指标项 |
参数要求 |
是否响应 |
总体需求 |
安全性 |
保证全年365天*24小时不间断的运行。需采用多种手段防止各种形式与途径的非法破坏,建立健全各种保证措施,使系统时时处于正常运行状态。系统需在应用层面提供对数据的保护,保护数据的完整性、保密性、抗抵赖性;需提供操作痕迹管理功能 |
|
可维护性 |
系统建成后要求满足:①易于故障的排除;②系统人性化管理,日常管理操作简便 |
|
整体性 |
此次系统为综合安全管理系统,针对各子系统有着很好的兼容性,统筹各种因素,构成一个有机的安全管理系统 |
|
应用性 |
此次系统的设计应完全考虑到采购方的实际要求,即建成后的系统应达到各种安全管理使用要求,并为医院的管理带来便利,提高效率,带来效益 |
|
规范性 |
采用的技术路线和主要技术,应是目前主流技术,所采用的标准需满足支持目前和将来可能出现的国家或行业标准 |
|
统一性 |
系统必须为统一品牌,不接受联合体投标 |
|
体系架构 |
修改为:★支持B/S或C/S两种架构,支持多级分布式结构,便于今后网络扩充,系统扩容后的管理 |
需提供截图证明 |
支持对网络、数据库、应用系统的统一审计监控,实现动态、可扩展的平台式管理 |
|
产品模块化设计,便于升级维护 |
|
策略管理 |
可全面统一制定管理策略,可分组、分区域、分网段等制定部署不同的安全策略,可针对所有功能分项制定详细策略。 |
|
支持基于用户的有时间控制的在线、离线管理策略,支持策略模板制订策略 |
|
支持灵活的权限管理、日志审计、综合报表分析等策略 |
|
功能要求 |
身份
认证 |
★统一登录认证管理:每个使用计算机的用户都分配一个唯一的用户名和口令。支持和AD域用户的无缝结合,支持USB/令牌用户认证,支持并发的离线策略管理,支持身份认证模式和非身份认证模式两种终端的混合管理。在医院部分重要科室采用身份认证管理(工号+密码方式),出问题后直接审计到人 |
需提供截图证明 |
账号规范管理:对于平台账户可以实现规范性、有效性、生命周期、密码复杂度等管理,对多种类型认证用户支持统一管理 |
|
★计算机登陆权限控制:管理员可以设定某个用户能够使用哪些计算机,也可以设定某台计算机只允许指定的一个或者多个用户使用。没有授权的用户,不能进入该计算机的操作系统使用。在计算机安全模式下同样可控制 |
需提供截图证明 |
计算机登陆信息审计:记录用户登陆计算机的信息,包括登录时间、登陆用户名、登录状态等 |
|
服务器保护及操作审计 |
★建立受保护服务器资源:可选择HTTP服务器、FTP服务器、数据库服务器等类型服务器 |
需提供截图证明 |
受保护服务器访问授权控制:系统通过安全网关(密码墙),对重要的服务器资源可建立安全服务器区,只有授权的合法用户才能访问安全服务器区的敏感数据,防止恶意用户对重要服务器资源的非法访问 |
|
控制是否允许接入服务器:服务器的访问和用户的身份或者IP地址捆绑进行认证,通过则可以访问服务器,否则访问服务器的行为将被阻断。阻断行为应由本地客户端实现,没有单点失效风险,无需在服务器端安装任何程序,对服务器没有任何影响 |
|
★受保护服务器资源操作审计:根据服务器的不同,记录不同的操作日志。ftp支持上传/下载并生成日志;数据库可控制插入/删除/更新/建立表/删除表等操作并生成日志 |
需提供截图证明 |
桌面
安全 |
外设端口控制:外部设备管理从计算机的光驱、软驱、串口、并口、USB接口、调制解调器、红外端口、PCMCIA、1394端口、单独USB鼠标键盘、单独USB存储设备等所有相关物理端口,包括计算机的无线上网卡(如CDMA卡等)统一禁用等多种安全控制 |
|
★软件分发:通过策略统一分发文件至客户端,支持软件安装,文件传输,程序执行三种方式,并可选择安装范围,支持的操作系统,设置静默安装参数 |
需提供截图证明 |
★打印操作控制:包括本地打印机、网络打印机和虚拟打印机。控制策略包括禁止使用打印操作和允许使用打印操作。在允许打印操作的情况下,对打印文件进行日志记录,并对打印内容副本进行缓存 |
需提供截图证明 |
设备属性控制:对网络适配器属性和设备管理器进行控制,可以禁止用户任意修改网络配置和设备属性,防止用户随意修改IP等配置信息 |
|
文件访问日志及共享控制:控制主机间共享访问,对访问本地文件和访问其他主机共享文件的操作进行日志记录。记录的操作日志包括文件的新建、打开、删除、重命名以及修改等操作 |
|
软硬件资产审计:记录下终端的所有硬件安装信息和软件安装信息,并进行日志记录。记录的硬件类型包括:键盘、鼠标、主板、操作系统、CPU、内存、硬盘、网卡、声卡等。检测终端发生变动的硬件信息,并且提供对照信息 |
|
进程控制及运行日志:支持名称控制黑/白名单、签名控制黑/白名单,并记录进程的使用情况,包括MD5校验和进程是否允许执行等 |
|
网络
分域
(外联控制) |
★网络分域管理控制:将网络中的计算机按照管理需求划分成多个虚拟安全域,实现内部网络的分域分级管理。同一个安全域内的计算机可以相互访问,非同一个安全域的计算机则不能相互访问,只有在获得管理员授权的情况下才能建立信任关系,实现网络连接。在保障网络统一维护的前提下,通过虚拟安全域的划分,降低网络病毒爆发及网络风暴发生的几率 |
需提供截图证明 |
网络数据传输控制:根据管理规则进行网络数据传输的控制,可实施网络传输加密控制,实现网内计算机端到端之间信道加密,从而有效防止内网用户的恶意侦听行为,杜绝恶意抓包分析数据库的访问密码等问题 |
|
★专网内机器外联阻断控制:安全域内的机器一旦脱离医院内部专网,自动从驱动底层阻断其非法外联行为,确保医院内网机器只能在内部专网使用,并对外联行为记录日志 |
需提供截图证明 |
★非法内联管理:未经授权的主机无法随意与安全域内的机器进行通信,包括底层Ping包;未经许可的计算机即使通过对等网线或者通过HUB与安全域内的机器直连,也会被近似物理隔离方式,隔离在安全域之外。防止非法主机与医院的机器通过对等网线对联拷贝数据,杜绝病毒传播和恶意破坏的风险 |
需提供截图证明 |
★安全域划分:可设置公共域、安全域两种模式,并支持多安全域划分;支持将公共服务器、公共交换机等设备设置为公共区域,保证各安全区域可访问公共区域的资源,并可对未加入域的机器实现通信阻截 |
需提供截图证明 |
|
|
|
|
|