黄山人民医院等级保护安全升级项目采购需求.docx

黄山人民医院等级保护安全升级项目采购需求.docx

《黄山人民医院等级保护安全升级项目采购需求.docx》由会员分享，可在线阅读，更多相关《黄山人民医院等级保护安全升级项目采购需求.docx（30页珍藏版）》请在冰豆网上搜索。

黄山人民医院等级保护安全升级项目采购需求

黄山市人民医院等级保护安全升级项目采购需求

一、项目概况

随着医疗卫生行业信息化建设程度不断推进，医疗卫生业务管理逻辑与价值体系对于信息系统依赖程度不断提升，信息安全隐患的不断显露，信息安全保障盲点也日渐凸现，保障信息安全已经从一个宏观论调转化为新医改工程建设工作中不可规避的基础内容。

信息化安全在我院的角色也越来越重要，智慧型医院的发展建设已经和信息化安全建设融为一体。

当医院信息化系统遭受黑客攻击或破坏，将会导致医院不能正常开展医疗业务工作，例如会引发社会性群体事故、引发患者情绪不满、医疗数据泄露，进而造成医院的直接经济损失、影响医院社会信誉。

我院信息化安全迫在眉睫，卫生部针对我们现阶段各医疗行业的现状，下发了《卫生行业信息安全等级保护工作的指导意见》，在该通知中明确了信息安全等级保护与医疗行业信息安全保护的联系，根据该文件的指导精神，三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护，目前各系统定级如下：

序号

系统名称

系统等级

1

面向患者服务系统（包含HIS、LIS、EMR、PACS等业务系统）

三级

2

基础网络系统（包含机房内数据安全等系统）

三级

3

门户网站

二级

但是，目前我院信息系统离等保三级测评要求还有一些差距。

为了确保我院信息系统能够符合医疗系统对网络的等保三级要求，落实等保测评里各项要求，保证网络整体高速稳定运行，我院需要对网络安全设备产品进行采购，以保证我院顺利完成等保三级的测评。

然而，单纯依靠网络安全设备并不能解决全部问题，尤其在安全问题的发现和解决，事后的分析、以及在出现突发、重大安全事故时，仅仅依靠企业自身的技术和管理人员，很难应对众多的安全问题。

为真正实现安全防护能力，需要引入专业的第三方网络安全公司，为我院提供网络安全运维服务，通过网络安全运维服务和网络安全设备的融和使用，保证我院系统的安全。

二、采购内容及要求

为满足我院机房信息化系统建设的需求，能够支持全院的业务，本次采购设备主要从设备性能、可靠性、兼容性与合规性等方面考虑。

同时本次等级保护安全升级要满足《黄山市人民医院等级测评问题汇总及整改建议（三级）》中所提要求，包括网络安全、应用安全、数据安全等层面，并通过连续数据保护达到数据安全的目的。

三、设备清单及技术要求

3.1设备及服务采购清单

序号

设备名称

技术规格/配置及服务要求

数量

单位

1

防火墙

详见招标设备技术参数要求

1

台

2

Web防火墙

详见招标设备技术参数要求

1

台

3

入侵防御系统

详见招标设备技术参数要求

3

台

4

日志审计系统▲

详见招标设备技术参数要求

1

套

5

数据库审计系统

详见招标设备技术参数要求

1

台

6

数据库防火墙软件▲

详见招标设备技术参数要求

1

台

7

防病毒网关

详见招标设备技术参数要求

2

台

8

服务技术

详见技术服务要求

1

套

3.1.1招标设备技术服务参数要求

1、防火墙系统（1套）

技术参数要求

1.采用非X8664位多核高性能处理器和高速存储器，主控模块内存≥4G；

2.2U以上盒式设备；

3.★固化16个千兆电口+2个千兆光口；

4.实配内置固化交流电源，配置500G硬盘，可升级为1T硬盘；

5.整机吞吐量≥6G，每秒新建连接数≥8万，最大并发连接数≥300万；

6.支持①路由/NAT模式、②透明模式、③混合模式、④DPIbypass（含手动bypass、CPU/内存门限Bypass、特征库升级时的bypass）4种运行模式；

7.★支持将多台设备虚拟化为一台逻辑设备，融合后可统一管理配置，对外单一节点；

8.支持基于应用、用户、源IP、源端口、协议、目的IP、目的端口、时间、VRF的访问控制；

9.支持安全区域管理，可基于接口、VLAN划分安全区域；

10.支持对IM、搜索引擎类、网络社区类、邮件类和文件传输类等应用的审计；

11.★支持服务器负载均衡，支持加权轮转、随机、加权最小连接等选项；

12.支持入侵防御功能，特征库规则数量≥37000条；

13.支持SSLVPN功能，支持Web/TCP/IP三种接入方式；

14.★具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》，能提供有效证书的复印件，具有中国信息安全认证中心ISCCC颁发的《中国国家信息安全产品认证证书》；

15.★为保障产品代码质量，供货厂商必须通过CMMI5认证，设备制造厂商具备CNNVD（中国国家信息安全漏洞库）一级支撑单位资质，CNVD（中国国家信息安全漏洞共享平台）技术组成员资质；上述资质，须提供相关证书证明并加盖投标人公章；

配置要求：

1.配置3年的AV病毒库及IPS特征库升级授权；

2.配置500G存储硬盘；

2、Web应用防火墙系统（1套）

技术参数要求

1.★硬件要求：

1U高机架式硬件架构，单电源，8G内存，1T硬盘，2个以太网千兆管理接口，支持至少4个以太网千兆电口（2组Bypass），支持至少1个接口扩展槽位，具备至少8个以太网千兆接口或4个万兆接口的扩展能力；

2.性能要求：

HTTP吞吐量不低于300Mbps，HTTP并发连接数不低于20万、HTTP每秒新建连接数不低于6000，保护网站站点数量无限制；

3.支持IPv4或IPv6双协议栈下的HTTP流量过滤；

4.支持透明、旁路监听、旁路阻断、反向代理、混合（反向代理及透明同时部署）多种工作模式；

5.支持旁路阻断功能，支持设置专用的旁路阻断接口；支持将设备在断电启动、过程中及手动切换至切换硬件BYPASS；

6.支持基于设备性能阈值参数实现软件BYPASS自动逃生功能；

7.支持对网站的URL、Cookie、文件类型进行自学习功能，学习结果可以直接引用到安全策略中；支持反向代理模式下多种方式的服务器负载均衡功能，内置算法包括IP哈希，最少连接数，轮询；

8.★支持精准及模糊特征库分类功能（提供产品界面截图）；

9.支持Cookie安全校验、Cookie加密功能，Cookie有效期设置，CookieSecure、HTTPonly等防Cookie内容泄露功能；

10.具备WebShell侦测功能，不但能阻止入侵者访问调用WebShell文件，还阻止利用WebShelll发起的各种攻击或入侵行为；

11.支持WEB程序代码泄露检查功能；支持防网站敏感数据泄露功能，预定义包括银行卡、电话、身份证等规则；

12.拥有单独防病毒扫描引擎，支持HTTP及FTP协议的上传行为恶意代码检测过滤功能

13.★拥有经过优化的轻量型的IPS引擎，支持安全漏洞，可疑行为，网络设备攻击等检测过滤功能（提供可证明独立功能的配置页面产品截图）；

14.拥有低消耗的WEB扫描引擎，支持手动及计划任务漏洞扫描并可设置扫描深度及层级功能；

15.★具备独立的威胁地图展示大屏页面，包括攻击地图、设备性能监控、安全事件分类及趋势折线图（提供产品界面截图）；

16.具备中国公安部颁发的《计算机信息系统安全专用产品销售许可证》增强级；

17.★为确保网络系统的稳定性和兼容性，本次采购设备必须与防火墙为同一品牌。

18.配置3年的AV病毒库及IPS特征库升级授权；

3、IPS入侵防御系统（3套）

技术参数要求

1.采用非X8664位多核高性能处理器和高速存储器，主控模块内存≥4G；

2.★2U以上盒式设备；

3.★固化16个千兆电口+2个千兆光口；

4.实配内置固化交流电源，配置500G硬盘，可升级为1T硬盘；

5.整机吞吐量≥5G，每秒新建连接数≥6万，最大并发连接数≥150万；

6.支持①路由/NAT模式、②透明模式、③混合模式、④DPIbypass（含手动bypass、CPU/内存门限Bypass、特征库升级时的bypass）4种运行模式；

7.★支持将多台设备虚拟化为一台逻辑设备，融合后可统一管理配置，对外单一节点；

8.支持基于应用、用户、源IP、源端口、协议、目的IP、目的端口、时间、VRF的访问控制；

9.支持安全区域管理，可基于接口、VLAN划分安全区域；

10.支持对IM、搜索引擎类、网络社区类、邮件类和文件传输类等应用的审计；

11.支持服务器负载均衡，支持加权轮转、随机、加权最小连接等选项；

12.支持入侵防御功能，特征库规则数量≥37000条；

13.支持SSLVPN功能，支持Web/TCP/IP三种接入方式；

14.★具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》，能提供有效证书的复印件，具有中国信息安全认证中心ISCCC颁发的《中国国家信息安全产品认证证书》；

15.★为保障产品代码质量，供货厂商必须通过CMMI5认证，设备制造厂商具备CNNVD（中国国家信息安全漏洞库）一级支撑单位资质，CNVD（中国国家信息安全漏洞共享平台）技术组成员资质；上述资质，须提供相关证书证明复印件并加盖投标人公章；

配置要求：

1.配置3年的AV病毒库及IPS特征库升级授权；

2.配置500G存储硬盘；

4、日志审计系统（1套）▲

指标项

参数要求

★产品形态

必须是软件产品，日志源数量不小于100个。

系统性能

综合处理峰值：

30000EPS

综合处理均值：

20000EPS

数据存储能力：

支持大数据存储；压缩加密存储，压缩比不低于10:

1；日志存储不低于10000条/M

★支持BT级数据交互式多条件查询,上亿级数据查询结果返回延时小于10s（提供界面截图）

管理模式

基于j2ee平台构架，具备跨平台性、开放性和扩展性；通过web方式对本系统实现管理；

支持SSL加密模式传输

支持windows,linux系统

系统部署

支持单级、多级部署

数据采集

支持市面主流安全设备、网络设备、中间件、服务器、数据库、操作系统等不少于26类300种日志对象的日志数据采集。

支持主动、被动相结合的数据采集方式；支持支持Telnet、Syslog、SNMPTrap、Netflow、JDBC、SSH、WMI、FTP等进行数据采集；支持通过Agent采集日志数据。

支持标准化日志描述语言快速扩展兼容特殊日志

★支持日志数据采集实时展示（提供截图证明）

★支持控制被采集设备的日志流量速度（提供截图证明）

支持日志归一化处理，将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理，提炼出有用信息清晰、明确的展示给管理者

支持将日志按照类型等方式进行分类

数据存储

支持对所管理设备的日志原始数据完整存储

采用基于具有自主知识产权的非关系型大数据存储架构，支持数据本地集中存储、网络存储以及大数据存储

支持海量原始日志加密压缩存储，压缩比不低于10:

1

海量数据加密存储，防篡改

★支持根据设备重要程度设置独立的数据存储策略（提供界面截图）

支持自定义存储位置，支持磁盘阵列、SAN、NAS等外部高性能存储

支持存储空间图像化、动态监控，超过阀值进行告警。

支持从存储空间、存储时间多维度进行动态监控。

支持数据自动、手动备份。

★实时关联分析

系统内置常见安全事件关联分析规则（提供界面截图）

支持基于策略的多日志源海量日志实时关联分析，发现安全事件实时告警。

提供可视化关联分析规则编辑视图，可根据实际业务编辑关联分析规则（提供界面截图）

告警管理

★支持安全告警概况、安全告警趋势以及实时安全事件的统一展示，实时告警可根据级别、规则类型等进行分类（提供界面截图）

支持根据时间类型、级别、规则类型、规则名称、时间范围、事件名、设备IP、源IP、目的IP、源端口、目的端口和传输协议等方式快速检索安全事件告警，检索结果支持Excel等格式导出

★支持基于时间轴展示数据分布，能够通过时间轴进行查询分析（提供截图证明）

告警响应

支持邮件、声音、短信、命令行等多种告警方式

可以针对不同类型、不同种类以及不同安全级别的安全事件制定不同的告警方式。

统计报表管理

★内置不少于500种报表模板（提供界面截图）

百亿级数据报表查看显示时间小于20秒

支持自定义报表

支持PDF、word、execl等方式导出报表

支持实时报表、计划报表

数据查询

支持实时日志查看，提供实时更新的最近的2000条日志信息，管理员可以进行监视、刷新、清零等基本监视条件管理。

支持多条件组合查询；支持原始日志全文检索；查询结果可将归一化日志和原始日志同屏对比显示；

支持等于、不等于、大于、小于、正则表达式等查询条件；支持为不同类型日志设置不同的查询条件和显示条件；

支持在查询结果页面上直接下钻二次查询，快速定位关键日志，还可以返回上次查询条件；查询结果支持分页显示；支持查询结果导出；支持外部备份文件导入进行查询。

★支持查询结果快速统计，可自定义统计规则（提供界面截图）

通过日志趋势图，管理员可以查看指定时间段的日志数量

日志源管理

管理员可以对日志源进行查看、添加、编辑、删除以及启\禁用的操作；支持手动添加日志源、导入日志源

支持为资产指定类型、名称、IP地址、IP地址归属、操作系统类型、主机名、收集节点、收集方式、以及日志源启停状态等属性信息

支持自动生成日志源拓扑图

★支持基于拓扑图的日志源相关数据信息快速查看（提供界面截图）

★支持按照角色对日志源的综合管理权限进行授权（提供界面截图）

支持黑白名单制定，被添加到黑名单列表中的IP地址主动发送的日志将被忽略。

系统管理

支持用户按角色管理，支持三权分立

支持非法用户设备访问控制策略

系统具有防恶意暴力破解账号与口令功能；口令错误次数可设置，超过错误次数锁定，锁定时间可设置。

系统配置信息支持备份导入

邮件服务器可配置

数据采集端口可配置

支持代理管理与诊断

产品资质

★计算机信息系统安全专用产品销售许可证

★涉密信息系统产品检测证书

计算机软件著作权登记证书

14001环境管理体系认证证书

20000信息技术服务管理体系认证证书

国家信息安全测评信息安全服务资质证书（安全开发类一级）

以上证书提供复印件加盖投标人公章

5、数据库审计系统（1套）

指标项

参数要求

硬件配置

要求为一个完整的软硬件一体化产品；无需用户另行提供服务器、操作系统、数据库、防火墙软件、及用户手动升级系统补丁；

2个10/100/1000BASE-TX管理口，≥4个SFP插槽，≥6个1000BASE电口采集口；数据存储空间数据存储量≥1T，内置硬盘存储日志；双电源

★设备性能

吞吐量不小于1Gbps

支持无限数量的被审计DB数授权。

部署方式

支持镜像模式部署，不影响数据库性能和网络架构，网络审计产品的故障不影响被审计系统的正常运行

支持集中管理，任一设备可作管理中心，其他设备作为代理点，管理中心负责策略的下发，数据查询等。

用户可根据自身情况，决定代理点是将审计事件发送给管理中心还是存储在代理点本地

上级设备可下发策略上级设备也可查看下级设备的统计分析结果等

★支持IPV6环境下数据库的审计，提供产品通过IPv6测试认证证书；

数据库审计

设备可独立完成审计数据采集，不依赖于数据库自身的日志系统，审计结果存储于独立存储空间

审计工作不影响数据库的性能、稳定性或日常管理流程

★支持审计ORACLE、SQLServer、MYSQL、DB2、Sybase、Informix、Postgresql、Kingbase、Cache、Gbase、Dameng、Teradata、Oscar、Mongodb等各类主流数据库系统（需提供界面截图）

系统内置SQL语法解析器，可通过正则与非正则方式分析SQL语句的操作类型，操作对象等信息

支持对数据库DML、DCL、DDL语句的审计，包括源/目的地址、源/目的端口、源/目的MAC、源/目的用户、源/目的城市、源/目的区域、源/目的国家、应用协议分组、传输协议、时间等基本信息。

支持审计数据库的源主机名、源主机用户，可监测还原SQL操作语句包括源IP地址、目的IP地址、访问时间、MAC地址、数据库用户名、客户端名称、服务端名称、数据库操作类型、数据库表名、字段名等

支持对访问数据库的设备ID、源地址、目的地址、SQL操作响应时间、数据库操作成功、失败的审计

支持数据库账号登陆成功、失败的审计

支持SQL操作审计，可审计数据库操作类、表、视图、索引、存储过程、域、Schema、游标、事物等

支持按数据库名、用户名、数据库表名、操作类别、数据库操作命令、SQL响应时间、操作结果作为查询和统计条件

支持双向审计，支持对超长SQL语句的审计，支持Update、Insert、Delete操作返回行数、返回字段和结果（最低支持Oracle、SQLServer）、执行状态的审计

★支持和行为审计共享同一平台（需提供界面截图）

支持数据库事件进行潜在危害分析，对可能潜在的威胁实时告知管理员，支持数据库密码猜错攻击进行告警

支持HTTP、FTP、Telnet、Rlogin等运维协议

支持以数据库客户端软件名称、数据库名、数据库表名、数据库字段名作为过滤响应条件（非正则表达式方式）的数据库审计策略

规则及策略

支持审计规则的优先级的调整，以防止误报、漏报等发生

支持审计策略的自定义，可将时间、源IP、目的IP、协议、端口、登陆账号、命令作为响应条件进行策略设置

支持数据采集规则定义，对于不关心的数据可以不采集，有效保证系统审计的稳定性与针对性。

系统内置高危SQL查询和注入、远程命令执行、FTP和telnet高危指令等告警规则

支持以字段名称和字段值作为分项响应条件进行审计策略设置（非正则表达式方式）

系统具备灰名单功能，可将系统自身无法辨别的安全事件纳入灰名单，并可对灰名单中的内容自定义识别模板，实现对事件类型的辨别扩展功

数据库防护

★支持对针对数据库的XSS攻击、SQL注入攻击进行审计，并进行实时报警（需提供界面截图）

★审计关联

支持中间件环境下的SQL语句关联到HTTP操作，HTTP操作关联到HTTP-ID，实现中间件环境下的审计追溯（需提供界面截图）

支持与web服务器、客户端IP地址等信息的关联，可以将数据库审计事件与WEB业务系统事件进行结合（需提供界面截图）

报表

支持WORD、PDF、CVS、EXCEL等格式导出报表

支持邮件方式自动发送报表

支持频率趋势图、概率统计图、饼图方式进行报表展现，并可导出统计结果报表

支持自定义报表，可以根据客户需求定制更多有实际意义的报表

支持按照源IP地址、客户端工具、等源信息生成报表

支持审计结果的多条件组合查询，可以事件发生的时间、用户、访问方式（客户端、TELNET、FTP）、用户IP等为查询条件进行组合

告警

支持通过邮件、syslog、SNMP等方式进行告警

支持对告警信息的发送方式进行设置，以防止告警信息过多，增加邮件服务器压力，至少具备单条发送、归并发送两种方式

支持告警信息同时发送到多个管理对象

支持告警阀值设置，可设置内容包括：

连接数值、流量阀值、系统状态阈值（例如：

CPU阀值设置、硬盘空间阀值空间设置、内存空间阀值设置等）

支持报警事件插件的配置管理，例如：

事件接收、外发、统计分析、存储等插件

支持系统报警规则修改，可自定义报警规则，并定义告警级别、处理方式：

系统阻断/放行（旁路）、防火墙联动阻断/放行

支持根据审计结果的属性配置告警规则，告警规则匹配方式包括：

与或关系匹配、正则匹配、范围匹配等

支持告警的统计分析功能，可自定义在线查看统计分析结果，并可根据统计结果生成报表

支持告警分类，告警类型至少分为三类，例如：

审计报警、日志报警、流量报警

支持系统报警的自定义查询功能，可自定义查询系统内所有报警事件内容，包括：

事件主体、事件客体、报警内容、报警级别、报警触发规则名称等

系统管理

系统应提供配置向导，简化策略配置过程

支持WEB登录锁定配置，可自定义用户名/密码尝试次数和登录锁定时间

支持WEB登录超时自动登出功能，可自定义WEB端登录超时时间

支持静态密码认证，并对密码的复杂性进行强制要求，比如大小写、数字、特殊字符、长度等

支持角色自定义功能，可对角色权限进行细粒度划分，权限可控制到菜单级

★双操作系统支持，当常用系统出现故障可以使用备用系统恢复（需提供界面截图）

支持系统状态的监控功能，可监控系统的CPU、内存、磁盘、网口、运行状态等信息

支持本地磁盘状态的查询和显示，可查询设备磁盘的空间利用率，可通过饼状图、柱状图显示磁盘空间占用情况

支持磁盘规划功能，可通过饼状图、柱状图显示磁盘空间利用率，本地磁盘中的数据可根据对象进行分类并独立进行备份、清理等操作

支持设置IP黑白名单，对于非法访问的IP可以隐藏设备自身IP地址（需提供界面截图）

支持系统自审计功能，系统可以记录用户登录操作、系统自动操作、CLI命令操作以及系统状态情况的自审计日志，管理员可以通过查看自审计日志，随时了解系统的操作情况和运行状态

★审计与管理整合为一个系统，不需要安装额外的管理软件和管理设备，无需在被审计系统上安装任何代理（需提供界面截图）

升级方式

提供系统升级功能，能够通过升级包的方式实现升级

第三方接口

支持Syslog方式向外发送审计日志

支持SNMPTrap方式向外发送审计日志

支持NTP时间同步

支持以SNMP方式，将系统运行状态提供给第三方网管系统

支持原始数据包留存，可通过sftp方式从设备中取得已记录的原始数据包

支持对Netflow的流量分析功能，支持对Netflowv5/v9版本的流量分析（需提供界面截图）

支持自动备份审计日志，可通过FTP方式外送到外部设备，备份文件进行加密，且必须导入设备才能够进行恢复查看

产品资质

★具备公安部颁发的《计算机信息系统安全专用产品销售许可证》

具备中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》

具备国家版权局颁发的《计算机软件著作权等级证书》

以上证书提供复印件加盖公章

6、数据库防火墙软件（1台）▲

指标项

技术参数

运行环境

运行平台

Windows,Linux

OCI客户端版本支持

YES

JDBC客户端版本支持

YES

支持应用

sqlplus、Oracleinstantclient、PLSQLDeveloper、Navicat等。

软件指标

处理能力

与直连相比，差异不大。

可用性

支持多台服务器同时运行，不影响各个服务器性能。

稳定性

软件运行不依赖其他组件，不会在生产数据库里面增加新的对象。

应用透明

同应用直接数据库一样，客户端不需要产生额外依赖。

轻量级部署

只有一个可执行文件，启动只需要一个配置文件。

安全模块

虚拟帐号

支持虚拟数据库用户名登录，从而隐藏真实用户名。

登录控制

采用黑白名单工作模式，可以自定义规则，支持多维度条件（例如客户端IP、机器名、程序名、数据库用户名、允许的时间段）来允许或阻止客户端的连接操作。

SQL执行控制

采用黑白名单工作模式，可以自定义规则，支持多维度条件（例如客户端IP、机器名、程序名、数据库用户名、SQL操作类型，SQL特征码）来允许/阻止客户端SQL语句的执行。

表访问控制

采用黑白名单工作模式，可以自定义规则，支持多维度条件（例如客户端IP、机器名、程序名、数据库用户名、表名）来允许/阻止客户端SQL语句对表的访问。

SQL防火墙

支持业务系统的SQL智