峨眉山市人民医院医院信息 安全等级保护（三级）整改服务设备项目招标采购公示

服务内容

详细要求

服务时间

网络（略）

中标服务商按照第三方测评机构出具的等保测评报（略）院三级等级保护合规。具体内容如下：

按照国家有（略），对全院运行（略）。通过落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使现有信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少。并坚持管理和技术并重的原则，将技术措施（略），建立信息系统综合防护体系，提高信息系统整体安全保护能力。同时依据《信息系统安全等级保（略）理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机（略）状、国家法律法规要求和专业测评机构提供的整改意见，对医院的网络与信息系统安全进行整改，根据医院需求为医院提供安全整改所须设备（包括不限于一套互联网出口防火墙系统、两套数据中心防火墙系统、一套终端安全管理系统、一套运维审计系统）并最终通过等保测评企业的测评，配合等保测评企业到当地**机关完成等级保护备案。

以合同约定为准

服务工具要求一：

互联网出口防火墙一台

★1、1U机架式设备，单电源，基于ARM架构，网络处理能力≥8Gbps，并发连接≥260万，每秒新建连接≥10万/秒，配置10/100/1000M自适应电口≥8个，千兆SFP插槽≥2个，万兆SFP+插槽≥2个,1个Console口，可扩展插槽≥2个，含1年硬件维（略）

★2、配置16条IPSec VPN隧道（最大300条）、16个SSL VPN用户许可（最大（略）），提供一年应用识别库、URL分类库、病毒特征库、入侵防御特征库升级及威胁情报订阅服务；

3、产品支持路由、透明、交换以及混合模式接入，满足复杂应用环境的接入需求。支持旁路模式；

★4、所投产品必须支持VTEP（VxLan Tunnel EndPoint）模式接入VxLAN网络，并可作为VXLAN二层、三层网关实现VxLan网络与传统以太网的相同子网内、跨子网间互联互通；支持通过绑定VLAN、VNI（VXLAN Network Identifier）、远程VTEP，手动（略）定；（投标文件需要提供能够体现上述功能的截图）

★5、所投产品必须支持MPLS流量透传；支持针对MPLS流量的安全审查，包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能；（投标文件需要提供能够体现上述功能的截图）

6、所投产品必须支持支持静态路由、策略路由及动态路由。策略路由支（略），动态路由应至少支持RIP v1/v2/ng， OSPFv2/v3，BGP4/4+协议；必须支持静态和动态多播路由，动态多播路（略）（稀疏模式）；

7、所投产品（略），可工作于主备、主主模式，会话、用户、配置可实时同步；HA高可靠性部署支持接口联动，某个端口失效（DOWN），属于同一接口组中其他端口都会进入失效状态（DOWN）；HA高可靠性部署支持配置接口权重；

★8、所投产品必须支持基于源安全域、目的安全域、源用户、源地址、（略）（投标文件需要提供能够体现上述功能的截图）

9、所投产品必须能够对HTTP/FTP/POP3/SMTP/IM（略）多6级的压缩文件进行解压查杀；

10、所投产品必须支持漏洞防护功能，同时将漏洞防护特征库分类，至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等六种分类；漏洞防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作；支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的漏洞防护；（投标文件需要提供能够体现漏洞防护特征库分类信息、支持的执行动作以及支持的应用协议的截图）

★11、所投产品的漏洞防护特征库包含高危漏洞攻击特征，至少包括“永恒之蓝”、“震网三代”、“暗云3”、“Struts”、“Struts2”、“Xshell后门代码”以及对应的（略）

★12、所投产品必须支持基于主机或威胁情报视图，统计网络中确认被入侵、攻破的主机数量，至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息；并对威胁情报发现的恶意主机执行自动阻断；（投标文件需提供能够体现被入侵、攻破的主机状态的截图）

★13、产品需具备**部网络安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》（增强级）、中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》（EAL4+级别）、中国信息安全测评中心颁发的《国家信息安全漏洞库兼容性资质证书》；（投标文件需提供资质证明材料并加盖厂商公章）

★14、产品生产厂家需为CNCERT应急服务支撑单位（反网络诈骗）、微软MAPP计划成员、CNNVD技术支撑单位（一级），具备国测信息安全服务资质（安全工程类三级）、ITSS运行维护符合性证书（三级）。（投标文件需提供资质证明材料并加盖厂商公章）

服务工具要求二：

数据中心防火墙两台

★1、基于AMP+架构，网络处理能力15Gbps，并发连接≥200万，每秒新建连接12万/秒，1U机箱，冗余电源，标准配置板载16个10/100/1000M自适应电、4个SFP插槽和4个SFP+插槽,1个Console口，包含访问控制、地址转换、静态路由、动态路由、策略路由、流量控制、VPN等基础功能； 默认含25个IPsecVPN 并发隧道数（最大（略）SLVPN 并发用户数（最大500），另外含有2个扩展插槽。含1年硬件维保服务。防火墙系统软件；含应用控制、URL过滤、病毒防护、入侵防御、威胁情报检测、IPSec VPN（默认含25个并发隧道数，最大3000 个）、SSL VPN（默认含25个并发用户数，最大500 个）等功能，1年全功能模块升级订阅服务包（威胁情报数据订阅服务、应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级服务）

★2、提供1年应用识别库、URL分类（略）

3、产品支持路（略），满足复杂应用环境的接入需求。支持旁路模式；

★4、所投产品必须支持VTEP（VxLan Tunnel EndPoint）模式接入（略），并可作为VXLAN二层、三层网关实现VxLan网络与传统以太网的相同子网内、跨子网间互联互通；支持通过绑定VLAN、VNI（VXLAN Network Identifier）、远程VTEP，手动管理VxLan网（略）（投标文件需（略））

★5、所投产品必须支持MPLS流量透传；支持针对MPLS流量的安全审查，包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能；（投标文件需要提供能够体现上述功能的截图）

6、所投产（略）。策略路由支（略），动态路由应至少支持RIP v1/v2/ng， OSPFv2/v3，BGP4/4+协议；必须支持静态和动态多播路由，动态多播路由必须支持PIM-SM（稀疏模式）；

7、所投产（略），可工作于主备、主主模式，会话、用户、配置可实时同步；HA高可靠性部署支持接口联动，某个端口失效（DOWN），属于同一接口组中其他端口都会进入失效状态（DOWN）；HA高可靠性部署支持配置接口权重；

★8、所投产品必须支持基（略）理区（略）（投标文件需要提供能够体现上述功能的截图）

9、所投产品必须能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀，本地病毒库规模大于3000万，支持对最多6级的压缩文件进行解压查杀；

10、所（略），同时将漏洞防护特征库分类，至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等六种分类；漏洞防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作；支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的漏洞防护；（投标文件需要提供能够体现漏洞防护特征库分类信息、支持的执行动作以及支持的应用协议的截图）

★11、所投产品的漏洞防护特征库包含高危漏洞攻击特征，至少包括“永恒之蓝”、“震网三代”、“暗云3”、“Struts”、“Struts2”、“Xshell后门代码”以及对应的攻击的名称、CVEID、CNNVDID、CWEID、严重性、影响的平台、类型、描述、解决方案建议等详细信息；

★12、所投（略），统计网络中确认被入侵、攻破的主机数量，至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息；并对威胁情报发现的恶意主机执行自动阻断；（投标文（略））

★13、产品需具备**部网络安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》（增强级）、中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》（EAL4+级别）、中国信息安全测评中心颁发的《国家信息安全漏（略）商公章）

★14、产品生产厂家需为CNCERT应急服务支撑单位（反网络诈骗）、微软MAPP计划成员、CNNVD技术支撑单位（一级），具备国测信息（略）（安全工程类三级）、ITS（略）（三级）。（投标文件需提供资质证明材料并加盖厂商公章）

服务（略）：

终端安全管理系统一套

★1、产品由控制中心和客户端组成，控制中心支持级联方式和单一部署两种方式，控制中心根据客户端点数的增加支持横向扩展，控制中心支持的操作系统支持Windows Server （略）64位版本（简体中文版）；客户端支持的操作系统：Windows XP_SP3及以上/Windows Vista/Windows 7/Windows 8/Windows 10；Windows Server 2008/Windows Server 2012/Windows Server 2016/Windows Server 2019，支持CentOS 7、Redhat 7等Linux系统；包含600点PC端授权，15套windows服务器端授权，5套linux服务器端授权。含一年升级服务，1年软件版本及病毒库升级服务；

2、支持单个页面展示终端部署统计、终端安全趋势、终端状态（文件防护开启率、未安装补丁终端率、终端病毒更新率和终端版本更新率）、终端程序版本、终端在线统计、病毒库版本分布、安全更**重要补丁安全趋势等信息，均可通过图形化展示；

★3、管理控制中心当登录账号输入密码错误次数超过（略）求不被接受。同时应支持双因子认证登录方式，提**全性；（投标文件需要（略））

★4、支持终端密码保护功能，支持终端“防退出”密码保护、“防卸载”密码保护、防安装密码保护。支持设置自我保护功能，可有效防止客户端进程被恶意终止、注入、提高客户端进程、数据、配置的安全性；（投标文件需要提供能够体现上述描述的截图）

5、支持查看终端基础信息、病毒库（略）

★6、支持对进程防护、注册表防护、驱动防护、U盘安全防护、邮件防护、下载防护、IM防护、局域网文件防护、网页安全防护、勒索软件防护；（投标文件需要（略））

7、支持按补丁类型和级别修复，补丁级别需包括：安全更新、（略）。支持仅安装（略）

8、支持主机防火墙功能，通过添加IP、域名规则、支持允许/拒绝规则、支持任意流向拦截和允许，支持TCP、UDP、TCP+UDP、ICMP、多播和组播，支持自定义端口（略），支持（略）

★9、支持外设库管理，可统计终端外接的各种设备，包括厂商和设备类型、产品、数量、PID、VID和设备来源；（投标文件需要提供能够体现上述描述的截图）

10、支持管（略），可以对已注册的移动介质进行管理，包括授权、启用、停用、删除、取消注册、导出注册列表等；

★11、产品（略）Bulleti测评认证（VB100）三次以上认证，，产品近3年IDC终端安全市排名前三；（投标文（略））

（略）销售许可证》（网络版防病毒产品增强级）；（投标文件需提供资质证明材料并加盖厂商公章）

★13、产品生产厂家需为CNCERT应急服务支撑单位（反网络诈骗）、微软MAPP计划成员、CNNVD技术支撑单位（一级），具备国测信息安全服务资质（安全工程类三级）、IT（略）（三级）。（投标文件需提供资质证明材料并加盖厂商公章）

服务工具要求四：

运维审计系统一套

★1、1U机架式设备，单电源，配置液晶屏，存储空间≥4T，10/100/1000自适应电口≥6个，可扩展插槽≥2个，（略）被管**授权许可≥50个，（最大可配置授权许可≥300），配置USBKey硬件5个，用于运维审计上做双因子认证；

2、支持SSH、RDP、VNC、（略）erver、Rlogin等协议，支持Linux/Unix、Windows、H3C、Huawei、Cisco等系统；

★3、可通过应用发布实现对MySQL、SQL Server（略）rome、VNC Client、（略）Client、Radmin、dbisql等应用程序/客户端的扩展支持，且图形界面（略）

4、支持**账户自动登录（包含提权登录，TELNET、SSH协议**使用普通账户自动切换到root或enable账户）和手动登录方式，其中手动登（略）（手动输入账户和密码）和半自动模式（手动输入密码）；

★5、不限操（略），无需安装（略），使用H5即可直接运维wind（略）够体现上述功能的截图）

6、支持运维过程中会话协同，可邀请其他用户参与、协助操作；会话协同过程中，参与者可以控制会话，创建者强制获取控制权；

★7、支持对MySQL和Oracle数据库的访问操作控制，可基于库、表、（略）（投标文件需要提供能够体现上述功能的截图）

8、可根据用户、用户组、账户、账户组、有效期、文件管理控制、文件传输控制（上传、下载）、RDP剪切板控制、时间限制、IP限制为条件，细粒度地进行访问控制；

9、支持记录用户登录**的操作行为，包含：**名称、协议类型、主机或应用地址、**账户、起止时间、会话时长、操作用户、来源IP、操作记录、文件传输记录、会话协同记录、以及会话结束状态的审计；

★10、产品具备**部网络安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》（运维安全管理产品增强级），中国网络安全审查技术与认证中心颁发的《IT产品信息安全认证证书》；（投标文件需提供资质证明材料并加盖厂商公章）

★11、产品生产厂家需为CNCERT应急服务支撑单位（反网络诈骗）、微软MA（略）（一级），具备国测信息安全服务资质（安全（略））、ITSS（略）（三级）。（投标文件需提供资质证明材料并加盖厂商公章）

服务工具要求四：

态势感知分析平台一套

★1、2U机架式设备，冗余电源，内存≥128G，存储空间≥960G SSD + 8*4TB SATA，千兆电口≥4个，3个USB3.0接口，1个Console接口，含1年威胁（略），1年天眼订阅服务（12次/年；远程服务），含1年硬件维修服务；

★2、以攻击者的维度进行分析，对攻（略），画像内容包括地理位置信息、国家信息、所属组织、使用的攻击手段、攻击的所有资产；（投标文件需要提（略））

★3、威胁情报维度分析包括：情报详情、影响资产列表、资产的行为（行为包含：DNS解析、TCP流量、UDP流量、WEB访问、文件传输）；（投标文件需要提供能够体现上述功能的截图）

4、应用安全的细分维度包括：WEB安全、数据库安全、中间件安全；系统安全的细分维度包括：暴力破解、弱口令、未授权访问、挖矿行为；

★5、支持与云端威胁情报中心联动，可对攻击IP、C C域名和恶意样本MD5进行一键搜索，查看基本信息、相关样本、关联URL、可视化分析、域名解析、注册信息、关联域名、数字证书等；（投标文件需要提供能够体现上述功能的截图）

6、支持基于威胁情报的威胁检测，检测类型包含APT事件、僵尸网络、勒索软件、流氓推广、窃（略）

7、支持可疑代理分析：能够发现socks、http、reDuh、Regeory Tunnel、Tunna等代理类型；支持远程工具分析：能够发现pc_anywhere、ultra_vnc、chrome_remote_desktop、 oray、teamviewer等远程工具类型；

8、支持异常（略），检测内容包括：源ip、账号、登录资产IP、使用协议、登录结果等信息，且能进行异常时间配置；

★9、支持对任意线索的自定义拓线及溯源取证分析，支持以可视化分析画布形式展示拓线过程并支持结果快照导出；支持对于给定线索的溯源结果展示，包括但不限于攻击溯源、失陷主（略）提供能够体现上述功能的截图）

10、支持大屏展示网络攻击态势，整体威胁事件态势，整体资产风险态势，外部访问、横（略）

★11、产品具备**部颁发的《计算机信息系统安全专用产品销售许可证》（AP（略）），中国信息安（略）（投标文件需提供资质证明材料并加盖厂商公章）

★12、产品生产厂家需为CNCERT应急服务支撑单位（反网络诈骗）、微软MAPP计划成员、CNNVD技术支撑单位（一级），具备国测信息安全服务资质（安全工程类三级）、ITSS（略）（三级）。（投标文件需提供资质证明材料并加盖厂商公章）

服务工具要求五：

态势感知流量采（略）

★1、2U机架式设备，单电源，存储（略），10/100/1000自适应电口≥6个，吞吐量≥1Gbps，含入侵检测、网站漏洞利用、webshell上传和威胁情报功能，含1年全功能模块升级授权，1年威胁情报更新授权与规则升级，1年（略）

2、支持常见协议识别并还原网络流量，用于取证分（略），支持：http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sql server、Sybase、SMB、FTP、SNMP（略）

3、支持对流量中出现文件传输行为进行发现和还原，并记录文件MD5发送至分析设备，如可执行文件（EXE、DLL、OCX、SYS、COM、apk等）、压缩格式文件（RAR、Z（略））、文（略）（word、excel、pdf、rtf、ppt等）；

4、支持TCP/（略）描述；

★5、支持基于工具特征的WEBSHELL检测，能通过系统调用、系统配置、文件的操作来及时发现威胁；如：中国菜刀、小马上传工具、小马生成器等；（投标文件需要提供能够体现上述功能的截图）

★6、支持（略），如文件包含漏洞、任意文件写入、任意目录读取、任意文件包含、preg_re（略）

7、支持多种攻击检测，能更全面的从流量中发现威胁，如：协议异常、网络欺骗、黑市攻击、代码执行等；

★8、支持基于网络请求的语义分析检测，能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容，并能提升对未知威胁检测能力；（投标文件需要提供能够体现上述功能的截图）

9、支持基于IP地址、URL的旁路阻断；支持自定义弱口令字典，支持HTTP、HTTPS、Telnet、FTP、POP、SMTP、IMAP等协议的自定义弱口令检测；

10、支持AES256、SM4数据传输加密，确保数据传输的安全性；

★11、产品生产厂家需为CNCERT应急服务支撑单位（反网络诈骗）、微软MAPP计划成员、CNNVD技术支撑单位（一级），具备国测信息安全服务资质（安全工程类三级）、ITSS运行维护符合性证书（三级）。（投标文件需提供资质证明材料并加盖厂商公章）

服务（略）：

漏洞扫描系统一套

★1、1U机架式设备，单电源，存储空间≥1T，10/100/1000自适应电口≥6个，可扩展插槽≥2个，不限制Web扫描，Web扫描（略）。系统扫描IP地址最大支持≥1024个，支持扫（略），系统扫描支持≥50个IP地址并行扫描，含1年漏洞特征库升级，1年硬件维修服务；

2、采用B/S设计架构，SSL加密方式通信，无须安装客户端，用户可通过浏览器远程管理系统；支持多路扫描功能，设备所有网口均（略），支持同（略）

3、能够提供系统扫描、WEB扫描、数据库扫描、基线配置核查、弱口令扫描五大功能模块；

★4、支持同时下发系统扫描、Web扫描、弱口令扫描任务，无需单独下发扫描任务，扫描目标可以是IP、域名、URL的任一格式；（投标文件需要提供能够体现上述功能的截图）

★5、支持自适应网络扫描，根据网络状况自动控制发包速率，避免影响用户网络；（投标文件需要（略））

6、支持扫描通用操作系统，涵盖Windows系列、苹果操作系统、Linux、AIX、HPUX、IRIX、BSD、Solaris等；支持扫描交换路由设备，涵盖Cisco、Juniper、华为、F5、Checkpoint、锐捷在内的主流厂商的设备；支持扫描安全设备，涵盖Checkpoint、赛门铁克、Cisco、Ju（略）

★7、支持（略），涵盖漏洞标准包含CVE、CVSS、CNVD、CNNVD、CN（略）需要提供能够体现上述功能的截图）

★8、（略）。国产操作系统包括中兴新支点、中标麒麟、凝思、华为欧拉、深度、红旗，国产数（略）（投标文件需要提供能够体现上述功能的截图）

9、支持对目标对象的账号管理、口令策略、认证授权、日志审计、文件权限、网络通信、系统服务等进行安全配置核查；

★10、支持缺省内置标准基线核查模板，包括：等保三级检测要求、工信部配置规范、中国电信安全配置规范、中国移动安全配置规范；（投标文件需要提供能够体现上述功能的截图）

★11、产品具备**部颁发的《计算机信息系统安全专用产品销售许可证》（网络脆弱性扫描类增强级），中国网络安全审查技术与认证中心颁发的《中国国家信息安全产品认证证书》（增强级），中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》（EAL3+级别），中国信息安全测评中心颁发的《CNNVD兼容性认证证书》；（投标文件需提供资质证明材料并加盖厂商公章）

★12、产品生产厂家需为CNCERT应急服务支撑单位（反网络诈骗）、微软MAPP计划成员、CNNVD技术支撑单位（一级），具备国测信（略）（安全工程类三级）、ITSS运行维护符合性证书（三级）。（投标文件需提供资质证明材料并加盖厂商公章）

序号

评审项目

标准分

评分标准

投标报价评分（10分）

1

投标报价

10分

投标报价得分=(评标基准价/投标报价)×投标报价分值

评标基准价：以满足招标文件（略），其价格分为满分，其他投（略）。

注：

①投标报价超过最高限价，按无效标书处理；

②小数点后保留2位小数；

③监狱企业、残疾人福利性单位，视同小型、微型企业享受价格扣（略）不重复享受政策。

④在计算报价得分时，对小型和微型企业产品的价格给予10%的价格扣除，用扣除后的投标报价参与投标报价评分（即：（略）

技术、商务部分评分（90分）

1

技术（略）

30分

投标人针对招标文件第三章“技术参数”逐条应答，提供技术参数偏离表:

(1)完全符合招标文件要求没有负偏离的得30分。

(2)带★（略）（满分20分）：所投服务带★技术参数与招标文件要求有负偏离的，负偏离在10项以内（含10项），每项扣2分，负偏离超过10项，该项得分记为0分。

(3)不带★技术参数评审（满分10分）：所投服务不带★技术参数与招标文件要求有负偏离的，负偏离在10项以内（含10项），每项扣1分，负偏离超过10项，该项得分记为0分。

备注：所投服务的技术参数评审应结合所要求提供的相关证明材料及技术参数偏离表进行综合评审。

2

服务实施技术方案

20分

根据投标文件中的服务实施技术方案进行评分。包含：(1)服务实施计划；(2)服务验收方案；(3)应急预案；(4)安全保障服务措施。

有具体（略），工作节点详细、内容评分办法完整、安排合理，切实可行，科学规范，针对（略），每缺一项内容扣5分，每有一处描述缺陷扣2.5分。

注：描述缺陷是指：内容无针对性，不全面、不清晰、不完整、无可行性，不具有逻辑性，内容与实际情况不匹配、不符合项目特点或无法达到预期效果、不适用于本项目、内容不符合相关规范要求、内容与本项目无关等任意一种情形。

3

服务能力相关资质

30分

服务（略）：

1.中国信息安全测评中心颁发的《信息安全服务资质证书》（安全工程类三级）;

2.中国通信企业协会通信网络安全服务能力评定证书（安全设计与集成二级）

3.CCRC信息安（略）（软件（略））

4.ISO27701隐私信息管理体系证书；

5.ISO22301业务连续性管理体系认证证书；

具备以上全部资质得30分，每缺少一项资质扣6分，扣完为止。

4

人员配置

10分

1.拟派项目负责人（4分）：

（1）具备注册信息安全工程师（CISP）证书得2分；（2）参与过1个（含）以上类似服务项目得2分。

2.拟派项目团队人员（6分）：

（1）IT服务工程（略）（2）安全厂商认证安全服务工程师证书；（3）计算机技术与软件专业技术信息处理技术员初级及以上证书。

注：提供证书复印件，提供的材料须加（略），同一人员证书以（略）。