医院上网行为管理及零信任网关需求

医院上网行为管理及零信任网关需求1、货物详细清单序号货物名称数量单位单价限价（元）备注1上网行为管理4台2零信任网关2套3安全证书1张2、具体技术要求序号货物名称技术要求1上网行为管理上网行为管理是指帮助互联网用户控制和管理对互联网的使用，涵盖网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等多个方面‌。上网行为管理旨在通过技术手段，规范用户的网络行为，提高网络资源的利用效率，保障网络安全，防止非法信息的传播和敏感数据的泄露。随着计算机和宽带技术的迅速发展，网络办公日益流行，但员工非工作上网现象也越来越突出，如网上购物、在线聊天、在线欣赏音乐和电影、P2P工具下载等，这些与工作无关的行为占用了有限的带宽，严重影响了正常的工作效率。因此，上网行为管理成为了医院监控和管理网络行为的重要工具。上网行为管理产品及技术是专用于防止非法信息恶意传播，避免商业信息、科研成果泄漏的产品，并可实时监控、管理网络资源使用情况。这些产品适用于需实施内容审计与行为监控、行为管理的网络环境，能够帮助管理者直观地看到内部发生的网络行为，进行统一管理，使得审计、分析、统计变得相对容易，并能提供清晰的上网行为管理数据以供决策参考。（1）2U硬件，配置≥1个管理口、≥1个HA口、千兆电口≥16个，扩展槽≥2个，硬盘≥1T，交流冗余电源，支持2G带宽或25000人以下网络环境使用，最大并发连接数≥120万，最大新建连接数≥8万/秒；含网页过滤、用户认证、应用控制、内容审计、带宽管理、行为监控分析等功能，含三年硬件质保服务、三年软件版本升级服务；（2）设备支持与客户现有环境杀毒软件的互联网准出联动，即终端必须部署杀毒软件，才能访问互联网，否则上网行为管理会将访问页面重定向到杀毒软件的下载页面；（3）设备提供物理硬件bypass按钮，便于设备巡检、设备故障时管理员无需重启、关机、断电即可恢复网络通畅；采用一体化引擎，避免在复杂应用场景开启多功能时的延迟损耗及性能衰减；（4）可集中呈现上网行为风险等级和状态，行为风险等级包括安全等级、效率等级、合规等级和管控等级；行为状态包括管控效果、运行状态、安全状态、泄密风险状态、合规状态和应用使用状态；点击页面数值可直接跳转查询详情，首页可展示特征库规模详情；（5）支持恶意网站防护，防护类型包括挂马网站、恶意篡改网站、钓鱼网站、恶意软件下载网站等，支持阻塞并记录日志；支持失陷主机检测，失陷特征包括威胁情报、挖矿、间谍软件，可以阻塞IP并记录日志；（6）可以识别内网的爬虫行为，可监控爬虫用户总数趋势和爬虫请求总数趋势，可展示实时爬虫检测的用户、网站数、请求数、爬虫详情Top3内容；支持配置源IP白名单、目的IP或域名白名单，提供更精准爬虫的检测能力；（7）对网站的发帖正文关键字进行管理，一条策略可同时实现控制、记录、告警、便于维护管理；支持基于用户、时间、网站分类或具体网站和搜索关键字推送广告；（8）支持FTP、SFTP、SCP、HTTP、QQ等文件上传管理，可根据传输方向、文件类型、文件名、文件内容、文件Hash、文件大小等条件过滤，支持违规图片管控；支持通过FTP和SFTP方式将日志导出到指定服务器，日志支持SSL加密传输，文件格式支持压缩，文件类型支持CSV、TXT；支持配置用户、工具、位置、IP条件过滤；（9）通过HTTPS审计功能，可以针对网站分类、证书颁发者、证书所有者、证书有效期等进行审计，加以控制；（10）可审计Oracle,MySql,SqlServer,PostgreSQL数据库的访问与操作，可以设置指令关键字、内容关键字配置条件；（11）支持对DNS通信内容进行审计和控制，对SNMP通信内容进行审计和控制，对NFS访问和传输文件进行审计和控制，对NETBIOS通信、登录名及文件、目录进行审计和控制；（12）支持配置禁用PC热点开启功能。禁用时PC仍可以使用网络，但是无法通过随身wifi或笔记本自带功能创建热点；（13）支持对SSH协议的流量进行解密，支持根据实际需求配置指定的源IP、目的IP或IP地址范围；（14）支持对业务系统访问及API接口进行扫描、通过敏感信息、安全漏洞、行为接口、自定义接口规则等识别并标识数据及传输风险，并可以查看最近某段时间内扫描到的业务系统访问数据的日志，树形结构展示业务系统及接口的层级关系，需通过第三方的检测。2零信任网关2.1零信任系统（控制中心）（1）1U标准机架式，内存大小≥16G，硬盘容量≥128GSSD，双电源，千兆电口≥6个，千兆光口SFP≥4个，千兆多模光纤模块及跳线≥2套。（2）最大并发用户数（个）≥3000；新建用户数（个/秒）：本地认证≥70，外部认证（如LDAP）≥50。（3）控制中心支持两台集群，实现业务负载分担。支持单臂模式、路由模式部署，支持1对多部署模式，实现多个安全代理网关共享一个控制中心；零信任系统（控制中心）与零信任系统（代理网关）设备无缝兼容，协同工作。（4）配置零信任接入授权数≥1250个；客户端应兼容主流国产硬件CPU的国产操作系统终端。（5）支持国家密码管理局颁布的SM1、SM2、SM3、SM4密码算法及其协议，具有国家密码管理局颁发的《商用密码产品认证证书》。（6）支持加密传输、接入、认证、日志审计、安全性增强-WEB水印、上线准入策略增强-终端动态环境检测、灰度处置、SPA等功能。（7）支持本地集群与分布式集群部署；支持集群授权叠加功能，集群下各节点的零信任接入授权数均可共享使用；支持集群授权漂移功能，集群中的单节点故障后，集群的总授权数跟故障前保持一致，剩余节点仍能接管所有业务。（8）支持通过私有域名发布资源，在不采购域名服务的情况下即可使用域名访问内网资源，支持管理员自主配置是否允许从具体网络区域（局域网/互联网）接入时使用此私有DNS解析地址。（9）为提升客户端使用体验，零信任移动客户端应支持大字模式，启用后，字体、图标、按钮都适当比例放大。（10）设备本身可在不需要额外搭建认证平台、认证组件的情况下，可扩展支持以下认证方式，满足协同办公的安全需要，要求支持本地密码认证、LDAP/AD认证、OAuth2.0标准协议的票据认证、CAS标准协议的票据认证、证书认证、HTTP(S)短信认证、腾讯云短信网关、阿里云短信网关、标准Radius令牌认证、TOTP动态令牌认证等认证方式。（11）可扩展支持主动防御功能，满足后期功能扩容需要。主动防御功能要求包含但不限于威胁诱捕、防线可视、行为洞察分析等能力，实现:1)设备上创建多种蜜罐，进行威胁诱捕:2.基于设备(账号/终端三道防线安全能力和效果的可视化及量化，实时掌握攻防态势;3)对用户访问行为进行自动分析并智能生成分析报告，展示整个访问过程(包含涉及的用户、终端、IP等实体，登录过程，访问过程(投标文件提供设备功能界面截图)等)。（12）安全联动性防御：与现有态势感知平台无缝对接，可构建统一的安全体系，实现异常行为监测分析，提升联动安全防御能力。2.2零信任系统（代理网关）（1）1U标准机架式，内存大小≥16G，硬盘容量≥128GSSD，单电源，千兆电口≥6个，千兆光口SFP≥4个，千兆多模光纤模块及跳线≥2套。（2）SSL性能要求：最大加密流量≥480Mbps，最大并发用户数（个）≥4800，最大https并发连接数（个）≥48000，https新建连接数（个/秒）≥300；IPSEC性能要求：最大加密流量≥300Mbps，最大并发隧道数（Tunnel）≥1200个。（3）支持国家密码管理局颁布的SM1、SM2、SM3、SM4密码算法及其协议，具有国家密码管理局颁发的《商用密码产品认证证书》。（4）代理网关支持2台构建集群，实现业务负载分担。代理网关支持单臂模式、路由模式部署，支持多对一部署模式，实现多个安全代理网关共享一个控制中心；零信任系统（控制中心）与零信任系统（代理网关）设备无缝兼容，协同工作。（5）支持开启智能图形校验码、支持防爆破锁IP；支持首次登录强制修改密码，支持配置密码最长使用周期（到期后需要修改密码）。（6）支持告警信息设置，包含以下几个方面：CPU使用率超过80%、内存使用率超过80%、磁盘占用率超过80%、序列号即将到期（提前15天提醒）、在线用户数已达购买授权数，支持配置邮箱服务器，告警事件支持邮件通知管理员。（7）发布WEB资源，支持审计访问日志（用户、源IP、URL、时间、get请求、post请求、端口），发布隧道资源，支持审计访问日志（用户、源IP、时间、端口）。（8）支持当前设备配置自动同步、支持从备份配置中恢复；支持导出当前设备配置；支持恢复出厂设备配置。3安全证书（1）功能要求：用于标识应用系统/网站真实身份，防钓鱼防欺诈，建立系统/网站安全通道加密数据传输，防窃取防篡改。证书直接显示网站所有权、企业信息、浏览器直观展现HTTPS、安全锁等显眼标识。（2）功能要求：支持微软浏览器、火狐浏览器、苹果浏览器。（3）功能要求：加密强度支持使用256位加密，可兼容支持128位。（4）基本要求：证书服务机构遵循CA/Browser论坛（CA/BrowserForum）的相关指引提供SSL、EVSSL证书服务，SSL证书及EVSSL证书分别符合WebTrustSSL（WebTrustPrinci