莆田市第一医院网络设备公开招标公告（编号PTCG2013011-G

包号

商品名称

规格型号/技术指标

数量

单位

1

黑盾运维管理审计系统HD-SAS-Fort-1020

一、总体技术要求：1、1U标准机架，标准配置6个10/100/1000M接口和1个扩展槽，最高可配8个1000M，支持外接NAS，支持Telnet、FTP、SSH、SFTP、RDP、VNC协议，支持100个许可(管理员数+设备数),500G硬盘；2、▲产品须包含1台运维管理审计系统主机和1台应用托管中心；3、图形并发会话数≥100，字符型并发会话数≥300，可管理设备数量≥100台；二、功能要求：1、支持字符型远程操作协议：SSH、TELNET；2、支持图形化远程操作协议：RDP、VNC、X11；3、支持文件传输协议：FTP、SFTP；4、▲支持数据库远程操作协议：支持ORACLE、MSSQL、Mysql等数据库远程访问协议审计；5、支持通过应用发布中心系统扩展支持其他访问协议，如Radmin、PcAnywhere、HTTP/HTTPS等；6、▲允许用户快速自定第三方应用类型，如行业软件等；字符终端支持各种交换机、UNIX、Linux，无需进行二次开发；三、安全性要求：1、产品自身不允许开放高危服务端口，如Telnet(23)；系统自身应不存在中级和高危级别的漏洞；2、支持采用web数字证书认证方式限制客户端登录,无合法证书的客户端无法访问系统登录界面；四、对象管理要求：1、支持添加、删除、锁定、冻结、废除用户；2、支持用户分组功能；3、支持临时账户功能，临时账户有效期过后自动进行锁定；4、支持添加、删除主机对象；5、支持对象分组功能；6、支持目标对象访问协议管理功能，管理员可更改访问协议的默认端口；7、支持目标对象帐号管理功能，可灵活添加多个访问帐号；8、▲认证方式至少支持本地密码认证、RADIUS认证、AD域认证；9、支持“审计系统帐号”与“服务器帐号”相关联，实现操作者的自然人身份确认；10、支持对windows、Unix、Linux、Cisco网络设备的系统帐号进行自动改密；11、管理员可自动以自动改密计划，设定计划名、开始时间、执行周期（多长时间更改一次）；12、支持对自动改密的密码强度进行设定，包括:长度、字符要求、特定前缀等内容；13、具备完备的自动改密日志，支持邮件自动发送改密结果；14、▲具备虚拟堡垒机功能，产品需支持部门级别的独立管理，针对用户的不同部门，让每一个部门能够独立管理自身资源，但无法管理其他部门资源；15、▲默认管理员、审计员和运维人员权限分离，即除了超级管理员，普通管理员仅能管理资源、修改堡垒机的配置而无法进行审计，也无法对托管资源进行操作；16、审计人员仅能查看审计记录，包括托管资源的操作记录，修改堡垒机配置的操作记录，但无法修改堡垒机的配置，无法管理托管资源，也无法对托管资源进行操作；运维人员仅能对已经赋权的资源进行操作，但无法实行管理员和审计员的操作；五、访问管理功能：1、Web访问方式: 支持web调用本地客户端方式访问远程服务器，并可以定制SecureCRT、PUTTY、WinScp、FlashFXP的程序路径；2、WEB方式至少支持RDP、SSH、TELNET、FTP、Oracle、Mysql、MSSQL等访问方式；3、客户端菜单模式访问：支持通过常用客户端软件，如MSTSC、SecureCRT、PUTTY等，用户可通过字符菜单或图形菜单选择方式选择目标服务器并进行访问；4、菜单模式下，退出当前维护会话后可以返回菜单资源选择界面，方便管理员登录其他服务器管理；5、通过页面上传运维人员事先写好的脚本，一次性完成对远程运维主机进行批量的操作；6、支持限制用户的允许登录时间、登录时间有效期；7、支持限制用户的登录IP，IP限制可添加多个IP或网段；8、支持按用户限制RDP会话CONSOLE登录；9、支持按用户开启/关闭RDP会话中的剪贴板功能；10、支持按用户开启/关闭RDP会话中的磁盘映射功能；11、支持按用户开启/关闭SSH会话中的SCP功能；12、支持SSO功能，运维人员无须目标服务器帐号密码即可进行访问；13、支持按对象主机、主机帐号、运维账号、访问方式等条件进行组合授权；14、支持运维用户多次登录失败自动锁定账号功能；15、在运维管理审计系统管理界面中设定某用户仅能管理的某一应用，使用应用托管中心时，仅能看见该应用的窗口，而无法看见其他图标；16、▲支持设定会话连接单位时间内空闲无操作，连接自动断开；17、支持对违规事件进行告警及自动阻断；18、支持对违规操作的指令进行忽略处理；19、支持以屏幕、邮件等方式实时发送告警信息；六、审计功能：1、支持对操作过程进行同步监控功能，审计员可通过管理界面实时查看运维人员进行的操作，并可手工中断操作会话；2、支持Vi、smit、setup、dbacc等图形或菜单操作进行全程同步监控；3、支持主动监控，每当产生会话时，均能在管理软件上自动弹出可监控界面，无需人工干预，且产生危险操作后，能够进行警报；4、提供人性化历史数据查询界面，支持多重条件组合检索能力；5、支持按发生时间、客户端IP、服务器IP、操作指令等内容进行组合查询；6、针对SSH、Telnet访问操作需要记录发生时间、客户端IP、服务器IP、操作命令、运维审计系统用户、目标服务器账号等内容；7、针对RDP、VNC等图形终端操作须详细记录访问开始时间、结束时间、客户端IP、服务器IP、运维管理系统帐号、目标服务器账号、键盘输入等信息；8、RDP访问Windows时需要记录Windows程序窗口的窗口标题；9、▲图形运维录像能够快速前进后退，不论图形运维录像时间长短，都能够在5秒钟内迅速定位到会话中的任意位置；10、针对数据库访问操作需要记录发生时间、客户端IP、服务器IP、运维审计系统用户、数据库帐号、数据库操作命令等内容；11、针对FTP/SFTP访问操作需要记录发生时间、客户端IP、服务器IP、运维审计系统用户、FTP服务器帐号、FTP指令等内容；12、支持根据运维用户行为、管理人员操作、会话连接情况等信息做出报表；13、支持用户操作、管理员操作等元素的报表；14、支持报表模板，并能够通过该模板生成对应的报表；15、支持自动生成报表功能，能够通过报表模板定期生成报表；16、支持自定义报表，管理员能够按照需要的元素自由生成报表；七、系统管理功能：1、支持通过cifs等方式自动上传归档数据；2、支持备份数据恢复导入；3、支持系统配置的备份、恢复功能；4、支持时间同步功能；5、系统状态监控：实时监控审计系统CPU、内存、磁盘的使用情况；6、支持通过WEB管理界面重启、关闭设备；7、支持从WEB界面对审计系统的网络进行设置，包括网卡IP、DNS服务器等内容；6、产品自身日志支持syslog，并能保存至日志服务器；7、▲产品自身支持snmp v1或snmp v2；

1

1

核心服务器区网络防火墙

1、★机架式硬件防火墙，配置6个1000M电口和1个扩展槽，最高可配10个1000M，2个USB，1个COM口，可扩展 4个SFP光口模块；无用户数限制，网络吞吐量≥1G，并发连接数≥200万，每秒新建会话数≥4万；平均无故障时间（MTBF）≥100000h；2、支持路由模式、透明模式和混合模式三种工作模式，无硬盘化FLASH设计，加强稳定性和安全性；3、支持CLI和WEB两种配置管理方式，友好的图形用户操作界面，无需客户端管理软件；支持远程设置和管理，远程管理应采用加密传输机制（支持SSL128位加密的通讯）；4、★支持网络链路备份，多条接入线路相互备份，提供截图界面；支持双机热备功能，当一台防火墙发生意外宕机、网络故障、硬件故障等情况时，另一台防火墙自动切换工作状态，切换时间在1秒之内，保证了网络的高可靠性，提供截图界面；5、支持基于策略的路由，能够建立灵活的选路由方式；具有智能内容过滤功能，支持URL级的访问控制及通用内容过滤；6、★支持时间管理和带宽流量管理，提供基于优先级的带宽流量管理功能。全面支持虚拟局域网（VLAN）技术，能够同交换机的Trunk接口对接，为多个安全域提供安全功能，透明支持802.1q、VLAN协议、VTP协议；7、具有专用的日志管理系统与安全审计：采用各种管理人员分权管理，同时系统提供审计功能记录配置管理员、系统管理员、审计员、安全备份管理员的任何相关的操作，包括所有的登录企图和失败操作，方便事后审计备查；8、★产品具有受控终端文档安全防护功能，文档安全防护主控界面能够提供受控进程的配置项，进程类型包括明文进程、密文进程、信任进程、明文服务进程等，并且文档安全防护主控界面上可详细记录受控终端的文件操作记录，包括文件的读写、删除等操作记录等，需提供该功能截图界面；9、★具有强大的用户认证功能：使用客户端软件实现身份认证，做到基于用户名的访问控制；支持本地认证数据库存储，支持用户名导入；支持用户名与IP、MAC三重绑定，并可自动导入静态ARP表；客户机网关MAC绑定；可设置信任连接，不受身份认证控制；支持认证成功或失败时WEB/URL重定向；10、★提供良好的专业化售后服务，提供3年免费保修服务，厂商省内直属服务机构具有国家信息安全工程类一级以上（含一级）服务资质认证书，同时是福建省公安厅认可的网络安全事件应急处置安全服务（含试点）单位，产品生产商为国家密码管理局商用密码产品生产定点单位，确保能够提供专业化的本地网络安全服务,并具有至少2名国家CISP的注册安全认证工程师（包含2名）能够在1小时内提供网络安全应急服务（以上资质要求需提供相关材料复印件并加盖原厂商公章）；11、★产品具备：我国自主知识产权，公安部销售许可证，《商用密码产品销售许可证》，国家保密局的《涉密信息系统产品检测证书》并列入福建省保密局《福建省保密技术防范、检查产品推荐目录》以及福建省工程建设项目甲控设备材料供应商名录，产品符合闽经贸函运行〔2012〕91 号文件的有关规定,列入国家信息产业部《政府使用正版软件产品推荐目录》，产品必须通过中国信息安全认证中心的3C认证（以上资质要求需提供相关材料复印件并加盖原厂商公章）

2

1

运维管理区网络防火墙

1、★机架式硬件防火墙，配置4个1000M电口，2个USB，1个COM口， 可扩展；无用户数限制，网络吞吐量≥650 Mbps，并发连接数≥120万，每秒新建会话数≥2.2万；平均无故障时间（MTBF）≥100000h；2、支持路由模式、透明模式和混合模式三种工作模式；无硬盘化FLASH设计，加强稳定性和安全性；采用内核深度包检测（Kernel Deep Packet Inspact ）技术，实现从第2层的帧过滤到第7层的应用识别过滤；3、支持CLI和WEB两种配置管理方式，友好的图形用户操作界面，无需客户端管理软件；支持远程设置和管理，远程管理应采用加密传输机制（支持SSL128位加密的通讯）；4、★支持网络链路备份，多条接入线路相互备份，提供截图界面；5、支持基于策略的路由，能够建立灵活的选路由方式；具有智能内容过滤功能，支持URL级的访问控制及通用内容过滤；6、★支持时间管理和带宽流量管理，提供基于优先级的带宽流量管理功能。全面支持虚拟局域网（VLAN）技术，能够同交换机的Trunk接口对接，为多个安全域提供安全功能，透明支持802.1q、VLAN协议、VTP协议；7、具有专用的日志管理系统与安全审计：采用各种管理人员分权管理，同时系统提供审计功能记录配置管理员、系统管理员、审计员、安全备份管理员的任何相关的操作，包括所有的登录企图和失败操作，方便事后审计备查；8、★具有强大的用户认证功能：使用客户端软件实现身份认证，做到基于用户名的访问控制；支持本地认证数据库存储，支持用户名导入；支持用户名与IP、MAC三重绑定，并可自动导入静态ARP表；客户机网关MAC绑定；可设置信任连接，不受身份认证控制；支持认证成功或失败时WEB/URL重定向；9、★提供良好的专业化售后服务，提供3年免费保修服务，厂商省内直属服务机构具有国家信息安全工程类一级以上（含一级）服务资质认证书，同时是福建省公安厅认可的网络安全事件应急处置安全服务（含试点）单位，产品生产商为国家密码管理局商用密码产品生产定点单位，确保能够提供专业化的本地网络安全服务,并具有至少2名国家CISP的注册安全认证工程师（包含2名）能够在1小时内提供网络安全应急服务。（以上资质要求需提供相关材料复印件并加盖原厂商公章）；10、★产品具备：我国自主知识产权，公安部销售许可证，《商用密码产品销售许可证》，国家保密局的《涉密信息系统产品检测证书》并列入福建省保密局《福建省保密技术防范、检查产品推荐目录》以及福建省工程建设项目甲控设备材料供应商名录，产品符合闽经贸函运行〔2012〕91 号文件的有关规定,列入国家信息产业部《政府使用正版软件产品推荐目录》，产品必须通过中国信息安全认证中心的3C认证（以上资质要求需提供相关材料复印件并加盖原厂商公章）

1

台