一、网络安全设备采购
按照三级等保2.0方案,结合医院现有网络架构和环境,拟新增如下网络安全防护项目:进行网络安全区域划分,拟规划分为:内网服务域,内网接入域(有线接入,无线接入),运维管理域(日志及数据库审计,运维堡垒机,准入控制,漏扫,态势感知,杀毒,终端管理),专网外联域(卫健委专线、医保专线、中加、康复医院、心脏病医院、日钢门诊部等),前置服务域,外网接入域六大网络区域,重点区域边界需进行安全防护隔离;二、网络安全服务
由第三方提供网络安全服务,包括:1、完善信息安全管理体系
以ISO27001标准,信息安全等级保护基本要求等标准规范为指导,结合上级部门监管要求,结合医院网络及信息系统的实际情况,完善信息安全管理体系相关制度等建设;
2、信息安全运维服务
提供信息安全服务,包括并不限于漏洞扫描、渗透测试、安全检查、安全监测、安全加固等;
3、应急响应服务
针对突发信息安全事件,提供专业的信息安全应急响应服务,包括并不限于优化应急响应策略与流程,7x24小时应急响应、处理及恢复服务,重大事件保证1小时内到达现场,一般事件保证2小时内到达现场,提供事件后的攻击追溯、漏洞分析、安全建议、相关报告文件编制等服务。若在网络安全服务期间医院出现受到网络攻击或者病毒感染导致业务中断、勒索、数据丢失等事件,则需要由中标方解决并承担相应的费用支出,对于对医院经济业务造成的损失(含名誉损失)可以由第三方机构作出评估,经双方进行合理性的商谈,最终确定一个赔偿金额,如有其它问题可以借助法律手段解决。
4、安全培训服务
提供信息安全培训服务,提高医院人员整体的信息安全意识与相关技术,其中针对全院级的培训应不小于1次,针对信息安全管理人员培训不少于4次,并包含CISP培训人员3名及相关所有费用。
5、安全咨询服务
根据日常运维需要,由专业人员为院方提供信息安全咨询服务,可采用电话、微信、QQ、邮件等方式。三、招标参数序设备号类型
招标参数
数量
1.系统性能:防火墙吞吐率≥20Gbps,最大并发连接数≥600万2.▲硬件配置:2U机架式机箱,内置双冗余电源
3.接口配置:10/100/1000BASE-T接口≥6个,SFP插槽≥4个,SFP+插槽
≥8个
4.网络模式:工作模式支持路由、交换、虚拟线、Listening、混合工作模式;
路由交换支持静态路由、ISP路由及动态路由协议,支持802.1q模式;支持根据入接口、源/目的IP地址/地址对象、源/目的端口、协议、用户、应用、选路算法、探测、度量值、权重等多种条件设置策略路由;(提供功能截图并加盖原厂公章);▲链路聚合需支持手工链路聚合及LACP链路聚合,提供不少于10种的链路负载分担算法,灵活实现对聚合组内业务流量的负载分担(提供功能截图并加盖原厂公章)
服务器汇1
聚边界防火墙
5.IPv6:支持IPv4/IPv6双栈工作模式;访问控制支持基于IPv6的病毒防御、
入侵防御、URL过滤、ADS、WAF、流量控制、连接限制、文件过滤、数据过滤、邮件安全等(提供功能截图并加盖原厂公章);
6.用户管控:内置强大的用户身份管理系统,支持本地认证、证书认证等方
式,同时支持RADIUS、LDAP等多种第三方外部认证设置;综合运用身份认证与访问控制技术,通过内置智能过滤引擎实现基于用户身份的安全防护策略部署与可视化监控
7.虚拟系统:资源虚拟化,支持在一台物理设备上划分出128个相互独立的
虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源;(提供功能截图并加盖原厂公章)
8.访问控制:一体化访问控制,支持一体化安全策略配置,可以通过一条策
略实现五元组信息源MAC、域名、地理区域、应用、服务、时间、长连接、并发会话、WEB认证、IPS、AV、URL过滤、WAF、邮件安全、数据过滤、文件过滤、审计、防代理、APT等功能配置,简化用户管理;提供策略分析功能,支持策略命中分析、策略冗余分析、策略冲突检查、策略包含分析,可在WEB界面显示检测结果;(提供功能截图并加盖原厂公章)
9.系统管理:支持多个配置文件并存,配置文件备份能力不少于4个配置文
2台
件支持选择部分配置或全部配置导入导出;(提供功能截图并加盖原厂公章);支持多个系统版本文件并存,系统版本数量不少于5个;(提供功能截图并加盖原厂公章)
10.数据中心:支持报表按照PDF、WORD及EXCEL格式导出;支持日志外发至
多个SYSLOG服务器,可设置日志传输协议、外发时间类型、日志语言、合并传输、加密传输等参数;
1.硬件配置:1U机架式设备,硬盘容量≥1T。
2.授权管理:最大可管理资产数≥300个,本次配置管理授权≥100。3.网络配置:配置CON接口≥1个,USB接口≥2个,千兆以太网电口≥4个;4.▲支持双机热备,支持系统配置以及审计日志实时同步,支持集群部署,
系统策略支持统一下发,后期升级扩容方式支持单节点扩容,无需进行软硬件的二次升级即可完成,支持第三方负载均衡,并支持集群自带的负载均衡模块。(提供产品界面截图并加盖厂商公章)
5.支持多种协议类型,支持图形终端协议RDP、VNC、X11;字符终端协议
Telnet、SSH;文件传输协议FTP、SFTP;数据库类型Oracle:PLSQL、TOAD、SQLPLUS、SQLDEVELOPER;Mysql:MYSQLFRONT、HIDESQL;SQLServer:SQLserver(2000-2012);WEB应用:HTTP、HTTPS、REALVNC等。上述所有
堡垒机2
(核心产品)
协议类型均可实现单点登录,图形化应用无需安装任何客户端和控件即可实现单点登录,即通过堡垒机实现图形化应用发布功能,支持IE代填类型包括JS、flash、HTML5等特殊登录页面。(提供产品界面截图并加盖厂商公章)
6.支持字符类putty、SecureCRT等工具的各类属性:终端属性、字符编码、
窗口大小随意调整等等;图形类mstsc工具的原有属性:自定义开启/关闭磁盘映射、剪切板等,支持窗口大小随意调整、声音传输等
7.▲系统内置动态令牌认证,用户不需要额外部署认证服务器,通过配置动
态令牌实现双因素认证;系统内置PKI证书认证功能,用户只需配置USB-KEY即可实现证书登陆认证,实现双因素认证(USB-KEY+PIN码),支持多因子认证自定义组合,可为不同用户组分配不同的认证策略,支持单因素,双因素和多因素的认证策略。(提供产品界面截图并加盖厂商公章)8.在线批量编辑,提供堡垒机用户的批量编辑功能,以方便用户管理员批量
修改帐号属性及关联信息,包括用户状态、有效时间。
9.支持系统管理员按部门进行分权管理,各部门系统管理员只能管理和授权
本部门管辖内的设备资源;支持审计管理员分权管理,只能审计被授权的设备
1台
10.▲通过ssh-keygen产生公钥和私钥密码对,上传堡垒机,可实现免密码登
录服务器(提供产品界面截图并加盖厂商公章)
11.▲提供禁审功能,可对部分设定的控制策略的会话不审计录像,防止机密
信息二次泄露(提供产品界面截图并加盖厂商公章)
12.系统应具备审计到FTP/SFTP传输的原始文件,并可以在审计系统上进行备
份并下载查看其具体内容。支持人工开关自由选择是否备份原文件。13.字符运维命令返回值搜索和屏幕导出,支持搜索命令的返回值信息,并支
持将屏幕信息导出为文本
14.存储告警:日志存储超过设置的阀值进行邮件告警,支持定期删除计划,
只保留设置时间段日志
15.支持通过FTP和SFTP进行系统配置备份和还原,支持FTP和SFTP和本地
方式进行审计日志的备份,系统配置和审计日志均可可自定义备份计划16.审计录像采用数据流回放技术,空闲操作(无屏幕变化)日志无增长,节
省了日志空间
17.系统可以对字符操作的命令进行控制,通过制定命令黑白名单实现对命令
的有效管理,可以对命令集合进行告警或者自动阻断,支持正则表达式匹配。
18.支持从AD服务器批量导入用户帐号
19.▲图形标题栏识别(OCR):系统应具备对图形运维中的标题名进行智能提
取,并可以从任意一个标题名开始回放。可支持中英文操作系统的标题栏体系。(提供产品界面截图并加盖厂商公章)
20.系统支持IP自动禁止功能,对连续登陆账号密码错误的来源IP自动屏蔽,
可通过管理员解除屏蔽。
21.支持linux、unix、网络设备、windows2000/2003/2008的自动改密功能;
无需通过插件、引擎或特殊端口对目标设备进行自动改密(提供产品界面截图并加盖厂商公章)
22.▲支持在线批量设备帐号修改;支持设备帐号属性添加和修改,包括帐号
密码、应用参数、帐号状态、特权帐号、应用端口、应用密码提示、帐号类型、帐号提示符、帐号同步、改密脚本。(提供产品界面截图并加盖厂商公章)
23.可以制定计划任务,至字符类资产执行事先编辑好的脚本,脚本超时执行
时间为每个计划在单台机器上的超时时间。执行超过超时间后会断开连接24.数据库运维SQL命令:系统应具备审计到详细的SQL语句,而非键盘符指
令,并要求记录到SQL语句的执行时间
25.对大于一定大小的FTP/SFTP运维审计中的文件可进行异地转储,并可记录
文件md5值,保障文件的完整性和有效性。(提供产品界面截图并加盖厂商公章)
26.支持数据库应用针对操作命令进行告警,可进行告警内容设置(告警内容
支持动作,表名等)
由第三方提供网络安全服务,包括:1、完善信息安全管理体系
以ISO27001标准,信息安全等级保护基本要求等标准规范为指导,结合上级部门监管要求,结合医院网络及信息系统的实际情况,完善信息安全管理体系相关制度等建设;2、信息安全运维服务
提供信息安全服务,包括并不限于漏洞扫描、渗透测试、安全检查、安全监测、安全加固等;3、应急响应服务
针对突发信息安全事件,提供专业的信息安全应急响应服务,包括并不限于优化应急响应策略与流程,7x24小时应急响应、处理及恢复服务,重大事件网络保证1小时内到达现场,一般事件保证2小时内到达现场,提供事件后的攻击3
安全追溯、漏洞分析、安全建议、相关报告文件编制等服务。若在网络安全服务期服务间医院出现受到网络攻击或者病毒感染导致业务中断、勒索、数据丢失等事件,
则需要由中标方解决并承担相应的费用支出,对于对医院经济业务造成的损失(含名誉损失)可以由第三方机构作出评估,经双方进行合理性的商谈,最终确定一个赔偿金额,如有其它问题可以借助法律手段解决。4、安全培训服务
提供信息安全培训服务,提高医院人员整体的信息安全意识与相关技术,其中针对全院级的培训应不小于1次,针对信息安全管理人员培训不少于4次,并包含CISP培训人员3名及相关所有费用。5、安全咨询服务
根据日常运维需要,由专业人员为院方提供信息安全咨询服务,可采用电话、微信、QQ、邮件等方式。6、服务时间:一年。
1
因篇幅问题不能全部显示,请点此查看更多更全内容