项目名称信息系统安全等级保护设备

1、招标文件 九江学院临床医学院附属医院项目名称：信息系统安全等级保护设备招标编号：FSYYXXK2014-0012014年9月第一部分 投 标 邀 请 函九江学院附属医院拟对信息系统安全等级保护设备进行招标，现向贵单位发出投标邀请，若同意有关要求，请参加投标。有关问题说明如下：1、招标人：九江学院附属医院2、招标地点：详细地点另行通知。 3、项目名称、交货期及地点：（1）项目名称：见第三部分；（2）交货期：15天；（3）交货地点：九江学院附属医院。4、招标文件的获取：（1）九江学院附属医院网站招标公告附件；（2）联系九江学院附属医院信息科获取。5、投标报名：有意向参标者请自本标书发布之日起至报名

2、截止时间内到九江学院附属医院信息科报名，未报名者将无参与招标资格。本次应标书在开标前请自行保管，招标时一并提交。6、报名截止时间：2014年9月23日8:30时（北京时间），逾期不予受理。7、开标时间：2014年9月23日9:00时（北京时间），如有变动另行通知。8、开标地点：九江学院附属医院东院供应室四楼会议室（信息科办公室旁）。9、联系方法：九江学院附属医院信息科，电话第二部分 投 标 须 知一、投标方条件1投标人必须符合政府采购法第二十二条之规定。2具有中华人民共和国企业法人营业执照和税务登记证的独立法人，具有较雄厚的资金实力和技术力量，注册资金应在人民币50

3、0万元（含500万元）以上，计算机信息系统集成资质三级及以上。具备在九江本地长期提供本项目的建设服务。3必须具备所投标系统的安装、维护相关经验。4为避免恶意竞标现象，参加竞标的公司必须交纳￥5000（人民币大写五仟元）作为竞标保证金。开标结束后未中标者当场退还，中标者保证金在项目验收合格后退还。5中标公司中标后按不超过中标金额的1%收取中标服务费。二、投标文件的编写要求1投标文件的组成投标文件分报价文件和商务文件两部份，分别装入两个密封袋内。报价文件包含本项目分项价格和总价，以及必要的说明。商务文件包括技术文件、资格证明文件、附件三部分：（1）技术文件设备名称、主要技术数据、性能的描述及运行环

4、境要求；根据本标书第三部分第二项“项目要求”所作的需求偏离说明；安装、验收标准；投标人情况一览表；售后服务承诺以及兑现这些承诺所具备的条件和保障措施；投标人能够给予招标人的其他优惠条件。（2）资格证明文件营业执照； 组织机构代码证； 税务登记证； 法人资格证明或法人代表授权书；法定代表人或授权代表的身份证；原厂关于本次投标设备的授权书。和本次招标项目类似的实施成功案例（以验收报告为准）投标人所投数据库安全审计系统、终端管理系统及运维管理系统在江西省内三甲医院(三种设备在同一个三甲医院使用)近1年来成功案例投标人认为有必要的其他证明文件。以上文件除特别注明需提供原件外，可提供复印件，但须加盖投标

5、人公章。（3）附件详细的交货清单；交货时间；投标人认为需要陈述的其他内容。2投标报价要求（1）所有投标均以人民币报价。（2）投标报价应是货物（技术）交付之前包括货物及运输、系统集成、安装调试等的最终报价。（3）投标报价应提供单价及本次投标总价。（4）投标人应详实提供设备投标报价表。（5）招标人不接受投标人对任何未办理正常进口手续的非中华人民共和国境内生产的货物的投标报价。（6）本投标报价为竞争性谈判报价。（7）招标人不保证最低报价中标。3有关投标的其他规定（1）投标文件正本必须用不退色的墨水填写或打印，幅面规格A4并装订成册，副本可用复印件。投标文件须一式四份（正本1份，副本3份），分别加盖“

6、正本”、“副本”印章。正本与副本如有差别，以正本为准，责任由投标人自负。（2）全部投标文件分技术文件和报价文件两部分，分别装入两个密封袋内，密封包装，封口处应有投标人法定代表人或其授权代表签字并加盖投标单位公章；封面注明招标项目名称和编号，投标人的名称、地址、邮编、传真、联系电话、联系人。三、验收投标人应提供安装及验收标准，货物清单。货物运抵安装现场后，招标方提供货物储存和安装调试场所，并对货物质量、规格等技术指标进行检验；中标人未在规定日期进行安装、调试工作的，按如下约定支付违约罚金：推迟一周，违约罚金为合同总额的5；推迟两周，违约罚金为合同总额的10；推迟三周，违约罚金为合同总额的15。第

7、三部分 系统技术要求一、项目描述近年来，随着医院信息化的不断深入，医院步入了一个快速增长期。医院正逐步实现医院管理的科学化、现代化、数字化，与国际、国内信息化建设的新技术接轨。我院目前已经建成多个运行不同业务的信息系统，如HIS、LIS、PACS、EMR等，业务系统已经相当成熟。同时因三甲等级评审细则和信息安全等级评审整改方案的要求，为完成下一步建设要求，需采购安全保护设备如下。二、项目要求1项目名称信息系统安全等级保护设备。2项目内容序号项目名称数量单位1入侵检测IDS(千兆)1套2综合日志审计系统1套3数据库安全审计系统（含统方模块）1套4运维管理系统1套5企业版杀毒软件1套6桌面终端管理

8、系统1套7机房环境监控系统1套3项目参数（1）入侵检测IDS(千兆)序号项目技术指标1.*品牌国内外知名品牌基本性能指标2.硬件标准机架式机箱,支持多路网络环境监听，配置不少于4个100/1000M电口3.功能支持多路网络监听，采用旁路监听的方式，在网络边界监视网络攻击和对应用层协议命令的检测，并提供报警4.权限分级产品用户分级，便于管理权限的分配与下发，有利于实现集中与分布式管理5.攻击定位可以查询到攻击事件中公网ip的来源，并可以定位到局域网内的地址来源6.IP-MAC绑定具备IP-MAC绑定功能，可以有不同的生效方式，和不匹配时的不同的响应动作（如忽略、记录、阻断等）7常见攻击识别能力系

9、统须提供对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解、拒绝服务、缓冲区溢出、欺骗劫持、僵尸网络、数据库攻击、网络设备攻击、0day攻击、可疑行为等常见攻击具有高精度的检测能力。可检测内网arp攻击；形成准确的IP-MAC对应表和实时检测到的冲突表；防止了来自内部的地址欺骗攻击，有效的定位内部攻击来源自动恢复受到伤害的主机；可以设置恢复处理的阈值；可发现网络中存在多种非法外联情况包括：非法建立网关设备；各种代理：sock代理，https代理，应用代理，并对非法网关和代理数据进行有效的阻断；预定义一些网络中允许的服务，所有检查到的其它服务可以被检测到，并阻断；产品能够将信息网络中Tel

10、net、HTTP、FTP、POP3、SMTP的通讯过程和内容（包括邮件附件）完整的记录下来，并进行连接回放，实现页面重组。8.网络滥用检测需提供对IM（即时消息）通信、P2P通信、在线视频、在线音频、在线游戏、在线炒股具备高精度的检测能力。9.实时报警支持实时报警，能够自动执行预定义的动作；切断服务、记录入侵过程；声音报警、E-mail报警、SNMP TRAP报警、NETBIOS报警；支持告警日志外传，第三方设备存储数据，有效防止数据丢失10.日志管理与统计提供详尽的入侵检测日志功能；提供基于各种应用协议的流量统计；拥有对入侵行为的详细描述和解决方案，提供基于源IP和目的IP流量的统计；支持饼

11、状图或柱状图输出；提供基于时间的入侵事件统计；提供用户自定义报表11产品资质计算机信息系统安全专用产品销售许可证；中国国家信息安全产品认证证书；信息技术产品安全测评证书；信息安全产品自主原创证明。12售后提供3年原厂免费硬件维保，以及3年免费特征库升级服务。（2）综合日志审计系统序号项目技术指标1.*品牌国内外知名品牌基本性能指标2.功能将应用系统、安全设备、网络设备、操作系统、以及各种服务器等产生的日志进行收集、分析和告警。支持告警事件智能分析处理，通过告警规则灵活修改和自定义，包括告警的过滤、压缩、关联、派生、关闭等，对收集事件数据，进行统一的事件管理和分析；支持全局阈值管理与应用，采用基

12、于关联方式的阈值设定模式，快速、灵活的实现监控阈值的全局下发和修改配置；支持层次化静态的监控阈值设定，对于同一个监控器，灵活定义不同监控阈值，系统根据阈值生成高、中、低等级告警，并支持告警升级。3.接入点服务器：20台，网络和安全设备：38台，数据库：8个4.监视管理对所检测设备日志、拓扑结构和日志数量进行监视统计5.日志管理实施日志监视和历史日志查询，支持趋势图生成6.告警管理支持报警功能7.报表管理自动生成报表和支持自定义报表8.权限管理 对用户管理权限管理9.售后提供3年原厂免费维保。（3）数据库安全审计系统（含统方模块）序号项目技术指标1.*品牌国内外知名品牌基本性能指标2.硬件支持多

13、路千兆网络环境监听，配置不少于6个100/1000BASE-TX网口和4个SFP扩展接口。自带不少于1T存储空间，支持1200个以上的客户端访问3.功能支持多路网络监听，采用旁路监听的方式，支持防统方管理、对数据库入侵检测提供报警。支持对多种不同类型和不同版本的数据库的同时审计。通过网络对数据库操作的当前情况可以实时显示，及时发现异常信息。可同时审计HIS,LIC,PACS,OA,EMR等业务系统数据库，支持网络旁路部署方式模式。4.数据库类型支持Oracle，Microsoft SQL Server，DB2，Sybase, Informix、MySQL、人大金仓（Kingbase）、达梦(D

14、M)等。5.审计粒度必须支持对数据库SQL操作的详细审计，可以分析出每个操作的操作方式、源主机名、源主机用户、表、存储过程、视图、索引、触发器、详细操作内容，执行时长、操作成功/失败，受影响行数，字段名、字段值等信息，可审计并还原SQL操作语句。支持对以下内容实现完全审计，包括超长语句、注释内容、多嵌套语句、绑定变量、RPC等。支持WEB中间件审计，不仅可以审计中间件服务器对数据库的访问行为，还可以对中间件前端的WEB访问行为进行审计，并能准确建立前后关联关系，重溯整个业务流程。6.防统方管理内置防统方规则库，能够覆盖业界大部分HIS系统，并根据用户的实际情况运用相对应的统方行为识别规则库。对

15、疑似统方行为进行分级预警，并通过审计系统进行取证及回放。支持定义对应的黑名单、白名单规则，可以设置过滤规则，对无关信息不进行审计7入侵管理支持对针对数据库系统的XSS攻击和SQL注入行为进行审计和报警。8.审计数据永久保存对数据库审计数据进行永久的保存9.支持多条件组合查询支持按时间、级别、源目的IP、源目的MAC、协议名、源目的端口为条件进行查询。支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作命令、数据库返回码、SQL响应时间、数据库返回行数作为查询和统计条件。10.程序筛查能够对SQLPLUS、PLSQL、ODBC、JDBC、ADO、OLE等数据库访问方式进行审计.并提供每

16、条数据库回话的会话源IP，源MAC，源Port，目标IP，目标MAC，目标Port，会话起止时间，客户端计算机名，程序名、数据库用户名、数据库名等会话内容11.权限管理用户权限支持权限分立，实现管理的安全需要。12.自身审计日志包括设备的启用、停止、异常，以及用户登录系统的信息与用户系统操作信息，以及系统配置变动信息等进行日志记录与审计13报表管理支持自定义的报表任务以模板的方式导入导出，提高报表任务配置的复用性。可以自定义多种报表任务，自动生成报表：数据库访问量统计报表、数据库访问量趋势报表、告警规则触发情况报表、数据库访问源IP统计报表、操作方式统计报表、登录/退出数据库情况统计报表等周期

17、性任务报表及一次性任务报表等，同时可以对多个审计字段进行统计分析，定制多条件组合的报表14产品资质计算机信息系统安全专用产品销售许可证；中国信息安全认证中心颁发的强制认证证书；信息技术产品安全测评证书。15售后提供3年原厂免费硬件维保。（4）运维管理系统序号项目技术指标1.*品牌国内外知名品牌基本性能指标2.功能实现对网络设备、服务器、链路、机房环境、软件系统等设备的实时监控、告警等功能，提供图形化监控画面。能在安卓和windows设备上滚动显示监控画面。支持Web Portal技术，界面采用Flex技术进行展示，统一实现对所有网络、主机、数据库等监控资源的全面展现，并提供基于Portal页面

18、的自定义功能。支持基于业务的拓扑管理，将业务系统相关的主机、数据库、中间件、应用系统等IT资源的监控信息分别在不同样式的视图上集中体现出来。3.设备类型支持CISCO 、AIX、WINDOWS、VMWARE esxi等设备的链接4.接入点服务器：20台，网络和安全设备：38台，数据库：8个5.支持传输协议SNMP、SSH等6.网络设备监控网络接口、防火墙当前连接数、网关性能、存储器性能、CPU、内存、电源、风扇、自动生成网络拓扑图7.服务器监控CPU、内存、磁盘、网络接口、进程、I/O信息等8.数据库监控并发数、线程数、连接数、被锁住对象数等9.数据库类型ORACLE、MSSQL、MYSQL等

19、10.中间件Tomcat等11.权限管理系统提供用户访问权限的划分，能够设置用户管理网络的设备的数量及操作权限，可以根据设备的重要程度将被管设备分为不同的组，通过设置权限，每个管理员只需看见他所关心的设备。12.告警功能系统支持通过多种方式将警报及时发送相关人员，能支持以下方式的告警输出：实时语音合成、打印机告警、EMAIL通知、消息框告警、拓扑图标指示等，并可以灵活调用第三方程序，与之联动。能够灵活的设计告警的策略和告警的时间计划。（5）企业版杀毒软件序号项目技术指标1.*品牌国内外知名品牌基本性能指标2.功能安全防护功能，防御各种类型的病毒攻击，可以提供超强病毒防护，并且支持客户端集中控制

20、和策略管理，分组管理。B/S开发架构，可通过WEB浏览器管理服务器支持远程登陆控制台，方便管理员实时操作具有全网通告和消息功能，可以通过控制台对全网进行发通告和消息，方便于管理。支持独立的防病毒、防间谍模块，并可通过管理服务器统一管理支持特征代码文件多种升级方式：重新分发服务器、FTP、UNC、HTTP方式、网络共享目录方式、本地路径等。客户端既可以实现从管理服务器进行升级也可以实现到互联网直接升级具有远程断网功能，发现局域网内的客户端中了某些蠕虫类、ARP类的病毒，可以由控制台给其断网，从而解决减小病毒造成的威胁。提供基于Web的移动管理，管理员可以在网内任意一台计算机上通过web方式随时随

21、地登录控制台实现全网管理，而无需在实现该功能的客户机上安装特定的管理组件。可以设置CPU高、中、低的使用级别支持智能增量升级，无需管理员指定升级方式，减小升级带宽占用任意客户端都可以被指定为重分发服务器以节约带宽支持独立的防病毒、防木马模块，并可通过管理服务器统一管理支持客户端反向查找管理服务器，以便客户端主动上报计算机相关详细信息提供在线杀毒功能，以解决目前网内机器已经染毒无法正常进行防毒系统部署的问题。集成了防火墙功能，可以有效的抵御网络攻击（如：ARP防火墙， IDS攻击检测，网址访问限制）客户端脱离控制中心后，可作为一个单机版来使用，仍然可以直接通过互联网升级，保证员工在离开局域网后病

22、毒库能得到及时更新查杀病毒客户端脱离局域网后，可以禁用计算机网口，限制联网功能，有效保护用户计算机的安全，防止发生一些泄密行为，并可以通过网络版控制中心恢复网络通信。3操作系统支持windows XP及以上版本系统4.安装授权800台终端含10台服务器，便于批量安装。5资源占用需提供CPU、内存、硬盘等系统资源占用情况。6资质要求公安部信息安全产品销售许可，自主研发产品有计算机软件著作权证书7升级服务三年免费升级服务8安全保密功能具有移动设备接入密码验证。对于移动接入式的设备（如：U盘）有保护密码的功能，需要输入设置好的密码才能使用移动存储设备，方便管理USB接口和预防U盘病毒非法外联预警功能

23、，当有内网电脑联接互联网时客户端能把信息上报到控制中心，并能详细记录联接的具体外网网址。9其他功能具有IT资产管理配置功能，可以列出全网客户端计算机所有的硬件配置（包括：CPU型号，内存，硬盘，BIOS信息，显示卡，声卡，主板等）和所安装的软件以及系统更新，且具有变更报警提示（6）桌面终端管理系统序号项目技术指标1.*品牌国内外知名品牌, 遵循国家和行业等级保护规范：信息安全技术 信息系统安全等级保护技术要求（GB/T 22239-2008），信息安全技术 终端计算机系统安全等级技术要求（GA/T 671-2006）基本性能指标2.功能系统必须具备良好的系统安全性，终端具有自我防护机制，防止用

24、户使用网上常见的卸载等工具随意停止、卸载。有终端IP显示及网络断网检测告警功能。支持自动发现详细的IT资产，能够管理物理资产。具有完善的软硬件变动报警功能，支持硬件统计、台帐录入功能，并能自动生成维护记录。提供强大的进程库，搜集网络内使用过的所有进程，对客户端的某些软件永久性封堵，能够实现进程运行统计，提供进程日志（进程名，进程起用时间和结束时间）。3移动存储介质管理只有带有注册并且符合移动存储介质管理策略的存储介质才可以接入内网计算机使用，移动存储介质按需求可划分为交换区和加密区，分区容量可由管理员灵活定义，经过处理后的移动设备，可分保密区、交换区。能够对移动存储介质数据交换行为审计，审计可针对文件后缀名等条件进行，并提供详细的文件操作、详细审计记录：包括文件的