江苏大学附属医院信息安全整改项目
采购需求公示
我院近期拟对“信息安全整改”项目启动采购程序，根据《政府采购信息发布管理办法》（财政部令〔2019〕101号）、《关于开展政府采购意向公开工作的通知》（财库〔2020〕10号）精神，现将有关该项目的主要用途、功能及使用目的、采购需求（技术参数、主要配置、售后服务等）进行公示。详见附件一：采购需求书。
本次公示是本单位采购工作的初步安排，具体采购项目情况以相关采购公告和采购文件为准。
公示期：2021年4月7日-2021年4月14日。
如有异议，请联系：    信息科：田老师 0511–85025792
  采招办：邱老师 0511-80820337
江苏大学附属医院信息科
2021年4月7日
附件一
采购需求书
一、项目概况及总体要求
根据信息系统三级等保测评机构出具的《江苏大学附属医院网络安全等级保护建设整改报告》及市委网信办、市等保办对医院信息安全作出的相关要求，结合我院目前在用的安全设备的实际状况，项目清单中各产品申请理由如下：
1、 安全防御系统（蜜罐技术）一套
由于网络攻击和入侵行为日趋复杂,传统防御技术已经无法有效的保护网络安全，在医院网络中部署蜜罐系统，主动防守，并与防火墙和入侵检测技术结合，共同抵御网络攻击，从而达到全面加强网络安全性的目的。
2、 数据库防护系统一套
随着数据库防护系统互联网、大数据的爆发，敏感数据泄露是全球最普遍存在的安全事件，尤其是核心业务系统的数据投放到开发、测试、培训及共享等二级数据应用环境，面对着软件开发与运维厂商众多，但是数据安全管理意识淡薄，在数据趋利的时代，极易引发敏感数据从非生产环境泄露的风险，带来不可估量损失，所以数据库防护尤为重要。
3、 链路负载均衡两台
目前在用的医保线路负载均衡设备已使用近10年，该型号设备厂家已停止服务，无法维修。为保障医保应用的连续性与稳定性，计划更换目前在用的2台链路负载均衡设备。
4、 应用负载均衡一台
为了避免网络设备或线路出现故障时引起数据通信中断，保证HIS业务应用服务的连续性，建议为主要网络设备、通信链路和数据处理系统等提供硬件或线路冗余（如负载均衡、防火墙和网闸），从而避免关键节点存在单点故障，以确保在通信线路或设备故障时提供备用方案，有效增强系统的高可用性。
5、 网闸一台
现有网闸为2017年购置，仅一台，预约挂号、互联网医院、集成平台等存在内外网交互的业务系统均依靠此实现“内外网物理隔断，内外网可控信息交换”，因而现有网闸的策略配置已经饱和，无法再添加新策略，故申请购置一台以做增补。
6、网站安全整改
目前江苏大学附属医院官网和各子网站分布于jdfy.cn与jdfy.net两个域名之下，为满足信息系统等级保护2.0标准的测评要求，必须对所有子网站进行整改，重新设计开发，实现统一域名、统一后台、统一数据库，以及为网站服务器购买必要的“阿里云”安全服务产品。
7、容灾区防火墙一台
为配合外科楼一楼容灾机房的建设，需要在容灾区部署容灾区防火墙以作防护。
8、全流量威胁检测探针（外网风险评估）一套
现有风险评估产品于2018年购置，仅部署于内网，而我院外网受到的威胁也呈现出高发态势，故申请为外网增设威胁检测探针。
9、数据库灾备系统扩容
现有数据库灾备系统购置于2018年，已按照合同附件要求完成了多个业务系统的容灾备份。本次的扩容需求是实现新增加的业务系统和集成平台的数据库容灾。
10、杀毒软件扩容
目前在用的杀毒软件购置于2018年，两个年多来业务系统的扩增导致授权检测模块数量不足，故申请扩容。
11、堡垒机扩容
现有堡垒机购置于2018年，两个年多来业务系统的扩增导致管理设备数量已经饱和，故申请扩容。
综上所述，我院需采购以上安全设备作安全防护，保障医院信息系统的稳定运行。
项目采购预算：204万元
二、采购用途
采购用途：□科研 □教学 □医疗 □管理  □后勤 ☑其他
用途说明：信息安全设备增加、扩容及网站安全整改，以满足医院信息系统的安全等级保护要求。
三、采购需求一览表（货物类）：

序号	货物名称	是否为进口设备	单位	数量	是否属核心产品
1	安全防御系统（蜜罐技术）	否	套	1	否
2	数据库防护系统	否	台	1	是
3	链路负载均衡	否	台	2	否
4	应用负载均衡	否	台	1	否
5	网闸	否	台	1	否
6	网站安全整改	否	批	1	否
7	容灾区防火墙	否	台	1	否
8	全流量威胁检测探针（外网风险评估）	否	套	1	否
9	数据库灾备系统扩容	否	批	1	否
10	杀毒软件扩容	否	批	1	否
11	堡垒机扩容	否	节点	100	否

四、技术指标（按一览表中货物分别填写）
1. 网络安全防御系统（蜜罐技术）（1套）

序号	指标项	重要性	指标要求	关键指标理由
1	硬件规格	★	1U专用机架式硬件设备，全内置封闭式结构，≥8G内存, ≥128GB SSD硬盘容量,标配千兆GE口≥6个，每个千兆GE口可以独立控制。扩展槽≥2个，每个扩展槽最高可扩展8个千兆电/光口
2	仿真诱捕	★	支持通过网络虚拟出至少50台以上虚拟诱饵主机，并支持在不同网段或VLAN生成和配置虚拟诱饵主机（提供界面截图，并加盖厂商公章）
		★	支持接入用户自身搭建的应用系统，从而实现完全仿真真实业务系统，生成完全仿真蜜罐（提供界面截图，并加盖厂商公章）
			支持显示真实主机和虚拟诱饵主机IP地址
3	攻击吸引		支持配置MAC表aging-time
			支持在主机上生成linux文件诱饵或windows文件诱饵
		★	支持trunk方式将诱捕能力发布到全内网VLAN网段，无侵入式部署不影响真实业务运行
			支持自定义端口监听镜像流量
4	攻击感知	★	支持自动建立隔离区域，支持可视化呈现显示隔离域内部连接关系及其他监测数据（提供界面截图，并加盖厂商公章）
			支持阻断对指定URL地址的访问。
			支持根据关键词对网页内容进行检查并阻断访问行为。
			支持捕获攻击主机后，自动拦截攻击主机的访问行为
			支持根据来源/目的地址、文件类型阻断对FTP服务器的文件上传/下载行为
			支持根据邮件地址、邮件主题和正文关键字、附件类型阻断发送、接收邮件的行为。
5	访问控制		支持基于源IP目的IP、目的端口的访问控制
			支持IP地址开放端口允许被单一或者多个地址连接
			访问控制支持拦截和放行策略
			支持一键开启、关闭访问控制策略
			支持对网络流量、包转发速率进行监控
			支持对内网主机数、内网端口数进行监控
			支持添加和删除白名单IP地址，白名单内IP地址不受访问控制限制
6	产品资质	★	产品要求为国内开发，具备自主知识产权，拥有该系统的计算机软件著作权，提供产品销售许可证。
7	厂商资质		设备生产厂商应具有符合GB/T   19001-2016/ISO 9001:2015标准的《质量管理体系认证证书》，认证覆盖范围：计算机软件研发、网络信息安全技术服务（出具加盖厂商公章的复印件）

2.数据库防护系统(1台)

序号	指标项	重要性	指标要求	关键指标理由
1	硬件规格	★	2U机架式一体机，冗余交流电源，GE口≥6个，内存≥16GB，硬盘存储≥2T
2	性能参数	★	数据库(IP+Port)授权≥30个，纯数据库流量≥60MBps，SQL峰值吞吐量≥6000条/秒，在线会话≥2000个
3	部署模式	★	需支持桥接模式部署、旁路模式部署等
4	数据库类型		需支持国内外主流数据库类；支持主流大数据平台
5	控制模式	★	无需数据库DBA权限，且无需在数据库上安装任何插件，即可对数据库安全进行防护控制
		★	需支持两种防护模式： 会话阻断：支持依照策略配置对存在风险的会话进行阻断； 拦截语句：支持依照策略配置对会话中的风险语句进行拦截，但不影响会话原有的连接状态。
6	防护对象		需支持通过数据库名称、数据库实例、Schema、表名、字段名、函数等关联信息解析和设置防护规则。
			需支持针对Oracle数据库区分PDB/CDB实例进行防护
7	敏感数据发现及脱敏		支持发现任务的创建，针对指定的数据库进行自动扫描发现，并对任务进行管理。
			支持数据关系中的关系拓扑展示；支持约束名称、子表、父表、类型、输入类型、操作等相关约束列表。
			支持数据字典、字段字典的自定义。
			支持针对自动识别的结果提供手动梳理能力，让用户可以对自动发现的结果进行敏感字段核实并进行调整。
		★	系统需内置针对符合特征的敏感数据发现规则，规则包括：身份证、通用证件号、银行卡号、电话号码（手机、座机）、中文姓名、中文地址、企业名称、日期、税号、Email地址、统一社会信用代码、证券号、海关编号等。（提供界面截图，并加盖厂商公章）
		★	系统需内置针对符合特征的敏感数据掩码脱敏算法，算法包括：身份证、通用证件号、银行卡号、电话号码（手机、座机）、中文姓名、中文地址、企业名称、日期、Email地址、统一社会信用代码等。（提供界面截图，并加盖厂商公章）
8	风险识别能力		需支持基于SQL语法解析实现SQL操作的风险识别能力，非正则方式模糊匹配。
			系统需具有语句模板抽象能力，能够将语句结构相同但参数不同的语句，抽象为语句模板，并能够根据语句模板配置语句的黑白名单规则，进行拦截和阻断。
			需支持通过客户端IP、DB用户、客户端工具、客户端MAC、OS用户、主机名、时间等信息定义非法导出规则，防止非法导出备份。
9	攻击防护		需提供针对利用已公开的数据库漏洞攻击行为进行拦截的虚拟补丁功能；漏洞分类应涵盖：缓冲区溢出、权限提升、拒绝服务攻击等
		★	系统提供的漏洞补丁规则必须有：漏洞名称、CVE标识、CNNVD标识、漏洞类型和影响范围。（提供界面截图，并加盖厂商公章）
			需支持结果集内容作为规则判定条件的防护，结果集包含敏感数据，则直接拦截或阻断。
10	数据篡改防护		需支持通过精准的数据库协议解析，识别数据库风险操作，并能匹配风险规则对风险操作进行拦截或阻断，防止数据遭到未授权的IP、工具等进行的篡改、泄露等。
11	检索分析		需支持风险统计：统计全局和单库的风险命中情况； 需支持风险源分析：基于客户端IP、数据库用户、工具分析风险来源。
			需支持风险、语句、会话等多维度的详情检索能力。
12	告警管理	★	系统告警内容需支持：网卡异常、分区超限、异常关机、CPU超限、内存超限、会话超限、包数超限、SQL数超限等。（提供界面截图，并加盖厂商公章）
13	学习建模		需提供学习期并基于学习期完成语句、会话、行为建模，构建数据库安全防护模型。通过学习期捕获全量的SQL语法，归类形成SQL语句模板，可建立信任语句规则对合法的SQL模板默认放行策略。
			需能提供学习期分析报告，对学习期触发的违规行为类型和数量进行统计和分析。
14	高可用机制		需支持HA双机主备自动切换，支持策略同步、会话同步机制，保障主备间的一致性。
			需支持断电Bypass和在线Bypass容灾功能，可自动启动和关闭网口间Bypass导通，保障系统异常环境下的网络畅通。
15	统计报表		系统需提供不少于20个报表模型，并需支持基于全库、数据库组和单库维度进行展现；报表支持以Word、PDF、HTML等格式保存到本地。
16	权限管理		需支持三权分立，系统默认设定系统管理员、规则配置员、审计查看员、操作日志查看员等角色。需支持新建不同用户，分配不同数据库权限和不同的菜单管理权限。
17	数据管理		需支持审计日志数据的备份与恢复，支持自动备份，备份数据可以选择高性能或高压缩比，支持的备份服务器类型至少包含FTP、SFTP、NFS方式，备份记录可以查询。
18	产品资质	★	所投产品需具备公安部颁发的销售许可证，产品类型属于《数据库安全防护产品》。（需提供相关证书或证明文件,并加盖厂商公章）
19	厂商资质		产品的生产厂商为国家信息安全漏洞库技术支撑单位（三级）。（需提供相关证书或证明文件）
			产品的生产厂商具备国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》。（需提供相关证书或证明文件）
		★	所投产品的生产厂商具备挖掘国际品牌数据库漏洞能力，所挖漏洞被CVE组织收录且具有编号；所投产品的生产厂商具备挖掘国产品牌数据库漏洞能力，所挖漏洞被CNNVD或CNVD承认且具有编号。提供至少国内外数据库漏洞各5个漏洞编号。（需提供相关证书或证明文件, 并加盖厂商公章）

3. 链路负载均衡(2台)

序号	指标项	重要性	指标要求	关键指标理由
1	性能参数	★	吞吐量≥3Gbps，并发连结数≥8000000，4层新建连接数CPS≥100000，千兆电口≥6个，千兆光口≥2个，≥8G内存, ≥128GB SSD硬盘容量；
2	设备部署		支持串接部署方式和旁路部署方式，支持三角传输模式；
3	多合一功能集成	★	提供针对L4/L7内容交换的服务器负载均衡功能，可在单一设备上支持多个应用和服务器集群，可以根据多种算法和要求分配用户的请求；
4	负载均衡算法		支持轮询、加权轮询、按主机加权轮询、加权最小连接、按主机加权最小连接、动态反馈、最快响应、最小流量、加权最小流量、按主机加权最小流量、带宽比例、哈希、主备、首个可用、优先级等算法；
5	可编程流量控制		通过某种编程语言（如lua）实现自定义的流量编排，对IP、TCP、UDP、SSL、HTTP和HTTPS等类型的流量进行分发、修改和统计等操作；
6	链路负载均衡		支持静态IP和PPPOE两种线路接入方式；
			支持基于五元组条件（源IP地址，源端口，目的IP地址，目的端口，传输层协议号）来进行出站访问的流量调度分发；
		★	支持基于管理员自定义的时间计划来进行出站访问的流量调度分发；（投标时需提供产品功能截图证明并加盖厂商公章）
			支持DNS透明代理功能，可基于负载均衡算法代理内网用户进行DNS请求转发，避免单运营商DNS解析出现单一链路流量过载，平衡多条运营商线路的带宽利用率；
			支持多种链路检测方法，能够通过PING、TCP、HTTP等方式监控链路的连通性，当某一条链路故障时，可将访问流量切换到其它链路，保障用户业务的持久通畅；
		★	支持链路负载投屏展示，能够分别基于链路监测、应用选路和ISP流量进行投屏展示分析。链路监测展示链路的健康状态、上下行带宽、总带宽、新建连接数、并发连接数和吞吐量；应用选路展示基于应用分类选择相应链路的示意图；ISP展示基于运营商分类选择链路的示意图；（投标时需提供产品功能截图证明并加盖厂商公章）
7	高可用性		支持双机热备部署方式，可自动同步配置并提供连接会话的镜像功能，实现无缝故障切换；
8	产品资质	★	所投产品应具备《IPv6 Ready   Phase-2金色认证证书》；（投标时需提供资质证书证明并加盖厂商公章）
			所投产品厂商应同时为国家信息安全漏洞共享平台(CNVD)技术组成员和用户组成员；（投标时需提供资质证书或官网截图证明并加盖厂商公章）
9	厂商资质	★	所投产品厂商研发体系应通过国际认证CMMI5；（投标时需提供资质证书证明并加盖厂商公章）
			所投产品厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位；（投标时需提供资质证书证明并加盖厂商公章）

4.应用负载均衡(1台)

序号	指标项	重要性	指标要求	关键指标理由
1	性能参数	★	吞吐量≥5Gbps，并发连结数≥8000000，4层新建连接数CPS≥150000，千兆电口≥6个，千兆光口≥2个，≥8G内存, ≥128GB SSD硬盘容量，至少支持2个USB口和1个RJ45串口；
2	设备部署		支持串接部署方式和旁路部署方式，支持三角传输模式；
3	多合一功能集成		提供针对L4/L7内容交换的服务器负载均衡功能，可在单一设备上支持多个应用和服务器集群，可以根据多种算法和要求分配用户的请求；
4	负载均衡算法		支持轮询、加权轮询、按主机加权轮询、加权最小连接、按主机加权最小连接、动态反馈、最快响应、最小流量、加权最小流量、按主机加权最小流量、带宽比例、哈希、主备、首个可用、优先级等算法；
5	可编程流量控制		通过某种编程语言（如lua）实现自定义的流量编排，对IP、TCP、UDP、SSL、HTTP和HTTPS等类型的流量进行分发、修改和统计等操作；
6	服务器负载均衡		支持源IP、Cookie（插入/被动/改写）、HTTP-Header、SSL   Session ID等多种会话保持机制，支持跨虚拟服务的会话保持。
		★	支持被动式健康检查，可根据对业务流量的观测采样，辅助判断应用服务器健康状况；对常规HTTP应用可配置基于反映URL失效的HTTP响应状态码的观测判断机制，对于复杂应用可配置基于RST关闭连接和零窗口等异常TCP传输行为的观测判断机制。（提供设备操作界面截图证明材料并加盖厂商公章）
			对于超过服务器的连接数上限或者请求数上限的新建连接缓存起来放入队列中，后续分批逐步发送给服务器，而不是直接丢弃数据包
		★	服务器负载状态支持投屏展示，能够显示设备的电源状态、风扇转速、磁盘温度、CPU温度、CPU和内存占用率、新建连接数、并发连接数、吞吐情况、SSL新建和SSL吞吐数据、压缩优化和缓存优化数据；业务的健康状态、新建连接数、并发连接数、上下行流量、每秒请求数；节点池的调度算法、健康状态、新建连接数、并发连接数、上下行流量；（提供设备操作界面截图证明材料并加盖厂商公章）
7	产品资质	★	所投产品应具备《IPv6 Ready   Phase-2金色认证证书》；（投标时需提供资质证书证明并加盖厂商公章）
			所投产品厂商应同时为国家信息安全漏洞共享平台(CNVD)技术组成员和用户组成员；（投标时需提供资质证书或官网截图证明并加盖厂商公章）
8	厂商资质	★	所投产品厂商研发体系应通过国际认证CMMI5；（投标时需提供资质证书证明并加盖厂商公章）
			所投产品厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位；（投标时需提供资质证书证明并加盖厂商公章）

5.网闸(1台)

序号	指标项	重要性	指标要求	关键指标理由
1	硬件架构	★	“2+1”系统结构，即由内端机、外端机、隔离交换专用硬件三部分组成。隔离交换专用硬件与内、外端机采用专用协议连接，不可编程。
2	产品规格	★	2U，内外端双侧液晶屏；内端机≥4个10/100/1000Base-T接口，≥4个SFP插槽，≥1个MAN口；外端机≥4个10/100/1000Base-T接口，≥4个SFP插槽，≥1个 HA口，冗余电源
3	性能要求	★	吞吐量≥2Gbps；并发连接数≥10万；延时小于1MS；支持与现有网络中网闸实现双机热备功能。
4	操作系统		操作系统基于Linux内核设计开发，全面加固强化安全防护能力；采用对象互斥和线程守护技术，保护主要进程的安全性和稳定性；不采用通用的指令库和函数库，只提供有限的内部调试用指令函数。
		★	内置IDS特征库，集成抗DDOS和病毒查杀功能，可抵御各类黑客入侵、拒绝服务攻击和病毒木马威胁，保证网闸系统自身的安全。
5	三层路由功能镜像功能		支持FTP文件传输协议，支持主动被动两种模式。支持FTP命令参数控制支持对传输文件的类型过滤。支持内容过滤。支持情景模式，能够设置时间段允许文件传输。
			代理、透明和路由工作模式下均支持FTP协议内部命令及命令参数控制策略。
6	文件同步功能		设备支持有客户端和无客户端两种文件同步方式。无客户端方式无需在用户服务器上安装任何插件，网闸不开放任何服务端口；
			支持Samba、FTP、HTTP等多种通信协议。支持手动文件同步和自动文件同步。支持文件内容过滤。支持文件类型黑白名单传输控制。支持windows平台和linux平台。同步传输方向可控，双向或单向。支持一对多或多对一文件同步。支持目录内子目录同步，至多支持32级目录。支持中文文件名或目录同步。
			支持Samba、FTP、HTTP等多种通信协议。支持手动文件同步和自动文件同步。支持文件内容过滤。支持文件类型黑白名单传输控制。支持windows平台和linux平台。同步传输方向可控，双向或单向。支持一对多或多对一文件同步。支持目录内子目录同步，至多支持32级目录。支持中文文件名或目录同步。
			支持文件变动实时同步、定时同步、系统资源空闲智能同步等多种同步方式。
			支持同步删除和同步覆盖策略配置，并能将同步删除和同步覆盖的文件备份到指定文件夹。
			支持文件同步容错策略和告警策略，同步出错能够自动重传并能够设置重传次数，出现异常同步状况能够终止同步弹出告警提示并记录日志。
7	数据库访问功能		提供对多种主流数据库的安全访问。支持SQL语句控制。支持情景模式，能够设定特定时间允许访问数据库。
			代理、透明和路由工作模式下均支持数据库内部命令及命令参数控制策略。
8	数据库同步功能		设备支持有客户端和无客户端两种数据据库同步方式。无客户端方式无需在用户服务器上安装任何插件，网闸不开放任何服务端口；
			有客户端方式可提供专用文件同步客户端安装在用户服务器上，提供安全的数据库同步服务。
			提供多种主流数据库系统如：ORACLE、SQLSERVER、MYSQL、SYBASE、DB2等之间的同步。
			支持客户端与网闸数据摆渡通道数据特征绑定，确保只有授权的合法数据表记录可以通过网闸。
			支持同构、异构数据库之间的同步，同步可具体设置到字段级别。支持全表复制，支持多种增量同步方式，可分别定义增加、删除、修改的同步方式。
			支持二进制普通文件、图片、文本文件及BLOB大字段同步。支持数据一对一、一对多、多对多的单向或双向交换和同步。支持灵活的数据冲突检测机制，当同步的数据记录发成冲突时，可以灵活处理出现冲突的数据记录。
			数据库同步高可靠性，即使发生网络故障，已变化数据也不会丢失。无需修改数据库表结构，不涉及到代码修改及二次开发。
9	产品资质	★	具有公安部GB28181测试报告；（投标时需提供报告证明并加盖厂商公章）
10	厂商资质	★	厂商研发体系应通过国际认证CMMI5；（投标时需提供资质证书证明并加盖厂商公章）
			厂商具有TL9000认证；（投标时需提供资质证书证明并加盖厂商公章）

6.网站安全整改

序号	指标项	重要性	指标要求	关键指标理由
1	基本功能		平台主要用于完成医院数据采集、加工、存储及相关数据治理工作、开发工作和数据应用展示等。
2	结构要求	★	平台采用基于B/S结构，跨主流浏览器运行。
3	系统性能要求		支持500以上并发，5000用户同时在线，保证7*24小时运行。平局无故障工作时间95%以上，有相应的维护保障措施。
4	医院网站群平台	★	支持使用linux或Windows操作系统进行部署；支持MySQL等主流数据库系统。源代码及数据库必须全部开放给使用方；
5	身份认证	★	与医院现有信息门户网站平台做好统一身份认证。
6	备份要求	★	具有网站备份功能，支持数据库和附件异地自动备份；支持每天凌晨备份，并可设置快照保存。
7	日志要求	★	集中对服务器、云控制台等审计日志进行收集；支持日志查询功能，可以查看后台操作记录，可追溯误操作源头。保存时间满足6个月存放需求。（本次服务期为两年）
8	服务要求		系统支持独立站点的站群模式：即每个分站都为完全独立的系统网站、独立服务器、支持独立域名；每个站点通过站群模块实现通信后可在主站后台统一管理分站。
			系统也支持后台快速建立分站的模式：每个站点（包括创建的分站）支持站点页面复制，效率快速。支持三级子站建立。
		★	配合医院完成该项目每年的三级等保测评及备案工作。
			系统支持批量替换敏感词；在特殊紧急情况下，可以快速替换系统中已有的敏感词语、姓名、句子。
			支持设置IP 白名单和黑名单；系统支持后台登陆的ip控制、支持后台登陆错误次数限制与锁定、可以修改后台登陆地址。支持定时提醒密码修改模式。
			支持防篡改设置，可以对重要内容和目录进行锁定处理。
			支持一键开关停站群、一键禁发内容、能迅速开关机。
		★	迁移老网站中所有站点的数据，不丢失；子网站的所有栏目内容在实施整改时可正常使用。投标厂商须提供承诺函。
			所有站点设计运行平稳、符合视觉要求的移动端门户，能在手机、IPAD等移动端正常运行。
			站内数据可进行多维度、自定义统计或查询。
			具备强健的权限体系，分别支持角色和个人设置各个模块的权限，权限可以细化到文章栏目管理，支持个人可以管理不同栏目；支持多级审核。支持无限创建角色和角色组。

7.容灾区防火墙(1台)

序号	指标项	重要性	指标要求	关键指标理由
1	系统结构		由专用的硬件平台、安全操作系统及功能软件构成，采用自主知识产权的专用安全操作系统，采用多核多平台并行处理。
2	操作系统		安全操作系统采用冗余设计，出于安全考虑，多系统需在设备启动过程中进行选择不得在WEB维护界面中设置系统切换选项。
3	硬件规格	★	2U机箱，配置为≥6个10/100/1000 BASE-T接口，≥2个SFP插槽，≥2个可插拨的扩展槽，标配模块化双冗余电源。
4	性能要求	★	防火墙吞吐量≥10Gbps，并发连接数≥300万。
5	系统软件	★	系统具有良好的扩展性，支持扩展病毒防御、入侵防御、应用识别、网站分类库过滤、IPSEC VPN、APT防御等功能。提供3年防病毒和3年入侵防御规则库升级。
6	工作模式		支持路由、交换、虚拟线、Listening、混合工作模式。
7	路由交换		支持静态路由、RIP、RIPNG、OSPFv2/v3、BGP、ISP路由，内置主流ISP服务商地址列表，可通过Web界面选择不同的ISP服务商实现快速切换。
			支持802.1q、QinQ模式。
			支持根据入接口、源/目的IP地址/地址对象、源/目的端口、协议、用户、应用、选路算法、探测、度量值、权重等多种条件设置策略路由。
8	链路聚合		支持手动和LACP链路聚合，可根据源/目的mac、源/目的IP、源/目的端口、五元组、端口轮询等条件提供不少于10种链路负载算法。
9	IP/MAC绑定		支持IPv4/v6双栈IP/MAC静态和动态探测绑定，支持跨三层绑定，支持IP/MAC绑定表导入导出。
10	地址转换		支持一对一SNAT、多对一SNAT、一对一DNAT、双向NAT、NoNAT等多种转换方式；支持Sticky NAT开关，使相同源IP的数据包经过地址转换后为其转换的源 IP 地址相同。
11	DNS Doctoring		支持DNS Doctoring功能，能够将来自内部网络的域名解析请求定向到真实内网资源，提高访问效率，同时支持通过配置多条 DNS Doctoring，实现内网资源服务器负载均衡。
12	双栈模式		支持IPv4/IPv6双栈工作模式。
13	访问控制		支持IPv6安全控制策略设置，能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置。
14	安全防护		支持基于IPv6的病毒防御、入侵防御、URL过滤、ADS、WAF、流量控制、连接限制、文件过滤、数据过滤、邮件安全等。
15	功能虚拟化		支持配置文件、系统服务、路由、链路聚合、安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、病毒过滤、WAF、内容过滤、审计、报表、防代理等安全功能虚拟化。
16	应用识别		内置P2P应用、网页应用、加密应用、数据库应用等特征库。
			支持应用特征库在线或本地更新，支持自定义应用特征。
17	带宽管理		支持链路和四层通道嵌套的流量控制功能，可基于上下行区域、地址、地理对象、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略，支持带宽策略优先级和针对IP、应用设置白名单。
18	连接控制		支持对指定的源/目的地址对象、源/目的地理对象、应用制定连接限制策略，控制所有或单IP会话总数及单IP新建连接数。
			支持监控功能，显示被拦截的IP、地址对象、应用的限制条件、被拒次数、最近被拒时间等信息。
19	入侵防御		支持独立的入侵防护规则特征库，特征总数在3000条以上，能对常见漏洞进行安全防护，兼容国家信息安全漏洞库。
			规则库支持根据攻击类型、风险等级、流行程度、操作系统等进行分类，防护动作包括告警、阻断、记录攻击报文。
			支持针对地址、应用设置入侵防御白名单，支持攻击规则搜索以及自定义，可对自定义规则导入导出；
		★	厂商能够确保每周至少更新1次攻击特征库
20	未知威胁防御		内置异常行为检测功能，通过统计智能学习算法，对特定地址对象建立监控策略，基于新建、并发、流量等数据与上一周期记录值进行比较判定是否异常，如果存在异常则报警。
21	病毒过滤		支持对HTTP/SMTP/POP3/FTP/IM等协议进行病毒防御。
			支持至少2种专业反病毒厂商的病毒特征库，病毒特征库规模超过400万。
22	URL过滤		支持超过80类、1000万的URL地址分类库，用户可根据网站类别对自身网络的WEB应用实施全面化管控，杜绝非法、违规网站的访问行为。
23	黑名单		内置静态黑名单功能，可设置多个对象条件，如：五元组信息、源MAC、地址范围、应用、用户，实现对特定报文进行快速过滤。
			内置动态黑名单功能，可与URL过滤、病毒过滤、防代理功能实现联动封锁；支持静态和动态黑名单命中统计和监控。
24	配置维护		支持多个配置文件并存，配置文件备份能力不少于4个；配置文件支持选择部分配置或全部配置导入导出。
25	产品资质	★	具有计算机信息系统安全专用产品销售许可证；（需提供资质证书证明并加盖厂商公章）
			具有国家信息安全测评信息技术产品安全测评证书（EAL4+）；（需提供资质证书证明并加盖厂商公章）
			具有中国国家信息安全产品认证证书（ISCCC，三级）；（需提供资质证书证明并加盖厂商公章）
		★	具有防火墙产品密码检测证书；（需提供资质证书证明并加盖厂商公章）
			具有IPv6产品测试认证证书；（需提供资质证书证明并加盖厂商公章）
26	厂商资质		厂商具有TL9000认证；（需提供资质证书证明并加盖厂商公章）
		★	厂商具有CMMI5认证；（需提供资质证书证明并加盖厂商公章）
			厂商具有国家互联网应急中心颁发的《网络安全应急服务支撑单位-国家级》；（需提供资质证书证明并加盖厂商公章）
		★	厂商应为国家信息安全漏洞共享平台(CNVD)技术组成员和用户组成员；（需提供资质证书或官网截图证明并加盖厂商公章）

8.全流量威胁检测探针（外网风险评估）(1套)

序号	指标项	重要性	指标要求	关键指标理由
1	硬件规格	★	流量吞吐不低于2Gbps，并发会话不低于300万，硬盘容量不低于1T，设备接口不低于4个千兆电口，2个万兆光口，冗余电源。
2	网络协议		支持常见协议识别并还原网络流量，用于取证分析、威胁发现，支持：http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sqlserver、Sybase、SMB、FTP、SNMP、telnet、nfs等。
3	文件协议		支持对流量中出现文件传输行为进行发现和还原，并记录文件MD5发送至分析设备，如可执行文件（EXE、DLL、OCX、SYS、COM、apk等）、压缩格式文件（RAR、ZIP、GZ、7Z等）、文档类型文件（word、excel、pdf、rtf、ppt等）。
4	数据库协议		支持常见数据库协议的识别或还原：DB2、Oracle、SQL   Server、MySQL、PostgreSQL等协议。
5	会话流量		支持TCP/UDP会话记录、异常流量会话记录、web访问记录、域名解析、SQL访问记录、邮件行为、登录情况、文件传输、FTP控制通道、SSL加密协商、telnet行为、IM通信等行为描述。
6	威胁情报	★	支持基于流量实时IOC匹配功能，设备具备主流的IOC，情报总量50+万条（需提供截图证明材料并加盖厂商公章）
7	Web攻击检测		支持检测针对WEB应用的攻击，如SQL注入、XSS、系统配置等注入型攻击。
			支持跨站请求伪造CSRF攻击检测；
			支持其他类型的WEB攻击，如目录遍历、弱口令、权限绕过、信息泄露、文件包含、文件写入攻击等检测。
8	Webshell攻击检测	★	支持基于工具特征的Webshell检测，能通过系统调用、系统配置、文件的操作来及时发现威胁；如：中国菜刀、小马上传工具、小马生成器等（需提供截图证明材料并加盖厂商公章）
			支持基于webshell函数的攻击检测，如文件包含漏洞、任意文件写入、任意目录读取、任意文件包含、preg_replace代码执行等
			支持基于代理程序的攻击检测，如TCP代理程序、HTTP代理程序等
9	网络攻击检测		支持多种攻击检测，能更全面的从流量中发现威胁，如：协议异常、网络欺骗、黑市攻击、代码执行等
10	文件还原		支持对HTTP、FTP_DATA、SMB、SMTP、POP3、WEBMAIL、IMAP、TFTP、QQ、NFS等类型协议的流量进行文件还原
11	抓包分析		支持通过设备对流量进行抓包分析，可定义抓包流量双向或单向、数量、IP地址、端口或协议类型
12	语义分析		支持基于网络请求的语义分析检测，能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容，并能提升对未知威胁检测能力
13	旁路阻断	★	支持基于IP地址的旁路阻断，能够在实时镜像的流量中发现恶意IP并实现实时阻断（需提供截图证明材料并加盖厂商公章）
			支持基于URL的旁路阻断，并能将URL请求进行重定向（需提供截图证明材料并加盖厂商公章）
14	自定义弱口令		支持自定义弱口令字典，支持HTTP、HTTPS、Telnet、FTP、POP、SMTP、IMAP等协议的自定义弱口令检测。
15	部署模式		支持旁路部署，可同时接入多个镜像口，每个镜像口相互独立不影响
16	联动功能	★	可与现有平台进行联动，实现平台高可用性（需提供截图证明材料并加盖厂商公章）
17	产品资质	★	具有计算机信息系统安全专用产品销售许可证；（需提供资质证书证明并加盖厂商公章）
18	厂商资质	★	厂商具有国家互联网应急中心颁发的《网络安全应急服务支撑单位-国家级》（需提供资质证书证明并加盖厂商公章）

9.数据库灾备系统扩容

序号	指标项	重要性	指标要求	关键指标理由
1	基本功能要求		实现新增的体检系统和集成平台系统数据实时复制要求。
			软件满足源端不限CPU核数和存储容量数据同步授权许可。
		★	扩容新系统需要和现有灾备系统进行对接，投标人需要提供医院现有容灾系统原厂商兼容性认证证明复印件并加盖厂商公章
			采用基于数据库日志分析的逻辑复制技术，通过在源端数据库上安装代理程序（Agent）对数据库的日志进行实时分析，获取源端数据的变化情况，形成相关的交易指令和交易数据，通过发送程序（Sender）发送到目标端数据库上的接收程序（Receiver），然后通过加载程序（Loader）将交易指令和交易数据转换至目标数据库。
		★	要求软件支持Oracle、SQL Server/Mysql等数据库的交易复制，且目标数据库始终处于读写open状态，实现业务系统读写分离，目标系统查询分析等服务，为后期建立数据平台提供基础数据（提供原厂商此项功能性截图证明文件并加盖厂商公章）。
2	兼容性要求	★	支持Oracle、Sybase、sqlserver、MySQL、DB2、SAP HANA等主流数据库的不同版本，支持华为GaussDB、阿里PolarDB、腾讯Tbase、达梦、南大通用Gbase、等主流国产数据库的不同版本同步（提供此项功能性证明文件及官网链接并加盖厂商公章）。
			支持主流操作系统：Windows 、Linux、HP-UNIX、Sun Solaris、IBM AIX
		★	要求软件支持任意数据库版本，硬件平台异构实时灾备，此次需要支持小型机到X86服务器的数据同步（提供此项功能性截图证明文件并加盖厂商公章）
			支持Oracle/DB2/SQLserver/PG等主流传统关系型数据库同构跨版本数据实时双向同步，以及异构数据库之间数据实时双向同步
			支持分布式数据库和传统关系型数据库异构双向同步
			支持将Oracle/DB2/SQLserver/PG等数据库的数据实时同步到Kafka平台，以提供给基于Hadoop、Storm、Flink、Spark、MPP仓库等应用来消费
			所有同步场景既支持数据实时同步，也支持异步同步，用户可配置,平台支持库、用户、表级的数据同步,数据修改同步,数据过滤同步,数据转换等,
			据同步软件在数据传输过程中，包括异构数据（SQL server到Oracle）传输过程中，对所传输数据进行加工处理，提供表级，字段级，行级的ETL功能。
3	数据库容灾要求	★	支持生产端sqlserver数据库到目标端数据库实时复制（两端延时在5秒以内），且目标端数据可实时查询，当生产端插入（Insert/ Update/delete）一千条数据后，目标端数据库无需启动，始终处于实时打开验证状态，并通过数据库select语句在5秒以内，查询到该一千条数据变化。在可读写模式下,在容灾库新建一个查询用户,此用户具有查询业务表权限，生产端无此用户（提供此项功能性截图证明文件并加盖厂商公章）。
			支持一对一，双向，一对多，多对一，和级联复制；
			支持从多个数据库中同一类型表的记录整合到一个表中去；
			支持XML/Json/XF1等文件格式的数据输出，分析及装载
			支持DML操作复制、支持SEQUENCE、函数、存储过程、视图、同义词、索引、应用包、用户等数据库对象进行复制；
			支持DDL操作，包括：表字段的增删及修改、表Drop、表Truncate、索引创建/删除，以及分区表相关的DDL操作；
			支持没有PK/UK字段的表的复制、并无需打开或修改数据库参数，可定义并过滤不需要复制的事务；
			支持按照schema方式设置复制关系，无需单表设置复制关系，支持不同源和目标端在不同的schema名情况下的复制；
			支持中文汉字内码，符合双字6节编码；支持DXF数据格式的装载；支持Rowid mapping的方式实现数据快速定位；
4	异构复制要求	★	支持生产端SQL server到Oracle异构数据库环境下的数据实时复制（两端延时在5秒以内），且目标端Oracle数据库可实时查询，当生产端插入一千条数据后，目标端Oracle数据库无需启动，始终处于实时打开验证状态。（提供此项功能性截图证明文件并加盖厂商公章）。
5	非侵入式安装要求		在初始化同步过程中，业务库无须停止，在初始化完成后可自动开启增量同步，初始化功能可进行多线程，多并发的可视化配置过程；
6	传输安全要求		所投数据库双活容灾软件需支持FTP协议环境下数据实时复制（两端延时在5秒以内），在FTP协议环境下，当生产端插入（Insert）一千条数据后，灾备端数据库无需启动，始终处于实时打开验证状态。
7	故障应对能力		在遇到系统错误引起的复制中断时，例如硬件故障、数据库故障、网络中断或延迟，分级存储机制能完好的保存已经合成的交易信息，避免数据丢失，直到系统故障解决，恢复从队列传输的中断点开始；
8	服务要求		提供原厂7*24小时电话，远程技术支持服务，提供原厂现场无限次数30分钟响应，3小时上门技术支持服务，提供原厂季度巡检和数据一致性稽核和比对服务。

10.杀毒软件扩容

序号	指标项	重要性	指标要求	关键指标理由
1	品牌要求		投标产品有公安部的安全产品销售许可证，必须是自主开发，拥有自主知识产权，市场主流的，非OEM产品，具有先进性，并成熟可靠。
2	升级要求	★	提供至少10个物理CPU的三年原厂授权许可，必须与我单位已购买的服务器深度安全防护软件的无缝集成，并统一的集中管控。
3	功能描述		产品要求提供完整的主机安全防护，同时支持实体服务器防御和虚拟服务器的主机防御（提供截图证明并加盖厂商公章）。在虚拟化环境中，要求和虚拟化环境以无代理方式集成，不需要在每台虚拟机上安装客户端，以便减少对物理机的资源占用；主机整体资源与搭载虚拟机数量无直接关系；虚拟资源消耗不会随虚拟机数量成长。
			产品要求提供防火墙功能，不依赖分布式交换机可以无代理运行,并且可集中控管防火墙策略，策略定制可以针对IP,Mac地址或通讯端口，可保护所有基于IP通讯协议（TCP、 UDP、 ICMP 等）和所有框架类型（IP、ARP 等）。（提供截图证明并加盖厂商公章）
			产品要求提供DPI(深度内容检测)功能，必须可以同时保护操作系统和应用服务（数据库，Web，DHCP等）（提供截图证明并加盖厂商公章）
		★	产品要求提供有操作系统虚拟补丁功能，在服务器尚无安装补丁前，提供针对此补丁攻击的防护能力。（提供截图证明并加盖厂商公章）
			具备特征库更新功能，实时追踪并保护最新动态威胁：提供自动扫描功能，针对服务器弱点、漏洞进行安全检测并自动形成防护，产品必须能够防御应用层攻击、SQL Injection 及Cross-site跨网站程序代码改写的攻击。
			产品必须提供包含攻击来源、攻击时间及试图利用什么方式进行攻击等必要信息，并在事件发生时，立即自动通知管理员。
			产品必须可以和虚拟化平台集成并提供集成管理功能，支持无代理方式，不需要在每台虚拟机上安装，只需在虚拟化环境底层安装即可，对每个虚拟机没有资源占用。
			产品可以通过在整个虚拟环境中安装单一拷贝来达到保护所有虚拟环境中Guest OS和应用的功能。
			产品必须和虚拟化环境的虚拟机迁移以及HA集成，能够自动感知和保护虚拟环境的变更和迁移。
			产品可扩展支持完整性监控，能够监控操作系统和关键应用包括注册表项、关键目录、特定目录变更，以防范恶意修改。（提供截图证明并加盖原厂公章）
			产品可扩展支持对主机的日志审计，包括收集和分析操作系统和应用程序日志中的安全事件 ；协助遵循规范(PCI DSS 10.6) 优化识别埋在多个日志项下的重要安全事件； 将事件转至SIEM系统或中央日志服务器，做关联性分析、报告和归档；   侦测可疑行为、收集数据中心的安全事件和管理操作，并使用OSSEC 语法来建立高级规则。（提供截图证明并加盖厂商公章）
			产品必须具有集中控管的功能，能够统一的管理和配置，并且日志能够统一的在集中控管平台上呈现。
4	操作系统支持		Windows Server 2016 (32/64位)、Windows Server 2012 (32/64位)、Windows Server 2008 (32/64位) , XP (32 /64位) ，Windows 7，Windows   10，Windows Server 2003 (32/64位),主流各类linux和UNIX操作系统
5	应用防护支持		产品必须可以保护以下类型数据库服务器，Oracle, MySQL, Microsoft SQL   Server, Ingres。 产品必须可以保护以下类型邮件服务器，Microsoft Exchange Server, Merak,   IBM Lotus Domino, Mdaemon, Ipswitch, Imail, MailEnable Professional。 产品必须可以保护以下类型备份服务器, EMC，Computer   Associates, Symantec。 产品必须可以保护以下类型文件服务器，Ipswitch, War FTP Daemon,   Allied Telesis。 产品必须可以保护以下类型存储服务器，Symantec, Veritas。
6	产品资质	★	产品入围江苏省信息安全等级保护领导小组办公室颁布的《江苏省符合网络安全等级保护二级以上标准（非涉密重要信息系统）网络安全产品与服务推荐目录（2017版）》（提供截图证明并加盖厂商公章）
7	厂商资质		厂商可根据用户需求提供高级别的服务承诺，如大客户专署服务、主动式服务、快速响应服务、在线技术支持服务等，可提供7×24小时的专业防毒服务。
		★	厂商是国家计算机病毒应急处理中心技术支持单位（提供证明材料复印件并加盖厂商公章）
		★	厂商已通过CMMI5认证（提供证明材料复印件并加盖厂商公章）

11.堡垒机扩容扩容

序号	指标项	重要性	指标要求	关键指标理由
1	堡垒机管理授权扩容	★	原有齐治堡垒机扩容100个管理节点授权

五、商务和服务需求

序号	商务和服务项目	重要性	商务和服务要求
1	供货期		合同签订后90天内完成全部设备供货及安装调试工作
2	质保期		所有软硬件设备不少于原厂叁年免费质保服务，并在供货时提供原厂质保证明材料，供货时由原厂工程师上门提供安装服务，确保得到原厂服务和技术支持,   最终用户为江苏大学附属医院（可查询验证），否则被视为违约，承担相关责任。
			对本次采购的所有软硬件、配件、辅件在到货检查及质保期内应确保货物的正常使用，出现故障等情形必须按同型号无偿更换，提供免费上门维修。免费质保期内，不能修复时供应商必须免费提供同种规格配件进行更换，如不能提供同种规格型号的配件，用其它型号配件代替时，需经采购人同意，且不补差价。
3	原厂售后 服务承诺		不少于叁年免费保修；非硬件故障2小时内恢复，硬件故障8小时内恢复，提供备品备件库支持；提供原厂商针对本项目至少叁年的售后服务承诺函。
4	服务标准		要求供应商必须为本项目中所有的设备提供相关专业技术服务，实施阶段保证3人以上（含3人）、项目验收后质保期内保证1人以上（含1人）的7×24小时驻场服务，明确到人，夜间至少保证1名工程师值守，值班人员不得无故离岗、脱岗，采购人提供办公场所。质保期到期后，硬件及软件维保价格参考现场招 标谈判结果。
5	培训		提供关于本项目的培训方案，投标人在产品安装调试时，对采购人的技术人员进行现场安装调试培训，讲解产品的结构、安装步骤、调试方法和系统配置等。
6	验收标准		所有参数功能满足要求，项目验收资料齐全。
7	付款方式		货到安装、验收合格及提供发票入库后凭甲方出具的验收报告，从入库之日起3个月内付80%款，20%尾款在设备能够正常使用，且乙方能够履行本合同约定义务的情况下，填写付款证明，自入库之日起1年后3个月内付清，如因乙方发票不能及时提供而影响设备入库手续，则付款以入库日期顺延。

六、特定资格条件
除《中华人民共和国政府采购法》第二十二条规定的供应商应具备的条件外，采购人可以根据采购项目的特殊要求，规定供应商的特定资格条件，如国家或行业强制性标准等。但不得以不合理的条件对供应商实行差别待遇或者歧视待遇。
无