阜外华中心血管病医院国家区域医疗中心项目(服务端系统改造项目)采购项目公开招标公告
阜外华中心血管病医院国家区域医疗中心项目(服务端系统改造项目)采购项目公开招标公告
阜外华中心血管病医院国家区域医疗中心项目(服务端系统改造项目)
采购项目公开招标公告
阜外华中心血管病医院国家区域医疗中心项目(服务端系统改造项目)采购项目招标项目的潜在投标人应在河南省公共资源交易中心(www.hnggzy.net)网站获取招标文件,并于2023年4月7日09时00分(北京时间)前递交投标文件。
1、项目编号:豫财招标采购-2023-76
2、项目名称:阜外华中心血管病医院国家区域医疗中心项目(服务端系统改造项目)采购项目
3、采购方式:公开招标
4、预算金额:********.00元
最高限价:********.00元
| 序号 | 包号 | 包名称 | 包预算(元) | 包最高限价(元) |
| 1 | 豫财招标采购-2023-76 | 服务端系统改造项目 | ********.00 | ********.00 |
5、采购需求(包括但不限于标的的名称、数量、简要技术需求或服务要求等)
5.1标包划分:共划分一个标包。
5.2采购内容:包括计算服务、存储服务、虚拟化存储服务、定制虚拟化扩容入伍、存储交换服务、外网存储交换服务、边界服务、防御系统服务、网络边界服务、管理运维监控服务、持续数据保护定制服务、主机防护服务、虚拟化防护扩容服务、数据安全治理服务、数据流量收集服务、数据库边界服务、防统方系统服务、数据库状态监控服务、数据库脱敏与水印服务、数据安全资产等服务内容。
5.3采购范围:服务内容的采购、系统部署、售后服务及3年质保期内系统运行所需的全部资源投入等相关伴随服务。
5.4服务期限:60日历天。
5.5服务地点:采购人指定地点。
6、合同履行期限:60日历天。
7、本项目是否接受联合体投标:否
8、是否接受进口产品:否
9、是否专门面向中小企业:否
1、满足《中华人民共和国政府采购法》第二十二条规定;
2、落实政府采购政策满足的资格要求:
无
3、本项目的特定资格要求
3.1根据《关于在政府采购活动中查询及使用信用记录有关问题的通知》(财库[2016]125号)的规定,采购人或采购代理机构将通过“信用中国”网站(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)、国家企业信用信息公示系统(www.gsxt.gov.cn)等渠道查询供应商信用记录,被列入失信被执行人、重大税收违法失信主体、政府采购严重违法失信行为记录名单、严重违法失信企业名单的供应商将被拒绝参与本项目政府采购活动。
3.2单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的政府采购活动。
1.时间:2023年3月17日至2023年3月23日,每天上午00:00至12:00,下午12:00至23:59(北京时间,法定节假日除外。)
2.地点:河南省公共资源交易中心(www.hnggzy.net/)网站
3.方式:投标人凭企业CA 数字证书登录河南省公共资源交易中心网站市场主体登录系统,并按网上提示自行下载投标项目所含格式(.hnzf)的招标文件。投标人未按照规定时间在网上下载招标文件的,其投标将被拒绝。
4.售价:0元
1.时间:2023年4月7日09时00分(北京时间)
2.地点:通过“河南省公共资源交易中心(www.hnggzy.net/)”电子交易平台加密上传。逾期送达的投标文件,电子招标投标交易平台将予以拒收。
1.时间:2023年4月7日09时00分(北京时间)
2.地点:河南省公共资源交易中心远程开标室(一)-5,郑州市经二路12号(经二路与纬四路向南50米路西)。
本次招标公告在《河南省政府采购网》、《中国政府采购网》、《河南省电子招标投标公共服务平台》、《河南省公共资源交易中心网》上发布,招标公告期限为五个工作日。
本项目执行促进中小型企业发展政策(监狱企业、残疾人福利性企业视同小微企业)、强制采购节能产品、优先采购节能环保产品等政府采购政策。
1.采购人信息
名称:阜外华中心血管病医院
地址:河南省郑州市郑东新区阜外大道1号
联系人:何芸
联系方式:0371-********
2.采购代理机构信息(如有)
名称:恒信咨询管理有限公司
地 址:郑州市电厂路河南省国家大学科技园(东区)16号楼B座6层
联系人:樊越超
电 话:0371-******** 150*****850
3.项目联系方式
项目联系人:樊越超
电 话:0371-******** 150*****850
| 序号 | 要求款项 | 要求内容 | 备注信息 |
| 1 | *投标函、开标一览表及签字或盖章 | 有法定代表人(单位负责人)或其委托代理人签字或加盖单位章。由法定代表人(单位负责人)签字或盖章的,应附法定代表人(单位负责人)身份证明,由代理人签字或盖章的,应附授权委托书,身份证明或授权委托书应符合第六章“投标文件格式”的规定。 | |
| 2 | *备选投标方案 | 除招标文件明确允许提交备选投标方案外,投标人不得提交备选投标方案。 | |
| 3 | *投标报价 | 符合第二章“投标人须知”第 3.2 款规定 | |
| 4 | *投标范围 | 符合第二章“投标人须知”第 1.1.5 项规定 | |
| 5 | *服务期限 | 符合第二章“投标人须知”第 1.3.1 项规定 | |
| 6 | *服务地点 | 符合第二章“投标人须知”第 1.3.2 项规定 | |
| 7 | *质保期限 | 符合第二章“投标人须知”第 1.3.3 项规定 | |
| 8 | *投标有效期 | 符合第二章“投标人须知”第 3.3.1 项规定 | |
| 9 | *附加条件 | 投标文件不得含有采购人不能接受的附加条件 | |
| 10 | *进口产品或服务 | 符合第二章“投标人须知”第 1.11 项规定 | |
| 11 | *合同条款及格式 | 承诺中标后愿意按照第四章“合同条款及格式”的合同条款与招标人签订书面合同 | |
| 12 | *验收标准 | 通过采购人组织的验收,满足采购人工作需求 | |
| 13 | 业绩要求 | 有类似项目业绩 |
| 服务指标 | 具体要求 |
| 核心服务 | ≥2×国产处理器(2.2GHz/32核)及以上核心服务能力 |
| 内存服务 | ≥1024GB 3200MHz DDR4内存服务,≥32个内存服务扩展能力 |
| 存储服务 | RAID服务;≥2×960GB SSD存储服务能力。 |
| ≥31个存储服务扩展能力 | |
| 网络服务 | ≥4×25G双网络服务能力(模块服务按需提供)。 |
| 操作系统兼容性 | ★兼容主流国产服务器操作系统,含红旗、银河麒麟、统信、凝思,并提供双方互认证证书复印件加盖服务厂商公章。 |
| 数据库兼容性 | ★兼容主流国产数据库系统,含南大通用GBase、OceanBase、神通数据库,并提供双方互认证证书复印件加盖服务厂商公章。 |
| 管理和维护 | 配置服务器批量管理系统,支持批量自定义安装操作系统,满足在批量安装OS过程中对分区、软件包等安装设置进行个性化定制的需求。 |
| 能够将告警信息发送到指定的手机上 | |
| 服务 | ★服务厂商需具备科学、系统的知识产权管理体系,提供知识产权管理体系认证复印件并加盖服务厂商公章。 |
| 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 | |
| 数量 | 6项 |
| 服务指标 | 具体要求 |
| 核心服务 | 需由国产芯片集中存储提供服务。 |
| 控制器服务 | 1、存储控制缓存能力≥512GB(非SSD和闪存),可扩展至1TB; 2、每个控制器服务≥1颗国产处理器支持。 |
| 容量服务 | ≥24×2.3TB 10K SAS |
| 容量扩展服务 | 双控支持最大容量单元≥3000,配置全部容量授权许可,未来扩容不需要支付费用。 |
| RAID支持服务 | 支持RAID 0、1、3、5、6、10、50、60和三容量单元校验。 |
| 数据一致性 | 全路径支持T10-PI数据一致性检测,保障数据的一致性。 |
| 企业级功能 | 1、全容量许可在线重删和压缩; 2、全容量许可快照功能; 3、全容量许可自动分层功能; 4、全容量许可远程复制功能。 |
| 双活 | 通过控制器服务实现双活,不需要虚拟化网关,提高服务性能。 |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 兼容性 | 与算服务同一服务厂商。 |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 核心服务 | 需由国产芯片集中存储提供服务。 |
| 控制器服务 | 1、存储控制缓存能力≥512GB(非SSD和闪存),可扩展至1TB; 2、每个控制器服务≥1颗国产处理器支持。 |
| 容量服务 | ≥48×2.3TB 10K SAS。 |
| 容量扩展服务 | 双控支持最大容量单元≥3000,配置全部容量授权许可,未来扩容不需要支付费用。 |
| 升级 | 支持服务在线升级,升级过程中前端业务无感知。 |
| RAID支持 | 支持RAID 0、1、3、5、6、10、50、60和三容量单元校验。 |
| 数据一致性 | 全路径支持T10-PI数据一致性检测,保障数据的一致性。 |
| 企业级功能 | 1、全容量许可在线重删和压缩; 2、全容量许可快照功能; 3、全容量许可自动分层功能; 4、全容量许可远程复制功能。 |
| 双活 | 通过控制器服务实现双活,不需要虚拟化网关,提高服务性能。 |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 兼容性 | 与计算服务同一服务厂商。 |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 基本要求 | 虚拟化软件非OEM或贴牌,禁止借用第三方软件的整合,以保证功能的可靠性和安全性。 |
| 兼容性要求 | 虚拟机支持市场上主流的国内外操作系统,包括Windows、RedHat、CentOS、Ubuntu、SUSE、Fedora、FreeBSD、统信、麒麟、普华、深度等。 |
| 迁移要求 | ★虚拟化管理平台内置在线p2v、v2v迁移工具,支持业界主流的操作系统、公有云平台、虚拟化平台,包括但不限于VMware、H3C、华为等平台的迁移功能,提升被迁移业务平台的普适性、降低业务上云的难度,降低运维工作量;要求提供第三方权威检测机构出具的检测报告并加盖厂商公章 |
| 运维管理要求 | ★支持使用一键快速查看、启动、删除、批量启动和批量删除长时间未使用且处于关闭状态的虚拟机,低运维工作量与难度,节约资源,保障投资;要求提供第三方权威检测机构出具的检测报告并加盖厂商公章 |
| 业务可靠性要求 | 支持集群动态资源调度功能,可基于主机的算力、存储、网络等资源对虚拟机进行动态资源调度,实现自动化的资源分配和负载均衡功能,使虚拟机获得良好的性能资源,避免将虚拟机放置或迁移到已经网络饱和的主机上,确保云环境的服务水平,为业务系统提供健康可用的资源环境; |
| 业务可靠性要求 | 支持vGPU虚拟机热迁移功能,无需中断或停机即可将正在运行的vGPU虚拟机从一台服务器迁移到另一台服务器,提高业务连续性; |
| 基本功能要求 | ★支持使用一键分析后端存储上的无效镜像文件,并提供一键清理和释放存储空间能力,提升资源利用率,保障投资。要求提供第三方权威检测机构出具的检测报告并加盖厂商公章 |
| 配置要求 | *定制虚拟化软件一套,与内网虚拟化系统可对接。含12颗物理CPU企业版授权许可,100个虚拟机迁移服务。三年原厂技术支持服务。提供医院现内网虚拟化系统服务厂商售后服务承诺函并加盖医院现内网虚拟化系统服务厂商公章。 |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 性能要求 | 交换容量≥4.6Tbps,包转发服务≥2000Mpps |
| VLAN要求 | 支持802.1Q(VLAN),数目≥4k;支持802.1ad(QinQ); |
| 虚拟化要求 | 支持集群或堆叠多虚一技术,实现单一界面管理; |
| 微分段要求 | 支持基于端口、流量N:M复制,M或N≥48,支持微分段 |
| ROCE要求 | 支持ROCE基础网络自动化部署服务 |
| 管理要求 | 支持TCB(Transient Capture Buffer),)监控队列丢包的技术。队列发生丢包时,系统将收集丢包时间、丢包原因、被丢弃报文的原始数据等信息,可通过gRPC方式上报网管。 |
| 接口及配置要求 | ★≥48项25GE SFP28服务,≥8项100GE QSFP28服务,≥14项25G SFP28光服务,≥1项QSFP+ 40G光服务,≥1项40G堆叠线缆服务,≥4项万兆多模服务 |
| 可靠性要求 | ★服务厂商需通过ISO *****应急管理体系认证,要求提供证书复印件并加盖服务厂商公章 |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 4项 |
| 服务指标 | 具体要求 |
| 性能要求 | 交换容量≥4.6Tbps,包转发服务≥2000Mpps |
| VLAN要求 | 支持802.1Q(VLAN),数目≥4k;支持802.1ad(QinQ); |
| 虚拟化要求 | 支持集群或堆叠多虚一技术,实现单一界面管理; |
| 微分段要求 | 支持基于端口、流量N:M复制,M或N≥48,支持微分段 |
| ROCE要求 | 支持ROCE基础网络自动化部署服务 |
| 管理要求 | 支持TCB(Transient Capture Buffer),)监控队列丢包的技术。队列发生丢包时,系统将收集丢包时间、丢包原因、被丢弃报文的原始数据等信息,可通过gRPC方式上报网管。 |
| 接口及配置要求 | ★≥48项25GE SFP28服务,≥8项100GE QSFP28服务,≥8项25G SFP28光服务,≥1项QSFP+ 40G光服务,≥4项万兆多模服务 |
| 可靠性要求 | ★服务厂商需通过ISO *****应急管理体系认证,要求提供证书复印件并加盖服务厂商公章 |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 基本要求 | 1.采用国产芯片进行服务支撑。 2.国产操作系统服务。 3.万兆SFP+光服务≥4个,千兆SFP光服务≥8个,至少提供1个CON服务,2个USB服务,1个千兆管理服务,1个HA服务;扩展服务数量≥6个;服务容量≥4T。 4.吞吐服务能力≥42Gbps,最大并发连接服务能力≥*****万;每秒新建HTTP会话服务能力≥25万;IPS吞吐服务能力≥12Gbps,AV吞吐服务能力≥6Gbps;最大IPsec VPN隧道服务能力≥*****。 5.提供三年IPS、AV防护、威胁情报、应用识别授权和特征库升级服务。 |
| 服务要求 | 1.支持透明网桥旁置模式下的基于vlan标签改写替换功能; 2.支持通过ping、tcp、dns等方式进行NAT探测,支持基于指定源IP进行探测,支持对NAT转换后的地址是否有效进行探测; 3.支持常规的整机主备、主主组网,实现本地高可用;支持异地两组主备服务配置信息同步、会话同步,实现异地高可用; 4.支持虚拟路由器功能,可以划分出多个虚拟路由器,每个虚拟路由中拥有独立的路由表,实现不同区域的路由隔离;支持自定义虚拟系统的资源,包括会话数、策略数、NAT规则数的最大限额设定。 ★5.支持策略助手功能,策略助手能够提取命中指定策略ID的流量作为流量数据分析源,生成服务并且根据管理员设置的替换规则、聚合规则优化流量数据。(提供第三方权威机构测试报告,并加盖服务厂商公章) ★6.提供SaaS模式的安全运维APP:通过手机可以实时数据,以及应用、用户排名、威胁信息等安全状态、帮助定位问题、安全可视化。不限制使用用户数。(提供手机APP的截图并加盖服务厂商公章) 7.支持提供*****种以上的攻击检测和防御特征,特征库支持网络实时更新,支持专业的Web Server防护功能,含CC攻击防护和外链防护等。 8.支持扩展零信任模块,支持独立于FW policy之外的ZTNA Policy,且支持禁用和启用,支持在ZTNA Policy中添加多个终端标签和多个应用资源组。支持应用发布,客户端登录成功后,支持推送客户端被授权的应用清单。 9.要求服务支持至少2个系统软件并存,在web界面就能直接操作系统版本的快速回滚,支持记录10个以上的历史配置文件。 ★10.支持联动云端威胁情报中心,对热点威肋进行防范。(要求提供第三方权威机构测试报告,并加盖服务厂商公章) 11.支持超过1400万的病毒特征库,支持病毒库在线/离线升级。 |
| 能力要求 | 1.服务厂商具备信息系统安全运维服务资质符合CCRC-ISV-C01:2021《信息安全服务 规范》一级服务资质要求 2.*支持与现网态势感知平台对接并联动服务, 提供医院现网态势感知平台厂商售后服务承诺函并加盖医院现网态势感知平台厂商公章。 |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 4项 |
| 服务指标 | 具体要求 |
| 基本要求 | ★1.采用国产芯片进行服务支撑。 2.国产操作系统服务。 3.≥4个千兆电服务(包含2组bypass),≥4个千兆光服务,≥2个扩展服务,支持40GE扩展服务;服务容量≥1TB;至少提供1个CON服务,2个USB服务,1个千兆管理服务,1个千兆HA服务; 4.IPS吞吐服务能力≥7.5Gbps;最大并发连接服务能力≥400万;每秒新建会话服务能力≥20万。 |
| 服务要求 | 1.支持路由、透明、混合和虚拟线模式,支持各种NAT转换功能,包括源NAT、目的NAT转换;支持针对最大并发会话、每秒新建会话配置限制策略 2.支持配置源地址路由、源接口路由、目的接口路由、目的地址路由; 3.具备*****种以上攻击特征库规则列表,至少支持基于协议类型、操作系统、攻击类型、流行程度、严重程度、特征ID等方式的查询。 4.针对防护站点,支持手机端app监控及一键断网功能,以提高应急响应效率。 5.支持基于源MAC地址、目的MAC地址的流量方向、动作等做访问控制策略 ★6.提供手机APP的监控通告服务,服务内容包括:安全资讯、监控、告警信息、威胁日志等;(要求提供手机APP的截图并加盖服务厂商公章,提供厂商的官网下载地址以及苹果APP store截图) 7.支持沙箱功能,支持基于安全策略启用云沙箱和本地沙箱防护,设置白名单不进行上传检测,提高效率。 8.支持数据包路径检测,可以自定义新建检测对象,检测对象可基于接口、源地址、源用户、源端口、目的地址、目的URL、目的端口、协议、应用等参数配置。 9.支持SSL 代理和联动云端威胁情报功能。 10.支持对ftp、telnet、smtp、pop3、imap弱口令行为进行检测,支持对ftp、telnet、smtp、pop3、msrpc、sunrpc暴力破解行为检测。 11.支持威胁情报与威胁事件、威胁日志检测结果加强与取证,可通过手动触发与自动触发将日志元素上送威胁情报平台进行上下文查询。支持热点情报推送,并提供配置向导协助用户生成防护策略。 |
| 能力要求 | 1.服务厂商具备信息系统安全集成服务资质符合CCRC-ISV-C01:2021《信息安全服务 规范》一级服务资质要求,要求提供证明文件复印件; 2.服务厂商具备中国通信企业协会通信网络安全服务能力评定证书(风险评估一级)服务资质要求,要求提供证明文件复印件。 3.服务厂商具备信创政务产品安全漏洞专业库(CITIVD)技术支撑单位,要求提供证明文件复印件。 |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 2项 |
| 服务指标 | 具体要求 |
| 国产化服务能力 | 国产化处理器(8核16线程)及以上运算服务,内存服务:≥32GB,容量服务:≥256G SSD+4T SATA。 |
| 网路服务 | 4端口千兆电服务,支持两路bypass。 |
| 服务性能 | 网络吞吐服务能力≥20Gbps、http最大吞吐服务能力≥4.4Gbps、http最大并发服务能力≥160w、http每秒查询服务能力≥2w、https最大吞吐服务能力≥800Mbps、https最大并发服务能力≥50w、https每秒查询服务能力≥1.5w。 |
| 回源IP | ★支持设置回源IP,可以设置一个IP组或者多个IP,支持源IP哈希和源IP端口哈希两种回源算法,(提供加盖服务厂家公章的功能截图) |
| 链路聚合 | 支持链路聚合,提升网络带宽、增加容错性和链路负载均衡。 |
| 攻击防护 | 能够识别恶意请求含:跨站脚本(XSS)、注入式攻击(包括SQL注入、命令注入、Cookie注入、代母注入、LDAP注入、SSL注入文件注入等)、跨站请求伪造等应用攻击行为。 |
| 语义识别 | ★具备先进成熟的语义识别技术,不依靠规则库起到WEB防护功能,实现非升级方式防御部分0DAY漏洞,提供在官方渠道发布的自2018年不少于5个非升级方式防御0 DAY的漏洞证明,并提供彩页证明支持基于语义识别防御0 DAY。 |
| session支持 | 支持通过限制IP和Session实现对异常访问行为的限制,并内置Session系统。 |
| 深度检测 | 支持深度检测功能,可在站点详情中的防护配置页面开启深度检测,即使该请求已在检测过程中已被判断为拦截,仍可继续进行所有攻击检测模块的检测,完整地记录攻击检测信息记录,便于进行更完整的分析。 |
| 日志脱敏 | 支持日志脱敏,可对攻击检测日志等的关键字段信息进行脱敏,满足企业的敏感数据管理要求。 |
| 响应码自定义 | 支持响应状态码配置填写,支持更多的状态码配置选择空间,避免与用户原有业务上的使用的状态码存在冲突。 |
| 后端转发 | 支持后端转发为https或者http,节省后端服务器卸载压力。 |
| Cookie防护 | 支持Cookie防篡改,可配置三种防护方式,结合“跟踪”和“拦截”两种响应方式。 |
| 旁路阻断 | 支持流量镜像阻断,按照实际防护监测选择是否开启流量阻断。 |
| 规则导入 | 支持自定义规则导入功能,可通过导入防护策略集,实现漏洞防护。 |
| 服务器负载均衡 | 支持后端Web服务器集群的负载均衡,支持加权轮训法、最小连接数法、源地址哈希法、会话保持四种调度策略。 |
| IP溯源 | 支持访问IP溯源,能够从Socket、X-Forwarded-For和任意Http头中获取访问源IP。 |
| 大屏展示 | 支持大屏展示功能,能够以可视化地图方式展示实时请求信息、拦截信息、攻击源IP地理分布、攻击类型分布等。 |
| 报表生成 | 支持自动化生成日报、周报、月报。 |
| 邮件管理 | 支持邮件告警管理。 |
| 日志管理 | 支持将日志通过syslog发送,并且日志发送格式可自定义。 |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 基本要求 | 1.国产8核CPU及以上运算服务和国产操作系统服务;管理授权数:标配1000个(可扩容);≥ 4个千兆电服务和2个千兆光服务(含光模块服务),≥2个扩展服务,服务容量:≥ 6T;并发服务能力:字符并发≥2800个,图形类并发会话服务能力≥200个。 2.支持系统配置实时同步,自带负载均衡模块。 |
| 功能要求 | 1.标准协议及应用支持:图形终端协议:RDP、WinRDP、VNC、X11;字符终端协议:Telnet、SSH;文件传输协议:FTP、SFTP;支持Oracle:PLSQL、TOAD、SQLPLUS、SQLDEVELOPER、DataStudio、DBeaver、Navicate;Informix:DBACCESS、DBeaver;Mysql:MYSQLFRONT、HeidiSQL、DBeaver、Navicate;SQL Server:Sqlserver manager studio、DBeaver、Navicate;Sybase:SCVIEW4、DBeaver;DB2:DB2CMD、DB2QUEST、DataStudio、DBeaver;MongoDB:Studio3T;PostgreSQL:PGADMIN、DBeaver、Navicate;达梦:DM Manager;人大金仓:King Manager;其它应用:AS400、REALVNC、UltraVNC、PGADMIN、PCANYWHERE、RADMIN、DameWare、CiscoASDM、VMware vSphere Client、DomainName等,上述所有协议类型均可实现单点登录,免费提供配套应用发布系统。 ★2.支持专用移动端APP运维,支持IOS和Android系统,支持平板HD,要求具有厂商专有app软件,且该app软件已在Apple商店或安卓应用市场发布(以应用商店app搜索结果为准),app可实现对Linux资产、windows资产、数据库及其它应用资产的统一运维和工单处理。(提供加盖服务厂商公章截图证明) ★3.跨平台便捷运维:支持UOS\凝思、麒麟国产化终端运维,不需要第三方跳板机;WEB运维只需开放443端口,无需调用本地工具客户端、控件,支持IE、谷歌、火狐、国密等浏览器直接运维资产,支持web水印功能(当前操作用户的登录名),防止通过截屏、照相等方式造成数据泄露。(提供加盖服务厂商公章截图证明) 4.通用APP代填:SSO适应于所有场景,对于非标个性化应用,支持自定义第三方应用APP,实现账号密码代填单点登录。 5.身份认证:自然人(运维帐户)登录系统时支持本地认证、RADIUS、AD 域、LDAP、X.509证书、USB-KEY、动态令牌、OTP、企业微信、钉钉、短信、指纹、CAS、SAML 。支持多种认证方式组合的多因素认证,支持“与”和“或”的方式,支持不同用户组使用不同认证策略,满足等保合规要求。 6.账号自动化:支持自动扫描目标系统账号,并同步添加至系统进行纳管,支持windows、linux所有版本;支持账号风险分析,能够分析统计出弱口令账号、三个月及以上未改密账号或未登录账号、僵尸账号,通过自动化技术,为资产系统账户提供周期性安全风险评估。 7.支持高危命令权限控制,当用户试图去执行高危命令时,会被系统自动给予告警、放行、拒绝。 8.要求提供标准API接口,与第三方平台(如自动化运维等)完成用户、资产、授权的增删改查对接,API接口支持日志记录。 9.自动改密:支持linux、unix、网络终端、windows等常用系统账号的自动改密功能。 10.安全管理:支持操作目录锁定、文件上传下载单向控制、账号防爆破功能。 11.数据库运维过程审计:精确数据库操作记录时间、来源网络地址、来源端口、客户端主机名、客户端用户名、数据库类型、目标地址、目标端口、客户端程序、数据库账号,详细的SQL语句,回溯完整的操作行为。 12.文件审计:系统服务具备审计到FTP/SFTP传输的原始文件和MD5值,支持文件异地转储、下载。 |
| 能力要求 | 1.服务厂商技术成熟可靠,必须具备完全自主知识产权,要求成熟度不低于8年,以软件著作权登记证首次颁发日期为准。 ★2.服务厂商须提供实现单点登录访问的技术先进性证明。(提供加盖服务厂商公章截图证明) |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 基本要求 | 国产化并拥有完全自主知识产权,实现对数据进行持续数据保护,任意时间点数据恢复。支持Linux、Windows 2000/2003/2008/2012/ XP/VISTA/WIN7/WIN8、麒麟、红旗、FreeBSD等操作系统;支持Oracle、DB2、Informix、MS SQL Server、MySQL、PostgreSQL、达梦数据库、SAP HANA数据库、MS Exchange、Lotus Notes/Domino、MS SharePoint等数据库;全面支持各类虚拟化平台,如Microsoft HyperV、WMware、Citrix等以及国产服务器虚拟化平台如CNWare、华为等,支持生产端与备端使用不同虚拟化平台。配置不少于3个物理机授权和25个虚拟机授权。 |
| 操作与管理 | 1.图形化管理、配置和维护界面:提供强大的控制台管理功能,全中文操作界面,通过WEB方式便捷管理,所有软件功能均为模块化功能,可在控制台进行统一管理,包括持续数据保护、业务应用容灾保护、CDM功能等。软件安装配置应简单容易;具备简便、直观和友好的图形操作管理界面,能通过图形化配置备份策略等,备份/恢复有进度显示。 2.支持对容灾系统所有生产端节点进行监控,并能够在同一界面查看节点CPU、内存、网络、磁盘等相关状态。 3.带宽控制:提供带宽及数据流控制功能,每个复制任务可根据时间动态调整带宽,提供图形化的实时数据流量统计功能以便计算和规划带宽需求。 4.支持邮件、云短信平台及内网环境下短信通知、告警。 5.权限管理:设置备份管理权限,以控制对备份系统的管理控制。可以设置多种权限来定义用户权限,以完成不同管理任务。 ★6.数据验证功能:提供数据验证功能,验证生产数据和备份数据是否一致,杜绝因数据不一致导致无法恢复或数据丢失,能够做到自定义对比周期,自动对比。(提供监控界面截图并加盖服务厂家公章) 7.部署客户端程序时无需重启生产系统。 8.压缩与加密:提供多样的数据压缩与加密功能,序列化数据异步传输,能按单独复制任务,服务器,数据及网络等自动进行至少三个级别的压缩。 |
| 持续数据保护 | 1.采用高性能基于实时字节级增量数据捕获技术,能不受距离限制的复制,不受容量限制。 2.支持卷、文件夹、文件等多种细粒度的数据实时复制。 3.支持在复制规则中按照文件后缀名进行过滤。 4.支持对数据的用户权限进行同步。 5.复制软件要求具有独立性。 6.支持按照复制规则进行带宽统计与带宽流量控制。 7.支持按照复制规则进行压缩与自定义密钥加密功能。 8.支持断点续传功能。 9.支持对文件数据实时同步数据至容灾服务器,容灾服务器中的文件数据无需手动干预即可实时可查、可看及进行分析使用,所有复制操作可以全图形化配置。 ★10.配置持续数据保护功能,支持可设定的任意历史点数据快速恢复,时间精度达到0.******秒,具备真正的持续数据保护功能。(提供监控界面截图并加盖服务厂家公章) ★11.支持多对一、一对多数据传输,即多个源端生产数据同时传输到一个备端服务器,一个源端生产数据同时传输到多个不同的备端备份服务器,分散存放多份生产数据。(提供监控界面截图并加盖服务厂家公章) 12.支持显示每一条写入、修改、删除IO操作,方便数据恢复点查找。 13.支持在持续数据保护系统数据正式恢复之前,可快速查看灾备的文件目录信息,确定恢复时间点后,再正式进行持续数据保护系统的数据恢复。 14.支持对共享磁盘上的文件和目录执行实时捕获和复制 15.支持按天、月、年等时间节点自定义数据合并策略以节省备份存储空间。 |
| 服务能力 | 1.服务厂商需通过ISO*****:2013信息安全管理体系认证,提供复印件加盖服务厂商公章。 2.服务厂商需通过知识产权管理体系认证证书-GB/T*****,提供复印件加盖服务厂商公章。 |
| 售后服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 基本要求 | 1、支持病毒查杀、基线检查、系统风险行为防护等,包括检测挖矿、勒索软件、可疑连接等,Windows下防火墙、自动更新、非必须服务、屏保密码保护,Linux下防火墙,非必须服务、SSH安全检测,可配置防护级别(标准模式/严格模式/紧急模式)。提供≥100节点服务端授权。 2、支持主机资产管理,可自动收集已安装探针主机的信息,如CPU、内存、硬盘、网卡等;资产变更状态、终端防护状态;系统信息,如操作系统版本、系统配置、在线状态、资源利用率等;安装软件信息,例如:应用程序、版本信息等;支持未注册主机发现;支持自定义分组管理,包括新增、编辑、删除分组,支持分组信息批量导入/导出,支持根据IP配置自动分组终端。 3、支持配置病毒查杀控制权限,可选择管理中心控制或探针(Agent)控制,支持配置至少10层压缩包扫描处理方式。 4、支持对已隔离终端进行管理,展示终端名称、IP地址、隔离时长、状态、操作;支持批量恢复、批量隔离,支持自定义时间范围查看,支持根据终端名称/IP地址进行检索。 5、支持RDP暴力破解检测、SMB暴力破解检测、Powershell无文件攻击防御。支持配置文件/目录白名单、防暴力破解白名单、Powershell白名单、文件黑名单。提供截图证明,并加盖原厂公章。 6、支持身份鉴别策略,访问控制策略、安全审计策略、入侵防范规则检查策略、其它规则检查策略 7、支持从终端事件下钻查看具体终端行为事件详情,包括基本信息、行为事件分布、遭受攻击趋势和行为事件 8、至少支持超级管理员(全部功能)、系统管理员(系统管理)、审计管理员(日志审计)和安全管理员(除系统管理/日志审计之外的功能)四种角色。(提出功能截图证明加盖原厂商公章。) 9、支持配置安全审计策略,包括审计Windows下账户登录事件、账户管理、策略更改、对象访问、特权使用、系统事件、登录事件;Linux下syslog系统日志、syslog远程日志发送、cron行为日志 10、服务器配置核查,对身份鉴别、默认配置、共享设置、日志等进行安全配置核查。 11、支持DNS类、IP类、检测引擎类情报库,支持在线/离线升级。 12、支持基于MD5对全网部署客户端(Agent)的终端进行文件检索,集中展示和清除。 13、*支持与现网态势感知平台联动,支持支持以Syslog方式同步威胁日志至态势感知平台及单点跳转,提供医院现网态势感知平台厂商售后服务承诺函并加盖医院现网态势感知平台厂商公章。 |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 服务形态 | 1.采用虚拟机形态提供本地化、分布式网络安全服务,使得业务虚拟机流量不用外出宿主机,即可高效的实现网络安全管控。 2.提供的安全服务能力,无需要求在业务虚机中额外安装第三方插件或Agent软件。为保障云基础平台的可靠性,要求不能在云基础平台中安装任何第三方插件和Agent软件。部署方式为二层透明部署。 |
| 性能要求 | ★1.吞吐服务能力≥50Gbps,可支持扩展至1Tbps;ips防护吞吐服务能力≥16Gbps,可支持扩展至200Gbps;AV防护吞吐服务能力≥16Gbps,可支持扩展至200Gbps;最大并发连接服务能力≥2000万,可支持扩展至3.3亿,本次配置每秒新建HTTP连接服务能力≥30万,可支持扩展550万,*2.本次扩容服务授权物理CPU支持数量为12个;对应CPU授权数可防护虚拟机授权数量为100台,配备IPS、AV服务,提供医院现有虚拟化防护厂商售后服务承诺函并加盖医院现有虚拟化防护厂商公章。 |
| 网络微分域方案环境适应性 | 1.部署支持vmware标准环境5.5-7.0版本和NSX组件云环境、支持华为云平台(FusionSphere OpenStack、FusionCompute)环境、支持华三云等其他平台环境; 2.在VMware标准环境,不依赖NSX组件或依赖第三方SDN方案配合,提供云内虚机间网络微分域解决方案。 3.在Vmware标准环境 + NSX组件的云环境中,不依赖第三方SDN方案配合,提供云内虚机间网络微分域解决方案。支持Ipv6网络环境 |
| 安全服务能力 | 1.需能为同一宿主机,相同VLAN内的虚拟机之间,提供网络微分域的安全管控服务 2.为满足网络安全监测和防护需求,须在非NSX环境下,以及不改变业务原有三层网络结构的前提下,支持2层串行部署模式。 3.具备L2-L7层安全防护服务能力,包括基础5元组控制能力,应用识别控制能力,以及网络攻击防御、IPS和AV功能。 4.为确保安全服务的有效性,需实时掌握云环境中的资产信息和变更状况,支持对云虚机名称,IP,网络,宿主机等信息的同步和更新。 5.支持会话同步能力,安全防护可随虚机迁移而自动跟随,最大限度的确保安全防护的持续性和业务连续性。 |
| 可视化能力 | 1.虚拟资产分布可视化,可基于虚拟网络-虚拟机分组方式管理,并呈现各分组之间和分组内部的流量交换关系。 2.可基于IP地址,流量,防护状态,虚机和网络名称,应用类型,威胁名称/类型/安全级别等条件不同组合关系控制视图呈现效果 |
| IPS防护 | 1.分布式处理,基于状态、精准的高性能攻击检测和防御能力。支持对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER+C95、MSSQL、ORACLE、NNTP、DHCP、LDAP、VoIP、NETBIOS、TFTP、SUNRPC和MSRPC等常用协议及应用的攻击检测和防御。 2.具备7000种以上攻击特征库规则列表,至少支持基于协议类型、操作系统、攻击类型、流行程度、严重程度、特征ID等方式的查询; 3.具备4000种以上HTTP特征库规则列表 4.支持缓冲区溢出、SQL注入、XSS防护,支持HTTP头域中的URL、Cookie、Referer、POST检查点配置防护策略; |
| 病毒防护 | 1.基于分布式、高速流检测,高性能、低延时的虚拟网络病毒过滤防护,可过滤诸如:蠕虫、木马、恶意软件、恶意网站等 2.支持针对bzip、gzip、rar、tar、zip、html、jpeg、mail、riff、PE等文件类型的病毒扫描,支持针对POP3\HTTP\SMTP\IMAP4以及FTP协议病毒扫描。 3.支持多层嵌套式压缩文件的病毒扫描,支持恶意网站过滤功能。具备320万条主流病毒特征库,支持手工导入或网络实时、定时更新 |
| 业务性能监控(扩展功能) | 1.支持扩展内网安全平台性能监控模块,实现内网网络监控状态、网络质量状态在线监控 2.支持虚拟化平台网络、业务状态监控,包括丢包、延时、抖动等参数 3.支持设置关键参数阈值,如:CPU、内存、丢包、延时、抖动等,对关键业务提供监测告警功能 |
| 运维管理能力 | 1.为方便管理员制定安全策略,需支持流量学习和安全策略配置的策略助手功能,提高工作效率。 2.为了能与云管平台协同、自动化工作,需提供RestAPI接口能力,实现主要功能特性的对接调用。 3.为改善安全策略的管理有效率,提升安全服务运行效率,需支持对安全策略冗余检测,以及重叠性检查能力。 4.支持与FireMon和Algosec统一安全策略管理平台联动,实现大规模配置的自动整理收敛。 |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 服务性能 | 性能:数据库实例数不限制,敏感数据扫描速率≥1000字段/秒,日志接收速率≥*****EPS。 |
| 兼容性 | 支持Oracle、SQLserver、MySQL、DB2、Sybase、Postgresql、达梦、南大通用、人大金仓、GaussDB、MariaDB、GreenPlum、MongoDB、Hive、cache等主流数据库 |
| 支持hive(支持keberos认证环境)下的数据安全治理。 | |
| 支持txt、csv、xls、xlsx、xml、html、OFDC等文件的安全治理。 | |
| 支持Samba、FTP、NFS文件系统的安全治理。 | |
| 数据源管理 | 支持网内的国内外主流数据库、文件服务系统的主动发现; 支持普通搜索和高级搜索,普通检索支持对数据库地址、数据库类型等的主动发现,高级扫描支持数据库,数据库版本,数据库服务状态等详细信息的精准发现。 |
| 支持实时监控数据源的连接状态。 | |
| 支持将数据源分组管理,数据源、分组的交叉管理。 | |
| 支持将数据源与业务系统建立关联性关系,实现业务系统的专项数据安全监控。 | |
| 数据架构深度发现 | 支持对数据库进行架构的深度发现,获取库、表、字段等详尽的架构信息; 支持扫描出文件系统的文件目录深度发现; 支持txt、csv、xls、xlsx、xml、html格式化文件的内容进行结构深度发现。 |
| 资产地图 | 支持人工智能手段下的数据流向关系梳理,展示数据流关系图。 支持查看数据源的的详尽的架构,如库/目录、表/文件、字段/列的分布情况; 以大屏的方式直观的展示资产分布情况、敏感资产分布情况、敏感类型分布情况等信息。 |
| 敏感数据自发现 | 支持通过语义识别、正则匹配、高风险字段库匹配等技术手段发现敏感数据。 支持20+种内置特征项。包括:中文姓名、中文姓、中文名、邮箱、身份证号、护照号码、邮政编码、客户名称、银行卡号、电话号码、IP地址、MAC地址、公司名称、中文地址、统一社会信用代码、组织机构代码、工商注册号、纳税人识别号、日期、身份证生日、姓名拼音、整型、浮点型、车牌号、车架号、密码等。 支持敏感数据自定义规则,可对内容和列进行匹配,如正则匹配、字段库扫描、自定义函数等 |
| 统计分析 | 支持数据源分布、敏感数据分布情况展示,支持分布状况导出。 |
| 账户权限循环监控 | 支持对数据库账户权限循环监控,支持查看监控时间、任务状态进度、历次监控结果报告。 |
| 支持监控数据库的全部账户、全部角色;支持查看每个账户具有的角色、系统权限、表权限、视图权限、存储过程权限等信息。 | |
| 支持监控每个数据源中的账户、权限分布情况;支持导出。 | |
| 资产分类分级标记 | 支持数据类别标签的分类标示管理,可多维度、多层级的通过自定义类别标签进行数据分类管理,例如数据内容、数据用途、数据来源及其他多维度分类。 |
| 支持对发现数据资产(库、表、字段)提供手动分类分级标签标记;支持批量标记。 | |
| 支持分类分级自动标记,提供丰富的敏感数据资产分类分级规则策略,实现精准的自动分类分级。 | |
| 支持分类分级标签台账自定义维度导出,包括分类分级清单(xml、excel)、敏感组合(excel)、敏感表格(excel)等。 | |
| 支持以分类、分级的维度查看数据分类分级结果和详情。 | |
| 支持导出敏感数据统计报表,格式为excel。可以选择任单库,多库的报告清单。 | |
| 资产台账 | 提供多角度、全维度的资产情况的集中展示,包括资产管理、数据流转关系、分类分级情况、敏感数据分布、用户权限等 |
| 资产分布可视化 | 支持数据资产大屏可视化展示,直观展示敏感数据级别分布、数据分类分级分布、资产类型分布等 |
| 报表管理 | 支持展示数据库的结构分布、分类分级标签分布、敏感资产分布情况;支持PDF导出。 |
| 支持展示数据库的敏感资产分布情况、敏感资产访问行为统计、敏感资产访问热度等;支持PDF导出。 | |
| 支持展示敏感资产占比、风险访问统计分析等;支持PDF导出。 | |
| 安全组件管理 | 通过统一的界面对数据安全领域如数据库防火墙、数据库审计、数据库脱敏等数据安全组件进行统一管理,统一策略下发,统一日志上报,帮助安全人员及时掌握全网安全状况,实现对敏感信息的监管和风险预警,一旦出现安全风险及时通知管理员 |
| 支持分组管理 支持授权、升级、备份、恢复、系统配置、资源查看、运行日志、服务状态管理。 | |
| 平台组件联防联动 | 支持采集各安全组件管理到的安全事件,平台集中展示安全状况,管理安全事件,统一策略应对 |
| 支持分类分级与策略下发实现联动,达到“大脑与双手”的效果,根据不同的类别与级别,自动采用不同的安全策略 | |
| 数据安全事件分析处置 | 数据安全联动管理能够有效保证系统内的数据安全协同工作,有效整合系统资源,提高安全事件的检测准确度以及事件处理的效率,通过安全策略的配置,能够实现大规模环境下的灵活、便捷的安全策略管理,从而降低数据泄露的风险。 |
| 态势感知 | 全景展示:利用大数据安全分析技术,将数据库相关的安全状况分析展现,对来自外部的攻击行为和内部违规和异常行为基于大数据技术进行建模分析,实时展现数据库一定时间段内攻防态势包括但不限于数据安全综合态势、敏感数据访问态势、风险类型和安全事件等 |
| 数据安全态势分析:基于模型应用和安全专家人工分析相结合的方式,对数据安全进行态势分析,识别敏感数据安全状态及趋势变化,掌握敏感数据违规操作和泄漏风险分布,包括从业务系统、数据类别、各安全域等多维度统计分析,提供动态的敏感数据安全可视化展现。 | |
| 画像分析:根据使用者、应用系统、威胁、风险、安全事件,基于用户行为或其它分析出用户操作安全等级,分析用户习惯,构建用户画像模型。异常模型风险发现并告警,一般模型循环监控。 | |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 服务性能 | SQL解析性能:***** SQL/S 并发数据库连接:*****个 并发数据库流量:250Mb/s |
| 数据库概况 | 展示数据库服务的基本信息,包括数据库名称、类型、今日转发日志、转发日志总量、IP地址、端口、实时流量 |
| 统计图表 | 图表展示包括转发日志统计 |
| 数据安全综合治理平台接入情况 | 支持查看数据安全综合治理平台地址及状态、日志采集服务地址及状态 |
| 数据库管理 | 支持添加、编辑、删除数据库,支持查看详情操作,支持集群 |
| 支持支持批量删除 | |
| 数据库模式只支持“流量采集”模式 | |
| 支持单个数据库基本信息的查看,包含数据库名称、应用模式、今日采集日志、今日转发日志、采集日志总量、转发日志总量、上行流量、下行流量、日志采集速率、日志发送速率 | |
| 支持配置防护设置:支持服务状态的启停、数据来源、无连接会话识别、监控数据库应答、会话超时、Vxlan、Agent监控(支持集群) | |
| 监控 | 详细的系统工作状态信息 |
| 操作日志 | 仅显示Auditor的操作日志 |
| 用户管理 | 支持对用户的授权、取消授权、删除、修改密码 |
| 支持内置角色的查看、自定义角色的添加、编辑、删除 | |
| 安全设置 | 支持对登录安全参数、登录会话超时、密码长度参数、密码过期参数、开启双重验证的配置,支持下载文件密码 |
| SQL流量监控 | 支持对数据库的SQL流量进行监控,支持根据时间、数据库进行查询 |
| Agent状态监控 | 支持对Agent插件的实时状态的监控,包含Agent使用情况及连接状态 |
| 三层关联审计 | 支持三层关联的技术介绍的、使用手册、部署实例、参考资料的查看及相关文档的下载。 |
| 服务 | 支持与数据安全治理服务对接并联动服务。 |
| 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 | |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 性能要求 | 采用海量日志存储及高速检索技术,日志存储能力≥50亿条(1T本地存储) 实配不少于50个数据库服务器或实例审计 性能参数:*****SQL/S (请提供权威机构的测试证明) |
| 部署方式 | 支持透明部署、代理部署模式、旁路部署方式,支持系统危险链路旁路阻断功能和危险链接串联阻断功能。 |
| 支持agent代理部署模式,可实现虚拟化环境下的数据库审计。 | |
| 多合一功能 | 可同时支持包括数据库审计、数据库防火墙、数据脱敏、风险扫描、状态监控、运维审计等功能。 |
| 数据库兼容性 | ★支持Oracle、SQLserver、MySQL、DB2、Sybase、Informix、Postgresql、Teradata、Cache、达梦、南大通用、人大金仓、神通、浪潮KDB、湖南上容、MongoDB、Hive、Hana、HWMPP、HighGo、Hbase、ES、Solr、HDFS、redis等主流数据库防护和审计(请提供截图加盖原厂商公章)。 |
| IPv6网络环境支持 | 支持IPv6网络环境下透明串联和代理模式部署(请提供权威证明) |
| 访问控制功能 | 介于数据库服务器和应用服务器之间,屏蔽直接访问的通道,防止利用数据库隐通道对数据库的攻击。 |
| 能够按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者,及基于表、视图对象、列进行权限控制。 | |
| 能够自动发现敏感数据如身份证号、银行账号等信息,便于进行用户权限控制。 | |
| 数据库自动发现,支持基于数据流量的数据库自动发现 | |
| 支持主动监控数据库活动,防止未授权的数据库访问、权限或角色升级,以及对敏感数据的非法访问等。 | |
| 能够实时的监控所有到数据库的连接信息、操作数、违规数等。管理员可以断开指定的连接。 | |
| 支持黑白名单的访问控制,能够以IP地址、用户、应用程序、时间段为授权单位,进行访问控制。 | |
| 支持具备业务智能感知能力,可以自动学习应用程序访问数据库的行为特征,并自动建立安全访问规则,允许合法的访问行为,对异常SQL行为进行跟踪和阻断。 | |
| 能够根据不同的用户指定不同的数据访问策略,未授权用户在访问敏感数据时根据设置返回自定义的数据。 | |
| 数据在线脱敏 | 支持前缀明文的脱敏方式,能够根据权限设置不同的脱敏方式,可对列中指定的前N字节不显示,例如对身份证号的前10个字节不显示。(支持数据库:人大金仓、MySQL) |
| 数据库审计 | 数据库访问记录应至少包括发生时间、业务用户名、操作终端主机名及IP地址、终端工具名称、服务器端主机名及IP地址、数据库名、表名、SQL语句、响应时间、返回结果等关键信息 |
| 审计策略与规则 | 必须自带默认审计策略,支持用户自定义策略和规则,系统必须支持配置操作行为的黑名单、白名单,方便用户灵活配置审计规则 |
| 支持以操作类型、时间、IP地址、用户名、主机名、终端名、数据库操作类型、数据库表、影响的行、字符串、认证结果、响应时间、关键字、敏感数据、等作为事件识别规则及审计规则 | |
| 白名单设置 | 支持对于符合条件的SQL语句直接放行,不进行记录功能 |
| 审计告警 | 内置自动告警设置,允许用户设定威胁自动告警,告警必须提供级别设定,至少提供致命、高风险、中风险、低风险4种告警级别 |
| 支持SYSlOG、SNMP TRAP、邮件、FTP等多种事件告警和提示方式 | |
| 监控扫描 | 提供对数据库漏洞、不安全配置、弱口令、补丁等深层薄弱环节的安全检测及准确评估。 |
| 支持服务扫描和发现功能,通过扫描网络中的开放端口以及确定监听这些端口的服务。如主机IP、端口、主机操作系统、服务的类型等。并实现自动或手动将这些服务添加到数据库引擎。 | |
| 支持对数据库服务器的扫描,实现对数据库的表、字段等敏感信息的自动识别 | |
| 支持对敏感数据分布的服务器进行统计,并以图表的形式展示,可导出为报表。 | |
| 资质 | 满足IPV6的《Core Protocols Test Specification》测试标准,能实现IPV6环境下的互联互通和安全审计 |
| 服务 | 支持与数据安全治理服务对接并联动服务。 |
| 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 | |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 工作模式 | 支持Agent引流,运行时CPU占用率低于3%,内存占用小于100M,程序文件小于5M |
| 基本功能 | 支持Oracle、SQLServer、MySQL、DB2、PostgreSQL 、Cache、Portal、Informix、Samba、达梦、人大金仓、南大通用等数据库的审计,且支持多种不同的数据库同时审计 |
| 系统自带各种常见HIS防统方规则库,且规则数量≥500条以上。支持杭创、键讯、金蝶慧通、用友、中联、阳光用药、天健、厦门智业、科进、中天、天网、方正、东华、金仕达、东软、陕西医星、长城、广州力锦等HIS的防统方审计;支持自定义防统方策略,防统方策略支持18种以上分项响应条件 | |
| 系统应支持多层过滤功能,支持网络流量驱动级过滤,根据过滤的条件(如源地址IP/目的地址IP)定义规则,对网络流量进行网络层过滤;根据系统语句(SQL语句)和白名单(条件为IP/MAC/数据库账户/审计对象/操作语句)定义规则进行应用层过滤 | |
| 防统方审计能力 | 全面支持后关系型数据库Cache的集成工具Terminal、Portal、Studio、Sqlmanager、MedTrak工具的审计,其中Portal能审计到Sql语句、查询Global有返回结果,Sqlmanager支持根据SQL ID提取高效审计, Terminal能审计到SQL语句和返回结果,并支持本地审计,基于C/S的MedTrak工具能审计到操作报表的具体返回结果 |
| 支持数据库绑定变量审计、函数审计(sum求和函数等) | |
| 应用审计能力 | ★支持带COM、COM+、DCOM组件的三层架构应用审计,可提取包括应用层工号(账号)之内的“六元组”身份信息,精确定位到人;(提供截图并加盖公章) |
| 防统方策略支持 | 支持操作语句系列的组合规则,可根据某一客体的操作行为序列,连续操作了设定的语句序列时进行规则审计告警 |
| 支持统方确认,点击查看某条审计记录,能够进行统方确认,此时该条审计记录就会从审计记录中移除,加入到统方报表中 | |
| 审计配置管理 | 系统支持对所有防统方系统管理人员的操作行为进行审计记录,如管理人员的登录登出、规则修改、规则启用等,并由审计人员进行查询和审计,具有自身审计功能 |
| 翻译功能:支持在审计时自动将审计结果翻译成自然语言,支持系统定义和用户自定义翻译,按照业务的行为和分类来进行信息的组织和展现,便于审计人员方便、简单的获得并了解数据库审计的结果 | |
| 事件查询统计 | 内置防统方报表,包括用户访问情况、IP访问情况、风险统计情况、统方事件等报表;支持内置抗生素使用报表、高值耗材报表,展示用药情况、患者自费比例、抗生素使用情况、耗材使用情况、科室使用情况等;支持自定义报表;支持Word、PDF、Excel格式导出报表 |
| 攻击检测能力 | 系统应具备自动发现未知仿冒进程工具的能力,通过对未知进程的监控从客户端工具使用的次数,客户端IP及次数、连接数据库次数等多维度进行安全评估和预警 |
| 抗菌药物试剂及耗材分析 模块 | 支持特定时间区间内抗菌药,药剂及耗材的种类,型号,规格,用量,价值的排名统计,并生成报表 |
| 支持对药物,药剂,耗材的全程监控,支持模糊条件查询和精准条件查询。支持对药物,药剂,耗材统计数据实时上报和告警(提供截图并加盖公章) | |
| 第三方接口功能 | 支持Syslog和SNMP Trap方式向外发送审计日志;可外置短信猫,支持GSM卡;支持与第三方邮件和短信系统对接;提供接口可实现与网络端点的联动 |
| 资质要求 | 服务厂商须具有《防统方系统》计算机软件著作权登记证书,需提供相关证书复印件并厂家盖章 |
| 服务厂商具备软件能力成熟度集成模型CMMI3认证 | |
| 服务厂商具备ISO*****信息安全管理体系认证证书、ISO9001质量管理体系认证 | |
| 厂商具备数据库漏洞挖掘能力,同时具备通过此漏洞进行高危操作的审计与防护能力,提供已挖掘且CVE确认的数据库危险漏洞 | |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章 |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 数据库监控 | 支持Oracle、MySQL、SQL-Server、PostgreSQL常规关系型数据库运行状态监控 |
| 支持MongoDB、HBase等大数据监控 | |
| 支持达梦数据库运行状态的监控 | |
| 支持Caché等特殊应用场景下的数据库运行状态监控 | |
| ★Oracle监控:支持对CPU使用率、用户操作进行监控;支持对IO吞吐、IO延迟、阻塞活动的监控;支持生成AWR、ASH分析、对数据库以及表空间使用情况等报表;支持对命中率、在线用户数、会话进行监控(提供截图并加盖公章) | |
| ★MySQL监控:支持对网络、查询缓存、表操作、锁信息的监控;支持对数据库每秒收发的网络流量监控;支持对查询缓存、innodb缓存、表缓存的的监控;支持Innodb统计、键缓存、阻塞活动、数据库使用情况、表空间使用情况监控;支持QPS & TPS、缓冲池使用率、连接数、慢查询进行监控(提供截图并加盖公章) | |
| SQL-Server监控:支持对事务回滚、等待、Task平均数量、平均运行数量、平均等待数量的统计;支持对等待比例、解析信息、数据库缓冲区的使用情况的监控。支持阻塞活动、数据库以及表空间使用情况、内存使用率监控 | |
| PostgreSQL监控:支持事务量的监控、IO统计、Tuple统计;支持阻塞活动的监控;支持对数据库以及表空间空间使用情况的监控 | |
| MongoDB监控:支持获取数据库内存信息、数据库接受发送网络流量、数据库操作指标(增删改查)、全局锁信息、数据库基本信息;支持对数据库生命周期的监控,监控全局锁队列、活跃客户端、游标信息、内存使用 | |
| HBase监控:支持对Garbage Collection时间、JVM堆内存使用情况、JvmMetrics、主机网络吞吐量、集群请求、Java线程、刷新 & 压缩队列、在线的region数目、系统负载、系统内存、系统请求、系统日志 | |
| Caché监控:支持对数据库的活动状态、性能、空间使用情况监控,可生成报表并记录系统日志,并支持对多数据库的ECP管理、Journal管理监控 | |
| DMdbms监控:支持对数据库生命周期、会话数、系统资源监控,并能监控数据库性能指标、空间使用情况,根据设置时间对监控数据生成报告 | |
| 大屏展示 | 支持展示各数据库状态,包括连接状态、内存使用率、会话数、进程数等信息 |
| 支持大屏展示数据库状态TOP5,包括空间、阻塞次数、阻塞时长、连接数、告警次数、活跃事务数 | |
| 实时预警 | 支持对数据库健康指标数据持续采样,并配置健康指标基线、将采样数据与健康基线指标匹配,对偏离事件实时告警 |
| 辅助优化 | 支持对数据库访问流量、并发吞吐量、解析语句量、语句归类模板量、SQL语句的响应速度等进行专项的分析;可针对执行量最多、访问最慢的语句进行梳理和呈现,提供专业的性能诊断分析 |
| 告警配置 | 支持配置邮件告警设置,对各类型数据库设置会话数、进程数等阈值告警,并可查看告警信息,导出告警信息 |
| 系统管控 | 支持设置用户角色,并配置权限 |
| 支持监控信息设置,可开启或关闭监控数据库类型等 | |
| 支持升级与回退,可关闭、重启系统 | |
| 监控授权 | 支持16个数据库实例,最大扩展到31个实例 |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 1项 |
| 服务指标 | 具体要求 |
| 数据源类型支持 | 支持多种数据源,包括:Oracle、SQL Server、MySQL、DB2、PostgreSQL、sybase、informix、Vertica关系型数据库; 支持Hadoop、Hive、MongoDB、hbase大数据库脱敏; 支持DM、GaussDB、OceanBase等国产化数据库的脱敏; 支持阿里云下的RDS、Maxcompute数据库脱敏; 支持具有明确行列、分隔符的格式化文件脱敏成文件或数据库表,如XLS、CSV、TXT等文件; ★支持数据库特有格式文件脱敏,如:DMP、DEL等类型文件脱敏;(提供截图并加盖公章) |
| 部署方式 | 脱敏服务支持虚拟化部署 |
| 脱敏服务支持旁路部署 | |
| 脱敏服务支持云上微服务架构、容器化等环境部署 | |
| 脱敏方式 | 支持数据库到数据库、数据库到文件、文件到文件、文件到数据库、同库等多种脱敏方式 |
| 支持数据源中数据存储格式为UTF-8、GBK、Unicode、GB2312、ZHS16GBK、BIG5、Latin1等字符编码数据格式脱敏 | |
| 脱敏数据 信息自动发现 | 支持自动获取源库中数据定义语言DDL内容,用来创建目标数据库中的各种对象、表、视图、索引等信息 |
| 内置30多种敏感数据类型用于敏感数据的发现,可覆盖政府、金融、学校、企业等多个行业相关的敏感数据类型 | |
| 支持自动发现敏感数据任务的创建,支持只对增量敏感数据进行自动发现 | |
| 支持灵活的敏感数据规则组自定义管理,规则组不与脱敏任务绑定;对脱敏方案进行调整、修改时不会影响与之相关的脱敏任务,不需要删除与脱敏方案相关的字段发现以及脱敏任务 | |
| 支持在一个字段或一列数据中自动发现并识别出所有敏感数据所属的敏感数据类型,方便用户在进行数据脱敏操作时对敏感数据进行归类整理 | |
| 支持自定义设定样本数目和匹配率进行在全库表或部分表扫描敏感数据类型 | |
| 脱敏算法 | 内置不少于10种以上脱敏策略:映射算法、字符替换、字符按位遮蔽,数据加密、可逆、可逆还原、随机算法等。满足用户对数据的加密、还原、数据关联等多种数据脱敏的应用场景 |
| 支持HASH脱敏算法,如SHA256,SHA512,HASH+盐加密等多种算法 | |
| 支持在系统前台界面配置SM3国密脱敏算法 | |
| 支持对结构化数据脱敏后可以还原成原始数据的脱敏 | |
| 关联关系 | 支持保持同一数据库中不同表字段之间的数据关联性 |
| ★支持保持发现不同数据库之间的表、相同字段间的数据关联性;(提供截图并加盖公章) | |
| 脱敏策略 | 支持黑、白名单过滤功能,其中黑名单过滤做到敏感列中的数据不直接同步到目标;白名单过滤做到敏感列中的数据不经过脱敏处理,直接同步到目标 |
| 支持脱敏后脱敏数据、混合类型数据保持原有数据特征 | |
| 脱敏任务管理 | 支持脱敏任务在执行过程中遇到的异常数据,跳过异常数据继续执行任务 |
| 支持定时、定期自动执行脱敏任务,支持按照日期、时间等条件对任务进行定时处理 | |
| 支持只对源数据中增量的内容进行脱敏,无需重新开始脱敏 | |
| 静态脱敏时,发生异常或脱敏核心进程异常时不影响业务系统正常使用 | |
| 支持数据库中脱敏源数据与脱敏结果对比,脱敏表结果、数据库对象同步结果以报表方式展现 | |
| 水印方式 | 支持图形化操作创建、修改、删除水印任务和水印策略,同时支持自定义水印任务和水印策略的创建 |
| 支持嵌入不可见字符、数字水印等 | |
| 支持数据源中数据存储格式为UTF-8、GBK、Unicode、GB2312、ZHS16GBK、BIG5、Latin1等字符编码数据格式注入水印 | |
| 支持经过水印处理的数据,不影响数据的使用,不易被察觉,可将数据生成到数据库中或者是文件中 | |
| 水印能力 | 支持在关系型数据库、结构化数据文件中对数字、字符等不同类型数据嵌入不同水印信息,使之具有更好的鲁棒性 |
| 支持库到库、库到文件的嵌入水印操作 | |
| 支持不依赖主键嵌入水印和水印溯源 | |
| 支持自定义嵌入水印方式,用户可选择不同的水印算法,并根据水印算法进行字段规则的选择,制定水印方案,水印方案制定后,可被重复利用 | |
| 支持嵌入在原始数据中的水印不可去除,且能够提供完整的版权证据 | |
| ★支持对疑似泄露数据文件或数据表,直接上传到数据水印系统,一键溯源,自动化展示出溯源结果,生成溯源报告(提供截图,并加盖公章) | |
| 支持对水印溯源的匹配率设置,可根据客户设置的溯源匹配率进行水印的检测 | |
| 服务厂商具备ISO9001质量管理体系认证、CMMI3级认证、ISO*****认证,提供相关证书复印件 | |
| 服务 | 提供服务厂商三年售后服务承诺函并加盖服务厂商公章。 |
| 数量 | 1项 |
| 服务指标 | 服务内容 |
| 数据安全资产梳理 | 对核心数据资产进行梳理,输出《数据资产清单》、《数据分类分级清单》 |
| 数据安全检查 | 依据国家及行业法律和规范要求,对核心系统数据资产进行安全检查,输出《数据资产安全检查报告》 |
| 数据安全风险评估 | 依据数据安全风险评估规范,对核心系统重要数据资产进行整体的数据安全风险评估,输出《数据安全风险评估报告》、《数据安全风险加固建议》 |
| 备注说明 | 核心数据资产、核心系统的具体内容范围,以服务交付时招标人的定义为准 |
| 数量 | 数据安全资产梳理1次服务 |
| 数据安全检查1次服务 | |
| 数据安全风险评估1次服务 |
| 序号 | 要求款项 | 要求内容 | 备注信息 |
| 1 | 项目组织架构 | 提供项目组织构架方案 | |
| 2 | 进度管理计划 | 提供进度管理计划 | |
| 3 | 服务方案 | 提供服务期内服务计划、服务内容(包括完善的售后服务体系、完备的服务团队、故障响应时间、巡检) | |
| 4 | 培训方案 | 提供培训内容、培训计划、培训方案 | |
| 5 | 服务承诺 | 提供履职尽责承诺,具有保证技术措施落实到位的承诺和落实不到位的处理承诺,其中包括各关键岗位人员(负责人及相关技术人员等)的在岗、更换等履职尽责承诺。 |
备注:本项内容由投标人在招标文件 第六章“投标文件格式”-“八、项目实施方案”中做出响应。评标委员会按照招标文件 第三章“详细评审标准”进行评审,方案响应缺项的将不利于其评审得分。
标签:
0人觉得有用|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
