网络设备技术参数及要求二标段.docx
《网络设备技术参数及要求二标段.docx》由会员分享,可在线阅读,更多相关《网络设备技术参数及要求二标段.docx(56页珍藏版)》请在冰豆网上搜索。
网络设备技术参数及要求二标段
网络设备技术参数及要求(二标段)
项目概况
随着新院建成,信息技术的迅速发展,以便于业务更好的发展。
提高医院的医疗质量、工作效率,提高管理水平,更好地服务于病人、服务社会大众,并要不断提高医院的科研、技术水平。
现由于医院规模和业务的不断发展,用户数量的增加,已有的医院信息化系统硬件已逐渐不能适应现有应用的需求。
为了保证医院医疗活动的正常运行,使更多的人可以获益,以及为了在网络上可以支持更多的新一代的应用系统服务,所以在原有的基础上改建,建设新的信息化网络安全系统设备。
一、项目特殊要求
根据政府要求医院尽快搬迁,因此本次招标物品为医院核心设备,关系到医院搬迁工期和工程进度,保证所供货物为正规厂商提供,符合医院参数要求,需参与本项目的供应商以书面的形式对卫辉市人民医院做出如下承诺:
提供虚假材料谋取中标者或货物非在中国大陆销售的(非行货),一经查实,供应商不再索要投标保证金以及所供货物。
二、需求一览表
序号
名称
数量
单位
数据库监控审计系统
台
统一安全管理与运维审计系统
台
网管系统
套
上网行为管理
台
统一容灾系统
套
备份一体机
台
防火墙
台
入侵检测
台
终端安全管理一体机
台
安全隔离与信息交换系统
台
服务器
台
切换器
台
(注:
需求一览表中未列出但为正常运转所必须的部分仍由中标人自行提供)
四、技术规格与要求
、数据库监控审计系统
性能要求
设备类型
机架式一体化设备
网口类别
≥个千兆以太网接口,至少个管理口,个审计口
网络吞吐能力
吞吐能力≥
语句处理能力
语句交易量≥条秒
会话并发数
≥个
硬盘
≥
内存
≥
电源
单电源
可审计数量
数据库≥个
部署
部署模式
支持旁路侦听模式,无需安装;
无需改造数据库、中间件等。
系统架构
系统形态
方式访问,无安全漏洞。
系统语言
需支持中文、英文,可在页面上进行切换。
功能要求
审计范围
覆盖主流商用数据库,包括:
等所有版本所有版本所有版本所有版本;所有版本;达梦所有版本;人大金仓所有版本;南大通用所有版本。
资产添加简单安全,仅需填写数据库系统、端口和版本即可,无需填写数据库账号和密码。
支持安全数据来源过滤,可设定安全来源地址,进行数据安全过滤;
可设定严重威胁来源,进行针对性审计。
针对单个上的数据库实例数量不进行限定。
系统架构
数据采集、分析、审计等功能均在同一设备上实现。
会话记录
以会话为单位详细的记录了数据库的操作过程:
精确的时间点、来源网络地址、来源端口、客户端主机名、客户端操作系统用户名、数据库类型、目标地址、目标端口、客户端程序、数据库账号以及完整的操作行为详情。
实现数据库管理员行为跟踪和分析,用户行为跟踪和分析,机器行为跟踪和分析,数据库登录行为跟踪和分析。
深度解码数据库网络数据流传输协议,完整、细粒度分析并再现用户数据库操作活动会话过程;会话审计内容从访问的发起、连接、到结束进行完整记录。
细粒度解析
★深度解码数据库网络传输协议,完整、细粒度分析并再现用户数据库操作活动过程。
完整记录用户数据库会话细节,包括用户数据库登录行为、登出行为、操作用户名称、操作源程序名称、操作源终端名称、操作源终端登录用户名称、会话参数设置、操作语句、操作返回状态、操作涉及表组、字段、视图、索引、过程、函数、操作影响行数、语句执行时间,原始数据库记录包等。
审计结果需支持中文表组、列显示。
审计结果需展示伴随语句发出的备注语句,以便进行优化。
绑定变量解析
能够完整、细粒度地解析绑定变量。
可以精确定位到操作客体,真正审计到数据发生了什么事情。
超级语句解析
支持≥字节的语句进行完整审计和解析,保证审计日志的完整性和可靠性,无审计盲点。
加密协议解析
★无需提供数据库的账号和密码,即可详细审计出的交互的数据,包括但不限定数据库账号、访问程序名、来源主机名、完整操作过程等,实现了对数据库的完整审计,确保数据的完整性,做到有据可查。
双向审计
不仅支持对数据请求的命令进行审计,同时应对请求的返回结果进行审计,如操作回应、影响行数、执行时长、错误代码等内容。
系统管理
用户可以通过统一监控界面直接查看最新的策略告警,最新违规操作和最新系统告警事件,当新的事件发生时,该监控页面将实时展现最新信息,并提供监控信息过滤。
可以直观查看系统存储,并提供存储告警界限,并支持存储任务,定期将日志通过、进行统一转储。
用户管理
提供超级管理员、资产管理员和审计管理员权限分离;
资产管理员可以添加数据库审计服务器、审计策略制定、审计记录查看等。
审计管理员可以查看和审计数据库会话详细信息、统计分析报表、安全操作日志、维护日志。
支持用户根据自身环境和要求自定义角色,
支持角色按功能模块灵活授权。
支持按用户授权可管理的数据库资产,实现不同数据库管理和审计权限的独立。
策略告警
提供全方位的策略规则匹配,策略因子包括:
数据库操作来源地址、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、操作语句(、、)、数据库表组(表、条件)、语句返回行数、语句执行时间等告警匹配条件。
多形式的实时告警:
当检测到可疑操作或违反审计规则的操作时,系统可以通过监控中心告警、声音提示告警、邮件告警、告警等方式通知数据库管理员。
数据库实时监控
提供数据库实时监控功能,可以针对被审计的全部数据库、数据库类型、数据库组别、单个数据库进行实时监控,监控其网络流量、数据包、突发链接、并发连接数、语句数,并提供动态波形图展示,用户能够直观地了解当前数据库运行状态。
提供最近一周内数据库的网络流量、数据包、突发链接、并发连接数、语句数波形图,并可供下载查看。
数据库实时监控无需在数据库服务器安装引擎,对数据库服务器无任何影响。
查询和报表
全文搜索
提供全文检索功能,可以做到对海量的数据记录进行更加快速、方便的查询与定位。
支持“精确搜索”,可对时间、、端口、客户端程序、数据库账号、数据库类型、消息长度(语句长度)、语句关键词等详细检索条件。
检索语句支持命令、表列名、执行条件,返回命令等进行匹配
查询结果和会话进行关联分析,可通过会话查看命令的上下文内容。
概要统计
提供会话总数、策略告警总数、异常告警总数、资产总数、用户数量、操作日志数量等信息统计,并能够按天进行统计分析,列表展现。
统计报表
可根据数据库地址、数据库名称、访问源地址、用户名称、源程序名称、源终端名称等排序、统计和报表,可生成月报、周报和日报,可对特定数据库、用户名称等进行报表统计。
内置报表需包含且不限于等级保护合规、数据库访问详情、数据库访问统计等类型,每种类型不少于种。
提供自定义报表向导,制定符合实际要求的各类型报表。
报表可从会话日志、策略告警日志、异常告警日志、系统事件日志进行报表来源统计。
统计报表以饼状图、柱状图、表格形式输出,统计结果支持、、等格式导出。
产品扩充性
供货厂商需具备更为先进有效的数据库安全产品,以便后续升级换代,可即时阻断非法连接和危险操作。
、统一安全管理与运维审计系统
项目
基本要求
设备类型
机架式一体化设备,内置应用发布中心
可管理设备数
≥个
网络接口
≥个千兆自适应电口
硬盘容量
内置存储≥
电源要求
单电源
高可靠性要求
★支持双机热备,支持系统配置以及审计日志实时同步。
支持集群部署,系统策略支持统一下发,后期升级扩容方式支持单节点扩容,无需进行软硬件的二次升级即可完成。
支持第三方负载均衡,并支持集群自带的负载均衡模块。
项目
基本参数
支持协
议类型
图形终端协议:
、、
字符终端协议:
、
文件传输协议:
、
数据库类型:
:
、、、;:
;:
、;:
();:
;:
、
应用:
、
类、、、等
其它应用:
、、、、、、、
单点登录
上述所有协议类型均可实现单点登录,图形化应用无需安装任何客户端和控件即可实现单点登录,即通过堡垒机实现图形化应用发布功能
★支持代填类型包括、、等特殊登录页面。
无缝应用发布功能
要求以上所有图形化应用在实际操作环境中均可以正常使用且可自由调整应用的窗口大小,做到无缝发布,拖拽窗口应自然流畅,无卡顿现象,像是在本地运行应用程序一样。
系统自身安全性
自动禁止功能
系统支持自动禁止功能,对连续登陆账号密码错误的来源自动屏蔽,可通过管理员解除屏蔽。
帐号自动禁止和锁定功能
支持账号自动锁定功能,用户分钟内连续输入账号密码错误,自动锁定该账号
自身健康检测
支持对应用中心状态、审计状态和端口状态是否正常工作进行一键检查。
口管理
保证在特殊情况下通过口连接。
保证紧急情况能够用过管理员密码或网络地址。
运维管理
运维方式
支持与运维方式
工具属
性支持
支持字符类、等工具的各类属性:
终端属性、字符编码、窗口大小随意调整等等;图形类工具的原有属性:
自定义开启关闭磁盘映射、剪切板等,支持窗口大小随意调整、声音传输等等
授权审核
可以指定系统用户查看该用户可管理的资产信息;可以指定资源名资产账号名查看资产属于哪些系统用户管理。
授权关系导出(可以导出用户和设备授权关系进行查看,导出展现形式)
授权审批
运维人员可以在系统界面填写授权审批流程单,填写内容至少应包括:
设备资源、系统账号、协议类型、时间窗口;审批通过后,运维人员可立即取得相应访问权限
向导模式
为管理员和运维人员提供操作向导模式,方便用户进行设备管理和使用。
中英文管理界面
支持中英文切换管理
自动化运维
可以制定计划任务,至字符类资产执行事先编辑好的脚本。
脚本超时执行时间为每个计划在单台机器上的超时时间。
执行超过超时间后会断开连接
可以通过手动登录某台资产,登录后会触发机器自行执行预先设置好的脚本。
可关联相应堡垒机运维帐号及资产帐号。
用户帐
号管理
用户角色
系统角色需按法案要求进行划分,至少有系统管理员、密码管理员、配置管理员、审计管理员、普通用户等多种角色。
身份认证
系统提供身份认证,自然人(员工帐户)登录系统时支持静态口令、认证、、域、数字证书认证、动态令牌认证、认证、指纹认证和手机动态令牌认证。
支持指纹认证:
至少支持三个厂商的指纹认证。
系统内置证书认证功能,用户只需配置即可实现证书登陆认证,实现双因素认证(码)。
★系统内置动态令牌认证,用户不需要额外部署认证服务器,通过配置动态令牌实现双因素认证;同时可支持手机动态令牌认证。
支持多因子认证自定义组合,可为不同用户组分配不同的认证策略,支持单因素,双因素和多因素的认证策略
批量管理
支持以格式批量导入和导出用户帐号
用户帐号自动改密,可制定改密计划对用户帐号进行定期改密,并发送邮件通知用户。
在线批量编辑,提供堡垒机用户的批量编辑功能,以方便用户管理员批量修改帐号属性及关联信息,包括会同权限、用户状态、有效时间。
支持从服务器批量导入用户帐号。
设备及账号密码管理
批量管理
支持批量导入导出运维用户、目标设备、账号密码等,支持目标设备账号批量新增。
支持在线批量设备帐号修改;支持设备帐号属性添加和修改,包括帐号密码、应用参数、帐号状态、会同信息、改密脚本、特权帐号、应用端口、应用密码提示、帐号类型、帐号提示符、帐号同步。
公钥登录
通过产生公钥和私钥密码对,上传堡垒机,可实现免密码登录服务器。
密函打印
支持将目标设备资产的账号密码进行密函打印导出。
设备账号
自动改密
支持、、网络设备
升级会员 