牡丹江市第二人民醫院網絡安全加固及擴容服務及服務項目公開招標公告

序號

名稱

技術參數及要求

單位

數量

1

核心防火墻

1.          固化千兆電口≥2個，擴展槽位≥4個，支持最少一組電口BYPASS；萬兆光口≥4，滿配萬兆光模塊；

2.          配置：防攻擊庫升級≥3年，防病毒升級≥3年，網頁過濾庫升級≥3年；

3.          為保證產品易用性，確保設備日志信息和版本信息快速備份及無障礙恢復，支持至少1個USB2.0接口；

4.          設備最大吞吐量≥30Gbps, 最大并發連接數≥350萬；每秒新建連接數≥14萬

5.          IPSEC VPN吞吐量≥450Mbps；IPSEC VPN隧道數≥10000，設備本身要求自帶10個VPN授權；SSL VPN吞吐量≥950Mbps；SSL VPN并發最大用戶數≥10000，設備本身要求自帶10個VPN授權，如需要額外付費必須體現的報價中；

6.          要求IPS吞吐量≥800Mbps；

7.          支持路由模式、交換模式、混合模式、虛擬線模式，至少支持四對虛擬線配置；

8.          支持靜態路由、策略路由、RIPv1/2、OSPF、BGP等動態路由以及組播路由協議，策略路由要求支持基于入接口策略路由配置與全局策略路由配置，靜態路由與策略路由要求支持等價多路徑（ECMP）與加權多路徑（WCMP）的路由均衡方式，并且能夠根據預設探測條件實現動態的鏈路切換；

9.          每個網絡接口要求支持至少32個路由子接口配置，并且支持802.1Q封裝；

10.       支持ISL與802.1Q的trunk接口封裝和解封，要求提供VLAN-VPN功能，并且支持802.1D與PVST生成樹協議；

11.       支持鏈路聚合功能，并且要求支持至少10種以上的聚合負載算法；

12.       要求至少支持4路ADSL撥號接入，多ADSL鏈路可以實現等價多路徑（ECMP）與加權多路徑的路由均衡方式，能夠針對每條ADSL鏈路單獨設置保證帶寬，并能夠設置按需撥號；

13.       支持端口鏡像功能，要求能夠基于IP、網絡協議等條件對鏡像流量進行過濾，并且支持入方向、出方向及雙向流量鏡像；

14.       支持源地址轉換、目的地址轉換及雙向地址轉換策略，并且能夠針對特定對象配置不轉換策略；

15.       能夠基于數據包的區域、地址、角色、VLAN、端口號、服務、域名等進行訪問控制，并支持策略分組管理；需具備針對單條策略設置最大并發連接數、策略命中數統計與策略重復檢查功能；

16.       要求系統管理員能夠通過“用戶名＋口令＋圖形認證碼+USBKey”方式認證進行登錄管理，支持管理員口令強度分級設置，要求分為高、中、低三級，并且口令長度限制可配置；

17.       要求支持管理員分權管理，不同管理員分別管理不同的功能模塊，能夠自定義管理員權限模板，所有功能模塊組合可由管理員自由組合配置；支持管理員分級管理，最多可達16級管理設置，不同級別的用戶組可繼承上級屬性，也可自行設置屬性；

18.       要求支持本地多配置文件存儲及配置回滾功能，并且可以有選擇性的下載“運行配置”、“保存配置”、“備份配置”、配置文件加密下載以及按對象、策略等分類的部分配置文件下載/上傳功能；

19.       支持主備、負載均衡及連接保護多種設備高可用機制并支集群部署（集群設備數量≥8），要求能夠在高可用對等體之間進行配置手動/自動同步、心跳接口物理備份及二級心跳接口功能；

20.       支持服務器的負載均衡，提供輪詢、加權輪詢、最少連接、加權最少連接、源/目的地址HASH等多種負載均衡方式；

21.       支持多達4因素的組合捆綁認證（用戶名口令、數字證書、短信、硬件特征碼、指紋認證）；支持統一用戶管理，防火墻、IPSEC VPN和SSL VPN使用同一套用戶認證、管理系統；

22.       支持用戶口令復雜度設置、口令長度設置、密碼過期時間設置、首次登陸口令修改、密碼找回（短信、郵件等）等功能；支持單個賬戶多點登錄地點數、賬戶有效期、登錄地址范圍控制等設置；

23.       支持根據角色、獨立用戶、訪問時間、URL、訪問路徑、訪問文件、訪問動作、外部組映射、證書用戶、證書中字段屬性等細粒度授權；

24.       支持可信接入，對接入主機進行安全檢查，包括安裝的軟件、進程、端口、服務、注冊表、操作系統及補丁、文件、網卡等；支持接入前檢查、接入后檢查、定時檢查等策略；支持可信接入的分級授權；

25.       規則庫包括溢出攻擊類、 RPC攻擊類、WEBCGI攻擊類、拒絕服務類、木馬類、其它類、 蠕蟲類、掃描類、網絡訪問類、HTTP攻擊類、系統漏洞類11大類攻擊類型，規則數量大于3500條，并支持自定義攻擊檢測規則；

26.       支持非法報文攻擊防護（如land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof等等）與統計型報文攻擊防護（如Synflood、Icmpflood、Udpflood、Portscan、ipsweep）；

27.       內嵌流（快速）掃描、文件（深度）掃描雙引擎殺毒技術，并能夠根據不同的被檢測協議選擇不同殺毒引擎；

28.       采用國際國內知名主流品牌病毒庫，流（快速）掃描病毒庫大于230萬種，文件（深度）掃描病毒庫大于260萬種

29.       支持本地CA和第三方CA，可為其他設備或移動用戶簽發證書，可生成、吊銷、刪除證書；支持本地CA和第三方CA根證書、根私鑰的更新；支持證書鏈管理；本地CA支持SM2算法；

30.       支持證書廢棄，支持生成標準CRL列表，可以同時導入多個第三方CRL列表，對不同CA證書用戶進行身份認證，支持通過HTTP協議定時下載CRL列表；支持證書請求的生成，由第三方CA進行簽名；支持通過OCSP/LDAP等協議在線認證證書；

31.       為保證提供軟件的企業軟件能力的成熟度，需提供CMMI3級以上證書，CMMI4級別證書優先；

32.       為保證設備的合法來源需提供設備制造商對本項目的授權函和售后服務承諾函原件并加蓋設備制造商公章或投標專用章；

33.      為保證安全加固項目系統的可靠性和最大兼容性，本次采購的安全設備、交換機采用同一品牌；

臺

1

2

匯聚交換機

1.    固化端口：≥48個10/100/1000Mbps電口，≥4個100/1000Mbps光口，擴展插槽數≥2；USB接口數量≥1；

2.    設備可提供USB口，用于保存日志和快速配置管理

3.    交換容量≥3Tbps, 包轉發率≥249Mpps;

4.    支持VRRP，VRRP v3,支持RIP，OSPF，BGP，RIPng，OSPFv3，BGP4+

5.    支持 IGMP v1/v2/v3，IGMP v1/v2/v3 Snooping

6.    支持基本的QinQ，支持靈活的QinQ;

7.    支持PIM-DM，PIM-SM，PIM-SSM，PIM for IPv6;

8.    支持虛擬化功能 （非堆疊模塊實現，不占用擴展槽）

9.    要求所投產品支持環網技術,并且鏈路故障的收斂時間≤15ms；

10. 要求所投產品支持NLB集群服務功能，

11. 要求所投產品支持MPLS功能

12. 要求所投產品支持CFM功能；

13. 要求所投產品支持防雷等級≥8KV，以權威機構出擊的第三方測試報告為準；

14. 要求所投產品具備節能環保設計；

15. 提供工信部IPv4和IPv6進網許可證復印件；

16. 實配：千兆電口數量≥48，千兆光口數量≥4，萬兆光模塊數量≥8，萬兆光口數量≥4，千兆光模塊≥4

17. 為保證提供軟件的企業軟件能力的成熟度，需提供CMMI3級以上證書，CMMI4級別證書優先；

18. 為保證設備的合法來源需提供設備制造商對本項目的授權函和售后服務承諾函原件并加蓋設備制造商公章或投標專用章；

19. 為保證安全加固項目系統的可靠性和最大兼容性，本次采購的安全設備、交換機采用同一品牌；

臺

1

3

外網出口防火墻

1.          要求千兆電口數量≥10個，千兆光口數量≥8個；內置硬盤存儲空間；至少1個USB2.0接口；

2.          設備最大吞吐量≥16Gbps，最大并發連接數≥600萬； 每秒新建連接數≥180000；為避免虛假應標，保留測試權利；

3.          配置：防攻擊庫升級≥3年，防病毒升級≥3年，網頁過濾庫升級≥3年；垃圾郵件庫升級≥3年，應用識別特征庫≥3年；

4.          IPSEC VPN吞吐量≥7Gbps；IPSEC VPN隧道數≥10000，

5.          SSL VPN吞吐量≥2Gbps；SSL VPN并發用戶數≥10000，

6.          要求IPS吞吐量≥3Gbps；本次實配：虛擬防火墻數量≥100個，后續可擴展到250個以上;

7.          支持路由模式；支持透明（網橋）模式；支持混合模式；

8.          支持狀態檢測、包過濾、深度應用層檢測；

9.          支持SYN Flood、UDP Flood、ICMP Flood、LAND攻擊、Smurf攻擊、Fraggle攻擊、Winnuke等攻擊防護；

10.       支持策略路由、組播路由、靜態路由、RIP(v1/v2)、OSPF、BGP、IS-IS等；

11.       支持802.1x協議實現二層準入控制；

12.       支持基于源IP、權重、溢出等方式的多鏈路出口負載均衡;

13.       支持每IP限速策略設置；

14.       支持基于用戶、應用、時間對象的流量管控和策略設置；

15.       要求支持每個虛擬防火墻獨立管理；

16.       為保障不同業務不同安全策略，要求支持每個虛擬防火墻能進行路由表、策略、VPN等設置；

17.       支持不同虛擬防火墻之間數據路由和透明轉發模式；

18.       支持HTTP/FTP/SMTP/POP3/IMAP等多種協議病毒過濾；

19.       支持對IM文件傳輸內容進行病毒過濾；支持對VPN傳輸隧道內容進行病毒過濾；支持病毒特征庫在線更新；

20.       支持URL和網頁內容過濾，可對網頁搜索、論壇發貼等進行關鍵字過濾；

21.       支持DoS和DDoS攻擊防御

22.        入侵檢測特征庫≥5000種

23.       要求支持郵件內容、郵件標題、附件內容進行檢測和過濾

24.       為了支持業務擴展，要求支持IPv4/IPv6雙棧, 要求支持基于IPv6的路由協議，包括靜態路由、RIPng、OSPFv3

25.       提供中華人民共和國公安部頒發的有效的《計算機信息系統安全專用產品銷售許可證》復印件

26.       提供中國信息安全測評中心頒發的有效的《國家信息安全測評信息技術產品安全測評證書（EAL3級別）》復印件；

27.       請提供所投產品的中華人民共和國國家密碼管理局頒布的有效的《商用密碼產品生產定點單位》證書復印件；

28.       為保證提供軟件的企業軟件能力的成熟度，需提供CMMI3級以上證書，CMMI4級別證書優先；

29.       為保證設備的合法來源需提供設備制造商對本項目的授權函和售后服務承諾函原件并加蓋設備制造商公章或投標專用章；

30.      為保證安全加固項目系統的可靠性和最大兼容性，本次采購的安全設備、交換機采用同一品牌；

臺

1

4

入侵防御

1.           所投設備為標準的2U可上機架規格；

2.          配置：千兆電口≥6個，具備端口擴展能力；可支持擴展千兆光口數≥8個，可支持擴展千兆電口數≥8個；配置冗余電源；特征庫升級≥3年；

3.          為提高設備日志存貯能力，要求所投設備需配置≥1T企業級硬盤；

4.          為提高設備易維護性，要求所投設備配置USB 2.0接口≥2個

5.          整機最大吞吐量≥6Gbps；最大并發連接數≥400萬；每秒新建連接數≥100000；保留測試權利；

6.          支持串接、旁路、混合模式部署；支持以下工作模式：IPS模式，IPS監視模式，IDS監視模式，混合模式，Forward模式；

7.          支持對VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、QinQ等多種協議的分析功能；

8.          支持探測防御能夠提供檢測并阻止攻擊者對受保護網絡的探測行為，如ip address sweep，TCP xmas scan和TCP FIN scan；

9.          能夠提供可疑數據包檢測與防御，包括：IP碎片數據包攻擊和IP選項數據包攻擊

10.       提供拒絕服務攻擊防御，如SYN Cookie，WinNuke，Land，SMURF和TCP RST

11.       支持IPv4和IPv6的雙棧，支持IPv6下的各種隧道，支持基于 IPV6 的探測碎片攻擊和協議確認技術，設備管理、安全策略、報表和告警均支持IPv4和IPv6 ，為防止虛假應標保留測試權利；

12.       具備基于IPV6的安全防御功能，可防御包括DDos、緩沖區溢出（Buffer Overflow）、Web Attacks等多種IPv6環境下的網絡攻擊；

13.       支持基于應用和URL的出口控制策略；支持客戶端防護策略配置；支持針對Web信息泄露和注入式攻擊的防護策略；支持針對SMTP、POP3、IMAP協議信息泄露的防護策略；支持針對FTP協議的IPS防護策略；支持針對DNS協議的IPS防護策略，針對DNS協議進行異常檢測、根據不同安全域進行DNS請求限制；

14.       支持針對未知服務器類型的IPS防護策略；根據不同的終端類型，能夠支持對telnet進行命令限制，阻止帶有攻擊特征或有風險的命令和參數；

15.       支持對IM軟件包括登錄、發信息、傳文件、語音、視頻各種動作分別控制

16.       內置攻擊特征庫≥3000種，全面兼容CVE標準；可自定義入侵攻擊和應用軟件的特征；

17.       支持基于URL、內容等制定黑白名單來對Web訪問進行過濾；

18.       支持針對VLAN、IP地址、應用等進行網絡傳輸帶寬和網絡傳輸總量限流；

19.       支持雙機熱備功能；

20.       設備自身采用加密通訊形式，具有抗端口掃描功能

21.       具有限制訪問IP、禁止ping等防護功能，

22.       設備自身提供鏡像物理接口，可將流經設備數據鏡像到其他設備上進行分析

23.       至少支持以下幾種告警方式：控制臺報警、郵件報警等，為防止虛假應標保留測試權利；

24.       國家信息安全測評信息技術產品安全測評證書(EAL) 三級，提供認證證書復印件；

25.       為保證提供軟件的企業軟件能力的成熟度，需提供CMMI3級以上證書，CMMI4級別證書優先；

26.       為保證設備的合法來源需提供設備制造商對本項目的授權函和售后服務承諾函原件并加蓋設備制造商公章或投標專用章；

27.      為保證安全加固項目系統的可靠性和最大兼容性，本次采購的安全設備、交換機采用同一品牌；

臺

1

5

上網行為審計

1.          千兆電口≥8個，千兆（非復用）光口≥8個；萬兆光口數量≥4；擴展插槽數≥2；非X86多核硬件體系架構，配置冗余電源；

2.          支持雙硬盤插槽，內置硬盤容量≥500G，硬盤支持可插拔更換

3.          支持內存≥4GB

4.          支持電口內置硬件Bypass模塊

5.          為方便管理和維護，所采用設備產品具備至少1個獨立控制口,2個USB接口

6.          支持靜態路由、RIP(V1/V2)、RIPng、OSPFv2等多種路由協議

7.          為保證在多條外網線路情況下帶寬的合理分配使用，設備必須支持多鏈路負載均衡，負載均衡可基于帶寬、負載等多種方式。

8.          支持線路過載保護功能，當某條外網線路擁塞時，自動將其流量切換到其他鏈路

9.          支持正向DNS代理功能，可根據配置實現對不同外網線路的DNS服務器地址管理；

10.       支持應用路由功能，支持基于通訊、視頻等應用進行路由選擇；

11.       支持智能DNS，無需內部服務器做任何修改情況下，為外網用戶提供一個與該用戶相同運營商的鏈路對內訪問

12.       URL數據庫及應用特征庫支持15年免費升級，提供原廠聲明文件

13.       支持IPSec VPN，并提供500路Ipsec VPN接入授權；

14.       支持自定義網站分類，可將手工錄入、系統自帶網站分類分組管理

15.       支持對無線AP進行管理，可自動發現接入AP，并對AP進行管理

16.       支持狀態檢測防火墻功能，實現網絡安全防護

17.       為保證設備的安全，所采用設備產品支持防ping，防非法web登陸功能

18.       支持WINDOS、安卓、MAC、IOS操作系統SSLVPN客戶端軟件。

19.       支持HTTPS和HTTP的WEB方式管理

20.       支持網關、網橋等多種部署模式，靈活安裝。

21.       提供中國人民共和國公安部頒發的信息過濾、互聯網公共上網服務場所信息安全管理系統網絡通訊安全審計計算機信息系統安全專用產品銷售許可證復印件

22.       為保證提供軟件的企業軟件能力的成熟度，需提供CMMI3級以上證書，CMMI4級別證書優先；

23.       為保證設備的合法來源需提供設備制造商對本項目的授權函和售后服務承諾函原件并加蓋設備制造商公章或投標專用章；

24.      為保證安全加固項目系統的可靠性和最大兼容性，本次采購的安全設備、交換機采用同一品牌；

臺

1

6

VPN設備

1.          固化千兆電口數量≥6個，提供2個模塊化插槽，支持4GE/4SFP擴展

2.          所采用設備產品內存≥2G，所采用設備產品CF卡≥2G；

3.          所所采用設備產品管理口支持RJ45串口，所所采用設備產品USB口≥2；

4.          SSL VPN并發隧道數≥2000，IPSec VPN并發隧道數≥3000，L2TP VPN并發隧道數≥416，其中所配置SSL VPN、IPSec VPN授權可共用，本次實配：SSL VPN授權≥810個；

5.          最大新建會話數≥100000，最大并發連接數≥2500000；

6.          保證設備協議標準可用，需采用標準SSL 協議，對外僅開放443端口

7.          支持終端的廣泛可用，支持PC終端使用包括Win8、Win7、Win XP、Mac、Linux等主流操作系統來登錄SSL VPN系統，并完整支持該操作系統下的各種IP層以上的B/S和C/S應用；

8.          支持瀏覽器的廣泛可用，終端使用包括IE6~10、Firefox、Safari、Chrome、Opera或其他IE內核的瀏覽器來登錄SSLVPN系統，登錄后可完整支持通過SSLVPN發布的各種IP層以上的B/S和C/S應用

9.          支持移動終端的廣泛可用，支持iOS、Android等操作系統的移動終端的SSL VPN接入

10.       產品應支持主流的商業加密算法，包括：AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等；為滿足國家保密性要求，產品需支持SM2、SM3、SM4等國密局保算法；

11.       可支持虛擬門戶功能，在一臺設備上配置多個域名或者IP地址，配置不同的使用界面，提供給用戶獨立的使用體驗

12.       支持單點登錄功能（SSO）,支持移動用戶登錄VPN后再登錄內部B/S、C/S應用系統時不需要二次重復認證。支持針對B/S單點登錄用戶名密碼加密傳輸，保證安全；支持智能手機等移動終端的B/S單點登錄；支持針對不同的訪問資源設定不同的SSO用戶名和密碼，支持用戶自行修改SSO賬號；

13.       支持用戶自行設置SSL VPN開機自登錄、桌面快捷方式，避免SSLVPN登錄的繁瑣；支持SSLVPN的C/S客戶端方式啟動，SSLVPN登錄過程脫離瀏覽器；

14.       產品應具有用戶/用戶組細粒度的權限分配功能：可以針對被訪問資源的IP地址、端口、提供的服務、URL地址等進行權限控制；針對同一B/S資源，可對不同用戶做到細致到URL級別的授權；

15.       產品必須支持Local DB 、USB KEY、短信認證、硬件特征碼、動態令牌、數字證書認證、LDAP、RADIUS、CA等認證方式；可針對用戶/用戶組設置認證方式的與、或組合，可進行LDAP、USB KEY、硬件特征碼、短信認證或動態令牌的四因素捆綁認證

16.       支持IKE證書壓縮；

17.       支持隨機驗證碼短信認證，可自定義所發送短信信息格式，支持用戶端短信重發功能；支持結合移動、聯通、電信的短信網關進行認證；

18.       可結合短信貓自行搭建SSLVPN短信認證平臺；支持webservice短信認證；

19.       支持開啟或關閉證書有效期檢查；

20.       支持CRL吊銷列表自動更新；

21.       支持IPSec VPN客戶端虛IP地址池的分配策略，可設置動態或者靜態分配；

22.       支持路由模式、單臂模式下多線路部署的集群；支持集群設備間Session同步，一臺設備宕機后其上用戶無需重新登錄SSLVPN可繼續使用；可擴展分布式集群功能，無需專門的全局負載設備即可實現異地SSLVPN設備間的接入用戶負載分擔、速度優選接入，異地設備間互為備份，分布式集群中用戶可通過唯一的一個地址訪問到所有加入到分布式集群的SSLVPN設備；

23.       支持與主流廠商標準的IPSec VPN進行對接；

24.       支持在線查看各隧道連接狀態、連接名稱、用戶名、實時流量、Internet IP、內網IP、接入時間、傳輸類型；可整體查看設備外網流量、VPN流量、連接總數、剩余IPSec VPN授權數；

25.       提供中華人民共和國公安部頒發的有效的《計算機信息系統安全專用產品銷售許可證》，提供產品的有效的《國家密碼管理局商用密碼產品銷售許可證》復印件；

26.       為保證提供軟件的企業軟件能力的成熟度，需提供CMMI3級以上證書，CMMI4級別證書優先；

27.       為保證設備的合法來源需提供設備制造商對本項目的授權函和售后服務承諾函原件并加蓋設備制造商公章或投標專用章；

28.      為保證安全加固項目系統的可靠性和最大兼容性，本次采購的安全設備、交換機采用同一品牌；

臺

1

7

運維審計（堡壘機）

1.          標準2U機架式設備；

2.          配置千兆電口≥6個；獨立管理接口1個；2個USB接口；支持冗余電源；  整機須支持千兆電口數最大擴展不少于22個； 整機須支持千兆光口數最大擴展不少于16個

3.          配置≥1T企業級硬盤； 內存≥4G；配置模塊化擴展插槽≥2個； 自帶設備管理數100個，圖形并發≥100，字符并發≥200；

4.          業務數據采取輕型目錄存儲，支持多節點數據實時同步，支持雙網卡冗余；支持active-stanby方式的HA部署，支持集群部署；

5.          提供統一安全認證和運維審計系統自身狀態的監控功能，包括：cpu工作情況，內存使用情況，磁盤使用情況，網卡使用情況，統一安全認證和運維審計系統自身數據庫工作情況，統一安全認證和運維審計系統自身WEB服務工作情況，統一安全認證和運維審計系統自身其他關鍵組件工作情況等；

6.          支持管理配置的批量功能，包括：批量自然人管理，批量資源管理，批量資源從帳號管理，批量授權管理，批量應用發布管理等。

7.          支持消息管理，可通過系統統一給各管理員和運維人員發布消息。支持工作計劃管理，可自維護方式制定運維工作計劃，并到期提醒。

8.          支持主帳號的證書認證，可以靈活配置主帳號的認證方式。統一安全認證和運維審計系統上定義主帳號時可以為主帳號生成證書，方便證書認證模式的部署和實施。也可以和其他認證方式結合，做組合認證，提高訪問的安全性。例如，支持靜態口令、證書、智能卡、各種人體特征（指紋、視網膜等）、動態令牌。

9.          支持主帳號的分組管理，分組可以樹形方式展現，不限制分組層級數量。主帳號支持從AD域內抽取，可方便主帳號的建立。

10.       針對windows類型設備，統一安全認證和運維審計系統可以選擇啟用或者關閉某臺設備的磁盤映射功能，對于數據庫、web、專用C/S客戶端程序支持以應用發布的方式進行授權和審計。

11.       支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等協議。其中，SSH協議代理支持SecureCRT軟件的Session Clone及Send To All等復雜的功能；

12.       支持Windows主機、域控主機、域內主機、Unix主機、各種網絡設備、安全設備、網元、數據庫、WEB中間件等。

13.       能夠對各種資源上的帳號進行推、拉、同步。推帳號即從統一安全認證和運維審計系統平臺向資源上添加帳號；拉帳號即從資源上自動收集所有設備帳號到統一安全認證和運維審計系統上；同步帳號完成推拉兩個動作，從而保持統一安全認證和運維審計系統和資源上從帳號的同步；

14.       支持對RDP資源進行授權時，支持剪貼板及本地磁盤的使用授權；

15.       統一安全認證和運維審計系統內部管理功能權限支持角色定義，角色可以針對目錄樹的節點定義，角色包含的權限可以自定義。自定義內容包括：分組管理權，自然人管理權，資源管理權，授權管理權，角色定義管理權，計劃管理權，審計管理權等等。

16.       支持資源帳號同步計劃，可以設置執行時間，也可以設置單次執行或周期執行?？梢愿鶕夸洏溥x擇計劃包含的資源。

17.       支持資源帳號口令修改計劃，可以設置執行時間，也可以設置單次執行或周期執行?？梢愿鶕夸洏溥x擇計劃包含的資源。

18.       支持實時審計和阻斷。操作人員對于資源的訪問，審計員可以實時查看。發現高危操作時，支持實時切斷當前會話。

19.       統一安全認證和運維審計系統內含Radius服務器，可以作為網絡設備的3A認證服務器，便于網絡設備的帳號、認證、授權管理。網絡設備使用統一安全認證和運維審計系統的Radius作為3A認證服務器，可以設置密碼策略來控制設備的密碼強度，也可以設置密碼變更計劃，使網絡設備的帳號管理符合SOX法案關于密碼定期變更的要求。

20.       支持對SSH、TELNET、FTP、RDP、WINDOW等協議不僅僅支持web式的單點登錄功能，還支持使用原有客戶端軟件，單點登錄目標設備時，支持一次性會話號的登錄方式確保會話安全；

21.       支持對en，su的密碼自動代填功能，可方便進行單點登錄。

22.       VNC連接時，如果被連系統超時鎖屏，統一安全認證和運維審計系統建立的遠程VNC連接可以傳送組合鍵進行解鎖。

23.       在FTP，SFTP及WINDOWS共享方式做文件傳輸時，支持自有圖形化文件傳輸工具，能夠像標準FTP工具一樣實現文件拖拽傳輸，且支持輸入關鍵字快速定位文件和在線編輯功能。

24.       提供公安部頒發的該產品的銷售許可證復印件；

25.       為保證提供軟件的企業軟件能力的成熟度，需提供CMMI3級以上證書，CMMI4級別證書優先；

26.       為保證設備的合法來源需提供設備制造商對本項目的授權函和售后服務承諾函原件并加蓋設備制造商公章或投標專用章；

27.      為保證安全加固項目系統的可靠性和最大兼容性，本次采購的安全設備、交換機采用同一品牌；

臺

1

8

認證管理系統升級擴容

1.          需與醫院現有的認證系統對接，必須能夠嵌入和安裝到現有認證系統中；

2.          本次需擴容認證節點數≥200個；

3.          為滿足多種應用場景，準入方式應支持有線的用戶名密碼認證（EAP-MD5）、無線的用戶名密碼認證 （PEAP-MSCHAPV2） 和USB-KEY CA證書認證（EAP-TLS）

4.          支持已認證的用戶使用自己的智能手機為訪客終端掃描二維碼進行訪客入網接入認證授權

5.          支持只有授權指定的用戶組才能為訪客做二維碼授權，且在認證系統后臺有訪客與授權訪客開戶的用戶賬號綁定。 

6.          認證頁面合并：普通用戶、短信、二維碼、微信web認證合并。

7.          支持從基于Java/web service的第三方接口讀取用戶數據信息進行認證

8.          支持與數據庫SQL SERVER、MySQL、ORACLE、DB2、PostgreSQL對接。

9.          支持使用短信、郵箱、第三方系統聯動自助開戶功能。

10.       支持禁止已認證用戶給未認證用戶提供代理服務；禁止已認證用戶啟用撥號服務，進行非法外連；

11.       支持設置用戶密碼輸錯的次數上限，防暴力破解

12.       為保證提供軟件的企業軟件能力的成熟度，需提供CMMI3級以上證書，CMMI4級別證書優先；

13.       為保證設備的合法來源需提供設備制造商對本項目的授權函和售后服務承諾函原件并加蓋設備制造商公章或投標專用章；

套

1

9

運維管理系統升級擴容

1.          需與醫院現有的運維系統對接，必須能夠嵌入和安裝到現有運維系統中；

2.          本次需擴容認證節點數≥50個；

3.          為了方便日常管理，系統應采用B/S架構，所有操作和配置均為B/S界面操作完成；

4.          系統應具備良好的擴展性，管理范圍、管理深度和管理功能均支持平滑升級和擴展，滿足不斷發展的運維管理需求；

5.          系統應具備自身監控功能，能夠監控自身服務、組件的可用性、端口、連續運行時間、JVM線程數、分配內存量、使用內存量，當有故障時，能夠及時告警；

6.          支持對多廠商、多類型、多版本資源的統一管理，包括主流的網絡設備、安全設備、無線設備、服務器、虛擬化資源、應用、機房環境等，能顯示所有資源列表，

7.          可按照資源狀態、事件級別、資源類別、資源組等條件快速篩選查看。

8.          支持對ping、URL、Port等基礎服務的監控。

9.          支持對MS Exchange 2003、MS Exchange 2007等郵件服務器的監控。

10.       可巡檢的內容包括網絡設備、主機、應用、基礎服務、無線資源、虛擬化資源、機房環境等全網所有軟、硬件、應用、服務、業務資源；

11.       支持對主流的華為、銳捷、中興、Juniper、HP、新華三等網絡設備的監控。

12.       支持實時的呈現出不同的業務部門用戶在最近5分鐘對應用系統的訪問情況，包括訪問量、成功率、響應時間；

13.       為保證提供軟件的企業軟件能力的成熟度，需提供CMMI3級以上證書，CMMI4級別證書優先；

14.       為保證設備的合法來源需提供設備制造商對本項目的授權函和售后服務承諾函原件并加蓋設備制造商公章或投標專用章；

套

1

10

輔材

輔材：

1. 提供千兆多模光纖跳線20對，接口類型標準LC-LC；長度10m；

2. 提供萬兆多模光纖跳線10對，接口類型標準LC–LC，長度10m；

3. 提供千兆RJ45跳線80根（3 m長度20根，5m長度 40根 ,10m長度 20根）；

套

1

備注要求

需提供滿足ISO 9001 質量管理體系認證、ISO 14001 環境管理質量體系認證并提供證書復印件，需提供設備制造商對本項目的授權函和售后服務承諾函原件并加蓋設備制造商投標專用章；還需提供牡丹江市第二人民醫院網絡安全加固文字技術方案和牡丹江市第二人民醫院當前現網拓撲圖及本次建設拓撲設計圖；所采用軟硬件需提供五年免費升級和備件服務，并提供證明文件；針對牡丹江市第二人民醫院安全加固設計應周全考慮（包括所有配件），應按本方案所提供的產品按計劃實施，不允許產生二次費用；為保障本項目售后維護及時高效，施工組織應提供完善的售后技術實施方案和本項目應急預案，要求實施過程中每次中斷業務系統時間應不超過1小時，累計不能超過3小時。