鹤山市中医院院内招标采购公告-信息安全等级保护整改服务项目
鹤山市中医院就下列信息安全等级保护整改服务项目进行密封投标,兹邀请符合资格条件的国内供应商报名。
一、采购项目名称、数量等
项目名称:信息安全等级保护整改服务项目
项目内容:完成鹤山市中医院网络安全整改及服务,并顺利通过信息安全等级保护最终测评。
项目次数:1次
项目最高限价:45万元
本项目只接受不高于预算金额的投标报价,如投标人投标报价高于预算金额的,视为无效投标。
二、供应商资格条件:
1、投标人须是中国大陆境内的独立企业法人或法人分支机构,具有良好的商业信誉。
2、投标人(含其授权的下属单位、分支机构)在近三年内(自采购公告发布之日起往前推三年)在经营活动中没有重大违法记录(提供信用中国上的企业信息截图,中国政府采购网上的政府采购严重违法失信行为信息记录截图等各种可证明的材料)。
3、本项目不接受联合体参与投标。
三、供应商报名需提交以下的资料并加盖公章:(参照医院官网《鹤山市中医院医疗器械院内招标投标文件装订说明》处理)
1、参选供应商的营业执照;
2、参选供应商的法定代表人/负责人的委托代理人应当出具书面形式的《授权委托书》,并提供身份证复印件及联系方式;
3、为本项目提供原厂设备授权函;
4、为本项目提供项目实施方案供评审;
5、原厂售后服务承诺;
6、项目报价单(置于独立信封);
7、公司简介;
8、近三年无重大违法的相关证明资料;
*供应商提供补充材料
上述材料需提交纸质版(投标资料一式5份(1正本4副本),密封盖章,按要求递交)、电子版(报价单置于独立唱标信封内,报价单无需提交电子版)发邮箱hszyyjk@163.com。
四、报名时间及地点
1、报名时间:2019年7月29日至2019年8月2日每天(节假日除外)上午8:00-12:00,下午2:30-5:30
2、报名地点:鹤山市中医院新行政办公楼一楼总务股
六、联系人:刘先生;联系电话:0750-8860198。
附件:
一、目标和项目内容
(一)项目目标:
实现鹤山市中医院信息安全等级保护(二级)最终测评顺利通过及完善院内信息化建设、网络安全整改等必要要求;
鹤山市中医院信息网络安全服务采购清单:
| 序号
|
服务项目
|
产品数量
|
整改方式
|
优先级
|
| 1.
|
提供防火墙服务
|
1
|
在机房的网络边界区域提供防火墙服
|
高
|
| 2.
|
提供运维审计系统服务
|
1
|
在机房的安全运维区域提供审计服务
|
高
|
| 3.
|
提供定时备份系统服务
|
1
|
在主要生产系统的数据提供定时备份
|
高
|
| 4.
|
等级保护整改服务
|
1
|
1年的验收测评
|
高
|
| 5.
|
安全集成服务
|
1
|
安全服务
|
高
|
| 6.
|
物理机房整改服务
|
1
|
提供消防瓶装喷雾、综合布线等服务的整改
|
中
|
以上服务,需以下设备参数来实现,详细参数如下:
运维审计系统
| 项目
|
技术规格要求
|
|
| 系统配置
|
机箱
|
1U标准机箱
|
| 硬盘
|
500G
|
|
| CPU
|
≥ 四核CPU
|
|
| 内存
|
≥ 8G
|
|
| 操作系统
|
专用安全操作系统
|
|
| 管理设备
|
≥ 50点
|
|
| 并发性能
|
SSH ≥ 100
|
|
| RDP ≥ 50
|
||
| 高可用性
|
▲支持主主式双机热备及负载均衡
支持端口聚合,避免单点故障
|
|
| 支持协议
|
Telnet、SSH、RDP、VNC、XWIN、FTP/SFTP/SCP、TN5250等
|
|
| 组织管理
|
部门分级
|
堡垒机必须支持部门分组管理,级别至少在三级以上;
|
| 角色分权
|
通过部门分级,实现对各类角色进行分权管理,使得不同部门的管理员/普通用户只能管理/访问自己部门的资产;
|
|
| 身份认证
|
身份角色
|
支持超级管理员、资产管理员、审计管理员、密码保管员、操作员五种角色;
|
| 谷歌动态令牌
|
支持在线下载手机动态码生成器客户端
支持手动选择刷新令牌密钥二维码
▲支持打开客户端扫描二维码绑定
(提供系统界面及手机截图)
支持扫码下载客户端(苹果、安卓)
支持手动输入令牌密钥显示
|
|
| 双因素认证
|
▲支持谷歌动态令牌(提供界面截图)
|
|
| 静态认证
|
▲支持AD域、LDAP、Radius;
(提供AD域同步截图)
|
|
| 资产管理
|
批量管理
|
支持资产批量导入
|
| 批量导入模板需支持Excel表
|
||
| 支持资产批量修改
|
||
| 统一下发
|
▲支持统一管理、统一新增、删除、变更、同步资产账号及密码
|
|
| 资产类型
|
资产支持网络设备、Windows、Linux、Unix、WEB资产、数据库等
|
|
| 运维操作
|
运维操作
|
支持SSH、telnet菜单模式、直连模式;
|
| 支持RDP菜单模式;
|
||
| 支持自动、手动使用WindowsAD域用户登录应用发布服务器并调用工具软件;
|
||
| 支持联动SecureCRT及Xsheel本地客户端
|
||
| 密码管理
|
自动改密
|
▲支持堡垒机管理界面完成批量账号改密及底层自动同步;
|
| ▲支持自动改密的脚本执行流程查阅,当密码修改失败时可提供排查监测依据;
|
||
| 支持随机生成不同密码、手动指定密码、根据密码规则生成等;
|
||
| 密码拨测
|
▲支持录入资产时的密码拨测,成功则添加,失败则提示;
|
|
| 改密外发
|
改密结果可以支持邮件、密码信封、FTP、ZIP、Excel加密文件等形式外发或下载;
|
|
| 数据备份
|
支持密码信封备份功能
|
|
| 支持密码信封、数据库、审计文件自动备份
|
||
| ▲支持采用非对称密钥加密方式进行备份文件加密。(提供界面和加密备份文件截图)
|
||
| 授权与策略
|
访问权限
|
可实现基于用户(用户组)、目标设备(设备组、应用程序)、系统帐号、协议类型、登录规则来灵活设置访问控制策略;
|
| 命令权限
|
可跟据用户(用户组)、目标设备(设备组)、系统帐号、命令集和生效时间来设置详细的命令权限控制策略,支持命令黑白名单;
|
|
| 命令复核
|
对于高危指令,未经相关人员复核审批,命令无法执行;
|
|
| 存储权限
|
可以选择启用/关闭windows设备、应用程序的剪贴板
|
|
| 可以选择启用/关闭windows设备、应用程序的磁盘映射
|
||
| 审计策略
|
支持多种密码策略
支持黑、白名单控制
支持访问时间策略
支持访问地址策略
支持账号锁定策略
|
|
| 告警策略
|
支持以短信、邮件方式告警
|
|
| 支持告警接受内容为时间拦截、地址拦截、指令拦截
|
||
| 告警来源可设置为用户、用户组
|
||
| 动态运维分析▲
|
用户分析模型
|
▲支持系统自动形成堡垒机用户群组模型
|
| ▲模型自动学习并动态展示当前环境下的用户健康情报、僵尸用户情报、权限及角色的构成与分布情报(提供界面截图)
|
||
| 资产分析模型
|
▲支持系统自动形成堡垒机资产群组模型
|
|
| ▲模型自动学习并动态展示当前环境下的资产运维趋势、缺乏维护资产提醒、IT环境构成与分布情报(提供界面截图)
|
||
| 授权分析模型
|
▲支持系统自动形成用户-资产关系模型
|
|
| ▲模型自动学习并动态展示当前环境下的授权关系逻辑模型,可自由选择用户/全局,资产/全局的线性关系,清晰化分析用户及资产的权限关系(提供界面截图)
|
||
| 策略分析
|
支持黑名单、白名单状态展现
支持密码策略、账户锁定策略状态展现
|
|
| 运维自动化
|
账号同步任务
|
支持定期自动收集资产账号信息;
|
| 密码变更任务
|
支持定期自动修改资产密码信息;
|
|
| 支持随机生成不同密码、手动指定密码、根据密码规则生成等;
|
||
| 任务检阅
|
支持实时查看当前任务执行情况
|
|
| 支持执行流程查阅,当执行失败时可提供排查监测依据
|
||
| 操作审计
|
命令操作审计
|
支持全文回放的同时,还能做到从任一条命令点开始回放;
|
| 支持以输入或者输出结果中的任意字符为关键字进行搜索,搜索结果高亮显示;
|
||
| 图形操作审计
|
可以对图形操作过程中的键盘鼠标操作、剪贴板操作进行文本审计;
|
|
| ▲可以对图形操作界面的文字内容进行模式识别并文本记录;
|
||
| 对图形审计结果,即便数据量很大时,也可以进行无延时的前后拖拉定位回放,不需要任何加载过程;
|
||
| 可以键盘输入内容、剪贴板、模糊识别的内容为关键字进行图形搜索;搜索出来的结果可以直接定位到相关图形画面进行回放;
|
||
| 实时监控
|
管理员可在Web界面无延时的实时监控当前任一图形或字符活动会话,发现操作高危时,实时切断;
|
|
| 运维安全分析
|
定制报表
|
可以按时间、统计单位、服务类型、用户(用户组)、设备(设备组)及各类子报表类型定制报表;
|
| 自动报表
|
管理员可以手动定制报表模版,并支持根据不同模版自动生成日报、周报、月报,报表内容自动发送给相关管理员;
|
|
| 报表导出
|
报表支持TXT、CSV、WORD、HTML、EXCEL、PDF格式导出;
|
|
| 数据库安全
|
安全策略
|
基于指令设定数据库访问策略
|
| 基于用户设定数据库访问策略
|
||
| 基于数据库资产设定数据库访问策略
|
||
| 工单管理
|
电子工单
|
用户可创建电子工单,内容包括:用户账号、设备资产、系统账号、协议类型、拟执行命令、时间窗口等;
|
| 工单审批
|
电子工单提交给配置管理员审批,审批通过后,即时生效;
|
|
| 工单统计
|
▲支持对未处理工单、已完成工单、延期工单等统计分析;
|
|
| 多级部署
|
集中管理
|
支持运维审计集中管理中心
支持用户、资产、授权等管理信息的收集和下发
支持统一的升级管理
支持审计记录集中存储
支持堡垒机运行状态集中展现、告警
支持集中的许可证管理,允许动态分配许可
支持集中管理中心级联
|
| 分布式审计
|
支持分布式审计
支持集群定义,支持跨域集群
|
|
| 可扩展性要求▲
|
扩展可能▲
|
▲运维审计系统应具有与其他安全设备、应用系统、集成平台等对接的可扩展功能接口;提供运维审计系统综合集成平台截图,平台备查;
|
| 服务
|
保修服务
|
提供三年免费上门原厂保修,中标后必须提供原厂商上门安装、实施、培训。
|
防火墙:
| 网 络
适应性
|
支持透明代理、交换、路由、混合模式部署
|
| 支持802.1Q 协议, 支持VLAN Trunk,支持VLAN和MAC地址的绑定
|
|
| 支持IP/MAC地址自动探测并进行绑定
|
|
| 支持静态路由,动态路由,组播、支持基于路由的负载均衡
|
|
| 支持ADSL接入方式,支持多条(最大5条)ADSL拨号接入
|
|
| 支持DNS中继,支持DNS中继自动寻找上级DNS服务器
|
|
| 支持基于ARP、TCP、HTTP、PING方式的链路探测功能,可以根据链路探测的结果自动进行链路的切换,
|
|
| 支持接口联动功能
|
|
| 支持动态路由RIPv1/v2、OSPF协议
|
|
| 支持纯IPv6网络部署,包括DHCPv6、IPv6路由等配置
|
|
| 支持IPv6技术,包括:NATPT、IPv4 over IPv6、IPv6 over IPv4、ISATAP;
|
|
| 支持DHCP服务器、中继、客户端模式
|
|
|
防火墙
|
支持基于状态检测的包过滤
|
| 可针对安全区域、IP地址、VLAN、MAC、协议类型、时间表等对象设定安全策略
|
|
| 支持NAT地址转换,可实现一对一、多对一、多对多方式
|
|
| 支持抗攻击功能,支持对Flood攻击、扫描窥探攻击、畸形报文攻击的防范
|
|
| 支持二层攻击防护功能,支持对ARP Flood攻击、ARP欺骗攻击的防护
|
|
| 支持按规则、按源IP、按目的IP、按端口、按协议、按应用类型进行流量排名,并显示流量统计
|
|
| 支持基于源、目的地址、生效时间等条件的新建连接、并发连接限制功能
|
|
| IPv6安全
|
支持基于IP地址、端口、时间的IPv6安全策略,策略动作支持允许、禁止、日志记录、带宽限制、连接限制
|
| ▲支持IPv6内容过滤,包括:http过滤、FTP过滤、DNS过滤、邮件过滤
|
|
| 支持IPv6抗攻击
|
|
| ▲支持IPv6用户认证
|
|
| ▲加密算法支持DES、3DES、AES和国密办算法
|
|
| 支持预共享密钥、电子证书方式认证
|
|
| 支持多VPN隧道备份功能
|
|
| 支持证书远程认证功能,支持LDAP、OCSP、HTTP服务器认证
|
|
| 流量管理
|
支持Qos流量管理功能,支持基于接口和策略的带宽控制
|
| 支持基于服务协议的带宽控制,可按用户优先级、服务优先级实现最大带宽和保证带宽方式的控制
|
|
| 支持自定义URL过滤,支持黑、白名单设置
|
|
| 支持URL分类数据库的在线实时更新
|
|
| 支持应用程序特征对象化
|
|
| 支持对MSN、QQ、Fetion等IM软件的阻断
|
|
| 支持对P2P软件的阻断
|
|
| 支持对梦幻西游、联众、网易泡泡、浩方等游戏平台的阻断
|
|
| 内容过滤
|
支持网页内容关键字过滤功能,支持控件过滤,支持对命令的过滤
|
| 支持FTP内容过滤功能,支持对FTP命令的过滤,支持根据文件类型实现上传、下载的过滤
|
|
| 支持对Telnet命令的过滤
|
|
| 支持DNS过滤功能
|
|
| 支持IPS特征对象化
|
|
| 可以针对HTTP、FTP、POP3、SMTP等协议进行入侵检测防护
|
|
| 针对攻击可以采取通过、阻断、日志记录方式的动作
|
|
| 特征库支持在线自动和离线方式的更新
|
|
| 内置恶意网站地址数据库,支持对恶意网站的过滤
|
|
| 支持对传输文件的大小和数量的控制
|
|
| 病毒特征库支持更新升级,支持手动离线和在线自动升级
|
|
| 用户策略
|
支持本地认证,包括Web页面方式和客户端方式的认证
|
| 支持第三方认证服务器方式的认证,包括Radius、LDAP、AD认证方式
|
|
| 支持对认证用户进行登录地址、访问流量、访问有效时间和可用服务的控制
|
|
| 支持用户配额
|
|
| 支持基于用户的细粒度的URL、IPS、APP、AV、深度过滤
|
|
| 支持监控每个用户的内容、应用访问
|
|
| 支持查看用户访问日志和用户流量统计
|
|
|
高可用性
|
支持双机热备功能
|
| 支持路由、透明模式下“主-备”、方式部署
|
|
| 支持抢占和非抢占模式
|
|
| 支持配置、会话状态自动同步
|
|
| 系统管理
|
支持HTTPS、CONSOLE、SSH、TELNET等多种管理方式
|
| 管理员登录支持本地认证,包括用户口令、电子证书和电子钥匙方式
|
|
| 管理员认证支持Radius、LDAP方式的第三方远程服务器认证
|
|
| 支持管理员权限分级,支持自定义管理员权限表
|
|
| 支持管理主机的受限访问
|
|
| 支持系统配置按功能模块部分导出,支持配置加密导出
|
|
| 支持网络集中管理功能,支持SNMPv2、SNMPv3协议
|
|
| 支持系统软件的离线方式升级
|
|
| 支持本地日志缓存和外部Syslog日志服务器存储
|
|
| 支持按功能模块进行日志的分类和统计
|
|
| 支持系统资源利用率统计图显示
|
|
| 支持基于接口的流量统计功能
|
定时备份软件:
| 国产化
|
全中文WEB管理平台,满足国产化要求。
|
| 集中管理
|
B/S架构,可通过任意一台电脑登录管理平台进行集中管理。
|
| 管理平台可集中管理任意多个备份服务器,备份服务器用于提供灾备的计算、调度资源。
|
|
| 管理平台可集中管理任意多个备份仓库,备份仓库用于提供灾备的存储资源。
|
|
| 管理平台可集中管理灾备中心的备份、恢复、接管作业,对其进行运行控制,运行状态查看等操作。
|
|
| 管理平台可集中管理备份数据,对其进行查看,恢复,删除等操作。
|
|
| 管理平台可集中管理生产站点,通过将生产系统的信息注册到灾备平台中,可查看生产应用的信息,如虚拟机,数据库实例,文件等。
|
|
| 快速部署
|
安装程序一键全自动部署。
|
| 备份创建过程无需编写任何脚本或批处理文件,均采用图形化、向导式操作方式,且提供默认配置方案,用户可快速部署好备份作业。
|
|
| 所有操作页面均提供帮助信息,可帮助用户快速了解使用方式。
|
|
| ▲可批量安装客户端,自动扫描并发现网段内的客户主机,可根据IP过滤、添加要安装客户端的主机,一键完成批量推送安装。
|
|
| 可通过任务策略,批量创建、分发作业,省去重复性操作。
|
|
| 高安全性
|
备份系统搭载在安全的Linux平台之上,并通过MySQL数据库提供更稳定、高效的数据管理。
|
| ▲备份系统部署安全策略防止外部入侵,防止漏洞攻击等不安全访问。
|
|
| 备份平台需通过HTTPS连接进行访问管理。
|
|
| 备份平台具有超时锁定,会话锁定,可查看历史访问记录,密码过期时间设置等安全手段。
|
|
| 备份数据通过AES等算法加密存储,保证存储数据的安全性。
|
|
| 备份数据通过SSL、AES等算法加密传输,保证数据传输的安全性。
|
|
| 备份数据通过防篡改校验技术,可在恢复前校验备份数据的完整性。
|
|
| 高并发性
|
备份系统支持同时运行不少于10个作业。
|
| 备份系统支持并发备份,恢复不同生产站点的数据。
|
|
| 高扩展性
|
可横向扩展灾备站点的计算资源、存储资源。
|
| 高兼容性
|
存储仓库兼容于本地存储,外接存储,FC/IP SAN,NAS/NFS 网络存储 等多种存储介质。
|
| ▲备份管理平台提供开发API,可无缝与第三方平台实现对接。
|
|
| 多用户管理
|
用户权限分级控制、支持包括系统管理员、系统安全管理员、审计员、用户等多种身份的用户管理,对对每类(组)用户所拥有的操作和管理权限都可以进行灵活设置。
|
| 备份系统提供任务审批机制,可严格控制用户的操作权限。
|
|
| 灵活的备份选择
|
提供定时、实时两种备份方式选择。
|
| ▲支持对VMware vSphere、Microsoft Hyperv、KVM、Citrix Xenserver、华为 FusionSphere、华三 CAS等虚拟化平台的备份。
|
|
| 支持对SQLServer、Oracle、MySQL、KingBASE、SyBase、ExchangeServer等数据库平台的备份。
|
|
| 支持对Windows桌面版,Windows Server系列,CentOS,RedHat,Ubuntu等平台的操作系统、文件、文件目录、分区(卷)的备份。
|
|
| 无人值守
|
通过备份、恢复的策略来触发备份、恢复的执行,无需人员值守。
|
| 开机策略支持源端开机后触发指定备份模式备份、错过备份时间后重做备份计划、因源端关机断网引发备份暂停在开机后的自动继续
|
|
| 数据压缩
|
支持通过LZO、LZBJ、GZIP等算法对备份数据的压缩存储。
|
| 支持通过LZO等算法对数据传输过程中压缩。
|
|
| 数据重删
|
支持通过SHA256等算法对备份数据的重删存储。
|
| 备份数据管理
|
通过保留策略自动清理超过设定阈值的备份数据,保证备份空间的充足。
|
| D2D2T,支持将备份数据离线归档到带库,可自动或手动从带库中还原。
|
|
| D2D2R,支持将备份数据离线备份到异地容灾站点,可自动或手动从异地容灾站点中还原。
|
|
| 报表管理
|
支持对备份作业、备份数据、日志等信息生成报表、导出报表。
|
| 告警
|
支持通过邮件、短信的方式,对备份状态、存储状态、授权状态等情况配置告警,当检测到告警事情发生时,会通过配置的方式触发并通知告警。
|
| 断点续传
|
持断点续传,以适应于网络在发生故障并恢复之后备份作业的不中断,当网络恢复正常后继续备份操作,备份从断点继续,而不是从头开始。
|
| 在线备份
|
提供的备份方式均支持在线备份,即备份过程中无需关机,也不会影响正在运行的生产业务。
|
| 多种备份模式
|
定时备份支持完全、增量、差异、合成四种备份模式,可灵活组合构建备份策略。
|
| 有效数据备份
|
虚拟化、操作系统、卷定时、卷CDP等产品在备份时均只备份磁盘/分区的实际使用数据,不会浪费多余的网络带宽及存储空间。
|
| 更小粒度的恢复
|
虚拟化备份在恢复时可只恢复虚拟机中的文件或文件夹。
|
| 卷定时备份在恢复时可支持卷中的文件或文件夹。
|
|
| 卷CDP在恢复时可恢复任意秒级点卷中的文件或文件夹。
|
|
| 虚拟化无代理模式
|
▲VMware vSphere、KVM、Citrix Xenserver、华为 FusionSphere、华三 CAS的备份无需在虚拟化平台上安装备份代理。
|
| Oracle备份恢复
|
Oracle可选择备份、恢复实例、表空间、数据文件。
|
| Oracle应急保护方式,先恢复全备份数据库到备机,再实时复制最新的归档日志到备机并自动前滚,以实现数据库的应急保护。
|
|
| 操作系统备份恢复
|
支持MBR、GPT两种分区格式。
|
| 支持光盘,U盘,PXE网络引导等多种恢复方式。
|
|
| 支持分区重建。
|
|
| 支持恢复到异构平台。
|
|
| 支持P2V,V2P,V2V,P2P。
|
|
| 实时备份
|
支持基于卷IO的实时备份。
|
| 支持对卷上文件的实时备份。
|
|
| 支持对卷上应用,如FTP、域控的实时备份。
|
|
| 支持对卷上数据库,如SQLServer,Oracle,MySQL,Sybase、ExchangeServer等的实时备份。
|
|
| 兼容于任意文件系统,分区类型。
|
|
| 标签点技术
|
通过标签点一致性技术保证数据库等结构化应用的一致性,完整性,可生成无限数量的Oracle、SQLServer、MySQL、Sybase、ExchangeServer等应用数据的一致性恢复点、接管点,最小间隔为1秒。
|
| 任意时间点恢复
|
卷CDP支持恢复到任意时间点。
|
| 接管(需购买接管模块)
|
虚拟化备份可瞬时接管到生产平台,并将虚拟机运行。
|
| 操作系统可通过SANBOOT的方式,瞬时接管运行到生产机器上。
|
|
| 卷CDP自动接管检测主机的运行状态,当宕机或网络故障时可在60s左右将故障前一刻的状态接管到备机。
|
|
| 卷CDP应用级接管检测应用的运行状态,当应用故障时,可在30s左右将应用故障前一刻的状态接管到备机。
|
|
| 卷CDP手动接管可手动选择接管任意时间点到备机,用于数据查验或使用,该接管方式不影响备份的正常运行。
|
|
| 卷CDP支持一键回切。
|
|
| 实时查询
|
卷CDP实时查询可实时的将主机最新的状态映射出来,用于用户数据查验,比较。
|
| Server-FREE
|
支持虚拟机备份等模块的Server-FREE,即直接将数据从存储备份到灾备站点,无需消耗网络带宽及生产系统的性能。
|
| 备份/恢复加速
|
▲可通过在备份机上增加SSD盘创建SpeedX缓存,从而实现备份/恢复加速,大大提高数据写入备份机/从备份机中恢复的速度。
|
| 灾难演练
|
▲可通过虚拟化平台创建演练机器,自动完成数据的恢复、校验,生成演练报告。
|
安全加固类:
1.1 Windows系统平台
| 安全加固要求
|
加固类型
|
| 按照用户分配账号。根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等
|
账号管理、认证授权
|
| 对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。
|
账号管理、认证授权
|
| 最短密码长度 6个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种:
英语大写字母 A, B, C, … Z
英语小写字母 a, b, c, … z
西方阿拉伯数字 0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等
|
账号管理、认证授权
|
| 对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
|
账号管理、认证授权
|
| 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
|
账号管理、认证授权
|
| 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
|
账号管理、认证授权
|
| 在本地安全设置中从远端系统强制关机只指派给Administrators组。
|
账号管理、认证授权
|
| 在本地安全设置中关闭系统仅指派给Administrators组
|
账号管理、认证授权
|
| 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
|
账号管理、认证授权
|
| 在本地安全设置中配置指定授权用户允许本地登陆此计算机。
|
账号管理、认证授权
|
| 在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
|
账号管理、认证授权
|
| 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
|
日志配置操作
|
| 启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。
|
日志配置操作
|
| 启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。
|
日志配置操作
|
| 启用组策略中对Windows系统的审核目录服务访问,失败。
|
日志配置操作
|
| 启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。
|
日志配置操作
|
| 启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。
|
日志配置操作
|
| 启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。
|
日志配置操作
|
| 启用组策略中对Windows系统的审核过程追踪,失败。
|
日志配置操作
|
| 设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
|
日志配置操作
|
| 设置系统日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
|
日志配置操作
|
| 设置安全日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
|
日志配置操作
|
| 设置带密码的屏幕保护,并将时间设定为5分钟。
|
设备其他配置操作
|
| 对于远程登陆的帐号,设置不活动断连时间15分钟。
|
设备其他配置操作
|
| 非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
|
设备其他配置操作
|
| 查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹。
|
设备其他配置操作
|
| 对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。
|
设备其他配置操作
|
| 列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。
|
设备其他配置操作
|
| 如需启用SNMP服务,则修改默认的SNMP Community String设置。
|
设备其他配置操作
|
| 如需启用IIS服务,则将IIS升级到最新补丁。
|
设备其他配置操作
|
| 列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭
|
设备其他配置操作
|
| 系统不存在明显病毒/木马进程
|
病毒、木马检查
|
| 系统不存在明显异常启动项
|
病毒、木马检查
|
| 系统不存在明显异常TCP/UDP端口连接
|
病毒、木马检查
|
| 安全加固要求
|
加固类型
|
| 采用ssh服务代替telnet服务管理网络设备,提高设备管理安全性
|
访问安全要求
|
| 配置访问控制列表,只允许管理员IP或网段能访问网络设备管理服务
|
访问安全要求
|
| 设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器
|
日志安全要求
|
| 应按照用户分配账号。避免不同用户间共享账号。
|
账号管理、认证授权安全要求
|
| 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
|
日志安全要求
|
| 开启NTP服务,保证日志功能记录的时间的准确性。
|
日志安全要求
|
| 启用动态IGP(RIPV2、OSPF、ISIS等)或EGP(BGP)协议时,启用路由协议认证功能,如MD5加密,确保与可信方进行路由协议交互。
|
IP协议安全要求
|
| 如启用SNMP服务,修改SNMP的Community默认通行字,通行字符串应符合口令强度要求。
|
IP协议安全要求
|
| 关闭未使用的接口,如路由器的AUX口。
|
其他安全要求
|
| 配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。
|
其他安全要求
|
| 关闭不必要的网络服务或功能
禁用TCP SMALL SERVERS
禁用UDP SMALL SERVERS
禁用Finger
禁用HTTP SERVER
禁用BOOTP SERVER
关闭DNS查询功能如要使用该功能,则显式配置DNS SERVER
|
其他安全要求
|
| 安全加固要求
|
加固类型
|
| 数据库应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间。
|
日志管理
|
| 数据库应配置日志功能,记录对与数据库相关的安全事件。
|
日志管理
|
| 禁止通过操作系统直接登录
|
访问控制
|
| 限制guest帐户对数据库的访问
|
账号安全
|
| 加强数据库口令安全
|
口令安全
|
注:本招标项目要求中凡标有“▲”的地方被视为重要的指标要求投标人要特别加以注意,中标服务商在确认中标和签署合同时应当满足这些要求并提供相关截图证明,设备应1日内提供客户备查。
三、商务要求
1、参选供应商为医院提供的信息安全等级保护整改相关服务,服务期间的一切费用一律由中标服务供应商承担。
2、在规定时间内出具等级保护整改报告并完成整改工作,协助我院完成并通过信息安全等级保护整改工作。
3、此服务项目保修期为一年(包含所提供设备的保修、整改涉及的一切维护服务)。
四、付款方式:服务完成后分36个月支付款项。
粤公网安备 44078402441029号