当前位置:长沙市口腔医院:网络安全设备采购需求公开
湖南长沙
2023-11-27
3 .2技术要求
3.2.1服务器防火墙
| 指标项 | 技术要求 |
|
产品规格 | ★≥4个千兆Combo接口(光电复用), ≥10个千兆电接口,1U标准机 架, 网络吞吐率≥5Gbps,并发连接: ≥200万,需配防病毒、防攻 击、上网行为管理、Web安全防护等增强特性授权; |
| 部署模式 | 支持路由模式、透明(网桥)模式、混合模式,支持镜像接口,部署 模式切换无需重启设备; |
| 虚拟化 | 支持网络功能虚拟化,支持KVM、VMware ESX等业界主流虚拟化环 境; |
| NAT | 支持源地址转换、目的地址转换、双向地址转换、NAT44; |
| DDNS | 支持动态域名服务,支持域名、接口IP绑定功能; |
| 路由支持 | 支持静态路由、策略路由、RIP、OSPF、ISP路由,其中ISP路由支持 自定义,并可提供基于应用的策略路由; |
| 安全通信 | 实际配置支持基于用户、应用、时间对象的流量管控和策略设置; |
| 支持IPV6; | |
| IPS | 支持基于源、目的、规则集的入侵检测。IPS引擎BPS_level5检出率 |
|
| 80%以上,支持5种自定义动作,支持自定义特征; |
|
AV | 支持HTTP,FTP,POP3,SMTP,IMAP协议的病毒查杀,支持查杀邮件 正文/附件、网页及下载文件中包含的病毒,支持ZIP/GZ/BZ2等压缩 文件的病毒查杀,支持压缩:默认5层,最大20层; |
|
应用协议识别 | ▲支持主流P2P、IM、在线视频、网络游戏、网络炒股等应用识别;支 持BYOD特征库,可识别ios版和安卓版移动互联网软件如腾讯微 博、QQ空间等特征,并提供web界面配置截图;支持基于IP、端口等自 定义协议服务;应用特征库超过3500条,可提供在线升级和手动升 级;支持智能和快速识别模式配置(截图证明,加盖厂家公章); |
|
URL过滤 | 内置URL分类库,支持≥80个URL分类,URL库可在线升级,可广泛识 别恶意网站、违法网站; |
| ▲支持自定义URL过滤,并支持URL的模糊匹配(截图证明,加盖厂家 公章); | |
|
流量管理 | ▲支持4级层次化QoS、支持多级用户/用户组嵌套,提供web界面配置 截图;支持进行IP、整机会话限制(提供web配置界面截图,并加盖原 厂商公章); |
|
防私接路由 | 可识别私接主机个数,并可制定策略分别设置私接终端类型个数为阀 值进行封堵,支持自定义阻断时间, 同时支持基于IP及IP段配置白名 单; |
| ▲支持私接用户的PPPoE账号、认证服务器同步账号展示(提供web配 置界面截图,并加盖原厂商公章); | |
|
策略分析与清 理 | 支持分析冗余策略、隐藏策略、冲突策略、可合并策略、空策略、过 期策略; |
| 支持图形化展示策略分析概况,问题策略分布,总体策略宽松度评 分; | |
| 用户管理 | 支持同步LDAP用户,支持标准AD服务器和OPENLDAP服务器的用户导 入,支持针对同步的用户和用户组配置策略; |
|
系统维护 | ▲web管理界面支持Ping、Traceroute、TCP Syn诊断工具,可支持基 于接口、协议、IP地址、端口、应用进行网络抓包,并可下载导出分 析(提供web配置界面截图,并加盖原厂商公章); |
|
资质要求 | ▲产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用 产品销售许可证》第二代防火墙(增强级); |
| ▲防火墙具有中国网络安全审查技术与认证中心颁发的网络关键设备 和网络安全专用产品安全认证证书(增强级)(含高性能,下一代互联网 支持)。提供加盖原厂商公章的证书复印件; | |
| ▲原厂商应具备4年以上ITSS信息技术服务标准运行维护符合性证书 (获证时间不晚于2019年1月1日),提供加盖原厂商公章的证书复印 件; |
|
| ▲原厂商应具备ISO27001(业务范围须包含安全服务、安全运维、安 全咨询、系统集成),提供厂商盖章复印件; |
| ▲原厂商应具备中国网络安全审查技术与认证中心颁发的信息安全服 务资质认证证书信息安全风险评估一级;提供加盖原厂商公章的证书 复印件; | |
| ▲原厂商应具备信息化建设及数字化能力评价中心颁发的CIC信息化建 设及数字化能力评价证书(二级或以上),提供加盖原厂商公章的证 书复印件; | |
| 服务要求 | ▲为保证产品质量及服务,需提供厂商三年售后承诺函并加盖厂商公 章。 |
3.2.2 威胁感知系统
| 指标项 | 指标要求 |
| 硬件配置 |
|
| 检测能力 | 检测能力≥0.5Gbps;文件检测能力≥0.5万/天; |
|
威胁情报检测 | ▲内置威胁情报检测,APT情报检测能力, 内置IOC数据库覆盖主流的 APT家族,至少覆盖240个家族(提供web配置界面截图,并加盖原厂商公 章); |
|
网络异常检测 | 支持DoS&DDoS攻击检测、会话连接行为异常检测、非标准协议检测; |
| 支持SMTP行为异常检测、可疑SMTP源IP检测、垃圾邮件检测、钓鱼邮件 检测; | |
| 支持扫描行为检测、路由跟踪行为检测、密码猜测行为检测、密码暴力 破解行为检测、提权行为检测、隐私策略检测、信息泄露检测、SSL行为 检测; | |
| 远控工具检测 | 支持检测Teamviewer、Oray、ShowMyPC、Radmin和QQRemote等; |
| 挖矿木马检测 | 支持基于威胁情报和异常特征检测挖矿木马通信、外联恶意服务器等网 络行为; |
| 加密流量指纹 检测 | ▲支持加密流量指纹JA3和SSL检测,指纹规则库在3000条以上(提供 web配置界面截图,并加盖原厂商公章); |
|
下一代入侵检 测 | 内置IDS规则库和Yara规则库,IDS规则库规模在2万以上,Yara规则库规 模在8000以上; |
| 支持SQL注入攻击检测、Bash漏洞攻击检测、心脏出血漏洞攻击检测、协 议动态识别、无效SSL证书检测、网络应用攻击检测、Shellcode检 测、钓鱼网站检测、C&C通讯检测、网络木马检测等; | |
| 智能模型检测 | ▲至少支持基于智能模型(人工智能模型)检测DGA域名、恶意代码未知 |
|
| 协议外联流量、恶意代码加密外联通信流量、网络内暗网Tor流 量、DNS隐秘隧道通信、ICMP隐秘隧道通信、shadowsocks代理流 量、HTTP隐秘隧道通信(提供web配置界面截图,并加盖原厂商公章); |
|
文件还原 | 支持还原HTTP、SMTP、POP3、IMAP、FTP、SMB等协议中的文件; |
| 具备从流量中还原文件并进行威胁检测的能力,文件类型应包括doc、 docx、 dot、 ppt、 pptx、 pot、 pps、 xls、 xlt、 xlm、 xlw、 eml、 rtf、txt、 hta、 pdf、 exe、 com、 dll、 msi、 cab、 cpl、 jar、 python、 jpg、gif、 png、 wsf、 vbs、 psl、 js、 regsvr、 html、 swf 、py、cpl等; | |
| 对于中高危恶意文件,支持下载文件和其发出的网络流量包(PCAP格 式); | |
| 离线/在线文件 检测 | 支持上传文件和所提供的URL中的文件检测; 支持前台批量上传待检测文件;
|
| Shellcode检测 | 支持检测文件中的Shellcode,并可以展示及下载反汇编信息; |
| 杀毒引擎检测 | 支持内置不少于4个杀毒引擎,支持启发式检测; |
| 文件基因图谱 检测 | 支持采用人工智能模型对恶意代码进行相似度检测, 同源性分析其家 族,显示其基因图谱,能检测的恶意代码家族不少于 5000 种; |
|
沙箱检测 | 支持沙箱行为签名检测,根据主机或网络行为判断其是否为恶意文件, 支持显示沙箱内样本运行截图; |
| 支持多种沙箱运行模式、支持windows、android和linux类型沙箱,支持 限制从流量中还原的可以进入沙箱的文件大小; | |
| 支持对沙箱内样本的流量进行检测、支持反虚拟机和反调试行为检测; | |
|
系统管理 | 支持系统安全加固,限制可访问系统的时间、IP地址段; |
| 支持通过WEB导入升级包对系统进行升级,包括特征检测规则、行为检测 规则、沙箱签名和威胁情报; | |
| 支持访问日志记录,详细记录系统操作行为; | |
| 支持SNMP、南向接口和北向接口;支持第三方文件API提交接口;支持基 于syslog协议发送威胁事件、元数据; | |
|
产品资质 | ▲产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产 品销售许可证》; |
| ▲原厂商应具备4年以上ITSS信息技术服务标准运行维护符合性证书(获 证时间不晚于2019年1月1日),提供加盖原厂商公章的证书复印件; | |
| ▲原厂商应具备ISO27001(业务范围须包含安全服务、安全运维、安全 咨询、系统集成),提供厂商盖章复印件; |
|
| ▲原厂商应具备中国网络安全审查技术与认证中心颁发的信息安全服务 资质认证证书信息安全风险评估一级;提供加盖原厂商公章的证书复印 件; |
| ▲原厂商应具备信息化建设及数字化能力评价中心颁发的CIC信息化建设 及数字化能力评价证书(二级或以上),提供加盖原厂商公章的证书复 印件; | |
| 服务要求 | ▲为保证产品质量及服务,需提供厂商三年售后承诺函并加盖厂商公 章。 |
3.3.3互联网防火墙
| 指标项 | 指标要求 |
|
产品规格 | ★产品支持不少于8个10/100/1000M以太网电口,2个SFP+口,支持不少 于1个扩展槽,支持不少于8G内存,支持不少于128G SSD硬盘容量,支持
|
| 部署模式 | 产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部 署方式; |
| 智能流控 | 产品支持对不同用户和应用的流量进行带宽的差异化管控; |
|
访问控制 | 产品支持基于网络区域、网络对象、MAC地址、服务、应用等维度进行访 问控制策略设置; |
| 产品支持对不同IP进行并发会话数量管控; | |
| 认证方式 | 产品支持3种以上的用户认证方式,包含但不限于单点登录、本地账号密 码、外部账号密码认证; |
| 地址转换 | 产品支持NAT44 、NAT64、NAT66地址转换方式; |
| 三权分立 | 产品支持管理员三权分立功能,根据管理员权限分为安全管理员、安全 审计员、系统管理员三种角色; |
| URL | 产品支持管控非法、违规网站的访问行为,具备海量的URL分类库; |
|
防勒索病毒 | ▲产品支持勒索病毒检测与防御功能,针对勒索病毒攻击设置专项安全 策略(需提供产品相关功能截图,并提供公安部计算机信息系统安全产 品质量监督检验中心、中国信息安全测评中心、中华人民共和国国家版 权局之中任意一家检测机构出具关于“勒索病毒”的相关证书证明功能 有效性, 同时加盖原厂商印章); |
|
账号安全保护 | ▲产品支持用户账号安全保护功能,包括用户账号多余入口检测、用户 账号弱口令检测、用户账号暴力破解检测、失陷账号检测,防止因账号 被暴力破解导致的非法提权情况发生(需提供产品相关功能截图,并提 供公安部计算机信息系统安全产品质量监督检验中心、中国信息安全测 |
|
| 评中心、中华人民共和国国家版权局之中任意一家检测机构出具关于 “账号保护”的相关证书证明功能有效性, 同时加盖原厂商印章); |
|
资质要求 | ▲为保证产品自身的安全性,产品应具备IT产品信息安全认证证书 EAL4增强级(需提供有效证书复印件, 同时加盖原厂商印章); |
| ▲为保证产品自身的稳定性,产品应在IDC 2022年 UTM品类市场占有率 排名前三(需提供有效证明材料, 同时加盖原厂商印章); | |
| 服务要求 | 为保证产品质量及服务,需提供厂商三年售后承诺函并加盖厂商公章。 |
3.3.4 Vpn
| 指标项 | 指标要求 |
|
产品规格 | ★产品不少于6个千兆电口,2个千兆光口,支持单电源,1U机箱;最大 加密流量≥480Mbps,最大并发用户数≥800,https新建连接数≥120个 /秒,接入授权≥50; |
|
双栈网络 |
了保护设备的安全,可支持默认限制所有IP通过WAN口访问系统,支持通 过配置IP白名单的方式来放通WAN口接入的特殊需求; |
|
隧道模式 | 产品支持通过隧道模式,可以基于TCP、UDP、ICMP等协议代理访问业务 资源,支持发布IP、IP范围、IP段、具体域名及通配符域名等形式的服 务器地址,满足常见办公业务的代理,收缩业务暴露面; |
| 应用资源配置 | 产品支持配置应用资源指定的打开方式,如浏览器等;为了适应某些业 务系统对浏览器的兼容性,还应支持配置应用打开的指定浏览器类型; |
| WEB水印 | 产品支持针对发布的WEB应用开启WEB水印,水印内容至少包括:用户名 +当前年月日,起到威慑与溯源作用,有效预防数据泄露; |
|
终端在线管控 | 产品支持不同平台的终端同时在线,管理员可分别设置可同时在线的 PC或移动终端个数,配置范围不小于0-1000, 当超过终端个数时,可以 注销最早登录的终端,且被注销的终端有对应的注销提醒; |
|
免辅助认证 | 产品支持免辅助认证,员工手动勾选信任浏览器后,在信任有效期内该 浏览器登录不需要重复进行辅助认证,提升用户体验,时长有效期可设 置范围不小于1-90天; |
|
单包授权能力 | 为了最大程度缩小网络、业务暴露面,产品需提供单包授权能力 (SPA),支持 UDP+TCP 组合的单包授权技术,未授权用户无法连接设 备,无法扫描到服务端口,不会出现敲门放大漏洞。PC 端和移动端均支 持通过安全码激活客户端为授权客户端,从而可进行 SPA 敲门和连接, 安全码支持共享码和一人一码两种模式,支持短信分发安全码,保障业 务的安全性。一人一码模式下, 当实际登录用户跟分发 SPA 安全码绑定 的用户不致时,VPN系统可以阻止用户登录上线并产生安全告警,帮助管 理员溯源,进一步提升系统安全性; |
| CDN | 品支持配置企业的CDN作为VPN客户端下载地址,以降低设备本身的非业 务访问带宽压力; |
|
DNS | 产品支持以私有DNS发布企业资源,无需额外购买DNS服务即可使用域名 访问内网资源,支持管理员自主配置是否允许从具体网络区域(局域网 /互联网)接入时使用此私有DNS解析地址; |
|
集群部署 | 为了提高系统可靠性,保障单台设备故障时系统仍可正常运行,产品应 支持本地集群部署,且最少2台设备即可组建集群,单集群的最大节点数 量不得少于4台;本地集群组建时,集群中的节点可承载工作负载功能, 不需要依赖其它外置设备; |
| 短信验证 | 为了提升系统维护的便利性,管理员可配置是否允许用户通过短信验证 码等方式自助找回密码; |
|
资质要求 | ▲为证明产品的成熟性与先进性,所投VPN产品厂商需具备中国网络安全 审查技术与认证中心(CCRC)颁发的SD安全开发一级信息安全服务资质 认证证书(需提供有效证明材料, 同时加盖原厂商印章); |
| ▲针对医院虚拟化云计算环境的网络安全管理工作,所投VPN产品厂商需 具备云安全能力成熟度模型CSA CS-CMMI5认证(需提供有效证明材料, 同时加盖原厂商印章); |
二、相关标准:
详见功能及要求
三、技术规格:
1、≥4个千兆Combo接口(光电复用), ≥10个千兆电接口,1U标准机
架, 网络吞吐率≥5Gbps,并发连接: ≥200万,需配防病毒、防攻 击、上网行为管理、Web安全防护等增强特性授权;
2、2U标准机架式设备、双电源;CPU核数≥8核心16线程*2; 内存 ≥64GB;具备至少4TB硬盘;标配2个千兆电口;
3、产品支持不少于8个10/100/1000M以太网电口,2个SFP+口,支持不少 于1个扩展槽,支持不少于8G内存,支持不少于128G SSD硬盘容量,支持
冗余电源,2U机箱; 网络层吞吐量≥15Gbps,应用层吞吐量≥8Gbps,并 发连接数≥200万,HTTP新建连接数≥9万;
4、产品不少于6个千兆电口,2个千兆光口,支持单电源,1U机箱;最大
加密流量≥480Mbps,最大并发用户数≥800,https新建连接数≥120个 /秒,接入授权≥50;
四、交付时间和地点:
交货期:签订合同后30天内到货。
五、服务标准:
1、设备整机(质保期3年,(投标人在投标文件中承诺中标后提供由制造商针对设备整 设备加盖制造商公章的售后服务承诺书)。
2、安装验收:按照医院验收制度流程及合同要求。投标人负责所有设备安装及安装所 需辅材、人工费、运输费、技术设计费等,采购人不再另外支付费用。
3、若有软件系统,需提供软件著作权或专利证明,负责软件升级,相关费用包含在投标报价中。
4、售后服务要求:按照合同要求提供售后服务。
5、本项目采用费用包干方式实施,供应商应根据项目要求和现场情况,详细列明项目 所需人工、管理、财务、软件升级等一切费用,如一旦中标成交,在项目实施中出现任何 遗漏,均由中标人提供,采购人不再支付任何费用。
六、验收标准:
1、 根据长沙市财政局和长沙市审计局《关于进一步规范政府采购项目履约验收工作管理的通 知》 (长财采购[2016]6号) 的规定,项目验收国家有强制性规定的,本项目采用简易程序进行 验收。按国家规定执行,验收报告作为申请付款的凭证之一。
2、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标供应商原因造 成的,由中标供应商承 担检测费用;否则,由采购人承担。
3、 项目验收不合格,由中标供应商返工直至合格,有关返工、再行验收,以及给采购人 造 成的损失等费用由中标供应商承担。连续两次项目验收不合格的,采购人可终止合同,另行按规 定选择其他供应商采购,由 此带来的一切损失由中标供应商承担。
4、验收合格后,中标人应将有关的全部资料,包括全部有关技术文件、资料、验收报告等文 档汇集成册交付给招标人。
七、其他要求:
无
采购需求仅供参考,相关内容以采购文件为准。
