·部分信息内容如下:
关于网络安全等保建设采购的公开招标公告
依据《中华人民**国政府采购法》《中华人民**国政府采购法实施条例》《政府采购货物和服务招标投标管理办法》和有关法律法规及规章规定,*********受***卫生健康委员会委托,对网络安全等保建设组织国内公开招标采购,欢迎承认并履行招标文件各项规定的供应商参加投标。 *.项目名称:网络安全等保建设公开招标采购 *.招标编号:****(****)-**-**-G *.项目概况:近年来,***卫健委积极推进区域卫生信息化建设进程,根据《**省基层医疗卫生机构信息系统建设项目实施方案》,先后完成了区域卫生信息平台、基层医疗卫生机构信息系统、公共卫生信息系统等建设,并形成了医疗大数据中心,逐步推进大数据应用和互联网+健康医疗服务水平的不断提升。为确保各业务信息和数据、患者隐私安全,根据《中华人民**国网络安全法》、《**省基层医疗卫生机构信息系统建设项目实施方案》、国家三级等保建设要求等相关相关法律法规,***卫健委不断推进网络安全建设工作,加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,落实网络安全责任,加快构建关键信息基础设施安全保障体系,增强网络安全运行能力,切实维护国家安全、社会稳定和公共利益,保障和促进我*卫生健康事业稳定发展。 *.资金来源:财政资金 *.预算金额:*,***,***元。 招标内容:共一包,详见招标文件“第五部分 采购需求”。 序号 产品 名称 技术参数 数量 * 下一代防火墙(内网核心) 【设备要求】: 标准机架式硬件,*U机型,含交流冗余电源,不少于*个RJ**串口、*个GE电口、*个USB接口、*个SFP+、*个接口扩展槽。三层吞吐不少于**G,应用层吞吐量不小于**G,最大并发不少于***万,每秒**不少于**万。入侵防御授权三年。 【功能要求】: ★支持源IP联动封锁。在入侵防御事件中发现源IP存在攻击行为时,可以一键封禁该IP,并设置封禁的时间,且符合GB/T *****-****标准,级别*+以上。 ★具备PPPOE、二层、三层、虚拟线、DMZ、VPN等几大部署类型的快速部署功能,且符合GA/T****-****标准。 系统应提供覆盖广泛的攻击特征库,可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测和阻断,攻击特征库数量至少为****种以上,且符合CNNVD兼容性能力。 ★支持与云中心联动,最大程度获取暴露在互联网上的恶意IP、僵尸网络、恶意文件特征的信息,并由本地IPS获得共享情报后,根据获取到的信誉特征进行拦截,可配合关停钓鱼网站,并具有信息系统安全集成服务能力。 支持汇聚接口,能够手动绑定接口,即可支持动态绑定。能够在一条策略里配置源/目的IP地址、安全区、应用/应用组、协议/端口、时间、用户、安全模板/模板组支持内置/自定义ISP路由库;支持反向路由;支持链路探测,能够在每接口上以ICMP/TCP/UDP协议探测目标主机可达性。 支持应用过滤器,从应用类别、实现技术、风险等级、标签*个维度进行过滤。支持对本地账户密码进行安全强制,包括最小长度,安全级别限制;能够将通过应用过滤器筛选出来的应用直接生成模板供用户统一管理使用。 系统应支持全面的流量分析功能,可察看网络实时流量。系统应提供灵活的流量管理功能,可以根据用户、应用、目的IP地址、时间及带宽等因素,实现基于应用、面向对象的流量保护策略。通过流量许可和优先级控制,阻断一切非授权用户流量,并结合最小带宽保证、最大带宽限制、会话限制和每IP设置等功能,有效保证关键应用全天候畅通无阻。 ★支持无线接入发现和控制功能,防止内网非法外联。可不通过主机扫描等技术,即可识别内网主机的操作系统、杀毒软件、浏览器等信息。可自定义操作系统、浏览器、杀毒软件的风险等级,并支持预置风险等级。可为每个内网主机生成风险指数,通过数字直观展示内网主机的风险状态。资产风险涵盖操作系统、浏览器、杀毒软件、应用、流量、服务等内容,符合ISO/IEC *****:****。 ★支持以云平台为依托的手机APP管理,查看设备CPU、内存、告警日志等信息。能够查看安全风险趋势,攻击频度,攻击来源,受害主机,并能够进行实时监控各类安全事件,事件能够包含名称、发生的时间和对应的IP地址,手机APP应用能够从安卓及苹果*场下载。 ★为保证云端服务的安全性,提供云托管安全服务的平台需要符合安全管理体系标准,范围必须包含安全云相关服务及可管理的安全服务,符合ISO *****标准。 ★为了提**全管理的工作效率,实现策略统一配置和报表综合管理等管理监控功能,支持与本次所采日志审计系统对接。 *台 * 下一代防火墙(运维区) 【设备要求】: 标准机架式硬件,*U机型,含交流冗余电源,不少于*个RJ**串口、*个USB接口、*个千兆电口(含Bypass)。防病毒、入侵防御授权为三年。三层吞吐不少于**G,应用层吞吐量不小于*G,最大并发不少于***万,每秒**不少于**万。 【功能要求】 支持源IP联动封锁。在入侵防御事件中发现源IP存在攻击行为时,可以一键封禁该IP,并设置封禁的时间,且符合GB/T *****-****标准,级别*+以上。 ★具备PPPOE、二层、三层、虚拟线、DMZ、VPN等几大部署类型的快速部署功能,且符合GA/T****-****标准。 系统应提供覆盖广泛的攻击特征库,可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测和阻断,攻击特征库数量至少为****种以上,且符合CNNVD兼容性能力。 ★支持与云中心联动,最大程度获取暴露在互联网上的恶意IP、僵尸网络、恶意文件特征的信息,并由本地IPS获得共享情报后,根据获取到的信誉特征进行拦截,可配合关停钓鱼网站。 支持汇聚接口,能够手动绑定接口,即可支持动态绑定。能够在一条策略里配置源/目的IP地址、安全区、应用/应用组、协议/端口、时间、用户、安全模板/模板组支持内置/自定义ISP路由库;支持反向路由;支持链路探测,能够在每接口上以ICMP/TCP/UDP协议探测目标主机可达性。 支持应用过滤器,从应用类别、实现技术、风险等级、标签*个维度进行过滤。支持对本地账户密码进行安全强制,包括最小长度,安全级别限制;能够将通过应用过滤器筛选出来的应用直接生成模板供用户统一管理使用。 系统应支持全面的流量分析功能,可察看网络实时流量。系统应提供灵活的流量管理功能,可以根据用户、应用、目的IP地址、时间及带宽等因素,实现基于应用、面向对象的流量保护策略。通过流量许可和优先级控制,阻断一切非授权用户流量,并结合最小带宽保证、最大带宽限制、会话限制和每IP设置等功能,有效保证关键应用全天候畅通无阻。 ★支持无线接入发现和控制功能,防止内网非法外联。可不通过主机扫描等技术,即可识别内网主机的操作系统、杀毒软件、浏览器等信息。可自定义操作系统、浏览器、杀毒软件的风险等级,并支持预置风险等级。可为每个内网主机生成风险指数,通过数字直观展示内网主机的风险状态。资产风险涵盖操作系统、浏览器、杀毒软件、应用、流量、服务等内容,符合ISO/IEC *****:****标准。 ★支持以云平台为依托的手机APP管理,查看设备CPU、内存、告警日志等信息。能够查看安全风险趋势,攻击频度,攻击来源,受害主机,并能够进行实时监控各类安全事件,事件能够包含名称、发生的时间和对应的IP地址,手机APP应用能够从安卓及苹果*场下载。 ★为保证云端服务的安全性,提供云托管安全服务的平台需要符合安全管理体系标准,范围必须包含安全云相关服务及可管理的安全服务,符合ISO *****标准。 ★为了提**全管理的工作效率,实现策略统一配置和报表综合管理等监控功能,支持与本次所采日志审计系统对接。 *台 * WEB应用安全防护系统 系统为独立专业网站防护系统,非插卡或防火墙、UTM等设备的软件模块,非OEM产品。*U机架式设备,含交流冗余电源模块,*个USB接口,*个RJ**串口,*个GE电口,标配*个万兆光口SFPP,*个可选扩展插槽位。要求不少于**G应用层吞吐能力,应用层并发事务处理能力≥******。 系统要求支持透明部署,旁路部署及反向代理模式,支持牵引回注旁路部署。系统要求支持Web应用漏洞扫描防护、SQL注入/XSS防护、WEB常规攻击防护、URL ACL、ARP欺骗防护、非法下载防护、非法上传防护、Web内容安全防护、网页盗链、爬虫防护、HTTP协议防护、扫描防护。 系统提供可配置的内置规则;且支持自定义规则,规则属性要求支持“检测方向(请求或响应)”、“检测对象(URI/URI-path/Host/参数名/参数/Header-name/Header/Cookie名/Version/请求方法/Request-Body)”、匹配操作、特征签名等丰富要素。 ★系统可支持与SaaS扫描服务联动,在WAF上获取专家级、个性化的WEB漏洞扫描报告,并转化为WAF可执行的、有针对性的WEB安全防护策略,符合ISO/IEC *****:****。 支持与威胁情报中心进行联动,实时获取最新的高危IP信誉库,在WAF上自动生成防护策略。 ★具备专业的CC防护能力,且符合GA/T****-****标准;支持对服务器状态码进行过滤和伪装的安全策略,WAF会在服务器返回给客户端的数据包中,添加验证信息(包括httpCookie、urlCookie、ascii-image以及bmp-image四种能力)。 *.★投标人须承诺使用同品牌SaaS扫描服务或者Web漏洞扫描器定期对被防护的网站进行安全评估,安全评估的报告可直接转化为WAF可执行的、有针对性的WEB安全防护策略。支持手动导入扫描结果,也支持在WAF上自动下发扫描任务,扫描完成后扫描结果自动上传WAF,具有配合关停钓鱼网站能力。 ★为了提**全管理的工作效率,实现策略统一配置和报表综合管理等管理监控功能,支持与本次所采日志审计系统对接。 ★提供为期一月的原厂*X**小时云端WAF安全运维服务,符合ISO *****标准。该服务可协助完成初步阶段的设备运营工作,包括WEB攻击检测与防护、设备维护、策略优化、安全日志分析、并有详细SLA文档说明服务内容和过程,按周提供安全分析报告。 *台 * ※网络安全审计系统 【设备要求】: *U机架式设备,含交流冗余电源模块,不少于*个USB接口、*个RJ**串口、*个GE电口、*个接口扩展槽位,最大检测能力不低于*Gbps。 【功能要求】: 支持基于域名、关键字等多种组合的主动内容审计策略,可扫描指定网站,分析网页页面是否含有非法敏感信息。 通过扫描指定网站,分析检测网页是否被挂马,并实时告警响应记录。 支持集中管理,系统应提供专门的安全中心负责集中管理多台审计设备的审计事件的存储、分析;安全中心支持基于IP地址、时间、用户名、数据库操作类型、操作命令、数据库名、数据表名、字段名、关键字等条件的审计日志搜索查询分析。 通过对互联网**(域名、IP地址、URL等)进行威胁分析和信誉评级,将含有恶意代码的网站列入Web信誉库,达到识别含有恶意代码的高风险网站,实现对终端用户的安全评估和保护。 ★支持无线热点发现功能,能够实时、自动发现办公网络内的无线热点,记录无线热点访问网络时所使用的IP地址、认证用户等信息,且支持IPV*,符合ISO *****标准。 支持移动应用审计,能够识别通过移动热点所访问的移动类应用,例如IM类、社交类、网购类、影音类、资讯类等应用,并记录IP地址、应用名称、访问时间等信息;能够对主流的移动应用进行内容层面的详细审计,主要是对微博、网页言论、网页访问详细记录IP地址、URL地址、访问时间、访问或发布的具体内容等信息。 支持用户识别功能,可将终端IP地址与终端用户身份绑定,在审计日志中显示终端用户身份信息。 支持用户身份信息智能关联技术,可将用户各种身份信息与其终端IP地址进行智能关联形成用户身份信息库,从而提高事件定位的精确度。 ★所投产品符合GB-T*****-****(*+以上)、GB-T*****-****标准(增强级),支持历史版本回滚功能,系统内建历史版本库,可保留最近升级的两个历史版本,并支持回滚到任一历史版本,提高了产品升级过程的可靠性。 提供丰富的响应方式,包括:声音报警、邮件报警、短信报警、写入数据库等,满足用户各种响应需求。 *台 * ※数据库审计系统 【设备要求】: 标准机架式硬件,*U尺寸,含交流冗余电源模块,不少于*个USB接口、*个RJ**串口、*个GE电口、*个接口扩展槽位,系统内部存储空间不低于*TB;支持外部存储设备。在线日志量**亿条以上,归档日志量**亿条以上,纯数据库网络吞吐量不低于***Mbit/秒,并发会话数不小于****,SQL处理性能不少于*****条/秒。 【功能要求】: ★支持数据库自动发现。设备无需添加、即插即用。支持主流数据库:Oracle、SQL Server、MySQL、DB*、PostgreSQL、sybase、Informix。会话的终端信息:IP、MAC、Port、工具名称(程序名);会话的主机信息、IP、MAC、Port、数据库名(实例名);会话的其它信息:登录时间、会话时长。 审计要素:操作类型(DDL、DML、DCL等)、操作时间、执行时长、操作成功与失败、操作对象(表、函数、存储过程名称)、SQL语句。操作影响范围信息:查询、修改、删除操作的影响行数,以及返回行数。 ★复杂SQL语句支持:准确审计长SQL语句;有效分割、准确审计多SQL语句;准确审计绑定变量的SQL语句。 数据库漏洞攻击监测:能对基于数据库漏洞进行攻击行为监测和告警,默认支持***个以上的数据库漏洞攻击规则库。 SQL注入检测:通过模式匹配的方式对SQL访问进行监测与告警,判断是否为可疑SQL注入;提供SQL注入特征库。 可疑行为识别:批量数据导出:对超过特定行数阀值的批量数据导出行为。 高危操作:对超过特定行数阀值的批量数据修改、删除,或全表Update、Delete行为等新型语句的识别、SQL注入行为的识别。 基于数据库设置,从优先级和规则类别两个层面创建并查询审计规则。 根据风险忽略、高风险、中风险、低风险四个层级逐级命中规则。风险操作支持多条规则逻辑关联,根据排列顺序区分优先级; 支持SQL注入监测:根据IP,sql特征和正则表达式自定义SQL注入,支持数据库漏洞监测和审计语句统一管理。 支持敏感语句告警策略。(黑白名单效果);自定义添加敏感语句和信任语句(黑白名单效果);根据风险操作、SQL注入、漏洞攻击检测、语句管理等模块定义告警规则;支持高、中、低风险告警。支持系统**监控与告警。根据不同的安全级别采用不同的响应方式,包括记录、告警;告警方式包括:邮件、短信、SYSLOG、SNMP。 操作记录的信息:审计结果中包括:告警级别、事件发生时间、客户端IP、目标数据库IP、操作类型、客户端MAC地址、客户端端口号、返回状态、结果信息、客户端执行命令等详细信息内容。支持基于时间、IP地址、数据库服务器IP地址、用户名、数据库操作命令、数据库表名,执行结果,应用用户等多种丰富的查询检索条件。 风险分析:根据敏感语句、sql注入、漏洞攻击、风险操作等维度以时间维度统计数据库分析信息。支持规则命中查询、支持风险检索。语句分析:基于SQL语句的操作类型统计,支持失败sql统计、Top sql统计;支持针对新型语句、语句审计模板检索。会话分析:基于客户端IP、数据库用户、访问程序统计会话、支持会话检索;失败会话和并发会话统计;支持应用层关联会话查询。 *台 * 运维审计系统 【设备要求】: *U标准机架式设备,含单交流电源,不少于*个USB接口、*个RJ**串口、*个GE电口、*T SATA硬盘,最大可管理设备数不小于***个。 【功能要求】: ★主帐号登录堡垒机应支持本地静态密码认证、LDAP认证、RADIUS认证、证书认证等身份认证方式。支持第三方认证厂商的OTP动态令牌及手机令牌的认证方式,提供不少于**个动态令牌。 支持半自动登录目标设备:即第一次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许堡垒机保存该帐号密码,运维人员在后期登录时即可实现自动登录目标设备。支持密钥登录方式:在登录目标服务器时,使用的是秘钥登录,而非密码。在既可以使用密码,又可以使用秘钥的环境,可以自由选择登录认证方式。 ★要求支持幽灵账号功能。支持主动对从账号进行关联分析,当发现攻击者植入的异常账号时,对相关管理员采取告警、记录及通知等操作。 ★要求支持孤儿账号功能。能够提供对各从账号的运维使用率的分析功能,当发现使用率异常的从账号,对相关管理员采取告警、记录及通知等操作。 具备工单系统,支持运维工单流程,运维人员审批可提前申请工单,审批人员审批自由度大幅提高,不再受审批时间限制,**运维人员和审批人员,提高工作效率。具备专门的手机APP管理程序。支持手机APP上进行登录授权审批,金库授权审批,工单审批,方便客户随时随地进行审批工作。手机APP上可进行运维监控,包括设备信息推送,系统告警监控等。 ★远程工单系统对接及设备状态监控需要依托于专门的云平台进行,安全服务的平台需要符合安全管理体系标准,范围必须包含安全云相关服务及可管理的安全服务,且符合ISO *****标准。 ★为方便远程安全管理,满足等级保护身份认证及会话安全相关要求。运维审计系统支持和防火墙实现二合一单点登录。远程运维环境下通过防火墙VPN登录内网时只需输入运维审计系统账号即可直接快速登录到运维审计系统运维设备,无需输入VPN账号,再输入运维审计系统账号才可运维。 *台 * **运维平台升级扩容 对现有**运维平台进行升级扩容,要求现有运维平台升级到原厂最新版本,并扩容网络设备授权**个。 *套 * VPN网关 【设备要求】: 标准*U机架式设备,要求至少具备*个千兆电口;支持最大并发SSL VPN用户≥***个,SSL加密流量≥***M;投标设备应为独立的专业SSL VPN设备,非插卡或防火墙、UTM等设备的软件模块,面板不可配置液晶屏防止关键数据泄密,本项目设备包含SSL VPN授权***个。 【功能要求】: 浏览器兼容:为了满足用户使用浏览器多样性需求,要求提供支持终端使用包括IE内核的浏览器,以及非IE内核浏览器,如Chrome,Firefox,Safar,Opera最新版登录SSL VPN系统,登录后可完整访问各类应用系统; 身份安全:产品须支持本地密码认证、短信认证、硬件特征码、动态令牌、证书与USB-KEY认证、LDAP、RADIUS等认证方式;支持提供与移动办公APP联动,发送随机数至移动办公APP,APP接收随机数后完成平台登录的二次认证;单台VPN设备可扩展同时支持*套以上CA根证书; 终端安全:产品必须支持防中间人攻击,产品可在用户登录SSL VPN时智能判断存在中间人攻击行为,断开被攻击的连接,并可提示异常现象,支持用户终端登录前、登陆后的安全性检测,检测范围包括:用户接入IP、接入时间、接入线路IP、进程、文件、注册表、操作系统、使用终端,可以检测出客户端是否安装指定的防火墙或杀毒软件; 权限安全:要求支持实现SSL VPN账号与应用系统账号的唯一绑定,VPN**中的系统只能以指定账号登陆,加强身份认证,以防止登录SSL VPN后冒名登录应用系统,保证系统使用的安全性; 应用安全:支持提供基于SDK方式的APP封装代码不能超过**行;支持提供针对移动应用APP的安全接入代码的自动封装,实现APP应用的安全加固,以避免二次开发拖延项目交付周期;自动封装后,支持手势密码保护、文件加密等功能; 应用虚拟化:产品支持提供在Windows和MAC操作系统下支持远程应用发布功能,可以无需二次开发,即把Windows应用发布到Android/IOS系统移动智能终端中,也可以支持无需开发,将C/S**Web化的界面说明;远程应用发布必须支持本地**,包括:本地磁盘映射、剪切板映射、打印机映射、虚拟打印;支持剪切板,并能够实现剪贴板数据流双向控制,即可以分别控制是否允许用户将“客户端复制数据到远程应用”或将“远程应用数据复制到客户端”; 云盘:支持面向安卓、IOS终端提供云盘,包括公共云目录、私人云目录等,支持将文件从云盘下载到本地保存,支持终端本地相册和本地摄像头**调用,支持通过终端自带摄像头进行现场拍照,并将照片上传到远程应用,从而提高智能终端的易用性。 *台 * ※日志审计系统 【设备要求】: *U标准式机架硬件设备,含交流冗余双电源,*个USB接口,*个RJ**串口,*个GE电口,支持多端口采集,可支持**千兆数据采集口或*个万兆数据采集口。系统硬盘容量应不低于*TB,应支持定制扩容,支持最大日志源不少于***个。支持授权扩展,单台日志处理性能:支持每秒****EPS的日志解析能力;**亿背景数据指定字段查询最快可在*秒内响应。 【功能要求】: 支持的数据采集方式包括但不限于:SYSLOG、SNMP/SNMP TRAP、FTP/SFTP、HTTP、API接口、WebService、专用Agent等方式,采集日志等; ★系统应基于大数据平台架构,具备海量数据收集与快速检索能力;且具有配合关停钓鱼网站的能力。系统应支持内置采集器,不依赖其他设备即可进行日志采集,符合GB/T *****-****标准。 系统支持的数据采集范围包括但不限于网络安全设备、交换设备、路由设备、操作系统、应用系统等; 可实现多维度资产管理,具有多维度资产分析视图,系统至少内置三种视图:地理视图、业务视图、组织架构视图。 系统应支持按类型、按日期(天),手动、自动备份日志。 系统应支持设置日志存储备份策略,可设置备份周期、备份日志类型等;系统应支持日志备份远程服务器,如传送到FTP服务器。 ★系统应支持正则、KV、格式串等多种灵活的提取日志方式。 ★能够采集、保存原始日志数据,支持NFS网络文件共享方式扩展日志存储空间,保存时间至少半年;能够实现海量日志数据快速查询;系统必须具备日志范式化功能,实现对日志格式的统一化。 支持多达**种的事件类型的规则配置,包括:系统入侵、暴力破解、扫描窃听、蠕虫事件、木马事件、僵尸网络事件等。 *台 ** 虚拟化安全防护系统 *.采用B/S架构设计,管理控制中心高度集成化,无需额外安装或外接数据库即可实现日志存储和分析展示,无需额外安装或对接升级服务器即可实现文件、特征库的升级和分发,本次提供防病毒、防火墙、入侵防御和webshell检测功能授权,本次配置**颗CPU授权,并提供三年升级服务。 *.★对已防护的主机统计在线率,对虚拟机是否安装客户端统计整体部署率。 *.★提供在线或者离线升级方式,隔离网情况下能够采用离线工具进行更新; *.支持防暴力破解,可对来自网络的暴力破解行为进行拦截,支持配置时间、破解次数等阈值,并提供暴力破解IP或IP段的黑白名单设置。 *.应支持对主机安全缺陷、配置进行扫描评估,通过打分形式展现不合规和风险程度。能够对window操作系统上的策略、服务、组件等进行扫描凭,对linux操作系统上的账号、服务、安全参数、进程、配置等进行扫描评估,并给出修复建议,修复建议包括自动修复和手动提示修复;支持对主机的安全加固,针对利用虚拟化漏洞的恶意软件、程序进行拦截并阻止其在主机上运行,提供软件、程序的黑白名单,以减少对系统程序的误拦截风险。 *.至少支持Windows */*/**等云桌面常见操作系统类型,Windows Server****/****/****/****等虚拟化环境常见基于Windows NT的服务器操作系统;至少支持SuSE、Red Hat、Ubuntu、Debian、CentOS、Asianux、NeoKylinLinux等虚拟化环境常见基于Linux内核的操作系统。 *.针对近期爆发流行的永恒之蓝攻击,能够进行有效防护。 *.★产品应支持双向状态防火墙,提供对出入主机流量进行访问控制与隔离;防火墙支持从IP、端口、方向、协议、优先级方面进行策略控制;支持防火墙策略的批量开启、停用、删除等操作。 *.支持动态展示安全事件并能够进行邮件告警。 **.产品应至少支持VMware 、Ctrix、Microsoft、Huawei、H*C、浪潮等国内外主流虚拟化厂商平台,并能够采用一个管理控制中心进行统一管理。 **.产品除支持一般性病毒木马查杀外,还应支持例如:宏病毒、敲诈勒索软件、注册表病毒、间谍软件、僵尸远程软件等特定恶意文件的查杀;除落地在本地文件系统中的文件外,对网络映射驱动器、移动存储路径、共享目录、局域网路径等扩展路径也能够进行扫描查杀。 **.★支持syslog协议,将安全日志发送到第三方syslog服务器,发送项最少要包含:病毒分析、防火墙、入侵防御、webshell扫描、防暴力破解、虚拟化加固、操作日志、任务日志等内容。 *套 ** 一体化终端安全管理系统(业务专网) *.控制中心:采用B/S架构管理端,部署在业务专网侧,支持PC及服务器终端;本次配置****个终端防护授权,需包含终端防病毒、终端补丁管理、终端运维管控、终端移动存储设备管理和终端windows XP系统安全防护功能,并提供三年升级服务。 *.支持插件清理,按插件显示展示全网存在的插件和涉及的终端,可清理指定或全部插件、加入信任;按终端显示展示全网每个终端存在的插件,可清理插件。 *.支持自动发现设备的IP-MAC地址的绑定。 *.★支持浏览器防护,对篡改浏览器设置的恶意行为进行有效防御,并可以锁定默认浏览器设置。 *.对敲诈者病毒提供专有的防护功能,并提供文件解密工具。 *.支持对文档内数据内容进行检查,管理员可以自定义检查规则和检查内容,文档内包含任意一条规则中的全部数据内容,则为价值文档,支持规则内“逻辑与”,规则间“逻辑或”的关系评定,终端价值定性的标准可由管理员自定义。 *.★可对扫描压缩包层级和压缩包大小进行设置以节省终端计算**。 *.★产品具备漏洞集中修复过程中的流量控制和保证带宽,补丁分发支持服务端带宽限流与客户端P*P补丁分发加速,有效节省外网带宽**。 *.支持移动存储介质外出管理,并可以设置外出使用权限与有效时间。 **.产品具备漏洞集中修复,强制修复,自动修复;具备蓝屏修复功能。 **.★支持系统IE降权,防止黑客利用IE浏览器提权渗透。 **.支持正版软件的正版序列号的读取功能,确保软件正版化。 **.★支持设置对特定分组优先进行客户端程序、客户端病毒库、客户端补丁分发,观察一段时间没有问题后再全网升级。 **.支持远程协助终端(不依赖Windows远程桌面协议)、远程关机、重启终端。 **.支持针对Windows XP系统可带**全隐患的设计机制进行加固性修复,至少支持**以上防护机制。 **.支持终端安全检查失败本地ACL隔离机制,可基于协议、特定端口、端口范围、特定地址、IP范围、URL来控制终端访问权限,从而无需操作交换机达到终端网络控制目的,实现细粒度的访问控制管理,支持不同终端修复区域定义。 **.移动存储管理支持管理员设置自动审批客户端注册请求。 *套 ** 终端网络安全准入系统 *.整机支持≥*Gbps吞吐量,≥*个串口,≥*个千兆以太网电口,≥*TB SATA硬盘,双电源,*U机箱。本次提供****个客户端准入授权,最大支持扩展到不低于****个,提供*年软硬件维保服务。 *.★控制中心采用B/S架构管理,具备分组管理、策略制定下发,为方便管理,要求可与一体化终端安全管理系统使用统一的控制中心。 *.支持集群化部署、多级集群化管理,批量下发策略,批量升级、授权管理、NAC节点监测。 *.支持有线、无线基于应用准入方式,准入配置支持保护服务器区域、例外终端等灵活的配置方式。 *.支持基于应用协议的访问控制,可基于IP、协议端口进行访问流量控制。 *.支持标准***.*x准入,支持动态VLAN,支持账号接入有效时间限制,账号在线数量限制。 *.★支持通过自动审批和管理员手动审批两种方式进行用户申请审核,审批通过邮件进行通知。 *.★支持多种检查机制,至少支持入网检查、定时检查、周期检查机制,针对接入内部网络的计算机终端实行多种安全检查策略,支持分组策略下发控制。 *.支持对不合规的终端提供软隔离,不符合安全策略的计算机终端进行**提示,提供终端修复向导,需支持引导修复和一键修复功能,并支持不同区域终端的修复区域定义。 **.★支持对文件共享检查,检查终端用户是否存在共享目录。 **.可支持与AD、LDAP、Email、Http第三方服务器联动认证,来完成用户鉴别功能,以达到终端用户实名制入网,统一认证管理,支持LDAP用户导入,用户映射关系、组织架构导入。 **.★客户端具有防退出和卸载能力,以便对服务、双进程、文件进行有效自我保护。 **.支持对不合规的终端提供软隔离,不符合安全策略的计算机终端进行**提示,提供终端修复向导,需支持引导修复和一键修复功能,并支持不同区域终端的修复区域定义。 **.可支持与AD、LDAP、Email、Http第三方服务器联动认证,来完成用户鉴别功能,以达到终端用户实名制入网,统一认证管理,支持LDAP用户导入,用户映射关系、组织架构导入。 **.支持***.*x认证技术上基于终端快速认证,与终端管理客户端联动无需输入账号快速入网,避免重复输入账号口令。 *套 ** 原防火墙规则库升级服务 提供原接入防火墙(网神SecGate****防火墙A****-T***P-UP)原厂三年规则库升级服务 *项 ** ※汇聚路由交换机 硬件需求:冗余双交流电源,固化**/***/****M 电接口≥**个,万兆SFP+光接口≥*个。 性能需求:交换容量≥***Gbps,包转发率≥***Mpps,地址表≥**K,路由表≥**K。 VLAN功能:支持*K VLAN,支持*:*和N:* VLAN Mapping,支持灵活QinQ功能,支持Private VLAN。 IPV*:支持静态路由、RIP v*/v*、OSPF、BGP、策略路由,支持等价路由实现负载均衡,支持BFD for OSPF、BGP。 ★IPV*: 支持MLD、MLD Snooping等IPv*组播特性,支持IPv*静态路由、RIPng、OSPFv*、BGP*+等IPv*三层路由协议。支持丰富的IPv*向IPv*过渡技术,包括:IPv*手工隧道、自动隧道、*to*隧道、ISATAP隧道等隧道技术。 ★MPLS VPN:支持LDP协议,支持MCE,支持MPLS VPN的P/PE功能要求,支持MPLS TE,支持MPLS OAM。 QoS功能:支持基于VLAN、MAC、源地址、目的地址、IP协议、优先级等实现对复杂流的分类功能,并且支持对优先级进行重新标记,持SP、WRR、SP+WRR等队列调度方式,支持Tail-Drop、WRED等拥塞避免机制。 安全特性:支持基于L*/L*/L*的ACL流识别与过滤安全机制,支持防DDoS攻击、TCP的SYN Flood攻击、UDP Flood攻击等,支持对组播、广播、未知单播报文的抑制功能,支持端口隔离,支持端口安全、IP+MAC+端口绑定,支持DHCP Snooping、DHCP Option **。 ★可靠性:支持双热插拔电源,支持静态/LACP方式链路聚合,端口捆绑支持每组最大*个,同时支持*组动态LACP或者静态聚合,支持跨业务卡的链路聚合,支持EAPS环网保护,支持VRRP,支持BFD for OSPF、BGP。支持电信级的以太环网保护协议,保护倒换时间≦**ms。支持EAPS、ERPS以太环网保护协议。 管理与维护:支持Console、Web、Telnet、SSH、CLI以及SNMPV*/V*/V*协议的网络管理。 *台 ** ※汇聚交换机 硬件需求:千兆电接口≥**个,千兆光口≥*,万兆SFP+光接口≥*个。 性能需求:交换容量≥***Gbps,包转发率≥***Mpps,MAC地址表≥**K。 支持STP、RSTP、MSTP生成树协议。 支持基于端口的VLAN、***.*Q 标记VLAN、Super Vlan、Private Vlan、GVRP动态VLAN配置、灵活QinQ。 抑制广播风暴,达到临界点停止发送。 支持半双工采用背压,全双工采用IEEE***.*x。 端口捆绑支持每组最大*个,同时支持*组动态LACP或者静态聚合。 支持以太网OAM机制,通过对网络运行状态的实时监控,实现对故障的快速检测与定位。 支持防范DoS、TCP的SYN Flood、UDP Flood、广播风暴、大流量等对设备的攻击;支持命令行分级保护,不同级别用户拥有不同管理权限。 支持IEEE ***.*x、Radius等,可为用户提供完备的安全认证机制。 支持QinQ双重VLAN安全功能。 ★支持QOS,支持基于L*/L*/L*协议头各字段的流量分类,支持SP、WRR、SP+WRR等队列调度方式,支持Tail-Drop、WRED等拥塞避免机制,支持流量监管与流量整形。 ★支持三层路由协议,静态路由、RIP v*/v*路由协议。 支持基于端口的用户IP+MAC+Vlan ID+用户账号多种因素组合绑定。 ★支持EAPS、ERPS以太环网保护协议,保护倒换时间≦**ms。 ★全面支持IPv*协议族,支持IPv*邻居发现、ICMPv*、PATH MTU发现等IPv*特性。 支持ISSU(In-Service Software Upgrade)业务不中断系统升级。 支持Console、Telnet、SSH、CLI以及SNMPV*/V*/V*协议的网络管理。 *台 ** 服务器 *. *U机架式; ★处理器:*颗Intel **** *.*G **.*UPI **.**M **核处理器,支持英特尔®至强®可扩展系列处理器; ★内存:**G DDR* **** ECC REG内存,配置≥**根内存插槽,最大可扩展至*TB内存,支持内存ECC保护、内存镜像、内存热备; ★存储:*块*TB *.*寸*.*K *Gb SATA硬盘,支持最多达**块*.*寸SAS/SATA热插拔硬盘或**块*.*寸SAS/SATA/SSD热插拔硬盘,可选支持*个NVMe U.* SSD,可选支持*个M.* SSD,可选支持≥*个后置热插拔*.*寸硬盘位; *.RAID:八口**Gb SAS控制器,支持RAID*/*/; *.网络控制器:*个千兆以太网口,支持NCSI、网络唤醒,网络冗余,负载均衡等网络高级特性,*个RJ-**管理接口,支持IPMI*.*和KVM Over IP高级管理功能; *.PCI扩展槽:最大支持**个PCI-E *.*插槽(*个专用插槽); *.电源:配置***W热插拔铂金单电源,可选*+*冗余电源; *.可维护性:配置离线光诊断功能,可断电环境下诊断主板关键信息故障;配置SD卡插槽,可实现存储系统日志及BMC日志,保证日志数据不受时间限制,方便故障定位; *.管理功能:集成系统管理芯片,支持:iKVM和KVM Over IP高级管理功能,本地固件更新、错误日志,提供系统状况的可视显示;配置独立的远程管理控制端口,支持远程监控图形界面,可实现与操作系统无关的远程对服务器的完全控制,包括远程的开机、关机、重启、虚拟设备挂载等操作;可实现监控服务器内部主要部件的状态,包括CPU、内存、硬盘、PCI功耗、风扇、电源、功率、温度等信息;支持黑匣子,支持最后一屏功能,支持在检测到宕机发生时将系统临终时刻的屏幕以指定的格式自动保存。 *台 ** 集成费 实现对所有新旧设备以及相关系统软件的总集成。 注:所有招标内容除特别标注为“进口产品”外,均采购国产产品,即非“通过中国海关报关验放进入中国境内且产自关境外的产品”,投标货物及服务各项技术标准应当符合国家强制性标准。 *.交货(完工)时间:合同签定后一个月内。 交货地点:***望景路*号。 *.投标人资格要求 (*)具有独立承担民事责任的能力; (*)具有良好的商业信誉和健全的财务会计制度; (*)具有履行合同所必需的设备和专业技术能力; (*)有依法缴纳税收和社会保障资金的良好记录; (*)参加政府采购活动前三年内,在经营活动中没有重大违法记录; (*)所属行业相关法律、法规等对投标人生产或经营该投标产品有特殊资格、证照等规定的,须提供其相关证明材料。 *.联合体投标 本项目不接受联合体投标。 *.招标文件领取时间及地点 (*)领取时间:****年*月**日至****年*月**日 **时间上午:*:**-**:**,下午:**:**-**:**,公休日除外) (*)领取地点:*********招标科 **.现场考察及答疑会时间、地点、联系人、联系方式 (*)时间:****年*月*日下午**:** (*)地点:***望景路*号 (*)联系人:张女士 联系电话:****-******* **.投标截止时间及开标时间、投标地点及开标地点 (*)投标时间:****年*月**日上午 **:**—**:** (*)投标截止时间及开标时间:****年*月**日上午**:** (*)投标及开标地点:*********开标二室 **.参加本次投标的供应商应于开标前在*********网站进行免费登记备案。 联系人:王建文 联系电话:****-******* **.采购单位联系人及联系方式 采购单位名称:***卫生健康委员会 地 址:***望景路*号 邮编:****** 联系人:张女士 联系电话:****-******* **.集中采购机构联系人及联系方式 集中采购机构:********* 地 址:*********南街与南屯路交叉路口***为民服务中心四楼(西南角C区) 邮 编:****** 联系人:刘 勇 联系电话:****-******* 王 轲联系电话:****-******* **.信息发布 本项目相关的招标文件澄清、修改以及终止公告、中标公告等信息均通过财政部门指定的政府采购信息发布媒体、*********网站(http://zfcg.taiyuan.gov.cn)公布。 集中采购机构通过财政部门指定的政府采购信息发布媒体、*********网站公布的信息视为已送达各投标人,投标人有义务在招标活动期间浏览相关网站。 **.公告期限 本招标公告的公告期限为*个工作日。 ********* ****年*月**日
