广州市胸科医院网络及信息安全平台建设项目采购人需求.docx
《广州市胸科医院网络及信息安全平台建设项目采购人需求.docx》由会员分享,可在线阅读,更多相关《广州市胸科医院网络及信息安全平台建设项目采购人需求.docx(56页珍藏版)》请在冰点文库上搜索。
广州市胸科医院网络及信息安全平台建设项目采购人需求
广州市胸科医院网络及信息安全平台建设项目采购人需求
第一节项目概述
★项目工期要求:
必须提供自合同签订日起一年的的相关运行维护服务。
★本次采购产品为非进口产品(进口产品指通过中国海关报关验放进入中国境内且产自关境外的产品)。
★凡属于《中华人民共和国实施强制性产品认证的产品目录》的产品,交货时不能提供超出此目录范畴外的替代品,产品还须同时具备国家认证认可监督管理委员会颁布《中国强制认证》(CCC认证)。
★凡属于政府强制采购节能产品,请投标人承诺在交货时提供《节能产品政府采购清单》中的产品。
(注:
《节能产品政府采购清单》投标人可查询中国政府采购网<>)
第二节项目需求描述
一、项目概述
按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)及《卫生行业信息安全等级保护工作的指导意见》文件要求,市胸科医院的医院信息系统(HIS系统)定级为3级,其他信息系统,包括检验系统(LIS系统)、医学影像与传输系统(PACS系统)、供应室管理系统、财务系统、EMR系统等5个业务系统均定级为信息安全等级二级。
其中医院信息系统主要用于为医院所属各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力,并满足所有授权用户的功能需求;检验系统的功能为自动接收检验数据,对数据分析后得出检验报告;医学影像与传输系统应用在医院影像科室,为影像归档和通信系统,主要的任务是把日常产生的各种医学影像通过各种接口以数字化的方式海量保存起来,当需要的时候在一定的授权下能够很快的调回使用,同时增加一些辅助诊断管理功能。
二、信息安全现状
从2015年11月3日开始,按照《信息系统安全等级保护基本要求》中三级标准,广州市胸科医院信息系统安全保护整改控制点进行了为期一周的现场测评,测试范围覆盖机房1个、网络设备多台、主机设备多台、应用系统4个、数据库多个和管理制度多份,访谈人员多名,使用了多种测试工具。
此次测评总共测评项290项,符合项148项,占有效测试项的51%,部分符合项9项,占有效测试项3%,不符合项129项,占有效测试项44%,不适用项6项。
总体测试结果为不达标。
为满足《信息系统安全等级保护基本要求》的三级要求,现需要采购相关的安全设备和服务,完善信息安全建设,保障医院网络安全运行。
三、项目采购清单
序号
内容
数量
1
抗拒绝服务系统
2台
2
下一代防火墙
1台
3
Web应用系统
2台
4
运维审计系统堡垒机
2台
5
准入控制系统
2台
6
漏洞扫描系统
1台
7
配置扫描系统
1台
8
安全管理平台
1台
9
安全服务
四、本项目设备与安全服务招标要求
(一)设备技术要求
1.入侵检测设备2台
产品要求
详细说明
设备要求
提供的产品不能少于2*USB接口,1*RJ45串口,1*GE管理口,6*GE电口。
设备攻击小包(64bytes)清洗容量不低于2Gbps,最大4Gbps清洗容量。
小包(64bytes)防御能力不低于300万pps
部署方式
流量清洗产品支持串联、旁路、集群等部署方式,可通过集群功能对清洗容量进行扩容。
攻击防范功能
支持对欺骗与非欺骗的TCP(SYN,SYN-ACK,ACK,FIN,fragments)、UDP(randomportfloods,fragments)、ICMP(unreachable,echo,fragments)、(M)StreamFlood及混合类型攻击的防护。
支持对CS模型业务流量提供专有算法进行防护。
设备具备针对UDP53、TCP53及授权DNS服务器提供专用的DNS防护手段。
需提供截图证明。
★设备具备针对HTTPGetFlood攻击具备不少于9种专有防护手段,其中防护算法应至少包括:
TAG验证、HTTPCOOKIES验证、URL验证、ASCII图片验证、BMP图片验证、动态脚本防护、传奇游戏验证、FCS检查、模式匹配检查等,能够对HTTP进行解码。
需提供截图证明。
设备具备针对HTTPPOSTFlood攻击具备专有防护算法。
设备具备对不同类型的url请求合法性进行验证,实行不同的防护策略,可防御CC及变种的能力。
设备具备对连接耗尽型攻击的防御能力。
需提供截图证明。
设备支持使用智能攻击流量识别的技术进行防护,而不需要基于特定规则的方式,即当发生未知攻击,无需专门的撰写规则即可对这些攻击进行防护。
设备支持高级模版匹配的功能,需提供截图证明。
系统支持对指定的用户实现按需防护。
系统支持对用户进行分组,并对不同的组别进行独立的防护策略配置,防护群组数量≥1024。
设备提供过滤功能,支持白名单、黑名单、ACL、正则表达、GeoIP功能。
支持URL访问控制规则等多种分组过滤方式,需提供截图证明。
支持基于UDP的payload长度和规律提供检查和防护
UDP防护支持多种检查和限速方式,包括最小包长、最大包长、源IP+源端口限速、源IP限速、目的IP+目的端口限速、目的IP+源端口限速、目的IP限速。
需提供截图证明。
可以根据TCP的标志位进行信任源IP限速
支持对空连接进行检测和防护
支持SIP防护
支持使用IP信誉库对流量进行防护,并支持IP信誉查询,信誉库更新周期≤1天
支持配合云清洗平台形成混合清洗解决方案,解决出口带宽拥塞情况下的攻击防护。
牵引回注功能
支持静态和动态牵引方式,并且支持BGP路由协议和OSPF协议。
支持二层回注、三层回注、GRE回注、PBR回注、MPLSLSP回注、MPLSVPN回注等多种回注方式。
支持portchannel多端口绑定
设备支持与Arbor和Genie进行联动清洗
管理功能
管理界面要友好、易用性强,应支持集中管理、本地管理、远程管理等多种管理方式,并能实时显示攻击事件、流量、系统运行状况等信息。
对系统自身的管理方式支持串口命令行和Web图形化管理两种方式,无需安装专门的客户端管理系统,且图形化界面支持中文、英文和日文的切换。
系统Web界面具备设备的远程升级功能。
系统具备远程重启功能,并可在命令行和Web界面中进行操作。
对设备的远程管理方式具备加密能力,通过https和SSH等加密方式实现。
系统具备统一管理平台,在集群部署时支持对多台设备的集中管理,日志收集,运行状态监控,策略下发。
系统支持以中文图表形式输出流量报表、安全报表、综合报表,支持多种报表格式,并支持SFTP、SNMP、syslog和邮件等报表输出方式。
报表支持日报、周报、月报和年报,并且支持对设备、IP群组、单台主机形式输出以上报表。
系统支持用户分级分权管理,并具备合理的分级层次及权限划分粒度。
系统具备安全日志功能,可完整地记录用户对设备的重要操作、访问信息。
应提供完善的日志管理功能,包括日查询、删除、备份、生成报表等操作,而且要支持自定义报表logo、自动生成报表等功能。
设备支持通过snmp、syslog、API等方式与第三方平台进行联动
支持配置文件导入导出,用于设备配置备份和紧急恢复
支持通过设备web界面获取第三方接口文档规范。
实现链路带宽监控,允许配置监控阈值,带宽超限后产生告警
支持设备自身登录安全认证,包括密码强度检查、登录IP访问控制、超时退出、密码生存周期检查、允许登录错误次数限制
设备登录认证支持本地认证和Radius认证
提供故障信息一键收集功能,实现运维场景快速定位和解决问题
提供界面手动及自动抓包功能,抓包参数定义范围至少包含如下几项:
接口、协议、抓包数量、源IP、目标IP、源或目标IP、最大包长、流量方向。
支持通过通过手机APP客户端监控设备运行状态,包括产品的CPU、内存、接口状态、产品版本等信息。
产品资质
产品应具备如下资质:
《计算机信息系统安全专用产品销售许可证》、《IPV6Ready认证》,提供的相关证书证明文件。
产品成熟度及应急本地服务
投标产品应该是被广泛应用的成熟产品,在亚太区市场应具有较高的市场份额,需3年以上市场占有率进入前五,并提供第三方权威咨询机构的Frost&Sullivan的证明。
原厂商必须拥有五年以上研发和生产安全产品的经验,投标时需提供该厂商第一次拿到的公安部安全产品销售许可证复印件,并加盖原厂商公章。
投标产品应该是经过市场考验的成熟产品,产品上市时间不少于5年,须提供销售许可证或软件著作权证书等有效证明材料。
厂商资质
★为了更好地应对医院所遭遇的攻击威胁,本次项目投标的抗拒绝服务系统须与我院现有网络入侵检测系统实现联动防护及同平台管理,提供相关证明文件
抗拒绝服务系统用于外网防护DDOS,对全院外网有重要防护意义。
产品厂商须获得中国信息安全认证中心颁发的ISCCC信息安全服务资质认证证书,包括:
应急处理一级服务资质、信息系统安全集成一级服务资质、风险评估一级服务资质,须提供以上三个证书的复印件。
产品厂商应具备独立的安全漏洞研究能力,独立发现并被CVE组织(世界漏洞编号官方组织)收录的安全漏洞超过30个,请提供CVE官方网站通过搜索单位名称所获得的CVE数量截图证明,同时提供这些安全漏洞的CVE编号、漏洞详细介绍及截图、网站链接。
要求提供手机APP的安全通告服务,服务内容包括:
安全资讯、WEB漏洞、软件漏洞、恶意代码、PoC工具等;支持Android、IOS等手机;要求提供手机APP的相关截图,及官网(必须是厂商的官网)下载地址。
★承诺
投标人必须在投标书中提供书面承诺,在预中标前,用户有权要求投标人对所投硬件系统产品按招标文件相关的技术指标与功能需求进行测试,以保证所投设备各项指标的真实性,不能提供或不能通过技术测试或测试结果与投标文件不符的视为虚假投标,采购人有权拒绝与其签订合同并报广州市政府采购监督管理部门进行处理,由此引发的所有损失由中标人负责。
2.下一代防火墙1台
类别
功能与技术描述
设备基本要求
要求采用多核架构,自研操作系统,具备中国信息安全测评中心颁发的《自主原创证书》,提供有效证书复印件
硬件要求
2U机型,含交流冗余电源模块,1*RJ45串口,1*RJ45管理口,2*USB接口,6*GE电口(Bypass),1个接口扩展槽位
性能
设备吞吐量:
不少于6Gbps;应用层吞吐量:
不少于2Gbps,最大并发会话数:
不少于200万,每秒新增会话数:
不少于6万
防火墙功能
支持虚拟线、二层透明、三层、混合、旁路监听接入方式,适应各种网络环境需求
能够在一条策略里配置源/目的IP地址、安全区、应用/应用组、协议/端口、时间、用户、安全模板/模板组,提供截图证明
支持链路探测,能够在每接口上以ICMP/TCP/UDP协议探测目标主机可达性,探测链路是否有效,提供截图证明
支持OSPF、RIP、BGP、策略路由、Vlan路由、单臂路由、反向路由、ISP路由、DHCP、DNS、VlanTrunk
具备SSLVPN功能,支持WEB代理和L3-VPN两种实现模式,并提供两种功能模式配置截图证明
资产风险识别
支持被动内网资产识别功能,可识别内网主机的操作系统、杀毒软件、浏览器等信息,识别的过程不会对主机产生影响。
支持自定义操作系统、浏览器、杀毒软件的风险等级,并支持预置风险等级。
支持为每个内网主机生成风险指数,通过数字直观展示内网主机的风险状态。
请提供配置截图证明。
资产风险可涵盖操作系统、浏览器、杀毒软件、应用、流量、服务等内容。
支持针对高风险资产提供屏蔽功能,阻止其连接互联网。
支持生成内网资产风险报表,提供高风险资产top10,提供操作系统等相关资产信息的数据统计和报表展示。
请提供配置截图证明。
远程安全运维
★为了保障医院远程接入运维的安全性及易用性,本次采购的防火墙应支持与此次采购的堡垒机设备联动,即可通过堡垒机账号直接登录VPN,并在认证完成后自动跳转至堡垒机登录后的首页,规避多次认证、重复认证、记忆多套账号密码等传统问题,提升医院远程运维的安全性及易用性,请提供配置截图证明。
该功能属于医院业务需求,招标方有权要求投标人提供产品进行现场测试验证
一体化安全
入侵防护规则库具有超过4400条攻击规则,每条规则具备详细的攻击规则描述及解决方案。
同品牌入侵防护类产品通过NSSLabs的IPS专项测试,提供NSSLabs相关证明复印件
云端安全运维
支持将防火墙接入云端进行远程管理,用户可通过登录云端,对防火墙网络实时及历史安全事件、事件趋势及详细日志、报表、甚至全国其他地区的安全形势进行查询和跟踪。
需提供厂商云端域名链接的截图证明及有效URL(确保域名有效性),加盖厂商公章。
可在云端监控设备的CPU、内存等信息,可提供截图厂商盖章证明
支持在云端同步设备的配置文件,备份设备的配置信息,可提供截图厂商盖章证明
能够在云端支持子账号授权,提供子账号接入云端管理安全事件,提供截图厂商盖章证明
移动端安全运维
支持通过手机APP实现移动运维监控,监控指标包括防火墙CPU、内存、IP地址,设备HASH,系统版本,规则库版本,更新时间,证书终止时间,提供APP功能截图证明
手机APP需支持安全告警功能,可在线请求技术支持,并查看整个处理流程,支持处理结果评价,提供APP功能截图证明
支持手势解锁,请提供配置截图证明。
提供APP功能截图证明
兼容性要求
★与医院现有外网防火墙实现双机热备,可配置HA模式形成主备双节点,确保现网主干链路的高可用性。
该功能属于医院实际业务要求,投标人在中标后,招标方有权要求投标人提供产品进行现场测试
产品资质
产品具备《计算机信息系统安全专用产品销售许可证》,产品类型为第二代防火墙产品(增强级-支持IPV6),提供有效证书的复印件
投标防火墙产品须具备CVE遵从性证书,证书类型为“NextGenerationFirewall”。
投标防火墙产品须具备国家信息安全测评《信息技术产品安全测评证书》EAL3+级别。
厂商服务要求
产品厂商应具备独立的安全漏洞研究能力,独立发现并被CVE组织(世界漏洞编号官方组织)收录的安全漏洞超过30个,请提供CVE官方网站通过搜索单位名称所获得的CVE数量截图证明,同时提供这些安全漏洞的CVE编号、漏洞详细介绍及截图、网站链接。
★要求提供手机APP的安全通告服务,服务内容包括:
安全资讯、WEB漏洞、软件漏洞、恶意代码、PoC工具等;支持Android、IOS等手机;要求提供手机APP的相关截图及官网(必须是厂商的官网)下载地址。
3.防火墙2台
参数
功能和详细描述
系统平台
专用机架式硬件设备,设备所保护的Web主机和应用数量不受许可证限制
设备要求
网络接口
最大支持4x100M/1000M自适应电口,支持1xGE(RJ45)专用管理口
硬盘容量
设备自带硬盘容量≥1TB,无需依赖于独立的服务器或管理设备进行安全日志搜集。
SSL加速卡
支持SSL硬件加速卡,同等提升WAF在处理HTTPS站点时的性能及响应能力,提供“支持SSL硬件加速”的配置界面截图,盖章证明
吞吐量(双向)
网络吞吐量为4Gbps;应用层吞吐量为600Mbps
时延
<150us
每秒最大事务数
10000tps
部署能力
支持透明部署、旁路部署、反向代理以及镜像监听等部署模式,提供配置界面截图证明
紧急模式
支持紧急模式,当并发连接数超过阀值时,WAF自动进入紧急模式,已经代理的连接正常代理,对新增的请求不进行代理,直接转发,防止WAF成为访问瓶颈。
当连接数恢复正常时,自动退出紧急模式,提供配置界面截图证明
例外策略
支持对安全策略的一键式例外配置。
提供配置界面截图证明
HTTPRFC符合性
支持对HTTP协议合法性进行验证,提供HTTP协议防护功能。
HTTPS支持
支持对SSL(HTTPS)加密会话进行分析。
WEB应用安全防护
支持SQL注入、XSS防护,支持使HTTP头域中的Cookie、Referer、User-Agent,Except字段过防护策略,提供配置界面截图证明
支持CSRF(跨站请求伪造)防护,提供配置界面截图证明
支持扫描防护,提供配置界面截图证明
支持Cookie安全机制,包括加密和签名的防护方法,支持Cookie自学习,提供配置界面截图证明
支持盗链防护,可采用Referer和Cookie算法,提供配置界面截图证明
支持对服务器状态码进行过滤和伪装的安全策略,提供配置界面截图证明
暴力破解防护
支持暴力破解防护,支持基于GET或POST分别设置触发阈值。
提供配置界面截图证明
为减少阈值统计造成的误报可能性,实现细粒度配置,该模块应支持Referer检测及验证码等其他防护算法。
提供配置界面截图证明
暴力破解模块能够识别Form、Ajax、Jsonp等多种登录验证方式。
提供配置界面截图证明
会话跟踪
支持会话追踪能力,能够关联用户的web请求及所有操作,达到攻击链还原,用户行为研究及攻击动机挖掘的目的。
提供配置界面截图证明
能够对会话的类别进行有效识别,支持的会话类别应至少包括:
ASP-DOT-NET-session、ASPSESSIONID-session、ColdFusion-session、J2EE-JSESSIONID-Cookie-session、J2EE-JSESSIONID-URL-session、J2EE-session、JWS-ID-session、PHP-BB-MYSQL-session、PHPSESSID-session、PHPSESSIONID-session、SAP-session等。
提供配置界面截图证明
支持自定义资源追踪方式,支持指定用户名追踪,支持登录URL及用户名参数的自定义。
提供配置界面截图证明
非法上传防护
能识别上传行为,并对上传行为的内容做安全检测。
非法下载防护
可以根据文件大小、MIME类型、及文件扩展名,灵活定义下载限制策略,限制用户非法获取网站的关键数据(比如数据库文件,配置文件等)
数据泄露防护
对流出数据内容进行安全审查,对敏感关键字实施过滤,防止身份证等隐私信息非法泄露
Base64编码攻击防护
为防止web攻击手段采用base64编码混淆真实攻击意图,WAF应支持Base64编码攻击防护,提供配置界面截图证明
国内web框架及组件
支持国内广泛使用的本土化自产web框架及组件,如:
织梦dedecms、ECShop等系统及其衍生模版的漏洞,应具备防护规则库。
提供界面截图证明
智能补丁联动
★支持与本次采购漏洞扫描服务所要求的工具实现联动,在WAF上定期自动获取专家级、个性化的《WEB漏洞扫描报告》,并转化为WAF可执行的、有针对性的WEB安全防护策略,提供配置界面截图证明
流量清洗
支持与抗拒绝服务系统联动,对流量进行按需清洗,提供配置界面截图证明
展示功能
支持设备首页展示以下信息,便于运维人员快速了解当前状况:
最近一小时事件风险分布图(饼图)
最近一小时发生事件(横向柱状图)
事件类型分布图(饼图)
实时事件(滚动形式展现,包括事件开始时间、事件类型、服务器IP地址、URL)
以上提供设备首页截图证明
支持同一页面展示实时业务负载情况
曲线图展示引擎TPS/CPS
曲线图展示引擎并发连接数,包含客户端、服务器
曲线图展示客户端流量,包括接收、发送
曲线图展示服务器端流量,包括接收、发送
以上提供设备截图证明
支持同一页面展示实时系统负载情况
曲线图展示CPU使用率,包含总体、引擎、数据库、日志服务、管理界面
曲线图展示内存使用率,包括总体、引擎、数据库、日志服务、管理界面
柱状图展示磁盘使用率,包括运行系统、报表统计、告警日志、日志索引、运行日志、缓存数据
以上提供设备截图证明
云端安全运维
支持将Web应用防护系统接入云端进行远程管理,云端管理具备以下功能:
支持一键接入云端功能,7*24小时在线监控,除基础的设备状态及资源使用情况监控,保障设备健康运行以外,对用户网络中发生的入侵嗅探、漏洞攻击、恶意软件侵入、远程越权操作窃取机密信息等攻击行为第一时间进行云端捕获并记录。
可通过登录云端,对设备状态、网络实时及历史安全事件、事件趋势及详细日志、报表、甚至全国其他地区的安全形势进行查询和跟踪。
提供厂商云端门户链接以及相关功能界面截图证明
移动端安全运维
可通过移动端实现设备安全运维监控,APP具备以下功能:
实时查看安全咨询,支持互动功能
支持安全设备运行状态监控,监控指标包括CPU使用率、内存使用率、设备IP地址,设备HASH,设备类型,设备状态,系统版本,规则库版本,更新时间,证书终止时间
支持安全告警功能,可在线请求技术支持,并查看整个处理流程,支持处理结果评价
支持手势解锁
提供APP下载网页和相关链接以及包括APP相关功能界面截图证明
信誉防护
★支持与信誉云对接,WAF可通过互联网向信誉云获取信誉数据,信
誉云下发的信誉数据应至少包含以下4种:
IP信誉、C&C信誉、URL
信誉、文件信誉。
获取到的信誉数据能应用在WAF上进行IP判断。
需提供信誉云上4种信誉数据的查询界面截图及WAF信誉防护配置界面截图证明。
产品资质
产品上市时间不少于5年,提供《计算机信息系统安全专用产品销售许可证》证书复印件证明
《涉密信息系统产品检测证书》提供证书复印件证明
★产品获得ICSA实验室的WAF产品认证,提供证书复印件证明
投标产品应该是被广泛应用的成熟产品,在国内市场应具有较高的市场份额,需连续5年以上市场占有率进入前三,并提供第三方权威咨询机构Frost&Sullivan的证明。
《国家信息安全测评信息技术产品安全测评证书》,并获得EAL3级别,提供证书复印件证明
投标WAF产品应该是被认可的成熟产品,入选GartnerWAF魔力象限次数需满足三次以上,须提供相应证明
厂商资质
产品厂商获得中国信息安全认证中心颁发的ISCCC信息安全服务资质认证证书,包括:
应急处理一级服务资质、信息系统安全集成一级服务资质、风险评估一级服务资质,须提供以上三个证书的复印件。
产品厂商应具备独立的安全漏洞研究能力,独立发现并被CVE组织(世界漏洞编号官方组织)收录的安全漏洞超过30个,请提供CVE官方网站通过搜索单位名称所获得的CVE数量截图证明,同时提供这些安全漏洞的CVE编号、漏洞详细介绍及截图、网站链接。
要求提供手机APP的安全通告服务,服务内容包括:
安全资讯、WEB漏洞、软件漏洞、恶意代码、PoC工具等;支持Android、IOS等手机;要求提供手机APP的相关截图及官网(必须是厂商的官网)下载地址。
4.运维审计系统堡垒机2台
产品要求
详细说明
设备要求
1U机架式硬件设备。
提供不少于2*USB接口,1*RJ45串口,1*RJ45管理口,4*GE千兆电口,2TSATA硬盘。
提供图形会话并发不少于800个,字符会话并发不少于1800个。
采用物理旁路模式部署,HTTPS方式远程安全管理,无需安装客户端,不影响网络结构。
系统管理要求
身份认证
要求主帐号登录堡垒机应支持本地静态密码认证、LDAP认证、RADIUS认证等身份认证方式,支持第三方认证厂商,飞天诚信、吉大正元、山地CA系统。
登录方式
要求支持人员半自动登录目标设备,即第一次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许堡垒机保存该帐号
升级会员 