《中国医学科学院医学信息研究所[0002].docx》由会员分享,可在线阅读,更多相关《中国医学科学院医学信息研究所[0002].docx(48页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、中国医学科学院医学信息研究所医学信息监测和分析平台设备购置项目技术需求书(第一包)2014 年 5 月 2 目录第一章 项目简介 .3第二章 技术指标要求 .4第三章 集成服务要求 .46 3 第一章 项目简介中国医学科学院医学信息研究所/图书馆(下称“所馆”)是国家级医学信息研究中心、医学信息资源保障与服务中心、国家科技图书文献中心(NSTL)医学分中心、中国医学科学院卫生政策与管理研究中心、世界卫生组织(WHO)卫生与生物医学信息合作中心、中国MEDLARS 中心、卫生部医学信息工作管理委员会办公室挂靠单位,承担国家医学图书馆、医学信息研究与情报调研、卫生政策研究等方面的重要任务,是为国家
2、医药卫生事业改革发展和医学科技创新提供决策咨询与信息服务的重要支撑单位。近几年来,“中央级科学事业单位修缮购置”专项资金为信息所发展提供了有力支持,资助实施了科研楼加固改造,网络基础设施改造、数字化医学信息服务体系设备购置、医学信息资源共享平台设备购置等,使信息所科研楼和图书馆的信息化基础设施、服务环境到较大程度改善,使信息所科研楼成为以万兆以太网为骨干的现代化医药卫生信息中心大楼。在修购项目支持下,信息所研发了面向卫生决策者、科研人员和社会公众的综合性医药卫生信息管理和决策支持平台,建立了卫生信息数据中心,增加了网络安全设备,提高了数据的安全性,通过虚拟化技术提高了计算资源的利用率,为信息所
3、开展医学信息监测和分析相关研究提供了一定的数据和技术基础。然而,面对大数据时代带来的信息超载,数据对象类型多样,处理效率低、消耗大等多方面的困难和挑战,信息所在大规模开展医学信息监测和分析方面还存在诸多问题,主要表现在:监测与分析的数据源来源不一、类型复杂,结构化数据源匮乏,亟待数据采集、转化、整合和管理;现有监测和分析技术手段、软硬件设施适合普通量级数据处理,对于海量数据处理能力不足。因此,亟需建立具有海量数据处理能力、能提供多种综合监测、分析、挖掘方法,揭示海量数据价值的医学信息监测与分析平台。本次平台集成项目的总体目标是:紧密结合我国医疗卫生事业发展需要,以医学科技战略为导向,以科学计量
4、学、技术预见、科研评价、知识挖掘和社会网络分析方法为手段,充分利用医科院信息所的丰富信息资源、优秀的专业人才队伍、专家团队和软硬件设备等已有优势,建立医学信息监测及分析平台,追踪国内外医药卫生重点领域发展的重大态势,开展医疗卫生机构科研影响力和国际竞争力评价,把握全球医学科研创新发展动态,开展面向国家、行业和学科层面的技术预见研究,充分提高信息所对信息动态、趋势的洞察力,监测、分析和评价能力。积极发挥国家医药卫生信息资源保障和信息服务“外脑”和“智囊”的作用,为国家卫生战略决策、医学科技发展创新和公众健康促进提供快速而有效的决策咨询和信息支撑。 4 第二章 技术指标要求注意:涉及设备或配件数量
5、(包括整机数量及其模块、功能许可、容量等)或软件采购数量的指标,如果投标数量少于需求数量,属于非实质性响应。标注“”的指标项为强制性技术要求,如不满足,属于非实质性响应;标注“”的指标项为基础性技术要求,如不满足,将扣减较多技术指标分;其他未标注的指标项,如不满足,将扣减技术指标分。1 网络及网络安全完善1.1 UTM 防火墙序号 指标 要求1 整机数量 1 台,2U 机架式2 设备电源 双冗余电源3 设备接口 8 个千兆电口,2 个千兆光口,需提供产品彩页4 整机吞吐量 10Gbps5 七层吞吐量 1.5Gbps6 并发连接数 200 万条7 新建连接数 10 万条8 部署方式网关模式:支持
6、网关模式,支持 NAT、路由转发、DHCP 等功能网桥模式:支持网桥模式,以透明方式串接在网络中混杂模式:支持同时开启网关和网桥模式旁路模式:支持旁路镜像和单臂的部署方式9 设备资源信息:提供设备实时 CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等信息10实时安全事件:实时提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发生事件、源 IP、目的 IP、攻击类型以及攻击的 URL 等11 联动封锁源 IP:提供实时智能模块间联动封锁的源 IP 以便实现动态智能安全管理12实时监控流量状态:实时提供 IP 流量、应用流量排名、流量管理状态、DHCP 状态、
7、在线用户管理13 IP 服务:ARP、域名解析、DHCP 中继、DHCP 服务器、DHCP 客户端14网络适应性路由协议:支持静态路由、RIP v1/2、OSPF、策略路由15包过滤与状态检测:提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP 等;传输层协议:TCP、UDP16防火墙/VPN 功能 抗攻击特性:支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、S
8、YN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP 欺骗攻击防范、ARP 主动反向查询、TCP 报文标志位不合法攻击防范、支持 IP SYN 速度 5 序号 指标 要求限制、超大 ICMP 报文攻击防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC 和 IP 绑定功能17NAT 功能:支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持 DNS 映射功能;可配置
9、支持地址转换的有效时间;支持多种 NAT ALG,包括 DNS、FTP、H.323、SIP 等18IPSec VPN 功能:支持AES、DES、3DES、MD5、SHA1、DH、RC4 等算法,并且支持扩展国密办 SCB2 等其他加密算法支持 MD5 及 SHA-1 验证算法;支持各种 NAT 网络环境下的 VPN 组网;支持第三方标准IPSec VPN 进行对接;19总部与分支有多条线路,可在线路间一一进行 IPSecVPN隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证 IPSecVPN 连接不中断;可为每一分支单独设置
10、不同的多线路策略;单臂部署下同样支持多线路策略(提供自主知识产权证明,加盖厂商公章)20应用特征识别库:支持对 1000 种以上应用 2500 种以上的应用动作、用户名进行识别,可以识别 P2P、IM、OA 办公应用、数据库应用、ERP 应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;21 应用智能识别:支持应用更新版本后的主动识别和控制(必须提供自主知识产权证明,加盖厂商公章)22内网应用识别:依据用户现有的业务系统需要识别如下应用:可识别丰富的内网应用如:Lotus Notes、RTX、Citrix、Oracle EBS、金蝶 EAS、SAP、LADP等;能精确识别
11、Microsoft、360、Symantec、Sogou、kaspersky、金山毒霸、江民杀毒等软件更新23应用访问控制基于用户、应用访问策略:必须提供基于应用识别类型、用户名、接口、安全域、IP 地址、端口、时间进行应用访问控制列表的制定24威胁检测引擎:支持基于特征匹配、协议异常检测、智能应用识别等方式针对已知威胁进行检测;支持基于威胁关联分析的检测机制,针对未知威胁进行分析检测25威胁检测特征库:支持 web 攻击特征库、应用识别库、IPS 漏洞攻击特征库、敏感信息防泄漏特征库、恶意软件库、URL 库(需提供截图证明)26威胁检测特征库实时更新: web 攻击特征库/IPS 特征库应每
12、月至少更新两次 6 序号 指标 要求27 特征库数量:漏洞特征库: 4000+ ,并且能够自动或者手动升级28 特征库信息:必须是 “MAPP”计划会员,特征库必须获得CVE“兼容性认证证书”29防护类型:包括蠕虫/木马/后门/DoS/DDoS 攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等30 防护对象:漏洞分为保护服务器和保护客户端两大类,便于策略部署(需提供截图证明)31 漏洞描述:漏洞详细信息显示:漏洞 ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容32 策略制定:可根据源区域、目的区域、目的 IP 组,目的 IP组支持多选进
13、行 IPS 策略的配置33 防躲避:支持 TCP 协议的乱序重传、TCP 分包34 处理动作“云联动”:支持自动拦截、记录日志、上传灰度威胁到“云端”(需提供截图证明)35IPS 入侵防护APT 检测:支持 APT 检测功能,防止僵尸网络感染 PC 终端用户(需提供截图证明)36 Web 应用防护识别库:支持 web 攻击特征数量 2000+37 Web 服务隐藏:支持 Web 网站隐藏,包括 HTTP 响应报文头出错页面的过滤,web 响应报文头可自定义38 FTP 服务隐藏:支持 FTP 服务应用信息隐藏包括:服务器信息、软件版本信息等39 关键页面双因素认证:支持管理员页面、管理后台的短
14、信强认证机制40Web 攻击防护:支持 OWASP 定义 10 大 web 安全威胁,保护服务器免受基于 Web 应用的攻击,如 SQL 注入防护、XSS 攻击防护、CSRF 攻击防护、支持根据网站登录路径保护口令暴力破解41 网站扫描防护:支持 web 站点扫描、web 站点结构扫描、漏洞扫描等扫描防护42策略制定配置选项:可设置源、目的区域、目的 IP 和端口号,端口号支持设置 Web 应用、FTP、mysql、telnet、ssh 服务的端口号43Web 应用防护识别库:严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器,并支持结合病毒防护、插件过滤等功能检查文件安
15、全性44 文件上传过滤:支持指定 URL 的黑名单、加入排除 URL 目录功能45 访问权限控制:ftp 弱口令防护、telnet 弱口令防护46服务器防护其他应用防护:支持 web 站点扫描、web 站点结构扫描、漏洞扫描等扫描防护 7 序号 指标 要求47敏感信息特征:提供预定义、自定义敏感信息的特征库。预订义特征应内置常见敏感信息的特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、MD5 密码等(需提供截图证明)48 http 敏感信息检测:支持正常访问 http 连接中非法敏感信息的外泄操作49信息防泄露数据文件敏感信息检测:支持数据库文件敏感信息检测,防止数据库文件被“
16、拖库”、“暴库”50 恶意软件库:支持常见恶意软件包含病毒、木马特征库51恶意流量外发防护 终端恶意流量外发防护:支持对恶意终端的防护,能识别终端因感染病毒木马向外发起的恶意链接,并准确定位被感染终端52 端口服务扫描:支持目标 IP 进行端口、服务扫描53 漏洞风险评估:支持服务器、客户端的漏洞风险评估功能54弱口令扫描:支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC 等多种应用的弱口令评估与扫描55WEB 弱点扫描:支持 web 弱点扫描功能,可扫描 WEB 网站sql 注入、xss、csrf、目录遍历、文件包含、命令执行等脚本漏洞(需提供
17、截图证明)56风险评估被动扫描:支持被动检测方式,通过旁路部署被动进行报文特征匹配、协议异常检测57智能策略联动:风险评估可以实现与 FW、IPS、服务器防护模块的智能策略联动,自动生成针对性策略(需提供截图证明)58智能联动模块间智能联动:提供实时智能模块间联动封锁的源 IP 以便实现动态智能安全管理59 网关型网页防篡改:支持网关型网页防篡改,无需在服务器中安装任何插件60 篡改实时检查:支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式,保证网站安全61动态网页/静态网页支持:全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴
18、别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用 Web 方式对后台数据库的篡改62 检测方式:支持各级页面模糊框架匹配、精确匹配的方式适用不同的网页类型63 业务管理与安全管理分离:支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容64网页篡改防护篡改防护效果:支持通过替换、重定向等技术手段,防护篡改页面 8 序号 指标 要求65 管理员强认证:支持网站维护管理员必须通过短信认证才可进行网站更新业务操作66 报警方式:支持短信报警、邮件报警、控制台报警等多种篡改报警方式67 病毒引擎:基于流引擎查毒技术,可以针对HTTP、
19、FTP、SMTP、POP3 等协议进行查杀68防护类型:能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒69 病毒库数量:支持 10 万条以上的病毒库,并且可以自动或者手动升级70病毒防护处理动作:检测到病毒后的操作:支持记录日志、阻断连接71URL 过滤:对用户 web 行为进行过滤,保护用户免受攻击;支持只过滤 HTTP GET、HTTP POST、HTTPS 等应用行为;并进行阻断和记录日志72文件类型过滤:支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断
20、和记录日志73ActiveX 过滤:支持基于签名证书的 ActiveX 过滤;支持添加白名单和合法网站列表;支持基于应用类型的 ActiveX 过滤,如视频、在线杀毒、娱乐等;74WEB 安全防护脚本过滤:支持基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等75 多线路技术:网关必须能同时连接多条外网线路,且支持多线路复用和智能选路技术76 虚拟多线路:必须支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控;77 应用流控:支持基于应用类型划分与带宽分配78 网站流控:支持基于网站类型的划分与带宽分配79 文件流控:支持基于文件类型划分与分配带宽80
21、时间控制:支持基于时间段的带宽划分与分配策略81流量管理目标 IP 流控:支持基于访问行为的目标 IP 实现带宽划分与分配82 认证方式:支持基于用户名/密码、单点登陆以及基于 IP 地址、MAC 地址、计算机名的识别等多种认证方式83单点登陆:支持 AD 域结合、Proxy、POP3、web 表单等多种单点登陆方式,简化用户操作;可强制指定用户、指定 IP段的用户必须使用单点登录84 新用户认证:支持添加到指定本地组、临时账号和不允许新用户认证等新用户认证策略85用户认证强制 AD 认证:必须提供你指定用户必须用 AD 域账户登录操作系统,否则禁止上网 9 序号 指标 要求86 页面跳转:认
22、证成功的用户支持页面跳转,包括最近请求页面、管理员制定 URL、注销页面等87 帐户导入:支持 CSV 格式文件导入、扫描导入和从外部 LDAP服务器上导入;支持从 LDAP 服务器导入账户及分组信息88 组织结构:用户分组支持树形结构,支持父组、子组、组内套组等组织结构89 管理界面:支持 SSL 加密 WEB 方式管理设备90告警管理:支持邮件、短信(可扩展)等告警方式,可提供管理员登陆、病毒、IPS、web 攻击以及日志存储空间不足等告警设置91 排障工具:提供图形化排障工具,便于管理员排查策略错误等故障92网关管理配置向导:提供路由、网桥、旁路等部署模式的配置引导,提供保护服务器、保护
23、内网用户上网安全、保证内网用户上网带宽、保证遭到攻击及时提醒和保留证据等网关应用场景的配置引导,简化管理员配置93 风险评估报表:提供端口、服务、漏洞、弱密码、WEB 安全漏洞等安全风险评估报表94安全日志查询:支持 DOS 攻击、web 防护、IPS、病毒、web威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询95服务器安全报表:提供遭受攻击最多服务器、攻击类型分布、攻击最多来源 IP、服务器安全说明、服务器安全分析等内容服务器安全报表96 安全趋势报表:提供可定义时间内安全趋势分析报表97安全统计报表:支持自定义统计指定 IP/用户组/用户/应用在指定时间段内的服务器安全风险
24、、终端安全风险等内容,并形成报表98 报表订阅:支持将统计/趋势等报表自动发送到指定邮箱99日志管理报表导出:支持导出安全统计/趋势等报表,包括网页、PDF等格式100 产品应具备软件著作权登记证书;101 产品应具备计算机信息系统安全专用产品销售许可证;102 产品应具备 ISCCC 中国国家信息安全产品认证证书;103 产品必须通过 CVE 认证104产品资质产品必须通过 OWASP 认证103 质保期 原厂三年104 服务承诺 提供原厂服务承诺函1.2 网络行为管理序号 指标 要求1 整机数量 1 台,2U 标准机架式,双电源 10 序号 指标 要求2 接口 6 个千兆电口,4 个千兆光
25、口3 并发会话数 12000004 吞吐量 1.2Gbps5 系统识别:支持识别终端操作系统版本、系统补丁安装情况;(必须提供自主知识产权证明,加盖厂商公章);6终端管理 进程识别:支持识别终端系统后台运行的进程信息,防止间谍软件的运行;(必须提供自主知识产权证明,加盖厂商公章);7应用识别规则库:支持根据标签选择应用,标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖 6 大类;支持给每个应用自定义标签;支持根据标签选择一类应用做控制;支持对每一种应用的定义和解释,帮助客户快速定位应用的分类;支持给每一种应用列上图标,易于客户了解应用的特征
26、。8应用管理防共享:具有防共享上网功能,可检测到内网共享代理上网行为,并冻结该用户;在数据中心报表中可查询通过共享上网的 IP、用户,并能导出报表;9 网页管理SSL 加密网页:识别并过滤 SSL 加密的钓鱼网站、金融购物网站、非法网站等(必须提供自主知识产权证明,加盖厂商公章);10邮件附件过滤:支持基于扩展名过滤含指定文件类型的邮件外发行为;支持根据附件大小、附件个数限制外发邮件;11 支持识别删除、篡改文件扩展名的邮件附件外发行为并报警;(提供界面证明);12邮件管理加密 SMTP、POP3 邮件审计;支持对加密 HTTPS、POP3-SSL 、POP3、IMAP 、IMAP-TLS 、
27、IMAP-SSL、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端邮件内容的审计。13多线路技术:网关必须能同时连接多条外网线路,且支持多条线路流量复用和智能选择流速最快线路的技术(必须提供自主知识产权证明,加盖厂商公章);14流量控制虚拟多线路:必须支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控;(提供界面证明)15无线热点发现:设备必须支持能自动发现网络中通过无线上网的热点和移动终端的 IP 和终端类型;支持管理员配置热点信任列表;支持发现信任列表外非法接入的热点和终端,并阻止该热点/终端上网;支持将非法热点接入网络的行为通过邮件告警通知管理员,并在数据中心支持行为记录和查询;(提供产品界面截图)16上网安全管理协议异常行为:必须能识别并封堵内网终端感染木马、间谍软件、黑客远程控制的行为及流量,防止内网感染(提供界面证明);
黑公网安备:91230400333293403D