吉林省人民医院凯旋院区污水处理站托管运营项目调研会

序号

货物名称

产品技术参数及功能描述

数量

单位

1

外网下一代防火墙升级服务

1、服务范围：***G-FW-1000-T升级； 2、服务内容:①提供外网互联网接入区下一代防火墙IPS特征库、防病毒特征库、应用识别及URL分类库一年升级服务。②提供特征库升级导入与配置验证服务； 3、服务交付物：***可及服务文档。

1

项

2

外网服务器区防火墙升级服务

1、服务范围：***-FW-310-T-NF1600升级； 2、服务内容:①提供外网安全防护区下一代防火墙IPS特征库、防病毒特征库、应用识别及URL分类库一年升级服务。②提供特征库升级导入与配置验证服务； 3.服务交付物：***及服务文档。

2

项

3

上网行为管理升级服务

1、服务范围：***-1000-C600升级； 2、服务内容:①提供上网行为管理软件升级、URL库一年升级服务。②提供URL库升级导入与配置验证服务； 3、服务交付物：***、URL库许可及服务文档。

1

项

4

外网入侵检测升级服务

1、服务范围：***-FS1600升级； 2、服务内容:①提供外网入侵检测系统特征库一年升级服务。②提供特征库升级导入与配置验证服务； 3、服务交付物：***。

1

项

5

内网服务器区防火墙升级服务

1、服务范围：***-FW-12600-T升级； 2、服务内容:①提供内网服务器区下一代防火墙IPS特征库、防病毒特征库、应用识别及URL分类库一年升级服务。②提供特征库升级导入与配置验证服务； 3、服务交付物：***服务文档。

2

项

6

内网外联边界区防火墙升级服务

1、服务范围：***-FW-1000-T升级； 2、服务内容:①提供内网外联边界区下一代防火墙IPS特征库、防病毒特征库、应用识别及URL分类库一年升级服务。②提供特征库升级导入与配置验证服务； 3、服务交付物：***及服务文档。

2

项

7

内网运维区防火墙升级服务

1、服务范围：***-FW-1000-T升级； 2、服务内容:①提供内网运维区下一代防火墙IPS特征库、防病毒特征库、应用识别及URL分类库一年升级服务。②提供特征库升级导入与配置验证服务； 3、服务交付物：***务文档。

2

项

8

内网态势感知系统升级服务

1、服务范围：***-AI0-3升级； 2、服务内容:①提供内网态势感知系统动态检测、静态检测、威胁情报库一年升级服务。②提供威胁情报库升级导入与配置验证服务； 3、服务交付物：***、静态检测、威胁情报库许可及服务文档。

1

项

9

内网入侵检测系统升级服务

1、服务范围：***-FS1600升级； 2、服务内容:①提供外网入侵检测系统特征库一年升级服务。②提供特征库升级导入与配置验证服务； 3、服务交付物：***。

1

项

10

内网漏洞扫描系统升级服务

1、服务范围：***-SC-E1700升级； 2、服务内容:①提供内网漏洞扫描系统漏洞扫描规则库一年升级服务。②提供规则库升级导入与配置验证服务； 3、服务交付物：***。

1

项

11

内网堡垒机

1、提供运维用户全生命周期管理、自定义多因素认证方式、访问控制细粒度授权与命令控制、支持运维资产和应用工具集中管理、单点登录、操作日志录像关联审计； 2、软硬一体化标准机架式设备；≥1U；内存≥8G；硬盘容量≥2T；接口数量≥1个千兆电口管理口，≥6个千兆业务电口，≥4个USB口；扩展槽≥2个可用；授权资产数≥200个（默认自带授权资产数，支持扩展）；支持最大字符连接≥210个 ；支持最大图型连接≥55个；双因素认证专用手机令牌≥10个； 3、设备含三年软件升级及硬件维保。

1

台

12

网闸

6、支持域名解析服务，可将指定域名解析到网闸接口IP实现基于域名的应用协议交换。 7、设备包含三年软件升级及硬件维保。

1

台

13

准入控制系统

1、拥有自主知识产权，基于linux开发的专用系统，标准机架式硬件产品，无需额外购买操作系统及数据库；

2、≥1U机架结构；标准配置冗余电源；标准配置≥6个1000MBASE-T接口，可配置1个接口卡；每秒事务数（TPS)≥5000（次/秒），最大吞吐量≥2Gbps，最大并发连接数≥4000（条）；≥2000点准入授权；

3、支持策略路由、端口镜像、透明网桥、802.1X、ARP、DHCP、VLAN隔离、Portal等准入技术，支持准入技术自由组合使用，满足各种复杂网络环境。

4、支持安全客户端（Agent）、安全控件、无客户端等多种模式；提供Windows、linux、MAC OS、安卓、IOS专属客户端及APP；

5、提供中标麒麟(龙芯)、银河麒麟(飞腾)、统信UOS等国产操作系统专属客户端。支持用户名密码、Ukey、指纹等认证方式，支持与AD域、LDAP、钉钉、Email联动。与钉钉等作为认证源时，终端认证自动跳转认证服务，无需打开相关app；

6、支持IE控件、IE主页、操作系统版本、磁盘使用、计算机开关机、计算机名称、垃圾文件、服务端口、网络连接、系统时间、远程桌面、主机防火墙、p2p软件、软件黑白名单、黑白进程、系统服务、Guest来宾账户、密码策略、屏幕保护 、弱口令、共享检查；

7、准入设备具有完整的补丁管理子系统，无需第三方补丁服务器支持，自身即可以提供完整的流程化补丁管理，包括同步更新、补丁分发表等功能。准入设备能够对补丁进行分级，分为：***、重要、中等的类别；能够在终端的浏览器页面显示入网终端的补丁检查情况；准入系统自身能够支持windows系列补丁库、补丁检查和补丁分发安装；支持windows10补丁检查及自动修复。支持操作系统版本、磁盘使用、计算机名称、网络监听端口、系统时间、主机防火墙、必须安装的软件、禁止安装软件、必须允许进程、禁止运行进程、软件白名单、系统服务、密码策略、弱口令检查。支持禁用移动终端入网策略。支持通过网络扫描的方式对摄像头等哑终端设备类型发现；支持自定义设备特征指纹属性的值，发现路由器、摄像头等不同类型的设备。可定义属性包括：***、网页标题、端口等；

8、在无客户端的方式下，可发现终端同时连接内网和外网的行为，在外网违规外联服务器上能够查看到违规外联条目信息；针对违规外联的终端能够阻断起内网连接。支持国产操作系统，windows操作系统的有客户端违规外联检查。可设置策略非存储介质自动放行；支持智能逃生判断及管理恢复机制，在单位时间内终端异常离线达到指定逃生阀值则放开网络管控，当终端在线数达到阀值临界点时恢复网络管控；可灵活设置策略生效时间，提供产品功能截图证明；管理员可以通过对存储介质注册、授权的方式来加强管理存储介质的使用范围和权限，并支持存储介质分区加密；未经标识的存储介质将不能在企业内使用；

9、针对不同注册状态的存储介质制定不同的控制策略，能够对存储介质进行只读、禁用、放行、脱机生效以及时间范围等做精细控制；所有的流程在线完成，终端用户在线申请，管理员在线审批及策略下发。能够对全网计算机上安装的软/硬件进行统计，并能够针对软硬件资产变动进行告警；

10、设备包含三年软件升级及硬件维保。

1

台

14

数据库加密系统

1、为本项目核心产品，≥2U一体机设备，配置550W冗余电源,≥6个以太网接口(1个管理口+1个HA口+4个业务口),≥2个扩展槽位,≥32G内存,≥4T存储空间；配置硬件加密卡；支持使用SM4国密算法对工作密钥进行加密；支持旁路模式部署，无需更改网络结构；支持以列、表两种细粒度的加密方式；

2、支持以下特殊数据类型和索引类型的加密正常读写、等值查询和范围查询：***、CLOB数据、IOT表的Mapping表、B*Tree索引、Bitmap索引、全局索引等；

3、对于增删改查操作、函数、存储过程等均透明；对于主外键、NOTNULL等重要约束透明；

4、无需修改应用系统代码，业务系统及数据库访问工具如PL/SQL、JDBC、ODBC等访问数据库时不受影响，实现透明加密。

5、支持离线加解密工具及加密信息记录，记录包括用户名、邮箱、电话、加密内容、加密地址等。对敏感数据文件加密，保障数据交换传递或备份安全，接收方需获取授权并验证信息后才可将密文数据解密使用；

6、支持运维脱敏功能：***、PLSQLDEV等SQL管理工具查询数据时的动态脱敏，根据用户的身份与访问的数据库对象以及对应的脱敏规则，对不同授权的用户可返回真实数据、部分遮盖、全部遮盖以及其他脱敏算法得到的结果；

7、支持对数据库的登录行为进行审计，包括登录时间、规则名称、数据库用户、客户端IP、应用程序、数据库IP、响应行为等；支持对数据库的访问行为进行审计，包括访问时间、规则名称、客户端IP、数据库账户、数据库IP、SQL语句翻译、响应行为等；支持对系统证书登录事件进行审计，包括登录证书、登录用户、IP地址、MAC地址、应用名称等；

8、支持在管理端推送安装探针，支持对已安装的探针进行监控，至少应包含IP地址、当前状态、已安装的应用、操作系统、运行时长、CPU占用情况等；

9、可实时监控平台的CPU使用率、内存使用量、磁盘I/O情况、网络情况，并通过图表形式直观展示，快速定位整体性能指标及系统运行情况。

10、设备包含三年软件升级及硬件维保。

1

台

15

VPN设备

1.专业的VPN系统，采用标准SSL、TLS 协议，非防火墙类或网关类设备上自带的VPN功能模块，且支持软件化部署。设备吞吐量≥500Mbps，最大并发会话数≥60W；设备的SSL最大加密流量≥200Mbps，最大并发用户数≥800个，设备接口≥4个千兆电口，且设备配置≥10个用户授权。

2.支持跨平台免插件访问,支持Mac系统主流浏览器，如Chrome、Firefox等最新版、支持Linux系统主流浏览器，如Firefox、Chrome等最新版本、支持Android、iOS系统主流浏览器，支持微信、企业微信、钉钉等内置浏览器，免插件，免客户端使用SSL VPN；可通过泛域名发布Web资源，简化资源发布和访问。支持用户终端登录前、登陆后进行安全性检测，检测范围包括：***、接入时间、接入线路IP、进程、文件、注册表、操作系统、使用终端，可以检测出客户端是否安装指定的防火墙或杀毒软件，防止风险终端接入内网业务系统，提供产品功能界面截图证明；

3.支持PC终端常见的各项主流操作系统，包括：***、Mac、Linux，并完整支持操作系统下各种IP层以上的B/S和C/S应用，支持常见的各项Windows、IOS、Android、塞班、黑莓等移动终端操作系统的智能手机、PDA、平板电脑（PAD）接入。

4.支持HTP快速传输协议，大幅优化无线环境（CDMA、GPRS、WIFI、3G）、高丢包、高延等恶劣网络环境下传输速度及效率；支持根据网络境自动选择并切换至最优的传输协议；

支持主流的短信验证码认证对接（例如腾讯云、阿里云短信网关认证）。

5.支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSL VPN后冒名登录应用系统。

6.仅通过SSL VPN设备可实现资源负载均衡功能，用户接入同一资源根据权值可动态负载到多台承载服务器上；负载均衡可基于服务器性能指标、权值轮询、轮询等不同方式。

7.支持系统实时监控，图形化显示一段时间内的运行状况，可查看CPU占用率、各条线路网络吞吐量、各条线路的IP地址及发送接收流速、并发会话数、SSL并发用户数；可查看历史最高并发用户数并显示时间记录。

8.支持Syslog（系统日志）服务器，可将管理员日志，系统日志、用户日志输出到syslog服务器中。

9.支持独立日志中心进行VPN实时日志记录，可详细记录用户访问资源记录、管理员日志、系统日志、告警日志；可根据用户名、主机IP等信息进行用户行为查询；可提供用户流量排行及查询、资源流量排行及查询、资源活跃程度、用户活跃程度等记录；提供暴破登录记录。

10、设备包含三年软件升级及硬件维保。

1

台

16

跨网文件安全交换系统

1、系统为B/S架构，为了保证满足等级保护的相关要求，系统为内、外网各一台设备，内、外网设备之间可以过网闸进行文件交换。

2、≥8盘位服务器*2台，单台配置：≥2U，CPU≥E5/8核/16线程，内存≥16G，硬盘≥1TB硬盘，自带软件防火墙。不限制用户数，不限制并发数。

3、系统支持内、外网文件双向传输。系统支持用户将文件进行内、外网互传，也支持将文件发送给系统内部的其他用户。用户可以在线编辑系统中存储的文档，包括WORD、EXCEL、PPT等文件，支持多人协同编辑，提供产品功能截图证明；

4、系统支持自动同步与手动同步。自动同步：***，后自动同步到对向。手动同步:***，选择文件手动同步到对向。

5、系统内置杀毒引擎，并支持第三方杀毒引擎；在文件从医院外网传输到医院内网时，产品能对文件进行病毒和木马检测，识别可能导致系统风险的恶意文件。一旦发现可疑文件，可自动阻止文件交换。

6、管理员可以设置每个部门用户登录的IP地址范围，防止用户账号在非可控区域登录，给单位内部数据安全带来隐患。

7、系统具备管理员、审批员、普通用户三种角色。管理员可以对于系统进行管理，普通用户可以对于文件传输进行申请，审批员可以对于申请进行审批。

8、系统支持登录密码安全设置，可以设置密码复杂度，包括密码最小位数、是否包含英文、是否包含标点符号等。

9、系统具备数据防泄漏功能，内置对于身份证号、银行卡号等多种检测规则，用户传输文件时，系统会对于文件进行检测，含有敏感信息的文件将不能外传。

10、设备包含三年软件升级及硬件维保。

1

套