智慧医疗云服务项目需求

智慧医疗云服务项目需求一、项目概况一体化基础医疗信息系统已建设多年，由于局所在机房目前存在物理位置分散、存储资源不足、安全管理复杂等问题，已无法与现行业务相匹配，信息安全存在一定的风险，为实现资源统一管理，提升数据应用效能，推进管理一体化，有效提升医疗服务的效率和质量，实施智慧医疗云服务项目。本项目通过采购云资源服务的方式，满足医疗系统（如HIS、LIS、PACS、心电、体检等业务系统）的正常运行，云资源服务包含云计算服务、云存储服务、云安全服务、云监控服务、云备份服务、数据库维护服务，同时具备配套的网络运维服务，满足新医疗信息资源一体化管理要求。本项目提供的云资源服务及配套措施，作为采购人关键业务系统的基础资源支撑，应满足业务系统高可用性、高可靠性、业务连续性、安全性及高扩展性需求。二、项目内容1、云资源服务。本项服务包括1项云计算服务（1700核CPU、内存5500GB）、1项云存储服务（320TB）、10项云安全服务、1项云监控服务、2项云备份服务、1项数据库维护服务，如涉及迁移需提供迁移服务。2、网络运维服务。本项服务包含1项局属医疗机构中枢网络接入服务、1项区属非公立医疗机构卫生专网中枢网络接入服务、4项网络专线链路租赁服务。三、服务清单序号服务内容服务规格数量单位一医疗云资源服务1云计算服务CPU1700核内存5500GB2云存储服务SSD存储（含数据库存储）35TB高效云盘275TB对象存储10TB3云安全服务云原生VPN接入服务1项云原生日志审计服务1项云原生堡垒机服务1项云原生数据库审计服务1项云原生Web应用防火墙服务1项漏洞扫描服务1项态势感知服务1项数据库防水坝服务1项数据库防统方服务1项下一代防火墙服务（含入侵防御、防病毒模块）1项4云监控服务云监控服务1项5云备份服务数据库备份服务1项应用数据备份服务1项6数据库维护服务业务系统数据库维护服务1项二医疗网络运维服务1中枢网络接入服务局属医疗机构中枢网络接入服务1项区属非公立医疗机构卫生专网中枢网络接入服务1项2网络专线链路租赁服务市卫生专网专线链路租赁服务2项业务专网专线链路租赁服务1项互联网专线链路租赁服务（含互联网对外IP，可用IP不小于2个）1项四、详细服务需求1云资源服务1.1云资源服务要求1.1.1机房环境要求序号机房环境要求1机房要求：提供电子门禁系统记录，人员进出门禁记录采用密码技术进行完整性保护；采用密码技术保证视频监控音像记录数据的存储完整性；建设标准:采用GB50174-2017的A级标准建造；动力保障：采用2路10kV以上高压电力专线从不同变电所接入机房，所有机柜均由两套不同的UPS系统提供双路供电；空调系统：采用恒温恒湿机，温度保持在20-25度，相对湿度保持在40%~55%，下送风上回风、冷热通道隔离设计，提高制冷效果及能源使用效率。1.1.2云平台技术要求序号云平台技术要求1功能要求：云平台整体要求：云平台应满足等级保护三级及以上要求，且所有设备全部冗余，可避免一台设备宕机造成的单点故障；云平台架构要求：采用分布式技术架构，要求本次提供的所有产品（组件）采用分布式技术架构。例如：计算虚拟化引擎、存储系统、SDN网络系统等；云租户架构要求：支持多租户架构，支持单租户内包含多个VPC，满足租户内业务安全访问控制要求；云专用网络要求：支持第三方虚拟网络设备(如负载均衡、防火墙）的自动化部署，提供跨VPC业务流量调度，部署模式支持单机和双机主备模式；云负载能力要求：支持提供主备服务器Active-Standby模式，负载均衡监听的后端添加主备两台后端应用服务器，当主机健康检查正常时，流量将直接转发至主机；当主机健康检查失败，流量将切换至备机，主备服务器不需要依赖Keepalived、pacemaker等应用高可用组件；SaaS服务能力：需保证业务应用在云上稳定运行，投标的云平台产品SaaS服务能力应具备ITSS云计算服务能力二级及以上；1.1.3云计算服务要求云计算服务简称云主机，每一个主机实例是一个虚拟的计算环境，可按需进行弹性伸缩。可根据采购人业务的需要，随时创建实例、扩容磁盘、或释放任意多台云实例。序号云计算服务技术要求1按要求提供云主机，可以选择CPU、内存规格、操作系统、数据库、磁盘容量、网络类型、安全组、申请数量。2功能要求：支持云主机生命周期管理和维护，包括但不限于创建、启动、关闭、重启、更换操作系统，其中创建、启动、关闭、重启应支持批量操作，提升管理员操作效率；支持云主机在线扩容CPU/内存等，无需重启即可生效，保证业务系统计算资源可以进行垂直扩容；单个云主机能够挂载≥16块数据盘；提供资源编排组件，支持按照模版规范编写资源栈模版，在模板中可以定义所需资源间的依赖关系、资源配置等，如云主机实例、云数据库实例、负载均衡实例等，帮助采购人简化云计算资源管理和自动化运维的服务；支持云主机热迁移，投标方可以手工指定迁移任务的带宽限制，降低迁移流量对正常业务的干扰；支持云主机按宿主机，机架，网络交换机物理拓扑的调度能力，提升业务的可靠性，控制台上分散策略支持严格分散和尽量分散两种可选；支持云主机高可用（宕机迁移），当某台物理节点发生意外故障，在其上运行的云主机能够在其他正常的物理节点上重新启动，保障业务的连续性；支持通过VNC方式远程访问云主机，同时支持设置云主机VNC密码（非系统密码），并能在VNC访问时进行VNC密码认证，保证终端对云主机的安全访问。1.1.4云存储服务要求提供数据块级别的随机存储，提供数据可靠性保证。序号云存储服务技术要求1块存储（含SSD云盘和高效云盘）功能要求：为云主机提供的低时延、持久性、高可靠性的数据块级存储设备；支持在线扩展容量，扩容期间无需关闭虚拟机，无需卸载云盘，系统盘在线扩容不停业务；支持磁盘的创建、删除、卸载、扩容、挂载、查询、初始化等功能；单个云盘最高支持32TB容量；支持分布式EC数据冗余保护；对象存储功能要求：对象存储服务支持RESTfulAPI接口、兼容AmazonS3接口，通过开发工具包SDK或直接通过RESTfulAPI进行基础和高级对象存储操作，提供key-value键值对形式的对象存储服务；支持存储空间监控/使用流量监控/每小时请求数；能够统计公网流⼊、流出流量，内网流入、流出流量；统计Get/Putobject请求数，Get/Head/Postobject成功请求数，Append/UploadPart/UploadPartCopy/Deleteobject成功请求数；服务端错误请求数、服务端错误请求占比、网络错误请求数、网络错误请求占比、客户端错误请求数、客户端错误请求占比；支持原生图片处理服务:创建图片处理规则、图片格式转换、图片效果处理、添加文字或图片水印、高级编辑自定义图片处理样式等；支持对象的简单上传、追加上传、下载、删除、列举、复制，获取对象的元数据、创建多段上传任务，支持列举存储空间、创建存储空间、删除存储空间、列举存储空间内对象、获取存储空间的元数据；支持生命周期管理、定义和管理存储空间内所有对象或对象的某个子集的生命周期、变更容量和变更归属；单个对象最大支持≥48.8TB，单租户支持≥10000个bucket，每个bucket的生命周期可容纳≥1000规则；支持基于EC校验模式的数据多重冗余备份。1.1.5云安全服务要求本项目云租户安全防护能力须按照《GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求》中等级保护二级及以上标准要求进行防护，满足安全通用要求和云计算安全扩展要求，如若采购人开展业务系统等保测评工作，需积极配合采购人在等保评估、检查、整改等环节中的技术支持工作。序号云安全服务技术要求1云原生VPN接入服务规格要求：提供不少于50个VPN账号接入服务。云原生VPN接入服务功能要求：支持SSLVPN服务，支持通过SSL-VPN功能远程接入VPC；支持修改SSL服务端的名称、本端网段、客户端网段信息，支持创建SSL客户端证书；支持AES128、ASE192、AES256加密算法；支持API方式配置。2云原生日志审计服务规格要求：提供日志审计空间不少于2T。云原生日志审计服务功能要求：针对实时日志类数据一站式服务，无需开发就能快捷完成日志数据采集、消费、投递以及实时查询分析等功能；可视化分析支持线图、柱状图、环图、地图、词云、TreeMap常见图表，支持构建图层，支持拓扑图构建，支持外部矢量图导入，支持markdown，图表自适应分辨率显示，支持全屏模式；支持Storm/Flink/SparkStreaming方式消费数据；支持Java/Python/Go程序流式消费数据；支持多种SDK采集服务端日志数据，包括Log4J、LogBack、PHP、C++、Java、Go、.net、ios/android、Python/LoggingHandler9种SDK；日志采集工具支持使用分隔符、正则表达式对文本文件内的日志采集、支持syslog协议、Kubernetes日志采集；支持json、文本、数值等数值类型查询、支持json格式中文本自动构建索引、支持对数据进行全文查询、支持多个条件组合查询（And、Or、Not）、支持原始日志中上下文查询（前后N行）；支持日志聚类、变点检测、极大值检测、时序预测、时序聚类智能查询分析；日志服务支持通过密钥管理服务对数据进行加密存储，提供数据静态保护能力。支持使用托管密钥进行加密。支持通过自带密钥（BYOK）加密。3云原生堡垒机服务规格要求：提供支持纳管不小于200主机资产的堡垒机服务。云原生堡垒机服务功能要求：支持显示系统已添加运维账户数、运维主机数、访问策略及指令策略数量；按类型显示当日、当月所有操作数、会话数、异常操作及异常会话数量；支持统计以时间轴为基线的全部、异常、操作及会话数量，点击示图可查看详细；支持统计以服务器IP为基线的全部、异常、操作及会话数量，点击示图可查看详细；支持显示当前最新会话列表（全部、异常），可选择会话进行实时监控、回放、关联分析、阻断等操作；支持配置堡垒机的密码安全策略（密码最小长度、密码使用限期、密码复杂度要求、密码重复策略、密码锁定策略、登录验证码、导出加密、水印显示）；支持配置堡垒机全局运维策略（代填分隔符、访问限制、账号停用、用户组管理限制模式、多级管理限制模式、会话超时设置、运维访问通道、文件传输记录、隐藏主机IP、账号密码保存、应用发布访问控制、Syslog发送、访问审批、访问备注、协同访问、访问告警、访问审批过期时间、指令审批过期时间、批处理审批过期时间、工单审批过期时间、账号过期提示、数据库访问限制、RDP访问限制、VNC访问限制、指定应用发布、加密算法）。4云原生数据库审计规格要求：提供支持不小于20个数据库实例的审计服务。云原生数据库审计服务功能要求：支持通过访问来源信息：客户端IP、端口、数据库名称、数据库账号、OS账号、访问工具、主机名称、MAC地址的方式进行审计；支持Oracle、SQLServer、Db2、Informix、PostgreSQL、SybaseASE、SybaseIQ、MySQL、MongoDB、SAPHANA、MariaDB、Percona等主流数据库的审计；支持Hive、HBase、Sentry、Impala、HDFS、ES（Elasticsearch）、GP（Greenplum）、Redis等大数据平台的审计；支持Teradata、Cache、人大金仓、达梦、神通、南大通用、华为Guass等数据库审计。5云原生WEB应用防火墙服务规格要求：提供不少于4个回源IP的应用层防护服务。云原生WEB应用防火墙服务功能要求：支持创建独享VIP，不同域名分配不同VIP；支持对后端Web服务器的健康检查，可配置健康检查路径及响应码；支持设定针对域名和URL的访问频次控制规则，实现对违规IP和session的访问控制。6漏洞扫描服务要求：1.提供不小于200台云主机安全防护能力2.提供1年2次漏洞扫描服务。云主机安全防护能力要求：支持云内命令行部署，云外命令行/镜像部署，云外客户端可关联供应商、Region、AZ等环境信息；支持查杀的病毒类型：勒索病毒、挖矿程序、DDoS木马、木马程序、后门程序、恶意程序、高危程序、蠕虫病毒、可疑程序、自变异木马等；支持拦截勒索软件、挖矿程序、木马程序、蠕虫病毒、恶意程序、后门程序、DDoS木马、自变异木马、感染型病毒、黑客工具、漏洞利用程序、被污染的基础软件、Rootkit等；支持主机的计划任务，包括任务路径、执行命令、任务周期、账户名称，最新采集时间等信息；支持展示重点关注的资产，漏洞，异常，配置缺陷，事件等信息；支持网站后门防护功能，支持自动拦截黑客通过已知网站后门进行的异常连接行为，并隔离相关文件，有效清理隔离php、asp、jsp等类型的webshell后门；支持主机维度进行资产暴露盘点，可提供资产、暴露方式、暴露组件、暴露端口、可被利用的漏洞、暴露链路拓扑图及暴露风险详情等信息；支持应用维度进行资产暴露盘点，可提供暴露中间件名称、类型、版本、关联漏洞、影响资产、最新扫描时间等信息；支持中间件数据类型，包括中间件名称、类型、版本、PID、安装路径、最新扫描时间、版本验证信息、父进程PID、运行用户进程监听IP、进程监听端口、监听状态、监听端口协议、进程启动时间、进程命令行、容器名称、镜像名称、配置文件路径、Web目录；支持租户等保三级级基线检查标准包括BCLinux6/7、CentOSLinux6/7/8、DebianLinux8、RedhatLinux6/7、SUSE10/11/12、Ubuntu14/16/18、Windows2008R2/2012R2/2016/2019R2。漏洞扫描服务工具要求：支持针对Oracle、SQLServer、MySQL、Informix、DB2、Sybase、PostgreSQL、达梦、人大金仓进行数据库授权扫描；支持实时检测出黑客入侵数据库后对数据库系统对象的篡改，还能探测出黑客创建的一些隐藏对象，比如隐藏的具有DBA权限的用户，并支持提供详细的扫描报告；支持弱口令扫描功能，弱口令扫描协议数量≥22种，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等协议进行弱口令扫描，允许用户自定义用户、密码字典；支持根据系统给出的漏洞参数、HTTP请求/响应数据，快速验证，一键验证漏洞。支持对Struts2远程命令执行漏洞进行命令执行和文件上传的渗透测试验证操作；支持IP地址的形式下发扫描任务并自动发现存在的Web资产；服务工具符合《GB/T37931-2019信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》增强级的要求。7态势感知服务包含云租户态势感知服务和8家社区卫生服务中心智能感知平台服务。云租户态势感知服务技术要求：支持整体安全威胁概览信息，包括总体安全评分、防护资产状态、待处理风险告警、已处理风险等态势信息，提供基于态势感知的大屏展示，包括资产、漏洞、基线、攻击来源、攻击分布等网络安全态势信息；支持云产品配置检查，包括数据库-白名单，MongoDB-白名单，redis白名单，对象存储权限设置，关系型数据库安全策略，虚拟机自动快照，虚拟机安全组策略等；支持应用白名单功能，防止未经白名单授权的程序运行；支持防密码暴力破解攻击事件的发现，可对黑客进行暴力破解的行为进行实时检测；支持定向攻击分析，比对云平台数据，分析出定向的应用攻击和定向暴力破解；支持资产中心管理页面，包括服务器资产和云产品资产，展示的信息包括不限于防护状态、所属VPC、风险类型等信息。8家社区卫生服务中心智能感知平台服务要求：提供智能感知平台标准服务，包括7*24小时电话咨询服务和远程技术支持服务，威胁情报、失陷情报库更新授权；承诺提供对智能感知平台提供1次/月的巡检服务，每次巡检结束后，向采购人提交巡检报告，针对巡检过程中发现的问题，提供整改建议并协助采购人进行处置，实现问题处置闭环。8数据库防水坝服务要求：对数据库防水坝系统故障或与数据库防水坝系统相关联的系统故障，服务商需提供7*24小时不间断非现场支持服务；对本项目涉及数据库防水坝系统的版本进行及时更新。根据实际的使用需求，对数据库防水坝系统结构进行优化。基于业务数据的安全使用需要，定期进行数据库防水坝系统补丁更新和升级服务；对于因本项目涉及数据库防水坝系统和设备出现技术上的问题或其他项目涉及本项目设备需要配合时，服务商需提供远程电话技术支持服务。9数据库防统方服务要求：对数据库防统方系统故障或与数据库防水坝系统相关联的系统故障，服务商需提供7*24小时不间断非现场支持服务；对本项目涉及数据库防统方系统的版本进行及时更新，根据实际的使用需求，对数据库防统方系统结构进行优化。基于业务数据的安全使用需要，定期进行数据库防统方系统补丁更新和升级服务；对于因本项目涉及数据库防统方系统和设备出现技术上的问题或其他项目涉及本项目设备需要配合时，服务商需提供远程电话技术支持服务。10下一代防火墙服务技术要求：整机吞吐吞吐量≥12Gbps，每秒新建连接数(HTTP)≥20万/s；支持基础防火墙、入侵防御、防病毒等功能，支持全局配置视图和一体化策略管理功能；支持静态路由、策略路由、RIP、OSPF、BGP、ISIS等路由协议；支持系统预定义IPS规则数量≥12000条，病毒库数量≥500W；支持虚拟防火墙功能：支持虚拟防火墙的创建、启动、关闭、删除功能，虚拟防火墙具备独立会话管理、NAT、路由等功能。1.1.6云监控服务要求序号云监控服务技术要求1云监控服务功能要求：云产品资源管控：提供云产品的资源操作控制台；资源分析：提供资源分析仪表盘，支持按类型、告警、利用率等多种维度的资源实力数据图形化展示以及关键数据的报表导出功能；资源监控与告警：提供云环境中的云产品资源实例，提供租户级的资源监控能力，提供云产品资源实例，提供租户级的告警通知能力；告警规则：配额管理支持新增、编辑、删除、查看告警规则，当配额触发告警规则后生成配额告警信息；为保证日常运维效率，所投的云平台运维管理系统应符合信息系统安全等级保护第三级及以上的能力要求。1.1.7云备份服务要求序号云备份服务技术要求1云备份服务规格要求：数据库备份服务提供全部数据库备份；应用数据备份服务需包含全部业务系统应用数据的备份。云备份服务功能要求：支持通过快照对云主机的数据进行备份，通过快照进行云服务器的数据恢复，可以为每块磁盘创建64个快照；支持云主机磁盘国密算法加密，能够对云盘中的数据、云盘和实例间传输的数据、云盘创建的所有快照进行加密处理，保障数据的安全性；支持设置自动快照策略，可自定义快照时间点、重复日期以及保留时长。1.1.8数据库维护服务序号数据库维护服务技术要求1数据库常规巡检服务要求：检查相关软硬件、数据库配置和SGA、PGA的配置情况；检查数据库、备份结果集、各表空间的变化情况等，并对数据变化情况作评估；统计当前表空间、文件系统和数据文件的使用情况；检查数据库alert.log日志文件和相关trace文件；检查操作系统用户、数据库用户、系统本身的安全性；收集数据库运行期间的负载情况和Instance各性能指标；检查数据库备份是否正常；巡检完成提供巡检报告；服务频次：提供1年12次的核心业务数据库（HIS、LIS、PACS、体检）常规巡检服务。2现场应急保障支持服务要求：如发生有重大业务影响的数据库层面问题时，要求有能力启动应急流程，调派技术支持工程师，30分钟内赶往采购人现场，确保系统尽快恢复，对于紧急响应的服务次数和服务时间不作限制，如果确定问题是在数据库层面上，要求工程师到现场直到问题解决为止，对于非数据库系统造成的问题或问题目前缺少有效的解决方法（如数据库软件本身的BUG或内核级故障），工程师需要确定问题的原因，评估改进的风险和代价，并提供完整的解决方案给采购人。2.医疗网络运维服务要求网络运维服务包含中枢网络接入服务及网络专线链路租赁服务，其中中枢网络接入服务包含局属医疗机构中枢网络接入服务及区属非公立医疗机构卫生专网中枢网络接入服务，并对涉及到的网络设备进行日常监控、故障处理、安装调试、配置优化等，建立完善的运维制度及流程。与此同时，需负责中枢网络的维护和和信息安全，对涉及到的软硬件均由以服务形式提供，网络中枢采用冗余架构，避免单点故障。2.1.中枢网络接入服务2.1.1.局属医疗机构中枢网络接入服务服务范围：对14家街道社区卫生服务中心提供局属医疗机构中枢网络接入服务。2.1.2.区属非公立医疗机构卫生专网中枢网络接入服务服务范围：对辖区内非公立医疗机构提供卫生专网中枢网络接入服务。2.1.3中枢网络接入服务要求如下：序号中枢网络接入服务技术要求1网络要求：需支持多层网络架构，以实现高效的数据转发和管理。需采用冗余的网络设备和链路，以提高网络的可用性和稳定性；安全要求：支持虚拟化技术，允许创建隔离的网络环境，提供防火墙和安全组功能，控制进出流量，增强网络安全。具备DDoS攻击防护能力，以抵御分布式拒绝服务攻击；设备配置备份：定期对网络设备进行配置备份工作，确保在设备更换或故障恢复时，能够迅速恢复网络配置，保障业务连续性；网络监控：提供7×24小时的核心网络设备监控，监控指标包括但不限于端口状态、网络流量等关键性能指标，确保网络稳定运行。二、网络专线租赁服务要求提供网络专线链路租赁服务4项，主要包含2项市卫生专网专线链路（VPN1000M）租赁服务、1项业务专网专线链路（裸光纤）租赁服务、1项互联网专线链路（100M）租赁服务（含互联网对外IP，可用公网IP不小于2个），需协助采购人落实局属医疗机构接入卫生专网和业务专网的对接工作，详细的专线信息如下：序号专线服务类型类型数量备注1市卫生专网专线VPN1000M2条2业务专网专线裸光纤1条3互联网专线VPN100M1条网络专线链路服务要求如下：序号网络专线链路服务技术要求1性能要求：客户端通过专线访问云资源平均延迟≤10ms；2市卫生专网要求：1、双链路接入需满足任意一条故障时自动切换；2、支持链路抖动连通性检测；3、街道之间的网络禁止相互访问；4、提供对链路进行7*24小时的监控，监控指标包含链路状态、链路负载等。3业务专网专线要求：1、支持链路抖动连通性检测；2、提供对链路进行7*24小时的监控，监控指标包含链路状态、链路负载等。4互联网专线要求：1、支持链路抖动连通性检测；2、提供对链路进行7*24小时的监控，监控指标包含链路状态、链路负载等。三服务要求3.1服务连续性要求医疗系统支撑着区属100余个社区卫生服务站的卫生社区服务站挂号、就诊、转诊、体检及结算等服务，业务系统的中断直接影响各医疗机构的正常运转，医疗机构业务运行承载着基本的民生保障，要求业务服务不间断。3.2技术服务人员要求应配备专业技术人员不少于5人的项目团队，并在投标文件上详细提供项目团队成员名单和社保证明。项目团队成员要对云平台的整体架构、云产品功能、云网络架构、云安全架构等有深入透彻的理解，在此基础上针对项目中涉及的云资源服务提供方案咨询、云资源使用建议、云疑难问题和相关技术咨询等，项目团队成员均要求具备1年以上的相关工作经验。3.3技术服务要求（1）在服务期内负责提供云资源巡检服务、云资源使用问题技术支持、云资源应急故障响应和故障处理、云资源安全运维服务。要求按月提供云资源服务巡检报告；要求提供7*24小时电话在线服务相关工作，包括但不限于云产品基础使用咨询、云实例开通&升降配&释放、云实例使用问题处理，解决采购人在云资源使用过程中的问题；要求提供7*24小时云资源的应急响应和故障处理服务，包括但不限于当云资源使用单位误操作导致云服务异常、服务