1

互联网区域容灾备份一体机

否

台

1

是

2

超融合服务器扩容

否

台

3

否

3

容灾机房超融合服务器万兆交换机

否

台

2

否

4

容灾机房负载均衡设备

否

台

1

否

5

容灾机房出口防火墙

否

台

1

否

6

容灾机房网闸

否

台

1

否

7

互联网区服务器安全监测软件

否

套

1

否

1

整机备份

提供基于磁盘数据块复制技术的整机备份，无需了解主机业务系统类型、部署方法、业务系统间的数据交互机制、数据结构/逻辑关系和数据库的品牌/版本。

对X86架构下的物理机、虚拟机、超融合、私有云和公有云提供统一的将主机的操作系统、应用系统、数据库和数据/文件作为一个整体的一致性灾备保护。

2

数据库备份

支持对Oracle、SQL   sever、My SQL数据库系统、配置、日志及数据实现整体、一致的定时，保证数据的完整性和一致性，无需掌握数据库的众多专业知识、RMAN命令、各种参数配置等，即可实现统一灾备管理，操作简单的特点；

3

重建恢复

整机全场景恢复，无需人工手动重建操作系统、应用系统和数据等环境，实现全场景带业务逻辑恢复，恢复后的主机无需人工手动调整驱动、注册表信息、配置应用配置信息等，极大降低灾难重建恢复难度，确保灾难恢复的数据完整性、系统稳定性；

4

文件验证

可将选定的备份点加载为CIFS文件共享和网络共享路径可直接在WEB浏览器中直接URL访问，管理员可快速确认需被验证的备份点文件是否是符合预期，备份点是否可用、可靠；（提供截图和证明材料，并加盖原厂公章）。

5

文件恢复

用户日常运维过程中丢失单个文件/文件夹，灾备系统支持将任意时间的备份点加载为网络共享路径或在WEB浏览器中直接URL访问的方式，管理员可轻松找到该文件并复制出来；

支持采用文件的直接恢复的方式，可指定恢复单个文件或文件夹到原机某个目录下；

6

卷恢复

当用户某个磁盘卷出现重大问题损坏时，支持选择对应的备份点进行卷恢复和磁盘恢复 功能；卷恢复RPO秒级;

7

灾备演练

▲

真实演练场景提供演练目标机物理机无需预置任何灾备演练环境（目标机无操作系统、目标机和原机操作系统不一致、目标机无应用系统、目标机无数据库等）可即时开展对指定业务模拟故障后自动化的灾备演练重建功能；（提供截图和证明材料，并加盖原厂公章）。

医院对可靠性要求较高，且政策法规、等保测评对安全性也有要求。灾备演练是模拟真实情况的最好办法。

8

快速整机验证

★

快速整机验证系统无需另配置验证主机，灾备系统自带仿真主机演练平台，无需集成第三方虚拟化平台，降低因虚拟化平台兼容性而导致的验证风险，保障备份数据的完整性；（提供产品配置界面截图，并加盖原厂公章）

能更快速的恢复灾备系统里的核心业务系统。

★

可基于一个备份任务的多个历史备份点同时启动多个验证主机验证备份数据的一致性和可靠性，在灾难发生时采用二分法快速定位出最佳灾难恢复的备份历史点，解决勒索病毒攻击后选择时间节点回退难等问题（提供截图和证明材料，并加盖原厂公章）；

在病毒或灾难爆发后，更迅速的恢复医院核心业务，解决回退时间节点选择难的问题。

可同时启动多个虚拟机对集群业务系统、Oracle RAC等共享存储的集群数据库和应用提供快速整机虚拟化验证（提供产品界面截图，并加盖原厂公章）；

Oracle RAC虚拟化验证时，可自动化配置集群网卡、聚合网卡等参数

9

数据库恢复

用户日常运维过程中丢失单个表单，可通过灾备系统结合数据库恢复工具，实现单表恢复；

当数据库系统出现任意灾难时，灾备系统可通过自启验证系统，对备份的数据库系统进行验证，对任意一条数据的一致性、可靠性、可用性验证成功后，再进行整机恢复

10

管理

分权管理：支持对备份系统的用户的分级管理，如：安全管理员、审计管理员、系统管理员、普通用户等不同的角色，并且可以记录所有的用户的操作情况。

客户端安装、卸载过程不需要重新启动业务系统，即可实现在线完整备份。

11

备份磁盘

配置20T可用备份存储容量空间，可存储整机数据，含业务组织逻辑关系，手工配置信息、操作系统应用平台数据、数据库数据、文件数据、可包含虚拟机数据、物理主机数据等的数据存储，具备压缩和去重功能，具备加密功能；具备存储空间主机数据基于网络传输加密方式分钟级重建恢复至异构化主机平台。

12

软件授权

20T备份容量授权；整机保护授权不限；数据压缩和去重授权；
  10台整机CDP保护授权；文件在线浏览验证恢复功能授权；虚拟主机快读验证演练系统功能授权；一套Oracle rac集群实时备份功能授权；产品初次安装、调试，用户使用培训。5*8售后技术服务、系统维护、系统故障排除与处理、系统升级、咨询交流与巡检等服务。

13

硬件配置

★

2U机架式设备；8个磁盘槽位3.5" SAS、SATA磁盘接口；标配6块4TB企业级硬盘；Intel单路8核8线程处理器；64GB高速缓存模块；双端口千兆以太网；1个冗余电源模块；RAID支持1,5,6,10,50,60,热备模式；
   提供一体化平台，可配置备份磁盘、数据完整性磁盘等硬件配置，提供基于各种X86\虚拟化等主机存储的磁盘位图的扫描和复制功能，具备磁盘位图的输出和写入至目标平台功能。提供环境主机保护兼容性，基于各平台的异构磁盘位图恢复等功能。平台基于系统加密、数据加密和存储内容加密，RAID组加密等。

基本配置要求，必须满足。

14

数据传递

▲

兼容目前医院已有核心业务异地容灾到联通机房的HA容灾平台架构，支持本地、异地灾备平台之间的数据传递，从而实现本地、异地完善的灾备平台建设，满足全国医院信息化建设标准与规范以及国家电子病历评级要求

医院评级、等保的基本要求。

15

平台架构升级

▲

后续支持灾备平台在原有设备基础上利旧结合自研的云计算技术升级扩容为灾备云集群架构，实现灾备计算资源由多节点构建灾备计算资源池。灾备云任意节点可以共享灾备云节点的计算资源；灾备存储资源采用分布式架构，由多台物理服务器组成分布式存储集群；实现灾备任务均匀适配各节点灾备资源，各节点灾备资源自动负载；单节点故障，该节点备份任务可以均摊转移到其他节点，解决单机故障导致灾备平台宕机问题；（提供该功能产品操作截图证明，并加盖原厂公章）

提供较好的扩展性，便于后期扩展功能增加稳定性。

▲

灾备云平台支持灾备业务关键指标（RPO和RTO）指标总览和监测，针对应急预案和日常的业务演练方案支持平台监控展示，整个演练流程、人员职责划分以及调度在灾备系统中可视可见，针对演练中遇到突发问题，用户可以通过灾备指挥平台合理协调人员和资源进行指挥调度，满足智慧医疗对于应急预案以及常态化演练的要求，实现自动化运维。（提供该功能产品操作截图证明或者操作演示视频，并加盖原厂公章）

提供较好的扩展性，便于后期扩展功能增加稳定性。

16

CDP持续数据保护

★

提供对X86下的物理主机、虚拟化主机、超融合主机、云主机提供CDP持续数据保护，实时备份磁盘任意时刻的状态，备份时间粒度最小可达微秒级(百万分之一秒) 实现RPO趋近于0，有效应对勒索病毒攻击、人为误该误删除等风险；（提供截图和证明材料，并加盖原厂公章）；
 
 

基本配置要求，必须满足。

执行微秒级CDP保护过程，对被保护主机性能影响小于百分之一，防止因CDP持续数据对生产主机造成性能影响。（提供截图和证明材料，并加盖原厂公章）；

▲

支持针对集群业务系统类似于Oracle RAC等整机CDP持续数据保护，颗粒度小于1秒，保障核心应用系统数据完整性，解决人为误改误删除导致的数据丢失问题。（提供产品功能演示视频证明资料）
 
 

尽可能的保护更多的数据，降低数据丢失的风险。

可支持同步CDP，实现高性能主机的持续数据保护，RPO可等于0，不出现任何数据丢失；（提供截图和证明材料，并加盖原厂公章）；

17

定时备份策略

支持任意的分/时/天/月/年/仅备份一次等策略执行定时备份，操作简单，策略灵活；

18

永久增量参数

支持完整备份和增量备份，第一次备份时使用完整备份保留整机应用的完整状态，后续采用增量备份，大幅减少备份的数据量。

19

PC备份

支持对WindowsXP/7/8/10操作系统办公终端提供整机灾备保护，按照策略实现历史时间点的整机回滚，保障重要办公终端数据安全；

20

安全特性

传输安全性备份系统采用磁盘数据块复制而非传统文件级复制，需要原厂定制系统才能识别，同时采用“AES256”加密传输，即便在传输过程中被截取，也无法被获取有价值的数据，保障用户数据安全。支持配置登录超时锁定策略、登录失败锁定。

备份系统的专用嵌入式操作系统维护后台采用动态口令机制，动态口令由设备管理员和原厂口令组成，原厂口令随着设备管理员的改密码操作而变化，确保系统后台密码都是唯一的，减少被攻破的可能性（提供截图和证明材料，并加盖原厂公章）

备份系统需为专用基于Linux的嵌入式系统减少病毒感染几率。

灾备系统网络可配置“网卡自动关闭/定时开启策略”，还可将除备份数据传输端口外的SSH、网络访问等网络端口全部关闭，杜绝除传输备份数据流之外一切网络访问的可能，降低灾备系统被攻击的概率（提供截图和证明材料，并加盖原厂公章）；

1

性能指标

★

配置3台2U机架式服务器；

单节点配置≥2颗Intel 2颗Gold 5220R （24C），处理器频率≥2.2 GHz；

接口不少于6千兆电口+2万兆光口，整机≥1个PCIe   3.0可用插槽；

单节点内存≥512GB，单根内存≥32GB；

单节点内置硬盘配置容量数据：≥2块 240GB SATA SSD盘（系统盘）；≥2块 960GB SSD 盘（缓存盘）；≥4块6T机械硬盘（数据盘）；

配置冗余电源；

基本配置要求，必须满足。

2

云平台资质

产品完全自研，非OEM，需提供云计算平台的软件著作权证书

3

云平台厂商资质

▲

为保障企业云安全能力的成熟度与技术程度，云平台厂商需获得CS-CMMI5云安全能力成熟度集成

超融合品牌众多，鱼龙混杂，避免不成熟的产品出现。

4

交付能力

投标方所提供的软件产品和硬件产品必须具备解决方案级研发和交付能力，具备自主品牌的全系列硬件产品、软件产品以及原厂服务能力

5

资源池

支持创建、删除超融合HCI/VMware类型的资源池（前提是资源池未关联租户），配置资源池共享/专属属性，关联相关集群组成资源池

支持纳管多版本超融合HCI资源池

支持同步资源池资源占用率信息

支持资源池计算资源、存储资源配额限制

支持点击单个资源池后显示资源池计算资源占用率、计算资源使用率、存储资源使用率、物理主机台数、虚拟机台数等

支持点击单个资源池后显示资源池所有资源列表（物理主机、存储资源、云主机、NFV设备等）以及其对应的规格和资源使用率

6

集群

支持添加、管理超融合HCI类型的集群，并配置集群的存储性能
  支持输入集群的名称、描述、选择集群类型、输入集群IP、勾选集群IP校验、输入用户名、密码、端口号

支持列表显示所有集群的集群IP、集群类型、版本号、CPU使用率、内存使用率、存储使用率等

支持点击单个超融合集群后显示集群中所有物理主机的管理口IP、CPU使用率、内存使用率等

支持点击单个超融合集群后显示集群中存储的名称、类型、性能标签、所属集群、总容量、使用率、IO速率、其上运行的云主机数

7

云主机

支持单个或批量创建超融合HCI类型云主机，创建时支持选择镜像、资源池、计算规格（CPU、内存、插槽数、每个插槽核数、运行位置等）、存储规格（虚拟存储盘、物理磁盘等）、网络规格（支持添加网卡）、USB（添加USB设备）及其他高级选项（设定云主机自动开机、标记为重要虚拟机、自动异常重启、启用CPU热添加、内存热添加、UUID、内存回收机制）

支持创建云主机时指定运行位置、名称、设置root/Administrator密码、hostname等

支持按条件筛选云主机，支持通过名称和内网IP搜素云主机

支持删除、修改、查询云主机配置（设置基本信息、计算规格、存储规格、网络规格、引导顺序、物理机开机自动运行、标记重要云主机、异常重启、热添加、启用UUID等）

支持管理云主机（克隆、批量克隆、创建快照、迁移、开关机操作、挂起、设置IP、密码设置、绑定标签、绑定和解绑弹性IP、启用磁盘加密、制作镜像、导出、分配、回收、打开控制台等功能）

▲

为了更好地保护用户数据，支持设置定期全量备份、增量备份、差异备份（支持增量差异即基于上次增量做差异备份，不支持累积差异即基于首次全备做差异增量），支持用户灵活配置备份策略，备份文件保留时间最高可以达到15年，支持将虚拟机的备份文件定期归档到第二存储（需提供产品功能截图，并加盖厂商公章）

医院对可靠性要求较高，且政策法规、等保测评对安全性也有要求。更好保存医院历史数据。

8

对象存储管理

支持云平台通过服务注册对象存储服务，支持对象存储服务的生命周期管理;

支持admin对象存储服务的用户账号管理和bucket管理;

支持admin配置对象存储的配额，满足多租户场景下租户对象存储资源管理的要求;

支持对象存储告警通知，支持对象存储相关操作日志审计

▲

支持针对卡慢盘、异常只读盘的自动检测、自动隔离及手动隔离，隔离分为临时拔盘、永久拔盘（注：永久拔盘后，需要手动替换磁盘，原有磁盘离线后无法上线），消除磁盘异常对业务的影响（需提供产品功能截图，并加盖厂商公章）

基本配置要求，必须满足。

9

网络拓扑

支持管理平台网络拓扑（云主机、网络设备、NFV设备的添加、删除、配置等），支持拖拽操作、所画即所得

AF优化：AF支持1C2G、吞吐量50Mbps的规格（仅面向托管云场景）

支持管理租户的经典网络、VPC网络

支持为VPC配置多个出口，实现流量隔离

支持连通性探测

支持将网络拓扑图以图片的形式导出

支持在网络拓扑查看租户原始网络

支持给资源池的节点设置是否启用网络节点设置

▲

在管理平台上可以通过拖拽虚拟设备图标和连线就能完成网络拓扑的构建，快速地实现整个业务逻辑，并且可以连接、开启、关闭虚拟网络设备，支持对整个平台虚拟设备实现统一的管理，提升运维管理的工作效率（需提供产品功能截图，并加盖厂商公章）

更直接，快捷的管理拓扑结果

10

弹性IP池

支持创建弹性IP池、管理线路类型、总带宽设置、配置弹性IP池可见资源池范围等

弹性ip池关联VPC出口和公服出口，不再关联资源池

支持将弹性IP池分配给租户，只要没有重复的IP，允许不同的弹性IP池属于同网段

11

共享带宽

支持列表显示共享带宽使用情况，共享带宽支持多个弹性IP共同使用一条带宽，提高带宽资源利用率，方便管理员管理。

12

本地备份

支持创建备份策略，选择备份频率、云主机、备份位置,

本地备份频率：小时：最小间隔为1h，最大为12h、备份保留时间为最近一天到最近三个月天：支持选择备份时间段、备份保留时间为最近一周到最近三个月周：支持选择备份日期、备份时长、备份保留时间为最近一周到最近三个月支持自动合并备份点，节省存储空间

支持编辑、删除、开启或禁用备份策略等操作

支持备份归档，设置归档位置和归档策略

支持查看备份列表，显示备份云主机的备份信息

支持定期全量备份，提供更短的备份链以加快备份恢复速度

13

趋势监控

支持监控云主机的资源使用趋势（CPU、内存、磁盘、IO次数、IO速率、流速、包速率）

支持监控物理主机的资源使用趋势（CPU、内存、IO次数、IO速率、流速）

支持监控弹性IP的公网流速趋势

支持监控共享带宽的公网流速趋势

14

运维管理

★

本次扩容的超融合服务器设备需要能够与医院原有的外网超融合设备在同一云管平台内实现纳管

更直接，快捷的管理超融合服务器，并实现统一管理，避免了多个平台多个管理界面。

15

运维报告

支持统计云平台资源的实时状态和监控图表，汇总资源配置信息，导出运维报告

支持对运维报告的导出内容和统计时间进行配置

支持预览和下载运维报告，支持保存相关配置为模板

16

告警日志

支持查看告警日志，可按时间、告警级别、告警对象、所属资源池、租户进行过滤）

17

序列号

支持显示平台授权信息、支持导出授权信息和更新序列号

支持显示集群授权状态和授权方式，同步集群授权模式，支持回收和编辑授权状态

支持显示安全资源授权状态和授权方式，同步安全资源授权模式，支持回收和编辑授权状态

18

日期与时间

支持更改系统时间

支持设置NTP服务器同步

19

平台IP设置

支持设置浏览器访问云平台的IP

支持配置平台路由

支持配置平台DNS

20

认证设置

支持导入LDAP用户至本平台，以托管用户密码认证，支持微软AD域及Linux LDAP

21

SSO设置

支持CAS统一登录认证系统，进行基本配置

支持手动批量导入和自动注册两种模式

22

回收站

支持彻底清空和还原操作

网络设备：平台的NFV设备删除后放入回收站，保留30天有效期。

云主机：平台的云主机删除后放入回收站，保留30天有效期。

备份文件：平台的备份文件删除后将放入回收站，保留30天有效期

1

性能

▲

交换容量≥2.5Tbps，包转发率≥480Mpps，提供官网截图

基本配置要求，必须满足。

2

接口要求

▲

万兆光口≥24个，至少1个扩展插槽，提供官网截图

基本配置要求，必须满足。

3

配置要求

★

每台交换机配置2个150W 资产管理交流电源模块，10个SFP+ 万兆模块(850nm,300m,LC)

基本配置要求，必须满足。

4

扩展性

支持1/2.5/5G/10G BASE-T以太网电接口模块扩展，支持10G/25G/40G光口扩展

5

分布式

支持分布式设备管理，分布式链路聚合，分布式弹性路由

6

虚拟化

允许交换机利用互联电缆实现多台设备的扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。

7

音频质量

支持eMDI（Enhanced   Media Delivery Index，增强型媒体传输质量指标），eMDI专门为视频、音频业务设计的网络质量监控和故障定界方案，可直接对IP网络中各个网络节点上指定的由TCP或RTP承载的业务报文进行实时监控与分析。

8

Telemetry

支持Telemetry技术，可通过GRPC协议将交换机的实时资源信息与告警信息上送至运维平台，运维平台针对实时数据进行分析，可实现网络质量回溯，故障排查，风险预警，架构优化等功能，精确保障用户体验。

9

链路聚合

支持DRNI（Distributed   Resilient Network Interconnect，分布式弹性网络互连）跨设备链路聚合技术，通过将两台物理设备在转发层面虚拟成一台设备来实现跨设备链路聚合，保持控制层面互相独立，提供设备级冗余保护和流量负载分担，同时提高系统的可靠性。

1

硬件要求

★

需采用独立的专用硬件AD应用交付设备，而非通过添加功能模块的方式实现；

千兆电口≥6 个；

千兆光口≥2个；

系统内存≥8 GB；

提供SSD固态硬盘，硬盘容量≥128 GB；

吞吐量≥5 Gbps；

并发会话数≥800 万；

四层新建能力（CPS）≥15 万；

七层新建能力（RPS）≥15 万;

基本配置要求，必须满足。

2

设备部署

支持串接部署方式和旁路部署方式，支持三角传输模式；

3

多合一功能集成

提供针对多条出口线路的链路负载均衡功能，实现inbound和outbound流量的均衡调度，以及链路之间的冗余互备；

单一设备可同时支持包括链路负载均衡、全局负载均衡和服务器负载均衡的功能。三种功能同时处于激活可使用状态，无需额外购买相应授权；

4

链路负载均衡

支持静态IP和PPPOE两种线路接入方式；

支持基于五元组条件（源IP地址，源端口，目的IP地址，目的端口，传输层协议号）来进行出站访问的流量调度分发；

支持基于管理员自定义的时间计划来进行出站访问的流量调度分发；（提供设备操作界面截图证明材料）

支持基于URL的链路调度功能，内置不少于10万条的国外URL网址库，无需手动导入并支持自动更新，管理员可查看。可根据URL将访问国外网站的请求调度到指定线路；  

支持基于应用协议的智能选路，能对网银、游戏、视频等流量进行调度

支持DNS内网记录，包含A、AAAA、CNAME、MX和TXT等类型，可识别内网用户并对其DNS请求直接返回相应结果；

支持智能DNS解析功能，实现外网用户访问内网业务系统的最优路径选择；

支持链路负载投屏展示，能够分别基于链路监测、应用选路和ISP流量进行投屏展示分析。链路监测展示链路的健康状态、上下行带宽、总带宽、新建连接数、并发连接数和吞吐量；应用选路展示基于应用分类选择相应链路的示意图；ISP展示基于运营商分类选择链路的示意图；

5

服务器负载均衡

支持轮询、加权轮询、按主机加权轮询、加权最小连接、按主机加权最小连接、动态反馈、最快响应时间、加权最小流量、按主机加权最小流量、源IP源端口哈希、源IP哈希、URI哈希和HOST哈希等；

节点支持域名和IP两种形式，支持根据DNS应答的TTL值和指定时间作为DNS查询间隔

对于超过服务器的连接数上限或者请求数上限的新建连接缓存起来放入队列中，后续分批逐步发送给服务器，而不是直接丢弃数据包

支持SIP开启/禁用插入Via头部和开启/禁用插入Record-Route 头部等策略；

支持HTTP缓存功能，利用内存Cache缓存用户频繁访问的web内容，降低后台服务器的负载压力，提升用户访问的响应速度；

服务器负载状态支持投屏展示，能够显示设备的电源状态、风扇转速、磁盘温度、CPU温度、CPU和内存占用率、新建连接数、并发连接数、吞吐情况、SSL新建和SSL吞吐数据、压缩优化和缓存优化数据；业务的健康状态、新建连接数、并发连接数、上下行流量、每秒请求数；节点池的调度算法、健康状态、新建连接数、并发连接数、上下行流量；（提供设备操作界面截图证明材料，并加盖原厂公章）

6

全局负载均衡

支持TCP和UDP DNS解析能力，支持设置EDNS缓冲区大小；

支持启用/禁用edns-ecs方式提取/插入客户端请求真实源地址；

支持DNS RPZ防火墙功能，支持定义RPZ规则来阻止访问受感染的站点，保护用户的网络环境，提高网络安全性，支持NXDOMAIN、NODATA、DROP和CNAME四种动作；

7

SSL卸载

设备支持制作RSA2048算法的CSR证书请求和导入；

管理页面可查看证书算法、证书有效期开始和结束的时间等所有证书信息

支持配置SSL服务为单向、双向国际算法的SSL服务端；

8

运维管理

支持全中文管理界面和HTTPS方式登录、用户角色管理、多级授权管理；

支持标准的RESTful形式的API接口，可提供Python和Java的SDK工具，可实现与第三方应用平台的集成与二次开发

9

资质要求

▲

所投产品具备国家工业和信息化部颁发的《电信设备进网许可证》，提供证明材料并加盖原厂公章

避免不合规、不成熟、不规范的产品出现。

1

系统结构

产品由专用的硬件平台、安全操作系统及功能软件构成。设备采用自主知识产权的专用安全操作系统，采用多核多平台并行处理特性；

2

操作系统

安全操作系统采用冗余设计，出于安全性考虑，多系统需在设备启动过程中进行选择不得在WEB维护界面中设置系统切换选项。

3

系统软件

系统具有良好的扩展性，支持扩展病毒防御、入侵防御、应用识别、网站分类库过滤、IPSECVPN、APT防御等功能。提供5年病毒规则库升级授权，5年入侵防御规则库升级授权和5年Web应用防护特征库升级授权。

4

系统性能

防火墙吞吐率：12Gbps，并发连接数：300万，每秒新建连接（FW&HTTP）：14万，每秒新建连接（FW+APP&HTTP）：8万。

5

硬件配置

★

2U设备，配置6个10/100/1000BASE-T接口和2个SFP插槽，2个可插拔的扩展槽，标配模块化双冗余电源。

基本配置要求，必须满足。

6

工作模式

支持路由、交换、虚拟线、Listening、混合工作模式；

7

路由交换

支持RIP、OSPF、BGP4、QinQ、PIM-SM、PIM-DM；

支持策略略路由，支持根据入接口、源/目的IP地址、协议、用户、应用、选路算法、探测等多种条件设置策略路由；

8

链路聚合

支持手动和LACP链路聚合，可根据源/目的MAC、源/目的IP、源/目的端口、五元组、端口轮询等条件提供不少于10种链路负载算法。

9

IP/MAC绑定

支持IP/MAC绑定，支持跨三层绑定，支持IP/MAC绑定表导入导出，以便对IP/MAC绑定关系进行批量操作；

10

地址转换

支持多种地址转换，支持源/目的NAT、双向NAT、NoNAT转换方式；支持源IP转换同一性；支持端口块地址转换和EIM地址转换

11

DNS Doctoring

支持DNS   Doctoring功能，能够将来自内部网络的域名解析请求定向到真实内网资源，提高访问效率，同时支持通过配置多条 DNS Doctoring，实现内网资源服务器的负载均衡；

12

访问控制

支持一体化安全策略配置，可以通过一条策略实现五元组、源MAC、源地区、目的地区、域名、应用、服务、时间、长连接、并发会话、WEB认证、IPS、AV、URL过滤、高级威胁防护、WAF、邮件安全、数据过滤、文件过滤、僵木蠕防御、审计、防代理、APT等功能配置,简化用户管理；

支持域名控制，支持对多级域名进行控制，域名对象支持通配符；

访问控制策略执行动作支持允许、禁止及认证，对符合条件的流量进行Web认证，在策略中可设置用户 Web 认证的门户地址；

提供策略分析功能，支持策略命中分析、策略冗余分析、策略冲突检查、策略包含分析，可在WEB界面显示检测结果；

提供策略查询功能，支持五元组快速查询以及针对策略名、源/目的区域、源/目的地址、服务、对象、未命中时间等条件进行细粒度检索；

13

网络接入

支持RADVD、ND、RIPng、OSPFv3、BGP4+，支持IPv6静态、动态组播路由；

支持NAT64、NAT46、NAT66地址转换，支持6to4隧道、ISATAP隧道；

14

访问控制

支持IPv6安全控制策略设置，能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置；

支持IPv6域名控制，支持对多级域名进行控制，域名对象支持通配符；

15

安全防护

支持对IPv6报文进行病毒防御、入侵防御、URL过滤、抗DDOS、WAF防护、僵木蠕、流量控制、连接限制、文件过滤、数据过滤等；

16

资源虚拟化

支持在一台物理设备上划分出128个相互独立的虚拟系统，可根据连接配额及连接新建速率为每个虚拟系统分配资源，实配不少于24个虚拟防火墙授权；

17

功能虚拟化

支持配置文件、系统服务、路由、链路聚合、安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、病毒过滤、WAF、僵木蠕、高级威胁防护、内容过滤、邮件安全、审计、报表、防代理等安全功能虚拟化；

18

带宽管理

支持链路和四层通道嵌套的流量控制功能，可基于上下行区域、地址、地理对象、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略，支持带宽策略优先级和针对IP、应用设置白名单；

19

连接控制

支持对指定的源/目的地址对象、源/目的地理对象、应用制定连接限制策略，可控制所有或单IP会话总数及单IP新建连接数；

支持监控功能，显示被拦截的IP、地址对象、应用的限制条件、被拒次数、最近被拒时间等信息；

20

入侵防御

支持独立的入侵防护规则特征库，特征总数在5500条以上，能对常见漏洞进行安全防护，兼容国家信息安全漏洞库；

规则库支持根据攻击类型、风险等级、流行程度、操作系统等进行分类，防护动作包括告警、阻断、记录攻击报文；

支持针对地址、应用设置入侵防御白名单，支持攻击规则搜索以及自定义规则，自定义规则支持导入导出；

支持对威胁事件、攻击来源、受威胁主机、威胁趋势等进行监控统计，并可进行可视化展示；

▲

厂商需具备强大的漏洞和攻防研究能力，为CNNVD一级支撑单位和CNVD技术组成员（提供证明材料），能够确保每周至少更新1次攻击特征库；

少数的足够成熟稳定的技术产品才可以满足医院的要求。

21

病毒过滤

支持对HTTP/SMTP/POP3/FTP/IM等协议进行病毒防御；（提供截图）

▲

支持至少2种专业反病毒厂商的病毒特征库（提供至少2家专业防病毒厂商的合作文件复印件），病毒特征库规模超过400万（提供截图）；

少数的足够成熟稳定的技术产品才可以满足医院的要求。

22

内容过滤

内置内容过滤功能，支持基于http、ftp、telnet、smtp、pop3协议的内容过滤策略，可对FTP上传/下载的文件名进行过滤，同时支持过滤FTP信令：上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等，邮件过滤支持对发件人、收件人、主题、内容、附件等进行过滤；

23

Web攻击防护

支持独立的WAF引擎，WAF防护特征总数在1300条以上，可对常见Web攻击进行防护；

支持针对地址、应用设置WAF白名单，支持攻击规则搜索以及自定义；

支持对威胁事件、攻击来源、受威胁主机、威胁趋势等进行监控统计，并可进行可视化展示；  

24

升级维护

支持软件版本本地备份，可备份多个系统版本文件，支持对软件版本进行快速升级及回滚；

25

系统诊断

支持在WEB界面进行网络诊断，支持PING、TRACEROUTE、TCP、HTTP、DNS诊断方式；

26

报表

内置16种预定义报表模板，支持应用流量、用户流量、上网行为、威胁统计等报表，支持报表自定义；

支持一次性报表及周期性报表，可自定义统计时间；支持报表本地存储、在线查看、即时导出及邮件订阅，支持PDF、WORD及EXCEL格式导出；

27

威胁统计

支持对病毒防御、入侵防御、WAF、僵木蠕防御、DDOS攻击、APT/DGA/隐蔽通道等按照威胁类型/攻击主机/受攻击主机三种维度结合威胁等级和时间周期进行统计、排名。

28

产品资质要求

计算机信息系统安全专用产品销售许可证（增强级）；

国家信息安全测评信息技术产品安全测评证书（EAL4+）；

中国国家信息安全产品认证证书（ISCCC，三级）；

29

设备原厂资质

具有近三年IDC排名前三名的报告；

获得国家互联网应急中心颁发的《网络安全应急服务支撑单位-国家级》

1

系统基本架构

“2+1”系统结构，内外端机为TCP/IP网络协议的终点，阻断TCP/IP协议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接，不可编程。网闸以软硬件结合的方式，有效地隔断内外网络间直接的连接，防止信息无限制交换。

2

安全体系结构

控制台管理系统部署于内端机上，采用专有协议对设备进行管理，无法通过外端机直接连接到隔离系统。

只能通过内端机上的管理口对网闸进行配置，不允许使用任何数据通讯口进行管理包括ssh后台管理。可避免内外端机由于被黑客从通讯口入侵，导致隔离网闸被黑客完全控制的现象。

3

安全操作系统

采用安全操作系统、增强型内核，能够对两个主机系统提供多层次、高强度的安全防护，保护其重要进程、文件、数据不受黑客侵袭。

操作系统基于Linux内核设计开发，全面加固强化安全防护能力；采用对象互斥和线程守护技术，保护主要进程的安全性和稳定性；不采用通用的指令库和函数库，只提供有限的内部调试用指令函数；

内置IDS特征库，集成抗DDOS和病毒查杀功能，可抵御各类黑客入侵、拒绝服务攻击和病毒木马威胁，保证网闸系统自身的安全。

4

硬件架构

硬件架构由内端机、外端机、专有隔离硬件三部分组成。内端机和外端机各自具有独立主板、独立总线、独立的存储和运算单元；内端机和外端机之间非网线、USB线、SCSI线等线缆直连，基于光隔离技术专有硬件进行隔离和数据交换。

5

产品规格

★

2U机架式结构，内端机6个10/100/1000Base-T接口，2个SFP插槽，1个扩展槽位，外端机6个10/100/1000Base-T接口，2个SFP插槽，1个扩展槽位；内外端双侧液晶屏；网络吞吐量：1Gbps； 并发连接数：20万；

基本配置要求，必须满足。

6

安全邮件功能

提供安全的邮件访问，支持POP3、SMTP协议。支持邮件主机地址过滤、附件过滤。支持发件地址、收件地址过滤。支持内容过滤包括URL和关键字。支持情景模式，能够设置指定时间段允许进行邮件信息交换。

代理、透明和路由工作模式下均支持POP3和SMTP协议内部命令及命令参数控制策略。）

7

文件传输功能

支持FTP文件传输协议，支持主动被动两种模式。支持FTP命令参数控制支持对传输文件的类型过滤。支持内容过滤。支持情景模式，能够设置时间段允许文件传输。

代理、透明和路由工作模式下均支持FTP协议内部命令及命令参数控制策略。

8

文件同步功能

设备支持有客户端和无客户端两种文件同步方式。无客户端方式无需在用户服务器上安装任何插件，网闸不开放任何服务端口；  

支持Samba、FTP、HTTP等多种通信协议。支持手动文件同步和自动文件同步。支持文件内容过滤。支持文件类型黑白名单传输控制。支持windows平台和linux平台。同步传输方向可控，双向或单向。支持一对多或多对一文件同步。支持目录内子目录同步，至多支持32级目录。支持中文文件名或目录同步。

支持文件变动实时同步、定时同步、系统资源空闲智能同步等多种同步方式。

支持同步删除和同步覆盖策略配置，并能将同步删除和同步覆盖的文件备份到指定文件夹。

支持文件同步容错策略和告警策略，同步出错能够自动重传并能够设置重传次数，出现异常同步状况能够终止同步弹出告警提示并记录日志。

9

数据库访问功能

提供对多种主流数据库,如：MYSQL、SQLSERVER、ORACLE、DB2、SYBASE等系统的安全访问。支持SQL语句控制。支持情景模式，能够设定特定时间允许访问数据库。

代理、透明和路由工作模式下均支持数据库内部命令及命令参数控制策略。

10

数据库同步功能

设备支持有客户端和无客户端两种数据库同步方式。无客户端方式无需在用户服务器上安装任何插件，网闸不开放任何服务端口；

有客户端方式可提供专用文件同步客户端安装在用户服务器上，提供安全的数据库同步服务。

提供多种主流数据库系统如：ORACLE、SQLSERVER、MYSQL、SYBASE、DB2等之间的同步。

支持达梦、人大金仓等国产数据同步。

支持客户端与网闸数据摆渡通道数据特征绑定，确保只有授权的合法数据表记录可以通过网闸。

数据库同步传输不使用通用数据库服务端口例如1433、1521、3306等，保障数据库同步传输的安全性。支持同构、异构数据库之间的同步，同步可具体设置到字段级别。支持全表复制，支持多种增量同步方式，可分别定义增加、删除、修改的同步方式。

支持二进制普通文件、图片、文本文件及BLOB大字段同步。支持数据一对一、一对多、多对多的单向或双向交换和同步。支持灵活的数据冲突检测机制，当同步的数据记录发成冲突时，可以灵活处理出现冲突的数据记录。

数据库同步高可靠性，即使发生网络故障，已变化数据也不会丢失。无需修改数据库表结构，不涉及到代码修改及二次开发。

11

视频监控

采用复杂对称多处理（RSMP）技术，成倍提升处理能力，使网闸能够满足高并发、高质量、多路视频数据交换要求。

根据策略配置可以控制视频数据的单向传输。内置视频监控模块，提供视频代理功能，兼容主流视频传输及控制协议H.323、H.264、MMS、RSTP、SIP等；

至少支持13家视频厂商的流媒体视频平台；支持视频平台级联，基于国标SIP协议提供上下级异构厂商视频厂商的平台级联，完成上级对下级视频平台的视频流调用；

支持对平台级联通信过程中的视频信令进行黑白名单控制；支持情景模式，能够设置视频监控允许传输的时间。

12

OPC工控应用

可扩展支持DCS/SCADA网络与办公网络之间的OPC应用数据的传输。

支持同步、异步监测数据的传输，只需要绑定固定的一个起始端口即可满足动态的数据端口的数据传输。支持OPC读写指令控制，提供所有指令可读或可写模板。支持情景模式，能够设置OPC工控应用允许通信的时间。

13

ModBus工控应用

可扩展支持DCS/SCADA网络与办公网络之间的ModBus应用数据的传输。

支持ModBus控制协议解析及内部命令控制，支持协议功能码控制，例如读写线圈、读写寄存器的控制。

14

WINCC工控应用

可扩展支持DCS/SCADA网络与办公网络之间西门子WINCC应用数据的传输。

支持西门子控制协议解析及内部命令控制，支持协议功能码控制，例如只允许读取，不允许写入控制操作。

15

TCP单向无反馈传输

支持TCP应用层数据单向传输的控制，保证TCP应用数据的0反馈，以满足二次防护对数据传输的安全性需求。

16

组播应用

设备支持多任务的组播代理功能，可穿透三层交换机网络进行部署。

支持任意源组播、指定源组播、过滤源组播三种安全处理模式，支持对信源地址的黑白名单控制。

17

自定义功能

支持自定义的TCP、UDP协议的数据隔离交换，以用户定制的命令、参数等协议解析方式来解析自定义应用的通信内容，支持16进制数据格式的定制。

用户自定义应用无需对自定义协议软件进行二次修改开发。提供二次开发，可以根据需求开发新的专用协议处理过滤功能。支持情景模式，能够控制自定义应用的访问时间。

18

双机热备

★

支持与原有网络中的网闸进行热备，达到与原有设备双机切换功能。

医院对可靠性要求较高，且政策法规、等保测评对安全性也有要求。

19

资质

公安部计算机信息系统安全专用产品销售许可证书（增强级）

公安部GB/T28181-2016《公共安全视频监控联网系统信息传输、交换、控制技术要求》检测报告

1

产品形态

产品可以纯软件交付，包含管理控制中心软件及终端客户端软件，其中管理控制中心可云化部署；同时也支持硬件管理平台交付

2

管理控制中心要求

★

单一管理控制中心可统一管理分别部署在Windows PC，Win服务器以及Linux服务器的客户端软件 ，并提供至少100个服务器端软件授权

基本配置要求，必须满足。

管理平台支持在64位的Centos7或ubuntu操作系统环境部署

3

Windows 服务器客户端支持

Windows Server   2003/Windows Server 2008/Windows Server 2008 R2/Windows Server 2012/Windows   Server 2016，

4

Linux 服务器客户端支持

CentOS/Ubuntu/Debian/RHEL/SUSE/Red   Flag Asianux Server/Oracle Linux

5

云端威胁分析

支持跳转链接至云端安全威胁响应系统，针对已发生的病毒的基本信息，影响分析（客户情况、影响行业、区域分布）、威胁分析和处理建议

6

影子终端发现

支持按照扫描网段、扫描方式、扫描协议、扫描端口对终端进行扫描，及时发现尚未纳入管控的终端

7

策略配置管理

支持终端客户端软件的启用禁用，统一重启和卸载客户端软件

支持安全策略一体化配置，通过单一策略即可实现不同安全功能的配置，包括：终端病毒查杀的文件扫描配置、文件实时监控的参数配置、WebShell检测和威胁处置方式、暴力破解的威胁处置方式和Windows白名单信任目录

8

资产管理

支持全网视角的终端资产统一清点，清点信息包括操作系统、应用软件、监听端口和主机账户，其中操作系统、应用软件和监听端口支持从资产和终端两个视角进行统计和展示

支持资产登记功能，支持录入本终端所属责任人、责任人联系方式、邮箱、资产编号、资产位置信息，并可设置哪些为必填项，以便于进行终端资产管理

支持对系统账号信息进行梳理，了解账号权限分布概况以及风险账号分布情况，可按照隐藏账号、弱密码账号、可疑root权限账号、长期未使用账号、夜间登录、多IP登录进行账号分类查看，支持统计最近一年未修改密码的账户

9

升级管理

支持客户端的错峰升级或灰度升级，可根据实际情况控制客户端同时升级的最大数量，避免大量终端程序同时更新造成网络拥堵或I/O风暴（

10

威胁检测

具备基于人工智能的检测引擎，支持无特征检测技术，有效应对恶意代码及其变种  

支持对zip， rar， jar， cab， 7z等常见压缩文件的扫描检测，支持压缩文件层级进行策略配置，最大可配置检查10层压缩文件

11

WebShell事件处理

支持展示终端检测到的WebShell事件及事件详情，包括：恶意文件名称，威胁等级，受感染的文件，发现时间，检测引擎，文件类型，文件名，文件Hash值，文件大小，文件创建时间；可配置WebShell实时扫描，一旦发现WebShell文件，可自动隔离或仅上报不隔离

12

Windows终端安全加固

支持对服务器重要目录进行权限控制，仅允许配置的可信进程操作该目录并提供配置指引

提供基于可信鉴定方式的进程防护方式，通过人工智能自学习机制，自动建立信任进程名单，阻断非可信进程的运行并提供配置指引，同时支持通过模板和手动的方式添加信任进程

13

勒索病毒专防

基于勒索病毒攻击过程，建立多维度立体防护机制，提供事前入侵防御-事中反加密-事后检测响应的完整防护体系，展示勒索病毒处置情况，对勒索病毒及变种实现专门有效防御

支持监控诱饵文件，诱饵文件可被实时监控，当勒索病毒对该文件进行修改或加密操作时进行拦截

14

挖矿病毒巡检

▲

提供挖矿病毒巡检工具，支持通过内存、进程和启动项来检索病毒相关信息（需提供产品截图证明，并加盖厂商公章）

挖矿病毒是常见并危害较大的病毒，需要着重关注处理。

15

暴力破解检测

统计单个攻击源及分布式攻击源的暴力破解检测，支持按照RDP、SMB和SSH类型进行封堵并自定义爆破阈值，可对封停时间进行自设置  

16

威胁同步处置

构建全网文件信誉库，当一台终端发现某一病毒文件，全网可进行感知并进行针对性查杀，支持处置病毒时选择是否在其它终端上同步处置  

17

控制策略

支持基于IP（组）、服务和角色维度进行配置项设置，并且支持对配置项的备份以及恢复操作

18

流量可视

支持图形化显示业务系统、服务器及流量详情

服务器详情支持展示服务器的资源状态（CPU占有率、内存占有率和磁盘率）、流量分布Top5、该服务器开放的服务

19

资质要求

▲

提供国际权威机构AV-Test出具的测试报告，至少含有两项是满分，提供证明文件并加盖厂商公章

医院对安全性要求较高，避免不成熟的产品，选择权威认证的产品。

▲

通过赛可达测评机构的ATT&CK测评认证，提供证明文件并加盖厂商公章

医院对安全性要求较高，避免不成熟的产品，选择权威认证的产品。

▲

厂商软件研发实力需通过CMMI L5认证，提供证明文件并加盖厂商公章

医院对安全性要求较高，避免不成熟的产品，选择权威认证的产品。

厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位，提供证明文件并加盖厂商公章

厂商需是国家信息安全漏洞库CNNVD技术支撑单位，提供证明文件并加盖厂商公章