全民健康保障信息化工程一期项目

全民健康保障信息化工程一期项目第五批软硬件采购采购需求第一部分 商务需求序号内容说明和要求1投标人资质云厂商具备公安部颁发的计算机信息系统安全专用产品销售许可证2投标产品资质云计算平台须有公安部颁发的信息系统安全等级保护三级资质；3核心产品虚拟主机、机房租赁4是否允许联合体投标否5是否允许进口产品投标否6节能环保要求无7信息安全要求无8是否需要现场踏勘是，集合时间：2018年XX月XX日上午9:00；集合地点：北京市西城区北礼士路甲38号，联系人：周光华，联系电话：010-，届时请每家潜在投标人可安排不超过2人出席，并须携带本人身份证原件及加盖投标单位公章的介绍信（证明函）9是否收取履约保证金是，中标供应商在合同签订前，向甲方提供相当于合同总价10%的履约保函（不超过中标金额的10%），甲方将在终验完毕后返还乙方履约保函10采购人信息单位名称：国家卫生计生委统计信息中心，单位地址：北京市西城区北礼士路甲38号，联系人姓名：周光华，联系电话：010-，电子邮箱：11预算金额，最高限价预算金额：人民币 449 万元，最高限价：人民币 449 万元12项目履约时间合同签订后90天内，到货并完成安装调试，具备验收条件13项目履约地点北京市西城区北礼士路甲38号14付款方式序号付款节点付款条件付款比例（或金额）备注1首付款签订合同15日内。付款至总合同金额70%2尾款测试期后15日内付款至总合同金额100%第二部分 技术和服务需求一、 项目概述不作为打分项，供投标人投标参考。序号内容说明1项目背景开展全民健康保障信息化工程一期项目，建设国家全民健康信息平台支撑国家本级各业务应用系统的建设与运行，打破信息孤岛，实现“1+6”的全民健康保障信息化工程总体建设思路，实现共用资源和服务的集约化建设。2执行依据国家卫生计生委转发国家发展改革委关于全民健康保障信息化工程一期项目初步设计方案和投资概算批复的通知（国卫规划函201782号）3项目目标着重以全员人口信息、城乡居民电子健康档案和中西医电子病历为核心，实现公共卫生、医疗服务、医疗保障（新农合）、药品供应保障、计划生育、综合管理六大类业务应用的互联共享和业务协同，从而提升相关部门的信息共享和业务协同能力；支持各级医院上下联动、医保医药医疗业务协同；提高重大疾病防控能力、妇幼健康服务管理能力、综合监督和公众健康保障能力；提高突发公共卫生事件协作应对能力；提高远程医疗服务和基层医疗卫生服务能力；提升人口总量、素质、结构、动态分布、婚育状况、出生情况、家庭发展能力等动态监测、分析评价和科学预测能力；提升卫生计生事业行政监督管理能力和科学决策水平。4项目内容依托国家电子政务外网和全国统一的数据共享交换平台，实现卫生计生委与试点省（区市）、卫生计生委预算管理医院，以及4个共建部门之间的互联和信息共享，建成综合管理、公共卫生管理、医疗健康公共服务、基本药物制度运行监测评价、卫生服务质量与绩效评价、全员人口统筹管理等业务应用系统，逐步形成以城乡居民电子健康档案和中西医电子病历为重点，支撑跨层级跨机构跨部门的信息共享、上下联动、医保医药医疗协同管理的医疗健康信息服务体系。项目建成后，有效提高突发公共卫生事件协作应对能力、重大疾病防控能力、医疗卫生监督管理和公众健康保障能力。5项目范围全民健康保障信息化工程一期项目涉及国家卫生和计划生育委员会21个司局及相关直属联系单位。联接试点省级平台、委属管医院，与国家人力资源和社会保障部、国家食品药品监督管理总局等相关部委实现数据交换和信息共享。6需求分析与全民健康保障信息化工程一期项目招标的其他软硬件包和集成包配合，搭建完成国家全民健康信息平台，主要是与国家全民健康数据中心现有环境相结合，为全民健康保障信息化工程一期项目提供公有云服务、机柜租赁等服务。按照总集成商(已由招标人另行确定)的统一安排，负责本项目相关内容的具体实施和集成配合等工作。7与前期项目的关系公有云具有较好的适应性、兼容性。详见产品清单及指标要求。二、 技术指标要求（1）采购产品一览表序号货物名称是否为核心产品单位数量产地1云平台基本要求否套1国产2虚拟主机(计算部分ECU）是1vCPU 2G604国产3文件存储否TB43国产4对象存储否TB2国产5公网带宽否Mbps200国产6公网IP否个16国产7域名否个11国产8云防火墙否套1国产9云负载均衡服务否套1国产10漏洞扫描否套1国产11入侵检测否套1国产12内容安全否套1国产13DDOS安全防护否套1国产14Web应用防火墙否套1国产15堡垒机否套1国产16数据库审计否套1国产17态势感知否套1国产18访问控制RAM否套1国产19云监控否个150国产20机柜租赁否个10国产（2）产品清单及指标要求1.指标按重要性分为“”、“” 、“#”和一般无标示指标。代表实质性指标，不满足该指标项将导致投标被拒绝， 代表关键指标项（该类指标项可列一个或多个指标，每个指标必须可量化并给出排序规则如越大越好、越小越好等，和服务要求一并最多不超过10个关键指标），#代表重要指标，无标识则表示一般指标项。2.“证明材料要求”项可填“是”和“否”。填“是”的，投标人须提供包含相关指标项的证明材料，证明材料可以使用生产厂家官方网站截图或产品白皮书或第三方机构检验报告或其他相关证明材料。未提供有效证明材料或证明材料中内容与所填报指标不一致的，该指标按不满足处理。云平台基本要求所有第三方云服务应由统一的成熟云平台统一管理，云平台应满足以下指标要求:序号重要性指标项规格要求证明材料要求1#服务类型同时提供基于虚机托管的基础架构即服务（IaaS）与应用托管的平台即服务（PaaS），软件即服务（SaaS）2#异地容灾异地机房数据中心间有专线数据同步，具有异地容灾能力，提供高可靠高可用服务。云服务商必须获得国家相关主管部门合法的运营资质是3#基本要求云计算平台须有可信云服务认证云主机服务可信云认证块存储服务可信云认证对象存储服务可信云认证云数据库服务可信云认证云分发可信云认证本地负载均衡可信云认证ITSS云计算服务能力（二级/公共云）是4#开放性提供API接口及说明文档，对主机、存储、网络、负载均衡器、防火墙、等功能提供 API 级别的支持；API与其它主流云计算平台兼容,或具备适配能力5技术支持提供免费技术支持服务，免费版本升级和专业的24x7x365售后服务专线支持等。提供丰富的在线文档和社区资源6#管理和监控提供管理和监控统一平台；提供基于Web的用户自助服务门户；支持对虚拟资源指定监控告警策略，告警策略中可以指定联系人，支持邮件&短信告知；具备业务监控产品，通过日志、数据等方式导入业务监控产品，监控整体业务情况；主账户可以创建多个子账户，每个子账户可自主管理和部署名下的资源；子账户之间资源相互隔离，同时所有子账户共享主账户的余额和配额；提供云上安全整体信息和监控控制台；实时监控云主机和存储的CPU、MEM、I/O、网卡速率等的状态，并在资源异常时发出告警；可增加自定义监控项，比如监控应用程序的进程等7#成熟度提供云计算平台正式对外商用运营的时间；高可用和灾备：单资源可用性不低于99.95%,支持同城双活，提供方案支持更高的可用性，提供方案支持监管要求的两地三中心的部署要求；云平台本身的运营维护、安全升级和系统升级（如：当硬件或基础操作系统需要进行硬件维护、安全补丁的过程中）对云服务器和云数据库的可用性无影响；提供高可用和灾备的解决方案，并帮助进行这些解决方案在流程、应用架构和基础架构的落地咨询；为互联网安全访问（如客户信息安全、传输安全）等提供解决方案；虚拟主机序号重要性指标项规格要求证明材料要求1租赁年限提供的虚拟主机应至少满足3年使用需求，越长越好2数量要求提供的虚拟主机数量应相当或优于如下要求：第一年：1vCPU 2G内存虚拟主机100个；第二年：1vCPU 2G内存虚拟主机200个；第三年：1vCPU 2G内存虚拟主机304个；可以根据需求灵活配置4C/8G ,8C/16G等规格的云主机；3#服务能力单个云主机最高可以支持32个Vcpu、128GB内存、300Mbps公网带宽带宽、内网最高10000Mbps，单个实例最多挂载16块数据盘，每块云盘数据盘容量可达32TB，单盘最高支持2万IOPS。支持容器服务，提供用户私有容器镜像仓库，并提供管理控制台服务；支持GPU浮点运算。4操作系统云主机提供主流的WINDOWS、LINUX等操作系统，且均具备正版授权,授权费用须包含在本次投标报价中；提供操作系统和数据库等软件的在线升级和版本切换服务，以及包括Linux在内的操作系统级别的技术支持，以上服务均无需付费。5#管理功能提供用户自服务门户和API接口，用户可自行创建不同规格的云主机，自定义CPU、内存、网络、磁盘等属性；提供云主机的动态升级、快照备份、性能监测分析、异常告警、日志管理等功能；提供快照和自定义镜像能力，支持对运行或停止状态的云主机生成快照，应提供分钟级别快照回滚功能；支持虚拟机在用户数据中心和公有云平台之间的迁移，不绑定云平台，并提供官方迁移工具6资源隔离对不同用户的云主机提供虚拟防火墙进行网络策略控制，具备状态检测包过滤功能7弹性网络支持虚拟路由、虚拟交换机和弹性IP，用户可自定义云主机的网络拓扑和IP地址8#镜像快照创建云主机时，可指定用户预先配置好的镜像文件作为模板。云主机支持增量快照备份功能，提高备份效率，减小备份占用空间9#数据存储云主机底层采用分布式文件系统，每个云主机的镜像存储具备三副本可靠性； 10#高可用性云主机底层采用分布式文件系统，每个云主机的镜像存储具备三副本可靠性。对于单台ECS实例， 单个实例的服务可用性不低于99.95%；对于单地域多可用区，该单地域多可用区的服务整体可用性不低于99.99%。11扩展性支持计算能力的垂直伸缩，支持对CPU和内存的升级与降级操作，支持增加、减少磁盘和带宽；支持计算能力的水平伸缩，可以通过API和控制台创建、销毁云主机实例，通过与负载均衡配合实现水平伸缩；采用计算单元与存储单元一体化设计，支持在线平滑升级，计算能力、存储容量和总IO带宽同步线性扩容；可根据计划时间和虚机CPU指标等进行自动缩放控制存储服务文件存储序号重要性指标项规格要求证明材料要求1租赁年限提供的存储服务应至少满足三年使用需求，越长越好2数量要求提供的容量应相当或优于如下要求：第一年：8T SSD 固态硬盘；第二年：15T SSD 固态硬盘；第三年：20T SSD 固态硬盘；3#存储类型提供SSD类型块存储，提供云盘、共享云盘、本地盘。4存储空间文件存储和对象存储可以提供的存储总量不少于45T5#块存储性能每块云盘数据盘容量可达32TB，最高单盘2万IOPS，350MBps吞吐性能，最高支持14TB本地SSD存储，最多支持150TB本地HDD存储。6安全性支持磁盘加密功能，通过云上托管的密钥管理服务，实现业务无感知的加密解密服务7#共享块存储提供共享块存储能力，全系列的云主机实例均可以挂载与共享访问，支持Oracle RAC，SQL Server故障转移集群功能。8#可靠性底层采用分布式文件系统，可将数据文件分别保存在不同交换机、机架的服务器上，数据存储达到三副本可靠性，数据可靠性不低于99.9999%对象存储序号重要性指标项规格要求证明材料要求1存储类型提供块存储、文件存储或对象存储等多种常用存储类型2存储空间文件存储和对象存储可以提供的存储总量不少于45T3服务能力根据实际需求，存储容量可无限扩展；单个文件最大可支持48TB4基本功能对象存储提供RESTful API接口，支持http和https协议访问；提供用户自服务门户和API接口，用户可自行完成数据的上传下载和管理；支持大文件的分片并发上传和下载，支持断点续传；提供可调颗粒度的监控，收集存储服务的入口/出口、可用性、延迟及成功百分比等数据的度量值5安全性提供日志记录功能，可以查询读、写和删除存储数据的请求，方便追查访问来源以及进行多维度的统计分析；具备完善的多用户隔离机制，保障用户数据的私密性6#可靠性底层采用分布式文件系统，可将数据文件分别保存在不同交换机、机架的服务器上，数据存储达到三副本可靠性；7基于角色访问控具备完善的多用户隔离机制，保障用户数据的私密性8访问令牌支持访问令牌，应用通过令牌做认证秘钥9精简校验对象存储服务支持纠删码（Erasure Coding）技术，可实现数据精简校验10#高可用性采用全冗余架构，无单点故障；服务可用性不低于99.95%11#扩展性对象存储服务采用计算单元与存储单元一体化设计，支持在线平滑升级，计算能力、存储容量和总IO带宽同步线性扩容。提供与平台无关的RESTful API接口，能够提供99.%的服务持久性。可以在任何应用、任何时间、任何地点存储和访问任意类型的数据。对象存储适合各种网站、开发企业及开发者使用；可以通过API/SDK接口或者专用迁移工具轻松地将海量数据移入或移出对象存储；对象存储可以配合CDN使用。网络租用公网带宽及专线租用序号重要性指标项规格要求证明材料要求2公网带宽提供的带宽应最少满足200Mbps，越大越好，并具可动态伸缩3专线租用提供两条主备（双芯收发共四芯）万兆裸光纤，从投标方机房到采购方指定地址（北京市西城区北礼士路甲38号）。公网IP序号重要性指标项规格要求证明材料要求1IP公网IP地址域名序号重要性指标项规格要求证明材料要求1#智能解析准确的识别访问IP所在地；基于不同地区/ISP做智能解析；实现业务就近接入；避免用户访问跨ISP。解析线路细分支持国内31省，海外可细分到大洲与国家；同时支持搜索引擎线路、谷歌、百度、必应、有道、雅虎2#性能单域名可最多支持每秒5000W/秒的DNS查询响应能力；A记录负载均衡50条，全局负载均衡，国内监控节点10个，监控任务数量20个，域名更换次数4次3解析功能解析设置秒级生效，支持自定义设置最小1秒TTL值4可靠性采用DNS集群技术，独享多线BGP机房集群，99.95%服务性保障5管理功能支持DNS请求量统计；支持DNS账号间授权管理；支持运维操作记录审计信息；SSL证书CAA记录检测，防止证书钓鱼攻击；操作日志实时查询，方便定期运维审计； 云安全服务云防火墙序号重要性指标项规格要求证明材料要求1#拓扑化支持基于拓扑化的形式，展示云环境中所有云服务器的各种信息、以及服务器之间的完整访问关系。支持分布式部署，且与云平台原生支持，无需额外安全插件。2角色管理支持针对云服务器进行角色定义，帮助管理员定位云服务器的用途和访问关系。3智能搜索支持通过可叠加的搜索条件和多样的规则动作，让管理员搜索到最感兴趣或最亟待处理的服务器和流量。4基于流量线条的策略定义支持流量可视化前提下，判断流量的合法性，轻松完成策略的下发。支持端口级访问控制策略，满足等级保护三级要求，实现云平台内部的南北流量、东西流量的访问控制策略。并确保当虚拟机迁移时，访问控制策略随其迁移。支持针对服务器的基本信息和服务器之间的访问关系能进行拓扑化呈现，并基于拓扑化的视图进行策略部署。5观察模式支持临时性并未真实下发策略的观察部署模式。6#一键全通支持为当前业务提供临时性的策略全部放行的机制，在特殊情况下为管理人员争取更多的排查时间。支持通过资产管理和角色管理，改变服务器的角色属性；可以新建立业务区，将服务器从临时区移动进来；支持将临时区一键保存为固定分区；7业务分区分组支持新建立固定分区，可命名、可调整环境属性（线上预发测试）；8角色管理支持点击业务区的“角色管理”，改变服务器的角色属性，也可以新增角色信息；支持添加管理资产支持在固定业务区，可以添加服务器，并移动服务器至其他业务区；支持关键信息高亮 可以通过点击服务器和线条，突出关键信息；支持显示信息筛选 可以通过勾选项，去掉相关信息；9策略审核支持基于线条，基于角色组，可以看见细节的五元组（连接），并下发策略（放行拒绝）；支持在不存在流量线条的情况下，可以返回资源列表，基于“策略管理”菜单进行策略定义；支持通过列表方式，可全局查看业务区、角色组、服务器之间的关系；9业务区发布支持在下发业务区时，采用临时观察、非正式执行的方式去下发，即观察模式，可以看见合法流量（绿）和非法流量（红）。支持选择单独的业务区发布；（具备流量关联性的业务区需同步发布）支持采用正式执行、对未放行的流量会产生实际的拦截效果，即拦截模式。支持选择单独的业务区发布；（具备流量关联性的业务区需同步发布）10#智能分组支持自动生成流量拓扑图，自动分区分组开通后，可自动分区，命名为临时区，临时区具有放大、资产管理、角色管理的功能；可自动分组（根据进程的相似度），有web、MySQL、Redis等角色组；云负载均衡服务序号重要性指标项规格要求证明材料要求1#服务能力支持面向Internet的负载均衡和非面向Internet的内部层级负载均衡机制；提供性能保障型实例，用户可按新建连接数和总连接数需求选择相应规格实例，单实例总体峰值可支持最大连接数100W，最大每秒新建链接数10万，最大每秒请求次数5万QPS；2#均衡策略支持加权轮询、加权最小连接数调度等多种流量分发策略；3#健康检查可以按照指定规则对配置的云主机进行健康检查，自动隔离异常状态云主机，迅速将服务切换，确保可用性；会话保持提供UDP/TCP/HTTP/HTTPS会话保持功能；IPV6支持IPV6，可分配IPV6公网地址管理功能提供用户自服务门户和 API 接口，用户可自行创建负载均衡实例，并对其进行配置；4#高可用性采用全冗余架构，无单点故障；SLB多可用区实例服务可用性不低于99.95%，单可用区实例可用性不低于99%；并具备跨可用区（机房）的容灾能力，用户可以在界面选择单实例双可用区配置； 5#安全性提供高安全性，并具备跨机房的容灾能力；提供防DDoS攻击能力；提供负载均衡和客户端的双向HTTPS连接能力6#扩展性支持在线平滑升级，承载能力和网络总带宽同步线性扩容；可与云主机配合提供三层架构系统的弹性扩展；云上负载均衡可以对接线下IDC的服务器，实现混合云的负载均衡能力漏洞扫描序号重要性指标项指标功能说明证明材料要求1弱口令检测支持FTP、SSH、RDP、SMB、SMTP、POP3、IMAP MYSQL、MSSQL、MongoDB、MemCache、Redis、Oracle、Subversion、LDAP、PPTP、VPN、HTTP基础登录、WebFrom登录表单检测2#Web注入漏洞支持SQL注入、命令注入、代码注入、SSRF网络注入、表达式注入、JAVA EL表达式注入命令执行、反序列化、XPATH注入等注入漏洞检测3文件包含漏洞支持文件包含（LFI/RFI）、任意文件读取、任意文件上传、XXE、任意文件删除检测4#逻辑漏洞支持JSONP数据劫持、身份认证安全、验证码限制被绕过、业务一致性安全、业务数据篡改、认证权限找回逻辑、业务授权(水平/垂直越权)安全、业务流程乱序、业务接口调用安全检测5前端漏洞支持XSS、CSRF、ClickJacking、Jsonp劫持、HTTP头注入CRLF、URL跳转检测6#错误配置支持WebServer配置失误、中间件配置失误、容器配置失误检测7#信息泄露支持配置文件、测试文件、目录遍历、备份文件、SVN、GIT、压缩包、临时文件、接口暴露、心脏滴血检测入侵检测序号重要性指标项指标功能说明证明材料要求1主机漏洞管理支持Linux软件漏洞管理：对标CVE官方漏洞库，自动检测并提供修复方案，周期扫描、修复后立即验证、忽略、生成修复命令#支持Windows漏洞管理：同步微软官网补丁，自动检测并支持一键修复，同步官网补丁文件到Server，支持周期扫描、修复、修复后立即验证、重启后立即验证（若漏洞修复后需要重启）、忽略、回滚#支持Web-CMS漏洞管理：自研漏洞补丁，支持一键修复0day漏洞，源代码级识别Web目录文件，精准判断CMS漏洞，全部为自研补丁，支持周期扫描、修复、修复后立即验证、忽略、回滚支持其他漏洞管理：如软件配置型漏洞、系统组件型漏洞，均支持自动检测#支持精确识别软件高危配置漏洞及类似ImageMagick等组件型漏洞支持周期扫描、修复后立即验证、忽略支持配置型、组件型漏洞识别，精确识别软件高危配置漏洞及类似ImageMagick等组件型漏洞，周期扫描、修复后立即验证、忽略。#支持选择严重、高、中、低危漏洞进行扫描，默认不扫描低危，可选资产范围进行扫描，对不重要的机器或分组关闭漏扫，对不关注的漏洞可加入漏洞白名单，不再扫描和告警。支持综合漏洞等级、曝光时间、资产真实环境等信息，给出修复必要性参考。2#主机漏洞修复支持对云服务器主机中的应用和部分Windows系统的高危漏洞支持一键修复，包括Web应用漏洞修复、系统文件修复等。3#基线检查支持账号安全检测：密码策略合规、系统及应用弱口令， SSH、RDP、FTP、MYSQL、PostgreSQL、SQLServer，检测服务器系统中可疑的隐藏账号、及克隆账号，检测 Linux 系统服务器中的以下账户密码策略：账号密码最大使用期限，密码修改最小间隔时间，密码最小长度，密码到期开始通知时间，检测服务器中密码为空的账号。支持系统配置检测：组策略、登录基线策略、注册表配置风险#支持数据库风险检测：Redis数据库高危配置，检测服务器上的 Redis 服务是否对开放，检测服务器上的Redis服务是否存在未授权访问漏洞被利用并向系统关键文件写入异常数据的情况。支持对云服务器主机中的安全基线进行检查，包括账户安全检测、弱口令检查、以及配置项风险检测，以达到企业级服务器安全准入标准。支持资产信息探测，通过在服务器上安装的客户端，自动识别网络内部资产信息和网络架构，包括资产IP、操作系统、应用软件等内容，支持可疑账户检测，对服务器的管理员信息进行分析，对疑似的黑客账户进行检测告警。支持对账户异地登录的检测，对用户常用登录位置的分析和记录，对疑似的非管理员登录系统行为进行告警。#支持发现防密码暴力破解攻击事件，可对黑客进行暴力破解的行为进行实时检测和行为拦截，例如：支持对SSH、RDP、Telnet、Ftp、MySQL、MS SQL Server等等常见协议的登录行为监控。支持网站后门、木马的查杀，客户端通过云端多查杀引擎对可执行木马、病毒文件、网站后门文件进行主动隔离，实时阻断黑客攻击行为，防止后门再次利用。支持合规对标检测：CIS-Linux Centos7系统基线4关键目录完整性检测支持监控系统特定目录的文件完整性，及时发现篡改行为并进行变更告警。5异常进程告警支持发现异常进程启动，并进行告警。6异常端口告警支持发现新建的端口监听，并进行告警。7异常网络连接告警支持发现主动外连公网的网络连接，并进行告警。8#入侵检测支持异常行为分析 bash反弹、JAVA执行CMD命令、Redis写入ssh文件等异常行为#支持恶意进程（云查杀） 挖矿进程、DDoS木马、WannaCry病毒，杀软联动，集成云端杀毒引擎全面判断恶意进程，一键处置木马病毒#支持Webshell Web目录文件变化实时触发检测，支持控制台一键隔离支持异常登录 ssh、rdp、mysql暴力破解行为识别及防御（仅云上版支持防御），对定义的合法IP外的IP登录进行告警，对定义的合法账号外的账号登录进行告警，对定义的合法登录时间外的时间登录进行告警，对于非常用地登录行为进行告警，支持自定义配置常用登录地。9资产管理支持扫描并记录主机上监听的端口，记录每次扫描与上一次的变动，如新增监听端口X，减少监听端口Y，实时可在控制台刷新数据，同时支持自定义周期自动数据刷新。#支持扫描并记录主机上运行的进程，记录每次扫描与上一次的变动，如新增进程X，减少进程Y，实时可在控制台刷新数据，同时支持自定义周期自动数据刷新。支持扫描并记录主机上的账号，记录每次扫描与上一次的变动，如新增账号X，减少账号Y，修改账号Z，实时可在控制台刷新数据，同时支持自定义周期自动数据刷新支持对主机进行最多4级分组，支持按照地域、在线状态等进行筛选，支持对主机进行打标签，快速定位标签服务器。10#日志支持进程启动的实时日志，包括进程名、pid、md5、命令行等，对外主动连接的实时五元组日志，系统登录成功的流水日志，每次进行账号数据获取的快照日志，每次进行端口监听数据获取的快照日志，每次进行进程数据获取的快照日志。支持多日志源关联、时间周期自定义查询，支持查询数据的导出，存储查询条件，便于多次快速查询支持告警项目包括：服务器发生非常用登录地，服务器密码被暴力破解成功，发现网站后门文件，基线检查中存在高危风险项， 发现高危漏洞未修复， agent在24小时内未与云端通信，反弹shell、恶意进程等。内容安全需要重要性指标项规格要求证明材料要求1站点监测支持信息内容安全检测及管控支持当内容涉及违规信息时，提前预警，并提供违规网页地址及快照查看功能支持对网站进行篡改和挂马检测，对于网站内容进行全站爬取图片文字进行检测，识别涉政涉黄等风险。对于识别到的风险，展示源码、图片、文本等证据，帮助用户整改。2OSS违规检测支持通过人工智能技术对存储在非结构化存储上的图片进行违规识别，并提供便捷易用的结果展示平台。支持通过删除、忽略等快捷操作，方便对图片作快速处理，减少审核人力，有效降低涉黄风险。图片/视频智能鉴黄，支持通过深度学习算法对非结构化存储中的图片和视频，进行识别以及色情程度的打分，自动识别色情图片视频，大大降低审核人力。图片/视频暴恐涉政检测，支持通过深度学习算法对非结构化存储中的图片采用深度学习算法，结合独有的情报、舆情、预警和分析体系及实时更新的样本图库，自动快速定位暴恐旗帜、人物和场景以及敏感政治人物，大大降低审核人力。支持每日增量扫描和存量扫描，无死角覆盖风险。点击开通即可使用，无需开发。3内容检测API支持文本、图片、视频等多媒体内容安全检测的开发接口服务。支持过滤公网可访问的图文信息。4CDN违规检测图片智能鉴黄，支持对CDN图片加速服务的回源请求进行自动识别色情图片，在CDN控制台点击开通即可使用，无需开发。可导出违规图片源站地址，供用户批量删除。5内容检测API图片/视频智能鉴黄，支持深度学习算法和实时更新的亿级图像样本库,可对图片与视频进行识别以及色情程度量化。视频检测采用截帧画面、声音、文字多维度综合决策视频结果，最大限度避免因为截图模糊而导致误判。并且在结果中返回证据画面，协助审核人员判断。图片/视频暴恐涉政检测，支持采用深度学习算法，结合独有的情报、舆情、预警和分析体系及实时更新的样本图库，能够快速定位暴恐旗帜、人物和场景以及敏感政治人物。采用截帧画面、声音、文字多维度综合决策视频结果，最大限度避免因为截图模糊而导致误判。并且在结果中返回证据画面，协助审核人员判断。图片/视频敏感人脸属性识别，支持识别人脸基本属性，如年龄、性别、标签、是否带眼镜等属性，同时会匹配包括政治人物、敏感人物、以及名人明星等敏感人物，能够避免业务的涉政违规和侵权风险。一张图内可最多识别10个人脸。支持OCR图文识别 亿级别字符样本库，可精准定位图片中文字位置，准确识别斜排字，艺术字等字体。图片/视频广告识别，支持有效识别带二维码的广告图片，并且采用独创的牛皮癣算法，能够通过判断图片中文字是否后期加入来有效识别广告图片。文本反垃圾检测 支持采用NLP自然语言理解算法有效识别色情、暴恐涉政、广告、辱骂等文本垃圾，并且能够结合行为策略有效管控灌水、刷屏等恶意行为。DDOS安全防护序号重要性指标项规格要求证明材料要求1机房/带宽总体带宽超过10T，单机房超过1.5T，单独提供机房规格表。2防护类型包括但不限于以下攻击类型: ICMP Flood、UDP Flood、TCP Flood、SYN Flood、ACK Flood等攻击3支持域名数默认50，支持泛域名 可以扩展到2004支持端口数默认50 可以扩展2005支持业务类型HTTP/HTTPS/HTTPS/TCP/UDP/WEBSOCKET 网站业务:80和443，非网站业务：无限制6DDoS最大能力800G7单线路防御能力800G+ 可以双路备份，如电信提供双机房，可以切换8CC防御能力50000+9DNS防御能力5000W QPS10故障转移速度30秒内11SLA99.99%12流量自动伸缩支持DDoS防御能力自动弹性，CC防御能力自动弹性。13协议与端口支持IP to IP转发，没有端口限制，0-66535全部转发14支持HTTP2/WEBSOCKET15NS/CNAME/A支持CNAME接入，并保证当某个线路的高防IP出现问题时，可以自动把业务切换到其他正常的线路16域名接入支持泛域名接入防护支持弹性按天BGP机房支持BGP冗余支持CNAME自动调度支持安全/加速流量17功能特性支持电信、封禁海外来的流量支持电信、封禁非本运营商的流量支持封禁UDP流量，需求换IP全网流量压制，支持全网黑洞支持CC防御开关支持CC人机识别支持正常模式/紧急模式支持CC防御源限速支持ip+cookie限速支持CC黑白名单支持公网负载均衡回源支持健康检查、会话保持支持ssl、协同防御、可信IP设置18管理监控支持提供DDoS高防的线路的流量监控报告，支持查询各时间段的统计数据，包括流量和报文的正常流量和攻击流量。提供DDoS高防线路的安全统计信息，包括DDoS攻击峰值、DDoS攻击次数和防护端口数WEB应用防火墙序号重要性指标项规格要求证明材料要求1Web应用攻击防护支持提供WEB应用防火墙服务，支持SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护支持SAAS化多租户模式，每个租户能够管理自身规则、查看自身防御动态，数据基于租户隔离；提供友好的配置控制台界面，支持IP、URL、Referer、User-Agent等HTTP常见字段的条件组合，并支持盗链防护、网站后台保护等防护场景；支持对业务流量的统计分析，包括来访IP、区域、访问延时、浏览器类型等内容的Top统计。支持内置多种防护策略，可选择进行SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护支持网页防篡改功能，对指定的敏感页面进行保护，确保正常用户看到正确的页面。2防护能力最高可达10000 QPS的防护能力至少提供10个域名防护(支持1个一级域名)，至少提供100条可自助配置的访问控制规则3CC攻击防护支持针对最新爆发的Web 0DAY漏洞在24小时内自动更新防护规则，保护网站不受影响支持对网站网页进行缓存配置，在设置的时间段内锁定网站的返回页面为缓存的正常页面。支持敏感信息防泄漏避免身份证、银行卡、电话号码等敏感数据泄露；针对服务器返回的异常页面或关键字做信息保护支持缓解网站页面受到的CC攻击支持缓解对外提供服务的API接口受到的CC攻击4访问准入控制支持IP、URL支持黑白名单的组合设置，禁止/放行某个IP/URL的网站访问支持User-Agent、Refere字段的黑白名单的组合设置，防护场景:WordPress攻击、爬虫攻击、CSRF支持Params/Cookie/X-Forwarded-FOR等字段的黑白名单的组合设置，防护场景：大包攻击、伪造代理攻击、无Cookie Bot攻击支持针对指定的国内省份或海外地区的来源IP进行一键黑名单封禁5全站一键HTTPS支持HTTPS强制转换及HTTP回源，保证源站无需支持HTTPS即可实现网站HTTPS化6常见非标端口防护除80、8080、443、8443端口以外支持其他额外的非标准业务端口防护7可用性清洗服务可用性应达到99.99%堡垒机序号重要性指标项规格要求证明材料要求1日志回放、事后追溯支持录像式日志回放、指令记录、图像记录、文件审计等功能。2部署要求支持系统盘与数据盘分离部署，操作系统存储在系统盘中、数据存在数据盘中，防止因操作系统出现故障造成数据损坏，操作系统版本不得低于CentOS6.6，支持多台运维审计系统的配置信息自动同步，提高配置备份和运维服务冗余，防止单系统故障3用户管理要求支持用户多角色划分功能，如系统管理员、运维员、审计管理员、密码管理员等，对各类角色需要进行细粒度的权限管理支持用户的批量导入/导出，按用户类型等分组方式；支持用户安全策略功能，如密码锁定次数、密码有效期、密码复杂度、用户有效期、用户登录时间限制、用户登录IP范围等4身份认证要求支持与AD、LDAP、RADIUS认证系统联动登录堡垒机，支持自动同步AD/LDAP用户支持与get、post、soap发送方式的http短信网关平台进行联动，实现短信动态口令双因素认证机制，如短信服务、SendCloud联动支持手机APP动态口令认证方式登录堡垒机，且新用户首次登录后需强制绑定APP动态口令。（须提供相关截图证明并加盖原厂公章）支持认证方式的全局设置：可以选择启用哪种或者哪几种认证登录窗口。5设备管理要求支持常用的运维协议：SSH、TELNET、RDP、FTP、SFTP支持对设备进行按设备类型分组，支持设备批量导入/导出支持设备帐户和密码的自动登录、手工登录模式支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系，甚至可自动完成授权6运维方式要求支持使用IE、谷歌、火狐三种浏览器打开堡垒机的Web页面直接调用mstsc、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX等运维客户端工具支持使用本地的mstsc/Xshell/SecureCRT/Putty等客户端工具登录堡垒机访问图形或字符设备，视图界面一致性、搜索能力支持使用本地的winscp/flashFXP/SecureFX等客户端工具登录堡垒机访问SFTP/FTP设备支持直接使用登录堡垒机的AD/LDAP用户及密码可以直接自动登录到服务器里。7审计日志要求支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议、命令记录、操作内容（如对文件的上传、下载、删除、修改等操作等）的详细行为日志。支持SSH的sz/rz命令（zmodem）、SFTP/FTP、RDP粘贴板、RDP磁盘映射的传输审计支持对RDP屏幕文字内容、标题窗口、键盘输入的记录和搜索定位支持全局搜索审计日志，无需区分图形/字符/文件，只需通过关键信息直接搜索定位支持通过SFTP/FTP方式自动归档，并在页面中可以查询哪些数据是否归档，可以设置归档成功之后自动删除数据，归档后的数据可以用专用播放器离线查看是8安全策略要求支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字、黑白名单等组合访问控制策略，授权用户可访问的目标设备。支持对重要设备启用登录审核功能，运维人员须向管理员申请登录，管理员允许之后才可登录；否则无法登录支持对重要命令进行审核：运维人员执行命令后，须等到管理员审批通过后才可执行成功支持运维空闲会话时间全局设置限制功能9报表统计要求支持丰富的报表统计模板，可点击柱状图、饼状图或曲线图进行数据钻取分析，且支持PDF、doc、html格式导出支持根据运维人员和组生成各种维度的分析报表，维度包含总为运维次数、时长、活动时长、会话起止时间、会话大小、命令数、上传下载文件数，分别从全局及平均值、最大值、最小值、单次运维、单个会话等角度提供非常有价值有意义的报表支持运维报表自动定期发送10系统管理要求支持自身审计，包括但不限于：系统状态检测、登录日志、用户配置日志、设备配置日志、授权配置日志、策略配置日志、运维访问日志、系统配置日志等支持系统日志报表统计功能，包括但不限于登录日志统计、配置日志统计、运维访问日志统计等，可以导出报表支持邮件/syslog方式输出告警日志支持SNMP方式输出系统信息支持的排错工具：ping、TCP端口检测、UDP端口检测、路由跟踪等。数据库审计序号重要性指标项规格要求证明材料要求1审计内容数据库审计的审计内容包括会话的终端信息、会话的主机信息、会话的其它信息、操作信息等。2审计信息展示支持从会话维度、语句类型纬度、风险纬度三个纬度进行导航展示，支持基于时间、客户端IP、目标数据库IP、操作类型、客户端MAC地址、目标数据库MAC地址、客户端端口、操作信息大小、返回状态、结果信息、客户端执行命令等详细信息内容。3审计报表支持（系统级）多数据库聚合报表展现和单数据库综合性报表展现。支持基于总体概况、性能、会话、语句、风险多层面展现报表。支持图表结合展现，支持柱形图、饼状图、条形图、双轴折线图等多种统计图展现形式。支持报表定时推动功能，自定义推送周期以邮件形式推送报表文档。支持日、周、月 等综合性报表和自定义分析型报表功能。4基本审计能力和策略数据库支持的类型及版本（自建数据库）Oracle，具体版本包括：9i；10g；11g；12CSQLServer，具体版本包括：2005；2008；2012；2014MySQL，具体版本包括：5.05.6DB2，具体版本包括：9.5；9.7达梦（DM），具体版本包括：7南大通用