网络设备技术参数及要求二标段.docx
《网络设备技术参数及要求二标段.docx》由会员分享,可在线阅读,更多相关《网络设备技术参数及要求二标段.docx(58页珍藏版)》请在冰豆网上搜索。
网络设备技术参数及要求二标段
网络设备技术参数及要求(二标段)
项目概况
随着新院建成,信息技术的迅速发展,以便于业务更好的发展。
提高医院的医疗质量、工作效率,提高管理水平,更好地服务于病人、服务社会大众,并要不断提高医院的科研、技术水平。
现由于医院规模和业务的不断发展,用户数量的增加,已有的医院信息化系统硬件已逐渐不能适应现有应用的需求。
为了保证医院医疗活动的正常运行,使更多的人可以获益,以及为了在网络上可以支持更多的新一代的应用系统服务,所以在原有的基础上改建,建设新的信息化网络安全系统设备。
一、项目特殊要求
根据政府要求医院尽快搬迁,因此本次招标物品为医院核心设备,关系到医院搬迁工期和工程进度,保证所供货物为正规厂商提供,符合医院参数要求,需参与本项目的供应商以书面的形式对卫辉市人民医院做出如下承诺:
提供虚假材料谋取中标者或货物非在中国大陆销售的(非行货),一经查实,供应商不再索要投标保证金以及所供货物。
二、需求一览表
序号
名称
数量
单位
1
数据库监控审计系统
1
台
2
统一安全管理与运维审计系统
1
台
3
网管系统
1
套
4
上网行为管理
1
台
5
统一容灾系统
1
套
6
备份一体机
1
台
7
防火墙
1
台
8
入侵检测
1
台
9
终端安全管理一体机
1
台
10
安全隔离与信息交换系统
1
台
11
服务器
1
台
12
KVM切换器
1
台
(注:
需求一览表中未列出但为正常运转所必须的部分仍由中标人自行提供)
四、技术规格与要求
1、数据库监控审计系统
性能要求
设备类型
1U机架式一体化设备
网口类别
≥4个千兆以太网接口,至少2个管理口,2个审计口
网络吞吐能力
吞吐能力≥2000M
SQL语句处理能力
SQL语句交易量≥10000条/秒
会话并发数
≥2000个
硬盘
≥1T
内存
≥4G
电源
单电源
可审计数量
数据库IP≥10个
部署
部署模式
支持旁路侦听模式,无需安装Agent;
无需改造数据库、中间件等。
系统架构
系统形态
HTTPS方式访问,无安全漏洞。
系统语言
需支持中文、英文,可在页面上进行切换。
功能要求
审计范围
覆盖主流商用数据库,包括:
Oracle8/9/10/11等;Sybase所有版本;SQLServer2000/2005/2008;Informix所有版本;DB2所有版本;MYSQL所有版本;Cache所有版本;达梦所有版本;人大金仓所有版本;南大通用所有版本。
资产添加简单安全,仅需填写数据库系统IP、端口和版本即可,无需填写数据库账号和密码。
支持安全数据来源过滤,可设定安全来源IP地址,进行数据安全过滤;
可设定严重威胁来源IP,进行针对性审计。
针对单个IP上的数据库实例数量不进行限定。
系统架构
数据采集、分析、审计等功能均在同一设备上实现。
会话记录
以会话为单位详细的记录了数据库的操作过程:
精确的时间点、来源网络地址、来源端口、客户端主机名、客户端操作系统用户名、数据库类型、目标地址、目标端口、客户端程序、数据库账号以及完整的操作行为详情。
实现数据库管理员行为跟踪和分析,用户行为跟踪和分析,机器行为跟踪和分析,数据库登录行为跟踪和分析。
深度解码数据库网络数据流传输协议,完整、细粒度分析并再现用户数据库操作活动会话过程;会话审计内容从访问的发起、连接、到结束进行完整记录。
细粒度解析
★深度解码数据库网络传输协议,完整、细粒度分析并再现用户数据库操作活动过程。
完整记录用户数据库会话细节,包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程、函数、SQLDML操作影响行数、SQL语句执行时间,原始数据库记录包等。
审计结果需支持中文表组、列显示。
审计结果需展示伴随SQL语句发出的备注语句,以便进行优化。
绑定变量解析
能够完整、细粒度地解析绑定变量。
可以精确定位到操作客体,真正审计到数据发生了什么事情。
超级SQL语句解析
支持≥20000字节的SQL语句进行完整审计和解析,保证审计日志的完整性和可靠性,无审计盲点。
SQLserverTDS加密协议解析
★无需提供数据库的账号和密码,即可详细审计出SQLserver2005/2008/2012/2013的TDS交互的数据,包括但不限定数据库账号、访问程序名、来源主机名、完整操作过程等,实现了对数据库的完整审计,确保数据的完整性,做到有据可查。
双向审计
不仅支持对数据请求的命令进行审计,同时应对请求的返回结果进行审计,如操作回应、影响行数、执行时长、错误代码等内容。
系统管理
用户可以通过统一监控界面直接查看最新的策略告警,最新违规操作和最新系统告警事件,当新的事件发生时,该监控页面将实时展现最新信息,并提供监控信息过滤。
可以直观查看系统存储,并提供存储告警界限,并支持存储任务,定期将日志通过FTP、SFTP进行统一转储。
用户管理
提供超级管理员、资产管理员和审计管理员权限分离;
资产管理员可以添加数据库审计服务器、审计策略制定、审计记录查看等。
审计管理员可以查看和审计数据库会话详细信息、统计分析报表、安全操作日志、维护日志。
支持用户根据自身环境和要求自定义角色,
支持角色按功能模块灵活授权。
支持按用户授权可管理的数据库资产,实现不同数据库管理和审计权限的独立。
策略告警
提供全方位的策略规则匹配,策略因子包括:
数据库操作来源IP地址、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL操作语句(DDL、DML、DCL)、数据库表组(表、条件)、SQL语句返回行数、SQL语句执行时间等告警匹配条件。
多形式的实时告警:
当检测到可疑操作或违反审计规则的操作时,系统可以通过监控中心告警、WEB声音提示告警、邮件告警、SYSLOG告警等方式通知数据库管理员。
数据库实时监控
提供数据库实时监控功能,可以针对被审计的全部数据库、数据库类型、数据库组别、单个数据库进行实时监控,监控其网络流量、数据包、突发链接、并发连接数、SQL语句数,并提供动态波形图展示,用户能够直观地了解当前数据库运行状态。
提供最近一周内数据库的网络流量、数据包、突发链接、并发连接数、SQL语句数波形图,并可供下载查看。
数据库实时监控无需在数据库服务器安装引擎,对数据库服务器无任何影响。
查询和报表
全文搜索
提供全文检索功能,可以做到对海量的数据记录进行更加快速、方便的查询与定位。
支持“精确搜索”,可对时间、IP、端口、客户端程序、数据库账号、数据库类型、消息长度(SQL语句长度)、SQL语句关键词等详细检索条件。
检索SQL语句支持SQL命令、表列名、执行条件,返回命令等进行匹配
查询结果和会话进行关联分析,可通过会话查看命令的上下文内容。
概要统计
提供会话总数、策略告警总数、异常告警总数、资产总数、用户数量、操作日志数量等信息统计,并能够按天进行统计分析,列表展现。
统计报表
可根据数据库地址、数据库名称、访问源IP地址、用户名称、源程序名称、源终端名称等排序、统计和报表,可生成月报、周报和日报,可对特定数据库、用户名称等进行报表统计。
内置报表需包含且不限于等级保护合规、数据库访问详情、数据库访问统计等类型,每种类型不少于5种。
提供自定义报表向导,制定符合实际要求的各类型报表。
报表可从会话日志、策略告警日志、异常告警日志、系统事件日志进行报表来源统计。
统计报表以3D饼状图、柱状图、表格形式输出,统计结果支持HTML、PDF、EXCEL等格式导出。
产品扩充性
供货厂商需具备更为先进有效的数据库安全产品,以便后续升级换代,可即时阻断非法连接和危险操作。
2、统一安全管理与运维审计系统
项目
基本要求
设备类型
1U机架式一体化设备,内置应用发布中心
可管理设备数
≥300个
网络接口
≥4个千兆自适应电口
硬盘容量
内置存储≥1TB
电源要求
单电源
高可靠性要求
★支持双机热备,支持系统配置以及审计日志实时同步。
支持集群部署,系统策略支持统一下发,后期升级扩容方式支持单节点扩容,无需进行软硬件的二次升级即可完成。
支持第三方负载均衡,并支持集群自带的负载均衡模块。
项目
基本参数
支持协
议类型
图形终端协议:
RDP、VNC、X11
字符终端协议:
Telnet、SSH
文件传输协议:
FTP、SFTP
数据库类型:
Oracle:
PLSQL、TOAD、SQLPLUS、SQLDEVELOPER;Informix:
DBACCESS;Mysql:
MYSQLFRONT、HIDESQL;SQLServer:
SQLserver(2000-2012);Sybase:
SCVIEW4;DB2:
DB2CMD、DB2QUEST
WEB应用:
HTTP、HTTPS
KVM类:
DSR、DSVIEW、RARITAN、RARITAN_CC等
其它应用:
AS400、REALVNC、PGADMIN、PCANYWHERE、RADMIN、DameWare、CiscoASDM、VMwarevSphereClient
单点登录
上述所有协议类型均可实现单点登录,图形化应用无需安装任何客户端和控件即可实现单点登录,即通过堡垒机实现图形化应用发布功能
★支持IE代填类型包括JS、flash、HTML5等特殊登录页面。
无缝应用发布功能
要求以上所有图形化应用在实际操作环境中均可以正常使用且可自由调整应用的窗口大小,做到无缝发布,拖拽窗口应自然流畅,无卡顿现象,像是在本地运行应用程序一样。
系统自身安全性
IP自动禁止功能
系统支持IP自动禁止功能,对连续登陆账号密码错误的来源IP自动屏蔽,可通过管理员解除屏蔽。
帐号自动禁止和锁定功能
支持账号自动锁定功能,用户1分钟内连续输入账号密码错误,自动锁定该账号
自身健康检测
支持对应用中心状态、审计状态和端口状态是否正常工作进行一键检查。
console口管理
保证在特殊情况下通过console口连接。
保证紧急情况能够用过console管理员密码或网络IP地址。
运维管理
运维方式
支持C/S与B/S运维方式
工具属
性支持
支持字符类putty、SecureCRT等工具的各类属性:
终端属性、字符编码、窗口大小随意调整等等;图形类mstsc工具的原有属性:
自定义开启/关闭磁盘映射、剪切板等,支持窗口大小随意调整、声音传输等等
授权审核
可以指定系统用户查看该用户可管理的资产信息;可以指定资源名/资产IP/账号名查看资产属于哪些系统用户管理。
授权关系导出(可以导出用户和设备授权关系进行查看,导出展现形式excel)
授权审批
运维人员可以在系统Web界面填写授权审批流程单,填写内容至少应包括:
设备资源、系统账号、协议类型、时间窗口;审批通过后,运维人员可立即取得相应访问权限
向导模式
为管理员和运维人员提供操作向导模式,方便用户进行设备管理和使用。
中英文管理界面
支持中英文切换WEB管理
自动化运维
可以制定计划任务,至字符类资产执行事先编辑好的脚本。
脚本超时执行时间为每个计划在单台机器上的超时时间。
执行超过超时间后会断开连接
可以通过手动登录某台资产,登录后会触发机器自行执行预先设置好的脚本。
可关联相应堡垒机运维帐号及资产帐号。
用户帐
号管理
用户角色
系统角色需按法案要求进行划分,至少有系统管理员、密码管理员、配置管理员、审计管理员、普通用户等多种角色。
身份认证
系统提供身份认证,自然人(员工帐户)登录系统时支持静态口令、Radius认证、LDAP、AD域、数字证书认证、动态令牌认证、USBKEY认证、指纹认证和Google手机动态令牌认证。
支持指纹认证:
至少支持三个厂商的指纹认证。
系统内置PKI证书认证功能,用户只需配置USB-KEY即可实现证书登陆认证,实现双因素认证(USB-KEY+PIN码)。
★系统内置动态令牌认证,用户不需要额外部署认证服务器,通过配置动态令牌实现双因素认证;同时可支持Google手机动态令牌认证。
支持多因子认证自定义组合,可为不同用户组分配不同的认证策略,支持单因素,双因素和多因素的认证策略
批量管理
支持以excel格式批量导入和导出用户帐号
用户帐号自动改密,可制定改密计划对用户帐号进行定期改密,并发送邮件通知用户。
在线批量编辑,提供堡垒机用户的批量编辑功能,以方便用户管理员批量修改帐号属性及关联信息,包括会同权限、用户状态、有效时间。
支持从AD服务器批量导入用户帐号。
设备及账号密码管理
批量管理
支持批量导入导出运维用户、目标设备、账号密码等,支持目标设备账号批量新增。
支持在线批量设备帐号修改;支持设备帐号属性添加和修改,包括帐号密码、应用参数、帐号状态、会同信息、改密脚本、特权帐号、应用端口、应用密码提示、帐号类型、帐号提示符、帐号同步。
SSH公钥登录
通过ssh-keygen产生公钥和私钥密码对,上传堡垒机,可实现免密码登录服务器。
密函打印
支持将目标设备资产的账号密码进行密函打印导出。
设备账号
自动改密
支持linux、unix、网络设备、windows2000/2003/2008的自动改密功能;无需通过插件、引擎或特殊端口对目标设备进行自动改密。
在系统完成密码修改之后,自动进行新密码登录测试,以便进一步校验密码修改结果。
权限管理
分权管理
★支持系统管理员按部门进行分权管理,各部门系统管理员只能管理和授权本部门管辖内的设备资源;支持审计管理员分权管理,只能审计被授权的设备。
访问控
制功能
系统提供访问控制功能,支持对系统的用户登录进行可配置的策略设置,根据策略因子:
用户或用户组、日期、每月、每周、时间、源地址、目标地址、目标端口、目标账号、动作(接受、拒绝)来定制访问策略对用户或用户组行为进行控制。
提供禁审功能,可对部分设定的控制策略的会话不审计录像,防止机密信息二次泄露。
命令控
制功能
系统可以对字符操作的命令进行控制,通过制定命令黑白名单实现对命令的有效管理,可以对命令集合进行告警或者自动阻断,支持正则表达式匹配。
SFTP和FTP目录锁定
默认规定用户登录后,只能在其目录下进行操作,不能随意跳转至其他目录进行操作,也可通过开关打开限制。
会同功能
系统应具备会同功能。
如运维人员需要访问目标设备,首先需要向管理员申请连接会话,得到管理员同意后,运维人员才能对目标设备进行运维操作。
会话会同支持会同生效时间,且支持以web弹窗的方式通知会同授权人。
会同人收到会同请求时,刷新页面或登录时会在页面弹窗提示。
日志审计
命令记录
支持命令记录:
字符终端命令记录、图形终端键盘操作记录、数据库运维SQL命令、图形标题栏识别(OCR)
字符终端命令记录:
用户可以从任意命令开始查看本命令输出结果或播放;命令分析功能将输入命令和输出结果的智能分离,可以只查看字符命令,也可以显示该命令的返回结果
图形终端键盘操作记录:
支持图形终端键盘操作记录,完整记录键盘动作。
数据库运维SQL命令:
系统应具备审计到详细的SQL语句,而非键盘符指令,并要求记录到SQL语句的执行时间。
图形标题栏识别(OCR):
系统应具备对图形运维中的标题名进行智能提取,并可以从任意一个标题名开始回放。
可支持中英文操作系统的标题栏体系。
录像记录
WEB在线回放完整会话;字符终端操作会话支持倍速播放;图形操作会话支持拖拉定位播放;支持暂停、停止、重新播放等播放控制操作。
审计录像采用数据流回放技术,空闲操作(无屏幕变化)日志无增长,节省了日志空间。
传输文
件备份
系统应具备审计到FTP/SFTP传输的原始文件,并可以在审计系统上进行备份并下载查看其具体内容。
对大于一定大小的FTP/SFTP运维审计中的文件可进行异地转储,并可记录文件md5值,保障文件的完整性和有效性。
支持人工开关自由选择是否备份原文件。
日志搜索
提供搜索功能,可组合目标主机地址、登录地址、堡垒机用户、远程账号、时间、键盘输入的命令、标题栏等条件进行搜索,快速定位会话记录;搜索条件“用户命令”支持“或”和“与”逻辑关系。
字符运维命令返回值搜索和屏幕导出,支持搜索命令的返回值信息,并支持将屏幕信息导出为文本。
告警模块
图形操
作告警
支持RDP会话针对操作行为告警(针对标题栏进行告警),可进行告警内容设置。
数据库
操作告警
支持数据库应用针对操作命令进行告警,可进行告警内容设置(告警内容支持动作,表名等)。
数据管理
数据存
储管理
存储告警:
日志存储超过设置的阀值进行邮件告警,支持定期删除计划,只保留设置时间段的日志。
数据备
份管理
支持通过FTP和SFTP进行系统配置备份和还原,支持FTP和SFTP和本地方式进行审计日志的备份,系统配置和审计日志均可可自定义备份计划。
离线播放
导出日志可以使用离线播放器进行日志查看和日志检索,包括命令、录像、标题栏内容等。
统计报表
报表任
务周期
系统应具备在对系统制定报表任务时,可以配置时间周期,支持以图(柱、饼等),统计、明细数据的方式表现。
3、网管系统
产品架构
总体要求
监控平台采用B/S架构,平台和应用分离,页面采用HTML5技术,平台采用JAVA开发并且提供和语言无关的Restful接口。
平台自带数据库,无需额外购买。
系统需要具备智能运维分析能力,能充分利用运维数据进行异常分析。
产品功能
系统平台
被管对象加入系统,不需要经过设置,自动进行监管:
拓扑中颜色状态变化、性能数据记录、巡检检查、统计分析、生成报表、触发告警即时通知。
提供10万KPI,5分钟间隔密度的数据存储1年,并可通过系统界面查看历史数据。
要求支持不少于10个并发用户同时登陆系统并进行操作。
监控首页
★必须在同一页面分项显示统计信息,必须包括:
被管对象运行状况,未撤销告警,网络设备配置变更,网络设备、线路、主机系统、数据库、标准应用关键指标。
每5分钟对所有被管对象运行状况、未撤销告警进行统计。
未撤销告警统计项提供可查看到所有未撤销告警。
每5分钟对所有网络设备和线路关键指标进行TOP统计,每5分钟对网络设备配置最新变更信息统计。
对于配置变更统计项,提供关联操作,可对配置文件内容对比分析。
每5分钟对主机系统、数据库、标准应用关键指标进行TOP分析,关键指标至少包括:
主机系统CPU负载、内存负载、进程总数、分区/文件系统使用率、磁盘繁忙率,数据库当前会话数、表空间使用率,标准应用响应时间,其中主机系统CPU负载和内存负载需要支持由高到低和由低到高排序。
自动
巡检
对所有被管对象关键指标提供图形化的自动和手动巡检,巡检完成后自动统计分析巡检结果,对于巡检异常对象可直观查看到巡检异常关键指标。
系统预置巡检项和阈值,提供基础设置功能,至少包括:
每天巡检时间点,排除的巡检日期以及巡检对象,修改预置的巡检项和阈值。
拓扑
管理
要求系统能支持各大设备厂商的各型号设备,支持多厂商设备组成的混合网络、主机系统自动发现,并且可查看到网络设备的真实面板。
支持对UPS设备、温湿度探头的监控,提供UPS的网络可达状态、输入输出电压电流、电池的各项参数监控。
支持拓扑添加功能,在保留原有拓扑图的基础上,搜索新的网络设备、主机系统并自动添加到网络拓扑上。
支持拓扑图自动布局,网络设备可实现星型排布、圆型排布、从上到下树形排布、从左到右树形排布多种自动排布方式;支持创建缩略图和子图。
对于设备和主机提供丰富的关联操作,关联操作项不低于15项
要求拓扑图上的设备、线路、主机系统支持按照性能参数的不同区间以红、黄、绿颜色进行显示,性能负载可自定义。
网络
管理
支持对所有网络设备CPU负载、内存负载、连续运行时间进行排序,并且可关联查看CPU负载、内存负载变化趋势。
支持对全网的网络设备线路按照流量、带宽占用比、丢包率、错包率、广播包等指标的实时负载进行排名,并且可关联查看负载变化趋势。
可根据IP或MAC查询某客户端连接在哪个交换机的哪个端口。
对网络设备配置进行管理,实现网络设备的配置文件自动备份,并支持对配置文件变更状况进行自动监控,当出现变动时,需要及时通知管理员。
主机
管理
支持对Windows、Linux(redhat、CentOS、Suse、Redflag、麒麟)类型操作系统的监控。
可对单个或多个操作系统停止采集、启用采集操作。
提供可排序查看主机系统运行状况和关键指标,同时也可分类查看系统运行状况和关键指标,并且可关联查看关键指标变化趋势;对于单个主机系统可图形化详细查看基础信息、运行信息、进程信息、告警信息以及具体参数信息。
支持图形化方式显示主机状态以及主机上数据库、中间件、标准应用状态。
支持对麒麟操作系统、达梦数据库、Tongweb中间件等国产软件监控。
数据库管理
支持对SQLServer、Oracle、Sybase、Mysql、Informix、DB2、达梦等数据库的监控。
★可对单个或多个数据库停止采集、启用采集操作。
提供可排序查看数据库运行状况,同时也可分类查看数据库运行状况和关键指标,并且可关联查看关键指标变化趋势;对于单个数据库可图形化详细查看基础信息、运行信息、表空间信息、告警信息以及具体参数信息。
支持图形化方式显示数据库状态以及所承载的主机状态。
中间件管理
支持对WebLogic、Tuxedo、WebSphere、EAServer、Cognos、MQ、Domino、Apache、Tomcat、Jboss、IIS、TongWeb中间件的监控。
可对单个或多个中间件停止采集、启用采集操作。
提供可排序查看中间件运行状况,同时也可分类查看中间件运行状况和关键指标,并且可关联查看关键指标变化趋势;对于单个中间件可图形化详细查看基础信息、运行信息、告警信息以及具体参数信息。
支持图形化方式显示中间件状态以及所承载的主机状态。
标准应用管理
支持文件传输应用(FTP)、网页服务(HTTP)、邮件服务(POP3、SMTP)、DNS、DHCP、LDAP、JVM、Aspnet、Exchange的监控。
支持加密传输协议,包括Sftp、https的监控。
可对单个或多个标准应用停止采集、启用采集操作。
提供可排序查看标准应用运行状况,同时也可分类查看标准应用运行状况和关键指标,并且可关联查看关键指标变化趋势;对于单个标准应用可图形化详细查看基础信息、运行信息、告警信息。
支持图形化方式显示标准应用状态以及所承载的主机状态。
智维分析
能自动分析出内存泄露主机,并找出具体泄露进程,要求对全部主机有效且无需设置。
能主动捕获系统高负载的主机,及时通知用户并给出具体进程使用情况,要求对全部主机有效且无需设置。
告警与通知
对所有管理对象指标均支持批量告警设置,通知系统预置告警规则,为简化操作并且默认开启部分重要告警规则。
系统提供知识库管理功能,当同类型告警出现多次后,能主动提示管理员并收集相关处置意见,并在告警出现后,系统自动提示相关联的处置意见。
提供多种告警信息输出方式,至少包含短信、邮件、屏幕通知方式。
历史数据查看
提供无压缩的数据存储机制,至少支持1年性能数据无压缩存储
升级会员 