蚌埠市五河县人医院医院信息系统三级等级保护建设项目招.docVIP

蚌埠市五河县人民医院医院信息系统三级等级保护建设项目招标技术要求 方案的概述 医院信息系统三级等级保护方案如下： 依据国家信息系统安全等级保护基本要求和公安部82号令的相关法规，结合对医院网络安全分析的结果，建议从医院办公内网、办公外网方面在网络接入安全、应用安全、主机安全、数据安全等维度进行安全体系的设计，从而实现医院网络安全的整体防护。其中办公内网包括了医院内部外联区、核心业务区、安全运维区、互联网接入区（外联区主要包含了各级医保单位、农合、银联、分支接入）。 （1）生产内网外联域（医保网/合作交换平台区域）：该区域说明如下：与对端农合交换平台数据对接（使用IPSec VPN），需识别专网之间流量中的威胁，实现对流量中入侵行为的检测与阻断（使用第二代防火墙）。 （2）内网核心业务区：该安全域主要承载内网核心业务信息系统，需对这些业务信息系统提供2-7层安全威胁识别及阻断攻击行为的能力，如SQL注入、XSS（跨站脚本攻击）、CSRF（跨站请求伪造攻击）、cookie篡改等（使用第二代防火墙）。 （3）安全运维区：使用堡垒主机，数据库审计，日志审计，运维管理一体机，安全态势感知平台等。形成规范的运维授权管理流程，通过对运维操作内容的记录， 提供指令级别的操作控制能力，通过技术手段有效规范运维 人员的操作行为，降低内部安全风险，自动分析运维人员操作过程，评估访问风险、并提供完整的 合规审计报告，降低IT内控审计工作量（使用堡垒主机产品）；主要存储业务信息系统产生的数据，需对这些数据库的访问权限进行划分，并对数据库的相关操作进行审计，防止医疗统方行为（使用数据库审计产品）；实时不间断地采集汇聚医院网络中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息，协助用户进行安全分析及合规审计，及时、有效的发现异常安全事件及审计违规（使用日志审计产品）；识别常见网络应用，实现基于业务系统、目标服务器、来源（分支/用户）、协议、会话等多个维度进行流量可视化，监控上网链路质量是否健康、用户上网体验是否正常、网络时延、重传等关键指标，能够实时监视服务器的常见资源使用情况，监视路由器、交换机、防火墙等基础网络设备功能的CPU/内存利用率、网口流量等信息（使用运维管理一体机产品）。 （4）互联网接入区：需在互联网出口边界进行隔离和访问控制，保护内部网络，从2-7层对攻击进行防护，实现对入侵事件的监控、阻断，保护整体网络各个安全域免受外网常见恶意攻击，利用网络防病毒，主动扫描web和电子邮件流量、阻止恶意软件到达并感染网络上主机等防护功能（使用第二代防火墙）；需对互联网出口流量进行识别并对流量进行管控，提高带宽利用率的同时保障用户上网体验，并按相关法律法规进行上网行为审计（使用网络安全审计系统）。 设备货物需求及技术规格 1、本次所购的硬件设备总体质量(含附件)应确保品牌原装正品，严禁使用非原装设备替代。 2、以下计算机和网络设备的配置和数量，除非特殊声明，均应按照本节所述的设备技术规格要求的配置清单要求进行配置。投标方可以根据自身技术方案的要求做出调整，但变更项目应反映在“规格技术参数偏离表”中。投标方对硬件设备的型号、配置、数量予以确认，并承担责任；“★”视为关键参数，不满足则在评分中扣除相应的分数。以下所有产品参数均以厂商提供的产品彩页为准。 3、投标公司除设备参数要逐条响应外，对于应用效果也应逐条响应，并说明实现方式，提供所投产品的官方证明材料证明能满足上述功能要求（提供官网链截图或设备后台功能截图）；用户有权利要求投标公司继续提供证明资料证明能够满足上述应用效果要求，对于不能满足应用效果的或无法提供证明资料（必须为所投产品厂商提供的资料）的做扣分处理；所投产品应不低于设备参数要求。所投产品中标后保留逐条参数测试权力，以防虚假应标，不满足按废标处理并追究法律责任。 4、中标公司在院方指定时间内和软件公司相互配合达到交钥匙工程。 5、设备货物需求一览表 系统集成工程 序号 设备名称 单位 数量 备注 1 ▲综合安全网关 台 1 2 网络安全审计系统 台 1 3 第二代防火墙（基础版：包含防火墙和入侵防御功能） 台 2 4 第二代防火墙（高级版：包含防火墙、入侵防御和web应用防护功能） 台 2 5 ▲网闸 台 1 6 ▲安全资源池一体机 台 1 7 安全资源池基础架构软件 套 1 8 ▲安全资源池安全组件（日志审计） 套 1 9 ▲安全资源池安全组件（运维审计） 套 1 10 安全资源池安全组件（端点安全软件） 个授权 150 11 ▲SSL VPN 台 1 12 数据库审计 台 1 12 安全态势感知平台 台 1 14 潜伏威胁检测探针 台 1 15 运维管理一体机 台 1 16 液晶电视 台 1 17 等保测评服务