招标文件
采 购 需 求
1.1、服务目标
我县区域卫生数据中心包含HIS、PACS、EMR、RIS、LIS等核心业务系统,其上承载的核心数据以及业务系统对安全性的要求越来越高,但现在面临病毒入侵、信息泄露等安全隐患,困扰着医院业务正常开展。且作为承载关键业务的数据中心缺乏围绕核心业务的全生命周期安全防护能力。
为提升我县区域卫生数据中心及相关下属医院的整体网络安全防护能力,通过购买服务的方式,建设一套具备专业化、常态化的网络安全防护体系,同时通过持续安全运营确保项目建设成果,实现宁海县卫生健康局区域卫生数据中心及卫生专网的安全、稳定、高效运行。
1.2、服务依据
《全国医院信息化建设标准与规范 (试行)》
《信息安全技术网络安全等级保护基本要求》
《信息安全技术 信息系统灾难恢复规范》(GB/T20988-2007)
《信息安全技术 灾难恢复中心建设与运维管理规范》(GB/T 30285-2013)
《信息安全技术 基IPSec的IP存储网络安全技术要求》(GB/T 33131-2016)
《信息安全技术 数据库安全审计产品安全技术要求》(GA/T 913-2010)
《信息安全技术 存储介质数据恢复服务要求》(GB/T 31500-2015)
《存储备份系统等级和测试方法》(GB/T 33138-2016)
《应用软件系统通用安全技术要求》(GB/T28452-2012)
1.3、服务内容及要求
1.3.1、本项目服务的单位对象包括:
宁海县卫生健康局及其下属宁海县第一医院、宁海县中医院、宁海县妇幼保健院、宁海县第二医院、宁海县第三医院、14家乡镇卫生院。
1.3.2、本项目采购的安全服务主要包括:网络及数据安全加固服务、终端安全管理服务、网络安全运维服务、现有设备维保及升级服务等。
清单
|
序号 |
名称 |
单位 |
数量 |
|
|
一、网络及数据安全加固服务 |
|
|
|
1 |
WEB防火墙 |
台 |
2 |
|
2 |
边界接入防火墙 |
台 |
14 |
|
3 |
服务器加固软件 |
套 |
1 |
|
4 |
内外网隔离防火墙 |
台 |
2 |
|
5 |
数据库及虚拟机备份服务 |
项 |
1 |
|
6 |
卫生数据中心运维服务 |
项 |
1 |
|
|
二、终端安全管理服务 |
|
|
|
1 |
准入控制系统1 |
台 |
2 |
|
2 |
准入控制系统2 |
台 |
5 |
|
3 |
移动准入控制系统 |
台 |
1 |
|
|
三、网络安全运营服务 |
|
|
|
1 |
态势感知系统 |
|
|
|
|
平台系统 |
套 |
1 |
|
|
流量探针1 |
台 |
1 |
|
|
流量探针2 |
台 |
5 |
|
|
流量探针3 |
台 |
14 |
|
2 |
网络安全服务 |
项 |
1 |
|
|
四、现有设备维保及升级服务 |
项 |
1 |
|
|
奇安信防火墙NSG5000-TG65 |
套 |
4 |
|
|
奇安信防火墙NSG7000-TX35 |
套 |
2 |
|
|
网神天擎终端安全管理系统2550点许可 |
套 |
1 |
|
|
原虚拟化安全(奇安信)授权 |
套 |
260 |
|
|
虚拟化安全(奇安信)授权扩容 |
套 |
90 |
|
|
思福迪数据库审计系统LogBase-D3600 |
套 |
1 |
|
|
思福迪堡垒机LogBase-B2600 |
套 |
1 |
|
|
深信服VPN网关VPN2150 |
套 |
1 |
|
|
思福迪日志审计系统LogBase-A1600 |
套 |
1 |
|
|
绿盟入侵防御系统NIPSNX3-N800 |
套 |
2 |
|
|
绿盟WEB防火墙WAFNX3-P800 |
套 |
2 |
|
|
天融信出口防毒墙TF-51438-Virus |
套 |
2 |
|
|
深信服互联网区上网行为管理AC-1400 |
套 |
2 |
|
|
绿盟漏洞扫描RSASNX3-X |
套 |
1 |
|
|
绿盟漏洞扫描RSASNX3-X授权许可扩容 |
套 |
1 |
1.3.3、项目服务周期:
本项目的硬件建设周期为120天,服务周期为5年,合同一年一签。
1.3.4、网络及数据安全加固服务
1)WEB防火墙
|
指标项 |
技术要求 |
|
基本要求 |
采用专用硬件架构与专用安全操作系统,基于操作系统内核的完全检测技术;硬件设备可以机架安装,产品必须为专业性 WEB 应用防火墙硬件设备,而非下一代防火墙\UTM 类设备集成的 WEB 防护功能 |
|
硬件采用模块化设计,可以通过扩展卡来增减业务接口,而非软件WAF |
|
|
▲标准2U机架式结构;冗余考虑最大可配置24个接口;具备2个可插拨的扩展槽和6个10/100/1000BASE-T接口和2个SFP插槽;(具有Bypass功能) 双电源;必须提供5年特征库升级服务。 内含SQL注入、XSS、CSRF等WEB攻击防护功能、URL访问控制功能、防盗链功能、WEB漏洞扫描功能、DDOS攻击防护功能、网页防篡改功能、服务器负载均衡功能、报表分析及告警功能;无限制WEB站点防护许可 |
|
|
★并发连接≥130万,网络层吞吐率≥6Gbps,应用层吞吐率≥2Gbps |
|
|
网络部署 |
无IP纯透明模式串联部署、旁路监测模式部署、负载均衡模式部署、反向代理模式部署 |
|
串联部署时防护口不占用IP地址 |
|
|
支持VLAN划分,支持多VLAN环境下trunk的部署 |
|
|
支持虚拟线无论任何网络环境可强制数据从一个接口转发到另一个接口 |
|
|
物理接口支持子接口 |
|
|
支持服务器健康检查,可以实时监测服务器的活跃状态,并且可定期备份健康记录,提供功能截图 |
|
|
支持HTTP/HTTPS站点防护,在代理模式下支持HTTPS流量解析,支持SSL卸载功能,提供功能截图 |
|
|
支持提取客户端真实IP头。自动尝试匹配X-Forwarded-For, X-Real-IP, Cdn-Src-Ip 用以获取真实客户端IP |
|
|
攻击防护 |
支持恶意扫描防护:通过人机识别方式,进行恶意扫描智能检测;支持扫描防护阈值设置和扫描IP的阻断周期设置,提供功能截图 |
|
支持请求限制配置通过定义最大请求头长度、最大content-length、最大body长度、最大请求行长度、最大header行长度、最多cookies个数、最多header头个数、最大header长度等来对请用户数据做合规性检查 |
|
|
支持webshell等后门上传防护、支持对中国菜刀等工具对后门连接的阻断 |
|
|
支持对appscan、awvs等扫描器的扫描防护 |
|
|
应能识别和阻断跨站请求伪造(CSRF)攻击 |
|
|
对DDoS流量支持检测清洗和强制防御两种模式,检测清洗根据是否到达阈值对流量进行清洗,强制清洗对所有流量直接进行流量清洗判断,提供功能截图 |
|
|
支持虚拟补丁功能,支持导入WAF内置扫描器及appscan、w3af等第三方扫描器的扫描结果生成WAF的防护规则,对此类网站漏洞直接防护,提供功能截图 |
|
|
支持多种爬虫攻击防护:包括但不限于内置爬虫对象库,自定义爬虫对象,导入或者下载后端服务器robots.txt 等方式提供爬虫攻击防护,提供功能截图 |
|
|
支持域名自学习,可以自动学习网络中网站服务器的IP地址及此地址下的域名 |
|
|
网关型网页防篡改,无需在服务器中安装任何插件,可以对动态网 站及静态网站文件内容进行防篡改,当检测到篡改后可以实时恢复篡改内容 |
|
|
支持多种WEB应用漏洞的安全扫描检测,如SQL注入、跨站脚本、目录遍历等 |
|
|
支持自定义WEB漏洞扫描任务,支持对需要认证登录的web系统进行漏洞扫描,支持自定义每日、每周、每月等扫描周期设置 |
|
|
可导出web漏洞扫描报告,报告支持pdf,html,txt,xml等格式导出 |
|
|
支持多服务器的负载均衡,支持轮叫、加权轮叫、原地址散列、最小连接等多种负载均衡算法 |
|
|
能配合现有的负载均衡设备协同工作,支持任意部署,而不影响客户现有拓扑 |
|
|
数据分析 |
日志敏感信息脱敏,记录日志时将敏感数据替换为某个特定字符 |
|
可以实时查看设备CPU、内存、硬盘等自身使用率情况 |
|
|
日志支持以syslog和welf两种格式向远端日志服务器发送日志 |
|
|
系统管理 |
支持SSL的WEB界面、SSH、Console多种方式管理 |
|
支持攻击日志邮件告警,可以定时将特定攻击类型的攻击日志间隔定一定时间后定时发送至指定邮箱 |
|
|
支持短信告警 |
|
|
高可用性 |
支持双机热备,主备模式、主主负载均衡模式、连接保护模式(主主模式下一边断了,会话表会同步到另一边数据不丢包) |
|
支持两台WAF配置同步, |
|
|
支持断电bypass模式,光口支持外置bypass模块 |
|
|
资质要求 |
产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》;提供相关证明; |
|
产品具有国家信息安全测评信息技术产品安全测评证书EAL3;提供相关证明; |
|
|
产品具有国家信息安全漏洞库《兼容性资质证书》(CNNVD);提供相关证明; |
|
|
▲服务要求 |
五年原厂质保,投标时提供原厂商出具的售后服务承诺函并加盖原厂商公章 |
2)边界接入防火墙
|
指标项 |
技术要求 |
|
基本要求 |
产品由专用的硬件平台、安全操作系统及功能软件构成。设备采用自主知识产权的专用安全操作系统,采用多核多平台并行处理特性; |
|
安全操作系统采用冗余设计,出于安全性考虑,多系统需在设备启动过程中进行选择不得在WEB维护界面中设置系统切换选项; 必须是国产安全产品,提供信息安全测评中心颁发的《信息安全产品自主原创证明》; 为保证系统软件设计全面性、保密性、完整性,要求招标产品系统遵从行业标准和政府法规,符合GB/T 18336信息技术安全性评估标准,提供信息技术产品安全测评EAL4+证书; |
|
|
标准1U机箱,至少提供8个千兆电口;支持 IPSEC VPN功能、SSL VPN功能、AI应用识别功能。系统支持IPS入侵防御及AV防病毒功能,并提供5年攻击规则库及病毒库升级许可 |
|
|
★防火墙吞吐≥5Gbps;并发连接≥150万;每秒新建连接≥1.6万; |
|
|
网络 接入 |
支持路由、交换、混合工作模式; |
|
支持静态路由、ISP路由及动态路由协议,支持802.1q、QinQ模式; |
|
|
▲为提高链路可靠性,需支持手工链路聚合及LACP链路聚合,提供不少于11种的负载分担算法,灵活实现对聚合组内业务流量的负载分担,提供功能截图; |
|
|
支持手动添加绑定,基于IP、接口的动态探测绑定,支持跨三层IP/MAC绑定,IP/MAC绑定表可导入导出; |
|
|
支持一对一SNAT、多对一SNAT、一对一DNAT、双向NAT、NoNAT等多种转换方式;支持Sticky NAT开关,使相同源IP的数据包经过地址转换后为其转换的源 IP 地址相同,提供功能截图 |
|
|
支持MAP66功能,将从内部发往Internet的数据包的源IPv6地址修改为全球单播源IPv6地址,实现IPv6网络间的地址转换。 |
|
|
支持智能DNS及DNS Doctoring功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条 DNS Doctoring,实现内网资源服务器的负载均衡 |
|
|
IPv6 |
支持IPv4/IPv6双栈工作模式; |
|
为适应IPv6发展,要求产品支持IPv6环境接入、支持IPv6&IPv4双栈运行,支持RFC246X、RFC4861、RFC4862等IPv6一致性测试要求。 |
|
|
用户管控 |
内置强大的用户身份管理系统,支持本地认证、证书认证及免认证等方式,同时支持RADIUS、LDAP、TACACS等多种第三方外部认证设置; |
|
支持设置密码有效性,如首次登陆修改密码、密码定期修改、密码有效时间等设置,用户忘记密码时,支持密码找回; |
|
|
支持本地CA和第三方CA,支持作为CA认证中心为其他人签发证书,也可采用第三方CA为其他人签发证书;支持标准CRL列表,支持CRL手工更新,同时支持CRL自动下载,通过HTTP或者LDAP方式定时自动下载更新CRL文件; |
|
|
应用管控 |
内置P2P应用加密应用、数据库应用、工控物联网协议等应用特征库;支持应用特征库在线或本地更新,支持自定义应用特征; |
|
支持基于IP/IP组、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略,支持带宽策略优先级,可配置包含链路、父通道、子通道的5层多级带宽策略,对流量进行细分管理,保证带宽的利用率; |
|
|
内置防代理功能,阻断网络用户通过代理主机进行攻击、共享上网等行为,提供功能截图; |
|
|
支持独立审计策略,支持审计白名单; |
|
|
支持监控功能,显示最近被拦截的IP、地址对象及应用的节点信息;同时支持对连接数限制策略匹配信息进行分类统计,方便管理员根据统计分析结果进行相应的防护控制; |
|
|
访问控制 |
内置高度集成的一体化智能过滤引擎技术,实现在同一条访问控制策略中配置传统的五元组信息、用户、域名、应用、服务、时间、安全引擎(入侵防御、URL过滤、病毒过滤、数据过滤、文件过滤、审计)的识别与控制,提供功能截图; |
|
提供智能策略分析功能,支持策略命中分析、策略冗余分析、策略冲突检查,并且可在WEB界面显示检测结果:红色为冗余策略,绿色为冲突策略; |
|
|
支持黑名单功能,可设置多个对象条件,如:五元组信息、地址范围、应用、用户等,实现对特定报文进行快速过滤; |
|
|
安全防护 |
内置流量检测清洗引擎,支持基于IP、ICMP、TCP、UDP、DNS、HTTP、NTP等众多协议类型的防护策略;提供丰富的策略模板,且支持策略模板自定义; |
|
支持NTP流量检测清洗,能对NTP REQUEST FLOOD、NTP REPLY FLOOD等攻击进行检测并提供基于NTP请求限速、NTP响应限速、源认证、会话认证的防御策略,提供功能截图; |
|
|
支持根据DOS/DDOS攻击行为自动添加动态黑/白名单功能,可自定义动态黑/白名单超时时间; |
|
|
支持多个系统升级包并存,系统升级包文件数量不少于5个; |
|
|
资质要求 |
产品具有公安部《计算机信息系统安全专用产品销售许可证-增强级》(防火墙产品非UTM);提供相关证明; |
|
设备生产厂商具备中国网络安全审查技术与认证中心安全运维服务资质一级认证;提供相关证明; |
|
|
▲服务要求 |
五年原厂质保,投标时提供原厂商出具的售后服务承诺函并加盖原厂商公章 |
具体见招标文件
收藏