浙二医院PACS系统改造(浙江大学医学院附属第二医院)

浙二医院PACS系统改造（浙江大学医学院附属第二医院） 一、招标内容与技术要求 1. 设备需求清单 序号 仪器设备名称 数量 1 局域网内网核心交换机 2 2 局域网内网汇聚交换机 10 3 内网24口千兆以太网接入交换机 7 4 数据库服务器 2 5 影像服务器 4 6 WEB服务器 2 7 其他服务器 2 8 配套设备 2 9 San交换机 2 10 NAS 网关 1 11 磁盘阵列柜 1 12 外网核心交换机 1 13 外网24口百兆以太网接入交换机 10 14 外网安全网关（UTM） 1 15 外网SSL VPN 设备 1 2. 具体技术需求 1、 局域网内网核心交换机（2台） 功能与指标 参数要求 推荐品牌 Cisco、H3C、Juniper 产品架构 支持多级交换架构，能够配置独立的交换网板与独立的主控板 虚拟化 支持两台物理设备虚拟化为一台逻辑设备，支持统一的管理、跨设备链路聚合， 实配的所有端口支持以太网端口捆绑技术（IEEE 802.3ad），并实现负载均衡 一个物理设备可支持虚拟交换机数量≥4，且支持每个虚拟交换机： · 拥有独立的配置和管理界面； · 拥有独立的协议软件进程，包括独立的生成树，独立的路由协议，独立的VLAN，独立的VRRP。 · 拥有独立的互不干扰的转发平面 交换容量 ≥4Tbps(全双工双向) 每接口板槽位带宽(全双工双向) ≥400Gbps 包转发率 ≥450Mpps 转发延迟 二层组播平均转发延迟≤20us 三层组播平均转发延迟≤30us 业务槽位数量 ≥8 关键部件冗余 支持电源模块冗余，N+1(N≥2) ，并配置冗余电源 支持主控板1+1冗余 支持网络交换板冗余，N+1(N≥2)，并配置冗余网络交换板 可支持接口类型 支持GE（电/光），支持10GE 整机万兆端口密度 ≥128 链路聚合能力 支持端口聚合，支持跨板聚合 路由转发表容量 ≥128K MAC地址表 ≥128K ACL 支持双向ACL 支持端口ACL 支持VLAN ACL 硬件ACL表项≥64K 硬件支持以太网二层加密 接口板硬件支持802.1ae以太网二层链路加密 分布式控制平面保护 每张线卡独立控制和实现控制平面的流量保护 Qos 支持DWRR 和SRR等队列调度机制 支持VOQ 认证协议特性 支持IEEE 802.1x 生成树协议 支持STP/RSTP/MSTP协议，符合IEEE802.1D、IEEE802.1W、IEEE802.1S 组播协议 支持PIM sparse mode (PIM-SM)，PIM Source Specific Multicast（SSM）,PIM Bi-Direction,MSDP 路由协议 支持静态、BGPv4、IS-IS、OSPF、RIPv2.0 等值路由 支持至少16条等值路由 可靠特性 支持交换网板拔出0丢包 支持双引擎快速倒换，主控冗余时模块间支持状态化故障切换，支持主控板拔出0丢包 支持不间断业务在线软件升级（ISSU） 服务要求 提供原厂商三年服务承诺书 设备管理 SNMP V1/V2/V3； Syslog，SSHv2；支持WEB网管，支持MIB-II；图形化管理 支持内嵌事件管理器; 独立带外管理CPU，具有主控引擎的独立带外管理CPU 实配分布式Netflow/NetStream（符合RFC 3954）硬件转发 · 每张实配线卡支持Netflow/NetStream表项≥512K · 支持Aggregated / Flex-Netflow · 支持采样（Sampling），且支持1：1线速采样 扩展性 支持升级到40G/100Gbps 支持升级到统一的FCoE/DCE 配置要求 1、提供万兆核心交换机两台，并进行虚拟化 2、电源提供冗余备份 3、每台提供配置单引擎 4、每台设备提供交换网板≥3 5、每台提供万兆端口≥32 6、每台提供千兆以太网光口≥48 7、每台提供万兆多模光模块12块（含尾纤） 8、每台提供千兆多模光模块20块（含尾纤） 9、每台提供千兆光（SFP）转电（RJ45）模块20块 2、局域网内网汇聚交换机（10台） 功能与指标 参数要求 机型 插槽式模块化硬件三层交换机 业务插槽数量 插槽数量≥2 交换容量 ≥300Gbps 包转发率 ≥200Mpps VLAN　ID数量 ≥4K 关键部件冗余 支持冗余电源 路由特性 支持RIP、OSPF、BGP-4等路由协议 支持路由策略和策略路由 支持IGMP v1/v2/v3、IGMP Snooping、PIM、MSDP等协议 支持IPV6，通过IPv6第二阶段认证 高可靠性 支持端口聚合，支持链路跨板聚合， 支持在线软件升级功能ISSU,支持接口模块的热插拔 QoS支持 支持根据IP ACL、IP Precedence、DSCP、802.1Q/p、COS等标准的分类机制。支持优先级队列调度：每端口支持8个优先级队列，3个丢弃优先级、，支持WRED拥塞避免算法，支持流量整形，支持基于时间段的流分类和QoS控制能力 ACL支持 支持标准和扩展ACL，支持出入方向的ACL，支持VLAN的ACL 管理协议 支持SNMPv3，支持RMON 1/2/ 支持通过命令行、Web、图形化配置软件等方式进行配置和管理 服务要求 提供原厂商三年服务承诺书 认证 提供信息产业部入网证，要求入网证上生产企业和申请单位为同一名称 品牌 与局域网核心交换机同品牌 配置要求 1、提供局域网内网汇聚交换机10台 2、每台设备提供冗余电源 4、每台设备提供线速万兆端口≥8个 5、每台设备提供线速千兆以太网光口≥16个 6、每台提供万兆多模光模块2个 7、每台提供千兆多模光模块16个 3、内网24口千兆以太网接入交换机（7台） 功能与指标 参数要求 交换容量 ≥32Gbps 包转发率 ≥35Mpps 端口配置 提供10/100/1000M以太网电口≥24个 提供千兆以太网光口≥4个，共提供28个实际可用千兆接口 VLAN 支持基于端口的VLAN，VLAN ID数≥4K 路由协议 支持静态、RIPv2等路由协议，支持MCE 服务要求 提供原厂商三年服务承诺书 ACL 支持L2~L4的包过滤功能，提供基于源MAC地址、目的地址、源IP地址、目的IP地址等的流分类 支持时间段ACL 支持基于端口下发ACL Qos 支持每个端口输出队列≥4个 入端口限速粒度≤8K 支持端口队列调度（SRR） 安全 支持802.1x认证、Radius认证 支持DHCP　Server 支持DHCP snooping, 动态ARP检测(DAI)功能，IP Source Gurad等安全特性 支持SSH 2.0 支持端口隔离 管理 支持SNMP V1/V2/V3 支持Web网管 支持时域反射器 支持LLDP协议 支持RMON 支持Syslog 品牌 与局域网核心交换机同品牌 配置要求 1、提供千兆接入24端口交换机7台 2、提供千兆多模光模块14个（含尾纤） 4、数据库服务器：2台 指标项 技术参数 推荐品牌 国际知名品牌，所有服务器必需为同一品牌 硬件规格 机架式高度≤4U，配置机架安装导轨 CPU 当前配置2个四核INTEL E7420处理器，可扩展至4路以上，通过增加机箱扩展卡，可以扩展到16路64核。 内存 配置8G内存,内存插槽≥32个，支持四位纠错、内存镜像、内存冗余位校验，内存热添加和热插拔，最大可扩展至256G，通过增加机箱扩展卡，可以扩展到1T或者更高。 硬盘 2个 146GB 10K SAS 3G 2.5"双端口热插拔硬盘，最大内部硬盘扩展≥4 阵列控制器 标配阵列控制器，可实现RAID-0/1 HBA卡 配置2块4 Gb单口光纤通道卡 PCI I/O插槽 ≥7个PCI-E（x8） 插槽 网卡 2块10/100/1000Mb自适应以太网卡 电源风扇 配置冗余热插拔电源，满配热插拔电源风扇 光驱 配置内置 CDRW/DVD Combo 管理维护 对CPU、内存、硬盘驱动器等关键部分的潜在的故障具有提前预警能力； 2.故障部件的快速诊断功能 ：能够通过诊断板快速定位故障的部件，提高维修速度； 5、影像服务器：4台 指标项 技术参数 推荐品牌 国际知名品牌，所有服务器必需为同一品牌 硬件规格 2U机架式 CPU 2个四核英特尔至强处理器E5504 2.0Ghz 内存 配置4G内存 可实现高级Chipkill 内存保护功能, 内存镜像 内存最大支持≥128GB 硬盘 2块146G 10K SAS 2.5”硬盘 便于以后扩容，预留硬盘插槽≥10个 阵列控制器 标配阵列控制器，可实现RAID-0/1 PCI I/O插槽 ≥4个PCI-E (x8)插槽 网卡 标配双10/100/1000Mb自适应以太网卡 电源风扇 配置大于600W冗余热插拔电源，满配热插拔电源风扇 光驱 内置 CDRW/DVD Combo 管理维护 1、对CPU、内存、硬盘驱动器、电源及风扇等关键部分的潜在的故障具有提前预警能力； 2.故障部件的快速诊断功能 ： 在断电的情况下，能够通过诊断板快速定位故障的部件，提高维修速度。 6、WEB服务器：2台 指标项 技术参数 推荐品牌 国际知名品牌，所有服务器必需为同一品牌 硬件规格 2U机架式 CPU 2个四核英特尔至强处理器E5504 2.0Ghz 内存 配置4G内存 可实现高级Chipkill 内存保护功能, 内存镜像 内存最大支持≥128GB, 硬盘 2块146G 10K SAS 2.5”硬盘 便于以后扩容，预留硬盘插槽≥10个 可支持SAS/SATA/SSD(固态硬盘），要求最大硬盘容量大于6.0T 阵列控制器 标配阵列控制器，可实现RAID-0/1 光纤通道卡 配置单口4GB光纤通道卡2块 PCI I/O插槽 ≥4个PCI-E (x8)插槽 网卡 标配双10/100/1000Mb自适应以太网卡 电源风扇 配置大于600W冗余热插拔电源，满配热插拔电源风扇 光驱 内置 CDRW/DVD Combo 管理维护 1、对CPU、内存、硬盘驱动器、电源及风扇等关键部分的潜在的故障具有提前预警能力； 2.故障部件的快速诊断功能 ： 在断电的情况下，能够通过诊断板快速定位故障的部件，提高维修速度。 7、其他服务器：2台 指标项 技术参数 推荐品牌 国际知名品牌，所有服务器必需为同一品牌 硬件规格 2U机架式 CPU 2个四核英特尔至强处理器E5504 2.0Ghz 内存 配置4G内存 可实现高级Chipkill 内存保护功能, 内存镜像 内存最大支持≥128GB 硬盘 4块300G 10K SAS 2.5”硬盘 便于以后扩容，预留硬盘插槽≥8个 可支持SAS/SATA/SSD(固态硬盘），要求最大硬盘容量大于6.0T 阵列控制器 配置单独阵列控制器，可实现RAID-0/1/5/6/10/50/60，可配置支持硬件加密的RAID卡； PCI I/O插槽 ≥4个PCI-E (x8)插槽 网卡 标配双10/100/1000Mb自适应以太网卡 电源风扇 配置大于600W冗余热插拔电源，满配热插拔电源风扇 光驱 内置 CDRW/DVD Combo 管理维护 1、对CPU、内存、硬盘驱动器、电源及风扇等关键部分的潜在的故障具有提前预警能力； 2.故障部件的快速诊断功能 ： 在断电的情况下，能够通过诊断板快速定位故障的部件，提高维修速度。 8、配套设备：2套 名称 技术规格要求 数量 机柜等 42U服务器机柜、IP KVM（8口）、折叠式显示器 2套 9、San交换机:2台 指标项 技术参数 推荐品牌 国际知名品牌，建议与服务器同一品牌 硬件规格 24口 SAN交换机，激活16口，配16个8GB SFP模块及相关线缆 保修 提供原厂三年7*24保修承诺函原件 10、NAS 网关：1台 指标项 技术规格要求 数量 1台 总体要求 与服务器同一品牌 控制器 双控制器，采用64位技术，主频大于等于2.4G；冗余配置； 双控制器需要支持Active-Active的双活（即主-主的的配置）工作模式；如果不支持同时配置主-主和主-备的工作模式，必须配置3个或者更多控制器，保证2个以上控制器可以配置为 主-主。 存储操作系统 专用存储操作系统（非Windows、非Linux） 缓存 配置有效缓存≥8GB（不包含后端设备内存，不包含备用缓存，如果缓存为镜像缓存，必须配置16G，保证可用8G） 最大可扩展到64GB（不包含后端设备内存，不包含备用缓存） 通过集群或者升级的方式，可以扩展到160G以上。 系统开销内存 当前配置1G，记录缓存日志等信息。 存储协议 配置CIFS、iSCSI、FC SAN存储协议，支持NFS、HTTP、NDMP等 支持操作系统 支持主流操作系统：Solaris，IBM AIX，HP-UX，Red Hat Linux，Windows等 sfs2008性能指标 并发操作数IOPS≥40,000 ops/s，延迟ORT<3ms FC端口 类型及数量 配置4Gb FC端口≥12，8Gb FC端口≥4 最大可扩展到32个4Gb FC端口，并支持8Gb FC端口 IP端口 类型及数量 配置1Gb千兆IP端口（电口）≥8，最大可扩展到32个1Gb千兆IP端口，并支持10Gb万兆端口 管理端口 配置远程Console端口，可以实现远程开机、关机 硬盘 类型及数量 单台存储系统最大磁盘扩展能力≥420，支持FC、SAS和SATA磁盘混插，NAS最大可用420T的容量（必须提供官方声明文件） 异构存储支持 支持将主流品牌的异构光纤存储接入同一个存储系统，可以实现跨磁盘阵列的统一RAID和LUN管理。投标时请提供支持列表和白皮书 RAID 支持RAID1/5/10或RAID4+/DP等多种RAID存储方式，支持RAID在线升级，满足同一RAID组同时有任意两块磁盘发生故障的情况下，仍能够确保数据安全 在线扩容 配置在线扩容功能，能实现在线添加磁盘，扩展NAS空间，扩展LUN空间 快照功能 配置快照功能，并且启动此功能后不能影响存储系统性能； 单卷最大快照数≥255 重复数据删除 功能 配置重复数据删除功能 瘦供给功能 配置瘦供给功能，实现容量按需分配；用户可分配大于实际对应物理空间的逻辑空间，文件系统空间可按需动态扩大或缩小 克隆功能 支持克隆功能，能基于时间点生成可读写的克隆副本，并且启动此功能后不能影响性能 容灾功能 支持对所有空间（NAS、iSCSI、SAN）提供通过内置IP链路（不用SAN router类高成本专用转换设备）的数据容灾功能，支持同步、异步、半同步的多种方式 管理 提供以Web界面管理工具以及终端、远程登陆的方式进行管理的功能 保修 提供原厂三年7*24保修承诺函原件 售后服务 所投品牌在杭州设立工商注册的分公司，有独立的售后人员 所投产品生命周期 必须是该厂商的最新一代产品。 11、磁盘阵列柜：1台 项目 指 标 要 求 品牌 与存储网关和服务器同一品牌 操作系统 支持主流操作环境：Solaris, IBM AIX, HP-UX, Red Hat Linux, Windows 2003，IBM AS/400等 可靠性 没有单点故障，阵列控制器实现冗余。必须支持不停机维护、在线调整（包括软、硬件升级、扩容、设备更换等操作） 控制器 双控制器双活，配置专用硬件RAID控制器和专用数据处理控制器。 主机端口 8Gb/s FC端口数≥8 ，最大可以扩展到16个。 磁盘端口 4Gb/s 后端磁盘通道（LOOP）≥16，支持交换和LOOP两种模式 配置容量 16个450G， 15000转光纤硬盘； 16个1T，7200转的SATA硬盘。 最大磁盘扩充能力 单柜支持16个硬盘槽位，最大支持大于等于448个硬盘，所有硬盘扩展过程不停机（要求以官方网站资料为准）；单柜内可以实现SATA硬盘和光纤硬盘的混插，并不影响性能。 吞吐量 ≥6400MB/s IOPS ≥650，000 IOPS，要求官方网站有公开IOPS值；在www.storageperformance.org上有公开测试值：SPC-1超过60000，SPC-2超过4500MB/s。 最大支持LUN数量 ≥2048 LUN 容量管理 LUN 容量管理可以在不影响应用运行的情况下，动态调整LUN大小，支持超过28个硬盘做进同一个RAID，最大LUN容量超过28T。 缓存 配置数据Cache≥8GB，系统Cache≥4GB。最大缓存可以扩展到64GB采用镜像保护技术 分区* 配置8个分区使用许可，最大支持512个分区（LUN-Masking分区）。 软件 支持FlashCopy和VolumeCopy。配置存储管理软件的无限容量许可和大于255个主机并发连接许可。 线缆 提供连接所有设备(包括原有服务器和新增服务器)并实现冗余连接的光纤 电源风扇 支持冗余 访问控制 具有严格完善的访问控制解决。既能满足数据共享，能够允许多达512台不同类型操作系统的主机访问不同的LUN,又能够隔离无关系统对数据的操作。 RAID支持类型 采用磁盘阵列RAID技术，当前配置能够支持RAID 0、RAID 1、RAID10、RAID5，RAID6等多种RAID方式 磁盘柜 磁盘柜为机架式，可扩充 保修 提供由 3 年原厂工程师 7*24 现场服务保修承诺函原件，要求原厂商在浙江有分公司 12、外网核心交换机：1台 指标项 指标要求 品牌 Cisco、H3C、Juniper 机型 插槽式模块化硬件三层交换机； 业务插槽数量 业务插槽数量≥5； 交换容量 ≥300Gbps； 包转发率 ≥200Mpps； 端口密度 最大千兆端口数≥220，最大万兆端口数≥22 最大MAC数量 ≥55K 最大路由数量 ≥57K IPV6 硬件支持IPv6 所配置的板卡必须支持IPv6 支持IPv6路由转发 支持IPv6 Extended ACLs 支持IPv6/IPv4 Tunnel 支持IPv6的MTU path Discovery VLAN ID数量 ≥4K； 关键部件冗余 支持冗余引擎，支持冗余电源； 路由特性 支持静态、RIPv2等路由协议； 支持IGMP v1/v2/v3、IGMP Snooping、PIM、等协议； 高可靠性 支持端口聚合，支持链路跨板聚合 支持在线软件升级功能ISSU,支持接口模块的热插拔 QoS支持 支持根据IP ACL、IP Precedence、DSCP、802.1Q/p、COS等标准的分类机制。 ACL支持 支持标准和扩展ACL，支持出入方向的ACL，支持VLAN的ACL； 管理协议 支持SNMPv3，支持RMON 1/2 支持通过命令行、Web、图形化配置软件等方式进行配置和管理； 服务要求 提供原厂商三年服务承诺书； 认证 提供信息产业部入网证，要求入网证上生产企业和申请单位为同一名称 配置要求 提供冗余交流供电模块 提供双引擎， 提供千兆以太网光口≥24个 提供千兆以太网电口≥48个 提供多模光模块22个 提供单模光模块2个(10km) 13、外网接入交换机：10台 功能与指标 参数要求 品牌 与外网核心交换机同一品牌 交换容量 ≥32Gbps 包转发率 ≥35Mpps 端口配置 提供10/100/1000M以太网电口≥20个 提供千兆以太网光口≥4个 VLAN 支持基于端口的VLAN，VLAN ID数≥4K ACL 支持L2~L4的包过滤功能，提供基于源MAC地址、目的地址、源IP地址、目的IP地址等的流分类 硬件支持ACL Qos 支持每个端口输出队列≥4个 支持端口队列调度（SRR） 路由 支持静态路由、RIP路由协议 安全 支持802.1x认证、Radius、WEB认证 支持SSH 2.0 支持DHCP　Server 支持DHCP snooping, 动态ARP检测(DAI)功能，IP Source Gurad等安全特性 支持端口隔离 管理 支持SNMP V1/V2/V3 支持Web网管 支持时域反射器 支持LLDP协议 支持RMON 支持Syslog 配置要求 1、提供千兆接入24端口交换机10台 2、提供千兆多模光模块8个（含尾纤） 3、提供单模光模块2个(10km) （含尾纤） 14、外网安全网关（UTM）设备：1台 项目 技术要求 网络接口 具备5个以上100/1000 Base-T 网口 吞吐速率 1.5 Gbps 并发会话数 1,200,000 转发时延 0.1 ms Bypass功能 支持故障时Bypass功能 配置界面 支持中文界面（使用专用安全GUI客户端） 工作方式 路由模式、透明模式、旁路模式 功能要求： 项目 指标 具体功能要求 部署方式 网关模式 设备必须支持网关模式，以提供代理上网，路由转发等功能 网桥模式 设备必须支持网桥模式，以透明方式串接再网络中 旁路模式 设备必须支持旁路模式，在不影响原有网络情况下，实现对用户网络访问行为的审计和部分控制功能 VLAN支持 支持Access、Trunk模式；支持Vlan的穿透和终结 多路桥接 设备必须支持多路桥接功能，即支持网桥模式下至少二个Lan口，二个WAN口的部署方式 设备管理 WEB管理界面 以SSL加密的WEB图形化界面进行设备配置和管理，支持中文/英文界面 远程管理 支持SSH、Telnet、Web方式远程管理 分权限管理 支持对设备管理员进行访问权限分级 自动告警 实现对攻击（DOS攻击、ARP欺骗）、病毒、含有指定关键字的Web上传、指定类型文件上传、发送泄密邮件等行为的自动告警功能 策略故障排查 提供图形化诊断工具，便于管理员发现错误策略、策略故障等问 用户认证 用户认证方式 支持触发式WEB认证（在WEB认证时支持某些IP范围的用户可不通过WEB认证）；支持LocalDB本地自建、LDAP、AD、Radius、POP3、前置PROXY等认证方式 USB-Key认证 支持用户采用USB-Key的双因素身份认证 新用户认证功能 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户，同时绑定IP/绑定MAC/绑定IP和MAC；且新用户自动加入指定用户组，分配指定的访问权限 公用帐户 支持创建公用帐户以允许多人同时使用，并支持帐户有效时间限制 IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC；*支持跨三层设备的IP-MAC绑定功能 单点登录 支持LDAP、AD的单点登录，基于数据包侦听，无需在域控服务器上安装任何插件；支持POP3、PROXY的单点登录 认证不通过用户 支持给未认证通过用户授予基本网络访问权限（默认组权限、除HTTP外） 帐户导入导出 支持从LDAP、AD服务器导入帐户信息；支持文本方式导入帐户、分组、IP、MAC、认证方式、描述、密码等信息 用户认证管理 支持通过WEB界面，查看认证后的用户列表和当前在线用户列表信息 公告文件显示 支持给未通过/通过认证的用户定向显示指定的公告文件页面 网页控制功能 URL（网址）过滤 内置超过800万条预分类的URL库，允许输入新URL地址和创建新分类；支持基于时间段的URL过滤，时间段可自定义 关键字过滤 可过滤通过搜索引擎搜索指定关键字（关键字可定义）；可针对网页正文关键字进行网页过滤； 可过滤用户通过BBS、Webmail、Blog等方式发送带有指定关键字的言论 反钓鱼网站功能 支持对SSL加密的钓鱼网站的识别和过滤 SSL加密的炒股网站 支持对SSL加密的炒股网站、证券基金网站、在线购物网站的识别和过滤 文件类型过滤 识别和过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP传输文件的识别和过滤 邮件控制功能 邮件地址限制 可限制指定后缀的邮件地址通过SMTP发送邮件； 可控制哪些用户可以使用哪些邮箱发送邮件； 邮件附件过滤 可控制用户所发送邮件的附件类型 邮件关键字过滤 可限制发送含有指定关键字的邮件 SSL加密邮箱控制 对用户可能使用SSL加密邮箱（如Gmail）的行为进行识别和限制 Webmail控制 可限制用户使用Webmail； 过滤用户Webmail邮件正文的指定关键字； 记录Webmail邮件正文及附件； 邮件监控 可监控所有通过Outlook、Foxmail等发送，接收的邮件； 邮件延迟审计功能 能对外发邮件进行延迟缓存，审计后才发出，且对发送者完全透明； 支持根据收件人地址、邮件大小、附件个数、关键字等条件进行邮件延迟缓存； 邮件延迟缓存后会自动通知审核人员，并支持在指定时间段未审核后，自动删除邮件或放行邮件 垃圾邮件过滤功能 对接收的邮件进行垃圾邮件过滤 应用识别和管理 应用识别规则 至少包括19个大类、220种以上的应用识别规则； 不采用过时的IP和端口识别，通过深度内容检测，根据应用特征码进行应用识别； P2P智能识别 支持对加密P2P、版本泛滥的P2P、未来可能出现的P2P进行识别和控制 Skype识别 必须能够彻底识别和封堵Skype的应用 P2P识别 包括：BT、BitComet、Kugou、eMule、Vagaa、PP点点通、POCO、百度下吧、百宝、Gnutella、Foxy、Kugoo等 P2P流媒体识别 包括：沸点电视、蚂蚁电视、猫眼电视、MySee、51TV、SopCast、QQLive、PPStream、UUSee、PPVod、P2PSrv、PPLive、TVKoo、QVOD、PPRich、PPGou、51TK、风行、球皇、VGO、FastTV等 IM识别 包括：阿里旺旺、雅虎通、QQ、TM、MSN、MSNShell、网易POPO、新浪UC、ICQ、POCO、卡盟等 网络游戏识别 包括：联众游戏、游戏中心、浩方、QQ游戏、MSNGame、边锋游戏、联众好友、新浪游戏大厅、网易泡泡、游戏茶苑、互动游戏中心、TOM在线游戏、UU棋牌、远航游戏等 炒股识别 包括：大智慧、钱龙、股票行情、同花顺、证券之星、富贵满堂、未来趋势、分析家、和讯股道、股道、通达信系列炒股软件、华安证券、银河证券、MSN炒股等 识别规则自定义 允许管理者根据应用协议特征字段和特征码，手工添加新的应用识别规则，实现个性化封堵 上网控制 可分组、分时段、分用户控制用户可以使用的网络服务（包括网页、下载、QQ、MSN、游戏、Email等） IM控制 可分组、分用户、分时段封堵所有聊天软件 P2P控制 可分组、分用户、分时段封堵各种P2P工具； 并对加密P2P、版本泛滥的P2P、未来可能出现的P2P提供封堵策略； SSL控制 可控制用户访问被SSL加密的网站； 控制用户使用被SSL加密的应用，如Gmail； 避免用户访问被SSL加密的钓鱼网站； 代理控制 识别并禁止使用HTTP、Socks代理； 对HTTP/HTTPS端口中封装的其他协议进行封堵； 可禁止内网用户使用代理软件代理他人上网 时间限制 支持基于时间段的访问控制策略； 支持对用户的总上网时间的限制策略； 排除IP 支持排除IP功能，即用户访问排除IP的行为将不进行控制和监控 流量控制功能 Internet多线路支持 支持复用2条以上Internet线路，多线路间可互为备份、负载均衡、且能够实现流量的智能选路 应用协议流控 针对不同的用户分组、根据应用协议类型进行带宽分配和流量管理 网站类型流控 针对不同用户分组、根据其访问的目标网站类型进行带宽分配和流量管理 文件类型流控 针对不同用户分组、根据其上传下载的文件类型进行带宽分配和流量管理 静态/动态带宽分配策略 支持静态带宽预留策略和动态带宽保证策略 单用户带宽分配 支持为组内每用户进行带宽分配，分配策略包括平均分配和自由竞争 基于时间段的流控 支持根据不同用户分组、不同时间段分别流量管理和带宽分配 WAN->LAN的流控 支持WAN(LAN方向访问行为的流量管理功能 监控和审计 实时会话监控 对用户实时会话数进行排名； 可查看指定用户当前具体会话信息； 实时流量监控 对用户产生的实时流量，包括上行、下行流量，进行排名和查看； 实时连接监控 监控用户的实时连接情况，并能断开指定用户的指定连接； 异常用户冻结 支持对异常用户进行临时冻结，阻止其网络访问，并能在冻结时间结束后，自动解冻 访问网站监控 分组、分用户监控用户访问的网址、网页标题或整个网页内容，或只记录含有指定关键字的网页内容 网络言论监控 分组、分用户监控用户通过BBS、WEBMail、BLog等发送的网络言论 邮件监控 分组、分用户监控用户发送、接收的所有邮件包含附件； 支持对Webmail正文及附件的监控和记录 IM监控 监控和记录QQ聊天内容，及市面上流行的所有聊天软件的聊天内容，包括：QQ、MSN、Gtalk、新浪UC、网易泡泡、Skype等 FTP监控 分组、分用户监控通过FTP上传的文件（和内容）及FTP上传下载行为 Telnet监控 监控用户的Telnet行为 其它网络行为监控 可监控用户的其它所有网络行为 管理员/系统日志记录 支持对管理员的所有操作日志、系统日志的监控和记录 免监控功能 支持指定用户使用“免审计key”，实现对该用户所有网络访问行为的免监控功能 自动邮件告警 对特定安全事件支持通过邮件自动告警 WAN->LAN的审计 支持审计WAN->LAN方向的应用行为，如FTP，HTTP，Mail等，能审计文件名，文件类型，URL和邮件等。 流量审计 统计指定用户在指定时间段内产生的总流量； 统计指定用户在指定时间段，使用指定应用协议产生的流量，如使用BT和大智慧产生的流量进行审计 时间审计 统计指定用户在指定时间段内产生的总上网时间； 统计指定用户在指定时间段，使用指定应用协议的上网时间，如使用QQ、网游、大智慧的上网时间 日志审计、报表、检索功能 日志集中管理 一个网络访问行为日志中心，可以以WEB方式查看多台网关设备的日志监控数据 独立日志中心 行为日志支持存储于设备本身； 考虑到设备内置存储空间有限和对性能的影响，必须支持将日志自动转存于第三方独立日志服务器，且必须以数据库形式存储 图形化日志审计工具 日志中心支持通过图形化工具，对日志进行分析、审计、统计、绘图等 报表分析功能 支持对各种网络监控数据进行报表分析及图形化分析，包括柱状图、饼状图，趋势图等 自动报表 根据管理员设定，日志中心能自动将指定时间段的指定统计结果汇总成PDF等报表文件，发送到指定Email邮箱 内容检索 支持类似百度的搜索工具，实现对海量日志的内容检索； 支持对日志中所记录附件：OFFICE、TXT、PDF等文档的正文内容的检索 主题订阅 支持将管理者感兴趣的内容检索结果周期性的自动形成报表结果，发送到指定邮箱 终端安全检查功能 终端安全检查 访问互联网时对存在安全隐患的终端设备进行预检测（检测范围包括操作系统补丁、杀毒软件、注册表、硬盘文件、进程等），只有满足预设安全要求的终端才允许访问互联网 防火墙基本功能 防火墙功能 基于状态检测的防火墙； 防火墙规则可基于时间段生效或失效（时间段可由用户定制） 路由功能 支持以源IP地址、目标IP地址、协议、源端口、目标端口为条件的策略路由功能 代理上网功能 支持代理内网用户访问Internet NAT功能 支持SNAT、DNAT、PNAT DHCP功能 支持DHCP功能，为接入用户动态分配IP地址 防火墙QOS功能 支持智能QOS，可根据源IP地址、目标IP地址、协议、端口对不同业务的数据分优先级投递，保证重要业务 网关杀毒功能 网关防毒功能 集成业界知名杀毒引擎，实现网络杀毒； 支持对HTTP、POP3、SMTP、FTP等协议的网络防毒功能； 对RAR，Gzip等压缩包内文件同样提供病毒查杀支持 防DOS攻击功能 防DOS攻击 不仅防范来自外网的DOS攻击，对于来自内网的DOS攻击同样能够防御； 侦测出内部发起DOS攻击的客户端，并封堵其访问行为及流量 防ARP欺骗 防ARP欺骗 支持对用户终端和网关的双向防ARP欺骗功能，抵御ARP欺骗攻击 IPS功能 IPS功能 支持IPS入侵防御系统，抵御超3000种网络攻击行为 资质要求 公安部《信息安全产品检测中心检验报告》 《国家信息安全认证产品型号证书》 国家保密局《涉密信息系统产品检测证书》 国家保密局涉密信息系统安全保密评测中心《检测报告》 具有国密办商用密码产品生产定点单位证书 具有国密办商用密码产品型号证书 具有国密办商用密码产品销售许可证 提供所有软件特征库三年免费升级 提供原厂三年质保函 15、外网SSL VPN设备:1台(开放20个VPN用户) 分类 功能 详细指标 性能 最大并发用户数 200 并发会话数 2000 SSL VPN加密速度（RC4 128bis） 70 Mbps SSL VPN转发时延 0.3-0.4 ms SSL VPN每秒新建会话数 35 设备吞吐量 95M bps 最大并发会话数目 100,000 最大防火墙规则数目 65535 最大URL匹配数目 1024 最大时间规则数目 1024 规格 最大QOs规则数目 1024 局域网接口 100RJ-45×2 广域网接口 100RJ-45×2 控制口 RS232*1 电气特性 电源 180-240V 使用环境温度 -10~ 50 ℃ 使用环境湿度 5~90%，非冷凝 功能 操作易用性 IPSEC、SSL VPN二合一网关，同时支持IPSec VPN和SSLVPN两种VPN协议；用户可以自行选择采用IPSec或SSL方式移动接入； SSLVPN功能支持对基于IP（TCP、UDP、ICMP）的所有B/S、C/S应用系统的支持，例如视频、语音、Ping等服务 支持通过web方式访问FTP、Mail服务 提供页面定制功能，可根据自行需要定义欢迎、登录、服务、注销、出错、短信认证界面 产品支持单点登录功能（SSO）,支持移动用户登录VPN后再登录内部B/S、C/S应用系统时不需要二次重复认证，支持NTLM方式单点登录 支持拨号、ADSL、CDMA、GPRS等各种网络接入方式 支持socks、http代理穿透，支持NAT穿透 支持Pocket PC、PDA、SmartPhone、Palm、智能手机等移动设备的接入 采用标准SSL 协议，只对外开放443端口 第三方权威测试单位认证的真正的SSLVPN（而非将IPSec VPN封装到443端口实现） 支持用户、用户组、各种资源的查询和排行功能 高安全性 支持用户登陆前和登陆后的安全性检测，检测范围包括：进程、文件、注册表、操作系统，可以检测出客户端是否安装指定的防火墙或杀毒软件。可以根据需要做与或规则。（提供自主知识产权证明） 客户端注销后自动清除所有缓存和临时文件，清除客户端访问记录，实现零痕迹访问 支持客户端主机硬件特征码认证，通过获取客户端的硬件信息生成HARDCA证书，实现HARDCA证书和用户账户的绑定，实现用户身份的唯一性控制（提供自主知识产权证明） 产品具有VPN专线功能，移动用户在接入VPN内网的同时断开与Internet其他连接的功能 产品应具有细粒度的权限分配功能：可以针对被访问资源的IP地址，端口，提供的服务，URL地址等进行权限控制。针对不同的用户和用户组，基于角色的权限控制功能； 产品应支持主流的商业加密算法，包括：AES,DES,3DES,MD5,SHA,DH,RSA等，并支持加载扩展其他安全算法模块 产品应具备基于状态监测技术的防火墙功能，能够抵抗常见的网络攻击，能够进行包过滤或ACL控制（访问控制）。对防火墙的过滤规则能够进行虚拟测试，避免人为配置错误 认证丰富性 产品支持Local DB ，LDAP(MS/OPEN/SUN)/AD ，Radius等第三方认证 支持用户名密码认证（提供图形验证码，软键盘等强密码验证技术）/ USB Key双因素认证/Secure ID(动态令牌认证) 支持短信认证（用户可自己更改绑定的小灵通或者手机号码） 支持对于上面提供的多种身份认证方式的与或组合，必须实现4因素绑定认证，实现更高的安全级别（提供界面支持） 内置CA认证中心，并支持基于PKI体系的第三方CA认证 采用PDA，SmartPhone等移动终端接入时，支持数字证书以及图形码验证功能（提供界面证明） 高速性 IPSec功能需支持LZO等加速技术，另外对跨运营商等丢包环境需提供畅联等技术提升访问速度（提供自主知识产权证明） 内置LZO流压缩算法，提高数据传输率；在采用CDMA，GRPS等移动网络时，使用SSLVPN访问速度可以提升两倍以上；采用普通网络接入方式，使用SSLVPN访问速度平均提升130% 支持WEB压缩，提高访问速度（提供界面证明） 产品支持至少4条公网线路叠加，扩展带宽的同时，能够实现多线路之间流量的负载均衡（提供自主知识产权证明） 产品支持基于web的线路自动优选技术：对于采用不同运营商接入的移动用户，无插件的自动优选最快的线路接入VPN网络（提供自主知识产权证明） 支持PDA，SmartPhone等手持设备基于web的线路自动优选技术 管理易用性 设备的配置和管理，支持完全通过web图形化方式完成，无需安装任何客户端软件 产品能够实现管理员的分级分权限管理：支持多用户操作，允许不同的管理员进行相应权限范围内的管理 通过产品web图形化的管理配置界面，可实时监控系统运行状况、用户接入情况，并能在线中断指定用户 产品支持第三方独立的日志和审计功能中心，包括系统运行日志、管理员日志、用户登陆日志等，实现各种日志的海量存储；其中用户日志包括访问者的用户名、源IP地址、访问资源的详细列表，并通过柱状和饼状图协助管理员了解VPN的应用情况； 具有备份功能，支持本地和远程备份及恢复 支持网关、单臂接入方式 可选硬件加速卡，加快数据处理速度，提升设备性能 无故障运行时间（MTBF）大于40,000小时 高可用性 产品支持双机热备方式 公网线路支持多线路互为备份，带宽叠加和智能选路技术（提供自主知识产权证明） 产品支持不依赖于第三方的动态IP寻址系统和动态IP组网支持（非DDNS，提供自主知识产权证明） 产品支持普通拨号、ADSL拨号等连接方式，并具备自动拨号、代理上网等功能，其中自动拨号能够在Internet线路中断的情况下自动进行重拨，无需人为干预 企业资质 IPSec国家标准制定厂商之一 具有国密办商用密码产品生产定点单位证书 具有国密办商用密码产品型号证书 具有国密办商用密码产品销售许可证 具有公安部销售许可证 具有公安部信息安全产品检测中心检验报告 提供自主知识产权证明，并加盖公章 服务 提供三年原厂质保函 提供软件三年免费升级 3. 服务要求 3.1. 服务总则 1. 投标方向采购方提供标书中的所有硬件、软件的技术支持服务的全部内容。提供详尽的集成方案，尽量利用医院现有的设备和相关材料，满足医院的需求。本项目是“交钥匙工程”，一旦中标将不再产生其他任何费用。 2. 投标方完成系统的安装测试、系统联调工作，在系统集成中解决全部技术问题。针对本院的网络、系统需求提供详细的实施割接方案，如在升级过程中造成数据丢失或造成用户业务不能正常运转，集成商则需承担相应责任并赔偿由此造成的经济损失。 3. 从保护现有投资角度考虑，本项目需要最大程度利用医院现有设备，投标人应在方案中详细阐述现有设备的利旧原则。 4. 投标方应针对本项目的安全环境，根据所提供安全产品的特性，提出并配置完备的安全策略。 5. 投标方应本着认真负责的态度组织技术队伍，做好投标的整体方案并提出长期保修、维护、服务以及今后技术支持的措施计划和承诺。 6. 投标方应允许项目单位的工作人员参与系统的安装、测试、诊断及解决问题等各项工作。 3.2. 设备、软件安装、调试、开通 1、 投标人负责所提供的软件的安装、调试及开通，采购人予以配合。 2、 软件安装、调试所需的工具、仪表及安装材料等应由投标人自行解决。 3、 投标人应向采购提交测试内容和方法。移交测试计划和技术内容由投标人拟定，经采购人确认。 4、 实施要求： （1）中标人应在实施前提供详细的实施方案，并提交采购人认可。 （2）实施过程应严格执行相关的实施，并保证项目实施安全。 （3）中标人应根据采购人的需要，在规定的时间内，保证质量，完成工程。 5、 实施过程中应科学、合理地掌握与其他工程界面的协调、交叉。 3.3. 产品服务及保修要求 1. 所有产品原厂保修期或维护期至少为三年。 2. 服务及保修期内，中标方负责对其提供的主要设备进行现场维修与维护，不收取额外费用（特殊产品经双方商定的除外）。 3.4. 服务要求 1、考虑到信息系统对医院业务的重要性，中标方提供7*24小时服务支持，服务响应时间小于半小时，到达现场时间要求1小时以内，2小时解决问题；4小时内不能解决问题的，必须提供备品、备件或备机等措施，以保证采购单位的正常使用。如果逾期未作出响应，中标人应承担由于故障所造成的全部损失。服务期限为本项目终验后3年，请投标方提供响应的承诺。 2、要求对投标产品应提供长期技术支持。如对产品有新的改进、增加新功能或者为适应最新标准所形成的最新版本，免费提供给采购方。 3、投标人应确保其技术建议以及所提供的设备的完整性、实用性，保证全部系统及时投入正常运行。否则若出现因投标人提供的设备不满足要求、不合理，或者其所提供的技术支持和服务不全面，而导致系统无法实现或不能完全实现的状况，投标人负全部责任。 4、对产品的软、硬件提供三年软件应用支持服务和硬件升级服务。软件应用支持及升级服务包括主要版本的故障排除、版本维护、故障修复、补丁和主要版本升级、规则库、引擎、控制台的技术支持等。 3.5. 计划工期和实施方式 本项目实施计划分三个阶段进行，请投标人根据阶段划分进一步细化成： 第一阶段：合同签订后10天内进一步优化需求分析和设计、出具项目施工计划，并细化系统建设计划、目标任务书和测试验收方案，向采购人提供上述文档并需经采购人审查通过； 第二阶段：1个月内完成所有设备的到货，设备清点验货结束后10天内，完成安装、调试和集成，投入试运行； 第三阶段：培训、试运行后正常运行1个月，提请正式验收。