招标文件
采购需求
第一章背景、现状和必要性
(一)项目提出的背景和依据
根据国家医疗保障局2019年6月发布的《医疗保障信息平台建设指南》(以下简称“指南”),贯彻使用全国统一的标准规范体系和中台服务,依托全国统一的技术体系和架构建设本地全新的医疗保障信息平台,要求各地在建设过程中须贯彻落实全国统一的标准规范体系和中台服务。基于《指南》要求和省医保局要求,各地市需建立医保云。
(二)现有信息系统装备和信息化应用状况、存在的主要问题
当前芜湖市医疗保障局业务依托于政务云建立,由于国家级医保云、省医保云均依托于阿里云建立,为了保障平台对接需求,需逐步进行医保云平台的业务迁移和云平台建设。
当前芜湖市医疗保障局已在医保云上建立有三套系统,分别是“基础信息管理子系统”,“医保业务经办管理子系统”,“DIP分值付费管理子系统”。
当前托管在政务云的物理服务器共计77台。
需要根据《指南》要求进行纵向省市及医保数据互通,同时满足核心业务区域对于电子政务外网、省医保专线的访问需求,以及外部同级资源共享部门和其他外部关联单位的数据访问需求。
同时医保数据涉及大量公民医疗信息,其信息保护也是本次项目方案考虑的内容,应将数据脱敏纳入安全设计范围之一。
(三)项目的意义和必要性
芜湖市医疗保障局需要独立的医保云平台服务,对于现有可用的安全设备资源进行复用,对于缺少的安全资源以以租代建的方式购买。
本次项目是构建芜湖市医疗保障局上下级管理互通的通道,满足统计资源共享部门和外部关联单位的通信需求,合理规划自由数据中心网络,实现分区分域、边界隔离防护的安全防护需求。
在设计规划规范核心网络架构的同时,满足不同网络区域的互联访问需求:实现医保系统内部上下级之间的网络连接,包括市本级、区/县、乡镇/社区各级之间互联;实现与人社、卫健、财政、公安、税务、其他信息资源共享部以及医院、药店、商业银行、保险公司等的网络接入;结合医疗保障业务的实际情况,将数据中心进行网络区域划分。
数据中心内部划分为纵向网络、核心业务生产区、安全管理区、横向接入区、互联网区。
经过网络的梳理和架构设计,对不同区域之间实现了划分,对内外网之间实现了网闸的逻辑隔离,对各级单位和合作部分实现了网络互通。
要保证芜湖市医疗保障局信息网信息系统的安全可靠,必须全面梳理信息系统可能面临的所有安全威胁和风险。任何可能对信息系统造成危害的因素,都是对系统的安全威胁。威胁不仅来来自人为的破坏,也来自自然环境,包括各种人员、机构出于各自目的的攻击行为,系统自身的安全缺陷以及自然灾难等。
通过本项目满足芜湖市医疗保障局信息安全防护与管理需求,保障核心业务系统网络安全,有效防范针对芜湖市医疗保障局数据中心的入侵攻击,监测各类违规运维、非法数据获取,加强网络安全接入控制等。
本项目在满足市局机关网络安全保障的基础上,核心业务系统符合国家网络安全、等级保护制度网络安全相关要求,符合医疗卫生行业网络安全能力要求。
第二章需求分析
(一)业务需求分析
(1)当前芜湖市医疗保障局的业务托管在政务云中,为了建立医保云,需要建立与省医保数据的上级网络互联;需要建立与乡镇级医保经办点等下级网络互联。
(2)人社、卫健委、民政等外部同级资源共享部门及医院、药店、银行等外部关联单位均需要访问医保数据,需要建立数据互联的通道。
(3)芜湖市医疗保障局的业务数据需要与医保专线数据和电子政务外网数据进行互联。
(二)安全需求分析
本次项目主要为网络架构的租建,同时应考虑网络整体的安全性。结合《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2019)的技术要求,建立分区分域的安全区域划分,在区域边界部署边界防护设备。同时考虑审计需求,满足运维审计和日志审计的功能。对数据保密性进行设计,在满足数据使用需求的同时,进行数据脱敏,防止多余的数据信息泄露。
第三章项目目标
本项目总体目标为,基于等级保护相关技术要求,对芜湖市医疗保障局信息系统安全服务进行规划。具体目标为以下:
(1)上下级单位网络互联。实现医保系统内部上下级之间的网络连接,包括市本级、区/县、乡镇/社区各级之间,可通过专线和电子政务外网方式。
(2)业务互联。实现与人社、卫健、财政、公安、税务、其他信息资源共享部以及医院、药店、商业银行、保险公司等的网络接入,通过电子政务外网、专线等多种方式实现。
(3)数据中心网络结构调整。结合医疗保障业务的实际情况,将数据中心进行网络区域划分。
(4)数据和网络架构调整后的安全规划。
第四章项目方案
(一)项目原则
本着实用、经济、安全的原则,《信息安全技术信息系统安全等级保护基本》(GB/T22239-2019)等相关文件和国家标准,建立符合芜湖市医保局实际业务需求和相关技术标准的安全体系。在构建多方网络互联需求的同时,规划安全需求。
安全方面:在网络结构调整的同时,考虑安全方面的需求,对网络出口节点进行区域边界防护,在应用服务器前端部署WAF用于应用层防护,对于数据安全进行数据脱敏处理,对于互联网区域和内网核心业务区域之前增加数据网闸,进行内外网隔离。
(二)总体框架要求
(1)互联网出口边界部署边界防火墙,在防火墙下层和服务器区之间放置WAF(此处设备复用政务云现有资源)。
(2)互联网区域和核心业务生产区之间部署双向网闸。
(3)纵向网络中专线和电子政务外网出口冗余部署两台市上联路由器、两台市下联路由器。
(4)市下联路由器至乡镇级医保经办点网络之间冗余部署VPDN防火墙。
(5)市下联路由器横向链接核心业务生产区,在区域边界冗余部署专网防火墙。
(6)横向接入区的与人社、卫健委、民政等同级资源共享部门,医院、药店、银行等外部关联单位数据边界冗余部署专线防火墙。
(7)新建安全管理区,部署数据脱敏、日志审计、堡垒机等旁路设备(此处日志审计、堡垒机设备复用政务云现有资源)。
(三)技术服务
目标:根据网络安全法对信息系统等级保护的相关要求,提供网络架构构建和安全服务。
内容如下:
(1)纵向网络:
实现医保系统内部上下级之间的网络连接,包括市本级、区/县、乡镇/社区各级之间,可通过专线和电子政务外网方式,其中线路情况如下:
l地市医保局、区县医保局到市本级节点:专线;
l乡镇/社区到市本级节点:电子政务外网和VPDN;
(2)横向网络:
实现与人社、卫健、财政、公安、税务、其他信息资源共享部以及医院、药店、商业银行、保险公司等的网络接入,通过电子政务外网、专线等多种方式实现,其中:
l与银行、医药机构连接:专线或电子政务外网;
l与同级税务、财政、公安等单位连接:专线或电子政务外网;
(3)数据中心网络:
结合医疗保障业务的实际情况,将数据中心进行网络区域划分。
数据中心内部划分为纵向网络、核心业务生产区、安全管理区、横向接入区、互联网区。
(4)纵向网络
市上联路由器连接省厅,市下联路由器连接县区,VPDN网络供乡镇医保经办点使用,市上联路由器和市下联路由器单独部署。其中县区路由器已采购,市上联路由器和市下联路由器以及VPDN防火墙需由中标方提供。
核心业务生产区:需中标方提供专网防火墙和核心交换机;
安全管理区:根据省局要求,新增数据脱敏系统;
横向接入区:需中标方提供防火墙和专线交换机用于各平级单位、银行、医疗机构专线接入使用。
第五章项目实施
(一)成交供应商需在本包别项目合同签订3个工作日内成立项目建设团队,连同满足本包别项目建设需要的办公设备入驻采购人指定的办公地点,同时向采购人提供本包别项目建设的项目管理预案,包括项目团队人员名单及角色分工、项目实施计划、项目变更管理方案以及项目风险管理方案等。投标文件中提供承诺函并加盖公章。
(二)项目建设团队成员为中标人正式员工,其中项目经理具有中华人民共和国人力资源和社会保障部、工业和信息化部批准颁发的计算机技术与软件专业技术资格考试信息系统项目管理师证书或具有中华人民共和国人力资源和社会保障部、工业和信息化部颁发的通信专业技术人员职业资格考试终端与业务专业中级证书。其余团队成员具有中华人民共和国人力资源和社会保障部、工业和信息化部批准颁发的计算机技术与软件专业技术资格考试网络工程师证书或中华人民共和国人力资源和社会保障部、工业和信息化部批准颁发的计算机技术与软件专业技术资格考试系统规划与管理师证书或信息安全专业人员或网络工程师证书。投标文件中明确建设团队成员名单,承诺名单中的成员在平台通过验收前必须留在采购人指定办公地点工作,提供承诺函、成员社保证明、专业资格证书的扫描件或复印件并加盖公章。
(三)项目经理应专职于本包别项目,未经过采购人书面同意,成交供应商不得私自更换项目人员,否则造成项目质量、进度、成本、安全控制等问题,一切责任由成交供应商负责。若项目建设团队人员不能有效完成采购人工作要求,自采购人提出更换要求日起3日内成交供应商需更换为符合要求的人员。
第六章其他要求
投标人开展本包项目工作包含但不限于机柜租赁、线路耗材所需的一切费用均包含在报价中。
*1、为确保业务平稳运行,供应商提供的服务必须与上级平台实现无缝对接,确保数据交互、系统功能和业务流程的连续性与一致性。(提供承诺函并加盖投标人公章,格式自拟)
*2、供应商需严格完成全面的兼容性测试和实时监控,确保在服务切换或升级过程中,业务系统无间断运行,避免任何可能的中断或数据丢失,保障整体业务的高效稳定运转。(提供承诺函并加盖投标人公章,格式自拟)
(设备清单附后)
|
序号 |
设备名称 |
参数 |
单位 |
数量 |
|
1 |
市上联路由器 |
1.交换容量≥130Tbps,包转发率≥25600Mpps,支持2块交换网板; 2.整机支持≥12个业务板槽位,不含主控、交换网板槽位;本次配置:双主控,双交流电源电源,10个万兆光口,配置4个万兆多模光模块,6个万兆单模光模块; 3.设备支持单槽单向最大带宽≥450Gbps; 4.支持内置交流电源,不能配置外置交流电源; 5.设备支持框间流量镜像功能,方便故障定位; 6.支持FE、GE、10Ge(LAN/WAN)、40Ge、100Ge、155MPOS、622MPOS、2.5GPOS、10GPOS、CPOS接口、155MATM、622MATM、E1等接口; 7.将两台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合; 8.为保证业务调度的精细化控制,设备需要支持MPLSSR功能,可以支持13层标签; 9.支持VRRP/VRRPv3、MPLSTEFRR、IPFRR(静态路由/策略路由/RIP/IS-IS/OSPF等); 10.具备IPv6能力; 11.◆为保证与省数据中心无缝连接,数据互联互通,响应产品被上级SDN统一纳管,投标供应商需提供承诺函并加盖公章。 |
台 |
2 |
|
2 |
市下联路由器 |
1.交换容量≥130Tbps,包转发率≥25600Mpps,支持2块交换网板; 2.整机支持≥12个业务板槽位,不含主控、交换网板槽位;本次配置:双主控,双交流电源电源,10个万兆光口,配置4个万兆多模光模块,6个万兆单模光模块; 3.设备支持单槽单向最大带宽≥450Gbps; 4.支持内置交流电源,不能配置外置交流电源; 5.设备支持框间流量镜像功能,方便故障定位; 6.支持FE、GE、10Ge(LAN/WAN)、40Ge、100Ge、155MPOS、622MPOS、2.5GPOS、10GPOS、CPOS接口、155MATM、622MATM、E1等接口; 7.将两台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合; 8.为保证业务调度的精细化控制,设备需要支持MPLSSR功能,可以支持13层标签; 9.支持VRRP/VRRPv3、MPLSTEFRR、IPFRR(静态路由/策略路由/RIP/IS-IS/OSPF等); 10.具备IPv6能力; 11.◆为保证与省数据中心无缝连接,数据互联互通,响应产品被上级SDN统一纳管,投标供应商需提供承诺函并加盖公章。 |
台 |
2 |
|
3 |
核心交换机 |
1.框式交换机,支持4槽位,机框高度≤6U; 2.交换容量≥380Tbps,包转发率≥115000Mpps; 3.BGP或OSPF或ISIS邻居数目(对等体)≥512; 4.表项能力:MAC≥700k;ARP≥512k;FIB≥250k; 5.支持4框虚拟化,将4台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合; 6.端口配置不少于48个万兆光口(能自适应千兆光),配置不少于24个40GE端口,所有40G端口均可支持40G1分4; 7.配置交流电源模块≥2个,主控板≥2个,交换网板≥2个,满配万兆多模光模块,8个40G光模块,一根40G堆叠线缆。 |
台 |
2 |
|
4 |
专线汇聚交换机 |
1.交换容量≥70Tbps,包转发率≥26400Mpps; 2.业务模块插槽数≥6个,主控引擎槽≥2个,支持电源、主控的冗余,所有板卡、电源模块支持热插拔; 3、为了满足后期扩容需求,要求设备支持单块板卡扩展16端口10G电口,单块板卡扩展24端口40G光接口; 4.支持硬件BFD/OAM、3.3ms稳定均匀发包检测; 5、多虚一技术(N:1),支持4框虚拟化技术; 6.实配双主控板,不少于两个电源模块,配置≥48个千兆电口,≥24个万兆光口,满配多模光模块,1根堆叠线缆。 |
台 |
2 |
|
5 |
专网防火墙 |
1.标准2U机架式设备,标配液晶屏,交流冗余电源,千兆电口≥6个,千兆光口≥4个,支持万兆扩展,额外提供≥3个接口扩展槽位,机械硬盘≥1T,日志存储不低于12个月。吞吐量≥32Gbps,最大并发连接数≥1200万,每秒新建连接数≥30万。标配IPS入侵防御、AV防病毒功能模块,并提供3年软件与特征库升级服务; 2.支持通过本地帐号/Radius/LDAP/AD认证进行用户身份识别,对多次身份验证失败的用户可进行帐号、IP锁定或禁用; 3.支持应用过滤器,至少支持4个维度进行过滤,例如:应用类别、协议、用户等; 4.内置16种预定义报表模板,支持应用流量、用户流量、上网行为、威胁统计等报表,支持报表自定义; 5.支持资产管理,可查看资产详情、安全防护策略,并对资产进行分组和防护优化; 6.支持对网络资产进行一键检查,获取网络中资产信息、分析资产安全状态,一键完成风险资产安全防护; 9.◆具备畸形包处理能力,畸形包应被丢弃,并在日志中有记录;Ping Flood攻击处理能力,应对超量ICMP报文进行丢弃或限速;具备Smurf攻击处理能力,应对ICMP报文进行丢弃;(提供第三方检测报告复印件或扫描件) 10.◆防火墙应通过浪涌(冲击)抗扰度检测3级;(提供第三方检测报告复印件或扫描件) 12.支持路由、交换、虚拟线、Listening、混合工作模式,适应复杂网络环境。 |
台 |
2 |
|
6 |
专线接入防火墙 |
1.标准2U机架式设备,标配液晶屏,交流冗余电源,千兆电口≥6个,千兆光口≥4个,支持万兆扩展,额外提供≥2个接口扩展槽位,机械硬盘≥1T,日志存储不低于12个月,吞吐量≥20Gbps,最大并发连接数≥800万,每秒新建连接数≥16万。标配IPS入侵防御、AV防病毒功能模块,并提供3年软件与特征库升级服务; 2.能够在一条策略里配置源/目的IP地址、安全区、应用/应用组、协议/端口、时间、用户、安全模板/模板组,具有较高的策略匹配效率,可对应用流量实行带宽限制、带宽保证等策略; 3.支持通过本地帐号/Radius/LDAP/AD认证进行用户身份识别,对多次身份验证失败的用户可进行帐号、IP锁定或禁用及加验图形验证码; 4.支持应用过滤器,至少支持4个维度进行过滤,例如:应用类别、协议、用户等; 5.内置16种预定义报表模板,支持应用流量、用户流量、上网行为、威胁统计等报表,支持报表自定义; 6.支持资产管理,可查看资产详情、安全防护策略,并对资产进行分组和防护优化; 9、◆内置邮件安全防护功能,支持邮件过滤、邮箱防暴力破解、邮件收发件频率检测、邮件黑、白名单检测;(提供功能截图) 11、◆信息安全设备、系统软件的开发、生产需符合TL9000标准;(提供相关证明资料) 12、支持日志本地存储,支持管理日志、系统日志、连接日志等日志类型存储,可对不同类型日志设置存储空间; 13、支持日志外发至多个SYSLOG服务器,可设置日志传输协议、外发时间类型、日志语言、合并传输、加密传输等参数。 |
台 |
2 |
|
7 |
VPDN防火墙 |
1、1个配置口(CON),交流冗余电源,千兆光口≥8个,千兆电口≥8个,万兆接口≥8个,内置存储介质≥1T;日志存储不低于12个月; 2、运行模式:支持路由模式、透明模式、混杂模式; 3、防火墙:支持安全区域划分,可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood、DNS Flood等多种恶意攻击;支持基础和扩展的访问控制列表、基于时间段的访问控制列表、基于用户的访问控制列表;支持动态包过滤、ASPF应用层报文过滤、静态和动态黑名单功能、MAC和IP绑定功能、基于MAC的访问控制列表、支持802.1q VLAN透传; 4、负载均衡:支持链路及服务器负载均衡功能,支持基于应用、ISP等元素的智能选路,支持ICMP、UDP、TCP等协议,支持基于地址端口、HTTP协议、SSL协议的持续性探测,实现带宽繁忙、故障保护; 5、入侵防御:支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件、DoS/DDoS常等攻击的防御;支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御;支持攻击特征库的分类; 6、地址映射:支持多个内部地址映射到同一个公网地址、支持多个内部地址映射到多个公网地址、支持内部地址到公网地址一一映射、支持源地址和目的地址同时转换、支持外部网络主机访问内部服务器、支持内部地址直映射到接口公网IP地址、支持DNS映射功能; 7、支持IPSec VPN、GRE VPN、SSL VPN等VPN技术。全面支持多种路由协议,如RIP、OSPF、BGP等; 8、高可靠性:支持虚拟化、支持双机状态热备(Active/Active和Active/Backup两种工作模式)、支持双机配置同步、支持IPSec VPN的IKE状态同步、支持VRRP; 10、◆支持DGA检测、恶意加密流量检测、隐蔽信道检测的高级威胁防御,支持扩展僵木蠕防御,被测设备上自动添加恶意加密流量的阻断策略,产生相应访问控制日志;(提供第三方检测报告复印件或扫描件) 11、◆支持NTP DDOS防护,采用阀值检查、源/目的限流、源认证等方式综合进行NTP QUERY FLOOD、NTP REPLY FLOOD攻击防护;(提供功能截图) |
台 |
2 |
|
8 |
数据脱敏 |
1.产品要求具备自主知识产权,需使用专门的硬件,采用B/S架构,并采用SSL加密通信方式,无须安装客户端,用户可通过浏览器远程方便的对产品进行管理; 2.硬件规格:2U机架设备,≥8个千兆电口,冗余电源,≥5个扩展槽位,脱敏速度≥90G/小时;脱敏单元格≥20W个/s,内存≥64G,配置≥1T硬盘; 3.系统内置大量的脱敏算法,可满足常规脱敏规则的使用。脱敏算法包括:假名化(字典、字符串列表、营业执照号码、邮编、日期、组织机构代码、税务登记证号码、统一社会信用代码、URL、IP地址、公司名、邮箱地址、自定义字符串、银行卡、电话、地址、身份证、姓名),屏蔽(固定、置空、邮箱地址屏蔽、字符串屏蔽),泛化(顶层与底层编码、泛化取整),加密(MD5加密、DES加密、AES加密、编码加密),噪声添加(随机百分比、固定百分比),乱序、随机等; 4.系统内置大量常用的数据脱敏规则,可满足常规脱敏规则的使用。脱敏规则包括:置空、固定、乱序、姓名、身份证号、地址、电话、银行卡号、字符串屏蔽、随机、邮箱、公司名称、IP地址、URL地址、日期、加密、泛化、字典等; 5.完成对源数据库进行基于数据的对敏感数据发现,自动设置敏感数据的安全等级,设置敏感数据的默认脱敏规则,并可设置默认脱敏参数,同时发现数据库中的表信息、实体完整性约束(主键)、参照完整性约束(主外键),数据库对象(函数、存储过程)、以及其他约束; 6.对操作员可设置数据源对应关系,分配不同的数据源给不同的操作员用户。操作员无法对未授权的数据源执行脱敏任务。用户可自己设定红名单,即重度敏感信息,脱敏任务若某列数据中包含红名单数据,则该数据所在行不会写入目标库中。 |
台 |
1 |
采购需求一览表
|
序号 |
名称 |
服务范围 |
服务要求 |
服务时间 |
服务标准 |
所属行业(按工信部联企业〔2011〕300号) |
备注 |
|
1 |
▲芜湖市医保局云安全服务项目 |
主要建设内容包括但不限于上下级单位网络互联、业务互联、数据中心网络结构调整、数据和网络架构调整后的安全规划等。 |
(1)项目满足系统安全要求及系统技术要求。(2)项目满足总体框架要求及技术服务要求。(3)保密要求。 |
建设期7个日历天 |
满足本建设项目实施要求 |
软件和信息技术服务业 |
|
收藏