《项目的建设要求》由会员分享,可在线阅读,更多相关《项目的建设要求(11页珍藏版)》请在金锄头文库上搜索。
1、一、项目的建设要求1、总体目标随着信息技术的迅猛发展,医院信息系统利用计算机的高新技术,使医院日常管理合理 化,大大提高了医疗服务质量,提高了医院的管理水平。鉴于任何系统都可能因设备故障 系统缺陷、病毒破坏、人为错误等原因导致速度下降甚至系统崩溃,严重影响医院医疗活动 的正常开展。信息系统安全等级保护建设的目的在于保障重点信息系统的安全,规范信息安 全等级保护,完善信息保护机制,提高信息系统的防护能力和应急水平,有效遏制重大网络 与信息安全事件的发生,创造良好的信息系统安全运营环境。面对医院门诊、住院人数之多,随着医院信息化建设的逐步深入,网上业务由单一到多 元化,各类应用系统逐渐增多,信息系
2、统承受的压力日益增长,医院信息系统已经成为医院 正常运行不可或缺的支撑环境和工作平台,通过建立合理可靠的技术平台,细致的日常管理 与及时的故障处理应急预案,将信息系统等级保护措施落实到实处,确保信息系统不间断运 行,只有在技术和管理互相提供支撑的前提下才能确保系统的稳定运行。从医院角度依据信息安全等级保护的要求,通过对医院核心信息系统的建设,充分发挥 网络在医院信息系统中的应用。从技术安全阐述如何建立合理技术平台,加强安全防护对策。 强调了保障网络和信息系统安全,让安全稳定的网络支撑医院走上可持续发展之路。核心业 务是医院信息化建设的基础,是医院信息系统运行的平台,对医院运行效率和管理水平都有
3、 重要作用,因此创造良好信息系统安全运营环境是医院信息安全的最终目。通过开展信息安全等级保护工作,日照市岚山区人民医院将有效解决信息安全面临的威 胁和存在的主要问题,有效预防、及时控制和最大限度消除危害和影响,确保信息网络和信 息系统的安全、稳定运行和业务的连续性。因此,本项目建设既是贯彻落实信息安全等级保 护制度的具体措施,同时,对于提升信息安全保障工作的整体水平具有十分重要的意义。2、遵循规范此次建设满足并遵循如下规范和标准:国家信息化领导小组关于加强信息安全保障工作的意见(27 号文件) 关于信息安全等级保护工作的实施意见(66 号文件) 信息安全等级保护管理办法信息安全技术信息系统通用
4、安全技术要求(GB/T20271-2006)信息安全技术网络基础安全技术要求(GB/T20270-2006)信息安全技术操作系统安全技术要求(GB/T20272-2006)信息安全技术数据库管理系统安全技术要求(GB/T20273-2006) 信息安全技术服务器技术要求卫生行业信息安全等级保护工作的指导意见信息系统安全等级保护基本要求(GB/T22239-2008)信息系统安全保护等级定级指南(GB/T22240-2008)3、建设内容建设内容编号设备名称单位数量备注1外网边界防火墙台1参数详见标书2内网边界防火墙台1参数详见标书3数据库申计台1参数详见标书4WEB应用防火墙台1参数详见标书5
5、日志审计台1参数详见标书6信息系统脆弱性测试安全服务次/年8参数详见标书、硬件设备参数及服务要求产品名称技术要求外网边界防火墙(1台)1、基本要求:要求设备采用自主知识产权的专用安全操作系统, 采用多核多平台并行处理特性;支持多操作系统引导,多系 统需在设备启动过程中进行选择,不得在WEB维护界面中 设置系统切换选项;要求产品符合电信级质量体系认证;1U 机箱;配置不少于6个10/100/1000BASE-T接口和1个可 插拔的扩展插槽,所有接口非combo光电互斥接口或共享父 换接口,防火墙吞吐率不小于6Gbps,最大并发连接数不小 于200W。含3年病毒库升级服务和3年入侵防御攻击规则 库
6、升级服务。2、要求产品支持入站智能DNS功能及服务器负载均衡功能, 为更合理的实现流量负载分担,需提供不少于10种的负载 均衡算法;支持DNS Doctori ng功能,同一域名对应不同 的内网服务器真实IP地址,实现内网资源服务器的负载均 衡,提供截图。3、要求支持对单条访问控制策略进行最大并发连接数和长连接 的限制。4、要求支持WEB界面显示每条朿略的命中数,能够在WEB 界面显示每条策略所引用资源的对象信息;支持在WEB界 面上开启策略冲突检测功能,在出现策略冲突时,能够在 WEB界面进行警告,提供截图。5、支持病毒防御功能,米用国内国际权威病毒库和病毒引擎;要求病毒防护规则至少包含40
7、0万条,提供相应证明。6、要求支持资源虚拟化和功能虚拟化;要求资源虚拟化至少支 持在一台物理设备上划分出4000个相互独立的虚拟系统, 提供截图。7、要求支持智能朿略分析功能,支持朿略命中分析、朿略几余分析、策略冲突检查,并且可在WEB界面显示检测结果: 红色为冗余策略,绿色为冲突策略,提供截图。&要求支持抗DDOS攻击防御功能;至少须包含支持基于TCP、IP、UDP、DNS、HTTP、NTP协议的检测和清洗;支持根据DOS/DDOS攻击行为自动添加动态黑/白名单功 能,提供截图。9、要求支持一体化访问控制功能,访问控制策略执行动作支持允许、禁止及认证,对符合条件的流量进行Web认证,在 策略
8、中可设置用户Web认证的门户地址;10、要求支持入侵防御功能,支持web攻击识别和防护,如跨 站脚本攻击、SQL注入攻击;支持超过4200+攻击特征库, 提供截图,能够确保每周至少更新1次攻击特征库。内网边界防火墙(1台)1、基本要求:1U标准机架尺寸,配备5个千兆电口,4个COMBO 接口,提供USB接口,网络层吞吐量三6Gbps,最大并发连接 数三200万,IPSecVPN隧道数 三2000 (本次满配2000), SSL用户数三1000 (本次实配8个并发)。三年软件升级服 务,三年硬件质保,配置IPS (3年)、AV防病毒(3年)、 负载均衡、攻击防护、视频准入、DLP、云端管理等功能
9、。可 扩展云沙箱、僵尸网络检测、垃圾邮件过滤等功能。2、流量、应用、威胁、配置图形化可视,配置IPS功能,IPS功 能基于状态、精准的高性能攻击检测和防御。提供7000多种 特征的攻击检测和防御,特征库支持网络实时更新,可输入报 表,提供截图。3、具有策略冗余检测,可以对策略是否重复进行检查,或具有策 略提醒功能,避免策略冗余,提供截图。4、配置专业的AV病毒检测引擎,内置病毒特征不少于1300万条。5、具有 SYN Flood、DNS Query Flood 等多种 DoS/ DDoS 攻击防 护,多种畸形报文攻击防护。6、要求实时显示文件过滤,内容过滤,微信,QQ,微博上下线日志, 提供截
10、图。7、要求支持用户认证功能,支持本地用户的WEB认证和短信认 证,支持外部服务器认证(RaidusActiveDirectoryLDAPTACACS+),支持 WEBAuth 认证页面定制,支 持微信连WIFI功能。& 支持AlgoSec和FireMon主流防火墙管理系统,并提供AlgoSec和FireMon官网证明材料。支持通过HTTP/HTTPS方 式进行管理;设备运行状态显示,包括硬盘、内存和CPU、温 度利用率的概览显示和详细信息显示;9、文件传输管控:支持通过 http-post, http-get, ftp, smtp, pop3 识另ij类型包括 avi, bat, cmd,
11、docx, dwg, exe, iso, jar, jpg等几十种文件,并有效控制和记录日志,提供截图。数据库审计(1台)1、基本要求:国内知名品牌,自主研发,1U标准机架尺寸,含 单交流电源,2*USB接口,1*RJ45串口,1*GE管理口,6*GE 电口,1个接口扩展槽位,2T SATA硬盘,至少含3个数据 库实例,SQL性能215000条。三年服务,包含软件更新服 务、产品保修服务、远程支持服务。2、数据库审计系统应支持对Oracle、SQL Server、MySQL、DB2、 PostgreSQL、Sybase、达梦(DM)、人大金仓 kingbase、Oscar 数据库进行审计。3、
12、支持复杂SQL语句支持:能够准确审计长SQL语句,有效分 害V、准确审计多SQL语句,准确审计绑定变量的SQL语句。4、支持数据库自动发现,设备无需添加、即插即用。5、支持根据SQL执行结果设定策略及IP、MAC、端口、用户设 定告警策略;6、支持事件分析:依据安全策略,以时间为基线,统计异常事 件的发生数量和趋势,提供截图;7、支持告警分析:依据安全策略,以时间为基线,统计严重告警事件的发生数量和趋势;8、支持自动诊断功能,一键自检查看当前网卡流量、审计状态、 入库延迟、策略中心、系统CPU、内存的运行状态等是否有异 常,方便售后人员基于诊断报告定位产品问题。9、支持会话分析:基于客户端IP
13、、数据库用户、访问程序统计会 话、支持会话检索;失败会话和并发会话统计;支持应用层关 联会话查询。10、系统内置性能评估工具,可以生成性能分析报告,直观展现 系统的CPU、内存、会话信息、数据库流量、语句数等信息。WEB应用防火墙(1台)1、基本要求:国内知名品牌,自主研发,1U标准机架尺寸,含 交流单电源,2*USB接口,1*RJ45串口,1*GE管理口,4*GE 电口 (Bypass),最大支持4路防护。网络层吞吐量21.6G, 最大并发连接数250000,最大事物处理数23000tps,三年 服务,包含软件更新服务、产品保修服务、远程支持服务。2、支持IPV6协议通过与防护;支持SQL注
14、入、XSS防护,支持 使 HTTP 头域中的 Cookie、Referer、User-Agent, Except 字段 过防护、CSRF防护、爬虫防护、盗链防护等策略;3、支持Cookie安全机制,包括Cookie加密和Cookie签名的防护 算法。4、支持暴力破解防护,可针对指定URL进行暴力破解防护, 并提供截图。5、支持透明模式、旁路模式和反向代理模式部署;6、设备自身支持“SQL注入、XSS漏洞扫描”和“挂马扫描”功 能,并提供界面截图证明;7、支持根据用户配置的服务器信息,自动生成一套安全解决方 案。8、支持紧急模式,当连接数超过阀值时,已经代理的连接正常代 理,对新增的请求不进行代
15、理,直接转发,防止WAF成为访 问瓶颈;日志审计(1台)1、基本要求:国内知名品牌,自主研发,1U标准机架尺寸,含 交流冗余电源模块,包含1个RJ45串口,2个GE管理口,最多 可配置14个千兆数据采集口或4个万兆数据采集口,系统硬盘容 量应不低于4TB,单台日志处理性能:平均1000EPS, 10亿背景 数据指定字段查询最快可在5秒内响应,授权可接入130个日志源。2、系统基于大数据平台架构,具备海量数据收集与快速检索能 力;3、支持内置采集器,不依赖其他设备即可进行日志采集;4、支持的数据采集范围包括但不限于网络安全设备、交换设备、 路由设备、操作系统、应用系统等;5、支持范式化日志多级提取,支持字段提取、字段转换、字段 修正等,提供配置界面截图证明;6、支持的数据采集方式包括但不限于SYSLOG、SNMPTrap、FTP、 JDBC、Netflow、专用Agent等方式采集日志;7、支持正则、KV、格式串等多种灵活的提取方式,支持自动生成 正则以高效的辅助提取;8、支持按类型、按日期(天),手动、自动备份日志,支持设置日 志存储备份策略,可设置备
