通知公告

大同市第五人民医院代建大同市卫健委机房网络安全升级改造项目市场调研公告_20240521

发布时间:2024-05-21

一、项目基本情况:

1.项目名称:大同市卫健委机房网络安全升级改造

2.项目情况:见附件

2.预算金额:按市场价或国家相关收费标准执行

二.报名厂商资格要求:

1. 具有独立承担民事责任的能力;

2. 具有良好的商业信誉和健全的财务会计制度;

3. 具有履行合同所必需的设备和专业技术能力;

4. 有依法缴纳税收和社会保障资金的良好记录;

5. 参加政府采购活动前三年内,在经营活动中没有重大违法记录;

6. 法律、行政法规规定的其他条件;

7. 报名厂商一年内具有至少两项同类型业绩。

三.报名厂商或经销商需提供的资料(加盖公司章接顺序资料装订成册)

1. 营业执照副本;(复印件);

2. 法定代表人(负责人)参加市场调研的,提供“法定代表人(负责人)证明书” ;

3. 委托代理人参加投标的,提供“法定代表人(负责人)证明书”及“法定代表人(负责人)授权委托书” ;

4. 提供市场调研截止日前18个月内会计师事务所出具的审计报告扫描件(提供审计报告正文及三表一注,审计报告正文需有会计师事务所盖章及注册会计师签字盖章,以出报告日期为准),或市场调研截止日前18个月内经审计的财务报告(以出报告日期为准),或基本开户银行出具的资信证明; 

5. 提供社会保险登记证,或近一年内缴纳任意一项社会保险(养老保险、医疗保险、工伤保险、失业保险)的凭据(专用收据或社会保险缴纳清单或银行代收的凭据)或能证明已缴纳社会保险的其他材料;

6. 参加市场调研人填写履行合同能力的承诺;为代理商的填写(代理商)履行合同能力的承诺;为制造商的填写(制造商)履行合同能力的承诺;产品中既有自身制造,又有代理的,代理商和制造商的履行合同能力的承诺均需填写;

7. 参加市场调研前三年内,在经营活动中没有重大违法记录,提供无违法记录声明,即信用中国网(http://www.creditchina.gov.cn)重大税收违法失信主体、政府采购严重违法失信名单记录情况;中国政府采购网(http://www.ccgp.gov.cn)政府采购严重违法失信行为信息记录情况;中国执行信息公开网(http://zxgk.court.gov.cn)失信被执行人 (供应商须提供网站的查询截图);

8. 提供参加市场调研人基本存款账户开户许可证(已取消企业银行账户许可的提供银行证明或提供取消企业银行账户许可的相关公告);

9. 产品介绍或项目方案及报价;

10. 一年内具两项同类型业绩合同。

四.提交报名文件时间:

2024年5月21日一2024年5月23日

五.联系人及联系方式

联系人:魏女士

联系电话:0352-2389096 、18535222606

接收材料时间;上午8:30 - 11:30  下午15:00 - 17:30

会议时间、会议地点:另行电话通知。

 

 

 

市场调研资料

论证时需提供:企业介绍、产品参数及技术项目、价格、历史业绩、售后方案等情况的资料,做相关汇报(10-20分钟产品介绍PPT),并在现场进行产品演示。

 

 

  1. 大同市卫健委网络安全升级改造项目报价表(格式见下)
  2. 企业介绍:企业资质及服务内容
  3. 价格:近一年内同级别服务最低价,价格依据(附其他医院完整合同。)
  4. 历史业绩:近一年内具有至少两项同级别、同类型业绩
  5. 售后方案:运营、维护方案
  6. 所需硬件清单

大同市第五人民医院

大同市卫健委网络安全升级改造项目市场调查表

产品名称

型号

生产厂家

主要功能及参数

产品功能亮点

调查报价              (万元)及印证资料

备注

中标时间

中标单位

型号

中标价

运行维护

升级更新

备品备件

其他

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

以上1-5项内容需准备纸质版3份,装订成册

 

 

 

 

 

附件: 

项目背景和目标

随着信息技术的不断发展,网络安全问题已成为关乎组织稳定和业务连续性的关键因素。大同市卫健委作为全市公共健康服务的重要机构,其信息系统的安全稳定运行至关重要。然而,当前卫健委信息系统中部署的安全设备和系统存在升级授权过期、功能不完善等问题,无法有效应对新型网络威胁和攻击手段。

大同市卫健委作为全市公共健康服务的重要机构,其信息系统的安全稳定运行至关重要。为了满足《中华人民共和国网络安全法》、信息系统安全等级保护、以及业务系统安全稳定运行,大同市卫健委机房各信息系统需要进行信息系统安全等级保护建设。因此,本项目旨在通过升级安全设备和配套补充部分安全设备,构建更加完善的网络安全防护体系,确保大同市卫健委信息系统的安全稳定运行,满足国家网络安全等级保护三级要求

现状及问题分析

由大同市第五人民医院为大同市卫健委代建的大同市医疗废物智慧监管平台、区域合理用药系统、区域智能审方系统、市级影像云系统、大同市公立医疗机构医疗数据对接省医改监测互联互通系统、DRGS、血液透析、绩效考核、远程心电等多个信息系统均部署于大同市卫健委信息系统机房,该机房已部署防火墙、Web应用防护系统、漏洞扫描系统、安全管理系统、数据库审计系统等部分基础安全防护设备,均为2018年采购,产品硬件质保、软件版本升级、特征库或规则库升级均已过期,无法有效应对新型网络威胁和攻击手段,难以满足国家等保2.0三级要求。

大同市全民健康信息平台建设较早,建设初期无IPv6访问硬性要求,未规划IPv6地址访问,目前仍不支持IPv6访问。2022年5月27日市委网信办对大同市全民健康信息平台发出《关于IPv6推进部署的督促函》,要求尽快在规定期限内完成IPv6改造任务。

因此,现亟需对大同市卫健委机房网络安全升级和全民健康信息平台IPv6改造

项目建设内容

本项目将重点完成以下内容:

升级两台网络出口防火墙的入侵防御模块规则库和防病毒模块特征库,升级WEB应用防护系统规则库,加强网络出口网络安全防护能力;升级漏洞扫描系统,提升信息网络系统主机脆弱性检测能力

配套补充运维审计与风险控制系统,实现运维过程的“事前预防、事中控制、事后审计”,在简化运维操作的同时,解决各种复杂环境下的运维安全问题,同时满足等保对运维管理的要求;配套补充APT攻击预警平台和终端安全及防病毒系统,可发现零日漏洞利用、未知恶意代码等高级攻击行为,能检测到传统安全设备无法检测的攻击,为用户提供更高级的安全保障,并通过二者的功能联动,实现网络安全的整体感知、监测、处置。

设计标准依据

设计说明

本方案是根据等级保护2.0最新标准《GBT22239-2019信息安全技术网络安全等级保护基本要求》的基本要求和安全目标,参照《GBT25070-2019信息安全技术网络安全等级保护安全设计技术要求》具体内容,针对第三级系统而提出的安全保护等级设计方案。

受限于改造周期、改造成本,本方案通过添加协议转换设备如IPv6应用交付系统的方式来实现IPv6改造。

 

相关政策文件及法律法规

《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)

《国家信息化领导小组关于加强信息安全保障工作的意见》《中办发[2003]27号)

《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)

《关于开展信息系统安全等级保护基础调查工作的通知》(公通字[2004]66号)

(信息安全等级保护管理办法》(公通字[2007]43号)

《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)

《关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)》

《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)

《全国人民代表大会常务委员会关于加强网络信息保护的决定》

《中华人民共和国网络安全法》

相关信息安全标准

ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》

ISO/IEC 27002:2013《信息技术安全技术信息安全控制实用规则》

GB 17859-1999《计算机信息系统安全保护等级划分准则》

GB/T20984-2007《信息安全技术信息安全风险评估规范》

GB/T22239-2019《信息安全技术网络安全等级保护基本要求》

GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》

GB/T22240-2019《信息安全技术网络安全等级保护定级指南》

GB/T22239-2019《信息安全技术网络安全等级保护基本要求》

GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

GB/T20270-2006《信息安全技术网络基础安全技术要求》

GB/T20984-2007《信息安全技术信息安全风险评估规范》

GB/T20269-2006《信息安全技术信息系统安全管理要求》

GB/T20281-2006《信息安全技术防火墙技术要求与测试评价方法》

GB/T20275-2013《信息安全技术入侵检测系统技术要求和测试评价方法》

GB/T20278-2006《信息安全技术网络脆弱性扫描产品技术要求》

GB/T20277-2006《信息安全技术网络脆弱性扫描产品测试评价方法》

GB/T20279-2006《信息安全技术网络端设备隔离部件技术要求》

GB/T20280-2006《信息安全技术网络端设备隔离部件测试评价方法》

方案设计原则

分区分域保护原则

任何安全措施都不是绝对安全可靠的,为保障攻破一层或一类保护的攻击行为而不会破坏整个信息系统,以达到纵深防御的安全目标,需要合理划分安全域,综合采用多种有效安全保护措施,实施多层,多重保护。

均衡性保护原则

对任何类型网络,绝对安全难以达到,也不一定是必须的,需正确处理安全需求,安全风险与安全保护代价的关系。因此,结合适度防护实现分等级安全保护,做到安全性与可用性平衡,达到技术上可实现,经济上可执行。

技术与管理相结合

信息安全涉及人、技术、操作等方面要素,单靠技术或单靠管理都不可能实现。因此在考虑信息安全时,必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。

动态调整与可扩展

由于网络安全需求会不断变化,以及环境、条件、时间的限制,安全防护一步到位,一劳永逸地解决信息安全问题是不现实的。信息安全保障建设可先保证基本的、必须的安全保护,后续再根据应用和网络安全技术的发展,不断调整安全策略,加强安全防护力度,以适应新的网络安全环境,满足新的信息安全需求。

网络安全设计要点

网络架构安全:采用分层、分区的网络架构设计,合理划分安全域,实现不同安全等级的网络隔离和访问控制。

边界安全防护:部署防火墙(含入侵防御模块、防病毒模块)等安全设备,对进出网络的数据流进行监控和过滤,防止外部攻击和内部泄露。

主机和系统安全:对操作系统、数据库等关键系统进行安全加固和漏洞修补,限制不必要的服务和端口开放,提高系统的抗攻击能力。

应用安全:对应用程序进行安全设计和开发,实现身份认证、访问控制、数据加密等安全功能,防止应用程序被攻击或滥用。

数据安全:对数据进行分类存储和加密处理,实现数据的保密性、完整性和可用性。同时,建立数据备份和恢复机制,确保数据的可靠性和可恢复性。

安全管理:建立完善的安全管理制度和应急预案,明确安全管理职责和流程,提高安全事件的响应速度和处置能力。加强安全培训和意识提升,提高全员的安全意识和技能水平。

技术选型及具体方案

出口防火墙升级

防火墙产品简介:传统防火墙是过去解决网络边界安全的重要网关设备,它主要工作在网络层之下,通过对协议、地址和服务端口的识别和控制达到防范入侵的目的,可以有效的防范基于业务端口的攻击。近年来,安全威胁入侵的蔓延速度快、发现漏洞后攻击出现的时间快,新的蠕虫病毒可以在几分钟之内就蔓延到全球范围,新的漏洞公布后几个小时就出现针对漏洞的攻击行为或工具;并且安全威胁的层次越来越高,目前的威胁多数已经从网络层发展到应用层,包括入侵、蠕虫、P2P滥用等。面对安全威胁的发展趋势,传统防火墙已经显得无能为力,它无法检测出封装在有效数据内的恶意威胁与攻击,也无法检测和控制对企业网络资源进行滥用的IM、P2P软件。在这种情况下,融合多种安全能力,能够针对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁,实现深层控制的第二代防火墙应运而生。现网两台网络出口防火墙为网御星云第二代防火墙,网御第二代防火墙采用了业界先进的基于多核硬件架构和一体化的软件设计,集防火墙、VPN、入侵防御(IPS)、防病毒、上网行为管理、内网安全、反垃圾邮件、抗拒绝服务攻击(Anti-DoS)、内容过滤等多种安全技术于一身,高性能、绿色低炭,同时全面支持各种路由协议、QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。

入侵防御模块(IPS):现网两台网络出口防火墙具备开启入侵防御模块扩展和规则库升级能力,产品性能可满足启用该扩展模块,只需采购相应的产品升级授权,即可支持木马后门、间谍软件、可疑行为、安全漏洞及网络数据库攻击等的事件的及时阻断和告警

防病毒模块AV):现网两台网络出口防火墙具备同时开启防病毒模块扩展和特征库升级能力,产品性能可满足启用该扩展模块,只需采购相应的产品升级授权,即可实现网络出口HTTP,SMTP,FTP,POP3,IMAP等多种协议下病毒防御

WEB应用防护系统升级

WEB应用防护系统简介:随着网络威胁的不断演变,特别是针对WEB应用的攻击日益增多,WEB应用防护系统的升级也显得尤为重要。WEB应用作为大同市卫健委对外服务的重要窗口,承载着大量的业务数据和交互功能。然而,由于WEB应用的复杂性和开放性,它们往往成为黑客攻击的首选目标。常见的WEB攻击手段包括SQL注入、跨站脚本攻击(XSS)、文件上传漏洞等,这些攻击可能导致用户数据泄露、系统瘫痪等严重后果。因此,升级WEB应用防护系统对于提升整体网络安全防护能力具有重要意义。现网Web应用安全防护系统是网御星云公司所研制开发的基于Web 安全防护与应用交付类应用层安全产品,该产品主要针对Web 服务器进行HTTP/HTTPS 流量分析,防护以各类Web 应用漏洞为目标的网络攻击行为,并针对Web 应用访问行为进行全方位的合规管控及优化,从而提高Web 应用的安全性、合规性及可用性,确保各类基于HTTP/HTTPS 协议的Web 业务应用能够安全、可靠、快速地交付。

WEB应用防护系统升级:现网WEB应用防护系统规则库更新许可已到期,为及时更新相应的攻击规则库,及时有效应对新型WEB应用威胁和攻击手段,需采购相应的升级服务许可。

漏洞扫描系统升级

漏洞扫描系统简介:网络安全威胁正在变得日益复杂,各类攻击目标、手段以及来源在不断发生着变化。利用安全漏洞进行网络攻击的安全事件数量日益上升。而近年来的重大漏洞致使信息系统遭受前所未有的灾难。在网络环境日益复杂、安全威胁层出不穷的情况下,全面、准确、快速、自主的定位网络系统中的漏洞成为漏洞扫描产品的使命。现网已部署了网御星云的漏洞扫描系统,是网御星云自主研发的基于网络的脆弱性分析、评估与管理系统,提供对主机、操作系统以及网络设备的脆弱性检查、评估与管理。

漏洞扫描系统升级服务:因授权到期无法更新漏洞库,难以及时发现新发布的漏洞信息,导致信息系统可能容易受到威胁,可通过采购相应的升级服务许可,实时更新漏洞库,定期全面扫描主机设备、网络设备和应用程序。

运维审计与风险控制系统

1)多样化认证环境支持

支持本地认证和第三方认证,无论是Microsoft Active Directory活动目录服务器的域环境网络,还是采用LDAP认证的企业网络,运维审计与风险控制系统都可以实现与该网络环境之间的认证无缝结合。

2)运维用户集中管理

在管理大量运维用户的情况下,运维审计与风险控制系统提供了统一的用户管理模块。

3)快速资产授权

运维审计与风险控制系统研发团队依靠在运维领域多年的经验和技术积累,精心设计了简化、方便的管理、授权操作,仅需简单点击几次鼠标,就可以解决多用户、多资产、多帐户授权问题。支持资产属性分类、标签等多种资产分类方式,让杂乱的系统管理授权统一管理起来,使客户轻松面对需要管理大量设备以及各类法令法规(如SOX、PCI、企业内控管理、等级保护、ISO/IEC 27001等)的内控检查。

4)单点登录(SSO)

运维审计与风险控制系统实现了完善的单点登录功能,运维用户通过HTTPS访问WEB单点登录页面,可访问被授权范围的各类资产,无需再次手工登录,均由运维审计与风险控制系统代为登录,并且登录后无需再进行主机与帐户的选择,简单易用。单点登录能支持主要的第三方客户端(如PuTTY、SecureCRT、mstsc等),使运维人员无需改变日常运维方式。

5)运维风险控制

运维审计与风险控制系统可以设置多种风险控制策略:

访问策略

通过ACL的方式达到类似于网络层防火墙的访问控制效果,从而实现对违规访问的阻断和监测;

行为策略

通过内置的SPE(超级策略引擎)智能识别字符型运维会话中输入的各种命令,并利用可配置的策略对违规命令和高危命令进行阻断和告警;

运维审计与风险控制系统支持细粒度的策略属性配置,当检测到非法访问时,记录日志并可通过邮件或Syslog自动发送告警信息。

6)丰富的安全报表

运维审计与风险控制系统报表模块提供了丰富的统计信息,对资产运维操作以及系统自身运行、操作进行各类统计和多维度分析,并且提供报表导出功能。

7)独特的审计员访问控制

运维审计与风险控制系统提供了独特的对审计员用户进行访问控制的策略。能够基于用户名、会话涉及主机、登录ip等因素限制指定审计员可访问的会话记录,这就进一步在审计员用户组中明确的查看和审计会话的权限。与传统产品相比,审计员访问控制功能的实现能够大大提高设备自身审计数据的安全性,更符合法律法规中对最小权限控制的要求和规定。

8)加密协议实时监控

运维审计与风险控制系统实现了多种加密协议的实时监控功能,例如SSH、RDP等。

9)可无限扩展的运维环境

通过运维审计与风险控制系统的应用托管功能,可以实现应用程序的托管,同其他协议一样,可以对其进行完全的实时监控、历史回放等等审计功能。

10)SPE超级策略引擎

运维审计与风险控制系统通过独立研发的超级策略引擎(SPE:Super Policy Engine),用户可以对字符协议上的命令进行审计工作。

11)海量数据快速搜索

运维审计与风险控制系统的全新数据存储系统支持快速的全局搜索,即使在海量会话的环境中,用户也可以根据时间范围、IP地址、用户、事件类型、命令等条件进行快速检索,迅速寻找到符合特征的单条命令及会话,方便事后的追溯和定位。

APT攻击预警平台

1)全流量审计

全流量深度威胁检测平台全面审计网络流量协议的访问行为,通过审计信息为网络信息化与安全化管理提供重要依据。

基于丰富的特征库和识别库对全流量行为审计并匹配,包括协议解析、应用会话行为、深度风险行为、合规行为等,支持全网双向流量、流向等行为的审计。

2)应用协议识别

对网络中用户行为分析和发掘,解析流量中协议内容和协议类型,从而对用户应用构成进行分析识别。可从以下四个方面理解应用协议行为识别:

支持对P2P应用、实时通讯软件、流媒体等2800多种的应用会话流量解析;

采用应用层协议识别与特征识别技术深度结合,能够更精确的解析协议内容;

根据预定义规则检测报文负载行为特征,准确区分数据流传输的真实网络应用;

实时监测应用会话行为,快速对协议行为定位分析。

全流量深度威胁检测平台采集的流量经过流量分析引擎,解析IP报文字段及流特征信息,分析应用层协议,确定流量中存在应用。通过多维度对协议进行协议解析:

Ø 基于数据包字段解析

IP地址、目的IP地址、源MAC地址、目的MAC地址、源端口、目的端口、协议号、报文长度、包长度等。

Ø 基于时间窗口解析

流量最初发生时间和结束时间、流量持续时间。

Ø 基于协议行为特征解析

根据每种协议自身行为特征和行为为轨迹进行协议解析。

3)深度威胁检测

网络是把双刃剑,在提供便利的同时,风险俱在,怎么从全流量实时解析风险行为,让威胁可视、实时感知数据安全风险,了解网络中隐藏威胁尤为重要。经过长期研究,结合恶意流量特征分析,形成自己对全流量检测的技术优势。

全流量深度威胁检测平台面对全流量威胁进行识别,并通过双向流量检测对网络数据包特征和流量行为(例如数据报文恶意特征匹配、资源使用情况、使用者的访问行为等)深度解析,识别出病毒、木马、敏感信息等异常行为。

4)设备联动

APT攻击预警平台可以终端安全及防病毒系统(EDR)联动,APT发现攻击及病毒,发送指令给EDR,EDR会自动进行查杀,并将结果发送到APT攻击预警平台,从而实现网络安全的整体感知、监测、处置。

终端安全及防病毒系统

终端安全及防病毒系统(简称EDR),是—款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。EDR具备业界独有的高级威胁模块,专门应对攻防对抗场景,通过自主研发的文件诱饵引擎,有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。

管理控制中心部署在独立提供的Linux系统上,主要功能为把所有客户端信息集中于一体,便于集中监管和配置安全策略,聚合客户端情报信息。管理控制中心采用B/S架构,安装完成后,用户可以在任意与管理控制中心网络可达的计算机上访问管理控制中心的Web页面,对终端进行管控。客户端软件是一个独立的本地可执行程序,安装在需要被管控的主机上,完成管理员通过管理控制中心下发的任务和策略。

产品特点:

防御已知和未知类型勒索病毒

面对使传统杀毒软件束手无策的未知类型勒索病毒,终端安全及防病毒系统采用诱饵引擎,在未知类型勒索病毒试图加密时发现并阻断其加密行为,有效守护主机安全。

防御高级威胁全流程攻击

终端安全及防病毒系统根据ATT&CK理论,对攻防对抗的各个阶段进行防护,包括单机扩展、隧道搭建、内网探测、远控持久化、痕迹清除。不仅可以做到威胁攻击审计,而且还可以防止黑客进行渗透攻击。实现攻防对抗360度防御。

管控全局终端安全态势

服务器、PC和虚拟机等终端安装了客户端软件后,上传病毒木马、违规外联、安全配置等威胁信息到管理控制中心。用户在管理控制中心可以看到所有安装了客户端软件的主机的安全态势以及通过情报云脑对威胁风险进行动静态分析,并进行统一任务下发,策略配置。

全方位的主机防护体系

终端安全及防病毒系统包含传统杀毒软件的病毒查杀、漏洞管理、性能监控功能,在系统防护方面还可做到系统登录防护、进程防护、文件监控,还支持网络防护、Web应用防护、勒索挖矿防御、外设管理、性能监控等多个功能点。

流量可视化,安全可见

终端安全及防病毒系统通过流量画像的流量全景图,展示内网所有流量和主机间通信关系,梳理通信逻辑,上帝视角对策略进行规划,便于用户第一时间发现威胁,一键清除威胁。

简单配置,离线升级,补丁管理

终端安全及防病毒系统可将人类语言转化为具体安全配置,明确、有效的进行主机防护。主程序、病毒库、漏洞库、补丁库、Web后门库、违规外联黑名单库全部支持离线导入升级包、一键自动升级,可在专网使用。

 

4.3  IPv6改造方式

当前,政府、金融、央企、教育等各个行业都在全面推动IPv6改造。对于用户来说,要完成整网的IPv6改造,涉及改造的内容和设施非常多,改造的周期也会比较漫长。通常业界采用逐步改造、稳步推进的方式,将全部改造内容重点分为三部分:

1.基础设施改造。基础设施改造主要包括向运营商进行IPv6线路和地址的申请,完成对PC和移动终端设备IPv6地址的配置,及对所有IP地址进行科学有效的规划和管理。

2.DNS服务器改造。作为IPv6改造的主体,DNS服务器改造主要包括在DNS服务器增加一条域名所对应的AAAA记录,及为DNS服务器配置IPv6地址,确保其能接收来自单栈IPv6的DNS访问请求。

3.业务系统改造。在完成对底层基础设施和DNS服务器的改造后,就要对上层业务进行IPv6改造。此时分为两种情况:

-不直接改造业务。如果不打算直接改造业务,可以通过单纯添加协议转换设备的方式来实现IPv6改造。这其中需要考虑协议转换设备的部署位置以及现有网络中的设备对IPv6的支持度。

-直接改造业务。对整个IPv6改造来说,业务层面的改造是难度最大,也是最可能影响业务正常使用的。因此,业务系统的IPv6改造一般被放在最后去完成,具体包括对业务代码中涉及IP地址的部分做修改,同时业务服务器、数据库、日志服务器以及大数据分析平台等都需要改为支持IPv4/IPv6双栈。

设备清单

序号

名称

规格参数

数量

单位

一、网络安全改造

1

出口防火墙-入侵防御模块升级

利旧现有出口防火墙(网御星云 Power V6000-F3700)硬件设备,提供三年入侵防御规则库升级授权许可

2

2

出口防火墙-防病毒模块升级

利旧现有出口防火墙(网御星云 Power V6000-F3700)硬件设备,提供三年病毒库升级授权许可

2

3

WEB应用防护系统升级

利旧现有WEB应用防护系统(网御星云 Leadsec-6000WAF-BA-C)硬件设备,提供三年WEB应用防护系统升级服务授权许可

1

4

漏洞扫描系统升级

利旧现有漏洞扫描系统(网御星云 TS-SC)硬件设备,提供三年漏洞扫描系统升级服务

1

5

运维审计与风险控制系统

标准机架式设备,2*GE电管理口,4*GE电业务口;硬盘容量:2T;USB口:USB2.0*2;串口:RJ45口*1;电源:单电源;授权资产:100个;硬件性能:并发字符连接最大100个,并发图形连接最大20个;软件功能:除VPN功能外,其他功能无限制。提供三年产品硬件质保及系统软件升级服务。

1

6

APT攻击预警平台

产品功能:1.对网络中传输的文件进行分离和检测;2.对各种WEB攻击进行检测;3.对邮件社工类攻击进行检测;4.通过识别DGA域名请求、异常流量等全方位发现失陷主机;5.通过识别内网中横向扩散等行为发现可疑主机;6.对检测对象的会话特征进行多维度监控;7.对流量中的资产进行分析,主动发现网络资产;8.提供多个智能报表,方便快速总览网络威胁情况;9.提供综合管理和关联分析能力,同时可提供云端高级分析服务。整机吞吐量500Mbps;标准机架式设备;内存:8G;硬盘容量:2T*1;接口数量:标配6个;接口类型:千兆RJ45网口*2(管理口*2)、千兆RJ45网口*4。提供三年产品硬件质保及软件规则库升级服务。APT攻击预警平台可以终端安全及防病毒系统(EDR)联动,APT发现攻击及病毒,发送指令给EDR,EDR会自动进行查杀,并将结果发送到APT攻击预警平台,从而实现网络安全的整体感知、监测、处置。

1

7

终端安全及防病毒系统

包含终端管理中心软件一套,实现对终端的统一管理和策略下发;终端客户端支持Windows PC防护及主流信创PC防护,服务器客户端支持持Windows server 2003、Windows server 2008、Windows server 2012、Windows server 2016、Centos 5.0 +、Redhat 5.0 + 、Suse11 +、 Ubuntu 14 +等操作系统;配置50服务器授权,提供三年病毒库升级服务;配套提供服务器硬件

1

8

系统集成费

包含网络安全改造相关系统规划设计、设备安装调试等技术服务

1

二、IPv6改造

1

应用交付网关

性能参数:4层吞吐量(默认网口):5Gbps,四层并发连接数:8000000,4层新建连接数 CPS:150000,7层新建请求数 RPS:150000。硬件参数:规格:1U,内存大小:8G,硬盘容量:128G minisata SSD,电源:冗余电源,接口:6千兆电口+2千兆光口SFP。功能描述:能够为用户提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。不仅实现对各个数据中心、链路以及服务器状态的实时监控,同时根据预设规则,将用户的访问请求分配给相应的数据中心、 链路以及服务器,进而实现数据流的合理分配,使所有的数据中心、链路和服务器都得到充分的利用。支持与各个云平台对接,实现云场景下租户的自服务负载需求;IPv6改造方案,可有效攻克“天窗”问题。提供三年产品硬件质保服务

1

2

应用交付软件

应用交付网关配套系统软件;提供三年软件升级服务

1

3

系统集成费

包含IPv6改造网络规划、设备安装、线缆连接、配置调试、联调测试等技术服务及辅材

1

 

预期成果

  1. 网络出口防火墙的入侵防御和防病毒能力,以及WEB应用防护能力得到大幅提升,满足等保2.0三级对安全区域边界的网络攻击行为的检测、防止或限制及恶意代码进行检测和清除等技术要求;
  2. 漏洞扫描系统规则库及时更新,能够及时发现信息系统相关主机漏洞信息,为相关运维和管理人员提供有力的专业技术支持
  3. 通过运维审计与风险控制系统,实现运维过程的“事前预防、事中控制、事后审计”,在简化运维操作的同时,解决各种复杂环境下的运维安全问题;
  4. 新增的APT攻击预警平台和终端安全管理系统能够有效应对高级别网络威胁,满足等保2.0三级“应采取技术措施对网络行为进行分析,特别是新对网络攻击特别是新型网络攻击行为的分析”的技术要求
  5. 整体网络安全防护能力得到显著提升,为大同市卫健委信息系统安全稳定运行提供有力保障,同时满足国家等保2.0三级要求,通过等保三级测评
  6. 大同市全民健康信息平台进行改造后互联网侧站点满足IPv6检测相关要求。

项目建设期

合同签订后一个月。

 

售后服务要求

免费质保期要求

针对本次项目整体需提供三年免费质保服务。新购设备提供三年硬件质保、三年软件版本和规则库升级;利旧设备升级特征库/规则库的,对采购授权对应的特征库/规则库提供三年升级服务,不含设备硬件质保和系统软件版本升级。所有设备特征库或规则库尽可能配置在线自动升级,无法在线自动升级的需定期派遣工程师到现场动手升级,升级频次不少于每月一次。免费质保服务期内,相关信息系统如有网络安全等保测评或网络安全监管部门网络安全检查,需免费提供配合服务。免费服务期过后,可提供终身维护维修服务。

售后响应时间要求

提供7×24小时服务支持,在接到设备故障或相关安全事件通知后或相关服务要求后即时响应,半小时内到达现场,8小时修复故障。

售后服务机构要求

应在大同市平城区设立售后服务机构,能够提供最及时、高效、快捷的售后服务。同时与相关厂家有密切的销售和售后服务关系,可以提供多方面的维护维修渠道,为售后服务提供有力的保障。售后服务机构应配置安全集成、应急服务、风险评估、安全运维等安全专业技术人员。

版权所有:大同市第五人民医院 晋ICP备14001986号  |  晋卫网审[2014]第0003号 技术支持:大同市中数腾科技有限公司