******医院关于云资源池项目的采购市场调研公示
我院拟云资源池项目,现向社会征集方案。方案报名时间:2024年3月11日(周一)至2024年3月18日(周一)截止。
一、采购内容
| 项目 | 云产品及规格 | 数量 |
| 云服务器 | 服务器 | cpu:intel xeon gold 5218 | 内存 576g | 1 |
| 云存储 | 存储 | 容量型10t | 1 |
| 性能优化型8t | 1 |
| 高性能型2t | 2 |
| 云专线 | 共享带宽 | 200m,带10个ip | 1 |
| 云专线 | 200m | 1 |
| 三级等保服务 | 云下一代防火墙 | 提供互联网边界和内网vpc边界的流量管理与安全防护,提供安全访问控制、入侵防御、病毒防御、僵尸网络防御等能力,防护业务带宽200m | 1 |
| 增强漏洞扫描 | 对1个web站点进行扫描 | 1 |
| 云堡垒机 | 20资产数|弹性带宽4m | 1 |
| 日志审计 | cpu:8核;内存:32gb;系统盘|高性能型:50gb;数据盘|容量型:4t;数据盘日志源数量10;公网带宽4m | 1 |
| 态势感知 | 根据云主机数量授权 | 5 |
| 云安全中心 | 根据云主机数量授权 | 5 |
| web全栈防护 | 防护带宽200m,支持一级域名下10个域名防护 | 1 |
| 网页防篡改 | 1个防篡改授权数,为1个web网站提供防护 | 1 |
二、主要技术参数及要求
1.弹性计算服务
专属宿主机服务,提供专属计算资源,可按需创建各种规格云主机,需求1台专属宿主机。其功能要求至少包含以下:
| 序号 | 功能要求 |
| 1 | 可按需创建各种规格云主机,与其他租户云主机物理隔离 |
| 2 | ▲cpu可用核数不低于44核,可用内存不少于576g。 |
| 3 | ▲资源池要求部署在广东省内。 |
| 4 | 支持自主设置超分比,最大超分比不低于4。 |
| 5 | 单台宿主机最大可承载云主机数量不少于为100 |
| 6 | 支持宿主机资源管理、云主机管理以及高可用等能力 |
2.数据存储服务
数据存储服务可挂载在云主机、裸金属服务器,提供低时延、高可靠、大容量的存储能力。需求10t普通型存储空间,最大iops不少于2000,最大吞吐量不少于150mb/s;需求高性能型8t存储空间,最大iops不少于5000,最大吞吐量不少于180mb/s;需求2块2t ssd型存储空间最大iops不少于20000,最大吞吐量不少于300mb/s。其功能要求至少包含以下:
| 序号 | 功能要求 |
| 1 | 块存储服务至少5种规格,可提供数千到上百万iops的存储服务,满足不同场景的业务需求。 |
| 2 | 支持为云硬盘资源绑定标签,方便分类和统一管理。 |
| 3 | 提供加密功能,可以对新创建的云硬盘进行加密。 |
| 4 | ▲支持在删除云硬盘时选择放入回收站中保存,以防止误操作导致的数据丢失。保留云盘时长至少7天。 |
| 5 | 支持开启云硬盘备份功能,保护核心数据不丢失。 |
| 6 | 支持对备份链的详情查询和删除功能,并对备份列表中的备份进行删除或使用该备份进行恢复云硬盘的功能。 |
| 7 | ▲支持创建、删除、查看、回滚等快照功能,从而保存指定时刻的数据。 |
| 8 | 支持创建、删除、编辑和关联快照/备份策略,可以自定义快照/备份策略,更灵活更便捷的完成数据的备份操作,提升客户数据的容灾能力。 |
| 9 | 数据存储保证三副本冗余技术,保证客户高可靠性,可靠性达到9个9。 |
| 10 | 采用去中心化分布式存储架构,提供高可用的监控模式,防止单点故障。 |
| 11 | 当出现硬盘故障导致的数据重分布时,系统能实现自动均衡,恢复数据的高可靠,无需人工干预。 |
3.网络服务
1)共享带宽
共享带宽可以让多个公网ip共同使用一条带宽,让绑定公网ip的云主机、物理机、负载均衡、云数据库等访问公网,提升带宽利用率。其功能要求至少包含以下:
| 序号 | 功能要求 |
| 1 | 开通至少200m共享带宽。 |
| 2 | 最大可开通共享带宽至少10g 。 |
| 3 | 支持选择按时、包月、包年等计费方式。 |
| 4 | 支持在不同的计费方式之间变更。 |
| 5 | 支持变更共享带宽的带宽值。 |
| 6 | ★支持在共享带宽内直接新建ip资源。 |
| 7 | 将已有ip添加进共享带宽,复用共享带宽中的带宽,节省公网带宽成本。 |
| 8 | ★支持直接在共享带宽内删除公网ip。 |
| 9 | 添加弹性公网ip到共享带宽实例后,将弹性公网ip绑定到云资源上,复用共享带宽中的带宽。 |
| 10 | 支持监控共享带宽资源公网带宽流入、流出速率。 |
2)云专线
******医院和云服务,提供高速、安全、稳定的专有通信链路。其功能要求至少包含以下:
| 序号 | 功能描述 |
| 1 | 开通至少200m ptn云专线 |
| 2 | 端到端私网通信,与公网隔离 |
| 3 | 端到端不丢包情况下的网络转发数据所用时间,包括传输时延和传输节点处理时延。跨省、跨市时延:1ms/百公里(单向时延);本地网内≤10ms |
| 4 | 支持在线订购和开通云专线业务 |
| 5 | 支持在线发起带宽变更 |
| 6 | 支持在线发起用户子网变更 |
| 7 | 支持在线发起vpc子网变更 |
| 8 | 支持在线发起vpc变更 |
| 9 | 支持在线发起用户接入地址变更 |
| 10 | 支持在线发起业务退订 |
4.安全服务
按照等保2.0的相关要求,配备运下一代防火墙、漏洞扫描、堡垒机、日志审计、态势感知、云安全中心、web应用防护以及网页防篡改等服务,对信息系统进行安全保护。
1)云下一代防火墙服务
部署至少200m防护带宽的云下一代防火墙服务,管理与防护网络边界的流量,具备安全访问控制、入侵防御、病毒防御、僵尸网络防御等能力,其功能要求至少包含以下:
| 序号 | 功能要求 |
| 1 | 采用虚拟主机部署 |
| 2 | 支持链路状态检测、dns代理功能,支持基于多种协议对链路可用性进行探测,探测协议至少包括dns解析、arp探测和ping方式。 |
| 3 | 支持ddos防护、url分类过滤、文件过滤、加密流量安全防护等 |
| 4 | 支持对多重压缩文件的病毒检测能力,支持不小于12层压缩文件病毒检测与处置。 |
| 5 | ▲支持勒索病毒检测与防御功能 |
| 6 | ▲支持未知威胁检测能力,支持僵尸主机检测功能,产品预定义特征库超过110万种,可识别主机的异常外联行为。 |
| 7 | 支持用户账号全生命周期保护功能,包括用户账号多余入口检测、用户账号弱口令检测、用户账号暴力破解检测、失陷账号检测,防止因账号被暴力破解导致的非法提权情况发生。 |
| 8 | 支持文件目录防护功能,通过对用户账号进行认证,对网站内容的修改行为进行合法性控制。 |
| 9 | 支持与态势感知平台联动 |
| 10 | 支持安全策略有效性分析、策略生命周期管理功能,分析内容至少包括策略冗余分析、策略匹配分析、风险端口风险等内容,提供安全策略优化建议。 |
| 11 | 支持web管理、串口管理、ssh管理、安全日志管理、账号权限管理等 |
2)漏洞扫描服务
漏洞扫描服务可扫描任意通过所有权认证的公网ip资产,可根据检测结果形成安全风险报告,及时进行漏洞修补,其功能要求至少包含以下:
| 序号 | 功能要求 |
| 1 | 支持新建扫描任务、编辑扫描任务、删除扫描任务以及查看扫描任务列表功能 |
| 2 | 支持对扫描完成的任务进行重新扫描的操作,立即执行一次扫描任务。 |
| 3 | web漏洞扫描支持对多种web应用漏洞的检查,包括认证漏洞、授权漏洞、客户端攻击漏洞、命令执行漏洞、信息泄露漏洞等 |
| 4 | 系统漏洞扫描支持漏洞检查数量达到15000+,漏洞库兼容cve、bugtrag、cvss、cnvd、cnnvd、cncve编号等。 |
| 5 | ▲支持以smb方式登录windows进行本地扫描、支持以ssh方式登录linux进行本地扫描。支持rdp,smb,ssh,telnet的扫描方式对目标主机全方位配置核查进行扫描。 |
| 6 | 支持查看扫描报告,报告详情页包含扫描站点结果统计信息和漏洞详细信息,可根据报表生成日期查看具体报告详情。 |
| 7 | ▲支持对比两个扫描报告,报告对比页包含扫描结果对比信息和漏洞详情对比信息。扫描结果对比包括已修复漏洞、未修复漏洞和新增漏洞对比;漏洞详情对比包括漏洞名称、风险等级、状态、漏洞证明等。 |
| 8 | 支持显示漏洞详情,包括漏洞的发现日期、评分、漏洞编号、漏洞描述和修复方法。 |
| 9 | web扫描支持对要扫描的目标网站进行所有权验证,系统扫描支持python脚本认证、ssh公钥认证(不支持windows操作系统)、用户名密码认证三种验证方法: |
3)堡垒机服务
云堡垒机服务为运维人员提供云资源安全管理平台更加精细的管理云上资产,保障云端运维身份可鉴别、权限可管控、风险可阻断、操作可审计,建立完善的运维管理与内控体系,建立安全、高效、可控的运维管理机制。需求至少20个资产数的堡垒机服务。其功能要求至少包含以下:
| 序号 | 功能需求 |
| 1 | 支持多因子认证,方式包括手机令牌、谷歌认证、freeotp、手机短信、动态令牌、usbkey等多因子认证方式。 |
| 2 | ▲支持不同的用户配置不同的多因子认证方式,例如user01配置手机令牌、usb key,user02配置手机短信。 |
| 3 | ▲支持微信小程序动态口令认证方式登录堡垒机,且当用户需要使用手机令牌登录时,需要强制绑定手机令牌。 |
| 4 | 支持同时以用户、用户组、账户、账户组为核心要素,来设置多对多的资源访问授权,用户组和账户组内的新增成员可自动继承授权关系。 |
| 5 | ▲针对核心设备,除可以配置双人授权外,也可以通过动态令牌进行授权,运维员需要拿到动态令牌才可以对资源进行运维。 |
| 6 | 支持以账户、账户组、时间、改密周期、改密方式生成详细的改密计划,到期自动执行。 |
| 7 | ▲不限操作系统类型,无需安装任何客户端插件,使用浏览器通过h5方式即可直接运维ssh、rdp、telnet、vnc和应用发布资源。 |
| 8 | 可设置用户申请工单时,可以查看的待选资源的范围,支持设置为全部、本部门及下级部门、本部门;同时,可设置高级模式,指定某类角色或某个部门的人员可以申请指定部门的资源。 |
| 9 | 支持文件管理、rdp剪切板、剪切板审计、水印现实、上传、下载权限申请。 |
| 10 | 支持通过工单申请设置为动态授权的命令执行权限。 |
| 11 | 支持工单多人审批、多级审批。 |
| 12 | 支持对实时会话进行无延时的实时监控和切断。 |
| 13 | ▲通过系统公告对所有用户发送消息通知。 |
| 14 | ▲支持在线升级,系统支持自动检查并下载最新版本升级包,用户可手动一键升级。 |
| 15 | 支持修改系统自身对外提供服务的默认端口。 |
4)日志审计服务
日志审计服务可实现对日志的统一采集、存储、管理、和分析,高效统一管理资产日志,为安全事件的事后取证提供依据,提供至少10个日志源审计服务,4t日志存储空间。其功能要求至少包含以下:
| 序号 | 功能要求 |
| 1 | 支持网闸、nat场景的日志采集。 |
| 2 | 系统支持的数据采集范围包括但不限于网络安全设备、交换设备、路由设备、操作系统、应用系统等。 |
| 3 | 支持国内外主流设备厂家、云平台、数据库等。 |
| 4 | ▲支持日志源监控能力,包括采集器维度及资产维度的监控,资产维度支持展示资产详细信息。 |
| 5 | 支持全文检索、模糊检索、正则检索等多种方式进行查询。 |
| 6 | 支持基于事件分类的告警规则,支持短信、声音、邮件、界面提示等多种告警方式。 |
| 7 | 支持多源事件关联分析能力,包括单源过滤模式、多源时序模式和多源关联模式。 |
| 8 | 支持手工注册资产,支持对资产进行修改/删除、批量导入/导出/添加/修改/删除等多种方式的管理。 |
| 9 | 支持资产标签,且至少6种标签以上,根据标签可快速查询资产。 |
| 10 | ▲支持资产以拓扑图形式展示,鼠标移动至资产图标可展示对应的资产信息。 |
| 11 | 支持多种维度统计日志信息,导出统计分析报表与多种文件格式。 |
| 12 | ▲支持自定义报表目录、logo等。 |
5)态势感知服务
态势感知服务,通过采集和分析采集到的安全数据,实现威胁检测、响应、溯源等自动化安全运营能力。其功能要求至少包含以下:
| 序号 | 功能要求 |
| 1 | 支持以仪表盘的形式,展示系统当前的风险等级、风险值,以颜色区分风险等级,帮助用户直观了解系统的安全状况。 |
| 2 | 支持查看风险资产排名、威胁信息视图、攻击信息视图、统计分析信息等。 |
| 3 | 支持资产列表展示资产的基本信息,至少应包括:资产名称、资产ip、操作系统、授权状态、安全状态。 |
| 4 | ▲支持查看资产详细信息,包括资产基本信息(资产名称、弹性公网ip、私有ip、安全状况)、资产指纹(运行进程、账号、端口、软件)、安全详情(告警、漏洞、被攻击情况)。 |
| 5 | 支持告警列表展示所有安全服务的告警信息,至少包括:告警类型、源ip、危险等级、受影响资产、发生时间、处理状态、相关操作等。 |
| 6 | ▲支持查看告警详情包括:告警基本信息、告警溯源信息、告警排查方案、查看原始日志、受害者攻击链分析,还原目标资产的被攻击过程。 |
| 7 | 支持自定义条件查询告警功能,应至少支持如下过滤条件:告警等级、告警类型、发生时间、受影响资产等。 |
| 8 | ▲支持展示系统漏洞、web应用漏洞的基本信息,包括:漏洞名称、受影响资产、漏洞等级、处理状态、相关操作等。 |
| 9 | 支持漏洞详情的查看,展示信息应包括:基本信息、漏洞简介、修复建议等。 |
| 10 | 支持提供大屏界面和情报分析能力,帮助用户对安全威胁进行实时感知。 |
| 11 | 支持实时告警的设置、日报/周报设置、主机资产授权。 |
| 12 | 支持安全设备日志数据、主机日志数据、租户资产数据、租户订购类数据的采集能力。 |
6)云安全中心服务
云安全中心服务实现实时安全威胁检测与响应功能,提供防勒索、漏洞检测、防病毒、防暴力破解、合规基线检查、云平台配置检测等多种安全检测能力。需求5个云安全中心授权,。其功能要求至少包含以下:
| 序号 | 功能要求 |
| 1 | 支持等保合规检查,支持手动下发检查指令,定时任务执行,提供等保2级以及3级的基线模板。 |
| 2 | 支持linux软件漏洞,windows系统漏洞、linux系统补丁,针对突然出现的紧急漏洞进行检测并提供命令级修复建议。 |
| 3 | 支持创建基线检查任务,对主机进行安全合规配置检查,对未符合标准的检测项进行告警,支持提供命令级修复建议,支持导出基线检查结果。支持检测账号安全,包括检测密码策略合规、系统及应用弱口令等。 |
| 4 | 支持检测网络访问控制、数据安全、日志审计、身份认证及权限类型配置是否存在安全隐患,检测结果包括风险描述,验证信息,修复建议。 |
| 5 | 支持实时监控病毒文件落地及进程启动的行为,及时发现并检测病毒,避免通过扫描的方式增加系统负载。支持对病毒进行进程阻断、文件隔离和文件删除等操作,支持将非病毒文件加入白名单。支持自定义配置自动处理策略,病毒文件可被自动隔离。 |
| 6 | 支持查杀病毒包括如下类型:
勒索病毒:wanacry、cryptolocker等加密文件型勒索软件。
恶意攻击:对外ddos攻击木马、对外恶意扫描木马、垃圾邮件发送木马等。
挖矿软件:占用服务器非法挖掘虚拟货币的资源消耗型软件。
肉鸡程序:中控木马、恶意中控连接、黑客工具等。
其他病毒:蠕虫病毒、mirai病毒、感染型病毒等。 |
| 7 | 支持资产指纹调查,可收集和呈现端口监听信息与进程信息,可收集账号及对应权限信息,清点特权账号,检测提权行为 |
| 8 | 支持对安全报告进行配置,定义导出的报表类型和时间。 |
| 9 | 支持查看风险评分、风险总览、最新漏洞情报、实时入侵事件告警、高风险主机top5、入侵事件分布等多种数据大屏,并支持组件自定义。 |
| 10 | 支持对云安全中心的病毒查杀、网站后门查杀、容器威胁检测、安全管控、访问控制和agent防护模式进行配置。 |
| 11 | 支持木马查杀功能 |
| 12 | 动态蜜罐支持发现时间、目标主机、源主机、扫描端口等信息进行细粒度展示 |
| 13 | 支持对正在运行的进程和动态库扫描,清除内存中运行的病毒、病毒进程或注入其他进程的病毒及dll病毒,并能主动清除其关联的病毒文件。 |
| 14 | 主机安全监控系统对现有服务器业务、安全情况等不会产生任何影响 |
7)web应用防护服务
web应用防护服务提供web层防护功能,可识别并拦截恶意流量,对流量清洗和过滤,将正常、安全的流量回源到服务器,从而保障业务安全,避免网站服务器被恶意入侵,保障业务的核心数据安全。需求防护带宽至少200m,至少支持一级域名下10个域名防护。其功能要求至少包含以下:
| 序号 | 功能要求 |
| 1 | 最大120gbps应用层流量防护带宽,最大支持每秒1500万新建连接,最大支持每秒6亿次并发连接,最大支持每秒72万ssl新建连接,最大支持每秒6000万ssl并发连接。 |
| 2 | 支持可编程脚本可针对用户特殊应用下发脚本,实现0day防御。 |
| 3 | 支持浏览器端安全防御功能,支持在不改变源代码情况下,对可维护参数的动态加密和混淆功能。 |
| 4 | 支持向浏览器端下发java脚本验证终端属性,确认攻击源,复杂解析语句的验证数据包,客户端键盘输入和鼠标像素点移动,验证码挑战。 |
| 5 | 支持开启防敏感信息泄露功能。 |
| 6 | 基于业务流量模型自动化设定七层ddos安全防护策略,自动触发防护机制 |
| 7 | 支持针对api攻击的防护,支持oauth/jwt/oidc等认证 |
| 8 | ▲支持自动学习访问方式限定,限定api接口的访问方法(例如只允许get,post ,不允许其他访问方法),阻断非正常的访问方式,可降低api本身漏洞被利用的概率。 |
| 9 | 支持扫描阻断,阻断攻击者对api网关漏洞的扫描,提高api网关的安全性,降低应用服务的暴露面。 |
| 10 | 支持ip地址信誉库防护,支持联动第三方威胁情报库,实时更新ip信誉库,防御低频的ddos攻击。恶意地址库分类包括但不限于:匿名代理,恶意代理,spam,钓鱼网络,僵尸网络等。 |
| 11 | 支持新建api接口防护策略灵活调用,可通过api应用分类,制定不同的防御策略模板,防御模板可灵活的与api接口进行快速调用,实现应用的快速、灰度发布,敏捷发版与回收。 |
| 12 | ▲bot防护支持自动化频率检测、通过动态js检测、设备指纹识别检测等方式拦截攻击。 |
| 13 | ▲支持资产测绘和威胁检测;支持指纹识别;支持web漏洞扫描及服务器扫描;支持poc漏洞验证。 |
8)网页防篡改服务
网页防篡改服务对web目录文件非法操作实时监控,防止黑客、病毒等对网页进行非法篡改和破坏,同时可有效应对sql注入、xss攻击、网站盗链等web攻击,对恶意请求及时拦截。其功能要求至少包含以下:
| 序号 | 功能要求 |
| 1 | 支持查看和管理网页防篡改授权信息、最近24小时篡改趋势和攻击趋势。 |
| 2 | 支持查看最新告警信息,展示最新5条告警信息。 |
| 3 | 支持对配额进行统一管理,能够查看配额信息。 |
| 4 | 支持管理当前防护资产,能够查看资产信息,开启/关闭防护状态,删除资产,查看资产性能,搜索资产。支持根据资产名、ip地址的关键字搜索。 |
| 5 | 支持添加防护资产,同步已有资产,能够提供不同操作系统agent安装步骤或命令。 |
| 6 | 支持查看资产性能,能够查看cpu、内存、网络io、磁盘使用、进程的使用情况。 |
| 7 | 支持新建防护规则,能够配置保护目录不被篡改,绑定资产。 |
| 8 | 支持新建防护策略、支持编辑防护策略和管理当前防护策略等。 |
| 9 | 支持开启关闭cc攻击防护功能。 |
| 10 | 支持配置进程白名单,允许指定进程修改防护目录。 |
| 11 | 支持管理防护日志、查询日志和到处日志。 |
| 12 | 支持新建告警策略和告警展示,支持对篡改风险、web攻击生成告警。 |
二、资料清单:
需提交材料:项目方案及报价、公司资质材料、同类型合同、联系人、联系方式(均需加盖公章、邮件命名为项目名称+公司名称)。
报名联系方式:
联系人:刘晨晖邮箱地址:
******咨询电话:
************医院
2024年3月11日
