| 功能参数 | ★支持一个节点防护一个或多个站点及APP;配置可防护APP数量≥5,小程序数量≥5,站点数量≥25,最大并发≥***** |
| ★支持对SM2国密证书的加解密 |
| 支持对防护目标地址进行检测是否存活 |
| 支持监控节点服务器CPU、内存、磁盘和流量信息 |
| ★支持常见Web框架组件安全漏洞防护,如Struts2等 |
| ★支持Web应用信息泄露防护,包括常见系统组件信息 |
| ★支持浏览器、APP及小程序通过植入令牌并进行验证的方式识别并防护爬虫行为 |
| 支持对页面内容安全合规进行配置限制,保护敏感数据 |
| 支持对GET、POST、HEAD、PUT、OPTIONS等方法进行拦截 |
| ★支持敏感信息请求URL保护;支持对请求URL白名单配置 |
| ★支持对触发规则频次进行循环限制,以防止误封杀 |
| ★支持将触发规则的用户加入至恶意用户列表 |
| 支持对日志进行配置数据报表磁盘空间和磁盘归档 |
| 支持对日志进行报表导出,支持PDF和HTML格式报表 |
| ★APP完整性校验:支持通过检查APP的校验码和包名进行APP的完整性校验,能够记录APP的校验码、包名、平台、APP名称,能够对篡改和二次打包后的APP发起的请求进行拦截,防止破解后的客户端访问服务器资源 |
| ★APP动态验证:支持对APP运行环境检测及用户行为状态追踪,用以区分请求是否由合法客户端发起且由真实用户操作,包括ROOT环境、模拟器环境、系统双开环境、软件双开环境等,并可配置对以上风险进行实时的拦截 |
| ★APP动态混淆:支持对APP请求与响应数据进行混淆加密,区别于SSL/TLS的传输层加密,是对应用层数据进行混淆,每次混淆的结果均不相同,保障传输数据的保密性和完整性,防止中间人攻击及窃听攻击 |
| ★APP动态令牌:支持通过在请求和响应的header中添加SDK令牌,每个请求都携带一次性的令牌,确保业务逻辑的合法及有效性,防重放攻击 |
| ★APP动态封装:支持对APP请求数据和响应数据封装成不可预测的乱码,每次结果均不同,仅集成了SDK的客户端能将其正常还原,从而实现关键信息的隐藏和漏洞信息的屏蔽,提升下一步攻击的难度 |
| ★防逆向:通过DEX加密、IVMP、源码混淆等加固技术对DEX和SO文件进行保护,防止被APKtool、IDA等逆向工具进行分析 |
| ★防篡改:在加固时提取APP内每个代码文件、资源文件、配置文件的特征值,替换任意一个文件,都会导致应用无法应用,防止APP被反编译后植入恶意代码 |
| ★防调试:多重加密技术防止代码注入,防JAVA层/C层动态调试、防代码注入和防HOOK攻击 |
| ★数据防泄漏:使用多种加密算法,包括国际通用算法及自主研发的加密算法等,保护本地数据的安全 |
| ★系统支持与安全设备进行联动,针对发现的风险信息进行联动封堵 |
| ★页面防护:应用防劫持、应用防截屏、虚拟键盘SDK,对输入输出数据进行保护 |
| 产品资质 | ★产品具备中华人民共和国公安部颁发的销售许可证资质(增强级) |
| ★产品具备中国信息安全认证中心颁布的《网络关键设备和网络安全专用产品安全认证证书》资质(增强级) |
| 服务要求 | ★集成商负责相关产品到货、产品验货、配合产品原厂实施人员、协调原厂实施人员解决实施中遇到的问题、新产品的使用及技能传递、项目验收等工作,并在合同期内负责协调本项目有关硬件及相关医疗软件厂商的技术协调及支持工作 |
| ★集成商需按院方需求提供医院内对外业务系统防护原厂实施安装服务,提供实施方案 |
| ★集成商提供专职技术人员,需7*24小时电话在线,如遇突发情况4小时内到达现场。如需更换专职技术人员,服务单位需提前一周向院方提交书面申请,院方批准后方可进行更换。更换专职技术人员前,服务单位需做好交接,保证院方维护工作无断档情况 |
| ★集成商需对我院现有安全设备品牌及防护能力进行调研,完成与我院各安全设备及系统联动封锁能力,提升我院多维度安全防护效果,如联动过程中需二次开发产生的费用由集成商承担 |
| ★在项目实施过程中,由于集成商技术能力问题,导致需要其他厂商或第三方人员进行技术配合的,由集成商进行协调沟通至问题解决;由此产生的任何费用都由集成商承担 |
| ★App加固及二次开发服务,为了保护应用程序的安全性,乙方需要对我院提供外网多平台(Android、IOS、微信小程序、支付宝小程序)移动应用App程序进行加固及安全相关二次开发服务,服务时间不少于60人天 |
| ★为我院提供Android、IOS应用安全开发培训、安全定制化开发培训,包括移动应用安全开发基础知识、移动应用开发过程中的安全编码、移动应用运行环境安全风险、移动应用安全业务场景实例分析 |
| ★渗透测试服务:对我院所有外网应用系统及其宿主服务器进行深度漏洞挖掘,发现WEB应用系统、APP程序中存在的安全漏洞,进行漏洞可利用性验证,并提供包含完整漏洞信息、系统化处置建议报告,帮助我院尽早发现漏洞、修复漏洞 |
| ★集成商需要为防御系统使用中出现的问题进行配合解决,帮助院方排查相关问题 |
| ★实施完成后需派驻此项目实施技术工程师现场保障15个工作日以上,根据使用情况完善相关设置并快速解决使用中的相关问题 |
| ★项目实施结束后,为保证设备稳定运行,集成商需与院方沟通,确认对设备进行定期巡检、机柜及线路整理及物理环境清理等相关事宜 |
| ★按相关审计要求,保证产品序列号可查询最终用户为营口市中心医院,产品到货时需现场验货,如提供假冒或非正规渠道产品,院方有权要求中标方赔偿合同额的5%-10%,并终止合同 |
| ★针对于此项目中标方若未达到合同要求的故障响应时间、到达现场时间,每发生一次,院方有权扣除合同金额的5%;如引起院方信息系统发生较大事故导致无法使用,每发生一次,院方有权扣除合同金额的20% |
| ★针对于此项目中标方所提供的产品在部署实施后与标书要求的功能进行验证,如有不符合标书要求的虚假承诺,院方有权撤销与中标方签订的采购合同 |
