医院信息安全等级保护建设项目技术方案

技术技术方案 3.1.构建分域的控制体系 3.2.构建纵深的防御体系 3.3.保证一致的安全强度 3.4.实现集中的安全管理 4.4.体现集中管理能力 5.1.机房选址 5.2.机房管理 5.3.机房环境 5.4.设备与介质管理 6.1.网络架构安全 6.2.通信完整性和保密性 6.3.通信网络可信验证 6.4.产品规划 7.1.边界安全防护 7.3.边界入侵防范 7.4.边界恶意代码和垃圾邮件防范 7.5.边界安全审计 7.6.边界可信验证 7.7.产品规划 268.1.身份鉴别 8.2.访问控制 8.3.安全审计 8.4.入侵防范 8.5.主机恶意代码防范 8.6.可信验证 8.8.备份与恢复 8.9.产品规划 9.4.集中管控 9.5.产品规划 40 本方案将根据《信息系统等级保护安全设计技术要求》,保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理盖基本要求的4个方面。本次建设一体化信息平台主要处理的业务有惠民、加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、平台系统服务被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级通过对医院安全等保需求进行深入分析，安全等保展，至少保证3到5年的业务发展需求；2)高稳定性：部署的安全设备应具有高可靠，高稳定性特点，在近2年国3)灵活性：网络链路会随着业务的发展逐条增加，方案的设计4)完整审计方案：方案设计需要提供完整的审计和溯源方案，包括日志服5)符合三级等保要求：按照国家信息安全等保保护要求，需要按照三级等根据上述设计思想设计等级保护技术方案(三级),方案拓扑如下：互互5姓8距珠断内娇济舞基通修激医W0n毒载好，孩.鹏姓奶s行清洗；控制等安全防护，防止非法访问；实现移动办公，安全访问内网；全隔离，访问控制，入侵防护，病毒检测和防护；8)管理区防火墙：管理区安全防护与访问控制；9)管理区网络管理平台：设备统一可视化管理，日志集中收集，同时监控的技术，实现了Web漏洞扫描、系统漏洞扫描、数据13)为了保证高可靠性，关键路径安全设备使用双机热备方式部署。对应产品安全通信网络网络架构峰可用采用校验技术/密码技术保证通信过程中数据的完整性和保密性可信验证基于可信根对通信设备的系统引导，应用关键点动态验证，可报警、可审计网络设备自身可信启动机制安全区域边界防护测，无线网限制主要内容对应产品访问控制五元组过滤、内容过滤、策略优化、基于应用协议和应用内容的访问控制入侵防范防外部攻击、防内部攻击、防新型未知网络攻击IPS、IDS、探针、沙箱恶意代码防范网络防病毒、垃圾邮件过滤防病毒网关/防火墙防病毒能力安全审计用户行为、安全事件审计，远程用户行为，访问互联网用户行为单独审计和数据分析堡垒机，上网行可信验证基于可信根对区域设备的系统引导，应用关键点可动态验证，可报警、可设备自身可信启动机制安全计算身份鉴别身份唯一性、鉴别信息复杂度，口令、密码技术、生物技术等双因子及以上认证且其中一种必须为密码技术访问控制用户权限管理、管理用户权限最小化自身机制安全审计用户行为审计，对审计进程保护上网行为管理、日志审计系统入侵防范检测入侵行为、非使用端口关闭、管理终端限制、发现已知漏洞IPS、漏洞扫描恶意代码防范安装防恶意代码软件或免疫可信验证机制，防护机制支持升级和更新防毒墙、主机防可信验证基于可信根对计算设备的系统引导，应用关键点动态验证，可报警、可审计设备自身可信启动机制数据防篡改主要内容对应产品数据备份恢复数据本地备份和恢复、提供异地实时备份功能、数据处理系统热冗余多活数据中心护鉴别信息、敏感信息缓存清除应用自身机制护个人信息最小采集原则、访问控制应用自身机制安全管理中心系统管理行配置、控制和管理网管系统、堡垒机审计管理过安全审计员对审计记录应进行分堡垒机、日志审计系统、数据库审计特定管理分区、统一网管和检测、日志采集和集中分析、安全事件识别告警和分析、安全策略集中管理统一网管、安全知系统安全管理过安全审计员对审计记录应进行分堡垒机、日志审计系统方案建设的基本思路是：严格参考等级保护的思分析发现的问题进行加固改造，在进行安全设计安全设计技术要求》,从安全计算环境、安全区域边界、安全通信网络和安全施形成有机的安全保护体系，建成后的安全保障体系将充“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受网“可信”即以可信根为基础，构建一个可信的系统执行环境，即设备、引"可管"即通过构建集中管控、最小权限管理与三权分立的管理平台，为"一个中心管理下的三重保护体系"是指以安全管理中心为核"一个中心管理下的三重保护体系"是指以安全管理中心为核心，构建安通信网络、区域边界、计算环境，综合采用访问控制、应用的可用性、完整性和保密性保护，并在此基础上实略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。因此在建设手段上，本方案采取“大平台”的方式进行应进行安全管理中心的设计，根据要求，应在系统管理安全管理中心的建设，实现安全技术层面和管等级保护2.0将网络安全纵深按照一个中心三重防御的方式进行部署，安全管理中心安全管理中心垃圾邮件威胁分析数据安全剩余信息区域边界外部联接通信网络补丁/病毒率安金管道平台数据库审计防0005防机态势委知系现有安全体系大多属于静态的单点技术防护，打击能力和可控性。信息安全问题包含管理方流程的改变而改变。现有安全体系大多属于静态的单本方案中，将从多重深度保障，增强抗打击能力指导文件提出“坚持积极防御、综合防范的方针”,这就要求采用多层保护的深度防御策略，实现安全管理和安全技术的紧密结合，设计安全体系时，将安全组织、策略和运作流合，从而形成一个具有多重深度保障手段的防护网络，构完整性、可用性，从而确保信息系统内不发生安全使发生安全事件也能有效控制事件造成的影响。通通过关联分析技术，使系统管理人员能够迅速发现问题重要区域与其他区域之间部署网闸或者防火墙等隔离设备，并启用ACL进(含业务数据链路和带外管理链路)、网络设备、安全设备、计算设备，并部业兴起，攻防技术层出不穷、不断升级。传统的计算机体计算功能，忽略了安全防护，这相当于一个人没有免疫状态下。可信计算的目标就是要为信息系统构建安全可应选择具备可信芯片的网络通信设备(路由器、交换机),保证网络身份可信，防止网络通信设备假冒。可信芯片有唯一芯信过程身份认证及加密。可信网络通信设备以密码芯片法实现完整性度量，通过非对称算法提供身份认证，密，为密码算法、密钥、度量值、密码运算等提供更部署产品部署位置部署作用互联网边界最外侧。据加密、角色授权和访问审计等，保护办公网内部服务器资源的可用性，保障正常业务可控的访问。防火墙互联网边界；对业务网进行独立防护，进行访问控制、攻击防御；流量应用。恶意代码和垃圾邮件防范分支机构通信网络计算环境沙箱提供多维度的网络接入控制能力，根据用户的身产品，以及web应用防火墙，可以对所有流经防火墙的数据包按照严格的安问，防止各类非法攻击行为，尤其针对web应用，将网络安全的基础屏障路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机对网络存取和访问进行监控审计防止内部信息的外泄洞。使用防火墙就可以隐蔽那些透漏FingerDNS实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对域进行严格的访问控制。鉴于以上对防火墙核心作用测新型的混合攻击和防护的能力的设备和防火墙配合IPS是安全防护体系中重要的一环，它能够及时识别网络中发生事件，并对它们进行分析，以寻找危及信息的机密性、行为的保护，对访问状态进行检测、对通信协DDoS检测设备对分光过来的流量进行检测，当检测设备检测到异常后，上向核心路由器发布BGP路由的方式，把攻击流量牵引到清洗设备进行清洗。清在清洗设备上通过合适的方式回注到核心路由器。清洗中针对越来越多的未知高级威胁(APT攻击)出现，传统基于特征防护思路析，通过检测单点事件，关联组合威胁并综合评主动防御(诱捕)主动防御(诱捕)信系统的认知，使攻击者采取对防御方有利的动作(或不行动),从而有助于发念，提供零硬件成本、告警准确、精准溯源，能够通过自泛滥，目前计算机病毒的传播途径与过去相比已经发生以网络(包括Internet、广域网、局域网)形态进行传播，因此为了安全的防病毒发生源安全边界处进行集中防护，对夹杂在网络交换数据中的各类网络病毒进行过滤，可以对恶意代码、网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他区域传播到内部其他安全域中，截断病毒通过网络传播的途径，净化网络流量。在边界部署下一代防火墙，并开启防垃圾邮件功能，具备实时反垃圾邮件，内容过滤、关键字过滤，附件病毒检查与安全提醒等能力。为能达到最好的防护效果，病毒库和垃圾邮件规则库需及时升级至最新版本。对于能够与互联网实现连接的网络，应对自动升级进行准确配置；对与不能与互联网进行连接的网络环境，需采取手动下载升级包的方式进行手动升各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全，各类安全设备产生的日志可反映网络及业务的运行状态。对于流经各主要边界(重要服务器区域、外部连接边界)需要设置必要的审计机制，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块，根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心的综合日志审计系统进行统一集中管理，利于管理中心进行全局管控。●全网日志管理提供多种日志格式的采集方式，通过采集、分类、过滤、分析、存储和监控安全设备上报的日志，管理海量日志，关键日志产生告警并通过短信、Email等方式进行通知。●精准到用户级行为分析通过上网行为管理系统，进行用户上网行为分析，同时结合用户数据源，满足安全审计和取证的需要。●安全事件分析汇集防火墙、入侵防御等边界安全设备的安全事件日志，进行汇总分析，部署产品部署位置部署作用区域边界。Web应用访问控制入侵防御区域边界。实时监控并阻断针对数的入侵行为。防止对内部网络的DDOS防火墙互联网边界。滤，防止病毒侵入扩多层次深度防御。综合日志审计系统部署在安全管理中心区安全审计：网络设备、安全设备、主机、终入侵防范：威胁溯源、网络溯源数据备份与恢复剩余信息保护个人信息保护物进行验证。从方案的实施角度看，可包括如下产品能力：素EQ\*jc3\*hps16\o\al(\s\up4(),第改)EQ\*jc3\*hps16\o\al(\s\up0(),)通信网络区域边界机毒身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面：主机身份鉴别：为提高主机系统安全性，保障各种应用的正常运行，对主机系统需要进行一系列的加固措施，包括：●对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保证用户名的唯一性。●根据基本要求配置用户名/口令；口令必须具备采用3种以上字符、长度不少于8位并定期更换；●启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。●远程管理时应启用SSH等管理方式，加密管理数据，防止被网络窃听。●对主机管理员登录进行双因素认证方式，采用USBkey+密码进行身份鉴别用3种以上字符、长度不少于8位并定期更换；采用双因素认证(USBkey+密码)或者构建PKI体系，采用CA证书的方式进行USBKey等多种认证方式，并可针对密码、证书认证、外部认证、硬件特征码等输数据进行强加密，防止鉴别信息在网络传输过程中被窃制实现：在安全策略控制范围内，使用户对自己创建权限，并能将这些权限的部分或全部授予其他用户；自主作进行控制；强制访问控制主体的粒度应为用户级，监控功能包括服务监控、进程监控、硬件操作监控更改审计、服务与进程审计等。审计范围覆盖到软件的完整性保护，发现基于完整性篡改的攻击存储：可采用度量扩展的方法(即现有度量值和新度量值相连再次散列)性有很高的要求。而SSLVPN非常适用于远程接入环境，例如：移动办公接SSLVPN与IPSecVPN一样，也可提供加密和身份验证安全方法，因此安部署产品部署位置部署作用数据库审计区域边界。数据库访问控制漏洞扫描部署在安全管理中心区WEB、数据库、主机的系统弱点扫描，静态评估系统可能存在的风险。入侵防御区域边界。实时监控并阻断针对数的入侵行为。互联网边界对内部人员上网行为的约束与审计主机防病毒软件所有服务器及客户端抑制来自外部或内部网持网络清洁。建立全网统一升级服务中心，实现全网统一升级管理。保护全网终端及服务器，对各类病毒进行彻底查杀等级保护对安全管理中心明确提出技术要求，计算环境、安全区域边界和安全通信网络三个部分的安在安全管理安全域中建立安全管理中心，是有效帮助措施的重要保障，是实现业务稳定运行、长治久安的基安全管理中心安全管理中心通信网络区域边界计算环境用户身份管理：统一管理系统用户身份，按照业务上分工的不同，合理系统资源配置与监控：进行系统资源配置管理与监控，包括CPU负载、系统加载和启动：进行系统启动初始化管理，保障系统的正常加载和启系统运行的异常监控：系统资源和设备受到攻击，或运行异常时，会以数据备份与恢复：数据的定期备份与恢复管理，识别需要定期备份的重恶意代码防范管理：建立恶意代码管理中心，进行防恶意代码软件的统系统补丁管理：集中进行补丁管理，定期统一进行系统补丁安装。注意系统管理员身份认证与审计：对系统管理员进行严格的身份鉴别，只允行集中管理，统一收集设备日志，审计记录设置留存时间设置为6个月，功能>日志监视事件状况的同时也可以监控设备运行参数，以配合确定策略合规性检查状况进行集中监测，并为安全计算环境、安全区域边界6个月。执行有效采集，通过大数据实时及离线分析，结合机器驱动，有效的发现网络中的潜在威胁和高级威胁，部署产品部署作用统一管理平台部署在安全管理中心区统一网络管理系统，部署在安全管理中心区日志审计系统部署在安全管理中心区安全审计：网络设备、安全设备、主机、终端、服务器日志审计入侵防范：威胁溯源、网络溯源安全管理平台部署在安全管理中心区对安全设备进行统一管理、状态监控、策略下发、集中审计。运维审计系统部署在安全管理区域运维堡垒机对网络系统、应用服务器、业务部署产品部署作用系统、数据库进行状态故障并报警，快速定位故障点，为恢复环境提供依据漏洞扫描部署在安全管理中心区WEB、数据库、主机的系统弱点扫描，静态评估系统可能存在的风险。安全资源池云管理区提供云主机安全、云堡垒机、云数据库审计、综合日志审计、漏洞扫描(含配置核查)等云安全服务；防火墙设备选型设计作为核心安全设备，防火墙提供了应用识别、入侵防御(IPS)、反病毒和URL过滤等内容安全相关的功能，可有效保证内网服务器和用户免受威胁的侵害。硬件规格要求●标准机架式1U设备；●严格前后风道；●配置双电源；配置4个风扇，形成3+1冗余备份；●CPU关键器件采用国产化自研芯片；●支持2条万兆光Bypass链路(直路部署场景，提供高可靠性);SHA、SM2/3/4等多种加密算法，保障数据传输的安全性、可靠性。安全资源池为云平台上各个云租户提供可按需申请及部署的安全产品资源审计、云主机防御(东西向流量隔离、防病毒)等所有安全产品；参数规格要求单位1数据防控)1、CPU:≥2颗国产自主可控处理器，主频≥2.6GHz,单颗CPU≥32核心以上，2、内存：≥256GBDDR4服务器内存；3、网络：板载千兆网卡提供≥4个千兆以太网口，2块双口10GE光纤以太网网卡(含光模块);4、本地硬盘：配置≥2个480GBSSD热插拔硬盘；配置1块RAID卡，支持5、电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；6、服务器管理系统支持国产自研管理芯片，提供主板管理芯片介绍及芯片厂家营业执照证明，并加盖厂商公章；7、服务：3年维保8、服务器管理软件通过安全渗透测试，包含认证安全、权限管理安全、会话安全、信息泄露安全、输入输出合法性安全性测试，提供由具备CNAS资格的检测机构出具的安全渗透性测试报告复印件，并加盖厂商公章；8台2核心数据1、CPU:≥2颗，主频≥2.1GHz,单颗CPU≥26核心以上；2、内存：≥512GBDDR4服务器内存；≥24个内存插槽3、网络：板载千兆网卡提供≥2个千兆以太网口，3块双口10GE光纤以太网网卡(含光模块);4、本地硬盘：配置≥2个480GBSSD热插拔硬盘；配置1块RAID卡，支持RAID5、电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；2台6、服务器管理系统支持国产自研管理芯片，提供主板管理芯片介绍及芯片厂家营业执照证明，并加盖厂商公章；7、服务：3年维保3数据防控)1、CPU:≥2颗，主频≥2.1GHz,单颗CPU≥20核心；2、内存：≥256GBDDR4服务器内存；≥24个内存插槽3、网络：板载千兆网卡提供≥2个千兆以太网口，2块双口10GE光纤以太网网卡(含光模块);4、本地硬盘：配置≥2个480GBSSD热插拔硬盘；配置1块RAID卡，支持RAID5、电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；6、服务器管理系统支持国产自研管理芯片，提供主板管理芯片介绍及芯片厂家营业执照证明，并加盖厂商公章；7、服务：3年维保8台4节点器1、CPU:≥2颗国产自主可控处理器，主频≥2.6GHz,单颗CPU≥64核心以上2、内存：≥768GBDDR4服务器内存；3、网络：提供≥4个千兆以太网口，≥4个25GE光口(含10GE光模块);4、硬盘：配置≥3个960GBSSD;≥1个480GBSSD;≥1个3.2TBNVMESSD;≥8个5、RAID卡：1张RAID卡，2GBcache-RAID0,1,5,6,10,50,606、电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；7、服务器管理系统支持国产自研管理芯片，提供主板管理芯片介绍及芯片厂家营业执照证明，并加盖厂商公章；8、服务：3年维保9、服务器管理软件通过安全渗透测试，包含认证安全、权限管理安全、会话安全、信息泄露安全、输入输出合法性安全性测试，提供由具备CNAS资格的检测机构出具的安全渗透性测试报告复印件，并加盖厂商公章；3台5网络节点器1、CPU:≥2颗国产自主可控处理器，主频≥2.6GHz,单颗CPU≥32核心以上2、内存：≥512GBDDR4服务器内存；3、网络：提供≥4个千兆以太网口，≥6个25GE光口(含10GE光模块);4、硬盘：配置≥2个480GBSSD热插拔硬盘；2台5、RAID卡：1张RAID卡，2GBcache-RAID0,1,5,6,10,50,606、电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；7、服务器管理系统支持国产自研管理芯片，提供主板管理芯片介绍及芯片厂家营业执照证明，并加盖厂商公章；8、服务：3年维保9、服务器管理软件通过安全渗透测试，包含认证安全、权限管理安全、会话安全、信息泄露安全、输入输出合法性安全性测试，提供由具备CNAS资格的检测机构出具的安全渗透性测试报告复印件，并加盖厂商公章；6节点11、CPU:≥2颗国产自主可控处理器，主频≥2.6GHz,单颗CPU≥64核心以上2、内存：≥1024GBDDR4服务器内存；3、网络：提供≥4个千兆以太网口，≥6个10GE光口(含10GE光模块);4、硬盘：配置≥2个480GBSSD热插拔硬盘；5、RAID卡：1张RAID卡，2GBcache-RAID0,1,5,6,10,50,606、电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；7、服务器管理系统支持国产自研管理芯片，提供主板管理芯片介绍及芯片厂家营业执照证明，并加盖厂商公章；8、服务：3年维保9、服务器管理软件通过安全渗透测试，包含认证安全、权限管理安全、会话安全、信息泄露安全、输入输出合法性安全性测试，提供由具备CNAS资格的检测机构出具的安全渗透性测试报告复印件，并加盖厂商公章；6台7节点21、CPU:≥2颗，主频≥2.1GHz,单颗CPU≥26核心以上；2、内存：≥1024GBDDR4服务器内存；≥24根内存插槽3、网络：≥3块双口10GE光纤以太网网卡；4、本地硬盘：配置≥2个480GBSSD;配置1块RAID卡，支持RAID5、电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；6、服务器管理系统支持国产自研管理芯片；7、服务：3年维保7台8云计1、云平台软件授权，提供云平台计算虚拟化、网络虚拟化、存储虚拟化功能；2、为保障云平台的开放性，云平台软件提供商或云服务商要求兼容开源生态，包括件台软件OpenstackHadoopDockerKuberne3、云平台HostOS不允许使用CentOS或衍生品，内核采用国产开源发行版；4、提供云主机服务，用户申请该服务时可以选择虚拟机所在位置CPU拟机操作系统、磁盘容量、网络、安全组、登录认证方式、申请数量，同时，用户可以在申请虚拟机时为虚拟机指定非管理员账号(linux下的非root,windows下的非administrator)的用户名、密码；5、所提供的产品需支持横向扩展能力，能够支持节点规模的平滑扩展，在存储和计算压力增大的情况下，可快速增加节点实现平台的扩展，扩容期间对在运业务影响最小；6、支持跨代CPU共集群和热迁移，充分利旧资源池，未来支持使用新一代CPU进行持7、用户可以通过管理平台为虚拟机或者物理机申请磁盘，用户可以将申请到的磁盘空间分配给一台或者多台虚拟机/物理机使用，在操作系统支持的情况下，可以对已经在使用的云硬盘进行在线/离线扩容8、为有效应对业务浪涌，需要支持虚拟机弹性伸缩服务，用户可以自助配置业务系统弹性伸缩策略，弹性伸缩策略支持如下几种：1、在特定的时间触发；2、按固定的周期触发；3、根据业务系统的业务压力(告警，如CPU利用率，内存利用率，网络流入/流出速率)触发。9、支持虚拟机跨存储设备迁移，支持虚拟机跨AZ整机冷迁移，支持界面化执行迁移操作，支持由用户指定迁移到的目标可用区和主机。10、支持跨磁盘类型直接拷贝迁移，不占用计算资源。可以保证在不中断业务的前提下，将数据从一种磁盘类型迁移到另外一种磁盘类型；迁移过程利用存储内部拷贝能力，快速迁移，不占用主机资源。11、VPC支持组播能力，支持通过图形化界面配置组播开启、关闭操作。12、支持项目级子网，项目级子网是管理云服务器网络平面的一个二层网络，可以提供IP地址管理、DNS服务，同一个项目级子网内的云服务器均可以进行二层通信。13、支持对访问负载均衡的客户端IP进行白名单安全控制，如果使用访问控制能力，则只有被允许的IP能通过ELB访问后端云服务器/物理机；如果不使用，则任何IP都可以访问该负载均衡。提供功能界面截图和官方产品文档证明，并加盖厂商公章。14、支持用户在管理界面上进行终端节点/终端节点服务的创建，修改和删除。15、支持对访问负载均衡的客户端IP进行白名单安全控制，如果使用访问控制能力，则只有被允许的IP能通过ELB访问后端云服务器/物理机；如果不使用，则任何IP都可以访问该负载均衡。9台台云管1、云管理软件平台，提供运维管理和运营管理能力，运营管理实现对云服务的管理功能；运维管理实现对云服务的监控功能。支持向租户提供自服务Portal,租户登录时支持双因素认证保证安全性，租户可通过自服务Portal申请所需要的云服务；2、为保障数据中心自主可控的持续演进能力，要求云平台支持管理X86、鲲鹏、飞腾、海光服务器，支持同一个Region管理多个异构资源池；3、云平台HostOS不允许使用CentOS或衍生品，内核采用国产开源发行版；4、支持云计算、网络、存储服务，包括弹性云服务器、裸金属服务、有网络、软件负载均衡、安全组、网络ACL、虚拟专有网络、弹性IP服务、专线服务、跨VPC私网通信等云服务能力：5、为保障云平台的扩展能力，要求云平台可灵活扩展PaaS高级服务(含微服务、应用中间件、DevOps等)、大数据高级服务(含Hadoop、数据仓库、Flink等)、AI高级服务(含自然语言处理、视频技术、语音交互等)、IOT物联网服务；6、提供虚拟数据中心(VDC)管理能力，支持5级VDC管理，匹配用户的组织架构。每个VDC有独立的资源访问权限，有独立的云服务管理权限。7、支持对VDC使用的资源做配额限制，包括但不限于虚拟机、裸金属、镜像、云硬盘、对象存储、VPC、弹性IP、虚拟防火墙、虚拟负载均衡等服务。过可视化编排界面任意拖拽图元，快速完成计算，存储，网络，应署，并作为一个整体为用户服务，支撑业务快速上线；9、支持计量报表，提供包括云资源明细、基于云服务维度的统计计报表，支持订阅报表和自定义报表维度。支持自定义计量计费报表定VDC下特定区域内的对象生成表格、图表等计量计费报表。支持按周期性发送计量报10、提供统一告警管理。支持统一管理系统中物理设备(服务器、存储、网络设备)和虚拟资源的告警信息，支持告警清除、指派、调整级别、设置告警提示音等功能。支持告警转发能力，系统可按照管理员指定的规则，将不同类型告警通过短信或者邮件发送1套给不同用户、用户组进行处理；11、提供统一监控管理。支持云平台下物理资源和虚拟资源的统一监控管理。物理资源管理包括监控服务器、网络设备(交换机、路由器、防火墙、负载均衡等)、存储设备的位置信息、告警信息以及性能信息等。虚拟资源管理包括可按VDC统计服务使用情况、按资源池统计资源总量、云内虚拟网元对象性能监控信息(包括虚拟负载均衡的连接数等监控)等；12、统一巡检支持对云平台进行自动和批量巡检，巡检内容包括云平台公共组件健康状态、各云服务管理和业务面健康状态，支持输出巡检报告；13、支持自定义服务目录，包括自定义云主机、云硬盘、网络等基础云服务、自定义组合的应用服务，满足客户灵活的云服务扩展诉求。14、支持对租户侧业务和管理侧云服务进行可服务状态监控，从拨测点发送应用访问的拨测请求，对应用进行业务可用性探测，支撑运维人员主动发现当前应用是否处于故障15、支持故障根因定界，自动推断业务故障发生在哪些主机上，支撑运维人员规避故障，缩短修复时间。16、为提升资源申请效率，支持用户将需要申请的多个云服务产品一次性放入购物车，从购物车直接提交批量申请。提供功能界面截图和官方产品文档证明，并加盖厂商公章。10云规计与实施云平台规划设计与实施服务本次项目内基础软件、计算服务、存储服务、网络服务、云管平台的规划设计与实施服务1、基础软件包含：云平台操作系统和资源池运维管理平台；2、计算服务包含：弹性云服务器、镜像服务3、存储服务包含：弹性云硬盘4、网络服务包含：虚拟私有云、安全组、弹性IP、弹性负载均衡5、云管平台包含：云管平台交付和实施1套11核心1、采用2U盘控一体架构，控制器框提供≥25个硬盘槽位，端到端NVMe架构存储，不支持机械硬盘。2、控制器采用Active-Active架构，LUN不归属于某一个控制器，业务负载均衡到≥2个控制器，业务运行过程中，每个控制器的IOPS和CPU利用率差异不超过10%;并提2台供具备CNAS(中国合格评定国家认可委员会)资质的第三方权威评测机构签字盖章的测试报告，并加盖厂商公章。3、配置≥2个控制器，控制器采用多核处理器，配置控制器CPU处理器总物理核心数≥120核，提供官网处理器核数截图及链接并加盖厂商公章；4、支持控制器扩展，最大支持≥8控；存储的关键芯片(控制器CPU、系统BMC管理芯片、接口卡处理芯片、SSD控制芯片)均为国产品牌，实现关键芯片自主可控，保障数据安全可靠。5、双控一级缓存容量配置≥512GB(不含任何性能加速模块、FlashCache、PAM卡，SSDCache、SCM等),6、网络接口：配置16*10GbpsEthernet接口(含多模光模块)+8*1GbETH接口；7、硬盘：配置≥27块3.84TNVMeSSD硬盘；共配置≥36个NVME硬盘位；8、在同一个RAID组内容忍任意3盘同时失效，数据不丢且不中断业务；支持raid快速重建功能，在RAID5中，单块硬盘发生闪断，重建时间10分钟内；在RAID5中，单块硬盘大面积介质故障，热备盘重建时间不超过20分钟，支持5块及以上盘连续故障，业务不中断且数据一致。9、配置持续数据保护CDP、快照、SAN和NAS双活、克隆、精简、QoS、远程复制、CIFS、NFS、异构虚拟化等功能；10、提供高密快照CDP功能，系统支持每3秒做一次快照备份，构建持续数据保护的能力；提供无损快照功能，系统性能不因快照数量增加而CNAS评定国家认可委员会)资质的第三方权威评测机构签字盖章的测试报告，并加盖厂商公11、配置本地高可靠的双活功能，提供A-A免网关双活架构，实现两套核心存储数据双活(主机能够并发读写同一双活卷),任何一套设备宕机均不影响上层业务系统运行；一个站点发生故障后，另一个站点可自动快速拉起业务(秒级);一个站点故障恢复后，双活关系可自动恢复。提供免网关NASAA双活，存储系统支持免网关双活文件系统，客户端可以在分别两站点挂载双活文件系统，实现业务负载均衡。双活支持NFS和CIFS协议，无中断故障切换(一个站点发生故障后，另一个站点可自动快速拉起业务),切换时间小于90秒。提供具备CNAS(中国合格评定国家认可委员会)资质的第三方权威评测机构签字盖章的测试报告，并加盖厂商公章。12、提供SSD寿命监控技术，并在系统中显示每一块SSD硬盘的磨损度以及预估剩余寿13、存储厂商提供专有多路径(非操作系统自带多路径)软件，提供故障切换和负载均衡功能，支持Windows\Linux\AIX\Solaris;支持麒麟、凝思(Rocky)、红旗(RedFlag)等主流国产操作系统并提供麒麟、凝思(Rocky)、红旗(RedFlag)相互认证证书扫描件，并加盖厂商公章。。14、支持数据加密功能，可以通过与外置密管的配合实现数据的加密。数据加密模块通过国家密码管理局《商用密码产品认证证书》,提供证书复印件并加盖厂商公章。15、三年原厂维保，提供存储软调服务。121、采用2U盘控一体架构，控制器框提供≥25个硬盘槽位；存储系统采用对称AA架构，LUN和文件系统无控制器归属，在多控配置下，能够负载到所有控制器，CPU利用率差异小于5%。提供具备CNAS(中国合格评定国家认可委员会)资质的第三方权威评测机构签字盖章的测试报告，并加盖厂商公章。2、配置≥2个控制器，控制器采用多核处理器，配置控制器CPU处理器总物理核心数≥64核，提供官网处理器核数截图及链接并加盖厂商公章；3、存储的关键芯片(控制器CPU、系统BMC管理芯片、接口卡处理芯片、SSD控制芯片)均为国产品牌，实现关键芯片自主可控，保障数据安全可靠。提供具备CNAS(中国合格评定国家认可委员会)资质的第三方权威评测机构签字盖章的测试报告4、双控一级缓存配置≥256GB(不含任何性能加速模块、FlashCache、PAM卡，SSDCache、SCM等);5、网络接口：配置8*10GbpsEthernet接口(含多模光模块)+8*1GbETH接口；6、硬盘：配置≥10块1.92TSSD硬盘(非SATA接口);配置≥24块10TB7.2K硬盘7、在同一个RAID组内容忍任意3盘同时失效，数据不丢&不中断业务。8、支持冗余度不降的缩列重构，支持5块及以上盘连续故障，数据不丢&不中断业务。9、配置SAN和NAS一体化功能授权，配置NFS、CIFS、FTP、HTTP协议；提供智能加速、精简、快照、克隆、Q0S、多租户、SAN和NAS双活、配额等功能。10、存储系统支持SAN和NAS免网关一体化Active-Active双活，实现两套核心存储数据双活(对单个LUN和单个文件系统的访问可通过两个站点负载均衡到两套存储2台设备上),任何一套设备宕机均不影响上层业务系统运行；一个站点发生故障后，另一个站点可自动快速拉起业务(秒级);一个站点故障恢复后，业务可自动回切，并自动负载均衡。支持双活文件系统在线扩容和缩容，容量修改在单端完成，自动同步到对端，对双活状态无任何影响。提供具备CNAS(中国合格评定国家认可委员会)资质的第三方权威评测机构签字盖章的测试报告，并加盖厂商公章。11、提供快照功能。支持SAN高密定时快照，存储系统支持对LUN创建定时快照，最小间隔3秒，快照的创建和删除，系统性能变化幅度小于5%;支持NAS高密定时快照，存储系统支持文件系统定时快照，最小间隔15秒，创建快照，文件系统性能变化幅度小于10%;提供具备CNAS(中国合格评定国家认可委员会)资质的第三方权威评测机构签字盖章的测试报告，并加盖厂商公章。12、支持文件系统只提供一个挂载点(共享点),实现全局统一命名空间访问；提供DNS负载均衡功能。13、存储配置文件系统(NFS和CIFS)防病毒服务，支持文件实时扫描和按需扫描，按需扫描可配置扫描周期和扫描策略。14、存储厂商提供专有多路径(非操作系统自带多路径)软件，提供故障切换和负载均衡功能，支持Windows\Linux\AIX\Solaris。支持麒麟、凝思(Rocky)、红旗(RedFlag)等主流国产操作系统。15、支持数据加密功能，可以通过与外置密管的配合实现数据的加密。数据加密模块通过国家密码管理局《商用密码产品认证证书》,提供证书复印件并加盖厂商公章。16、三年原厂维保，存储软调服务。13数据机1、国产品牌拥有完全自主知识产权，提供软件著作权登记证书；2、软硬件一体化架构，集备份管理软件，备份服务器和备份存储于一体，无需配置独立备份服务器，无需配置外置备份存储；3、配置4U机箱36盘位；4个千兆网口；4个万兆光口，≥192GB内存；≥2颗多核处理器；每颗处理器物理核心≥32核，主频≥2.6GHz;4、配置≥36*8TBSATA企业级硬盘；配置≥225TB可用后端容量授权；配置持续数据保护功能。5、支持Oracle数据库指定任意时间点恢复。可自动结合归档日志将挂载后的数据恢复至副本数据保留周期内的任意一秒钟状态。1台6、软件支持生产端主流操作系统Windows、Linux、UNIX平台；7、一套备份与恢复系统，可以同时支持定时备理，实现统一管理；8、支持对Oracle、SQLServer、DB2、MySQL、SAPHANA、GaussDB、Gbase、PostgreSQL等数据库进行在线备份保护，备份任务配置过程全部图形化操作，无需编写脚本；9、支持龙芯、飞腾和鲲鹏硬件平台下的数据保护。10、支持0/P/Q/R等版本OpenStack开源云平台进行云主机无代理备份；支持云主机的自动发现备份保护。支持国产云平台(如：HCS(HuaweiCloudStack),深信服企业级云aCloud)的云主机无代理备份；11、支持按照用户的分权管理，支持管理/安全/审计/租户/用户按照权限分配不通资源和能力；支持灾备可视化，可统计整体使用情况，并且按照站点支持多域管理；支持灾备的告警上报、日志管理和报表能力；支持灾备运营管理，并且能够提供统份功能入口12、三年维保，软件一年维保，含实施服务。14器1、CPU:高性能处理器，≥2颗国产自主可控处理器，主频≥2.6GHz,单颗CPU≥32核心以上；2、内存：≥256GBDDR4服务器内存；3、网络：板载千兆网卡提供≥2个千兆以太网口，2块双口10GE光纤以太网网卡(含光模块);4、本地硬盘：配置≥2个480GBSSD热插拔硬盘；≥8个960GBSSD硬盘；配置1块RAID卡，支持RAID5、电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；6、服务器管理系统支持国产自研管理芯片；7、服务：3年维保6台15器1、CPU:高性能处理器，≥2颗国产自主可控处理器，主频≥2.6GHz,单颗CPU≥32核心以上2、内存：≥256GBDDR4服务器内存3、网络：板载千兆网卡提供≥2个千兆以太网口，2块双口10GE光纤以太网网卡(含光模块);6台4、本地硬盘：配置≥2个480GBSSD热插拔硬盘；≥8个960GBSSD硬盘；配置1块RAID卡，支持RAID5、电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；6、服务器管理系统支持国产自研管理芯片；7、服务：3年维保16es集1、CPU:高性能处理器，≥2颗国产自主可控处理器，主频≥2.6GHz,单颗CPU≥32核心以上：2、内存：≥256GBDDR4服务器内存；3、网络：板载千兆网卡提供≥2个千兆以太网口，2块双口10GE光纤以太网网卡(含光模块);4、本地硬盘：配置≥2个480GBSSD热插拔硬盘；≥8个960GBSSD硬盘；配置1块RAID卡，支持RAID5、电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；6、服务器管理系统支持国产自研管理芯片；7、服务：3年维保3台17件1、基于Apache开源社区实现，在可靠性、安全性、管理性方面进行性能增强，不使用私有架构和组件替代开源组件，各组件能够跟随社区发展进行版本升级；2、支持提供Spark+Hive组件，支持开源CarbonData高性能分析引擎，提升查询性能，实现超PB数量级数据快速查询；3、为满足自主可控要求，支持多种常见国产操作系统(欧拉OS、中标麒麟、银河麒麟、统信UOS等)。4、实现传统关系型数据库binlog到数据湖数据的增量同步，支持数据update/delete能力写入文件系统。。提供功能界面截图和官方产品文档证明，加盖厂商公章。5、支持提供HBase组件，基于社区2.x版本；6、支持提供ElasticSearch组件，实现数据实时检索；7、支持提供交互式查询组件，支持以下功能：跨数据源、跨数据中心的协同计算能力，支持数据源包括HiveHBaseElasticsearchHudiClickHouseMPPDBMPP数据库实现跨平台的协同计算能力；8、支持提供ClickHouse实时分析组件；2点9、流处理组件支持在流上执行类SQL任务，SQL能力至少包括：过滤、转换、基于窗口的计算能力、提供窗口数据的统计能力、关联能力、流数据的拆分与合并；10、支持集成Flume、SparkStreaming、Flink组件；FlinkSQL支持写入多种数据源：Kafka、HDFS、HBase、ClickHouse、Hudi、Redis;可提供可视化FlinkSQL作业提交和任务管理能力；11、为保障数据存储安全，大数据平台支持标准加密算法AES、支持国密算法SM4,并支持自定义加密算法，支持基于策略和角色的权限控制。12、支持滚动升级能力，业务不中断。支持一次升级少量节点、循环滚动，直至集群所有节点完成升级。提供功能界面截图和官方产品文档证明，加盖厂商公章。13、提供图形化集群健康巡检工具，能够检查集群相关节点、服务的健康状态，可提前发现集群中潜在的问题，并生成健康检查报告，方便快速了解系统的健康状况。14、所投大数据平台支持X86、ARM单集群内混合部署。18网超融合机1、超融合架构，不需要外置SAN存储，存储系统为分布式ServerSAN架构，可配置3副本或EC(纠删码),满足不同可靠性要求的业务场景。可在统一个管理界面中监控和管理计算、存储、交换机、虚拟化平台。2、超融合方案中虚拟化软件、分布式存储软件、管理软件采用自主可控的操作系统。3、CPU:≥2颗，主频≥2.1GHz,单颗CPU≥26核心以上；4、内存：≥384GBDDR4服务器内存；5、网络：千兆网卡提供≥2个千兆以太网口，2块双口10GE光纤以太网网卡；6、本地硬盘：配置≥2个600GB10KSAS热插拔硬盘，≥5个1.92TBSASSSD硬盘7、电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；8、软件：提供计算虚拟化、存储虚拟化、内存虚拟化功能；提VDC拟私有云VPC、安全组等功能；配置所需的分布式存储授权9、服务：3年维保，含交付服务10、支持全闪存场景下的全局自适应重删压缩，可根据业务负载自动在在线重删和后重删之间进行切换。存储系统支持重删压缩功能，压缩比≥10,性能下降≤15%;提供具备CNAS(中国合格评定国家认可委员会)资质的第三方权威评测机构签字盖章的测试报告，并加盖厂商公章。11、当磁盘故障时，系统能自动进行数据快速重构，1TB重构时间≤15分钟。4台12、支持磁盘拔出和换位的容错功能，2块磁盘被拔出，能够产生自动告警，5分钟内互换槽位插入，系统不发生数据重构。13、支持灵活的EC配比，提升磁盘利用率，在全SSD配置及SSD+HDD混合配置下，均支持EC(ErasureCode)算法实现数据冗余存储，支持2+2,4+2,6+2,8+2多种冗余配14、支持EC缩列，节点故障EC不降级，当节点故障时，自动调整EC配比，确保数据可靠性不降级；提供具备CNAS(中国合格评定国家认可委员会)资质的第三方权威评测机构签字盖章的测试报告，并加盖厂商公章。15、超融合系统支持配置EC双活的能力。提供具备CNAS(中国合格评定国家认可委员会)资质的第三方权威评测机构签字盖章的测试报告，并加盖厂商公章。19容灾1、提供90个虚拟机的容灾备份管理调度能力。2、支持数据库、应用在线备份及高可用切换功能，如Oracle、DB2、MySQL、达梦、南大通用、Informix、SQLServer、Exchange、LotusNotes、SybaseASE、人大通用、SAPHANA、Cache等多种数据库或应用系统；3、支持Windows/Linux操作系统，满足对32/64位系统平台及应用支持，满足IT系统复杂性和兼容性需求，在各种操作系统上，具有相同的操作界面；4、全面支持各类虚拟化平台，如MicrosoftHyper-V、WMware、Citrix等及国产服务器虚拟化平台如CNware、华为、浪潮、曙光、华三等，支持生产端与拟化平台；5、支持WEB方式便捷管理，所有软件功能均为模块化功能，可在控制台进行统一管理。所有界面和支持手册均是中文全中文图形化提供系统管理、复制管理、高可用管理、实用工具、日志管理等；6、支持丰富的通知告警功能，即时的故障告警功能。提供电子邮件、云短信平台及内网环境下SIM短信通知；7、支持基于实时的字节级增量数据捕获技术(非快照类、块级传输),实现各类系统及数据库应用级容灾功能。8、支持源端与目标端数据进行在线的MD5值对比校验确保数据一致性，并生成报告；9、支持字节级别的实时复制功能，能不受距离限制的复制，不受容量限制；10、支持自由设置主、备应用在切换之前、之后需执行的自定义脚本，在整个业务切换套过程中，能够流程化自动启停相应的应用服务，确保切换后业务系统对外提供服务；11、支持WEB方式便捷管理，所有软件功能均为模块化功能，可在控制台进行统一管理。所有界面和支持手册均是中文全中文图形化提供系统管理、复制管理、高可用管理、实用工具、日志管理等；20乡镇院前1、CPU:配置1颗处理器，≥11M缓存，每处理器≥8核，主频≥2.1GHz2、内存：配置≥16GB;3、网络：提供≥4个千兆以太网口；4、硬盘：配置2块2.4TB10KSAS磁盘；配置1块RAID卡，支持RAID0.15、电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；6、服务：3年维保台1操作系统软件1基于CentOS内核的国产信创操作系统套2作系统软WindowsServer2019标准版套3数据件1套1维护1、对网络、存储、服务器设备等进行监控及故障报警；2、对机房供电、漏水、消防、温湿度等进行监控及故障报警1套11、支持交换容量≥130Tbps,支持包转发率≥25000Mpps;2、整机高度≤10U,深度≤800mm,可放于800深机柜，与传输共柜；2台器(医入区)3、设备支持双主控双交换架构，电源、风扇等部件冗余设计，支持主控交换板卡、电源、风扇、业务板卡的热插拔；4、整机线卡槽位数≥14个；5、设备支持100GE、50GE、40GE、25GE、10GE、GE、FE、E1、POS、CPOS等接口类型，6、设备支持100GE/40GE自适应端口、25GE/10GE自适应端口，以及10GE/GE自适应端7、支持1G粒度的网络硬切片能力；8、支持L2VPN的随业务流的检测技术；9、硬件配置配置：双主控转发单板，双交流电源；2端口100GBase/50GBase-QSFP28FlexEMACsec物理接口卡≥1;4端口10G-SFP+物理接口卡≥1;10端口100/1000Base-X-SFPMACsec物理接口卡≥4;高速光模块-QSFP+-10km≥1;光收发一体模块(SFP+,1310nm,10Gb/s,-8.2~0.5dBm,-12.6dBm,LC,单模，10km)≥4;光收发一体模块(eSFP,1310nm,1.25Gb/s,-5~0dBm,-23dBm,LC,单模，40km)≥33;10、接入路由器设备关键芯片(主控CPU芯片、NP转发及交换接入矩阵芯片)采用自研国产化芯片(提升医共体系统的自主可控能力),须提供权威第三方报告复印件，并加盖厂商公章。防火墙(医入区)1、万兆光口≥28;40G接口≥4;支持万兆HA口≥2;SSLVPN并发数实配100可扩展15000;IPSecVPN隧道≥60000,虚拟防火墙数量≥1000,配置双电源；2、防火墙吞吐量≥80Gbps,最大并发连接数≥2500万，每秒新建连接数≥80万；3、IPSec吞吐量≥70Gbps,SSLVPN吞吐量≥6Gbps,SSL代理吞吐量≥12Gbps;4、IPS吞吐量≥24Gbps;5、当风扇模块出现故障时，可以在防火墙不断电的情况下，对风扇模块进行更换；6、配置4个风扇，形成3+1冗余备份；7、支持IPv6协议栈、IPV6穿越技术、IPV6路由协议；支持NAT66,NAT64,6RD隧道；8、支持对HTTPS,POP3S,SMTPS,IMAPS加密流量代理解密后，并进行内容过滤，审计，2台安全防护；9、标准机架式1U设备；10、实配：态硬盘：≥960G固态硬盘；40G多模模块：≥2个；40G单模模块≥1个；威胁防护授权(IPS,AV,URL)≥3年；1器(互1、支持交换容量≥85Tbps,支持包转发率≥12000Mpps;2、整机高度≤2U,深度≤300mm,可放于300深机柜，与传输共柜；3、设备支持双主控双交换双转发架构，支持电源冗余，要求所有主控、业务板卡及电源均可热插拔；4、整机线卡槽位数不少于6个；5、设备支持50GE/25GE/10GE/GE/FE/CPOS/E1等接口类型；6、设备10GE端口支持网络硬切片；7、支持L2VPN的随业务流的检测技术；8、业务板卡配置：主控交换板≥2个，双电源；4端口10GE(SFP+)/GE(SFP)物理接口卡(支持切片&MACsec):≥1块；10端口100/1000Base-X-SFP物理接口卡(支持MACsec):≥1块；10多模模块≥2个；10G单模≥2个；千兆多模≥2个；千兆单模≥2个；9、出口路由器设备关键芯片(主控CPU芯片、NP转发及交换接入矩阵芯片)采用自研国产化芯片(提升医共体系统的自主可控能力),并提供权威第三方报告复印件，并加盖厂商公章；10、设备10GE端口支持网络硬切片(FlexE);2台2墙(互1.防火墙吞吐量≥25Gbps,最大并发连接数≥1000万，每秒新建连接数≥25万，IPS吞吐量≥10Gbps;IPS吞吐量≥10Gbps;IPSecVPN吞吐量≥15Gbps,SSLVPN吞吐量≥1.5Gbps;2.实配：千兆Combo接口≥8,千兆电口≥4,千兆光口≥4,万兆光口≥6,威胁防护授权(IPS,AV,URL)≥3年，硬盘：≥240G固态硬盘；10G多模模块≥6个；3.当风扇模块出现故障时，可以在防火墙不断电的情况下，对风扇模块进行更换；2台4.支持USB3.0;双电源；配置4个风扇，形成3+1冗余备份；5.标准机架式1U设备：6.支持2条万兆光Bypass链路；7.边界防火墙产品采用国产化的关键芯片(CPU)(提供国家相关部委认可的第三方实验室测试报告证明，提供报告复印件并加盖厂商公章),提升产品自主可控能力；9.支持URL识别能力和URL地址识别库，云端URL识别库≥1.4亿；10.支持全面NAT功能，对多种应用层协议支持ALG功能，包括DNS、FTP、H323、MSN、Netbios、PPTP、RSH、RSTP、SIP、SQLnet等；11.支持NAT地址复用技术，可实现单个公网IP地址的无限制端口转换，可有效解决地址短缺问题；12.支持URL识别能力和URL地址识别库，云端URL识别库≥1.4亿；13.可识别应用层协议数量≥6000种；14.系统预定义IPS签名数量≥12000,支持用户自定义签名规则，支持正则表达式，病毒库数量≥500w;15.支持恶意域名过滤，实现对C&C进行阻断；3备(互1、硬件形态：标准机架式1U设备；3、支持内置bypass卡；4、支持风扇冗余和可插拔更换，当风扇模块出现故障时，可以在设备不断电的情况下，对风扇模块进行更换；5、严格前后风道；6、HTTPCC攻击防御能力：支持基于行为分析防御针对WEB、APP的HTTPCC/大资源高频请求攻击；7、报表功能：系统支持综合报表查询，报表内容包含攻击趋势、流量对比、攻击类型分布、攻击事件TOPN、流量TOPN等，支持报表导出。8、CPU芯片采用国产化芯片(提升医共体自主可控能力)9、配置：≥1块bypass卡，双电源，10G多模模块≥2个，10G单模模块≥4个，清洗能力≥20G;2台4安全中心(互联网1、设备管理：设备发现、设备管理(防火墙、IPS和AntiDDoS)、设备组管理(支持3级)、虚拟系统管理、配置一致性检查、设备单点登录、双机热备组管理、自定义分权分域、系统模板、设备监控、全局监控；2、对象管理：地址、服务、时间段、NAT地址池、安全域、URL分类、入侵防御、反病毒、URL过滤、APT防御、应用主机、网络分区、应用、应用组；3、策略编排：基于网络分区、应用互访关系、安全服务、VPC,自动化下发安全策略；4、服务器配置：CPU≥2*10C0RE,内存≥64G,系统盘：≥2*600GSAS,日志盘：≥4*6000GB-SATA,网口：≥6*GE电口+4*10GE光口(含2个光模块);电源：≥2*900W电源；1套5行为(互联网1.机架式独立硬件设备，系统硬件为全内置封闭式结构，多核架构设计MIPS架构，功能采用模块化结构设计，加电即可运行，启动过程无须人工干预；2.最大功率≤120W;支持硬件Bypass模块，在设备断电、重启时，可自动切换到Bypass状态，当设备恢复时，可自动切换回工作状态；3.支持10M/100M/1000M自适应电接口数量≥12,支持千兆光接口数量≥12;4.网络吞吐量≥8.5Gbps,应用性能≥3Gbps,最大并发连接数≥70万，新建连接数≥3.5万，内存≥2G,硬盘≥2T,三年特征库升级授权；5.支持4GUSB插卡，支持在4G接口上运行IPSecVPN。6.接口实际配置支持secondIP地址每个接口要求支持至少200个secondIP。7.支持IP准入、MAC准入、IP+MAC准入、本地认证、Portal认证、Radius认证、LDAP认证、POP3认证、AD域单点登录、短信认证、微信公众号认证、APP认证、IC卡认证、二维码认证、混合认证和免认证，其中微信公众号认证支持通过小程序获取手机号；支持对接ACController、IMC、AAS、SMP、深澜、城市热点、PPPOE、安美等常见认证服务器；;8.应用特征不少于5000个，移动应用不少于450个；9.支持在设备旁路部署时针对违规上网行为进行阻断过滤；10.支持基于全局或链路进行DNS透明代理，支持指定DNS或继承链路DNS配置，针对多链路支持基于优先级、权重、流量算法进行DNS负载；拟身份(如QQ号码、微博账号等)、日志关联情况、全天流量使用分布、网站访问类别分布、全天关键网络行为轴等信息。台6负载设备(互联网1.4层吞吐量(默认网口)≥20Gbps,并发连接数≥16000000,4层新建连接数CPS≥500000,7层新建连接数RPS≥5000002.规格：2U,电源：冗余电源，内存大小≥16G,硬盘容量≥240GSSD,接口≥6千兆电口+2万兆光口SFP+3.通过某种编程语言(如lua)实现自定义的流量编排，对IP、TCP、UDP、SSL、HTTP和HTTPS等类型的流量进行分发、修改和统计等操作4.支持静态IP和PPPOE两种线路接入方式5.支持基于五元组条件(源IP地址，源端口，目的IP地址，目的端口，传输层协议号)来进行出站访问的流量调度分发6.内置完备的IP地址库，无需手动导入并支持自动全网更新，可查看并编辑国内各省份的IP地址段、国内各大运营商IP地址段和国外各个国家IP地址段，并可灵活匹配IP地址库进行流量调度分发，实现链路负载功能7.支持基于URL的链路调度功能，内置不少于10万条的国外URL网址库，无需手动导入并支持自动更新，管理员可查看。可根据URL将访问国外网站的请求调度到指定线路8.支持多种链路检测方法，能够通过PING、TCP、HTTP等方式监控链路的连通性，当某一条链路故障时，可将访问流量切换到其它链路，保障用户业务的持久通畅9.支持链路负载投屏展示，能够分别基于链路监测、应用选路和ISP流量进行投屏展示分析。链路监测展示链路的健康状态、上下行带宽、总带宽、和吞吐量；应用选路展示基于应用分类选择相应链路的示意图ISP类选择链路的示意图10.支持TCP和UDPDNS解析能力，支持设置EDNS缓冲区大小11.支持设置允许递归的访问控制列表信息，避免递归查询带来的性能消耗，同时防止12.支持DNS缓存，可配置全局缓存最小时间和最大时间，并可设置MSG缓存大小、RR缓存大小、密钥缓存大小、否定记录缓存大小和否定记录最大缓存时间13.支持发布HTTPDNS,降低DNS劫持风险，避免DNS缓存问题14.支持标准的DNS服务，支持正向解析和反向解析功能，支持常用的记录类型，包括A、AAAA、CNAME、DNAME、MX、NS、TXT、PTR、SRV、DS、CAA、HINFO和NAPTR等15.支持将客户端证书或证书指定的项(Subject、Issuer、Validity、SN、NotBefore、2台NotAfter、CommonName、PublicKey)插入至HTTPHeader或URL或Cookie当中，并且能按照以上三种方式同时插入16.支持大数据输出功能，输出必须包括客户端IP、x-forwarded-ForIP、访问时间、访问IP、访问URL、响应时间和资源大小7VPN网关1.性能要求IPSecVPN吞吐量≥25Gbps;IPSecVPN隧道数≥15000,SSLVPN并发在线最大用户数≥2000;实配≥1000个SSLVPN并发授权；2.实配：千兆Combo接口≥8,千兆电口≥4,千兆光口≥4,万兆光口≥6,硬盘：≥240G固态硬盘；10G多模模块≥≥6个；3.当风扇模块出现故障时，可以在不断电的情况下，对风扇模块进行更换；4.支持USB3.0;双电源；配置4个风扇，形成3+1冗余备份；5.标准机架式1U设备，严格前后风道；6.支持IPv6协议栈、IPV6穿越技术、IPV6路由协议；支持IPv6overIPv4隧道，6RD隧道；告证明，提供报告复印件并加盖厂商公章);8.支持全面NAT功能，对多种应用层协议支持ALG功能，包括DNS、FTP、H323、MSN、Netbios、PPTP、RSH、RSTP、SIP、SQLnet等；9.支持SSLVPN功能，支持国密和其他商用密码算法，支持TLS1.0-1.3的证书协商；2台1交换机(互1、支持灵活插卡：8*100GE,16*40GE,2*100GE+24*25GE/10GE光2、丰富的数据中心特性：M-LAG、VxLAN、EVPN、iStack、Telemetry、微分段3、智能无损：满足AI业务需求4、开放对接：开放标准的Netconf接口5、智能运维：支持Telemetry,实时监测网络健康状态6、实配：≥24端口25GESFP28,≥2端口100GEQSFP28接口；≥16端口40GEQSFP+接口；40G多模模块≥2个；7、交换容量≥6.4Tbps,包转发率≥2030Mpps,2台8、插卡数量≥4;9、电源1+1备份；10、设备缓存≥32MB;2交换机(互1.交换容量≥4.8Tbps(以官网所列最低参数为准),包转发率≥2000Mpps(以官网所列最低参数为准);2.电源1+1备份，风扇框3+1备份；3.端口缓存≥32M;提供权威第三方测试报告并加盖厂商公章；4.支持前后、后前风道：5.100GE光接口≥6个，10GE光端口数量≥48个，10G多模模块≥48个，40G多模模块≥4个，40G高速电缆≥1根(或2个40G多模模块);6.关键芯片CPU为国产自研芯片(提升医共体系统整体自主可控能力);7.支持ERPS以太环保护协议(G.8032);8.支持Netstream,9.支持硬件BFD(BidirectionalForwardingDetection)3.3ms检测间隔；10.支持VxLANOAM:VxLANping,VxLANtracert;11.支持AIECN技术，能根据现网流量模型智能调整无损队列的ECN(拥塞控制通告)门限，保障零丢包下的低时延和高吞吐，让无损业务达到最优性能；12.支持动态负载均衡，多路径场景下，度量各个链路的拥塞状态，选择拥塞最轻的链路转发报文；2台3机(互1.交换容量≥4.8Tbps(以官网所列最低参数为准),包转发率≥2000Mpps(以官网所列最低参数为准);2.电源1+1备份，风扇框3+1备份3.端口缓存≥32M;提供权威第三方测试报告并加盖厂商公章；4.支持前后、后前风道；5.100GE光接口≥6个，10GE光端口数量≥48个，10G多模模块≥48个，40G多模模块≥4个，40G高速电缆≥1根(或2个40G多模模块);6.关键芯片CPU为国产自研芯片(提升医共体系统整体自主可控能力);7.支持ERPS以太环保护协议(G.8032);8.支持Netstream,2台9.支持硬件BFD(BidirectionalForwardingDetection)3.3ms检测间隔；10.支持VxLANOAM:VxLANping,VxLANtracert;11.支持AIECN技术，能根据现网流量模型智能调整无损队列的ECN(拥塞控制通告)门限，保障零丢包下的低时延和高吞吐，让无损业务达到最优性能；12.支持动态负载均衡，多路径场景下，度量各个链路的拥塞状态，选择拥塞最轻的链路转发报文；4库审计(业用区)1.最大硬件吞吐量：≥2Gbps,SQL处理性能：≥30000条SQL/s,日志检索性能：≥500000条/秒，最大数据库纯SQL流量：≥400Mb/s,数据库实例个数：不少于30个。2.规格：1U,内存大小：≥8G,硬盘容量：≥2TBSATA,电源：单电源，接口：≥10千兆电口+≥4千兆光口sfp+≥2万兆光口SFP+3.采用B/S管理方式，无需在被审计系统上安装任何代理；无需单独的数据中心，一台设备完成所有工作；提供图形用户界面，以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务；4.支持主流数据库Oracle、SQL-Server、DB2、MySQL、Informix、Sybase、Postgresq1、Cache、达梦、人大金仓、南大通用、其中MongDB、K-DB,虚谷支持定制5.支持白名单审计，系统使用审计白名单将非关注的内容进行过滤，不进行记录，降低了存储空间和无用信息的堆砌6.精细化日志秒级查询：通过SQL串模式抽取保障磁盘I0的读写性能；分离式存储SQL7.自定义报表拖拽：通过自定义报表拖拽功能可以随意拖拽用户预期的统计报表，帮助用户提升通过高级选项筛选报表的可读性，更方便达到预期效果。8.支持以风险级别、源IP、业务主机、数据库用户、风险类型为维度的数据库风险排9.内置大量SQL安全规则：导出方式窃取、备份方式窃取、导出可执行程序、备份方式写入恶意代码、系统命令执行、读注册表、写注册表、暴露系统信息、高权存储过程、执行本地代码、常见运维工具使用grant、业务系统使用grant、客户端spaddrolemember提权、web端spaddrolemember提权、查询内置敏感表、篡改内置敏感表等；10.支持以时间、源IP、客户端程序、业务系统、数据库用户、数据库名、操作类型、台表名、返回行数、影响行数、响应时长、响应码、策略、规则、风险级别、SQL模版为条件的数据库风险查询；11.提供管理员权限设置和分权管理，提供三权分立功能，系统可以对使用人员的操作进行审计记录，可以由审计员进行查询，具有自身安全审计功能；12.可以实时监控系统的CPU使用率，内存使用率和磁盘占用率。快速定位系统的负载压力和系统运行状况；13.生产厂商具备中国网络安全审查技术与认证中心的信息安全软件开发服务资质；51.网络层吞吐量≥15G,应用层吞吐量≥6G,并发连接数≥200万，新建连接数(CPS)≥90000,IPSecVPN最大接入数≥1000,IPSecVPN加密速度≥700M2.规格：2U,内存≥8G,存储≥128G+480GSSD+4tsata,,电源：冗余电源，接口≥16千兆电口+4千兆光口SFP+4万兆光口SFP+,3.产品支持路由类型、协议类型、网络对象、国家地区等由，支持不少于3种的调度算法，至少包括带宽比例、加权流量、线路优先等4.产品支持IPSecVPN智能选路功能，根据线路质量5.产品支持IPSecVPN链路优化功能，在高丢包场景下，依然保障业务流畅访问体验6.产品