****医科大学附属第*医院信息中心****公告

*、 公告内容:本项目为****医科大学附属第*医院茶亭院区安全 行为 审计 系统 项目

*、建设目的:通过安全 行为 审计 系统 , 加强监管运维人员对服务器的运维行为,提高医院网络的安全可靠性 。

*、建设内容:安全 行为 审计 系统 项目 *套 。

技术要求:

(*) 要求支持虚拟化或者物理机服务器环境的安装部署;支持 ***站式运维,满足多终端、无插件化快速运维;支持****/****双栈网络;提供堡垒机运维配套用的手机端***,可直接在***上远程审批工单、管理用户和资源、监控实时会话,管理员无需在电脑前值守,提升管理员远程管理运维审计便捷性;本次要求提供不少于****个资源授权许可;含*年厂家售后服务。

(*) 支持扩展多节点集群部署,实现负载均衡,以承载高并发量保证服务高可用性。

(*) 支持多因子认证,方式包括手机令牌、手机短信、动态令牌、国密 ******、指纹识别等多因子认证方式;支持微信小程序动态口令认证方式登录堡垒机,且当用户需要使用手机令牌登录时,需要强制绑定手机令牌。

(*) 支持认证方式组合使用,例如使用 **域+手机短信、******认证+手机令牌等多种组合方式登录,支持按用户访问的源**地址进行不同的认证方式,例如名单内多因子登录,外网***拨号接入需要使用双因子。

(*) 支持角色权限细粒度划分,包括下载历史会话、安全配置、网络配置、 **配置、端口配置、外发配置、认证配置、工单配置、告警配置、系统风格等权限划分。

(*) 支持用户信息的批量修改,包括重置密码、移动部门、更改角色、删除网盘数据、解除手机令牌、删除指纹、修改有效期、修改时段限制、修改 **地址限制、***地址限制。

(*) 支持对部门设置 **段安全码,**段安全码由*个管理员保管,可使用**段安全码对导出的敏感数据进行加密,解密时需要*个管理员同时解密。

(*) 支持的运维协议包含 ***、***、***、******、***、***、****、***、*****、******、*** ******、**********、******、**、*****等。

(*) 支持应用发布防跳转功能,进行 ****/*****访问过程时运维人员仅允许访问授权地址。

(**) 支持云主机资源批量导入,包括阿里云、*度云、华为云、腾讯云、 ******、***、*****云平台的资源,支持设置优先导入公网和内网**设置,支持导入同时批量新建标签。

(**) 支持根据部门、用户、用户组、资源账户、账户组、双人授权、动态令牌、有效期、文件传输控制(上传、下载)、上行剪切板、下行剪切板、水印、 ***识别、磁盘映射、***剪切板控制、键盘审计控制、时间限制(允许登*、禁止登*)、**限制(黑白名单)为条件,细粒度地进行访问控制。

(**) 支持针对核心设备可配置双人授权,需要管理员现场审批才能访问资源。动态令牌授权:针对核心设备,除可以配置双人授权外,也可以通过动态令牌进行授权,运维员需要拿到动态令牌才可以对资源进行运维。

(**) 支持对数据库协议访问操作进行控制,可基于库、表、命令实现对数据库操作的细粒度访问控制,执行动作包括但不限于断开连接、拒绝执行、动态授权、允许执行。

(**) 支持直接拖动改变访问控制策略、命令控制策略和数据库控制策略的优先级顺序。

(**) 支持按照执行账户和执行账户组支持账户同步策略,执行方式支持手动执行、定期执行、周期执行同步策略支持拉取账户和推送账户,当账户密码不*致时允许更新账户密码,账户不存在时允许创建账户,存在非纳管账户时允许删除账户,执行日志支持查看账户执行结果(主机执行概要,拉取账户、新建账户、删除账户成功和失败数量)并支持结果下载。

(**) 支持关联 **与账户名相同,但是协议不同的资源账户,关联后,任*资源账户密码改变,其余资源账密码均同步改变。

(**) 支持改密完成之后,通过邮件将密码发送给指定的管理员,需要指定 *个管理员,管理员*收到前半段密码,管理员*收到后半段密码。

(**) 支持不限操作系统类型,无需安装任何客户端插件,使用浏览器通过 **方式即可直接运维***、***、******、***、******、****资源。支持**运维过程中通过群发命令,实现共享运维、多人协同运维。

(**) 支持 ***、***、******、***协议资源的批量登录功能,并且支持混合协议的批量登录,支持同时在*个页面运维不同协议的资源。

(**) 支持运维过程中邀请其他用户参与、协助操作;会话协同过程中,协同者可以申请控制会话,创建者可以强制获取控制权。

(**) 支持以云盘形式在堡垒机上存储常用文件,实现操作端、堡垒机和目标资源*者之间文件共享,包括支持多文件和文件夹下载,文件展示最近修改时间和权限。

(**) 支持申请工单支持文件管理、 ***剪切板、磁盘映射、键盘审计、剪切板审计(上行、下行)、显示水印、上传、下载权限、***识别申请。

(**) 支持堡垒机运维界面带水印功能,用户在运维或者是监控、查看会话时, **页面会将用户的登录名作为水印展示,避免数据泄露无法追责,支持在**运维***、***、******、***、应用发布等资源时显示水印,支持水印间距、水印字体、水印透明度等配置。

(**) 支持内置短信网关、 **********、自定义短信网关、移动短信网关,发送方法支持****、***设置,支持选择****版本。

(**) 堡垒机自带网盘功能,支持管理员配置网盘大小限制,可限制网盘总空间,也可限制单个用户的网盘空间。

(**) 支持自定义系统事件的告警等级及方式,例如系统消息、邮件、手机短信,支持告警等级细粒度配置,例如 ***使用率超过**%为中风险告警,***使用率超过**%为高风险告警。

(**) 为保证产品的系统相关管理能力,产品运维界面需支持 “用户、部门、资源、策略、运维”等对应管理内容;为保证产品支持主机事件审计能力,支持“单点登录、访问控制、审计查阅、会话监视、会话回放”等功能。

(**) 支持会话回放功能,支持在审计会话时对无操作的部分自动跳过。能够通过 *****应用发布的方式实现对火狐浏览器、******浏览器、达梦数据库、人大金仓数据库的扩展支持。

(**) 堡垒机内置文件病毒扫描能力,实现本地上传文件到堡垒机网盘、主机上传文件到堡垒机网盘的文件传输扫描,针对病毒文件,可以执行信任、删除等操作,并生成审计记录。

(**) 为保证产品不影响原网络拓补,支持 “支持旁路部署方式,管理员通过*/*的方式进行远程管理”。为保证产品具备运维多类型主机能力,支持“能够实现对*******主机、*****主机等的统*登录和集中运维管理功能”。

(**) 为保证产品支持运维能力,支持 “根据运维用户、管理方式、运维对象等条件设置访问控制策略,能够对运维操作进行审计”。

服务要求:

*.*远程支持服务

在服务期内,产品使用过程中,因某种原因出现问题,提供电话方式远程支持服务,由工程师将对问题进行诊断解决;如不能通过电话解决,通过远程联机管理解决故障。

*.*现场服务

在服务期内,通过电话交流或者远程调试无法解决的,工程师在 *.*小时内响应并在*小时内到现场维护。

*、建设周期:签订合同后 * 天内

* 、免费保修: *年

* 、报名方式:

网上报名,供应商可下载客户端进行用户注册,注册成功后登录到供应商客户端,可根据医院发布的信息参加医院的项目报名,填写相应的信息及材料上传(供应商客户端下载链接: *****://***.*****.***/*/***********************?***=**** 提取码:****)

* 、项目最高限价:人民币 ** *元整(￥ ****** ),超过最高限价报价的视为无效报价。

* 、报价应包括完成本项目建设内容所需的全部费用。