佛山市高明区人民医院信息安全整改加固项目简要需求1、项目背景.docxVIP

佛山市高明区人民医院信息安全整改加固项目简要需求 项目背景 根据《网络安全法》、《计算机信息网络国际联网安全保护管理办法》等相关规定，我院将对已有信息系统加强安全保护，本项目通过采购运维堡垒机、综合日志审计平台、数据库审计平台各1台，并实施整改加固，达到第一阶段网络安全要求。 本次项目包括：硬件采购及安全整改加固内容。 主要参数要求 1、运维堡垒机 技术指标 技术要求 硬件配置 软硬件一体化产品，1U、磁盘空间不少于2T、至少配备6个100/1000M自适应电口，至少配备4个千兆光口 可管理设备数量 可管理设备数量至少200个，运维用户无限制 并发性能 单台堡垒机字符类并发会话≥200个、图形类并发会话≥50个 系统安装与存储 系统须安装在专用的CF卡或固态盘中，审计数据存储在磁盘中，防止操作系统故障导致审计数据丢失。 设备部署 设备采用旁路部署，不得影响业务环境；须支持HA主备模式，管理口和心跳口须支持多链路端口绑定功能，防止单网卡或单线故障。 支持多台堡垒机异地备份部署，每台设备都能提供运维和审计服务，配置数据自动同步 用户管理要求 支持用户多角色划分功能，如系统管理员、配置管理员、普通用户、审计管理员、密码管理员等，对各类角色需要进行细粒度的权限管理 支持用户的批量导入/导出，按用户类型等分组方式；支持用户安全策略功能，如密码锁定次数、密码有效期、密码复杂度、用户有效期、用户登录时间限制、用户登录IP范围等 支持按部门组织架构（至少5个层级的部门）管理用户数据、资产数据、授权数据、审计数据。 每个部门可以管理本部门及下级部门的用户角色：部门管理员、配置管理员、审计管理员、普通用户 每个部门的部门管理员可以管理本部门及下级部门的主机、授权关系、策略 每个部门的审计管理员可以管理本部门及下级部门的运维会话日志 身份认证要求 支持与AD、LDAP、RADIUS、短信口令等认证系统联动登录堡垒机，支持自动同步AD/LDAP用户 支持手机APP动态口令认证方式登录堡垒机，且新用户首次登录后需强制绑定APP动态口令。 堡垒机须内嵌动态令牌和usbkey认证引擎，可同时使用动态令牌和USBkey，且认证引擎须具备原认证引擎厂家授权和资质 基于不同的用户设置不同的双因子认证模式，如user1用动态令牌、user2用USBkey、user3手机APP动态口令认证（须提供相关截图证明并加盖原厂公章）； 系统级账号三权分立，系统级账号包括：系统账号管理员，系统审计员，系统管理员；业务管理员以业务管理权限范围实现不同业务管理员权限的完全隔离，可设置业务管理员可管理的用户组和资源组范围。 支持域认证与双因子认证结合使用，如同时使用AD/LDAP用户名+AD/LDAP密码+手机APP动态口令登录堡垒机、同时使用AD/LDAP用户名+AD/LDAP密码+短信口令登录堡垒机 支持认证方式的全局设置：可以选择启用哪种或者哪几种认证登录窗口。 设备管理要求 支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin；可通过应用发布的方式进行协议扩展，如数据库Oracle、MSSQL、MySQL、DB2、VMware vSphere Client、AS400等客户端工具 支持oracle、mysql、sqlserver数据库协议代理运维，可直接调用本地windows系统的数据库客户端工具，支持自动登录、无需应用发布前置机。 IE代填应用发布：HTTP/HTTPS协议的web设备，且可以直接代填账号和密码 支持对设备进行按设备类型分组、按部门分组，支持设备批量导入/导出 支持设备帐户和密码的自动登录、手工登录、半自动登录模式 支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系，甚至可自动完成授权（需提供国家权威机构证明并加盖原厂公章） 导出的设备信息文件加密存储，解密时须由2个管理员同时解密才能查看到设备信息文件内容 工单流程要求 运维人员可以向管理员申请需要访问的设备，申请时可以选择：设备IP、设备账户、运维有效期、备注事由等，并且运维工单以邮件方式通知管理员。 管理员对运维工单进行审核之后以邮件方式通知给运维人员；如果允许，则运维人员才可访问；否则就无法访问。 自动改密要求 支持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能。 自动修改windows服务器密码无需在目标服务器上安装agent、开启telnet服务等 支持完善的自动改密策略，包括改密前发送密码、发送失败不改密、改密后发送密码、密码文件加密、密码强度控制、自动密码恢复等。发送方式包括邮件、FTP、SFTP等 运维方式要求 Web访问方式：至少支