于都县人民医院网络安全及存储扩容项目电子化公开招标公告

项目概况

网络安全及存储扩容 招标项目的潜在投标人应在（江西省公共资源交易网（网址： http://www.jxsggzy.cn/web/）获取招标文件，并于 2020 年5月 27日14点30分（北京时间） 前递交投标文件。

采购名称

简要说明

数量

采购项目编号

采购项目预算

网络安全及存储扩容项目 (国产产品)

具体技术要求详见附件。

1项

YDJC2020-G002

2025100.00元

设备名称

主要技术参数

数量

单位

预算单价

应用控制

1、≥2U机架式独立硬件设备，系统硬件为全内置封闭式结构，加电即可运行，启动过程无须人工干预；多核架构设计，CPU核数目≥4个，不允许采用X86架构，功能采用模块化结构设计；

2、配置≥12个GE接口，≥12个SFP接口，内置存储硬盘≥500G；扩展插槽≥1个；

3、设备内置双电源，内置2.4寸彩色液晶屏，具备触碰按钮；可显示版本号、CPU利用率、内存利用率、设备名称、管理IP等信息；

4、网络吞吐量≥6Gbps；内存≥2G，最大用户数≥2000；

5、支持静态路由、策略路由、RIP、OSPF、ISP路由，其中ISP路由支持自定义，并可提供基于应用的策略路由；

6、支持主流P2P、IM、在线视频、网络游戏、网络炒股等应用识别，支持基于IP、端口等自定义协议服务；

7、支持即时通讯应用管控的精细化管理，例如微信的“所有行为”、“语音”、“发消息”、“收消息”、“登录”、“发文件”等行为；支持网络社区应用管控的精细化管理，例如可管控“所有行为”、“登录”、“网页浏览”、“发表”、“上传”等行为；

8、支持微信、QQ等即时聊天应用的聊天内容审计；

9、支持HTTPS解密功能，支持管理界面及命令行配置解密策略，包括入接口、源地址对象、目的地址对象、https对象、域名排除等；支持HTTPS域名库，预定义域名以及自定义域名；

10、支持通道化的QoS，支持基于源地址、用户、服务、应用、时间进行带宽控制，并支持配置保障带宽、限制带宽、带宽借用、每IP带宽、流量限额、带宽优先级等QoS动作，时间选择支持基于日计划、周计划、单次计划等

11、配置三年应用识别库。

1

台

155000.00

安全隔离网闸

1、采用2+1架构，专用传输隔离部件完全自主开发且外部无法编程控制；内外端机为TCP/IP网络协议的终点，阻断TCP/IP协议的直接贯通；内外端机之间采用专用硬件和专用协议进行连接，不可编程。网闸以软硬件结合的方式，有效地隔断内外网络间直接的连接，防止信息无限制交换；

2、仲裁审计系统部署于内端机上，通用协议无法通过外端机直接连接到仲裁系统，只能通过内端机上的管理口对网闸进行配置，外端机上禁止配置管理；

3、用安全操作系统、增强型内核，能够对两个主机系统提供多层次、高强度的安全防护，保护其重要进程、文件、数据不受黑客侵袭；采用对象互斥和线程守护技术，保护主要进程的安全性和稳定性；

不采用通用的指令库和函数库，只提供有限的内部调试用指令函数；内置病毒查杀库，可查杀基于Linux操作系统各种主流病毒，保证操作系统安全，保证网闸自身不受病毒、木马侵害；

4、提供安全的上网访问，支持HTTP协议及代理等；

5、提供安全的邮件访问，支持POP3、SMTP协议；支持邮件主机地址、邮件内容、发件地址、收件地址、邮件主题过滤；

6、提供安全的文件传输功能，支持FTP、NFS、SAMBA等文件传输协议；支持对FTP传输协议的指令进行过滤，支持对FTP传输文件的关键字进行过滤；

7、可通过samba和nfs方式提供安全的文件同步功能，支持windows平台和linux平台；

8、提供对多种主流数据库（SQL、ORACLE、DB2、SYBASE、CACHE等）数据库系统的安全访问；

9、配置内网≥6个10/100/1000M RJ45接口（含一个管理口），≥1个串口，≥2个USB口，≥2个千兆光；配置外网≥6个10/100/1000M RJ45接口（含一个HA口），≥1个串口，≥2个USB口，≥2个千兆光；

10、网络吞吐量≥600Mbps，系统整体时延≤10ms，并发连接数≥28000；

1

台

170000.00

入侵防御系统

1、基于专业多核硬件平台，非X86硬件平台；

2、配置固化提供≥16个千兆电口，≥固化8个千兆光口，设备扩展槽位≥2，配置双电源；

3、三层吞吐量≥4G，并发连接数≥1500万，新建连接数≥2万，支持虚拟IPS；

4、本次实配12路防护授权；配置3年入侵防御特征库升级授权；

5、攻击特征库数量≥7500+、病毒特征库数量≥40000+、支持的协议识别数量≥3500+；

6、支持深入七层的分析检测技术，能检测防范的攻击类型包括：蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击等；

7、支持P2P、IM、视频等网络滥用协议的检测识别，支持的网络滥用协议至少包括迅雷、BT、eDonkey/eMule、Kugoo下载协议、多进程下载协议（网络快车、网络蚂蚁）等P2P应用， MSN、QQ、ICQ等IM应用， PPLive、PPStream、HTTP下载视频文件、沸点电视、QQLive等网络视频应用；可在识别的基础上对这些应用流量进行阻断或限流；

8、支持检测到攻击报文或攻击流量后，支持Web重定向、黑名单等响应方式，以实现第一时间隔离有安全威胁的主机；

9、系统应支持敏感信息防护功能，识别信息和文件中的关键字、身份证、手机号码、银行卡号、信用卡号等敏感信息；

10、支持具备 DDOS自定义指纹防护，可根据报文长度、TTL值、源目的端口和 IP、序列号、flag标记等信息. 构成的正常流量模型进行指纹防护，并可根据用户需求设置相应的检测、防护阈值及多种防护动作。

1

台

115000.00

日志审计系统

1、1U标准机架设备，多核多线程CPU，≥8G内存，≥2T存储，配置≥6个千兆电口，≥1个扩展槽，可扩展4GE+4SFP插卡、8GE插卡、8SFP插卡，4SFP+插卡；

2、默认支持≥60个设备，可扩展至≥180个设备。日志处理速率≥4000EPS，日志容量≥6亿条；

3、支持单机部署，支持分布式多采集器部署；

4、支持市面主流安全设备、网络设备、中间件、服务器、数据库(支持CACHE数据库)、操作系统等设备对象的日志数据采集；支持主动、被动相结合的数据采集方式；支持日志转发；支持Syslog、SNMP、JDBC、WMI、FTP、文件等进行数据采集；支持通过Agent采集日志数据；

5、支持控制采集时间、采集级别、采集范围、采集路径、采集名称、采集文件、多文件采集、采集编码格式、采集正则表达式、自定义采集等；

6、支持采集网络流量，解析协议不少于ICMP、AMQP、Cassandra、DNS、HTTP、Memcache、MySQL、PgSQL、TNS、Redis、Thrift、MongoDB、NFS、TDS、Sybase、Drda、Dameng、POP、SMTP、达梦等；

7、对元数据进行重加工或扩展加工，通过正则匹配、OID映射等配置文件编写，上传至现有日志审计平台，直接实现数据的扩展兼容；

8、提供TOP10资产事件趋势，支持实时告警数、资产总数、日志事件总数、系统健康状况的图表显示。并支持资产总数、日志事件总数、系统健康状况四项的下钻查看详情；

9、提供可视化关联分析规则编辑视图，可根据实际业务编辑关联分析规则，关联内容支持不少于资产、源地址、源端口、目的地址、目的端口、事件级别、原始日志、关键词等信息；

10、支持在查询结果页面按照时间切片，以柱状图显示每个时间间隔内的日志数量，可直接下钻查询，支持每一秒为一个时间隔；

1

台

156000.00

杀毒软件

1、支持多核cpu的并行计算，提高文件扫描速度

2、可检测并清除隐藏域电子邮件、公共文件夹的计算机病毒、恶性程序等，并且具有未知病毒检测、清除能力

3、支持压缩文件查毒、清毒，压缩层次不少于50层，支持的压缩格式不少于15种；支持对各种加壳病毒文件进行病毒查杀，支持的加壳种类不少于80种

4、可手动配置选择引擎，也可根据客户端环境智能选择引擎，适当的环境选用适当的方案，加快查杀效率

5、邮件病毒检测及清除能力：支持smtp以及pop3协议的邮件接收、发送检测；邮件文件静态检测、清毒；邮箱静态检测、清毒。同时，至少同时支持Foxmail、Outlook、Outlook Express、Notes和Netscape等客户端邮件系统的防（杀）病毒

6、可查杀OFFICE宏病毒，支持网络下载文件的病毒实时查杀、支持族群式变种病毒的查杀。

7、能够准确查杀计算机病毒不少于700万种。

8) 具有智能解包还原技术能够对原始程序的入口进行检测

9、病毒日志的详细查询；可以在控制台上看到实时病毒上报信息，并查看网内病毒爆发趋势图，以及各种相关统计报表；可按指定时间范围提供近期病毒概况与排行，提供本组、子组及客户端病毒信息统计表

10、 病毒来源分析与跟踪，可以根据病毒的名称及ID分析病毒的传播途径与爆发方式，并可绘制网络传播图

11、 可通过指定时间范围查询发现的病毒情况，通过病毒发现来源、病毒状态以及病毒名称、染毒文件名快速过滤病毒详情

12、 可按病毒显示查看某病毒具体染毒客户端详情，按客户端显示查看客户端染毒总数

13、配置1个系统中心+300用户 三年升级服务

1

套

85000.00

终端准入

1、支持同一个客户端实现网络准入、用户认证、终端安全状态检查、桌面资产管理等所有功能，避免多个客户端带来的管理不便；

2、支持802.1x、Portal、L2TP IPSec VPN、无线等多种网络环境的身份认证，支持基于端口的802.1x和基于MAC地址的802.1x，可管理HUB或非智能交换机下的多个用户；

3、支持PAP/CHAP/EAP-MD5/EAP-PEAP/EAP-TLS/WAPI等认证协议，支持USB Key、数字证书、LDAP服务器、Windows域管理器、WLAN等方式的认证及多种方式的组合鉴别；支持LDAP用户；

4、支持与包括微软防病毒软件在内的主流防病毒软件联动，支持与微软WSUS/SCCM协同的自动补丁管理。与微软无缝集成，当用户安全认证时，自动检查、下载、安装补丁，实现操作系统补丁自动升级，提升系统易用性；

5、支持用户名、密码与用户IP、MAC、VLAN、设备IP、设备端口、主机名、域用户、SSID等多种元素的绑定认证；

6、支持IP分配策略控制和MAC地址变更检查，可实现一对多、多对多等绑定方式；支持自学习绑定方式，即用户第一次认证时自动获取其IP/MAC等绑定信息，不需要管理员人工输入；

7、支持对注册表监控策略的增删改查操作，可以查询某个注册表键值，防止恶意用户或应用修改本机注册表；支持对windows操作系统的密码脆弱性进行检查，如密码长度、通过密码词典检查的强度等；

8、支持对软件进行监控、对进程进行监控、支持对服务进行监控。支持纯白软件管理，终端用户只能安装该纯白软件列表中的软件，不能安装该纯白软件列表之外的软件。支持MD5方式进程检查，即使修改进程名也无法逃避检查；

9、支持USB、软驱、光驱、串口、并口、红外、蓝牙、1394和Modem等外设的管理，可区分USB存储设备和非存储设备，支持离线策略，拔掉网线依然生效；支持对检测终端USB接入状态进行记录，如用户插拔USB时间、操作文件名、操作文件大小等详细信息；

10、提供准入认证、终端安全检查和桌面资产管理功能（1000用户）；

1

套

233500.00

内存扩容

1、配置8*32GB 2Rx4 DDR4-2666P-R内存模块；

4

台

28400.00

存储扩容

1、配置存储硬盘扩展柜1个，支持≥24个硬盘槽位；

2、配置16*8TB 7.2K LFF HDD硬盘；

3、采购的设备用于给现有存储进行扩容，要求扩容之后，所扩容的硬盘能够被现有存储控制器进行统一管理；

4、另配5块1.8T/10K SAS数据存储硬盘用于原双活存储扩容；

5、配置3年原厂质保服务且必须提供原厂售后服务承诺函及技术参数确认函，确认能够与现有存储完全兼容和无缝对接；

6、如果响应供应商提供的扩容产品与现有存储为不同一品牌的产品，为了保证存储设备管理的统一性和可维护性,投标人投标时必须同时提供不低于现有存储性能与配置的全套产品，响应供应商必须承诺实现不低于现有技术要求，所有设备必须提供原厂的3年售后服务承诺函；

2

套

498500.00

网络安全风险评估服务（免费）

提供三年/每年一次网络安全风险评估服务，并出具评估报告

1

次