成都市第七人民医院关于药品全流程智慧化管理的调研公告

项目

具体功能

技术要求

硬件要求

芯片及操作系统

产品须为国产芯片及国产操作系统

性能要求

性能要求

本次配置250并发用户数授权，在不扩展硬件设备情况下需支持扩展至1200并发

设备部署要求

支持旁路模式部署

支持旁路模式，能有效规避设备故障导致的网络故障

支持集群模式

支持集群部署

资源发布要求

支持免插件B/S-WEB资源纯浏览器访问

支持跨平台免插件访问，支持多资源（http/https/websocket等）免客户端接入，便于用户无感接入，提升员工使用体验

支持细粒度的资源发布

支持WEB资源配置URL黑白名单，支持通配符配置，有效抵御恶意软件和有针对性的攻击

支持IP和端口级的CS资源配置

私有DNS解析

支持以私有DNS发布企业资源，无需额外购买DNS服务即可使用域名访问内网资源，支持区分网络区域进行私有解析（内/外网），确保用户使用无感知

终端接入要求

支持全终端浏览器接入并访问WEB资源

1.支持主流版本浏览器访问WEB资源

2.支持微信内置浏览器、钉钉内置浏览器访问WEB资源

3.支持ANDROID、IOS各大手机厂商的自带浏览器访问WEB资源

4.支持国产操作系统浏览器接入并访问WEB资源

支持用户自助管理在线终端

支持终端设备可视管理

1.支持用户自助查看在线终端列表，并注销其他终端，避免账号盗用

2.支持同账号其他终端上下线提示，防止账号盗用

可信应用

仅允许信任进程访问资源，有效防止木马入侵系统后攻击服务器

身份安全与准入要求

支持的认证方式

支持Local DB、LDAP、短信认证、微信扫码认证等多种认证方式。

支持认证服务器对接

支持第三方对接认证，支持以oauth2、CAS、LDAP等对接第三方认证服务器。

动态准入

支持在登录上线后，持续、动态检测终端环境安全，不符合后注销用户或锁定用户，便于及时定位并响应终端威胁

防爆破

支持对账号暴力破解的防护，支持在用户访问时，识别到多次密码输入错误后，开启防爆破机制，进行图像校验或锁定IP或用户

防机器人

防机器人输入，提供强安全性的点击图像校验码机制

支持多因素认证

支持多因素认证，如短信+用户名密码双因素认证

支持准入阻断时，配置自定义提示

支持准入阻断时，配置自定义提示。如要求下载指定软件并提供下载链接等，便于员工自行解决登录问题

受信终端

1.支持用户设置授信终端，优化认证体验；

2.支持受信终端用户自管理，优化终端管理。

访问权限控制要求

支持按角色授权

支持按用户、用户组、安全组进行角色授权，简化权限管理

支持授权可视化

支持可视每一用户或用户组的权限，可以看到该用户、该用户组关联的所有应用及应用分类，避免出现权限授权不可视、难管理的问题

终端环境动态安全检测和业务准入能力

可根据不同敏感度的业务系统，为不同的用户设置不同的安全规则，对终端环境、用户身份进行全生命周期的检测评估，一旦触发安全规则，则实时执行相应的防护动作。如，必须运行单位指定软件、须安装杀毒软件、必须在内网才能访问核心业务系统等。

支持灵活的补救措施，便于管理

当检测到不符合安全条件时，支持设置如短信增强认证、告警等灵活的补救动作，实现灰度处置，且能配置处置有效时长，平衡员工访问体验和安全保障

支持权限申请和审批

支持员工权限的申请和审批，正式运行时，未获得授权的员工访问提供申请和管理员审批机制，防止员工权限过大，同时简化权限运维工作

数据防泄漏要求

屏幕安全

支持针对不同的B/S应用开启WEB水印

具有威慑作用，有效预防数据泄露

审计要求

支持全面的日志记录

1.支持用户登录日志（登录、注销，含MAC地址、终端类型、浏览器类型等）

2.支持管理员操作日志（含管理员、接入IP、时间、管理行为、对象）

3.支持资源访问日志（用户、源IP、URL、时间）

WAF技术要求

1.2U标准机架式设备，专用Web硬件防火墙（非下一代防火墙、UTM 网关、插卡式融合设备），配置冗余电源，硬盘不少于2T，千兆电口（bypass）不少于6个。

2.网络层吞吐量不低于16Gbps，应用层吞吐量不低于2Gbps。

3.支持路由代理、透明桥、透明代理、旁路镜像和反向代理模式部署。路由代理模式支持透传真实源IP 地址，透明桥和透明代理模式支持 bypass 功能，旁路镜像模式支持阻断功能，支持 HA 模式，支持配置信息同步。

4.具备http 协议深层解码能力，支持递归解码，解码方式包括：URL 解码、JSON 解码、Base64 解码、16 进制转换、二进制解码、斜杠反转义、XML解析、PHP 反序列化解析、UTF-7 解码、换行分割的参数。

5.支持CC攻击防护，通过限制IP和Session实现对异常访问行为的限制，并内置Session系统。

6.支持自定义防护规则策略，匹配条件至少包含：原始路径、解码后路径、query、get 参数、请求方式、host、完整 cookie、cookie 参数、user agent、referrer、content type、源 ip、x-forwarded-for、 origin、session、完整 http 头部、http 请求头、post 参数、上传文件名、完整 body、http 状态码、响应内容等条件，匹配关系至少包含有：包含/不包含、完整匹配/不完全匹配、正则匹配/正则不匹配等。

7.支持自定义规则检测前解码，可根据业务系统编码类型配置对应解码方式，并支持按照配置顺序进行多层解码，快速实现新爆发漏洞的防护。

8.具备无规则检测能力，除正则表达式外，可基于语义分析引擎等方式达到更智能的分析检测效果，并提供一定的0day 漏洞防护能力，以便灵活配置高质量的防护策略。要求不需配置规则库即可完成对 XSS、SQL 注入、命令注入、SSRF、CSRF、PHP 反序列化、Java反序列化、文件上传、PHP 代码注入、Java 代码注入等攻击类型的检测，用户可以在功能界面上以开关方式控制。

9.支持安全策略检测流程可视化，以工作流方式展示安全策略检测流程，支持在工作流中查看流程详情，且支持在不同的流程节点中插入相关安全规则。

10.支持自定义设置HTTP请求Body检测大小设置、自定义HTTP Body记录上限设置、检测超时时间设置。

11.支持全功能开放OPEN API接口，允许全功能接入到安全管控类平台，以便在集中控制台实现实时预警、关联分析、策略更新、指令下发等操作，实现自动化的总控和联动功效。API接口支持配置Token令牌认证和细粒度的权限控制。

12.支持反向/透明代理模式下代理Https 时增加SNI配置，用于WAF代理Https站点之后因为没有转发SNI导致请求被业务服务器reset的情况。

13.支持在反向代理模式下站点回源域名的动态解析，可根据策略定期检查并自动变更解析出的IP。

14.支持在透明桥/流量镜像模式下，自定义设置控制流量转发使用的CPU资源。

15.支持检测引擎自动过载保护机制，系统监控到CPU使用率高于80% 检测引擎自动降级，部分请求不再进行检测，降级请求比例随 CPU 使用率增高而加大；CPU使用率低于80%则退出自动降级，恢复正常检测。

16.支持Syslog日志外发功能，可配置多个目标服务器IP地址，可外发的日志类型包括用户操作日志、攻击检测日志、频率控制日志、请求记录日志、BOT防护日志。且外发日志支持自定义选择关键字段发送，其中攻击检测类日志可选的关键字段包括：时间，源IP，目的IP，源端口，目的端口，事件ID，协议类型，攻击类型，风险级别，处置动作，解码方式，请求头信息，请求体信息，响应状态码，响应体信息等。

17.检测引擎支持自动区分注入型/非注入型攻击，可自动放行非注入型SQL、XSS等，避免业务请求包含完整SQL语言从而导致WAF大量误报。

18.支持检测模块加白功能，能够自定义用户IP、Session、UA、响应内容等不少于30项特征，对任意域名进行任意检测模块Bypass。