项目编号： 项目地区：
发布时间：2021-12-08 截止时间：
采购商：
公告信息

公告信息 公告标题: 大连医科大学附属第二医院信息安全持续改造项目招标公告 有效期: 2021-09-24 至 2021-09-30 撰写单位: 大连市机电设备招标有限责任公司    （大连医科大学附属第二医院信息安全持续改造项目）招标公告 项目概况 大连医科大学附属第二医院信息安全持续改造项目招标项目的潜在供应商应在辽宁政府采购网获取招标文件,并于2021年10月19日 13时30分（北京时间）前递交投标文件。 一、项目基本情况 项目编号：JH21-210000-04792 项目名称：大连医科大学附属第二医院信息安全持续改造项目 包组编号：001 预算金额（元）：1,020,000.00 最高限价（元）：1,020,000.00 采购需求：查看 一、采购内容： 序号 货物名称 规格参数 数量 单位 1 堡垒机 1、硬件架构：软硬件一体化产品，2U、硬盘1T*2、硬盘须配置RAID1、至少配备6个100/1000M自适应电口、4个1000M光口（含2个SFP多模模块），1+1冗余电源； 2、可管理设备数量：可管理设备数量≥500个，运维用户无限制； 3、并发性能：单台堡垒机字符类并发会话≥500、图形类并发会话≥100； 3、设备部署： 设备采用旁路部署，不得影响业务环境；须支持HA主备模式，管理口和心跳口须支持多链路端口绑定功能，防止单网卡或单线故障。     支持多台堡垒机异地备份部署，每台设备都能提供运维和审计服务，配置数据自动同步     ★支持集群部署模式，中心采用HA，节点可以横向扩展，实现统一登录入口、统一配置同步、审计日志集中查询、实时会话集中监控，以满足业务增长需求。（需提供相关截图证明并加盖公章） 4、用户角色：支持用户多角色划分功能，如系统管理员、部门管理员、运维员、审计管理员、密码管理员等，对各类角色需要进行细粒度的权限管理； 5、用户管理和用户策略：支持用户的批量导入/导出，按用户类型等分组方式；支持用户安全策略功能，如密码锁定次数、密码有效期、密码复杂度、用户有效期、用户登录时间限制、用户登录IP范围等； ★6、内置VPN：产品内置VPN模块，无需与其他VPN设备联动，实现运维入口安全接入（需提供相关截图证明并加盖公章）； ★7、与第三方认证对接：支持与AD、LDAP、RADIUS、北京CA认证系统联动登录堡垒机，支持自动同步AD/LDAP用户（需提供相关截图证明并加盖公章）； 8、双因子认证：堡垒机须内嵌动态令牌和usbkey认证引擎，可同时使用动态令牌和USBkey； 9、支持的协议和应用：支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin；可通过应用发布的方式进行协议扩展，如数据库Oracle、MSSQL、MySQL、VMware vSphere Client、浏览器等客户端工具； ★10、主流数据库运维管理：支持DB2、oracle、mysql、sqlserver主流数据库协议代理运维，可直接调用本地windows系统的数据库客户端工具，支持自动登录、无需应用发布前置机（须提供相关截图证明并加盖公章）； ★11、IE代填： IE/Chrom代填应用发布：HTTP/HTTPS协议的web设备，且可以直接代填账号和密码（须提供相关截图证明并加盖公章） ★12、混合云管理：可以通过socks5/http/ssh等代理协议连接管理异地云资源区中私有网络的云主机（需提供相关截图证明并加盖公章） 13、分组管理：支持对设备进行按设备类型分组、按部门分组，支持设备批量导入/导出 14、登录模式：支持设备帐户和密码的自动登录、手工登录、二次自动登录模式 ★15、自动收集和自动授权：支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系，甚至可自动完成授权（须提供相关截图证明并加盖公章） 16、自动改密：支持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能。 17、多种浏览器登录：Web访问方式：至少支持使用IE、谷歌、火狐三种浏览器打开堡垒机的Web页面直接调用mstsc、VNC、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX等运维客户端工具 18、H5运维方式：支持ssh、telnet、rlogin、rdp、vnc协议的H5运维，无需本地运维客户端工具； 19、客户端工具登录：客户端访问方式：支持使用本地的mstsc/Xshell/SecureCRT/Putty等客户端工具登录堡垒机访问图形或字符设备，视图界面一致性、搜索能力 ★20、SSH网关代理直连：支持使用本地的SecurCRT/Xshell/OpenSSH工具通过SSH网关代理方式直接登录字符设备（需提供截图并加盖公章） ★21、数据库代理直连：支持在mac电脑里使用navicat工具通过堡垒机登录mysql、oracle等数据库服务器（需提供截图并加盖公章） 22、运维审计日志：支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容（如对文件的上传、下载、删除、修改等操作等）的详细行为日志。 23、运维规则策略：支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、控制动作、黑白名单等组合访问控制策略，授权用户可访问的目标设备。 24、二次审批：对重要设备启用登录审核功能，运维人员须向管理员申请登录，管理员允许之后才可登录；否则无法登录。 25、审批规则：对于审批操作，可以设置审批人及该审批人有权限审批的资产。 ★26、自动运维任务：支持自动推送命令任务，如可自动备份交换机/路由器的配置信息、可自动执行周期任务；并将结果以邮件/FTP/SFTP的方式发送给相关管理员（需提供功能截图证明并加盖公章）。 27、运维报表格式：内置丰富的报表统计模板，可点击柱状图、或曲线图进行数据钻取分析，且支持PDF、doc、html格式导出。 28、静态路由：支持配置静态路由。 29、来源IP限制：支持对登录堡垒机的来源IP进行限制。可采用黑白名单两种模式 30、系统自审：支持自身审计，包括但不限于：系统状态检测、登录日志、用户配置日志、设备配置日志、授权配置日志、策略配置日志、运维访问日志、系统配置日志等。 31、系统日志报表：支持系统日志报表统计功能，包括但不限于登录日志统计、配置日志统计、运维访问日志统计等，可以导出报表。 32、告警输出：支持邮件/syslog方式输出告警日志。 33、SNMP输出：支持SNMP方式输出系统信息。 ★34、排错功能：提供排错工具：ping、TCP端口检测、UDP端口检测、路由跟踪等（需提供功能截图证明并加盖公章）。 1 台 2 无线人工智能管理台 1、系统可靠性：支持虚拟化平台或者独立硬件平台，可在Vmware等平台部署。 2、网络管理：能够对院内无线控制器统一管理，下发配置信息。支持在一个集群中不同的控制器运行不同的版本，便于运维管理。 3、在线升级：支持控制器功能的模块化，并且可以独立升级每一个功能化模块。 ★4、内外无线逻辑隔离:可让医院在同一物理位置使用相同的AP时，能被多个独立的无线控制器所管理和配置，保证未来医院内外网安全的数据物理隔离。 5、负载均衡能力: 支持AP在不同的控制器自动负载均衡； 支持用户在不同的控制器自动负载均衡； 支持AP与同一个AP上的用户能够自动负载均衡在不同的控制器。 ★6、射频人工智能： 支持实时采集每一个AP的周边射频环境数据，并且具备API接口，如AMON，ZeroMQ等； 系统本身具备射频大数据分析能力，采用机器学习的方法，自动优化与管理全网的AP射频状态； 支持动态调整AP的信道，功率，信道宽度等射频配置。 7、容量需求：平台最大可支持5000个管理单元。 1 套 3 安全态势感知系统 安全态势感知平台： 性能要求： ★1、专业态势感知设备，非板卡类或是IPS、IDS设备；标准的2U设备，存储容量不少于21T，在带宽性能1Gbps时存储时长不低于1200天，内存配置不低于96G，存储配置不低于8*4TB SATA，至少具备4个千兆电口，1个VGA接口； 功能要求： ★2、支持大屏展示综合安全态势，包括资产态势、脆弱性态势、网络攻击态势、安全事件态势、外连态势、横向威胁态势、设备运行态势，支持页面跳转到对应态势大屏，并具备大屏告警能力； ★3、支持大屏展示网络攻击态势，包括攻击者、攻击总数、残余攻击、被攻击服务器、被攻击服务器TOP5、攻击态势，并支持攻击全景地图展示； ★4、支持设备运行态势展示，可动态展示安全探针、防火墙等设备接入平台状态，显示设备在线、离线、CPU、磁盘使用情况，进行实时流量监测，及时发现设备异常； ★5、支持快捷菜单悬浮控件，平台全部功能可根据使用习惯自定义添加到快捷控件，方便使用，提高运维工作效率； 6、支持资产属性重新识别，当发现资产数据不准确时，可清空该资产属性，如主机名、备注、操作系统、标签、地理位置、硬件信息、应用软件信息、账号信息、责任人信息、端口信息等，重新发起识别后，平台会自动补齐资产属性，可批量操作；（提供功能证明文件，加盖公章）； 7、支持跨三层取mac地址，识别资产mac地址，并能够解决不同资产IP冲突问题，以及DHCP场景IP变更的问题；（提供功能证明文件，加盖公章）； 8、具备挖矿专项检测页面，具备挖矿攻击事前、事中和事后全链路的检测分析能力，综合运用威胁情报、IPS特征规则和行为关联分析技术，如检测发现文件传输（上传下载）阶段的异常，对挖矿早期的准备动作即告警；（提供功能证明文件，加盖公章）； 9、支持 SIEM日志关联分析结果的可视化展示。包括数据分布、安全事件趋势图、关联规则告警趋势图、接入设备概况等，可提供每一台设备专项分析的页面。如防火墙外部攻击场景分析、VPN账号异常场景分析、Windows服务器主机异常场景分析等，通过设备专项页面对每一台设备安全情况深度专业化分析；（提供功能证明文件，并加盖公章）； 10、弱密码检测技术基于UEBA学习技术（无监督自我学习）提取登陆成功的特征，通过UEBA技术对响应体内容和登录跳转路径进行持续学习训练登录成功特征，包括响应体内容Json、响应体关键字Keyword、响应体MD5值、响应体长度Length、登录跳转路径Location，可实时自动生成学习到的登陆成功规则（提供功能证明文件，并加盖公章）； 11、支持利用EBA技术进行资产的行为分析，对这些对象进行持续的学习和行为画像构建，以基线画像的形式检测异于基线的异常行为作为入口点，结合以降维、聚类、决策树为主的计算处理模型发现异常用户/资产行为。共含有27种异常行为学习模型；并支持用户对EBA基线进行自定义调整，优化模型；（提供功能证明文件，并加盖公章）； 12、支持已合规基线管控业务安全，实时监测等保差距项和高风险项，避免策略变更导致不合规，有效应对网监不定期抽查和复测场景，可快速生成月度、季度、年度PPT报表，包含网络安全整体解读、网络安全风险详情、告警及事件响应盘点等，帮助用户高效汇报，体现安全工作价值；（提供功能证明文件，并加盖公章） 13、文件威胁分析支持平台内置的静态文件检测引擎、AI智能引擎、SAVE查杀引擎、webshellkiller引擎，利用LSA, AutoEncoder, LogicRegression, SVM, 随机森林，XGBoost等多种机器学习算法组合进行综合研判；（提供第三方机构检测报告，并加盖公章） 14、支持大屏轮播，支持不同视角展示全网安全态势，包括综合安全态势、分支安全态势、安全事件态势、网络攻击态势、外连风险态势、横向威胁态势、脆弱性态势、资产态势等态势； 15、支持大屏展示正常横向访问和正常外连监控，正常横向访问监控包括被访问最多的业务TOP5、最活跃终端TOP5、应用TOP5、实时访问监控等，正常外连监控包括外连最多的业务TOP5、外连最多终端TOP5、外连态势、外连国家TOP5,并支持国际、国内地图切换； 16、支持服务器视角和来访分支视角，其中服务器视角可展示服务器IP、总流量、源IP数量、应用TOP10、协议端口TOP10、连接失败数、最大并发，并支持以表格形式导出数据； 17、支持多维度模糊聚类算法将大量外部攻击日志聚合成少量攻击事件，聚合维度包括攻击IP、攻击地址、攻击目标和目标手法，支持攻击事件列表详情里面还包括遭受攻击主机、攻击者来源区域、攻击手段、攻击次数、持续时间等； 18、支持失陷(业务和用户)主机详细分析，包含攻击阶段分布、风险等级趋势、安全事件举证、遭受的外部攻击、存在的漏洞风险、行为画像（UEBA）、开放端口等信息。攻击阶段包含存在漏洞、遭受攻击、C&C通信、黑产牟利、内网探针、内网扩散、盗取数据；存在的漏洞风险包含漏洞风险、配置风险、明文传输、弱密码； 潜伏威胁探针 性能要求： ★1、专业的潜伏威胁探针类设备，非板卡类或是IPS、IDS设备；标准的2U设备，适用的吞吐量不低于3Gbps，内存配置不低于8GB，至少具备6个千兆电口，2个万兆光口SFP+； 功能要求： ★1、与安全态势感知系统为同一品牌，支持旁路部署，探针同时接入多个镜像口，对镜像流量进行监听，且每个口相互独立不影响； ★2、具备主动发送少量探测报文，发现潜在的服务器以及学习服务器的基础信息，如：操作系统、开放的端口号等； ★3、具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等, ？具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制； 4、※支持标准端口运行非标准协议，非标准端口运行标准协议的异常流量检测，端口类型包括3389、53、80/8080、21、69、443、25、110、143、22等（提供功能证明文件，并加盖公章） 5、※支持敏感数据泄密功能检测能力，可自定义敏感信息，支持根据文件类型和敏感关键字进行信息过滤（提供功能证明文件，并加盖公章） 6、※支持通过设备对流量进行抓包分析，可定义抓包数量、接口、IP地址、端口或自定义过滤表达式；（提供功能证明文件，并加盖公章） 7、※支持SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击、Web整站系统漏洞等网站攻击检测；（提供功能证明文件，并加盖公章） 8、※支持传输协议审计日志，包括https协议日志、http协议审计日志、DNS协议审计日志、邮件协议审计日志、SMB协议审计日志、AD域协议审计日志、WEB登录审计日志、FTP协议审计日志、Telnet协议审计日志、ICMP协议审计日志、LLMNR协议审计日志；（提供功能证明文件，并加盖公章） 8、※支持5种类型日志传输模式,包含标准模式、精简模式、高级模式、局域网模式、自定义模式，适应不同应用场景需求；（提供功能证明文件，并加盖公章） 10、支持IP，IP组，服务，端口，访问时间等定义访问策略，主动建立针对性的业务和应用访问逻辑规则，包括白名单和黑名单方式； 11、能够针对IP，IP组，服务，端口，访问时间等策略，主动建立针对性的业务和应用访问逻辑规则，包括白名单和黑名单两种方式（根据访问逻辑正常与否来判断）； 12、产品应具备独立的Web应用检测规则库，Web应用检测规则总数在3000条以上，具备独立的僵尸主机识别特征库，恶意软件识别特征总数在35万条以上； 13、支持将流量还原的文件发送至沙盒进行静态检测和动态模拟执行，可支持第三方沙盒对接。 1 套 4 数据库运维安全管理系统 1、2U机架式设备、双电源、≥6个电口、含有≥1个可扩展槽位、32G内存、128G SSD、2T存储空间。在线SQL存储≥40亿条，支持≥10个数据库实例。 2、要求支持武汉达梦、南大通用、神舟通用、人大金仓、巨杉、上海热璞、优炫、ORACLE、SQL SERVER、HANA、DB2、Informix、Sybase、Hive、Cache、OceanBase、TIDB、MySQL、Mariadb、Greenplum、PostgreSQL、Mongodb、EnterpriseDB、GaussDB、K-DB、HBase等关系型数据库、数据仓库、大数据平台、云数据库。 3、支持与主流堡垒机联动，堡垒机实现登陆管理，本设备实现基于数据库表、列的细粒度访问控制。 4、具备敏感数据探测能力，自动发现SCHEMA、表中的敏感资产，系统内置的敏感数据类型； 5、※支持从表格、表格列、SCHEMA等维度归类敏感数据资产，形成敏感资产集合进行独立管理。（投标时提供功能截图） 6、支持识别真实应用及SQL管理工具的MD5值，防止假冒应用及假冒SQL管理工具违规访问数据库。 7、支持身份的多因素认证，至少应支持应用程序名、IP地址、主机名、操作系统账户、数据库用户、数字证书、身份敏感标签、日期、时间、时间域、身份类别、有效时间、应用用户名、终端IP等因素的任意组合，系统根据多维身份管理策略，自动判别登录主体的合法性，如不符合设定的身份管理策略，登录失败。 8、支持为敏感数据管理人员身份分发唯一的数字证书，每张数字证书只能载入一个唯一的U盾，以实现在数据库用户密码被泄露的情形下，仍能阻止非法用户登陆目标数据库，解决仅依靠密码认证带来的安全不足问题。 9、在反向代理模式下，通过在数据库服务器上安装安全代理插件，实现对于通过SQL管理工具或本地等直连数据库的违规连接行为进行准入控制，防止非法人员绕过安全系统，违规对数据库进行访问。 10、通过账号托管功能，运维人员使用分配账号，不需要数据库IP、端口、数据库账号密码即可登录访问数据库，全面保障数据库安全。 11、针对敏感数据集合的访问，任何账户（包括DBA\SYSDBA\Schema User\any权限等用户）都需要通过授权才可以访问，对不具备访问权限的操作，明确阻断拒绝，并提示“安全权限不足错误”， 实现用户权限分离管理。 12、支持账户访问频次控制，避免一定时间内的高频次访问，避免数据流失。 13、※支持动态脱敏，对用户返回预授权的结果，脱敏规则需要支持以下脱敏算法：放行、返回空、遮盖、部分遮盖和随机映射等手段（投标时提供功能截图） 14、支持oracle、SQL server、mysql、达梦、Postgresql数据库的误删除恢复； 15、采用基于WEB界面的工单管理模式，而非授权码方式，通过工作流的方式对敏感表格和敏感SQL访问授权，形成逐级审批机制，只有当访问申请被工作流中的所有审核者审批通过时，才可在合理权限内访问数据库中的敏感资产，无需访问者进行二次输入，避免授权码泄漏带来的非法访问。 1 套   二、商务要求： 1、交货时间及地点： （1）交货时间：合同签订后30日历日内完成安装调试； （2）交付地点：大连医科大学附属第二医院指定 2、付款方式： 合同签订后，货到安装调试验收合格后付90%货款，预留合同总价的10%作为质保金，产品质保1年，质保期满使用无质量问题后付清（无息）。 3、需执行的国家相关标准、行业标准、地方标准或者其他标准、规范：执行国家相关标准、行业标准、地方标准或者其他标准、规范。 4、质量要求：全新，未开封产品 5、服务要求： （1）质保要求：提供1年整机质保服务。在产品质保期内须免费更换或维修有缺陷的产品，质保期过后，终身成本维修。 （2）保修期：一年，上门免费服务，终身维修，提供配件。 （3）售后要求：第二个工作日上门服务，7×24小时专业技术支持服务； 6、供货要求：负责所提供设备的安装调试服务 7、培训要求：负责所提供设备的操作培训服务，直至使用方可熟练操作。 8、验收标准及方法：本项目采购人及其委托的采购代理机构将严格按照政府采购相关法律法规以及《辽宁省政府采购履约验收管理办法》（辽财采〔2017〕603号）的要求进行验收。 　 　 　 　 合同履行期限：合同签订后30日历日内完成安装调试 需落实的政府采购政策内容：执行中小微企业、监狱企业、残疾人福利性单位、节能产品、环境标志产品等相关规定。（详见招标文件） 本项目（是/否）接受联合体投标：否 二、供应商的资格要求 1.满足《中华人民共和国政府采购法》第二十二条规定。 2.落实政府采购政策需满足的资格要求：无。 3.本项目的特定资格要求：无。 三、政府采购供应商入库须知 参加辽宁省政府采购活动的供应商未进入辽宁省政府采购供应商库的，请详阅辽宁政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定，及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息，由系统自动开通账号后，即可参与政府采购活动。具体规定详见《关于进一步优化辽宁省政府采购供应商入库程序的通知》（辽财采函〔2020〕198号）。 四、获取招标文件 时间：2021年09月24日 09时00分至2021年09月30日 16时00分（北京时间，法定节假日除外） 地点：辽宁政府采购网 方式：线上 售价：免费 五、提交投标文件截止时间、开标时间和地点 2021年10月19日 13时30分（北京时间） 地点：大连市公共行政服务中心五楼第一开标室（地址：大连市甘井子区东北北路101号）。 六、公告期限 自本公告发布之日起5个工作日。 七、质疑与投诉 供应商认为自己的权益受到损害的，可以在知道或者应知其权益受到损害之日起七个工作日内，向采购代理机构或采购人提出质疑。 1、接收质疑函方式：书面纸质质疑函 2、质疑函内容、格式：应符合《政府采购质疑和投诉办法》相关规定和财政部制定的《政府采购质疑函范本》格式，详见辽宁政府采购网。 质疑供应商对采购人、采购代理机构的答复不满意，或者采购人、采购代理机构未在规定时间内作出答复的，可以在答复期满后15个工作日内向本级财政部门提起投诉。 八、其他补充事宜 1、因目前全省推广政府采购电子招投标业务，供应商需自行办理政府采购CA数字证书并学习电子投标文件制作教程，系统操作问题请咨询技术支持电话（4001009691），CA 办理问题请咨询CA认证机构。CA办理成功的供应商须在网上进行投标报名，如未报名将不允许参与本项目投标，报名成功后用CA操作网上电子投标等相关事宜（包括在电子投标环节填写报价、上传文件等），操作教学详见（辽宁政府采购网：http://www.ccgp-liaoning.gov.cn/portalindex.do?method=getPubInfoViewOpen&infoId=31adcfa21750bd6d482-5dfd），如未按视频教学操作将导致废标，开标现场须携带CA锁及可以登录辽宁政府采购网并成功进入账号的笔记本电脑自行进行解锁，如未携带CA锁等解密设备将导致废标。 2、各供应商于递交文件截至时止（2021年10月19日13点30分）自行解密，如未进行解密将导致废标。 九、对本次招标提出询问，请按以下方式联系 1.采购人信息 名  称： 大连医科大学附属第二医院 地  址： 大连市沙河口区中山路467号 联系方式： 0411-84671291-7308 2.采购代理机构信息： 名  称： 大连市机电设备招标有限责任公司 地  址： 大连市沙河口区长兴街2-5号 联系方式： 0411-88898529 邮箱地址： [email protected] 开户行： 中国银行大连沙河口支行 账户名称： 大连市机电设备招标有限责任公司 账号： 286962738627 3.项目联系方式 项目联系人： 韩广鑫 电  话： 0411-88898529 评分办法:综合评分法 关联计划 附件：