我院近期拟对信息安全整改(2023)项目启动采购程序,为充分创造条件让供应商参与我院采购项目,根据《政府采购信息发布管理办法》(财政部令〔2019〕101号)、《关于开展政府采购意向公开工作的通知》(财库〔2020〕10号)精神,现将有关该项目的主要用途、功能及使用目的、采购需求(技术参数、主要配置、售后服务等)进行公示。详见采购需求书。
本次公示是本单位采购工作的初步安排,具体采购项目情况以相关采购公告和采购文件为准。
公示期:2023年12月27日-2024年01月02日。
如有异议,请于公示期内,书面送(寄)达我处,逾期不予接受。
使用单位联系人及联系方式:江苏大学附属医院信息处 邱老师:0511-85025792
江苏大学附属医院国采办 张老师:0511-80820337
地址:江苏省镇江市江苏大学附属医院图书馆五楼信息处
江苏省镇江市江苏大学附属医院行政三号楼五楼国采办
江苏大学附属医院国资管理与采购招标办公室
2023年12月27日
采购需求书
一、项目概况及总体要求
根据信息系统三级等保测评机构出具的《江苏大学附属医院2023年网络安全等级测评项目整改建议书》及市委网信办、市等保办对医院信息安全作出的相关要求,结合我院目前在用的安全设备的实际状况,项目清单中各产品申请理由如下:
(1)网络架构(交换机板卡扩容、内网容灾区防火墙)
应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可整改建议书用性。
目前医院核心业务系统全部位于图书馆五楼机房,灾备机房仅对互联网业务提供冗余和灾备功能。建议在灾备机房增加内网的基础网络设施和相应安全设备,以实现业务数据中心的容灾冗余。
(2)区域边界
容灾服务器区未部署入侵检测装置或软件,无法对新型网络攻击行为进行分析。建议部署网络入侵检测设备或者防火墙中启用 IPS 模块,及时准确防范网络攻击行为并对攻击行为进行分析。
(3)可信验证(准入、杀毒软件扩容)
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。目前医院网络部署有准入系统,终端必须安装网络准入及杀毒软件方可接入医院网络;但存在部分终端因授权不足或系统兼容性问题未部署终端准入和防病毒软件。建议对准入和防病毒系统进行升级和更新。
(4)安全管理中心(运维管理软件)
应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;目前医院网管软件对接入交换机、网络链路、部分关键终端设备具有集中监测功能,未对安全设备、关键服务器等的运行状况进行集中监测。且目前网管软件没有对安全设备策略、服务器数据库、中间件等的检测功能。建议对网络管理软件进行升级和更新。
系统未通过平台或工具在安全管理区域部署集中管理的安全措施,如安全策略的统一管理、恶意代码防护软件病毒规则库的统一升级、主机操作系统的补丁升级进行集中管理等。建议部署安全策略统一管理平台,实现安全策略、恶意代码设备、安全补丁升级等安全策略的集中管理。
(5)安全管理制度(堡垒机)
应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道;目前医院使用堡垒机系统对接入服务器系统进行统一运维和管理,可以对远程运维进行控制、审计;但因设备本身硬件老旧,无法满足设备审计日志的保存时限要求,且存在单点故障风险。建议对堡垒机系统进行更新。
综上所述,我院需采购以上安全设备作安全防护,保障医院信息系统的稳定运行。
本项目采购预算:200万元
二、采购用途
采购用途:□科研 □教学 □医疗 □管理 □后勤 ☑其他
用途说明:信息安全设备增加、扩容及网站安全整改,以满足医院信息系统的安全等级保护要求。
三、采购需求一览表(货物类):
序号 | 货物名称 | 是否为进口设备 | 单位 | 数量 | 是否属核心产品 |
1 | 准入设备 | 否 | 台 | 1 | 否 |
2 | 内网容灾区万兆防火墙 | 否 | 台 | 2 | 是 |
3 | 运维管理软件 | 否 | 套 | 1 | 否 |
4 | 堡垒机 | 否 | 台 | 1 | 否 |
5 | 杀毒软件扩容 | 否 | 批 | 1 | 否 |
6 | 核心交换机扩容 | 否 | 台 | 2 | 否 |
四、技术指标(按一览表中货物分别填写)
1. 准入设备(1台)
序号 | 指标项 | 指标要求 |
1. | 基础架构 | 拥有自主知识产权,基于linux开发的专用系统,标准机架式硬件产品,无需额外购买操作系统及数据库。 |
2. | 性能参数 | 1U机架结构;标准配置单电源,可选配冗余电源 ;标准配置6个1000MBASE -T接口,每秒事务数(TPS):≥6000(次/秒),最大吞吐量:≥2.3Gbps,最大并发连接数:≥5000(条);支持≥2500点终端设备接入 |
3. | 高可用 | 支持多种灵活的部署方式,无需改变网络结构,部署方式包括但不限于独立部署、热备部署、探针式部署、负载均衡部署、集群部署、扁平化部署、云化部署。 |
4. | 支持智能逃生判断及管理恢复机制,在单位时间内终端异常离线达到指定逃生阀值则放开网络管控,当终端在线数达到阀值临界点时恢复网络管控;可灵活设置策略生效时间。 |
5. | 提供专属逃生平台对系统服务状态进行实时评估,逃生平台策略被触发时可保障业务的稳定运行;策略包括但不限于系统服务异常等。 |
6. | 准入技术 | 支持策略路由、端口镜像、透明网桥、802.1X、ARP、DHCP、VLAN隔离、Portal等准入技术,支持准入技术自由组合使用,满足各种复杂网络环境。 |
7. | VLAN隔离技术须实现无客户端下的端口级准入效果,vlan隔离须采用不同正常vlan对应不同隔离vlan的方式,并可对通过小路由器、hub接入的设备实现颗粒度管控,不得采用全禁全放的风险行为。 |
8. | 终端通过有线或无线申请接入,可无需用户操作,自动引导终端设备至认证入网页面。 |
9. | 支持划定关键业务范围,针对终端用户发起的访问请求可强制要求二次认证校验。 |
10. | 管理 | 管理页面布局及内容支持自定义,内容包括但不限于系统自身接口状态、流量等。 |
11. | 在多管理员状态下,支持设置私有、公有规范策略。私有规范只有创建账号有权限更改、删除,公有规范所有管理员均可更改或删除。 |
12. | ▲提供移动端专属平台管理页面进行便捷管理,包括但不限于:设备快速定位、设备审核、实时报警监控、客户端卸载确认码生成等。(要求提供截图等相关证明材料) |
13. | 客户端 | 支持安全客户端(Agent)、安全控件、无客户端等多种模式 |
14. | 支持灵活的客户端卸载策略,包括但不限于万能卸载码,一对一卸载码,无需卸载码等多种模式。支持设置离线客户端策略,包括但不限于超过指定时间后客户端自动卸载,提醒用户确认是否卸载等。 |
15. | ▲客户端支持自定义菜单栏及终端用户故障诊断,诊断过程支持录屏,诊断结果支持一键压缩打包。(要求提供截图等相关证明材料) |
16. | 边界管理 | 支持自动生成全网拓扑图,至少5分钟自动更新一次网络拓扑信息并刷新。 |
17. | 能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息;支持在界面上提供对该网络设备进行TELNET、SSH等管理;能够在网络拓扑图上由用户自定义显示的节点类型,方便用户通过不同方式查看拓扑连接。 |
18. | 支持可网管型交换机面板图形化展现各接口状态(up、down、trunk、单/多MAC等),以及各接口下联的终端详细信息(IP、地址、MAC地址等),交换机型号库100+以上。 |
19. | 支持自动识别、发现及阻断网络内私接的家用路由器、hub,提供网络定位功能(可直接定位接入的交换机端口 );可一键禁止全网的随身wifi(含软件版)使用。 |
20. | 身份认证 | 支持用户名密码、Ukey、指纹等认证方式,支持与AD域、LDAP、钉钉、Email联动。与钉钉等作为认证源时,终端认证自动跳转认证服务,无需打开相关app。 |
21. | 支持设置来宾专属地址段;来宾入网提供二维码、来宾码、自助申请(管理员审批)多种方式;提供来宾入网审批气泡弹窗提醒功能,被访人点击即可审批。 |
22. | 与AD域联动支持单点登录;支持管理员自定义域信息属性到认证设备,包括但不限于用户姓名、部门、联系电话等。 |
23. | 业务安全 | 支持关键业务端口映射,可设置映射的端口及选择映射的协议类型。 |
24. | 安全基线检查(windows) | 支持IE控件、IE主页、操作系统版本、磁盘使用、计算机开关机、计算机名称、垃圾文件、服务端口、网络连接、系统时间、远程桌面、主机防火墙、p2p软件、软件黑白名单、黑白进程、系统服务、Guest来宾账户、密码策略、屏幕保护 、弱口令、共享检查。 |
25. | 支持主流的杀毒软件版本、病毒库和运行情况的检查,包括但不限于微软MSE、火绒、安天、天融信、赛门铁克、瑞星、卡巴斯基、金山毒霸、江民、NOD32、360、天擎、亚信趋势、小红伞、可牛、Avast等,支持自动下发软件及运行修复功能。 |
26. | 安检规范支持评分、设置修复期限,终端用户在允许期内即使不修复可正常使用网络。 |
27. | 支持自定义安全检查项,通过检测终端文件、指定文件版本、大小、MD5,注册表的项、注册表值,进程、服务状态进行检查。通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。 |
28. | 软件产品正版化检查,包括但不限于 windows、office、WPS产品的授权信息正版化检查。 |
29. | 系统补丁 | 准入设备具有完整的补丁管理子系统,无需第三方补丁服务器支持,自身即可以提供完整的流程化补丁管理,包括同步更新、补丁分发表等功能。 |
30. | 准入设备能够对补丁进行分级,分为:严重、重要、中等的类别;能够在终端的浏览器页面显示入网终端的补丁检查情况;准入系统自身能够支持windows系列补丁库、补丁检查和补丁分发安装;支持windows10补丁检查及自动修复。 |
31. | 安全基线检查(移动终端) | ▲移动终端可以支持通过将指纹和用户账户绑定的方法,实现用户按压指纹认证入网。(要求提供截图等相关证明材料) |
32. | 支持禁用移动终端入网策略。 |
33. | 支持移动终端必须安装app、禁止安装app、必须运行进程 、禁止运行进程及杀毒软件检查。 |
34. | 运维管理 | 软件、消息分发:支持基于部门、角色(分组)、设备或ip段进行软件、消息分发,分发周期支持立即、每天、每周、每月等周期设置。针对分发的源文件支持设置保留或不保留,分发后支持重启或关闭计算机。 |
35. | 远程协助:支持管理员或终端用户双向发起远程协助。 |
36. | IP资源管理:支持提供图形化的ip地址台账;支持一键绑定全网ip/mac;支持检查ip/组织架构绑定。 |
37. | 提供网络诊断工具,支持通过Web管理界面进行ping、抓包、traceroute、nslookup等。 |
38. | 提供IP地址分配矩阵图,可以通过组织架构为维度查看IP地址分配矩阵图;能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的IP使用情况。 |
39. | 设备特征指纹检测 | 支持通过网络扫描的方式对摄像头等哑终端设备类型发现;支持自定义设备特征指纹属性的值,发现路由器、摄像头等不同类型的设备。可定义属性包括:MAC地址、网页标题、端口等。 |
40. | 联动要求 | ▲与现有的准入系统进行联动,无需额外安装客户端() |
41. | 报警信息 | 支持系统报警、网络报警、终端报警等报警类型,超过20种上自定义报警类型。支持报警信息通过Syslog、邮件进行输出。 |
42. | 报表 | 支持提供每日/周/月入网报告及终端安全评估报告。 |
43. | 产品资质 | 公安部《计算机信息系统安全专用产品销售许可证》 |
44. | 国家保密局《涉密信息系统产品检测证书(接入控制系统)》 |
45. | 国家版权局《计算机软件著作权登记证书》 |
46. | 中国国家信息安全产品认证证书 |
2. 内网容灾区万兆防火墙(2台)
序号 | 指标项 | 指标要求 |
1. | 系统结构 | 产品由专用的硬件平台、安全操作系统及功能软件构成。设备采用自主知识产权的专用安全操作系统,采用多核多平台并行处理特性; |
2. | 操作系统 | 安全操作系统采用冗余设计,出于安全性考虑,多系统需在设备启动过程中进行选择不得在WEB维护界面中设置系统切换选项。 |
3. | 系统软件 | 系统具有良好的扩展性,可扩展IPSEC VPN、SSL VPN、三权分立模块、IPS入侵防御、WAF、URL过滤防护功能。 |
4. | 系统性能 | 防火墙吞吐≥30G,并发连接≥1000万,每秒新建连接≥10万,应用层吞吐量≥20G。 |
5. | 硬件配置 | 2U机架式,≥16个千兆电口,≥2个千兆光插槽,≥4个万兆光插槽,冗余电源,≥2个扩展槽位。 |
6. | 路由交换 | 支持RIP、OSPF、BGP4、QinQ、PIM-SM、PIM-DM; |
7. | 支持策略路由,支持根据入接口、源/目的IP地址、协议、用户、应用、选路算法、探测等多种条件设置策略路由; |
8. | 链路聚合 | 支持手动和LACP链路聚合,可根据源/目的MAC、源/目的IP、源/目的端口、五元组、端口轮询等条件提供链路负载算法; |
9. | IP/MAC绑定 | 支持IP/MAC绑定,支持跨三层绑定,支持IP/MAC绑定表导入导出,以便对IP/MAC绑定关系进行批量操作; |
10. | 地址转换 | 支持多种地址转换,支持源/目的NAT、双向NAT、NoNAT转换方式;支持源IP转换同一性;支持端口块地址转换和EIM地址转换; |
11. | 访问控制 | 支持一体化安全策略配置,可以通过一条策略实现五元组、源MAC、源地区、目的地区、域名、应用、服务、时间、长连接、并发会话、WEB认证、IPS、AV、URL过滤、高级威胁防护、邮件安全、数据过滤、文件过滤等功能配置,简化用户管理; |
12. | 支持域名控制,支持对多级域名进行控制,域名对象支持通配符; |
13. | 访问控制策略执行动作支持允许、禁止及认证,对符合条件的流量进行Web认证,在策略中可设置用户Web认证的门户地址; |
14. | 提供策略分析功能,支持策略命中分析、策略冗余分析、策略冲突检查、策略包含分析,可在WEB界面显示检测结果; |
15. | 提供策略查询功能,支持五元组快速查询以及针对策略名、源/目的区域、源/目的地址、服务、对象、未命中时间等条件进行细粒度检索; |
16. | 网络接入 | 支持RADVD、ND、RIPng、OSPFv3、BGP4+,支持IPv6静态、动态组播路由; |
17. | 支持NAT64、NAT46、NAT66地址转换,支持6to4隧道、ISATAP隧道; |
18. | 安全防护 | 支持对IPv6报文进行病毒防御、入侵防御、URL过滤、抗DDOS、流量控制、连接限制、文件过滤、数据过滤等; |
19. | 连接控制 | 支持对指定的源/目的地址对象、源/目的地理对象、应用制定连接限制策略,可控制所有或单IP会话总数及单IP新建连接数; |
20. | 支持监控功能,显示被拦截的IP、地址对象、应用的限制条件、被拒次数、最近被拒时间等信息; |
21. | 高级威胁防护 | 内置高级威胁防护,可对DGA、隐蔽信道、恶意加密流量进行检测,支持监控高级威胁检测数据,并进行可视化展示; |
22. | 支持与APT联动,获取APT监测设备上的威胁检测结果,实现协同防护; |
23. | 内置行为分析功能,对新建连接数、并发连接数、流量等数据进行统计分析,建立业务行为基线,对异常行为进行告警;支持行为分析监控展示,可展示不同行为分析策略的实时数据和基线数据趋势; |
24. | 资产管理 | 支持资产管理,可查看资产详情、安全防护策略,并对资产进行分组和防护优化; |
25. | 配置维护 | 支持配置文件本地备份和回滚,支持对访问控制策略、NAT策略等关键配置进行单独及加密备份和恢复;支持对配置命令及配置文件的操作行为进行审计; |
26. | 升级维护 | 支持软件版本本地备份,可备份多个系统版本文件,支持对软件版本进行快速升级及回滚; |
27. | 报表 | 内置16种预定义报表模板,支持应用流量、用户流量、上网行为、威胁统计等报表,支持报表自定义; |
28. | 支持一次性报表及周期性报表,可自定义统计时间;支持报表本地存储、在线查看、即时导出及邮件订阅,支持PDF、WORD及EXCEL格式导出; |
29. | 产品资质要求 | 计算机信息系统安全专用产品销售许可证(增强级); |
3. 运维管理软件(1套)
序号 | 指标项 | 指标要求 |
1. | 产品运行环境要求 | 要求平台运行于Linux操作系统,优先考虑支持国产Linux操作系统,同时平台基于开源数据库运行,用户无需另行购买数据库授权。 |
2. | 产品使用授权要求 | 要求平台为终身授权,开放系统所有模块供用户使用,且被监控对象授权数量不做限制,支持无限扩容。质保期内,免费提供产品售后及升级服务。 |
3. | 监控范围及报警方式 | 要求平台为基于内网的企业级运维监控产品,平台以业务系统监控为主线,实现集业务、软件(包含数据库、中间件、虚拟化软件、负载均衡、消息队列、Webservice等)、网络、设备的多维度立体化统一运维监控及数据分析。支持微信公众号报警推送功能,同时支持以短信、邮件、页面、声音的多种报警方式。 |
4. | 系统全文检索功能 | 要求平台支持全文检索功能,可对报警信息、配置信息、日志信息等按内容建立全文索引,支持按关键字查找相关内容。提供综合展示界面,检索全部信息,可综合系统信息,软件信息,报警信息,笔记信息,日志信息等进行关键词综合搜索,帮助用户进行信息定位。 |
5. | 业务监控 | 要求平台提供对全院业务系统健康状况报警、提醒、正常的直观展示,支持对业务报警进行逐层下钻;支持以业务拓扑图方式展示报警信息;要求提供对业务所关联服务器的性能、系统、网口、配置、日志的报警展示,支持运维笔记、文档管理及支撑业务运行的所有软硬件报警、提醒、恢复、笔记等全方位时间轴展示。 |
6. | 责任到人巡检管理体系 | ▲要求平台支持网格化巡检功能,支持“谁的业务谁负责巡检”的管理体系,支持巡检内容、频度的自定义配置;系统自动生成巡检计划,巡检结果自动生成,只需人工核实,完成巡检,管理者即可直观了解巡检情况及健康度。(要求提供截图等相关证明材料) |
7. | 资源预期预判功能 | ▲要求平台支持对Windows、Linux磁盘空间、Oracle表空间、ASM共享存储空间预计用完日期的预期预判,同时平台支持对空间用尽剩余天数,做报警提醒。(要求提供截图等相关证明材料) |
8. | 资源分配合理度分析 | 要求平台提供全网服务器、虚拟机资源的CPU、内存、硬盘资源的分配情况及分配合理度进行分析,同时支持台账导出功能。 |
9. | 业务健康度分析报告 | 要求平台支持自定义生成一段时间内业务系统运行的健康度分析报告,包括资源分配的合理度、报警分析、业务可用性监控分析等,同时支持导出为PDF文件。 |
10. | 完善的设备速查功能 | 要求平台支持设备速查功能,可以快速查询单台服务器的资源配置情况、使用情况、合理度分析三个维度在同一个页面内的直观对比展示,支持对CPU、内存性能昨日、今日、近一周平均的三线环比对照分析,支持对服务器报警情况进行日度/月度的环比对照,以及该服务器近一周报警类型占比情况的分析。 |
11. | 重要端口服务进程监控 | 要求平台支持对支撑业务系统正常运行的重要端口、服务、进程的可用性进行监控。当状态出现异常时,第一时间发出报警信息。 |
12. | WebService接口监控 | 要求平台支持对WebService的深度监控,支持对运行于Windows操作系统IIS环境下的WebService具备自动发现机制,通过WebService调用记录自动发现WebService地址、访问者IP、调用结果、响应时长等信息,支持对Webservice调用失败率及平均调用时长分析。同时系统支持对WSDL地址可用性进行监控。 |
13. | CMDB调用链关系展示 | 要求平台支持生成端口、服务、进程的调用链,并以图形方式展示端口、服务、进程的调用关系。 |
14. | Oracle数据库监控 | 要求平台支持对Oracle(含RAC)数据库的监控,包括如:数据库监听、表空间、会话、进程、阻塞、作业、RMAN、AWR、DG、SGA、实时Top SQL等的监控。支持对Oracle数据库阻塞的监控,支持对主从阻塞的识别,可定位导致阻塞的会话,及引起阻塞的SQL语句,并支持自动生成解锁命令。 |
15. | Caché数据库监控 | 要求平台支持对Intersystem Caché数据库的监控,包括总览、连通性、License、连接数、性能、共享内存、ECP、数据库、锁、CSP会话、Journal、备份、报警等的监控。 |
16. | MS SQL Server监控 | 要求平台支持对MS SQL Server数据库的监控,如:连通性、数据库文件、备份、阻塞、锁表、作业、会话等监控;提供对MS SQL Server数据库的查询统计功能,可对数据库近期执行的 SQL 语句按照执行次数、执行时长进行统计汇总,并以图表形式展现。支持对MS SQL SERVER数据库阻塞/锁表的监控,实现对主从阻塞的识别,支持定位导致阻塞的会话情况,及引起锁表的SQL语句,并可自动生成解锁命令。 |
17. | 网络设备监控 | 要求平台支持SNMP V1/V2/V3版本的兼容。要求平台支持对核心、汇聚、接入层交换机的网络拓扑(包含子拓扑)的自动发现、自动生成拓扑图功能,及端口流量、链路聚合、设备堆叠、网络设备硬件级及系统级的监控功能以及网络设备配置信息的自动备份功能。 |
18. | 服务器存储监控 | 要求平台能够提供适配业界常见的物理服务器、存储的带外管理口(即IPMI)的监控,以实现对物理服务器、存储设备的硬件状态监控,包括:电源、风扇、磁盘、内存、处理器、温度、全局健康等指标项的统一监控,出现异常时自动报警。同时,要求平台可监控服务器磁盘吞吐量与磁盘IOPS性能指标。 |
19. | 基线和异常增速报警 | 要求平台支持对CPU、内存使用率的超过或低于设定的基线范围时,自动触发报警,以及对磁盘使用率、Oracle表空间出现异常增速时,自动触发报警。同时,要求平台具备资源使用回溯功能,对于CPU、内存资源使用率超过报警阈值时,平台可展示该时间节点Top10进程资源(CPU或内存)占用信息。 |
20. | 3D机房、大屏展示 | 要求平台实现3D机房体可视化设计功能,并能进行立体图形展示。展示时要与相应的机柜、服务器等硬件信息相结合,提供在3D机房机柜图上进行报警定位,同时要求平台提供多方位的报警分析、大屏展示功能。 |
21. | 自定义报警策略机制 | 要求平台支持对监控策略自定义配置功能,支持对状态类、阈值类、和数值类报警,进行报警策略配置;支持按照业务系统、IP地址、设备类型、监控指标等进行单独或分组配置;要求提供8级以上报警级别设置功能,支持报警图标与颜色的级别区分。 |
4. 堡垒机(1台)
序号 | 指标项 | 指标要求 |
1. | 规格要求 | 2U标准服务器硬件设备,非OEM品牌,≥16G内存,≥2块2TB硬盘,硬盘最大支持扩展到8块,≥2个千兆网口,≥1个IPMI管理口;1+1冗余电源;支持≥800以上图形并发,≥1000以上字符并发。提供≥300个被管理设备License授权。 |
2. | 稳定性要求 | 产品在江苏省内至少有2个稳定运行满5年的大规模客户案例(被管理设备数达到1000台以上),以合同签订时间为准,提供用户合同及使用报告,要求合同和使用报告主体一致,实际管理资源数量清晰可见。(提供合同和用户报告扫描件,用户报告上用户使用部门印章清晰可见)。 |
3. | 角色管理 | 默认支持超级管理员、配置管理员、审计管理员、自动化管理员及操作员等角色。 根据工作实际需要,能够支持自定义用户角色,并且能够选择将功能模块赋予该角色(如访问资产、审计、账号改密、文件传输、API、系统设置等功能)。 |
4. | 身份认证 | ▲支持本地密码、AD/LDAP、RADIUS、动态令牌、手机令牌、USBKey、短信、X.509等认证方式。支持使用国密令牌认证,并且能够和本地密码或者其他认证方式组成双因素认证手机短信能够支持http短信网关、阿里云短信网关、腾讯云短信网关。支持AD账号的定期自动化同步,当AD域中的账号有变更时,会被自动同步的系统中,并加入预定义的用户分组。(要求提供截图等相关证明材料) |
5. | 账号安全 | 具有防暴力猜测功能,支持密码错误锁定、客户端锁定(基于同一客户端不同账号登录失败次数),可以设置锁定时长。 支持自定义弱口令,用户口令不能设置为弱口令中的任何口令。 |
6. | 密码过期提醒 | 可以设定用户密码过期前多少天前,当用户登录后主动弹窗提醒用户修改密码。 |
7. | 密码找回 | 支持用户通过邮箱找回账号密码。 |
8. | 资源类型 | 支持对windows、linux、unix、网络及安全设备、数据库以及各类B/S应用的管理。 |
9. | 等价配置 | 支持将属于同一业务组或者HA类的设备设置为等价资产,通过等价账号在账号密码变更时能够直接同步。(提供配置截图证明)。 |
10. | 访问权限 | 支持以用户(用户组)、目标设备(设备组、程序)、系统账号、服务等维度灵活设置访问策略。 |
11. | 支持运维权限克隆,提升配置效率。 |
12. | 管理员可基于自定义的用户属性、资产属性和账号属性来创建弹性动态权限规则,只要满足相关属性即会被自动赋予对应访问权限;。 |
13. | 权限查看 | 支持按用户和按照资产来展示运维权限。 |
14. | 密码托管 | 支持系统账号密码触发式校验功能,对托管的口令进行验证。 |
15. | 自动改密 | 支持自动改密功能,管理员可自定义密码策略、改密周期、密码备份方式。 |
16. | 密码申请 | 如需要临时使用被管理设备的密码,可以通过密码申请工单申请,填写需要使用密码的开始、结束时间,支持通过密码分段将密码分为2段分别发送给不同的管理员用户。 |
17. | 应用发布类型 | 支持以WindowsServer 2008/2012/2016/2019作为应用发布服务器。 |
18. | 应用发布集群 | 支持多台应用发布服务器以集群的方式部署,且自动提供负载均衡的策略。 |
19. | 访问管理 | 支持Web、Mstsc、SSH Client等多种模式登录堡垒机后访问目标资产。支持HTML5方式运维,无需安装任何插件。 |
20. | 针对字符会话要求支持调用本地Xshell、SecureCrt及MobXterm; |
21. | 支持批量启动功能,可一次性登录选择好的多个目标设备; |
22. | 支持设置访问视图展示方式,可选按资产类型、资产组及动态权限展示访问视图; |
23. | 支持设备收藏功能,用户可以对经常需要访问的目标设备做一键收藏,以便于下次可以直接在收藏夹中找到。 |
24. | 文件传输 | ▲支持基于云盘模式的文件向linux系统传输和下载文件:用户将文件暂存在系统上,再经由系统,一键上传到目标系统或者一键下载到用户本地。 支持对传输文件的大小进行配额限制。(要求提供截图等相关证明材料) |
25. | 审计安全 | ▲能够设置审计管理员的审计范围,只允许审计选中的资产(资产组)。(要求提供截图等相关证明材料) |
26. | 实时审计 | 能够实时显示在线会话、在线字符会话、在线图形会话、在线数据库会话数量,能够直接点击查看审计会话。 |
27. | 图形操作审计 | windows系统在登录前,能够查看目前在线运维会话数量。 |
28. | 支持开启或者关闭键盘记录。 |
29. | 文件传输审计 | 支持文件传输审计和留痕,可以设置是否留痕以及留痕大小阈值设置。 |
30. | 审计分析 | 支持运维数据风险直观展示,能够以topN方式展示TOP资产、TOP用户和TOP敏感操作。 |
31. | 为了提升审计效率,支持将长时间的图形操作会话日志以1M-10M大小对图形会话进行切片展示功能,管理员点击任意切片,即可直接定位到对应操作片段。 |
32. | 控制台 | 可以自定义控制台首页显示内容模块,如性能监控(CPU、内存)、在线会话数、TOP用户、TOP资产等。 |
33. | API安全 | 支持设置API权限,指定是否允许GET、PUT、POST、DELETE。 |
34. | 性能监控 | 支持在WEB页面查看系统处理器(CPU)、内存、磁盘使用情况统计。支持在WEB页面查看所有进程状态,能够显示每个进程的内存占用及CPU使用率。 |
35. | 负载限制 | 可以在全局模式下设置会话占用系统资源限制,如图形会话、字符会话、数据库会话占用系统CPU、内存负载限制;也可以按照单会话,设置普通用户和VIP用户对CPU、内存负载限制。 |
36. | 问题诊断 | 支持WEB页面选择天数后一键采集系统日志。 能够在WEB页面直接显示出存在故障的服务。 |
37. | HA模式 | 支持主、备部署模式 |
38. | 多站点模式 | 支持2台(套)以上组成多站点模式部署,各个站点自动同步配置数据(用户、资产和权限等),同时各个站点都能对外提供登录运维。 |
39. | 兼容性 | 为了保证后期运维数据的完整性,需要所投堡垒机产品与医院现有堡垒机平台可以联动调试,确保运维数据无缝迁移至新堡垒机平台。要求投标产品和已有堡垒机平台具有良好的兼容性,提供堡垒机厂家兼容证明。 |
5. 杀毒软件扩容(1批)
序号 | 指标项 | 指标要求 |
1. | 客户端支持系统 | 支持Windows XP,Windows Vista,Windows 7,Windows 10,Windows 11等操作系统 |
2. | 产品配置 | 提供500个客户端许可 |
3. | 安全防护 | 产品需支持基于程序行为评估其可信度,并阻止未授权更改; |
4. | 产品应支持多种(不少于五种)扫描引擎,所有防毒引擎必须为自主知识产品非OEM产品; |
5. | 产品应支持三种以上扫描方式,且每种扫描方式应支持灵活的处理配置策略(不少于七种病毒类型)定制处理措施;(要求提供截图等相关证明材料) |
6. | 产品应支持多种处置措施,以保证对于文件多种处理的可选择性,处置措施包含但不限于:清除、隔离、删除、不予处理、拒绝访问; |
7. | 产品应支持客户端选择云安全扫描和传统病毒码扫描两种运行方式; |
8. | 产品需支持检测全局可疑站点(C&C)识别,并提供记录或者阻止的处理措施; |
9. | 兼容性 | ▲产品兼容医院杀毒软件管理平台,可以被医院杀毒软件管理平台统一管理。 |
10. | 防火墙 | 产品需具备主机入侵检测防护能力; |
11. | 产品需支持终端根据源IP(支持IPv6)、目的IP(支持IPv6)、源端口、目的端口、应用程序及注册表项,出站、入站等进行策略配置; |
12. | 移动设备防护 | 产品应支持对插入移动设备内的所有文件进行安全检测; |
13. | web防护 | 产品应具备Web信誉评估功能,包含HTTPS通信扫描,结合云安全架构自动识别并屏蔽恶意站点,阻止病毒自动更新; |
14. | 客户端 | 产品应支持多种客户端安装方式,包括但不限与:打包安装、MSI安装、浏览器安装、远程安装、登录脚本安装、UNC安装; |
15. | 爆发阻止 | 产品应支持病毒爆发防御功能。当最新病毒爆发时,可在病毒代码未完成之前自动对企业网络中的病毒传播端口、共享等进行关闭,切断病毒传播途径,预防最新病毒的攻击; |
16. | 漏洞弱点扫描 | 产品应具备CVE漏洞弱点扫描功能,防护经由网页/电子邮件下载文档时被扫描利用; |
17. | 勒索软件防护 | 产品应具备勒索软件防护功能,需阻止勒索软件关联的进程,需具备检测到勒索行为前自动备份和恢复文档的能力;(要求提供截图等相关证明材料) |
18. | 更新升级 | 产品应支持更新代理功能,可将客户端设置为更新代理服务器,指定其他客户端从更新代理服务器更新组件、域策略; |
19. | 产品需具备客户端并发更新数量的控制功能,可按不同时间段进行更新并发限制; |
20. | 产品应具备病毒码及扫描引擎还原功能,可将服务端、客户端的病毒码及扫描引擎还原至上一版本; |
21. | 产品资质 | 产品必须具有公安部颁发的《计算机信息系统安全专用产品销售许可证》网络版防病毒产品(一级品)证书。(要求提供截图等相关证明材料) |
6. 核心交换机扩容(2台)
序号 | 指标项 | 指标要求 |
1. | 板卡接口数量 | 单块板块≥36口 |
2. | 接口传输速率 | ≥40Gbit/s |
3. | 接口连接器类型 | MPO、LC |
4. | 支持的可插拔接口模块 | QSFP+模块、QSFP+电缆、QSFP+ to SFP+电缆 |
5. | 端口转发时延 | 两个端口之间流量转发的时延不大于3us |
6. | 缓存容量 | 支持的最大单端口缓存容量≥900MB |
7. | 线速转发 | 支持三层线速转发,支持跨板全线速转发 |
8. | 跨设备链路聚合 | 支持跨设备链路聚合技术,保持控制层面互相独立,从而将单板级可靠性提升至设备级可靠性。 |
9. | 单板隔离功能 | 支持将单板从转发平面中隔离出来,不再参与转发平面的转发,但被隔离单板仍在控制平面中,可对其进行管理操作。 |
10. | 扩容要求 | 每台核心交换机扩容2块板卡,扩容板卡须兼容现有的H3C S12508-AF核心交换机,需提供详细的割接方案,并保障目前的网络不能够中断且平滑割接。 |
四、服务需求
1、中标供应商在供货时,必须提交生产厂商出具的书面质保证明材料,保证该设备为原厂全新产品且由原厂提供不低于伍年的免费维保服务,包括但不限于设备免费硬件维保服务、软件升级服务、电话技术支持服务以及定期上门巡检服务等。
2、中标供应商所提供的设备必须为全新生产,设备到货后,用户方将与供应商及生产厂商代表三方共同对设备进行非破坏性拆解验收,如发现设备内部有长时间使用、维修痕迹以及主要零部件生产日期过久等异常现象而供应商对此不能做出合理解释的话,则用户方将终止合同、并报政府采购监督管理相关部门进行处理, 供应商应承担相应违约法律责任。
3、中标供应商在项目实施过程中不得影响全院正常工作,不得更改医院现有网络架构,必须在保证医院业务不受影响的前提下完成本项目的事实。
4、中标供应商应在中标一周内提供所投运维管理软件到用户现场环境测试, 对招标参数的每项指标均进行功能有效性验证,以确保产品实际质量及交付功能满足需求,以上招标要求的各项指标验证测试,经确认无误后签订合同。若测试结果与投标文件中提供的技术偏离表不一致,用户方有权追究其责任。
5、中标供应商提供 7*24 小时售后服务,须确定专人接受采购人故障申告。接到申告,0.5小时内到达现场,并在到达现场后4小时内将故障修复。4小时内不能修复的,启动备品备件的调用,设备修复后予以恢复。
6、要求中标供应商提供本项目的相关设备的巡检服务,次数不低于每月一次例行巡检,并出具一份设备巡检报告。配合用户根据运行环境和要求调整性能参数,并根据用户系统变化情况及时调整优化,供应商必须配合采购人完成内外网接入整改工作。对重大的技术问题,供应商应协调组织技术专家小组进行会诊,以确保系统的正常运行。
7、中标供应商按要求提供完整的项目建设档案,包括施工方案、竣工和技术文档、使用说明等;必须按医院三级等保整改报告相关要求部署安装本项目里相关设备,并配合医院完成本次等保测评工作,否则不予验收。
8、在重大活动时,根据采购人要求,中标供应商派出资深工程师做好现场技术保障。
9、中标供应商提供关于本项目的培训方案,投标人在产品安装调试时,对采购人的技术人员进行现场安装调试培训,讲解产品的结构、安装步骤、调试方法和系统配置等。
10、中标供应商必须为本项目中所有的设备提供全年7×24小时驻场服务,明确到人,晚班值班人员不得无故离岗、脱岗。质保期到期后,维保价格参考现场招标谈判结果。
11、本项目为交钥匙工程,采购人不再承担任何配套费用。对本次采购的所有软硬件、配件、辅件在到货检查及质保期内应确保货物的正常使用,出现故障等情形必须按同型号无偿更换,提供免费上门维修。免费质保期内,不能修复时中标供应商必须免费提供同种规格配件进行更换,如不能提供同种规格型号的配件,用其它型号配件代替时,需经采购人同意,且不补差价。免费质保期后产品实行终身有偿维修,并且保证在设备的设计使用寿命周期内,能够及时提供原厂正宗的零备件,中标供应商只收取材料费,以确保设备的正常运行。投标人必须承诺后续服务、硬件的配件和软件的选件能以不高于本次采购的价格(或折扣率)购买。
注:供应商必须针对上述要求在投标文件中逐条承诺,有一条有负偏离的,将被定义为非实质性响应招标文件。
其他要求
1. 项目实施要求
项目实施方案需包含项目组织、进度计划、项目风险管理、应急措施网络规划设计等,内容详实,措施得当,阶段划分合理。
(1)成立项目组
首先成立专业的项目组。项目组负责项目的具体施工、测试、验收等工作,并对施工进度与质量负责。按照项目实施的标准流程在招标方要求的时间内完成交付。
(2)制定详细的项目建设计划
项目启动后,需要立即组织项目相关的所有人员熟悉本项目相关的所有细节,熟悉项目的具体内容,制定详细的施工计划与进度表。项目计划文档至少包含如下内容:
1) 项目施工人员名单,确定联络人,项目组人员的具体分工与职责;
2) 实施过程需要的工具与设备;
3) 具体的施工计划与详细的进度表;
4) 具体的施工方案文档编写与汇总,每个节点都需要提供施工方案文档;
5) 阶段性的验收报告;
6) 施工过程中意外情况的处理;
7) 培训的时间、内容、规模等;
8) 明确具体的安全策略、测试方法、验收标准、完工文档等。
(3)工程勘察
提前与招标方确认好施工时间,在正式施工前提前进行勘察,勘察后编写《工程勘察纪要》,确定设备的安装和集成详细部署方案。
(4)发货与进场施工
按照招标方要求的时间发货,安装施工人员负责综合布线与设备上架,完成设备互联调试工作,编写实施文档等工作。
(5)项目施工质量管理
为了保证施工质量,需要制定质量管理计划、质量控制标准、质量保证措施、沟通管理计划、变更管理计划等。
(6)项目风险管理
在工程实施过程中,需要进行风险管理。风险管理内容至少包含风险识别、风险预警、风险量化、风险对策实施控制等。
(7)应急措施
针对施工过程中的突发情况,需要提前准备应急措施,应对如何在施工时受到意外事件影响而进行恢复。
(8)服务质量控制方案
在实施期间双方将本着友好合作的态度完成各自的职责。需要制定成熟可行的方案以保证招标方在整个项目施工过程中任意阶段(比如安装阶段、验收阶段、日常维护阶段)对服务质量不满意的情况下,能够得到及时的响应与改善。
(9)项目培训
为了保证项目的质量与运行、维护需要,对产品和系统使用的相关人员进行系统的技术培训。
2. 项目集成要求
(1)负责完成产品免费到货、安装到指定地点和位置,并完成具体的系统安装调试至全部系统投入上线稳定运行。
(2)提供项目实施所需的线缆等辅材。
(3)负责完成项目相关的数据中心容灾平台与数据中心现有IT环境和相关设备的梳理、整合、对接部署、系统调试、网络与安全策略调整、联调优化等服务。
(4)负责完成超融合系统虚拟化平台与集群的安装部署、操作系统的安装、配合应用的部署、分布式存储双活系统的部署、有关灾备的配置调整与联调部署服务。
(5)负责完成有关设备迁移、系统迁移、应用迁移、数据迁移、数据备份与恢复、业务部署等技术服务。
3. 项目验收要求
(1)验收工作由招标人组织实施,由招标人、中标人及原厂商共同完成。
(2)中标人保质保量、按整体解决方案如期完成全部工作,满足项目的全部建设要求。
(3)中标人应按照招标人要求,移交本包实施过程中的各类文档,并经过招标人验收签字。文档包括以下材料:设备及集成系统交付清单;用户使用手册(含设备及集成系统配置清单、用户操作手册、维护手册、安装手册等);基础测试分析报告(含集成测试大纲、测试结果记录,要有测试负责人得签字或测试单位盖章);项目施工过程文档、实施总报告等。
(4)中标人应就安装、调试、集成工作,采取文档讲解、会议研讨、培训、在日常工作中进行传帮带等方式,完成对招标人的知识转移工作。
五、商务条款
1.项目工期:签订合同后30天。
2.交付地点:江苏省镇江市解放路438号江苏大学附属医院
3.付款方式:合同签订生效后2个月内,甲方向乙方支付合同总金额的30%,项目竣工验收合格后2个月内,甲方向乙方支付合同总金额的50%。尾款支付时间:20%尾款在设备能够正常使用,且乙方能够履行本合同约定义务的情况下,填写付款证明,自入库之日起1年后2个月内付清,如因乙方发票不能及时提供而影响设备入库手续,则付款以入库日期顺延。
六、特定资格条件
除《中华人民共和国政府采购法》第二十二条规定的供应商应具备的条件外,采购人可以根据采购项目的特殊要求,规定供应商的特定资格条件,如国家或行业强制性标准等。但不得以不合理的条件对供应商实行差别待遇或者歧视待遇。
(无)
