一、采购内容:
货物明细表:
| 序号 | 货物名称 | 数量 | 单位 |
| 1 | 医保及移动支付边界下一代防火墙 | 2 | 台 |
| 2 | 核心业务下一代防火墙 | 2 | 台 |
| 3 | 医共体外联防火墙 | 1 | 台 |
| 4 | 数据库审计 | 1 | 台 |
| 5 | 漏洞扫描 | 1 | 台 |
| 6 | 堡垒机 | 1 | 台 |
| 7 | 日志审计 | 1 | 台 |
| 8 | 网闸 | 1 | 台 |
| 9 | 准入控制系统 | 1 | 台 |
| 10 | VPN远程接入设备 | 1 | 台 |
| 11 | 交换机 | 2 | 台 |
技术参数:
1.医保及移动支付边界下一代防火墙两台
★(1)网络层吞吐量≥8G,应用层吞吐量≥6G,IPS吞吐量≥800M,全威胁吞吐量≥450M,并发连接数≥200万,HTTP新建连接数≥4万,IPSec最大隧道数≥1000,IPSec VPN吞吐量≥100M;SSL VPN支持用户数≥40,最大加密流量≥160M。
★(2)规格:1U,内存大小≥4G,硬盘容量≥64G minisata SSD,电源:单电源,接口≥6千兆电口、≥2千兆光口。
★(3)支持DDoS攻击防护、入侵防护功能、支持URL过滤和文件过滤功能、僵尸主机检测、病毒防护等功能,保障业务的高安全性;
(4)具备对常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能,全面保障业务的安全;
(5)支持B/S服务漏洞扫描功能,可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞,全面保障业务的安全;
(6)支持IPSec VPN智能选路功能,根据线路质量实现自动链路切换。
(7)提供安全报表,报表内容体现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的漏洞统计,可以到有效攻击行为次数和攻击趋势;
★(8)支持僵尸主机检测功能,产品预定义特征库超过110万种,可识别主机的异常外联行为。提供证明材料并加盖厂商公章或投标人公章。
★(9)本项目要求提供至少3年质保,3年软件升级及3年的特征库升级费用,其中包括(至少3年IPS漏洞防护,3年网关杀毒升级特征库,3年URL及应用识别规则库,3年僵尸网络检测特征库,3年实时漏洞检测特征库)特征库升级。
2.核心业务下一代防火墙两台
★(1)网络层吞吐量≥65G,应用层吞吐量≥25G,IPS吞吐量≥5G,防病毒吞吐量≥5G,并发连接数≥1000万,HTTP新建连接数≥45万,IPSec最大隧道数≥2000,IPSec VPN吞吐量≥800M;SSL VPN支持用户数≥300,最大加密流量≥700M。
★(2)规格:2U,内存大小≥16G,硬盘容量≥64G MSATA +480G SSD,电源:冗余电源,接口≥6千兆电口、≥2万兆光口SFP+。
★(3)支持DDoS攻击防护、入侵防护功能、支持URL过滤和文件过滤功能、僵尸主机检测、病毒防护等功能,保障业务的高安全性;
(4)具备对常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能,全面保障业务的安全;
(5)支持B/S服务漏洞扫描功能,可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞,全面保障业务的安全;
(6)支持IPSec VPN智能选路功能,根据线路质量实现自动链路切换。
(7)提供安全报表,报表内容体现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的漏洞统计,可以到有效攻击行为次数和攻击趋势;
★(8)支持僵尸主机检测功能,产品预定义特征库超过110万种,可识别主机的异常外联行为。提供证明材料并加盖厂商公章或投标人公章。
★(9)本项目要求提供至少3年质保,3年软件升级及3年的特征库升级费用,其中包括(至少3年IPS漏洞防护,3年网关杀毒升级特征库,3年URL及应用识别规则库,3年僵尸网络检测特征库,3年实时漏洞检测特征库)特征库升级。
★(10)中标方需承接医院网络安全系统全部部署工作的优化设计、委托具备测评资质的测评机构,建设后医院信息系统的安全防护能力达到《信息安全技术网络安全等级保护基本要求》中三级的相关技术和管理要求,项目实施验收标准以通过等保2.0三级测评资格为准,所需测评资金由投标人负责。
3.医共体外联防火墙一台
★(1)网络层吞吐量≥45G,应用层吞吐量≥30G,IPS吞吐量≥10G,防病毒吞吐量≥8G,并发连接数≥800万,HTTP新建连接数≥35万,IPSec最大隧道数≥1000,IPSec VPN吞吐量≥400M;SSL VPN支持用户数≥150,最大加密流量≥350M。
★(2)规格:2U,内存大小≥8G,硬盘容量≥64G MSATA +480G SSD,电源:冗余电源,接口≥6千兆电口、≥2万兆光口SFP+。
★(3)支持DDoS攻击防护、入侵防护功能、支持URL过滤和文件过滤功能、僵尸主机检测、病毒防护等功能,保障业务的高安全性;
(4)具备对常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能,全面保障业务的安全;
(5)支持B/S服务漏洞扫描功能,可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞,全面保障业务的安全;
(6)支持IPSec VPN智能选路功能,根据线路质量实现自动链路切换。
(7)提供安全报表,报表内容体现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的漏洞统计,可以到有效攻击行为次数和攻击趋势;
★(8)支持僵尸主机检测功能,产品预定义特征库超过110万种,可识别主机的异常外联行为。提供证明材料并加盖厂商公章或投标人公章。
★(9)本项目要求提供至少3年质保,3年软件升级及3年的特征库升级费用,其中包括(至少3年IPS漏洞防护,3年网关杀毒升级特征库,3年URL及应用识别规则库,3年僵尸网络检测特征库,3年实时漏洞检测特征库)特征库升级。
4.数据库审计一台
★(1)吞吐量≥5Gbps,SQL处理性能≥60000条SQL/s,日志检索性能≥1亿条/10秒。
★(2)规格:1U,内存大小≥8G,硬盘容量≥2TB SATA,电源:单电源,至少6千兆电口,至少2千兆光口SFP。
(3)提供旁路接入模式,设备部署不影响原有网络结构;
(4)所供系统设备必须自带本地存储功能;可用物理磁盘空间>=1TB;日志存储量至少十亿条;
(5)支持主流数据库Oracle、SQL-Server、DB2、MySQL、informix、sybase、Postgresql、Cache、MongDB,K-DB、达梦、人大金仓、南大通用
(6)支持同时审计多种数据库及跨多种数据库平台操作
(7)支持HTTP请求审计,可指定GET、POST、URL、响应码进行精细审计;
(8)支持自定义策略配置,策略类型支持风险监控、白名单、黑名单,监控级别支持高风险、中风险、低风险。
(9)支持时间段、源IP、客户端程序、业务系统、数据库用户、数据库名、操作类型、表名、返回行数、影响行数、响应时长、响应码等对数据库日志进行精细检索;
(10)支持按月、周、天、小时、秒、自定义开始时间查询数据流量、低风险、中风险、高风险日志的历史数据;
(11)系统内置报表模板不少于30个,报表支持以柱状图、饼图进行展示;
★(12)支持IPv6网络环境部署,支持纯IPv6网络环境下数据库的审计分析。提供证明材料并加盖厂商公章或投标人公章。
★(13)提供不少于3年(含3年)的软件升级服务及产品质保。
5.漏洞扫描一台
★(1)主机漏扫最大并发IP数≥500,WEB漏扫最大并发URL数≥50。系统漏扫授权IP数≥200,WEB漏扫授权URL数≥40;
★(2)内存≥8G,硬盘容量≥128GB SSD+ 1TB SATA,千兆电口≥6个,千兆光口SFP≥2个。
(3)支持操作系统、网络设备、数据库、中间件等漏洞扫描。
(4)支持多种系统漏洞检测技术,如:基于漏洞原理的原理扫描技术、基于banner信息的漏洞扫描技术等。
(5)支持紧急漏洞进行单独评估,实现紧急漏洞批量排查,包括Microsoft Windows RDP 远程代码执行漏洞(CVE-2019-0708)、OpenSSL Heartbleed 心脏滴血漏洞(CVE-2014-0160)、Windows SMB 远程代码执行漏洞(MS08-067)、Windows SMB 远程代码执行漏洞(MS17-010)等。
(6)系统漏洞扫描支持高级配置功能,可支持端口扫描策略配置、UDP扫描启用、危险插件扫描启用等配置功能。
(7)支持信息泄漏类漏洞检测,如:mail地址、敏感目录暴露、内部ip地址、会话令牌、源码、数据库备份文件、SVN文件、系统重要配置、日志文件向外网泄漏等。
(8)系统漏洞扫描支持任务立即执行和指定时间执行两种执行方式,且指定时间可以精确到分钟。
(9)支持对多种服务协议的弱口令猜解,包括FTP、IMAP、Microsoft SQL、MySQL、PcAnywhere、POP3、SMB、Telnet、VNC、SSH、RDP、ORACLE、Rsync、SMTP、VMware等。
(10)产品内置常用字典和精简字典两种弱口令扫描模板,常用字典包含常见的用户名及TOP160密码,精简密码适用于爆破速度快的密码猜解场景,支持自定义新增密码字典功能。
★(11)支持全面扫描 、资产发现、系统漏洞扫描、弱口令扫描、WEB漏洞扫描、基线配置核查六种任务类型,其中全面扫描支持系统漏洞扫描、WEB漏洞扫描、弱口令扫描同时执行。提供证明材料并加盖厂商公章或投标人公章。
(12)支持对Oracel、MySQL、DB2、SQL Server、MySQL等数据库按照等保二级、等保三级要求实施基线配置核查。
★(13)提供不少于3年(含3年)的软件升级服务及产品质保。
6.堡垒机一台
★(1)包含运维授权数≥200,最大可扩展资产数≥3000,图形运维最大并发数≥500,字符运维最大并发数≥400。
★(2)2U,内存≥8G,硬盘容量≥2T SATA,千兆电口≥6个。
(3)物理旁路单臂部署,以逻辑网关方式工作;不改变现有网络结构
(4)系统各模块支持以B/S方式管理,采用https加密方式访问
(5)支持字符协议:SSHv1、SSHv2、TELNET;图形协议:RDP、VNC;传输协议:FTP、SFTP、RDP磁盘映射、RDP剪切板
(6)支持通过协议前置机进行协议扩展,至少支持扩展KVM、Vmware、数据库、http/https、CS应用等
(7)支持从windows AD域抽取用户账号作为主账号,支持一次性抽取和周期性抽取两种方式
(8)内置三员角色的同时支持角色灵活自定义,可根据用户实际的管理特性或特殊的安全管理组织架构,划分管理角色的管理范畴
(9)支持web页面直接发起运维,无需安装任何控件,并同时支持调用SecureCRT、Xshell、Putty、WinSCP、FileZilla、RDP等客户端工具实现单点登陆,不改变运维人员操作习惯;
(10)支持RDP安全模式(RDP、NLA、TLS、ANY)设置,以适应RDP-Tcp属性中的所有功能配置,包括加密级别为客户端兼容、低、高、符合FIPS标准等加密级别;
(11)支持定期变更目标设备真实口令,支持自定义口令变更周期和口令强度。口令变更方式至少支持手动指定固定口令、通过密码表生成口令、依照设备挂载的口令策略生成随机口令、依照密码策略生成同一口令等方式;
★(12)提供不少于3年(含3年)的软件升级服务及产品质保。
7.日志审计一台
★(1)包含主机审计许可证书数量≥200,最大可扩展审计主机许可数≥1000,可用存储量≥2TB(RAID1),平均每秒处理日志数(eps)最大性能≥5000。
★(2)规格:2U,内存≥16G,硬盘容量≥64G minisata、≥2T SATA*2,千兆电口≥6个,万兆光口≥2个。
(3)支持主动、被动相结合的数据采集方式,支持通过Agent采集日志数据,支持通过syslog、SNMP Trap、JDBC、WMI、webservice、FTP、文件\文件夹读取、Kafka等多种方式完成日志收集;
(4)支持接入TLS加密方式的日志,支持对日志传输状态、最近同步时间进行监控,可统计每个日志源的今日传输量和传输总量。
(5)支持对每个日志源设置过滤条件规则,自动过滤无用日志,满足根据实际业务需求减少采集对象发送到核心服务器的安全事件数,减少对网络带宽和数据库存储空间的占用。
(6)支持对单个/多个日志源批量转发,支持定时转发,可通过syslog和kafka方式转发到第三方平台,并且支持转发原始日志和已解析日志的两种日志。
(7)支持通配符、范围搜索、字段等多种输入方式、搜索框模糊搜索、指定语段进行语法搜索;可根据时间、严重等级等进行组合查询;可根据具体设备、来源/目的所属(可具体到外网、内网资产等)、IP地址、特征ID、URL进行具体条件搜索;支持可设置定时刷新频率,根据刷新时间显示实时接入日志事件。
(8)支持解码小工具,按照不同的解码方式解码成不同的目标内容,编码格式包括base64、Unicode、GBK、HEX、UTF-8等。
(9)支持单条事件进行展开,显示事件详细信息和事件原始信息,支持事件详情中任意字段作为查询条件无限制进行二次检索分析。
(10)支持HTTP网页标题、BBS、威胁情报、DGA、搜索关键词的网络会话分类展现。
★(11)日志进行归一化操作后,对日志等级进行映射,根据不同日志源统计不同等级下的日志数量。提供证明材料并加盖厂商公章或投标人公章。
★(12)提供不少于3年(含3年)的软件升级服务及产品质保。
8.网闸一台
★(1)吞吐量 ≥1.5Gbps,最大并发连接数≥50万。
★(2)2U设备,“双主机+隔离卡”架构,内网接口千兆电口≥6个,千兆光口SFP≥4个;外网接口千兆电口≥6个,千兆光口SFP≥4个;内存≥4GB,硬盘≥64G SSD,冗余电源500W。
(3)采用2+1系统架构即内网单元+外网单元+FPGA专用隔离硬件。不能采用网线等形式直通。
(4)外网端不允许配置任何形式的管理接口,所有管理配置操作均通过专用的网闸内网可信端管理接口进行配置。
(5)设备支持透明、代理及路由三种工作模式,管理员可依据实际网络状况进行相应的部署。
(6)产品内置各类应用支持模块,无须用户增加投资,功能模块至少包含:邮件模块、安全浏览模块、视频交换模块、数据库访问模块、数据库同步模块、文件交换模块、OPC模块、MODBUS模块、组播代理模块、用户自定义应用模块等各类应用模块,并可控制相应应用协议的动作、参数、内容。
(7)支持平台级联及平台点播,支持GB 28181视频通信国家标准及相关厂商协议规范。
(8)支持的数据库种类包括ORACLE、SQLSERVER、MYSQL、SYBASE等主流数据库支持多种关系型数据库通信。支持SQL语句的白名单和黑名单
(9)系统支持数据库同步应用,支持ORACLE、SQLSERVER、MYSQL、SYBASE、DB2、POSTGRESQL等多种主流国外数据库的同步和国产达梦数据库、人大金仓数据库的同步/支持同构、异构数据库之间的同步,支持大字段的同步。
(10)支持TCP应用层数据单向传输的控制,保证TCP应用数据的零反馈,以满足二次防护对数据传输的安全性需求。
(11)采取系统策略配置管理员、安全管理员与日志管理员三种角色分立的权限分配模式,用户只能维护操作本类基础管理角色的功能与操作,权限各不交叉。
★(12)支持 Oracle、SQLServer、Mysql、Sybase、DB2、Postgresql等多种主流国外数据库的同步和国产达梦数据库、人大金仓数据库的同步。提供证明材料并加盖厂商公章或投标人公章。
★(13)提供不少于3年(含3年)的软件升级服务及产品质保。
9.准入控制系统一台
★(1)标准1U机架式设备,内存≥4G,硬盘容量≥1T SATA,千兆电口≥4个,千兆光口≥4个。
★(2)网络层吞吐量≥8Gb,应用层吞吐量≥1Gb,支持用户数≥5000,准入终端数≥1500,包转发率≥72Kpps,每秒新建连接数≥8000,最大并发连接数≥400000。
(3)支持网关模式,支持NAT、路由转发、DHCP、GRE、OSPF等功能,支持旁路模式,无需更改网络配置,实现上网行为审计。
(4)基于IP网段、VlanID、MAC、SSID、地址等实现新用户差异化的账户创建、自动分组、认证规则。
(5)支持触发式WEB认证,静态用户名密码认证等。
(6)在用户绑定信息的情况下,支持“账号+密码”、“手机号+密码”、“邮箱+密码”完成密码认证。
(7)支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等,支持通过SNMP服务器跨三层获取MAC地址。
(8)支持检查终端是否更新Windows重要补丁、指定补丁,对不满足检查要求的终端可弹窗提示。
★(9)支持检查终端是否运行指定进程,对不满足检查要求的终端可弹窗提示、禁止上网,可强制中止违规进程。
★(10)支持检查终端是否连接非法WIFI(可设置合法WIFI白名单),对不满足检查要求的终端强制断网,支持对管理员发送告警,并在用户端弹窗提醒用户。提供证明材料并加盖厂商公章或投标人公章。
(11)支持自动检查终端是否能PING通互联网地址,对不满足检查要求的终端强制断网,支持向管理员告警,并弹窗提示用户。
★(12)提供不少于3年(含3年)的软件升级服务及产品质保。
10. VPN远程接入设备一台
★(1)最大加密流量≥500 Mbps,最大并发用户数≥1500,IPSec加密最大流量≥170Mbps,设备整机最大吞吐量≥300Mbps,设备整机最大并发会话数≥80w。
★(2)规格:1U,内存大小≥2G,硬盘容量≥64G minisata SSD,电源:单电源,接口≥4千兆电口。
★(3)投标设备应为独立的专业SSL VPN设备,非防火墙、UTM等设备的软件模块。提供至少300个VPN在线并发接入授权。
(4)针对PDA和PC环境下,通过采用图片过滤、缩小图片、模糊化图片策略,对整个WEB资源进行优化。
(6)产品应支持的密码算法包括:AES、AES192、AES256、DES、3DES、MD5、SHA1、SHA2-256、SHA2-384、SHA2-512、DH、RSA。
(7)可支持个性化登录策略,在一台设备上配置不同的访问域名、IP地址,以及不同的使用界面,实现一台设备为多个不同用户群体服务的的使用效果;
★(8)为了保证安全性,产品必须支持防中间人攻击,产品可在用户登录SSLVPN时智能判断存在中间人攻击行为,断开被攻击的连接,并可提示异常现象。提供证明材料并加盖厂商公章或投标人公章。
(9)支持检查终端是否更新Windows重要补丁、指定补丁,对不满足检查要求的终端可弹窗提示。
(10)支持客户端注销后自动清除所有缓存、Cookies、浏览器历史记录、保存的表单信息,实现零痕迹访问。
(11)支持主从认证账号绑定,必须实现SSL VPN账号与应用系统账号的唯一绑定,VPN资源中的系统只能以指定账号登陆,加强身份认证,防止登录SSL VPN后冒名登录应用系统。
★(12)提供不少于3年(含3年)的软件升级服务及产品质保。
11.交换机
★(1)交换机2台:网络接口≥24个千兆电口,4个10GE SFP+光口;本项目要求提供所需万兆光模块(不少于16个)以及配套光纤线、堆叠线;
★(2)交换容量≥432Gbps,包转发率≥156Mpps, 支持全端口线速转发;
(3)支持胖瘦一体化,支持智能交换机和普通交换机两种工作模式,可以根据不同的组网需要,随时在控制器平台灵活的进行切换;
(4)支持基于交换机单端口、聚合口的ACL策略,支持基于源目IP地址、MAC地址的ACL策略,支持基于802.1p、IP及服务等级、DSCP的优先级设置;
(5)支持基于交换机端口出方向和入方向进行报文转发速率设置,支持多种调度模式(例如:轮询模式、严格优先模式等)实现流量基于报文或端口的优先级;
(6)支持交换机端口设置为信任端口或非信任端口,非信任端口也可设置白名单响应DHCP报文;
(7)支持智能交换机零配置上线,支持二三层发现、DHCP Option43、DNS域名等多种自动发现机制;
(8)支持通过在控制器平台的Web页面对交换机进行可视化管理,包括交换机的端口状态及配置、vlan信息,支持终端在交换机端口离线次数、闲置时间、离线趋势;
★(9)支持防网关ARP欺骗,支持端口保护、隔离,支持防止DOS、ARP攻击功能
★(10)提供不少于3年(含3年)的软件升级服务及产品质保。
二、验收
验收标准:执行国家相关标准
验收程序:本项目采购人将严格按照政府采购相关法律法规以及《辽宁省政府采购履约验收管理办法》(辽财采{2017)603号)的要求进行验收
验收报告:由采购人出具
组织验收主体:本项目的履约验收工作 由采购人依法组织实施。
参加辽宁省政府采购活动的供应商未进入辽宁省政府采购供应商库的,请详阅辽宁政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定,及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息,由系统自动开通账号后,即可参与政府采购活动。具体规定详见《关于进一步优化辽宁省政府采购供应商入库程序的通知》(辽财采函〔2020〕198号)。
