1、房山区人口健康信息系统信息安全等级保护建设项目技术需求 1. 项目背景 在响应国家关于等级保护要求的基础上,保障和促进房山区卫生和计划生育委员会(以下简称“房山区卫计委”)信息化建设的健康发展,按照国家有关规定和标准规范要求,深入开展信息安全等级保护工作。通过对房山区卫计委信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,逐步完善房山区卫计委信息安全管理组织,落实安全责任制,加强管理制度建设、技术措施建设, 落实等级保护制度的各项要求,使房山区卫计委信息系统安全管理水平进一步提高,安全保
2、护能力明显增强,安全隐患和安全事故明显减少,有效保障房山区卫计委信息化健康发展。 本项目依据国家信息安全相关政策及等级保护技术标准,结合房山区卫计委实际业务需要,为房山区卫计委提供全面的等级保护建设和完善服务,使得房山区卫计委在符合国家政策和上级单位要求的基础上,切实提高自身的信息安全防护水平,为房山区卫计委信息化建设健康发展保驾护航 。 2. 系统现状 房山区人口健康信息系统是房山区卫计委规划建设的信息系统,通过对医疗服务、社区卫生服 务、公共卫生、医疗保障、药物管理、卫生财务等信息进行资源整合,建立以电子病历数据库和居民电子健康档案为核心的区级卫生信息平台,为公众、基层卫生服务机构、专业卫
3、生服务机构、其它相关机构提供个人的健康档案及诊疗信息、药品使用相关数据等信息,实现区域内医院之间、医院与城乡基层医疗卫生机构之间病人身份识别、医疗信息共享、协同医疗服务、公众健康服务。 3. 项目需求 为落实国家信息安全相关政策、标准,通过本次房山区人口健康信息系统信息安全等级保护建设项目,统筹利用已有的信息化资源,进行整合设计,并进行合理的安全设备采购,同 时依托经验丰富的安全服务商提供专业化的安全服务,充分保护房山区卫计委网络与基础设施,保护计算环境、支撑性基础设施,提升房山区卫计委网络信息系统的安全防护能力,建立安全策略模型 ,构建完善的 信息安全防护体系 、信息安全管理体系、信息 安全
4、服务保障体系 ,从而保障房山区卫计委日常业务的顺利进行。 具体项目采购清单如下 注: 产品为核心产品。 序号 设备类型 设备名称 数量 单位 备注 1 硬件设备 安全域防火墙 2 台 无 2 日志分析管理系统 1 套 无 3 社区边界防火墙 26 台 无 4 防病毒网关 1 台 无 5 光交换机 2 台 无 6 平台双活系统 2 台 无 7 灾备系统 1 台 无 8 安全服务 脆弱性检测 1 次 针对房山区人口 健康信息系统 9 安全加固 1 次 针对房山区人口 健康信息系统 10 辅助测评 1 次 针对人口健康信 息系统 11 等保测评 1 系统 针对房山区人口健康信息系统,三级系统 12
5、驻场运维 1 年 无 4. 产品 及服务指标要求 4.1. 网络安全设备 4.1.1. 安全域防火墙( 2 台) 序号 指标项 指标要求 1 性能参数 标准机架设备,需配 置双电源,含千兆电口 6 个,串口( RJ45) 1 个, USB 接口 2 个 ( 支持 2.0 及以上) , 硬盘 64G SSD; 吞吐量 5Gbps,最大并发连接数 180 万;每秒新建序号 指标项 指标要求 会话数 5 万, IPSec VPN 加密速度 100Mbps 2 部署方式 需支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式; 3 网络特性 需支持链路聚合功能;需支持端口联动功能,需支持IPv4 v6
6、 NAT 地址转换; 需支持 802.1Q VLAN Trunk、 access 接口, VLAN 三层接口,子接口; 4 路由支持 需支持静态路由, ECMP 等价路由;需支持 RIPv1/v2,OSPFv2/v3, BGP 等动态路由协议;需支持多播路由协议;需支持路由异常告警功能; 5 需支持多链路出站负载,需支持基于源 /目的 IP、源 /目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能; 6 基础功能 访问控制规则需支持基于源目的 IP,源端口,源目的区域,用户(组),应用 /服务类型,时间组的细化控制方式; 访问控制规则需支持失效规则识别,如规则内容存在冲突、规则生
7、效时间过期、规则超长时间未有匹配等情况; 访问控制规则需支持数据模拟匹配, 输入源目的 IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试; 需支持基于应用类型,网站类型,文件类型进行带宽分配和流量控制; 7 需支持根据国家 /地区来进行地域访问控制; 8 DDoS 攻击防护 需支持 Land、 Smurf、 Fraggle、 WinNuke、 Ping of Death、Tear Drop、 IP Spoofing 攻击防护、需支持 SYN Flood、ICMP Flood、 UDP Flood、 DNS Flood、 ARP Flood 攻
8、击防护,需支持 IP 地址扫描,端口扫描防护,需支持ARP 欺骗防护功能、需支持 IP 协议异常报文检测和TCP 协议异常报文检测; 9 入侵防护功能 设备具备独立的入侵防护漏洞规则特征库,特征总数在 7000 条以上; 需支持对常见应用服务( HTTP、 FTP、 SSH、 SMTP、 IMAP、POP3、 RDP、 Rlogin、 SMB、 Telne、 Weblogic、 VNC)和数据库软件( MySQL、 Oracle、 MSSQL)的口令暴力破解防护功能; 具备防护常见网络协议( SSH、 FTP、 RDP、 VNC、 Netbios)和数据库( MySQL、 Oracle、 MS
9、SQL)的弱密码扫描功能; 需支持同防火墙访问控制规则进行联动,可以针对检测到的攻击源 IP 进行联动封锁,需支持自定义封锁时序号 指标项 指标要求 间; 10 可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后需支持一键生成防护规则; 11 僵尸主机检测 设备具备独立的僵尸网络识别库,特征总数在 40 万条以上; 对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告; 12 需支持对终端已被种植了远控木马或者病毒等恶意软件进行检测, 并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交
10、互行为和其他可疑行为; 13 需支持通过云端的大数据分析平台,发现和展示整个僵尸网络的构成和分布,定位僵尸网络控制服务器的地址; 14 安全可视化 需支持在首页多维度的展示发现的安全威胁,如攻击风险,漏洞风险,终端安全威胁和数据风险等,并支持将所有发现的安全问题进行归类汇总,并针对给出相应的解决方法指引; 需支持报表以 HTML、 Excel、 PDF 等格式导出; 15 需支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描 ),并根据被保护对象发现漏洞数量进行 TOP 10 排名,列出每个服务器发现的漏洞类型以及数量,需支持生成和导出威胁报告,报告内容包含对整体发现的漏洞情况
11、进行分析; 4.1.2. 日志分析管理系统( 1 台) 序号 指标项 指标要求 1 硬件配置 标准机架式硬件设备 ,含交流冗余电源模块 ,USB接口 2 个 ( 支持 2.0 及以上) ,1 个 RJ45 串口。千兆 电口 4 个 , 1 个扩展插槽位, 3 块 机械硬盘 ( 每块 4TB 7200 转监控级) ,需支持每秒十万级别日志收集、存储、分析。 2 客户端数量 客户端数量 50 3 用户使用模式 需支持安装客 户端 4 管理范围 能够对企业和组织的 IT 资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面
12、的审计。 序号 指标项 指标要求 5 日志收集种类 需支持服务器系统日志、安全日志、中间件系统、访问日志、网络设备、安全设备发送的 Syslog日志等多种类型日志收集。 6 日志采集 需支持通过 syslog, netflow, JDBC 等多种方式完成各种日志的收集功能;支持每秒百万级别日志收集、存储、分析 7 配置管理 需支持对预处理解析规则的管理和时间辨别策略的管理 。能够提供多类型数据源的预处理解析规则和事件辨别策略以及可以对预处理解析规则和时间辨别策略进行筛选、查询、查看的功能。 8 日志审计查询 需支持统一的日志查询界面。 9 需支持对系统内置 windows服务器的各类应用、系统
13、、安全事件的查询场景,查询结果与windows 事件查看器显示字段一致。 10 需支持原始消息中的关键字查询,可进行全文检索,可显示查询记录总数,当前查询耗时,可对查询结果进行分组排序,可对查询结果跳转到指定页数。查询结果可导出。在查询过程中用户转入其他页面时,可以提示用户继续等待或结束当 前查询。在查询结果中可以选择跳转到指定页数、可以对查询结果任意字段进行排序。支持日志文件导入,支持的日志文件格式为 .txt; .log, csv。 11 日志归并 需支持对事件名称、源地址、源端口、目的地址、目的端口相同的进行归并,条件可以多种组合;支持对指定设备发送的日志进行归并,其他设备发送的将不进行
14、归并;支持对事件个数深度和事件时间深度进行归并。 12 日志实时监测 需支持根据 IP 地址的查询节点实时展现节点的运行状况,包括节点启用或者停用方法提示,向系统中添加节点的能力等功能;支持实时安全信息监控、实时告警事 件监控、实时安全事件监控。 13 日志实时分析和统计 需支持对收集的日志进行分类实时分析和统计,快速识别安全事故。 14 事件可视化展现 需支持定位 IP 地址,通过事件攻击图展示网络安全态势,通过行为分析图展示一段时间内的用户访问行为。 15 事件管理 需支持多维度、多种类的事件辨别策略;支持对于关联告警事件的追溯,查看导致该关联事件的所有原始事件。 序号 指标项 指标要求
15、16 日志关联分析告警 需支持异常行为分析,维护一个与用户信息系统相关的合法账号的正常行为集合,以此区分入侵者的行为和合法用户的异常行为; 17 需支持可视化规则编辑器 ,对告警规则进行增删改查。 18 需支持针对服务器和其他安全设备的访问 ip 地址、访问账户和访问时间的访问控制规则; 19 需支持通过型结构直接查看该规则的告警信息,对告警日志可按各告警字段进行分组排序。 20 需支持对不同类型设备的日志之间进行关联分析 21 告警和响应管理 需支持对发现的严重事件的自动告警,告警内容支持用户自定义字段。 -告警方式包括邮件、短信、 SNMP Trap、 Syslog等。 -响应方式包括:自
16、动执行预定义脚本,自动将事件属性作为参数传递给特定命令行程序。 需支持日志、事件、报警查看和 展示,包括日志可视化展示以及日志、事件、报警数据的精准定位。 22 统一监控主页 需支持展示日志告警和日志统计分析的实时综合性监控界面。 23 报告报表 需支持丰富的报表,实现分析结果的可视化;需支持事件和报警报表的下载功能;支持报表时间周期的定制化,需支持多维度的数据展示,报表内容多样化。 24 日志分析 需支持分析的安全日志种类包括:用户登录、退出操作系统、应用系统行为,高危的用户权限及记录的变更行为,访问日志中的攻击行为,包括 SQL 注入、跨站脚本攻击等,自带标准的安全设备及网络设备分析规则,
17、非标准设备用户可 以自行添加分析规则。 需支持对事件的级别、事件的累计发生次数等指标的综合分析,从而对信息系统或信息系统中单个资源的风险等级进行评估;需支持从大量的日志数据中提取隐含的、事先未知的、具有潜在价值的有用信息和知识,包括事件频繁发生的时间段、事件发生的因果关系以及根据共同特性和差异性特征揭发隐含事件的发生。 25 数据安全 需支持对采集到的日志进行加密存储,保证数据的完整性和机密性。 26 系统自身日志 需支持对自身系统操作的日志记录并进行持久序号 指标项 指标要求 审计 化存储,便于追踪、审核和告警。 27 系统自身监控 需支持系统自身健康状 况监控。包括 CPU、内存、磁盘的利
18、用率、日志采集器的工作状态。 28 双因素认证 承诺 配置 5 个管理员个人数字证书, 数字 证书签发机构具有电子认证服务许可证 , 通过原卫生部的电子认证服务符合性测试 。 4.1.3. 社区边界防火墙( 26 台) 序号 指标项 指标要求 1 硬件要求 标准机架式结构,单电源 2 接口要求 含千兆电口 10 个, 2 个 Combo, 1 路 bypass 3 性能要求 网络吞吐量 1.5Gbps 4 防火墙功能 需支持 CPU、内存、存储等硬件资源划分的完全虚拟化 5 需支持防御 Land、 Smurf、 Fraggle、 Ping of Death、 Tear Drop、IP Spoo
19、fing、 IP 分片报文、 ARP 欺骗、 ARP 主动反向查询、TCP 报文标志位不合法超大 ICMP 报文、地址扫描、端口扫描、 SYN Flood、 UPD Flood、 ICMP Flood、 DNS Flood 等多种恶意攻击 6 需支持基础和扩展的访问控制列表、基于时间段的访问控制列表、基于用户、应用的访问控制列表、基于 MAC 的访问控制列表 ;需支持 ASPF 应用层报文过滤 ; 7 需具备静态和动态黑名单功能、 MAC 和 IP 绑定功能 ; 8 需支持 802.1q VLAN 透传 9 防病毒功能 能够基于病毒特征进行检测 10 需支持病毒库手动和自动升级 11 需支持
20、HTTP、 FTP、 SMTP、 POP3 协议 12 需支持的病毒类型: Backdoor、 Email-Worm、 IM-Worm、P2P-Worm、 Trojan、 AdWare、 Virus 等 13 需支持病毒日志和报表 4.1.4. 防病毒网关( 1 台) 序号 指标项 招标要求 1 性能 整机吞吐率: 2Gbps 最大并发连接数: 180W 病毒检测吞吐率: 500Mbps 2 硬件配置 标准机架式硬件设备, 最大配置 26 个接口, 默认 2个可插拨的扩展槽, 2 个 10/100/1000BASE-T 接口(作为 HA 口和管理口), 4 个 SFP 插槽和 4 个10/10
21、0/1000BASE-T 接口,默认电口具有两组 BYPASS接口,包括企业版快速扫描防病毒查杀和企业版深度扫描防病毒查杀,含 3 年病毒库升级服务许可(快速 +深度) 3 病毒检测过滤功能 需具有双库双引擎病毒检测扫描技术,可选择使用不同的病毒库,而且能够根据不同的被检测协议选择采用不同的扫描引擎(快速扫描引擎或深度扫描引擎) 4 需支持对 HTTP、 FTP、 POP3、 SMTP、 IMAP 等常用协议进行病毒检测与过滤; 5 可实时检测日益泛滥的蠕虫攻击,并对其进行实时阻断,从而有效防止内部网络因遭受蠕虫攻击而陷于瘫痪; 6 需支持 TCP 粘合技术,提升病毒检测效率; 7 需支持 信
22、任站点 ; 8 需支持 IPv4 和 IPv6 双栈协议的病毒扫描与检测过滤; 9 需支持智能检测应用协议的病毒行为,采用自动智能方式准确识别并扫描检测常用应用协议任意端口的病毒传输行为,而非通过传统手动配置协议端口绑定形式进行病毒扫描 10 要求病毒检测率不低于 98%,并提供国家专业病毒检测机构的证明; 11 病毒库 要求 采用国际国内知名主流品牌病毒库 ; 12 要求具有独立的蠕虫防护规则库,并可通过手动或自动方式进行升级 13 具有手机病毒特征库; 14 病毒库提供商应通过 VB100 认证 ; 15 要求病毒网关默认加载的流行病毒库总数大于 600 万,可本地化完成病毒地检测过滤与处
23、理,无需发送到云端检测 16 内容过滤 需支持对数据内容进行检查,可采用关键字过滤、 URL 过滤等方式来阻止非法数据进入内部网络,并且能够针对“ ActiveX”、“ Java Applets”及“ Script”等控件实施拦截; 17 需支持对 邮件内容的过滤,至少具有邮件主题关键字过滤、附件名称过滤、带密码保护的附件过滤等; 18 可自定义禁止传输的文件类型; 19 需支持基于 IP 地址黑白名单、邮件地址黑白名单的垃圾邮件过滤; 20 网络适用性 需支持多接口旁路的病毒传输监听检测方式,可并行监听并检测多个网段内的病毒传输行为; 21 需支持多通道防护, 可利用同一台病毒过滤网关的多条
24、扫描通道对多个区域的网络实现病毒防护,在增强了安全性的同时还节省了企业的防护成本; 22 维护与管理 需支持中文、英文 web 管理界面; 23 需支持管理主机地址限制; 24 具有双系统,且系统需支持多核; 25 设备自身具有在线技术支持功能,便于外部人员远程进行设备维护管理,并且需支持远程连接状态查看和手段断开; 4.1.5. 光交换机( 2 台) 序号 指标项 指标要求 1 端口数 机架式设备, 24 个端口 且全部激活 , 1 个 RJ-45 10/100 Base T 以太网管理网口 2 端口速率 1、 2、 4 和 8 Gbit/sec 端口速率自动感应 3 集合带宽 408 Gb
25、it/sec: 单 端口 8.5 Gbit/sec 4 介质类型 FC 端口:行业标准 3.3volt 热插拨 SFP+模块( 8Gbps),兼容 SFP( 4/2Gbps); 最大距离取决于光缆和端口速率 ; 数量 24 个 5 可视化用户界面 所有关键部件 需具备 LED 指示灯、 需支持 基于 Web的管理界面和故障定位指示 6 管理性 需支持 Telnet, HTTP, SNMP v1/v3 (FE MIB, FC Management MIB)进行管理 ; 需 符合 SMI-S 标准; 4.1.6. 平台双活系统( 2 台) 序号 指标项 技术规格及配置要求 1 阵列控制器 要求配置
26、 2 个控制器,最大可扩展 16 个控制器。 2 要求 每个控制器 配置系统缓存 128GB 3 为节省空间及能耗,设备需为盘控一体化架构,控制器内含盘位 16 个; 4 要求支持 8Gbps FC、 16Gbps FC、 1Gbps iSCSI、 10Gbps iSCSI、 40Gbps iSCSI 等主机接口; 5 本次配置 16Gb FC 主机接口 8 个、 10Gb iSCSI 主机接口 4 个、 1Gb iSCSI 主机接口 6 个;双控最大接口扩展数 42 个; 6 要求配置后端磁盘通道 8 个, SAS 3.0 规范,总带宽384Gb; 7 需采用缓存降落技术,掉电后能够将缓存数
27、据下刷到硬盘中进行永久保存; 26 具有针对 FTP 流量的病毒检测过滤日志,且过滤日志能定位到具体的文件名,方便管理处理携带病毒的文件; 27 需支持病毒隔离功能,管理员可方便的管理隔离区,可选择把隔离区的内容删除,可选择将隔离内容发送到指定的多个邮箱进行后期的分析处理; 28 当出现病毒突然爆发状况时,可向网络管理员发送报警信息,需支持邮件报警、声音报警、 SNMP 等报警方式; 8 硬盘系统 要求配置 10Krpm 转速 300GB 企业级硬盘 4 块;配置7.2Krpm 转速 4TB 企业级硬盘 16 块 9 要求双控存储最大支持硬盘数 1000,配置全 部容量授权许可; 10 需支持
28、 RAID 0、 1、 10、 5、 6 等; 11 需支持 SSD、 SAS、 NL-SAS、 SATA 类型硬盘 12 单 RAID 硬盘组任意 3 块及以上硬盘发生整盘永久性故障,数据不丢失,业务不中断。 13 支持操作系统 需支持 Windows、 Solaris、 HP-UX、 IBM-AIX、 Linux 等; 14 需支持 VMware 的 Vvol、 VASA、 VAAI、 SRM 认证 。 15 存储管理软件 需配置中文图形化管理平台软件,采用开放存储管理软件,提供 API 接口,支持功能特性植入和二次开发。 16 需支 持路径冗余和故障切换(含多路径软件支持)未来增加任意平
29、台、任意主机不需要额外付费; 17 高级功能 需配置基于时间点的快照,单卷快照数量 2048,有效预防各种软故障的发生; 18 需支持异构存储虚拟化功能,能够实现其他品牌存储的统一管理;不允许通过增加虚拟化网关模式实现,能够对主流品牌存储设备进行异构虚拟化。 19 配置存储双活功能不需要增加阵列之外的任何硬件,不需要在主机上安装任何软件; 20 需支持远程复制功能,能够提供 1:2、连跳、 64 对 1 点的复制功能,且无须额外的协议转换设备; 4.1.7. 灾备系统( 1 台) 序号 指标项 技术规格及配置要求 1 控制器 要求配置 2 个控制器,最大可扩展 8 个控制器。 2 每个控制器
30、配置高速缓存 64GB 3 需支持 8Gbps FC、 16Gbps FC、 1Gbps iSCSI、 10Gbps iSCSI、40Gbps iSCSI 等主机接口; 4 为节省空间及能耗,此次竞谈设备需为盘控一体化架构,控制器内含盘位 16 个; 5 要求配置 10Gb iSCSI 主机接口 4 个、 1Gb iSCSI 主机接口 14 个;双控最大接口扩展数 34 个; 6 要求配置后端磁盘通道 4 个, SAS3.0 规范,总带宽192Gb; 7 需支持写缓存镜像,采用缓存降落技术,掉电后能够将缓存数据下刷到硬盘中进行永久保存 ; 8 硬盘系 要求配置 7200 转 6TB 企业级硬盘 8 块