广元市中医医院网络安全系统采购询价公告

序号

产品名称

数量

单位

要求

1

NTP校时服务器

1

套

详见技术要求文件

2

汇聚交换机

2

套

详见技术要求文件

3

服务器区防火墙

1

套

详见技术要求文件

4

统一安全管理和综合审计系统

1

套

详见技术要求文件

5

VPN设备

1

套

详见技术要求文件

6

态势感知平台

1

套

详见技术要求文件

7

威胁检测探针

1

套

详见技术要求文件

8

综合日志审计平台

1

套

详见技术要求文件

9

杀毒软件

1

套

详见技术要求文件

10

H3C F1000-AK140升级扩容

2

套

详见技术要求文件

11

H3C WA2005升级扩容

1

套

详见技术要求文件

12

天融信 TOP ADS3000升级扩容

1

套

详见技术要求文件

13

天融信 TOPRoules7000升级扩容

1

套

详见技术要求文件

14

集成服务

1

项

详见技术要求文件

项目

技术参数、功能要求、配置及服务要求

NTP校时服务器

输入信号

1. 频点：1575.42MHz；

2. 定时精度≤200ns(rms)（相对于UTC 时间）；

3. 跟踪灵敏度捕获＜-160dBW，跟踪＜-163dBW；

4. 配置GPS天线≥1根，长度≥100m；

5. 配置浪涌保护器≥1个；

6. 支持GPS/BDS(二选一)：内置GPS芯片和北斗芯片，通过配置菜单，选择北斗或GPS源。

输出信号

1. 网络输出：路数≥2路/板，授时精度≤200us。吞吐量 ≥1000次/秒；

2. 支持协议：NTP、SNTP。

汇聚交换机

1. 交换容量≥590Gbps，包转发率≥100Mpps，配置10/100/1000以太网接口≥24个，SFP千兆接口≥8个，SFP+万兆光接口≥4个；

2. 单台配置原厂多模万兆光模块≥2个，单台配置原厂堆叠线缆≥1根；

3. 支持将多台物理设备互相连接起来，使其虚拟为一台逻辑设备，简化管理，简化网络运行；

4. 支持基于端口的VLAN、支持QinQ、支持协议VLAN、支持MAC VLAN、支持DHCP Client、支持DHCP Snooping、支持 DHCP Relay、支持DHCP Server、支持DHCP Option82；

5. 支持IPv4/IPv6静态路由、支持RIP/RIPng，OSPFV1/V2/V3。

服务器区防火墙

1. 网络层吞吐量≥6Gbps，应用层吞吐量≥800Mbps；并发连接数≥180万，新建连接数≥6万；网络接口：千兆电口≥6个，千兆光口≥4个。

2. 配置IPS模块、AV网关杀毒模块、URL应用特征库；

3. 产品采用多核并行安全操作系统，能够提高设备处理性能（提供国家权威机构相关证明材料并加盖原厂公章）

4. 具有单独的漏洞攻击库、实时漏洞库、应用识别库、数据泄露防护库、web应用防护库；

5. 具有安全运营中心功能，可在设备界面进行一键评估，评估内容包括服务器和主机的资产更新情况、脆弱性评估、策略动作的合理化监控、当前待处理的紧急事件以及当前服务器与主机的安全风险，便于管理员直观的了解整体网络状况，做出相应安全策略配置；

6. 为保障安全可靠性，避免因设备宕机而引起网络故障，支持主备模式部署，实现高可用；

7. DDoS攻击防护：支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护、支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；

8. 设备需要具备web业务自学习能力，可自行判断与标记业务特征，确认业务模型学习趋势（提供本项技术功能实现的截图文件并加盖原厂公章）；

9. 支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能。具备防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；

10. 支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；

11. 提供安全报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，可以查看到有效攻击行为次数和攻击趋势；

12. 产品支持未知威胁检测能力，能够检测到最新的威胁（提供国家权威机构相关证明材料并加盖原厂公章）。

统一安全管理和综合审计系统

一、性能及配置要求

1. 2U机架式服务器，千兆以太网口≥4个，硬盘容量≥2T，内存≥16G，冗余电源；可管理设备数量≥300个；运维用户数无限制；

2. 图形并发数≥400个，字符并发数≥1000个。

二、功能要求

1. 支持linux、unix、网络设备等所有字符类设备、Windows server的自动改密功能，无需安装任何插件和证书，支持密函打印将目标服务器资产的帐号密码进行打印导出；

2. 支持本地静态密码、AD、LDAP、RADIUS等认证方式登录堡垒机，支持同步AD/LDAP用户；支持短信认证接口，发送手机短信口令方式登录堡垒机；堡垒机须内嵌动态令牌和usbkey认证引擎；堡垒机内嵌谷歌认证、微信认证引擎，通过手机APP获取动态口令即可登录堡垒机；

3. Web访问方式：支持但不限于使用IE、谷歌、火狐三种浏览器打开堡垒机的Web页面直接调用mstsc、VNC、Xshell、SecureCRT、Putty、winscp、flashFXP等运维客户端工具；客户端访问方式：支持使用本地的mstsc/Xshell/SecureCRT/Putty等客户端工具登录堡垒机访问图形或字符设备；

4. 支持日志定期导出且能够离线查看，导出日志可以使用离线播放器进行日志查看和日志检索，包括命令、录像、标题栏内容等；

5. 支持SSH公钥登录，通过ssh-keygen产生公钥和私钥密码对，上传堡垒机，可实现免密码登录服务器；

6. 内置应用发布功能，包含多种应用客户端，无需用户安装即可运维应用以及单点登录，包括但不限于：数据库类型：Oracle：PLSQL、TOAD、SQLPLUS、SQLDEVELOPER；Informix：DBACCESS；Mysql：MYSQLFRONT、HIDESQL；SQL Server：SQLserver（2000-2012）；Sybase：SCVIEW4；DB2：DB2CMD、DB2QUEST；WEB应用：HTTP、HTTPS；KVM类:DSR、DSVIEW、RARITAN、RARITAN_CC等；其它应用：AS400、REALVNC、PGADMIN、PCANYWHERE、RADMIN、DameWare、CiscoASDM、VMware vSphere Client；

7. 支持IP自动禁止功能，对连续登陆帐号密码错误的来源IP自动屏蔽或者手动屏蔽，可通过管理员解除屏蔽（提供本项技术功能实现的截图文件并加盖原厂公章）；

8. 可以指定系统用户查看该用户可管理的资产信息；可以指定资源名/资产IP/帐号名查看资产属于哪些系统用户管理；

9. 支持自身审计，包括但不限于：系统状态检测、登录日志、用户配置日志、设备配置日志、授权配置日志、策略配置日志、运维访问日志、系统配置日志等；支持系统日志报表统计功能，包括但不限于登录日志统计、配置日志统计、运维访问日志统计等，可以导出报表；支持邮件/syslog方式输出告警日志；

10. 提供排错工具：ping、TCP端口检测、UDP端口检测、路由跟踪等；

11. 需提供用户、资产、授权的增删改查等API接口，允许第三方平台调用堡垒机的API接口，实现用户、资产、权限自动同步到堡垒机，简化堡垒机配置工作量；

12. 支持专用移动端APP运维，①具有厂商专有知识产权保护的app软件，且该app软件均已在Apple商店平台发布，非第三方下载（以苹果应用商店app搜索结果为准），②只需安装厂商发布的一个app即可实现对Linux资产、windows资产、数据库及其它应用资产的统一运维和操作审计（提供以上2项功能实现的截图文件并加盖原厂公章）；

13. 支持可编程环境通道，支持自动化运维系统的登陆穿透，支持对自动化运维系统作业行为审计，权限控制。支持对外开放安全的API接口；

14. 支持对帐号基线检查，如：弱密码、异常、长期未改密、幽灵帐号等，并能够自动生成日志以及详细报表；

15. 内置丰富的报表统计模板，可点击柱状图、饼状图进行数据抓取分析，且支持PDF、doc、html格式导出；

16. 管理员可将常用软件、电子资料等上传到堡垒机，用户登录后可以进行下载使用；

17. 支持远程桌面RDP协议多通道权限控制，支持上传以及下载单独控制，支持下载文件内容审计；

18. 支持公告发布，管理员可以在页面编写公告内容并发布，普通用户登录后可在页面进行；

19. 支持向导模式，强制要求管理员和运维用户首次登录堡垒机时，配置密码保护以及运维配置等信息；

20. 支持密码会同，支持运维时双人输入密码段匹配完整密码进行登录验证，提高运维安全级别；

21. 支持自动识别数据库 RAC 运维，可自动判断当前主备机信息，无需手动选择运维。

三、部署要求

1. 旁路部署，逻辑网关，不需要在受管设备上安装代理、插件等，不改变现有网络结构；

2. 支持双机热备、冷备部署，支持配置信息以及审计信息实时同步以及手动同步；

3. 支持集群部署，支持自有负载算法，不依赖于第三方设备或者开源算法。支持系统策略支持统一下发，后期升级扩容方式支持单节点扩容，无需进行软硬件的二次升级即可完成。集群自带负载均衡模块，同时支持第三方负载均衡。

VPN设备

1. 专业VPN设备，非插卡设备；多核X86架构，千兆电口≥4个；吞吐量≥500Mbps，SSLVPN加密速度≥200Mbps，SSLVPN并发用户数≥800，提供不少于50个SSL VPN接入授权；

2. 支持网关模式、单臂模式、双机模式、集群模式的部署，保证设备高可用性；

3. 支持Linux，Mac系统浏览器，如Chrome、Firefox等最新版，免安装浏览器插件登陆SSL VPN；

4. 能够实现登陆SSL VPN的账号和应用系统账号绑定，加强身份认证，防止登录SSL VPN后冒用其他人员的应用程序账号。

5. 支持文档WEB化管理，用户可不通过FTP等软件，直接通过任意浏览器，对存储服务器的文件进行管理操作（包括：上传、下载、删除、重命名、剪切、复制、粘贴、新建文件目录）；

6. 产品应提供一款工具，用于环境检测、自动修复，可以对于Windows系统的兼容性进行检测，并且对检测结果进行一键修复的能力；

7. 支持防中间人攻击，检测到中间人攻击后，立即断开被攻击的连接，并告警；

8. 产品支持多路复用VPN隧道连接，扩展带宽的同时，能够实现多线路之间流量的负载均衡（提供国家权威机构相关证明材料并加盖原厂公章）；

9. 支持用户终端登录前、登陆后的安全性检测，检测范围包括：用户接入IP、接入时间、接入线路IP、进程、文件、注册表、操作系统、使用终端，可以检测出客户端是否安装指定的防火墙或杀毒软件；

10. 为保证VPN访问速度，产品能够通过流缓存实现网间数据传输加速（提供国家权威机构相关证明材料并加盖原厂公章）；

11. 产品应提供HTTPS驱动病毒查杀工具，支持对Windows环境下的针对HTTPS拦截监听的驱动病毒进行扫描查杀；

12. 产品应具有用户/用户组细粒度的权限分配功能：可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制；

13. 为达到我院远程运维安全保障要求，产品需具有国家信息安全测评认证中心颁发的《信息技术产品安全测评证书－EAL3+》（提供证书复印件并加盖原厂公章）。

态势感知平台

1. 千兆电口≥6个，存储≥16T；

2. 支持收集防火墙、威胁检测探针的安全日志，进行统一的分析和管理；（提供本项技术功能实现的截图文件并加盖原厂公章）

3. 支持全网业务可视化梳理，能够基于业务对访问关系与被入侵情况进行图形化展示，包括用户对业务、业务对业务、业务与互联网三者关系的完全展示；

4. 支持基于业务维度的访问关系梳理，可呈现当前业务由内而外、由外而内两个方向所有可视化访问关系，包括是否被攻击、是否违规、是否被远程登陆应用访问、是否外发攻击等。并用不同颜色图标标识访问源和目的是否已被入侵控制；

5. 支持web登录明文传输检测功能，并具有数据包举证功能；

6. 支持不同视角展示全网态势，包括综合安全态势、分支安全态势、安全事件态势、网络攻击态势、外连风险态势、横向威胁态势、脆弱性态势、资产态势等多个独立的大屏展示功能，并支持大屏轮播；

7. 支持基于用户维度的访问关系梳理，可呈现该用户已经通过哪些应用、协议和端口访问了哪些业务，这些访问是否是攻击、违规、远程登陆等行为，IT人员可清晰的看出已对哪些业务存在影响，也能推导当前用户是否已失陷（或可疑）；

8. 外部威胁感知展示包含高危攻击、残余攻击、暴力破解、成功的事中攻击、邮件威胁、文件威胁、外部风险访问；

9. 支持对风险业务、风险用户进行详细举证，详细举证评判该主机为失陷级的原因，并针对每个举证的安全事件进行详细的描述，如具体事件、该事件带来的危害、如何进行处置；

10. 支持基于流量实时漏洞功能，漏洞分析类型包含配置错误漏洞、OpenSSH漏洞、目录遍历漏洞、OpenLDAP等操作系统、数据库、Web应用等，页面上支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建议，并支持导出脆弱性感知报告（提供本项技术功能实现的截图文件并加盖原厂公章）；

11. 支持页面展示业务脆弱性风险分布，不同严重级别业务分布，漏洞类型分布图，漏洞整体态势等，支持7天、30天统计；

12. 支持基于威胁活动链的形式展现主机的安全状况，能够直观地展示主机正处于被黑客入侵的哪个阶段，是否已经被利用、以及威胁的程度；

13. 支持安全域维度展示安全风险，包含安全域列表、安全域评分、事件类型TOP5、IP地址、IP类型、风险等级、关键风险、状态等信息；

14. 支持与互联网防火墙、医保防火墙联动，平台下发安全策略到防火墙上，阻断攻击流量（提供本项技术功能实现的截图文件并加盖原厂公章）；

15. 支持基于攻击者和受害者的视角展示横向威胁态势，并可通过链接方式互相跳转并直接查询相关日志记录，包括部分数据包的详细内容查看；

16. 支持弱密码检测功能，并具有显示登录帐号、密码、登录类型功能；

17. 为满足我院安全日志审计需求，要求平台支持第三方接入授权功能，能够接入第三方设备的日志（提供国家权威机构相关证明材料并加盖原厂公章）。

威胁检测探针

1. 为保证产品兼容性，威胁检测探针应与安全感知平台同一品牌；

2. 整机吞吐量≥1Gbps，千兆电口≥4个，千兆光口≥2个；

3. 具有安全策略配置，包括：网络攻击、业务脆弱性、僵尸网络检测、主动IP扫描、文件安全、邮件安全；

4. 为确保应用识别漏洞分析能力，要求设备能够识别应用类型超过1000种，应用识别规则总数超过3000条，漏洞利用规则特征库数量超过4000条；

5. 可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内的多场景网络异常通信行为分析能力；

6. 支持同步DNS审计日志，主要用于平台dnsflow分析引擎进行安全分析；同步HTTP审计日志，主要用于平台httpflow分析引擎进行安全分析；同步SMB审计日志，主要用于平台smbflow分析引擎进行安全分析；同步SMTP审计日志主要用于平台smtpflow分析引擎进行安全分析（提供本项技术功能实现的截图文件并加盖原厂公章）；

7. 支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击检测；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测；

8. 支持敏感数据泄密功能检测能力，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤；

9. 支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；

10. 对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；

11. 能够自定义违规访问，建立白名单（哪些访问逻辑是正常的）和黑名单（哪些访问逻辑肯定是异常的）。

综合日志审计平台

1. 标准机架式设备，千兆电口≥6个，console口≥1个，硬盘≥1T，单电源，支持≥80个日志源的审计能力，平均处理能力（每秒日志解析能力EPS）≥4000EPS；

2. 用户支持双因子认证登录，双因子认证令牌支持绑定至具体用户（提供web功能界面截图文件并加盖原厂公章）；

3. 内置安全分析场景功能不少于五种；

4. 用户在添加资产时，能够支持自动发现和识别资产；

5. 支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁，并形成关联事件；

6. 具备安全评估模型，评估模型基于设备故障、认证登陆、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。安全评估模型各项指标可钻取具体的评分扣分事件（提供web功能界面截图文件并加盖原厂公章）。

杀毒软件

1. 配置≥500台PC终端，≥20台服务器防病毒功能、补丁升级、运维管控功能授权，3年升级更新服务；

2. 控制中心：采用B/S架构管理端，具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及终端审计和各种报表和查询等功能；

3. 客户端支持操作系统：Windows XP_SP3及以上/Windows Vista/Windows 7/Windows 8/Windows 10；服务器支持操作系统:Windows Server 2003_SP2/Windows Server 2008/Windows Server 2012；

4. 支持linux、国产操作系统杀毒、云桌面（至少两家）产品；

5. 对敲诈者病毒提供防护机制，同时提供解密工具，解密工具应为自主研发；

6. 终端支持智能屏蔽过期补丁、与操作系统不兼容的补丁，可以查看或搜索系统已安装的全部补丁；

7. 防病毒的病毒查杀引擎包括云查杀引擎、AVE、QEX、QVM等引擎，支持多引擎的协同工作对病毒、木马、恶意软件、引导区病毒、BIOS病毒等进行查杀，提供主动防御系统防护等功能；

8. 产品具备漏洞集中修复，强制修复，自动修复；具备蓝屏修复功能；

9. 运维管控功能支持对终端上传下载速度与流量进行管控；支持对各种外接设备进行外联控制，并根据违规外联发生时内外网连接状态分别设置违规处理措施；支持终端进程的黑白红名单设置；支持网址黑白名单策略；支持对终端各种外设、接口设置使用权限；支持对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查进行管控策略配置。

H3C F1000-AK140升级扩容服务

原防火墙设备为：H3C F1000-AK140 2台，服务要求：

1. 含IPS入侵防御特征库升级服务1年；

2. 含AV防病毒特征库升级服务1年；

3. 含原厂硬件质保及软件升级服务1年；

4. 为保证我院所采购服务是原厂服务，要求投标时提供原厂商技术工程师上门服务承诺函原件并加盖原厂公章。

H3C WA2005升级扩容服务

原防火墙设备为：H3C WA2005 1台，服务要求：

1. 含IPS入侵防御特征库升级服务1年；

2. 含AV防病毒特征库升级服务1年；

3. 含原厂硬件质保及软件升级服务1年；

4. 为保证我院所采购服务是原厂服务，要求投标时提供原厂商技术工程师上门服务承诺函原件并加盖原厂公章。

天融信 TOP ADS3000升级扩容服务

原异常流量管理设备为：天融信TOP ADS3000 1台，服务要求：

1. 含原厂硬件质保服务1年；

2. 含1年内7*24小时400电话支持服务，工程师远程服务及上门服务；

3. 为保证我院所采购服务是原厂服务，要求投标时提供原厂商技术工程师上门服务承诺函原件并加盖原厂公章。

天融信 TOPRoules7000升级扩容服务

原异常流量管理设备为：天融信TOPRoules7000 1台，服务要求：

1. 含原厂硬件质保服务1年；

2. 含1年内7*24小时400电话支持服务，工程师远程服务及上门服务；

3. 为保证我院所采购服务是原厂服务，要求投标时提供原厂商技术工程师上门服务承诺函原件并加盖原厂公章。

集成服务

1. 包括所有设备互联的双绞线，光纤跳线，以及安装过程中需要的PVC线槽；机柜整理的线标、设备标识中的标签纸，及其辅材等。

2. 包括货物设计、材料、制造、包装、运输、安装、调试、在线切割、检测、验收合格交付使用之前及保修期内保修服务与备用物件等等所有其他有关各项的含税费用和保险等服务费。