一、项目背景
2022年8月8日,国家卫生健康委出台了医疗卫生机构网络安全管理办法,全面落实行业的网络安全责任,明确了网络安全的范畴和管理职责。
2022 年 7月,辽宁省卫健委规信处组织召开了全省卫健系统网络安全管理工作部署会议,要求结合6月份网络攻防演练结果,落实整改任务。针对《护网演习渗透分析报告》指出的问题,葫芦岛市中心医院对网络安全状况进行全面评估,对发现的问题和隐患进行整改,拟采购网络安全设备及相应服务,对网络安全管理平台进行升级改造,提高网络安全防护水平。
二、项目要求
1、服务期内需指定专门技术对接人,服务期内所产生的人员、软件升级、设备检测相关费用由投标方承担。
2 、投标人需提供售后服务承诺书中承诺,如中标本项目,必须按技术偏离表中实际响应技术规范完成供货及服务,在验收期间将对所供货物及服务进行测试与考核,如发现实际提供货物功能和服务与投标实际技术响应不符,造成的损失由投标人负责,且采购单位有权不予验收。
3 、投标人需提供售后服务承诺书中承诺,如中标本项目,必须产品使用授权及服务名称为葫芦岛市中心医院(提供针对葫芦岛市中心医院的制造商售后服务承诺书),如不相符采购单位有权不予验收。
4 、 投标人需提供售后服务承诺书中承诺,投标人对其提供软件产品及服务,在实施过程中无二次追加费用。如因投标人提供的软硬件产品、许可或服务的知识产权、版权、合规问题引起与第三方或厂商的纠纷,由投标人负责处理,并承担全部法律责任。
5 、 投标人应向招标人提供全方位、有效而及时的工程技术支持和服务,并提供符合招标人需求的 项目 设计方案 、安全 运维服务方案、售后服务方案及培训方案。
6.投标人应负责所提供标的采购、运输、现场安装、调测、上线、验收和开通,具有符合国家相关标准质量管理体系、信息技术服务运维服务体系、IT服务管理体系;并提供项目管理方案。
7、投标人需具有丰富的项目建设实施经验,项目经理和技术负责人有一定的项目管理经验,了解信息化项目管理流程,项目实施人员对于信息化系统项目有建设经验,整个项目实施团队熟悉网络安全结构,熟悉相关设备的详细配置,完成包含但不限于服务器、网络、安全设备、安全软件系统设备的初始化安装、部署实施工作,并提供项目实施方案和应急方案。
三、部署服务要求:
投标人须提供服务承诺函,包括但不限于以下内容:
1.基本服务内容:
1)负责完成项目涉及的软、硬件设备的总集成;
2)负责完成设备上架和设备强弱电线路的连通;
3)负责完成设备策略配置和调试;
4)负责完成协调各系统间的对接、功能冲突等问题;
5)负责完成各系统、设备的测试、试运行和验收工作;
6)负责完成其他没有说明且应由项目中标供应商完成的工作。
2.服务响应要求:
中标供应商在项目终验后需提供三年的免费维护服务,服务期内须提供以下服务:
1)提供7*24小时热线支持服务。非工作时间或节假日提供热线或电话支持服务。
2)对于服务请求,0.5小时内响应,4小时内到达现场。
3)紧急、特殊的服务要求应立即提供服务至解决问题为止。
4)未能及时完成服务请求的,应向用户提出书面解释。
5)在系统维护期内,中标人负责所提供的系统软件维护及免费升级。
3.文档管理要求
中标供应商须按照项目阶段,提供符合采购人文件管理要求的项目文档,包括(但不限于)以下文档:
1)产品说明书;
2)硬件产品检测报告;
3)软件产品操作手册;
4)项目验收相关文档。
4.项目管理要求
中标供应商须根据实际维护服务项目的状况,定期组织汇报与技术交流、紧急情况工作会议,要求如下:
中标供应商与项目建设单位定期开会,就过去遇到问题情况作总结汇报和交流,确定下一步工作方案,以提高和改善服务质量,并根据需求对服务方案不断进行完善;发现潜在和细小问题,防患于未然。
对于任何紧急情况,如有必要,应协调相关部门负责人、技术人员,无论何时何地,根据需要召开紧急会议,重点处理紧急问题,以保证重大故障得到及时解决。
5.培训服务要求
在质保期内,中标供应商指派技术人员提供项目建设单位管理人员、设备使用人员、系统管理员等人员的培训,制定详细的培训计划,提供培训材料。
产品厂商提供原厂技术培训。
培训课时:按照合同约定。
培训方式:至少提供现场培训、集中培训、远程培训等三种培训方式供项目建设单位选择。
四、项目技术参数
品目号 | 产品名称 | 技术参数 | 数量 |
1 | 外网防火墙 | ★1 . 千兆电口 ≥8个,千兆光口≥ 8 个,万兆光口 ≥2个; ★2 . 吞吐率 (bps)≥ 2 0Gbps,最大并发连接数≥ 40 0万; 3 . 支持主 /主模式、主/备模式部署,实现高可用性; ★4 . 支持静态路由;支持动态路由 RIP、OSPF、ISIS、BGP; ★5 . 支持攻击防护,包含 SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、ARP欺骗攻击,扫描与欺骗等; 6 . 支持基于 HTTPS 加密流量和 SMTPS、 POP3S、IMAPS 加密邮件的应用识别; 7 . 具备会话限制功能,能够基于源 IP、目的IP、协议号、应用等多种条件做会话总数限制和新建会话速率控制,并可提供会话限制日志; ★8 . 支持基于状态、精准的高性能攻击检测和防御; 9 . 支持丰富高可靠的 VPN特性,具备IPSec VPN、SSL VPN、L2TP VPN和GRE等VPN技术; 1 0. 支持通过 consloe和HTTPS方式对设备进行管理; ★1 1. 实配: ≥3年入侵防御特征库升级服务,≥3年威胁情报特征库升级服务; ★1 2. 提供三年硬件维保及软件升级服务。 | 1台 |
2 | 内网防火墙 | ★1 . 千兆电口 ≥8个,千兆光口≥ 8 个,万兆光口 ≥2个; ★2 . 吞吐率 (bps)≥ 2 0Gbps,最大并发连接数≥ 40 0万; 3 . 支持主 /主模式、主/备模式部署,实现高可用性; ★4 . 支持静态路由;支持动态路由 RIP、OSPF、ISIS、BGP; ★5 . 支持攻击防护,包含 SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、ARP欺骗攻击,扫描与欺骗等; 6 . 支持基于 HTTPS 加密流量和 SMTPS、 POP3S、IMAPS 加密邮件的应用识别; 7 . 具备会话限制功能,能够基于源 IP、目的IP、协议号、应用等多种条件做会话总数限制和新建会话速率控制,并可提供会话限制日志; ★8 . 支持基于状态、精准的高性能攻击检测和防御; 9 . 支持丰富高可靠的 VPN特性,具备IPSec VPN、SSL VPN、L2TP VPN和GRE等VPN技术; 1 0. 支持通过 consloe和HTTPS方式对设备进行管理; ★1 1. 实配: ≥3年入侵防御特征库升级服务,≥3年威胁情报特征库升级服务; ★1 2. 提供三年硬件维保及软件升级服务。 | 1台 |
3 | 数据中心防火墙 | ★1 . 千兆电口 ≥8个,千兆光口≥ 8 个,万兆光口 ≥2个; ★2 . 吞吐率 (bps)≥ 2 0Gbps,最大并发连接数≥ 40 0万; 3 . 支持主 /主模式、主/备模式部署,实现高可用性; ★4 . 支持静态路由;支持动态路由 RIP、OSPF、ISIS、BGP; ★5 . 支持攻击防护,包含 SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、ARP欺骗攻击,扫描与欺骗等; 6 . 支持基于 HTTPS 加密流量和 SMTPS、 POP3S、IMAPS 加密邮件的应用识别; 7 . 具备会话限制功能,能够基于源 IP、目的IP、协议号、应用等多种条件做会话总数限制和新建会话速率控制,并可提供会话限制日志; ★8 . 支持基于状态、精准的高性能攻击检测和防御; 9 . 支持丰富高可靠的 VPN特性,具备IPSec VPN、SSL VPN、L2TP VPN和GRE等VPN技术; 1 0. 支持通过 consloe和HTTPS方式对设备进行管理; ★1 1. 提供三年硬件维保及软件升级服务。 | 2台 |
4 | 漏洞扫描系统 | ★1、标准机架式硬件,1U,交流单电源, ≥ 1T硬盘, ≥ 4个千兆电口, ≥ 4个千兆光口, ≥ 1个扩展槽位(配置2个万兆SFPP插槽),2*USB口,1*串口,默认提供1路扫描端口授权。 ★2、最大并发主机数 ≥ 60,最大并发任务数 ≥ 10,授权可扫描总数量不少于512个无限制范围的IP地址或域名。 3、同时支持远程扫描和采用SMB、SSH、RDP、Telnet等协议对Windows、Linux等系统进行登录扫描。 4、支持登录预录制功能,能够根据用户操作,录制并指定Web扫描url,使产品能够扫描和分析一些常规页面爬取程序检测不到的url。 5、支持Oracle、MySQL、MS SQL、DB2、Sybase、MongoDB数据库漏洞检查。 ★6、支持在线报表,在线查看展示各节点和主机资产风险分布、漏洞分布、配置合规和脆弱账号信息,在线查看设备风险详情。 7、支持扫描任务完成后自动生成报表和发送到指定邮箱或上传到FTP服务器。 ★8、报表能提供针对不同角色的默认模板,离线报告支持HTML、WORD、EXCEL、PDF、XML等格式,报告可以直接下载或自动通过邮件直接发送给相应管理人员。 9、支持多用户分级权限管理,可为每个用户角色分配账号、任务级的权限分配、允许登录的IP范围和允许扫描的IP范围等。 10、支持不同用户角色权限管理,区分系统管理员、普通用户、审计管理员等角色,不同管理员拥有不同的管理权限。 11、提供审计功能,能够对登录日志、操作日志和异常报告进行记录和查询。 ★12、具备对外接口,支持安全运营平台或其它安全产品通过该接口下发扫描任务以及获取检查结果。 13、支持分布式大规模部署,可通过统一平台进行集中化管理。 ★1 4 . 提供三年硬件维保及软件升级服务。 | 1台 |
5 | 态式感知平台 | ★1、硬件要求:机架式设备,≥2U,CPU≥24核,内存≥128GB,硬盘≥6块8TB,千兆业务电口≥4个,千兆管理电口≥1个,万兆业务光口≥2个,1+1冗余电源; ★2、性能要求:数据采集和处理性能≥8000EPS; ★3.平台内置日志采集功能,日志采集方式应支持但不仅限于Syslog、kafka、ftp、部署代理等4种方式,内置日志解析规则,支持厂商>100家,支持解析日志设备型号>2000种,默认支持对接日志源≥200个; 4.支持安全态势的可视化呈现,以大屏的方式从攻击事件、资产安全、追踪溯源、运行监测、重保方案等多个维度进行可视化展示,提供不少于10块大屏展示界面; 5.支持告警数据自动化归并,并可通过告警列表条目颜色区分已读告警和未读告警,支持查看归并告警基本信息、规则详情、原始告警列表、全部字段、PCAP包详细信息,并支持下载PCAP包,支持在归并告警页面进行告警快速处置,包括忽略告警、误报处置、联动处置、人工处置等; 6.支持人工录入、流量自动发现、主动扫描、web自动发现、资产同步等不少于5种的资产数据接入方式,支持对资产进行精细化评级评分计算,资产风险等级包括已失陷、高风险、中风险、低风险,资产评分为百分制,具备资产评级标签; 7.支持对原始日志数据、安全告警数据进行分类检索,从检索结果可关联威胁情报和资产信息并一键跳转,支持检索结果导出,导出内容字段可自定义选择,支持excel或CSV格式; 8.支持主机感染勒索病毒、网站被植入webshell、主机感染挖矿木马、主机感染恶意程序、主机被高危漏洞攻陷、主机被外部远控、内网横向攻击、内网横向探测、主机对外扫描、主机对外攻击、主机被爆破成功、发现APT攻击事件等10种以上的内置安全分析场景; 9.支持自定义配置安全事件分析场景,可对安全告警的任意字段进行聚合分析,支持的聚合的字段不少于400个,支持分析结果导出; 1 0 .支持联动山石、华为、深信服、奇安信、绿盟、安恒、长亭、网御星云、微步、天融信、腾讯、阿里云等多个主流厂家产品,支持对安全设备统一运维、监控、管理; 1 1 .支持通过单条告警、聚合告警添加白名单,快速过滤误报,白名单配置可自定义过滤条件及作用的组织架构,白名单生效时间设置包括长期生效和定期生效,支持白名单策略状态的开启、关闭,并统计策略本日匹配次数; 1 2 .平台具有统一的安全运营门户,作为重点关注功能的统一入口,实现平台功能的快速跳转;支持用户自定义配置统一门户,可配置项包括门户名称、菜单名称、应用图标等,且菜单内容支持自定义编辑,可链接平台以外的域名地址; 1 3 .支持对接威胁情报中心,支持情报离线更新及在线更新; ★1 4 .提供三年硬件维保及软件升级服务 | 1台 |
6 | 安全预警平台 | ★1.机架式设备,≥2U,CPU≥10核,内存≥64G,硬盘≥2*2TB,1+1冗余电源, ★2.接口要求:千兆管理电口≥2个,千兆业务电口≥4个,千兆业务光口≥4个,万兆业务光口≥2个; ★3.性能要求:吞吐量≥5Gbps; ★4.支持双向流量审计,可对请求和响应内容进行审计,支持IPv4和IPv6网络环境下的部署,可同时对IPv4和IPv6网络流量分析检测; 5.支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、HTTPS、SMTPS、POP3S、IMAPS、RADIUS、KRB5、SNMP、NETFLOW V9、TFTP、NNTP等协议报文,支持非标端口下的常规协议自动识别、解析和威胁检测功能; 6.支持检测WEB攻击、远程控制、WEB后门访问、WEB行为分析、DGA域名请求、SMB远程溢出攻击、弱口令、拒绝服务攻击、隧道通信、暴力破解、挖矿、扫描行为、漏洞利用、邮件社工攻击、ARP欺骗、密码明文形式传输等行为; 7.支持告警抑制功能,在重复攻击手段下能够减少相同告警数量,提高用户分析效率,可自行设置告警抑制周期、告警上限、抑制阈值、持续时间、启用维度等; 8.支持对HTTP、IMAP、SMTP、POP3、Redis、Telnet、FTP、PostgreSQL、MQTT、DMDB、GBASE、KINGBASE等协议的弱口令检测; 9.支持HTTP、SMB、SMTP、IMAP、POP3、FTP、TELNET、RADMIN、SSH、RDP、ORACLE、MSSQL、SYBASE、MYSQL、DB2、PostgreSQL、LDAP、MQTT、DMDB、GBASE、KINGBASE、OSCAR、RLOGIN、VNC、WEBMAIL、REDIS、MONGODB、AFP、TIDB、RSYNC等协议的暴力破解,能识别出登录次数、账户信息、爆破成功与否的攻击状态; 10 . 支持 IP、端口、SMB、Radmin、ICMP、ARP、传输层协议和漏洞扫描行为检 ★11.提供三年硬件维保及软件升级服务 | 1台 |
7 | WEB 应用防火墙 | ★1.硬件要求:机架式设备,≥2U,千兆电管理口≥1个,千兆电口≥4个(支持BYPASS),千兆光口≥4个,万兆光口≥2个(支持BYPASS),Console口≥1个,接口扩展槽位≥3个,硬盘≥2TB,1+1冗余电源; ★2.性能要求:HTTP吞吐量≥6Gbps,每秒事务处理数≥5万,HTTP最大并发连接数≥35万,HTTP最大新建连接数≥3.2万; ★3.部署模式:支持透明串接、旁路镜像、反向代理等多种模式; 4.支持多条链路数据的防护,防护网段数量不限,支持ipv4/ipv6双协议栈; 5.支持主主、主备、支持硬件BYPASS、软件BYPASS等多种高可用机制; 6.支持透明串接和旁路反向代理下的HTTPS业务的安全防护; 7.支持源地址识别,能够解析到真实的访问者IP,并能对真实的IP进行防护和阻断; 8.支持对跨站脚本、包括SQL注入、命令注入 、代码注入、文件注入、LDAP注入、SSI注入等的检测及防护; 9.支持识别HTTP报文常见的编码和编码攻击,包括:URL解码、Base64解码、HTML解码、16进制转换、JSON解析、XML解析、PHP反序列解析等; 10.内置Webshell检测规则,可以对上传的文件内容进行检查,防止恶意Webshell文件上传,对已经上传的Webshell发起请求的行为进行拦截阻断; 11.支持对服务器响应安全设置,可通过选择不同的操作策略对响应头内容进行增删改; 12.支持多种盗链识别算法,能有效解决单一来源盗链、分布式盗链、网站数据恶意采集等信息盗取行为,从而确保网站的资源只能通过本站才能访问; 1 3. 支持客户端安全防护,插入特殊的 HTTP报头以保护客户端免受相应攻击,增加以下安全报头:X-Frame-0ptions、X-Content-Type-Options、Content-Security-Policy ★1 4 .提供三年硬件维保及软件升级服务 | 1台 |
8 | 应急拦截网关 | ★1. 接口数量:千兆电接口 ≥12个,千兆光接口≥12个,万兆光接口≥4个 ★2. 网络吞吐率 ≥40Gbps,最大并发连接数≥800万,每秒新建连接数≥30万 4.支持串联部署与和旁路部署。 5.支持对源IP、目的IP、域名进行阻断拦截 6.旁路部署时支持通过发送RST报文终断问题连接 ★7. 支持软件 bypass(CPU和内存高于85%),阀值可自定义设置。以上参数提供web配置界面截图 ★8. 支持防暴力破解,可针对端口和域名进行防护,可自定义选择阻断时间。以上参数提供 web配置界面截图 9.支持U盘零配置上线,设备端无需预配置,将U盘插入设备USB接口中,即可实现快速上线实施;配置文件内容支持加密;支持按需升级系统版本,可自动快速升级系统版本;支持导入多份配置文件,用于业务需求,变更业务运行,保障可靠性。 ★10.提供智能策略分析功能,支持策略命中分析、隐藏策略分析、冗余策略分析、冲突策略分析、可合并策略分析、过期策略发现、空策略发现、策略宽松度分析,并在web页面显示分析结果。以上参数提供web配置界面截图。 11.支持多配置切换,配置文件之间相对独立。灾备场景可快速恢复业务,保障业务正常运行。 12.web管理界面支持Ping、Traceroute、TCP Syn诊断工具,可支持基于接口、协议、IP地址、端口、应用进行网络抓包,并可下载导出分析。 ★13.系统管理员支持与第三方服务器联动认证,第三方服务器包括但不限于RADIUS服务器、LDAP服务器。支持第三方服务器状态探测,根据服务器状态自动切换认证方式,服务器异常时,切换为本地认证,服务器恢复后使用外部认证。以上参数提供web配置界面截图。 14.支持https、http、ssh、telnet等管理方式;支持自定义登录尝试阀值和登录失败阻断间隔;支持自定义设备管理端口,包括但不限于https和ssh端口,提升设备安全性。 ★ 1 5 .提供3年硬件质保及软件升级服务。 | 1台 |
9 | 日志审计系统 | ★1.硬件配置:标准2U机架式设备,电源:双电源,内存:≥32GB,硬盘:≥3*4TB;接口:≥2个千兆电口。 ★2.性能要求:支持不少于200个审计对象授权, 日志处理性能(平均)≥ 5000 EPS。 ★3.系统要求包含系统概览、日志接收情况,告警展示,日志及告警统计,威胁告警,告警统计,威胁查询,威胁趋势图,威胁展示,告警导出,分析场景,资产管理,安全事件,报表,解析规则,告警规则,知识库,资源管理,网络配置,日志收发,用户管理等模块。 ★4.支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统、等日志的收集,包括但不限于多品牌防火墙、web应用防火墙、防毒墙、堡垒机、漏洞扫描系统、IPS、台式感知、探针。支持Syslog、SNMPTrap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集。 5.支持采集日志方式包含且不仅限于:通过agent采集日志,Agent可配置的数据来源包含文件和目录、支持脚本、性能数据、数据库数据、Beats、Packetbeat、S3、Kafka。支持通过TCP/UDP协议接收日志并上传,支持snmptrapd、snmpget、nmon及Linux/Windows的系统性能指标数据的采集和上传。 6.日志解析功能:解析维度多达200+,解析规则可以根据客户要求定制扩展。支持解析库,能自动解析Apache日志、Nginx类、log4j类、JSON类、linux类、Mysql类等日志。 7.支持自定义创建Word、Pdf、Excel、Url 格式报表 8.日志查询功能:在日志全文中搜索检索一个或多个查询词,系统不区分大小写,在日志全文中搜索短语,短语内的多个词都必须都出现,而且保持同样的顺序及相邻状况,系统不区分大小写,支持AND,OR,NOT,( )逻辑运算搜索。 9.支持常见的虚拟机环境日志收集,包括Xen、VMWare、Hyper-V等。 10.支持采用解决方案包上传对产品进行功能扩展,无需代码开发。 11. 提供三年硬件维保及软件升级服务。 | 1台 |
10 | 主机加固系统 | ★1、管理控制中心无需Windows、Linux操作系统分开菜单展示,应统一汇总呈现全网所有主机的资产、风险、安全事件等信息;应能支持一次性完成任务下发、策略配置、日志分析等管理运维动作,不用分操作系统两次执行,减清运维工作量 3、所投产品需支持全量资产的关键字及语法搜索,支持检索的语法包括但不限于:服务器资产类、进程资产类、账号资产类、软件应用类、web资产类、web服务类、web框架、数据库类、端口资产类、网络连接类、启动服务类、安装包类、计划任务类、环境变量类、内核类、类库资产类、注册表类、证书资产类进行检索; 4、所投产品需支持通过自动、手动的任务设置,对局域网内服务器的服务器进行扫描(支持ARP、Ping、Nmap扫描方式,并支持离线分析),并自动获取服务器相关信息,包括MAC地址、设备类型、未知主机IP、操作系统、发现方式、首次发现时间等信息。 ★5、所投产品应支持五元组的主机防火墙,支持以IP/端口/协议/方向/域名/进程服务等条件实现对服务器的经典访问控制 ★6、支持Windows系统、Linux系统、Tomcat、vsftp、Redis、pptp、rsync、SVN、jenkins、Oracle、Mysql、SqlServer、PostgreSQL、Weblogic、ES、activemq、openvpn、nginx、域控、IIS、SSH、proftp、mongoDB、tiger_vnc、OpenLDAP、Windows FTP等不少于25种系统、应用的弱密码检测 7、所投产品需内置等保二级、三级、CIS、系统服务核查、账户安全核查、系统配置安全检查、应用配置安全检项。 8、所投产品需支持病毒实时防护功能,提供自主研发的病毒引擎,需支持Bitdefender等开源杀毒引擎;所投产品需支持通过连接互联网,利用最新的病毒库进行病毒扫描和查杀; ★9、所投产品需支持以图形化的形式统计展示服务器受到的告警信息/可疑威胁、拦截事件,包括:可疑威胁事件统计、可疑威胁分布、可疑威胁趋势以及具体的威胁事件列表; 10、所投产品需支持对暴力登录系统的账号和IP进行自动发现并上报暴力破解入侵事件,并可对攻击的IP进行封停、解封、加白等操作。 11、所投产品需支持以可疑登录的视角对可疑登录行为进行监控,包括登录IP、发现时间等信息,并可创建可疑登录的监控规则和例外规则。 ★12、所投产品需支持显示当前所有服务器的环境现状,包括内存使用率、硬盘空间、操作系统、agent利用率等等信息,并提供报警和导出功能。 13、所投产品需支持创建周期报表任务,指定邮件接收。系统根据设置自动生成日报、周报、月报html或word版安全分析报表。支持对报表任务及报表文件进行管理。 ★14.提供3年软件升级服务,实配75个主机防护授权。 | 1套 |
11 | 终端准入系统 | ★1.2U机架式,冗余电源,≥4个千兆网口; ★2.支持≥5000台设备的管理; ★3.内存≥32G,硬盘≥4*1T ★4.内置准入系统所需的操作系统和数据库软件; ★5.支持对接入网络的终端进行发现和定位,发现信息包含:设备名、设备IP、设备MAC、设备接入端口和使用设备的用户 ★6.支持多种身份认证源:支持系统内置账号认证,微软AD域帐号、LDAP帐号认证,邮件服务器账号认证,支持X.509证书或Ukey认证,第三方RADIUS服务器认证,第三方扩展认证; 7.支持802.1x有线无线网络环境下主流网络设备的动态VLAN切换(Guest VLAN、修复VLAN、工作VLAN); 8.支持802.1x技术下,终端通过HUB接入场景,每个终端分别进行认证; ★9.支持自动采集终端设备信息,包括:硬件信息、操作系统信息、软件信息、用户信息、已应用的策略信息、历史IP地址信息等。 10.支持对设备的CPU、内存条、显卡、光驱、硬盘、主板、网卡等进行监控,变更后产生告警;支持对设备所有的软件变化进行监控,变更后产生告警; 11.支持及时发现网络中出现新的网络设备或主机,并产生告警; 12.支持自定义工作时间段,设备在非工作时间段内,开机运行时,控制台会及时发现,并产生告警; 13.支持对设备进行一键远程协助、远程唤醒; 14.支持带宽自动优化功能;支持远程传送文件功能、支持远程即时通讯; 15.支持对未安装客户端的电脑通过HTTPS协议的Web与邮件重定向方式进行自动重定向式引导,提醒并帮助用户自助安装,支持客户端与企业AD域联动,自动获取终端AD域账号并接入网络,支持Windows及MacOS操作系统; ★1 6 .提供三年硬件维保及软件升级服务。实配2 000 点终端准入授权。 | 1套 |
12 | 网闸 | ★1.硬件指标:标准≥2U机架式设备,≥双电源;整机配备≥1个液晶屏; 内网接口:配置 ≥6个千兆电口(其中≥1个管理口,≥1个HA口),≥2个千兆光口,≥2个USB接口,≥1个Console接口; 外网接口:配置 ≥6个千兆电口(其中≥1个管理口,≥1个HA口),≥2个千兆光口,≥2个USB接口,≥1个Console接口。 ★2.性能指标:整机吞吐量≥600Mbps,并发≥8万,延时<1毫秒。 ★3.授权许可:提供文件交换、FTP访问、数据库交换、邮件传输、安全浏览、安全传输、消息传输模块、视频传输和工控模块。不包括防病毒模块。 ★4.采用2+1系统架构,即由两个主机系统和一个隔离交换模块组成;隔离交换模块基于专用芯片实现,保证数据在搬移的时间内,内、外网隔离卡与内、外网系统为断开状态。 5 .接口冗余:支持接口冗余模式设置包括:轮询、热备、802.3ad模式、平衡策略; 6 .双因子认证:支持基于动态密码+本地密码的双因子认证方式; 7 .文件同步客户端支持Windows、Linux等主流操作系统,均具备图形化管理界面; 8 .文件传输控制:支持文件传输方向可控,实现单向或双向传输; 9 .数据库同步:支持Oracle、SQL Server、Sybase、Db2、MySQL、MongoDB、POSTGRESQL等主流数据库;支持达梦、人大金仓、Gbase、神通数据库、博阳、瀚高等主流国产数据库; 1 0 .独立管理端口:内 /外网主机系统分别具有独立管理接口,而不是采用低安全的管理方式,如通过业务口管理或通过内网唯一管理接口完成全部管理等。 1 1 .提供三年硬件维保及软件升级服务。 | 1台 |
13 | 防毒墙系统 | 1.产品必须具备防病毒网关类的销售许可证,非防火墙产品,并且在计算信息系统安全专用产销售许可服务平台上的防病毒类中的网关防病毒类别内可查询。 ★2. 软硬一体化 2U标准机架式设备,配置不少于2个千兆电口,6个万兆光口,硬盘容量不低于2T,内存不低于64G,配置冗余电源。 ★3. 网络层吞吐率不低于 12Gbps,防病毒吞吐率不低于4Gbps。 4.支持多种登录方式,包括Web、SSH、CLI等 5.支持桥接、路由模式、旁路监控模式部署。 6.支持超过100种协议的解析, 包括但不限于HTTP/SMTP/POP3/FTP/SMB/TFTP/TCP/UDP/NFS/SNMP/ICMP/RTMP/DNS/IRC等。 7.支持自动/手动在线升级,可配置自动升级周期。 8.提供包括但不限于防止漏洞利用和SQL注入、命令注入、 Webshell 攻击、XSS 攻击, CSRF 攻击的能力。 ★9. 所投产品需支持用户自定义 IPS规则,支持设置严重等级、规则种类、源/目的IP地址、源/目的端口、协议类型(至少包含HTTP、TCP、UDP协议)等。 10.支持快速扫描模式和深度扫描模式切换,确保在不同网络环境下的查杀效率。 11.支持反向代理部署模式,支持该模式下对HTTP/HTTPS流量解析检测,并支持阻断或监控模式 12.允许定义被扫描文件的大小范围,最大不小于2G。提供产品功能截图。 13.支持威胁情报能力以覆盖更大范围的威胁检测,可根据客户的实际情况进行开启或关闭。 14.支持用户自定义黑/白名单,支持URL黑/白名单设置、支持邮件收发件人黑/白名单设置、支持基于SHA1的文件黑/白名单设置。提供产品功能截图。 15. 支持 SMBv1/SMBv2/SMBv3文件共享协议的病毒检测与查杀。提供产品功能截图。 ★16 . 提供三年硬件维保及软件升级服务。 | 1套 |
14 | 安全保障服务 | ★ 1.提供1年的安全保障服务,不少于1人。 ★ 2.服务内容包含但不限于提供网络安全规划,安全事件协同处理,相关产品定期巡检服务并出具巡检报告。 1)网络安全整改服务:根据医院的业务需求,最大程度做出安全规划,既保证业务系统的使用便利,又要兼顾业务系统的安全性,对我院信息系统做出整体梳理,给出以上安全设备的安全策略,网络架构调整; 2 )实施本次采购的安全设备,按照用户要求,详细制定设备安全策略,配合调整网络架构。 3)每月一次主动巡检,对操作系统、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描,每月主动分析病毒类的安全事件等,并出具分析报告。 ★ 3 .维护人员现场培训(不少于3人); ★ 4 .针对国家规定的法定节假日、重大会议、政治活动及其它具有广泛影响的活动,派遣高级安全服务专家,以现场方式提供安全保障工作,协助处理信息安全事件。包括前期重要业务的检查、安全扫描、网络安全加固等准备工作,确保在重要敏感时期的网络安全。 ★ 5 .应急响应服务,当医院出现安全事件,应医院要求投标人须提供现场支持:0.5小时内响应,4小时内到达现场。 | 1项 |
质保要求 :提供三年硬件维保及软件升级服务,提供1年的安全保障服务