房山区人口健康信息系统信息安全等级保护建设项目技术需求.docx
- 文档编号:28205016
- 上传时间:2023-07-09
- 格式:DOCX
- 页数:29
- 大小:29.23KB
房山区人口健康信息系统信息安全等级保护建设项目技术需求.docx
《房山区人口健康信息系统信息安全等级保护建设项目技术需求.docx》由会员分享,可在线阅读,更多相关《房山区人口健康信息系统信息安全等级保护建设项目技术需求.docx(29页珍藏版)》请在冰豆网上搜索。
房山区人口健康信息系统信息安全等级保护建设项目技术需求
房山区人口健康信息系统信息安全等级保护建设项目技术需求
1.项目背景
在响应国家关于等级保护要求的基础上,保障和促进房山区卫生和计划生育委员会(以下简称“房山区卫计委”)信息化建设的健康发展,按照国家有关规定和标准规范要求,深入开展信息安全等级保护工作。
通过对房山区卫计委信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,逐步完善房山区卫计委信息安全管理组织,落实安全责任制,加强管理制度建设、技术措施建设,落实等级保护制度的各项要求,使房山区卫计委信息系统安全管理水平进一步提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障房山区卫计委信息化健康发展。
本项目依据国家信息安全相关政策及等级保护技术标准,结合房山区卫计委实际业务需要,为房山区卫计委提供全面的等级保护建设和完善服务,使得房山区卫计委在符合国家政策和上级单位要求的基础上,切实提高自身的信息安全防护水平,为房山区卫计委信息化建设健康发展保驾护航。
2.系统现状
房山区人口健康信息系统是房山区卫计委规划建设的信息系统,通过对医疗服务、社区卫生服务、公共卫生、医疗保障、药物管理、卫生财务等信息进行资源整合,建立以电子病历数据库和居民电子健康档案为核心的区级卫生信息平台,为公众、基层卫生服务机构、专业卫生服务机构、其它相关机构提供个人的健康档案及诊疗信息、药品使用相关数据等信息,实现区域内医院之间、医院与城乡基层医疗卫生机构之间病人身份识别、医疗信息共享、协同医疗服务、公众健康服务。
3.项目需求
为落实国家信息安全相关政策、标准,通过本次房山区人口健康信息系统信息安全等级保护建设项目,统筹利用已有的信息化资源,进行整合设计,并进行合理的安全设备采购,同时依托经验丰富的安全服务商提供专业化的安全服务,充分保护房山区卫计委网络与基础设施,保护计算环境、支撑性基础设施,提升房山区卫计委网络信息系统的安全防护能力,建立安全策略模型,构建完善的信息安全防护体系、信息安全管理体系、信息安全服务保障体系,从而保障房山区卫计委日常业务的顺利进行。
具体项目采购清单如下
注:
★产品为核心产品。
序号
设备类型
设备名称
数量
单位
备注
1
硬件设备
★安全域防火墙
2
台
无
2
日志分析管理系统
1
套
无
3
社区边界防火墙
26
台
无
4
★防病毒网关
1
台
无
5
光交换机
2
台
无
6
★平台双活系统
2
台
无
7
灾备系统
1
台
无
8
安全服务
脆弱性检测
1
次
针对房山区人口健康信息系统
9
安全加固
1
次
针对房山区人口健康信息系统
10
辅助测评
1
次
针对人口健康信息系统
11
等保测评
1
系统
针对房山区人口健康信息系统,三级系统
12
驻场运维
1
年
无
4.产品及服务指标要求
4.1.网络安全设备
4.1.1.★安全域防火墙(2台)
序号
指标项
指标要求
1
性能参数
标准机架设备,需配置双电源,含千兆电口≥6个,串口(RJ45)≥1个,USB接口≥2个(支持2.0及以上),硬盘≥64GSSD;
吞吐量≥5Gbps,最大并发连接数≥180万;每秒新建会话数≥5万,IPSecVPN加密速度≥100Mbps
2
部署方式
需支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式;
3
网络特性
需支持链路聚合功能;需支持端口联动功能,需支持IPv4/v6NAT地址转换;
需支持802.1QVLANTrunk、access接口,VLAN三层接口,子接口;
4
路由支持
需支持静态路由,ECMP等价路由;需支持RIPv1/v2,OSPFv2/v3,BGP等动态路由协议;需支持多播路由协议;需支持路由异常告警功能;
5
需支持多链路出站负载,需支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能;
6
基础功能
访问控制规则需支持基于源/目的IP,源端口,源/目的区域,用户(组),应用/服务类型,时间组的细化控制方式;
访问控制规则需支持失效规则识别,如规则内容存在冲突、规则生效时间过期、规则超长时间未有匹配等情况;
访问控制规则需支持数据模拟匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试;
需支持基于应用类型,网站类型,文件类型进行带宽分配和流量控制;
7
需支持根据国家/地区来进行地域访问控制;
8
DDoS攻击防护
需支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻击防护、需支持SYNFlood、ICMPFlood、UDPFlood、DNSFlood、ARPFlood攻击防护,需支持IP地址扫描,端口扫描防护,需支持ARP欺骗防护功能、需支持IP协议异常报文检测和TCP协议异常报文检测;
9
入侵防护功能
设备具备独立的入侵防护漏洞规则特征库,特征总数在7000条以上;
需支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、POP3、RDP、Rlogin、SMB、Telne、Weblogic、VNC)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;
具备防护常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能;
需支持同防火墙访问控制规则进行联动,可以针对检测到的攻击源IP进行联动封锁,需支持自定义封锁时间;
10
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后需支持一键生成防护规则;
11
僵尸主机检测
设备具备独立的僵尸网络识别库,特征总数在40万条以上;
对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;
12
需支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;
13
需支持通过云端的大数据分析平台,发现和展示整个僵尸网络的构成和分布,定位僵尸网络控制服务器的地址;
14
安全可视化
需支持在首页多维度的展示发现的安全威胁,如攻击风险,漏洞风险,终端安全威胁和数据风险等,并支持将所有发现的安全问题进行归类汇总,并针对给出相应的解决方法指引;
需支持报表以HTML、Excel、PDF等格式导出;
15
需支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描),并根据被保护对象发现漏洞数量进行TOP10排名,列出每个服务器发现的漏洞类型以及数量,需支持生成和导出威胁报告,报告内容包含对整体发现的漏洞情况进行分析;
4.1.2.日志分析管理系统(1台)
序号
指标项
指标要求
1
硬件配置
标准机架式硬件设备,含交流冗余电源模块,USB接口≥2个(支持2.0及以上),1个RJ45串口。
千兆电口≥4个,1个扩展插槽位,≥3块机械硬盘(每块4TB7200转监控级),需支持每秒十万级别日志收集、存储、分析。
2
客户端数量
客户端数量≥50
3
用户使用模式
需支持安装客户端
4
管理范围
能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。
5
日志收集种类
需支持服务器系统日志、安全日志、中间件系统、访问日志、网络设备、安全设备发送的Syslog日志等多种类型日志收集。
6
日志采集
需支持通过syslog,netflow,JDBC等多种方式完成各种日志的收集功能;支持每秒百万级别日志收集、存储、分析
7
配置管理
需支持对预处理解析规则的管理和时间辨别策略的管理。
能够提供多类型数据源的预处理解析规则和事件辨别策略以及可以对预处理解析规则和时间辨别策略进行筛选、查询、查看的功能。
8
日志审计查询
需支持统一的日志查询界面。
9
需支持对系统内置windows服务器的各类应用、系统、安全事件的查询场景,查询结果与windows事件查看器显示字段一致。
10
需支持原始消息中的关键字查询,可进行全文检索,可显示查询记录总数,当前查询耗时,可对查询结果进行分组排序,可对查询结果跳转到指定页数。
查询结果可导出。
在查询过程中用户转入其他页面时,可以提示用户继续等待或结束当前查询。
在查询结果中可以选择跳转到指定页数、可以对查询结果任意字段进行排序。
支持日志文件导入,支持的日志文件格式为.txt;.log,csv。
11
日志归并
需支持对事件名称、源地址、源端口、目的地址、目的端口相同的进行归并,条件可以多种组合;支持对指定设备发送的日志进行归并,其他设备发送的将不进行归并;支持对事件个数深度和事件时间深度进行归并。
12
日志实时监测
需支持根据IP地址的查询节点实时展现节点的运行状况,包括节点启用或者停用方法提示,向系统中添加节点的能力等功能;支持实时安全信息监控、实时告警事件监控、实时安全事件监控。
13
日志实时分析和统计
需支持对收集的日志进行分类实时分析和统计,快速识别安全事故。
14
事件可视化展现
需支持定位IP地址,通过事件攻击图展示网络安全态势,通过行为分析图展示一段时间内的用户访问行为。
15
事件管理
需支持多维度、多种类的事件辨别策略;支持对于关联告警事件的追溯,查看导致该关联事件的所有原始事件。
16
日志关联分析告警
需支持异常行为分析,维护一个与用户信息系统相关的合法账号的正常行为集合,以此区分入侵者的行为和合法用户的异常行为;
17
需支持可视化规则编辑器,对告警规则进行增删改查。
18
需支持针对服务器和其他安全设备的访问ip地址、访问账户和访问时间的访问控制规则;
19
需支持通过型结构直接查看该规则的告警信息,对告警日志可按各告警字段进行分组排序。
20
需支持对不同类型设备的日志之间进行关联分析
21
告警和响应管理
需支持对发现的严重事件的自动告警,告警内容支持用户自定义字段。
-告警方式包括邮件、短信、SNMPTrap、Syslog等。
-响应方式包括:
自动执行预定义脚本,自动将事件属性作为参数传递给特定命令行程序。
需支持日志、事件、报警查看和展示,包括日志可视化展示以及日志、事件、报警数据的精准定位。
22
统一监控主页
需支持展示日志告警和日志统计分析的实时综合性监控界面。
23
报告报表
需支持丰富的报表,实现分析结果的可视化;需支持事件和报警报表的下载功能;支持报表时间周期的定制化,需支持多维度的数据展示,报表内容多样化。
24
日志分析
需支持分析的安全日志种类包括:
用户登录、退出操作系统、应用系统行为,高危的用户权限及记录的变更行为,访问日志中的攻击行为,包括SQL注入、跨站脚本攻击等,自带标准的安全设备及网络设备分析规则,非标准设备用户可以自行添加分析规则。
需支持对事件的级别、事件的累计发生次数等指标的综合分析,从而对信息系统或信息系统中单个资源的风险等级进行评估;需支持从大量的日志数据中提取隐含的、事先未知的、具有潜在价值的有用信息和知识,包括事件频繁发生的时间段、事件发生的因果关系以及根据共同特性和差异性特征揭发隐含事件的发生。
25
数据安全
需支持对采集到的日志进行加密存储,保证数据的完整性和机密性。
26
系统自身日志审计
需支持对自身系统操作的日志记录并进行持久化存储,便于追踪、审核和告警。
27
系统自身监控
需支持系统自身健康状况监控。
包括CPU、内存、磁盘的利用率、日志采集器的工作状态。
28
双因素认证
承诺配置5个管理员个人数字证书,数字证书签发机构具有《电子认证服务许可证》,通过原卫生部的电子认证服务符合性测试。
4.1.3.社区边界防火墙(26台)
序号
指标项
指标要求
1
硬件要求
标准机架式结构,单电源
2
接口要求
含千兆电口≥10个,≥2个Combo,≥1路bypass
3
性能要求
网络吞吐量≥1.5Gbps
4
防火墙功能
需支持CPU、内存、存储等硬件资源划分的完全虚拟化
5
需支持防御Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYNFlood、UPDFlood、ICMPFlood、DNSFlood等多种恶意攻击
6
需支持基础和扩展的访问控制列表、基于时间段的访问控制列表、基于用户、应用的访问控制列表、基于MAC的访问控制列表;需支持ASPF应用层报文过滤;
7
需具备静态和动态黑名单功能、MAC和IP绑定功能;
8
需支持802.1qVLAN透传
9
防病毒功能
能够基于病毒特征进行检测
10
需支持病毒库手动和自动升级
11
需支持HTTP、FTP、SMTP、POP3协议
12
需支持的病毒类型:
Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等
13
需支持病毒日志和报表
4.1.4.★防病毒网关(1台)
序号
指标项
招标要求
1
性能
整机吞吐率:
≥2Gbps最大并发连接数:
≥180W病毒检测吞吐率:
≥500Mbps
2
硬件配置
标准机架式硬件设备,最大配置≥26个接口,默认≥2个可插拨的扩展槽,≥2个10/100/1000BASE-T接口(作为HA口和管理口),≥4个SFP插槽和≥4个10/100/1000BASE-T接口,默认电口具有≥两组BYPASS接口,包括企业版快速扫描防病毒查杀和企业版深度扫描防病毒查杀,含3年病毒库升级服务许可(快速+深度)
3
病毒检测过滤功能
需具有双库双引擎病毒检测扫描技术,可选择使用不同的病毒库,而且能够根据不同的被检测协议选择采用不同的扫描引擎(快速扫描引擎或深度扫描引擎)
4
需支持对HTTP、FTP、POP3、SMTP、IMAP等常用协议进行病毒检测与过滤;
5
可实时检测日益泛滥的蠕虫攻击,并对其进行实时阻断,从而有效防止内部网络因遭受蠕虫攻击而陷于瘫痪;
6
需支持TCP粘合技术,提升病毒检测效率;
7
需支持信任站点;
8
需支持IPv4和IPv6双栈协议的病毒扫描与检测过滤;
9
需支持智能检测应用协议的病毒行为,采用自动智能方式准确识别并扫描检测常用应用协议任意端口的病毒传输行为,而非通过传统手动配置协议端口绑定形式进行病毒扫描
10
要求病毒检测率不低于98%,并提供国家专业病毒检测机构的证明;
11
病毒库
要求采用国际国内知名主流品牌病毒库;
12
要求具有独立的蠕虫防护规则库,并可通过手动或自动方式进行升级
13
具有手机病毒特征库;
14
病毒库提供商应通过VB100认证;
15
要求病毒网关默认加载的流行病毒库总数大于600万,可本地化完成病毒地检测过滤与处理,无需发送到云端检测
16
内容过滤
需支持对数据内容进行检查,可采用关键字过滤、URL过滤等方式来阻止非法数据进入内部网络,并且能够针对“ActiveX”、“JavaApplets”及“Script”等控件实施拦截;
17
需支持对邮件内容的过滤,至少具有邮件主题关键字过滤、附件名称过滤、带密码保护的附件过滤等;
18
可自定义禁止传输的文件类型;
19
需支持基于IP地址黑白名单、邮件地址黑白名单的垃圾邮件过滤;
20
网络适用性
需支持多接口旁路的病毒传输监听检测方式,可并行监听并检测多个网段内的病毒传输行为;
21
需支持多通道防护,可利用同一台病毒过滤网关的多条扫描通道对多个区域的网络实现病毒防护,在增强了安全性的同时还节省了企业的防护成本;
22
维护与管理
需支持中文、英文web管理界面;
23
需支持管理主机地址限制;
24
具有双系统,且系统需支持多核;
25
设备自身具有在线技术支持功能,便于外部人员远程进行设备维护管理,并且需支持远程连接状态查看和手段断开;
26
具有针对FTP流量的病毒检测过滤日志,且过滤日志能定位到具体的文件名,方便管理处理携带病毒的文件;
27
需支持病毒隔离功能,管理员可方便的管理隔离区,可选择把隔离区的内容删除,可选择将隔离内容发送到指定的多个邮箱进行后期的分析处理;
28
当出现病毒突然爆发状况时,可向网络管理员发送报警信息,需支持邮件报警、声音报警、SNMP等报警方式;
4.1.5.光交换机(2台)
序号
指标项
指标要求
1
端口数
机架式设备,≥24个端口且全部激活,≥1个RJ-4510/100BaseT以太网管理网口
2
端口速率
1、2、4和8Gbit/sec端口速率自动感应
3
集合带宽
≥408Gbit/sec:
单端口≥8.5Gbit/sec
4
介质类型
FC端口:
行业标准3.3volt热插拨SFP+模块(8Gbps),兼容SFP(4/2Gbps);最大距离取决于光缆和端口速率;数量24个
5
可视化用户界面
所有关键部件需具备LED指示灯、需支持基于Web的管理界面和故障定位指示
6
管理性
需支持Telnet,HTTP,SNMPv1/v3(FEMIB,FCManagementMIB)进行管理;需符合SMI-S标准;
4.1.6.★平台双活系统(2台)
序号
指标项
技术规格及配置要求
1
阵列控制器
要求配置≥2个控制器,最大可扩展≥16个控制器。
2
要求每个控制器配置系统缓存≥128GB
3
为节省空间及能耗,设备需为盘控一体化架构,控制器内含盘位≥16个;
4
要求支持8GbpsFC、16GbpsFC、1GbpsiSCSI、10GbpsiSCSI、40GbpsiSCSI等主机接口;
5
本次配置16GbFC主机接口≥8个、10GbiSCSI主机接口≥4个、1GbiSCSI主机接口≥6个;双控最大接口扩展数≥42个;
6
要求配置后端磁盘通道≥8个,SAS3.0规范,总带宽≥384Gb;
7
需采用缓存降落技术,掉电后能够将缓存数据下刷到硬盘中进行永久保存;
8
硬盘系统
要求配置10Krpm转速300GB企业级硬盘≥4块;配置7.2Krpm转速4TB企业级硬盘≥16块
9
要求双控存储最大支持硬盘数≥1000,配置全部容量授权许可;;
10
需支持RAID0、1、10、5、6等;
11
需支持SSD、SAS、NL-SAS、SATA类型硬盘
12
单RAID硬盘组任意3块及以上硬盘发生整盘永久性故障,数据不丢失,业务不中断。
13
支持操作系统
需支持Windows、Solaris、HP-UX、IBM-AIX、Linux等;
14
需支持VMware的Vvol、VASA、VAAI、SRM认证。
15
存储管理软件
需配置中文图形化管理平台软件,采用开放存储管理软件,提供API接口,支持功能特性植入和二次开发。
16
需支持路径冗余和故障切换(含多路径软件支持)未来增加任意平台、任意主机不需要额外付费;
17
高级功能
需配置基于时间点的快照,单卷快照数量≥2048,有效预防各种软故障的发生;
18
需支持异构存储虚拟化功能,能够实现其他品牌存储的统一管理;不允许通过增加虚拟化网关模式实现,能够对主流品牌存储设备进行异构虚拟化。
19
配置存储双活功能不需要增加阵列之外的任何硬件,不需要在主机上安装任何软件;
20
需支持远程复制功能,能够提供1:
2、连跳、64对1点的复制功能,且无须额外的协议转换设备;
4.1.7.灾备系统(1台)
序号
指标项
技术规格及配置要求
1
控制器
要求配置≥2个控制器,最大可扩展≥8个控制器。
2
每个控制器配置高速缓存≥64GB
3
需支持8GbpsFC、16GbpsFC、1GbpsiSCSI、10GbpsiSCSI、40GbpsiSCSI等主机接口;
4
为节省空间及能耗,此次竞谈设备需为盘控一体化架构,控制器内含盘位≥16个;
5
要求配置10GbiSCSI主机接口≥4个、1GbiSCSI主机接口≥14个;双控最大接口扩展数≥34个;
6
要求配置后端磁盘通道≥4个,SAS3.0规范,总带宽≥192Gb;
7
需支持写缓存镜像,采用缓存降落技术,掉电后能够将缓存数据下刷到硬盘中进行永久保存;
8
硬盘系统
要求配置7200转6TB企业级硬盘≥8块
9
要求双控存储系统最大支持硬盘数≥750块,配置全部容量授权许可;
10
需支持RAID0、1、10、5、6等;
11
需支持SSD、SAS、NL-SAS、SATA类型硬盘
12
单RAID硬盘组任意3块及以上硬盘发生整盘永久性故障,数据不丢失,业务不中断。
13
支持操作系统
需支持Windows、Solaris、HP-UX、IBM-AIX、Linux等;
14
需支持VMware的Vvol、VASA、VAAI、SRM认证。
15
存储管理软件
需配置中文图形化管理平台软件,采用开放存储管理软件,提供API接口,支持功能特性植入和二次开发。
16
需支持路径冗余和故障切换(含多路径软件支持)未来增加任意平台、任意主机不需要额外付费;
17
高级功能
需支持基于时间点的快照,单卷快照数量≥2048,有效预防各种软故障的发生;
18
需支持异构存储虚拟化功能,能够实现其他品牌存储的统一管理;不允许通过增加虚拟化网关模式实现,能够对主流品牌存储设备进行异构虚拟化。
19
需支持存储双活功能不需要增加阵列之外的任何硬件,不需要在主机上安装任何软件;
20
需配置远程复制功能,能够提供1:
2、连跳、64对1点的复制功能,且无须额外的协议转换设备;
21
需配置NAS功能,以统一存储形式实现,如需使用网关形式实现,NAS网关数≥3,单台NAS网关缓存≥128GB;
4.2.安全服务
4.2.1.脆弱性检测
序号
指标项
要求
1
服务内容
针对房山区卫计委信息系统服务器操作系统、数据库、中间件、网络及安全设备等,采用工具扫描和手工检查相结合的方式对配置缺陷、漏洞等进行检查,以发现在网络、主机、应用等层面存在的安全隐患,通过专业化的技术分析,帮助房山区卫计委了解自身信息系统的脆弱性。
2
服务范围
针对房山区人口健康信息系统
3
服务要求
供应商需在竞谈方案中明确脆弱性检测内容、服务范围、服务方式、服务频次等;脆弱性检测内容需包括但不限于脆弱性识别、脆弱性分析等内容。
4
服务频次
1次。
5
服务成果
《系统脆弱性检测报告》
4.2.2.安全加固
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 房山区 人口 健康 信息系统 信息 安全 等级 保护 建设项目 技术 需求