网址： www.gzggzy.cn

招标文件

项目编号：CZ2019-

项目名称：广州市妇女儿童医疗中心完善信息安全体系建设项目项目类别：货物类

广 州 公 共 资 源 交 易 中 心

温馨提示：供应商投标特别注意事项

一、 参加投标之前，供应商应确认企业信用档案是否办理、预存工本费账户中的存款额度，以免出现企业信用档案不能被使用以及预存工本费账户中的存款额度不足等问题。上述情况有可能导致投标报名信息无法导入广州公共资源交易中心（以下简称“交易中心”）政府采购交易系统。综合信用评价得分计算的具体时间请参阅《关于公共资源综合信用指数计算时间的说明》（见本项目招标公告附件）。

二、 一律不接受纸质投标文件，只接受具备法律效力的电子投标文件。供

应商参加投标前，应当到依法设立的电子认证服务机构在交易中心设立的办理

点，办理 CA 数字证书和电子签章。三、 如更正公告有重新发布电子招标文件的，供应商需使用更正公告后最

新发布的电子招标文件来制作电子投标文件，否则投标时将无法正常提交电子投标文件。

四、 电子投标文件需在提交投标文件截止时间前完整上传并保存在交易中心政府采购交易系统，且取得回执。逾期送达或错误投递方式送达的投标文件交易中心恕不接收。

五、 对收取投标保证金的项目，只接受以银行转账方式交纳投标保证金，投标保证金到账后须登录银行网页将投标保证金绑定本项目，方为完成投标保证金交纳程序。由于转账当天不一定能够到账，建议至少提前二个工作日转账并

绑定。六、 加★号的条款均被视为重要的指标要求，必须一一响应。若有一项带

“★”的指标要求未响应或不满足，将按投标无效处理。 七、 投标人报价低于最高限价 60%的，必须在投标文件中说明报价理由。

八、 对可接受分公司投标的项目，分公司投标的，需提供具有法人资格的总公司的营业执照原件扫描件及授权书，授权书须加盖总公司公章。总公司可就本项目或此类项目在一定范围或时间内出具授权书。已由总公司授权的，总公司取得的相关资质证书对分公司有效，法律法规或者行业另有规定的除外。

九、 联合体投标的，供应商录入投标信息时，须将联合体所有成员单位的全称录入交易中心政府采购交易系统。十、 评标委员会评标时，对供应商部分信息直接取自供应商在交易中心企

业库登记的信息，请供应商及时维护、更新企业库的信息，确保其有效性。十一、 供应商一旦依法被确认为中标、成交供应商，其投标（响应）文

件中的相关内容（主要中标或者成交标的的名称、规格型号、数量、单价、服务要求等），将会随中标、成交结果公告一并发布在采购信息发布网上，接受社会监督。十二、 交易中心为采购代理机构，不对供应商购买招标文件时提交的相

关资料的真实性负责，如供应商发现相关资料被盗用或复制，应遵循法律途径解决，追究侵权者责任。

（本提示内容非招标文件的组成部分，仅为善意提醒。如有不一致，以招标文件为准。）

广州市妇女儿童医疗中心完善信息安全体系建设项目招标公告

广州公共资源交易中心（以下简称“交易中心”）受广州市妇女儿童医疗中心（以下简称“采购人”）的委托，对广州市妇女儿童医疗中心完善信息安全体系建设项目进行公开招标采购，欢迎符合资格条件的供应商投标。

一、采购项目编号：CZ2019-

二、采购项目名称：广州市妇女儿童医疗中心完善信息安全体系建设项目三、采购项目预算金额（最高限价）：人民币 5780000元 四、采购数量：1 项五、采购项目内容及需求（采购项目技术规格、参数及要求，需要落实的政

府采购政策）：（一）采购内容：广州市妇女儿童医疗中心完善信息安全体系建设项目采

购。（二）本次采购产品为非进口产品（进口产品指通过中国海关报关验放进

入中国境内且产自关境外的产品）。（三）按照《财政部关于在政府采购活动中查询及使用信用记录有关问题

的通知》（财库﹝2016 125﹞ 号）的要求，根据评审时“信用中国”网站（www.creditchina.gov.cn）的信息，对列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商，拒绝其参与政府采购活动（如查询结果显示“没查到您要的信息”，视为没有上述三类不良信用记录） 。同时对信用信息查询记录和证据截图存档。

（四）本项目运用公共资源交易综合信用指数（以下简称“信用指数”），综合信用评价得分计入综合评分，请供应商根据《公共资源交易综合信用指数评价标准》对相关资料进行登记或更新，详见本招标公告附件。

（五）对要求提交投标样板的项目，投标人可在递交投标文件当日截止时间前 1小时内将样板递交到交易中心样板室，迟于递交投标文件截止时间递交的样板，交易中心不予收取；对要求原型演示或答辩的项目，请投标人在开标时间前到达交易中心等候。样板室或等候地点：广州市天河区天润路 445号广州公共资源交易中心（太阳广场）四楼。

六、供应商资格：（一）符合《政府采购法》第二十二条所规定的条件；分公司投标的，必须

由具有法人资格的总公司授权。（二）本项目不接受联合体投标。七、根据广东省财政厅政府采购监管处《关于做好供应商注册登记有关工作

的 通 知 》 的 要 求 ， 供 应 商 应 在 报 名 前 通 过 广 东 省 政 府 采 购 网（www.gdgpo.gov.cn）进行注册登记（相关事宜详见广东省政府采购网《关于做好供应商注册登记有关工作的通知》）。

八、报名前，供应商已办理交易中心供应商信用档案（办理方法请参阅本公告附件 3）。符合资格的供应商应当在公告之时至期间登录交易中心网站（http://www.gzggzy.cn）会员专区完成本项目报名信息登记并交纳招标文件工本费，工本费为 150元人民币（具体交纳方法请参阅本公告附件 4）。投标人可登录交易中心网站（http://www.gzggzy.cn）自行下载招标文件。

九、踏勘现场及招标答疑会   （一） 本项目不需要踏勘现场。   （二） 本项目不需要现场招标答疑会。

十、提交投标文件时间：公告之时起至。十一、提交投标文件截止时间和开标时间：。十二、供应商提交投标文件的方式：在交易中心网站会员专区上传电子投

标文件。十三、投标文件解密时间：-。

　　　　　解密完成后及时公布开标结果，投标人可登录交易中心会员专区查看开标情况。

十四、开标地点：在线开标。十五、本公告期限（5 个工作日）自至止。十六、联系事项：

   （一）采购人   采购人名称：广州市妇女儿童医疗中心   采购人地址：广州市天河区金穗路 9号   联 系 人：谭韦池 联系电话：(020)38076451

（二）采购代理机构名称：广州公共资源交易中心

地址：广州市天河区天润路 333号 邮编：510630

对外办公时间：工作日 8:30～12:00，14:00～17:30

（三）服务热线：1.业务咨询：(020)28866000-0 传真：(020)28866414

2.CA 数字证书及电子签章：(020)28866000 转 1

3.政府采购招标部（采购文件咨询）：陈剑波（020）28866236

4.政府采购交易部（项目开标、评审咨询）：（020）28866425

5. 电 子 投 标技术支持电话： （ 020 ） 28866000 转 2 转 2 再转

2、15360503495、15360503496（ 工 作 日 服 务 时 间 ：每天 8:30-

17:30）6.政府采购审核部（质疑受理）：（020）28866163

发布人：广州公共资源交易中心发布时间：

附：交易中心位置图

第一章 投标人须知

投标人必须认真阅读招标文件中所有的事项、格式、条款和采购人需求等。投

标人没有按照招标文件要求提交全部资料，或者投标文件没有对招标文件在各

方面都做出实质性响应是投标人的风险，并可能导致其投标无效或被拒绝。一、 名词解释

1. 采购代理机构：是指广州公共资源交易中心 (简称交易中心)。交易中心是整个采购活动的组织者，依法负责编制和发布招标文件，对招标文件拥有最终的解释权。交易中心不以任何身份出任评委会成员。

2. 采购人：是指广州市妇女儿童医疗中心，是采购活动当事人之一，负责项目的整体规划、技术方案可行性设计论证与实施，作为合同采购方(用户)的主体承担质疑回复、履行合同、验收与评价等义务。

3. 投标人：是指从交易中心购买招标文件并提交投标文件的供应商。4. 招标文件：是指包括招标公告和招标文件及其补充、变更和澄清等一系

列文件。5. 电子投标文件：是指使用广州公共资源交易中心提供的投标文件管理软

件制作的投标文件。6. 电子签名和电子签章：是指广东省内依法设立的电子认证服务机构签发

的电子签名认证证书和电子签章，供应商应当到上述服务机构在广州公共资源交易中心设立的办理点办理。电子签名及电子签章与手写签名或者盖章具有同等的法律效力。

7. 日期、天数、时间：未有特别说明时，均为公历日（天）及北京时间。8. 采购信息发布网站：广东省政府采购网（www.gdgpo.com）、广州市

政 府 采 购 网 （ www.gzg2b.gov.cn ） 和 广 州 公 共 资 源 交 易 中 心 网（www.gzggzy.cn）。

二、 一般要求（一） 投标的费用1. 不论投标的结果如何，投标人应承担所有与编写和提交投标文件有关的

费用。2. 中标供应商在下载打印电子《中标通知书》前应向交易中心交纳代理服

务费，收款银行帐号以中标结果公告指定的银行帐号为准。3. 代理服务费根据广东省物价局粤价函〔2013〕1233号规定标准，以采

购额按差额定率累进法计算，如下表：采购额 货物类 服务类 工程类

采购额≤100万元 1.2% 1.2% 0.8%

100万元＜采购额≤500万元 0.88% 0.64% 0.56%

500万元＜采购额≤1000万元 0.64% 0.36% 0.44%

1000万元＜采购额≤5000万元 0.4% 0.2% 0.28%

5000万元＜采购额≤1亿元 0.2% 0.08% 0.16%

1亿元＜采购额≤5亿元 0.04% 0.04% 0.04%

5亿元＜采购额≤10亿元 0.028% 0.028% 0.028%

10亿元＜采购额≤50亿元 0.0064% 0.0064% 0.0064%

50亿元＜采购额≤100亿元 0.0048% 0.0048% 0.0048%

采购额≥100亿元 0.0032% 0.0032% 0.0032%

注：本项目采购额为中标金额。4. 代理服务费交纳方式中标供应商凭 CA 数字证书登录广州公共资源交易中心数字交易平台查询

交纳金额，并选用以下两种方式交纳代理服务费:

（1）网上交纳（推荐）：中标供应商登录交易平台，选定“我是投标人

（供应商）”-“投标人缴费管理”，选定交费项目，使用银行借记卡进行网上

支付。（2）现场交费：中标供应商可到交易中心大厅西侧建设银行天润路支行

专窗办理交费手续，然后到业务窗口提交缴款单（原件）、交费项目名称、项目

编号、经办人手机号办理确认收费。广州公共资源交易中心代理服务费指定账户信息：

收款单位：广州公共资源交易中心 开户银行：中国建设银行广州天润路支行 账号：44001583404059112025-0001

注：中标供应商在交费过程中输入的手机号码是领取网上电子发票的依据，请

谨慎填写。 中 标 供 应 商 可凭上 述经办 人手机号登陆发票通网站

“www.fapiao.com”或微信号“发票通”中下载电子发票用于报账。

（二） 招标文件的澄清和修改1. 交易中心对招标文件进行必要的澄清或者修改的，在采购信息发布网站

上发布更正公告。澄清或者修改的内容可能影响投标文件编制的，更正公告在投标截止时间至少15日前发出；不足15日的，交易中心顺延提交投标文件截止时间。

2. 更正公告为招标文件的组成部分，一经在交易中心网站发布，系统将自动通过电子邮件方式发送给已投标报名的供应商，视同已通知所有招标文件的收受人。

3. 如更正公告有重新发布电子招标文件的，供应商应下载最新发布的电子招标文件制作投标文件。

4. 投标人在规定的时间内未对招标文件提出疑问、质疑或要求澄清的，将视其为无异议。对招标文件中描述有歧义或前后不一致的地方，评标委员会有权进行评判，但对同一条款的评判应适用于每个投标人。

（三） 关于联合体投标 对接受联合体投标的项目：

1. 两个以上供应商可以组成一个投标联合体，以一个投标人的身份投标。2. 联合体各方均应当符合《政府采购法》第二十二条第一款规定的条件，

根据采购项目的特殊要求规定投标人特定条件的，联合体各方中至少应当有一方符合采购人规定的特定条件。

3. 联合体各方之间应当签订共同投标协议并在投标文件内提交，明确约定联合体各方承担的工作和相应的责任。联合体各方签订共同投标协议后，不得再以自己名义单独在同一项目中投标，也不得组成新的联合体参加同一项目投标。

4. 投标报名时，应以主体方名义报名，并须将联合体所有成员单位的全称录入广州公共资源交易中心信息系统，联合体名称需与共同投标协议签署方一致。

5. 联合体投标的，应以主体方名义提交投标保证金（如有），对联合体各方均具有约束力。

6. 由同一专业的单位组成的联合体，按照同一项资质等级较低的单位确定资质等级。业绩等有关打分内容根据共同投标协议约定的各方承担的工作和相应责任，确定一方打分，不累加打分；评审标准无明确或难以明确对应哪一方的打分内容按主体方打分。

7. 联合体各方均为小型、微型企业的，各方均应提供《中小微企业声明函》；中小微企业作为联合体一方参与政府采购活动，且《共同投标协议书》中约定，小型、微型企业的协议合同金额占到联合体协议合同总金额30%以上的，应附中小微企业的《中小微企业声明函》。

（四） 关于关联企业除联合体外，法定代表人或单位负责人为同一个人或者存在直接控股、管理

关系的不同供应商，不得同时参加同一项目或同一子项目的投标。如同时参加，

则评审时将同时被拒绝。

（五） 关于分公司投标对可接受分公司投标的项目，分公司投标的，需提供具有法人资格的总公

司的营业执照原件扫描件及授权书，授权书须加盖总公司公章。总公司可就本项目或此类项目在一定范围或时间内出具授权书。已由总公司授权的，总公司取得的相关资质证书对分公司有效，法律法规或者行业另有规定的除外。

（六） 关于提供前期服务的供应商为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供

应商，不得再参加该采购项目的其他采购活动。（七） 关于中小微企业投标中小微企业投标是指符合《中小企业划型标准规定》的投标人，通过投标提

供本企业制造的货物、承担的工程或者服务，或者提供其他中小微企业制造的货

物。本项所指货物不包括使用大型企业注册商标的货物。中小微企业投标应提供

《中小微企业声明函》；提供其他中小微企业制造的货物的，应同时提供制造商

的《中小微企业声明函（制造商）》。根据财库〔2014〕68号《财政部 司法部关于政府采购支持监狱企业发展有

关问题的通知》，监狱企业视同小微企业。监狱企业是指由司法部认定的为罪犯、

戒毒人员提供生产项目和劳动对象，且全部产权属于司法部监狱管理局、戒毒管

理局、直属煤矿管理局，各省、自治区、直辖市监狱管理局、戒毒管理局，各地

(设区的市)监狱、强制隔离戒毒所、戒毒康复所，以及新疆生产建设兵团监狱管

理局、戒毒管理局的企业。监狱企业投标时，提供由省级以上监狱管理局、戒毒

管理局(含新疆生产建设兵团)出具的属于监狱企业的证明文件，不再提供《中小

微企业声明函》。

（八） 知识产权1. 投标人必须保证，采购人在中华人民共和国境内使用投标货物、资料、

技术、服务或其任何一部分时，享有不受限制的无偿使用权，如有第三方向采购人提出侵犯其专利权、商标权或其它知识产权的主张，该责任应由投标人承担。

2. 投标报价应包含所有应向所有权人支付的专利权、商标权或其它知识产权的一切相关费用。

3. 系统软件、通用软件必须是具有在中国境内的合法使用权或版权的正版软件，涉及到第三方提出侵权或知识产权的起诉及支付版税等费用由投标人承担所有责任及费用。

（九） 纪律与保密事项1. 投标人不得相互串通投标报价，不得妨碍其他投标人的公平竞争，不得

损害采购人或其他投标人的合法权益，投标人不得以向采购人、评标委员会成员行贿或者采取其他不正当手段谋取中标。

2. 在确定中标供应商之前，投标人不得与采购人就投标价格、投标方案等实质性内容进行谈判，也不得私下接触评标委员会成员。

3. 在确定中标供应商之前，投标人试图在投标文件审查、澄清、比较和评价时对评标委员会、采购人和交易中心施加任何影响都可能导致其投标无效。

4. 获得本招标文件者，不得将招标文件用作本次投标以外的任何用途。若有要求，开标后，投标人应归还招标文件中的保密文件和资料。

5. 由采购人向投标人提供的图纸、详细资料、样品、模型、模件和所有其它资料，均为保密资料，仅被用于它所规定的用途。除非得到采购人的同意，不能向任何第三方透露。开标结束后，应采购人要求，投标人应归还所有从采购人处获得的保密资料。

三、 质疑与投诉（一） 供应商认为招标文件、采购过程和中标结果使自己的权益受到损害

的，可以在知道或者应知其权益受到损害之日起七个工作日内，以书面原件形式向采购人或交易中心提出质疑，逾期质疑无效。供应商应知其权益受到损害之日是指：

1. 对招标文件提出质疑的，为收到招标文件之日或者招标文件公告期限届

满之日；2. 对采购过程提出质疑的，为各采购程序环节结束之日；3. 对中标结果提出质疑的，为中标结果公告发布之日。（二） 质疑文件应当包括下列主要内容：1. 质疑供应商和相关供应商的名称、地址、联系人及联系电话等；2. 质疑项目及编号、质疑事项；3. 认为采购文件、采购过程、中标和成交结果使自己的合法权益受到损害

的法律依据、事实依据、相关证明材料及证据来源；4. 提出质疑的日期。（三） 质疑函应当署名。质疑供应商为自然人的，应当由本人签字；质疑

供应商为法人或者其他组织的，应当由法定代表人或者主要负责人签字盖章并加盖公章。

（四） 供应商质疑应当有明确的请求和必要的证明材料。质疑内容不得含有虚假、恶意成份。依照谁主张谁举证的原则，提出质疑者必须同时提交相关确

凿的证据材料和注明证据的确切来源，证据来源必须合法，交易中心有权将质疑函转发质疑事项各关联方，请其作出解释说明。对捏造事实、滥用维权扰乱采购秩序的恶意质疑者，将上报政府采购监督管理部门依法处理，同时交易中心将在企业信用档案中予以记录，对综合信用评价得分予以扣除。

（五） 质疑供应商对采购人、交易中心的质疑答复不满意，或者采购人、交易中心未在规定期限内作出答复的，可以在答复期满后15个工作日内向采购人的同级政府采购监督管理部门提起投诉。

（六） 质疑受理部门：政府采购审核部（七） 提交质疑文件地点：交易中心三楼政府采购审核部（法律事务部），

质疑文件模板请自行在“交易中心主页-服务指南-资料下载-政府采购”下载。（八） 本次采购活动中，交易中心对质疑回复等文件的送达方式为现场取

件、邮寄或电子邮件（交易中心指定邮箱为：gzshenhebu@sina.com，该邮箱仅用于发送文件）。

四、 投标要求（一） 投标文件的制作1. 投标文件中，除规定采用交易中心企业信息库中登记的信息外，其他内

容均以电子文件编制，其格式要求详见第五章说明。如因不按要求编制而所引起系统无法检索、读取相关信息时，其后果由投标人承担。

2. 投标人应使用交易中心提供的投标文件管理软件对投标文件进行合成、电子签名、电子签章及加密打包。所有投标文件不能进行压缩处理。

3. 如有对多个子项目投标的，要对每个子项目独立制作电子投标文件。4. 投标人不得将同一个项目或同一个子项目的内容拆开投标，否则其报价

将被视为非实质性响应。5. 投标人须对招标文件的对应要求给予唯一的实质性响应，否则将视为不

响应。

6. 招标文件中，凡标有“★”的地方均为实质性响应条款，投标人若有一项带“★”的条款未响应或不满足，将按无效投标处理。

7. ★投标人报价低于最高限价60%的，必须在投标文件中说明报价理由。

8. 投标人必须按招标文件指定的格式填写各种报价，各报价应计算正确。除在招标文件另有规定外，计量单位应使用中华人民共和国法定计量单位，以人民币填报所有报价。

9. 投标文件以及投标人与采购人、交易中心就有关投标的往来函电均应使用中文。投标人提交的支持性文件和印制的文件可以用另一种语言，但相应内容应翻译成中文，在解释投标文件时以中文文本为准。

10. 投标人应按招标文件的规定及附件要求的内容和格式完整地填写和提供资料。投标人必须对投标文件所提供的全部资料的真实性承担法律责任，并无条件接受采购人和政府采购监督管理部门对其中任何资料进行核实（核对原件）的要求。采购人核对发现有不一致或供应商无正当理由不按时提供原件的，应当书面知会交易中心，并书面报告本级人民政府财政部门。

11. 投标人应承担其资格审查申请文件编制与提交所涉及的一切费用，在任何情况下交易中心对上述费用均不负任何责任。

（二） 投标文件的提交1. 投标人应在上传电子投标文件前，在交易中心信息系统中完成投标报名。2. 交易中心不接受现场纸质、邮寄纸质、电报、电话、传真方式投标。3. 于提交投标文件截止时间前，投标人将投标文件完整上传并保存在广州

公共资源交易中心信息系统，且取得回执。时间以交易中心信息系统服务器从中国科学院国家授时中心取得的北京时间为准，投标截止时间结束后，系统将不允许投标人上传投标文件。如遇网络上传速度较慢情况，投标人也可选择到交易中心二楼自助服务区完成上传。

4. 上传投标文件时，投标人须使用制作该投标文件的同一业务数字证书进

行上传操作。5. 交易中心对因不可抗力事件造成的投标文件的损坏、丢失的，不承担责

任。6. 出现下述情形之一，属于未成功提交投标文件：（1） 至提交投标文件截止时，投标文件未完整上传并保存的；（2） 投标文件未按要求进行电子签名和电子签章，或电子签名或电子签

章不完整的；（3） 投标文件损坏或格式不正确的；（4） 未使用最新发布的招标文件制作投标文件的。

（三） 投标文件的修改与撤回1. 在提交投标文件截止时间前，投标人可以修改或撤回未解密的投标文件，

投标文件一经解密，将不允许修改或撤回。2. 在提交投标文件截止时间后，投标人不得补充、修改和更换投标文件。3. 在提交投标文件截止时间起至投标有效期终止日前，投标人不能撤销投

标文件，否则其投标保证金（如有）将不予退还，且交易中心有权将其撤销行为载入不良信用记录。

（四） 投标文件的解密投标人须在规定的投标解密时间内，使用制作该投标文件的同一业务数字

证书对投标文件进行解密，逾期未解密的投标文件作无效投标处理。（五） 投标有效期

投标有效期为开标后 90 天。在特殊情况下，交易中心可于投标有效期满之前要求投标人同意延长有效

期，要求与答复均以书面形式进行。投标人可以拒绝上述要求，但其投标将会被拒绝并退还投标保证金（如有）；同意延期的投标人其权利与义务相应延至新的截止期。

（六） 投标保证金本项目不收取投标保证金。

第二章 采购人需求一、采购具体要求项目内容及需求：1.1 采购内容：软件应用系统产品及服务采购。包括防火墙、安全网关、上网

行为管理、终端准入与桌面管理系统、内网势态感知系统、信息安全管理系统、运

维管理系统、安全服务系统运维、安全管理体系建设、运维管理体系建设。1.2 工期要求：项目建设周期为合同签订后 12 个月。1.3安全服务：自合同签订之日起 3年。二、投标要求2.1 投标人应承诺为采购人提供方案设计、设备集成、工程设计、系统建设、

联调测试、培训、维护等专业化服务。2.2 投标人应承诺提供厂商原装、全新的、符合国家及用户提出的有关质量

标准的设备。项目所有故障数据存储设备由采购人（用户）留存，无需返还。2.3 投标人应承诺在项目实施前完成概要设计、详细设计、深化设计，得到

采购人的认可方可实施。2.4 投标人应承诺不得将采购人的任何资料泄露给第三方，更不能提取、处

理、发布、运营系统任何信息资源，中标后必须与采购人签定保密协议书。2.5 投标人应承诺在工程完成后及时向采购人提交有关工程竣工资料文件。

第一节 项目需求描述

★本次采购产品为非进口产品（进口产品指通过中国海关报关验放进入中

国境内且产自关境外的产品）。★凡属于政府强制采购节能产品，请投标人承诺在交货时提供《节能产品政

府采购清单》中的产品。（注：《节能产品政府采购清单》投标人可查询中国政府

采购网<http://www.ccgp.gov.cn>。）★凡属于《中华人民共和国实施强制性产品认证的产品目录》的产品，交货

时不能提供超出此目录范畴外的替代品，产品还须同时具备国家认证认可监督

管理委员会颁布《中国强制认证》（CCC 认证）。凡属优先采购节能产品，请供应商尽可能提供《节能产品政府采购清单》中

的产品。（注：《节能产品政府采购清单》投标人可查询中国政府采购网

<http://www.ccgp.gov.cn>。）凡属优先采购环境标志产品，请供应商尽可能提供《环境标志产品政府采购

清单》中的产品。（注：《环境标志产品政府采购清单》投标人可查询中国政府采

购网<http://www.ccgp.gov.cn>。）

一. 项目名称

广州市妇女儿童医疗中心完善信息安全建设项目

二. 建设背景

行业信息安全现状

总结最近几年的安全态势，信息安全面临的主要安全威胁重点表现在：信

息安全事件屡有发生、网络被病毒和黑客攻击导致业务中断、业务数据泄露引发

各界高度关注、各应用系统和操作系统的漏洞呈现迅猛增长趋势、内网不断爆发

安全事件(比如前段时间“永恒之蓝”事件,不连接互联网的内部专网暴露出来

的问题反而更多)，针对各级组织的攻击仍然呈现频率高、规模大和转嫁攻击的

特点。出现这些问题的原因主要有：

（1） 应用系统自身存在的安全弱点

各种通用的应用平台程序，如数据库管理系统、Web Server 程序、FTP 服

务程序、E-mail 服务程序、浏览器、MS Office 办公软件等，以及为业务系统专

门开发的应用程序，其自身的安全漏洞和由于配置不当造成的安全漏洞会导致

整个网络的安全性下降。常见的应用系统安全弱点包括：1) 源程序中存在的 BUG，被利用发起攻击，造成业务应用被中断。2) 源程序中出于程序调试的方便，人为设置许多“后门”，一旦被黑客利用后，将直接通过“后门”控制系统。3) 应用系统自身很弱的身份认证，使得黑客获得访问应用系统的权限，从而访问到业务系统的敏感信息，造成信息外泄。4) 应用系统的用户名和口令以明文方式被传递，容易被截获，从而发起对系统的非授权访问。5) 各种可执行文件成为病毒的直接攻击对象。应用系统是动态的、不断变化的，应用的安全性也动态的，这就需要对不同

的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。（2） 工作人员自身存在的安全弱点任何安全的设备和系统都离不开人的管理，再好的安全策略最终要靠人来

实现，因此 IT运维和管理人员是整个信息系统安全中极为重要的一环。IT管理

人员的安全意识薄弱或安全操作水平不足将给信息系统造成极大的安全隐患。

（3） 安全防护的不足

1) 医院内外部资产梳理不清，比如自己有哪些资产在使用，哪些资产被越

权发布在外网，哪些资产开放了不必要的端口，哪些资产被越权使用。

2) “ ”网络隔离不能一隔了之， 永恒之蓝 事件影响最大的，反而恰恰是哪些

隔离内网，需要具备提前发现风险和加固整改的能力。

3) 没有攻不破的网络，只有已经被攻破和即将被攻破的网络，需要在网络

被攻击时具备发现和监测的能力。

4) 网络安全监测、响应机制匮乏，发现问题之后，也缺乏有效的技术手

段，缺乏体系化的响应机制。 5) 互联网使用不规范、缺乏行为管理、资源分配不明、上网没有记录和审

计的能力。

6) 缺少专业的安全服务能力，需要以购买服务的方式借助第三方的安全服

务能力。

新的网络安全防护体系还需要建立在“四个假设”的基础上。第一个假设，系统一定有未被发现的漏洞。现在，很多应用系统内网和涉密

网都成了 APT（Advanced Persistent Threat，APT）攻击重灾区，但是传

统的安全设备无法检测 APT，因此需要采用新的方法，比如临机介入 24小时

可以智能查漏洞，“网络众测平台”引入白帽子攻防专家可以对系统进行攻击

型漏洞检测等。第二个假设，一定有已发现但仍未修补的漏洞。以 5月爆发的勒索病毒举

例说，虽然微软在 3月份发布了关于“永恒之蓝”漏洞的安全补丁，但很多单

位都没有及时安装更新，这些单位都成了病毒“重灾区”。对妇儿中心单位内网

来说，同样需要结合威胁情报，及时做到状态判定、损失评估和追踪溯源。以威

胁情报为核心安全运营模式，能够更好的为妇儿中心单位内网信息安全建设提

供支撑。第三个假设，系统已经被渗透。出现这种情况，需要快速地定位问题，但是

会受人员和资金的限制，安全人员的技术、经验和工具都比较薄弱。因此需要建

立网络安全态势感知系统，通过在本地的安全大数据中心，结合智能分析模型

和专业攻防技术服务，可以自动告知预警，减少损失。第四个假设，员工不可靠。世界通信技术行业巨头威瑞森公司(Verizon)发

布的《2017年数据泄露调查报告》显示，近四分之一的数据泄露，是由于医院

内部人员造成的，内部威胁逐渐成为数据泄露的主要原因之一。没有攻不破的网络。出现病毒攻击的时候，重要的是有安全团队，能够快速

响应、快速修补、快速应对。今后，网络攻防将变成一个新常态，这是一个长期

的攻防战。面对未来越来越多的新型安全威胁问题，医院的安全防护体系建设不应该

仅仅局限于传统被动式的安全防护，更应该从全面监测、持续响应开始，结合强

大的云端数据情报，构建完善的安全防护体系，建立起足够强大的安全对抗措

施，达到自我防卫。

中心现状

广州市妇女儿童医疗中心成立于 2006年 9月，由原广州市儿童医院和广

州市妇幼保健院（广州市妇婴医院）整合而成，加挂牌子“广州市妇幼保健

院”、“广州市儿童医院”和“广州市妇婴医院”。医院总占地面积 37425平

方米，建筑面积近 13万平方米，核定床位 1400张。现在职人员 3175 人，高

级职称人员 431 人，硕士以上学历 832 人，博士和硕士生导师 129 人。拥有国

家卫生部临床重点专科 3 个，广东省临床重点专科、学科 7 个，广东省“十二

五”医学重点实验室 2 个，为广东省、广州市的博士后创新实践基地，广州医

科大学附属医院、中山大学教学医院、南方医科大学教学实践基地和暨南大学研

究生培养基地，是一所集预防、医疗、保健、科研、教学为一体的三级甲等妇女儿

童专科院。2016年全年门诊量 3761000 人次,住院病人 92919 人次，手术量

59495台次，分娩量 22455 人次。

2016年 10月 25 日，广州市妇儿医疗中心成为全国第四家通过 HIMSS7

级医院，全国第一家实现住院和门诊系统双 7级。目前虽然通过等级保护，但是安全问题依然存在，人员信息安全意识薄弱，

安全保护技术薄弱，还需进一步加固安全建设。在当前信息化大集中的形势下，规范化信息系统运维日益显示出其重要性、

迫切性。所以，信息系统运维工作还是面临许多难点和困难，有很多急待解决的

普遍性问题，如工作量增加、难度增大、矛盾加剧、人员积极性不高等，在一定

程度上阻碍了信息系统运维工作更加有效地开展。因此需要采用科学化、集约化

的运维工作模式与方法，逐步完善广州市妇女儿童医疗中心信息系统运维服务

管理工作，实现信息化保障支撑管理从被动式无序管理向主动式流程管理转变，

更好地满足广州市妇女儿童医疗中心业务工作的需要。信息科人员少、运维工作

量大，运维工作需要一定数量的、有专业技术、有一定的业务知识的运维人才来

支持和保障，因此考虑引进第三方运维团队。随着妇儿中心机构整合能力增强、科研能力水平的提升，医疗用户呈线性增

长。HIS、RIS 和 PACS 等多达数十个重要信息系统逐渐成为医院信息化建设的

重点，医院信息系统与医院提供的医疗服务之间的结合日渐紧密。

三. 项目建设目标

基于信息安全管理体系（ISMS ISO/IEC 27001：2013）和国际信息技术

服务管理体系（ITSMS ISO/IEC 20000-1:2011），以实现妇儿中心系统可持

续服务和数据安全可靠为导向，设计先进、功能完备、安全可靠、自主可控的医

院信息系统安全架构，建成覆盖全院的安全和运维监管平台。实现医院安全服务

管理平台化、信息化、高效率的运维管理机制，为医院决策层、管理层和信息化

人员提供有效的事件跟踪处理和监督手段，实现流程规范化、信息知识化、数据

集中化、管理精细化和决策科学化。通过制定和实施医院 ISO27001 信息安全管理体系规范医院员工的行为，

保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全

体系协同工作的高效、有序和经济性。ISO27001 信息安全管理体系可以在信息

安全事故发生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，

而更重要的是 ISO27001 信息安全管理体系能够预防和避免大多数的信息安全

事件的发生。从医院的实际状况出发，参照 ISO/IEC20000-1 最佳实践规范，在运维管

理上通过流程自定义的方式，定义出符合医院当前实际工作流程，涵盖国际标

准的主要内容，诸如：服务请求、事件问题、变更、配置、发布、服务目录和知识

管理。通过最合适的运维管理平台，帮助医院计算机信息管理中心搭建统一、完

善的管理平台，另外从实践需求出发，在平台中集成巡检，特别是通过综合监

控实现自动化巡检功能，在桌面支持方面开发出有效的远程报故障和在线支持

等实战工具，提高信息部门的支持效率。对医院核心网络、医院现有安全设备

（包括边界类设备、摆渡类设备、终端设备、旁路设备等）、医院现有运行系统

（HIS、PACS、LIS、EMR 等）后台支撑系统和软件（如操作系统、数据库、中间

件等）、机房内物理安全和医院安全管理制度的建设和运维，提供专业化运维管

理服务。明确整体安全运维边界，构建安全运维职责权限，优化业务服务与 IT资产

数据安全运维管理服务的融合效益。构建云服务商、妇儿中心、业务服务商、安全服务商及外部服务安全运维人

员的整体的权责关系，优化安全运维服务业务流程，提升整体的内部和外部服

务效率，释放 IT服务即价值的理念；更好的服务妇儿中心的核心业务服务，提

升妇儿中心信息化安全运维服务水平，保证妇儿中心信息资产安全与稳定的运

行。充分运用各种管理工具和标准化的ＩＳＯ管理方法及要求，最终建立一套

符合妇儿中心现状可闭环自我完善持续进步的安全体系，以应对信息系统面对

的各种已知和未知的、来自内部和外部的威胁。秉承“持续保护、不止合规”的

理念，本着建立真正有效的体系的原则，构建“防御+检测+响应+改进”的安

全能力。使安全技术体系不再是简单的堆叠防御手段。既能满足等级保护要求，

又能充分发挥安全技术体系的有效性，抵御新威胁，切实的解决安全问题，减

少事故发生的概率。体系化安全管理管理制度，让医院的安全管理体系，有宏观的设计、有清晰

的责任权限、有合理的制度要求。建立统一的信息安全管理体系，落实各项管理

制度，让医院的安全管理体系，有宏观的设计、有清晰的责任权限、有合理的制

度要求。同时应用包括安全可视化、统一运维管理的创新的技术手段，简化安全

运维管理，减轻安全运维管理的负担，提升安全运维管理的效率，最终做到整

体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管

并重。

四. 建设规模

本项目建设规模如下：（1）软件应用系统产品及服务采购。包括防火墙、安全网关、上网行为管理

终端准入与桌面管理系统、内网势态感知系统、信息安全管理系统、运维管理系

统；（2）安全服务系统运维采购；（3）安全管理体系及运维管理体系建设（4）本项目建设地点为广州市妇女儿童医疗中心，包含了珠江新城院区，

儿童院区，妇婴院区、增城院区等。（5）安全服务时间：自合同签订之日起 3年。

五. 建设项目一览表

编号 标的名称 数量 备注

1 防火墙 3台2 安全网关 2台3 上网行为管理 3套4 终端准入与桌面管理系统 1套5 内网态势感知系统 1套6 信息安全管理系统 1套7 运维管理系统 1套8 安全服务系统运维 1 项9 安全管理体系建设 1 项10 运维管理体系建设 1 项11 42U 标准网络机柜 1 个12 １６A　PDU 一批 满足项目设

备的接入最高限价人民币伍佰柒拾捌万元整（小写￥5,780,000.00）★投标人所投设备、系统、服务的参数不得低于招标需求各项指标。

六. 系统架构

图 2-1·妇儿中心网络拓扑现状

一个好的安全技术体系框架落实，需要合理、合规、科学的网络安全规划与

安全设备部署。通过多年安全体系建设安全项目经验积累，根据实际情况，给出

以下总体网络安全构架设计。如下图所示：

图 2-2 妇儿中心信息安全加固项目建设预期网络拓扑图依据“分级分域”原则进行安全域划分：在区域边界处部署统一安全网关

满足等保“边界访问控制”、“入侵防御”和“恶意代码防范”等中对“应用层

访问控制”、“内网设备非法外联行为检测及阻断”等通用技术要求。三级系统域部署数据库审计系统，满足等保技术要求中“安全审计”的要

求，同时三级系统中数据库审计系统在等保测评时是重要的检查指标。运维管理域部署日志审计系统，满足等保通用技术网络和通信安全、设备和

计算安全、应用和数据安全中所有对“安全审计”的技术要求，同时满足《网络

安全法》中“留存相关的网络日志不少于六个月”的法律要求。终端和服务器安装相应的网络版杀毒软件，同时在运维管理域的防病毒服

务器对所有杀毒软件进行统一管理及策略、特征库的统一升级，满足等保中“恶

意代码防范”要求及“集中管控”部分要求。互联网出口域部署上网行为管理 AC，保证网络各个部分带宽满足业务高峰

期需要，对用户上网行为进行可视、可控。满足等保中“边界防护”、“网络架

构”、“访问控制”、“入侵防范”、“个人信息保护”等相关要求。组织资产多、运维管理人员少，在安全运维区部署堡垒机，提供安全的信息

传输路径，实现了对网络中的安全设备或安全组件进行管理，满足等保技术要

求中“集中管控”要求，同时堡垒机的部署简化了组织的安全运维工作，方便

了对运维操作的审计，降低了因违规操作发生安全事件的风险。检测探针+安全感知平台可以与统一安全网关、上网行为管理、数据库审计

等设备联动，赋予用户“安全可视”、“动态感知，持续检测”、“协同防御，

多级联动”多种安全能力。

七. 硬件及系统采购系统需求

七.1. 防火墙

过去的安全设备往往是针对某种特定威胁的，现有的防火墙缺乏完备的安

全体系，很难适应综合的安全事件，也不能从根本上解决这些问题。与医保云边界防护，医院信息化网络的不断升级与扩容，在网络边界环境

中设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。加固说明：避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与

其他网段之间采取可靠的技术隔离手段。

被保护的网络属于负责管理的医院内部网络，而所要防备的网络则是一个

外部的网络，该网络是不可信赖的，因为可能会从该网络上对内部网络发起攻

击，破坏内部网络安全。访问控制a) 应在网络边界部署访问控制设备，启用访问控制功能；b) 应能根据会话状态信息为数据流提供明确的允许拒绝访问的能力，控制

粒度为端口级；c) 应 对 进 出 网 络 的 信 息 内 容 进 行 过 滤 ， 实 现 对 应 用 层

HTTP、FTP、TELNET、SMTP 、POP3 等协议命令级的控制；入侵防范a) 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻

击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；b) 当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，

在发生严重入侵事件时应提供报警。恶意代码防范a) 应在网络边界处对恶意代码进行检测和清除；

b) 应维护恶意代码库的升级和检测系统的更新。产品特点：拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许

合法用户不受妨碍地访问网络资源。防火墙（3 台）

序号 招标项 招标要求1 硬件参数 ★2U 设备，标配 6 个 10/100/1000M Base-TX；8 个 SFP插槽2 性能要求 ★吞吐量：5G，最大并发连接数 220万，每秒新建连接数 4万

3 系统要求 支持多系统（≥3 个）引导，并可在 WEB界面上配置启动顺序，要求除恢复系统之外，还可支持系统一键式切换及完整备份（要求多个系统界面截图），具备国家版权局颁发的《多核多线程 ASIC 并行操作系统软件著作权登记证书》

4 访问控制 ★支持对域名的 IP解析，并可作为地址资源被安全规则引用，实现对域名地址的访问控制。

5 网络适应性支持静态路由，动态路由（OSPF/v3、RIP 等），VLAN 间路由，单臂路由，组播路由等内置 ISP地址列表，可轻松完成基于 ISP 的策略路由★必须支持多出口环境下的复杂策略路由，路由条数 200条以上

6 3G 安全接入 支持CDMA2000（推荐中兴AC580）协议下的 3G功能。

7 WiFi 接入 支持 802.11B,802.11G 协议 ，支持设 备 作 为 WiFi 热点 （即AP），为客户机提供无线安全接入服务，（若应答满足，须提供截图，否则不得分）。支持无线设备接入的 MAC地址认证，可设置默认接收或拒绝 MAC地址。

8 IPv6/IPv4双协议栈

支持 IPv6安全控制策略设置，能针对 IPV6 的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置。支持双栈、6to4隧道实现 IPv6 网络与 IPv4 网络访问。

9 WEB 网 站过滤

具备 500+针对 Web 服务攻击防护的特征库,提供特征库截图证明，截图必须可显示特征库数量，至少有 50种分类库，1000万级网址

特征库（要求分类库截图）。 要求支持挂马网站过滤，通过对访问目标 URL过滤的方式，阻止对含木马/病毒网站、钓鱼网站、僵尸网络的访问，（若应答满足，须提供截图，否则不得分）。

10 抗攻击能力 支持 IP/MAC地址绑定的方式防止 ARP欺骗，可采用手动建立或自动探测的方式生成 IP/MAC 对。

11 漏洞扫描 支持漏洞扫描功能，支持后门、文件共享、系统补丁、IE漏洞等主动式扫描。

12 主动防御 要求恶意地址主动屏蔽，以用于提前免疫包括病毒网站或者攻击源地址的攻击，提供国家知识产权局颁发的《非法网站过滤方法及装置》技术证明文件

13 IPSec VPN

支持多出口 VPN，隧道热备份技术，且支持 NAT穿越。支持隧道接力，并可通过隧道接力实现分级的树状VPN结构部署支持标准 IPSec、GRE、PPTP、L2TP协议，IPSec VPN要求支持隧道热备份技术。

14 可扩展 SSL VPN

要求支持 SSL VPN，动态分配虚拟 IP，且虚拟 IP与口令用户或证书用户进行绑定，提供国家知识产权局颁发的《一种基于 SSL协议的远程安全接入方法和系统》证明文件支持基于 用 户 、 用 户组的访问控制 ， 用 户 认 证要求支持Radius、LDAP、Windows AD域等方式，并内置动态令牌认证服务器，支持基于动态令牌的双因子认证。

15 管理配置支持设备快速部署向导，在五步之内完成路由模式、桥模式和混合模式设置。支持通过 USB 导出关键信息时可选择信息列表，日志可按照模块存储在 USB 设备中，并可设定定时自动导出。

16 兼容性★与UTM、安全管理平台为同一品牌，便于统一管理维护。珠江新城院区、儿童医院、妇婴院区各一台用于冗余,与原有防火墙互为备份,负载均衡，所投产品须提供证明材料与原有防火墙互相兼容并加盖原厂商公章。

17 产品资质

具备公安部颁发的《计算机信息系统安全专用产品销售许可证》具备中国信息安全产品认证中心颁发的《中国信息安全产品认证证书》千兆简称 3C(三级)证书 。具备国家保密科技测评中心颁发的《涉密信息系统产品检测证书》千兆国家信息安全测评中心颁发的《信息技术产品安全测评证书》级别：EAL3 具有中国国家版权局颁发的下一代防火墙《计算机软件著作权登记证书》

18 厂商资质 具备中国电子信息行业联合会颁发的《信息系统集成及服务壹级资质

证书》 要求加入云安全联盟CSA（Cloud Security Alliance）, 作为该联盟成员，可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息，为用户提供更及时的安全防护,提供截图和链接，以便验证真实性。具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》（甲级）。要求加入微软安全响应中心（Microsoft Security Response Center）发起的 MAPP（Microsoft Active Protection Program）计划，作为该计划成员，可在微软发布每月安全公告之前获得微软产品的详细漏洞信息，为用户提供更及时的安全防护，提供截图和链接，以便验证真实性。

19 提供原厂商针对本项目的专项授权函原件和服务承诺函原件。

七.2. 安全网关

云端到医院内网边界防御，云端接入处部署统一安全网关，包括防火墙、防

病毒网关、入侵检测模块，以确保网络边界访问安全。加固说明通过部署“UTM安全网关”，可综合保障网络安全，让信息网络不再漏洞

百出。通过附加网络功能提升网络资源利用率。满足了等级保护主机安全中的以下要求：边界访问控制网络边界有许多种划分。对于各类边界最基本的安全需求就是访问控制，对进出安全区域边界的数

据信息进行控制，阻止非授权及越权访问。

边界完整性检测边界的完整性如被破坏则所有控制规则将失去效力，因此需要对内部网络

中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护边界完

整性。边界入侵防范各类网络攻击行为既可能来自于大家公认的互联网等外部网络，在内部也

同样存在。通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、

木马、间谍软件、可疑代码、端口扫描、DoSDDoS 等，实现对网络层以及业务系

统的安全防护，保护核心信息资产的免受攻击危害。边界安全审计在安全区域边界需要建立必要的审计机制，对进出边界的各类网络行为进

行记录与审计分析，可以和主机审计、应用审计以及网络审计形成多层次的审计

系统。并可通过安全管理中心集中管理。边界恶意代码防范现今，病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加

泛滥，目前计算机病毒的传播途径与过去相比已经发生了很大的变化，更多的

以网络（包括 Internet、广域网、局域网）形态进行传播，因此为了安全的防护

手段也需以变应变。迫切需要网关型产品在网络层面对病毒予以查杀。产品特点：UTM（Unified Threat Management）采用先进的主动云防御技术和基

于国情的绿色上网管理，集多种安全功能于一身，通过简单的一键式配置管理

和持续的安全服务，构成一个标准的统一安全平台。其集成了状态检测防火墙、

VPN、网关防病毒、入侵防护（IPS）、绿色上网、反垃圾邮件等安全防护功能，

还全面支持策略管理、IMP2P管理、服务质量（QoS）、负载均衡、高可用性

（HA）和带宽管理等功能。可以阻挡未授权的访问、网络入侵、病毒、蠕虫、木马

间谍软件、钓鱼诈骗、垃圾邮件，以及其它类型的安全威胁。安全网关（2 台）

序号 招标项 招标要求1 接口配置 标准 2U 机箱 ，双电源

★配置 5千兆电口，12 个 SFP插槽，2 个万兆 SFP+插槽

2 性能指标★最大整机吞吐量不小于 40GbpsIPS吞吐量不小于 12Gbps★防病毒吞吐量不小于 8Gbps★每秒新建连接数不小于 26万★最大并发连接数不小于 400万

3 操作系统 支持多系统（≥3 个）引导，并可配置启动顺序。支持系统分区备份，分区可相互克隆，多系统设置可在 Web界面上完成全部操作，提供界面截图；同时具备国家版权局颁发的《多核多线程 ASIC 并行

操作系统软件著作权登记证书》，提供证书复印件。

4 模版式配置管理

支持系统主要防护功能的统一化模版设置，模版分为高、中、低三个级别，分别对应不同防护强度，可通过Web界面单击选择切换及通过外置按键一键切换，（若应答满足，须提供截图，否则不得分）。

5

入侵防护

必须支持 IPv4 和 IPv6双栈协议下的入侵检测与防护

6

内置 IPS特征库，特征规则数量不少于 3,000条，特征库可按分组进行管理，并可自定义入侵攻击和应用软件的特征，提供入侵防御事件库分组界面截图和连续 10条以上特征库数量截图证明,截图必须可明确显示特征库数量

7 支持入侵场景保留，可记录入侵行为相关的网络数据报文，报文可保存至 U盘或某台内网服务器，提供界面截图

8

支持实时的入侵防护事件分级报警列表，可按事件的源 IP、目的 IP、协议、时间等显示；通过不同的入侵防护事件实时阻断入侵源 IP，阻断时间可控，提供入侵防护事件分级列表界面和实时阻断界面，（若应答满足，须提供截图，否则不得分）

9

防病毒

★支持多接口可旁路的病毒文件传输监听检测方式，可并行监听并检测多个网段内的病毒传输行为，用于高可靠性要求的旁路应用环境

10 ★支持病毒感染主机分析与隔离，防止病毒进一步扩散，提高网络整体安全性

11★支持快速扫描、全面扫描模式，其病毒特征数量不少于 600万种，除基本型防病毒引擎外，可扩展支持增强型防病毒引擎，同时包含基本和增强型病毒库，

12

Web 安全

★具备 500+针对 Web 服务攻击防护的特征库13 必须可对 SQL注入攻击行为进行防护，必须具备对 XSS跨站脚本攻

击行为的防护能力，提供截图证明

14

必须支持WEB 服务器错误信息替换，防止服务器信息泄露，提供功能设置、替换信息 Web 页面及生效日志，（若应答满足，须提供截图，否则不得分）

15主动防御

要求支持主动防御功能，对服务器、主机进行后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描

16 要求恶意地址主动屏蔽，以用于提前免疫包括病毒网站或者攻击源地址的攻击，提供国家知识产权局颁发的《非法网站过滤方法及装置》技术证明文件

17 VPN ★支持多出口 VPN，隧道热备份技术，且支持 NAT穿越。支持隧道接力，并可通过隧道接力实现分级的树状VPN结构部署

18 要求支持 SSL VPN，动态分配虚拟 IP，且虚拟 IP与口令用户或证书用户进行绑定，提供国家知识产权局颁发的《一种基于 SSL协议

的远程安全接入方法和系统》证明文件19 具有国家知识产权局颁发的网关防病毒技术（包括病毒防范的方

法）技术证明文件20 提供工业和信息化部电信设备进网许可证。21

厂商资质

具备中国电子信息行业联合会颁发的《信息系统集成及服务资质证书》（壹级）。

22 要求加入云安全联盟 CSA（Cloud Security Alliance）, 作为该联盟成员，可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息，为用户提供更及时的安全防护,提供截图和链接，以便验证真实性。

23 具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》（甲级）

25 提供原厂商针对本项目的专项授权函原件和服务承诺函原件。

七.3. 上网行为管理

上网行为管理是指帮助互联网用户控制和管理对互联网的使用。其包括对网

页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。医院普遍存在着电脑和互联网络滥用的严重问题。网上购物、在线聊天、在

线欣赏音乐和电影、P2P 工具下载等与工作无关的行为占用了有限的带宽，严

重影响了正常的工作效率。为了保证网络的使用质量，建议加固部署上网行为管

理系统。审计范围应覆盖到服务器和重要妇儿中心端上的每个操作系统用户和数据

库用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用

等系统内重要的安全相关事件；审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 应能够根据记录数据进行分析，并生成审计报表；应保护审计进程，避免受到未预期的中断；应保护审计记录，避免受到未预期的删除、修改或覆盖等。

七.3.1. 上网行为管理产品部署模式

支持网关模式、网桥模式、旁路模式、多机模式、双机模式

七.3.2. 支持身份认证

建立身份认证体系有效区分用户，是部署差异化授权和审计策略、有效防御

身份冒充、权限扩散与滥用等的管理基础。AC支持丰富的身份认证方式：

■ 本地认证：Web 认证、用户名/密码认证、IP/MAC/IP-MAC 绑定；■ 第三方认证： LDAP、RADIUS、POP3、PROXY、数据库等；■ 短信认证：通过接收短信获取验证码，快速认证；■ 微信认证：通过扫描二维码，关注微信公众号进行快速认证；

■ 访客二维码认证：接待人员扫描访客手机上的二维码，备注信息后，访

客即可通过认证；■ 双因素认证：USB-Key 认证；■ 单点登录：AD域、POP3、PROXY、WEB 和第三方系统等；■ 强制认证：强制指定 IP段的用户必须使用单点登录。

七.3.3. 应用控制

七.3.3.1. 应用控制策略

七.3.3.1.1. 识别是管理的基础网络应用极其丰富，尤其随着大量社交型网络应用的出现，用户将个人网

络行为带入办公场所，由此引发各种管理和安全问题。识别是管理的基础，全面的应用识别帮助管理员透彻了解网络应用现状和

用户行为，保障管理效果。AC多种应用识别技术，全面识别各种应用，进而有效管控和审计。主要包

括：URL识别、应用规则识别库、文件类型识别、深度内容检测：IM聊天、在线

炒股、网络游戏、在线流媒体、P2P 应用、Email、常用 TCP/IP协议等，基于数据

包特征精准识别，且支持管理员自行定义新规则，以及科技及时更新和快速响

应、智能识别：种类泛滥的 P2P 行为，静态“应用识别规则”已经捉襟见肘，

通过 P2P智能识别技术，识别出不常见、未来可能出现的 P2P 行为，进而封堵、

流控和审计。通过应用识别技术，无论网页访问行为、文件传输行为、邮件行为、

应用行为等 AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。

七.3.3.1.2. 上网策略对象化AC支持完美映射组织的行政结构，管理员可依据组织结构添加管理策略。

上网策略对象化，同一条上网策略可被多个用户/用户组复用，同一用户/用户

组可关联使用多条策略，实现策略和用户/用户组的双向关联，方便管理员调整。

上网策略不仅仅支持生效时间调整、生效用户/用户组、应用类型限制，支持模板

形式复制，更支持策略有效期，管理员可手动设定策略的过期时间，逾期自动

失效，有效实现策略的回收管理。此外，AC支持将策略的查看、编辑权限分配

给指定管理员，实现策略的分级管理。

七.3.3.1.3. 灵活的授权AC支持基于生效时间、用户/用户组、应用类型、位置、终端类型、SSID 的授

权，帮助组织实现上网权限与工作职责的匹配，防止越权访问与泄密风险，一

方面管控与业务无关的上网行为，提升员工工作效率，一方面过滤不良信息、阻

止异常行为，防止法律与泄密风险。AC 更兼顾了管理与人性化的需求，对于某些不便添加权限控制策略的部门

或者是企业文化较为宽松的组织，AC 提供了“智能提醒”功能，管理员可设定

允许特定用户使用指定应用的时长、流速，一旦用户使用指定应用的时长、速度

超限后，AC自动弹出提醒窗口，提醒用户注意违规行为，敦促用户自觉规范，

达到促进自我管理的目的，减少管理带来的摩擦。

七.3.3.1.4. 应用标签化基于应用的权限划分是企业员工上网行为不可忽视的一个重要管理需求，

在走访大量客户的时候了解到，很多网管在针对应用配置权限的时候体验非常

不好，比如：公司要求对所有具有“安全风险”的应用做封堵以保障内网安全，

此时网管需要从 2000多种应用当中挑选出具有“安全风险”属性的应用，工

作繁琐单调且容易出现纰漏。AC给 2000多种应用打上标签，标签根据客户需求划分为：“安全风险”、

“发送电子邮件”、“高带宽消耗”、“降低工作效率”、“论坛和微博发帖”、

“外发文件泄密风险”等大类。网管只用根据需求针对这六大类标签应用配置策

略即可，不仅节省时间、还更加准确。不仅如此，网管人员还可以根据实际个性化的管理需求，给应用打上“自

定义标签”，以此来对这些自定义的标签应用做权限划分，满足更多个性化的

需求场景，让权限划分更加灵活。

七.3.3.2. Web应用控制

七.3.3.2.1. URL 访问控制网页浏览是员工主要互联网行为之一，尤其随着大量社交型网站的出现，

用户将个人网络行为带入办公场所，由此引发各种管理与安全问题。

七.3.3.2.2. SSL内容管理SSL (Secure Socket Layer)协议，被广泛地用于 Web浏览器与服务器

之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之

传输过程中不会被截取及窃听。正因为如此，一方面，越来越多的网页使用 SSL

加密，如 Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加

密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利

用这一缺陷绕过管理，通过 SSL 加密邮件、BBS、论坛发布的反动言论或者是向

外发送组织的机密信息，导致管理漏洞；另一方面，互联网上存在大量伪造的

网上银行、网上购物页面，此类网页利用了网银、网上购物等普遍采用第三方权

威机构颁发的数字证书以实现 SSL 加密的特性，伪造虚假证书以骗取用户信任，

警惕性不高的用户容易在毫不知情的情况下泄露自己的账户信息，导致直接或

间接的经济损失。AC 可以对 SSL 网站提供的数字证书进行深度验证，包括该证书的根颁发

机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等，防止采用非

可信颁发机构数字证书的钓鱼网站蒙骗用户，此功能亦应用于过滤 SSL 加密的

色情、反动站点，证券炒股站点等。此外，AC拥有专利技术“基于网关、网桥防

范网络钓鱼网站的方法”（专利号 ZL200710072997.1）具有对 SSL 加密内

容的完全管控能力，支持识别、管控、审计经由 SSL 加密的内容，如支持基于关

键字过滤 SSL 加密的搜索行为、发帖行为、网页浏览行为，审计 SSL 加密行为

如邮件发送行为，为组织打造坚固无漏洞的管理。

七.3.3.3. 代理翻墙共享控制许多组织统一采用 Microsoft ISA、CCproxy、Sygate 等代理服务器上网，

也有的组织明文规定禁止内网用户私用代理上网，但仍有用户将浏览器等应用

配置公网服务器、私装代理软件代理他人上网，甚至使用自由门、无界浏览器 、

IPN 等加密代理行为。由于防火墙等设备对内网用户的管理是基于目的地址和端

口的，无法有效区分正常上网的流量和通过代理服务器上网的员工流量。对于如上情况，AC 的深度内容检测技术能有效识别用户数据中包含的代理

上网流量，通过代理识别模块可以识别从用户端发送到达代理服务器之间的应

用数据和几个用户间的共享上网行为，进而对用户的违规行为进行管控和记录。

七.3.3.4. 文件传输控制利用网络来进行文件传输是许多用户每天的必修课，而在文件传输过程中

存在种种管理和安全隐患，如用户通过不可信的下载源下载了带毒文件、在文件

打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发

文件行为而用户对此茫然无知，有意泄密者甚至会将外发文件的后缀名修改、删

除，或者加密、压缩该文件，然后通过HTTP、FTP、Email 附件等形式外发。AC支持管控文件外发行为，基于关键字、文件类型控制上传/下载行为，封

堵QQ/MSN 等 IM 传文件，允许使用 webmail 收邮件而禁止发送邮件等。其中

仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给组织造成的损失，

单纯的基于文件扩展名过滤外发文件、外发 Email也无法应对以上风险。鉴于此

AC 的文件类型深度识别技术能基于特征能够识别文件类型，即便存在修改、删

除外发文件后缀名，或者加密、压缩文件文件外发的行为，AC也能发现并且告

警，保护组织的信息资产安全。

七.3.4. 带宽管理

七.3.4.1. 流量可视化带宽有限，应用无限——组织不断地扩展互联网出口带宽，但仍然感觉不

充裕，一旦内网存在网络行为不规范、滥用带宽资源的用户，IT管理员的工作

就会饱受抱怨：网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢

等。对此，AC 为 IT管理员提供了网络流量可视化方案，登陆 AC控制台后，

管理员可以查看出口流量曲线图、当前流量 TOP N 应用、用户流量排名、当前网

络异常状况（包括DOS攻击、ARP欺骗等）等信息，直观了解当前网络运行状

况。此外，数据中心（Network Database Center，NDC）对内网用户的各

种网络行为流量进行记录、审计，借助图形化报表直观显示统计结果等，帮助管

理员了解流量 TOP N 用户、TOP N 应用等，并自动形成报表文档，定时发送到

指定邮箱，让 IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况，了

解流控策略效果，为带宽管理的决策提供准确依据。

七.3.4.2. 流量管理当您了解了带宽的使用情况，并对带宽进行优化和分配后，即将对用户

(组)的上网行为做进一步的管理和控制。

七.3.4.3. 行为审计日志记录、报表分析、日志与隐私的平衡

七.3.4.3.1. 安全防护终端安全

网络世界中安全事件数量急剧攀升，内网中断、不稳定将直接影响用户的上

网行为，所以需要AC 保证网关自身安全，并强化内网可靠性、可用性。防火墙AC 内置基于状态检测技术的企业级防火墙，对进出组织的数据包提供过滤

和控制。NAT（Network Address Translation）功能，代理内网员工上网和

实现静态端口映射。同时，能够防御DoS、ARP 等网络攻击。网关防病毒AC 的网关防病毒功能集成知名厂商的防病毒引擎（防病毒引擎每天自动升

级），从源头对 HTTP、FTP、SMTP、POP3 等协议流量中进行病毒查杀，亦可

查杀压缩包（zip，rar，gzip 等）中的病毒。Web访问质量检测上网速度快慢是 IT部门重点关注的内容之一，也是网络业务正常运转的直

接影响因素，如何衡量用户上网体验，如何解决上网体验差，一直是令很多网

管头疼的问题。AC 的 Web访问质量检测功能，通过检测网络中的下载速率、RTT 时延 、

TCP 数据重传率、连接成功率、DNS 成功率、GET 请求成功率、连接 RST 计数

PPS突发检测等内容，以及行为管理设备的配置合理性检查，综合各项参数进

行建模，提出整体网络访问质量评级，帮助网管从整体上把握网络状况。通过一

些列的技术手段，AC 能够检测出网络中，AC 内外侧设备丢包和时延过大的问

题、能够检测出 AC 外侧防火墙是否有连接数限制、能够检测网路中的 DOS攻击、

能够发现终端用户的 DNS配置问题等等。通过这些问题的发现，AC 能够列出

访问质量差的用户名单，并且指出故障排查方向及潜在问题原因。不仅如此 ，

AC还能够对访问质量差的单用户进行定向检查，并给出具体问题和解决问题建

议。通过web访问质量检测功能的检测、评级、排查建议等内容，能够帮助网

管整体把握网络状况，快速定位网络问题并有针对性的进行排查，最终达到优

化整体网络，提高用户体验的目的。移动终端管理随着无线移动互联网的迅速发展，智能手机、平板电脑等这些移动终端愈来

愈流行，但由于 iPad 等智能终端只能采用无线网络来上网，有些员工出于便捷

考虑可能自己在工位旁私自拉一些无线 AP，在公司通过无线 AP 到公司网络出

口，而且这些 AP 由于安全措施薄弱，极容易被外人破解，可能导致内网暴露，

信息安全遭受威胁。AC 的“移动终端管理”功能，通过 HTTP解析技术、系统检测技术、移动

应用识别技术等多项技术，能够秒级识别移动终端，发现“非法 Wi-Fi热点”。

支持配置直接对“非法 Wi-Fi热点”进行封堵或者发邮件给管理员进行告警等

功能。提醒管理员及时做出响应。不仅如此，对于合法 Wi-Fi热点支持添加到信任列表，限制封堵非法用户

的同时，保证合法用户正常使用网络，业务不受影响。上网行为管理（3套）

序号 项目 指标 具体功能要求

1 硬件及性能参数

硬件及性能参数

吞吐量 ≥1Gb并发会话数 ≥300,000用户规模 ≥3500 人设备接口 ≥6 个千兆电口硬盘 ≥1TBBYPASS 支持电源 单电源尺寸 标准 1U 架构

2

部署方式

★多种部署模式

支持网关、网桥、旁路模式部署；网关模式，支持NAT、路由转发、DHCP、GRE、OSPF 等功能

3 多主模式 必须支持两台及两台以上设备同时做主机的部署模式；

4所 有 功 能支持 IPv6

支持部署在 IPv6 环境中，其所有功能（认证、应用控制、内容审计、报表等）都支持 IPv6（若应答满足，须提供截图，否则不得分）

5网关管理 集中管理 多台设备支持通过统一平台集中管理、集中配置等；

加入集中管理时，支持身份认证，比如密码正确才能加入

6 管理 员 权限分配

支持细致的管理员权限划分，包括对不同用户组的管理权限、对各种主要功能界面的配置和查看权限；

7 告警管理 支持多种事件进行邮件告警，包括攻击、双机切换告警、移动终端管理告警、风险终端发现告警、web 关键字过滤告警、杀毒告警、设备流量超限告警、磁盘/CPU/内存异常告警等；

8

IPsec VPN

1.必须具有 IPSec VPN 远程加密访问和连接的模块，并能提供 IPSec VPN 客户端授权远程接入访问； 2.* IPsec VPN 支持多线路功能，支持配置主备线路组和流量分配模式的多线路选路策略； （若应答满足，须提供截图，否则不得分）

9

链路负载 1.支持按剩余带宽、带宽比例、平均分配、前面优先的方式进行多链路负载；2.支持使用 VPN 做专线备份；3.支持链路故障检测；（若应答满足，须提供截图，否则不得分）

10

实时网络状态

Web 访问 质 量 监测

1. 针对内网用户的 web 访问质量进行检测，对整体网络提供清晰的整体网络质量评级

2. 支持以列表形式展示访问质量差的用户名单3. 支持对单用户进行定向 web 访问质量检测（若应答满足，须提供截图，否则不得分）

11首页 可视化分析展示

支持首页分析显示接入用户人数、终端类型、认证方式；带宽质量分析、实时流量排名；泄密风险、违规访问、共享上网等行为风险情况；

12 用户管理 多 种 认 证方式

支持多种认证方式，包括本地用户名密码、第三方服务器、短信认证、微信认证、二维码认证等

13★第三 方服 务器认证

支持 LDAP、Radius、POP3、Proxy 等第三方认证； 支 持 ISA\lotus ldap\novel ldap\oracle 、 sql server、db2、mysql 等数据库等第三方认证；

14 二维码认证

支持二维码认证，管理员扫描访客的二维码后对其网络访问授权（若应答满足，须提供截图，否则不得分）

15

用 户 密 码强度

可设置用户密码不能等于用户名；新密码不能与旧密码相同；可设置密码最小长度；可设置密码必须包括数字或字母或特殊字符；（提供产品界面截图）

16 ★ 多 终 端自定绑定

同一个账号，支持与指定数量的多个终端进行自动绑定；（若应答满足，须提供截图，否则不得分）

17 ★ 共享接入 管 理（ 防 共享）

设备能够发现私接路由（或者共享软件等）共享网络的行为：1.支持自定义配置终端数量和冻结时间，和添加信任列表；2.支持显示以 IP 或用户名的维度统计一段时间内的趋势图。3.支持例外排除功能：如指定例外条件 1台 PC，2个终端。当 PC 或终端数超过例外条件才会被判定为

共享。（若应答满足，须提供截图，否则不得分）

18

应用管理 ★ 应 用 标签功 能 分类管理

1. 支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖 6大类；

2. 支持给每个应用自定义标签；3. 支持根据标签选择一类应用做控制；4. 支持对每一种应用的定义和解释，帮助客户快速

定位应用的分类；（若应答满足，须提供截图，否则不得分）

19

★ 应 用识别规则库

1. 设备内置应用识别规则库，支持超过 6000条应用 规则数 ， 支 持 超 过 2800 种 以 上 的 应用，1000 种以上移动应用，并保持每两个星期更新一次，保证应用识别的准确率；（提供产品界面截图）

2. 支持根据应用的特征智能识别新更新的应用；3. 支持根据 IP、端口、协议等自定义应用规则；4. 支持根据不同的应用类型或具体的某种应用设置允许或拒绝；

20 QQ 白 名单

支持基于用户组、终端类型、位置的 QQ白名单功能。（若应答满足，须提供截图，否则不得分）

21 SSL 加密内容审计和过滤

针对 SSL 加密的网站、论坛发帖、web 邮箱的内容进行关键字过滤和内容审计；

22

应用审计 1、支持记录QQ、TIM、微信、MSN 等 IM聊天行为和聊天内容；2、支持移动 APP（IOS 和 android）审计（如论坛类、微博类、新闻评论类等）

23★ 加 密 证书自动 分发

审计 SSL 网页时，支持加密证书自动分发功能，用户点击网页上的工具即可一次性安装完成。解决管理员给每台 PC 单独安装证书的问题

24 带宽管理 ★ 上 网 流速提醒

用户指定应用上网流速超过预设阈值后，网关自动提醒该用户；（提供实际测试效果图）

25 策 略 有效期

必须支持上网策略对象的自动过期功能；

26 父子通道 必须支持流量父子通道技术，且至少支持三级父子通道；

27

流 控 通道实 时 可视化

能够实时看到各级流控通道的状态：包括所属线路、瞬时速率、通道占用比例、用户数、保证带宽、最大带宽、优先级，启用状态等。（若应答满足，须提供截图，否则不得分）

28

★ 动态流控

"支持在设置流量策略后，根据整体线路或者某流量通道内的空闲情况，自动启用和停止使用流量控制策略，以提升带宽的高使用率；（若应答满足，须提供截图，否则不得分）

29 P2P智能流控

支持通过抑制 P2P 的上行流量，来减缓 P2P 的下行流量，从而解决网络出口在做流控后仍然压力较大的问题；（若应答满足，须提供截图，否则不得分）

30流 控黑名单

基于“流量”、“流速”、“时长”设置配额，当配额耗尽后，将用户加入到指定的流控黑名单惩罚通道中（若应答满足，须提供截图，否则不得分）

31 流控单位 支持灵活配置流控单位是 IP还是用户名（适用于公共账号：多个 IP公用一个账号时，可以对每个 IP 进行限速，更加灵活准确）（若应答满足，须提供截图，否则不得分）

32★Wan-lan 流控

支持把每一个外网 IP作为通道内的用户，使得通道的用户间公平分配带宽，以及单用户最高带宽属性对外网 IP 有效；

33时间控制 支持基于时间段的带宽划分与分配策略；

支持按日期设置流控策略，比如针对节假日设置不同流控策略；

34 目标 IP 流控

支持基于访问行为的目标 IP/IP 组实现带宽划分与分配；

35

★ 流 控 策略适用 多种对象

流控策略适用对象，适用于以下对象：一、用户1、本地组，2、安全组，3、域用户(ou 和用户)，4、域属性，5、源 IP，6、用户属性组二、位置三、适用终端四、文件类型：电影、音乐、图片、压缩文件、应用程序等五、URL类型：新闻门户、网上购物、在线影音及下载、非法及不良、网上聊天、软件下载等（提供产品界面截图）

36 ★ 上 网安全

支持防火墙功能；支持防DOS 攻击，识别并封堵来自于内网或外网的

DOS 攻击；支持防 ARP欺骗，防范三层网络环境中的 ARP欺骗问题；支持病毒查杀功能，必须能够针对各种下载文件进行病毒查杀；

37 日志分析 高性 能日志模式

支持日志高性能模式处理，精简冗余日志（若应答满足，须提供截图，否则不得分）

38 日志分 级审查

管理员登录数据中心只能审计指定用户组的上网行为日志；

39

★趋势报表

支持基于时间段/用户/用户组/终端类型/位置等多种维度的流速趋势报表、流控通道趋势报表、应用行为趋势报表、网站分类行为趋势报表等（若应答满足，须提供截图，否则不得分）

40 ★ 网络整体状况 报表

从带宽健康分析、工作效率分析、离职风险分析、合规性分析四个大块对网络整体状况进行说明

41

★域名 流量 排 行 报表

支持基于时间段/用户/用户组/终端类型/位置等维度，针对具体某个域名的访问流量排行；支持基于时间/用户/用户组/上行/下行/总体等维度的域名流量排行；

42

★ 支持基于时间段/用户/用户组/终端类型/位置等维度，针对具体某个域名的访问时长排行；支持基于时间/用户/用户组/上行/下行/总体等维度的域名时长排行；

43

★域名 行为 排 行 报表

支持基于时间段/用户/用户组/终端类型/位置等维度，针对具体某个域名的访问行为排行；支持基于时间/用户/用户组/上行/下行/总体等维度的域名访问排行；（若应答满足，须提供截图，否则不得分）

44

单用户行为分析

针对单用户的行为分析（包括：应用流速趋势、应用流量排行、域名流量排行、应用时长排行、域名时长排行、行为汇总排行等）（若应答满足，须提供截图，否则不得分）

45 ★ 终 端 接入安全

支持基于用户和病毒等维度的行为次数排行

46

搜索中心 基于时间、用户/组、终端类型、位置、日志类型等条件下的关键字检索定位功能；必须支持对日志中 OFFICE 等附件正文内容关键字的检索；

47关 键 字订阅

支持预置几组关键字，当审计日志中出现这些关键字时，将定期以邮件的方式发送报告给指定邮箱（若应答满足，须提供截图，否则不得分）

48 离职风 险报表

从用户上网行为的多个维度（如访问网站、搜索关键字等）分析员工的离职风险

49

★自定义报表

支持从流量分析、时长分析、用户行为分析、网站分类分析、终端接入分析、终端接入安全等多维度下选择具体的基于用户/用户组/终端/网站/域名/应用/通道/搜索关键字等细粒度的排行、趋势等报表，整合成一个自定义报表进行订阅；支持各细粒度报表直接拖拽进行整合成新报表，支持新建章节和预览功能；

50下钻分析 下钻查询 在流量时长分析、用户行为分析、终端接入

分析等纬度相关页面支持对统计结果的向下钻取查询（若应答满足，须提供截图，否则不得分）

51

★ 支 持 与多 种 网安日志平 台对接

内置多套日志模板与各省市网安日志平台对接，至少支持以下平台：派博、任子行、网博、云辰、烽火、中新软件、兆物、新网程、美亚柏科、爱思等。

52资质要求 投 标产品

资质要求公安部公共信息网络安全监察局《计算机信息系统安全专用产品销售许可证》如：公安部颁发的《网络通讯安全审计产品 销售许可证》

53 具有工信部颁发的《电信设备进网许可证》

54 应为市场成熟产品，最近两年在国内 IDC 内容安全市场占有率排名都在前 5

55 产品应具备相当的技术认可度，最近两年产品曾入围 Gartner SWG魔力象限

56 国家标准《信息安全技术信息系统安全审计产品 技术要求和测试评价方法》的主要起草单位

57 投 标厂商资质要求

公司研发体系通过国际认证 CMMI5

58 网络安全应急服务支撑单位证书（国家级）

59 提供原厂商针对本项目的专项授权函原件和服务承诺函原件。

七.4. 终端准入与桌面管理系统

本院网络准入与终端安全管理系统必须提供统一的、集成化管理平台。产品

要向 IT 系统管理员提供一个统一的登录入口，有整体的桌面安全视图，呈现整

个计算机网络系统中所有终端设备的安全运行状况。管理员不仅可以看到桌面安

全的运行状况，终端的安全设置，也能够看到终端的软件配置、硬件配置、终端

的物理位置等信息。通过统一的集成化的管理平台，管理员可以完成所有与桌面安全管理维护

相关的各种任务，具体包括：

网络准入控制管理； 业务数据防泄密管理； 设备快速定位； 终端资产管理； 终端的软件分发； 桌面安全补丁管理； 终端的远程管理和维护； 桌面安全策略设置，包括：主机安全漏洞策略、防病毒安全策略、非

法外联策略、网络访问审计策略等的设置。 统一的集成化管理平台对管理员的各种操作，应提供审计功能，以备

事后审计。支持多厂商/多平台解决方案设计的系统要能够实现对主流厂商的网络设备、多种桌面操作系统

的支持，是一个采用国际、国家或者行业标准的开放系统，以便将来的网络

扩容、系统升级。人、计算机统一管理

终端管理需要将计算机、人和组织将结合起来管理。很多计算机的管理信息

需要通过人来反映，如计算机有问题时，通常需要知会计算机的用户。设置

安全策略，直接设置到人比机器更加直观。本系统设备配置如下：

本系统参数如下：网络准入与终端安全管理系统

产品分类 产品描述 数量 单位

专用硬件网关

★安全管控平台专用设备，特性：1）2U 机架式，冗余电源，保修 36 个月；2）最大支持 5000台设备的管理；3）支持基于 NACC、802.1x、EOU、WebAuth、MAB、IAB 等技术的网络准入控制；4）支持 URL 和 POP3 重定向提醒功能；5）支持桥接、路由、端口镜像、NAT、FakeDNS模式；6）内置管理控制中心许可；7）内置系统所需的操作系统和数据库软件。 本次采购两台硬件设备采用双机热备方式。

2 台

访客及外协人员管理许可

★功能包括：1）访客管理；2）外协人员管理；

2 套

网络准入控制客户端许可

★功能包括：1)基于 802.1x 的 LAN 接入准入控制2)基于 802.1x 的 WLAN 网络准入控制3)基于 EoU 认证的网络准入控制(可解决 HUB、VPN、WAN、无线AP、NAT 等各种接入方式的准入控制)4)基于客户机认证的准入5)支持终端识别、安全检查、安全隔离、安全修复、安全接入等网络准入控制流程6)终端识别支持用户名、终端软硬件 ID与交换机端口信息绑定

3500 点

桌面管理模块客户端许可

★功能包括：1)设备自动发现和 IP/MAC/主机名快速定位；2)设备软硬件详细配置信息采集；3)软硬件配置变更管理；4)软件分发；

3500 点

5)远程协助和远程监控，支持 NAT环境；6)节能及非工作时间开机管理；7)软件正版化及标准化管理；8)通过WSUS 下发微软补丁。

安全管理模块客户端许可

★功能包括：1)客户端安全漏洞、非法软件/进程/注册表检查；2)防病毒软件安装与更新检查；3)终端网络流量异常检查；4)Windows 本地策略设置；5)客户端防火墙管理；6)主机监控与审计管理；7)IP/MAC 资源管理；

3500 点

终端违规外联控制（外设端口管理控制及连接外网控制）模块客户端许可

★功能包括：1. 端口管理控制: 拨号上网、USB大容量存储设备、GPRS/CDMA 无线网卡、WiFi 网卡、红外/蓝牙、双网卡、软件、串/并/1394/PCMCIA口2. 用户自定义的设备类型3. 禁止光驱刻录4. 连接到互联网报警

3500 点

USB移动存储介质管理模块客户端许可

功能包括：1)注册2)U盘文件自动加密3)移动存储文件操作审计与控制

3500 点

数据防泄露基本功能模块客户端许可

★功能包括：1）支持 HIS 系统数据安全导出管理；2）适应 B/S、C/S、数据查询工具三种访问方式；3）创建加密的保护专区；4）文件出 O盘自动加密或经审批解密；5）支持文件授权外发，设置文件打开次数、销毁时间和密码，以及编辑，打印等权限

30 点

数据防泄露敏感数据管控模块客户端许可

★功能包括：1）支持对 TXT、OFFICE、WPS、PDF、图片、压缩、嵌套等文件类别进行敏感数据识别；2）支持文件 DNA、智能聚类、关键字、正则表达式、数据标识符等识别手段，以及混合规则制定；3）内置行业敏感数据模板；4）支持对网络行为、移动存储介质拷贝、文件操作行为、打印等外发行为进行敏感数据管控

30 点

移动终端设备管理模块客户端许可

★功能包括（支持 Android4.2 和 iOS8.0 以上）：1)设备注册登记；2)资产管理；3)远程控制；4)数据插除

1000 点

5)网络配置分发安装调试服务 原厂工程师实施，系统软硬件维保服务 3年 3 年

本系统参数如下：企业安全管控一体化平台序号 功能模

块 子功能 功能描述1

硬件参数 硬件参数

支持不低于 5000台设备2 设备需要自带操作系统，无需额外购买，无版权问题；3 设备需要自带数据库，无需额外购买，无版权问题；4 设备需要自带双机热备软件，实现准入控制网关双机热

备；5 ★设备需要有自主知识产权，须为标准机架式硬件产

品；6 ★设备至少需要配置 4 个 1000M 网口，配置独立的 1 个

Console 接口；7

基本参数 基本参数

管理后台要求支持中文界面及联机中文帮助，客户端要求支持中文、英文；

8 以下功能一个厂商的一个产品即可支持，不需要通过多个产品集成实现；

9 要求客户端进程数不超过 2 个，所有进程所占用内存不得超过 30M，CPU 正常情况下占用不得超过 3%；

10

网络拓扑发现

网络环境支持

支持混合厂商大规模网络环境，例如 Cisco、H3C、华为、锐捷、迈普、Nortel 等厂商的网络设备环境；

11 支持跨越路由器、VPN、防火墙等复杂环境；12 支持自动发现接入网络的所有网络设备、主机、桌面 PC、

其他 IP 设备之间的二层连接关系，如：发现交换机之间通过什么端口相互连接，发现每台桌面 PC 是连接到哪台交换机的哪个接口上；（若应答满足，须提供截图，否则不得分）

13

★拓扑性能要求

即使终端开启个人防火墙或安装其他防火墙软件，也可以进行自动发现；

14 提供拓扑连接图，并支持图形编辑和自动排列功能；15 提供拓扑关系的表格展示，方便查询定位设备连接到哪

台交换机的哪个端口上；16 保证外来 PC、笔记本（没有 Agent）接入网络时能被及时

发现，并通知系统管理员；17 网段信息

统计支持对发现过的网络信息，根据子网掩码进行网段自动汇总，并对网段中 IP占用情况进行图形化展示；

18

设备快速定位

★设备快速定位

要求可以依据如下信息对接入网络的设备进行快速定位，包括但不限于设备的 IP地址、MAC地址、主机名、用户名；

19 快速定位设备时，必须找到设备所直接连接的网络交换机端口及对应的信息点编号；

20 可以依据某台设备或终端的历史上曾经使用过的 IP，对该设备进行定位；

21 自动发现、定位网络中非法接入的 HUB、无线 AP 等设备，找到这些非法设备通过哪台网络设备的哪个接口接入；

22 当设备从一个网络接口移动到另外一个网络接口，系统可以在 1 分钟内被发现；

23 可以发现内部网络是否与其它网络非法连通，并对其进行定位；

24 设备快速定位不依赖安装客户端，要求未安装客户端的设备也能够进行定位；

25

组织架构管理

组织架构管理

支持自动同步企业 AD/LDAP 上的组织架构部门信息、用户账号信息、设备信息；

26 支持手工维护组织架构部门和成员信息，允许通过导入导出操作进行批量维护；

27 支持设置多级部门，子部门关系级数无限制；28 部门用户信息应包含但不限于工号、全名、备注、所属部

门、联系方式（电话、手机号、邮件地址、 Windows Message）；

29 部门设备信息应包含但不限于设备名、IP、MAC、网络设备，端口；

30 允许将组织架构中任意成员指定为系统管理员；31 允许分配 IP、网段和设备给指定部门；32

系统自监控

★系统自监控

支持在控制台对后台服务器的注册、编辑、查询等管理动作；

33 支持对已注册设备进行监控维护，可维护信息包括服务器名称、地址、当前版本、运行状态、磁盘空间、CPU负载、内存使用率；

34 支持在控制台查看后台服务、进程运行状态，并可手工进行启动/停止等维护操作；

35 支持在控制台查看后台服务器的版本信息及注意事项；36 支持对后台服务器的时间进行同步设置；37

分级管理

★分级管理

支持对不同的地区、部门使用的服务端进行分级部署，各级管理员可对各自所属设备、人员进行维护管理，互相之间不可交叉管理；

38 支持设置统一管理平台，上级可对所属全部下级统一下发策略强制执行，下级管理员无法修改；

39 支持上级和下级信息的双向同步，包括但不限于组织架

构部门信息、人员信息、设备信息、策略信息、自定义的相关配置等；

40 支持上级管理员对下级管理员进行权限划分和分配。网络准入控制序号 功能模

块 子功能 功能描述

1.

网络接入场景

网络接入场景

★ 一 套 准 入 控 制 系 统 同 时 支 持 有 线 、 无线、VPN、HUB、NAT、漫游、远程分支机构接入等多种方式进行管控；

2. ★支持对 PC、瘦终端、哑终端等设备通过网线连接交换机接入企业内部网络时进行准入控制；

3. ★支持对手机、PAD、笔记本等移动设备通过无线以太网卡连接 WLAN 接入企业内部网络时进行准入控制；

4. 支持终端设备在外部互联网环境通过 VPN手段接入企业内部网络时进行准入控制；

5. 支持多个终端设备通过同一个 HUB 接入企业内部网络时进行准入控制；

6. 支持设备通过路由器等设备进行 NAT 转换 IP 后接入企业内部网络时进行准入控制；

7. 支持设备通过远程分支机构接入企业内部网络时进行准入控制；

8. ★支持设备在无需重新安装客户端的情况下，漫游至其他分支机构接入企业内部网络时进行准入控制；

9. ★一套系统、一个客户端支持所有接入方式，终端在不同的场景间无缝切换；

10. 支持根据网络设备、用户、部门、网段、IP地址灵活配置接入管控策略；

11. 支持有客户端、无客户端、Portal 等方式接入；12. 准入控

制流程未装客户端

★支持对未安装客户端的电脑进行自动重定向式引导，提醒并帮助用户自助安装；

13. ★支持 HTTP协议、HTTPS协议的页面重定向、发送 Email邮件等形式进行引导；

14. 支持对企业内部指定的免检设备通过 IP 或 MAC地址进行准入放行操作；

15. 支持通过 OS 内置客户端的设备进行准入认证；16. 支持通过浏览器访问页面进行准入认证；17. 已安装客

户端支持对已安装客户端的设备进行身份认证，允许合规用户接入网络；

18. ★支持 LDAP、AD、内置账号、Mail、数据库等不同的身份认证源；

19. 支持客户端与企业 AD域联动，自动获取终端账号并接入网络，该过程终端用户没有感知；

20. 支持对检查过程中存在安全漏洞的计算机，隔离出工作

网络，并提供修复区，引导用户自助修复；21.

准入身份认证源

能自动同步 AD/LDAP 上的组织架构信息和用户帐号信息，组织架构信息用于设置用户的资源访问权限；

22. 准入身份验证必须支持微软 AD域帐号、LDAP帐号、X.509证书、内置账号等；

23. 要求 CA 认证源可以同步 AD域等第三方认证源；24. 需要支持身份验证凭据（USB-KEY 或 AD 账号）与计算机

MAC地址、接入交换机端口号、客户端软件随机认证码、终端硬件唯一 ID、认证用户等进行灵活绑定，并可以满足一对多、一对一、多对一、多对多绑定；（若应答满足，须提供截图，否则不得分）

25. 需要针对外来用户、不同单位用户的临时接入进行管理，当外来用户或不同单位用户需要临时接入网络时，可以授权管理员或合法用户进行登记、授权、放行，放行可针对 MAC、IP、时长等进行控制。

26. 需要支持微信准入，即访客或内部员工通过微信验证接入网络。

27.

★准入安全检查

接入帐号的合法性，接入的硬件信息，包括MAC地址、主机硬件标识等；

28. 接入设备的安全设置，防病毒软件的安装与更新信息，必须要支持现有防病毒客户端的准入检查；

29. Guest 来宾账户检查、弱口令账户检查、AD域用户检查、共享目录检查；

30. 系统补丁检查、注册表项检查、文件要求检查、软件配置检查、软件组配置检查、准入客户端的软标签

31.

★准入控制绑定

支持终端信息与用户信息、网络设备信息一对一绑定，校验绑定认证；

32. 支持用户和 MAC地址绑定；33. 支持用户和交换机端口绑定；34. 支持用户和接入控制点绑定；35. 支持在无线 802.1x准入环境下用户和 ssid 绑定；36. 支持在无线 802.1x准入环境下 MAC 和 ssid 绑定；37. 支持通过 excel 导入导出方式维护绑定对应关系；38.

★入网权限控制

准入系统能够根据用户、部门和设备设置接入网络访问权限；

39. 权限控制需要支持交换机、无线 AC、自主的硬件网关；40. 准入系统能够自动判断打印机、网络摄像头、IP 电话，并

对这些设备进行自动入网授权，入网权限按照设备类型分配，实现最小化（仅访问实际需要访问的资源）。

41. 能够区分同一用户使用客户端和使用 Web 认证的网络访问权限。以免权限释放过大；

42. 准入控制技术

准入方式 支持基于 802.1x 的网络准入方式，包括有线环境 802.1x与无线环境 802.1x。

43. 支持 LAN/WAN/VPN/HUB 等环境下的网络准入控制。44. 支持端口镜像方式准入。45. 支持 DHCP 方式准入。46. 支持策略路由方式准入。47. 支持 Portal/Portal+（与网络设备和 AC 联动）方式准入；48. 支持 Fake DNS 方式准入。49. 支持 Cisco EoU 方式准入。50. 支持 Portal 方式准入。51. 以上技术，需要支持无客户端和有客户端方式。52.

★终端发现和识别

系统能够即时发现接入网络的终端，信息包含：接入设备 IP、接入设备 MAC、接入的交换机端口、使用设备的用户。

53. 系统能够准确的自动识别常见的 Windows、Linux、MAC OSX、IOS 和 Android 系统，并可以生成易于管理的树形结构设备列表。

54. 系统能发现网络中常见的 IOT 设备，需要至少支持：打印机、网络摄像头、IP 电话。同时能够根据终端行为进行设备自动分组。

55.

★终端在网安全检查

支持对在线终端的网络流量、上网特征实施检查，一旦行为发生异常，需要立即隔离出网络；

56. 支持对指定终端的心跳进行检测，一旦发现心跳中断，需要立即隔离出网络；

57. 准入系统能够检测出通过 IP／MAC伪装方式接入网络的行为，并将伪装终端隔离出企业网络。

58.

移动终端准入

移动终端准入

准入系统支持 PAD、iPhone、Android 常见移动智能终端接入。

59. 使用 Web 认证方式，需要具备一次认证多次有效，要避免用户频繁的输入账号密码方式，在保证体验的前提下，同样需要保证接入安全。

60.

访客外协管理

访客外协管理

准入系统支持访客接入，提供页面填写申请单方式。访客系统支持：自助接入和审核接入模式，以满足不同的管理需要。

61. 准入系统能够根据访客类型进行网络动态授权。确保访客网络访问权限最小化。

62. 准入系统能够提供驻场外协用户接入，并可以根据外协公司设置网络访问权限。

63.

兼容性 ★兼容性

准入系统需要兼容主流网络设备，802.1x 和 Portal技术至少需要支持：思科、华为、华三、锐捷、迈普五个常用品牌的网络交换机和无线 AC、AP 设备。；

64. 准入客户端需要兼容企业常用的操作系统，WindowsXP／7／8／10，MacOSX、Ubuntu桌面系统、IOS、Android；

65. 准入需要要支持与深信服上网行为系统对接，可以实现单点登陆；

66.

性能 ★性能准入系统处理认证请求速度应大于 1000 个／秒，以满足高并发需要。

67. 网关式准入控制器，数据包转发速度应该小于 50us，网络吞吐量不小 1GB，认证处理速度应大于 1000 个／秒

68.

易用性 易用性系统应自带帮助功能，以帮助管理员对系统的理解和操作；

69. 系统应该提供的接入记录应该清晰显示：接入状态、接入时间、接入用户、接入设备。接入失败的记录需要提供详细的失败原因，管理员可以快速判断失败原因；

70.

可靠性 可靠性

系统需要支持双机部署方式，确保高可用性；71. 主备服务器的数据需要时刻保持一致，数据同步时间应

低于 30秒，以确保备机能够及时代替主机运行；72. 系统需要支持自动／手动的应急方式，系统检测到运行

中出现的异常和故障需要能够自动应急，确保企业网络的可用性；

73. 系统需要提供本地备份、网络备份和异地备份方式，在系统出现故障后，能够快速恢复到最近的备份状态；

74. 系统能够对自身的运行状态进行健康检查，并定期提供检查报告，可以用于系统巡检；

数据防泄密序号 功能模

块 子功能 功能描述75.

保护对象

★保护对象

支持对基于 IP、端口访问 B／S 或 C／S架构的业务系统时操作的数据信息的保护；

76. 支持对通过数据库工具访问数据库时操作的数据信息的保护；

77. 支持对通过 Telnet/SSH 服务访问网络设备时的数据信息的保护；

78. 支持对局域网内终端共享流转文件的数据信息的保护；79. 支持对以文件形式存储在终端的数据信息的保护；80. HIS 系统

数据保护流程

合规进入

支持在网络层对设备做合规性校验，只有当合规范围内的用户、设备才允许访问业务系统进行数据操作；

81. 支持在应用层对设备做合规性校验，只有当设备安装了合规范围内的软件，并通过合规软件访问业务系统才能进行数据操作；

82. 支持对业务系统登录账户进行审计，只有授权用户才能使用相应权限的业务账号，避免业务负责人的账号权限被随意滥用；

83. 授权使用 支持对不同权限等级的业务系统登录账号进行敏感信息屏蔽，将业务系统的数据信息授权给相应账号使用；

84. 支持对用户访问的不同类型的业务系统进行安全管控，包括但不限于 WEB 应用类型、文件共享服务类型、数据库类型，Telnet/SSH 服务类型、iSCSI 服务类型，业务系统类

型不限，且支持自定义；85. 在访问各类型的业务系统时，支持对终端的使用进程进

行安全管控，可限制业务系统访问时软件的使用情况，限制软件白名单可对业务系统进行操作；

86. 在访问各类型的业务系统时，支持对终端的访问网络进行安全管控，可基于 IP 和端口进行访问控制；

87. 在访问各类型的业务系统时，支持对终端的文件操作行为进行安全管控，基于数据信息的源和目的地，对文件的导入导出，剪切板拷贝，或其他形式的操作行为进行管理限制；

88.

安全存储

提供安全磁盘以作业务系统重要数据存储和流转，支持本地磁盘和网络磁盘，可自定义容量、盘符、物理位置；

89. 安全磁盘支持文件授权使用等安全机制，严格保证业务系统文件安全；

90. 支持对安全磁盘的访问做安全管控，限制允许软件白名单内的进程访问安全磁盘；

91.

★安全流转

支持针对包括创建人、发送人、接收人等在内的角色进行数据安全流转管控；

92. 支持对数据关联的用户、用户组、部门及所在磁盘进行审计管理；

93. 支持对数据流转的合规性校验，并对不合规的数据进行阻止、审批、加解密处理；

94. 支持对指定流转数据的解密有效期进行设置；95.

安全输出

支持对安全磁盘保护的数据做流转控制，针对磁盘内业务系统文件的导入导出、复制剪切、读写、删除、重命名或其他操作进行控制、审计；（若应答满足，须提供截图，否则不得分）

96. 支持对安全磁盘内存储的数据文件的数据严格管控，可基于文件源、文件目的、文件行为、文件名、文件大小、文件内容等信息判断，出盘文件是否敏感违规，并对应进行阻止、审计、备份等操作；

97.

流程记录必须记录用户所有可疑的业务系统访问行为、安全磁盘文件操作行为、业务系统数据输出行为，审计信息必须包括用户、设备、时间、文件等信息，一旦泄密事件发生，以作事件定位和取证调查，避免泄密事态扩大；

98.终端数据保护流程 通道管理

支持对多种可能泄密通道进行管控，包括邮件、剪切板、打印、刻录、上网、FTP站点、移动存储介质、网络共享、即时通讯等；

99. 允许对终端设备的外联接口进行安全管控，包括但不限于红外、蓝牙、软盘、光盘、串口、并口、网络接口、USB 接口、智能设备以及其他外联设备；

100. 邮件管控 对邮件外发内容进行审计时，需要支持对收件人、发件人、抄送、主题、正文、附件多种元素进行识别，对指定的

收发、抄送人员，或是包含指定的文字信息的邮件进行禁止、审计、备份等管控操作；

101. 支持对 WEB 和客户端形式的登录邮箱进行安全管控，邮箱客户端包括但不限于 outlook、foxmail 等；

102.

拷贝管控支持管控终端上的文件操作，对通过剪切版（复制剪切）、导入导出、读写（文件资源管理器）等行为，文件源或目的为本地硬盘、移动存储介质（U盘、移动硬盘、SD卡）、网络共享或其他存储设备，可以进行禁止、审计、备份等管控操作；

103.

FTP管控

支持对终端进行 FTP操作时，对 FTP站点的登录，站内文件的上传、下载、删除、重命名或其他操作，可以进行禁止、审计、备份等管控；

104. 对于 FTP访问的安全控制，可以针对 FTP站点的 IP、端口、本地文件路径、远程文件路径等信息做黑白名单管理；

105.

上网管控支持对上网行为进行安全管控，可对访问网站做黑白名单管理，支持对指定网站的发帖文字、发送附件进行禁止、审计、备份等管控操作；

106.

打印管控支持对文件的打印行为进行安全管控，可基于打印机的访问 IP、端口、型号特征进行黑白名单管理，支持对打印文件进行禁止、审计、备份等管控操作；

107. 审计打印文件时，可针对打印的页数、份数做针对性处理；

108.

即时通讯管控

支持对即时通讯工具的聊天行为进行安全管控，针对即时通讯工具的登录，聊天时、文字、图片、文件的双向发送选择性地进行禁止、审计、备份等管控操作；

109. 支持对常见地即时通讯工具地支持，包括但不限于 QQ、微信、阿里旺旺、易信、飞信、MSN 等；

110.

事件处理支持敏感事件处理预案，在上述数据通道发生可疑敏感数据泄露事件时，基于策略设置，可对该用户、设备进行客户端告警、后台告警、邮件通知管理员、关闭数据通道、审计事件详细、备份外发文件等处理；

111.数据保护技术

资源访问控制

支持资源访问控制技术，可以针对终端上的防火墙等技术，管理终端的 IP地址、端口、网络协议、进程、URL 等信息；

112. 针对网络设备的 ACL技术，对终端通过双网卡、虚拟机、移动网络、热点、代理等形式，访问业务系统网络及数据资源的行为做动态控制；

113. 沙箱 支持沙箱处理机制，强制终端在安全的沙箱环境中完成业务系统的访问和数据文件的操作；

114. 可限制个人区域与企业区域之间存储和应用的交互通信，保护沙箱内部文件处理不受其他环境干扰；

115. 对沙箱内部的数据文件进行加密保护，加固业务系统的

数据安全性；116.

虚拟存储

提供虚拟磁盘作为安全隔离区域，支持本地环境、云环境；

117. 支持安全磁盘属性自定义，包括但不限于容量大小、磁盘名称、存储位置、使用范围、访问账号、读写权限等；（若应答满足，须提供截图，否则不得分）

118. 可强制迁移敏感文件至安全虚拟磁盘，对非授权的应用、用户和设备隔离访问；

119. 对安全区的文件进行流转操作时，支持阻止、加密、审批、授权、审计等管控；（若应答满足，须提供截图，否则不得分）

120. 支持安全虚拟磁盘数据备份功能，提供本地备份、云端备份服务；

121.

安全文件服务器

提供安全文件服务器对用户操作的可疑敏感文件进行上传备份，文件的上传和下载服务支持高并发性和可靠性；

122. 支持调节控制文件服务器的通信带宽，避免影响正常的业务流量；

123. 加密传输 文件在传输、和存储过程，支持对文件进行加密处理，要求可选用国际算法 RSA 和 RC4、国密算法 SM2 和 SM4；

124.

数据标识技术

文档追踪支持对指定文件（格式、位置、来源）自动设置跟踪标识，审计其在内网中流转存储的信息；

125. 跟踪标识终端用户不可识别、不可修改，且在文件流转过程中标识不会变更且能准确识别；

126.

数据脱敏支持对指定设备、人员访问业务系统时，将敏感信息屏蔽，保证基本内容共享的同时，敏感信息不轻易外泄；

127. 支持文字、数字、字母、指定字符等类型作为敏感信息进行过滤，可自定义敏感信息形式及内容，可自定义脱敏后替换展示的形式及内容；

128.

登录审计支持审计终端上登录业务系统的行为，要求必须获取设备、用户、时间以及登录的业务系统 URL、端口、用户名等信息；

129. 支持选择性禁止业务系统的账号在非授权设备上登录使用；

130.

水印方案

允许在终端访问敏感信息时自动加载数字水印以规避拍照、截图等外泄手段；

131. 支持多种形式的屏幕水印（二维码、矢量水印），水印信息应可包括登录用户、设备、时间等信息；

132. 支持自定义水印的内容形式，包括但不限于水印内容、水印大小、字体类型、颜色、透明度、行间距等；

133. 数据识别技术

文件类型 文件类型：支持多种格式文件的识别，包括但不限于 MS OFFICE 、永中 OFFICE、书生 OFFICE、PDF、WPS、PS 等文档/图片处理软件产生的

Doc、Docx、Xls、Xlsx、Ppt、Pptx、Pdf、TXT、JPG、PNG、JPEG、TIFF、BMP 等类型；

134. 支持多重嵌套识别，可识别文档文件中任意一层嵌套中包含的敏感信息；

135. 支持多重压缩识别，对于压缩包，可识别到压缩包内压缩的文件内容，不限制压缩层数；

136. 支持对修改后缀后的未知格式文件、加密文件以及其他不可读取文件的识别；

137.

关键字技术

支持基于预定义的关键字模板对文件进行内容识别，一旦文件内容中包含匹配关键字模板的信息即可认为敏感；

138. 感知内容支持基本的文字（中英）、数字、字符，支持正则技术，或其他文本技术；

139. 提供常用的数据标识模板，包括但不限于姓名、电话、地址、身份证、银行卡、邮箱；

140.

智能识别支持多组关键字，不同关键字间可以通过或、与等逻辑关系进行任意组合；

141. 支持命中次数的阈值设置，只有当文件包含指定内容达到一定数量后才会被认为敏感；

142.

数据可视化管

理

流转视图支持统计业务数据在内外网的流转次数及设备、用户等明细信息，可按次数、部门进行统计，并提供 Top排序作为可疑信息参考；

143.

数据分布、分类、分级

支持按照终端、各类业务系统、数据库三大类进行统计业务数据的来源分布，统计各分布总总数量和所占百分比；

144. 支持按照数据通道、文件类型对数据进行分类划分，统计各类型数据总数量和所占百分比；

145. 支持按照数据内容、文件大小、关键字命中次数对数据进行分级划分，统计各敏感级别的数据总数量、百分比；

146.

风险分析

支持统计全网终端业务数据使用的违规次数，区分违规整改和未整改事件，统计总数量和所占百分比

147. 支持统计周期内业务数据使用的风险状态级别，区分高、中、低不同风险级别，统计总数量和所占百分比；

148. 支持统计可疑敏感文件外发的行为总数，区分不同外发通道审计得到的事件，统计事件总数和所占百分比；

149. 支持统计外发敏感文件内容关联到的关键字，区分不同关键字的规则类型和敏感级别，统计各类事件总数和所占百分比；

150. 支持对各统计内容进行深度挖掘，对统计数据进行排序分析，分不同维度（用户、设备、部门、数据分布、数据分类、数据分级）得到高危排序 Top；

151. 地图视图 支持在物理地图上展示各数据流转、业务数据使用违规、敏感文件外发等事件的发生地点；

桌面安全管理序号 功能模

块 子功能 功能描述

152.

补丁管理

补丁下载

支持微软WSUS补丁服务器，同时也支持独立的补丁服务器，能够自动从微软网站下载补丁，或者通过拷贝方式将补丁导入到补丁服务器；

153. 补丁可以支持推、拉的安装方式，能够按照 OS版本、补丁级别、补丁是否经过审批、终端设备所在部门或其他分组条件决定补丁是否要在某台设备上安装。支持补丁的卸载和回退；

154. 支持云补丁部署，快速检查终端补丁安装情况，不依赖于 Windows update；

155.

补丁分发

支持分级分发，即一级服务器将补丁下发给各二级服务器，二级服务器下发给所管理的终端；

156. 支持补丁分发对带宽、对业务终端性能的影响;要求补丁分发时，可以指定分发的开始时间、结束时间；

157. 对补丁分发带宽占用进行优化：对于分支当地没有服务器的情况；

158. 支持补丁分发时意外中断后的断点续传；159.

补丁安装

支持客户端自动检测并自动从服务器下载补丁安装；160. 支持客户端手工选择需要安装的补丁，然后安装；161. 在整个打补丁的过程中终端用户不受打扰，不需要做任

何设置和操作；162. 管理后台操作需要简单，一次点击，就需要确保所有终

端全部自动打上最新补丁；需要从多个角度、纬度展现补丁的安装情况。

163. 快速及时的检查出所有需要安装的补丁。3秒内检查出系统所需要安装的所有补丁。1小时内自动给 1500 个终端打上补丁；

164. 支持补丁分发时意外中断后的断点续传；165. 支持蓝屏修复；166. 能自动统计终端补丁程序安装率，并提供补丁分发报

表；167. 分别从补丁，或终端角度查看、统计补丁安装情况；168. 桌面管

理配置变更

配置变更告警：支持客户端所有的软/硬件变更检查及告警；

169. 支持分析包括 CPU、内存、显卡、光驱、硬盘、主板、网卡在内的硬件变更信息；

170. 支持分析除 windows补丁外所有软件或特定软件的变更信息；

171. 软件授权 支持软件分类管理，智能识别商业软件和免费软件；172. 支持对商业软件的采购订单进行录入管理；173. 支持对终端所有软件安装信息进行采集；

174. 支持终端上商业软件进行授权管理，支持自动和手动授权；

175. 支持未授权安装软件的终端进行违规提醒；176. 支持对已授权设备上的商业软件 license进行回收管理；177. 统计企业内部已安装软件列表，数据分析违规使用情

况；178.

软件分发

软件分发支持带宽优化及控制、支持各种格式安装包，支持Multicast 方式的分发以节约带宽；

179. 支持常见软件的静默卸载；180. 支持字体分发；181. 支持控制分发时间段，避免工作时间带宽占用；182. 支持 AD域下 user 权限分发；183.

资产采集支持终端软/硬件信息、服务信息、进程信息采集；支持终端计算力评估；

184. 支持采集主板、BIOS 信息、CPU 信息、光驱、硬盘信息、显卡信息、声卡信息、网卡信息、显示器信息、内存信息；

185.

远程协助

远程协助，必须经过终端用户同意后，管理员才可以上到终端用户系统界面

186. 远程监控，管理员直接上到终端用户系统界面，不需要终端用户同意

187. 请求协助，终端用户可主动请求管理员远程协助188. 多对一协助，多个管理员可同时对一个终端用户进行协

助189. 协助消息，在远程监控与协助过程中，管理员可与用户

进行消息对话；190. 远程截屏，在远程监控与协助过程中，管理员可对终端

桌面进行截屏操作191. 待处理请求:此处可以查看申请远程协助请求的请求人详

细信息，以及管理员可以对此次请求做出“协助”、“拒绝”、“导出”的动作

192. 远程协助历史:可查看远程协助的历史详细信息（包括由管理员发起的、客户端发起的）

193. 远程协助：支持带宽自动优化功能；支持远程传送文件功能；服务端和客户端都能主动发起呼叫；

194. 支持对管理员的远程会话审计/录像审计功能；195. 支持 NAT环境下远程协助，即被协助终端位于防火墙后

面也必须可以远程协助；196. 支持MAC终端远程协助197.

节能管理节能管理：支持终端闲时节能措施；

198. 支持闲时（鼠标/键盘长时间未操作）终端关机、注销、锁定、重启、睡眠、休眠、关闭显示器等操作；

199. 支持终端解除节能申请；200. 支持能耗报表统计；

201.

资产管理

资产统计报表

自动搜集安装了管理软件的终端软、硬件信息，并按照指定的条件进行统计汇总，导出报表；

202. 资产变更 终端的硬件或软件的配置发生变化时，要求自动告警；203.

资产编号管理

可以批量导入或自动生成资产编号；204. 可以通知终端用户自行录入资产编号；205. 可以定义通知范围，并自动判断已经绑定资产编号的设

备不通知。206. 资产属性

条目管理可自行添加删除设备资产的属性条目，包括：设备照片、设备地点、到保日期、备注信息等；

207. 添加的资产属性条目可选择：图片、日期、文本等格式。208. 资产生命

周期管理实现资产生命周期的所有状态管理，包括从采购、领用到报废清理整个过程的动态管理；

209. 包括采购、库存、领用、维修、借调、报废等环节；210. 资产履历

信息记录并展示资产的履历信息，提供资产的维修、变动、状态、报废等记录信息，实现资产的使用人、硬件变化历史记录等；

211. 资产变更告警 支持终端硬件、软件资产变更告警并审计；

212. 资产提醒 提供资产的相关提醒信息，包括：过保信息提醒，归还提醒，维修提醒等；

213.

运维管理

终端自检 提供终端电脑配置检查，终端安全检查、终端性能检查，对终端安全状况进行评分，输出自检报告并上报。

214.

工具箱支持在终端提供工具箱服务，包括但不限于文件迁移、垃圾清理、文件删除、大文件查找、截图等办公常用工具；

215. 支持对工具箱内进行自定义编辑，可随意增删修改可用工具；

216.

消息广播

能实现信息发布功能，在网页上发布系统调整、网络变更或机房设备关停、会议通知等广播信息；可设置消息期限

217. 可给指定的 IP 范围、网段、部门、设备分组或所有代理发送广播信息

218. 提供管理员消息发布渠道，包含通知频率、通知时间段、通知框属性（窗体大小、置顶、关闭）等控制；

219.

软件商店

软件发布 提供标准 AppStroe 发布流程，包含图标、推荐、置顶、可见范围等功能元素； （若应答满足，须提供截图，否则不得分）

220. 软件下载 提供便捷入口，通过代理软件直接搜索软件进行安装下载；

221. 软件评价 提供终端用户评价功能，并做自动统计；222. 软件更新 提供已安装软件更新功能；223. 终端安

全策略管理

组策略 提供与Windows组策略相同的显示效果及功能控制；如：计算机配置、用户配置、Windows 设备等；

224. 安全检查 系统账户检查：可对系统账户进行如下检查：是否启用Guest帐户、弱口令、屏幕保护口令、检查密码持续未修改

时间；225. 加入 AD域检查：检查终端用户是否加入 AD域；226. 共享目录检查：检查终端用户是否共享目录，是否共享

任意用户可读目录；227. 系统补丁检查：可以设置检查指定补丁或者是指定级别

以上的系统补丁228. 可疑文件、可疑注册表项检查：可以检查指定的可疑文件

或者是可疑注册表项，以此定位可疑设备229. 支持对软件黑白名单进行检查；230. 支持对系统注册表、文件、系统、进程、服务进行任意逻辑

组合的检查；231. 支持基于脚本语言的检查；232. 支持定期清空在管理客户单上被终端用户保存的用户密

码；233. 支持对计算机名称是否符合规则进行检查；234. 违规客户端，桌面管理系统设置客户端告警预案和事件

处理预案中设置访问控制动作，包括：桌面管理系统代理阻止终端访问网络；

235.

策略管理功能

策略缓存功能：终端脱网或网络环境变化的情况下，管理策略仍然生效；

236. 策略漫游功能：终端脱网或网络环境变化的情况下（如OFFICE、VPN、会议室模式），管理策略可以根据最初设定的变化后环境的策略生效，即多模式策略；

237. 策略统一管理：可统一管理(修改、查询、打印)所有策略；可查看各种策略配置情况；查看具体设备配置了那些策略；

238. 策略执行计划：支持工作时段，可定义上下班时间策略；

239.

防病毒检查

提供主流防病毒软件检查，包括软件版本、杀毒引擎版本、病毒库更新；

240. 可以控制终端用户安装的防病毒软件，以及防病毒软件的版本控制；

241. 可以控制终端用户防病毒软件病毒库的更新日期；242. 全新防病毒库检测策略架构，可以任意扩展支持任意防

病毒软件并且无需升级安全助手；243. 内置主流防病毒软件（不少于 5 个）模板；244.

防火墙防火墙为双向防火墙，能对终端向外访问与对外提供的服务分别控制；

245. 防火墙提供自定义协议与服务端口，支持TCP、UDP、RDP、HTTP、FTP、共享；

246. 主机进程管理

支持通过进程名称、进程文件属性（产品名称、公司名称、描述、源文件名、内部名称）、进程文件 CRC值、进程文件 MD5值、软件名称、目录名称、进程签名等方式对进

程黑白名单管理； 247. 支持通过进程名称、进程文件属性（产品名称、公司名

称、描述、源文件名、内部名称）、进程文件 CRC值、进程文件 MD5值、软件名称、目录名称、进程签名等方式对进程运行状态进行监视

248. windows 本地安全策略

支持禁止修改注册表、禁止修改网络属性、禁止设置 TCP/IP属性、禁止设置固定 IP 等

249. 支持对系统服务的启动类型进行设置250.

主机监控审计

提供主机终端变更审计，支持操作系统日志审计、操作系统账户变更审计、支持系统服务变更审计、支持系统驱动变更审计、支持自启动项变更审计、支持异常行为审计（口令重试攻击、修改系统账户）等；

251.

终端流量管理

支持基于进程、通讯目标地址、传输协议、通讯方向进行流量控制

252. 支持链接主机链接数；253. 统计终端所有或指定网络流量；254. 统计终端 ARP 广播包、TCP连接数量；255. 注册表访

问控制支持任意进程创建、修改、删除、重命名注册表行为的阻止与审计；

256.

移动存储介质管理

U盘管控 可对普通移动存储介质的使用进行管控，包括禁用、使用审计等管理；

257. 注册 U盘 提供终端自主注册流程，提供按设备、部门、用户等多组合使用范围控制；

258.

加密 U盘提供 AES256、国密 SM4 算法加密程序，可对市面移动存储介质进行安全性质加密；

259. 可支持任意加密算法定制；260.

专用 U盘提供 AES256、国密 SM4 算法加密程序，支持任意大存储进行加密，并突破文件系统，支持 PB、EB级超大文件，

261. 支持任意多文件/文件夹，支持超 20亿次随机读写磁盘扇区；

262. 支持管理员密码找回；263. 终端审

计及控制

上网管控

支持审计与禁止 Web访问行为；264. 支持对网站进行分类、并定期更新后导入；265. Web访问与上传，支持 http、https 的 URL访问控制；266. 支持对访问的域名进行检测；267. 支持对论坛发帖内容进行敏感内容检测；268. 支持论坛发帖内容审计；269. 支持对网页上传附件进行审计并留档；270. 邮件管控 支持对 Outlook、Foxmail 等邮件客户端审计和控制；271. 支持指定收件人/抄送人、标题关键字、正文关键字、附件

关键字等进行定点审计，精确邮件发送审计范围；272. 支对 WQQ邮箱（Web）、网易邮箱（Web）等进行审计

和控制；

273.

屏幕管控支持录像文件大小控制，占用相对较少的存储空间；

274. 支持录像的结果在后台统一播放、并支持对窗口（包含应用程序和浏览器）关键词的查询和定位播放；

275. 光驱刻录管控

可禁止常见刻录软件进行数据刻录，支持对指定刻录软件的刻录行为进行审计；

276.

文件操作管控

支持管控终端上的文件操作，对通过剪切版（复制剪切）、导入导出、读写（文件资源管理器）等行为，文件源或目的为本地硬盘、移动存储介质（U盘、移动硬盘、SD卡）、网络共享、mstsc远程桌面或其他存储设备，可以进行禁止、审计、备份等管控操作；

277.

打印管控支持对文件的打印行为进行安全管控，可基于打印机的访问 IP、端口、型号特征进行黑白名单管理，

278. 支持对打印文件进行禁止、审计、备份等管控操作；279. 审计打印文件时，可针对打印的页数、份数做针对性处

理；280.

FTP管控支持对终端进行 FTP操作时，对 FTP站点的登录，站内文件的上传、下载、删除、重命名或其他操作，可以进行禁止、审计、备份等管控；

281.

非法外联控制

非法外联控制

提供终端设备的外联接口进行安全管控，包括但不限于红外、蓝牙、软盘、光盘、串口、并口、网络接口、USB 接口以及其他外联设备；

282. 提供智能设备连接控制，禁用时可提供充电服务；283. 支持终端连接互联网的审计和控制；284. 支持禁用终端电脑共享WiFi热点；285. 提供 U盘内可执行文件控制，避免 U盘自运行程序；286.

扩展性自定义脚

本提供轻量级面向对象脚本，灵活、易用、高效；

287. 支持作为辅助脚本执行定时、循环的机械化操作；288. 支持终端场景灵活定义；289. 第三方集

成对外提供可用、高效的接口环境；

290. 客户端程序支持第三方 exe/dll扩展模块，并支持模块签名校验；

291.

客户端管理

升级管理

支持在统一控制台完成升级任务，提供自动升级服务；292. 支持对终端进行条件判断，仅对符合条件的终端进行升

级；293. 客户端升级审计，能够针对所有用户的客户端版本升级

的操作审计，确保新版本升级无遗漏；294. 支持在客户端升级过程中断电关机后还能继续成功升

级；295. 客户化管

理自主客户化：提供程序客户化，可将助手程序按客户使用的最小功能进行安装包精简；

296. 支持客户端文件实时替换，无需重启终端；297. 提供原厂商针对本项目的专项授权函原件和服务承诺函

原件。

298移动设备管理

资产管理

完整的设备生命周期管理，至少包含设备注册、审核、停用、注销、黑名单等管理流程；

299 可对企业配发和 BYOD 设备进行区分；

300

可获取设备详细信息，(电话号码，设备名称，型号，序列号，MAC地址，IMEI，厂商,运营商，电量,内存等信息)；

301 可统计移动设备系统版本信息；302 可获取 UDID，设备 ID，WiFi 和蓝牙的 Mac地址；

303

远程定位

可通过后台下发 MDM 指令解锁屏幕，擦除屏幕锁定密码；

304 支持基于地址位置进行策略下发；305 支持对移动设备进行远程 GPS 定位；306 远程管理 支持对移动设备相机进行远程控制；307 支持远程查移动设备屏幕；308 支持App黑白名单管理；

309

支持设备锁屏密码管理，支持定义密码长度，定义密码类型，定义密码复杂字符，定义密码数字规则，定义密码有效期，自动锁定前的时间设定，历史密码限制次数，设备锁定前的宽限时间，密码最多失败次数；

310 支持客户端及应用的锁定码管理，支持图形锁最小连

接数定义，锁定时间间隔定义，锁定码有效期定义；311 支持终端长期未登录检查；312 支持对移动和设备进行安全扫描；

313

地址围栏

可帮助管理员统一设定 VPN配置，支持 L2TP/PPTP/

IPSEC 类型314 终端上网接入点参数的配置；

315可帮助管理员统一设定 WiFi配置，SSID 名称、安全类型、代理设置等；

316

设置检查

检测到已越狱（root）设备，推送警告信息，并可选择执行锁屏、脱离管理、清除企业应用及数据（iOS）/

清除企业数据（Android）、恢复出厂设置、标记为违规设备、短信告警、邮件告警等动作；

317 可远程对设备恢复出厂设置；318 支持对任意设备推送通知消息；

319

可禁止 iOS 设备安装应用程序、禁止卸载应用程序、禁止 使 用 相 机 、禁止 iCloud 、禁用 Safari 、禁用AirDrop、禁用 AppStore、禁止账户修改、禁止修改企业 App 信任、禁止 Touch ID解锁、禁用 iTunes、禁用蓝牙；

320 可将单一应用锁定在前台；

七.5. 内网态势感知系统

本系统设备如下：设备名称 基本要求 数量 部署位置

内网潜伏威胁探针

性能指标：3Gbps，硬件指标：2U 规格，SATA 1T、双电源，标配6电 4光 2万兆潜伏威胁探针主要通过旁路部署方式对全流量信息进行采集；具备全网访问关系可视：业务安全态势感知、风险地图呈现、潜在的攻击跳板可视；违规行为检测：用户操作违规定位：核心业务违规访问监控。硬件平台。（包含三年的软硬件质保服务）

1台 内网核心

内网威胁发现分析平台

硬件指标：2U 规格，96G 内存，SSD 128G 系统盘、SATA 32T 存储、双电源，标配 6 电安全感知平台基于海量的安全数据，通过机器学习、UEBA、关联分析等智能技术，帮助客户看清业务、感知威胁、及时预警、快速响应。 （包含三年的软硬件质保服务）

1台 内网核心

威胁分析与处置服务

针对感知平台，授权数量≤5 个，每季度上门服务一次。为用户提供：1、安全威胁分析：结合安全感知日志和威胁情报进行深度分析，研判网络中存在的威胁和攻击行为，明确对业务的影响和危害；2、安全事件处置：对安全事件进行处置，清除恶意文件、快速恢复业务；3、事件溯源分析：深入分析安全事件的成因，发现存在的薄弱点，溯源攻击路径；4、安全加固建议：根据事件发生的根因、影响范围，针对性给出安全加固方案；按季度输出安全加固方案及安全运营效果汇报。

3年

本系统设备参数如下：内网潜伏威胁探针

序号 技术指标 指标要求1 品牌要求 与安全态势感知系统为同一品牌

2 接口数量 6 个千兆电口、4 个千兆光口、2 个万兆光口3 性能指标 3Gbps

4 部署模式 旁路部署，支持探针同时接入多个镜像口，每个口相互独立不影响

5 资产发现 具备主动发送少量探测报文，发现潜在的服务器（影子资产）以及学习服务器的基础信息，如：操作系统、开放的端口号等

6 基础检测功能具备报文检测引擎,可实现 IP碎片重组、TCP流重组、应用层协议识别与解析等, 具备多种的入侵攻击模式或恶意 URL监测模式,可完成模式匹配并生成事件,可提取 URL记录和 域名记录,在特征事件触发时可以基于五元组和二元组(IP 对)进行原始报文的录制。

7 监测识别规则库

能够识别应用类型超过 1100种，应用识别规则总数超过3000条，具备亿万级别URL识别能力。漏洞利用规则特征库数量在 4000条以上，漏洞利用特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号

8 异常会话检测可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内 的多场景网络异常通信行为分析能力。

9 深度监测能力

可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描，端口扫描，ARP欺骗，IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型;支持对节点检测节点内部主机外发的异常流量进行检测支持对信 任 区 域 主 机 外 发 的 异 常 流 量 进 行 检 测 ， 如ICMP，UPD，SYN，DNS Flood 等 DDoS攻击行为；支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解检测功能；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测

10 高级检测 支持 5种类型日志传输模式,包含标准模式、精简模式、高级模式、局域网模式、自定义模式，适应不同应用场景需求（若应答满足，须提供截图，否则不得分） 支持DNS审计日志，主要用于平台 dns flow 分析引擎进行安全分析；HTTP审计日志，主要用于平台 http flow 分析引擎进行安全分析；SMB审计日志，主要用于平台 SMB flow分析引擎进行安全分析；同步 SMTP、POP3、IMAP审计日志，主要用于平台 Mail flow 分析引擎进行安全分析，同步AD域协议审计日志，主要用于平台 AD域分析引擎进行安全

分析（若应答满足，须提供截图，否则不得分）

11 Web 应用安全检测能力

支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测； 支持针对 B/S架构应用抵御 SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造 CSRF 攻击检测；支持对ASP,PHP,JSP 等主流脚本语言编写的 webshell 后门脚本上传的检测；支持其他类型的 Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测；（要求对以上列出的攻击类型进行逐条响应并提供相应的功能界面截图，否则不得分）产品应具备独立的 Web 应用检测规则库，Web 应用检测规则总数在 3000条以上； 支持敏感数据泄密功能检测能力，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤；（若应答满足，须提供截图，否则不得分）支持对被 Web 网站是否被挂黑链进行检测

12 僵尸网络检测

支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；（若应答满足，须提供截图，否则不得分）具备独立的僵尸主机识别特征库，恶意软件识别特征总数在35万条以上；对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁特征；

13 违规访问检测 能够针对 IP，IP组，服务，端口，访问时间等策略，主动建立针对性的业务和应用访问逻辑规则，包括白名单（哪些访问逻辑是正常的）和黑名单（哪些访问逻辑肯定是异常的）两种方式（若应答满足，须提供截图，否则不得分）

14 流量记录能够对网络通信行为进行还原和记录，以供安全人员进行取证分析，还原内容包括：TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP 登录行为。

15 抓包分析 支持通过设备对流量进行抓包分析，可定义抓包数量、接口、IP地址、端口或自定义过滤表达式（若应答满足，须提供截图，否则不得分）

16 管理功能 能够支持时间同步支持设备内置简单命令行管理窗口，便于基础运维调试（需提供截图证明，否则不得分）

能够提供网络管理功能，可进行静态路由配置多次登录失败将锁定账号 5 分钟内不得登录可支持在线升级和离线升级，并依托安全感知平台进行统一管控可支持用户初次登陆强制修改密码功能。可实时监控设备的 CPU、内存、存储空间使用情况。能够监控监听接口的实时流量情况

17 集中管控 支持安全感知平台对接入探针的统一升级，可展示当前所有接入探针的规则库日期、是否过期等，并支持禁用指定探针的升级；（若应答满足，须提供截图，否则不得分）

18 部署支持旁路部署，对镜像流量进行监听可以多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台

内网威胁发现分析平台序号 技术指标 指标要求

1 尺寸 2U架构2 硬盘容量 32TB3 CPU 4核心、4 内存 96G 内存5 接口数量 6 个千兆电口、1 个串口、4 个 USB口6 电源 单电源

7 综合态势大屏支持以图形化大屏的综合监控展示，包括但不限于安全事件态势、安全事件 TOP5、高危漏洞 TOP5，最新攻击事件等；（若应答满足，须提供截图，否则不得分）；

8 服务器与漏洞态势大屏

支持以图形化大屏的服务器与漏洞实时态势，包括但不限于漏洞等级分布、TOP5漏洞、服务器操作系统分布、影响服务器的数量、被访问服务器 TOP5、实时漏洞发现更新、业务对外开放TOP5端口；（若应答满足，须提供截图，否则不得分）；

9 业务风险外连大屏

支持以图形化大屏的方式展示业务外连的实时态势，包括但不限于外连业务风险 TOP10、外连态势、外连地址 TOP10、最新事件等，支持国际、国内地图自主切换；（若应答满足，须提供截图，否则不得分）；

10 攻击态势大屏支持以图形化大屏展示实时外部攻击态势，包括但不限于攻击事件、攻击源、危害级别等进行统计与展示。（若应答满足，须提供截图，否则不得分）；

11 横向威胁大屏展示

支持图形化大屏的横向威胁展示，包括但不限于横向威胁趋势，威胁类型分布、被访问业务 TOP5、攻击源 TOP5、违规访问源 TOP5、可疑访问源 TOP5、风险访问源 TOP5；（若应答满足，须提供截图，否则不得分）；

12 资产自动识别支持自动识别网络内部主机网段和外网网段；支持通过流量中的应用内容自动区分网络内部网段 IP 是属于PC还是服务器；

13 自动识别服务器信息

支持自动识别资产，在不影响内部网络的前提下，通过主动发送微量包的扫描方式探测潜在的服务器以及学习服务器的基础信息，如：操作系统、开放的端口号等；（若应答满足，须提供截图，否则不得分）；支持自动识别已知服务器，通过被动检测机制，对经过探针的流量进行分析，识别已知服务器对外提供的所有服务、已开放端口及端口传输的协议/应用等；

15 设备运行监控 支持通过 SNMP协议，获取待监测设备机器名、CPU负载、内存使用和流量情况，同时也支持 OID 定制（若应答满足，须提供截图，否则不得分）

16 脆弱性总览支持页面展示业务脆弱性风险分布，不同严重级别业务分布，漏洞类型分布图，漏洞整体态势等，支持 7 天、30 天统计（若应答满足，须提供截图，否则不得分）；

17 弱密码扫描 支持通过镜像流量检测数据包中存在的用户名和密码信息 ,通过分析密码的强度检测网络中存在的弱密码风险（若应答满足，须提供截图，否则不得分）；

18 Web 明文检测

支持通过镜像流量检测 web流量中是否存在可截获的口令信息，分析web 业务系统是否存在明文传输情况，避免因明文传输导致信息泄露的风险。（若应答满足，须提供截图，否则不得分）；

19 漏洞报告 支持流量分析实时发现操作系统、数据库、web 应用等存在的漏洞风险，看清网络脆弱性，并支持生成漏洞检测报告。

20 僵尸网络检测 支持通过云端沙盒对全球威胁情报源进行验证，提取有效信息形成规则定期更新到僵尸网络识别库，增量提升检测能力；

具备僵尸网络识别能力，行为规则 35万条以上（若应答满足，须提供截图，否则不得分）；

21 DNS协议深度检测

支持DNSFlow 分析引擎，利用机器学习算法结合威胁情报，能够从大量的样本中进行学习，总结其伪装的规律，从而发现伪装的恶意DNS协议；

22 SMB协议深度检测

支持 SMBFlow 分析引擎，利用机器学习技术,发现主机传输可疑文件、恶意软件行为、文件或关键目录的可疑操作行为以及 SMB暴力破解等（若应答满足，须提供截图，否则不得分）；

23 AD域控检测 支持对 AD域控服务器安全检测，发现主机对域控服务器DNS探测、SMB会话枚举、账户探测、暴力破解等攻击（若应答满足，须提供截图，否则不得分）；

24 文件威胁深度检测

支持从流量中还原可执行文件进行深度检测，并展示主机所感染恶意文件名、病毒名称、传播协议、外部感染源等

25 邮件深度检测

支持 SMTPFlow 分析引擎，利用机器学习技术技术,发现主机发送可疑附件的邮件行为、伪造发件人发送邮件、发送钓鱼网站邮件和垃圾邮件等行为（若应答满足，须提供截图，否则不得分）； 支持检测恶意邮件检测，可定位具体的收件人账号、发件人账号、恶意邮件数量、邮件附件是否包含病毒。（若应答满足，须提供截图，否则不得分）；

26 Webshell 攻击检测

支持HttpFlow 分析引擎，利用机器学习技术，发现绕过防御的 webshell攻击，并能够大幅度降低传统检测技术带来的误判；

27 失陷业务检测支持检测业务的异常行为，从而识别业务是否已失陷被控制，并设立失陷等级和威胁等级展示当前业务的状态和产生的威胁程度；

28 风险用户检测支持检测网络内部用户的异常行为，要求能够基于僵尸网络识别库，检测用户是否存在风险，并通过可视化方式展示：风险用户对业务产生的影响、内部的横向攻击、风险/违规行为等；

29 异常行为检测 支持 NetFlow 分析引擎，利用 UEBA 方式来检测服务器外发异常，包括是否正在进行 DoS攻击、网络内部的横向探测：如IP 扫描、端口扫描、数据收集（如到其他服务器下载）或数据

传输（将数据传给其他服务器或外网）。30 APT C&C 通

信支持检测主机与C&C 服务器通信行为，支持区分国内外区域；

31 可疑行为

支持检测访问恶意链接、使用 IRC协议进行通信、浏览最近 30天注册域名、下载文件格式与实际文件不符、基于行为检测的木马远控、比特币挖矿等可疑访问行为，支持区分国内外区域和显示可疑行为访问趋势；（若应答满足，须提供截图，否则不得分）；

32 隐蔽通信支持检测隧道、Tor暗网通信、端口反弹等对外通信方式，支持区分国内外区域；（若应答满足，须提供截图，否则不得分）；

33 违规访问 支持检测违规访问策略黑名单或违反了白名单，或者违反了下一代防火墙中的应用控制策略的行为

34 风险访问 支持检测服务器对外发起的远程登录、远程桌面、数据库等风险应用访问

35 外连攻击 支持检测主机对外发起的攻击行为

36 数据索引

支持记录用户网络当中南北向和东西向的访问信息，包括时间、五元组、具体应用、归属地、访问次数、流量大小等各类实时信息； 支持识别应用类型超过 1100种，应用识别规则总数超过3000条； 支持自动识别所有访问关系，并能够将访问请求进行归类：正常访问、风险访问、违规访问等；依托于大数据检索能力，提供详细的日志查询功能，便于事后取证；支持自定义威胁情报，可自定义确定性等级、威胁等级、事件描述、危害描述和处理建议

37 漏洞利用攻击检测

支持对服务器、客户端的各种应用发起的漏洞攻击进行检测，包括 20种攻击类型共 9000+以上规则（若应答满足，须提供截图，否则不得分）；支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP 等）和数据库软件（MySQL、Oracle、MSSQL 等）的口令暴力破解检测功能。

38 WEB 应 用 攻击检测

支持检测针对 WEB 应用的攻击，如 SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击检测；支持对 ASP,PHP,JSP 等主流脚本语言编写的 webshell 后门

脚本上传的检测；支持其他类型的 Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测；要求具备独立的 Web 应用检测规则库，Web 应用检测规则总数在 3000条以上；（若应答满足，须提供截图，否则不得分）；

39 外部风险行为监测

支持展示外网对网络内部尝试（或已成功）进行的远程登陆、数据库访问等行为，可查看明细列表，内容包括但不限于外网IP、受影响网络内部主机 IP、外部风险访问者数等；

40 正常业务外连监控

支持对业务的外连行为进行监测，以可视化的方式展示业务外连的地域分布、是否存在风险、外连趋势等，并提供详细的外连日志查询；

41 潜伏威胁黄金眼

支持基于可视化的形式展示威胁的影响面，通过大数据分析和关联检索技术，能够直观的看到失陷主机攻击了谁，被谁攻击了，帮助管理人员及时了解威胁的影响，并制定有效的处置动作（若应答满足，须提供截图，否则不得分）；

42 失陷主机举证

支持对风险业务、风险用户进行详细举证，详细举证为什么评判该主机为失陷级，并针对每个举证的安全事件进行详细的描述，如具体事件、该事件带来的危害、如何进行处置；（若应答满足，须提供截图，否则不得分）；

43

威胁攻击链展示

支持基于威胁活动链的形式展现主机的安全状况，能够直观地展示主机正处于被黑客入侵的哪个阶段，是否已经被利用、以及威胁的 程度；（若应答满足，须提供截图，否 则 不得分）；

44 访问关系梳理

支持基于用户/业务维度的访问关系梳理，可呈现该用户/业务已经通过哪些应用、协议和端口访问了哪些业务，这些访问是否是攻击、违规、远程登陆等行为，IT 人员可清晰的看出已对哪些业务存在影响，也能推导当前用户是否已失陷（或可疑）。（若应答满足，须提供截图，否则不得分）；

45 主机安全风险报告

支持从业务和主机的角度详细分析各主机的安全风险状况，提供危害解释和参考解决方案；适用于日常处理安全问题的运维人员

46 脆弱性感知报告

支持分析具体的业务系统存在的脆弱性风险，提供危害解释和参考解决方案；

47 摘要报告 支持提供 PDF 格式报表形式的摘要报告，包含总体摘要、安全

感知详情、UEBA 行为画像、安全规划建设建议等，从整体展示安全状况，快速了解业务和网络的安全风险

48 综合风险报告 综支持合分析具体的业务系统和终端的安全风险详情，提供危害解释和参考解决方案

49 安全告警支持以邮件的形式及时将发现的失陷业务、失陷用户、攻击成功事件等安全事件进行告警，支持根据安全事件类型配置发送间隔和触发条件；

50 安全日志检索

支持 TB级数据秒级查询;支持检索接入设备传输过来的所有安全日志，可基于时间、攻击类型、严重等级等选择项进行组合查询，可基于具体设备、来源/目的所属、IP地址、特征 ID、URL进行具体条件搜索；支持通过 syslog 等接收、存储第三方设备的日志，并提供详细的字段搜索能力；

51 访问日志检索支持检索接入设备传输过来的所有访问关系日志，可基于时间、访问类型、应用类型等选择项进行组合查询，可基于具体设备、来源/目的所属）、IP地址、端口进行具体条件搜索；

52 安全组件接入展示

支持接入防火墙、上网行为管理、终端 EDR、虚拟安全系统和潜伏威胁探针,并在页面中显示安全组件接入的数量和状态；

53 EDR组件联动支持与同品牌终端 EDR组件联动响应，禁止攻击流量出站或入站，也可以实现被感染主机 IP封锁隔离，防止风险扩展；（若应答满足，须提供截图，否则不得分）

54 防火墙设备联动

支持与同品牌防火墙进行联动响应，支持平台下发安全策略到防火墙上，阻断攻击 IP；（若应答满足，须提供截图，否则不得分）

55 SSL VPN 设备联动

支持同步 SSL VPN 用户信息，实现与安全事件关联；支持同步管理日志，满足审计要求（若应答满足，须提供截图，否则不得分）

56 上网行为设备联动

支持与同品牌上网行为管理设备进行联动响应，同步上网行为管理设备认证用户，实现与安全事件关联；支持通过浏览器推送用户提醒或冻结用户上网；（若应答满足，须提供截图，否则不得分）

57 特征库升级 具备 IPS漏洞特征识别库、WEB 应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、URL库、应用识别库、恶意链接库、白名单库等，支持定期自动升级或离线手动升级（若应答满

足，须提供截图，否则不得分）

58 深度检测引擎升级

具备安全日志分析引擎、DnsFlow 行为分析引擎、HttpFLow分 析 引 擎 、 NetFLow 分 析 引 擎 、 MailFLow 分 析 引擎、SmbFLow 分析引擎、威胁情报分析关联引擎、第三方安全检测引擎、文件威胁检测引擎等，支持定期自动升级或离线手动升级（若应答满足，须提供截图，否则不得分）

59 接入设备管理

支持管控接入探针的统一升级，可展示当前所有接入探针的规则库日期、是否过期等，并支持禁用指定探针的升级；（若应答满足，须提供截图，否则不得分）对接入的安全组件实时监控，包括展示是否在线、日志传输模式、今日传输日志量、当前传输总量等；

60 平台运行监控 支持对平台的 CPU、内存、磁盘利用率进行实时监控，同时支持对核心进程的资源占用率进行实时分析

威胁分析与处置服务序号 技术指标 指标要求

1 威胁分析与处置服务

服务组件：针对感知平台，授权数量≤5服务次数：每季度上门服务一次

服务有效时间：3年2 用户访谈 通过访谈，了解安全感知平台使用情况，近期是否安全事件爆

发，关注的安全问题，以及安全建设的一些需求和痛点3 事件响应 对用户上报的安全事件进行响应4 全网安全威胁

分析 安全服务工程师结合安全感知日志和威胁情报进行深度分析，研判网络中存在的威胁和攻击行为，明确对业务的影响和危害；

5 问题总结和汇报

总结发现的风险问题，并面向客户汇报

6 全网安全威胁处置

安全服务工程师综合分析态势感知呈现的数据，发现风险，与用户确认后针对“已失陷”和“高可疑”主机的事件做处置；通过工具和方法对恶意文件、代码进行根除，帮助客户快速恢复业务，消除或减轻影响

7 事件溯源分析 安全服务工程师通过现象深入分析安全事件的成因，发现用户网络中存在的薄弱点，通过技术手段和方法溯源攻击路径；

8 根因分析& 加固 根据事件发生的根因、影响范围，针对性给出安全加固方案

9 质量监督 对服务进行回访，了解客户满意度，保障交付质量10 定期服务 按季度/月输出安全加固方案及安全运营效果汇报11 远程服务响应

方式和时间远程时间服务响应时间：7*24小时安全咨询服务，6*12小时远程调试服务（远程调试服务时间为：8:30-20:30）

12本地安全服务响应方式和时间

针对重大安全事件，即态势感知平台检测到的安全事件，导致全网瘫痪，严重影响公司基本业务正常开展，安全服务工程师在 10 分钟内响应，在 2小时内到达指定现场针对较大安全事件，即态势感知平台检测到的安全事件，导致部分业务系统被攻击或发生僵木蠕事件，影响部分系统基本业务正常开展，安全服务工程师在 20 分钟内响应，在 4小时内到达指定现场；针对一般安全事件，即态势感知平台检测到的安全事件，不影响正常业务办公，但是会有较大风险会导致业务或网络中断，安全服务工程师在 30 分钟内响应，在 48小时内到达指定现场；

13 服务交付物 服务过程中根据客户需求输出以下交付物：《用户安全威胁访谈表》《失陷主机报告》《根因分析报告》《业务危害报告》《安全威胁处置报告》《业务威胁分析与加固建议》

14 提供原厂商针对本项目的专项授权函原件和服务承诺函原件。

七.6. 信息安全管理系统

序号 产品指标项 产品性能参数和要求1 产品形态 产品必须是软件形态，要求至少能够部署在 Windows 和 Linux操

作系统上，必须采用 64 位操作系统。

2 运行环境

系统必须采用 B/S架构，管理员只需浏览器即可连接到系统进行各种操作。用户的浏览器客户端无需安装 JRE 或者 JAVA Web Start即可访问管理中心；产品要求集成数据库，无须再独立安装数据库系统，亦无须对数据库进行专门的维护。

3 管理范围 涵盖网络设备、安全设备、主机、数据库、中间件以及各种应用系统4 管理节点 30 个5 事件处理性能

要求 管理中心的事件处理性能可以达到平均每秒 15000条事件。6 部署方式 支持单级部署和级联部署，支持分布式部署。

7 综合展示1）在综合展示界面中能够显示系统的基本管理信息，包括最近 30

分钟告警状态雷达图、最近1小时事件趋势图、最近 24小时的10条告警列表，能够显示最新 1小时内的事件总数、各等级事件数量，以及事件量曲线（若应答满足，须提供截图，否则不得分）；

8 资产管理 1）系统提供基于资产的拓扑视图，可以显示资产之间的逻辑连接

关系。系统可以按列表和拓扑两种模式显示资产拓扑节点（若应答满足，须提供截图，否则不得分）；

9 日志采集1）无 需 另 外安装软件组件 ，管理 中 心即可 通过 SNMP

Trap 、 Syslog 、 ODBC\JDBC 、 文 件 \ 文 件夹、WMI、FTP、SFTP、NetBIOS、OPSEC 等多种方式完成日志收集功能；

2）可灵活定制不支持的数据源采集，而无须改动代码。

10 日志传输和存储转发

1）日志可加密压缩传输，保证数据的完整性和机密性；2）日志可加密存储。支持大数据量存储；3）可根据转发条件，将采集范式化后的数据转发到其他的目标地

址；4）支持加密压缩方式转发，定时转发

11 日志过滤1）要支持对无用日志的自动过滤，减少垃圾数据数量；2）可以建立日志过滤条件；3）过滤条件可以按照所有范式化后的字段属性来定义。

12 日志合并 1）要支持对无用信息的自动合并，减少垃圾数据数量；2）可以建立日志合并规则，设定合并的时间范围

13 日志源管理1） 系统可以统计不同采集器和不同安全域下的设备个数并以饼图展示，统计采集器或安全域中事件量 Top10 以柱图展示，配以统计列表；（若应答满足，须提供截图，否则不得分）

2） 可以根据日志源断点时间进行配置，并生成告警。点击单个日志源设备查看该设备最近 7 天的事件趋势。

14 事件分析模式1）系统采用基于策略的事件分析模式，使用户从传统的“条件编辑”式的分析体验转变为“策略选取” 式的分析体验，大大提升分析效率；

2）系统内置超过 3000条分析策略，包括各种实时分析策略、历史分析策略、告警统计策略、工作台仪表板视图。

15 安全事件实时监视

1）可以显示一段时间的动态事件移动图，能够在图上显示每个时间切片的事件数量、等级，并能够在图上显示每秒事件数（若应答满足，须提供截图，否则不得分）。用户点击每个时间切片，可以查看该切片内的事件；

2） 可以对选中的事件源/目的 IP地址进行全球地图定位，包括在线定 位和离线定位 （若应答满足 ，须 提供 截图，否 则 不得分）；

3）可以对选中的事件进行事件拓扑分析，并可视化的展示一幅描述事件之间相互关系的事件拓扑图（若应答满足，须提供截图，否则不得分）；

4）可以以图形化的方式展示日志属性之间的聚合关系，显示多维事件分析图；

5）可以对选中日志进行视网膜视图分析，以可视化方式展示日志的源 IP与目的 IP 分布走向。

16 基于观察列表的长期事件关

1）可将关注的字段保存至观察列表中供规则读取并对事件进行实时关联（若应答满足，须提供【基于观察列表的截图】，否则不

联分析 得分）17

集中设备运行监控 系统能够对各种不同厂商的安全设备、网络设备、主机的性能与可用

性进行集中化实时监控

18 性能信息采集 1）系统支持通过 SNMP、TELNET、SSH、SSH2、ODBC、JMX、协议仿真等方式对 IT 资产进行性能与可用性信息的周期性采集；

2）采集时无需在被管理节点上安装代理；

19 性能与可用性监控分析

1）系统对于各种监控对象都能进行全方位细粒度的监控，具有丰富的监控指标；

2）管理员可以通过丰富的可视化图表查看监控指标信息；可以对监控指标设置告警阈值；可以将监控指标的数据保存起来，并进行历史分析；

3）可以将监控指标的数据保存起来，进行历史分析；可以进行基于指标的横向对比分析和基于时间的纵向对比分析；

4） 能够显示监控对象的时间轴图（若应答满足，须提供截图，否则不得分）。

20 网络设备监控1）支持所有支持 SNMP协议的主流网络设备；2）能够监控网络设备基本属性，以及性能与可用性指标，包括：

设备名称、IP 信息、描述、节点状态、运行时间、接口信息、路由信息、网络状态信息、网络性能信息

21 安全设备监控1）支持所有支持 SNMP协议的主流安全设备；2）能够监控安全设备基本属性，以及性能与可用性指标，包括：

设备名称、IP 信息、描述、节点状态、运行时间、接口信息、网络状态信息、网络性能信息

22 主机监控

1）支持主流版本的 Windows、Linux、AIX、Solaris、HP-UX 等主机和服务器；

2）能够监控主机基本属性，以及性能与可用性指标，包括：名称、IP、描述、节点状态、运行时间、网络接口信息、CPU利用率、内存利用率、磁盘利用率、磁盘 IO、文件系统、安装软件、安装服务、运行进程、 网络连接；

3） 支持用户自定义监控指标，例如可以对任意进程进行监控（若应答满足，须提供截图，否则不得分）；

23 知识管理 1）系统内置日志字典库，方便用户查询不同原始日志信息的错误ID号和详细描述信息

2）内置 Cisco PIX 和交换机的事件编码知识库（若应答满足，须提供截图，否则不得分）；

3）内置Windows、Linux、Solaris、AIX操作系统的事件 ID知识库（若应答满足，须提供截图，否则不得分）；

4） 内置Oracle、SQL Server、MySQL、Informix、DB2 数据库的事件编码知识库（若应答满足，须提供截图，否则不得分）；

5）能够查看系统内置的事件库中事件类型名称及其描述信息24 产品资质

具备公安部颁发的《计算机信息系统安全专用产品销售许可证》国家信息安全测评中心颁发的《信息技术产品安全测评证书》级别：EAL3

25 厂商资质

具备中国电子信息行业联合会颁发的《信息系统集成及服务资质证书》要求加入云安全联盟CSA（Cloud Security Alliance）, 作为该联盟成员，可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息，为用户提供更及时的安全防护,提供截图和链接，以便验证真实性。具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》（甲级）。要求加 入微软安全响应 中 心 （ Microsoft Security Response Center ） 发 起 的 MAPP （ Microsoft Active Protection Program）计划，作为该计划成员，可在微软发布每月安全公告之前获得微软产品的详细漏洞信息，为用户提供更及时的安全防护，提供截图和链接，以便验证真实性。 提供原厂商针对本项目的专项授权函原件和服务承诺函原件。

七.7. 运维管理系统

序号 技术指标 指标要求1 基本功能 统一平台实现网络、主机、存储、应用、虚拟化等的统一管理

2 系 统支持部署到 windows 、 linux 平台，支持使 用 MS

SQL、Oracle 数据库3 系统支持分布式部署：要求资源拓扑、告警、性能等功能模块支

持多服务器分布式虚拟化部署，可实现负载分担，满足大规模网络环境的统一管理。单套软件可管理资源数>2000 个（含网络、主机、应用等），须提供同等规模项目的合同证明文件

4 支持代理和免代理两种模式，可根据不同的场景选择不同的监控模式，也可同时使用。提供服务器 Agent代理，可批量部署，无需服务器用户名和密码即可获取相关应用性能数据。支持断网容错，可保存 24小时数据，网络恢复后数据自动上传到应用管理服务器。支持 agent 程序远程推送、远程安装、安装

环境自检、远程升级等。除特殊指标外，无需在被管理服务器上安装监控代理通过Agentless 无监控代理方式对应用进行监控

5 数据转储：提供对操作日志和告警信息自动转储功能，对于满足转储条件的操作日志和告警、事件信息会被系统备份成文件后存储到指定目录下，并把转储的数据从系统中删除

6 双机热备：主备服务器共享存储，公用一个虚拟 IP，实时备份，保障系统切换时无数据丢失

7 单机数据库备份及还原：支持手动或定时备份指定数据库数据。提供界面方式的可视化管理，并支持 FTP 等方式将备份文件上传。支持在指定数据库上使用备份的数据库文件进行还原操作。提供界面方式的可视化管理

8 分级管理：整个运维管理系统分为上、下级两层，同一分级的多个物理区域，其管理区域之间是独立的，各下级运维管理系统也是相互独立的，上级运维平台与下级运维平台采用 rest

API进行通信。管理员可通过上级运维平台直接对下级运维平台本身及其设备和应用直接进行管理，各分支节点运维平台管理本节点内的设备

9

事件管理 按照运维管理的相关规定，规划和建立相应的事件（Event）和故障（Incident）处理工作流程，提供方便易用的用户工作界面

10 故障处理的基本工作流程应该包括故障确认与记录、归类和初步支持、故障调查与分析、解决故障、结束。对于复杂或重大故障，解决故障的步骤多、过程相对复杂，还要求提供更为灵活的工作流程支持，如涉及二、三线的技术支持和同一故障的多次处理，处理后客户对处理情况满意度评价

11 故障记录至少包括以下内容：故障编号（唯一性）、故障类别、故障日期与时间、故障申告人信息、故障记录人、故障描述、故

障紧急程度与处理优先级、故障状态（待处理、处理中和终止）、相关配置项、故障原因、故障解决方案、配置变更情况、故障处理人员、解决日期与时间、故障终止日期

12 管理人员可以将各种故障处理的步骤和方法写入知识库13 支持并发的任务处理流程，以提高服务台工作效率与流程执行

效率14 自动化的事件工单分派，支持手动分派，并可查看当前支持

人员的工作量15 支持自动化匹配优先级，并可手工修改，提供自动化的相关

知识查询功能16 支持附件上传功能17 支持与服务级别管理的关联18 提供事件工单打印功能，并可自定义设计输出格式19 提供事件退回功能20 支持在流程发生中断（如响应、解决超时）时，可自动报告管

理层人员和责任人21 提供申请告假功能，相关的工作任务自动实现转交22 提供个人事务提醒功能23 可自定义事件表单和字段，自定义字段包括输入框、单/复选项

按钮、时间型输入框、输入文本区、下拉框，并可定义必填项和非必填项

24 支持事件处理所处节点图形化显示25 变更管理 变更请求支持直接录入（用户直接产生一个变更请求），变

更请求可与事件、问题记录关联，可以给出有关变更的信息26 提供变更请求的分类、优先级设定的功能

27 能将变更请求分派到相应的人员，进行评估和授权等，未经授权的变更请求不能得到实施

28 能为每个评估人员提供记录评估结果的入口，并记录评估结果29 记录和管理变更请求的实施计划等内容30 支持接收来自事件、问题申报的变更申请，并与事件管理、问题

流程关联31 可自定义变更表单和字段32 支持手动分派，并可查询当前支持人员的工作量33 支持附件上传功能34 支持配置项查询，变更与配置项关联。支持与服务级别管理的

关联35 提供短信、EMAIL、界面提醒的通知功能36 支持制定变更实施计划，支持变更的多任务定制和分配37 提供变更工单转派功能。变更完成时可自动更新配置项及属性

信息。支持变更的复审38 支持变更过程中对配置项锁定39 提供操作日志记录功能，提供变更工单打印功能，并可自定义

设计输出格式40 支持对执行中的变更及任务进行实时跟踪和查询。管理层人员

可实时跟踪流程状态并做出必要干预41 支持在流程发生中断（如响应、解决超时）时，可自动报告管

理层人员和责任人42 支持对历史变更记录进行查询和统计，支持变更联动自动完成

对 CMDB 数据的更新43

知识管理

支持知识分类检索和关键词全文检索方式44 具备知识分类、分级管理，可与服务目录和问题类别保持一致45 支持知识入库、审批、更新、废止的生命周期管理46 提供附件上传功能47 支持图文编辑48 提供知识互评积分功能49 提供知识访问权限配置功能50 支持对知识的统计与报表51 支持事件管理、问题管理、变更管理与知识的关联52 流程自定义引擎 支持对已有流程的裁减定制、步骤内容定制、新增步骤扩展，支

持自定制流程53 可按业务需求注册新的流程，并提供流程模板的定制能力。54 支持指定对各步骤有处理权限的责任人或用户群组55 提供独立的图形化的流程设计功能，将客户化流程与 ITIL 规

范结合，具备灵活的流程自定义引擎，快速进行运维服务流程的电子化落地，规范运维流程，建立符合 ITIL 规范的服务管理流程，提高客户运维组织内部管理的电子化程度和管理水平，大大增强 IT运营服务效率

56 通过图形化的所见即所得的拖曳设计方式，灵活设计流程图，定义流程的环节、输入/输出、角色、行为和表单等

57 支持自定义的流程环节设置。可设定每个流程环节的输入 /输出、操作角色、行为、填报表单及必填项等

58 支持流程中角色的设置，包括干预角色

59 支持自定义设计审批表单和字段60 自定义字段支持输入框、单/复选项、日期时间、输入文本区、下

拉选项等多种类型，并可定义必填项和非必填项61 提供图形化的流程跟踪视图。提供图形化的流程视图，跟踪流

程处理进度，并自动标志当前流程所处环节62 实现与运行监控平台、CMDB 一体化融合交付63 项目管理与供应

商管理系统支持对项目全生命周期的管理，包括从项目开始到项目结束的所有里程碑的管理

64 系统支持提供默认的标准项目里程碑供创建项目时选择65 系统支持自定义非标准项目里程碑66 系统支持新建项目、编辑项目、删除项目67 支持新建项目时可以按照项目需要灵活选择标准里程碑和自定

义里程碑作为新建项目的里程碑68 支持项目全生命周期所有里程碑节点以节点链方式进行管

理，而且节点链包含的项目里程碑数量无限制69 项目里程碑在项目节点链中的顺序在项目过程中的任意阶段

都可以随时按需进行调整70 每个项目里程碑内支持上传、编辑、下载、删除多个项目管理文

档71 支持在每个项目里程碑内自定义创建项目实施步骤，数量无

限制72 支持项目进度管理，高亮显示项目当前所处阶段的里程碑73 系统可以授权不同的用户管理不同的系统功能区，例如：可以

分配给乙方 PM 只有管理“实施”节点的权限

74 支持供应商管理，包括供应商基本信息、合作项目版本信息、合同信息等内容

75 供应商基本信息，包含有供应商名称、责任人、主场人数、开发人数、评分、合作次数等信息

76 供应商版本信息，包括合作项目名称、版本信息、附件名称、上传时间等内容

77 供应商合同信息，包括合作项目名称、合同号、合同签订日期、维保周期、合同状态等内容

78 需求管理 汇总需求，对需求进行审核、处理、追踪，实现需求闭环。79 客户移动端报障

功能支持微信服务号保障、智能手机 APP 保障

80 供应商管理 对所有医院信息系统供应商进行统一管理，包括升级审批、堡垒机接入审批

81 信息管理管理部门移动端办公

上面第 10-80条功能均要在移动端实现。

82 信息管理部门绩效分析

支持与信息管理部门对日常运维、项目管理等工作量进行数据收集，及为绩效分析提供数据支撑

83 信息部门绩效分析专业咨询服务

指导信息系统根据运维管理数据开展绩效分析与持续改进计划，并每月提交相关绩效分析报告及整改报告供信息中心参考（3年）

八. 安全服务系统运维需求

八.1. 现状

妇儿中心已经完成了安全功能和产品的基础建设，这些安全产品可以较大

程度上满足妇儿中心的安全功能的需求，可以有效地完成具体的安全功能和技

术的需求，如访问控制、入侵侦测、漏洞扫描、防病毒和反垃圾邮件等。同

时，妇儿中心对风险评估、安全加固等安全服务有一定的需求并进行实践，并

希望能对安全信息进行初步的分析，促进安全设备和功能协调发展，共同保障

信息资产和信息系统的安全运行。

随着信息安全需求的不断增长，妇儿中心的 IT系统的管理运维人员逐渐发

现他们很难去面对各种类型的专业安全产品，日常的使用、配置维护、管理分

析都面临很大的差异和对专业技能近乎苛刻的要求，于是依托于各类基础安全

措施，建设上层的安全管理专题平台的需求开始愈发强烈。

妇儿中心信息系统现阶段的安全需求主要集中在下述几个方面：

（1） 无法准确识别 /计算现有的各类风险现有的安全设备或软件是针对具体安全问题的技术手段，不能从信息资产

价值、信息安全投资回报率等方面针对信息安全风险管理提出有效的全局性建议

已有的安全风险评估需要人工进行资产和威胁的识别，结合发现的漏洞进行人

工计算，需要耗费专业人员的人力，对专业人员技术要求高且投入巨大。（2） 无法有效分析信息系统各设备和软件的运行或检测数据各网络系统设备、安全系统设备及关键应用系统安全设备每天产生海量的日

志数据，但目前尚未有合适的方法对其进行有效分析，籍此展现风险状态和预

测风险趋势，协助制定新的安全策略。（3） 缺乏完备的安全体系，孤立的安全措施难以从根本上解决问题过去的安全设备是针对某种特定威胁的——防病毒系统针对病毒爆发，防

火墙可以有效防范外部攻击——但随着信息安全事件的不断复杂化，孤立的安

全措施很难应对彼此牵连的综合性安全问题，更不能从根本上解决这些问题。（4） 设备的投入导致工作量剧增，技术人员面临大量重复的手工操作安全设备的投入增加了维护的工作量——防火墙、入侵监测系统、防病毒系

统等安全设备每天产生数百到数万条事件——汇总、过滤、分析这些事件需要大

量的人力，而目前这些重复的工作只能由专业的人员进行人工处理。（5） 专业安全人员不足对于妇儿中心来说，专业的安全人员很少或是由其它 IT人员兼职，这样就

没有足够的时间和精力来处理如此繁杂的工作，而且无法及时掌握各类实时更

新的安全信息和各种信息安全专业知识。（6） 对信息安全事件的响应速度无法达到业务连续性的要求对于妇儿中心来说，业务连续性非常重要，安全保障的目的就是保障（组

织）主要业务的持续性和信息化的深入发展，业务系统的停顿往往意味着巨大

的损失，现有的安全措施很难保证在发生安全事故后能快速的响应和恢复；真

正的预警会湮没在大量的安全事件日志中，独立分布的安全设备难以进行统一

的指挥和协调，安全设备和组织之间也很难进行有效配合；同时也缺乏一套能

够对应急响应进行有效支撑的安全响应系统。（7） 云服务器和应用系统信息现状当前妇儿中心信息化系统 28类 100个子系统云中运行，并且提供对四个院

区的信息化医疗服务，满足妇儿中心在行政办公、医疗服务挂号、处方、财务结算等业务要求。

（8） 四个院区的办公设备、打印设备统计

院区 电脑（含台式电脑、笔记本、一体电脑）

打印机（含黑白激光、彩打、针打、条码打）

珠江新城院区 2235套 1221台儿童院区 836套 661台妇婴院区 297套 245台增城院区 78套 19台

总计 3446套 2146 台

八.2. 主要服务内容

本安全运维项目为广州市妇女儿童医疗中心安全服务系统运维项目。包含信

息系统和设备维护、资产管理、安全评估服务、安全加固服务、应急响应服务、网

络优化和漏洞扫描服务等内容，驻场技术人员至少 2人。服务范围：服务区域包括珠江新城院区，儿童院区，妇婴院区，增城院区。

序号 指标项 技术指标 指标内容

1 安全评估服务

物理安全性风险评估 每两个月定期对广州市妇女儿童医疗

中心专网安全评估，针对网络环境，综合运用各种手段，定性与定量相结合，通过技术测试、调查等多种途径，对用户网络的脆弱性、威胁和影响进行全方位评估，总结面对的风险，提供《安全评估服务报告书》，为用户网络安全建设提供决策依据。

数据安全性风险评估

运行安全性风险评估

管理安全性风险评估

2 安全加固服务

定期补丁检查每两个月定期（出现重大安全补丁发布要两个工作日内更新）；对广州市妇女儿童医疗中心服务器等设备安全检查，包括针对综合信息平台各种设备、多种操作系统、多项应用的打补丁、停止不必要的服务、升级或更换程序、除去后门程序、修改配置及权限以及针对复杂问题的专门解决方案等服务。

设备、操作系统定期加固

复杂问题解决方案

3 应急响应服务 应急响应服务 在指定时间内响应或处理完毕需要进

行应急处理的事件，即时处理需要处理的故障，包括问题实体的恢复、故障查因、事件跟踪，使综合信息平台在最短时间内恢复正常运作，应急响应服务随时提供包括远程应急响应服务和现场应急响应服务等服务。

4网络优化和漏洞扫描服务

网络优化和漏洞扫描服务

每两个月定期为广州市妇女儿童医疗中心提供网络优化及漏洞扫描服务

5 安全人员培训 安全人员培训给医院培训 2 名信息安全服务人员，使其能独立处理安全问题，进行安全服务。

6 安全扫描 安全扫描

安全扫描是一种快速有效的安全评估手段，可以发觉系统可能存在的部分安全问题，安全专家根据目前安全行业漏洞发掘情况，对扫描系统漏洞库不断进行更新，使在扫描过程中，可以发现系统更多的安全问题。

7 安全监控 安全监控 持续对新的安全威胁、安全漏洞进行跟踪、分析和响应。

8 安全通告 安全通告通告服务以邮件、电话、走访等方式，将安全技术和安全信息及时传递给招标人。

9 日志分析 日志分析安全服务提供方将提供关键服务器、防火墙、路由器、交换机、应用软件、中间件产品的日志审计服务。

10 预案管理 明细与完善现有应急预案、建立应急管

为了提高与完善妇儿中心处理突发信息网络事件的能力，形成科学、有效、

理流程 反应迅速的应急工作机制，最大限度缩短因网络安全事件造成 的 业 务 中断，减少网络安全事件造成的负面影响。应急预案有助于识别风险隐患、了解突发事件的发生机理、明确应急救援的范围和体系，使突发事件应对处置的各个环节有章可循。

11日常工作 信息中心分配的其

他工作信息中心分配的其他工作

采用驻场机动混合的整体服务模式。一是安排服务团队，二是服务团队通过

服务台集中响应、派单服务。保障重大问题处理上的技术力量。

技术人员现场值守运行维护服务的基本操作流程

定期巡检结合故障现场运行维护服务的基本操作流程维护商提供不少于 2人驻场服务，一人为网络方向工程师，一人为安全方

向工程师，需持有相关高级资格证书，协助医院对现有信息化系统进行有效运

维，按照医院制定的 ISO标准的要求提供运维服务，运维服务基本需求如下序号 运维内容 运维要求

1 维护模式 包含设备维护模式、运维流程、维护内容、服务对象、服务

方式要求、服务级别要求、服务相应要求等2 运维人力资源 安排调配人事资源

3单位信息化资产管

理

对广州市妇女儿童医疗中心所有软硬件设备进行普查和建档，从设备资产的采购、派发、使用、维护到报废的整个设备生命周期进行详实准确的记录，并结合运维服务平台分析设备故障、维护、维修等情况。

4 软件信息资源维护 单位软件及信息资源维护主要包括：业务系统二次开发服务需求、综合业务系统维护需求、OA维护需求

5信息系统及设备维

护

1.日常运维的桌面及终端设备、网络设备、机房、配线间等重要场所是组成办公自动化的关键部件的维护保障；2.网络规模和连接设备的大量增长导致日常故障发生率增高，同时，业务的新增、变更、撤销等事件维护支撑管理队伍；3.大量的网络设备、安全设备、配套环境设备等电子产品在使用一段时间后都需要及时更换和处理，部分设备需要保持一贯配套的原厂技术服务才能有效保障日常的稳定运行和快速的技术处理

6混合云及医院安全

服务结合医院实际，对混合云与医院安全架构、新接入系统、现有系统进行安全评估及巡检，从人员授权、环境、硬件、软件系统及网络、数据、应用冗余等方面提供全面服务

八 .3 . 服务考核

八 .4 . 考核及惩罚内容

考核方法服务评价等级：合格（90-100 分）、不合格（0-90 分）。从以下方面考察

并扣总评分：（1）被市等保办、市安全测评中心等安全相关部门通报，1次扣 1 分；发

现病毒、木马等，未在 48小时完成查杀的，1次扣 1 分，每增加 24小时加扣

1 分；发现高危漏洞，未在 48小时内修复的，1次扣 1 分，每增加 24小时加

扣 1 分；发现其它漏洞或者其它安全隐患，未在 5 个工作日内修复的，1次扣

1 分，每增加 1 个工作日加扣 1 分。（2）发生机房配套设施、网络设备、服务器及存储故障，未在规定时间内

处理完成的（设备损坏除外），1次扣 1 分。若上述故障超过规定时间的 N倍时

间还未处理完成的，加扣N 分；（3）设备损坏，但未在规定时间内提供备机并恢复正常的，1例扣 1 分；

若备机超过规定时间的 N倍时间还未提供的，加扣N 分；

（4）环境监控系统和网络设备监控系统发出的报警未在规定时间内处理

的，1次扣 0.5 分。若报警故障在处理后还反复出现，重复出现 1次，扣 1 分；（5）发生机房或业务系统重大故障的，1次扣 5 分；（6）未按时发送月度总结报告、机房巡检报告、安全评估报告、安全扫描及

加固报告等，1次扣 1 分；（7）运维工单上的客户满意度分为优、良、中、差4 个等级，按 12 个月度

分别进行绩效评价。每次评价不为优者扣 1 分。（8）运维驻场人员月度考核时，若出现不按要求着装的，扣 0.5 分；出

现不遵守出勤纪律的，扣 0.5 分。（9）各业务系统的运维采购在建设方通知之日起 2 个月内签订协议，未

签订且不属于业务系统开发商原因的，1例扣 1 分。(10)信息中心领导及相关负责工程师对其运维服务满意度的评分指标。不可抗拒因素导致所维护对象发生故障除外，但是服务方有责任采取各种

手段、措施保证所维护对象能够正常运作，或者书面建议用户采取预防性措施避

免故障发生，否则仍然纳入评价范围内。

验收标准及惩罚标准考核得分在 90 分或以上时，视为合格，低于 90 分时视为不合格。惩罚的计算方法如下：考核得分低于 90 分时，每差 1 分扣除合同总额的

1‰，惩罚金总额不超过合同总金额的 10％。 考核周期

定期举行月度例会，服务方的项目经理及有关人员参加，会议听取用户意

见，对存在的问题在会议后两天内向用户递交《整改报告》，整改报告内容应该

包括整改计划、整改内容等，整改报告在下月月度例会时再次递交给用户评价。服务评价在每月的月度例会上由用户对本月工作进行总结后进行，最终作出《服

务评价书》，共 36次。

九. 安全管理体系需求

序号 安全管理内容 安全管理体系

1引入 ISO27001信

息安全管理体系

基于 ISO27001建立信息安全管理体系

2通过 ISO27001信

息安全管理体系认证

辅助通过 ISO27001体系认证

基于标准 ISO/IEC 27001-1:2013、，根据自身的信息安全管理体系建设方法论，结合妇儿中心运行信息安全管理现状，形成一套完整的信息安全管理体系，通过对体系的运

行进行指导，最终通过 ISO/IEC 27001-1:2013 认证。 根据最新国际信息安全以及运维标准（ISO/IEC 27001-1:2013、调研并分析信

息安全管理体系现状； 根据最新国际信息安全以及运维标准（ISO/IEC 27001-1:2013）要求协助开展

全面的信息安全风险评估，完善信息安全风险评估方法、制度和流程； 参考最新国际信息安全以及运维标准（ISO/IEC 27001-1:2013）设计或优化妇

儿中心运行信息安全管理体系框架结构；指导编制信息安全管理方针、手册等体系政策指导文件；根据安全标准的最新控制域要求完善妇儿中心运行现有的信息安全管理制度体系；修订的信息安全有效性测量指标体系；

推动妇儿中心运行信息安全以及运维管理体系的试运行，协助开展信息安全制度的宣导、体系内部审核、信息安全有效性测量、体系管理评审。

协助妇儿中心运行信息安全管理体系申请并通过第三方认证审核机构的 ISO/IEC

27001-1:2013 认证审核。

十. 运维管理体系需求

序号 运维管理内容 运维管理体系

1引入 ISO20000

管理标准

基于 ISO20000建立管理体系

2通过 ISO20000

管理标准认证

辅助通过 ISO20000体系认证

基于标准 ISO/IEC 20000-1:2011，根据自身的信息安全管理体系建设方法论，结合妇儿中心运行信息安全管理现状，形成一套完整的信息安全管理体系，通过对体系的运行进行指导，最终通过 ISO/IEC 20000-1:2011 认证。

根据最新国际信息安全以及运维标准（ISO/IEC 20000-1:2011）调研并分析信息安全管理体系现状；

根据最新国际信息安全以及运维标准（ISO/IEC 20000-1:2011）要求协助开展全面的信息安全风险评估，完善信息安全风险评估方法、制度和流程；

参考最新国际信息安全以及运维标准（ISO/IEC 20000-1:2011）设计或优化妇儿中心运行信息安全管理体系框架结构；指导编制信息安全管理方针、手册等体系政策指导文件；根据安全标准的最新控制域要求完善妇儿中心运行现有的信息安全管理制度体系；修订的信息安全有效性测量指标体系；

推动妇儿中心运行信息安全以及运维管理体系的试运行，协助开展信息安全制度的宣导、体系内部审核、信息安全有效性测量、体系管理评审。

协助妇儿中心运行信息安全管理体系申请并通过第三方认证审核机构的 ISO/IEC 20000-1:2011 认证审核。

十.1.安全运维参考指标：

分类 子类 基本要求 测评项数

物理安全 物理位置

的选择

机房和办公场地应选择在具有防震、防风和防雨等能力的

建筑内1

物理访问

控制

机房出入口应安排专人值守，控制、鉴别和记录进入的人

员2

需进入机房的来访人员应经过申请和审批流程，并限制和

监控其活动范围

防盗窃与 应将主要设备放置在机房内 5

应将设备或主要部件进行固定，并设置明显的不易除去的

防破坏

标记

应将通信线缆铺设在隐蔽处，可铺设在地下或管道中

应对介质分类标识，存储在介质库或档案室中

主机房应安装必要的防盗报警设施

防雷击机房建筑应设置避雷装置

2

机房应设置交流电源地线

防火 机房应设置灭火设备和火灾自动报警系统 1

防水和防

潮

水管安装，不得穿过机房屋顶和活动地板下

3应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透

应采取措施防止机房内水蒸气结露和地下积水的转移与渗

透

防静电 关键设备应采用必要的接地防静电措施 1

温湿度控

制

机房应设置温、湿度自动调节设施，使机房温、湿度的变

化在设备运行所允许的范围之内1

电力供应 应在机房供电线路上配置稳压器和过电压防护设备 2

应提供短期的备用电力供应，至少满足关键设备在断电情

况下的正常运行要求

电磁防护 电源线和通信线缆应隔离铺设，避免互相干扰 1

网络

安全

结构

安全

应保证关键网络设备的业务处理能力具备冗余空间，满足

业务高峰期需要

4

应保证接入网络和核心网络的带宽满足业务高峰期需要

应绘制与当前运行情况相符的网络拓扑结构图

应根据各部门的工作职能、重要性和所涉及信息的重要程

度等因素，划分不同的子网或网段，

并按照方便管理和控制的原则为各子网、网段分配地址段

访问

控制

应在网络边界部署访问控制设备，启用访问控制功能； 4

应能根据会话状态信息为数据流提供明确的允许/拒绝访

问的能力，控制粒度为网段级。

应按用户和系统之间的允许访问规则，决定允许或拒绝用

户对受控系统进行资源访问，控制粒度为单个用户；

应限制具有拨号访问权限的用户数量。

安全

审计

应对网络系统中的网络设备运行状况、网络流量、用户行

为等进行日志记录；2

审计记录应包括事件的日期和时间、用户、事件类型、事件

是否成功及其他与审计相关的信息。

边界

完整性

检查

应能够对内部网络中出现的内部用户未通过准许私自联到

外部网络的行为进行检查1

入侵

防范

应在网络边界处监视以下攻击行为：端口扫描、强力攻

击、木马后门攻击、拒绝服务攻击、

缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等

1

网络

设备

应对登录网络设备的用户进行身份鉴别 6

应对网络设备的管理员登录地址进行限制

网络设备用户的标识应唯一

防护

身份鉴别信息应具有不易被冒用的特点，口令应有复杂度

要求并定期更换

应具有登录失败处理功能，可采取结束会话、限制非法登

录次数和当网络登录连接超时自动退出等措施

当对网络设备进行远程管理时，应采取必要措施防止鉴别

信息在网络传输过程中被窃听

主机

安全

身份

鉴别

应对登录操作系统和数据库系统的用户进行身份标识和鉴

别

5

操作系统和数据库系统管理用户身份标识应具有不易被冒

用的特点，口令应有复杂度要求并定期更换

应启用登录失败处理功能，可采取结束会话、限制非法登

录次数和自动退出等措施

当对服务器进行远程管理时，应采取必要措施，防止鉴别

信息在网络传输过程中被窃听

应为操作系统和数据库系统的不同用户分配不同的用户

名，确保用户名具有唯一性

访问

控制

应启用访问控制功能，依据安全策略控制用户对资源的访

问

4应实现操作系统和数据库系统特权用户的权限分离

应限制默认帐户的访问权限，重命名系统默认帐户，修改

这些帐户的默认口令

应及时删除多余的、过期的帐户、避免共享帐户的存在

安全

审计

审计范围应覆盖到服务器上的每个操作系统用户和数据库

用户

4

审计内容应包括重要用户行为、系统资源的异常使用和重

要系统命令的使用等系统内重要的安全相关事件

审计记录应包括事件的日期、时间、类型、主体标识、客体

标识和结果等

应保护审计记录，避免受到未预期的删除、修改或覆盖等

入侵

防范

操作系统应遵循最小安装的原则，仅安装需要的组件和应

用程序，并通过设置升级服务器等方式保持系统补丁及时得到

更新

1

恶意代码

防范

应安装防恶意代码软件，并及时更新防恶意代码软件版本

和恶意代码库 2

应支持防恶意代码软件的统一管理

资源

控制

应通过设定终端接入方式、网络地址范围等条件限制终端

登录3

应根据安全策略设置登录终端操作超时锁定

应限制单个用户对系统资源的最大或最小使用限度

应用

安全

身份

鉴别

应提供专用的登录控制模块对登录用户进行身份标识和鉴

别

4

应提供用户身份标识唯一和鉴别信息复杂度检查功能，保

证应用系统中不存在重复用户身份标识，身份鉴别信息不易被

冒用

应提供登录失败处理功能，可采取结束会话、限制非法登

录次数和自动退出等措施

应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴

别信息复杂度检查以及登录失败处理功能，

并根据安全策略配置相关参数

访问

控制

应提供访问控制功能，依据安全策略控制用户对文件、数

据库表等客体的访问

4

访问控制的覆盖范围应包括与资源访问相关的主体、客体

及它们之间的操作

应由授权主体配置访问控制策略，并严格限制默认帐户的

访问权限

应授予不同帐户为完成各自承担任务所需的最小权限，并

在它们之间形成相互制约的关系

安全 应提供覆盖到每个用户的安全审计功能，对应用系统重要 3

审计

安全事件进行审计

应保证无法删除、修改或覆盖审计记录

审计记录的内容至少应包括事件日期、时间、发起者信息、

类型、描述和结果等

通信完整

性应采用校验码技术保证通信过程中数据的完整性 1

通信

保密性

在通信双方建立连接之前，应用系统应利用密码技术进行

会话初始化验证 2

应对通信过程中的敏感信息字段进行加密

软件

容错

应提供数据有效性检验功能，保证通过人机接口输入或通

过通信接口输入的数据格式或长度符合系统设定要求2

在故障发生时，应用系统应能够继续提供一部分功能，确

保能够实施必要的措施

资源 当应用系统的通信双方中的一方在一段时间内未作任何响 3

控制

应，另一方应能够自动结束会话

应能够对应用系统的最大并发会话连接数进行限制

应能够对单个帐户的多重并发会话进行限制

数据安全

及备份恢

复

数据完整

性

应能够检测到鉴别信息和重要业务数据在传输过程中完整

性受到破坏1

数据

保密性应采用加密或其他保护措施实现鉴别信息的存储保密性 1

备份和恢

复

应能够对重要信息进行备份和恢复

2应提供关键网络设备、通信线路和数据处理系统的硬件冗

余，保证系统的可用性

安全管理

制度

管理

制度

应制定信息安全工作的总体方针和安全策略，说明机构安

全工作的总体目标、范围、原则和安全框架等

3

应对安全管理活动中重要的管理内容建立安全管理制度

应对安全管理人员或操作人员执行的重要管理操作建立操

作规程

制定和发

布

应指定或授权专门的部门或人员负责安全管理制度的制定

3应组织相关人员对制定的安全管理制度进行论证和审定

应将安全管理制度以某种方式发布到相关人员手中

评审和修

订

应定期对安全管理制度进行评审，对存在不足或需要改进

的安全管理制度进行修订1

安全

管理机构 岗位

设置

应设立安全主管、安全管理各个方面的负责人岗位，并定

义各负责人的职责2

应设立系统管理员、网络管理员、安全管理员等岗位，并

定义各个工作岗位的职责

人员

配备

应配备一定数量的系统管理员、网络管理员、安全管理员

等2

安全管理员不能兼任网络管理员、系统管理员、数据库管

理员等

授权和审 应根据各个部门和岗位的职责明确授权审批部门及批准 2

批

人，对系统投入运行、网络系统接入和重要资源的访问等关键

活动进行审批

应针对关键活动建立审批流程，并由批准人签字确认

沟通和合

作

应加强各类管理人员之间、组织内部机构之间以及信息安

全职能部门内部的合作与沟通 2

应加强与兄弟单位、公安机关、电信公司的合作与沟通

审核和检

查

安全管理员应负责定期进行安全检查，检查内容包括系统

日常运行、系统漏洞和数据备份等情况1

人员安全

管理 人员

录用

应指定或授权专门的部门或人员负责人员录用

3应规范人员录用过程，对被录用人员的身份、背景和专业

资格等进行审查，对其所具有的技术技能进行考核

应与从事关键岗位的人员签署保密协议

人员离岗 应规范人员离岗过程，及时终止离岗员工的所有访问权限 3

应取回各种身份证件、钥匙、徽章等以及机构提供的软硬

件设备

应办理严格的调离手续

人员考核 应定期对各个岗位的人员进行安全技能及安全认知的考核 1

安全意识

教育

和培训

应对各类人员进行安全意识教育、岗位技能培训和相关安

全技术培训

3应告知人员相关的安全责任和惩戒措施，并对违反违背安

全策略和规定的人员进行惩戒

应制定安全教育和培训计划，对信息安全基础知识、岗位

操作规程等进行培训

外部

人员

管理

应确保在外部人员访问受控区域前得到授权或审批，批准

后由专人全程陪同或监督，并登记备案1

系统 系 统 应明确信息系统的边界和安全保护等级 3

应以书面的形式说明信息系统确定为某个安全保护等级的

建设管理

定级

方法和理由

应确保信息系统的定级结果经过相关部门的批准

安全

方案设计

应根据系统的安全保护等级选择基本安全措施，依据风险

分析的结果补充和调整安全措施

4

应以书面形式描述对系统的安全保护要求、策略和措施等

内容，形成系统的安全方案

应对安全方案进行细化，形成能指导安全系统建设、安全

产品采购和使用的详细设计方案

应组织相关部门和有关安全技术专家对安全设计方案的合

理性和正确性进行论证和审定，并且经过批准后，才能正式实

施

产品

采购和

使用

应确保安全产品采购和使用符合国家的有关规定

3应确保密码产品采购和使用符合国家密码主管部门的要求

应指定或授权专门的部门负责产品的采购

自行 应确保开发环境与实际运行环境物理分开 3

软件

开发

应制定软件开发管理制度，明确说明开发过程的控制方法

和人员行为准则

应确保提供软件设计的相关文档和使用指南，并由专人负

责保管

外包

软件

开发

应根据开发要求检测软件质量

4

应确保提供软件设计的相关文档和使用指南

应在软件安装之前检测软件包中可能存在的恶意代码

应要求开发单位提供软件源代码，并审查软件中可能存在

的后门

工 程

实施

应指定或授权专门的部门或人员负责工程实施过程的管理2

应制定详细的工程实施方案，控制工程实施过程

测试

验收

应对系统进行安全性测试验收3在测试验收前应根据设计方案或合同要求等制订测试验收

方案，在测试验收过程中应详细记录测试验收结果，并形成测

试验收报告

应组织相关部门和相关人员对系统测试验收报告进行审

定，并签字确认

系 统

交付

应制定系统交付清单，并根据交付清单对所交接的设备、

软件和文档等进行清点

3应对负责系统运行维护的技术人员进行相应的技能培训

应确保提供系统建设过程中的文档和指导用户进行系统运

行维护的文档

安全

服务商

的选

择

应确保安全服务商的选择符合国家的有关规定

3

应与选定的安全服务商签订与安全相关的协议，明确约定

相关责任

应确保选定的安全服务商提供技术支持和服务承诺，必要

的与其签订服务合同

系统 环境 应指定专门的部门或人员定期对机房供配电、空调、温湿 4

运维管理

管理

度控制等设施进行维护管理

应配备机房安全管理人员，对机房的出入、服务器的开机

或关机等工作进行管理

应建立机房安全管理制度，对有关机房物理访问，物品带

进、带出机房和机房环境安全等方面的管理作出规定

应加强对办公环境的保密性管理，包括工作人员调离办公

室应立即交还该办公室钥匙和不在办公区接待来访人员等

资产

管理

应编制与信息系统相关的资产清单，包括资产责任部门、

重要程度和所处位置等内容2

应建立资产安全管理制度，规定信息系统资产管理的责任

人员或责任部门，并规范资产管理和使用的行为

介质

管理

应确保介质存放在安全的环境中，对各类介质进行控制和

保护，并实行存储环境专人管理

4

应对介质归档和查询等过程进行记录，并根据存档介质的

目录清单定期盘点

应对需要送出维修或销毁的介质，首先清除其中的敏感数

据，防止信息的非法泄漏

应根据所承载数据和软件的重要程度对介质进行分类和标

识管理

设 备

管理

应对信息系统相关的各种设备（包括备份和冗余设备）、

线路等指定专门的部门或人员定期进行维护管理

4

应建立基于申报、审批和专人负责的设备安全管理制度，

对信息系统的各种软硬件设备的选型、采购、发放和领用等过

程进行规范化管理

应对终端计算机、工作站、便携机、系统和网络等设备的操

作和使用进行规范化管理，

按操作规程实现关键设备（包括备份和冗余设备）的启动

/停止、加电/断电等操作

应确保信息处理设备必须经过审批才能带离机房或办公地

点

网络

安全

管理

应指定人员对网络进行管理，负责运行日志、网络监控记

录的日常维护和报警信息分析和处理工作

6

应建立网络安全管理制度，对网络安全配置、日志保存时

间、安全策略、升级与打补丁、口令更新周期等方面作出规定

应根据厂家提供的软件升级版本对网络设备进行更新，并

在更新前对现有的重要文件进行备份

应定期对网络系统进行漏洞扫描，对发现的网络系统安全

漏洞进行及时的修补

应对网络设备的配置文件进行定期备份

应保证所有与外部系统的连接均得到授权和批准

系 统

安全

管理

应根据业务需求和系统安全分析确定系统的访问控制策略 6

应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修

补

应安装系统的最新补丁程序，在安装系统补丁前，应首先

在测试环境中测试通过，并对重要文件进行备份后，方可实施

系统补丁程序的安装

应建立系统安全管理制度，对系统安全策略、安全配置、

日志管理和日常操作流程等方面作出规定

应依据操作手册对系统进行维护，详细记录操作日志，包

括重要的日常操作、运行维护记录、参数的设置和修改等内

容，

严禁进行未经授权的操作

应定期对运行日志和审计数据进行分析，以便及时发现异

常行为

恶意

代码

防范

应提高所有用户的防病毒意识，告知及时升级防病毒软

件，在读取移动存储设备上的数据以及网络上接收文件或邮件

之前，

先进行病毒检查，对外来计算机或存储设备接入网络系统

3

管理

之前也应进行病毒检查

应指定专人对网络和主机进行恶意代码检测并保存检测记

录

应对防恶意代码软件的授权使用、恶意代码库升级、定期

汇报等作出明确规定

密码

管理应使用符合国家密码管理规定的密码技术和产品 1

变更

管理

应确认系统中要发生的重要变更，并制定相应的变更方案

2系统发生重要变更前，应向主管领导申请，审批后方可实

施变更，并在实施后向相关人员通告

备份

与恢复

管理

应识别需要定期备份的重要业务信息、系统数据及软件系

统等

3

应规定备份信息的备份方式、备份频度、存储介质、保存期

等

应根据数据的重要性及其对系统运行的影响，制定数据的

备份策略和恢复策略，备份策略指明备份数据的放置场所、

文件命名规则、介质替换频率和数据离站运输方法

安全

事件

处置

应报告所发现的安全弱点和可疑事件，但任何情况下用户

均不应尝试验证弱点

4

应制定安全事件报告和处置管理制度，明确安全事件类

型，规定安全事件的现场处理、事件报告和后期恢复的管理职

责

应根据国家相关管理部门对计算机安全事件等级划分方法

和安全事件对本系统产生的影响，对本系统计算机安全事件进

行等级划分

应记录并保存所有报告的安全弱点和可疑事件，分析事件

原因，监督事态发展，采取措施避免安全事件发生

应急

预案

应在统一的应急预案框架下制定不同事件的应急预案，应

急预案框架应包括启动应急预案的条件、应急处理流程、

2

管理

系统恢复流程、事后教育和培训等内容

应对系统相关的人员进行应急预案培训，应急预案的培训

应至少每年举办一次

十.2.安全运维验收测评

十.2.1. 测评内容

对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一

是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统

中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。

其中，安全控制测评是信息系统整体安全测评的基础。

十.2.2. 测评方式

依照《信息安全技术信息系统安全等级保护测评要求》（国标报批稿）的要

求，在本次信息系统安全等级保护测评过程中，我方所采用的现场测评方法主

要包括访谈、检查和测试。

十.2.3. 交付文档

阶段 输出成果文档 文档内容

等级保护测评

《His 系统等级保护测评报告》

《LIS 系统等级保护测评报告》

《PACS 系统等级保护测评报告》

《电子病历系统等级保护测评报

告》等

主要包含两个系统针对物理

安全、网络安全、主机系统安全、

应用安全和数据安全、安全管理

制度、安全管理机构、人员安全

管理、系统建设管理和系统运维

管理等十个方面的安全差距，内

容包括：信息系统现状、信息系

统安全测评的方法、信息系统运

行环境测评、等级测评内容。

等级保护测评不低于 10 个系统，以用户确认的实际需求为准。

十.3.安全运维等级保护差距测评服务

十.3.1. 测评目标

由我方安全服务部门组成的评估团队，依据公安部《信息系统安全等级保护

测评准则》中与信息系统备案等级相对应的测评项，对广州妇幼儿童医疗中心定

级的系统进行安全等级符合性测评，出具是否满足信息系统安全保护等级的测

评分析。

十.3.2. 测评流程

在等级保护差距测评项目中，我方把整个等级保护差距测评流程分为测评

准备阶段、方案编制阶段、现场测评活动阶段和分析与报告编制活动，整个项目

实施流程图如下：

十.3.3. 测评内容

本次差距测评范围主要包括安全技术和安全管理两大方面的测评指标内容，

具体如下：

十.3.4. 测评方式

依照《信息安全技术 信息系统安全等级保护测评要求》（国标报批稿）的要

求，在本次信息系统安全等级保护测评过程中，我方所采用的现场测评方法主

要包括访谈、检查和测试。

测评方式

访谈 检查

漏洞扫描

文档审查

配置检查

现场观察

测试

人工测试

人员访谈

十.3.5. 测评交付文档

阶段 输出成果文档 文档内容

等级保

护差距测评

《His 系统等级保护差距测评报告》

《Lis 系统等级保护差距测评报告》

《PACS 系统等级保护差距测评报告》

《电子病历系统等级保护差距测评报告》

等

主要包含两个系统针对

物理安全、网络安全、主机系

统安全、应用安全和数据安

全、安全管理制度、安全管理

机构、人员安全管理、系统建

设管理和系统运维管理等十

个方面的安全差距，内容包

括：信息系统现状、信息系统

安全测评的方法、信息系统运

行环境测评、等级测评内容。

等级保护测评不低于 10 个系统，以用户确认的实际需求为准。

十.4. 人工加固整改服务

通过等级保护差距测评活动，出具的差距测评报告中，分析当前网络和信

息系统的弱点与风险，主要包括操作系统、数据库和网络安全设备的弱点与风险

我方会根据以上设备的安全配置加固规范，对操作系统、数据库和网络安全设备

做逐条核查加固，并且制定相关的风险规避措施，保证加固过程良好稳定完成。

十.4.1. 操作系统加固

在操作系统加固服务中，我方会根据广州妇幼儿童医疗中心信息系统的实

际情况，确定操作系统各方面的加固工作，加固内容包含但不限于以下加固内

容：

（1）操作系统应开启密码策略，强制密码必须符合复杂性要求，并定期

更换密码；

（2）为每位管理员建立独立的账户，

（3）修改默认远程维护端口；

（4）对管理员远程登录地址采用单个用户级控制；

（5）设置非法登录策略；

（6）设置审核策略；

（7）设置重要文件权限控制策略，删除不必要的默认共享；

（8）禁用不必要的服务和端口；

（9）更新系统漏洞补丁；

（10）重命名系统默认账户；

（11）根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予

管理用户所需的最小权限；

（12）将操作系统和数据库系统特权用户的权限分离；

（13）根据实际情况对终端登录进行限制，具体到某一主机；

（16）限制单个用户对系统资源的最大或最小使用限度；

（18）设置远端系统强制关机、设置远端系统强制关机、设置取得文件或其

它对象的所有权”、设置“从本地登陆此计算机”、设置“从网络访问此计算

机”；

（20）启用 TCP/IP 筛选、开启系统防火墙；

（21）启用屏幕保护程序、设置 Microsoft 网络服务器挂起时间；

（22）关闭服务、修改 SNMP 服务密码；

（23）关闭无效启动项、关闭 Windows 自动播放功能。

十.4.2. 网络/安全设备加固

根据当前网络拓扑结构，我方会根据各厂家的配置规范进行以下几方面的

加固配置，为达到设备安全程度最高化、网络合理化从而巩固该网络安全。加固

内容包含但不限于以下加固内容。

（1） 重命名网络设备和安全设备的默认帐户，设置强度较高的

密码长度和策略；

（2） 远程登录地址采用单个用户级控制；

（3） 为各个设备管理员设立独立的用户账号；

（4） 取消 telnet模式，采用安全的远程管理登录方式（如：

SSH）；

（5） 取消默认的无用的服务或协议；

（6） 带宽分配优先级别设置；

（7） 配置网段级的访问控制；

（8） 设置应用层过滤；

（9） 设置网络流量控制；设置登录失败处理策略；

（10） 网络拓扑调整、规划。

十.4.3. 数据库加固

结合目前现有数据库使用情况，分别按照数据库的安全配置规范，检查数

据库当前配置，分别对账号、授权、密码、日志、策略和补丁等方面进行加固，加

固内容包含但不限于以下加固内容。

（1） 为不同的管理员分配不同的账号、删除或锁定无效账号、限

制超级管理员远程登录、权限最小化；

（2） 缺省密码长度复杂度限制、缺省密码生存周期限制、密码重

复使用限制；

（3） 启用日志记录功能、记录用户对设备的操作、记录系统安全

事件、数据库审计策略；

（4） 数据库补丁功能要求。

十.5.安全运维管理服务与制度建设

坚持管理和技术并重的原则，依据《基本要求》，落实信息安全责任制，建

立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理

等工作，协助完成等保安全管理制度的建设。

落实信息安全责任制

成立信息安全工作领导机构，明确信息安全工作的主管领导。成立专门的信

息安全管理部门或落实信息安全责任部门，确定安全岗位，落实专职人员或兼

职人员。明确落实领导机构、责任部门和有关人员的信息安全责任。

落实人员安全管理制度

制定人员录用、离岗、考核、教育培训等管理制度，落实管理的具体措施。对

安全岗位人员要进行安全审查，定期进行培训、考核和安全保密教育，提高安全

岗位人员的专业水平，逐步实现安全岗位人员持证上岗。

落实系统建设管理制度

建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工

程实施、验收交付、等级测评、安全服务等管理制度，明确工作内容、工作方法、

工作流程和工作要求。

落实系统运维管理制度

建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系

统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度，制定应急

预案并定期开展演练，采取相应的管理技术措施和手段，确保系统运维管理制

度的有效落实。

十.6. 安全运维体系建设要求

十.6.1. 总体安全服务体系建设

网络安全系统是整体的、动态的。网络安全系统符合 MPDRR模型（M-

management，P-protect，D-detection，R1-response，R2-

recovery），因此，要真正实现一个系统的安全，就需要建立一个从保护、检

测、响应到恢复的一套全方位的安全保障体系。

建立安全整改方案正是基于信息系统安全等级保护要求及 MPDRR模型构

建的，符合网络安全系统整体性和动态性的特点。它集各种安全技术产品和安全

管理措施于一体，将多种网络安全技术和安全管理体系有机集成，实现安全产

品之间的互通与联动，是一个统一的、可扩展的安全体系平台。

信息安全一般都是三分技术，七分管理。管理是相当重要的。

十.6.2. 安全管理制度建设

坚持管理和技术并重的原则，依据《基本要求》，落实信息安全责任制，建

立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理

等工作，协助完成等保安全管理制度的建设。

落实信息安全责任制

成立信息安全工作领导机构，明确信息安全工作的主管领导。成立专门的信

息安全管理部门或落实信息安全责任部门，确定安全岗位，落实专职人员或兼

职人员。明确落实领导机构、责任部门和有关人员的信息安全责任。

落实人员安全管理制度

制定人员录用、离岗、考核、教育培训等管理制度，落实管理的具体措施。对

安全岗位人员要进行安全审查，定期进行培训、考核和安全保密教育，提高安全

岗位人员的专业水平，逐步实现安全岗位人员持证上岗。

落实系统建设管理制度

建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工

程实施、验收交付、等级测评、安全服务等管理制度，明确工作内容、工作方法、

工作流程和工作要求。

落实系统运维管理制度

建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系

统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度，制定应急

预案并定期开展演练，采取相应的管理技术措施和手段，确保系统运维管理制

度的有效落实。

十.6.3. 安全扫描

十.6.3.1. 概述用相关的安全扫描工具对网络、信息系统进行定期扫描，扫描包括对各种操

作系统（例如 windows ,linux ,unix ,AIX ,freebsd ,solaris 等），Web 应用，

网络设备系统等多类进行安全检测，检测将发现当前系统及软件中存在的漏洞

信息，扫描完毕后将生成扫描检测报告，使用户能对自己的网络安全状况有真

实的了解，从而制定出科学合理的系统加固及风险规避计划。

十.6.3.2.安全扫描服务内容1) 主机系统漏洞扫描

包括：操作系统猜测、端口服务扫描、系统漏洞扫描、弱口令破解、用户权限

认证、磁盘共享等。

2）网络设备漏洞扫描

包括：弱口令猜解、补丁、账号管理、口令强度和有效期检查、IOS 信息、端

口服务等。

十.6.3.3.安全扫描工具

工具 说明

Nessus 5

可同时在本机或远端上摇控, 进行系统的漏洞分析扫描。

其运作效能能随着系统的资源而自行调整。如果将主机加入更

多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为

丰富资源而提高。

可自行定义插件(Plug-in)。

完整支持 SSL (Secure Socket Layer)。Nma 可以快速地扫描大型网络。以新颖的方式使用原始 IP 报文来

p

发现网络上有哪些主机，那些主机提供什么服务(应用程序名和版

本)，那些服务运行在什么操作系统(包括版本信息)，它们使用什

么类型的报文过滤器/防火墙，以及一堆其它功能。虽然Nmap通

常用于安全审核，许多系统管理员和网络管理员也用它来做一些

日常的工作，比如查看整个网络的信息，管理服务升级计划，以

及监视主机和服务的运行。除了端口表，Nmap还能提供关于目

标机的进一步信息，包括反向域名，操作系统猜测，设备类型，

和 MAC地址。CAIN 破解屏保、PWL密码、共享密码、缓存口令、远程共享口

令、SMB口令、支持VNC口令解码、Cisco Type-7口令解

码、Base64口令解码、SQL Server 7.0/2000口令解

码、Remote Desktop口令解码、Access Database口令解

码、Cisco PIX Firewall口令解码、Cisco MD5解码、NTLM

Session Security口令解码、IKE Aggressive Mode Pre-

Shared Keys口令解码、Dialup口令解码、远程桌面口令解码等

综合工具，还可以远程破解，可以挂字典以及暴力破解。其

sniffer功能极其强大，可以明文捕获一切帐号口令，包括

FTP、HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP、M

SKERB5- PREAUTH、MSN、RADIUS-KEYS、RADIUS-

USERS、ICQ、IKE Aggressive Mode Pre-Shared Keys

authentications 等

appscan

用于扫描 web 应用的基础架构，进行安全漏洞测试并提供可

行的报告和建议。AppScan 的扫描能力，零时差补丁升级，配置

向导和详细的报表系统都进行了整合，简化使用，增强用户效

率，有利于安全防范和保护web 应用基础架构。Acun

etix Web Vulnerab

ility Scanner

通过网络爬虫测试你的网站安全，检测流行的攻击 ,如交叉站

点脚本,sql 注入等。在被黑客攻击前扫描购物车，表格、安全区域

和其他Web 应用程序。75% 的互联网攻击目标是基于 Web 的应

用程序。因为他们时常接触机密数据并且被放置在防火墙之前。

十.6.4. 安全加固

安全加固目标策略

安全加固的目标

为了有效保障系统网络的正常运行，保证网络的安全，对网络进行全面安

全的安全扫描和弱点分析，对系统网络的服务器、网络设备、工作站等存在漏洞

的系统进行安全加固。

安全加固的主要范围

针对不同的设备（如交换机、路由器、防火墙等）、不同的操作系统（如

AIX、WINDOWS等）、不同的应用（如Web服务、数据库应用等）提供安全加

固服务。包括打补丁、停止不必要的服务、升级或更换程序、除去特洛伊后门程序

修改配置及权限以及针对复杂问题的专门解决方案。根据网络安全评估的检测结

果为依据，完全、彻底地堵住这些安全缺陷和漏洞、去除这些薄弱环节。

安全加固的主要策略

①操作系统安全加固和优化。

②应用系统安全加固和优化。

③网络设备安全加固和优化。

操作系统安全加固和优化

根据评估报告进行打补丁、升级、修补、加固和优化，提供详细操作报告。 应用系统安全加固和优化

根据评估报告进行修补、加固和优化,提供详细操作报告。 网络设备安全加固和优化

网络设备的安全始终是信息网络安全的一个重要方面，攻击者往往通过控

制网络中设备来破坏系统和信息，或扩大已有的破坏。网络设备包括主机（服务

器、工作站、PC）和网络设施（交换机、路由器等）。对网络设备进行安全加固的目的就是减少攻击者的攻击机会。如果设备本身存在安全上的脆弱性，则它们往往会成为攻击者攻击的目标。

网络设备的安全脆弱性包括：

1．提供不必要的网络服务，提高了攻击者的攻击机会；2．存在不安全的配置，带来不必要的安全隐患；3．不适当的访问控制；4．存在系统软件上的安全漏洞；5．物理上没有得到安全存放，容易遭受临近攻击（close-in attack）；针对这些安全弱点，我们提出如下几点设备的安全加固技术建议：◆ 禁用不必要的网络服务◆ 修改不安全的配置◆ 利用最小特权（Least-Privilege）原则严格对设备的访问控制◆ 及时对系统进行软件升级◆ 提供符合 IPP要求的物理保护环境

网络安全设备的安全加固和策略配置优化

主要针对防火墙系统、入侵检测系统、数据备份与灾难恢复系统等网络安全

设备进行修补和加固，按照安全策略进行安全配置和优化,提供详细操作报告。

包括：网络安全设备的安全配置，网络安全设备的安全加固，网络安全设备的

优化配置等。

网络安全设备的安全始终是信息网络安全的一个重要方面，攻击者往往通

过控制网络中的安全设备来破坏系统和信息，或扩大已有的破坏。

十.6.5. 安全应急预案

十.6.5.1. 概述本规范是为应付由于自然灾害、人为攻击或破坏以及病毒爆发等原因所引发

严重影响到广州妇幼儿童医疗中心网络与信息系统的正常运行，造成业务中断、

系统瘫痪、数据破坏或信息失窃等，从而在机关形象、社会稳定或公众利益等方

面造成严重影响以及造成一定程度直接和间接重大经济损失的事件。应急预案服务步骤：

1、 由安全服务小组与客户进行访谈，根据客户单位的物理环

境、网络情况、系统情况等进行针对性修改，形成所需类型的预案报告；

2、 交予客户单位相关人员审核、批准，并根据客户实际情况或

要求进行相应增减；

十.6.5.2. 应用系统故障应急预案 发生通信线路中断、路由故障、流量异常、域名系统故障后，工

程师应

发生应用系统故障，报告应用系统管理员。

接到应用系统故障报告时，应用系统管理员应对故障所涉及的

范围和需要修复的时间进行评估。

如果是严重故障，无法立刻修复，则启动三级事件响应，总协

调员报告中心领导，由总协调员协调相关应急处理工作人员向受应用系

统故障影响的其他部门发送应用系统暂停服务的通知，并通知应用系统

维护公司前来进行修复。

故障修复完成，应用系统管理员报告总协调员和中心领导并做

好恢复服务的准备工作，由中心领导决定何时恢复服务，恢复服务后应

通知受影响部门服务已经恢复。

对此次故障进行记录，如果是应用系统程序编写原因，则应由

软件公司对程序进行全面检查和测试，防止类似事件再次发生。

十.6.5.3. 网络病毒事件应急预案 当发现不良信息或网络病毒时，信息系统管理员应立即作出处

理操作，终止不良信息或网络病毒传播，并报告信息网络事件应急领导

小组和广州妇幼儿童医疗中心的管理员。

工程师应根据信息网络事件应急领导小组指令，采取隔离网络

等措施，及时杀毒或清除不良信息，并追查不良信息来源。

事态或后果严重的，信息网络事件应急领导小组应及时报告广

州妇幼儿童医疗中心应急领导小组或相关负责部门。

处置结束后, 信息中心和事发单位应将事发经过、造成影响、处

置结果在调查工作结束后一日内书面报告信息网络事件应急领导小组并

做相应的记录。

十.6.5.4. 黑客攻击事件应急预案 当发现网络被非法入侵、网页内容被篡改，应用服务器上的数据

被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻

击时，使用者或管理者应断开网络，并立即报告工程师或信息网络事件

应急领导小组。

接报告后，急领导小组应立即指令信息中心核实情况，关闭服

务器或系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登

陆帐号，阻断可疑用户进入网络的通道。

信息中心应及时清理系统，恢复数据、程序，恢复系统和网络正

常；情况严重的，应上报市局应急领导小组或有关负责部门。

处置结束后, 信息中心应将事发经过、处置结果等在调查工作结

束后一日内报告信息网络事件应急领导小组并作相应的记录。

十.6.5.5. 数据库故障应急处理预案 当数据库系统发生故障时，数据库管理员如果无法进行解决，

应该尽快通知数据库维护公司到现场进行技术支持，共同评估故障影响

的时间。

如果须启用备用数据库，则事件定义为三级，由总协调员报告

中心领导，由数据库管理员启用备用数据库直至源数据库恢复并迁移修

复期间所产生的新数据。

如果不能启用备用数据库，且数据库故障是严重的需长时间修

复的故障，则数据库管理员再次报告总协调员和中心领导，由中心领导

决定是否需要提高级别，向有关部门发送暂停应用系统服务的通知。

数据库管理员应及时与数据库维护公司沟通，掌握数据库修复

的最新情况，尽快让数据库维护公司恢复数据库。

数据库恢复之后，数据库管理员应通知总协调员和中心领导以

恢复应用系统，并通知有关部门应用系统恢复的消息。

数据库管理员对此次故障进行记录，并在今后做好数据库备份。

（1） 应急响应目标

应急响应客户网络被入侵事件，在指定时间内响应或处理完毕用户认为需

要进行紧急处理的事件。即时处理用户需要处理的故障，包括问题实体的恢复、

故障查因、事件跟踪。使客户网络信息系统在最短时间内恢复正常工作。应急响

应服务包括远程应急响应服务和本地应急响应服务。a) 帮助客户查找入侵来源

b)给出入侵事故过程报告

c) 提供安全技术方面的在线支持，包括 email，电话，网页等

形式。

d)给出解决方案与防范报告

（2） 远程应急响应

是指安全服务公司相关工程师在接到客户相关人员通过电话、Email、传真

方式的请求后，经与客户网络相关人员确认后，通过电话、Email、传真的方式

替客户查找事发原因并解决相应的问题。如有需要，可以要求客户网络相关人员

提供主机的检测账号，远程登陆主机进行检测。问题解决后出具详细的应急响应

服务报告。如无法替客户解决问题，转到本地紧急相应。

（3） 现场应急响应

是指由安全服务公司委派相关工程在第一事件赶往网络事发地点，本地替

客户查找事发原因并解决相应的问题，并出具详细的紧急相应服务报告。（4） 应急响应具体内容包括

1.建立入侵响应小组

2.制定应急响应和报告流程

3.应急措施

a) 制止攻击确认攻击方向，并切断攻击。

b) 客户服务上线保证客户服务在最短的时间内可使用性，在尽可

能的情况下减小客户损失。

c) 消除安全隐患通过日志信息和其他必要信息，检查后门程序和

网络系统漏洞，消除其再次受到攻击的可能性，即消除今后的安全隐患，

对系统的安全进行重新评估与安全加固。

4.入侵分析，调查取证

d) 检查日志通过检查系统、防火墙、路由器等系统安全日志，为确

认攻击来源和攻击手段以及调查取证提供必要的条件。

e) 入侵者追踪通过所能得到的信息追踪入侵者，并记录其尽可能

多的信息，为调查取证提供条件。

f) 法律保护通过和国家安全部门的紧密配合，为客户提供法律保

证。

5.消除被破坏的和非法的文件，恢复正常操作

g) 主机恢复在客户网络或主机受到攻击并且出现网页遭替换或系

统丢失等恶性事件后，确认已经消除安全隐患，可在客户授权下根据客

户提供的备份系统，在客户网络管理人员的协助下，对应用系统或操作

系统进行恢复，保证系统资源在第一时间内的可使用性。

h) 网络恢复如客户的路由器等网络设备出现问题，在确定是受到

攻击所造成的情况下，确认已消除安全隐患，在经过客户授权并在客户

网络工程师的协调下，对网络设备进行恢复，保证客户网络资源在第一

时间内的可使用性。

（5） 应急响应工作流程

（6） 应急响应服务在线支持

对于服务，要求提供 7X24小时的应急响应支持。

十.6.5.6. 安全管理服务A.安全管理策略工作目标

结合《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准

则》以及《信息系统安全等级保护基本要求》等文件精神，建立完善的安全管理

策略，主要针对人员管理，机房管理，终端机管理，文档管理设备和运行等安

全管理机制进行审核和诊断修订。B.安全管理策略工作内容

进行信息安全决策和管理提供依据。管理制度是否健全是做好网络安全的有

力保障，包括机房管理制度、文档设备管理制度、管理人员培训制度、系统使用

管理制度等。对各个网络系统的各项管理制度进行细致的评估，并对各项评估的结果进

行详细地分析，找出原因。说明存在哪些漏洞，比如由于公司网络信息系统刚刚

建立，各项管理规章制度均没有健全，为今后的管理留下了隐患，网络系统的

管理上存在许多漏洞。经过安全管理评估服务后，我们根据系统网络的实际业务情况，与客户协

商讨论，建立完善的安全管理策略，主要针对人员管理，机房管理，终端机管

理，文档管理设备和运行等安全管理机制进行稽核和诊断修订。各种安全保障管

理制度包括： 《机房参观访问制度》

《机房设施巡视制度》

《机房施工管理制度》

《运营值班管理制度》

《运营安全管理制度》

《运营故障处理制度》

《紧急事故处理制度》

《技术文档管理制度》

《其他安全管理制度》

十.7. 安全服务

十.7.1. 安全运维服务流程

运维服务流程

用户报障管理五统一原则

• 统一受理

• 统一分派

• 统一协调

• 统一跟进

• 统一评估

流程体系建立依据

• 遵循 ITIL、ITSS 标准建立

• 结合客户现状调整

• 结合项目实施经验

• 利用 IT管理软件平台落地实施

十.7.2. 总包（管家）模式运维服务

客户关注点

1、服务商数量多，涉及面广；

2、对项目经理及团队，综合管理能力要求高。

3、服务商需要站在甲方高度思考。

服务方案

人员方面：

根据客户需求，选好项目经理及骨干团队，具备较强有效沟通能力及基

本专业性要求。

管理方面：

1、按照客户及项目需求，建立管理体系。通过制度、流程规范管理。让客

户能少花精力在日常管理中。

2、项目服务商管理，通过制度、规范、考核及良好的沟通，确保各块服

务目标达成

技术方面：

协助客户整理优化 ITSM管理流程，优化监控自动化手段管理软件来协

助管理方面相关工作。

十.7.3. 驻场模式运维服务

客户关注点

1、服务质量保障；

2、团队成员能力及稳定；

3、维修效率保障（尤指 VIP客户）

服务方案

人员方面：

根据项目岗位需求，适人适岗，提供技术和管理发展通道

管理方面：

1、关注项目计划及目标，通过服务过程管理系统作为流程规范总控，结

合围绕项目成名周期的管理手段，保障服务质量；通过技术及规范培训，提升

一线人员能力水平；

2、采购供应商就近、优选、备份原则，重点项目给予备件及储备金支持。

技术方面：

1、加强二/三线人员支撑和管理能力，主动贴近客户，建立沟通信任。

2、协助客户整理优化 ITSM管理流程，优化监控自动化手段管理软件来

协助管理方面相关工作。

十.7.4. 非驻场模式服务

客户关注点

1、服务响应及问题解决及时；

2、重要设备减少故障发生

服务方案

人员方面：

配备覆盖涉及各技术门类服务需求的现场服务团队，详细权限及职责的

梳理及划分，整合客户技术团队的技术资源

管理方面：

1、服务台做到及时响应，工程师通过上门、远程等技术手段及时解决客

户问题。

2、根据客户情况，重要设备可采取定期巡检的方式。

十一. 认证培训需求

序号 认证培训内容 机构要求

1 为院方指定的 6位人员每人提供 1次信息安全保 中国信息安全测评中心等国

障人员注册信息安全员（CISM）认证培训。包括

了培训、考核、评估和认定。

家批准的信息安全专业认证

与培训机构

十二. 驻场人员要求

在服务期内，维护单位须派出不少于 2 人的驻场人员，提供 5×8 小时常驻用户现场进行日常工作，非工作时间或节假日提供热线或电话支持服务，如甲方有需要，须提供现场服务，并在 2小时内到达现场。驻场服务期自合同签订日起三年，使之达到快速响应、规范操作、保质保量、专业准确的能力要求；并定期汇总编制报告。人员需满足以下要求：

★投标时要求给出驻场人员名单及证明材料人员 专业经验能力 专业技术能力 学习能力及学历 人数技术专家或高级 五年以上专业工

作经验至少五个同类项目实施及管理经验

相 当 高级工 程师认证；高级项目经理认证；持有 CCNA 证书；持有 ITIL 证书

本科以上一门以 上专业 外语能力

1

中级网 关 或软件硬件工程师

三年以上专业工作经验至少三个同类项目实施及管理经验

相当工程师认证；持有 HCNP 证；持有 ITIL 证书

本科以上 1

成立不少于 6 人的二线专家技术支持小组，至少包括以下技术人员:

投标时要求给出专家技术人员名单及证明材料IBM小型机认证工程师，熟悉各类小型机和服务器、操作系统及存储系统；ORACLE 数据库OCM 认证工程师，熟悉 Oracle 数据库及 DB2 数据库系

统；CISP 认证工程师，熟悉安全管理；CCIE 网络及安全认证工程师，熟悉网络硬件的管理；ITSS架构师，熟练应用 ITSS 标准建设运维体系；网络规划设计师，熟悉网络需求分析、规划设计、网络评估测试、故障分析

与处理。要求以上技术人员有相应的专业资质并有丰富的实践经验。另外，须指定负

责人，负责与采购人的联络沟通。

十三. 网络系统

网络系统满足广州市妇女儿童医疗中心网络建设要求。

十四. 项目信息资源及资源库要求

信息资源共享建设项目建设系统可向医院信息数据中心提供本系统所有数据。

十五. 项目要求

★协助医院核心及重要业务系统通过国家信息安全登记保护三级测评。满足

等保 2.0要求。★投标人必须在投标文件中详细阐述不限于安全等级定级分析、安全风险分

析、安全技术方案等。★协助医院通过国家医院电子病例应用分级七级评审中基础设施、数据容灾

与信息安全部分内容。★安全体系和运维体系建立须形成相关考核制度，要求相关考核制度有效

执行六个月并得到用户确认。★本项目服务期间（三年），终端准入与桌面管理系统的客户端许可数量

以用户实际需求为准，增加数量在 50%以内，合同金额不做调整。项目其他要求★软硬件设备均不得设置有效期。★认证培训需求★对于软件存在的安全漏洞，公司有义务给予提醒和修复，即使不在维护

期。★因软硬件质量及合同维护责任造成的安全和连续性问题，造成院方损失

的，有关责任公司必须具有赔偿义务，赔偿标准应以具体情况约定。

十六. 系统操作培训

对用户进行培训是本项目的一项重要组成部分，也是保证用户正确使用系

统和用好系统的基本要求。参加培训的人员包括： 系统维护人员：重点是掌握系统架构、系统的部署、运行监控、配置维护、安全与备份方法等 系统管理员：重点掌握权限分配，业务流程组织，系统配置，日志追踪。 使用操作人员：重点是掌握系统的业务理念和基本操作使用环节。

第四节 项目运维服务及培训需求

系统建成通过用户验收后，进入责任维护期。中标供应商应提供完善、专业、高质量的运维服务。一、运维服务范围本系统的运维服务范围包括：中标供应商新建的系统；中标供应商对系统的运维服务包括对构成系统的硬件设备、第三方软件、应用软件等的

维护、维修，更换故障设备和产品升级。投标人应与设备供应商签订合理的运维服务保障协议，保证提供充足的备品备件资源。二、运维服务内容中标供应商应提供的运维服务内容包括日常运作、服务咨询、巡检保养、主动监测、故

障修复、特殊保障和升级优化。（1）项目提供三年责任维护期，责任维护期自初验通过之日起计算三年整。在责任

维护期内，中标供应商负责为用户提供最优质的本地化售后服务；（2）中标供应商负责软件系统运行的稳定性，责任维护期内，中标供应商应无条件

提供软件的全局级或模块级的升级版本；（3）责任维护期内，对于用户所提出的，在合理范围内的功能修改或增加要求，中

标供应商应无条件给予满足，并移交相应源代码；（4）所供开发的软件在使用中出现的问题，中标供应商在工作日内 8：30—18：

00 期间为 2小时，其余期间为 4小时内到现场解决排除；（5）保修服务方式均为中标供应商上门免费保修，即中标供应商派员到用户使用现

场维护。

广州公共资源交易中心招标文件 项目编号： CZ2019-

第五节 培训要求说明

投标人至少必须满足以下要求的培训服务：（1）投标人必须在投标书中对随机系统、软件产品、软件系统集成相关技术等提出全

面的培训计划（包括培训对象的类型、各用户类型的培训课时、培训次数及人数等）和课程

内容（包括但不限于系统在服务器的部署、软件安装和试用等）安排，并在合同签订后征

得业主的同意后实施。（2）培训地点在项目业主方所在地进行，具体地点在培训前由项目业主方指定。（3）投标人必须提供高水平的培训。培训应包括硬件、应用软件等。（4）所有的培训教员必须用中文授课。（5）投标人必须为所有被培训人员提供培训用文字资料和讲义等相关用品，所有的

资料必须是中文书写。培训费用：投标人应将所有培训费用（含培训教材费）及各项支出列入报价明细表，所有

的费用必须分别报价并计入投标总价，如果没有列出将视为免费。

第六节 项目退出机制

在建设期和责任维护期间，若发生以下情况，可以合同终止：

广州公共资源交易中心编制第 2 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

中标人因上市、业务分拆、被收购、与第三方合并等原因，使得其本身或其合同权利义

务转让承受者的履约能力存在下降的可能性，或者根据有关政策规定中标人被禁止承担本

项目，采购人为了规避风险，可提出合同终止要求，并要求中标人支付合同总价的 20%

作为违约金，且没收银行履约保函中的担保金；合同到期或终止后采购人和中标人双方应承担的责任和义务合同到期或者终止后，双方应设定 2 个月的交接期。在交接期间，中标人应继续为采

购人提供服务，并配合采购人做好交接工作，包括：对采购人有关系统的业务、技术和服务的咨询及时回复；按采购人的书面指示将属于采购人所有的设备、设施和信息移交给采购人；将系统中的所有声音、图像和数据信息按照采购人的规定进行备份，或者以电子方式

转移到采购人的系统中。将双方共同所有的文件资料和软件（纸质和电子介质）移交给采购人。中标人在交接

期应继续提供的服务和配合工作，且不得收取任何费用。如果交接期未能完成交接，由采

购人与中标人协商解决。

广州公共资源交易中心编制第 3 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

第七节 付款方式说明

在资金到位情况下，按照以下项目进度条件进行支付：

(一)预付款：本合同签订后，乙方向甲方提交支付申请，甲方对支付申请进行审核确认后，在15

个工作日内向，由甲方向乙方支付合同总额的30%作为预付款，即人民币XXXX万元整（¥XXXX.00元）；申请付款时乙方应提供如下凭证：1、乙方向甲方提出的付款申请及监理方的工程款支付证书；2、乙方提交的商业发票；3、中标通知书复印件。(二)、初验付款：初验通过后，乙方向甲方提交支付申请，甲方对乙方支付申请进行审核确认后，15

个工作日内由甲方向乙方支付合同总额50%的初验款，即人民币XXXX整（¥XXXX.00

元）；申请付款时乙方应提供如下凭证：1、乙方向甲方提出的付款申请及监理方的工程款支付证书；2、乙方提交的商业发票；3、甲方签发的“初步验收合格证书”副本及合同复印件各一份。(三)、终验付款：

广州公共资源交易中心编制第 4 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

终验通过后，乙方应向甲方提交支付申请，甲方对乙方支付申请进行审核确认后，在15个工作日内由甲方向乙方支付合同总额10%的终验款，即人民币XXXX整（¥XXXX.00

元）；申请付款时乙方应提供如下凭证：1、付款申请及监理方的工程款支付证书；2、商业发票；3、甲方签发的“验收报告”副本及合同复印件各一份。(四)、质保款支付：通过了终验后进入质保器，质保期满后，乙方应向甲方提交支付申请，甲方对支付申

请进行审核确认后，在10个工作日由甲方向乙方支付合同总额10%的质保款，即人民币XXXX整（¥XXXX.00元）；申请付款时乙方应提供如下凭证：1、乙方向甲方提出的付款申请及监理方的工程款支付证书；2、合同复印件；3、乙方提交的商业发票。

广州公共资源交易中心编制第 5 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

第三章 合同格式

附：广州市政府采购合同甲方（采购人）：乙方（中标供应商）：根据《中华人民共和国合同法》、《中华人民共和国政府采购法》及广州公共资源交易中

心“广州市妇女儿童医疗中心完善信息安全体系建设项目”（项目编号：CZ2019-）招标

文件的要求和招标结果，经甲乙双方协商一致，签订本合同。双方共同遵守如下条款：

一、 总则（一）甲乙双方必须遵守国家颁布的合同法，并履行应负的全部责任。（二）下列文件均为本合同不可分割部分：1.中标通知书；2.广州公共资源交易中心招标编号CZ2019-招标文件；3.乙方中标的投标文件。（三）乙方保证按照合同条款的规定，按时向甲方提供合格的设备和服务。（四）甲方保证按照合同条款规定的时间和方式支付乙方货款。

广州公共资源交易中心编制第 6 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

二、 设备供货要求和清单（一）设备供货要求：乙方必须在本合同签订后提供所供设备的供货证明及相关文

件（如厂商或其授权的经销商出具的供货确认函、与厂商或其授权的经销商签订的订购合

同等）原件（含设备清单），否则不予验收，并不予支付本合同款项。（二）供货设备清单：三、 设备到货的时间和地点（一）设备全部到货时间为 年 月 日。（二）交货地点：广州市 四、 软件开发要求

（一） 由乙方根据甲方需求框架充分调查并与甲方协商后于本合同生效后____个工

作日内提出《项目需求说明书》。经双方签字确认后实施，《项目需求说明书》将作为本合同

执行不可分割的部分。（二） 若需求发生变更，变更后的需求同样经双方签字确认后，以需求变更补充文

件的形式，同样作为本合同执行不可分割的部分。（三） 《项目需求说明书》经双方签字确认后的____个工作日完成系统的开发。（四） 乙方开发的系统应具有先进、实用、安全、可靠、可扩展以及界面美观、大方的

广州公共资源交易中心编制第 7 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

特点。（五） 为后期工程预留接口，并为后期工程的顺利开展作技术准备，包括以下：在

软件系统设计、数据库设计方面具有灵活性，方便以后能够扩充新的系统进来。（六） 系统设计要做到：代码标准化、模块标准化、文档标准化、测试标准化以及信

息标准化。（七） 提交的成果：（八） 乙方在规定时间内按照招标文件的要求完成系统的设计、研发、安装实施、测

试、调试、验收等工作，并同时以光盘形式向甲方提供计算机软件，即<#项目名称#>应

用软件全套软件，即系统的可执行程序。（九） 提交的技术文档：1. 用户调查与需求分析报告2. 需求规格说明书3. 系统概要设计方案4. 系统详细设计说明书5. 系统模块设计说明书6. 数据库设计说明（包含编码方案）

广州公共资源交易中心编制第 8 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

7. 系统维护手册8. 用户操作手册9. 测试报告10. 所有资料包括完备的系统设计文档、功能模块说明、程序代码、使用手册等。五、 培训服务乙方为甲方在甲方所在地提供必要的培训服务，包括：

（一） 系统开发期间，乙方为甲方培训系统开发、系统维护人员，使甲方的技术人

员能够自己维护和扩展系统的功能。乙方提供必要的师资、教材、实践环境和场地。（二） 乙方将对甲方的系统用户进行培训，培训费用已包含在合同总价中，确保系

统用户能够正确熟练地使用系统。培训内容为乙方开发的系统等。六、 质量与检验

（一） 乙方须提供全新的、完全符合国家的有关质量标准的设备。（二） 设备的到货验收包括：数量、外观质量、随机备件备品、装箱单、随机资料(中

文)及设备包装完整无破损。（三） 每台设备上均应钉有铭牌（内容包括：制造商、设备名称、型号规格、出厂日

期等）并附有产品质量检验合格标志。

广州公共资源交易中心编制第 9 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

（四） 设备制造质量出现问题，乙方应负责三包（包修、包换、包退），费用由乙方

负责。（五） 货到现场后，由于甲方保管不当造成的质量问题，乙方亦应负责修理，但费

用由甲方负担。

七、 设备安装调试与售后服务（一） 系统安装调试与验收1. 安装调试在设备到货后 3 个工作日内开始进行。2. 所有设备均须由乙方送货上门并安装调试。甲方不再支付任何费用。3. 设备调试验收的标准如下：（二） 保修期内的售后服务

1.所有设备均须由乙方提供 年保修期内的整机保修服务，保修期自甲乙双方代表在

设备验收单上签字之日起计算。保修费用计入本合同总价。2.保修期内，乙方负责对其提供的设备整机进行维修，并且保证每季度上门检修一次，

不再向甲方收取费用。3.设备故障报修的响应时间：每天 8:00～18:00 期间为 小时。其余期间为 小时。4.如果设备故障在检修 小时后仍无法排除，乙方应在 小时内提供不低于故障设备

广州公共资源交易中心编制第 10 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

规格型号档次的备用设备供甲方使用，直至故障设备修复。5.所有设备保修服务方式均为 上门保修，即由 派员到甲方设备使用现场维修。由此

产生的一切费用均由乙方承担。6.乙方保修期内的维修、维护内容和范围（产品、技术、模块、部件）如下：（三） 保修期后的设备维护服务保证

1.保修期内乙方提供的收费维修、维护内容和服务方式、范围（产品、技术、模块、部

件）如下：2.收费维修的费用为：八、 合同总价与付款方式（一） 本合同总价为人民币（大写） ，即￥ 。（二） 付款方式为：

在财政资金到位情况下，按照以下项目进度条件进行支付：（1）合同签订后，支付合同总额的 30%；（2）中标单位向采购单位提供地市级以上银行出具的、无条件的、不可撤销的履约保证金

保函作为专家评审保函（合同总额的 10%，有效期至项目专家评审）；（3）中标单位向采购单位展示原型测试，得到采购单位认可后，采购单位向中标单位支

广州公共资源交易中心编制第 11 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

付合同总额的 10%；（4）中标单位提交的项目需求规格说明书、概要设计说明书、详细设计说明书通过专家评

审后，由中标单位书面申请，10 个工作日内，采购单位向中标单位退回专家评审保函；（5）当项目采购设备到货后，将支付本系统总体金额的 25%；（6）项目通过初验，支付合同总额的 20%；（7）当项目试运行三个月，进行项目终验，终验通过后，将支付本系统最高限价 10%；（8）保修期后，如双方无异议，支付合同总额的 5%；（9）保修期为系统通过终验之日起三年。

（以上每期支付比例，按照财政预算实际情况，由采购人和中标供应商协商调整后，

签订合同。）九、 违约责任

（一） 甲方无正当理由拒收设备、拒付设备款的，甲方向乙方偿付设备款总值的百

分之五违约金。（二） 甲方逾期支付设备款的，每逾期一天，甲方向乙方偿付欠款总额万分之五

的滞纳金，累计滞纳金总额不超过欠款总额的百分之五。（三） 乙方所交的设备未提交供货证明相关文件，或所交的设备品种、型号、规格

广州公共资源交易中心编制第 12 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

不符合合同规定的，甲方有权拒收设备，乙方向甲方支付设备款总值百分之五的违约金。（四） 乙方不能交付设备的，乙方向甲方支付设备款总值百分之五的违约金。并允

许甲方有权不退还乙方预交的保证金。（五） 乙方逾期交付设备的，每逾期一天， 乙方向甲方偿付逾期交货部分设备款

总额万分之五的滞纳金，累计滞纳金总额不超过逾期交货部分设备款总额的百分之五。十、 争议及仲裁

（一） 因设备的质量问题发生争议，由广州市质量技术监督局或其指定的质量鉴定

单位进行质量鉴定。（二） 因本合同引起的争议，由双方协商或由政府采购监管部门调解解决，协商或

调解不成时按以下第 种方式解决（请选择）：1.广州仲裁委员会仲裁；2.向甲方所在地人民法院提起诉讼。

十一、 其他（一） 本合同一式四份，甲乙双方、政府采购监管部门、广州公共资源交易中心各执

一份。

广州公共资源交易中心编制第 13 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

（二） 本合同自甲乙双方签字盖章之日起生效。

甲方： （盖章） 乙方： （盖章）签 约 代

表：

签 约 代

表：地 址： 地 址：电 话： 电 话：传 真： 传 真：签 约 日

期：

20 年 月 日 签 约 日

期：

20 年 月

广州公共资源交易中心编制第 14 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

第四章 开标、评标和定标一、 开标

（一） 交易中心按招标公告规定的时间进行开标，投标人在投标截止时间后一个小

时内进行投标文件解密。（二） 解密时间截止后，交易中心电子开标系统自动提取所有投标文件，获取投标

保证金交纳情况（如有），投标文件提交及解密情况。 （三） 电子开标系统自动记录投标保证金交纳情况（如有），投标文件提交及解密

情况。因投标人原因造成投标文件未提交成功的、未解密的、无法导入电子开标系统的，投

标保证金未交纳的（需交纳投标保证金项目），作无效投标处理。（四） 交易中心将投标人解密后的投标人名称、投标价格、提交情况、投标保证金交纳

情况（如有）和解密情况进行公布，并通过交易中心数字交易平台会员专区将《开标记录

表》公开发布。所有投标人可在系统查看开标情况。

二、 评标委员会（一） 本次招标依法组建评标委员会。评标委员会从政府采购专家库随机抽取的专家

组成，如采购人不派代表评审，则评委会全部由专家组成。评委会将本着公平、公正、科学、 广州公共资源交易中心编制第 15 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

择优的原则，严格按照法律法规和招标文件设定的程序和规则推荐评审结果，任何单位和

个人不得非法干预或者影响评标过程和结果。（二） 评审专家有下列情形之一的，受到邀请应主动提出回避，采购当事人也可以

要求该评审专家回避：1． 本人、配偶或直系亲属 3年内曾在参加该采购项目的供应商中任职（包括一

般工作）或担任顾问，或与参加该采购项目的供应商发生过法律纠纷；2． 任职单位与采购人或参加该采购项目供应商存在行政隶属关系；3． 曾经参加过该采购项目的进口产品或采购文件、采购需求、采购方式的论证

和咨询服务工作；4． 是参加该采购项目供应商的上级主管部门、控股或参股单位的工作人员，或

与该供应商存在其他经济利益关系；5． 评审委员会成员之间具有配偶、近亲属关系；6． 同一单位的评审专家在同一项目评审委员会成员中超过一名；7． 法律、法规、规章规定应当回避以及其他可能影响公正评审的。（三） 评标委员会判断投标文件的有效性、合格性和响应情况，仅依据投标人所提交

一切文件的真实表述，不受与本项目无直接关联的外部信息、传言而影响自身的专业判断。

广州公共资源交易中心编制第 16 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

（四） 评委依法独立评审，并对评审意见承担个人责任。评委对需要共同认定的事项

存在争议的，按照少数服从多数的原则做出结论。持不同意见的评委应当在评审报告上签

署不同意见并说明理由，否则视为同意。

三、 评标方法（一）

本次评标采用综合评分法。评标以招标文件规定的条件为依据。评分比重构成如下：

评分项目 技术评分 商务评分 价格评分分值 50 分 30 分 20 分

（二） 投标文件差异修正原则投标文件出现差异时，修正原则及优先修正顺序如下：

1．开标内容与投标文件对应内容不一致的，均以开标内容为准；2．开标一览表与分项明细表或其它相关报价表报价不一致的，均以开标一览表为准；3．开标一览表中各分项报价之和与投标总价不一致的，以投标单价修正总价；4．分项报价表中的单价与对应的合计价不相符的，以单价为准，修正对应的该项合

计价；

广州公共资源交易中心编制第 17 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

5．大写金额和小写金额不一致的，以大写金额为准；6．单价金额小数点有明显错位的，应以总价为准，并修改单价；7．投标文件描述内容与原始材料引述内容不一致的，以原始材料内容为准；8．对不同文字文本投标文件的解释发生异议的，以中文文本为准；9．对出现以上情况或因明显笔误而需修正任何内容时，均以评委会审定通过方为有

效；10．对投标标的的关键、主要内容，投标人报价漏项的，作非实质性响应投标处理；11．评标委员会认定为表述不清晰或无法确定的报价均不予修正。（三） 投标文件的澄清1. 对投标文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容，

评标委员会可以书面形式要求投标人作出必要的澄清、说明或者纠正。2. 投标人的澄清、说明或者补正应当采用书面形式，由其授权的代表签字，并不得超

出投标文件的范围或者改变投标文件的实质性内容。3. 评委均应当阅读供应商的澄清，但应独立参考澄清对投标文件进行评审，整个澄清

的过程不得存在排斥潜在供应商的现象。4. 如果投标文件实质上不响应招标文件的各项要求，评标委员会将按照招标文件要求

广州公共资源交易中心编制第 18 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

予以拒绝，不接受供应商通过修改或撤销其不符合要求的差异或保留，使之成为具有响应

性的投标。5. 除上述规定的情形之外，评标委员会在评审过程中，不得接收来自评审现场以外的

任何形式的文件资料。

四、 评标程序（一） 投标文件初审1. 评标委员会对各投标文件进行初审，初审包括开标情况核定、资格性审查和符合性

审查，出现不符合下列情形之一时，作无效投标处理。《初审表》如下：

审查类别 审查内容

开标情况核定 满足以下所有要求：投标文件提交成功、解密成功、能正常导入电子开标系统，投标保证金完成交纳（如有）

资格性审查 符合《政府采购法》第二十二条所规定的条件；分公司投标的，必须由具有法人资格的总公司授权。根据以下信息进行评审：1.《投标人资格声明函》及其附件；2. 评审时 “信用中国”网站（www.creditchina.gov.cn）查询的信用记录情况（对列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商，应当拒绝其参与政府采购活动，如查询结果显示“没查到您要的信息”，视为没

广州公共资源交易中心编制第 19 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

有上述三类不良信用记录 。联合体成员存在不良信用记录的，视同联合体存在不良信用记录。）

符合性审查

投标报价确定且不高于最高限价；关键、主要内容无报价漏项；若报价低于其成本，投标人应能做出合理说明。有盖章、签署要求的带★格式文件已按要求盖章、签署投标文件完全满足招标文件中带★号的条款和指标，无重大偏离(审查《实质性响应条款一览表》)

未发现属无效投标的其他情形（见表末说明）

说明：以下为属无效投标的其他情形。(1) 除联合体外，法定代表人或单位负责人为同一个人或者存在直接控股、管理关系的

不同供应商，同时参加本项目或同一子项目投标的；(2) 评标期间，投标人没有按评标委员会的要求提交法定代表人或其委托代理人签字

的澄清、说明、补正或改变了投标文件的实质性内容的；(3) 投标文件提供虚假材料的；(4) 投标人以他人的名义投标、串通投标、以行贿手段谋取中标或者以其他弄虚作假方

式投标的；(5) 投标人对采购人、交易中心、评标委员会及其工作人员施加影响，有碍招标公平、

公正的；(6) 按有关法律、法规、规章规定属于无效投标的。2. 评标委员会以“信用中国”网站（www.creditchina.gov.cn）为查询渠道，对各

广州公共资源交易中心编制第 20 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

供应商信用记录进行甄别，对列入失信被执行人、重大税收违法案件当事人名单、政府采购

严重违法失信行为记录名单的供应商，应当拒绝其参与政府采购活动。联合体成员存在不

良信用记录的，视同联合体存在不良信用记录。同时对信用信息查询记录和证据截图存档。3. 评标委员会认为，投标人的报价明显不合理或者明显低于其他投标报价，有可能影

响商品质量和不能诚信履约的，应当要求该投标人作出书面说明并提供相关证明材料。投

标人不能合理说明或者不能提供相关证明材料的，由评标委员会认定该投标人以低于成本

报价竞标，投标无效，不通过初审。4. 对初步被认为初审不合格或无效投标的，由评标委员会拟定书面理由现场电话告知

该供应商（录音电话号码为：18520453035）。 5. 不通过初审或投标无效的，不进入技术、商务和价格的评审程序。

（二） 技术评定1. 由评委对所有有效投标文件的技术和服务响应方案进行审核和分析，填写《技术评

分表》，如下：序号 评审内容 评分权重 评分档次及依据

1 防火墙响应情况 4

所投产品技术参数全部满足用户需求书中技术参数，得 4分；每出现一处负偏离，扣2 分，扣完为止。投标人必须对产品技术参数一一响应，标注偏离情况。

广州公共资源交易中心编制第 21 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

2 安全 网 关响应情况 6

所投产品技术参数全部满足用户需求书中技术参数，得 6分；每出现一处负偏离，扣3 分，扣完为止。投标人必须对产品技术参数一一响应，标注偏离情况。

3 上 网 行 为管理响应情况 6

所投产品技术参数全部满足用户需求书中技术参数，得 6分；每出现一处负偏离，扣3 分，扣完为止。投标人必须对产品技术参数一一响应，标注偏离情况。

4终端准入与桌面管理 系统响应情况

8

所投产品技术参数全部满足用户需求书中技术参数，得 8分；每出现一处负偏离，扣3 分，扣完为止。投标人必须对产品技术参数一一响应，标注偏离情况。

5内 网态势感知系 统响应情况

6

所投产品技术参数全部满足用户需求书中技术参数，得 6分；每出现一处负偏离，扣3 分，扣完为止。投标人必须对产品技术参数一一响应，标注偏离情况。

6信 息安全管理 系 统响应情况

8

所投产品技术参数全部满足用户需求书中技术参数，得 8分；每出现一处负偏离，扣2 分，扣完为止。投标人必须对产品技术参数一一响应，标注偏离情况。

7其它产品及参 数响应 情况

5 完全满足用户需求书中除上述 6 个产品外的一般技术参数，得 5 分；对比次之得 3 分，最差得 1 分。

8 项目实施方案比较 4

项目整体建设方案，项目服务质量保证方案（服务方式、流程等），项目实施方案，对具体方案设计进行比较，如：方案的前瞻性、符合性、合理性、可用性、可靠性、可扩展性和全面性等比较。方案完善具体详尽，前瞻性、符合性、合理性、可用性、可靠性、可扩展性和全面性综合评价优得 4 分，次之得 3-2 分，一般得 2-1 分，差或无提供得 0 分。

9投标人提供售后服务的内容比较

3

由评委对各投标人提供的售后服务内容(包括保修期限、零配件供应、紧急情况响应时间、维护保养服务承诺等)进行横向比较：售后服务方案完善具体详尽，提供免费系统技术培训，紧急故障响应时间 4小时内、维修技术力量配置及零配件供应等售后服务承诺方案对比最优，得 3 分、其次得 2分，一般得 1 分, 无提供方案不得分

2. 将所有评委所评各项的得分进行算术平均（按四舍五入原则精确到小数点后三位），

再汇总得出该投标人的技术评分（按四舍五入原则精确到小数点后两位）。

广州公共资源交易中心编制第 22 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

（三） 商务评定 1. 由评委对所有有效投标文件的商务条件进行审核和评价，填写《商务评分表》，如下

序号 评审内容 评分细则 分值

1 投 标 人 信誉情况

1、连续 10年获得省级或以上权威机构颁发的诚信示范企业和守合同重信用企业荣誉（同时具备得 2 分，部份满足得 1 分；）2、在广东省有稳定的售后服务团队，技术服务团队不少于50 人。（提供机构的营业执照及售后服务团队人员社保证明作为证明文件，不接受外派的第三方委托售后服务）；（完全满足得 0.5 分,不满足不得分）3、投标人投标人获得与科技相关的技术奖励证书（如：科技创新小巨人企业、科学技术奖励认证）每具有一个得 1分，满分 2 分；”）4、投标人获得省级或以上权威机构颁发的自主创新示范企业；（完全满足得 1 分,不满足不得分）。（提供有效的证书复印件加盖公章，原件备查）

5.5

2投 标 人 综合实力 情况

1、投标人同时具有 ISO9001 质量管理体系认证（管理体系适用于：计算机系统集成及服务）和 ISO/IEC 20000 IT 服务管理体系认证（管理体系适用于：Oracle 数据库维护，硬件、操作系统维护），完全满足得 3 分，部份满足得 1 分；2、投标人同时具有 ISO/IEC 27001 信息安全管理体系认证（管理体系适用于：计算机信息系统集成）和高新技术企业认证，完全满足得 3 分，部份满足得 1 分；3、投标人同时具有有效的信息系统集成及服务资质证书叁级或以上认证和省级或以上权威机构颁发的计算机安全服务等级资质贰级或以上认证备案证，完全满足得 2 分，部份满足得 0.5 分；4、投标人同时具有中国信息安全认证中心 ISCCC 具有信息安全服务证书-信息系统安全集成二级或以上、安全运维服务二级或以上证书，完全满足得 1 分，部份满足得 0.5分；（提供有效的证书复印件加盖公章，原件备查）

9

3 投 标 人 的项 目经理资 质 、管理与技术

1、技术团队及项目负责人已获得中国电子信息行业协会会认证的高级项目经理 3 人或以上、项目经理 2 人或以上；完全满足得 2 分；部分满足得 1 分，不满足不得分。2、本 项目 服务 工程师通过 Oracle 数据库原厂家认证

7.5

广州公共资源交易中心编制第 23 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

服 务团队能力

，OCM 4 人或以上，容灾实施专家 1 人或以上，OCP 10人或以上；完全满足得 2 分；部分满足得 0.5 分 3、技术管理团队负责人有数据库原厂任职经验，提供曾任职的认证文件，完全满足得 2 分；不满足不得分； 4.技术团队通过信息安全保障人员（安全集成二级或以上）认证证书不少于 4 人；完全满足得 0.5 分；不满足不得分；5、工程师获得中国信息安全测评中心注册信息安全专业人员认证，3 个或以上得 1 分，否则不得分；以上认证需提供有效的证书复印件加盖公章，工程师连续不少于 6 个月在投标人单位的社保参保证明，同一个人不同资质可重复计分。

4 类似项 目经验案例

1、投标人自 2014年 1月 1 日以来广东省内医疗行业系统集成建设（项目实施包含服务器或存储或网络安全设备等集成实施）项目，单个项目规模不低于 500万元，每个 1分，最高 2 分（提供有效的中标通知书及合同复印件加盖公章，原件备查），同一客户不同项目不重复计算得分2、投标人自 2014年 1月 1 日以来有实施过系统集成建设（项目实施包含服务器或存储或网络安全设备等集成实施）项目的经验，单个项目规模不低于 600万元，每个 0.5分，最高 1 分（提供有效的中标通知书或合同复印件加盖公章，原件备查），同一客户不同项目不重复计算得分2、投标人自 2014年 1月 1 日以来广东省内医疗行业主要核心数据库系统运维服务项目经验，每提供个得 0.5 分，最高得 5 分（提供有效的合同复印件加盖公章，原件备查），同一客户不同项目不重复计算得分。

8

说明：上表所列为投标人的商务条件。请投标人严格按照要求提交相关证明材料，否则有

可能影响评审结果。2. 将所有评委所评各项的得分进行算术平均（按四舍五入原则精确到小数点后三位），

再汇总得出该投标人的商务评分（按四舍五入原则精确到小数点后两位）。（四） 价格评审1．价格核准：评委对有效投标人的详细报价进行复核，看其是否有计算错误或供货

广州公共资源交易中心编制第 24 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

范围上的错误，修正错误的原则参见本章的第三条第（二）点。2．评委对于节能、环保产品或小型、微型企业的价格扣除，依据投标人填写的《产品

适用政府采购政策情况表》（如有）。采用节能产品的，对报价中的节能产品金额给予价格扣除，扣除方法如下：节能产品

金额占项目总金额的比重达到 10％－25％的（含 10%，不含 25%，下同），扣

5％；达到 25－50％的，扣 10％；达到 50％－75％的，扣 15％；达到 75％以上

的扣 20％。（说明：属于强制采购节能产品的，不作价格扣除。）采用环境标志产品的，对报价中的环境标志产品金额给予价格扣除，扣除方法如下：

环境标志产品金额占项目总金额的比重达到 10％－25％的（含 10%，不含 25%，

下同），扣 1％；达到 25－50％的，扣 2％；达到 50％－75％的，扣 3％；达到

75％以上的扣 4％。

对于非专门面向中小微企业采购的项目，依照《政府采购促进中小企业发展暂行办法》

的规定，凡符合要求的有效投标人，按照以下比例给予相应的价格扣除：序号 情形 价格扣除比例 计算公式1

非联合体供应商（供应商须为小型、微型企

业）对小型和微型企业产品的价格扣除 6%

评标价＝总投标报价—小型和微型企业产品的价格×6%

2 联合体各方均为小型、微型企业

对小型和微型企业产品的价格扣除 6%

广州公共资源交易中心编制第 25 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

（不再享受序号 3 的价格折扣）

3

联合体一方为小型、微型企业且小型、微型企业协议合同金额占联合体协议合同

总金额 30%以上的对联合体总金额扣除

2 % 评标价＝总投标报价×(1- 2 %)

注： （1）中型企业不享受以上优惠； （2）小型、微型企业提供中型企业制造的货物的，视同为中型企业。

（3）小型和微型企业产品包括货物及其提供的服务与工程，无法认定小型和微型企业的，不享受价格扣除。

（4）监狱企业视同小微企业，监狱企业投标的提供由省级以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的属于监狱企业的证明文件，不再提供《中小微企业声明函》。

价格评分：将评委会校核后的各投标人的投标总价定义为评标价格。投标报价在本招

标文件规定的有效范围内为有效报价，当有效报价大于或等于 5家时，取去掉 1 个最高和

1 个最低报价后的算术平均值（当有效报价小于 5家时取所有有效报价计算平均值），投

标价与算术平均值相同的,得 20 分；每高 2％扣 1 分，每低 2%扣 1 分,按比例扣分，最多

扣 20 分。 评标价仅用于计算价格评分，中标金额以实际投标价为准。

（五） 中标供应商推荐   1. 评委会按上述排列向采购人推荐第一名为中标供应商，第二名为候补中标供应商。第二名报价高于第一名报价 20％（含）以上的，不推荐候补中标供应商。

广州公共资源交易中心编制第 26 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

五、 项目废标处理根据《政府采购法》第三十六条规定，本项目或子项目下列情况出现将作废标处理：

（一） 符合专业资格条件的投标人或者对招标文件作实质响应的有效投标人不足三家的（说明：如果多个供应商所投产品全部是同一品牌同一型号的，只作为一个供应商计算。同一品牌不同型号的产品由多家供应商参加竞争，作为不同的供应商计算）；

（二） 出现影响采购公正的违法、违规行为的； （三） 投标人的报价均超过了采购预算，采购人不能支付的； （四） 因重大变故，采购任务取消的。

六、 定标（一） 交易中心在评标结束后2个工作日内将评标报告及《确认采购结果通知书》送采

购人，采购人应当自收到评标报告之日起5个工作日内按顺序确定中标供应商。    第一名供应商放弃中标或被依法认定中标无效的，采购人可以按顺序选择候补中标供应商。

（二） 采购结果确认后，交易中心将中标结果在采购信息发布网站上进行公告。不在中标名单之列者即为落标人，交易中心不再以其它方式另行通知。

（三） 中标结果公告后，中标供应商须向交易中心交纳代理服务费。交易中心完成确认收费后，中标供应商可以下载打印中标通知书。具体打印方式请查阅“广州公共资源交易网”中“通知公告”栏。《中标通知书》将作为授予合同资格的唯一合法依据。

（四） 中标供应商放弃中标的，应当依法承担相应的法律责任。（五） 凡发现中标供应商有下列行为之一的，将移交政府采购监督管理部门依法处

广州公共资源交易中心编制第 27 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

理。1. 提供虚假材料谋取中标的；2. 采取不正当手段诋毁、排挤其他供应商的；3. 与采购人、其他供应商或者交易中心工作人员恶意串通的；4. 向采购人、交易中心工作人员行贿或者提供其他不正当利益的；5. 在招标采购过程中与采购人进行协商谈判的；6. 拒绝有关部门监督检查或者提供虚假情况的；7. 有法律、法规规定的其他损害采购人利益和社会公共利益情形的。

七、 签约（一） 采购人应当自《中标通知书》发出之日起三十日（第二章采购需求有相应约定

的从其约定）内，按照招标文件和中标供应商投标文件的约定，与中标供应商签订书面合同。所签订的合同不得对招标文件和中标供应商投标文件作实质性修改。

（二） 采购人不得向中标供应商提出任何不合理的要求，作为签订合同的条件，不得与中标供应商私下订立背离合同实质性内容的协议。

八、 履约评价(一) 采购人负责对中标供应商的履约行为进行评价，评价标准详见《公共资源交易

综合信用指数评价标准》（见本项目招标公告附件）。采购人在 http://www.gzgcjg.com/

zfcgcx上用数字证书登陆，填写履约评价表。 (二) 评价结果会影响供应商的综合信用评价得分。供应商对其评价情况有异议的，

可向采购人反映，采购人应当检查有关评价情况并答复异议人，如有错误，应当修正。异议人对采购人的答复不服的，可向市、区财政局反映，市、区财政局调查后发现确有错误的

广州公共资源交易中心编制第 28 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

有权要求采购人纠正。

广州公共资源交易中心编制第 29 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

第五章 投标文件格式投标文件包括但不限于以下组成内容，请按顺序制作，本章有提供格式文件的请按

格式要求提交。（盖章要求：完成投标文件的制作后，可点击“一键签章”按钮进行批量

电子签章。）

序号 内容 盖章要求商务部分

1 ★投标承诺函 电子签章

2授权委托证明书（法定代表人亲自办理投标事宜的，则无需提交本证明书） 电子签章

3 ★投标人资格声明函 电子签章4 ★开标一览表 电子签章

5

★《投标人资格声明函》的附件（提供以下相关证照之一的原件扫描件）1 企业法人营业执照；2事业法人登记证；3其他组织的营业执照或执业许可证；4 居民身份证等

电子签章

6 报价明细表 电子签章7 ★实质性响应条款一览表 电子签章8 项目经理简历表 电子签章9 承担本项目主要技术人员和售后服务人员表 电子签章

广州公共资源交易中心编制第 30 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

10 业绩一览表 电子签章11 证书一览表 电子签章

12财务报表（含资产负债表及利润表，尽量提供具有审计资质的第三方出具的《审计报告》） 电子签章

13 投标人认为有必要说明的其他商务文件资料 电子签章14 中小微企业声明函（非中小微企业可不提供） 电子签章

15中小微企业声明函（制造商）（非中小微企业可不提供） 电子签章

16

★属于分公司投标的，还须提供具有法人资格的总公司的营业执照原件扫描件及授权书，授权书须加盖总公司公章

电子签章

技术文件17 总体技术方案 电子签章18 项目实施计划、施工方案 电子签章19 安装、调试及验收方案 电子签章20 售后服务情况表 电子签章21 售后服务能力及服务方案 电子签章22 产品适用政府采购政策情况表及相关证明材料 电子签章23 投标人认为有必要说明的其他技术文件资料 电子签章24 技术方案一般性条款响应差异表 电子签章

广州公共资源交易中心编制第 31 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

特别提示与要求！

请投标人严格按照表格内容及要求制作投标文件，所有证书类文件提供复印件且必

须在有效期内，表中带★的材料将作为投标人资格性和符合性审查的重要内容之一。投标承诺函

广州公共资源交易中心：我方确认收到贵方提供的“广州市妇女儿童医疗中心完善信息安全体系建设项目”

（项目编号：CZ2019-）的招标文件，已完全理解招标文件的所有内容。决定投标本项

目，据此我方承诺如下：一、 我方的投标文件在投标截止日后90天（日历天）内保持有效，如中标，有效

期将延至本项目《广州市政府采购合同》执行期满日为止。二、 我方在参与投标前已仔细研究了招标文件和所有相关资料，我方完全明白并

认为此招标文件没有倾向性，也没有存在排斥潜在投标人的内容，我方同意招标文件的相关条款，放弃对招标文件提出误解和质疑的一切权利。

三、 我方声明投标文件及所提供的一切资料均真实无误及有效。由于我方提供资料不实而造成的责任和后果由我方承担。我方同意按照贵方可能提出的要求，提供与投标有关的任何其它数据或信息。

四、 我方如果中标，保证履行投标文件中承诺的全部责任和义务，切实履行《广州市政府采购合同》中的全部条款并按照《招标文件》的要求向贵方足额交纳代理服务费。

五、 我方理解贵方不一定接受最低报价的投标。六、 我方同意如在本项目开标后、投标有效期之内撤销投标文件，或中标后未在规

广州公共资源交易中心编制第 32 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

定期限内签订合同并送贵方备案的，贵方将不退还投标保证金（如有）。七、 我方保证，采购人在中华人民共和国境内使用我方报价货物、资料、技术、服务

或其任何一部分时，享有不受限制的无偿使用权，如有第三方向采购人提出侵犯其专利权、商标权或其它知识产权的主张，该责任由我方承担。我方的报价已包含所有应向所有权人支付的专利权、商标权或其它知识产权的一切相关费用。

八、 所有与本项目有关的函件请发往下列地址：地 址 （ 邮

编）

传真

电话、手机 联 系 人 （ 职

务）

日期：20 年 月 日

说明：本格式文件内容不得擅自删改。

广州公共资源交易中心编制第 33 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

授权委托证明书兹授权 （委托代理人姓名）为我方委托代理人，其权限是：办理广州公共资

源交易中心组织的“广州市妇女儿童医疗中心完善信息安全体系建设项目” (项目编号：

CZ2019-)的投标事宜。本授权书有效期与本公司投标文件中标注的投标有效期相同，自

签章之日起生效。附：代理人性别： 年龄： 职务： 　　身份证号码： 　　（营业执照等）注册号码： 　　企业类型： 　　经营范围： 　　　　　　　

日期： 20 年 月 日

说明：法定代表人亲自办理投标事宜的，无需提交本证明书。投标人资格声明函

广州公共资源交易中心：

广州公共资源交易中心编制第 34 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

关于贵方　 　年　　月　　日发布关于“广州市妇女儿童医疗中心完善信息安全体

系建设项目”（项目编号：CZ2019-）的采购公告，我方愿意参加投标，并声明截至开

标日：我方具备《中华人民共和国政府采购法》第二十二条所规定的条件，并已清楚招标文

件的要求及有关文件规定。（一）具有独立承担民事责任的能力，提供以下相关证照的原件扫描件（见附件）

之一：1.企业法人营业执照；2.事业法人登记证；3.其他组织的营业执照或执业许可证；

4.居民身份证等；（二）具有良好的商业信誉和健全的财务会计制度；（三）具有履行合同所必需的设备和专业技术能力；（四）有依法缴纳税收和社会保障资金的良好记录；（五）参加政府采购活动前三年内，在经营活动中没有重大违法记录；（六）法律、行政法规规定的其他条件。本次招标采购活动中，如有违法、违规、弄虚作假行为，所造成的损失、不良后果及法

律责任，一律由我方承担。特此声明！

广州公共资源交易中心编制第 35 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

日期：20 年 月 日

说明：1.本格式文件内容不得擅自删改。2. 分公司投标的，以上《投标人资格声明函》及附件由总公司提供，必须由分公司和具有

法人资格的总公司同时加盖公章或电子签章。开标一览表

[货币单位：人民币元]

分项 分项内容投标总报价 ￥

填报要求：1. 报价包含所有税费。2. 如投标人报价低于最高限价 60%的，必须在《实质性响应条款一览表》内说明报价理

由。

报价明细表 [货币单位：人民币元]

广州公共资源交易中心编制第 36 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

序号 报价项目 品牌、产地 型号规格 数量 单价 总价 备注12345678910…

合计 ￥填报要求：此表为《开标一览表》的报价明细表，如有缺项、漏项（数量不符合将被视为漏

项），视为投标报价中已包含相关费用，采购人无须另外支付任何费用。

实质性响应条款一览表序号 实质性响应条款 投标人响应情况 差异

1 如投标人报价低于最高限价 60%

的，必须说明报价理由。理由：

2 ★本次采购产品为非进口产品（进口产品指通过中国海关报关验放进入中国境内且产自关境外的产

广州公共资源交易中心编制第 37 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

品）。3 以下内容根据第二章采购人需求

★号条款详细列举…

说明：1. 本表所列条款必须一一予以响应，“投标人响应情况”一栏应填写具体的响应内容，

有差异的要具体说明。2. 请投标人认真填写本表内容，如填写错误将可能导致投标无效。

项目经理简历表

姓名 性别 年龄职务 职称 学历

办公电

话

住宅电

话

移动电话

参加工作时间 从事项目经理年限具有认证资质

广州公共资源交易中心编制第 38 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

已完成工程项目情况建设单位 项目名称 建设规模 竣工日期 工程质量

承担本项目主要技术人员和售后服务人员表

姓名 部门和职务 职责 常住地 获得认证资质证书 主要资历、经验及承担过的项目

填报要求：1. 上表列出的人员，需附其资格证书的复印件。2. 提供上述人员在本单位服务的外部证明材料，如投标截止日之前六个月以内的代缴个

税税单或参加社会保险的《投保单》或《社会保险参保人员证明》等。业绩一览表

序号 项目名称 项目地址 合同总价

完成时间（货物类）/服务年限

（服务类）

项目质量 项目单位联系人电话

12

广州公共资源交易中心编制第 39 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

3

…

填报要求：1. 依据商务评审中的业绩要求填写本表并提供相关证明材料，合同可只提供首页、含金

额页、盖章页。2. 请投标人严格按照要求提交相关证明材料，否则有可能影响评审结果。

证书一览表证书名称 发证单位 证书等级 证书有效期

填报要求：1. 填写投标人获得资质、认证或企业信誉证书。（或根据评分项对应内容的要求填写）2. 请提供本表所列的证书资料。

广州公共资源交易中心编制第 40 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

中小微企业声明函本公司郑重声明，根据《政府采购促进中小企业发展暂行办法》（财库[2011]181

号）的规定，本公司为______（请填写：中型、小型、微型）企业。即，本公司同时满足

以下条件：1.根据《工业和信息化部、国家统计局、国家发展和改革委员会、财政部关于印发中

小企业划型标准规定的通知》（工信部联企业[2011]300号）规定的划分标准：第四条

第______项______行业，本公司（此处填写从业人员和营业收入的具体数据） ，为_____

_（请填写：中型、小型、微型）企业。2.本公司参加广州公共资源交易中心组织的广州市妇女儿童医疗中心完善信息安全

体系建设项目（项目编号：CZ2019-）采购活动提供本企业制造的货物，由本企业承

担工程、提供服务，或者提供其他______（请填写：中型、小型、微型）企业制造的货物。

本条所称货物不包括使用大型企业注册商标的货物。本公司对上述声明的真实性负责。如有虚假，将依法承担相应责任。

日期：20 年 月 日

广州公共资源交易中心编制第 41 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

说明：提供其他中小微企业制造的货物，必须同时提供该中小微企业的声明函。中小微企业声明函（制造商）

本公司郑重声明，根据《政府采购促进中小企业发展暂行办法》（财库[2011]181

号）的规定和《工业和信息化部、国家统计局、国家发展和改革委员会、财政部关于印发

中小企业划型标准规定的通知》（工信部联企业[2011]300号）规定的划分标准：第四

条第______项______行业，本公司（此处填写营业收入和从业人员的具体数据） ，为___

___（请填写：中型、小型、微型）企业。本公司对上述声明的真实性负责。如有虚假，将依法承担相应责任。

企业名称（单位公章）：日期：20 年 月 日

售后服务情况表

序号 项目 投标人承诺 备注

1

保修期 内售后 服 务 情

况(可用附页和宣传材

料)

生产厂商售后服务情况：

投标人售后服务情况：

广州公共资源交易中心编制第 42 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

2 保修期后售后服务 3 培训方 案 （ 可 用 附

页）

产品适用政府采购政策情况表

中小企业扶持

政策

如属所列情形的，请在括号内打“√”：（ ）小型、微型企业投标且提供本企业制造的产品。（ ）小微企业投标且提供其它小型、微型企业产品的，请填写下表内容：

产品名称（品牌、型号） 制造商 制造商

企业类型 金额

小型、微型企业产品金额合计节能产品

产品名称（品牌、型号） 制造商 认证证书编号 金额

节能产品金额合计

广州公共资源交易中心编制第 43 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

比重（节能产品金额/投标总价） %

节能产品证明材料见《技术文件》第 至 页。

环境标志产品

产品名称（品牌、型号） 制造商 认证证书编号 金额

环境标志产品金额合计

比重（环境标志产品金额/投标总价） %

环境标志产品证明材料见《技术文件》第 至 页。填报要求：1. 本表的产品名称、规格型号和注册商标、金额应与《报价明细表》一致。2. 制造商为小型或微型企业时才需要填“制造商企业类型”栏，填写内容为“小型”或

“微型”。3. 节能产品是指财政部和国家发展改革委员会公布的《节能产品政府采购清单》中的产品

环境标志产品是指财政部、环境保护部发布的《环境标志产品政府采购清单》中的产品。

请提供《清单》中相关内容页（并对相关内容作圈记）。

广州公共资源交易中心编制第 44 页 共 235 页

广州公共资源交易中心招标文件 项目编号： CZ2019-

4. 请投标人正确填写本表，所填内容将作为评分的依据。其内容或数据应与对应的证明

资料相符，如果不一致，可能导致该项的得分为 0 分。技术方案一般性条款响应差异表

序号 货物名称 招标参数 投标参数 偏离情况 厂家资料1 有/无2

3…

要求：1. 本表的货物名称须与《报价明细表》一致。2. 投标人必须按招标参数的格式描述投标参数，并在偏离情况栏标明“无偏离”、“正

偏离”或“负偏离”，关键的指标请填写厂家资料查阅页码。3. 投标参数应与厂家的产品资料一致，不一致的以厂家资料为准。

广州公共资源交易中心编制第 45 页 共 235 页