指標(biāo)項 |
參數(shù)要求 |
是否響應(yīng) |
總體需求 |
安全性 |
保證全年365天*24小時不間斷的運行。需采用多種手段防止各種形式與途徑的非法破壞,建立健全各種保證措施,使系統(tǒng)時時處于正常運行狀態(tài)。系統(tǒng)需在應(yīng)用層面提供對數(shù)據(jù)的保護,保護數(shù)據(jù)的完整性、保密性、抗抵賴性;需提供操作痕跡管理功能 |
|
可維護性 |
系統(tǒng)建成后要求滿足:①易于故障的排除;②系統(tǒng)人性化管理,日常管理操作簡便 |
|
整體性 |
此次系統(tǒng)為綜合安全管理系統(tǒng),針對各子系統(tǒng)有著很好的兼容性,統(tǒng)籌各種因素,構(gòu)成一個有機的安全管理系統(tǒng) |
|
應(yīng)用性 |
此次系統(tǒng)的設(shè)計應(yīng)完全考慮到采購方的實際要求,即建成后的系統(tǒng)應(yīng)達到各種安全管理使用要求,并為醫(yī)院的管理帶來便利,提高效率,帶來效益 |
|
規(guī)范性 |
采用的技術(shù)路線和主要技術(shù),應(yīng)是目前主流技術(shù),所采用的標(biāo)準(zhǔn)需滿足支持目前和將來可能出現(xiàn)的國家或行業(yè)標(biāo)準(zhǔn) |
|
統(tǒng)一性 |
系統(tǒng)必須為統(tǒng)一品牌,不接受聯(lián)合體投標(biāo) |
|
體系架構(gòu) |
修改為:★支持B/S或C/S兩種架構(gòu),支持多級分布式結(jié)構(gòu),便于今后網(wǎng)絡(luò)擴充,系統(tǒng)擴容后的管理 |
需提供截圖證明 |
支持對網(wǎng)絡(luò)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的統(tǒng)一審計監(jiān)控,實現(xiàn)動態(tài)、可擴展的平臺式管理 |
|
產(chǎn)品模塊化設(shè)計,便于升級維護 |
|
策略管理 |
可全面統(tǒng)一制定管理策略,可分組、分區(qū)域、分網(wǎng)段等制定部署不同的安全策略,可針對所有功能分項制定詳細策略。 |
|
支持基于用戶的有時間控制的在線、離線管理策略,支持策略模板制訂策略 |
|
支持靈活的權(quán)限管理、日志審計、綜合報表分析等策略 |
|
功能要求 |
身份
認證 |
★統(tǒng)一登錄認證管理:每個使用計算機的用戶都分配一個唯一的用戶名和口令。支持和AD域用戶的無縫結(jié)合,支持USB/令牌用戶認證,支持并發(fā)的離線策略管理,支持身份認證模式和非身份認證模式兩種終端的混合管理。在醫(yī)院部分重要科室采用身份認證管理(工號+密碼方式),出問題后直接審計到人 |
需提供截圖證明 |
賬號規(guī)范管理:對于平臺賬戶可以實現(xiàn)規(guī)范性、有效性、生命周期、密碼復(fù)雜度等管理,對多種類型認證用戶支持統(tǒng)一管理 |
|
★計算機登陸權(quán)限控制:管理員可以設(shè)定某個用戶能夠使用哪些計算機,也可以設(shè)定某臺計算機只允許指定的一個或者多個用戶使用。沒有授權(quán)的用戶,不能進入該計算機的操作系統(tǒng)使用。在計算機安全模式下同樣可控制 |
需提供截圖證明 |
計算機登陸信息審計:記錄用戶登陸計算機的信息,包括登錄時間、登陸用戶名、登錄狀態(tài)等 |
|
服務(wù)器保護及操作審計 |
★建立受保護服務(wù)器資源:可選擇HTTP服務(wù)器、FTP服務(wù)器、數(shù)據(jù)庫服務(wù)器等類型服務(wù)器 |
需提供截圖證明 |
受保護服務(wù)器訪問授權(quán)控制:系統(tǒng)通過安全網(wǎng)關(guān)(密碼墻),對重要的服務(wù)器資源可建立安全服務(wù)器區(qū),只有授權(quán)的合法用戶才能訪問安全服務(wù)器區(qū)的敏感數(shù)據(jù),防止惡意用戶對重要服務(wù)器資源的非法訪問 |
|
控制是否允許接入服務(wù)器:服務(wù)器的訪問和用戶的身份或者IP地址捆綁進行認證,通過則可以訪問服務(wù)器,否則訪問服務(wù)器的行為將被阻斷。阻斷行為應(yīng)由本地客戶端實現(xiàn),沒有單點失效風(fēng)險,無需在服務(wù)器端安裝任何程序,對服務(wù)器沒有任何影響 |
|
★受保護服務(wù)器資源操作審計:根據(jù)服務(wù)器的不同,記錄不同的操作日志。ftp支持上傳/下載并生成日志;數(shù)據(jù)庫可控制插入/刪除/更新/建立表/刪除表等操作并生成日志 |
需提供截圖證明 |
桌面
安全 |
外設(shè)端口控制:外部設(shè)備管理從計算機的光驅(qū)、軟驅(qū)、串口、并口、USB接口、調(diào)制解調(diào)器、紅外端口、PCMCIA、1394端口、單獨USB鼠標(biāo)鍵盤、單獨USB存儲設(shè)備等所有相關(guān)物理端口,包括計算機的無線上網(wǎng)卡(如CDMA卡等)統(tǒng)一禁用等多種安全控制 |
|
★軟件分發(fā):通過策略統(tǒng)一分發(fā)文件至客戶端,支持軟件安裝,文件傳輸,程序執(zhí)行三種方式,并可選擇安裝范圍,支持的操作系統(tǒng),設(shè)置靜默安裝參數(shù) |
需提供截圖證明 |
★打印操作控制:包括本地打印機、網(wǎng)絡(luò)打印機和虛擬打印機?刂撇呗园ń故褂么蛴〔僮骱驮试S使用打印操作。在允許打印操作的情況下,對打印文件進行日志記錄,并對打印內(nèi)容副本進行緩存 |
需提供截圖證明 |
設(shè)備屬性控制:對網(wǎng)絡(luò)適配器屬性和設(shè)備管理器進行控制,可以禁止用戶任意修改網(wǎng)絡(luò)配置和設(shè)備屬性,防止用戶隨意修改IP等配置信息 |
|
文件訪問日志及共享控制:控制主機間共享訪問,對訪問本地文件和訪問其他主機共享文件的操作進行日志記錄。記錄的操作日志包括文件的新建、打開、刪除、重命名以及修改等操作 |
|
軟硬件資產(chǎn)審計:記錄下終端的所有硬件安裝信息和軟件安裝信息,并進行日志記錄。記錄的硬件類型包括:鍵盤、鼠標(biāo)、主板、操作系統(tǒng)、CPU、內(nèi)存、硬盤、網(wǎng)卡、聲卡等。檢測終端發(fā)生變動的硬件信息,并且提供對照信息 |
|
進程控制及運行日志:支持名稱控制黑/白名單、簽名控制黑/白名單,并記錄進程的使用情況,包括MD5校驗和進程是否允許執(zhí)行等 |
|
網(wǎng)絡(luò)
分域
(外聯(lián)控制) |
★網(wǎng)絡(luò)分域管理控制:將網(wǎng)絡(luò)中的計算機按照管理需求劃分成多個虛擬安全域,實現(xiàn)內(nèi)部網(wǎng)絡(luò)的分域分級管理。同一個安全域內(nèi)的計算機可以相互訪問,非同一個安全域的計算機則不能相互訪問,只有在獲得管理員授權(quán)的情況下才能建立信任關(guān)系,實現(xiàn)網(wǎng)絡(luò)連接。在保障網(wǎng)絡(luò)統(tǒng)一維護的前提下,通過虛擬安全域的劃分,降低網(wǎng)絡(luò)病毒爆發(fā)及網(wǎng)絡(luò)風(fēng)暴發(fā)生的幾率 |
需提供截圖證明 |
網(wǎng)絡(luò)數(shù)據(jù)傳輸控制:根據(jù)管理規(guī)則進行網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目刂,可實施網(wǎng)絡(luò)傳輸加密控制,實現(xiàn)網(wǎng)內(nèi)計算機端到端之間信道加密,從而有效防止內(nèi)網(wǎng)用戶的惡意偵聽行為,杜絕惡意抓包分析數(shù)據(jù)庫的訪問密碼等問題 |
|
★專網(wǎng)內(nèi)機器外聯(lián)阻斷控制:安全域內(nèi)的機器一旦脫離醫(yī)院內(nèi)部專網(wǎng),自動從驅(qū)動底層阻斷其非法外聯(lián)行為,確保醫(yī)院內(nèi)網(wǎng)機器只能在內(nèi)部專網(wǎng)使用,并對外聯(lián)行為記錄日志 |
需提供截圖證明 |
★非法內(nèi)聯(lián)管理:未經(jīng)授權(quán)的主機無法隨意與安全域內(nèi)的機器進行通信,包括底層Ping包;未經(jīng)許可的計算機即使通過對等網(wǎng)線或者通過HUB與安全域內(nèi)的機器直連,也會被近似物理隔離方式,隔離在安全域之外。防止非法主機與醫(yī)院的機器通過對等網(wǎng)線對聯(lián)拷貝數(shù)據(jù),杜絕病毒傳播和惡意破壞的風(fēng)險 |
需提供截圖證明 |
★安全域劃分:可設(shè)置公共域、安全域兩種模式,并支持多安全域劃分;支持將公共服務(wù)器、公共交換機等設(shè)備設(shè)置為公共區(qū)域,保證各安全區(qū)域可訪問公共區(qū)域的資源,并可對未加入域的機器實現(xiàn)通信阻截 |
需提供截圖證明 |
|
|
|
|
|