4 总体设计山东省公共资源交易中心.docx
《4 总体设计山东省公共资源交易中心.docx》由会员分享,可在线阅读,更多相关《4 总体设计山东省公共资源交易中心.docx(38页珍藏版)》请在冰点文库上搜索。
4总体设计山东省公共资源交易中心
A1包、门禁系统
一、供应商资格要求
1、符合《中华人民共和国政府采购法》第二十二条的规定。
2、供应商的资质要求:
无
二、技术要求
现安装门禁管理系统。
该系统需与消防系统进行联动控制。
本项目为交钥匙工程含所有主材及辅材和施工费用。
1、系统建设安装位置
系统安装位置为病房楼一楼出入口及2楼到10层出入口、综合楼9病区10病区出入口、办公楼大门。
2、智能可视对讲门禁综合管理系统功能及组成
1)智能可视对讲门禁综合管理系统要求所有出入门可通过刷卡或者呼叫护士站或者监控管理中心进行开门出入;有效管理外来人员进入和老荣军的外出。
护士站设有7寸液晶显示屏,人员出入的同时护士站可甄别是否允许通行。
所有门禁系统统一集中到监控消防室集中管理。
2)系统应满足消防系统的要求。
所有智能可视门禁在断电的情况下,所有电锁自动开锁。
在出现特殊紧急情况下,可通过在中心管理平台进行进行打开前端所有通道门。
3)系统应具有留言留影功能:
当门口有访客进入,在呼叫护士站时,系统自动抓拍该访客的图像,如无人接听,门口主机提醒访客留言,留言会自动存储。
4)系统所有传输采用TCP/IP通讯方式。
即主干(由医院管理中心至网络可视门禁对讲主机、数字视频管理分机)采用TCP/IP通讯协议(采用单模光纤或超五类线联接),每个楼层内采用TCP/IP通讯方式(超五类网线)。
前端所有设备需接入小区管理中心,由对讲系统的综合管理平台软件进行统一管理。
5)系统组成应包括中心管理平台、智能可视管理机、智能可视管理分机,网络可视门禁对讲主机、网络分配器、交换机(含光收发模块)、收发器、供电电源等。
6)智能可视管理机和管理分机、网络可视门禁主机应全部采用LINUX为核心的嵌入式系统,采用模块化、层次化、面向对象的设计技术,可方便灵活的为各种用户群量体裁衣,同时保证系统长期稳定可靠运行。
序号
名称
技术参数要求
单位
数量
1
网络可视门禁对讲主机
摄像头分辨率≥200万像素;音视频编解码:
G.711/H.264;内置IC门禁;每户存卡容量不少于20张;应具有访客留言留影功能;可设置访客留言时间(内置,不增加中间设备情况下实现);支持设备拆机、移离报警;面板材质:
面板应具有防爆、防水功能
台
52
2
主机系统电源
功率:
90W、输入电压:
100-240V~/50-60HZ/0.5Amax、输出电压:
18V具有过压、低压、过流、过热及短路保护。
台
25
3
数字视频管理分机
显示屏不小于7英寸;分辨率≥800×480;采用数字电容式触摸方式操作;视频压缩:
H.264,音频压缩:
G.711,网络:
10M/100M自适应;能够查看访客语音留言,抓拍门口访客图片;可接收并查看管理中心发布的信息(内置,不增加中间设备情况下实现);分机设有SOS一键报警功能;可进行紧急求助功能,同时发送求助信息到管理中心;能使分机进入静音模式(无振铃音);可扩展智能家居功能,实现远程控制;可扩展门铃使用,当作叮咚门铃功能;采用磁吸式挂板安装,便于安装及维护;支持普通供电方式;支持SPOE供电;支持防区供电(250mA@12V)
台
10
4
磁力锁电源
功率:
60W、输入电压:
100-240V~/50-60HZ/0.5Amax、输出电压:
12V,具有过压、低压、过流、过热及短路保护。
台
26
5
中心管理主机
显示屏不小于10″彩色数位TFT-LCD,解晰度不小于1024×600,采用数字电容式触摸屏;接线方式:
RJ-45接口;功能:
1、基于TCP/IP传输协议;2、接收护士站分机报警信息、紧急求助信息等功能;3、内置摄像头,呼叫护士站分机时,可看到图像;4、报警信息滚动显示;5、可调节铃声音量、通话音量,选择拨打、拨入、报警、求助铃声;6、可切换语言类别:
英文、简体中文、繁体中文;7、信息发布至护士站分机
台
1
6
发卡器
工作电压:
DC5V;读写卡距离:
≥2cm
卡类型:
IC卡,CPU卡;具有指示灯:
双色灯(绿灯/红灯);刷卡区域:
支持刷IC卡、CPU卡;支持USB接口:
通信及供电接口
台
1
7
系统管理主机
CPU:
I7-7700,内存8G,1T硬盘+128G固态,3G独立显卡。
台
1
8
显示器
21英寸
台
1
9
平台管理软件
集成门禁管理(注册及注销、刷卡记录、设置有效期等)、报警管理、信息发布管理等功能。
具有数据库及加密狗机密措施,加强软件及数据安全性,有一键备份数据功能,防止电脑意外带来的数据丢失。
套
1
10
闭门器
不少于60公斤,铸铝材质
个
16
11
双联磁力锁
工作电压:
DC12V±10%,工作电流350MA,吸力:
280KG,开锁方式:
通电上锁断电开锁,环境温度:
0℃~50℃,门状态显示
台
26
12
门禁卡
带有采购人使用标志的门禁卡
张
1500
13
汇集POE交换机
POE8口百兆/千兆电口+2个千兆光口配置2个单模单纤光模块
台
17
14
核心交换机
4口千兆电口+2个千兆光口,24个千兆电口支持POE/POE+,配置2个单模单纤光模块
台
1
15
光纤收发器
单模单纤
对
2
16
辅材及集成
交钥匙工程,报价包含至少以下辅材及集成费用
网线:
无氧铜六类网线;光缆:
8芯光缆铠装光纤;电源线:
RVV2*1.5无氧铜;其它辅材:
线管,胶带,水晶头含墙面开孔及修复
宗
1
注:
以上加“_________”部分为★条款内容,如不满足,按无效报价处理。
三、服务要求
质保5年,7*24小时服务,如远程不能解决问题,3小时内上门服务
四、投标保证金
1、投标保证金数额:
人民币肆仟陆佰圆整(¥4600.00)。
2、投标保证金交纳采用下列形式之一:
银行本票、银行汇票、担保函。
报价保证金为电汇形式的,汇款单上须注明采购项目编号、包号。
若交款人名称与投标人名称不一致,投标人须出具加盖公章的书面材料,退款时,款项退至投标人帐户。
收款单位:
山东省人民政府采购中心
开户银行:
建行济南市高新支行黄金时代分理处
银行帐号:
37001618819059099999
大额联行号:
105451001046
A2包、网络安全设备
一、供应商资格要求
1、符合《中华人民共和国政府采购法》第二十二条的规定。
2、供应商的资质要求:
无
二、技术要求
序号
名称
技术参数要求
数量
单位
1
网闸
1、采用“2+1”系统架构专有硬件平台,即由两个主机系统和一个隔离交换专用硬件组成,千兆背板(千兆网闸),2U标准机架式,配置1+1冗余电源;
2、外网主机:
≥6个10/100/1000MBASE-T(含一个HA口);内网主机:
≥6个10/100/1000MRJ45接口(含一个管理口);(响应文件中提供网闸接口面板的实物高清照片)
3、系统吞吐量不小于6Gbp;并发连接数不小于6万;
4、支持系统间交换的合法数据会进行安全标记,隔离部件会对标记进行判别解析,以确保所交换的数据都是经过授权的;支持标记根据时限要求进行自动更换。
5、支持病毒检测、文件交换、数据库同步、数据库访问、安全浏览、FTP访问、邮件传输、定制访问等基本功能;
6、可实现多台设备互相冗余的应用模式;使一端机多网口冗余,可实现链路备份冗余的工作模式。
7、支持SNMP协议,可与标准网管平台无缝兼容;支持SYSLOG协议,可与标准日志服务器平台无缝兼容,可实时发送网闸运行状态。
8、管理端采用B/S结构;为保证网闸安全性,管理网口和通讯网口隔离,仅允许通过内端机管理口对网闸进行配置管理或审计日志,禁止使用其他接口对网闸进行配置管理。
管理口拥有独立路由,可避免和通讯网口发生路由冲突或干扰;
1
套
2
数据库审计
硬件要求:
2U设备,采用多核多平台并行操作系统,配置1+1冗余电源、6个10/100/1000BASE-T电口、2T存储空间、8G内存;
性能要求:
审计处理性能30000SQL/S;
功能要求:
1、同时支持包括数据库审计、漏洞扫描、风险扫描、状态监控、日志审计、数据库防火墙等功能。
2、支持Oracle、MSSQL、DB2、Sybase、Informix、MYSQL、南大通用、人大金仓、神通、达梦、湖南上容、浪潮KDB、PostgreSQL、TeraData、Access等主流数据库防护和审计;数据库访问记录应至少包括发生时间、业务用户名、操作终端主机名及IP地址、终端工具名称、服务器端主机名及IP地址、数据库名、表名、SQL语句、响应时间、返回结果等关键信息;支持对SQL语句执行结果(成功/失败)、SQL语句执行时间、SQL语句执行异常等数据库操作响应信息的审计;能够自动记录和分析SQL语句并快速制定安全策略,包括:
将SQL语句归纳为不同的集群;支持定义所有SQL的相应威胁程度,至少包括高、中、低、提醒等告警级别;对数据库客户端运行过程中自动产生的SQL语句的过滤,减少不必要的审计记录,基于TDS,TNS等数据库协议还原数据库操作语句。
3、日志审计:
可对日志进行细粒度解析,支持审计数据库操作(DM)、对象管理(DD)、控制(DC)等操作语句的审计,解析后的日志记录至少包括访问发生时间、客户端IP地址、客户端MAC、终端程序、访问账号、访问数据库名、操作表名、SQL语句、数据库响应时间以及返回结果等关键信息;支持通过IP地址、用户名、操作类型、关键词、时间等基本条件查询审计事件;支持通过策略名称、操作来源名称、风险级别、事件类型查询审计事件;支持SQL关键字翻译功能,支持将审计记录中SQL语句关键字翻译成中文,便于非专业人员阅读,收集存储、网络、服务器、安全设备运行日志、现用安全设备流量会话日志及威胁日志,实现对所有网络访问行为的安全审计及统计分析、报表管理,实现对防火墙/IPS设备的状态监测、性能分析等功能。
4、无需单独安装软件;支持发现式漏洞扫描,支持漏扫报告生成和导出;具备报表模板以及可定制的客户化报表,满足不同层次用户需求。
5、支持数据库防火墙功能:
介于数据库服务器和应用服务器之间,屏蔽直接访问的通道,防止利用数据库隐通道对数据库的攻击,能够按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者,及基于表、视图对象、列进行权限控制。
1
套
3
堡垒机
(运维审计
与风险控制系统)
1、2U机架式硬件设备,自带应用中心,配置1+1冗余电源,运维审计磁盘空间≥4T、整机配置≥12个千兆电口,应用中心部署≥240G的SSD固态硬盘。
可管理设备数量≥1500个;字符类并发会话≥700个、图形类并发会话≥100个;运维用户无限制。
2、运维审计系统须安装在专用的CF卡中,审计数据存储在磁盘中,防止操作系统故障导致审计数据丢失;设备采用旁路部署,不得影响业务环境,支持双机热备部署,对外提供一个虚拟管理IP,管理口和心跳口须支持多链路端口绑定功能,防止单网卡或单线故障。
3、身份认证要求:
设备须内嵌动态令牌和usbkey认证引擎,通过手机APP获取动态口令即可登录堡垒机,支持基于不同的用户设置不同的双因子认证模式。
4、设备管理要求:
支持常用的运维协议:
SSH、TELNET、RDP、VNC、FTP、SFTP等;可根据客户实际应用环境进行协议扩展,如数据库Oracle/MSSQL/MySQL/DB2等运维客户端工具、VMwarevSphereClient/AS400等远程管理工具。
5、支持DB2、oracle、mysql、sqlserver主流数据库协议代理运维,可直接调用本地windows系统的数据库客户端工具,支持自动登录、无需应用发布前置机。
6、IE代填应用发布:
HTTP/HTTPS协议的web设备,且可以直接代填账号和密码,支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系,可自动完成授权。
7、设备访问方式要求:
支持批量登录字符设备功能,支持自动生成SecurCRT/Xshell工具的批量登录文件,实现在工具中批量登录多台设备。
支持使用本地的SecurCRT/Xshell/OpenSSH工具代理直连字符设备。
8、系统管理要求:
质保期内免费提供用户、资产、授权的增删改查等API接口,允许第三方平台调用堡垒机的API接口,实现用户、资产、权限自动同步到堡垒机,简化堡垒机配置工作量。
9、审计日志要求:
支持保存SSH的sz/rz命令(zmodem)传输的原始文件,支持保存SFTP/FTP传输的原始文件,支持保存RDP磁盘映射传输的原始文件;支持保存RDP粘贴板(桌面之间复制-粘贴)传输的原始件;审计数据支持通过SFTP/FTP方式自动归档,并在页面中可以查询哪些数据是否归档,可以设置归档成功之后自动删除数据,归档后的数据可以用专用播放器离线查看。
10、安全策略要求:
支持对重要命令进行审核,运维人员执行命令后,须等到管理员审批通过后才可执行成功,支持自动推送脚本任务,如可自动备份交换机/路由器的配置信息、可自动执行周期任务;并将结果以邮件/FTP/SFTP的方式发送给相关管理员。
11、报表统计要求:
支持运维报表自动定期发送,提供一键导出符合等级保护要求的综合分析报告。
1
套
注:
以上加“_________”部分为★条款内容,如不满足,按无效报价处理。
三、服务要求
1、所有设备原厂质保3年,7*24小时服务,如远程不能解决问题,3小时内上门服务。
2、成交供应商需提供1人次的CISP培训。
四、投标保证金
1、投标保证金数额:
人民币捌仟圆整(¥8000.00)。
2、投标保证金交纳采用下列形式之一:
银行本票、银行汇票、担保函。
报价保证金为电汇形式的,汇款单上须注明采购项目编号、包号。
若交款人名称与投标人名称不一致,投标人须出具加盖公章的书面材料,退款时,款项退至投标人帐户。
收款单位:
山东省人民政府采购中心
开户银行:
建行济南市高新支行黄金时代分理处
银行帐号:
37001618819059099999
大额联行号:
105451001046
A3包、身份认证及电子签章系统
一、供应商资格要求
1、符合《中华人民共和国政府采购法》第二十二条的规定。
2、供应商的资质要求:
无
二、技术要求
1概述
现采购数字身份认证与电子签章系统,使现有多个业务系统通过统一的身份认证系统来规范业务系统访问行为,以确保医院医疗数据的安全。
该系统需与医院现有办公系统兼容,满足业务系统通过安全认证网关实现医务人员单点登录及加盖电子签章的要求。
2项目原则
(1)合规性原则
方案设计符合国家相关法律、卫生部门相关法规的要求。
(2)标准化原则
方案设计遵循相关标准,数字证书格式符合X.509标准,并且数字证书认证系统的相关设计既符合国际标准,又符合我国工信部《电子认证服务管理办法》及国家密码管理局《电子认证服务密码管理办法》,同时必须符合卫生部《卫生系统电子认证服务规范(试行)》等电子认证服务技术规范。
(3)先进性原则
方案设计在遵循国际、国内标准的基础上,采用国家相关部门在各领域规划使用的国产密码技术为核心,做好充分需求调研及顶层设计,着眼长期规划,保证方案设计达到国内外先进水平。
(4)兼容性原则
方案设计在不影响医院现有系统正常运行的前提下,尽量少改动医务人员现有的操作习惯,优化相关流程。
3项目目标
1)利用安全认证网关:
实现医院内部医务人员输入一次“用户名密码”或“数字证书+口令”方式,实现单点登录医院各业务系统,对用户账号信息进行统一管理,人员身份统一认证,规范业务系统的访问权限,提高工作效率。
2)引入第三方数字证书CA认证机构:
实现对电子病历系统访问实体(医护人员、医疗卫生机构、医院科室及各类设备)的身份认证,确保系统访问控制的高安全性和高可靠性。
3)利用电子签名技术:
实现电子病历等数据的完整性和抗抵赖性,为后期纠纷处理及责任认定提供合法电子证据。
4)利用电子签章技术:
实现电子签名的可视化管理,方便查看、审阅和可验证。
4总体设计
方案总体设计基于PKI安全体系,主要以PKI基础设施为基础,以数字证书为媒介,通过CA数字证书认证服务、安全认证网关、加密机和电子签章管理系统为桥梁将PKI安全体系与医院业务系统进行有效结合,为电子病历系统提供统一的全方位的安全服务。
以下是方案的网络架构示意图:
图31总体网络架构示意图
根据医院网络建设现状及对安全防护的需求,以及《<信息安全等级保护商用密码技术要求>使用指南》确立的层次化的可信安全应用技术体系,确定采用基于国产密码技术的安全架构:
依托医院现有信息资源,建设身份认证系统和电子签章管理系统,解决医院面临的身份可信、数据可信、行为可信等各种可信问题。
总体应用框架如下图所示。
图32方案总体框架
1)系统用户层
主要包括登录医院业务系统的用户,包括医生、护士、管理人员、维护人员等。
2)医院业务系统层
医院业务系统层主要承载着医院各核心业务系统,如HIS、EMR、PACS、LIS。
3)可信支撑平台层
可信支撑平台层主要包括数字证书服务、统一身份认证系统和电子签章管理系统。
●统一身份认证系统
提供用户的统一身份认证和单点登录等服务功能,避免各业务系统分别单独集成数字证书实现身份认证时的繁琐开发工作。
医院医务人员采用Ukey通过此系统即可实现其权限内业务系统的全网漫游。
●电子签章管理系统
电子签章管理系统主要对医院内部医务人员的电子签章进行整个生命周期的管理,为电子病历系统提供电子签章调取服务。
4)密码基础设施层
密码基础设施包含服务器密码机、安全认证网关、智能密码钥匙,为统一身份认证系统和电子签章管理系统提供最低层的密码运算服务资源,承担着系统的“密码计算”功能。
5设备清单
序号
设备名称
技术参数要求
单位
数量
1.
身份认证网关
1.硬件配置:
2U标准;冗余电源;4个10/100/1000自适应快速以太网口;2个USB接口。
2.功能要求:
1)使用安全套接层(SSL协议)提供数据加密,为数据在公网传输加密保护。
2)支持数据压缩:
对网络数据先压缩后传送。
3)支持多家第三方CA签发的数字证书,含国密SM2算法证书;
4)系统内置CA中心,提供数字证书签发、有效期更新、注销等服务;
5)支持登录界面定制;
6)支持国密SSL1.0协议,采用国家密码管理局指定的SM1/SM4密码算法,实现数据高强度加密传输。
7)支持单点登录功能;
8)实现防火墙功能,支持包过滤防火墙和字符串过滤,并能防御dos、SYNFlood、ICMPFlood,碎片攻击等多种攻击,支持时段访问,用户规则等;
9)具有WEB操作界面,管理员可指定各种条件对日志进行查询,如时间范围、日志级别、错误类型等。
10)支持系统操作、运行日志,帮助网络管理员监测VPN的运行状态,支持日志的下载、分级管理,智能处理日志容量管理;
11)无需部署和维护客户端软件,降低管理和维护VPN网络的工作量;
12)支持标准加密算法:
SM1、SM2、SM3、SM4、DES、AES、RSA、SHA1等。
3.关键性能要求:
1)最大用户数2000以上;
2)最大并发连接3000以上;
3)SM1/SM4加解密速度250Mbps以上;
4)每秒新建连接数150以上;
5)系统平均无故障工作时间(MTBF)30000小时以上;
6)SSL吞吐率800M以上。
台
1
2.
加密机
1.基本要求:
专用硬件设备,冗余电源。
网络接口:
至少2个100M/1000M自适应以太网接口。
2.算法要求:
采用硬件加密卡,支持SM1、SM2、SM3、SM4、等国产密码算法。
随机数生成:
采用国家密码管理局批准的WNG-9硬件物理噪声源生成真正随机数,用于生成密钥参数。
3.密钥备份与恢复:
采用(3,5)门限机制,通过USBKEY进行密钥的备份与恢复。
4.扩展性支持:
支持多线程、多任务和性能扩展;支持负载均衡,可多机扩展并行工作。
5.开发支持:
提供PKCS#11接口、JCE接口和微软CSP接口,支持《密码设备应用接口规范》国家标准接口。
接口开发包需支持Windows、Linux、UNIX平台。
6.权限控制:
支持分级权限管理,采用USBKEY+口令双因子认证方式进行认证;支持WEB管理方式,并支持SSL协议确保通信的机密性。
7.管理要求:
支持用户证书数据存储;支持服务器密码机运行状态监控;支持指定算法类型、密钥号等信息,自动生成P10申请,以文件方式导出;支持P12证书生成、导入功能;支持密钥批处理功能,通过设置密钥号起止位置等信息,批量生成或删除密钥对;支持keystore的配置和管理功能;支持设备网口配置管理功能,可将网口设置配仅用于管理、仅用于提供服务或兼容三种状态。
8.性能:
SM1加解密:
≥250Mbps
SM4加解密:
≥250Mbps
SM2算法:
生成密钥:
≥350次/秒,签名:
≥700次/秒,验签:
≥200次/秒
SM3加解密:
≥180Mbps
SHA1加解密:
≥260Mbps
SHA-256加解密:
≥150Mbps
SHA-512加解密:
≥50Mbps
随机数生成:
≥2.5Mbps
台
1
3.
智能密码钥匙UKEY
1.数字证书存储介质功能:
容量≥64KBytes;
支持USB2.0接口,兼容USB1.1接口;数据存储时间≥10年,可擦写30万次以上;支持遵循国家相关规定的非对称、对称、摘要等加密算法;具备PIN校验保护功能;数字签名和验证时间<1秒/次;Key有唯一序列号。
2.存储能力:
1)支持一个容器2个秘钥对;
2)支持多密钥对;
3)必须在提供保护口令前提下才能访问密钥;
4)私钥不能导出或读取。
3.指示灯:
具有LED灯,用于电源指示和通讯指示。
4.数字证书应用集成接口:
提供具备数字证书解析功能、证书验证功能、PKCS#1数字签名和验证功能、加解密功能、PKCS#7数字签名和验证功能,数字信封封装功能、数字信封解析功能等数字证书的应用集成接口;可通过应用系统集成测试。
支
500
4.
电子签章管理系统
1.硬件要求:
2U机箱,INTEL服务器主板,CPU3.1GHz,8G内存,1T企业级服务器硬盘2块,主板集成千兆网卡*2(RJ45接口)冗余电源550W。
2.电子印章管理:
对电子印章进行管理,包括电子印章制作、制发、挂失、更新、注销等管理,可以设置印章使用时间;可以进行离线签章授权。
具有USB-Key印章更换功能;具有印章制作审核功能;具有印章备案功能;具有印章统计、用户统计功能。
机构可信签章服务:
包括医院机构可信签章应用支撑,提供基于第三方数字证书的PDF签章、批量签章、签章验真码、手写签章验证等支撑服务,以及机构可信签章综合管理、业务统计等服务。
3.密码模块:
支持USB-Key、密码卡、服务器密码机等专用密码设备。
4.权限管理:
超级管理员可以对组织机构、业务管理员、角色、权限进行管理。
审计管理员对审计员用户进行注册管理;业务管理员对普通客户端用户进行管理;审计员审计系统日志;对部门,用户的管理,能够选中印章后制发按照部门、人员的管理制作印章;能够按照部门、人员管理印章权限,查询印章制作分配权限。
因为下属单位人员众多,能够依据部门、人员来管理。
查询印章信息、分配单位。
着重处理印章
升级会员 