等必要信息,并在事件发生时,立即自动通知管理员。 |
|
| 产品必须可以(略),支持无代理方式,不需要(略),只需在虚拟化环境底层安装即可,对每个虚拟机没有**占用。 |
|
| 产品(略)所有虚拟环境中Guest OS和应用的功能。 |
|
| 产品必须和虚拟化环境的虚拟机迁移以及HA集成,能够自动感知和保护虚拟环境的变更和迁移。 |
|
| 产品可扩展支持(略),能够监控操作系统和关键应用包括注册表项、关键目录、特定目录变更,以防范恶意修改。(提供截图证明并加盖原厂公章) |
|
| 产品可扩展支持对主机的日志审计,包括收集和分析操作系统和应用程序日志中的安全事件 ;协助遵循规范(PCI DSS 10.6) 优化识别埋在多个日志项下的重要安全事件; 将事件转至SIEM系统或中央日志服务器,做关联性分析、报告和归档; 侦测可疑行为、收集数据中心的安全事件和管理操作,并使用OSSEC 语法(略)。(提供截图证明并加盖厂商公章) |
|
| 产品必须具有集中控管的功能,能够统一的管理和配置,并且日志能够统一的在集中控管平台上呈现。 |
|
4 | 操作系统支持 |
| Wi(略)Server **** (32/64位)、Windows Server **** (32/64位)、Windows Se(略)**** (32/64位) , XP (32 /64位) ,Windows 7,Windows 10,Wi(略) Server **** (32/64位),主流各类linux和UNIX操作系统 |
|
5 | 应用防护支持 |
| 产品必须可以保护以下类型数据库服务器,Oracle, My(略)Microsoft SQL Se(略) Ingres。 产品必须可以保护以下类型邮件服务器,Microsoft Exchange Server, Merak, IBM Lotus Domino, Mdaemon, Ip(略)Imail, MailEna(略) Professional。 产品必须可以保护以下类型备份服务器, EMC,Computer Associates, Symantec。 产品必须可以保护以下类型文件服务器,Ipswitch, War FTP Daemon, Allied Telesis。 产品必须可以保护以下类型存储服务器,Symantec, Veritas。 |
|
6 | 产品资质 | ★ | 产品入围**(略)上标准(非涉(略))网络安全(略)(****版)》(提供截图证明并加盖厂商公章) |
|
7 | 厂商资质 |
| 厂商可根据用户需求提供高级别的服务承诺,如大客户专署服务、主动式服务、快速响应服务、在线技术支持服务等,可提供7×24小时的专业防毒服务。 |
|
★ | 厂商是国家计算机病毒应急处理中心技术支持单位(提供证明材料复印件并加盖厂商公章) |
|
★ | 厂商已通过CMMI5认证(提供证明材料复印件并加盖厂商公章) |
|
11.堡垒机扩容扩容
序号 | 指标项 | 重要性 | 指标要求 | 关键指标理由 |
1 | 堡垒机管理授权扩容 | ★ | 原有齐治堡垒机扩容100个管理节点授权 |
|
五、商务和服务需求
序号 | 商务和服务项目 | 重要性 | 商务(略) |
1 | 供货期 |
| 合同签订后(略) |
2 | 质保期 |
| 所有软硬件设备不少于原厂叁年免费质保服务,并在供货时提供原厂质保证明材料,供货时由原厂工程师上门提供安装服务,确保得到原厂服务和技术支持, 最终用户为**大学附属医院(可查询验证),否则(略),承担(略)。 |
| 对本次采购的所有软硬件、配件、辅件在到货检查及质保期内应确保货物的正常使用,出现故障等情形必须按同型号无偿更换,提供免费上门维修。免费质保期内,不能修复时供应(略),如不能提供同种规格型号的配件,用其它型号配件代替时,需经采购人同意,且不补差价。 |
3 | 原厂售后 服务承诺 |
| 不少于叁年免费保修;非硬件故障2小时内恢复,硬件故障8小时内恢复,(略)至少叁年的售后服务承诺函。 |
4 | 服务标准 |
| 要求供应商必须为本项目中所有的设备提供相关专业技术服务,实施阶段保证3人以上(含3人)、项目验收后质保期内保证1人以上(含1人)的7×24小时(略),明确到人,夜间至少保(略),值班人员不得无故离岗、脱岗,采购人提供办公场所。质保(略),硬件及软件维保价格参考现场招 标谈判结果。 |
5 | 培训 |
| 提供关于本项目的培训方案,投标人在产品安装调试时,对采购人的技术人员进行现场安装调试培训,讲解产品的结构、安装步骤、调试方法和系统配置等。 |
6 | 验收标准 |
| 所有参数功能满(略),项目(略)。 |
7 | 付款方式 |
| 货到安装、(略),从入库之日起3个月内付80%款,20%尾款在设备能够正常使用,且乙方能够履行本合同约定义务的情况下,填写付款证明,自入库之日起1年后3个月内付清,如因乙方发票不能及时提供而影响设备入库手续,则付款以入库日期顺延。 |
六、(略)
除《中华人民**国政府采购法》第二十二条规定的供应商应具备的条件外,采购人可以根据采购项目的特殊要求,规定供应商的特定资格条件,如国家或行业强制性标准等。但不得以不合理的条件对供应商实行差别待遇或者歧视待遇。
无