指標項 |
參數要求 |
是否響應 |
總體需求 |
安全性 |
保證全年365天*24小時不間斷的運行。需采用多種手段防止各種形式與途徑的非法破壞,建立健全各種保證措施,使系統時時處于正常運行狀態。系統需在應用層面提供對數據的保護,保護數據的完整性、保密性、抗抵賴性;需提供操作痕跡管理功能 |
|
可維護性 |
系統建成后要求滿足:①易于故障的排除;②系統人性化管理,日常管理操作簡便 |
|
整體性 |
此次系統為綜合安全管理系統,針對各子系統有著很好的兼容性,統籌各種因素,構成一個有機的安全管理系統 |
|
應用性 |
此次系統的設計應完全考慮到采購方的實際要求,即建成后的系統應達到各種安全管理使用要求,并為醫院的管理帶來便利,提高效率,帶來效益 |
|
規范性 |
采用的技術路線和主要技術,應是目前主流技術,所采用的標準需滿足支持目前和將來可能出現的國家或行業標準 |
|
統一性 |
系統必須為統一品牌,不接受聯合體投標 |
|
體系架構 |
修改為:★支持B/S或C/S兩種架構,支持多級分布式結構,便于今后網絡擴充,系統擴容后的管理 |
需提供截圖證明 |
支持對網絡、數據庫、應用系統的統一審計監控,實現動態、可擴展的平臺式管理 |
|
產品模塊化設計,便于升級維護 |
|
策略管理 |
可全面統一制定管理策略,可分組、分區域、分網段等制定部署不同的安全策略,可針對所有功能分項制定詳細策略。 |
|
支持基于用戶的有時間控制的在線、離線管理策略,支持策略模板制訂策略 |
|
支持靈活的權限管理、日志審計、綜合報表分析等策略 |
|
功能要求 |
身份
認證 |
★統一登錄認證管理:每個使用計算機的用戶都分配一個唯一的用戶名和口令。支持和AD域用戶的無縫結合,支持USB/令牌用戶認證,支持并發的離線策略管理,支持身份認證模式和非身份認證模式兩種終端的混合管理。在醫院部分重要科室采用身份認證管理(工號+密碼方式),出問題后直接審計到人 |
需提供截圖證明 |
賬號規范管理:對于平臺賬戶可以實現規范性、有效性、生命周期、密碼復雜度等管理,對多種類型認證用戶支持統一管理 |
|
★計算機登陸權限控制:管理員可以設定某個用戶能夠使用哪些計算機,也可以設定某臺計算機只允許指定的一個或者多個用戶使用。沒有授權的用戶,不能進入該計算機的操作系統使用。在計算機安全模式下同樣可控制 |
需提供截圖證明 |
計算機登陸信息審計:記錄用戶登陸計算機的信息,包括登錄時間、登陸用戶名、登錄狀態等 |
|
服務器保護及操作審計 |
★建立受保護服務器資源:可選擇HTTP服務器、FTP服務器、數據庫服務器等類型服務器 |
需提供截圖證明 |
受保護服務器訪問授權控制:系統通過安全網關(密碼墻),對重要的服務器資源可建立安全服務器區,只有授權的合法用戶才能訪問安全服務器區的敏感數據,防止惡意用戶對重要服務器資源的非法訪問 |
|
控制是否允許接入服務器:服務器的訪問和用戶的身份或者IP地址捆綁進行認證,通過則可以訪問服務器,否則訪問服務器的行為將被阻斷。阻斷行為應由本地客戶端實現,沒有單點失效風險,無需在服務器端安裝任何程序,對服務器沒有任何影響 |
|
★受保護服務器資源操作審計:根據服務器的不同,記錄不同的操作日志。ftp支持上傳/下載并生成日志;數據庫可控制插入/刪除/更新/建立表/刪除表等操作并生成日志 |
需提供截圖證明 |
桌面
安全 |
外設端口控制:外部設備管理從計算機的光驅、軟驅、串口、并口、USB接口、調制解調器、紅外端口、PCMCIA、1394端口、單獨USB鼠標鍵盤、單獨USB存儲設備等所有相關物理端口,包括計算機的無線上網卡(如CDMA卡等)統一禁用等多種安全控制 |
|
★軟件分發:通過策略統一分發文件至客戶端,支持軟件安裝,文件傳輸,程序執行三種方式,并可選擇安裝范圍,支持的操作系統,設置靜默安裝參數 |
需提供截圖證明 |
★打印操作控制:包括本地打印機、網絡打印機和虛擬打印機。控制策略包括禁止使用打印操作和允許使用打印操作。在允許打印操作的情況下,對打印文件進行日志記錄,并對打印內容副本進行緩存 |
需提供截圖證明 |
設備屬性控制:對網絡適配器屬性和設備管理器進行控制,可以禁止用戶任意修改網絡配置和設備屬性,防止用戶隨意修改IP等配置信息 |
|
文件訪問日志及共享控制:控制主機間共享訪問,對訪問本地文件和訪問其他主機共享文件的操作進行日志記錄。記錄的操作日志包括文件的新建、打開、刪除、重命名以及修改等操作 |
|
軟硬件資產審計:記錄下終端的所有硬件安裝信息和軟件安裝信息,并進行日志記錄。記錄的硬件類型包括:鍵盤、鼠標、主板、操作系統、CPU、內存、硬盤、網卡、聲卡等。檢測終端發生變動的硬件信息,并且提供對照信息 |
|
進程控制及運行日志:支持名稱控制黑/白名單、簽名控制黑/白名單,并記錄進程的使用情況,包括MD5校驗和進程是否允許執行等 |
|
網絡
分域
(外聯控制) |
★網絡分域管理控制:將網絡中的計算機按照管理需求劃分成多個虛擬安全域,實現內部網絡的分域分級管理。同一個安全域內的計算機可以相互訪問,非同一個安全域的計算機則不能相互訪問,只有在獲得管理員授權的情況下才能建立信任關系,實現網絡連接。在保障網絡統一維護的前提下,通過虛擬安全域的劃分,降低網絡病毒爆發及網絡風暴發生的幾率 |
需提供截圖證明 |
網絡數據傳輸控制:根據管理規則進行網絡數據傳輸的控制,可實施網絡傳輸加密控制,實現網內計算機端到端之間信道加密,從而有效防止內網用戶的惡意偵聽行為,杜絕惡意抓包分析數據庫的訪問密碼等問題 |
|
★專網內機器外聯阻斷控制:安全域內的機器一旦脫離醫院內部專網,自動從驅動底層阻斷其非法外聯行為,確保醫院內網機器只能在內部專網使用,并對外聯行為記錄日志 |
需提供截圖證明 |
★非法內聯管理:未經授權的主機無法隨意與安全域內的機器進行通信,包括底層Ping包;未經許可的計算機即使通過對等網線或者通過HUB與安全域內的機器直連,也會被近似物理隔離方式,隔離在安全域之外。防止非法主機與醫院的機器通過對等網線對聯拷貝數據,杜絕病毒傳播和惡意破壞的風險 |
需提供截圖證明 |
★安全域劃分:可設置公共域、安全域兩種模式,并支持多安全域劃分;支持將公共服務器、公共交換機等設備設置為公共區域,保證各安全區域可訪問公共區域的資源,并可對未加入域的機器實現通信阻截 |
需提供截圖證明 |
|
|
|
|
|