项目的建设要求

随着信息技术的迅猛发展，医院信息系统利用计算机的高新技术，使医院日常管理合理化，大大提高了医疗服务质量，提高了医院的管理水平。鉴于任何系统都可能因设备故障、系统缺陷、病毒破坏、人为错误等原因导致速度下降甚至系统崩溃，严重影响医院医疗活动的正常开展。信息系统安全等级保护建设的目的在于保障重点信息系统的安全，规范信息安全等级保护，完善信息保护机制，提高信息系统的防护能力和应急水平，有效遏制重大网络与信息安全事件的发生，创造良好的信息系统安全运营环境。矚慫润厲钐瘗睞枥庑赖賃軔。矚慫润厲钐瘗睞枥庑赖賃。 面对医院门诊、住院人数之多，随着医院信息化建设的逐步深入，网上业务由单一到多元化，各类应用系统逐渐增多，信息系统承受的压力日益增长，医院信息系统已经成为医院正常运行不可或缺的支撑环境和工作平台，通过建立合理可靠的技术平台，细致的日常管理与及时的故障处理应急预案，将信息系统等级保护措施落实到实处，确保信息系统不间断运行，只有在技术和管理互相提供支撑的前提下才能确保系统的稳定运行。聞創沟燴鐺險爱氇谴净祸測。聞創沟燴鐺險爱氇谴净祸。 从医院角度依据信息安全等级保护的要求，通过对医院核心信息系统的建设，充分发挥网络在医院信息系统中的应用。从技术安全阐述如何建立合理技术平台，加强安全防护对策。强调了保障网络和信息系统安全，让安全稳定的网络支撑医院走上可持续发展之路。核心业务是医院信息化建设的基础，是医院信息系统运行的平台，对医院运行效率和管理水平都有重要作用，因此创造良好信息系统安全运营环境是医院信息安全的最终目。残骛楼諍锩瀨濟溆塹籟婭骒。残骛楼諍锩瀨濟溆塹籟婭。 通过开展信息安全等级保护工作，日照市岚山区人民医院将有效解决信息安全面临的威胁和存在的主要问题，有效预防、及时控制和最大限度消除危害和影响，确保信息网络和信息系统的安全、稳定运行和业务的连续性。因此，本项目建设既是贯彻落实信息安全等级保护制度的具体措施，同时，对于提升信息安全保障工作的整体水平具有十分重要的意义。酽锕极額閉镇桧猪訣锥顧荭。酽锕极額閉镇桧猪訣锥顧。 2、遵循规范

此次建设满足并遵循如下规范和标准:

《国家信息化领导小组关于加强信息安全保障工作的意见》（27 号文件） 《关于信息安全等级保护工作的实施意见》（66 号文件） 《信息安全等级保护管理办法》

《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006） 《信息安全技术网络基础安全技术要求》（GB/T20270-2006） 《信息安全技术操作系统安全技术要求》（GB/T20272-2006） 《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006） 《信息安全技术服务器技术要求》

《卫生行业信息安全等级保护工作的指导意见》 《信息系统安全等级保护基本要求》（GB/T22239-2008） 《信息系统安全保护等级定级指南》（GB/T22240-2008） 3、建设内容 建设内容 编号 1 2 设备名称 边界防火墙 内网边界防火墙 单位 台 台 1 / 5

数量 1 1 备注 参数详见标书 参数详见标书 3 4 5 6 数据库审计 WEB应用防火墙 日志审计 台 台 台 1 1 1 8 参数详见标书 参数详见标书 参数详见标书 参数详见标书 信息系统脆弱性测试安全服务 次/年 技术要求 硬件设备参数及服务要求 产品名称 边界防火墙 （1台） 1、基本要求：要求设备采用自主知识产权的专用安全操作系统，采用多核多平台并行处理特性；支持多操作系统引导，多系统需在设备启动过程中进行选择，不得在WEB维护界面中设置系统切换选项；要求产品符合电信级质量体系认证；1U机箱；配置不少于6个10/100/1000BASE-T接口和1个可插拔的扩展插槽，所有接口非combo光电互斥接口或共享交换接口，防火墙吞吐率不小于6Gbps，最大并发连接数不小于200W。含3年病毒库升级服务和3年入侵防御攻击规则库升级服务。 2、要求产品支持入站智能DNS功能及服务器负载均衡功能，为更合理的实现流量负载分担，需提供不少于10种的负载均衡算法；支持 DNS Doctoring功能，同一域名对应不同的内网服务器真实IP地址，实现内网资源服务器的负载均衡，提供截图。 3、要求支持对单条访问控制策略进行最大并发连接数和长连接的。 4、要求支持WEB界面显示每条策略的命中数，能够在WEB界面显示每条策略所引用资源的对象信息；支持在WEB界面上开启策略冲突检测功能，在出现策略冲突时，能够在WEB界面进行警告，提供截图。 5、★支持病毒防御功能，采用国内国际权威病毒库和病毒引擎；要求病毒防护规则至少包含400万条，提供相应证明。 6、要求支持资源虚拟化和功能虚拟化；要求资源虚拟化至少支持在一台物理设备上划分出4000个相互的虚拟系统，提供截图。 7、要求支持智能策略分析功能，支持策略命中分析、策略冗余分析、策略冲突检查，并且可在WEB界面显示检测结果：红色为冗余策略，绿色为冲突策略，提供截图。 8、要求支持抗DDOS攻击防御功能；至少须包含支持基于TCP、IP、UDP、DNS、HTTP、NTP协议的检测和清洗；支持根据DOS/DDOS攻击行为自动添加动态黑/白名单功能，提供截图。 9、要求支持一体化访问控制功能，访问控制策略执行动作支持允许、禁止及认证，对符合条件的流量进行Web认证，在策略中可设置用户 Web 认证的门户地址； 10、要求支持入侵防御功能，支持web攻击识别和防护，如跨站脚本攻击、SQL注入攻击；支持超过4200+攻击特征库，提供截图，能够确保每周至少更新1次攻击特征库。 基本要求：1U标准机架尺寸，配备5个千兆电口,4个COMBO接口，提供USB接口，网络层吞吐量≥ 6Gbps，最大并发连接数≥ 200万，IPSec VPN隧道数 ≥ 2000（本次满配2000），SSL用户数≥ 10002 / 5

内网边界防火墙 （1台） （本次实配8个并发）。三年软件升级服务，三年硬件质保，配置IPS（3年）、AV防病毒（3年）、负载均衡、攻击防护、视频准入、DLP、云端管理等功能。可扩展云沙箱、僵尸网络检测、垃圾邮件过滤等功能。 流量、应用、威胁、配置图形化可视，配置IPS功能，IPS功能基于状态、精准的高性能攻击检测和防御。提供7000多种特征的攻击检测和防御，特征库支持网络实时更新，可输入报表，提供截图。 具有策略冗余检测，可以对策略是否重复进行检查，或具有策略提醒功能，避免策略冗余，提供截图。 配置专业的AV病毒检测引擎，内置病毒特征不少于1300万条。 具有SYN Flood、DNS Query Flood等多种DoS/ DDoS攻击防护，多种畸形报文攻击防护。 要求实时显示文件过滤，内容过滤，微信,QQ,微博上下线日志，提供截图。 要求支持用户认证功能，支持本地用户的WEB认证和短信认证，支持外部服务器认证（Raidus\\Active Directory\\LDAP\\TACACS+），支持WEBAuth认证页面定制，支持微信连WIFI功能。 支持AlgoSec和FireMon主流防火墙管理系统，并提供AlgoSec和FireMon官网证明材料。支持通过HTTP/HTTPS方式进行管理；设备运行状态显示，包括硬盘、内存和CPU、温度利用率的概览显示和详细信息显示； ★文件传输管控：支持通过http-post，http-get，ftp，smtp，pop3识别类型包括avi，bat，cmd，docx，dwg，exe，iso，jar，jpg等几十种文件，并有效控制和记录日志，提供截图。 数据库审计 （1台） 基本要求：国内知名品牌，自主研发，1U标准机架尺寸，含单交流电源，2*USB接口，1*RJ45串口，1*GE管理口，6*GE电口，1个接口扩展槽位，2T SATA硬盘，至少含3个数据库实例，SQL性能≥15000条。三年服务，包含软件更新服务、产品保修服务、远程支持服务。 数据库审计系统应支持对Oracle、SQL Server、MySQL、DB2、PostgreSQL、sybase、达梦（DM）、金仓kingbase、Oscar数据库进行审计。 支持复杂SQL语句支持：能够准确审计长SQL语句，有效分割、准确审计多SQL语句，准确审计绑定变量的SQL语句。 支持数据库自动发现，设备无需添加、即插即用。 支持根据SQL执行结果设定策略及IP、MAC、端口、用户设定告警策略； ★支持事件分析：依据安全策略，以时间为基线，统计异常事件的发生数量和趋势，提供截图； 支持告警分析：依据安全策略，以时间为基线，统计严重告警事件的发生数量和趋势； 支持自动诊断功能，一键自检查看当前网卡流量、审计状态、入3 / 5

库延迟、策略中心、系统CPU、内存的运行状态等是否有异常，方便售后人员基于诊断报告定位产品问题。 支持会话分析：基于客户端IP、数据库用户、访问程序统计会话、支持会话检索；失败会话和并发会话统计；支持应用层关联会话查询。 10、系统内置性能评估工具，可以生成性能分析报告，直观展现系统的CPU、内存、会话信息、数据库流量、语句数等信息。 WEB应用防火墙 （1台） 基本要求：国内知名品牌，自主研发，1U标准机架尺寸，含交流单电源，2*USB接口，1*RJ45串口，1*GE管理口，4*GE电口（Bypass），最大支持4路防护。网络层吞吐量≥1.6G，最大并发连接数≥50000，最大事物处理数≥3000tps，三年服务，包含软件更新服务、产品保修服务、远程支持服务。 支持IPV6协议通过与防护；支持SQL注入、XSS防护，支持使HTTP头域中的Cookie、Referer、User-Agent，Except字段过防护、CSRF防护、爬虫防护、盗链防护等策略； 支持Cookie安全机制，包括Cookie加密和Cookie签名的防护算法。 ★支持暴力破解防护，可针对指定URL进行暴力破解防护，并提供截图。 支持透明模式、旁路模式和反向代理模式部署； 设备自身支持“SQL注入、XSS漏洞扫描”和“挂马扫描”功能，并提供界面截图证明； 支持根据用户配置的服务器信息，自动生成一套安全解决方案。 支持紧急模式，当连接数超过阀值时，已经代理的连接正常代理，对新增的请求不进行代理，直接转发，防止WAF成为访问瓶颈； 1、基本要求：国内知名品牌，自主研发，1U标准机架尺寸， 含交流冗余电源模块，包含1个RJ45串口，2个GE管理口，最多可配置14个千兆数据采集口或4个万兆数据采集口，系统硬盘容量应不低于4TB，单台日志处理性能：平均1000EPS，10亿背景数据指定字段查询最快可在5秒内响应，授权可接入130个日志源。 系统基于大数据平台架构，具备海量数据收集与快速检索能力； 支持内置采集器，不依赖其他设备即可进行日志采集； 支持的数据采集范围包括但不限于网络安全设备、交换设备、路由设备、操作系统、应用系统等； ★支持范式化日志多级提取，支持字段提取、字段转换、字段修正等，提供配置界面截图证明； 支持的数据采集方式包括但不限于SYSLOG、SNMPTrap、FTP、JDBC、Netflow、专用Agent等方式采集日志； 支持正则、KV、格式串等多种灵活的提取方式,支持自动生成正则以高效的辅助提取； 支持按类型、按日期(天)，手动、自动备份日志，支持设置日志存储备份策略，可设置备份周期、备份日志类型等； 支持通过分析上报的日志信息来自动发现资产，无需手动获取资4 / 5

日志审计 （1台） 产，从而大大减少了用户的工作量； 10、支持日志备份远程服务器，如传送到FTP服务器； 11、支持日志转发功能，可实现原始日志、范式化日志的转发，且不丢失原始日志源IP信息； 12、支持查询实时事件，支持自定义查询事件，支持模糊查询； 信息系统脆弱性测试安全服务 （8次/年） 1、提供渗透测试服务通过渗透测试深入了解目前本单位网络所处的脆弱性和可能造成的影响，以便采取必要的防范措施。模拟黑客的真实攻击方法对系统、网络、应用、数据库进行非破坏性质的攻击性测试。 2、投标人须指派具备网络、安全设备维护能力的专业技术人员作为现场应答人员，在投标前了解掌握我单位信息系统现状，分析信息系统的安全状况。 3、投标人提供采购人现场的应急技术支持服务，同时，投标人应为本项目成立二线支持团队，负责协助一线人员，为本项目提供高层次技术支持和重大事项处理服务。 5 / 5