广州市胸科医院网络及信息安全平台建设项目采购人需求
第一节 项目概述
★项目工期要求:必须提供自合同签订日起一年的的相关运行维护服务。
★本次采购产品为非进口产品(进口产品指通过中国海关报关验放进入中国境内且产自关的产品)。
★凡属于《中华人民共和国实施强制性产品认证的产品目录》的产品,交货时不能提供超出此目录范畴外的替代品,产品还须同时具备国家认证认可监督管理委员会颁布《中国强制认证》(CCC认证)。
★凡属于政府强制采购节能产品,请投标人承诺在交货时提供《节能产品政府采购清单》中的产品。(注:《节能产品政府采购清单》投标人可查询中国政府采购网<v>)
第二节 项目需求描述
一、 项目概述
按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)及《卫
生行业信息安全等级保护工作的指导意见》文件要求,市胸科医院的医院信息系统(HIS系统)定级为3级,其他信息系统,包括检验系统(LIS系统)、医学影像与传输系统(PACS系统)、供应室管理系统、财务系统、EMR系统等5个业务系统均定级为信息安全等级二级。其中医院信息系统主要用于为医院所属各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力,并满足所有授权用户的功能需求;检验系统的功能为自动接收检验数据,对数据分析后得出检验报告;医学影像与传输系统应用在医院影像科室,为影像归档和通信系统,主要的任务是把日常产生的各种医学影像通过各种接口以数字化的方式海量保存起来,当需要的时候在一定的授权下能够很快的调回使用,同时增加一些辅助诊断管理功能。
二、 信息安全现状
从2015年11月3日开始,按照《信息系统安全等级保护基本要求》中三级标准,广州市胸科医院信息系统安全保护整改控制点进行了为期一周的现场测评,测试范围覆盖机房1个、网络设备多台、主机设备多台、应用系统4个、数据库多个和管理制度多份,访谈人员多名,使用了多种测试工具。
此次测评总共测评项290项,符合项148项,占有效测试项的51%,部分符合项9项,占有效测试项3%,不符合项129项,占有效测试项44%,不适用项6项。总体测试结果为不达标。为满足《信息系统安全等级
保护基本要求》的三级要求,现需要采购相关的安全设备和服务,完善信息安全建设,保障医院网络安全运行。
三、 项目采购清单
序号 | 内容 | 数量 |
1 | 抗拒绝服务系统 | 2台 |
2 | 下一代防火墙 | 正则匹配快代理1台 |
3 | Web应用系统 | 2台 |
4 | 运维审计系统堡垒机 | 2台 |
5 | 准入控制系统 | 2台 |
6 | 漏洞扫描系统 | 1台 |
7 | 配置扫描系统 | 1台 |
8 | 安全管理平台 | 1台 |
9 | 安全服务 | |
四、 本项目设备与安全服务招标要求
(一) 设备技术要求
1. 入侵检测设备 2台
产品要求 | 详细说明 |
设备要求 | 提供的产品不能少于2*USB接口,1*RJ45串口,1*GE管理口,6*GE电口。设备攻击小包(64bytes)清洗容量不低于2Gbps,最大4Gbps清洗容量。小包(64bytes)防御能力不低于300万pps |
部署方式 | 流量清洗产品支持串联、旁路、集等部署方式,可通过集功能对清洗容量进行扩容。 |
攻击防范功能 | 支持对欺骗与非欺骗的TCP (SYN, SYN-ACK, ACK, FIN, fragments) 、UDP (random port floods, fragments)、ICMP (unreachable, echo, fragments)、(M)Stream Flood及混合类型攻击的防护。 |
支持对CS模型业务流量提供专有算法进行防护。 | |
设备具备针对UDP53、TCP53及授权DNS服务器提供专用的DNS防护手段。需提供截图证明。 | |
★设备具备针对HTTP Get Flood攻击具备不少于9种专有防护手段,其中防护算法应至少包括:TAG验证、HTTPCOOKIES验证、URL验证、ASCII图片验证、BMP图片验证、动态脚本防护、传奇游戏验证、FCS检查、模式匹配检查等,能够对HTTP进行解码。需提供截图证明。 | |
设备具备针对HTTP POST Flood攻击具备专有防护算法。 | |
设备具备对不同类型的url请求合法性进行验证,实行不同的防护策略,可防御CC及变种的能力。 | |
设备具备对连接耗尽型攻击的防御能力。需提供截图证明。 | |
设备支持使用智能攻击流量识别的技术进行防护,而不需要基于特定规则的方式,即当发生未知攻击,无需专门的撰写规则即可对这些攻击进行防护。 | |
设备支持高级模版匹配的功能,需提供截图证明。 | |
系统支持对指定的用户实现按需防护。 | |
系统支持对用户进行分组,并对不同的组别进行独立的防护策略配置,防护组数量≥1024。 | |
设备提供过滤功能,支持白名单、黑名单、ACL、正则表达、GeoIP功能。 | |
支持URL访问控制规则等多种分组过滤方式,需提供截图证明。 | |
支持基于UDP的payload长度和规律提供检查和防护 | |
UDP防护支持多种检查和限速方式,包括最小包长、最大包长、源IP+源端口限速、源IP限速、目的IP+目的端口限速、目的IP+源端口限速、目的IP限速。需提供截图证明。 | |
可以根据TCP的标志位进行信任源IP限速 | |
支持对空连接进行检测和防护 | |
支持SIP防护 | |
支持使用IP信誉库对流量进行防护,并支持IP信誉查询,信誉库更新周期≤1天 | |
支持配合云清洗平台形成混合清洗解决方案,解决出口带宽拥塞情况下的攻击防护。 | |
牵引回注功能 | 支持静态和动态牵引方式,并且支持BGP路由协议和OSPF协议。 |
支持二层回注、三层回注、GRE回注、PBR回注、MPLS LSP回注、MPLS VPN回注等多种回注方式。 | |
支持portchannel多端口绑定 | |
设备支持与Arbor和Genie进行联动清洗 | |
管理功能 | 管理界面要友好、易用性强,应支持集中管理、本地管理、远程管理等多种管理方式,并能实时显示攻击事件、流量、系统运行状况等信息。 |
对系统自身的管理方式支持串口命令行和Web图形化管理两种方式,无需安装专门的客户端管理系统,且图形化界面支持中文、英文和日文的切换。 | |
系统Web界面具备设备的远程升级功能。 | |
系统具备远程重启功能,并可在命令行和Web界面中进行操作。 | |
对设备的远程管理方式具备加密能力,通过https和SSH 等加密方式实现。 | |
系统具备统一管理平台,在集部署时支持对多台设备的集中管理,日志收集,运行状态监控,策略下发。 | |
系统支持以中文图表形式输出流量报表、安全报表、综合报表,支持多种报表格式,并支持SFTP、SNMP、syslog和邮件等报表输出方式。 | |
报表支持日报、周报、月报和年报,并且支持对设备、IP组、单台主机形式输出以上报表。 | |
系统支持用户分级分权管理,并具备合理的分级层次及权限划分粒度。 | |
系统具备安全日志功能,可完整地记录用户对设备的重要操作、访问信息。 | |
应提供完善的日志管理功能,包括日查询、删除、备份、生成报表等操作,而且要支持自定义报表logo、自动生成报表等功能。 | |
设备支持通过snmp、syslog、API等方式与第三方平台进行联动 | |
支持配置文件导入导出,用于设备配置备份和紧急恢复 | |
支持通过设备web界面获取第三方接口文档规范。 | |
实现链路带宽监控,允许配置监控阈值,带宽超限后产生告警 | |
支持设备自身登录安全认证,包括密码强度检查、登录IP访问控制、超时退出、密码生存周期检查、允许登录错误次数限制 | |
设备登录认证支持本地认证和Radius认证 | |
提供故障信息一键收集功能,实现运维场景快速定位和解决问题 | |
提供界面手动及自动抓包功能,抓包参数定义范围至少包含如下几项:接口、协议、抓包数量、源IP、目标IP、源或目标IP、最大包长、流量方向。 | |
支持通过通过手机APP客户端监控设备运行状态,包括产品的CPU、内存、接口状态、产品版本等信息。 | |
产品资质 | 产品应具备如下资质: 《计算机信息系统安全专用产品销售许可证》、《IPV6 Ready认证》,提供的相关证书证明文件。 |
产品成熟度及应急本地服务 | 投标产品应该是被广泛应用的成熟产品,在亚太区市场应具有较高的市场份额,需3年以上市场占有率进入前五,并提供第三方权威咨询机构的Frost & Sullivan的证明。 |
原厂商必须拥有五年以上研发和生产安全产品的经验,投标时需提供该厂商第一次拿到的公安部安全产品销售许可证复印件,并加盖原厂商公章。 | |
投标产品应该是经过市场考验的成熟产品,产品上市时间不少于5年,须提供销售许可证或软件著作权证书等有效证明材料。 | |
厂商资质 | ★为了更好地应对医院所遭遇的攻击威胁,本次项目投标的抗拒绝服务系统须与我院现有网络入侵检测系统实现联动防护及同平台管理,提供相关证明文件 |
抗拒绝服务系统用于外网防护DDOS,对全院外网有重要防护意义。产品厂商须获得中国信息安全认证中心颁发的ISCCC信息安全服务资质认证证书,包括:应急处理一级服务资质、信息系统安全集成一级服务资质、风险评估一级服务资质,须提供以上三个证书的复印件。 | |
产品厂商应具备独立的安全漏洞研究能力,独立发现并被CVE组织(世界漏洞编号官方组织)收录的安全漏洞超过30个,请提供CVE通过搜索单位名称所获得的CVE数量截图证明,同时提供这些安全漏洞的CVE编号、漏洞详细介绍及截图、网站链接。 | |
要求提供手机APP的安全通告服务,服务内容包括:安全资讯、WEB漏洞、软件漏洞、恶意代码、PoC工具等;支持Android、IOS等手机;要求提供手机APP的相关截图,及(必须是厂商的)下载地址。 | |
★承诺 | 投标人必须在投标书中提供书面承诺,在预中标前,用户有权要求投标人对所投硬件系统产品按招标文件相关的技术指标与功能需求进行测试,以保证所投设备各项指标的真实性,不能提供或不能通过技术测试或测试结果与投标文件不符的视为虚假投标,采购人有权拒绝与其签订合同并报广州市政府采购监督管理部门进行处理,由此引发的所有损失由中标人负责。 |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论