| 根据《市卫人委系统医疗设备采购管理办法》的规定,我院拟对以下项目采用院内招标的方式采购,欢迎供应商对下列产品和有关服务进行谈判。
(公示期为5个工作日,详情请联系信息科-宗先生, 电话: 83923333-8870)
| ||||||||||||||
二、技术规格参数要求:
1、集中安全数据操作平台设备配置
(1)★集中安全数据操作平台
(2)★可执行程序保护系统
(3)★文件保护系统
(4)★可视化审计系统
(5)★集中安全数据操作平台安全隔离和准入控制网关(1台)
(6)★SSL/VPN网关系统
2、集中安全数据操作平台
本项目中集中安全数据操作平台用于集中安全管控,通过集中的操作管控可以降低系统安全管理的难度,并节省系统长期运行成本。本项目要求在集中安全数据操作平台中对用户、物理服务器、存储等多种资源进行管理。具体功能要求指标包括但不限于如下:
| 功能分类 | 技术指标 | 详细描述 |
| 管理 | 系统管理方式 | 支持统一的Web管理界面管理方式 |
| 管理能力 | *支持对用户操作平台服务器、存储服务器、用户操作平台、存储、用户的统一管理 集中安全数据操作平台管理平台要支持双机热备工作模式 集中安全数据操作平台管理系统要支持配置和日志信息的在线导入导出 | |
| 资源分配方式 | *支持用户固定操作平台模式 支持普通用户采用动态用户操作平台资源管理 | |
| 用户操作平台分组 | *支持基于VLAN的用户操作平台分组功能,不同分组之间相互隔离 | |
| 审计 | 对用户登录、退出、文件复制等行为进行记录 | |
| 可扩展性 | 支持多级管理模式 | |
| 服务器 | 用户操作平台服务器 | 支持中标麒麟、Ubuntu Kylin、Suse、Redhat等作为用户操作平台服务器的宿主操作系统 |
| 存储服务器 | 支持中标麒麟、Ubuntu Kylin、Suse、Redhat等作为存储服务器操作系统 | |
| 用户操作平台功能 | 用户平台操作系统 | *支持中标麒麟、Ubuntu Kylin、Windows XP、Windows 7、Linux |
| 用户平台显示要求 | *用户操作平台颜色³32位,支持1080p高清图像显示 | |
| 用户操作平台防老化 | 能够自动防止由于用户操作平台长期使用导致的性能下降 | |
| 用户操作平台自动防重用 | 普通用户操作平台在用户使用完并退出时,系统应该自动将用户操作平台恢复到系统指定状态,不能残留任何用户上机信息 | |
| 个人存储 | 支持个人存储,用户登录用户操作平台后,系统自动将个人存储与用户操作平台连接。其他人不能访问该存储 | |
| 实时监控 | 支持管理人员通过其他操作平台对用户用用户操作平台进行实时监控 | |
| 安全功能 | 安全通信保护 | 支持接入终端设备和集中安全数据操作平台之间的SSL加密通信 |
| 安全认证 | 支持基于数字证书、Token动态口令、用户名/口令字等方式的用户认证 | |
| 性能和可靠性 | 双机冗余 | *支持存储服务器双机磁盘级热备模式工作 |
| 集群 | *支持平台服务器的集群工作模式 *支持存储服务器的集群工作模式 |
3、可执行程序保护系统
本项目中集中安全数据操作平台用于集中安全管控,保证系统的运行和高效运行安全对开发和其它业务至关重要。为了防止各种已知和未知恶意代码对用户操作平台的破坏,防范内部人员在用户操作平台中违规安装和运行可执行程序,减少传统杀毒软件对集中安全数据操作平台资源的大量占用,避免系统性能大幅下降,本项目要求在用户操作平台中支持基于密码技术的可执行程序保护机制,即“程序白名单”安全机制。具体功能要求指标包括但不限于如下:
| 功能分类 | 技术指标 | 详细描述 |
| 安全功能 | 程序白名单生成方式 | *支持MD5等hash算法或数字签名 |
| 可执行文件支持 | *支持对PE等格式的可执行文件运行控制 *非程序白名单中的可执行程序不能被系统运行 | |
| 支持操作系统 | 支持WindowsXP、Windows7、Windows8、Windows10 支持Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016等 支持中标麒麟、Ubuntu Kylin、Suse、Redhat等 | |
| 程序白名单自身安全 | 程序白名单本身采用数字签名保护机制,防止被篡改 | |
| 管理 | 审计 | *要记录对可执行程序的控制结果,包括被允许执行或被拦截不被执行的可执行程序文件名、结果、调用进程、时间等 所有对程序白名单的管理维护操作都要被系统审计,并保存日志记录 |
| 配置能力 | 支持管理人员对程序白名单的增删查改 | |
| 第三方认证鉴定 | 防病毒功能 | 厂商需提供计算机病毒防治产品检验中心提供的产品检验报告、并判定为合格品 |
4、文件保护系统
本项目中集中安全数据操作平台用于集中安全管控,为了保护系统重要业务数据的安全,需要对使用人员在平台内外之间的文件复制行为进行控制。系统要支持基于用户身份的文件复制行为控制能力,包括某个用户能够把用户操作终端上的文件复制到集中安全数据操作平台中,也能把集中安全数据操作平台中的文件复制到用户操作终端中;某个用户能够把用户操作终端上的文件复制到集中安全数据操作平台中,反之则不被允许;某个用户既不能把用户操作终端上的文件复制到集中安全数据操作平台中,也不能把集中安全数据操作平台中的文件复制到用户操作终端中。这一安全控制不需要对用户操作终端的硬件进行控制,比如禁用其USB端口等。具体功能要求指标包括但不限于如下:
| 功能分类 | 技术指标 | 详细描述 |
| 安全功能 | 文件保护方式 | *能够基于用户身份对其在集中安全数据操作平台和用户操作终端之间的文件复制行为进行控制,包括双向禁止、单向允许和双向允许 |
| 文件格式支持 | 支持所有格式文件 | |
| 支持操作系统 | 支持WindowsXP、Windows7、Windows8、Windows10 支持Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016等 支持中标麒麟、Ubuntu Kylin、Suse、Redhat等 | |
| 管理 | 审计 | *对集中安全数据操作平台和用与用户操作终端之间的文件复制行为要审计,审计记录要包括用户、复制文件名、时间、结果等信息;系统要集中保存审计记录 |
| 配置能力 | 支持管理人员管理和配置文件保护安全策略 |
5、可视化审计系统
本项目中集中安全数据操作平台用于集中安全管控,为了保护系统运行和数据的安全,需要对使用人员使用集中安全数据操作平台的过程进行标记,从而在发生安全事件后为事件追踪提供支持。系统要支持基于用户身份和使用时间的集中安全数据操作平台屏幕自动水印标记能力,即在集中安全数据操作平台屏幕上自动显示使用时间和用户身份的相关水印标记信息,这样可以有效防范非法录拍行为。同事,为了提高对安全事件的事后追踪能力,系统要具备基于用户操作事件对用户操作过程视频记录结果的快速检索能力。具体功能要求指标包括但不限于如下:
| 功能分类 | 技术指标 | 详细描述 |
| 安全功能 | 屏幕水印能力 | *能够基于集中安全数据操作平台当前用户身份和时间信息在集中安全数据操作平台屏幕上显示水印信息 水印信息一直浮现在所有应用前方,不会被覆盖 支持暗水印能力 用户登录集中安全数据操作平台后,系统显示水印信息 |
| 权限管理 | 支持基于用户身份的访问权限管理,比如“什么人”可以用“什么工具”对“什么设备”进行访问 | |
| 录屏审计 | 用户的操作过程能够被实时录屏,并集中保存; 安全审计人员能够根据“用户身份、时间范围、访问过程屏幕显示文本内容”对录屏审计结果进行快速检索,并定位到所有相关的视频记录位置,便于管理人员直接查看相关视频记录片段; 安全审计人员播放录屏结果时,对用户没有实际操作的视频片段,系统要能够自动跳过。 | |
| 管理 | 管理角色 | 系统支持用户、安全管理员和安全审计员三种角色,其中安全管理员负责安全策略管理,包括用户身份及其权限管理;安全审计员负责审计策略的制定,并能查看包括录屏结果在内的审计记录。 |
| 审计 | 系统要对用户登录及到集中安全数据操作平台的动态连接建立和拆除进行审计,并将审计结果集中保存 | |
| 配置能力 | 支持管理人员对相关安全策略的增删查改 |
6、集中安全数据操作平台安全隔离和准入控制系统
本项目中集中安全数据操作平台用于集中安全管控,为了防止用户操作平台资源被未经允许的访问和占用,阻止计算机病毒和木马对集中安全数据操作平台的感染,阻断用户操作终端所在网络的DDOS攻击影响集中安全数据操作平台正常运行,本项目需要将用户操作平台资源与用户操作终端等外部环境之间在网络层面实现安全的物理隔离,只有经过批准的用户操作终端才可以连接并访问集中安全数据操作平台,同时只有通过身份认证的用户才可以访问指定的用户操作平台。具体功能要求指标包括但不限于如下:
| 功能分类 | 技术指标 | 详细描述 |
| 安全功能 | 用户身份认证 | *支持基于用户名/口令字的用户身份认证,只有认证通过的用户才可以访问集中安全数据操作平台 支持基于OTP和数字证书的集中身份管理和认证 |
| 终端准入控制 | *只有经过批准的用户终端设备才可以连接访问集中安全数据操作平台 支持对PC、笔记本、瘦终端、手机等用户终端设备的认证和准入控制 | |
| 网络隔离能力 | *只有在用户身份认证通过,并且其操作终端设备是经过批准的,本系统才动态建立从用户操作终端到集中安全数据操作平台的网络连接,用户才可以访问集中安全数据操作平台 用户不经过认证,不可能通过远程连接集中安全数据操作平台方式访问集中安全数据操作平台 用户退出集中安全数据操作平台后,本系统自动拆除从用户操作终端到集中安全数据操作平台的网络连接 | |
| 管理 | 审计 | 系统要对用户登录及到集中安全数据操作平台的动态连接建立和拆除进行审计,并将审计结果集中保存 |
| 配置能力 | 支持管理人员对相关安全策略的增删查改 | |
| 物理 | CPU | ³1.80GHz |
| 内存 | ³2GB | |
| 网络 | ³6个PCI-E千兆网口,支持Bypass | |
| 硬盘 | ³120GBSSD硬盘 |
7、集中安全数据操作平台SSLVPN网关系统
| 功能分类 | 技术指标 | 详细描述 |
| 安全功能 | 协议 | 支持SSL协议 |
| 性能 | 并发能力 | 支持至少20个VPN并发连接 |
三、其他:
1)*本项目最高预算为¥100000 (大写:人民币壹拾万元整)超出此限价的投标作废标处理。
2)本《功能参数要求》所提有关技术和商务要求仅供参考,投标人在投标文件中可提出替代标准,但此替代标准应不低于招标文件技术要求。