诸暨市人民医院网络安全保障维护项目等四个项目询价会议

基本信息

省份	浙江	城市	绍兴市
招标代理机构		项目名称	网络安全保障维护等4个项目
采购单位	诸暨市人民医院立即查看	采购联系人	登录即可免费查看
采购电话	登录即可免费查看
拟定单一来源采购供应商

基本信息
项目名称		省份
业主单位		业主类型
总投资		建设年限
建设地点
审批机关		审批事项
审批代码		批准文号
审批时间		审批结果
建设内容

诸暨市人民医院网络安全保障维护项目等四个项目
询价会议
（编号：JSJ2023-9-7）
因医院业务发展需要，拟对下列项目进行市场调研与二次议价。
项目名称：网络安全保障维护等4个项目采购组织类型：市场调研与二次议价项目内容及供应商：

序号	项目名称	供应商	要求	方式
01	网络安全保障维护项目	待定	1、需要现场勘测并出具报告； 2、参数见附件一	市场调研
02	官网SSL安全证书部署项目	待定	参数详见附件二	市场调研
03	行政楼五楼监控安装项目	待定	参数详见附件三	二次议价
04	零信任综合网关设备项目	待定	参数详见附件四	二次议价

1. 供应商报价应包含安装，运输，改造等涉及到的费用；
2. 专人安装到位，验收完成才能支付货款；
3. 因质量问题引起相关问题，院方有权要求供应商赔偿。
四、投标人须于2023年9月7日中午 12：00前将投标文件封送。
五、公示时间为2023年8月31日至2022年9月 7 日止。公示期间，潜在供应商若有异议，可在公告期满前以实名书面方式向诸暨市人民医院纪检监察室反映情况和问题（电话：0575-81782015）。
六、会议时间：2023年9月7日下午14时30分
会议主持：信息中心
会议地点：行政楼二楼阳光工程工作室
七、联系地址：诸暨市陶朱街道健民路9号
联系人：周艺慧
联系电话：0575-81782768
信息中心
二〇二三年八月三十一日

附件一：
网络安全运营服务项目技术要求
一、服务要求：

序号	服务名称		服务描述	单位	数量
1	安全运营监测平台接入服务		1.包含1套安全运营监测平台技术服务，安全运营监测平台提供本地化接入能力（平台部署于诸暨市人民医院，非SAAS模式），实现异构海量安全数据的高效可靠存储，并以安全数据为驱动，提供智能化关联分析技术和基于机器学习的威胁狩猎功能，支撑并实现医院网络安全状态的可视化呈现。 2.每秒日志采集性能不低于1万EPS，配置不少于20个节点的集中管理和日志采集分析授权，最高可扩展至2000节点； 3.支持对网络内外部告警威胁的可视化呈现，包括但不限于外部攻击与外部攻击类型TOP、内部攻击类型TOP、告警类型/事件TOP10、攻击视角、横向移动视角、资产视角、攻击者视角、僵木蠕攻击场景、弱口令场景、密码爆破攻击场景、挖矿分析场景等;（提供证明材料） 4.支持对告警日志的研判分析、标识和处置响应，包括自动呈现告警相关的基础信息、关联资产信息、关联情报信息、IP和域名的关联日志，可查看告警对应的元数据（如HTTP请求头、请求体、回应头、回应体等），可直接查看对应的PCAP原始报文信息;（提供证明材料） 5.支持设备和日志按用户隔离; 6.支持查看所有通过API查询情报的设备信息，包括设备名称、设备IP、情报查询次数、情报命中次数、最近查询时间等; 7.支持对告警日志的研判分析、标识和处置响应，包括自动呈现告警相关的基础信息、关联资产信息、关联情报信息、IP和域名的关联日志，可查看告警对应的元数据（如HTTP请求头、请求体、回应头、回应体等），可直接查看对应的PCAP原始报文信息;（提供证明材料） 8.支持外部对内部攻击、内部跨安全域横向攻击、内部外连攻击等多种威胁方向监测（提供证明材料） 9.平台可集中下发检测策略，如包括统一事件策略管理、自定义事件统一下发、白名单统一下发等。	项	1
2	安全运营监测探针服务		包含1台安全运营探针技术服务，针对诸暨市等级医院互联网及卫生网出口流量，实现病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、拒绝服务攻击、扫描探测、欺骗劫持、SQL注入、XSS攻击、漏洞利用、暴力破解、非授权访问、挂马攻击等威胁检测，并向运营监测平台上报安全告警和事件。 1U上架设备，6个千兆电口，2个千兆光接口插槽，1个扩展插槽，单电源，包含特征库升级、威胁情报升级模块授权。单台支持200M实网流量监测能力。	项	1
2	亚运重保现场响应支撑服务		提供亚运重保安服工程师1名，驻点医院，在亚运重保期间提供安全运营监测服务、重保值守支撑服务、安全加固服务、安全事件处置响应服务。服务要求：亚运重保期间要求提供服务人员608小时现场驻场，6024小时提供技术支持指导，出现应急事件响应时间不超过30分钟。服务工具要求： 1.Windows主机配置加固工具：支持对主流Windows操作系统、服务应用（IIS、tomcat），数据库（Oracle、MySQL、sqlserver、达梦、人大金仓、神州通用）进行安全配置自动加固；（需提供截图证明材料） 2. Linux主机配置加固工具：支持对主流Linux操作系统、服务应用（tomcat）、数据库（oracle、mysql）进行安全配置自动加固；（需提供截图证明材料） 3.日志分析工具：支持对WEB服务的日志文件进行日志分析，分析的内容包含统计日志的数量、IP访问次数、GeoIP (IPv4和IPv6) 查找、每小时点击量、HTTP协议使用情况等。 4.任务执行提供应急处置模型，将应急处置过程划分为检测、抑制、根除、恢复、跟踪等不同阶段，引导用户操作应急处置步骤。（提供截图证明材料） 5具备工具结果分析，支持展示应急任务各阶段使用的技术工具结果信息，提供数据和图表两种显示模式。（提供截图证明材料） 6.工具厂商应连续近3届为国家级网络安全应急服务支撑单位。 7.工具厂商应为CNCERT网络安全应急服务支撑单位-APT监测分析领域。	项	1
3	亚运重保检测服务	互联网资产测绘服务	通过技术手段发现互联网暴露的网站、业务系统、网络设备等资产，并对互联网暴露的资产的软硬件版本、操作系统、CMS指纹、个人信息、弱口令、危险端口、危险服务、互联网暴露的代码、企业敏感信息等安全风险进行监测。	项	1
		漏扫服务	通过选择不同的扫描接入点，对服务器操作系统、开放端口、应用服务、存在漏洞进行探测和测试。通过漏洞扫描，及时发现信息系统存在的各种安全隐患和漏洞，以便及时进行修补和加固。服务工具要求： 1．支持对主流Web漏洞的识别与扫描，包括：SQL注入漏洞、命令注入漏洞、CRLF注入漏洞、LDAP注入漏洞、XSS跨站脚本漏洞、路径遍历漏洞、信息泄漏漏洞、URL跳转漏洞、文件包含漏洞、应用程序漏洞、文件上传漏洞等 2.支持对主流数据库的识别与扫描，包括：Oracle、Sybase、GBASE、GaussDB、神通、达梦、人大金仓、优炫等，能够扫描的数据库漏洞扫描方法不小于2700种（提供截图证明） 3. 系统为漏洞扫描、Web应用扫描、基线核查于一体，且漏洞扫描方法不少于300000种，扫描Web漏洞扫描方法不小于3000种；配置核查项不小于3700个（提供截图证明） 4.可对主流数据库的识别与扫描，包括：Oracle、Sybase、SQL Server、DB2、MySQL等，能够扫描的数据库漏洞扫描方法不小于2700种； 5.具备35种以上默认扫描策略模板，如常规安全扫描，中高危漏洞扫描，高危漏洞扫描，web服务组件扫描，网络设备扫描，云平台漏洞扫描，虚拟化扫描，主机信息收集，攻击性扫描，SQL SERVER 数据库扫描，Apple类扫描，视频监控类扫描等等，同时针对市场应急响应的漏洞提供应急响应策略模板。（提供截图证明） 6.工具厂商应连续3年为CNVD原创漏洞报送突出贡献单位；
		弱口令检测服务	通过弱口令检测工具对医院内部在网主机、数据库、中间件、业务系统等弱口令情况进行检测，排查和避免出现由于弱口令导致的安全风险。
		基线配置核查服务	找出信息系统的主机、网络设备、安全设备、数据库等资产的配置错误及弱点信息，并及时进行威胁消除，以免这些配置错误被攻击者利用，给业务系统带来危害。
		渗透测试服务	通过模拟黑客使用的工具、分析方法对网络及系统进行安全测试，并结合智能工具扫描结果，由高级工程师进行深入的手工测试和分析，识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误以及其他专项内容。
		安全加固服务	针对风险评估、漏洞扫描、配置核查、安全巡检和渗透测试等服务过程中发现的各种安全隐患，通过协助打补丁、修补漏洞、安全配置增强、系统架构和安全策略调整等方式及时进行加固和安全优化，提高系统的安全性和抗攻击能力，以期将整个系统的安全状况维持在较高的水平，减少安全事件发生的可能性。服务提供商应具备中国信息安全测评中心颁发的“信息安全服务资质证书”，提供证明材料。
		安全意识培训	通过结合当前网络空间安全形势提供面向业务人员的安全意识培训服务，帮助业务人员树立信息安全整体意识，从而避免因员工的疏忽或泄密而导致的信息安全事件。
4	服务周期		合同签订日起至2023年10月31日
5	其他要求		需到现场进行勘察评估，并提供具体评估报告。

附件二：

诸暨市人民医院网站SSL安全证书
序号	设备名称	技术参数	数量	单位
1	SSL安全证书	利用了HTTP协议（它是明文传输，通信过程是完全开放的，相当于通信信息在“裸奔”，很容易被第三者窃取或恶意篡改），是不安全的，但是增加了SSL/TLS加密协议后就是安全的HTTPS协议，使用SSL证书可以实现这个协议升级SSL证书是采用不同的密码技术相结合形成的组合密码技术，安全性极高。它是由可信的第三方组织（CA机构）经过一系列严格的审核之后颁发的，并由互联网信息中心认证的，具有身份验证和数据加密的功能，部署在服务器上，可以有效防止通信内容被窃取或篡改，适用于各行各业。	1	项
1、为了保证医院网站的安全性，此次SSL安全证书必须与原有网站代码相符合，投标单位需与业主联系，并由用户单位出具报告，否则做无效标处理。

附件三：

诸暨市人民医院行政楼5楼视频监控显示设备清单
序号	设备名称	技术参数	数量	单位
1	高清网络半球摄像机	400万 1/3" CMOS ICR 红外阵列半球型网络摄像机最低照度: 彩色：0.005 Lux @（F1.2, AGC ON），0 Lux with IR 宽动态: 数字宽动态调节角度: 水平：0°~360°；垂直：0°~75°；旋转：0°~360° 焦距&视场角: 2.8 mm，水平视场角：100.6°，垂直视场角：55°，对角视场角：117.4° 4 mm，水平视场角：75.3°，垂直视场角：41.4°，对角视场角：88.2° 6 mm，水平视场角：48.6°，垂直视场角：27.9°，对角视场角：55.4° 8 mm，水平视场角：37.5°，垂直视场角：20.7°，对角视场角：43.3° 补光距离: 最远可达30 m 波长范围: 850 nm 防补光过曝: 支持补光灯类型: 红外灯最大图像尺寸: 2560 × 1440 视频压缩标准: 主码流：H.265/H.264 音频: 1个内置麦克风网络: 1个RJ45 10 M/100 M自适应以太网口存储温湿度: -30 ℃~60 ℃，湿度小于95%（无凝结）启动及工作温湿度: -30 ℃~60 ℃，湿度小于95%（无凝结）供电方式: DC：12 V ± 25%，支持防反接保护；PoE：802.3af，Class 3 电流及功耗: DC：12 V，0.4 A，最大功耗：5 W；PoE：802.3af，36 V~57 V，0.2 A~0.15 A，最大功耗：6.5 W 电源接口类型: Ø5.5 mm圆口产品尺寸: Ø110.7 × 84.3 mm 包装尺寸: 150 × 150 × 141 mm 设备重量: 470 g 带包装重量: 500 g 防护: IP66	6	台
2	32路网络硬盘录像机	【硬件规格】 1.5U标准机架式8盘位网络硬盘录像机，ATX电源支持满配8TB硬盘（总容量可达64TB) 1个HDMI接口、1个VGA接口，异源输出，可支持4K输出 2个10M/100M/1000Mbps网口 3个USB2.0接口报警IO接口：16路报警输入，4路报警输出【产品性能】输入带宽：200Mbps 输出带宽：128Mbps 接入能力：32路H.264、H.265格式高清码流接入解码能力：最大支持8×1080P	1	台
3	4T硬盘	4T监控专用硬盘	8	块
4	网络交换机	8口千兆POE	1	台
5	网线	超五类，国标	240	米
6	安装费		1	项
1、涉及到医院安全防范，此次视频监控设备必须与原有监控系统进行无缝对接，投标单位需到现场勘察，并由用户单位出具勘察、对接报告，否则做无效标处理。 2、所投产品要求：为保障售后服务质量及应急响应速度，1）.维护服务级别为7×24小时（每周7天、每天24小时）。 2）.提供7×24小时的故障报修电话；需在接到报修后30分钟内响应采购人的请求。若出现一般性故障，须在2小时内解决。若出现重大故障，须在24小时内解决。所有设备一年内保修。 3、供货商根据用户通知，在规定时间内将所有设备运抵指定地点,由用户单位进行设备验收，安装调试好所有设备，由用户单位进行工程验收,合格后支付款项。 4、本项目为包工包设备安装项目，中标人在施工安装期间按照设计及采购单位要求不得增加任何费用。

附件四：
诸暨市人民医院零信任综合网关技术要求

一、采购内容

商品名称	技术参数或配置要求	数量	控制总价(万元)
零信任综合网关	主要参数：详见技术要求	1

二、技术要求：
说明：▲为关键参数，不允许负偏离，必须满足。提供产品厂商盖章确认技术要求响应表，必须为生产厂商盖章的原件，并且在签订合同前必须提供到医院。
零信任综合网关技术要求

技术指标	技术参数
▲硬件要求	性能参数：最大理论加密流量（Mbps）≥300，最大理论并发用户数≥400，最大理论https并发连接数（个）≥15000，https新建连接数（个/秒）≥60。硬件参数：规格≥1U，内存大小≥16G，硬盘容量≥128G SSD，电源：单电源，接口不少于6千兆电口+2千兆光口SFP。本次包含100个零信任接入授权。
网络部署	为了满足灵活部署的要求，综合网关应支持IPV4/IPV6双栈网络IP配置，可自主选择配置LAN口或WAN口。为了保护设备的安全，可支持默认限制所有IP通过WAN口访问系统，支持通过配置IP白名单的方式来放通WAN口接入的特殊需求。
集群模式下授权共享	为了使系统资源利用最大化，本地集群与分布式集群下各节点的零信任授权数均可共享使用，集群的总接入授权数是各节点授权数的总和。
▲集群模式下授权漂移	为了保障系统的稳定性，集群节点故障后剩余节点仍能接管所有业务，分布式集群及本地集群均需支持授权漂移机制：集群中的单节点故障后，集群的总授权数跟故障前保持一致，且总授权数保留时间不得少于30天。（需提供产品功能截图及公安部计算机信息系统安全产品质量监督检验中心出具的检测报告证明并盖章厂商公章）
▲桌面云应用	1、为提高桌面云远程访问时的安全性，支持将桌面云服务器发布成零信任的代理应用；2、为提升终端用户使用的便利性，零信任系统应支持跟桌面云服务器进行单点登录对接，实现仅需在零信任进行认证即可直接进入桌面云进行业务办公，无需重复验证。（需提供产品功能截图证明并盖章厂商公章）
支持细粒度的资源发布	为有效抵御恶意软件和有针对性地攻击，WEB资源发布时应支持到URL路径级别，且支持配置URL路径规则。黑名单模式下，用户只能访问不在黑名单内的路径；白名单模式下，用户只能访问白名单内的路径。且为了简化管理员配置，URL黑白名单还应支持 * ? 等通配符配置。
隧道模式的审计与安全能力增强	在业务应用兼容性良好的情况下，支持以隧道模式发布http/https协议的资源，以增加在隧道模式下发布的资源的URL级别审计能力，同时支持为隧道资源添加WEB水印以及单点登录功能。
WEB资源支持依赖站点	对于一些主要在主站点中点击使用的子站点WEB业务系统，且子站点跟主站点业务系统权限一致的场景，为简化管理员配置，零信任系统应支持开启依赖站点功能。为方便业务快速上线，还应支持自动采集站点功能对依赖站点进行梳理。
私有DNS解析	支持以私有DNS发布企业资源，无需额外购买DNS服务即可使用域名访问内网资源，支持管理员自主配置是否允许从具体网络区域（局域网/互联网）接入时使用此私有DNS解析地址。
客户端非国产终端兼容性	为了保障员工顺利访问经零信任隧道模式代理的业务，零信任客户端应兼容主流非国产终端，包括但不限于：Windows7（32位、64位）、Windows10（32位、64位）、Windows11（64位）、MacOS10、MacOS11、MacOS12、Android、iOS等非国产操作系统的终端。
客户端国产终端兼容性	为了保障用户在国产化终端上的正常业务访问，零信任客户端应兼容主流国产硬件CPU的国产操作系统终端，包括但不限于麒麟V10×龙芯、麒麟V10×龙芯LoongArch、麒麟V10×飞腾、麒麟V10×鲲鹏、麒麟V10×兆芯、麒麟V10×海光、麒麟V10×海思麒麟；统信V20×龙芯（3A3000、3A4000）、统信V20×龙芯（3A5000）、统信V20×飞腾、统信V20×鲲鹏、统信V20×海光、统信V20×兆芯等。
CDN接入能力	1、支持配置企业的CDN作为零信任客户端下载地址，以降低设备本身的非业务访问带宽压力。2、当客户端通过CDN加速等代理方式接入访问业务系统时，支持获取CDN加速前的访问IP，并在日志中记录此IP为客户端IP。
终端管理	1、为方便管理用户的终端，并对其进行分类管理，支持为终端设置资产类型，如企业终端、个人终端、企业纳管个人终端等类型。2、为方便统一管理用户的终端，支持为接入系统的终端设置标签，支持通过终端标签来配置特殊的上线准入策略及应用访问策略。终端标签应至少内置内网终端、外网终端、开发终端、办公网终端等标签，且支持管理员自定义新增标签。3、支持以表格的形式批量导入导出终端列表，可查看接入系统的终端详细类型，包括但不限于：终端名称、品牌、操作系统、资产类型、终端标签、硬件特征码、MAC地址、授权类型、最后登录用户、最后接入方式、最后接入IP、最后接入网络区域、最后活跃时间、首次接入时间、闲置时长、在线状态等。
支持的认证方式	为满足单位多样化安全便捷认证需求，支持以下认证方式：本地账号密码认证、LDAP/AD认证、OAuth2.0标准协议的票据认证、CAS标准协议的票据认证、Radius账号认证、HTTPS帐号认证、证书主认证、证书辅认证、短信主认证、短信辅认证、标准Radius令牌认证、第三方令牌认证、TOTP动态令牌认证等认证方式，并可与企业微信、阿里钉钉、飞书结合实现扫码认证，支持飞书用户或个人微信企业号通过H5接入。其中短信认证支持配置HTTPS短信网关、腾讯云短信网关、阿里云短信网关及Socket短信网关等网关类型。
自适应认证	为强化系统认证安全性，可配置在触发异常环境的条件时，用户需完成增强认证才可登录。可配置的异常环境包括但不限于：帐号首次登录、帐号在该终端首次登录、闲置帐号登录、弱密码登录、异常时间登录、非常用地点登录等。
▲单点登录	1、支持帐号密码代填的单点登录功能，支持智能识别登录页面的用户名和密码输入框，根据设置的用户名密码规则自动填写WEB业务系统的帐号密码并登录；支持精准识别的代填模式，以业务登录界面的帐号输入框、密码输入框、登录按钮等作为匹配项，自定义精确匹配零信任用户名、密码、组织架构名、手机号、邮箱、邮箱前缀等值，也可以设置由终端用户自定义输入或管理员设定固定值登录。2、在业务系统已经有第三方统一身份认证系统的场景下，零信任系统支持通过票据共享的方式跟统一身份认证系统进行单点登录对接，以间接实现业务系统的单点登录对接。为了适应多种身份认证系统获取票据的方式，票据共享应至少支持反向OAuth对接及票据注入等模式。3、在对接企业微信、钉钉等主流超级APP时，零信任系统支持直接单点登录发布在企业微信或钉钉工作台的H5微应用，不改变用户原有访问习惯。（需提供产品功能截图证明并加盖厂商公章）
用户管理	产品支持内置本地默认用户目录，支持导入与同步AD域/LDAP等外部用户目录。
▲动态业务访问控制	为满足组织灵活的管理要求，支持配置动态访问规则，可配置化的ACL规则引擎，可以灵活地将终端环境、用户身份、处置动作等进行配置，为单位不同业务不同部门提供灵活丰富的访问控制策略：1、动态访问控制策略可支持按需授权，支持用户或用户组直接关联到应用，避免需要为部门中的个别特殊人员或用户组建立大量角色，简化权限管理，可指定适用应用；2、动态访问控制策略支持“与”、“或”条件嵌套，并可通过单一条件或条件组的方式灵活组合嵌套，可支持的条件变量应包括但不限于：应用类型、浏览器版本、客户端源IP、网关接入IP、应用访问的进程名称、终端名称、MAC地址、终端本地IP列表、操作系统版本、终端资产类型、终端标签类型、存在指定文件、操作系统安装的补丁、运行进程、运行指定杀毒软件、运行任一杀毒软件、零信任客户端版本、安装指定软件、开启系统防火墙、用户接入城市、用户登录国家、用户登录时间、应用进程的信任状态、弱密码、授信终端、授信域环境等；3、动态访问控制策略支持灵活的处置动作，包括阻止访问、注销登录、锁定账号，并可基于处置动作自定义提示语；4、当检测到不符合安全条件时，支持设置如短信增强认证、告警等灵活的补救动作，实现灰度处置，且能配置处置有效时长，平衡员工访问体验和安全保障。（需提供产品功能截图证明并加盖厂商公章）
第三方安全能力集成能力	支持提供开放的API，管理员可以在控制台创建API KEY，供第三方安全设备或单位自有安全分析平台对接，便于形成统一的安全体系。
内置常见攻击工具黑名单	为有效防止木马入侵系统后攻击服务器，零信任系统内置了一些常见攻击工具进程黑名单，管理员可基于内置的名单进行增减，匹配上此名单的进程访问零信任系统时会被打上标签，以方便快速定位排查问题终端。
可信应用自定义	1、管理员可根据采集到的进程信息选择信任/不信任2、支持管理员自定义可信/不可信的进程
进程信息可视	支持对所有采集到的进程信息、管理员的处理进度进行统计。包括但不限于：1、全部进程，以及常见攻击工具/孤立进程/未签名进程/未知风险的进程数量2、管理员未处理的常见攻击工具/孤立进程/未签名进程/未知风险的进程数量
可信应用防护策略	1、支持自动生成基于可信应用的动态访问策略模板，将进程的可信状态作为访问控制评估条件，配置应用访问策略，限制仅可信的进程可访问指定的应用，或不可信的进程阻止访问。2、管理员可基于自动生成的防护策略模板增加组合条件，灵活使用可信应用的分析能力。3、可信应用防护策略可配置多条。
服务隐身	1、为了最大程度缩小网络、业务暴露面，零信任平台需提供单包授权能力（SPA），支持UDP+TCP组合的单包授权技术，未授权用户无法连接零信任设备，无法扫描到服务端口，不会出现敲门放大漏洞。2、PC端和移动端均支持通过安全码激活客户端为授权客户端，从而可进行SPA敲门和连接，安全码支持共享码和一人一码两种模式，支持短信分发安全码，保障业务的安全性。3、一人一码模式下，当实际登录用户跟分发SPA安全码绑定的用户不一致时，零信任系统可以产生安全告警，帮助管理员溯源，进一步提升系统安全性。
虚拟专线	1、针对Windows系统用户，支持配置虚拟专线功能，当用户登录零信任客户端之后，自动断开互联网连接，避免互联网威胁影响内网业务系统。2、支持通过桌面悬浮球的方式，用户可一键切换内网或互联网。
支持全面的日志记录	1、支持用户登录日志（登录、注销，含MAC地址、终端类型、浏览器类型等）2、支持管理员操作日志（含管理员、接入IP、时间、管理行为、对象）3、支持用户安全日志提取，审计中心应将具有异常登录行为的用户日志自动打标签为用户安全日志，以便于管理员快速审计定位。用户安全日志包括但不限于：帐号安全（应包含帐号首次登录、异常时间登录、非常用地点登录、弱密码登录、爆破登录、闲置帐号登录、帐号在新终端登录等）、中间人攻击、SPA安全（应包含SPA端口扫描、SPA爆破攻击、SPA敲门伪造、SPA重放攻击、SPA安全码泄漏等）、cookie劫持等。4、支持将设备安全事件单独记录在设备安全日志中，事件类型包括但不限于：接口扫描、接口webshall攻击、接口参数爆破、接口越权调用等设备API防护日志。
终端诊断工具	1、支持终端环境诊断排查，提供终端诊断工具，支持对当前终端的基本环境进行扫描和一键修复，便于员工自行排查修复终端问题，减少IT运维人员工作。2、终端诊断检测内容应包括但不限于：Windows Temp目录可写状态、DNS驱动状态、零信任服务运行状态、零信任http服务检测状态、关键控件完整性检测、可疑病毒驱动检测、是否启动IE代理、是否启动IE自动代理脚本、虚拟网卡状态、虚拟网卡注册表、Hiworld病毒检测、IE的TLS1.0 1.1 1.2协议启用状态、客户端系统兼容性、零信任客户端系统依赖库返回情况、零信任核心文件返回情况、系统防火墙规则、本地DNS列表、终端系统本地时间等。
终端日志收集	1、支持客户端自助进行日志收集，方便运维排查。2、为了方便快速运维排障，支持管理员在控制台远程获取在线终端的日志，若终端不在线时支持加入排队列表，排队列表中的终端上线后自动收集日志。
设备巡检报告	1、为方便管理员统筹查看管理零信任系统的整体运行状态，支持对设备自身的安全状态和策略配置进行巡检，对设备的整体状态进行打分，统计所有检查的正常项、异常项和告警项，并输出巡检报告。2、支持在设备上查看及下载巡检报告。3、报告应至少包含检测项、检查状态、存在的问题描述、建议改进措施等。
设备稳定性检查	包括但不限于：1、应支持系统黑匣子及核心进程的状态检测。2、应支持CPU负载、内存负载、磁盘空间、网卡健康、硬盘健康、网卡日志、BIOS固件等硬件相关状态的检测。3、应支持软件版本及补丁修复状态等检测。
在线用户	1、支持查看当前在线用户终端总数；2、支持查看当前在线用户，用户信息至少包括用户名、组织架构、终端类型、浏览器类型、接入IP、最后接入时间、认证方式等；3、支持管理员对在线用户进行注销操作。
设备状态	支持查看当前设备运行状态，包括但不限于设备硬件状态（CPU、内存、磁盘占比等）、并发会话数、并发用户数、实时网络吞吐、历史网络吞吐峰值等信息，便于管理员掌握设备整体运行情况
业务告警	1、支持告警信息设置，告警事件应包含但不限于： CPU使用率超过80%、内存使用率超过80%、磁盘占用率超过80%、本机网卡异常、序列号即将到期、在线用户数已达购买授权数、认证服务器连通异常、集群故障、关键服务运行异常、虚拟IP分配超额等。2、支持配置邮箱服务器，告警事件支持邮件通知管理员
开放能力	1、为方便整合业务系统的工作流程，应支持通过OPEN API的方式将零信任系统的能力开放给第三方业务系统进行调用配置，如满足员工需要业务系统访问权限时可以直接通过OA办公系统的工单审批流程来申请的需求。支持通过限制访问OPEN API的IP接入地址、API密钥加密等方式来保障OPEN API的调用安全。2、为满足业务客户端个性化接入的需求，应支持通过SDK集成的方式将零信任系统的PC端客户端与移动端客户端接入能力集成到第三方业务系统中，从而不体现零信任厂商的信息。
产品资质	为证明产品方案的成熟性与先进性，所投零信任产品需在2022年IDC中国零信任网络访问解决方案，厂商评估报告中位列综合排名前三的领导者位置。
产品资质	为保证零信任产品的架构规范性，要求所投产品具有中国信通院认证的零信任SDP设备Zero Trust Ready证书
▲厂商资质	所投产品的生产厂商的软件研发实力具备CMMI L5认证，提供有效证书的复印件。
	所投产品的生产厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位，提供有效证书的复印件。
	要求所投产品的生产厂商具备中国网络安全审查技术与认证中心的信息安全软件开发服务资质，提供有效证书复印件并盖章厂商公章
原厂服务	提供免费现场安装调试服务，原厂3年免费人工、部件，7x24小时响应；3年免费硬件固件、软件升级服务；为保证原厂服务的有效执行，合同签订前，需提供产品厂商授权函及服务承诺函。

集成服务技术要求2.1应用系统集成服务要求
▲中标供应商负责本次项目医院信息系统的集成工作，包含与医院现有安全设备的对接改造、硬件系统的部署、医院信息系统部署，涉及到的医院现有信息系统的改造及数据迁移工作，并且保障迁移工作计划宕机时间不大于10分钟，针对应用系统升级及数据库升级具体要求如下：

序号	要求
1	供应商应必须对相关应用系统,进行详细的调研工作，以满足应用系统的数据库、应用软件、备份系统的不同要求；具体包含（不限于）如下应用系统：HIS服务器、LIS服务器、护理电子病历应用、护理电子病历数据、应急服务器、后勤报修、医生电子病历 (应用)、医生电子病历 (数据)、HRP服务器、胃镜消毒、体检服务器、PACS(WEB)、手麻病历、健康管理、血透服务器采集、血透服务器数据库、心电管理、PACS数据库、PACS应用等
2	完成医院现有应用系统的各类数据往新设备中迁移和整理，要求保证数据不可丢失，此过程可能发生的相关第三方技术服务费用应包含在本次项目中，采购人不再另外承担。
3	数据库升级、迁移：（1）项目实施前，必须提供详细的数据库迁移方案给用户，包括数据迁移方法、数据备份和恢复策略、设计数据测试方案、参数优化配置、环境参数配置、移植失败时回退方案等以及发生突发事故处理应急预案等；（2）网络操作系统从原先的win2008升级到win2012；补丁升级到最新稳定版本。对原程序进行优化升级，保证数据库升级后数据的一致性。（3）数据库迁移时间控制在1小时内，不能超过2小时，全院的业务停机时间累计不得超过10分钟，系统实施方案应明确实施步骤及具体时间和可能存在的风险分析。（4）数据库迁移时能继续支持医院业务的正常运行，包括门诊业务(如门急诊收费、门诊药房、门诊诊间、皮试系统等),及重要的住院业务(如住院收费、医嘱等)。（5）数据库迁移时必须支持医保业务，不能只支持自费病人的收费，减少对病人的影响，更好的为病人服务。（6）支持数据库、表空间、数据文件、控制文件、归档日志、参数文件的备份方式。（7）支持数据库的增量备份方式。（8）支持数据库备份脚本自定义编写的能力。（9）支持块级别、文件级别、表空间级别、数据库级别的恢复。
4	冗灾数据库参数要求：（1）数据“零”丢失，即生产数据库的数据不能丢失。（2）负责为数据库做灾备，做到主数据库和冗灾数据库可随意切换，即通过冗灾管理软件来切换生产数据库为冗灾数据库，切换冗灾数据库为生产数据库，且能切换回原状态。（3）冗灾数据库启动时间在1~2分钟内，即通过冗灾管理软件来接管生产数据库工作的花费时间控制在1~2分钟内。（4）对于上述冗灾数据库参数要求，投标方须提供相应详细方案作为评分依据。
5	数据库维护：负责医院上述信息系统数据库的安装、调试、迁移、优化等数据库维护工作。

2.2硬件平台集成要求
（1）所有相关服务器、存储、软件平台的软硬件安装、调试及其新系统环境集成；
（2）系统软件及其双机群集系统的安装、调试和维护；
（3）SAN交换机安装、调试和维护；
（4）存储设备的安装、调试和维护。
2.3应用系统迁移要求
（1）根据医院实际应用需求，免费提供应用系统数据迁移服务。
（2）业务连续性保障：所有应用系统的部署，通过迁移工具在线迁移到新的化平台上。
三、其他要求
所有软、硬件(包括未列出而系统实施又必需的软硬件)需与现有运行产品和系统兼容，在进行改造后，能保护原有系统的投资。如果确实无法兼容，中标人须承担原有系统及产品受损失部分的投资建设。中标人须提供设备互连用的原装配套工程材料，如6类非屏蔽网线、光纤跳线等。项目实施需要的线材等工程材料必须质量可靠，要求达到国家标准；在安装调试过程中，由于投标人原因造成的软硬件缺损由投标人负责补充、更换。安装调试完成后，投标人应向采购方提供安装、调试报告，应包括下列内容：系统配置信息细节、安装调试结果、安装调试过程中出现的问题及解决办法。投标人应按照系统集成提出的要求，完成整个系统的安装调试，保证新购和已有软、产品间的互连互通。在安装、调试过程中所需的工具以及安装材料均由投标人负责解决，所有费用全部由投标人承担。在安装、调试过程中,投标人应对采购方技术人员所提出的技术问题给予满意的答复。并向采购方提供安装调试过程中的各种文档资料,以便采购方今后能掌握操作方法和维护方法。要求工程实施过程中提供设备原厂商工程师现场服务。提供完整解决方案，以及完备的售后服务。能够在设备出现硬件故障的10分钟内响应，并于12小时内提供设备到现场顶替。投标方需根据招标要求提供针对本项目相对应的原厂硬件保修、软件升级服务。在项目验收后，将设备向医院的相关供应商移交日常运维工作。检测：采购人可以在供货阶段对所供设备进行随机抽样，并委托经国家认可的检测机构对设备质量技术指标等进行检测，如检测结果证明确有质量问题或技术参数不符合采购人要求，中标人应无条件同意退货，且检测费用由中标人承担，并承担因此逾期交货的违约责任；如检测结果证明没有质量问题或技术参数符合采购人要求，采购人应无条件接受货物，检测费用由采购人承担。

诸暨市人民医院网络安全保障维护项目等四个项目
询价会议
（编号：JSJ2023-9-7）
因医院业务发展需要，拟对下列项目进行市场调研与二次议价。
项目名称：网络安全保障维护等4个项目采购组织类型：市场调研与二次议价项目内容及供应商：

序号	项目名称	供应商	要求	方式
01	网络安全保障维护项目	待定	1、需要现场勘测并出具报告； 2、参数见附件一	市场调研
02	官网SSL安全证书部署项目	待定	参数详见附件二	市场调研
03	行政楼五楼监控安装项目	待定	参数详见附件三	二次议价
04	零信任综合网关设备项目	待定	参数详见附件四	二次议价

序号	服务名称		服务描述	单位	数量
1	安全运营监测平台接入服务		1.包含1套安全运营监测平台技术服务，安全运营监测平台提供本地化接入能力（平台部署于诸暨市人民医院，非SAAS模式），实现异构海量安全数据的高效可靠存储，并以安全数据为驱动，提供智能化关联分析技术和基于机器学习的威胁狩猎功能，支撑并实现医院网络安全状态的可视化呈现。 2.每秒日志采集性能不低于1万EPS，配置不少于20个节点的集中管理和日志采集分析授权，最高可扩展至2000节点； 3.支持对网络内外部告警威胁的可视化呈现，包括但不限于外部攻击与外部攻击类型TOP、内部攻击类型TOP、告警类型/事件TOP10、攻击视角、横向移动视角、资产视角、攻击者视角、僵木蠕攻击场景、弱口令场景、密码爆破攻击场景、挖矿分析场景等;（提供证明材料） 4.支持对告警日志的研判分析、标识和处置响应，包括自动呈现告警相关的基础信息、关联资产信息、关联情报信息、IP和域名的关联日志，可查看告警对应的元数据（如HTTP请求头、请求体、回应头、回应体等），可直接查看对应的PCAP原始报文信息;（提供证明材料） 5.支持设备和日志按用户隔离; 6.支持查看所有通过API查询情报的设备信息，包括设备名称、设备IP、情报查询次数、情报命中次数、最近查询时间等; 7.支持对告警日志的研判分析、标识和处置响应，包括自动呈现告警相关的基础信息、关联资产信息、关联情报信息、IP和域名的关联日志，可查看告警对应的元数据（如HTTP请求头、请求体、回应头、回应体等），可直接查看对应的PCAP原始报文信息;（提供证明材料） 8.支持外部对内部攻击、内部跨安全域横向攻击、内部外连攻击等多种威胁方向监测（提供证明材料） 9.平台可集中下发检测策略，如包括统一事件策略管理、自定义事件统一下发、白名单统一下发等。	项	1
2	安全运营监测探针服务		包含1台安全运营探针技术服务，针对诸暨市等级医院互联网及卫生网出口流量，实现病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、拒绝服务攻击、扫描探测、欺骗劫持、SQL注入、XSS攻击、漏洞利用、暴力破解、非授权访问、挂马攻击等威胁检测，并向运营监测平台上报安全告警和事件。 1U上架设备，6个千兆电口，2个千兆光接口插槽，1个扩展插槽，单电源，包含特征库升级、威胁情报升级模块授权。单台支持200M实网流量监测能力。	项	1
2	亚运重保现场响应支撑服务		提供亚运重保安服工程师1名，驻点医院，在亚运重保期间提供安全运营监测服务、重保值守支撑服务、安全加固服务、安全事件处置响应服务。服务要求：亚运重保期间要求提供服务人员608小时现场驻场，6024小时提供技术支持指导，出现应急事件响应时间不超过30分钟。服务工具要求： 1.Windows主机配置加固工具：支持对主流Windows操作系统、服务应用（IIS、tomcat），数据库（Oracle、MySQL、sqlserver、达梦、人大金仓、神州通用）进行安全配置自动加固；（需提供截图证明材料） 2. Linux主机配置加固工具：支持对主流Linux操作系统、服务应用（tomcat）、数据库（oracle、mysql）进行安全配置自动加固；（需提供截图证明材料） 3.日志分析工具：支持对WEB服务的日志文件进行日志分析，分析的内容包含统计日志的数量、IP访问次数、GeoIP (IPv4和IPv6) 查找、每小时点击量、HTTP协议使用情况等。 4.任务执行提供应急处置模型，将应急处置过程划分为检测、抑制、根除、恢复、跟踪等不同阶段，引导用户操作应急处置步骤。（提供截图证明材料） 5具备工具结果分析，支持展示应急任务各阶段使用的技术工具结果信息，提供数据和图表两种显示模式。（提供截图证明材料） 6.工具厂商应连续近3届为国家级网络安全应急服务支撑单位。 7.工具厂商应为CNCERT网络安全应急服务支撑单位-APT监测分析领域。	项	1
3	亚运重保检测服务	互联网资产测绘服务	通过技术手段发现互联网暴露的网站、业务系统、网络设备等资产，并对互联网暴露的资产的软硬件版本、操作系统、CMS指纹、个人信息、弱口令、危险端口、危险服务、互联网暴露的代码、企业敏感信息等安全风险进行监测。	项	1
		漏扫服务	通过选择不同的扫描接入点，对服务器操作系统、开放端口、应用服务、存在漏洞进行探测和测试。通过漏洞扫描，及时发现信息系统存在的各种安全隐患和漏洞，以便及时进行修补和加固。服务工具要求： 1．支持对主流Web漏洞的识别与扫描，包括：SQL注入漏洞、命令注入漏洞、CRLF注入漏洞、LDAP注入漏洞、XSS跨站脚本漏洞、路径遍历漏洞、信息泄漏漏洞、URL跳转漏洞、文件包含漏洞、应用程序漏洞、文件上传漏洞等 2.支持对主流数据库的识别与扫描，包括：Oracle、Sybase、GBASE、GaussDB、神通、达梦、人大金仓、优炫等，能够扫描的数据库漏洞扫描方法不小于2700种（提供截图证明） 3. 系统为漏洞扫描、Web应用扫描、基线核查于一体，且漏洞扫描方法不少于300000种，扫描Web漏洞扫描方法不小于3000种；配置核查项不小于3700个（提供截图证明） 4.可对主流数据库的识别与扫描，包括：Oracle、Sybase、SQL Server、DB2、MySQL等，能够扫描的数据库漏洞扫描方法不小于2700种； 5.具备35种以上默认扫描策略模板，如常规安全扫描，中高危漏洞扫描，高危漏洞扫描，web服务组件扫描，网络设备扫描，云平台漏洞扫描，虚拟化扫描，主机信息收集，攻击性扫描，SQL SERVER 数据库扫描，Apple类扫描，视频监控类扫描等等，同时针对市场应急响应的漏洞提供应急响应策略模板。（提供截图证明） 6.工具厂商应连续3年为CNVD原创漏洞报送突出贡献单位；
		弱口令检测服务	通过弱口令检测工具对医院内部在网主机、数据库、中间件、业务系统等弱口令情况进行检测，排查和避免出现由于弱口令导致的安全风险。
		基线配置核查服务	找出信息系统的主机、网络设备、安全设备、数据库等资产的配置错误及弱点信息，并及时进行威胁消除，以免这些配置错误被攻击者利用，给业务系统带来危害。
		渗透测试服务	通过模拟黑客使用的工具、分析方法对网络及系统进行安全测试，并结合智能工具扫描结果，由高级工程师进行深入的手工测试和分析，识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误以及其他专项内容。
		安全加固服务	针对风险评估、漏洞扫描、配置核查、安全巡检和渗透测试等服务过程中发现的各种安全隐患，通过协助打补丁、修补漏洞、安全配置增强、系统架构和安全策略调整等方式及时进行加固和安全优化，提高系统的安全性和抗攻击能力，以期将整个系统的安全状况维持在较高的水平，减少安全事件发生的可能性。服务提供商应具备中国信息安全测评中心颁发的“信息安全服务资质证书”，提供证明材料。
		安全意识培训	通过结合当前网络空间安全形势提供面向业务人员的安全意识培训服务，帮助业务人员树立信息安全整体意识，从而避免因员工的疏忽或泄密而导致的信息安全事件。
4	服务周期		合同签订日起至2023年10月31日
5	其他要求		需到现场进行勘察评估，并提供具体评估报告。

附件二：

诸暨市人民医院网站SSL安全证书
序号	设备名称	技术参数	数量	单位
1	SSL安全证书	利用了HTTP协议（它是明文传输，通信过程是完全开放的，相当于通信信息在“裸奔”，很容易被第三者窃取或恶意篡改），是不安全的，但是增加了SSL/TLS加密协议后就是安全的HTTPS协议，使用SSL证书可以实现这个协议升级SSL证书是采用不同的密码技术相结合形成的组合密码技术，安全性极高。它是由可信的第三方组织（CA机构）经过一系列严格的审核之后颁发的，并由互联网信息中心认证的，具有身份验证和数据加密的功能，部署在服务器上，可以有效防止通信内容被窃取或篡改，适用于各行各业。	1	项
1、为了保证医院网站的安全性，此次SSL安全证书必须与原有网站代码相符合，投标单位需与业主联系，并由用户单位出具报告，否则做无效标处理。

附件三：

诸暨市人民医院行政楼5楼视频监控显示设备清单
序号	设备名称	技术参数	数量	单位
1	高清网络半球摄像机	400万 1/3" CMOS ICR 红外阵列半球型网络摄像机最低照度: 彩色：0.005 Lux @（F1.2, AGC ON），0 Lux with IR 宽动态: 数字宽动态调节角度: 水平：0°~360°；垂直：0°~75°；旋转：0°~360° 焦距&视场角: 2.8 mm，水平视场角：100.6°，垂直视场角：55°，对角视场角：117.4° 4 mm，水平视场角：75.3°，垂直视场角：41.4°，对角视场角：88.2° 6 mm，水平视场角：48.6°，垂直视场角：27.9°，对角视场角：55.4° 8 mm，水平视场角：37.5°，垂直视场角：20.7°，对角视场角：43.3° 补光距离: 最远可达30 m 波长范围: 850 nm 防补光过曝: 支持补光灯类型: 红外灯最大图像尺寸: 2560 × 1440 视频压缩标准: 主码流：H.265/H.264 音频: 1个内置麦克风网络: 1个RJ45 10 M/100 M自适应以太网口存储温湿度: -30 ℃~60 ℃，湿度小于95%（无凝结）启动及工作温湿度: -30 ℃~60 ℃，湿度小于95%（无凝结）供电方式: DC：12 V ± 25%，支持防反接保护；PoE：802.3af，Class 3 电流及功耗: DC：12 V，0.4 A，最大功耗：5 W；PoE：802.3af，36 V~57 V，0.2 A~0.15 A，最大功耗：6.5 W 电源接口类型: Ø5.5 mm圆口产品尺寸: Ø110.7 × 84.3 mm 包装尺寸: 150 × 150 × 141 mm 设备重量: 470 g 带包装重量: 500 g 防护: IP66	6	台
2	32路网络硬盘录像机	【硬件规格】 1.5U标准机架式8盘位网络硬盘录像机，ATX电源支持满配8TB硬盘（总容量可达64TB) 1个HDMI接口、1个VGA接口，异源输出，可支持4K输出 2个10M/100M/1000Mbps网口 3个USB2.0接口报警IO接口：16路报警输入，4路报警输出【产品性能】输入带宽：200Mbps 输出带宽：128Mbps 接入能力：32路H.264、H.265格式高清码流接入解码能力：最大支持8×1080P	1	台
3	4T硬盘	4T监控专用硬盘	8	块
4	网络交换机	8口千兆POE	1	台
5	网线	超五类，国标	240	米
6	安装费		1	项
1、涉及到医院安全防范，此次视频监控设备必须与原有监控系统进行无缝对接，投标单位需到现场勘察，并由用户单位出具勘察、对接报告，否则做无效标处理。 2、所投产品要求：为保障售后服务质量及应急响应速度，1）.维护服务级别为7×24小时（每周7天、每天24小时）。 2）.提供7×24小时的故障报修电话；需在接到报修后30分钟内响应采购人的请求。若出现一般性故障，须在2小时内解决。若出现重大故障，须在24小时内解决。所有设备一年内保修。 3、供货商根据用户通知，在规定时间内将所有设备运抵指定地点,由用户单位进行设备验收，安装调试好所有设备，由用户单位进行工程验收,合格后支付款项。 4、本项目为包工包设备安装项目，中标人在施工安装期间按照设计及采购单位要求不得增加任何费用。

附件四：
诸暨市人民医院零信任综合网关技术要求

一、采购内容

商品名称	技术参数或配置要求	数量	控制总价(万元)
零信任综合网关	主要参数：详见技术要求	1

技术指标	技术参数
▲硬件要求	性能参数：最大理论加密流量（Mbps）≥300，最大理论并发用户数≥400，最大理论https并发连接数（个）≥15000，https新建连接数（个/秒）≥60。硬件参数：规格≥1U，内存大小≥16G，硬盘容量≥128G SSD，电源：单电源，接口不少于6千兆电口+2千兆光口SFP。本次包含100个零信任接入授权。
网络部署	为了满足灵活部署的要求，综合网关应支持IPV4/IPV6双栈网络IP配置，可自主选择配置LAN口或WAN口。为了保护设备的安全，可支持默认限制所有IP通过WAN口访问系统，支持通过配置IP白名单的方式来放通WAN口接入的特殊需求。
集群模式下授权共享	为了使系统资源利用最大化，本地集群与分布式集群下各节点的零信任授权数均可共享使用，集群的总接入授权数是各节点授权数的总和。
▲集群模式下授权漂移	为了保障系统的稳定性，集群节点故障后剩余节点仍能接管所有业务，分布式集群及本地集群均需支持授权漂移机制：集群中的单节点故障后，集群的总授权数跟故障前保持一致，且总授权数保留时间不得少于30天。（需提供产品功能截图及公安部计算机信息系统安全产品质量监督检验中心出具的检测报告证明并盖章厂商公章）
▲桌面云应用	1、为提高桌面云远程访问时的安全性，支持将桌面云服务器发布成零信任的代理应用；2、为提升终端用户使用的便利性，零信任系统应支持跟桌面云服务器进行单点登录对接，实现仅需在零信任进行认证即可直接进入桌面云进行业务办公，无需重复验证。（需提供产品功能截图证明并盖章厂商公章）
支持细粒度的资源发布	为有效抵御恶意软件和有针对性地攻击，WEB资源发布时应支持到URL路径级别，且支持配置URL路径规则。黑名单模式下，用户只能访问不在黑名单内的路径；白名单模式下，用户只能访问白名单内的路径。且为了简化管理员配置，URL黑白名单还应支持 * ? 等通配符配置。
隧道模式的审计与安全能力增强	在业务应用兼容性良好的情况下，支持以隧道模式发布http/https协议的资源，以增加在隧道模式下发布的资源的URL级别审计能力，同时支持为隧道资源添加WEB水印以及单点登录功能。
WEB资源支持依赖站点	对于一些主要在主站点中点击使用的子站点WEB业务系统，且子站点跟主站点业务系统权限一致的场景，为简化管理员配置，零信任系统应支持开启依赖站点功能。为方便业务快速上线，还应支持自动采集站点功能对依赖站点进行梳理。
私有DNS解析	支持以私有DNS发布企业资源，无需额外购买DNS服务即可使用域名访问内网资源，支持管理员自主配置是否允许从具体网络区域（局域网/互联网）接入时使用此私有DNS解析地址。
客户端非国产终端兼容性	为了保障员工顺利访问经零信任隧道模式代理的业务，零信任客户端应兼容主流非国产终端，包括但不限于：Windows7（32位、64位）、Windows10（32位、64位）、Windows11（64位）、MacOS10、MacOS11、MacOS12、Android、iOS等非国产操作系统的终端。
客户端国产终端兼容性	为了保障用户在国产化终端上的正常业务访问，零信任客户端应兼容主流国产硬件CPU的国产操作系统终端，包括但不限于麒麟V10×龙芯、麒麟V10×龙芯LoongArch、麒麟V10×飞腾、麒麟V10×鲲鹏、麒麟V10×兆芯、麒麟V10×海光、麒麟V10×海思麒麟；统信V20×龙芯（3A3000、3A4000）、统信V20×龙芯（3A5000）、统信V20×飞腾、统信V20×鲲鹏、统信V20×海光、统信V20×兆芯等。
CDN接入能力	1、支持配置企业的CDN作为零信任客户端下载地址，以降低设备本身的非业务访问带宽压力。2、当客户端通过CDN加速等代理方式接入访问业务系统时，支持获取CDN加速前的访问IP，并在日志中记录此IP为客户端IP。
终端管理	1、为方便管理用户的终端，并对其进行分类管理，支持为终端设置资产类型，如企业终端、个人终端、企业纳管个人终端等类型。2、为方便统一管理用户的终端，支持为接入系统的终端设置标签，支持通过终端标签来配置特殊的上线准入策略及应用访问策略。终端标签应至少内置内网终端、外网终端、开发终端、办公网终端等标签，且支持管理员自定义新增标签。3、支持以表格的形式批量导入导出终端列表，可查看接入系统的终端详细类型，包括但不限于：终端名称、品牌、操作系统、资产类型、终端标签、硬件特征码、MAC地址、授权类型、最后登录用户、最后接入方式、最后接入IP、最后接入网络区域、最后活跃时间、首次接入时间、闲置时长、在线状态等。
支持的认证方式	为满足单位多样化安全便捷认证需求，支持以下认证方式：本地账号密码认证、LDAP/AD认证、OAuth2.0标准协议的票据认证、CAS标准协议的票据认证、Radius账号认证、HTTPS帐号认证、证书主认证、证书辅认证、短信主认证、短信辅认证、标准Radius令牌认证、第三方令牌认证、TOTP动态令牌认证等认证方式，并可与企业微信、阿里钉钉、飞书结合实现扫码认证，支持飞书用户或个人微信企业号通过H5接入。其中短信认证支持配置HTTPS短信网关、腾讯云短信网关、阿里云短信网关及Socket短信网关等网关类型。
自适应认证	为强化系统认证安全性，可配置在触发异常环境的条件时，用户需完成增强认证才可登录。可配置的异常环境包括但不限于：帐号首次登录、帐号在该终端首次登录、闲置帐号登录、弱密码登录、异常时间登录、非常用地点登录等。
▲单点登录	1、支持帐号密码代填的单点登录功能，支持智能识别登录页面的用户名和密码输入框，根据设置的用户名密码规则自动填写WEB业务系统的帐号密码并登录；支持精准识别的代填模式，以业务登录界面的帐号输入框、密码输入框、登录按钮等作为匹配项，自定义精确匹配零信任用户名、密码、组织架构名、手机号、邮箱、邮箱前缀等值，也可以设置由终端用户自定义输入或管理员设定固定值登录。2、在业务系统已经有第三方统一身份认证系统的场景下，零信任系统支持通过票据共享的方式跟统一身份认证系统进行单点登录对接，以间接实现业务系统的单点登录对接。为了适应多种身份认证系统获取票据的方式，票据共享应至少支持反向OAuth对接及票据注入等模式。3、在对接企业微信、钉钉等主流超级APP时，零信任系统支持直接单点登录发布在企业微信或钉钉工作台的H5微应用，不改变用户原有访问习惯。（需提供产品功能截图证明并加盖厂商公章）
用户管理	产品支持内置本地默认用户目录，支持导入与同步AD域/LDAP等外部用户目录。
▲动态业务访问控制	为满足组织灵活的管理要求，支持配置动态访问规则，可配置化的ACL规则引擎，可以灵活地将终端环境、用户身份、处置动作等进行配置，为单位不同业务不同部门提供灵活丰富的访问控制策略：1、动态访问控制策略可支持按需授权，支持用户或用户组直接关联到应用，避免需要为部门中的个别特殊人员或用户组建立大量角色，简化权限管理，可指定适用应用；2、动态访问控制策略支持“与”、“或”条件嵌套，并可通过单一条件或条件组的方式灵活组合嵌套，可支持的条件变量应包括但不限于：应用类型、浏览器版本、客户端源IP、网关接入IP、应用访问的进程名称、终端名称、MAC地址、终端本地IP列表、操作系统版本、终端资产类型、终端标签类型、存在指定文件、操作系统安装的补丁、运行进程、运行指定杀毒软件、运行任一杀毒软件、零信任客户端版本、安装指定软件、开启系统防火墙、用户接入城市、用户登录国家、用户登录时间、应用进程的信任状态、弱密码、授信终端、授信域环境等；3、动态访问控制策略支持灵活的处置动作，包括阻止访问、注销登录、锁定账号，并可基于处置动作自定义提示语；4、当检测到不符合安全条件时，支持设置如短信增强认证、告警等灵活的补救动作，实现灰度处置，且能配置处置有效时长，平衡员工访问体验和安全保障。（需提供产品功能截图证明并加盖厂商公章）
第三方安全能力集成能力	支持提供开放的API，管理员可以在控制台创建API KEY，供第三方安全设备或单位自有安全分析平台对接，便于形成统一的安全体系。
内置常见攻击工具黑名单	为有效防止木马入侵系统后攻击服务器，零信任系统内置了一些常见攻击工具进程黑名单，管理员可基于内置的名单进行增减，匹配上此名单的进程访问零信任系统时会被打上标签，以方便快速定位排查问题终端。
可信应用自定义	1、管理员可根据采集到的进程信息选择信任/不信任2、支持管理员自定义可信/不可信的进程
进程信息可视	支持对所有采集到的进程信息、管理员的处理进度进行统计。包括但不限于：1、全部进程，以及常见攻击工具/孤立进程/未签名进程/未知风险的进程数量2、管理员未处理的常见攻击工具/孤立进程/未签名进程/未知风险的进程数量
可信应用防护策略	1、支持自动生成基于可信应用的动态访问策略模板，将进程的可信状态作为访问控制评估条件，配置应用访问策略，限制仅可信的进程可访问指定的应用，或不可信的进程阻止访问。2、管理员可基于自动生成的防护策略模板增加组合条件，灵活使用可信应用的分析能力。3、可信应用防护策略可配置多条。
服务隐身	1、为了最大程度缩小网络、业务暴露面，零信任平台需提供单包授权能力（SPA），支持UDP+TCP组合的单包授权技术，未授权用户无法连接零信任设备，无法扫描到服务端口，不会出现敲门放大漏洞。2、PC端和移动端均支持通过安全码激活客户端为授权客户端，从而可进行SPA敲门和连接，安全码支持共享码和一人一码两种模式，支持短信分发安全码，保障业务的安全性。3、一人一码模式下，当实际登录用户跟分发SPA安全码绑定的用户不一致时，零信任系统可以产生安全告警，帮助管理员溯源，进一步提升系统安全性。
虚拟专线	1、针对Windows系统用户，支持配置虚拟专线功能，当用户登录零信任客户端之后，自动断开互联网连接，避免互联网威胁影响内网业务系统。2、支持通过桌面悬浮球的方式，用户可一键切换内网或互联网。
支持全面的日志记录	1、支持用户登录日志（登录、注销，含MAC地址、终端类型、浏览器类型等）2、支持管理员操作日志（含管理员、接入IP、时间、管理行为、对象）3、支持用户安全日志提取，审计中心应将具有异常登录行为的用户日志自动打标签为用户安全日志，以便于管理员快速审计定位。用户安全日志包括但不限于：帐号安全（应包含帐号首次登录、异常时间登录、非常用地点登录、弱密码登录、爆破登录、闲置帐号登录、帐号在新终端登录等）、中间人攻击、SPA安全（应包含SPA端口扫描、SPA爆破攻击、SPA敲门伪造、SPA重放攻击、SPA安全码泄漏等）、cookie劫持等。4、支持将设备安全事件单独记录在设备安全日志中，事件类型包括但不限于：接口扫描、接口webshall攻击、接口参数爆破、接口越权调用等设备API防护日志。
终端诊断工具	1、支持终端环境诊断排查，提供终端诊断工具，支持对当前终端的基本环境进行扫描和一键修复，便于员工自行排查修复终端问题，减少IT运维人员工作。2、终端诊断检测内容应包括但不限于：Windows Temp目录可写状态、DNS驱动状态、零信任服务运行状态、零信任http服务检测状态、关键控件完整性检测、可疑病毒驱动检测、是否启动IE代理、是否启动IE自动代理脚本、虚拟网卡状态、虚拟网卡注册表、Hiworld病毒检测、IE的TLS1.0 1.1 1.2协议启用状态、客户端系统兼容性、零信任客户端系统依赖库返回情况、零信任核心文件返回情况、系统防火墙规则、本地DNS列表、终端系统本地时间等。
终端日志收集	1、支持客户端自助进行日志收集，方便运维排查。2、为了方便快速运维排障，支持管理员在控制台远程获取在线终端的日志，若终端不在线时支持加入排队列表，排队列表中的终端上线后自动收集日志。
设备巡检报告	1、为方便管理员统筹查看管理零信任系统的整体运行状态，支持对设备自身的安全状态和策略配置进行巡检，对设备的整体状态进行打分，统计所有检查的正常项、异常项和告警项，并输出巡检报告。2、支持在设备上查看及下载巡检报告。3、报告应至少包含检测项、检查状态、存在的问题描述、建议改进措施等。
设备稳定性检查	包括但不限于：1、应支持系统黑匣子及核心进程的状态检测。2、应支持CPU负载、内存负载、磁盘空间、网卡健康、硬盘健康、网卡日志、BIOS固件等硬件相关状态的检测。3、应支持软件版本及补丁修复状态等检测。
在线用户	1、支持查看当前在线用户终端总数；2、支持查看当前在线用户，用户信息至少包括用户名、组织架构、终端类型、浏览器类型、接入IP、最后接入时间、认证方式等；3、支持管理员对在线用户进行注销操作。
设备状态	支持查看当前设备运行状态，包括但不限于设备硬件状态（CPU、内存、磁盘占比等）、并发会话数、并发用户数、实时网络吞吐、历史网络吞吐峰值等信息，便于管理员掌握设备整体运行情况
业务告警	1、支持告警信息设置，告警事件应包含但不限于： CPU使用率超过80%、内存使用率超过80%、磁盘占用率超过80%、本机网卡异常、序列号即将到期、在线用户数已达购买授权数、认证服务器连通异常、集群故障、关键服务运行异常、虚拟IP分配超额等。2、支持配置邮箱服务器，告警事件支持邮件通知管理员
开放能力	1、为方便整合业务系统的工作流程，应支持通过OPEN API的方式将零信任系统的能力开放给第三方业务系统进行调用配置，如满足员工需要业务系统访问权限时可以直接通过OA办公系统的工单审批流程来申请的需求。支持通过限制访问OPEN API的IP接入地址、API密钥加密等方式来保障OPEN API的调用安全。2、为满足业务客户端个性化接入的需求，应支持通过SDK集成的方式将零信任系统的PC端客户端与移动端客户端接入能力集成到第三方业务系统中，从而不体现零信任厂商的信息。
产品资质	为证明产品方案的成熟性与先进性，所投零信任产品需在2022年IDC中国零信任网络访问解决方案，厂商评估报告中位列综合排名前三的领导者位置。
产品资质	为保证零信任产品的架构规范性，要求所投产品具有中国信通院认证的零信任SDP设备Zero Trust Ready证书
▲厂商资质	所投产品的生产厂商的软件研发实力具备CMMI L5认证，提供有效证书的复印件。
	所投产品的生产厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位，提供有效证书的复印件。
	要求所投产品的生产厂商具备中国网络安全审查技术与认证中心的信息安全软件开发服务资质，提供有效证书复印件并盖章厂商公章
原厂服务	提供免费现场安装调试服务，原厂3年免费人工、部件，7x24小时响应；3年免费硬件固件、软件升级服务；为保证原厂服务的有效执行，合同签订前，需提供产品厂商授权函及服务承诺函。

序号	要求
1	供应商应必须对相关应用系统,进行详细的调研工作，以满足应用系统的数据库、应用软件、备份系统的不同要求；具体包含（不限于）如下应用系统：HIS服务器、LIS服务器、护理电子病历应用、护理电子病历数据、应急服务器、后勤报修、医生电子病历 (应用)、医生电子病历 (数据)、HRP服务器、胃镜消毒、体检服务器、PACS(WEB)、手麻病历、健康管理、血透服务器采集、血透服务器数据库、心电管理、PACS数据库、PACS应用等
2	完成医院现有应用系统的各类数据往新设备中迁移和整理，要求保证数据不可丢失，此过程可能发生的相关第三方技术服务费用应包含在本次项目中，采购人不再另外承担。
3	数据库升级、迁移：（1）项目实施前，必须提供详细的数据库迁移方案给用户，包括数据迁移方法、数据备份和恢复策略、设计数据测试方案、参数优化配置、环境参数配置、移植失败时回退方案等以及发生突发事故处理应急预案等；（2）网络操作系统从原先的win2008升级到win2012；补丁升级到最新稳定版本。对原程序进行优化升级，保证数据库升级后数据的一致性。（3）数据库迁移时间控制在1小时内，不能超过2小时，全院的业务停机时间累计不得超过10分钟，系统实施方案应明确实施步骤及具体时间和可能存在的风险分析。（4）数据库迁移时能继续支持医院业务的正常运行，包括门诊业务(如门急诊收费、门诊药房、门诊诊间、皮试系统等),及重要的住院业务(如住院收费、医嘱等)。（5）数据库迁移时必须支持医保业务，不能只支持自费病人的收费，减少对病人的影响，更好的为病人服务。（6）支持数据库、表空间、数据文件、控制文件、归档日志、参数文件的备份方式。（7）支持数据库的增量备份方式。（8）支持数据库备份脚本自定义编写的能力。（9）支持块级别、文件级别、表空间级别、数据库级别的恢复。
4	冗灾数据库参数要求：（1）数据“零”丢失，即生产数据库的数据不能丢失。（2）负责为数据库做灾备，做到主数据库和冗灾数据库可随意切换，即通过冗灾管理软件来切换生产数据库为冗灾数据库，切换冗灾数据库为生产数据库，且能切换回原状态。（3）冗灾数据库启动时间在1~2分钟内，即通过冗灾管理软件来接管生产数据库工作的花费时间控制在1~2分钟内。（4）对于上述冗灾数据库参数要求，投标方须提供相应详细方案作为评分依据。
5	数据库维护：负责医院上述信息系统数据库的安装、调试、迁移、优化等数据库维护工作。

未注册用户登录后将自动创建账号，登录即代表同意《使用协议》《隐私政策》

中标单位
中标金额(元)

联系方式

首页

诸暨市人民医院网络安全保障维护项目等四个项目询价会议