珠海食药监局信息系统网络安全设备需求方案

2024年3月11日发(作者：)

珠海市食药监局信息系统网络安全设备需求方案

一、 采购清单 项目预算： 110,000.00元整

序号 设备名称 数量

1 堡垒机（运维审计与风险控制系统） 1

备注 ★项目质保时间：3年

二、 商务要求：

1. 供应商在投标清单中应明确投标品牌及型号、投标价格包括运输、安装调试、

税金所有费用,供应商不得投标后再议价。关于本商务要求中所要求的项目

完成时间，中标供应商如未依时响应，采购人将撤销其中标资格，并保留投

诉及索赔的权利；

2. ★投标费用必须包含我单位所需新设备接入我单位网络环境的调试费用，必

须保证不影响本单位业务的正常使用；

3. 所有供货商品必须是未经拆封的原厂包装，我方不接收外包装经过二次封装

的商品，否则不予考虑；

4. ★参数为必须满足项，否则做废标处理。

三、 性能及配置

堡垒机

指标项 具体要求参数

硬件 软硬件一体化产品，1U、磁盘空间不少于1T、至少配备6个

配置 100/1000M自适应电口，至少配备4个千兆光口

可管理

设备 可管理设备数量至少200个，运维用户无限制

数量

并发 ★单台堡垒机字符类并发会话≥200个、图形类并发会话≥50

性能 个，并提供第三方权威机构检测报告证明

系统 ★系统须安装在专用的CF卡或固态盘中，审计数据存储在磁盘

安装 中，防止操作系统故障导致审计数据丢失。（须提供真实硬件

与存储 结构图证明并加盖原厂公章）

设备采用旁路部署，不得影响业务环境；须支持HA主备模式，

管理口和心跳口须支持多链路端口绑定功能，防止单网卡或单

设备

线故障。（须提供功能截图并加盖原厂公章）

部署

支持多台堡垒机异地备份部署，每台设备都能提供运维和审计

服务，配置数据自动同步

★支持集群部署模式，中心采用HA，节点可以横向扩展，实现

统一登录入口和配置同步，以满足业务增长需求。（须提供功

能截图并加盖原厂公章）

指标项 具体要求参数

支持用户多角色划分功能，如系统管理员、部门管理员、运维

员、审计管理员、密码管理员等，对各类角色需要进行细粒度

的权限管理

支持用户的批量导入/导出，按用户类型等分组方式；支持用户

安全策略功能，如密码锁定次数、密码有效期、密码复杂度、

用户有效期、用户登录时间限制、用户登录IP范围等

用户

管理

要求

支持按部门组织架构（至少5个层级的部门）管理用户数据、

资产数据、授权数据、审计数据。

每个部门可以管理本部门及下级部门的用户角色：部门管理员、

运维管理员、审计管理员、运维员（需提供相关截图证明并加

盖原厂公章）

★每个部门的部门管理员可以管理本部门及下级部门的主机、

授权关系、策略（需提供相关截图证明并加盖原厂公章）

★每个部门的审计管理员可以管理本部门及下级部门的运维会

话日志（需提供相关截图证明并加盖原厂公章）

支持与AD、LDAP、RADIUS、吉大正元、北京CA认证系统联动

登录堡垒机，支持自动同步AD/LDAP用户

★支持与get、post、soap发送方式的http短信网关平台进行

联动，实现短信动态口令双因素认证机制，如与阿里云短信服

务、SendCloud联动（需提供相关截图证明并加盖原厂公章）

★支持手机APP动态口令认证方式登录堡垒机，且新用户首次

登录后需强制绑定APP动态口令。（须提供相关截图证明并加

盖原厂公章）

★堡垒机须内嵌动态令牌和usbkey认证引擎，可同时使用动态

令牌和USBkey，且认证引擎须具备原认证引擎厂家授权和资质

（须提供相关授权和资质复印件并加盖公章）

★基于不同的用户设置不同的双因子认证模式，如user1用动

态令牌、user2用USBkey、user3手机APP动态口令认证；（须

提供相关截图证明并加盖原厂公章）

支持域认证与双因子认证结合使用，如同时使用AD/LDAP用户

名+AD/LDAP密码+手机APP动态口令登录堡垒机、同时使用

AD/LDAP用户名+AD/LDAP密码+短信口令登录堡垒机

★支持认证方式的全局设置：可以选择启用哪种或者哪几种认

证登录窗口。（须提供相关截图证明并加盖原厂公章）

支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP、

rlogin；可通过应用发布的方式进行协议扩展，如数据库

Oracle、MSSQL、MySQL、VMware vSphere Client等客户端工

具

身份

认证

要求

设备

管理

要求

工单

流程

要求

自动

改密

要求

运维

方式

要求

★支持DB2、oracle、mysql、sqlserver主流数据库协议代理

运维，可直接调用本地windows系统的数据库客户端工具，支

持自动登录、无需应用发布前置机。（须提供相关截图证明并

加盖原厂公章）

★IE代填应用发布：HTTP/HTTPS协议的web设备，且可以直接

代填账号和密码（需提供国家权威机构证明并加盖原厂公章）

支持对设备进行按设备类型分组、按部门分组，支持设备批量

导入/导出

支持设备帐户和密码的自动登录、手工登录、半自动登录模式

★支持自动收集设备IP、运维协议、端口号、账号、密码、与

用户的权限关系，甚至可自动完成授权（需提供国家权威机构

证明并加盖原厂公章）

★导出的设备信息文件加密存储，解密时须由2个管理员同时

解密才能查看到设备信息文件内容（需提供相关截图证明并加

盖原厂公章）

★运维人员可以向管理员申请需要访问的设备，申请时可以选

择：设备IP、设备账户、运维有效期、备注事由等，并且运维

工单以邮件方式通知管理员。（需提供相关截图证明并加盖原

厂公章）

管理员对运维工单进行审核之后以邮件方式通知给运维人员；

如果允许，则运维人员才可访问；否则就无法访问。

支持定期自动修改windows服务器、网络设备、linux/unix等

目标设备密码功能。

自动修改windows服务器密码无需在目标服务器上安装agent、

开启telnet服务等

支持完善的自动改密策略，包括改密前发送密码、发送失败不

改密、改密后发送密码、密码文件加密、密码强度控制、自动

密码恢复等。发送方式包括邮件、FTP、SFTP等（需提供相关

截图证明并加盖原厂公章）

Web访问方式：至少支持使用IE、谷歌、火狐三种浏览器打开

堡垒机的Web页面直接调用mstsc、VNC、Xshell、SecureCRT、

Putty、winscp、flashFXP、FileZilla、SecureFX等运维客户

端工具

支持通过堡垒机页面直接调用本地Windows系统里的plsql、

sqlplus、toad、sqlwb、ssms、等数据库客户端工

具。

客户端访问方式：支持使用本地的

mstsc/Xshell/SecureCRT/Putty等客户端工具登录堡垒机访

问图形或字符设备，视图界面一致性、搜索能力

支持使用本地的winscp/flashFXP/SecureFX等客户端工具登

录堡垒机访问SFTP/FTP设备

支持使用本地的SecurCRT/Xshell/OpenSSH工具通过SSH网关

代理方式直接登录字符设备

★支持批量登录字符设备功能：能自动生成SecurCRT/Xshell

工具的批量登录文件，实现在工具中批量自动登录多台设备。

（需提供配置界面截图证明并加盖原厂公章）

AD/LDAP环境，支持直接使用登录堡垒机的AD/LDAP用户及密

码可以直接自动登录到服务器里。

支持对运维操作会话的在线监控、实时阻断、日志回放、起止

时间、来源用户、来源IP、目标设备、协议/应用类型、命令

记录、操作内容（如对文件的上传、下载、删除、修改等操作

等）的详细行为日志。

★支持保存SSH的sz/rz命令（zmodem）传输的原始文件，并

提供第三方权威机构检测报告证明及功能截图

支持保存SFTP/FTP传输的原始文件，并提供第三方权威机构检

测报告证明及功能截图

支持保存RDP粘贴板（桌面之间复制-粘贴）传输的原始文件，

并提供第三方权威机构检测报告证明及功能截图

★支持保存RDP磁盘映射传输的原始文件，并提供第三方权威

机构检测报告证明及功能截图

支持对RDP屏幕文字内容、标题窗口、键盘输入的记录和搜索

定位

支持审计主流数据库（如DB2、oracle、mysql、sql server）

运维中的SQL语句，可进行关键信息定位查询

★支持全局搜索审计日志，无需区分图形/字符/文件/应用类

型，只需通过关键信息直接搜索定位（需提供功能截图证明并

加盖原厂公章）

审计数据支持通过SFTP/FTP方式自动归档，并在页面中可以查

询哪些数据是否归档，可以设置归档成功之后自动删除数据，

归档后的数据可以用专用播放器离线查看

支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、

设备账号、命令关键字、命令关键字正则表达式、危险级别、

黑白名单等组合访问控制策略，授权用户可访问的目标设备。

对重要设备启用登录审核功能，运维人员须向管理员申请登录，

管理员允许之后才可登录；否则无法登录

★支持对重要命令进行审核：运维人员执行命令后，须等到管

理员审批通过后才可执行成功（需提供国家权威机构证明并加

盖原厂公章）

支持自动推送命令任务，如可自动备份交换机/路由器的配置信

息、可自动执行周期任务；并将结果以邮件/FTP/SFTP的方式

发送给相关管理员

★支持运维空闲会话时间全局设置限制功能（需提供功能截图

证明并加盖原厂公章）

内置丰富的报表统计模板，可点击柱状图、饼状图或曲线图进

行数据钻取分析，且支持PDF、doc、html格式导出

审计

日志

要求

安全

策略

要求

报表

统计

要求

内置根据运维人员和组生成各种维度的分析报表，维度包含总

为运维次数、时长、活动时长、会话起止时间、会话大小、命

令数、上传下载文件数，分别从全局及平均值、最大值、最小

值、单次运维、单个会话等角度提供非常有价值有意义的报表

★支持运维报表自动定期发送，提供一键导出符合等级保护、

SOX法案要求的综合分析报告（需提供报表样本并加盖原厂公

章）

支持自身审计，包括但不限于：系统状态检测、登录日志、用

户配置日志、设备配置日志、授权配置日志、策略配置日志、

运维访问日志、系统配置日志等

系统

管理

要求

支持系统日志报表统计功能，包括但不限于登录日志统计、配

置日志统计、运维访问日志统计等，可以导出报表

支持邮件/syslog方式输出告警日志

支持SNMP方式输出系统信息

★需提供用户、资产、授权的增删改查等API接口，允许第三

方平台调用堡垒机的API接口，实现用户、资产、权限自动同

步到堡垒机，简化堡垒机配置工作量（需提供功能截图证明并

加盖原厂公章）