信息化建设和国家信息安全等级保护的要求项目背景.docx

1、信息化建设和国家信息安全等级保护的要求项目背景(一)项目背景我院信息化建设和国家信息安全等级保护的要求还有一定差距，需要通过本项目安全整改建设来完善我院的安全漏洞，加固安全防御，一方面通过国家标准的等保验收，另一方面为我院整体安全建立立体防御体系，提升我院整体的安全等级。(二)项目目标通过采购基础机房监控设备、网络安全设备、安全服务等方式，使医院的信息系统形成整体信息安全保障体系，并根据安全技术建设和安全管理制度建设，保障系统整体的安全。(三)用户需求保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中

2、的安全。保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。(四)项目需求一览表本服务项目包括如下设备及服务：序号内容数量详细配置要求1机房环境监控系统1详见以下指标要求2内网入侵防护系统2详见以下指标要求3外网入侵防护系统2详见以下指标要求4WEB应用防火墙1详见以下指标要求5数据库审计系统1详见以下指标要求6综合日志审计系统1详见以下指标要求7网络准入控制系统1详见以下指标要求8 日志服

3、务器1详见以下指标要求9补丁服务器1详见以下指标要求810等级保护服务定级备案服务一项详见以下指标要求差距测评服务一项详见以下指标要求安全漏洞扫描服务一项详见以下指标要求安全配置核查服务一项详见以下指标要求渗透测试服务一项详见以下指标要求巡检服务一项详见以下指标要求信息系统等级保护验收测评服务一项详见以下指标要求11安全增值服务云WAF网站安全防护服务一项详见以下指标要求1.机房环境监控系统序号类别功能与技术描述1配电监控系统要求配电监控系统1套：智能电量仪2 台、电量监控接口软件应用授权 2 套。功能要求：（1）、监测2路市电；（2）、系统要能对机房配电的状态进行监控。例如：三相相电压、相电

4、流、线电压、线电流、有功、无功、视在功率、频率、功率因数等；（3）、系统对机房配电开关进行断电送电记录，并可随时查看任意一天的记录；（4）、可通过IE浏览器实时查看机房配电实时状态数据，及其报警事件等。2系统主机配置系统主机配置1套：监控管理平台 1 套、监控软件 1 套、多串口扩展卡 1 块、短信报警接口模块 1 套、GSM短信模块 1 套、GSM短信报警功能软件应用授权 1 套、WEB浏览接口模块 1 套。功能要求：（1）含管理服务器、显示器、串口卡、短信报警接口模块、GSM短信模块、WEB浏览接口模块，拒绝一体化采存设备，要求单点故障不影响系统整体运行；（2）要求监控配电监测、UPS监测

5、、精密空调监测、温湿度监测、漏水监测、门禁管理、视频监控、红外监测、氢气监测、消防监测和IT设备、资产等系统等；（3）全中文界面，统一界面，不得外挂附加于系统的单一视频窗口、门禁管理窗口和报表窗口；（4）要求短信主动报警和查询；需具有查询和控制功能，同时应有严格的权限验证；控制查询命令、范围应不受限制，由管理员自定义；（5）要求具有多界面同时在单一显示器或多显示器显示的功能，例如单一显示器可分9个界面同时显示9个子系统的状态、参数，且9个界面均可独立操作或设置某一界面为主操作界面，其他界面的内容根据主操作界面的操作而改变；软件功能需具有单显示器最多16界面同时显示、多显示器任意数量界面扩展的功

6、能，多界面显示时不得存在机器速度变慢、系统运行变慢的问题。投标时投标文件必须提供证明文件复印件并加盖生产厂家公章；（6）门户平台化管理，所有功能都可以WEB化应用；可以通过WEB查看监控数据和报警数据，也可操作、打印报表、实现所有参数设置等功能；具有不同用户权限管理不同内容的能力；（7）联动功能，易于操作的联动，快速实现系统间联动控制，可进行菜单化操作；（8）要求具有自定义报表功能，所有记录均为自动报表记录，在监控系统中完整实现，并把以上数据进行汇总，输出到excel或word文档，并在统一界面下提供远程浏览和配置，报表内数据项可由用户定义。日志管理：对操作人员、操作内容、操作时间、故障点、故

7、障内容、故障处理、时间等信息进行完整记录，可对这些记录进行智能组合查询；（9）要求所有报表的配置和生成都必须在监控系统程序界面中完成，不得外挂程序和使用其他界面，并提供友好、简洁的界面供机房管理员进行自定义更改，而并非使用EXCEL或WORD表格文件模板，要求报表内数据项可由用户定义。定时巡视：可按需要设定页面定时巡视。（10）扩展性：扩展性优秀，可向上向下集成，提供标准的SNMP服务、OPC服务接口、WebserviceS数据接口。（11）扩展性：可扩展一键备份。（12）可快速扩展智能资产、移动运维等管理功能。（13）实现3D可视化功能，不外加服务器和系统，与动环系统同一平台，模拟机房实际场

8、景，实现漫游监控，提供自动巡航、全方位无障碍穿透查看等更加直观有效的监控效果；3UPS监控系统UPS监控系统1套：通讯转换模块 2个、UPS监测接口软件应用授权 1 套。功能要求：（1）、系统能对机房UPS各部件的运行状态进行监控。如：UPS的各开关、整流器、电池、逆变器、旁路及输出等各部分的状态。系统标明UPS电流流向，可看到负载的供电状况，是否受保护等。（2）、系统能对机房UPS各部件的参数状态进行监控，如：电压、电流、频率、功率、后备时间等；整流器与旁路的电压、电流参数；逆变器与电池的电压、电流及电池的后备时间、充电量，负载的电压、电流参数，并合理布局、形象显示。（3）、具体监测的内容和

9、控制的项目与卖方提供的该型号通讯协议规定的内容相符。能够实时反映设备状态及故障信息，记录各种数据并绘制相关图表。（4）、系统对机房UPS参数进行历史曲线记录，并可随时查看任意一天的曲线记录。4温湿度监控温湿度监控系统1套：智能温湿度传感器6个、温湿度监测接口软件应用授权 1 套。功能要求：（1）、监测机房内6个点的温湿度值；（2）、系统能对机房温湿度实时监视，可通过图形化界面，形象的查看到各个区域的温度和湿度值；显示并记录其运行数据。（3）、根据预先的设定，系统可以对机房温湿度参数和状态异常设定自动报警；（4）、系统可以对机房温湿度参数进行历史曲线记录，并可随时查看任意一天的曲线记录；（5）、

10、可通过IE浏览器全面监视机房温湿度实时情况，及其报警事件。5漏水监控漏水监测系统1套：绳式非定位漏水控制器（10M） 3 套、8路开关量采集模块 1 个、漏水控制器监测接口软件应用授权 1 套。功能要求：（1）、系统能对机房可能的漏水区域实时监视，例如精密空调、水管区域的水泄漏监测，出现水泄漏时，漏水系统必须快速告知泄漏区域范围并显示；（2）、系统采用电子地图方式显示实际漏水检测绳的分布；（3）、一旦检测到漏水，能在电子地图上形象显示。6空调监控系统空调监控系统1套：空调监测接口软件应用授权4套。功能要求：（1）、系统能分别实现对3台精密空调的监控，UPS一台挂式空调，功能包括开关机、设定工作

11、模式、设定温度、风速等。（2）、系统能对机房空调各部件的运行状态和运行参数进行监控。例如：压缩机、滤网、风机、加热器、加湿器、去湿器、通风装置等部件运行或停止的状况，管理员可以通过网络实时查看空调运行参数。（3）、可通过软件在系统上或通过网络远程修改空调设置参数，并实现空调的远程开关机。要求系统记录操作人及操作事件。系统一旦监测到有报警或参数越限，能够自动报警。（4）、系统可以对机房空调参数进行历史曲线记录，并可随时查看任意一天的曲线记录。7消防监控消防监测系统1套：消防监测接口软件应用授权 1 套；功能要求：（1）、集成消防主机报警信号；（2）、当消防报警时，系统能够及时通过短信告知管理人员

12、；（3）、系统可以记录相关事件以备查询。8门禁控制门禁监控系统1套：门禁管理接口软件应用授权1套；功能要求：（1）、监控4道门的人员出入情况；（2）、将门禁系统完整集成到监控系统中，统一界面，不得外挂窗口；（3）、在集中监控系统中提供人员权限设置、开门/关门，及人员进出记录及查询；（4）、根据预先的设定，系统可以对门禁人员进出进行实时显示并记录；（5）、如果门禁出现异常，应通过短信方式报告给设定的管理人员，便于尽快处理；（6）、可通过IE浏览器远程查询人员进出记录，进行开门/关门操作并进行门禁权限配置；9红外监控系统红外监控系统1套：吸顶式红外探测器1个、8路输入模块1个，红外入侵接口软件应用

13、授权1套；功能要求：（1）、实时监测1个防区的报警情况，并可通过监控平台软件实现远程布撤防（各点探测器的报警情况）；（2）、一旦发生报警，系统将自动切换到相应的监控界面，且发生报警的探测器会变红色并闪烁显示，同时产生报警事件进行记录存储及有相应的处理提示，并第一时间发出电话语音拨号、手机短信等对外报警；（3）、系统要求与其它子系统的联动功能，当吸顶式红外探测器有人触发时自动联动相应位置的摄像机进行录像等10辅助材料辅助材料1套：安装箱 1 个、工业电源 1 个、管理人员可以远程对机房内的温湿度、空调、电源、UPS等系统进行状况查看；异常情况下通过手机短信方式向管理员报警；记录机房内实时的状况信

14、息11安装要求所有系统相关的电源或数据线路全部套管固定，金属器件要做好接地处理；系统要能从精密空调、UPS、消防系统、发电机等采集数据；异常状况可以通过手机短信等方式第一时间向管理员报警；监控数据可以通过液晶电视在操作间内显示。12售后服务承诺提供针对该项目的授权函及售后服务承诺函，售后服务承诺至少一年2.内网入侵防护系统序号类别参数功能及技术描述1.硬件指标系统平台系统应为机架式独立IPS硬件设备，全内置封闭式结构，具有完全自主知识产权的专用安全操作系统，稳定可靠。2.网络接口1U，含交流单电源模块，2*USB接口，1*RJ45串口，1*RJ45管理口，6*GE（Bypass）接口，1个接口

15、扩展槽位。吞吐量600Mbps，最大并发TCP会话200万，每秒新增TCP会话15万。3.入侵检测和防护能力入侵检测引擎系统应具备融合模式匹配、协议分析、异常检测、会话关联分析，以及抗IDS/IPS逃逸等多种技术，准确识别各种黑客入侵，为用户提供27层深度入侵防御。4.攻击特征库系统应提供覆盖广泛的攻击特征库，能够针对2800种以上的攻击行为、异常事件，以及网络资源滥用流量，进行检测和防御。5.系统携带的攻击特征库须获得CVE-Compatible兼容性认证6.攻击防护类型系统须提供对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解等恶意流量的检测和阻断。7.系统应具备基于“漏洞保护”的

16、虚拟补丁功能，融合协议异常检测能力，有效抵御缓冲区溢出攻击，以及各类未知攻击。8.系统应具备零日攻击防护能力，保护用户避免遭受新的安全威胁9.系统应能够有效抵御SQL注入、僵尸网络等多种常见的应用层安全威胁10.系统应提供先进的DoS/DDoS攻击防护能力是否加进来要求双向阻断TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常见的DoS/DdoS的攻击。11.系统应提供入侵行为和应用软件特征的自定义接口，可根据用户需求定制对其它流量的检测和阻断规则。12.客户端Web安全防护恶意Web流量过滤系统可提供Web信誉机制，在用户访问被植入木马的页面时，给

17、予及时报警和阻断，能够有效抵御Web安全威胁渗入企业内网。须提供界面功能截图盖章证明及报警页面截图盖章证明13.URL分类及控制系统可提供中英文网页过滤数据库，超过1,000万条的URL，多种精细分类（如不良言论、色情暴力、网络“钓鱼”、论坛聊天等），实现全面、高效的高风险、不良网站过滤。须提供界面截图盖章证明14.流量管理流量分析系统应要求全面的流量分析功能，可察看网络实时流量，包括：流量协议分布、流量IP分布、自定义察看某种流量TOP10、常见流量TOP10等；同时应要求生成日、周和月的流量报表，以便了解一段时间的流量情况。15.基于应用协议的流量控制功能系统应提供灵活的流量管理功能，可以

18、根据用户、应用、目的IP地址、时间及带宽等因素，实现基于应用、面向对象的流量保护策略。通过流量许可和优先级控制，阻断一切非授权用户流量，并结合最小带宽保证、最大带宽限制、会话限制和每IP设置等功能，有效保证关键应用全天候畅通无阻。须提供界面截图。16.应用管理应用识别系统应能识别各类网络应用，至少应包括：商业系统类应用、协作类应用、互联网应用、媒体类应用等。识别种类超过700种，须提供界面截图盖章证明17.应用管理系统应要求灵活的应用管理策略配置功能，实现基于IP地址、用户、时间、应用等多维度的全面、细致监控。18.自定义应用系统应要求细粒度的自定义应用功能，要求的参数至少应包括：搜索范围、数

19、据传输方向、特征数据等。为实现精确匹配，必须要求与、或等逻辑运算。须提供界面截图盖章证明。19.用户管理用户身份识别能力系统应具备用户身份识别能力，要求基于用户身份进行策略配置、日志记录与查询；要求自动与手动获取用户信息列表并生成组织结构图。须提供界面截图。20.增强的客户端身份认证能力针对访问网络资源的终端用户，系统应提供增强的身份认证功能，要求RADIUS、LDAP、AD域等接口，及第三方认证平台，实现更灵活、更安全的认证控制。须提供界面截图。21.响应能力攻击响应系统应提供丰富的响应方式，除：丢弃数据包、阻断会话、邮件报警、短信报警、控制台显示、声音报警、日志数据库记录、运行用户自定义命

20、令外，还需要求写入XML文件，以满足各种响应需求，需提供写入XML文件截图盖章证明22.第三方管理平台融合系统应提供标准snmp trap（V1、V2、V3）和syslog接口，可接受第三方管理平台的集中事件管理。23.系统应要求CEF通用事件格式，实现与ArcSight系统的无缝融合。24.攻击取证系统应具备攻击快照功能，详细记录触发告警的数据特征，以便做进一步的事件分析。须提供界面截图。25.系统应具备原始数据留存功能，在需要进一步分析原始网络数据时，可根据协议、IP地址、端口等参数将原始网络数据保存为通用网络数据分析软件可读的文件，留存文件的大小可根据时间、PPS数、BPS数等灵活设定。

21、须提供界面截图。26.报表和日志系统日志管理系统应要求日志缓存，在网络通讯中断的情况下，网络引擎先将检测到的攻击行为保存在本地，等网络恢复正常后再自动同步到控制台或日志数据库中，不会因网络断开而丢失日志信息。27.系统应具备实时的日志归并功能，可以根据用户需要，按照告警事件的源/目的IP/MAC地址、事件类型等信息，对告警日志执行任意粒度的归并，有效抵御告警风暴。28.日志信息要求本地主流数据库，或第三方syslog服务器等多种存储方式。29.系统应提供冗余数据库功能，日志信息同时写入多个数据库，以提高数据的安全性。须提供界面截图。30.系统应提供基于告警设备、时间、IP地址、事件类型、用户身

22、份等条件的日志检索功能，具备日志备份、清除和恢复功能。系统应具备递归查询功能，在查询结果中再次输入查询条件获得更详细的查询结果，进行细粒度分析。须提供界面截图。31.统计分析告警系统应提供统计分析告警功能，针对告警事件能够按照攻击事件、危险程度等条件做进行绝对值统计分析和环比统计分析并产生告警，告警参数应要求用户自定义。须提供绝对值统计分析告警及环比统计分析界面截图盖章证明32.自定义分布统计模型系统应提供自定义分布统计模型功能，可自定义实时分布统计中的数据类型，实现灵活的数据展现和统计分析。须提供界面截图。33.报表系统系统应提供丰富的报表功能，要求TopN事件、TopN源地址、TopN目的

23、地址、TopN服务、事件类型分布与趋势、危险程度分类统计与趋势、风险级别统计与趋势以及交叉报表等多种报表模板；为便于分析，还应要求用户自定义报表模版，能够按照用户需求生成各种风格的统计报表。34.系统应提供定时自动发送报表功能，要求在指定的时间内将生成的报表以html、word、excel等通用格式通过FTP或邮件发送给指定的管理员，以减少日常维护工作量。须提供界面截图。35.系统应提供智能提醒功能，通过设定提醒阈值，在报表上突出显示以提醒管理员快速发现问题。须提供界面截图。36.地址簿功能系统应具备地址簿功能，在报表中直观显示IP地址所处国家、地区或某个部门。要求自定义私有IP地址库和导入外

24、部公网IP地址库。须提供界面截图。37.过滤器模板系统应要求过滤器模板功能，可将复杂的查询参数保存为过滤器模板，并要求模板的“与”、“或”等逻辑操作，查询日志或生成报表时直接调用模板即可，无需重复查询输入参数，以减少日常维护工作量。须提供界面截图盖章证明。38.工作轨迹记录系统应要求工作轨迹记录功能，记录管理员执行过的日志查询和报表生成结果，随时查看查询结果，无需再次执行复杂的配置过程，以减少日常维护工作量。须提供界面截图。39.管理功能管理方式系统应提供基于Web的远程GUI管理，可以在任何IP可达地点，以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务。系统应提供配套的

25、集中管理平台，实现设备的集中管理功能，可对管理范围内的所有引擎设备进行统一的状态监控、策略配置、系统升级和日志报表管理。须要求集中管理设备的拓扑展示功能，可通过设备连线的颜色直观显示设备运行状态；要求集中管理设备的单点登录。须提供界面截图。系统应提供分级管理功能，满足大规模分级部署的需要，实现策略的逐级下发和日志的逐级上报。为实现全网统一策略，上级管理中心下发到下级管理中心的策略优先级高于下级管理中心本地策略，本地用户无权修改。为保证策略的一致性，要求从下级管理中心的设备获取策略。须提供界面截图。系统应提供主辅管理功能，一个主管理平台对引擎设备进行管理的同时，要求不少于4个辅管理平台同时监管引

26、擎设备。各管理平台之间互为备份，以提高系统管理和日志存储的可靠性。须提供界面截图。系统要求带外管理（OOB）功能，可以通过专用管理口，进行NIPS引擎管理，解决远程应急管理的需求并提高系统自身的安全性。系统监控系统应具备系统运行状态监控功能，能够实时查看CPU使用率、内存使用率、磁盘剩余空间、系统运行时间、接口状态、流量等信息。系统应具备系统健康状态异常告警机制，能够实时监控系统CPU、内存等关键部件的状态，并在发现异常状况时通过声音、邮件、短信等多种方式及时通知管理员。要求告警触发条件可设置。须提供界面截图。升级功能系统应提供多种升级方式，至少提供实时在线升级、自动在线升级、离线升级升级方式

27、投标厂商应承诺至少每周定期升级攻击特征库，遇到重大安全事件，提供即时升级。厂商官方站点需同时提供升级包下载页面，并提供详细的升级事项说明。系统应要求私有升级中心功能，部署在局域网的设备也能够实现自动在线升级。须提供界面截图。系统应要求历史版本回滚功能，系统内建历史版本库，可保留最近升级的多个历史版本，并要求回滚到任一历史版本，提高产品升级过程的可靠性。须提供界面截图。多语言要求系统的管理、操作界面要求多语言自由切换，至少支持简体中文、繁体中文和英文。须提供界面截图。51.部署能力工作模式系统应要求监听（Monitor）、直通（Direct）和管理（Mgt）三种安全区模式，能够快速部署在各种网络

28、环境中。部署模式系统要求独立式多路IPS工作模式，各路IPS相互独立，彼此之间没有数据交换，可单独配置策略。系统要求IPS和IDS的混合运行模式，同时提供入侵防护和入侵检测功能。网络适应能力系统要求IPv6/IPv4双协议栈功能，能同时辨识IPv4和IPv6通讯流量。要求多种隧道模式，确保IPv6过渡时代的网络通畅。要求IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略，为IPv6环境提供入侵防护。须提供界面截图盖章证明。系统要求VLAN 802.1Q、BGP、MPLS、QinQ、PPPOE等特殊封装协议，能够适应多种不同的网络环境56.高可用性HA部署能力系统要求A/A和A/S两

29、种高可用部署方式，出现设备宕机、端口失效等故障时，完成主机和备机的即时切换，确保关键应用的持续正常运转。BYPASS方案系统网络接口应具备内置fail-open特性，产品出现故障时，能自动转变成通路，不影响业务流量的正常传输。系统要求外置BYPASS硬件设备，扩展形成完整的BYPASS解决方案系统要求软件BYPASS功能，系统软件故障时，系统自动实现旁路保护，避免网络中断等事故的发生。 设备自身安全性系统各组件之间应采用加密安全通道进行通讯，防止窃听，确保整个系统的安全性。61.二次开发接口二次开发接口提供SNMP TRAP传送接口，传送以下信息：引擎信息：包含产品名称、企业名称 、产品HAS

30、H值、信息类型 、CPU占用率（%） 、内存占用率（%） 、剩余存储空间（MB） 网络信息：每秒包个数（pps） 、每秒包大小（bps） 、每秒tcp会话个数 告警信息：告警持续发生次数、系统所做的动作、事件源IP地址、事件源端口、事件目的IP地址、事件目的端口、事件源MAC地址 、事件目的MAC地址、告警事件规则ID、事件发生时间、产生告警的设备 IP、事件分类、技术手段、威胁等级、流行程度、服务类型、事件简要描述、事件结果：成功或失败、协议摘要、用户名称 提供投标产品SNMP接口文档并盖章62.产品成熟度证明上市时间投标产品应该是经过市场考验的成熟产品，产品上市时间不少于8年。须提供销售许可证或软件著作权证书等有效证明材料。市场占有率投标产品应该是被广泛应用的成熟产品，在国内市场具有较高的市场份额，在IDC市场调查数据中需要在2008-2015年连续8年市场占有率排名在前3名之内，须提供IDC盖章的市场调查数据厂家盖章的有效证明材料复印件。产品资质投标IPS产品应具有中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证，提供有效证书的复印件。投标IPS产品应具有中华人民共和国国家版权局颁发的计算机软件著作权登记证，提供有效证书的复印件。投标IPS产品应具有中国信息安全测评中心颁发的国家信