全民健康保障信息化工程一期项目.docx-道客多多

资源描述

1、全民健康保障信息化工程一期项目第五批软硬件采购采购需求第一部分商务需求序号内容说明和要求1 投标人资质云厂商具备公安部颁发的计算机信息系统安全专用产品销售许可证2 投标产品资质云计算平台须有公安部颁发的信息系统安全等级保护三级资质；3 核心产品虚拟主机、机房租赁4 是否允许联合体投标否5 是否允许进口产品投标否6 节能环保要求无7 信息安全要求无8 是否需要现场踏勘是，集合时间：2018 年 XX 月 XX 日上午 9:00；集合地点：北京市西城区北礼士路甲 38 号，联系人：周光华，联系电话：010-6879257

2、2，届时请每家潜在投标人可安排不超过 2 人出席，并须携带本人身份证原件及加盖投标单位公章的介绍信（证明函）9 是否收取履约保证金是，中标供应商在合同签订前，向甲方提供相当于合同总价 10%的履约保函（不超过中标金额的 10%），甲方将在终验完毕后返还乙方履约保函10 采购人信息单位名称：国家卫生计生委统计信息中心，单位地址：北京市西城区北礼士路甲 38 号，联系人姓名：周光华，联系电话：010-68792572，电子邮箱： 11 预算金额，最高限价预算金额：人民币 449 万元，最高限价：人民币 449 万元12 项目履约时间合同签订后 90 天内，到货并完成安装调试，具备验收条

3、件13 项目履约地点北京市西城区北礼士路甲 38 号序号付款节点付款条件付款比例（或金额）备注14 付款方式1 首付款签订合同 15 日内。付款至总合同金额70%2 尾款测试期后 15 日内付款至总合同金额 100%第二部分技术和服务需求一、项目概述不作为打分项，供投标人投标参考。序号内容说明1 项目背景开展全民健康保障信息化工程一期项目，建设国家全民健康信息平台支撑国家本级各业务应用系统的建设与运行，打破信息孤岛，实现“1+6”的全民健康保障信息化工程总体建设思路，实现共用资源和服务的集约化建设。2 执行依据国家卫生计生委转发国家发展改革委关于全民健康保障信息化

4、工程一期项目初步设计方案和投资概算批复的通知（国卫规划函201782 号）3 项目目标着重以全员人口信息、城乡居民电子健康档案和中西医电子病历为核心，实现公共卫生、医疗服务、医疗保障（新农合）、药品供应保障、计划生育、综合管理六大类业务应用的互联共享和业务协同，从而提升相关部门的信息共享和业务协同能力；支持各级医院上下联动、医保医药医疗业务协同；提高重大疾病防控能力、妇幼健康服务管理能力、综合监督和公众健康保障能力；提高突发公共卫生事件协作应对能力；提高远程医疗服务和基层医疗卫生服务能力；提升人口总量、素质、结构、动态分布、婚育状况、出生情况、家庭发展能力等动态监测、分析评价和科学预测能力

5、；提升卫生计生事业行政监督管理能力和科学决策水平。4 项目内容依托国家电子政务外网和全国统一的数据共享交换平台，实现卫生计生委与试点省（区市）、卫生计生委预算管理医院，以及 4 个共建部门之间的互联和信息共享，建成综合管理、公共卫生管理、医疗健康公共服务、基本药物制度运行监测评价、卫生服务质量与绩效评价、全员人口统筹管理等业务应用系统，逐步形成以城乡居民电子健康档案和中西医电子病历为重点，支撑跨层级跨机构跨部门的信息共享、上下联动、医保医药医疗协同管理的医疗健康信息服务体系。项目建成后，有效提高突发公共卫生事件协作应对能力、重大疾病防控能力、医疗卫生监督管理和公众健康保障能力。5 项目范围

6、全民健康保障信息化工程一期项目涉及国家卫生和计划生育委员会21 个司局及相关直属联系单位。联接试点省级平台、委属管医院，与国家人力资源和社会保障部、国家食品药品监督管理总局等相关部委实现数据交换和信息共享。6 需求分析与全民健康保障信息化工程一期项目招标的其他软硬件包和集成包配合，搭建完成国家全民健康信息平台，主要是与国家全民健康数据中心现有环境相结合，为全民健康保障信息化工程一期项目提供公有云服务、机柜租赁等服务。按照总集成商(已由招标人另行确定 )的统一安排，负责本项目相关内容的具体实施和集成配合等工作。7 与前期项目的关系公有云具有较好的适应性、兼容性。详见产品清单及指标要求。二、技

7、术指标要求（1）采购产品一览表序号货物名称是否为核心产品单位数量产地1 云平台基本要求否套 1 国产2 虚拟主机(计算部分 ECU）是 1vCPU 2G 604 国产3 文件存储否 TB 43 国产4 对象存储否 TB 2 国产5 公网带宽否 Mbps 200 国产6 公网 IP 否个 16 国产7 域名否个 11 国产8 云防火墙否套 1 国产9 云负载均衡服务否套 1 国产10 漏洞扫描否套 1 国产11 入侵检测否套 1 国产12 内容安全否套 1 国产13 DDOS 安全防护否套 1 国产14 Web 应用防火墙否套 1 国产15

8、堡垒机否套 1 国产16 数据库审计否套 1 国产17 态势感知否套 1 国产18 访问控制 RAM 否套 1 国产19 云监控否个 150 国产20 机柜租赁否个 10 国产（2）产品清单及指标要求1.指标按重要性分为“” 、 “” 、 “#”和一般无标示指标。代表实质性指标，不满足该指标项将导致投标被拒绝，代表关键指标项（该类指标项可列一个或多个指标，每个指标必须可量化并给出排序规则如越大越好、越小越好等，和服务要求一并最多不超过 10 个关键指标），# 代表重要指标，无标识则表示一般指标项。2.“证明材料要求”项可填“是”和“否” 。填“是”的，投标人须提供

9、包含相关指标项的证明材料，证明材料可以使用生产厂家官方网站截图或产品白皮书或第三方机构检验报告或其他相关证明材料。未提供有效证明材料或证明材料中内容与所填报指标不一致的，该指标按不满足处理。云平台基本要求所有第三方云服务应由统一的成熟云平台统一管理，云平台应满足以下指标要求:序号重要性指标项规格要求证明材料要求1 # 服务类型同时提供基于虚机托管的基础架构即服务（IaaS）与应用托管的平台即服务（PaaS），软件即服务（SaaS）2 # 异地容灾异地机房数据中心间有专线数据同步，具有异地容灾能力，提供高可靠高可用服务。云服务商必须获得国家相关主管部门合法的运营资质是3 # 基本要求云计算

10、平台须有可信云服务认证云主机服务可信云认证块存储服务可信云认证对象存储服务可信云认证云数据库服务可信云认证云分发可信云认证本地负载均衡可信云认证ITSS 云计算服务能力（二级/公共云）是4 # 开放性提供 API 接口及说明文档，对主机、存储、网络、负载均衡器、防火墙、等功能提供 API 级别的支持；API 与其它主流云计算平台兼容,或具备适配能力5 技术支持提供免费技术支持服务，免费版本升级和专业的24x7x365 售后服务专线支持等。提供丰富的在线文档和社区资源6 # 管理和监提供管理和监控统一平台；控提供基于 Web 的用户自助服务门户；支持对虚拟资源指定监控告警策略，告警策略中可以

11、指定联系人，支持邮件&短信告知；具备业务监控产品，通过日志、数据等方式导入业务监控产品，监控整体业务情况；主账户可以创建多个子账户，每个子账户可自主管理和部署名下的资源；子账户之间资源相互隔离，同时所有子账户共享主账户的余额和配额；提供云上安全整体信息和监控控制台；实时监控云主机和存储的 CPU、MEM、I/O、网卡速率等的状态，并在资源异常时发出告警；可增加自定义监控项，比如监控应用程序的进程等7 # 成熟度提供云计算平台正式对外商用运营的时间；高可用和灾备：单资源可用性不低于 99.95%,支持同城双活，提供方案支持更高的可用性，提供方案支持监管要求的两地三中心的部署要求；云平台本身的运营

12、维护、安全升级和系统升级（如：当硬件或基础操作系统需要进行硬件维护、安全补丁的过程中）对云服务器和云数据库的可用性无影响；提供高可用和灾备的解决方案，并帮助进行这些解决方案在流程、应用架构和基础架构的落地咨询；为互联网安全访问（如客户信息安全、传输安全）等提供解决方案；虚拟主机序号重要性指标项规格要求证明材料要求1 租赁年限提供的虚拟主机应至少满足 3 年使用需求，越长越好2 数量要求提供的虚拟主机数量应相当或优于如下要求：第一年：1vCPU 2G 内存虚拟主机 100 个；第二年：1vCPU 2G 内存虚拟主机 200 个；第三年：1vCPU 2G 内存虚拟主机 304 个；可以根据需

13、求灵活配置 4C/8G ,8C/16G 等规格的云主机；3 # 服务能力单个云主机最高可以支持 32 个 Vcpu、128GB 内存、300Mbps 公网带宽带宽、内网最高 10000Mbps，单个实例最多挂载 16 块数据盘，每块云盘数据盘容量可达 32TB，单盘最高支持 2 万 IOPS。支持容器服务，提供用户私有容器镜像仓库，并提供管理控制台服务；支持 GPU 浮点运算。4 操作系统云主机提供主流的 WINDOWS、LINUX 等操作系统，且均具备正版授权,授权费用须包含在本次投标报价中；提供操作系统和数据库等软件的在线升级和版本切换服务，以及包括 Linux 在内的操作系统级别的技术支

14、持，以上服务均无需付费。5 # 管理功能提供用户自服务门户和 API 接口，用户可自行创建不同规格的云主机，自定义 CPU、内存、网络、磁盘等属性；提供云主机的动态升级、快照备份、性能监测分析、异常告警、日志管理等功能；提供快照和自定义镜像能力，支持对运行或停止状态的云主机生成快照，应提供分钟级别快照回滚功能；支持虚拟机在用户数据中心和公有云平台之间的迁移，不绑定云平台，并提供官方迁移工具6 资源隔离对不同用户的云主机提供虚拟防火墙进行网络策略控制，具备状态检测包过滤功能7 弹性网络支持虚拟路由、虚拟交换机和弹性 IP，用户可自定义云主机的网络拓扑和 IP 地址8 # 镜像快照创建云主机时

15、，可指定用户预先配置好的镜像文件作为模板。云主机支持增量快照备份功能，提高备份效率，减小备份占用空间9 # 数据存储云主机底层采用分布式文件系统，每个云主机的镜像存储具备三副本可靠性； 10 # 高可用性云主机底层采用分布式文件系统，每个云主机的镜像存储具备三副本可靠性。对于单台 ECS 实例，单个实例的服务可用性不低于 99.95%；对于单地域多可用区，该单地域多可用区的服务整体可用性不低于99.99%。11 扩展性支持计算能力的垂直伸缩，支持对 CPU 和内存的升级与降级操作，支持增加、减少磁盘和带宽；支持计算能力的水平伸缩，可以通过 API 和控制台创建、销毁云主机实例，通过与负载均

16、衡配合实现水平伸缩；采用计算单元与存储单元一体化设计，支持在线平滑升级，计算能力、存储容量和总 IO 带宽同步线性扩容；可根据计划时间和虚机 CPU 指标等进行自动缩放控制存储服务文件存储序号重要性指标项规格要求证明材料要求1 租赁年限提供的存储服务应至少满足三年使用需求，越长越好2 数量要求提供的容量应相当或优于如下要求：第一年：8T SSD 固态硬盘；第二年：15T SSD 固态硬盘；第三年：20T SSD 固态硬盘；3 # 存储类型提供 SSD 类型块存储，提供云盘、共享云盘、本地盘。4 存储空间文件存储和对象存储可以提供的存储总量不少于 45T5 # 块存储性能每块云盘数据

17、盘容量可达 32TB，最高单盘 2 万IOPS，350MBps 吞吐性能，最高支持 14TB 本地SSD 存储，最多支持 150TB 本地 HDD 存储。6 安全性支持磁盘加密功能，通过云上托管的密钥管理服务，实现业务无感知的加密解密服务7 # 共享块存储提供共享块存储能力，全系列的云主机实例均可以挂载与共享访问，支持 Oracle RAC，SQL Server 故障转移集群功能。8 # 可靠性底层采用分布式文件系统，可将数据文件分别保存在不同交换机、机架的服务器上，数据存储达到三副本可靠性，数据可靠性不低于 99.9999%对象存储序号重要性指标项规格要求证明材料要求1 存储类型提

18、供块存储、文件存储或对象存储等多种常用存储类型2 存储空间文件存储和对象存储可以提供的存储总量不少于 45T3 服务能力根据实际需求，存储容量可无限扩展；单个文件最大可支持 48TB4 基本功能对象存储提供 RESTful API 接口，支持 http 和 https协议访问；提供用户自服务门户和 API 接口，用户可自行完成数据的上传下载和管理；支持大文件的分片并发上传和下载，支持断点续传；提供可调颗粒度的监控，收集存储服务的入口/出口、可用性、延迟及成功百分比等数据的度量值5 安全性提供日志记录功能，可以查询读、写和删除存储数据的请求，方便追查访问来源以及进行多维度的统计分析；具备完善

19、的多用户隔离机制，保障用户数据的私密性6 # 可靠性底层采用分布式文件系统，可将数据文件分别保存在不同交换机、机架的服务器上，数据存储达到三副本可靠性；7 基于角色访问控具备完善的多用户隔离机制，保障用户数据的私密性8 访问令牌支持访问令牌，应用通过令牌做认证秘钥9 精简校验对象存储服务支持纠删码（Erasure Coding）技术，可实现数据精简校验10 # 高可用性采用全冗余架构，无单点故障；服务可用性不低于99.95%11 # 扩展性对象存储服务采用计算单元与存储单元一体化设计，支持在线平滑升级，计算能力、存储容量和总 IO 带宽同步线性扩容。提供与平台无关的 RESTful

20、API 接口，能够提供 99.99999999999%的服务持久性。可以在任何应用、任何时间、任何地点存储和访问任意类型的数据。对象存储适合各种网站、开发企业及开发者使用；可以通过 API/SDK 接口或者专用迁移工具轻松地将海量数据移入或移出对象存储；对象存储可以配合 CDN 使用。网络租用公网带宽及专线租用序号重要性指标项规格要求证明材料要求2 公网带宽提供的带宽应最少满足 200Mbps，越大越好，并具可动态伸缩3 专线租用提供两条主备（双芯收发共四芯）万兆裸光纤，从投标方机房到采购方指定地址（北京市西城区北礼士路甲 38 号）。公网 IP序重要指标项规格要求证明材号性

21、料要求1 IP 公网 IP 地址域名序号重要性指标项规格要求证明材料要求1 # 智能解析准确的识别访问 IP 所在地；基于不同地区 /ISP 做智能解析；实现业务就近接入；避免用户访问跨 ISP。解析线路细分支持国内 31 省，海外可细分到大洲与国家；同时支持搜索引擎线路、谷歌、百度、必应、有道、雅虎2 # 性能单域名可最多支持每秒 5000W/秒的 DNS 查询响应能力；A 记录负载均衡 50 条，全局负载均衡，国内监控节点 10 个，监控任务数量 20 个，域名更换次数4 次3 解析功能解析设置秒级生效，支持自定义设置最小 1 秒 TTL 值4 可靠性采用 DNS 集群技术，独享

22、多线 BGP 机房集群，99.95%服务性保障5 管理功能支持 DNS 请求量统计；支持 DNS 账号间授权管理；支持运维操作记录审计信息；SSL 证书 CAA 记录检测，防止证书钓鱼攻击；操作日志实时查询，方便定期运维审计；云安全服务云防火墙序号重要性指标项规格要求证明材料要求支持基于拓扑化的形式，展示云环境中所有云服务器的各种信息、以及服务器之间的完整访问关系。1 # 拓扑化支持分布式部署，且与云平台原生支持，无需额外安全插件。2 角色管理支持针对云服务器进行角色定义，帮助管理员定位云服务器的用途和访问关系。3 智能搜索支持通过可叠加的搜索条件和多样的规则动作，让管理员搜索到最感

23、兴趣或最亟待处理的服务器和流量。4 基于流量线条的策略定义支持流量可视化前提下，判断流量的合法性，轻松完成策略的下发。支持端口级访问控制策略，满足等级保护三级要求，实现云平台内部的南北流量、东西流量的访问控制策略。并确保当虚拟机迁移时，访问控制策略随其迁移。支持针对服务器的基本信息和服务器之间的访问关系能进行拓扑化呈现，并基于拓扑化的视图进行策略部署。5 观察模式支持临时性并未真实下发策略的观察部署模式。支持为当前业务提供临时性的策略全部放行的机制，在特殊情况下为管理人员争取更多的排查时间。支持通过资产管理和角色管理，改变服务器的角色属性；可以新建立业务区，将服务器从临时区移动进来；6 #

24、一键全通支持将临时区一键保存为固定分区；7 业务分区分组支持新建立固定分区，可命名、可调整环境属性（线上预发测试）；支持点击业务区的“角色管理” ，改变服务器的角色属性，也可以新增角色信息；支持添加管理资产支持在固定业务区，可以添加服务器，并移动服务器至其他业务区；支持关键信息高亮可以通过点击服务器和线条，突出关键信息；8 角色管理支持显示信息筛选可以通过勾选项，去掉相关信息；支持基于线条，基于角色组，可以看见细节的五元组（连接），并下发策略（放行拒绝）；支持在不存在流量线条的情况下，可以返回资源列表，基于“策略管理”菜单进行策略定义；9 策略审核支持通过列表方式，可全局查看业务区

25、、角色组、服务器之间的关系；支持在下发业务区时，采用临时观察、非正式执行的方式去下发，即观察模式，可以看见合法流量（绿）和非法流量（红）。支持选择单独的业务区发布；（具备流量关联性的业务区需同步发布）9 业务区发布支持采用正式执行、对未放行的流量会产生实际的拦截效果，即拦截模式。支持选择单独的业务区发布；（具备流量关联性的业务区需同步发布）10 # 智能分组支持自动生成流量拓扑图，自动分区分组开通后，可自动分区，命名为临时区，临时区具有放大、资产管理、角色管理的功能；可自动分组（根据进程的相似度），有 web、 MySQL、Redis 等角色组；云负载均衡服务序号重要性指标项规格要求证

26、明材料要求1 # 服务能力支持面向 Internet 的负载均衡和非面向 Internet 的内部层级负载均衡机制；提供性能保障型实例，用户可按新建连接数和总连接数需求选择相应规格实例，单实例总体峰值可支持最大连接数 100W，最大每秒新建链接数 10 万，最大每秒请求次数 5 万 QPS；2 # 均衡策略支持加权轮询、加权最小连接数调度等多种流量分发策略；3 # 健康检查可以按照指定规则对配置的云主机进行健康检查，自动隔离异常状态云主机，迅速将服务切换，确保可用性；会话保持提供 UDP/TCP/HTTP/HTTPS 会话保持功能；IPV6 支持 IPV6，可分配 IPV6 公网地址管理

27、功能提供用户自服务门户和 API 接口，用户可自行创建负载均衡实例，并对其进行配置；4 # 高可用性采用全冗余架构，无单点故障；SLB 多可用区实例服务可用性不低于 99.95%，单可用区实例可用性不低于99%；并具备跨可用区（机房）的容灾能力，用户可以在界面选择单实例双可用区配置； 5 # 安全性提供高安全性，并具备跨机房的容灾能力；提供防DDoS 攻击能力；提供负载均衡和客户端的双向HTTPS 连接能力6 # 扩展性支持在线平滑升级，承载能力和网络总带宽同步线性扩容；可与云主机配合提供三层架构系统的弹性扩展；云上负载均衡可以对接线下 IDC 的服务器，实现混合云的负载均衡能力漏洞扫描序号重

28、要性指标项指标功能说明证明材料要求1弱口令检测支持FTP、SSH、RDP、SMB、SMTP、POP3 、IMAP MYSQL、MSSQL、MongoDB、MemCache、Redis、Oracle 、 Subversion、 LDAP、PPTP、VPN、HTTP 基础登录、WebFrom 登录表单检测2 #Web 注入漏洞支持 SQL 注入、命令注入、代码注入、SSRF 网络注入、表达式注入、JAVA EL 表达式注入命令执行、反序列化、XPATH 注入等注入漏洞检测3文件包含漏洞支持文件包含（LFI/RFI）、任意文件读取、任意文件上传、XXE、任意文件删除检测4 # 逻辑漏洞支持 JS

29、ONP 数据劫持、身份认证安全、验证码限制被绕过、业务一致性安全、业务数据篡改、认证权限找回逻辑、业务授权(水平/ 垂直越权)安全、业务流程乱序、业务接口调用安全检测5前端漏洞支持 XSS、CSRF、ClickJacking、Jsonp 劫持、HTTP 头注入 CRLF、URL 跳转检测6 # 错误配置支持 WebServer 配置失误、中间件配置失误、容器配置失误检测7 # 信息泄露支持配置文件、测试文件、目录遍历、备份文件、SVN、GIT、压缩包、临时文件、接口暴露、心脏滴血检测入侵检测序号重要性指标项指标功能说明证明材料要求支持 Linux 软件漏洞管理：对标 CVE 官方漏洞库，自

30、动检测并提供修复方案，周期扫描、修复后立即验证、忽略、生成修复命令#支持 Windows 漏洞管理：同步微软官网补丁，自动检测并支持一键修复，同步官网补丁文件到Server，支持周期扫描、修复、修复后立即验证、重启后立即验证（若漏洞修复后需要重启）、忽略、回滚#支持 Web-CMS 漏洞管理：自研漏洞补丁，支持一键修复 0day 漏洞，源代码级识别 Web 目录文件，精准判断 CMS 漏洞，全部为自研补丁，支持周期扫描、修复、修复后立即验证、忽略、回滚1 主机漏洞管理支持其他漏洞管理：如软件配置型漏洞、系统组件型漏洞，均支持自动检测#支持精确识别软件高危配置漏洞及类似ImageMagick

31、等组件型漏洞支持周期扫描、修复后立即验证、忽略支持配置型、组件型漏洞识别，精确识别软件高危配置漏洞及类似 ImageMagick 等组件型漏洞，周期扫描、修复后立即验证、忽略。#支持选择严重、高、中、低危漏洞进行扫描，默认不扫描低危，可选资产范围进行扫描，对不重要的机器或分组关闭漏扫，对不关注的漏洞可加入漏洞白名单，不再扫描和告警。支持综合漏洞等级、曝光时间、资产真实环境等信息，给出修复必要性参考。2 # 主机漏洞修复支持对云服务器主机中的应用和部分 Windows系统的高危漏洞支持一键修复，包括 Web 应用漏洞修复、系统文件修复等。3 # 基线检查支持账号安全检测：密码策略合规、系统及应用

32、弱口令， SSH、RDP 、FTP、MYSQL、PostgreSQL、SQLServer，检测服务器系统中可疑的隐藏账号、及克隆账号，检测 Linux 系统服务器中的以下账户密码策略：账号密码最大使用期限，密码修改最小间隔时间，密码最小长度，密码到期开始通知时间，检测服务器中密码为空的账号。支持系统配置检测：组策略、登录基线策略、注册表配置风险#支持数据库风险检测：Redis 数据库高危配置，检测服务器上的 Redis 服务是否对开放，检测服务器上的 Redis 服务是否存在未授权访问漏洞被利用并向系统关键文件写入异常数据的情况。支持对云服务器主机中的安全基线进行检查，包括账户安全检测、弱口令

33、检查、以及配置项风险检测，以达到企业级服务器安全准入标准。支持资产信息探测，通过在服务器上安装的客户端，自动识别网络内部资产信息和网络架构，包括资产 IP、操作系统、应用软件等内容，支持可疑账户检测，对服务器的管理员信息进行分析，对疑似的黑客账户进行检测告警。支持对账户异地登录的检测，对用户常用登录位置的分析和记录，对疑似的非管理员登录系统行为进行告警。#支持发现防密码暴力破解攻击事件，可对黑客进行暴力破解的行为进行实时检测和行为拦截，例如：支持对SSH、RDP 、Telnet 、Ftp、MySQL、MS SQL Server 等等常见协议的登录行为监控。支持网站后门、木马的查杀，客户端通过云

34、端多查杀引擎对可执行木马、病毒文件、网站后门文件进行主动隔离，实时阻断黑客攻击行为，防止后门再次利用。支持合规对标检测：CIS-Linux Centos7 系统基线4关键目录完整性检测支持监控系统特定目录的文件完整性，及时发现篡改行为并进行变更告警。5 异常进程告警支持发现异常进程启动，并进行告警。6 异常端口告警支持发现新建的端口监听，并进行告警。7异常网络连接告警支持发现主动外连公网的网络连接，并进行告警。#支持异常行为分析 bash 反弹、 JAVA 执行CMD 命令、Redis 写入 ssh 文件等异常行为8#入侵检测支持恶意进程（云查杀）挖矿进程、DDoS 木马、WannaCr

35、y 病毒，杀软联动，集成云端杀毒引擎全面判断恶意进程，一键处置木马病毒#支持 Webshell Web 目录文件变化实时触发检测，支持控制台一键隔离支持异常登录 ssh、rdp、mysql 暴力破解行为识别及防御（仅云上版支持防御），对定义的合法 IP 外的 IP 登录进行告警，对定义的合法账号外的账号登录进行告警，对定义的合法登录时间外的时间登录进行告警，对于非常用地登录行为进行告警，支持自定义配置常用登录地。支持扫描并记录主机上监听的端口，记录每次扫描与上一次的变动，如新增监听端口 X，减少监听端口 Y，实时可在控制台刷新数据，同时支持自定义周期自动数据刷新。#支持扫描并记录主机上运行的

36、进程，记录每次扫描与上一次的变动，如新增进程 X，减少进程Y，实时可在控制台刷新数据，同时支持自定义周期自动数据刷新。9 资产管理支持扫描并记录主机上的账号，记录每次扫描与上一次的变动，如新增账号 X，减少账号 Y，修改账号 Z，实时可在控制台刷新数据，同时支持自定义周期自动数据刷新支持对主机进行最多 4 级分组，支持按照地域、在线状态等进行筛选，支持对主机进行打标签，快速定位标签服务器。#支持进程启动的实时日志，包括进程名、pid、md5、命令行等，对外主动连接的实时五元组日志，系统登录成功的流水日志，每次进行账号数据获取的快照日志，每次进行端口监听数据获取的快照日志，每次进行进程数据获取的

37、快照日志。支持多日志源关联、时间周期自定义查询，支持查询数据的导出，存储查询条件，便于多次快速查询10 日志支持告警项目包括：服务器发生非常用登录地，服务器密码被暴力破解成功，发现网站后门文件，基线检查中存在高危风险项，发现高危漏洞未修复， agent 在 24 小时内未与云端通信，反弹shell、恶意进程等。内容安全需要重要性指标项规格要求证明材料要求支持信息内容安全检测及管控支持当内容涉及违规信息时，提前预警，并提供违规网页地址及快照查看功能1 站点监测支持对网站进行篡改和挂马检测，对于网站内容进行全站爬取图片文字进行检测，识别涉政涉黄等风险。对于识别到的风险，展示源码、图片、文本

38、等证据，帮助用户整改。支持通过人工智能技术对存储在非结构化存储上的图片进行违规识别，并提供便捷易用的结果展示平台。支持通过删除、忽略等快捷操作，方便对图片作快速处理，减少审核人力，有效降低涉黄风险。图片/视频智能鉴黄，支持通过深度学习算法对非结构化存储中的图片和视频，进行识别以及色情程度的打分，自动识别色情图片视频，大大降低审核人力。图片/视频暴恐涉政检测，支持通过深度学习算法对非结构化存储中的图片采用深度学习算法，结合独有的情报、舆情、预警和分析体系及实时更新的样本图库，自动快速定位暴恐旗帜、人物和场景以及敏感政治人物，大大降低审核人力。2 OSS 违规检测支持每日增量扫描和存量扫描，无死角

39、覆盖风险。点击开通即可使用，无需开发。支持文本、图片、视频等多媒体内容安全检测的开发接口服务。3 内容检测API支持过滤公网可访问的图文信息。4 CDN 违规检测图片智能鉴黄，支持对 CDN 图片加速服务的回源请求进行自动识别色情图片，在 CDN 控制台点击开通即可使用，无需开发。可导出违规图片源站地址，供用户批量删除。图片/视频智能鉴黄，支持深度学习算法和实时更新的亿级图像样本库,可对图片与视频进行识别以及色情程度量化。视频检测采用截帧画面、声音、文字多维度综合决策视频结果，最大限度避免因为截图模糊而导致误判。并且在结果中返回证据画面，协助审核人员判断。图片/视频暴恐涉政检测，支持采用深度学

40、习算法，结合独有的情报、舆情、预警和分析体系及实时更新的样本图库，能够快速定位暴恐旗帜、人物和场景以及敏感政治人物。采用截帧画面、声音、文字多维度综合决策视频结果，最大限度避免因为截图模糊而导致误判。并且在结果中返回证据画面，协助审核人员判断。图片/视频敏感人脸属性识别，支持识别人脸基本属性，如年龄、性别、标签、是否带眼镜等属性，同时会匹配包括政治人物、敏感人物、以及名人明星等敏感人物，能够避免业务的涉政违规和侵权风险。一张图内可最多识别 10 个人脸。支持 OCR 图文识别亿级别字符样本库，可精准定位图片中文字位置，准确识别斜排字，艺术字等字体。图片/视频广告识别，支持有效识别带二维码的广

41、告图片，并且采用独创的牛皮癣算法，能够通过判断图片中文字是否后期加入来有效识别广告图片。5 内容检测API文本反垃圾检测支持采用 NLP 自然语言理解算法有效识别色情、暴恐涉政、广告、辱骂等文本垃圾，并且能够结合行为策略有效管控灌水、刷屏等恶意行为。DDOS 安全防护序号重要性指标项规格要求证明材料要求1 机房/带宽总体带宽超过 10T，单机房超过 1.5T，单独提供机房规格表。2 防护类型包括但不限于以下攻击类型: ICMP Flood、UDP Flood、TCP Flood、SYN Flood、ACK Flood 等攻击3 支持域名数默认 50，支持泛域名可以扩展到 2004

42、支持端口数默认 50 可以扩展 2005 支持业务类型“HTTP/HTTPS/HTTPS/TCP/UDP/WEBSOCKET“ “网站业务:80 和 443，非网站业务：无限制“6 DDoS 最大能力 800G7 单线路防御能力 800G+ “可以双路备份，如电信提供双机房，可以切换“8 CC 防御能力 50000+9 DNS 防御能力 5000W QPS10 故障转移速度 30 秒内11 SLA 99.99%12 流量自动伸缩支持 DDoS 防御能力自动弹性，CC 防御能力自动弹性。13 支持 IP to IP 转发，没有端口限制，0-66535全部转发14协议与端口支持 HTTP2/W

43、EBSOCKET15 NS/CNAME/A支持 CNAME 接入，并保证当某个线路的高防IP 出现问题时，可以自动把业务切换到其他正常的线路支持泛域名接入防护支持弹性按天BGP 机房支持 BGP 冗余支持 CNAME 自动调度16 域名接入支持安全/加速流量支持电信、封禁海外来的流量支持电信、封禁非本运营商的流量支持封禁 UDP 流量，需求换 IP全网流量压制，支持全网黑洞支持 CC 防御开关支持 CC 人机识别支持正常模式/紧急模式支持 CC 防御源限速支持 ip+cookie 限速支持 CC 黑白名单支持公网负载均衡回源17 功能特性支持健康检查、会话保持支持 ssl、协同防御、可信 IP

44、设置18 管理监控支持提供 DDoS 高防的线路的流量监控报告，支持查询各时间段的统计数据，包括流量和报文的正常流量和攻击流量。提供 DDoS 高防线路的安全统计信息，包括 DDoS 攻击峰值、DDoS 攻击次数和防护端口数WEB 应用防火墙序号重要性指标项规格要求证明材料要求支持提供 WEB 应用防火墙服务，支持 SQL 注入、XSS 跨站、 Webshell 上传、后门隔离保护、命令注入、非法 HTTP 协议请求、常见 Web 服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护支持 SAAS 化多租户模式，每个租户能够管理自身规则、查看自身防御动态，数据基于租户隔离；提

45、供友好的配置控制台界面，支持IP、URL 、Referer、User-Agent 等 HTTP 常见字段的条件组合，并支持盗链防护、网站后台保护等防护场景；支持对业务流量的统计分析，包括来访 IP、区域、访问延时、浏览器类型等内容的 Top 统计。支持内置多种防护策略，可选择进行 SQL 注入、XSS 跨站、 Webshell 上传、后门隔离保护、命令注入、非法 HTTP 协议请求、常见 Web 服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护1Web 应用攻击防护支持网页防篡改功能，对指定的敏感页面进行保护，确保正常用户看到正确的页面。最高可达 10000 QPS 的防护能力

46、2 防护能力至少提供 10 个域名防护( 支持 1 个一级域名) ，至少提供 100 条可自助配置的访问控制规则支持针对最新爆发的 Web 0DAY 漏洞在 24 小时内自动更新防护规则，保护网站不受影响3 CC 攻击防护支持对网站网页进行缓存配置，在设置的时间段内锁定网站的返回页面为缓存的正常页面。支持敏感信息防泄漏避免身份证、银行卡、电话号码等敏感数据泄露；针对服务器返回的异常页面或关键字做信息保护支持缓解网站页面受到的 CC 攻击支持缓解对外提供服务的 API 接口受到的 CC 攻击支持 IP、URL 支持黑白名单的组合设置，禁止 /放行某个 IP/URL 的网站访问支持 User-

47、Agent、Refere 字段的黑白名单的组合设置，防护场景:WordPress 攻击、爬虫攻击、CSRF“支持Params/Cookie/X-Forwarded-FOR 等字段的黑白名单的组合设置，防护场景：大包攻击、伪造代理攻击、无 Cookie Bot 攻击“4 访问准入控制支持针对指定的国内省份或海外地区的来源 IP 进行一键黑名单封禁5 全站一键HTTPS 支持 HTTPS 强制转换及 HTTP 回源，保证源站无需支持 HTTPS 即可实现网站 HTTPS 化6 常见非标端口防护除 80、 8080、443、8443 端口以外支持其他额外的非标准业务端口防护7 可用性清洗服务可用

48、性应达到 99.99%堡垒机序号重要性指标项规格要求证明材料要求1 日志回放、事后追溯支持录像式日志回放、指令记录、图像记录、文件审计等功能。2 部署要求支持系统盘与数据盘分离部署，操作系统存储在系统盘中、数据存在数据盘中，防止因操作系统出现故障造成数据损坏，操作系统版本不得低于CentOS6.6，支持多台运维审计系统的配置信息自动同步，提高配置备份和运维服务冗余，防止单系统故障3 用户管理要求支持用户多角色划分功能，如系统管理员、运维员、审计管理员、密码管理员等，对各类角色需要进行细粒度的权限管理支持用户的批量导入/导出，按用户类型等分组方式；支持用户安全策略功能，如密码锁定次数、密码

49、有效期、密码复杂度、用户有效期、用户登录时间限制、用户登录 IP 范围等4 身份认证要求支持与 AD、LDAP、RADIUS 认证系统联动登录堡垒机，支持自动同步 AD/LDAP 用户支持与 get、post、soap 发送方式的 http 短信网关平台进行联动，实现短信动态口令双因素认证机制，如短信服务、SendCloud 联动支持手机 APP 动态口令认证方式登录堡垒机，且新用户首次登录后需强制绑定 APP 动态口令。（须提供相关截图证明并加盖原厂公章）支持认证方式的全局设置：可以选择启用哪种或者哪几种认证登录窗口。5 设备管理要求支持常用的运维协议：SSH、TELNET、RDP、FTP、SFTP支持对设备进行按设备类型分组，支持设备批量导入/导出支持设备帐户和密码的自动登录、手工登录模式支持自动收集设备 IP、运维协议、端口号、账号、密码、与用户的权限关系，甚至可自动完成授权6 运维方式要求支持使用 IE、谷歌、火狐三种浏览器打开堡垒机的Web 页面直接调用mstsc、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX 等运维客户端工具支持使用本地的 mstsc/Xshell/SecureCRT/Putty 等客户端

展开阅读全文