广州中医药大学第一附属医院零信任网络访问系统采购项目招标公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
广中医一院招【2024】13号,广州中医药大学第一附属医院零信任网络访问系统采购项目招标公告(挂网2024.05.20).doc (148.51 KB)
采购单位:广州中医药大学第一附属医院
项目名称:零信任网络访问系统采购项目
项目编号:广中医一院招【2024】13号
项目概况:为了满足医院业务发展的需要,根据《网络安全法》《数据安全法》和《医疗卫生机构网络安全管理办法》等法律法规要求,需建设一套零信任网络访问系统。通过建设零信任网络访问系统,建立我院网络动态访问控制机制,一方面能提高我院网络访问安全防护能力,对访问业务系统的人员、设备、访问地点、访问目的及访问过程中异常行为进行持续监测与认证,降低因网络访问行为导致的数据泄露风险、非法访问风险、越权访问风险等;另一方面通过精细化权限管理和高效资源访问,能够间接提升医疗服务效率,符合国家对于医疗行业信息化建设与安全管理的要求。
招标限价(人民币):850,000元。(大写:捌拾伍万元整)
三、资金性质:财政性资金(非预算指标资金)。
四、项目需求书:
(一)报价要求:总价包干。包含并不限于:评测费、监控费、维保费、检查费、评估费、系统调试费、标配工具费用、办公设备及物耗费用、培训费、咨询费、质保期服务费、人员工资(包括应交的五险一金等费用)、加班费、风险金和税费、利润、不可预见费等在项目实施过程中的全部费用。投标人报价中漏报、少报的费用,视为此项费用已隐含在报价中,成交后不得再向招标人收取任何费用。
(二)技术参数:
1、项目需求清单
2、产品设备功能要求
2.1零信任控制中心-参数指标要求
2.2零信任安全代理网关-参数指标要求
2.3零信任接入云桌面授权-参数指标要求
(三)维保期:验收签字之日起不少于3年,维保期内产生的相关维保费用均包含在投标报价中。
(四)工期:合同签订后 6个月内。
(五)服务要求
1、为了确保本项目顺利完成,需要投标人具备一定技术实力及服务团队,能有效保障医院零信任项目有序、可行开展;且应该具备良好的安全集成服务资质,经过国家或者国际相关认证的为优。
2、投标人应为本项目提供专业服务团队,该团队包括项目经理和至少三名技术人员。团队所有人员均具有不少于三年网络或信息安全从事经验,同时,技术人员必须对相关安全设备型号具有一定的维护和实施经验,如:熟悉防火墙、零信任参数配置、性能优化调整等。
项目经理负责对该项目整体开展、实施、售后服务工作的统筹协调和管理,并定期与医院协调沟通,保证服务质量。具备PMP认证证书、系统集成项目管理工程师(中级)、CCRC颁发的信息安全保障人员证书(认证方向:安全集成)、ITIL Foundation证书等资质要求, 且须具备6年以上从业经验。
技术人员能力要求,具备PMP认证证书、系统集成项目管理工程师(中级)、CISP(注册信息安全管理人员)认证、CCRC颁发的信息安全保障人员证书(认证方向:安全集成)、CISP-PTS(注册渗透测试专家)等资质。
投标人须保证队伍稳定,并由医院审核,审核通过后才能参与实施工作;中标人必须遵守医院内部各项规章制度和内部操作规程,履行保密义务,签署保密协议,未经批准不得以任何理由泄露任何保密信息和内部资料。
3、为了保障服务质量,投标人应具有但不限于以下资质及能力:
1)中国网络安全审查技术与认证中心信息安全风险评估服务资质
2)中国网络安全审查技术与认证中心信息安全应急处理服务资质
3)中国网络安全审查技术与认证中心信息安全集成服务资质
4)中国网络安全审查技术与认证中心信息安全运维服务资质
5)信息安全管理体系资质证书-ISO27001标准认证
6)质量管理体系资质证书-ISO9001标准认证
7)具备安全软件定向开发能力(提供不少于10个软件著作权证明文件)
4、需提供详细的技术方案,方案应至少包括以下内容:①安装与调试方案;②售后服务和技术培训方案;要求方案表述内容清晰、完整、合理、详细、科学、可行。
5、投标人投标时需提供原厂项目授权函及售后服务承诺函(需加盖原厂公章)。
6、投标人具备信息安全产品类项目经验,提供2021年01月01日以来具有同类型项目案例至少3个,以提供中标通知书或合同要点为准;
7、投标人具备良好的信用记录,未被列入“信用中国”网站中“记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”的记录名单;不处于“中国政府采购网”中“政府采购严重违法失信行为信息记录”的禁止参加政府采购活动期间。(提供承诺证明)
8、售后服务:①维保期内非因的人为原因而出现系统或服务问题,由中标人负责完善、优化或解决,并承担因此而产生的一切费用。中标人应在收到招标人通知后1小时内响应,4小时内派员到现场排障(采购需求要求另有规定除外)。②因工作内容的交付质量问题而发生争议,由广东省或广州市相关质检部门进行质量鉴定。交付内容符合质量标准的,鉴定费用由招标人承担;交付内容不符合质量标准的,鉴定费用由中标人承担。③本项目的售后服务涉及到软件系统的调试测试、优化调整、权限配置等相关的售后工作。
9、培训服务:提供软件管理、配置、使用等相关培训,给出培训内容和计划,总体培训时间不少于1人天。提供完整的产品技术手册、用户手册等文档。技术文档应该全面、完整、详细。
10、安装与调试:中标人必须按项目进度安排计划,派出适当的技术人员到安装现场负责安装和调试工作。包括硬件、网络和电源线路、软件部署等。全部设备和软件安装完成且连接完毕进行系统测试,应严格按测试计划进行,做好各项原始记录。在安装调试期间,严格遵守招标人的有关规定。
(六)验收要求:
1、履约验收时间:招标人收到中标人项目验收建议之日起7日内按照合同的约定对履约情况进行验收,对每一项技术、服务、安全标准的履约情况进行确认。
2、履约验收方式:由招标人和中标人共同进行。
3、履约验收程序:①双方依据规定的程序和条件确认合同项下的产品符合技术规范的要求,由招标人对当次服务质量进行检验。如发现质量等任何一项与采购要求规定不符,招标人有权拒绝接受。②验收合格后,招标人、中标人双方在验收合格单上签字确认。验收时,中标人应交付一切采购内容及交付成果,确保招标人管理、运维人员具备软件、硬件、数据上的一切使用和管理权限。
4、履约验收内容:满足采购需求的要求、投标文件中的相关承诺及合同约定要求。
5、验收标准:按照国家相关行业要求、招标文件要求及响应文件的响应情况进行验收。
(七)付款方式:
1、合同签订及中标人提供等额发票后1个月内,支付合同价款的30%作为预付款;
2、项目验收合格后,中标人提供合同款项等额发票后1个月内,支付合同价款的65%作为验收款;
3、留合同价款的5%作为履约金,在验收合格后正常履行服务的情况下一年后付清。
(八)开标会只允许各投标单位安排一名投标人员参加,且该人员必须与投标报名登记表登记的人员一致,若临时更换投标人员需提前与招标采购中心工作人员联系。
(九)投标文件要求:7份(1正6副),开标前需密封,每份文件均需按序页码。双面打印。
(十)项目需求书条款响应情况:投标人必须对项目需求书的内容逐条响应。“★”号的条款为关键条款,必须实质性响应,负偏离(不满足要求)将导致投标无效(若有);带“▲”号条款为重点条款,不作为无效投标条款(若有)。
(十一)述标、答辩:
1、述标部分:述标时间不超过3分钟。述标着重介绍对项目的理解,特别是关键技术层面,述标无需使用PPT。
2、答辩部分:述标之后,由评审小组提问,投标人如实作答。
(十二)投标人应完整、真实、准确的填写招标文件中规定的所有内容,对投标文件所提供的全部资料的真实性承担法律责任,并无条件接受招标采购单位及监督管理部门等对其中任何资料及招标采购单位或监督管理部门认为有必要的资料进行核实的要求。
五、投标人资格
1、投标人应是来自中华人民共和国的独立法人企业或其他组织。
2、本项目不接受联合体投标,不得转包、分包、外包投标标的主体。
六、评标办法:综合评标法
七、报名时间及地点
1、报名时间:2024年5月21日至2024年5月27日17:00;
2、报名方式:本项目只接受电子报名,报名邮箱为:gztcm_zbzx@gzucm.edu.cn。请各投标人将报名需要提交资料加盖公章后扫描,将扫描件发至报名邮箱,邮件名称:项目名称+单位名称;
3、报名需提交资料(需加盖公章)
(1)有效的营业执照复印件(如非“三证合一”证照,同时提供税务登记证及组织机构代码证副本复印件)。投标人在经营范围内投标,如营业执照未记载经营范围,同时提供在全国企业信用信息公示系统查询的单位“登记信息”的打印页面并盖章);
(2)企业法人代表证明书、具有法人签名或盖章的被委托人有效授权书(详见附件);
(3)投标报名登记表(详见附件);
4、报名所需的资料原件请于开标日当天交至招标人招标采购中心工作人员处。报名是否成功,以邮件回复为准。
5、报名成功本项目的投标人,若决定不参与投标,请于2024年5月27日下午17:00前电话或邮件通知招标人。
八、开标时间及地点
1、开标时间:2024年5月29日上午 9:00
2、开标地点:2号楼4楼多功能室
3、投标人员应为报名登记表上登记的负责投标的人员,该人员凭身份证进入开标地点。
九、本招标文件所涉及的时间一律为北京时间
十、联系人:李老师: 36591289;(项目咨询)
郑老师/黄老师:020-36585829;(招标流程咨询)
十一、咨询时间:上午 8:30-12:00,下午14:30-17:30
广州中医药大学第一附属医院
2024年5月20日
附件:
法定代表人授权书
致:广州中医药大学第一附属医院
本授权书声明:注册于 (国家或地区)的 (投标人名称)的在下面签字的 (法定代表人的姓名、职务)代表本公司授权在下面签字的 (被授权人的姓名、职务)为本公司的合法代表人,就“广州中医药大学第一附属医院零信任网络访问系统采购项目(项目编号:广中医一院招【2024】13号)”招标的 (可选“报名”),以我方的名义处理一切与之有关的事宜。
本授权书于 年 月 日签字生效,特此证明。
随附《法定代表人证明书》
附件:
1、代理人(被授权人)身份证或其他有效的身份证明
注:投标人必须在上述附件上加盖公章。
投标人(法人公章):
地 址:
法定代表人(签字或盖章):
职 务:
被授权人(签字或盖章):
被授权人身份证号码:
职 务:
日期:
(投标人可使用下述格式,也可使用广东省工商行政管理局统一印制的法定代表人证明书格式)
法定代表人证明书
现任我单位 职务,为法定代表人,特此证明。
有效期限:
附:代表人性别: 年龄: 身份证号码:_________
企业注册号码: 企业类型:_____________________________________
经营范围:
。
注:投标人必须在上述附件上加盖公章。
投 标 人(法人公章):
日 期:
采购单位:广州中医药大学第一附属医院
项目名称:零信任网络访问系统采购项目
项目编号:广中医一院招【2024】13号
项目概况:为了满足医院业务发展的需要,根据《网络安全法》《数据安全法》和《医疗卫生机构网络安全管理办法》等法律法规要求,需建设一套零信任网络访问系统。通过建设零信任网络访问系统,建立我院网络动态访问控制机制,一方面能提高我院网络访问安全防护能力,对访问业务系统的人员、设备、访问地点、访问目的及访问过程中异常行为进行持续监测与认证,降低因网络访问行为导致的数据泄露风险、非法访问风险、越权访问风险等;另一方面通过精细化权限管理和高效资源访问,能够间接提升医疗服务效率,符合国家对于医疗行业信息化建设与安全管理的要求。
招标限价(人民币):850,000元。(大写:捌拾伍万元整)
三、资金性质:财政性资金(非预算指标资金)。
四、项目需求书:
(一)报价要求:总价包干。包含并不限于:评测费、监控费、维保费、检查费、评估费、系统调试费、标配工具费用、办公设备及物耗费用、培训费、咨询费、质保期服务费、人员工资(包括应交的五险一金等费用)、加班费、风险金和税费、利润、不可预见费等在项目实施过程中的全部费用。投标人报价中漏报、少报的费用,视为此项费用已隐含在报价中,成交后不得再向招标人收取任何费用。
(二)技术参数:
1、项目需求清单
| 序号 | 产品名称 | 产品描述 | 数量 |
| (1) | 零信任控制中心 | 安全策略管理设备,最大并发用户数:不少于3000个,本次授权500个。 硬件参数:规格:不少于1U,内存大小:不少于16G,硬盘容量:不少于4T ,电源:冗余电源,接口:6千兆电口+4千兆光口SFP,支持RAID0,1,10,集成BMC 模块,支持IPM12.0。 功能描述:国密设备,采用国家密码管理局颁布的SM2、SM3、SM4密码算法及其协议,可基于身份、环境、终端、应用、行为评估实现动态访问控制,保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,符合国家商用密码标准,具有快速、易用、全面等优势特点。 含:零信任访问控制系统软件(1套)。 国密算法SM2、SM3、SM4硬件卡(1块)。 零信任并发接入授权(500个)。 产品质保和软件升级不少于3年售后服务。 | 1台 |
| (2) | 零信任安全代理网关 | 加密流量代理设备,最大理论加密流量:不低于500Mbps,最大理论并发用户数:不少于2000个。 硬件参数:规格:不少于1U,内存大小:不少于8G,硬盘容量:不少于1T,电源:冗余电源,接口:6千兆电口+4千兆光口SFP 功能描述:国密设备,提供业务应用访问安全通道服务、应用数据加解密服务、应用隐藏服务;根据身份、环境、终端、应用、行为等属性及可信环境感知状态,动态控制用户的应用访问,保证业务应用访问的安全策略控制及强制实施。保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,符合国家商用密码标准,具有快速、易用、全面等优势特点。 含:零信任安全代理系统软件(1套)。 国密算法SM2、SM3、SM4硬件卡(1块)。 身份ID(动态令牌)授权500个。 产品质保和软件升级不少于3年售后服务。 | 1台 |
| (3) | 零信任接入云桌面授权 | 安全策略模板一体化设置,全网资产盘点与风险可视,自动化日志可视化报表一键导出,管理账号分权分域,总分平台级联控制。 含:远程接入云桌面授权100套,桌面安全管理软件100套。 终端安全管理系统软件(1套)。 产品质保和软件升级不少于3年售后服务。 | 1项 |
2、产品设备功能要求
2.1零信任控制中心-参数指标要求
| 序号 | 技术指标 | 技术规格 |
| (1) | 硬件性能 | 软硬一体化设备,≥1U机箱,冗余电源,≥6个千兆电口,≥4个千兆光口,≥6个USB接口,≥1个1000 Mbps RJ45管理网口,内存≥16G,硬盘容量≥4T,支持国密算法,≥1国密硬件卡,支持RAID0,1,10,集成BMC模块,支持IPMI2.0;最大理论并发用户数≥3000 |
| (2) | 网络隐身 | 支持UDP+TCP单包授权机制,UDP+TCP方式默认不开放端口,可避免业务应用的端口被扫描,进而避免利用端口对业务应用发起攻击的风险 |
| (3) | 用户身份管理 | ▲提供用户概览统计能力,包括用户总数、启用用户数、锁定用户数、禁用用户数等信息,提升管理员运维能力;支持用户身份属性的自定义扩展,以便管理员可以根据自身需要对用户属性扩展,而不需要重新部署或升级系统程序。(提供证明截图并加盖原厂公章) |
| 提供用户组管理,支持动态用户组,可按照规则进组,使得满足规则的用户自动能够进入组,并继承组所拥有的权限、访问策略等,而不需要依次手工添加,减轻管理的负担(提供证明截图并加盖原厂公章) | ||
| 支持用户身份打标签,以实现对不同的用户打不同标签,并可以基于标签进行细粒度访问控制(提供证明截图并加盖原厂公章) | ||
| (4) | 终端管理 | 提供设备概览统计能力,包括终端总数、启用终端数、锁定终端数、禁用终端数等信息,提供设备绑定概览统计能力,包括绑定总数、管理员绑定数、申请绑定数、自助绑定数等信息,提升管理员运维能力。 |
| ▲支持用户自助解绑设置,可设置是否允许用户自助解绑,以及解绑是否要求做多因子认证,进一步加强设备解绑的管控;支持设备审批概览统计能力,管理员能够明确知道总数、待审批数、已通过数、已驳回数等信息(提供证明截图并加盖原厂公章)。 | ||
| 支持终端应用概览统计能力,包括应用进程总数、未处置总数、可信进程、不可信进程数等信息;支持终端应用管理,通过零信任客户端可以对发起业务访问的进行采集,并由管理员标记其可信、不可信状态,从而实现基于进程可信状态的细粒度访问控制。 | ||
| (5) | 终端环境采集 | 支持X86架构下的Windows端环境采集,通过零信任客户端采集终端设备SN号、操作系统、类型、IP、MAC等基础属性,支持采集运行进程、运行的虚拟机软件、运行的录屏软件、运行的远控软件、运行的杀毒软件、域、端口、防火墙设置等信息并作为访问控制策略项,以实现基于Windows终端安全状况的访问控制措施;支持PC端发起访问应用的采集,能够对应用进行标记为可信或不可信,可用于访问控制策略,从而实现基于访问进程的细粒度控制措施。 |
| ▲支持移动端Android操作系统版本,零信任客户端版本,系统是否被ROOT/越狱、USB调试模式开启、锁屏密码开启、蓝牙开启、NFC开启、WiFi热点开启、自动填充服务开启等环境感知和采集,以实现基于移动终端安全状况的访问控制措施。(提供证明截图并加盖原厂公章) | ||
| (6) | 资源管理 | 支持应用概览统计能力,包括应用总数、WEB应用数、隧道应用数等信息,提升管理员的运维能力;支持虚拟服务发布,以实现应用只提供安全访问通道,而不做控制的场景,比如CA服务器需要放在零信任后面做隐藏,但是需要对外开放服务场景 |
| ▲WEB应用支持数据传递,可通过URL、Header、Cookie自定参数传递,以满足应用对特定参数的需要,从而实现对现网应用无需修改即可正常访问;支持WEB应用访问透传控制,按照规则对特定URL不进行权限检查放过,从而满足对一些公共可访问的特定URL进行例外放行的需要。(提供证明截图并加盖原厂公章) | ||
| 支持虚拟服务发布,以实现应用只提供安全访问通道,而不做控制的场景,比如CA服务器需要放在零信任后面做隐藏,但是需要对外开放服务场景。 | ||
| (7) | 自适应认证 | 提供认证策略配置,可为不同的用户设置不同的用户认证、设备认证、多因子认证方式,以便对处于不同的组织机构、用户组中的用户实现不同程度的认证管控 |
| ▲支持认证策略的优先级排序设置,支持单用户目录认证策略的优先级、跨多个用户目录的全局优先级排序设置,以实现用户登录认证时,可按照设置优先级顺序展示相应的认证方式;支持设备豁免,可支持设置不检查设备状态、不检查设备绑定策略,从而实现对免除针对设备的检查要求,以便利一些特定用户的便捷使用。(提供证明截图并加盖原厂公章) | ||
| 支持多认证门户,门户可以设置认证策略,用户访问时能够通过浏览器类型、访问地址来导航到不同的认证门户,从而实现在不同访问场景下可展示并使用不同认证门户。 | ||
| (8) | 权限管理 | 支持从应用资源选择用户、组织机构、用户组,方便管理员进行权限配置,提升运维水平;支持从资源角色选择用户、组织机构、用户组,以实现角色内资源的被批量授予用户,减轻管理员的负担 |
| (9) | 安全准入控制 | 支持从用户属性、环境属性、行为属性、终端属性维度设置准入策略,便于对用户准入进行控制 |
| ▲支持按认证方式、人员标签设置用户属性,以实现基于用户属性的准入控制,保证只有通过严格的身份校验后才能正常进入系统;支持用户两次登录设备发生变化、异常旅行速度设置行为属性,以实现从用户行为维度进行准入控制,缓解因用户账号被盗用、身份被仿冒的用户进入系统的安全风险。(提供证明截图并加盖原厂公章) | ||
| 支持临时豁免,豁免可设置豁免有效期以及豁免动作,豁免动作可设置多因子认证,以便对特定人群在不满足准入条件时,可以进行例外处置 | ||
| (10) | 动态访问控制 | 支持基于认证方式、人员标签的用户属性设置访问控制策略 |
| (11) | 应用安全防护 | ▲提供应用限流限速,支持通过限制请求并发、请求速度设置相应阈值进行限流限速,缓解大量并发访问、大量快速访问给业务应用造成的压力和资源消耗,从而确保业务的连续性、可用性。(提供证明截图并加盖原厂公章) |
| 支持WEB水印设置,支持水印内容、文字大小、颜色、适用范围等配置,通过水印对访问业务的用户形成安全警示和威慑,缓解敏感业务数据泄露的风险,并便于安全事件之后通过水印信息溯源追责。(提供证明截图并加盖原厂公章) | ||
| 支持WEB应用数据脱敏,可根据内置脱敏规则和策略对身份证号、电子邮箱、电话等个人隐私数据进行脱敏处置,避免隐私数据的泄露。 | ||
| (12) | 日志审计 | 提供用户日志、管理日志、系统日志、访问日志等信息采集、管理及审计;支持日志按照SYSLOG形式外发上报,日志外发字段可自定义设置,可以设置外发日志类型和日志字段。 |
| (13) | 系统运维 | ▲支持客户端的灰度升级,可按照指定组织机构/用户组、部分用户等范围进行灰度升级,支持按比例升级、按用户组/组织机构升级的机制;支持查看客户端升级进度,可以按版本或部门\用户\系统类型查看升级情况,并可以导出客户端升级情况统计、未升级的统计,便于管理员掌握客户端使用和升级情况。(提供证明截图并加盖原厂公章) |
| (14) | 自身安全防护 | ▲提供操作系统加固能力,可禁止更改系统可执行文件、对外服务进程更改系统配置文件、更改系统登录认证相关文件、更改系统引导文件、添加系统启动项、对外服务进程添加定时任务、对外服务进程修改账户信息、进程自我复制、对外服务进程修改系统日志、对外服务进程创建危险定时任务脚本、在系统二进制目录下创建隐藏文件夹、创建密码文件的符号链接、在dev/shm/下创建可执行文件、对外服务进程修改SSH认证文件等操作,从而缓解各类恶意攻击操作,对零信任系统进行攻击的安全风险。(提供证明截图并加盖原厂公章) |
| (15) | 产品资质 | 产品需具备中华人民共和国国家版权局颁布的《计算机软件著作权登记证书》 |
| 产品密码模块具备国家密码管理局商用密码监测中心颁布的《商用密码产品认证证书》 |
2.2零信任安全代理网关-参数指标要求
| 序号 | 技术指标 | 技术规格 |
| (1) | 硬件性能 | 软硬一体化设备,≥1U机箱,冗余电源,≥1个MGT口,≥1个HA口,≥6个千兆电口,≥4个千兆光口,内存≥8G,硬盘容量≥1T;支持国密算法,≥1国密硬件卡,最大理论加密流量(Mbps)≥500,最大理论并发用户数≥2000,理论HTTPS并发连接数(个/秒)≥48000。 提供3年质量维护服务。 |
| (2) | 网络隐身 | 支持UDP+TCP单包授权机制,UDP+TCP方式默认不开放端口,可避免业务应用的端口被扫描,进而避免利用端口对业务应用发起攻击的风险。 |
| (3) | 传输安全 | 管理TLS加解密算法的强度,支持国际商密算法会话协商:AES128-SHA,AES256-SHA,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES256-SHA,DES-CBC3-SHA,RC4-SHA,RC4-MD5 |
| ▲支持接入国密卡和国密算法:ECC-SM4-SM3算法,以满足对国密合规性要求(提供产品截图并加盖原厂公章) | ||
| (4) | 系统管理 | 提供网关证书管理功能,能够利用本地CA产生网关证书,可支持导入网关证书 |
| 支持系统管理端风格设置,提供登录页面图片、logo、浏览器角标、标题等设置(提供产品截图并加盖原厂公章) | ||
| (5) | 自身安全防护 | 连接到零信任控制中心,并根据控制中心的自身策略,提供暴力破解防护,支持在2分钟内同一IP错误登陆SSH后台10次,该IP将被锁定1小时,从而缓解暴力攻击尝试登录管理后台,对零信任系统进行攻击的安全风险。 |
| (6) | 产品资质 | 产品需具备中华人民共和国国家版权局颁布的《计算机软件著作权登记证书》 |
| 产品密码模块具备国家密码管理局商用密码监测中心颁布的《商用密码产品认证证书》 |
2.3零信任接入云桌面授权-参数指标要求
| 序号 | 技术指标 | 技术规格 | |
| (1) | 系统适配 | ▲云桌面系统底层应支持部署在国产操作系统(UOS或者麒麟的服务器版操作系统)之上,支持一云多芯,统一管理不同CPU架构的服务器集群,支持超融合架构,可实现计算、存储、网络的虚拟化,提高资源利用率,简便管理。(需提供底层国产操作系统、一云多芯和计算网络存储资源的配置截图并加盖原厂公章) | |
| (2) | 桌面管理 | 1) | VDI云桌面支持GPU虚拟化及GPU直通,可指定虚拟桌面启用GPU,分配显卡资源。GPU虚拟化支持4K显示器下流畅播放4K高清视频、使用设计行业软件。支持GPU与虚拟桌面一对一进行绑定,满足3D应用类设计需求(需提供GPU虚拟化的配置和直通对应截图并加盖原厂公章) |
| 2) | 支持桌面基线核查功能,包括对终端用户进行准入检测,可根据接入的终端类型、操作系统版本、接入IP和时间等条件设置接入访问策略,客户端不满足安全基线要求则不允许接入。 | ||
| 3) | 在多应用办公场景下,可针对当下使用频率较高的软件做进程加速,管理员也可自定义需做进程加速应用,以保障应用使用体验。 | ||
| 4) | 为了快速满足用户对桌面资源的诉求,所投产品需支持用户可自助申请虚拟机配置变更,由管理员审核,管理员可以选择审批通过、修改申请配置后申请通过、驳回操作,审核通过资源自动加到用户虚拟机上。 | ||
| 5) | ▲系统提供更新限速策略,限速方式包含下载优先、自动限速、手动限速等三种方式,其中手动限速时,需支持配置上传速度、下载速度、CPU占用上限、写镜像速度等限制参数,上传下载速度最小单位为K。(需提供更新限速的功能截图并加盖原厂公章) | ||
| 6) | 支持VDI支持虚拟机回收站功能,回收站可自定义设置虚拟机保存时间,管理员可将误删除的桌面通过回收站进行恢复,支持对虚拟桌面CPU信息、内存信息实时监控、以保障虚拟桌面安全,可支持桌面信息导出功能,包括虚拟机名称、虚拟机规格、分组信息、所属用户等信息。(需提供虚拟机回收站、VIP虚拟机、信息导出的配置截图并加盖原厂公章) | ||
| 7) | ▲支持镜像分享更新功能,将制作中的模板或者需要更新的模板进行发布;使用发布的链接地址,可以直接远程访问模板虚拟机,对镜像进行修改。支持设置镜像模板分享的有效期。(需提供镜像分享功能截图并加盖原厂公章) | ||
| 8) | ★满足终端无分区无系统情况下的自动部署功能,在终端系统初始化启动的时候,无需人工干预,系统可自动根据终端硬盘大小的不同实现终端硬盘不同的分区策略。可在管理平台预创建自动部署策略,自动部署策略中可指定自动分区个数、镜像数据缓存所在分区,并可按百分比配置各个分区大小。(需提供管理平台操作界面里自动部署策略中可指定自动分区个数、镜像数据缓存所在分区,并可按百分比配置各个分区大小的配置截图以及终端系统自动部署策略的功能截图并加盖原厂公章) | ||
| 9) | ▲支持在离线模式下对镜像模板数据进行更新。支持在终端启用离线模式进行后台上传更新,降低对服务器及网络资源的占用,保障更新维护正常进行。可针对特定用户需求,将服务端指定目录下的文件穿透到策略中设置的客户端相应的虚拟磁盘中,实现服务端文件实时分发到客户端的目的,简化管理维护。(需提供虚拟盘穿透的功能截图并加盖原厂公章) | ||
| 10) | 支持用户向管理员发起变更VDI桌面资源配置申请,当管理员批准后桌面资源将自动进行变更,在桌面资源变更过程中用户正在操作的业务无需中断。(需提供用户自主发起变更VDI桌面资源申请的截图并加盖原厂公章) | ||
| 11) | 支持虚拟机资源回收策略,可根据待机时长执行关机、挂起操作,支持设置定时开机/关机/重启等策略,支持虚拟机无操作时自动注销功能,保障资源充分利用,降低能耗。(需提供资源回收策略、定时开关机、定时注销的配置截图并加盖原厂公章) | ||
| 12) | 支持虚拟机计划任务功能;可针对虚拟机的配置、镜像、所在计算主机、网络、访问与安全、端口、虚拟机分组等信息进行配置的保存。可设置在指定时间创建虚拟机。(需提供虚拟机创建计划任务的功能截图并加盖原厂公章) | ||
| 13) | 支持VDI模式下的WEB客户端,支持用户使用浏览器直接访问登录连接虚拟机。同时,管理员支持将正在访问桌面的用户设置为强制退出,将用户强制下线(需提供WEB客户端访问和强制用户下线功能的配置截图并加盖原厂公章) | ||
| 14) | 支持VDI桌面远程协助功能,无需依赖第三方辅助插件,当管理员向VDI桌面发起远程协助时,用户可以自主选择接受远程或拒绝远程,方便远程维护操作同时也保障远程接入的安全性。(需提供VDI桌面远程协助时,用户自主选择接受与拒绝的配置截图并加盖原厂公章) | ||
| 15) | 支持VDI客户端批量自动升级功能,服务器端可判断当前客户端是否需要升级,VDI客户端会自动提示是否升级更新至新版本。支持Windows桌面客户端自动升级,在管理端平台下载中心选择上传客户端升级文件,客户端会自动识别升级包并完成升级。(需提供VDI客户端、Windows桌面客户端自动升级功能截图并加盖原厂公章) | ||
| 16) | 支持硬件资产管理功能,可有效记录客户端终端硬件显卡、网卡、BIOS信息、显示器信息等,防止硬件资产丢失,方便管理员及时掌握每个终端硬件资产的最新情况。(需提供硬件等资产信息展示的配置截图并加盖原厂公章) | ||
| 17) | 支持超时自动断开用户会话或重新鉴别用户身份。可定义高峰、低峰时段,并控制高低峰时段预启动的虚拟桌面的数量。(需提供重新验证策略及高低峰限制桌面数量的配置截图并加盖原厂公章) | ||
| 18) | 支持主机、虚拟机资源性能和状态指标设置阀值并告警,如CPU、内存、磁盘、网络。(需提供阈值预警的配置截图并加盖原厂公章) | ||
| 19) | ★.系统支持智能驱动分离技术,能在同一管理平台的Web管理界面里,查看多个硬件配置策略所属同一个系统镜像。在云桌面客户端可以看到多硬件配置的参数界面,界面中可以看到不少于三种类型以上的硬件配置。(需提供管理端上多个硬件配置策略同属一个系统镜像的截图与云桌面客户端中不少于三种硬件配置的参数界面的截图并加盖原厂公章)。 | ||
| 20) | ▲支持个性化设置迁移,系统在重启还原模式下,保留用户自定义的用户名和密码、桌面壁纸、软件等个性化配置,必须保持重启前状态,不会还原,包含“资料迁移、软件迁移、文件注册表”个性化设置迁移的功能。(需提供个性化设置迁移的“资料迁移、软件迁移、文件注册表”的功能截图并加盖原厂公章); | ||
| 21) | 支持对终端本地的硬盘保护,可对本地硬盘中不少于10个的分区进行不保护、还原和不还原三种模式设定。(需提供硬盘保护的功能截图并加盖原厂公章); | ||
| (3) | 高可用 | 1) | 支持全局热备盘技术,要求可以预先在集群中配置热备盘,当任何一台主机的任意一块硬盘出现故障后,可以自动选择1块热备盘进行替换和重建,提高数据的可靠性。支持磁盘或主机的热添加功能,新的磁盘或主机加入集群即可实现扩展,并且扩容过程中业务不会中断。 |
| 2) | 云端采用分布式存储,支持副本池和纠删码池,副本池可自定义支持单副本或多副本。(需提供副本池、纠删码池的配置截图并加盖原厂公章) | ||
| 3) | ★支持网络和硬盘双启动方式,以保障业务连续性,双启动可完全自动执行,同时本地硬盘操作系统和网络读取的操作系统是全自动实时同步的,不需要在本地硬盘安装操作系统或者在断网或者硬盘故障时手工切换重启。在管理端可查看终端机的镜像更新、下载进度及镜像状态。(需提供网络和硬盘双启动方式的功能截图并加盖原厂公章) | ||
| 4) | 终端桌面支持数据快照与恢复功能,可以随时在客户机终端上进入快照状态安装应用或驱动,保存为快照节点,保存快照数量不受限制,当系统文件发生损坏或需要退回某个桌面环境,可随时恢复到指定节点快照,支持所选时间范围内整点保存虚拟机快照。可快速恢复业务,保障业务安全,降低管理难度。(需提供本地快照的配置截图并加盖原厂公章) | ||
| 5) | 云桌面管理平台支持镜像模板自动备份功能,每次操作自动创建还原点,管理员可以灵活设置还原点个数和还原点路径,能够设置的还原点个数应不少于10个。(提供还原点个数设置及还原点路径设置的截图并加盖原厂公章) | ||
| (4) | 并发性能 | 1) | ▲云桌面系统采用WEB管理界面,支持在同一管理界面下针对VDI云桌面、VOI云桌面、IDV云桌面资源进行通过统一管理,在同一界面下展示VDI、VOI、IDV的终端总数量、在线数量、CPU使用率、内存使用率、存储容量使用率、网络流入流出情况等,不得通过页面跳转的方式,降低运维复杂度。(需提供VDI、VOI、IDV三种云桌面在同一个管理界面下的截图并加盖原厂公章) |
| 2) | ▲云桌面产品应具备技术前瞻性,为满足各类业务的桌面场景,需支持VDI、VOI、IDV主流云桌面架构在同一管理界面下进行统一管理。支持不同架构的桌面使用同一策略,相关策略只需设置一次即可同时针对不同架构桌面生效,支持不同架构的桌面资源共用同一个镜像,支持WEB管理端制作及修改镜像模板。支持不同架构桌面分配同一数据盘,用户登录不同桌面资源时,均可访问到自己的存储数据,并无需二次登录认证,高度保障用户数据的统一性。(需提供VDI、VOI、IDV三种云桌面架构在同一平台管理、统一策略、统一镜像模板、统一数据盘的功能截图并加盖原厂公章) | ||
| (5) | 部署能力 | 1) | 考虑到单位的扩容建设问题,云平台需支持分级管理机制,即上级服务器可管理二级服务器,支持分发统一镜像,由二级服务器将镜像分别下发给各自管理的终端,实现整体管理建设;(提供对应功能截图证明并加盖公章) |
| 2) | 支持将虚拟机绑定给指定用户,可指定终端设备使用公用虚拟机资源。支持未绑定用户访问随机分配未被占用的公用虚拟机。支持将一个虚拟机共享给多个用户同时使用,不同用户使用互不影响,实现服务器CPU、内存资源高效共享。(需提供公用虚拟机、个人专用虚拟机、共享桌面的配置截图并加盖原厂公章) | ||
| 3) | 支持教学管理软件在VDI客户端上的屏幕广播功能,采用高清视频传输协议技术,可流畅的将教师机屏幕实时广播给单一、部分或全体学生,支持学生演示功能,支持在虚拟机内及虚拟化底层视频广播,屏幕广播响应时间低于0.5秒; | ||
| (6) | 行为控制 | 1) | ▲支持灵活的数据保护策略,可按时间段设置数据保护模式,如不保护、完全禁用、只读或只写,并支持本地USB过滤,除指定列表中USB设备外,其他USB设备可以被过滤和禁止。(需提供数据保护策略的功能截图并加盖原厂公章) |
| 2) | 支持终端与虚拟机之间使用剪贴板功能(同时支持文件、文件夹、视频、图片等类型的剪贴),管理员可设置虚拟机和终端之间单向、双向数据允许或者禁止剪贴复制的权限。(提供剪贴板策略的配置截图并加盖原厂公章) | ||
| 3) | ▲系统可以支持对用户上网行为的审计功能,能够记录终端计算机上网的URL痕迹。支持终端计算机按时间段进行自动截屏。(需提供记录终端计算机上网的URL的功能和自动截屏功能的配置截图并加盖原厂公章) | ||
| 4) | 为保证内网环境的安全性,系统应支持ARP防护功能,避免因为ARP病毒导致网络瘫痪,并支持流量控制功能,该功能必须是基于驱动层而不是应用层来实现客户机的流量控制,能够按照内网/外网/上传/下载/流量大小等多种条件进行规则判断,能够防止蠕虫病毒产生的大流量数据包发送。(需提供流量控制的功能截图并加盖原厂公章) | ||
| 5) | ▲系统应支持ARP防火墙功能,避免因为ARP病毒导致网络瘫痪;系统支持流量控制功能,能够按照内网/外网/上传/下载的流量大小等多种条件进行规则判断,同时支持设置可信站点不受流量控制的限制。(需提供ARP防火墙和流量控制的功能截图并加盖原厂公章); | ||
(三)维保期:验收签字之日起不少于3年,维保期内产生的相关维保费用均包含在投标报价中。
(四)工期:合同签订后 6个月内。
(五)服务要求
1、为了确保本项目顺利完成,需要投标人具备一定技术实力及服务团队,能有效保障医院零信任项目有序、可行开展;且应该具备良好的安全集成服务资质,经过国家或者国际相关认证的为优。
2、投标人应为本项目提供专业服务团队,该团队包括项目经理和至少三名技术人员。团队所有人员均具有不少于三年网络或信息安全从事经验,同时,技术人员必须对相关安全设备型号具有一定的维护和实施经验,如:熟悉防火墙、零信任参数配置、性能优化调整等。
项目经理负责对该项目整体开展、实施、售后服务工作的统筹协调和管理,并定期与医院协调沟通,保证服务质量。具备PMP认证证书、系统集成项目管理工程师(中级)、CCRC颁发的信息安全保障人员证书(认证方向:安全集成)、ITIL Foundation证书等资质要求, 且须具备6年以上从业经验。
技术人员能力要求,具备PMP认证证书、系统集成项目管理工程师(中级)、CISP(注册信息安全管理人员)认证、CCRC颁发的信息安全保障人员证书(认证方向:安全集成)、CISP-PTS(注册渗透测试专家)等资质。
投标人须保证队伍稳定,并由医院审核,审核通过后才能参与实施工作;中标人必须遵守医院内部各项规章制度和内部操作规程,履行保密义务,签署保密协议,未经批准不得以任何理由泄露任何保密信息和内部资料。
3、为了保障服务质量,投标人应具有但不限于以下资质及能力:
1)中国网络安全审查技术与认证中心信息安全风险评估服务资质
2)中国网络安全审查技术与认证中心信息安全应急处理服务资质
3)中国网络安全审查技术与认证中心信息安全集成服务资质
4)中国网络安全审查技术与认证中心信息安全运维服务资质
5)信息安全管理体系资质证书-ISO27001标准认证
6)质量管理体系资质证书-ISO9001标准认证
7)具备安全软件定向开发能力(提供不少于10个软件著作权证明文件)
4、需提供详细的技术方案,方案应至少包括以下内容:①安装与调试方案;②售后服务和技术培训方案;要求方案表述内容清晰、完整、合理、详细、科学、可行。
5、投标人投标时需提供原厂项目授权函及售后服务承诺函(需加盖原厂公章)。
6、投标人具备信息安全产品类项目经验,提供2021年01月01日以来具有同类型项目案例至少3个,以提供中标通知书或合同要点为准;
7、投标人具备良好的信用记录,未被列入“信用中国”网站中“记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”的记录名单;不处于“中国政府采购网”中“政府采购严重违法失信行为信息记录”的禁止参加政府采购活动期间。(提供承诺证明)
8、售后服务:①维保期内非因的人为原因而出现系统或服务问题,由中标人负责完善、优化或解决,并承担因此而产生的一切费用。中标人应在收到招标人通知后1小时内响应,4小时内派员到现场排障(采购需求要求另有规定除外)。②因工作内容的交付质量问题而发生争议,由广东省或广州市相关质检部门进行质量鉴定。交付内容符合质量标准的,鉴定费用由招标人承担;交付内容不符合质量标准的,鉴定费用由中标人承担。③本项目的售后服务涉及到软件系统的调试测试、优化调整、权限配置等相关的售后工作。
9、培训服务:提供软件管理、配置、使用等相关培训,给出培训内容和计划,总体培训时间不少于1人天。提供完整的产品技术手册、用户手册等文档。技术文档应该全面、完整、详细。
10、安装与调试:中标人必须按项目进度安排计划,派出适当的技术人员到安装现场负责安装和调试工作。包括硬件、网络和电源线路、软件部署等。全部设备和软件安装完成且连接完毕进行系统测试,应严格按测试计划进行,做好各项原始记录。在安装调试期间,严格遵守招标人的有关规定。
(六)验收要求:
1、履约验收时间:招标人收到中标人项目验收建议之日起7日内按照合同的约定对履约情况进行验收,对每一项技术、服务、安全标准的履约情况进行确认。
2、履约验收方式:由招标人和中标人共同进行。
3、履约验收程序:①双方依据规定的程序和条件确认合同项下的产品符合技术规范的要求,由招标人对当次服务质量进行检验。如发现质量等任何一项与采购要求规定不符,招标人有权拒绝接受。②验收合格后,招标人、中标人双方在验收合格单上签字确认。验收时,中标人应交付一切采购内容及交付成果,确保招标人管理、运维人员具备软件、硬件、数据上的一切使用和管理权限。
4、履约验收内容:满足采购需求的要求、投标文件中的相关承诺及合同约定要求。
5、验收标准:按照国家相关行业要求、招标文件要求及响应文件的响应情况进行验收。
(七)付款方式:
1、合同签订及中标人提供等额发票后1个月内,支付合同价款的30%作为预付款;
2、项目验收合格后,中标人提供合同款项等额发票后1个月内,支付合同价款的65%作为验收款;
3、留合同价款的5%作为履约金,在验收合格后正常履行服务的情况下一年后付清。
(八)开标会只允许各投标单位安排一名投标人员参加,且该人员必须与投标报名登记表登记的人员一致,若临时更换投标人员需提前与招标采购中心工作人员联系。
(九)投标文件要求:7份(1正6副),开标前需密封,每份文件均需按序页码。双面打印。
(十)项目需求书条款响应情况:投标人必须对项目需求书的内容逐条响应。“★”号的条款为关键条款,必须实质性响应,负偏离(不满足要求)将导致投标无效(若有);带“▲”号条款为重点条款,不作为无效投标条款(若有)。
| 序号 | 招标需求参数 | 投标实际参数(投标人应按投标设备实际数据填写,不能照抄招标要求) | 是否偏离(无偏离/正偏离/负偏离) | 偏离简述 |
| 1 | | | | |
| 2 | | | | |
| … | | | | |
(十一)述标、答辩:
1、述标部分:述标时间不超过3分钟。述标着重介绍对项目的理解,特别是关键技术层面,述标无需使用PPT。
2、答辩部分:述标之后,由评审小组提问,投标人如实作答。
(十二)投标人应完整、真实、准确的填写招标文件中规定的所有内容,对投标文件所提供的全部资料的真实性承担法律责任,并无条件接受招标采购单位及监督管理部门等对其中任何资料及招标采购单位或监督管理部门认为有必要的资料进行核实的要求。
五、投标人资格
1、投标人应是来自中华人民共和国的独立法人企业或其他组织。
2、本项目不接受联合体投标,不得转包、分包、外包投标标的主体。
六、评标办法:综合评标法
七、报名时间及地点
1、报名时间:2024年5月21日至2024年5月27日17:00;
2、报名方式:本项目只接受电子报名,报名邮箱为:gztcm_zbzx@gzucm.edu.cn。请各投标人将报名需要提交资料加盖公章后扫描,将扫描件发至报名邮箱,邮件名称:项目名称+单位名称;
3、报名需提交资料(需加盖公章)
(1)有效的营业执照复印件(如非“三证合一”证照,同时提供税务登记证及组织机构代码证副本复印件)。投标人在经营范围内投标,如营业执照未记载经营范围,同时提供在全国企业信用信息公示系统查询的单位“登记信息”的打印页面并盖章);
(2)企业法人代表证明书、具有法人签名或盖章的被委托人有效授权书(详见附件);
(3)投标报名登记表(详见附件);
4、报名所需的资料原件请于开标日当天交至招标人招标采购中心工作人员处。报名是否成功,以邮件回复为准。
5、报名成功本项目的投标人,若决定不参与投标,请于2024年5月27日下午17:00前电话或邮件通知招标人。
八、开标时间及地点
1、开标时间:2024年5月29日上午 9:00
2、开标地点:2号楼4楼多功能室
3、投标人员应为报名登记表上登记的负责投标的人员,该人员凭身份证进入开标地点。
九、本招标文件所涉及的时间一律为北京时间
十、联系人:李老师: 36591289;(项目咨询)
郑老师/黄老师:020-36585829;(招标流程咨询)
十一、咨询时间:上午 8:30-12:00,下午14:30-17:30
广州中医药大学第一附属医院
2024年5月20日
附件:
法定代表人授权书
致:广州中医药大学第一附属医院
本授权书声明:注册于 (国家或地区)的 (投标人名称)的在下面签字的 (法定代表人的姓名、职务)代表本公司授权在下面签字的 (被授权人的姓名、职务)为本公司的合法代表人,就“广州中医药大学第一附属医院零信任网络访问系统采购项目(项目编号:广中医一院招【2024】13号)”招标的 (可选“报名”),以我方的名义处理一切与之有关的事宜。
本授权书于 年 月 日签字生效,特此证明。
随附《法定代表人证明书》
附件:
1、代理人(被授权人)身份证或其他有效的身份证明
注:投标人必须在上述附件上加盖公章。
投标人(法人公章):
地 址:
法定代表人(签字或盖章):
职 务:
被授权人(签字或盖章):
被授权人身份证号码:
职 务:
日期:
(投标人可使用下述格式,也可使用广东省工商行政管理局统一印制的法定代表人证明书格式)
法定代表人证明书
现任我单位 职务,为法定代表人,特此证明。
有效期限:
附:代表人性别: 年龄: 身份证号码:_________
企业注册号码: 企业类型:_____________________________________
经营范围:
。
注:投标人必须在上述附件上加盖公章。
投 标 人(法人公章):
日 期:
| 投标报名登记表 | ||||
| 招标项目编号 | | 报名日期 | 年 月 日 | |
| 项目名称 | | |||
| 报名单位名称 | | |||
| 地址(营业执照) | | 邮编 | | |
| 报名人 | 姓名 | 身份证号码 | 手机 | 传真 |
| | | | | |
| 投标人(负责投标的人员) | 姓名 | 身份证号码 | 手机 | 电子邮箱 |
| | | | | |
微信扫码关注
