成都市第七人民医院关于药品全流程智慧化管理的调研公告

项目

具体功能

技术要求

硬件要求

芯片及操作系统

产品须为国产芯片及国产操作系统

性能要求

性能要求

本次配置***并发用户数授权，在不扩展硬件设备情况下需支持扩展至****并发

设备部署要求

支持旁路模式部署

支持旁路模式，能有效规避设备故障导致的网络故障

支持集群模式

支持集群部署

资源发布要求

支持免插件*/*****资源纯浏览器访问

支持跨平台免插件访问，支持多资源（****/*****/*********等）免客户端接入，便于用户无感接入，提升员工使用体验

支持细粒度的资源发布

支持***资源配置***黑白名单，支持通配符配置，有效抵御恶意软件和有针对性的攻击

支持**和端口级的**资源配置

私有***解析

支持以私有***发布企业资源，无需额外购买***服务即可使用域名访问内网资源，支持区分网络区域进行私有解析（内/外网），确保用户使用无感知

终端接入要求

支持全终端浏览器接入并访问***资源

*.支持主流版本浏览器访问***资源

*.支持微信内置浏览器、钉钉内置浏览器访问***资源

*.支持*******、***各大手机厂商的自带浏览器访问***资源

*.支持国产操作系统浏览器接入并访问***资源

支持用户自助管理在线终端

支持终端设备可视管理

*.支持用户自助查看在线终端列表，并注销其他终端，避免账号盗用

*.支持同账号其他终端上下线提示，防止账号盗用

可信应用

仅允许信任进程访问资源，有效防止木马入侵系统后攻击服务器

身份安全与准入要求

支持的认证方式

支持***** **、****、短信认证、微信扫码认证等多种认证方式。

支持认证服务器对接

支持第三方对接认证，支持以******、***、****等对接第三方认证服务器。

动态准入

支持在登录上线后，持续、动态检测终端环境安全，不符合后注销用户或锁定用户，便于及时定位并响应终端威胁

防爆破

支持对账号暴力破解的防护，支持在用户访问时，识别到多次密码输入错误后，开启防爆破机制，进行图像校验或锁定**或用户

防机器人

防机器人输入，提供强安全性的点击图像校验码机制

支持多因素认证

支持多因素认证，如短信+用户名密码双因素认证

支持准入阻断时，配置自定义提示

支持准入阻断时，配置自定义提示。如要求下载指定软件并提供下载链接等，便于员工自行解决登录问题

受信终端

*.支持用户设置授信终端，优化认证体验；

*.支持受信终端用户自管理，优化终端管理。

访问权限控制要求

支持按角色授权

支持按用户、用户组、安全组进行角色授权，简化权限管理

支持授权可视化

支持可视每一用户或用户组的权限，可以看到该用户、该用户组关联的所有应用及应用分类，避免出现权限授权不可视、难管理的问题

终端环境动态安全检测和业务准入能力

可根据不同敏感度的业务系统，为不同的用户设置不同的安全规则，对终端环境、用户身份进行全生命周期的检测评估，一旦触发安全规则，则实时执行相应的防护动作。如，必须运行单位指定软件、须安装杀毒软件、必须在内网才能访问核心业务系统等。

支持灵活的补救措施，便于管理

当检测到不符合安全条件时，支持设置如短信增强认证、告警等灵活的补救动作，实现灰度处置，且能配置处置有效时长，平衡员工访问体验和安全保障

支持权限申请和审批

支持员工权限的申请和审批，正式运行时，未获得授权的员工访问提供申请和管理员审批机制，防止员工权限过大，同时简化权限运维工作

数据防泄漏要求

屏幕安全

支持针对不同的*/*应用开启***水印

具有威慑作用，有效预防数据泄露

审计要求

支持全面的日志记录

*.支持用户登录日志（登录、注销，含***地址、终端类型、浏览器类型等）

*.支持管理员操作日志（含管理员、接入**、时间、管理行为、对象）

*.支持资源访问日志（用户、源**、***、时间）

***技术要求

*.**标准机架式设备，专用***硬件防火墙（非下一代防火墙、*** 网关、插卡式融合设备），配置冗余电源，硬盘不少于**，千兆电口（******）不少于*个。

*.网络层吞吐量不低于******，应用层吞吐量不低于*****。

*.支持路由代理、透明桥、透明代理、旁路镜像和反向代理模式部署。路由代理模式支持透传真实源** 地址，透明桥和透明代理模式支持 ****** 功能，旁路镜像模式支持阻断功能，支持 ** 模式，支持配置信息同步。

*.具备**** 协议深层解码能力，支持递归解码，解码方式包括：*** 解码、**** 解码、****** 解码、** 进制转换、二进制解码、斜杠反转义、***解析、*** 反序列化解析、***** 解码、换行分割的参数。

*.支持**攻击防护，通过限制**和*******实现对异常访问行为的限制，并内置*******系统。

*.支持自定义防护规则策略，匹配条件至少包含：原始路径、解码后路径、*****、*** 参数、请求方式、****、完整 ******、****** 参数、**** *****、********、******* ****、源 **、***************、 ******、*******、完整 **** 头部、**** 请求头、**** 参数、上传文件名、完整 ****、**** 状态码、响应内容等条件，匹配关系至少包含有：包含/不包含、完整匹配/不完全匹配、正则匹配/正则不匹配等。

*.支持自定义规则检测前解码，可根据业务系统编码类型配置对应解码方式，并支持按照配置顺序进行多层解码，快速实现新爆发漏洞的防护。

*.具备无规则检测能力，除正则表达式外，可基于语义分析引擎等方式达到更智能的分析检测效果，并提供一定的**** 漏洞防护能力，以便灵活配置高质量的防护策略。要求不需配置规则库即可完成对 ***、*** 注入、命令注入、****、****、*** 反序列化、****反序列化、文件上传、*** 代码注入、**** 代码注入等攻击类型的检测，用户可以在功能界面上以开关方式控制。

*.支持安全策略检测流程可视化，以工作流方式展示安全策略检测流程，支持在工作流中查看流程详情，且支持在不同的流程节点中插入相关安全规则。

**.支持自定义设置****请求****检测大小设置、自定义**** ****记录上限设置、检测超时时间设置。

**.支持全功能开放**** ***接口，允许全功能接入到安全管控类平台，以便在集中控制台实现实时预警、关联分析、策略更新、指令下发等操作，实现自动化的总控和联动功效。***接口支持配置*****令牌认证和细粒度的权限控制。

**.支持反向/透明代理模式下代理***** 时增加***配置，用于***代理*****站点之后因为没有转发***导致请求被业务服务器*****的情况。

**.支持在反向代理模式下站点回源域名的动态解析，可根据策略定期检查并自动变更解析出的**。

**.支持在透明桥/流量镜像模式下，自定义设置控制流量转发使用的***资源。

**.支持检测引擎自动过载保护机制，系统监控到***使用率高于**% 检测引擎自动降级，部分请求不再进行检测，降级请求比例随 *** 使用率增高而加大；***使用率低于**%则退出自动降级，恢复正常检测。

**.支持******日志外发功能，可配置多个目标服务器**地址，可外发的日志类型包括用户操作日志、攻击检测日志、频率控制日志、请求记录日志、***防护日志。且外发日志支持自定义选择关键字段发送，其中攻击检测类日志可选的关键字段包括：时间，源**，目的**，源端口，目的端口，事件**，协议类型，攻击类型，风险级别，处置动作，解码方式，请求头信息，请求体信息，响应状态码，响应体信息等。

**.检测引擎支持自动区分注入型/非注入型攻击，可自动放行非注入型***、***等，避免业务请求包含完整***语言从而导致***大量误报。

**.支持检测模块加白功能，能够自定义用户**、*******、**、响应内容等不少于**项特征，对任意域名进行任意检测模块******。