1、蚌埠市五河县人民医院医院信息系统三级等级保护建设项目招标技术要求方案的概述医院信息系统三级等级保护方案如下:依据国家信息系统安全等级保护基本要求和公安部 82 号令的相关法规,结合对医院网络安全分析的结果,建议从医院办公内网、办公外网方面在网络接入安全、应用安全、主机安全、数据安全等维度进行安全体系的设计,从而实现医院网络安全的整体防护。其中办公内网包括了医院内部外联区、核心业务区、安全运维区、互联网接入区(外联区主要包含了各级医保单位、农合、银联、分支接入)。(1)生产内网外联域(医保网/合作交换平台区域):该区域说明如下:与对端农合交换平台数据对接(使用 IPSec VPN),需识别专网之
2、间流量中的威胁,实现对流量中入侵行为的检测与阻断(使用第二代防火墙)。(2)内网核心业务区:该安全域主要承载内网核心业务信息系统,需对这些业务信息系统提供 2-7 层安全威胁识别及阻断攻击行为的能力,如 SQL 注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造攻击)、cookie 篡改等(使用第二代防火墙)。(3)安全运维区:使用堡垒主机,数据库审计,日志审计,运维管理一体机,安全态势感知平台等。形成规范的运维授权管理流程,通过对运维操作内容的记录, 提供指令级别的操作控制能力,通过技术手段有效规范运维 人员的操作行为,降低内部安全风险,自动分析运维人员操作过程,评估访问风险、并提供完整的
3、 合规审计报告,降低 IT 内控审计工作量(使用堡垒主机产品);主要存储业务信息系统产生的数据,需对这些数据库的访问权限进行划分,并对数据库的相关操作进行审计,防止医疗统方行为(使用数据库审计产品);实时不间断地采集汇聚医院网络中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行安全分析及合规审计,及时、有效的发现异常安全事件及审计违规(使用日志审计产品);识别常见网络应用,实现基于业务系统、目标服务器、来源(分支/用户)、协议、会话等多个维度进行流量可视化,监控上网链路质量是否健康、用户上网体验是否正常、网络时延、重传等关键指标,能够实时监视服务器的常
4、见资源使用情况,监视路由器、交换机、防火墙等基础网络设备功能的 CPU/内存利用率、网口流量等信息(使用运维管理一体机产品)。(4)互联网接入区:需在互联网出口边界进行隔离和访问控制,保护内部网络,从 2-7 层对攻击进行防护,实现对入侵事件的监控、阻断,保护整体网络各个安全域免受外网常见恶意攻击,利用网络防病毒,主动扫描 web 和电子邮件流量、阻止恶意软件到达并感染网络上主机等防护功能(使用第二代防火墙);需对互联网出口流量进行识别并对流量进行管控,提高带宽利用率的同时保障用户上网体验,并按相关法律法规进行上网行为审计(使用网络安全审计系统)。一、 设备货物需求及技术规格1、本次所购的硬件
5、设备总体质量(含附件)应确保品牌原装正品,严禁使用非原装设备替代。2、以下计算机和网络设备的配置和数量,除非特殊声明,均应按照本节所述的设备技术规格要求的配置清单要求进行配置。投标方可以根据自身技术方案的要求做出调整,但变更项目应反映在“规格技术参数偏离表”中。投标方对硬件设备的型号、配置、数量予以确认,并承担责任;“”视为关键参数,不满足则在评分中扣除相应的分数。以下所有产品参数均以厂商提供的产品彩页为准。3、投标公司除设备参数要逐条响应外,对于应用效果也应逐条响应,并说明实现方式,提供所投产品的官方证明材料证明能满足上述功能要求(提供官网链截图或设备后台功能截图);用户有权利要求投标公司继
6、续提供证明资料证明能够满足上述应用效果要求,对于不能满足应用效果的或无法提供证明资料(必须为所投产品厂商提供的资料)的做扣分处理;所投产品应不低于设备参数要求。所投产品中标后保留逐条参数测试权力,以防虚假应标,不满足按废标处理并追究法律责任。4、中标公司在院方指定时间内和软件公司相互配合达到交钥匙工程。5、设备货物需求一览表系统集成工程序号 设备名称 单位 数量 备注1 综合安全网关 台 12 网络安全审计系统 台 13 第二代防火墙(基础版:包含防火墙和入侵防御功能) 台 24 第二代防火墙(高级版:包含防火墙、入侵防御和 web 应用防护功能) 台 25 网闸 台 16 安全资源池一体机
7、台 17 安全资源池基础架构软件 套 18 安全资源池安全组件(日志审计) 套 19 安全资源池安全组件(运维审计) 套 110 安全资源池安全组件(端点安全软件) 个授权 15011 SSL VPN 台 112 数据库审计 台 112 安全态势感知平台 台 114 潜伏威胁检测探针 台 115 运维管理一体机 台 116 液晶电视 台 117 等保测评服务 项 118 技术服务 项 119 集成配件 批 1二、 技术规格参考指标:序号 产品名称 技术参数 数量单位2 综合安全网关1. 6 个千兆电口,三层吞吐量3G,应用层吞吐量500M,硬件三年保,标准 1U 设备;2. 产品须支持网关杀毒
8、 AV、入侵防御 IPS、防火墙 AF 的功能;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)3.支持应用更新版本后的主动识别和控制功能;网关必须能同时连接多条专网线路,且支持多线路复用和基于应用智能选路技术;4.支持对客户端服务器是否被种植了远控木马或者其他病毒,恶意软件从而形成僵尸主机进行检测,僵尸主机识别特征总数在 40 万条以上;5.支持异常连接检测,对21,22,25,53,69,80/8080,110,143,443 等常见端口的协议异常流量检测,并支持 RDP 和 SSH端口反弹链接检测;6.须支持基于单次解析技术的数据包检测方式;(投保时须
9、提供第三方检测报告或自主知识产权证明并加盖厂商公章)7.投标时提供安全报表样本,报表内容体现被保护对象发现漏洞情况以及遭受到攻击的漏洞统计,可以查看到有效攻击行为次数和攻击趋势;8.IPS 入侵防御、AV 网关杀毒模块安全规则库和软件免费升级期不少于 3 年;提供 3 年硬件质保。1 台3 网络安全审计系统1. 4 个千兆电口,三层吞吐量500Mbps,存储1T,存储时间1 年;2. 设备内置应用识别规则库,支持超过 2500 种以上的应用,900 种以上移动应用,并保持每两个星期更新一次,保证应用识别的准确率;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图
10、)3. 支持根据标签选择应用,标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖等 6 大;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)4. 支持识别终端系统后台运行的进程信息,防止间谍软件的运行;(须提供自主知识产权证明并加盖厂商公章)5. 系统内置海量预分类的 URL 地址库、恶意网址库(提供产品配置界面证明);具备网址智能学习功能,支持根据用户训练的关键字、网址自动将未知网页分类和过滤(提供产品配置界面截图证明并加盖厂商公章); 6. 识别并过滤 SSL 加密的钓鱼网站、金融购物网站、非法网站等;
11、(投标时须提供自主知识产权证明并加盖厂商公章)7. 设备必须能同时连接多条外网线路,且支持多条线路流量复用和智能选择流速最快线路的;(投标时须须提供自主知识产权证明并加盖厂商公章)8. 必须能识别执行脚本的网页,并过滤脚本中隐藏木马等程序的网页;(投标时须须提供自主知识产权证明并加盖厂商公章)9. 动态流控:设置流量策略后,仍可根据整体线路或流量通道实际空闲/繁忙情况自动启用/停止使用流量控制策略,以提升带宽利用率;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)10. 所投产品须具备公安部颁发的网络通讯安全审计销售许可证;(投标时须提供证书复印件或扫描件并
12、加盖厂商公章)11. 所投产品须具有工信部颁发的电信设备1 台进网许可证。(投标时须提供证书复印件或扫描件加盖厂商公章)4第二代防火墙(基础版:包含防火墙和入侵防御功能)1. 6 个千兆电口,三层吞吐量3G,应用层吞吐量500M,标准 1U 设备,免费软件升级 3 年,硬件三年质保;2. 产品支持入侵防御 IPS、防火墙 AF 的功能;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)3. 支持安全防护策略智能联动,可智能生成临时规则封锁攻击源 IP,临时封锁时间可自定义;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)4.
13、 支持应用更新版本后的主动识别和控制功能;网关必须能同时连接多条专网线路,且支持多线路复用和基于应用智能选路技术;(投标时须提供相关自主知识产权证明并加盖厂商公章) 5. 可基于防泄密特征库定义敏感信息,内置常见敏感信息的特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、MD5 密码等,防止攻击者结合 APT 组合攻击信息数据库进行“拖库”、“暴库”,支持内置数据中心;(投标时须提供相关证明材料,包括但不限于检测报告、功能截图、官网截图)6. 支持异常连接检测,对21,22,25,53,69,80/8080,110,143,443 等常见端口的协议异常流量检测,并支持 RDP 和
14、 SSH 端口反弹链接检测;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)7. 支持服务隐藏,包括响应报文头和出错脚本的过滤;响应报文头可自定义(提供界面截图);支持 FTP服务隐藏,包括服务器信息、软件版本信息等;8. 提供安全报表,报表内容体现被保护对象发现漏洞情况以及遭受到攻击的漏洞统计,可以查看到有效攻击行为次数和攻击趋势;9. 须支持基于单次解析技术的数据包检测方式;(投保时须提供第三方检测报告或自主知识产权证明并加盖厂商公章)2 台10. 提供所投第二代防火墙由公安部颁发的第二代防火墙产品计算机信息系统安全专用产品销售许可证并加盖厂商公章。5第
15、二代防火墙(高级版:包含防火墙、入侵防御和 web 应用防护功能)1. 三层吞吐量8Gbps,应用层吞吐量2Gbps,并发连接数 200W,新建连接数 12W,2U 规格,存储容量1T,冗余电源,10 个千兆电口、4 个千兆光口;2. 产品支持 web 应用防护 WAF、入侵防御 IPS、防火墙 AF 的功能;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)3. 支持 Web 漏洞扫描功能,可扫描检测网站是否存在 SQL 注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;支持对网站黑链进行检测;(投标时须提供相关证明材料,包括但不限于检测报告、
16、功能截图、官网截图)4. 支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)5. 支持业务扫描、结构扫描、漏洞扫描等扫描防护;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)6. 支持 OWASP 定义 10 大 web 安全威胁,保护服务器免受基于 Web 应用的攻击,如 SQL 注入防护、XSS 攻击防护、CSRF 攻击防护、支持根据网站登录路径保护口令暴力破解;(投标时
17、须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)7. 可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)8. 支持 B/S 服务漏洞扫描功能,可扫描 WEB 网站是否存在 SQL 注入、XSS、跨站脚本、目录遍历、2 台文件包含、命令执行等脚本漏洞;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)9. 需支持 Web 服务器软件(IIS、tomcat、nginx、apache)自身漏洞安全防护,
18、web 服务器底层操作系统漏洞安全防护;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)10. 支持被动检测方式,通过旁路部署被动进行报文特征匹配、协议异常检测;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)11. 风险评估可以实现 web 安全防护模块的智能策略联动,自动生成策略;(投标时须提供相关证明材料并加盖厂商公章,包括但不限于检测报告、功能截图、官网截图)12. 支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;(投标时
19、须提供相关证明材料,包括但不限于检测报告、功能截图、官网截图)13. 所投产品厂商须为网络安全应急服务国家级支撑单位;(投标时须提供相关证书扫面件或复印件并加盖厂商公章)14. 免费提供 3 年安全规则库升级,3 年软件升级,3 年硬件质保。6 网闸1. 吞吐量600Mbps,内外网各4 个千兆电口,2U 机箱,双电源,面板有液晶显示屏,所有管理配置操作通过专用的内网可信端管理接口进行配置;2. 标配提供文件交换、数据库访问和同步、视频交换、组播代理、访问交换等功能模块。3. 免费提供 3 年硬件质保。1 台7 安全资源池一体机1.CPU 至少两颗 Intel E5-2620 V4(8 核,2
20、.1GHz);2.内存不低于 96G ECC DDR4;1 台3.磁盘:至少 2 块 128G SSD 系统盘、1 块 480G SSD缓存盘、4 块 2TB SATA 机械盘,总硬盘槽位不少于8 个 SATA/SAS 槽;4.至少 6 个千兆网口、3 个 USB 口、1 个 VGA 口;5.2U 标准机架尺寸;6.预装安全资源池基础架构软件;7.免费提供 3 年硬件质保。8 安全资源池基础架构软件1.无需安装任何其他软件和专用设备硬件,采用基于X86 服务器即可完成平台部署,采用旁路部署模式。可以通过策略路由实现流量牵引;2.本次提供 3 个安全组件的授权;3.单个组件性能500M 吞吐量;
21、4.支持安全生态产品整合,且提供第三方生态产品接入服务报告;5.具备独立可视化界面,具备面向安全合规的安全服务组合套餐,至少包含基础合规套餐与增强合规套餐,业务系统可自行选择匹配的合规套餐(需提供产品功能截图)6.能够实现对安全的自助可控服务,必须具备独立的可视化界面,可查看;当前虚拟安全架构图安全资源运行状态、安全状态,可配置;当前所购买的安全资源安全功能的策略管控;(需提供配置实例、功能性截图或录屏)1 套9 安全资源池安全组件(日志审计)1.支持显示审计事件分类统计列表,根据审计策略名称、审计事件类型、被审计人员、目标设备地址四个维度展现;2.通过事件总数查看具体的审计事件,并可以查看产
22、生该审计事件的原始事件的详细内容和归并数量;3.支持导出 PDF、WORD、EXCEL、CSV 报告;4.提供可视化方式进行策略制定;3.支持从审计策略模板直接创建策略。4.可通过事件的任意字段制定规则创建策略;5.审计策略命中后可以定义告警并通过相应方式转发,1 套如:SYSLOG、邮件等。6.审计策略可以定义审计事件的名称、分类、级别以及命中后是否继续匹配其余审计策略;7.提供预置审计策略模板,包括:Windows 主机类审计策略模板、Linux/Unix 主机类审计策略模板、防火墙类审计策略模板、扫描器类审计策略模板、IDS/IPS 类审计策略模板、防病毒类审计策略模板、数据库系统类审计
23、策略模板、萨班斯审计策略模版、等级保护审计模板等;8.支持审计对象的定义,包括:审计目标对象、审计行为对象、审计行为执行者对象、审计来源对象、审计时间段对象等;9.支持定义部门和人员的对应关系、定义人员与账号的对应关系;10.支持接收来自下级日志审计系统转发的告警日志进行二次分析、关联;11.对于告警的处理主要包括清除、确认; 12.系统内置日志接入配置指导、典型日志事件介绍、安全经验等。并支持自定义创建增加知识库内容;13.支持根据三权分立的原则和要求进行职、权分离,对系统本身进行分角色定义,如管理员只负责完成设备的初始配置,规则配置员只负责审计规则的建立,审计员只负责查看相关的审计结果及告警内容;日志员只负责完成对系统本身的用户操作日志管理。10 安全资源池安全组件(运维审计)1. 支持 FTP 二次登录系统及实现文件传输和过程监控;2. 支持实现远程虚拟桌面访问统一管理和监控;3. 支持在远程桌面传输协议监控时实现操作识别;4. Web 访问方式:通过系统的 Web 页面控件直接访问服务器或通过 WEB 页面调用本地工具(含数据库官方客户端)直接访问服务器;5. 支持多种认证方式:本地密码认证、UsbKey 认证、第三方 CA 证书认证、RSA 动态口令认证、安盟动态口令认证、RADIUS 认证、LDAP 认证、AD 域认证以及短信认证;1 套
