1、1广州市疾病预防控制中心数据集成及信息安全改造项目(GZIT2018-F5-387)总金额:3,194,240 元子项目 1:信息安全改造招标金额:1,177,240 元。子项目 2:公共卫生信息集成平台招标金额:1,450,000 元。子项目 3:办公自动化系统与公共卫生人力资源管理系统招标金额:567,000 万元。一、子项目 1:信息安全改造招标金额:1,177,240 元。子项目 1需求:1. 项目概述广州市疾病控制中心目前已经建成了广州市疾控中心艾滋病实验室检测检验系统、广州市疾控中心恶性肿瘤病例登记报告管理信息系统、广州市疾控中心儿童计划免疫接种网络管理系统、广州市疾控中心红帆办公
2、自动化软件系统及广州市疾控中心突发公共卫生事件监测与预警信息系统。目前此 5个系统完成了信息安全等级保护 2级备案和前期差距测评,但还没有完成整改工作。本次项目通过信息安全改造,开展信息安全等级保护整改,采购相应的网络与信息安全设备,制定和实现安全策略,确保网络及信息安全符合等级保护要求。2. 项目目标随着卫生业务对信息系统的依赖程度越来越强,信息化环境也日益恶劣,2安全问题越来越突出。安全架构设计需以等级保护为基本指导思想,从技术措施、安全管理两方面构建医院信息平台的综合信息安全保障体系,确保平台承载业务信息的安全可靠及业务服务的连续运行,并可随着未来业务及管理所需的不断发展而动态性调整,最
3、终实现“政策合规、资源可控、数据可信、持续发展”的生存管理与安全运维目的。实现各应用系统数据及信息集成,达到建立专业公共卫生机构、综合性医院和专科医院、基层医疗卫生机构“三位一体”的重大疾病防控机制,信息共享、互联互通,推公共卫生的防、治、管整体融合发展的目标。3. 内容概述本项目主要内容如下:(1)信息系统安全等级保护验收:广州市疾控中心艾滋病实验室检测检验系统、广州市疾控中心恶性肿瘤病例登记报告管理信息系统、广州市疾控中心儿童计划免疫接种网络管理系统、广州市疾控中心红帆办公自动化软件系统及广州市疾控中心突发公共卫生事件监测与预警信息系统等级保护验收。(2)安全加固及制度建设:系统安全加固、
4、服务器安全加固、安全制度建设。(3)安全设备采购:WEB 防火墙、上网行为管理系统、入侵检测系统、日志审核系统、运维安全管控、内网安全风险管理与审计系统、服务器防病毒系统。(4)机房空调更新:更新机房 2台精密空调。4. 项目建设需求4.1信息系统安全等级保护验收需求对广州市疾控中心艾滋病实验室检测检验系统、广州市疾控中心恶性肿瘤病例登记报告管理信息系统、广州市疾控中心儿童计划免疫接种网络管理系统、广州市疾控中心红帆办公自动化软件系统及广州市疾控中心突发公共卫生事件监测与预警信息系统共 5个系统进行信息安全等级保护验收工作,最终使被测信息系统通过信息系统安全等级二级的要求。信息系统安全等级保护
5、验收测评过程包括三个阶段:(1)测评准备阶段3 成立项目组 测评启动会 项目计划制定 人员/工具/表格准备 相关数据(资料)收集与分析 测评方案制定(2)现场测评阶段 现场勘查 人员访谈 确定测评接入点 测试 测评过程结果整理(3)测评分析阶段 单项测评结果判定 单项测评结果汇总分析 系统整体测评分析 最终测评结果形成 等级测评报告编写(每个系统一份,含整改建议) 等级测评整改方案编写4.2安全加固及制度建设需求4.2.1安全加固根据广州市疾控中心艾滋病实验室检测检验系统安全等级保护测评报告 、广州市疾控中心恶性肿瘤病例登记报告管理信息系统安全等级保护测评报告 、广州市疾控中心儿童计划免疫接种
6、网络管理系统安全等级保护测评报告 、广州市疾控中心红帆办公自动化软件系统安全等级保护测评报告 、 广州市疾控中心突发公共卫生事件监测与预警信息系统安全等级保护测评报告的内容和发现其存在的主要安全问题,从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、系统建设管理及系统运维管理等方面对这些差距进行整改,最终使被整改系统达到信息系统安全4等级二级的要求。4.2.3安全制度建设一、安全管理制度:协助采购人制定或修订信息安全管理制度(1)计算机管理制度(2)机房管理制度(3)网络安全管理制度(4)计算机病毒防治管理制度(5)密码安全保密制度(6)涉密和非涉密移动
7、存储介质管理制度(7)病毒检测和网络安全漏洞检测制度(8)案件报告和协查制度(9)网络资源管理二、安全管理机构:协助采购人制定或修订安全管理机构(1)岗位设置设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。(2)人员配备配备一定数量的系统管理员、网络管理员、安全管理员等。(3)授权和审批应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。(4)人员安全管理人员录用安全管理,应指定或授权专门的部门或人员负责人员录用;应对被录用人员的身份和专业资格等进行审查,并确保其具有基本的专业技术水平和安全管理知识。人员离
8、岗安全管理,立即终止由于各种原因离岗员工的所有访问权限;应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。(5)安全意识教育和培训对各类人员进行安全意识教育和岗位技能培训;告知人员相关的安全责任5和惩戒措施。(6)外部人员访问管理应确保在外部人员访问受控区域前得到授权或审批。4.3安全设备采购需求根据前期对 5个核心系统的安全等级保护测评报告,需要在安全技术设施方面进行改造,增加相应的安全设备及系统:序号 名称 数量 单位1 WEB防火墙 1 台2 上网行为管理系统 1 台3 入侵检测系统 1 台4 日志审核系统 1 台5 运维安全管控系统 1 台6 服务器防病毒系统服务器版 6 套安
9、全设备及系统主要技术参数要求如下:4.3.1WEB防火墙技术参数要求类别 指标项 指标要求兼容性为保证兼容性,需要与本项目入侵检测系统为同一品牌硬盘容量 不小于 1T的硬盘业务端口数量 电口:不低于 4 个Bypass接口数量 不少于 4个,接口不能有许可限制最大千兆电口数量 不少于 4个USB接口数量 不少于 2个配置扩展槽位数 不低于 1个吞吐量 吞吐量不低于 1G性能最大并发连接数不低于 12W(注:指标为透明串接模式下,启用 WAF,并使用“空防护策略”的测试值)6每秒新建连接数不低于 8000(注:指标为透明串接模式下,启用 WAF,并使用“空防护策略”的测试值)系统具备 HTTP协
10、议异常防御能力系统具备 DDoS攻击防御能力,可以对HTTP Flood快速攻击和 HTTP Flood慢速攻击进行防御,需提供相关截图证明系统具备注入攻击防御能力,可以对 SQL注入、LDAP 注入、SSI 指令注入、Xpath注入、命令注入、远程文件包含以及其他注入进行防御,需提供相关截图证明系统具备跨站攻击防御能力,可以对 XSS和 CSRF攻击进行防御,需提供相关截图证明系统具备信息泄露防御能力,可以防止服务器错误、数据库错误、Web 目录内容、程序代码、关键字等信息的泄露,需提供相关截图证明系统具备保护 Cookie安全能力,可以防止Cookie被恶意篡改、Cookie 被恶意劫持,
11、需提供相关截图证明系统具备 Web访问控制能力,可以对扫描器的扫描行为、爬虫行为、目录遍历行为进行防御,需提供相关截图证明功能 Web防护系统具备特殊漏洞攻击防御能力,可以对针对 Web服务器、Web 框架、Web 应用程序的漏洞攻击进行防御,需提供相关截图证明7系统具备防御资源非法访问能力,可以对非法上传、非法下载和盗链攻击进行防御,需提供相关截图证明系统具备恶意软件防御能力,可以对 Web Shell、木马攻击等进行防御,需提供相关截图证明支持用户自定义规则提供预定义防护策略模板提供自定义防护策略提供百余种攻击防护规则,特征库支持网络实时更新,需提供相关截图证明支持学习模式和保护模式两种运
12、行模式支持自定义防护的静态网页类型支持内置同步引擎同步服务器内容并建立基线支持篡改监控和正常修改监控网页防篡改支持篡改内容取证支持 10份配置文件记录,并支持备份恢复配置操作。支持管理账户密码复杂度设置,与密码有效期设置。支持 3个 NTP服务器设置系统功能必须支持 snmp代理、snmp 主机、snmp Trap、snmp v3网络层安全防护支持整机 Flood攻击防护(Syn Flood、UDP Flood、ICMP Flood等) 、扫描/欺骗攻击防护、DoS 攻击防护、代理攻击防护等部署模式 支持透明串接部署,无需变更网络配置8支持反向代理部署支持单臂部署模式支持牵引部署模式,含 PB
13、R回注和跨接回注支持 HA-AP双机热备功能通过内置或外置的组件,支持断电 Bypass功能高可用性所有标配业务电口都支持硬件 Bypass功能支持 Web Cache功能应用加速支持 SSL卸载负载均衡支持 SLB,支持加权轮询、最少连接以及IP Hash算法支持 URL白名单支持源 IP白名单白名单支持基于规则的 URL白名单路由功能 支持静态路由支持 HTTPS、SSH、Console 等管理方式登陆管理 支持多级管理权限设置功能,预定义系统管理员、操作员、审计员等管理角色SNMP 支持 SNMP v1、v2c、V3告警与邮件通知支持电子邮件、SNMP、SYSLOG 及自定义等多种响应方
14、式进行实时推送支持报表,报表需要包含多视角,提供安全风险概览、站点风险详情、攻击类型详情、站点篡改分析、站点访问量、网络层攻击汇总、系统运行状况不同维度报表,需要提供截图证明支持用户自定义报表内置报表功能支持 PDF报表格式9支持周期性报表输出升级服务特征库可以通过人工或者自动方式进行升级,升级过程中不需重启设备,并能保持原有会话连接不中断产品应具有中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证 ,提供有效证书的复印件产品应具有中国信息安全认证中心颁发的IT 产品信息安全认证证书 ,提供有效证书的复印件产品具备 WAF软件著作权,提供有效证书的复印件具备 OWASP认证,提供有
15、效证书的复印件资质要求产品资质电信设备进网许可证,提供有效证书的复印件维保服务 维保服务 包含 3年维保服务4.3.2上网行为管理系统技术参数要求类别 指标项 指标要求吞吐量 吞吐量不低于 1.1Gb用户规模 适用规模不低于 1千人设备接口不少于 4个千兆电口不少于 2个千兆光口不少于 1个 RJ45串口硬盘 不低于 1TBBYPASS 支持电源 单电源能及配置要求尺寸 标准 1U架构功能要求 多主模式 必须支持两台及两台以上设备同时做主机的部署10模式;所有功能支持IPv6支持部署在 IPv6环境中,其所有功能(认证、应用控制、内容审计、报表等)都支持 IPv6集中管理多台设备支持通过统一平
16、台集中管理、集中配置等;加入集中管理时,支持身份认证,比如密码正确才能加入解除集中管理时,要输入中心端的解控秘钥才允许解控告警管理支持攻击、双机切换告警、移动终端管理告警、风险终端发现告警、web 关键字过滤告警、杀毒告警、设备流量超限告警、磁盘/CPU/内存异常告警等;IPsec VPNIPsec VPN 1.必须具有 IPSec VPN远程加密访问和连接的模块,并能提供 IPSec VPN客户端授权远程接入访问;IPsec VPN支持与 LDAP服务器、Radius 服务器结合认证;链路负载支持按剩余带宽、带宽比例、平均分配、前面优先的方式进行多链路负载;支持链路故障检测;认证页面管理支持认证页面分权分域管理。启用后,普通管理员只能看到自己有权限的页面,其他管理员页面不可见。 系统管理员可以将某个页面授权给指定的普通管理员管理。SSL加密内容审计针对 SSL加密的网站、论坛发帖、web 邮箱以及客户端邮箱(如闪电邮)的内容进行审计;