医院数据安全项目建设需求

一、建设内容一览表序号采购内容数量1连续数据保护设备1台2连续数据保护存储1台3备份一体机1台4核心数据信息管控平台1套5数据库防火墙2台二、技术参数要求2.1.连续数据保护设备技术参数要求指标项技术参数要求功能数据中心建设基础架构，针对虚拟机、数据库等资源的基于IO级别的连续数据保护；满足数据库存储空间连续数据保护需求，支持双活机房虚拟机连续数据保护，可针对虚拟机提供虚机层面IO级别的连续数据保护；支持VMwareCBT的备份和恢复，支持数据重复删除；激活数据双活、云分层功能；具有核心数据防勒索功能，可针对不少于300个虚拟机提供虚拟机层面提供IO级别的连续数据保护。产品架构软硬件一体化架构，非软件方案或服务器安装产品，采用基于网络的应用装置，不改变现有主机环境，不在主机端安装任何代理软件，不在主I/O路径中进行监控和数据保护，不影响主机性能，容灾设备出现故障后不会影响生产系统正常运行;具有自有知识产权和开发能力,要求将医院主存储或存储虚拟化设备连续数据复制至连续数据保护存储,配置连续数据保护许可需满足用户五年实际数据量使用要求。支持任意时间点恢复数据为了保证数据可恢复性，最小恢复单位为一个写I/O操作，当数据需要恢复时，用户可从任意时间点中选择，使应用程序能够基于以前的事务快速地从任一时间点恢复。支持本地复制功能；颗粒度达到同步IO级，实现RPO=0保护级别。保证应用数据的一致性提供联合一致性组功能，可以将特定应用系统的LUN构成的多个一致性组绑定到一个联合一致性组中，以确保事务向以前时间点的回滚同时进行，从而确保应用程序集合的一致恢复。远程容灾支持系统间远程数据同步/异步数据复制功能，针对不同的复制网络带宽，能进行同步复制和异步复制的自动切换，无需人工干预，支持1对多，多对1远程复制。事件书签集成可以由应用程序和系统自动生成事件书签，也可以由用户向系统输入自己的书签，通过书签，将系统范围的事件（端口故障、系统错误等）与潜在的损坏事件关联起来，管理员可以通过选择书签来恢复数据，从而确保恢复的数据是正确的。数据保护方式对于捕获的写I/O，既支持同步复制到本地站点，也支持异步复制到远程站点。以上两种方式可以配合使用，提供对同一数据卷的并行本地和远程保护；以上两种方式也可以独立存在，相互之间没有依赖性。带外装置用“带外”基于网络的应用装置，不在主I/O路径中进行监控和数据保护，不影响主机性能。支持在执行故障切换之前装载复制的映像以处理和检查一致性的能力。快照整合功能提供快照整合功能，可以让用户能够决定将捕获的每一个写I/O操作保留多久，在哪一时间点将数据更改整合成一个每日、每周或每月恢复点，从而让用户能够以一致性组为单位优化使用的日志空间。应急接管能力要求在生产存储故障时，主机能够快速挂载备份存储上相应的卷组，实现生产快速恢复。同时，在生产存储故障修复后，能够实现备份存储数据的反向复制，恢复生产。I/O分离装置配置配置基于现有存储的I/O分离器（不接受主机和交换机端的分离器），需详细说明配置授权数量、名称和方式，不影响主机性能，能够将存储接收到的实时写入数据进行I/O分离捕获。连续数据保护设备配置软硬件一体化架构，当前配置≥2个控制器以高可用和负载均衡的方式运行，配置针对当前两台主存储的软件许可(不限客户端操作系统类型和数量)。集群系统最大支持≥8个控制器，支持高可用以及IO自动平衡分布功能。连续数据保护设备兼容性本次方案提供设备与机房现有环境中的EMCUnity400及PowerStore1000T设备相互兼容，投标时分别提供投标设备与现有设备的官方网站链接及兼容列表，配置存储虚拟化网关接入许可;确保新增设备在接入现有环境时，能与现有环境存储完全互相兼容。同步复制距离可复制到≥25公里的辅助站点；配置复制带宽优化功能，实时侦测两个站点间的带宽，并根据优先级、去重、压缩及其他参数以动态方式，满足RPO的要求，并能据此进行同步异步模式的自动切换；本次配置同步复制和异步复制功能，实现院区机房之间的所有数据连续数据保护容灾功功能。异步复制传输捕获的写I/O通过异步复制到异地站点，可以通过IP网络传输。复制带宽优化能够不断测量两个站点间的带宽，并根据优先级、去重、压缩及其他参数以动态方式，满足RPO的要求；并能据此进行同步异步模式的自动切换。目标端处理功能支持在执行故障切换之前装载复制的映像以处理和检查一致性的能力。虚拟化支持要求可以兼容保护VMware虚拟化数据，当在线系统数据出现错误或丢失，VMware可以恢复到任意时间点的数据，保证医疗数据安全性，为VMware合作伙伴联盟成员。主机性能影响不在主I/O路径中进行监控和数据保护，不影响主机性能。主机网络影响不使用LAN通信量，并且不向客户的IP网络增加负载。支持多种操作系统支持各种主流操作系统，包括AIX，HP-UX，Solaris，RedHatLinux，SuSELinux，Windows，VMWareESX等。阵列兼容性当前配置下支持EMC，HDS，HP，IBM，SUN，NetApp等多家存储阵列。集群软件兼容性当前配置下支持HACMP、HPServiceGuard、MSCS、OracleRAC、VCS等多种集群软件。多路径软件的支持支持DMP、ESXNative、HDLM、HP-MPIO、MPIO、PowerPath、RDAC、SDD-DSM等多路径软件。管理界面提供可在多种主机系统上运行的基于Java的管理界面，使管理员能够集中管理所有的操作，包括设置复制关系和参数、查看复制状态、恢复到某一时间点，和启动生产故障切换等。连续性数据保护配置60个vmware虚机连续数据保护软件许可，当虚机需要恢复时，用户可从时间点中选择，使指定虚机能够快速地以IO粒度从任一时间点恢复，提供产品彩页和白皮书说明。连续性数据保护功能与vCenter无缝集成，可以在vSphere客户端中完成虚机连续数据保护的所有操作，实现VM任意时间点恢复，并通过VMwareVcenter统一管理VM连续数据保护；与VMware深度整合，可通过vSphereclient发起对任意虚机的保护，通过vCenter管理所有保护虚机，策略及恢复，无需额外界面及软件；服务提供原厂五年7×24小时，4小时用户现场响应服务。2.2.连续数据保护存储技术参数要求指标项技术参数要求体系结构统一存储架构，支持SAN及NAS环境，且不需要增加额外的硬件组件即可支持FC/ISCSI/NFS/SMB（CIFS)等协议;（Active-Active）双控控制器工作设计，任何卷都可以从任何控制器的任何目标端口进行访问；控制器本次配置≥2个控制器，核心数≥32核；基于控制器的静态数据加密；最大支持存储主机端口数≥24个，支持主机接口类型8Gb、16GbFC主机接口，10GB、25GB光口网络主机接口，1Gb、10Gb电口网络接口；本次配置16GbFC接口≥8个；存储缓存配置系统缓存≥192GB；提供掉电后缓存数据保护机制，掉电后数据必须回写到硬盘；支持扩展可读写缓存,最大总缓存≥1.39TB，提供原厂盖章的缓存加速技术的软件著作权登记证书扫描件；硬盘支持与配置配置4块400G作为二级缓存，96块1.8T10KSAS盘；存储系统可支持400G、800G、1.92T、3.84T固态硬盘（SSD），1.2T、1.8TSAS硬盘，4TB、6TB、12TBNL-SAS硬盘的混插；单台磁盘阵列（不包括集群或存储虚拟化）最大可扩展到≥500块硬盘；后端磁盘接口配置后端SAS磁盘连接，接口速度12Gb/s，后端磁盘带宽≥192Gb/s；支持的协议和功能配置并支持以下协议及功能：数据块协议：iSCSI、光纤通道；Internet控制消息协议（ICMP）；Kerberos身份认证；LDAP轻型目录访问协议；RESTAPI实现存储网络之间的数据自动、透明移动；锁定管理器（NLM）v1、v2、v3、v4；最大支持SAN主机数≥2048，本次配置双控制器（一个HA对）2048个主机支持；高可靠性磁盘阵列系统具有高可靠性，达到99.999%可用性；具有关键部件冗余配置，在线维护能力；RAID方式支持多种RAID存储方式，包括RAID10，RAID5，RAID6。支持不同RAID级别并存；空间优化配置全容量的自动精简配置功能，按照实际使用的存储容量分配存储空间，提高存储利用率；存储QoS功能配置存储QoS能力，支持基于应用程序的服务级别管理，可根据应用重要性调整优先级别管理磁盘存储资源（响应时间、带宽、吞吐量等）；服务管理配置图形化存储管理软件，支持带外管理，中文管理界面；支持应用程序服务级别管理功能；通过优化磁盘阵列中的应用程序IO队列，决定哪些应用程序可以获得更多的可用系统资源；自动分层配置数据自动分层功能许可，可支持SSD、SAS、NL-SAS三层分层架构，根据数据的活动状况，自动将热点数据调整到高速磁盘上，将非热点数据调整到低速磁盘上；可设置迁移策略和迁移时间，迁移过程对主机透明，无需停机；缓存加速配置缓存加速功能许可，支持SSD缓存加速功能，SSD自动快速缓存低速的传统机械磁盘，从而提升存储数据读写性能；存储控制器软件配置主存储控制器软件的独立运行版本，支持Windows、Linux、Unix操作系统，配置SAN、NFS、CIFS、iSCSI与VVOLs协议，配置自动存储分层功能，配置远程存储复制功能，能够与此次所投存储实现复制，配置服务质量管理QoS功能；配置不小于120TB的容量许可；数据复制配置数据复制功能许可，支持同步和异步方式，支持基于阵列的数据级和文件级的复制功能，支持本地和远程数据块级数据复制功能；数据保护配置数据保护套件许可，支持本地自动快照、本地克隆技术，实现数据逻辑故障保护；磁盘阵列内置I/O数据拆分功能，结合连续数据保护装置支持连续数据保护功能，能实现IO级别恢复粒度，能够提供无限恢复点，配置不少于20个应用感知的应用级别数据一致性数据副本/快照功能，并且支持数据副本/快照自动挂载功能；虚拟化数据保护支持VMware虚拟机连续数据保护功能，内置VMware平台I/O数据拆分器，实现IO级别恢复粒度，能够提供无限数据恢复点；基于异构阵列的数据迁移提供迁移工具，将存储系统中的数据在不同厂商的磁盘阵列中进行数据迁移；云数据分层功能提供在业界标准公有云和弹性云平台上进行数据分层和快照分层功能；行为追溯功能支持对存储客户端操作记录追溯功能，具有文本日志生成功能，针对所有操作形成文本日志，方便检索。包括:所使用的软件,远程系统,商务软件和没有内部日志记录功能的软件；支持用户特殊操作行为识别，能够记录用户是否进行了复制、删除、USB设备使用或打印机，并支持文本查询和视频回放；统一集中存储系统管理平台实现统一集中存储统系统管理，SAN光纤网络统一管理；在单一界面中集中化管理数据中心的存储系统，实现存储统一配置调试的工作，可管理原有的EMCUNIT400存储；可查看存储的使用状态、设备配置、容量负载等信息；支持存储使用进行资源调配、监视和报告；存储系统的性能管理数据长期保存，故障日志可以追溯；支持设备日常运维，对象包括：存储设备；支持存储设备各类异常状态的预警、资源不足、I/O性能不足、设备掉线等异常事件的告警；通过http方式推送给现有统一告警平台；SAN网络链路故障、核心指标可以实时监控，故障指标可以预警，可以溯源分析；预测分析、异常检测、故障定位、机器学习支持云智能管理系统，利用存储厂商大数据分析和AI技术，提供自动报障、容量性能预测以及硬盘风险预测等服务，提前预防潜在风险，并为容量规划提供依据；预测分析：依据资源关联关系，自动规划未来资源分配，实现资源合理配置。异常检测：识别从虚拟机、服务器到存储设备的异常状况，识别故障根本原因给出修复建议，确保达成要求的服务等级。提供当前数据中心端到端拓扑视图，提供性能问题的根因分析，快速定位性能瓶颈。提供分析诊断以快速识别、隔离和确定问题的根本原因。可以生成恢复计划，为解决性能问题提供指导。数据管理支持快照、压缩、重复数据消除、复制，卷镜像等功能必须能同时使用于一个LUN，不受限制。多路径支持支持设备原厂商多路径软件，实现对主机的多通道路径访问以及对应用透明的自动故障通道切换及负载均衡，具备在SAN环境中的负载均衡功能。产品资质具有自有知识产权和开发能力产品。服务提供原厂五年7×24小时，4小时用户现场响应服务。2.3.备份一体机技术参数要求指标项参数要求备份一体机硬件配置及许可4U机架式，800（1+1）冗余电源，2颗六十四位八核处理器，内存256GB，24个热插拔盘位，提供2个千兆以太网接口。多模光纤双端口万兆以太网卡(SFP)/Dual-port10GigabitEthernet(SFP)*1。数据库备份许可无上限，LINUX/WINDOWS虚拟服务器备份许可无上限，LINUX/WINDOWS物理服务器备份许可无上限，配置100TB裸容量备份授权（含硬盘）。备份功能管理要求要求提供基于HTTPS的WEB中文管理界面和向导式操作，可实现业务管理员管理、存储管理、备份任务管理、远程复制管理及权限管理等，支持以邮件告警的方式对备份存储系统的软件故障、存储空间、备份任务、操作状态等提供通知。具备系统管理员和业务管理员双管理员角色，用户可设定字母+数字组合复杂登录密码，支持配置登陆超时锁定策略、登录失败锁定，支持密码时限配置，最大限度确保系统安全。存储备份系统的专用嵌入式操作系统维护后台采用动态口令机制，动态口令由设备管理员和原厂口令组成，原厂口令随着设备管理员的改密码操作而变化，确保灾备系统后台不被非法登入。数据在线备份支持Windows、Linux等操作系统下的文件在线备份。支持Windows、Linux、Unix等平台下Oracle、OracleRAC、SQLServer、MySQL等主流数据库备份及恢复。支持直接对RDS数据库和基于NFS、CIFS协议的网络存储进行数据备份保护，无需任何中转设备或系统。持续数据保护支持对X86架构下的物理机、虚拟机、超融合、私有云和公有云提供统一的将主机的操作系统、应用系统、数据库和数据作为一个整体的、基于磁盘数据块复制技术的一致性灾备保护。安装、卸载、备份过程不需要重启动的业务系统。不需区分业务系统的类型、部署方法、业务系统间的数据交互机制、数据结构/逻辑关系和数据库的品牌/版本等，WindowsSever2003及以上和Linux2.6.18及以上操作系统上分别采用统一的agent的对任意应用系统和数据提供整机灾备保护，实现对现有及未来新上业务系统的保护兼容性。提供文件恢复和卷恢复功能，可直接恢复指定的文件和卷。虚拟化支持要求支持对VMwareESXi虚拟化平台的无代理备份保护，直接连接虚拟化管理平台，无需安装任何客户端。支持对Zettakit超融合、VMware、H3C超融合、Hyper-V、Xenserver、华为虚拟化、深信服超融合、阿里云、百度云等实现有代理虚拟机整机CDP备份保护，均能整机（包含操作系统、应用系统和数据）恢复到其他品牌的无操作系统的虚拟化主机、云主机和X86物理主机上。同时支持针对虚拟机内部的文件和数据库进行细粒度数据备份保护。数据传输数据传输采用加密技术，灵活的完整备份和增量备份策略，支持数据重删和断点续传。文件服务器和数据库服务器备份数据向灾备系统传输时采用数据压缩技术，千兆网络环境下备份速度高于实际网络带宽。备份数据验证管理员可将选定的备份点加载为CIFS文件共享或网络共享在WEB浏览器中访问，也可在备份系统中自建隔离私有虚拟化验证系统，无需停止备份任务可将选定验证的备份点整机启动，模拟真实生产环境登录系统验证备份的可靠性和一致性。数据恢复与重建支持源机卷直接恢复，实现秒级源机非系统盘的数据恢复，秒级RTO，大幅减少业务中断时间，保障业务连续性。支持数据热备。内置各类硬件和虚拟化设备的驱动数据库，驱动数量不低于2000个，支持驱动在线升级。支持在操作系统恢复/迁移到不同的设备时，自动识别目标设备信息并动态注入内置驱动库中的驱动到操作系统中，让操作系统能在新的硬件配置上正常启动，从而突破对硬件的依赖，实现硬件无差异的恢复或迁移。异地灾备支持多台灾备系统本地、异地之间的数据同步，可按照任务进行配置复制频率，可对同步频率、存储保留时间策略、备份点数量策略、传输是否加密和带宽占用策略进行设置。备份数据导入导出支持将备份数据导出归档，按时间间隔（分、时、天）、每周、每月等创建导出计划，并可选加密、压缩导出方式。支持将导出的备份数据重新导入到灾备系统中。防统方模块硬件配置2U机架式设备:双电源,6个电口(1个管理口+1个HA口+4个业务口),2×扩展槽位,32G内存,3T存储空间。默认流量≥100Mbp。防统方模块部署防统方系统不需要改变现有应用程序和数据库的设计，无需改变应用程序代码，无需应用做二次开发，编写接口等，对医院现有系统无影响。同时支持旁路镜像部署模式和探针部署模式。在探针模式下，通过探针将数据库的所有操作传送到防统方设备；探针支持自动推送安装，且支持探针性能的限制，防止对数据库性能产生影响。可支持防统方系统集中化管理功能，基于Web的管理方式和SQL管理接口，B/S架构模式。防统方模块审计对象范围全面支持Oracle、SQLServer、MySQL、DB2、DM、Hive、Informix、Sybase、PostgreSQL、MariaDB、KingBase、GBase、hbase、HANA、cache、神通、greenplum、tibero、MongoDB等数据库，以满足未来信息化发展需要。支持从网络流量中自动发现数据库信息，并添加到防统方平台；支持自动扫描IP地址段，发现数据库信息，并可添加到平台。防统方模块事件处理能力内置大数据搜索引擎，支持模糊检索，亿级数据检索速度在秒级别实现。统方审计功能实现SQL语句的细粒度审计，并记录详细的用户行为信息，包括该语句执行的时间、机器名、用户名、IP地址、交换机端口、MAC地址、客户端程序名以及SQL语句、执行结果、执行时长、返回行数、结果集等信息，对数据库操作进行审计，可对查询，新增，修改，删除等行为进行监控。支持通过数据库绑定变量方式的防统方审计能力。支持按数据库进行白名单、黑名单审计策略配置，按客户端IP、应用程序、数据库用户配置黑白名单，过滤审计流量，可降低探针网络带宽压力，减小审计存储压力。内置丰富的风险引擎特征库，对于SQL注入攻击、数据库漏洞攻击进行精准识别并智能告警。实现数据库登录操作的审计，并记录详细的成功登录行为和失败登录行为信息，能够识别暴力破解等非法登录行为。支持应用系统三层架构审计，可以精确的识别操作人，可以精确的识别来自于B/S架构的浏览器终端信息；能精确识别到操作人和应用程序账户，可以精确定位到人。支持Oracle、MySQL数据库本地审计；支持客户端SSH隧道代理访问数据库审计；支持本地命令行访问数据库审计。对于疑似威胁的操作记录，能够基于会话进行追踪溯源，根据人（用户名、账户）进行追溯，在同一界面展现跟其相关的从登录、访问到退出的全过程。SQL语句提供直译和意译的不同翻译引擎，支持英文翻译成中文，统方代号翻译成常规名称，增加易读性，便于纪委等非技术人员理解告警内容。防统方模块告警策略根据IP地址、机器名、时间、程序名，sql语句等精细组合对统方表操作行为预设警报策略，并能够为特定的审计需求自定义审计警报规则。提供多种安全响应措施，包括数据库记录、邮件告警、短信告警、syslog等。通过这些监控和防御措施，对招标人统方信息进行有效的监控、预防和保护。模型分析策略：以操作语句为原型，根据获取的审计内容字段、表名称、条件字段、操作频率等条件设定分析策略。对于首次出现的终端（IP）、人（用户名、账户），进行高级告警。安全告警必须支持基于订阅的模式，每个人可以订阅自己的安全告警事件，页面的安全告警事件必须区分开当前30分钟的安全告警事件和过去的安全事件以方便阅读，支持任意组合的规则订阅，实现人员的个性化订阅管理。防统方模块报表管理定期自动生成：日、周、月、年度综合报表；支持按时间、范围、报表模板自定义生成报表；支持下载法规性报表，如SOX法案、PCI报表、等级保护报表；综合报表展现形式具有多样性，如使用表格、柱状图、饼状图、折线图等多种方式进行展现分析；所有报表都支持下载；文档支持格式：包括WORD\HTML\PDF\EXCEL等；定期生成的报表可配置邮箱，定时收取最新生成的报表。防统方模块配置管理支持事件FTP服务器自动备份功能，备份记录支持恢复到平台。支持查询结果下载，自定义设置下载字段，下载审计查询的结果。提供事件审阅和自动审阅，自动审阅的审计信息后续出现将不需要再行审阅；依赖于审计信息的访问规则的单键生成,依赖于审计信息的订阅规则的单键生成。原厂资质原厂同时拥有ISO系列证书，9001/27001/20000等；原厂同时具有CCRC信息安全服务资质（信息系统安全集成、信息系统安全运维、信息安全风险评估和信息安全应急处理）等；原厂具备成熟度三级及以上的ITSS(信息技术服务标准)认证资格；售后服务能力要求原厂提供售后服务，且原厂团队成员具备良好的数据库技术支持能力以保障本系统的顺利运行，项目团队成员具体要求如下：项目经理同时具备OCM（Oracle数据库认证工程师）认证、工信部高级数据库管理工程师认证；2、实施工程师同时具有OCP（Oracle数据库认证专家）和CISSP（信息安全专业认证工程师）。服务提供原厂五年7×24小时，4小时用户现场响应服务。2.4.核心数据信息管控平台技术参数要求指标项技术参数要求总体要求提供一套数据信息安全管控平台，保障核心数据安全，整合医院整体信息安全，接入医院现有数据库安全防护系统和本次采购的数据库防火墙、蜜罐、护网安全等组件。数据安全咨询规划服务要求通过专业的安服工程师对整体数据信息和网络进行安全评估，从数据资产、威胁、脆弱性、风险四个角度，梳理医院的整体数据和网络情况和风险水平，为后期安全运营服务提供基础。基于数据全生命周期，提供数据安全体系和能力建设规划服务。基础安全运营服务分析过程应通过安全运营服务网关编写分析记录，系统的记录字段应包含但不限于事件标题、事件级别、事件描述、标签、部门、推断发生时间、受影响资产、相关漏洞、可疑对象等，系统应可将威胁事件从检测、分析至处置的全过程保存为卷宗模式存储，确保安全动作可基于记录复盘。运营服务团队应通过聚合、清洗多源情报，提供可直接使用的有效情报进行威胁分析。应能够基于现场安全运营支撑平台对事件进行情报碰撞，提高事件检出率，并通过运营脚本驱动在事件分析过程中进行校验。1.要求运营服务团队应能够基于运营支撑系统构建运营脚本驱动安全运营人员依照分析流程开展安全运营工作，并具备对每个流程环节进行质量监控的能力。2.运营脚本要求能够根据不同的威胁事件类型进行针对性设计，细化威胁事件检测的确认过程及分析要点，将检测确认步骤拆分成固定任务，使安全运营人员能够依照运营脚本定义的威胁事件检测任务有序、有效完成威胁事件的检测及确认工作。1.要求在运营支撑系统内所维护的运营脚本中，具备对各种类型事件进行调查分析的标准化操作要求，并驱动分析师对每个调查环节进行质量监控。2.要求运营服务团队应具备使用ATT&CK方法编制安全运营脚本的能力，系统默认内置运营脚本不得少于140个，每个事件脚本中必须包含事件确诊、升级分析、危害扩线与溯源分析、闭环处置等各个阶段的运营动作规范。1.威胁事件的平均检出时长（MTTD）小于2小时。2.事件平均定性时长（MTTA）小于12小时。要求每季度对全院进行数据主机漏洞扫描服务，安全分析师基于漏洞扫描引擎，通过扫描等手段对用户指定的C类地址段主机开展漏洞扫描和弱口令验证，发现可利用的安全漏洞。要求每季度对全院业务系统专项安全测试服务，专项安全测试内容主要包括主流热点漏洞（如：SQL注入、弱口令、XSS等）、框架类漏洞（如：spring漏洞、struts2漏洞、ThinkPHP漏洞、java反序列化漏洞等）。要求提供五年期不限次数新增热点漏洞实时监测服务，支持对热点漏洞进行持续监控，一旦发现最新披露的热点漏洞，能及时开展热点漏洞测试并将最新披露的热点漏洞纳入到周期测试范围。在现场安全运营网关中提供所有服务成果数据，并支撑处置流转。要求业务系统漏洞监测与测试成果应由现场部署的安全运营服务网关进行全生命周期管理，可结构化管理的漏洞数据信息包含但不限于漏洞名称、类型、相关单位、漏洞地址、复现步骤、提报人、业务系统名称、加固建议，发现时间等，分析师利用以上数据提供对漏洞闭环处置工作全流程、全阶段的支撑服务。要求漏洞管理依托于现场部署的安全运营服务网关进行全生命周期管理，可结构化管理的漏洞数据信息包含但不限于漏洞名称、漏洞级别、漏洞详细描述、修复建议、CVE编号、CNCVE编号、CNNVD编号、扫描时间、受影响资产系统名称、IP、处置状态等，分析师利用以上数据提供对漏洞闭环处置工作全流程、全阶段的支撑服务。要求提供数据安全资产梳理服务，资产梳理结果支持在用户现场部署的运营服务网关中进行记录，系统的记录支持以资产组、业务系统对象、基础资源对象、终端资产对象存放。要求当在日常监测分析中动态监测到域名URL待确认资产、IP类带确认资产时，支持在用户现场部署的运营服务网关中进行记录，安全分析师使用运营服务网关进行处理，处理方式包括不限于忽略、与现有资产合并、新增资产等。要求告警触发方式应支持邮件、短信、微信服务号及电话。互联网资产监测服务要求提供7*24小时互联网资产监测，对单位管辖的互联网IP资产、域名资产进行资产监测与漏洞探测，资产探测与漏洞探测内容包括暴露IP、端口监测、漏洞监测。要求资产探测内容包括IP、端口监测，当端口变化、安全产品、资产新增时需需提供确认通知。要求资产变化情况由现场部署的安全运营网关主动获取至本地。要求预警通知方式应支持邮件、短信、微信服务号及电话。要求提供资产威胁识别服务，威胁识别结果由现场部署的安全运营网关主动获取至本地，运营服务网关可结构化管理的数据信息包含但不限于漏洞标题、受影响资产、漏洞级别、漏洞类别、漏洞类型、漏洞URL、漏洞域名、时间、分析师、处置状态、来源、简要描述、复现步骤、修复方案、首轮复测详情。要求提供高危端口、新增资产脆弱性修复建议。数据安全意识评估服务提供五年服务期间每年提供1次数据安全意识评估服务，内容包括数据分级分类、数据库防护等内容要求钓鱼邮件测试以社工方式对指定员工批量发送伪装定制的实例化钓鱼邮件模拟攻击，通过员工操作行为评估安全意识状态。测试内容包括网页克隆、短链接、钓鱼表单、钓鱼邮件。要求监测结果支持通过服务接口推送至用户现场部署的运营服务网关中，运营服务网关记录字段应包含但不限于测试邮箱数、点击运营附件数量、点击链接数量、提交表单数量、点击提交行为时间分布、点击运行附件行为占比、测试时间范围、测试邮箱域、测试邮箱清单、伪造域选择记录、测试记录、伪造邮件文案、结果清单等。要求服务结果通知方式应支持邮件、短信、微信服务号及电话方式与用户进行沟通处置。专项安全测试服务要求提供五年期每季度一次对用户数据资产典型高频漏洞专项安全测试服务、五年期不限次数最新披露热点漏洞跟踪服务。要求专项安全测试结果应根据用户现场部署的运营服务网关审核规则，提供漏洞审核机制。支持高危漏洞通知机制，高危漏洞至少可以通过安全短信、邮件、微信等方式进行漏洞告警。要求专项安全测试服务的漏洞信息支持在用户现场部署的运营服务网关中进行全流程、全阶段提供漏洞整改指导，运营服务网关记录字段应包含但不限于漏洞标题、受影响资产、漏洞级别、漏洞类别、漏洞类型、漏洞URL、漏洞域名、时间、分析师、处置状态、来源、简要描述、复现步骤、修复方案、首轮复测详情。要求漏洞修改完毕后进行漏洞复测，复测状态及复测验证结果在用户现场部署的安全运营服务网关中全过程记录。日志监测分析服务要求提供其他安全设备（用户原有）接入，非指定品牌，包括第三方安全设备，IPS、WAF、IDS、APT等具备入侵检测能力的安全设备。并根据医院要求进行二次对接开发要求提供五年期扩展日志监测分析服务，监控时长7*24小时。1.威胁事件的平均检出时长（MTTD）小于2小时。2.事件平均定性时长（MTTA）小于12小时。流量监测分析服务要求提供五年期基于流量监测引擎（1台）的7*24小时流量日志监测分析服务。要求安全分析师全程使用运营服务网关实时处理告警信息，确诊安全事件，理清事件影响范围，所有分析出的安全事件在运营服务网关中建立完整分析档案进行管理。要求安全分析师使用运营脚本进行流量监测事件处置，支持二、三线多人深度参与监测分析过程，最大化确保分析过程与结果完整、精准。主动有效性验证服务要求提供五年期每年2次主动有效性验证服务，运营服务商设定有效性验证测试矩阵，针对客户网络环境做针对性调整，在网络不同区域发起针对验证标靶的各类攻击动作，检验用户现有网络安全防御体系是否完整、检验安全规则有效性、安全设备攻击事件检出率，检验防御体系及运营团队监测预警和应急响应能力，服务一次开展时长不超过4天。应急响应支撑服务1、要求全年在出现突发、紧急安全事件时，投标人应提供7*24小时的应急响应服务，协助招标人进行有效的应急处理，最大限度地减少相关事件带来的损失和负面影响。2、投标人应具备完备的应急处理服务体系，应急响应服务应满足1小时内到达用户现场，4小时恢复系统运行的服务响应指标。安全配置优化服务要求经招标人授权，协调安全设备厂商在各检测类设备上设置事件告警，告警方式根据设备支持情况可以是短信、邮件、日志等形式。要求经招标人授权，协调安全设备厂商梳理防御类设备策略，在发生严重入侵事件时提供告警，并及时根据实际业务需求对安全设备进行相关策略修改、优化。数据流量监测设备结合安全运营管理中心分析处理用户网络内部流量和收集设备日志信息，实时同步给本地安全运营中心，由本地专业安全运营团队进行分析，提供7*24小时监测服务，定期向用户提供网络安全态势报告。同时，用户也能随时随地通过登录安全运营中心平台，掌握当前整体网络安全态势。支持导入HTTPS证书，对加密流量进行解密及还原：支持SSL3.0，TLS1.0/1.1/1.2；密码套件至少支持RSA_WITH_AES_256_GCM_SHA384、RSA_WITH_AES_128_CBC_SHA、RSA_WITH_AES_256_CBC_SHA256、RSA_WITH_AES_128_GCM_SHA256、RSA_WITH_AES_256_CBC_SHA。1.支持对检测的告警事件结合双向检测机制、元数据、原始数据包和研判模型进行深层次研判给出告警事件的攻击结果，至少包含的结果类型为：攻击尝试、攻击成功、正在利用等。1.支持自定义规则，自定义内容包括源IP、源端口、目的IP、目的端口、协议、事件威胁等级、主机状态、事件类型、攻击阶段、攻击结果、攻击手段。2.支持关联规则分析，进行双向检测规则编写，兼容snort规则。3.支持lua脚本规则定义，用于检测高级入侵事件。支持自动发现资产，支持发现终端、Web服务器、DNS服务器、邮件服务器、FTP文件服务器等类型。支持资产自动化精准识别，粒度包含设备类型，资产名称，操作系统类型（如Windows，linux等），MAC地址，IP地址，端口，协议，域名等资产信息。要求系统具备攻击链分析模型，通过攻击者视角，分析外部IP对内部资产攻击行为，通过多维度分析攻击者手段，进行关联分析，通过被攻击者视角，分析内部资产被外部地址攻击详情，多维度分析攻击异常开始时间，使用手段。支持威胁告警前后N个数据包文件存储和下载。安全运营工具（服务网关）资产管理1、业务系统对象的维护字段应至少包含资产对象类型、资产对象名称、资产组、更新时间、等保级别、责任主体、责任人、域名、互联网IP与服务端口对应关系、局域网IP与服务端口对应关系、关联基础资源对象等内容。2、基础资源对象的维护字段应至少包含资产对象类型、资产对象名称、资产组、主机名称、更新时间、等保级别、责任主体、责任人、局域网IP与端口服务组对应关系、基础资源软件、关联业务系统对象等内容。1、用于和安全运营支撑平台的各项功能进行信息关联，将资产的未整改漏洞、安全事件及各类扫描引擎结果进行关联，精细化管理资产对象的安全属性及相关安全状态。2、资产管理模块需支持资产与相关事件与漏洞的索引检索能力。漏洞管理1.安全漏洞分析流程管理能力：漏洞管理模块为持续性脆弱性管理工作提供闭环管理过程，脆弱性管理团队的分析人员在该模块的运营流程要求驱动下，完成漏洞从提报到处置、复测的闭环处理流程。2.该模块提供脆弱性相关的创建、多级审核、复测等功能。系统应预定义漏洞提报相关字段，如漏洞名称、漏洞地址、漏洞等级、漏洞类型、相关系统、漏洞描述、修复建议等，以要求分析人员进行漏洞内容的详细性填写提报，并由上级分析师对漏洞提报成果进行审核确认，确保成果准确。事件管理安全事件分析流程管理能力：1、为持续性威胁管理工作提供全过程支撑，安全分析师在该模块所提供的运营脚本的驱动下，完成威胁分析与威胁防御动作，实现对所有安全事件的闭环处置。2、该模块提供事件相关的运营脚本管理，事件创建、卷宗维护、多级审核等功能。要求系统能够针对事件的分析过程，对不同的安全威胁事件类型的分析步骤进行拆解，并支持预置为事件分析模板，要求安全运营人员按照分析模板进行分析工作。并由分析师对每个步骤分析结果进行审核确认，确保分析准确性。3、要求分析过程中对威胁事件的相关元素进行上传保存、包括且不限于威胁情报碰撞结果、可能存在的病毒分析结论、分析过程报告、恶意IP、漏洞利用情况、影响资产范围等。分析处置所有分析过程应通过运营支撑系统编写分析记录，系统的记录字段应至少包含事件标题、事件级别、事件描述、标签、部门、推断发生时间、受影响资产、相关漏洞、可疑对象等，系统应可将威胁事件从检测、分析至处置的全过程保存为卷宗模式存储，确保安全动作可基于记录复盘。工作台：对告警、资产、脆弱性、事件分析过程、风险处置过程的确认与审核任务进行调度管理，不同角色的分析师可通过工作台查询浏览自身相关的工作任务，应至少包告警分析与处置、漏洞分析与处置、资产确认等。脚本管理1.要求在运营支撑系统内所维护的运营脚本中，具备对各种类型事件进行调查分析的标准化操作要求，并驱动分析师对每个调查环节进行质量监控，运营服务团队应具备使用ATT&CK方法编制安全运营脚本的能力，系统默认内置运营脚本不得少于140个，每个事件脚本中必须包含事件确诊、升级分析、危害扩线与溯源分析、闭环处置等各个阶段的运营动作规范。可视化具备安全态势可视化呈现能力，包括但不限于威胁态势、脆弱性态势、运营质量态势与运营基础设施态势。网络边界探针部署在数据中心汇聚层、外联接入区域、核心网络层（共二台）1.标准机架式设备，冗余电源；千兆光口≥4，千兆电口≥6；内存≥16G；硬盘≥2T；提供五年规则升级授权；流量监测能力≥1Gbps；2.支持IPv4/IPv6双协议栈全流量解析；支持常见HTTP、FTP、TFTP、SMTP、TLS、SSH、IMAP、SMB、Dcerpc、DNS、IKEV2、NFS、Krb5、DHCP、SNMP、SIP、RFB、RDP等应用层协议；支持基于不完整会话流的单包攻击检测能力,支持检测常见的Web类攻击，至少包含Webshell请求、XSS攻击、SQL注入等web攻击；3.系统具备专有的挖矿分析场景:基于特征库和威胁情报检测挖矿主机，对挖矿主机进行不同阶段的展示，至少包括连接矿池阶段、获取挖矿任务阶段、控制命令通信阶段、挖矿成功阶段，形成挖矿链可视跟踪。对网络中的挖矿主机活跃程度，挖矿币种有直观的图形化展示；4.基于网络全流量分析技术，对网络所有数据进行安全分析。通过对网络链路全流量采集、全数据分析，对网络异常行为有敏锐的感知能力，具备多维数据索引能力，能够对网络攻击进行定位与取证；5.具备通过web页面导入pcap包离线回放检测能力，支持批量导入或选择文件夹导入；6.支持通过syslog/kafka方式将告警日志、违规互联日志、威胁情报日志、流数据日志、协议元数据外发至安全运营监测平台；蜜罐模块配置要求硬件要求:2U标准硬件，处理器≥8核，内存≥16G，硬盘≥1T*2，USB接口≥6，千兆网口≥2。性能要求：服务数≥20；伪装代理数量≥40；服务种类≥40；无探针感知模块数量≥2；每个探针可绑定服务数量≥10。安全要求：产品完全基于KVM+docker混合架构，并在访问策略、进程、流量等方面采取严格的技术管控措施防止攻击逃逸，并且具备逃逸告警功能。部署要求：支持硬件部署，软件部署，分布式部署，客户端可集群横向扩展。沙箱仿真模块windows沙箱服务依托真实的虚拟服务器，有独立的含操作系统的虚拟化环境。组合服务构建沙箱：创建沙箱时，支持选择多个服务进行组合，提供最大程度的灵活性；关联同网段空闲IP，可绑定当前沙箱的所有服务。应用服务类：支持wiki、bbs、discuz、ecshop、espcms、websphere、phpmyadmin、confluence、hadoop、crm、oa、tomcat、mailbox、jboss、zabbix、struts2、jenkins、weblogic、vpn、joomla等不少于20种高交互应用服务类沙箱。系统服务类：支持ssh、redis、mysql、ftp、samba、memcahed、sqlserver、portcheat、momgoob、telnet、mysqlcheat、postgresql、ADB等不少于13种高交互系统服务沙箱。系统类：支持windows与centos沙箱，windows沙箱支持登录和交互操作，centos沙箱支持自定义上传业务仿真页面文件。工控类：支持IPMI、MODBUS、IEC104、BACNET、S7COMM、ENIP、SNMP等不少于7种工控协议的模拟，可自定义输入和修改厂商名称、商品名称、产品名称等。自定义模板：支持用户自行拓展沙箱的类型及数量，支持上传docker镜像，支持自定义配置环境变量。沙箱支持增、删、停、重置、编辑沙箱内容，沙箱可关联同网段多个空闲IP，无需安装agent代理。沙箱支持调节行为灵敏度，开启或关闭流量阻断；支持自定义邮件告警级别；支持开启关闭溯源能力，自定义位置插入溯源组件。数据仿真：新建沙箱时，向沙箱中注入脱敏数据，随机替换web服务的模板，增加沙箱的真实性。探针感知模块支持探针节点与无探针感知节点两种部署方式。探针节点：支持在不同区域部署探针，并能将网络隔离区域的攻击流量转发至沙箱；支持感知所有攻击流量，包括且不限于tcp、udp、icmp、半连接扫描等；支持监听1-65535任意端口，且不限制端口数量；支持IPV4和IPV6的部署。探针管理支持资产管理与IP管理，同一资产支持绑定多个IP地址。资产管理支持查看资产信息及关联的沙箱信息。IP管理支持查看不同的探针详细信息，自定义关联沙箱和配置个性化标签。无探针感知模块支持将无探针感知节点以trunk的方式将沙箱发布到其他VLAN，同时无探针感知节点还支持跨三层与管理平台进行通信，快速覆盖内网各个网段的仿真业务。支持多VLAN管理，多IP管理。支持单个IP基于多端口关联不同沙箱。支持无探针网络覆盖率展示。诱饵感知模块基础反制：支持Windows、Mac、Android反制木马，用户自定义上传反制程序并关联沙箱，伪造敏感信息，诱骗攻击者进行下载。高级反制：支持git泄露反制、svn泄露反制、goby反制、gitclone反制、浏览器反制等，攻击者无需下载并打开文件，访问沙箱或执行命令后即可在幻阵上线。一键免杀：攻击反制木马支持自动化静态免杀、加壳、多态，保证反制功能的强力效果。办公网诱饵：支持PC诱饵发布功能，通过agent在PC上发布与沙箱相关的虚假信息，包括网页浏览记录、网站登录密码、RDP连接记录、登录域凭据等。文件诱饵：支持对已有文件word/excel/ppt加工，散布虚假信息到内网各处，感知攻击者访问行为。邮件诱饵：支持向特定邮箱发送邮件诱饵以及附件，感知邮件入侵行为。主机诱饵：通过将用户编辑的虚假信息，散布到linux主机上，迷惑攻击者。互联网诱饵：支持Github与Gitee代码伪装服务，自动化发布代码项目至GitHub与Gitee网站。智能蜜网模块一键探测：支持一键感知探针、无探针感知节点所在网络的资产信息，分析当前网络状态。一键关联：基于探测结果和智能算法，支持蜜网一键化部署，将探针节点和无探针感知节点自动关联至对应沙箱，快速形成欺骗蜜网，简化布防操作。溯源反制模块支持对黑客溯源功能，形成黑客溯源/黑客画像页面，溯源真人白名单标记，对溯源结果按照国内/国外/内网分类并展示，可提供对黑客备注功能。支持分析黑客的身份信息和设备指纹信息，包括IP地址、社交网站真人身份、设备指纹、操作系统、浏览器等，支持不少于10种社交ID溯源能力。黑客画像支持展示攻击者身份、备注、源IP、内网/公网IP、浏览器信息，黑客轨迹聚合该黑客所有攻击事件，支持攻击源探测，探测攻击源的服务与端口。威胁情报联动：可基于现有的设备指纹进行设备指纹碰撞，反查攻击者的历史溯源信息，补充溯源信息。具备攻击反制功能，可以反向控制攻击者设备，获取对方设备信息，进行交互式反制操作，支持交互shell、文件上传下载、电脑截屏、摄像头拍照等操作，支持获取qq、wechat、手机号、CS、iphone设备信息、xshell、navicat、Git、Email、域名及对应的用户名等应用的用户ID和关键信息，便于身份溯源。获取精确设备指纹：可获取设备的操作系统、设备类型、主板信息、硬盘序列号、CPU类型、BIOS信息、GPU类型、显示器名称、IDE名称、声卡名称、内存条制造商及名称、硬盘名称、主机品牌、物理机接口、当前用户等信息。行为记录模块对于Windows沙箱的远程RDP攻击，支持录制攻击过程的视频，可回放攻击过程；对于SSH沙箱的攻击，支持以视频的形式回放用户的命令行操作记录。支持记录攻击者所有攻击行为，通过时间线展示，并可从攻击源、攻击手法、攻击资产、隔离沙箱、攻击类型、时间线等维度进行筛选查看。支持基于ATTCK的攻击事件回放，并以时间轴的方式展示重点攻击手法及事件，支持从攻击时间、攻击资产、攻击手法、来源IP、事件类型等进行筛选。支持记录各类Web应用与系统服务登录爆破，支持识别记录Web攻击类型，支持识别僵木蠕攻击、漏洞利用手法。支持将不同攻击者对不同沙箱的攻击单独归并，分别展示为事件，可通过攻击事件回溯查看该事件所有攻击行为。支持记录攻击者上传的恶意文件，并分析其文件类型、MD5等判断其是否为恶意木马，支持VirusTotal鉴定和AntiVirus鉴定恶意文件。支持威胁情报数据通过在线或离线包的方式同步至本地化威胁情报中心。支持记录攻击者所有行为，并能识别真人与扫描工具，至少能识别7种扫描工具。Windows沙箱支持勒索病毒检测。支持沙箱逃逸行为检测和提权检测，产生告警并自动阻断处置。可视化模块支持大盘展示受攻击资产、探测与入侵事件统计、受攻击沙箱等。支持蜜网拓扑图，展示管理端与沙箱、探针节点等之间的拓扑关系，以及欺骗资产在当前网络的覆盖情况。针对安全攻击事件支持多维度归并分析，包括但不限于攻击事件、攻击者、攻击时间维度等。查看事件页面，能基于攻击者、攻击资产、隔离沙箱、风险等级、攻击起始时间等进行筛选，并能通过攻击源和过滤IP进行搜索。支持生成html、doc、pdf、excel等格式的分析报告。管理要求账号权限分离，提供超级管理员、管理员、普通用户、审计员角色权限。支持Radius认证登录和Ldap认证登录。支持将post攻击数据推送到指定的http服务器。支持威胁事件的实时告警、并提供事件处理功能。支持白名单配置，包含扫描白名单，系统访问白名单配置等操作。支持扩展功能开关，包含post内容捕获、攻击源探测、逃逸检测、攻击反制、pcap包下载等操作。护网安全组件x86/x64WindowsServer2003sp2/R2x86/x64WindowsServer2008sp1及以上/R2x86/x64WindowsServer2012~2019sp1及以上/R2x86/x64CentOs5.0及以上x86/x64RHEL5.5及以上x86/x64Ubuntu14.04及以上x86/x64SUSE11及以上版本x86/x64ARMKylinLinux4.18.0-147Deepin-4.19.0-arm64-server_1707/1813授权数量本次提供200点授权（windowSERVER和LINUXSERVER通用）主机资产信息全局展示与搜索1、支持全量资产的关键字及语法搜索，支持检索的语法包括但不限于：服务器资产类、进程资产类、账号资产类、软件应用类、web资产类、web服务类、web框架、数据库类、端口资产类、网络连接类、启动服务类、安装包类、计划任务类、环境变量类、内核类、类库资产类、注册表类、证书资产类进行检索；2、关键字语法搜索支持至少5个搜索历史的保存，并支持将检索条件保存为快捷搜索项（至少保存20个以上）；3、支持统一入口查看Windows/Linux系统资产，不应将Windows、Linux系统资产分菜单展示。服务器基础信息1、支持以列表的形式，统一列出Windows/Linux服务器基础信息，并在列表中对服务器的关键软硬件进行统计，包括但不限于：CPU数、CPU核数、分区数、账户数、软件应用数、web站点数、web服务数、web框架数、数据库数、端口数、网络连接数、启动服务数、安装包数、计划任务数、环境变量数、内核模块数、证书数、注册表数、类库数等；2、支持以列表的形式，统一列出Windows/Linux离线服务器信息，并在列表中显示最近离线时间、不在线天数等信息；3、支持以列表的形式，统一列出Windows/Linux的硬件配置，并在列表中显示硬件配置，包括但不限于CPU品牌及核数、内存、硬盘容量、硬盘分区数、硬盘空间、硬盘使用率等信息。进程资产支持以列表的形式，统一列出Windows/Linux服务器进程资产，并可查看进程的软件包名、运行时间、同步时间、启动参数等信息。端口支持以列表的形式，统一列出Windows/Linux服务器端口资产，并可查看端口号、协议、端口状态、绑定IP、监听进程等信息。网络连接支持以列表的形式，统一列出Windows/Linux服务器的进程连接资产，并可查看进程名称、协议、IP地址、源端口、目标端口、目标IP、连接状态、同步时间等信息。启动服务支持以列表的形式，统一列出Windows/Linux服务器的启动服务或启动项，并可查看服务名/启动项名、启动状态、服务描述、脚本路径、启动类型、文件公司名、文件MD5等信息。内核模块支持以列表的形式，统一列出Windows/Linux服务器的内核模块，并可查看内核模块名、模块路径、加载地址、模块大小、文件MD5等信息。注册表支持以列表的形式，列出Windows服务器的注册表信息，并可查看注册表名称、执行命令行、MD5信息。主机发现可通过自动、手动的任务设置，对局域网内服务器的服务器进行扫描（支持ARP、Ping、Nmap扫描方式，并支持离线分析），并自动获取服务器相关信息，包括MAC地址、设备类型、未知主机IP、操作系统、发现方式、首次发现时间等信息。账户风险（弱口令检测）1、支持对服务器中的风险账户进行检测，发现可能存在的风险账号，并可对风险账号进