具有等级保护测评资质的单位对柳州市人民医院医疗信息集成平台系统、柳州市人民医院电子病历系统、柳州市人民医院HIS系统进行测评服务,通过等保测评。(网络安全等级保护:3级) 一、基本要求: 1、依据《信息安全等级保护管理办法》(公通字[2007]43号)和《网络安全等级保护定级指南》(GB/22240-2020)、《网络安全等级保护基本要求》(GB/T 22239-2019)对柳州市人民医院医疗信息集成平台系统、柳州市人民医院电子病历系统、柳州市人民医院HIS系统开展安全等级(三级)测评工作,指导采购人制定整改方案和开展整改,完成现场测评后正式等级测评并逐一出具出具符合国家网络安全等级保护管理部门规范要求、公安机关认可的网络安全等级测评报告; 2、上述信息系统的安全等级测评内容应包括技术和管理两大类,其中技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面的测评,管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等方面的测评,并提出安全整改建议; 3、在等级保护测评过程中,应采用访谈、检查、测试、工具扫描等国际国内认可的先进方法和手段进行,并与国家相关规范及标准的要求相符。测评中必须采用专业的国内安全扫描设备及软件产品辅助测评工作的完成。在竞标文件中详细描述所采用的测评方法。 4、对信息系统进行验证测试和渗透测试,检测例如SQL注入和跨站脚本等常见安全漏洞,并提供漏洞修补建议,及时采取适当的处理措施进行修补,有效阻止安全隐患被利用和发生安全事件。 二、提供堡垒机作为运维服务 1.软硬件一体化产品,2U、磁盘空间不少于1.5T(组成raid1)、至少配备4个100/1000M自适应电口,千兆业务光口≥4(含2个千兆SFP多模光模块)。 2.可管理设备数量≥1000个,软件功能无限制。单台堡垒机字符类并发会话≥1000、图形类并发会话≥300。 3.设备采用旁路部署,不得影响业务环境;支持HA主备模式,管理口和心跳口须支持多链路端口绑定功能,防止单网卡或单线故障。 4.支持用户多角色划分功能,如系统管理员、部门管理员、运维员、审计管理员、密码管理员等,对各类角色需要进行细粒度的权限管理。 5.支持按部门组织架构(至少5个层级的部门)管理用户数据、资产数据、授权数据、审计数据。 6.每个部门可以管理本部门及下级部门的用户角色:部门管理员、运维管理员、审计管理员、运维员。 7.支持与get、post、soap发送方式的http短信网关平台进行联动,实现短信动态口令双因素认证机制,如与阿里云短信服务、SendCloud联动。 8.支持手机APP动态口令认证方式登录堡垒机,且新用户首次登录后须强制绑定APP动态口令。 9.基于不同的用户设置不同的双因子认证模式,如user1用动态令牌、user2用USBkey、user3手机APP动态口令认证。 10.支持常用的运维协议:SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin;可通过应用发布的方式进行协议扩展,如数据库Oracle、MSSQL、MySQL、VMware vSphere Client、浏览器等客户端工具。 11.支持DB2、oracle、mysql、sqlserver数据库协议代理运维,可直接调用本地windows系统的数据库客户端工具,支持自动登录、无需应用发布前置机。 12.★IE代填应用发布:HTTP/HTTPS协议的web设备,且可以直接代填账号和密码。(签订合同前需提供功能截图并加盖公章) 13.可以通过socks5/http/ssh等代理协议连接管理异地云资源区中私有网络的云主机。 14.支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系,甚至可自动完成授权。 15.支持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能;支持完善的自动改密安全保护机制,包括:改密前备份、备份失败不改密、改密后备份、密码文件加密;支持发送方式,包括邮件、FTP、SFTP等。 16. H5运维方式:支持ssh、telnet、rlogin、rdp、vnc协议的H5运维,无需本地运维客户端工具。 17.支持通过堡垒机页面直接调用本地Windows系统里的plsql、sqlplus、toad、sqlwb、ssms、mysql.exe等数据库客户端工具。 18.支持使用本地的SecurCRT/Xshell/OpenSSH工具通过SSH网关代理方式直接登录字符设备。 19.支持在mac电脑里使用navicat工具通过堡垒机登录mysql、oracle等数据库服务器。 20.支持保存SSH的sz/rz命令(zmodem)传输的原始文件;支持保存RDP粘贴板(桌面之间复制-粘贴)传输的原始文件;支持保存RDP磁盘映射传输的原始文件。 |