长治市人民医院 - zwgk. Web view长治市第二人民医院. 医院. 信息....
Transcript of 长治市人民医院 - zwgk. Web view长治市第二人民医院. 医院. 信息....
1
长治市第二人民医院医院信息集成平台系统集成项目
招标目录及参数
2017年 09月
2
1
投标人商务要求:
1. 投标人须按招标文件规定的时间、地点参加采购人组织的现场勘查,并提供现场勘查报告,加盖采购人单位公章,开标时需提供原件,否则视为无效投标。未经现场勘查,作废标处理。现场勘查时间:2017年 10月 13日上午 9-11点。地点:长治市第二人民医院2.本项目工期要求 45个工作日3.质保期为项目验收后 1年4. 考虑到医务人员长期使用习惯及目前系统的稳定性,不对现有系统进行更换,要求与
现有系统需实现无缝连接,涉及功能完善,在现有系统基础上进行改造。投标人须承担本次招标货物和与现有系统无缝接口的一切费用,包括但不限于自身产生的货物采购及调试费、医院现使用相关软件厂商配合调试需收取的费用。投标人可以在现场勘查时确定各自需要对接的具体接口数量。所有对接产生的费用均由中标人承担,含己方产生的费用以及现有软件供应商因对接产生的一切费用。
5.履约保证金要求中标供应商在签订合同时需向采购人提交合同额 6%的履约保证金中标供应商合同主要义务履行完毕,项目合同验收合格后,转为质量保证金,质保一年期满后,采购人无息退还,如果未按要求的工期内完成项目,将不予退还履约保证金并同时自动解除合同。自签订合同之日起 45个工作日。
3
2
售后服务要求:
1. 中标方承担所有软件接口费用。2. 中标方需提供原厂技术培训,驻场服务。3. 中标方需现场安装调试,运行。4. 中标方需有至少一名高级工程师带队的研发团队(不少于 3人),提供现场技术支持。5. 中标方需在本地有售后服务团队,需提供社保及各项证明。6. 质保期后,中标方需提供驻场售后服务。
(一)招标货物清单编号 货物名称 数量 单位
1.临床数据中心(CDR)
数据仓库1 套
2. 临床知识库 1 套
3. BI决策支持与分析 1 套
4. OA升级、支持移动端业务 1 套
5. 长治医疗卫生区域平台对接接口 1 套
4
3
6. 医院信息集成平台信息安全系统 1 套
(二)具体参数要求:一、数据仓库
★与我院现有的HIS 、EMR、LIS、RIS、PACS等各信息系统及数据库进行无缝对接,并提供相应的详细接口文件及实现方式,要求符合HL7接口标准和 ICD-10规范,提供整体解决方案,能够适应医院现有环境和技术框架。运用多维数据、数理统计和数据挖掘等技术,对临床各系统、医院管
理各系统的数据进行采集、清洗、转换、加载、存储等,形成统一标准数据格式,以提供给医院、长治卫生区域平台使用。采用先进的 SOA构架,优先采用 B/S架构,支持主流操作系统平台,
5
4
如 IBM AIX、SUN Solaris、HP Unix、Windows以及 Linux等。支持主流的关系型数据库或后关系型数据库,提供灵活开放的应用程序开发接口(API),能够在各种操作系统平台(Windows,Unix等)方便用户容易地进行二次开发。
1.数据管理要求:数据管理需满足全局数据综合实时的应用,建立独立于应用的数据
环境和相应的技术支持,数据管理设计需满足以下要求:1) 长期在线:该系统数据环境的建立是作为长期的统计资源库进行管理信息服务的,需要作为前端众多管理服务的数据来源,必须保证数据的长期在线。
2) 操作简便:由于系统数据环境在一定程度上脱离了 HIS业务系统,数据存储需满足易用性。
3) 安全性:作为管理信息服务系统的数据资源,以及考虑到管理决策行为的重要性,要求对数据资源要建立良好的安全机制。
6
5
2.数据提取、转换和加载技术要求:1) 对各系统历史数据,尽可能地提取所需的基本数据,经过清洗、转换一次性导入数据仓库。
2) 对各系统新生产的数据,从各系统数据库提取需要的汇总数据,经过清洗、转换后每天定时传送到数据仓库。
3) 对于无法通过数据接口获得的数据,可以采用 excel 等平面文件方式采集,然后通过集成系统导入数据仓库。
3.总体内容要求1) 支持多维度分析,包括时间维度(年-月-日)、部门维度(院长-科室组-科室-医生)、付费方式维度(社保、自费)以及各种分类维度等。
2) 支持数据透视与钻取。3) 支持任意时间段的比较分析,包括同比、目标值、增长情况、增长率完成情况等。
4) 支持关键指标的目标值比较分析。5) 采用指标及可视化方式展现分析结果。
7
6
4.基础数据维护要求1) 导入导出功能2) 知识度量维表以及定义3) KPI 指标定义(增改查)
a) KPI 指标条件配置(增删改查)b) KPI 指标目标值维护(增删改)
4) 专题指标对照(增删改)5) 构成方式(增删改)6) 数据权限管理(增删改查)7) 明细主题指标维护(增删改查)8) 代码表分组定义(增删改查)
5.数据分析平台要求1) 用户管理:用户登录的入口。2) 角色管理:方便管理用户(访问菜单权限、数据权限)3) 运行监控:当前报表运行情况。4) 日志管理:系统运行日志记录,用户访问日志记录。
8
7
5) 权限管理:配置权限功能菜单。6) 数据安全:用户密码加密。7) 网络安全:应用地址加密、用户密码加密。
二、 临床知识库
★总体要求:
1) 智能审查专业准确:根据患者诊断、性别、年龄、过敏史、药品、检查、检验指标等多项指标综合计算提供主动式智能审查,给出预警提示。提示对象准确到具体医嘱项目,可根据临床经验和管理要求自定义,保证审查预警提示内容的专业性准确性。
2) 多维度诊疗建议:根据患者诊断、性别、年龄、检验指标等多项因素智能分析疑似诊断和诊疗建议供医生参考。
9
8
3) 便捷在线阅读:通过知识库浏览器,医护人员可随时在线查看阅读详细的知识库信息,为合理用药提供理论和临床经验支持。
1.技术要求系统易于安装部署、维护简单,简便、易用,以医院内局域网为传媒,依托
《电子病历功能规范与分级评价》中的六级要求,建设重点是在在医疗闭环信息监控中辅助医护人员实施正确的诊疗措施,提供主动式全面化智能化专业化提示与预警。同时也形成电子字典,在全院共享,方便查阅。
2.功能要求临床知识库系统可以为医务工作者提供以知识节点为对象的知识服务。帮助
临床医生快速获取疾病的治疗、疾病诊断、疾病检查中的各种知识。有效解决临床医生知识的局限性问题,根据患者病情以及检查,检验等数据给出快速的决策,并制定出有效的治疗方案,减少人员疏忽,减少医疗失误,降低患者医疗成本,相对降低医疗费用。实现如智能审查医护医嘱、实时提醒医护医嘱禁忌症注意事项,提供诊疗建议、方便快捷临床知识库浏览调阅等功能。
10
9
系统服务对象:医院管理者、药师、医生、护士
3.知识库内容要求临床知识库应包含疾病库,特殊人群库,药品、检查、检验知识库。针对医
嘱类型、患者体征不同,进行更详尽的分类,有侧重点的进行审查,提供更加专业准确的预警提示。
疾病库:诊断与疾病的关联,根据病人的病情,作为适应症、禁忌症智能审查和实时提醒的前提条件。
特殊人群库:特殊人群与检验指标关联。如肝功能不全,肾功能不全等。同时也是适应症、禁忌症智能审查和提示提醒的前提条件。根据病人的检验指标,针对医嘱信息精准定位。给出专业准确的提示。
药品、检验、检查知识库:医嘱进行数据维护,实现临床医师在开立医嘱时,根据病人与医嘱的用药频率、给药途径、适应症、用法用量、禁忌症、注意事项、不良反应、检验指标、检查结果等相关信息智能审查与提醒。
11
10
4.知识库详细要求1)智能审查对于医护端医嘱信息进行主动式审查,根据审查结果对具体医嘱信息给出
预警提示。医生端:开医嘱,知识库系统根据病人性别、年龄、诊断、过敏史以及药
品、检验检查等医嘱主动式检查,并给出预警提示(用药频率、给药途径、用法用量、禁忌症,适应症,相互作用)。
护士端:执行医嘱,知识库系统根据病人基本信息,诊断,药品、检验检查等医嘱主动式检查,并给出预警提示,提示潜在的危险,注意事项等。为传统的“三查七对”作有效的补充。
药师端: 在药师发药审核,处方点评时通过合理用药审核,为药师提供帮助。2)辅助信息实时提醒开医嘱,提交检验、检查申请时,针对适应症、禁忌症、注意事项、不良
反应、临床意义等辅助信息实时提醒。医生端:开医嘱时针对适应症、禁忌症、用法用量、注意事项、不良反应、
临床意义等辅助信息实时提醒。
12
11
护士端:执行医嘱时针对适应症、禁忌症、药品注意事项、标本采集注意事项、不良反应等辅助信息实时提醒。
药师端: 在药师发药审核,处方点评时可以查看药物相关适应症、禁忌症、用法用量、注意事项、不良反应等相关内容。
3)诊疗建议生开具医嘱时,根据患者诊断信息,可以查询出诊疗建议,即适应症相对
应的检验和药品列表,给出参考项。另外根据患者检验结果自动提示疑似诊断。4)知识库浏览HIS中医护人员可以随时方便的在线调阅浏览知识库中内容。作为正确的
诊疗措施参考依据。同时可做学习知识库随时阅读。5)数据管理系统可使用相关基础字典数据进行维护管理,包含知识库标识定义,目录
定义,基础字典与对照,知识录入等。系统可作特殊标记,用于和用户后期提交数据作区分,防止不被轻易篡改。
6)基础字典维护包含药品信息、体征病症、检验检查结果等的基础字典维护。
13
12
药品通用名、剂型、单位、用法、频率等药品字典维护。诊断、病症、年龄、生理、特殊人群等字典维护。检查结果、检验结果、过敏史、既往史等字典维护。
7)数据对照通用名、剂型、单位、用法、病症诊断、检查部位、检查项目、检验指标
等字典与 his系统中对应数据进行数据对照。8)知识录入录入适应症、禁忌症、用法用量、不良反应、相互作用。录入知识作为智
能审查的判断依据,以及辅助信息实时提醒的内容。9)策略管理器可以根据知识库目录定义控制级别,定义知识库规则,并且按照不同权限
自由分配。10)控制级别定义支持按知识目录定义控制级别。不同的控制级别,对用户的控制不同。可
分别对应管控、警示、监测。若医护端操作医嘱,触发智能审查,给出预警提示的同时,管控级别,强制限制医生继续审核或者执行医嘱。警示和监测两个
14
13
级别,仅给出智能审查预警提示内容。不限制医护人员操作。11)知识目录规则定义按知识目录定义需要审查的规则项目,一个目录可以设置多个审查的规则
项目。并可以设置目录与目录、规则项目与规则项目之间的逻辑关系。12)权限定义支持个性化定制知识库审查深度,即支持“按医院”,“按职称”,“按
科室”,“按医生”,不同权限分别定义所需进行检查的项目,避免提示疲劳。13)监测数据查询分析可以查询到全天全部被系统拦截的用药记录。可以分析统计出所有提示有
问题仍强制开的医嘱明细。对监测数据的分析可作为提高医疗质量水平、医护人员医疗业务能力的学习教育参照体系。同时也可作为医护人员量级考核的参考指标。
15
14
三、 BI决策支持与分析
提取医院现有信息系统的所有指标进行业务分析,以生动友好的界面形式展现数据分布特征,发现数据中的显性或隐性的规律和知识,实现医院对业务和管理状态的监督、追踪、评价、预测,为数字化医院的科学管理和科学决策提供有价值的信息资源(如:院长决策支持、三甲医院指标统计与分析、医疗收入、患者安全、合理用药、医疗服务、医技专题、手术主题、医院资源运营管理等)
★在我院现有系统的基础上提供如下分析结果,并详细描述相应的实现方式
1.院长决策支持1) 院长首页2) 当日门诊、住院监测3) 每日概况
2.管理专题1) 门诊专题2) 住院专题3) 医疗收入
16
15
4) 工作效率5) 患者安全6) 合理用药7) 患者负担8) 医疗服务9) 挂号主题10) 医技专题11) 手术主题
3.三甲医院指标统计与分析系统3.1住院死亡1) 住院死亡总体情况2) 产妇住院死亡情况3) 手术患者住院死亡情况分析4) 新生儿住院死亡情况分析5) 恶性肿瘤术后住院死亡情况分析3.2住院重返1) 患者再住院情况分析
17
16
2) 手术患者重返情况分析3) 其他重返情况分析3.3重点病种1) 重点病种分析2) 重点病种查询3.4重点手术1) 重点手术分析2) 重点手术ASA分级分析3) 重点手术查询
3.5医院感染1) 医院感染总体情况分析2) ICU想关医院感染情况分析3) 手术风险分级感染情况分析4) 手术相关医院感染情况分析5) 其他医院感染情况分析3.6手术并发
18
17
1) 手术并发证情况分析3.7患者安全
1) 患者与手术患者安全分析 2) 新生儿与产妇安全分析3) 输血输液反应分析4) 院内跌倒分析5) 住院患者压疮情况6) 住院患者跌倒情况7) 麻醉总体情况8) 麻醉非预期相关事件9) 麻醉分级(ASA 病情分级管理)3.8合理用药1) 处方用药分析2) 抗菌药物用药分析(住院)3) 抗菌药分析(门诊)4) 手术用药分析5) 合理用药三甲
19
18
3.9运营管理1) 资源配置2) 工作负荷3) 治疗质量4) 工作效率5) 患者负担6) 资产运营7) 科研成果3.10重症医学1) 质量监测
20
19
四、OA升级、支持移动端业务
★将医院现有的OA系统升级,并将各功能部署运用到移动终端上(如手机、平板电脑等),使移动端与 PC端数据、功能同步,完成流程的最后一步,达到闭环管理。
实现与医院现有医疗 HIS、LIS、HERP等系统的数据一体化,快速获取各系统的结果数据,同时也可将其他系统产生的数据提供给相关系统。
系统应具有跨平台功能,支持 2000 个以上用户的正 常 访 问。支持IE6、 IE7、 IE8、谷 歌浏览器、360 浏览器等多版 本的浏览器,支持POP3/POP3,SMTP/ESMTP 标准邮件传输协议,支持复杂的流程应用,支持多种系统的整合。
1.医院特色的办公功能
1.1 公文管理
1) 发文管理根据发文的性质不同分为院办发文、党办发文等。发文管理主要完成发文所设计的一系列的流程节点,包括:拟稿、流
21
20
转、审批、签发、办理、发送、归档。2) 收文管理
根据收文的性质分为院办收文、党办收文等。收文管理是处理所有外部来问的电子化入口,完成收文所涉及的一些列操作:收文、登记、拟办、收文传阅、归档、传阅结果查询。
1.2信息管理
1)通知公告发布医院内部的通知通告,告知医院职工一些必要的消息通知。2)院务公开对医院内部的院务、党务信息公开,发布。3)医疗管理医院内部的医疗管理通过个人工作台的医疗管理发布,主要针对医患纠纷、药品不良反应等。4)办事指南发布医院内部的办事指南方针,为医院人员提供服务。5)医院制度及时公布医院的制度,将制度透明化、直接化。6)经验知识提供给医院内部人事,把一些经验知识分享给医院人员,为医院人员服务提供帮助。
22
21
7)工作成果主要展示医院人员、各科室的工作成果,展示展现工作水平。8)模板下载提供给人员模板下载与上传的版块,所有常用模板均可从这里下载。9)院内投票展示医院内部投票结果,对医院人员投票结果通过个人工作台展示出来。10)常用工具视图的方式展示医院常用工具。
1.3 申请审批
针对医院属于流程类活动的日常工作,如各种申请审批、请假报销等。工作流管理要求可以轻松实现工作流程,表单数据、处理模式监控提示、用户权限、表单权限等方面的个性化定制。从而实现各类流程活动信息的规范化、电子化、自动化。
1.4合理调配车辆会议
车辆会议功能要求提高日常业务所用车辆,会议室的利用率解决资源分配不合理、资源使用冲突等问题。可以指定车辆及会议室的管理员,设定使用时限,进行车辆及会议使用分配审核,全面掌握车辆会议资源的利用情况。
23
22
2. 医院特色的综合业务
2.1文件档案管理
医院人员可以根据自己的需要设置不同的文件管理,主要分为公共文件、个人文件、共享文件,每个文件柜包括新建、修改、删除文件夹,以及对文件的操作,设置不同的权限,提供文件的检索功能。档案管理分为案卷级管理、文件级管理,提供给使用人员综合查询的功能。
2.2 排班管理
要求各个职能科室以及管理科室均可在 OA系统中设置合理的值班,实验医护、管理人员分别排班,满足医院工作人员工作弹性较大的要求。根据值班安排、规则设置等可以生成相应时间段的值班列表医院相关人员的值班可在系统中自动生成,值班负责人可以对值班内容进行设置,并根据实际工作灵活变动调整。
2.3 综合评测
综合评测部分应包括考核管理、考试管理、投票管理、问卷调查。1)考核管理
考核管理是对医院各个科室或中层以上领导设置考核项,并由专人定期对各科室或中层以上领导的考核项进行分值评定,从而建立一套长期的考核
24
23
机制,最终目的是帮助医院规范服务流程、提高医疗质量、改进医疗服务。考核模板设置:制定考核内容的模板,设置考核项目及各考核项目的分值。考核任务设置:根据考核模板,定期发布考核任务,由考核评测人进行打分评测。考核群组设置:定义被考核人员组和评测人员组,设置评测组的打分权重。考核任务评测:考核评测人进行打分考核操作。考核评测查询:考核结束后,对考核结果进行查询、统计。
2)考试管理考试管理可以生成医院人员的考试试卷。通过从自由题库中录入试题,生成试卷,选择进行考试的考生,进行相关的考试。
录入试题:根据需要选择录入试题序号、题目、类型,设置好标准答案,并对答案进行解析自由题库:根据录入的试题,生成自由题库。生成试卷:通过自由题库,生成试卷,设置试卷名称,及格分数,选择相应的考生,考试时长,开始时间、结束时间。
25
24
试卷列表:可以查询生成试卷的名称、总分、及格线等信息,并对试卷进行修改。考试成绩:对每一套试卷可以每个相应人的考试成绩。考生成绩:考试结束后对每一个成绩进行查询、统计。
3)投票管理根据医院的具体需求,设置投票管理,投票结果将在个人平台中展示出来。4)问卷调查设置问卷调查的内容,并选择调查的人群,并对问卷调查进行统计分析。
2.4 工资查询
为方便员工查询每月工资、资金的数额及构成情况,要求系统提供接口,由专职的财务人员将所有员工的工资数据从财务软件中导入系统中。员工只能查询自己的工资情况,即满足员工对工资情况的了解需求,又可以保护员工工资的隐私。节省打印工资条的纸张成本的同时,减少人工签发工资条等工作的人工成本。
工资管理功能:
26
25
1) 工资条模板自定义。可以动态增减工资条中的组成项目。2) 支持导入工资数据后的二次修改。3) 严格的权限控制。普通用户只能查看本人的工资数据。财务人员的
导入、修改数据、修改工资模板等权限必须单独授权。
3.个人工作平台
个人办公模块要求包含用户日常工作的主要内容:3.1 工作项列表包括草稿箱、待办列表、已办列表、待阅列表、已阅列表、办结列表
委办列表等。3.2 工作委办
当用户因出差或其他原因不能办理工作内容时,可通过委办功能将等待自己处理的工作任务委托他人进行处理。3.3 工作催办
当工作任务比较紧急,可通过发送内部消息、邮件或短信的方式通知提醒当前任务处理人必须尽快处理。3.4 日程安排提供图形化日历的方式进行日程管理,最小的时间粒度为 15分钟,
可以切换日、周、月等多种显示方式。
27
26
3.5 通讯录全院通讯录:可以查询到OA系统中的所有用户的联系方式,每个人
的联系方式可以由个人自己维护,以保证全院通讯录中的信息的及时、准确。个人通讯录:用户可以维护自己的常用联系人信息。
3.6快捷方式为方便用户操作,用户可以在个人工作台上添加常用功能的快捷方式
提高工作效率。3.7 个人设置包括个人常用语设置、密码修改、个人基本信息、快捷方式管理、个
人群组管理等功能。3.8 工资查询
每个员工可以查询自己的历史工资条信息(数据由财务系统中导入)3.9在线人员显示当前登录系统的用户列表,可以选择在线用户发送消息。
3.10 万年历提供国际各主要地区时间查询、中国农历及各种节假日、节气的查询。
4. 移动办公
移动办公 APP要求适用于各类系统(Android、IOS、windows
等)的手机、平板等移动设备,当用户因为某些原因不在办公地点,也
28
27
可以通过移动设备进行流程审批、事项查看进行正常办公,可独立完成办公操作。4.1 消息即时推送可以与电脑端消息实现共享,即时推送办公操作信息,可以便捷的
查看流程操作的审批意见、操作方式。4.2 科室院务信息公开实现医院内部各科室通知、公告、招聘等院务信息公开,对医院信息
全方位展示,保证信息及时可靠推送给相关人员。4.3无纸化办公对医院审批流程进行规范处理,分别对各流程进行汇总,医院相关负
责人通过电脑跟手机等移动产品交互实现公文、申请等编辑、审批功能,实现医院无纸化办公模式。
1)工作包括一些工作项的列表,当用户登录移动办公平台时,可以优先看到
待办、待阅、邮件等各项工作。2)应用应用应包括公文、公告、邮件、流程、日程、会议、值班、文件管
理、人事、账务、医务等各类模块。3)联系人
设置医院常用联系人,可直接通过软件通话或短信。4)消息与即时通讯相联系,实现消息、文件的实时收发。
29
28
5. 即时通讯
即时通讯,打造医院内部信息交流的渠道,保证信息的交互顺畅。1) 支持文件传输2) 支持自定义群组3) 支持即时系统消息提醒4) 待办工作消息提醒5) 提供自定义扩展功能
五、长治医疗卫生区域平台对接接口★与长治医疗卫生区域平台的 EMR、LIS、HIS、RIS、PACS 等所有系
统对接,实现区域内数据共享,打造区域一体化医疗。在实施过程中,如涉及与本项目有关的功能改造应按照甲方实际需求完成。
30
29
六、医院信息集成平台信息安全系统★建设信息安全系统,并通过信息安全三级等保测评。达到国家卫计
委信息安全的标准(卫办发(2011)85号)、长治医疗卫生区域平台的信息安全对接标准。采购货物中含信息安全产品,必须是列入财政部会同有关部门制定下发的《信息安全产品强制认证目录》的产品,投标人须附中国信息安全认证中心按国家标准认证颁发的有效认证证书。为防止虚假应标,所有功能甲方保留测试权。
1.出口防火墙 5 台1) 性能、规格要求:采用下一代防火墙技术,网络处理能力 10G,最大并发连接≥260万; 2U 机箱, 不少于 6个千兆电口和 4个千兆 SFP
接口,不少于 2个接口扩展插槽;此外含专用管理接口及专业 HA接口; 1个 Console口;设备具备液晶显示屏,方便显示管理地址、CPU、内存利用率等;冗余电源;
2) 支持基于源目的 IP地址、源目的安全域、VLAN ID、MAC地址、时间、用户、地理区域、服务协议及应用等多种方式进行访问控制,并且可以支持基于地理区域的安全策略;
3) 支持基于接口划分的QoS 线路,支持根据 IP地址、用户、服务、应用、
31
30
时间等信息划分虚拟QoS 通道进行带宽管理,支持QoS配置向导;4) 产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求,支持 ADSL拨号接口;支持静态路由,策略路由;支持静态多播路由,支持动态多播路由的 PIM-SM;支持 IPv6地址配置,支持 IPV6 下静态路由及策略路由,支持 IPV6的本地认证;
5) ★设备可以与所采购的终端安全管理实现智能联动,可以生成动态防护策略进行阻断和防护,可以与第三方威胁情报中心联动;
6) 支持情报处置,根据安全云的情报动态生成处置列表,根据用户在基本配置中配置的动态处置动作,命中处置列表的数据将会被阻断或者记录日志;
7) 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》产品具有中国信息安全认证中心颁发《中国国家信息安全产品认证证书》(三级);国家信息安全测评信息技术产品安全测评证书(EAL3+级),并提供通信网络安全服务能力评定证书(安全设计与集成、风险评估)二级或二级以上资质等复印件;
32
31
2. 服务区防火墙 2 台1) 性能、规格要求:采用下一代防火墙技术,网络处理能力 42G,最大并发连接≥600万,每秒新建连接数为 50万/秒; 2U 机箱,冗余电源;提供 4个万兆光口,不少于 2个接口扩展插槽; 1个 Console
口;设备具备液晶显示屏,方便显示管理地址、CPU、内存利用率等;2) 支持对静态路由、策略路由、ISP路由可用状态进行监控;支持以应用程序、用户、IP地址、地理区域为主视角,通过字节数、会话、威胁、内容、URL五个维度展示用户网络当前的活动状态及策略使用情况;
3) 产品支持 IPSec VPN功能,并可以提供 VPN客户端,可建立“网关-
网关”、“网关-客户端”方式的加密隧道,支持手工隧道的建立,提供密码检测说明;
4) 支持病毒云端查杀功能,提供配置实例;设备可以与所采购的终端安全管理实现智能联动,可以生成动态防护策略进行阻断和防护,提供配置实例;
33
32
5) 支持威胁地图,按照时间段、传播方向对病毒、间谍软件、漏洞威胁排序查询;支持情报处置,根据安全云的情报动态生成处置列表,根据用户在基本配置中配置的动态处置动作,命中处置列表的数据将会被阻断或者记录日志;
6) 支持双系统备份,且在系统切换中可实现配置的自动迁移;支持历史配置保存,可记录三个不同时间点的历史配置文件,方便恢复到不时间点的运行状态;
7) ★支持防火墙的统一集中管理,为实现统一管理,要求服务区防火墙为与出口防火墙为同一品牌;
8) 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》产品具有中国信息安全认证中心颁发《中国国家信息安全产品认证证书》(三级);国家信息安全测评信息技术产品安全测评证书(EAL3+级),并提供通信网络安全服务能力评定证书(安全设计与集成、风险评估)二级或二级以上资质等复印件;
3. 网站安全防护 2台
34
33
1) 规格要求:至少具备 6个 10/100/1000自适应电口,4个 SFP插槽,
硬件具备液晶面板实时显示,实时统计系统 CPU、内存、硬盘、并发连接数等信息,以及系统时间;1TB硬盘;提供至少 2组 bypass;产品支持负载保护机制,设置 CPU、内存使用率等参数,设备达到峰值时,自动切换 bypass功能;性能要求:支持至少 2000Mbps 网络吞吐量,http 新建速率大于8000/s,http最大并发为 36万;Web安全保护不少于 32个站点;产品部署:产品需支持透明在线部署,不更改网络或网站配置,即插即用,无需配置 IP地址即可防护;产品必须提供镜像分析数据并实现旁路阻断功能,且具备专门的阻断接口设置;
2) 支持对 SQL 注入、XSS跨站脚本、信息泄露等 Web漏洞扫描功能,持根据每天、每周、每月自动扫描Web漏洞;产品必须支持 SQL 注入、跨站脚本、防爬虫、扫描器、信息泄露、溢出、协议完整性等检测 ; 支 持 HTTP 协 议 校 验 细 粒 度 规 则 检 测 , 其 中 包 括Cookies、Response、Range 等策略参数;产品需具备独立的防盗
35
34
链规则,应支持 Referer和 Cookie 检测方式;产品需具备防跨站请求伪造功能,应支持Get、Post 检测方式;
3) 产品需具备敏感信息检测功能,用户可以自定义检测敏感信息,并提供替换功能,替换信息可以根据用户需求自行定义;产品需具备弱密码检测功能,提供用户名、密码字典检测机制;
4) 必须支持与第三方威胁情报中心联动功能,具备 FTP、API、key 联动方式;至少提供 3个威胁情报中心联动的接口配置功能,同时收集多家数据情报供设备使用;产品需对威胁情报中心提供的相关数据运用到产品防护策略中,并提供僵尸网络、扫描器、钓鱼代理、网络攻击、Windows利用等漏洞库数据分类;
5) 免费提供网页防篡改软件客户端,并且可以与硬件产品实时联动,支持断点检测机制,并提供网页防篡改客户端认证码卸载机制,提供客户端自我保护功能;
6) 产品必须支持在云端构建Web 防护过滤模型,在大流量攻击下通过云端Web 防护为网站提供防护,支持网站云防护攻击数据统计分析
36
35
模型,提供CC攻击、Web漏洞攻击等数据分析;7) 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产
品销售许可证》产品具有中国信息安全认证中心颁发《中国国家信息安全产品认证证书》;
4. 安全接入网关 1 台1) 系统要求:硬件架构采用先进的多核处理器,操作系统采用专用多核并行安全操作系统软件架构;支持 IPSec VPN和 SSLVPN 两种 VPN
协议,是 SSL VPN和 IPSec VPN二合一产品;2) 性能规格:SSL VPN 加密 速 度≥800M;SSL VPN 并发用户数≥1200;接口不小于 6个千兆电口和 4个 SFP光口;支持液晶屏显示,可以显示管理 IP,内存使用率等信息;
3) 支持配置向导功能,用户能够按照配置向导一步一步的操作,向导结束用户能够完成账号建立、服务发布、正常访问;支持管理员自定义用户登录帮助文档,通过虚拟门户上传到 SSLVPN用户的WEB 登录界面,文档格式支持word和 TXT。用户登录时刻自行下载帮助文档;
37
36
4) 网络接口地址配置支持 IPv6地址, 网络路由地址配置支持 IPv6地址,
支持 IPv4与 IPv6地址的相互映射, 提供 IPv6 ready金牌认证,证书上必须明确标明为 SSL VPN产品;
5) 支持 B/S和C/S的应用支持单点登录(SSO),并提供加密认证功能。访问多个应用,只须输入一次密码,支持针对不同的访问资源设定不同的 SSO用户名和密码;
6) 支持客户端安全性检查,可以检测客户端进程、文件、注册表、服务模块、端口、mac地址、系统补丁、操作系统等信息,并且能够检查用户是否安装终端安全管理和防火墙,判断终端安全管理病毒库是否过期,凡是不符合检查规则的,均不允许用户登录访问;
7) 支持安全桌面和本地桌面切换功能,确保一机两用;支持私有云部署方式,通过在私有云端安装 agent,方便员工连接企业私有云;
8) 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
5.入侵检测系统 3 台
38
37
1) 性能要求:千兆入侵检 测系统, 1000M 吞吐;不少于 6 个10/100/1000M自适应电口,4个 SFP插槽;标配所有接口必须可以直接使用,无需另外购买授权许可;冗余电源;提供液晶屏,设备具备液晶显示屏,方便显示管理地址、CPU、内存利用率等;支持将日志存储在本地,标配不小于 1TB日志存储硬盘;
2) 支持通过 web方式调用设备命令行窗口功能,无需登录串口就可对设备进行命令行操作;设备可以图形化展示应用风险指数、网络风险指数便于用户整体了解网络风险等级。产品可以图形化显示设备接口面板信息,直观查看接口是否联线;支持在线帮助说明,每个功能页面都提供当前页面的功能说明。
3) 内置安全事件规则库,不少于 4000 条,支持检测防护包括探测与扫描、溢出攻击、DDOS攻击、Sql 注入、可疑代码、蠕虫、木马等各种网络威胁;支持 AV 病毒检测引擎,内置病毒特征不少于 12万条,提供病毒库条目证明;内置 IDS、AV、应用特征库,在此传统特征库基础之上,增加了木马库,webmail、垃圾邮件等特征库,支持
39
38
IDS、AV、应用特征库的在线升级和离线升级;4) 支持将流量通过镜像口镜像出去,供第三方设备存储、分析、审计等
设备必须支持与所采购的防火墙实现智能联动,以实现动态安全防护;5) 提供原厂三年硬件保修,提供 7*24小时热线技术服务,为保证服务质量,要求设备生产厂商符合信息技术服务管理体系要求,提供说明文件;
6) 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》产品具有中国信息安全认证中心颁发《中国国家信息安全产品认证证书》
6. 运维审计系统 1 台1) 性能参数:支持 300个主机/设备审计节点,图形会话并发连接数不小于 300,字符会话并发连接数不小于 800;
2) 规格、接口:6个 10/100/1000自适应以太网口和 4个 SFP插槽,2个可扩展插槽,支持液晶屏,可显示接口 IP,以及CPU、内存、硬盘的使用率等信息,方便查看与管理;4TB硬盘;冗余电源;
40
39
3) 记录发生时间、源 IP、目标 IP、源端口、目标端口、操作指令、运维安全管理与审计系统用户、目标服务器账号、访问结果等消息;支持协议审计;支持 RDP、VNC 等图形协议;支持 FTP、SFTP;支持Oracle、MS SQL Server、 IBM DB2、Sybase、 IBM Informix
Dynamic Server、MySQL、等数据库类型;4) 支持分布式部署,可部署多台运维审计设备共同负载访问压力;5) 密钥访问模式:支持堡垒机可生成密钥进行下载后放置服务器内,在单点登录时,直接输入账号即可实现单点登录操作;通过 AD与服务器生成数字证书导入堡垒机内,在单点登录时,直接输入账号即可实现单点登录操作;
6) 支持资产学习功能,快速添加网络中的资产;支持批量修改资源信息支持密码信封文件导出,信封文件支持 txt、excel、zip 三种格式,信封文件加密保护;支持以 html、Excel、txt、word、csv、pdf
方式输出组态报表;7) 提供原厂三年硬件保修,提供 7*24小时热线技术服务,为保证服务
41
40
质量,要求设备生产厂商必须具备 ISO信息技术服务管理体系认证资格
8) 支持终端安全检查功能,检测运维 PC 是否存在不安全的因素或配置;支持本地账号+密码认证;USB-KEY 强认证模式;支持指纹识别、支持联动短信网关验证等认证方式;
9) 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(网络增强级);产品具有中国信息安全认证中心颁发《中国国家信息安全产品认证证书》;,资质产品名称必须是运维安全管理与审计系统,不得使用其他产品资质替代应标;
7.数据库审计系统 1 台1) 审 计 包 括 包 括 MS SQL
Server、Oracle、DB2、Sybase、MySQL、 Informix、达梦、Postgresql 等在内的多种数据库;支持对 SQL 注入、跨站脚本攻击等 web攻击的识别与告警;
2) 审计数据支持 18 种以上查询条件,可支持按数据库操作命令(包括
42
41
select、create 等 14个命令)、语句长度、语句执行回应、语句执行时间、返回内容、返回行数、数据库名、数据库账户、服务器端口客户端操作系统主机名、客户端操作系统用户名、客户端MAC、客户端 IP、客户端端口、客户端进程名、会话 ID、关键字、时间(包括开始、结束日期)等为条件进行查询;
3) 支持数据库语句执行时间、语句执行回应、最大操作语句长度等作为分项响应条件;支持数据库操作返回内容、返回行数作为分项响应条件;
4) 能够对连续失败登陆进行自动锁定,锁定时间可设置;提供审计数据管理功能,能够实现对审计数据的自动备份、手动备份,支持增量、全量备份方式;
5) 系统本身具备能发现未知仿冒进程工具、防范非法 IP地址、防范暴力破解登录用户密码、设置系统黑白名单等安全功能;审计结果隐秘设置,通过*号对审计结果中的重要信息进行隐秘处理,防止非法权限查看;
43
42
6) 设备至少提供 6个千兆电口 4个 SFP插槽;事件采集能力不少于10000 条/秒;2T硬盘可以在线分析 1.7T的事件量;数据库审计数量不受限制;设备自带液晶显示屏,可以支持 CPU、内存、磁盘、管理地址等实时展现;
7) 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(网络增强级);产品具有中国信息安全认证中心颁发《中国国家信息安全产品认证证书》;涉密信息系统产品检测证书提供资质必须明确为数据库产品资质,不允许使用其他审计类产品替代投标;
8. 安全管理系统 1 套1) 系统采用 B/S架构,符合公安部“安全管理平台类”产品的检测规范
(提供相关证明)。其中,管理中心内嵌数据库,用户无需另外安装数据库管理系统;管理客户端基于浏览器,无需安装其他客户端软件,
包含日志审计与监控许可各 100点。2) 能够集中监控网络中的主机设备、网络设备、安全设备、应用系统。
44
43
具体包括:交换机、路由器、防火墙、Windows服务器、AIX服务器、 Linux 服务器、 HP-UX 服务器、 Solaris 服务器、 SQL
Server 、 Oracle 、 DB2 、 Sybase 、 MySQL 数 据 库 系 统 、webshpere/ weblogic中间件、Mail/Web/FTP/DNS/DHCP/WINS
和 LDAP服务等;3) 支持网络拓扑发现,自动生成网络拓扑图,支持分层显示和全局显示
两种展现方式。在全局显示模式下,能够在一个拓扑图上显示三层、二层网络设备和终端设备;
4) 支持机房和机架物理拓扑显示,用户可以直观地看到每个机架上的每台设备的运行状态,出现问题就会闪烁告警。用户点击机架上的每个设备,可以进入这个设备的明细监控界面。支持拓扑图和机架视图中的设备的双向定位,支持机房 3D图形显示;
5) 支持数据库监控,数据库运行状态信息:例如命中率状况,数据库等待事件,Lock和 latch争用情况,Shared pool的使用情况,排序使用的情况,Redo log使用情况,登录用户情况等;数据库空间使
45
44
用信息:表空间、segment、表、索引数据库逻辑读和物理读的比例情况,表空间使用情况,表和索引的存储分布情况等;(2)数据库性能信息:数据库使用内存、cpu 情况,监控数据库系统的连接数量,能够提供占用大量系统资源的登陆用户和进程,最耗系统资源的SQL信息等;(3)数据库日志信息:监控数据库的 alert日志信息,RMAN的备份信息;
6) 提供可视化的规则编辑器,利用编辑器,可灵活方便地生成任意关联分析规则。
7) 可对主流设备的配置进行监控,支持获取并设置设备的基线版本,支持定期采集设备配置信息,并与基线版本比对,发生变化时可设置告警,支持不同版本进行对比
8) 系统能够将数千条事件记录及其这些事件之间的关联关系变成一幅事件图,形象地展现出当前网络安全状态,一目了然;
9) 在实时监视中,对于关联事件,用户可以进行追溯,查看导致该关联事件的所有原始事件;
46
45
10) 日志收集后进行字段和安全等级的归一化处理,并保留原始日志,方便用户对关键日志快速定位。
11) 可以与互联网威胁情报系统进行联动,通过互联网威胁情报,可实现对来自互联网的黑 IP、黑DNS、恶意的 URL、互联网实时异常攻击特征等进行展现并及时通报;
12) 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》;
9. 双向网闸 1台1) 国产品牌,具备自主知识产权,标准 2U 机架式硬件设备,采用
“2+1”系统架构,由两个主机系统和一个隔离交换专用硬件组成,隔离交换矩阵基于专用芯片实现,保证数据在搬移的时间内,内、外网隔离卡与内、外网系统为物理断开状态,内外网分别至少配置 6个10/100/1000M自适应电口、1个扩展槽位;系统吞吐量不小于600Mbps;系统要求:支持双系统冗余架构,可通过 WEB、console口进行主
47
46
备系统切换,当主系统发生故障可切换至备系统进行工作; 提供液晶面板;
2) 支持用户名/密码+U-KEY、用户名/密码+数字证书等多种双因子认证方式;支持带内管理,可通过业务口进行网闸管理工作;用户可自行选择是否启用带内管理功能;
3) 支持集中监管平台,可对多台网闸进行统一监控,记录每台设备的系统资源运行情况;
4) 支持设备诊断,并能支持设备诊断信息导出;提供调制工具,其中包括:trace、connect、tcpdump、ping、arp 等;
5) 数据库同步由网闸主动发起并完成,不需要第三方软件支持,同时可以支持有客户端、无客户端多种部署方式实现数据库同步;支持双机配置同步功能,可将主闸配置主动同步到备闸,方便配置管理;
6) 支持双引擎病毒模块,可根据用户需求选择需要的病毒引擎;邮件模块支持病毒检测功能;支持通过文件大小控制病毒查杀;支持超长邮件限定是否接受;
48
47
7) 支持 SSL隧道访问模式,针对 FTP 访问模块、数据库访问模块、邮件访问、定制模块等模块,通过网闸实现访问客户端认证、授权及访问链路加密,保证客户端访问合法性及访问链路的安全性。认证方式支持用户名口令认证及证书认证;
8) 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(网络增强级);产品具有中国信息安全认证中心颁发《中国国家信息安全产品认证证书》;,国家信息安全测评信息技术产品安全测评证书 EAL3+;
10. 联网控制网关 1 台1) 性能要求:设备为标准 1U 机架式设备,本次配置不少于 6个千兆电口,要求 1个扩展槽扩展,1T硬盘;吞吐量≥200Mbps;
2) 为及时应对新的网络风险,产品应保证持续的安全数据库更新升级能力,应可查询网页数据库、应用数据库、安全漏洞库、漏洞特征库的更新升级记录;
3) 支持将设备管理权限分割为管理员、审计员与审核员共同管理设备:
49
48
管理员能够设置策略,无法查看审计日志;审核员能够审核管理员配置的策略是否合法;审计员能够查看策略,无法设置策略;
4) 支持多台设备可以被集中管理平台统一下发、回收策略;集中管理平台能够同时管理同一品牌的不同安全产品,如防火墙、上网行为管理等。
5) 支持本地、LDAP、Radius、邮件认证方式的WEB认证。支持在界面上通过配置,将一台设备作为独立的认证服务器配合审计设备使用提升认证性能。
6) ★支持与所采购的终端安全管理进行联动,实现终端的安全管控与安全防护;配置病毒查杀策略,检查网络中传输的文件是否是病毒,支持记录日志、病毒过滤;
7) 支持 key 免审计、key 免管控、key 免认证以及三者灵活组合,可以建立认证页面与多个认证跳转成功页面,供不同的Web认证策略引用,并支持用户完全自定义;
8) 当用户的网页访问被网页浏览策略封堵时,用户如果发现分类错误能
50
49
够在页面中向管理员进行反馈;管理员可查看用户反馈的分类错误,并可以选择向服务器反馈;
9) 不同网页被阻塞后会跳转不同的阻塞页面;支持用户完全自定义;可以建立多个Web推送页面,供不同的推送策略引用,支持用户完全自定义,可针对QQ账号制定策略,对聊天、登录及登出的行为进行记录与控制;
10) 支持 skype 外发文件内容的审计,支持百度 HI账号、内容、行为审计与控制,支持邮件及语音双重告警;可审计、控制 Oracle,
MySql, SqlServer, PostgreSQL 等数据库的访问与操作,包括添加、删除、修改、查询等,出具产品《URL 过滤自主知识产权证书》;
11) 可以每个人的并发/新建连接数量进行控制。;设备必须提供物理硬件 bypass按钮,便于设备巡检、设备故障时管理员无需重启、关机、断电即可恢复网络通畅;支持远程登录在界面实现 bypass,并可进行切换。支持厂商工程师在线的远程协助和故障排查,设备界面提供远程协助开关;
51
50
12) 可识别网络中的私接路由或共享 wifi的网络行为并配置阻塞策略;阻塞条件支持基于终端总数量、PC数量、移动终端数量分别配置;支持自定义阻塞时间、支持可配置阻塞 IP 或阻塞用户、支持单独配置是否阻塞非 80端口流量、支持自定义阻塞页面内容,可上传图片或文件共阻塞页面使用、支持基于用户或 IP自定义免阻塞白名单、支持开启/关闭 flashcookie分析。支持特征老化周期。
13) 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》;产品具有中国信息安全认证中心颁发《中国国家信息安全产品认证证书》;
11. 终端安全管理 1 套1) 控制中心:采用 B/S架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能。含 800点三年升级服务。
2) 服 务 器 客 户 端 操 作 系 统 支 持 :Windows Server
52
51
2003_SP2/Windows Server 2008/Windows Server 2012、中标麒麟/Deepin/SUSE Linux/Red Hat Linux;
3) 要求产品具备本地多引擎查杀能力,且引擎可配置,支持系统 IE 降权,防止黑客利用 IE 浏览器提权渗透;
4) 产品具备漏洞集中修复过程中的流量控制和保证带宽,补丁分发支持服务端带宽限流与客户端 P2P 补丁分发加速,有效节省外网带宽资源;
5) 产品具备漏洞集中修复,强制修复,自动修复;具备蓝屏修复功能;支持插件清理,按插件显示展示全网存在的插件和涉及的终端,可清理指定或全部插件、加入信任;按终端显示展示全网每个终端存在的插件,可清理插件;
6) ★支持与旁路威胁检测系统设备、NGFW、上网行为管理、VPN产品联动,达到网关边界联动防御效果;
7) 支持终端安全检查失败本地 ACL隔离机制,可基于协议、特定端口、端口范围、特定地址、IP 范围、URL 来控制终端访问权限,从而无需操作交换机达到终端网络控制目的,实现细粒度的访问控制管理,支
53
52
持不同终端修复区域定义。8) 支持管理员对入网的移动存储介质进行注册,可以对已注册的移动介质进行管理,包括学习注册、授权、启用、停用、删除、取消注册、导出注册列表等;
9) 支持通过身份鉴别、安全审计、访问控制、资源控制、入侵防范等不少于 30个检查项进行检查,根据检查项通过率的百分比评定终端配置的脆弱程度;支持自定义账户登录记录、U盘使用记录、IE 浏览记录、最近打开文档、搜索历史记录、共享目录等检查项配置,来评估终端是否被渗透;
10) 支持硬件准入管理,可帮助管理员对终端的 USB口、1394、串口、并口、PCMCIA卡等接口进行启用和禁用控制,支持的设备有USB移动存储、非 USB移动存储、存储卡、冗余硬盘、软驱、打印机、扫描仪、磁带机、键盘、鼠标、红外、蓝牙、摄像头、手机/平板等常用设备进行禁用管理,也支持光盘的读写控制功能。
12. 安全准入系统 1 套
54
53
1) 产品具备从终端发现、用户注册、认证授权、安全检查、隔离修复、访问控制、入网追溯等“一站式”的入网控制管理流程,并支持多种认证技术及方式,应用准入、802.1x、Web Portal、Mab Mac可适应企业复杂网络环境下的终端接入控制和安全合规性要求,产品具备扩展多种第三方认证源,支持 AD、LDAP、Email、Http 等多种第三方认证源无缝认证,确保实名制认证、统一管理要求,从而使终端接入管理变得安全、透明、可控,满足信息安全管理要求。
2) 需支持集中管理方式,提供一体化管理平台,平台可集成杀毒、管控审计、准入等模块,需对准入设备集中管理与监测,分权分域管理,实现分布式部署、集中管理的特点,满足大型网络环境下的部署要求。
3) 需支持各阶段的容灾及逃生措施,支持双机热备、冷备、一键认证放行、软 Bypass、域认证缓冲、第三方认证源异常自动放行逃生方式,保证各阶段的逃生措施。
4) 需支持准入接入点交换机列表,查看交换机端口状态,端口名称、使用端口、未使用端口、级联口、802.1x开启端口,疑似 HUB接入口
55
54
状态查看,支持交换机端口状态清单的导出。