广西壮族自治区人民医院信息网络管理中心堡垒机系统采购院内议价公告

按《广西壮族自治区人民医院招标采购管理办法（暂行）》等相关制度要求，拟对以下项目进行院内议价，现公告如下：

一、项目概况

科室	项目名称	数量		预算单价 （万元）
信息网络管理中心	堡垒机系统	1	套	30

二、报名要求

1.原则上只接受线上报名，请各品牌代理商或厂家见本公告后，将报名资料扫描件(PDF格式，请确保扫描后资料清晰可见，否则视为报名无效)发至邮箱qyyzbb@163.com，并在邮件标题注明挂网日期、报名公司名称、所报科室、项目名称。如果有多份扫描件文件的，请将文件打包为压缩包，格式要求为.zip格式。

邮件标题格式参考：日期-科室名称-公司名-报名项目名称。

2.报名材料首页注明挂网日期、所报科室、项目名称、产品厂家、型号、联系人、联系电话、电子邮箱（建议留QQ邮箱）、报名公司名称。

3.报名材料须提供供应商营业执照、生产厂家授权书、厂家生产许可证、软件著作权证、产品注册证等证书复印件并加盖公章；设备参数中要求提供相关证明和其他材料的，请附上相关材料并加盖供应商公章。

4.院内议价为现场议价，请各供应商报名后准备好纸质议价材料参加现场议价，一式10份，议价时间另行通知。

5. 供应商未被纳入广西壮族自治区人民医院失信供应商“黑名单”管理，否则报名无效。

（说明：《广西壮族自治区人民医院失信供应商实行“黑名单”管理暂行办法》

第四条 供应商在参加医院自行采购活动中存在下列行为之一的，属于失信行为，列入失信供应商名单管理：

1.提供虚假证明材料谋取中标、成交的；

2.采取不正当手段诋毁、排挤其他供应商；

3.由议价小组现场确认为恶意围标、串标的行为；

4.向与医院自行采购活动相关人员行贿或者提供其他不正当利益；

5.资格预审合格且成功报名的供应商在项目采购活动开始后相关信息发生变化时未及时通知院方；

6.已响应参加医院自行采购活动，采购活动开始后擅自撤回响应文件，影响采购活动正常开展的；

7.以不正当手段获得其他潜在供应商标书信息及需要保密的证明材料的；

8.不遵守医院自行采购活动纪律，扰乱采购活动现场秩序且不听劝阻；

9.以明显低于其他合格潜在供应商的报价且不能证明其报价合理性，经议价、比选小组认定为恶意竞争的；

10.有行贿情形的；

11.经医院认定的其他失信行为。

第六条 中标人被列入失信行为“黑名单”的，取消其中标资格，投标保证金不予退还，并处以三年内禁止参加医院所有自行采购活动。）

6.报名时间及报名电话

报名时间：2024年4月18日-2024年4月22日

报名电话：招标办 0771-5722430 钟老师

咨询电话：信息网络管理中心 0771-2186429

三、设备技术参数（参数仅供参考，以科室实际需求为准）

堡垒机系统参数

一、整体要求

依照信息安全等级保护的要求，网络运营者必须部署运维审计系统（以下称为堡垒机）来为运维人员提供远程登录服务器的途径。

为满足等保评级要求，优化日常工作效率，提供整套部署解决方案，实现外联区、内联区、运维区的安全运维需求，满足三级等级保护2.0相关要求。所提供解决方案应至少支撑3-5年发展需求。

二、技术要求

1.★性能要求：2颗64位CPU，总核数≥32核，线程数≥64，CPU基本频率≥2.4GHz，CPU发布时间至少在三年以内，内存≥128G，系统盘常规raid下可用空间≥960G并采用SSD，审计存储常规raid下总可用空间≥40T，实现录像、会话、操作审计保留不少于180天，提供千兆电口≥2个，万兆光口≥2个，为了确保平台可靠性，应采用双电源设计，同时提供带外管理功能，支持SNMP协议可将硬件状态同步至统一监控管理平台。

2.★授权要求：资产数≥5000，服务器配置上不设置CPU核心、节点数、存储空间、线程数、并发会话数及性能上限；服务功能上不设置门户节点数、租户数、用户数上限。交付平台应享有永久使用权，并涵盖所有功能模块，且不得对模块进行单独收费。系统应支持分布式部署，并不得在软硬件使用范围上施加任何限制。采购方在所辖的所有院区，包括桃源院区、北院院区等，均可无限制地使用该系统的全部功能。

3.★系统架构：支持国产ARM64架构，包括且不限统信UOS、深度Deepin、优麒麟UbuntuKylin、中标麒麟、银河麒麟、OpenEuler等国产操作系统。分布式架构设计无限扩展，轻松对接混合云资产。支持集群管理模式，集群中心统一管理，统一授权，统一审计，可支撑高并发性能，满足大型三甲医院使用，解决性能瓶颈问题。并提供截图等佐证材料。

4.算法支持采用国密算法对各类敏感数据进行加密。

5.支持国密浏览器。

6.支持结合国密证书对访问堡垒机的连接数据进行国密算法加密。

7.支持结合国密算法对双因子认证过程进行加密。

8.数据加密支持使用硬件设备、SM4算法的国密加密。

★9.基于角色的访问控制，按部门组织架构进行多组织管理。基于角色的权限访问控制，每个组织可以独立管理自定义的角色、用户、授权规则、会话监控、日志审计、系统工具等。

10.第三方认证，支持与AD/LDAP、CAS、Passkey、OpenID、SAML2、RADIUS、OAuth2.0等认证协议或系统联动后登录堡垒机；支持同步AD/LDAP用户，并使用同名账号登陆资产。

★11.双因子认证，支持手机APP动态令牌（GoogleAuthenticator、MicrosoftAuthenticator）登录堡垒机，且新用户首次登录后需强制绑定APP动态口令。支持阿里云、腾讯云、华为云的SMS短信服务、支持CMPPV2.0协议短信网关以及自定义第三方短信认证验证登录堡垒机。

12.登录复核，支持通过源IP、时间段等条件精准限制用户登录堡垒机和登录授权资产的行为，可指定用户进行登录复核。

13.安全规则，支持细颗粒度设置登录安全规则，登录失败次数、源IP黑名单失败次数、登录时间间隔等。支持异地登录提醒，实时监测账号的异常行为。支持设置密码过期时间。例如用户在此期间没有更新密码，用户密码将过期失效。支持密码过期提醒邮件在密码过期前由系统（每天）自动发送给用户。并提供截图等佐证材料。

★14.资产协议，支持SSH、TELNET、VNC、RDP、SFTP、MySql、PostgreSQL、Oracle、SQLServer、ClickHouse、MongoDB、DB2、Redis、HTTP/HTTPS等主流协议资产纳管。并提供截图等佐证材料。

15.远程应用，远程应用可自动部署，包括远程应用和远程应用发布机的一键部署。用户可以自定义应用，提供标准应用包括Chrome、Navicat、DBeaver、MySQLWorkbench、PL/SQLDeveloper、SSMS、RedisInsight、Studio3t、vSphereClient、Radmin等应用。

16.多云资产纳管，支持定时同步私有云，包括FusionCompute、OpenStack、VMWare、深信服云平台、阿里云专有云、ZStack云平台资产。支持定时同步公有云，包括腾讯云、阿里云、华为云、AWS、Azure等资产。支持局域网资产IP定时扫描，能够快捷识别资产属于Windows还是linux，识别远程端口。可定期通过ping、端口监测，监管资产可用状态。并提供截图等佐证材料。

17.账号改密，支持无插件方式对windows、linux、交换机定期自动改密功能，支持完善的自动改密策略，密码导出、密码强度控制，密码支持自动分段通过邮件发送、SFTP 备份至文件服务器的方式进行多重备份。

18.权限配置，支持按照用户/用户组、资产/资产节点、系统账号、连接协议的方式，进行最细粒度、灵活的权限控制。支持对剪切板复制、粘贴，文件上传、下载、删除等动作进行授权控制。

★19.访问控制。支持资产登录复核功能，指定需要被审核的用户、资产、系统用户，由指定的审批人复核后才可以登录资产。支持危险敏感命令复核，审批人可审批高危命令是否可以执行。支持自定义命令过滤规则，可按照用户、资产、账号、命令组配置拒绝、接受、审批、告警触发动作，进一步提升系统的安全性。支持在执行高危命令时，发送危险命令告警消息。支持核心资产登录时，发送告警通知。

★20.会话监控，支持管理员/审计员实时监控在线会话，可进行实时中断、暂停、恢复，以提升用户操作的安全性。支持系统操作或资产操作审计，包括登录日志、用户配置日志、设备配置日志、配置变更日志、授权配置日志、命令执行日志、改密日志、文件传输日志等。支持对Windows资产的键盘操作进行记录和审计。

★21.录像审计，支持日志备份ElasticSearch，并支持根据日期建立索引存储日志。录像会话支持水印功能，开启会话背景水印后，对会话的截图和拍照将带有会话创建者的信息，水印需至少包含以下信息：访问用户、资产名称。支持录像自动转换为MP4格式，支持瞬间快进、快退、倍速播放；支持录像文件备份主流云存储，包括Ceph、Swift、OSS、S3、Azure、OBS、COS等多种云对象存储服务。并提供截图等佐证材料。

22.活动日志支持按照时间线记录堡垒机上每一种资源的活动日志。并提供截图等佐证材料。

23.支持数据库历史会话进行审计，包括数据库命令记录以及录像回放等。

★24.支持纯浏览器、无插件的运维体验方案。易用性高、门槛低、易于非技术人员快速使用堡垒机上手运维工作。并提供截图等佐证材料。

25.原生客户端管理工具。支持可视化配置和拉起本地原生客户端工具。支持对Terminal、Xshell、SecureCRT、PuTTY、MicorsoftRemoteDesktop、WinSCP、FileZilla、DBeaverCommunity、PL/SQLDeveloper、RedisDesktopManager等本地客户端工具进行统一管理，并自动拉起进行运维操作。

26.访问资产。基于单次认证Token，通过浏览器地址直接登录到某个资产。登录资产时，可选择保存系统用户信息至浏览器，避免重复输入密码。资产连接支持会话分屏显示。

27.字符协议资产支持通过XShell、Putty等客户端连接Linux资产。支持使用WebTerminal访问SSH资产时，使用rz、sz命令进行资产文件上传下载。支持使用本地的WinSCP/FlashFXP/SecureFX等客户端工具登录堡垒机或直连指定资产进行文件上传下载。并提供截图等佐证材料。

28.图形协议资产。支持使用本地的RDP客户端直连RDP资产。支持对RDP连接的分辨率、磁盘挂载、多屏显示、RDP智能窗口大小等参数进行更改。

★29.数据库。支持浏览器网页的方式访问MySQL、MariaDB、Oracle、SQLServer、PostgreSQL、DB2，并对SQL指令、表名和列名补全和过滤、常用SQL命令保存、SQL文件导入和查询数据集导出；支持对开启了SSL认证的MySQL数据库进行连接。支持透明代理的方式，使用本地第三方数据库管理工具（例如Navicat、DataGrip）连接MySQL、Redis、PostgreSQL、MariaDB、Oracle、SQLServer。并提供截图等佐证材料。

30.支持多组织管理。按照企业多个组织架构进行用户、资产、授权等数据隔离。

31.工单中心。支持工单流程自定义设计，能够为主机登录审批、文件上传下载、复制粘贴权限的申请及审批、敏感指令审批等场景提供灵活的流程定义能力，支持自定义审批节点及审批成员。支持显示工单编号，审批过程中支持管理员修改工单内容，例如：资产、资产账号、权限、生效时间。支持内置通用工单流程，可满足日常自助式资产授权申请、资产审批的需求。支持历史工单复用，实现历史工单的二次编辑，并生成新的工单进行提交审核。支持站内信、邮件、企业微信、钉钉、飞书等第三方应用接收待办工单消息并提供进一步的处理入口，包含但不限于实时运维审计、查单审单、用户身份信息确认等。能够针对不同组织的资源及操作行为配置不同的审批流程，如主机A和主机B，分别采用不同的工单审批流程。

32.支持会话分享，运维过程中可将远程会话分享给其他用户，以URL的方式邀请其他用户加入分享的会话，所有参与者均可同步观看远程会话的操作过程；会话创建者可对授予或剥夺受邀用户的操作权限。

★33.自动化运维。支持定时执行Shell、PowerShell、Python脚本作业支持定时执行Playbook作业。支持配置作业中心命令黑名单列表。支持创建、更新Shell、PowerShell、Python脚本模版。支持创建、更新、上传Playbook模版。并提供截图等佐证材料。

★34.节点负载。支持手动新增连接端点，并配置端点负载规则。通过标签关联指定资产，转发资产访问流量至指定的服务节点。并提供截图等佐证材料。

35.免费提供完整、详细的API文档说明，支持与第三方系统进行对接。APIKey支持白名单策略，可以对非法IP请求进行过滤拦截，提高了系统的安全性。支持企业微信和钉钉进行免密登录，在企业微信和钉钉开放平台配置应用地址进行使用。

36.可使用IOS、Android等手机端进行远程操作。

37.支持高分辨率、普通分辨率屏幕自适应显示，mstsc、web桌面端应现分辨率自适应,可实现全屏展示，优化显示体验。

38.系统支持自动通过邮件通知用户完成开户，并允许自定义通知邮件的内容，从而便捷地通过邮件向用户发送使用手册附件及远程登录管理规范，提升用户体验与操作便捷性。

39.支持广西CA USBKey认证登陆。

40.支持自定义配置特定用户、分组、部门，禁止应用发布调用本地远程工具进行运维工作。

41.支持会话中转优化，根据不同运维区域，可就近选择网关、线路，达到最优使用效果。

42. 支持开放配置页面，方便用户配置本地工具路径，可在页面下载各类配置工具。

43. 使用 Windows 下 mstsc 支持挂载本地磁盘。

44.支持将指定文件批量发送至多台主机，或将分散在大量主机上的某类文件收集到指定位置。

45.合规性要求：按照等级保护2.0三级进行建设，满足密评相关要求。产品需具备公安部颁发的《计算机信息系统安全专用产品》销售许可证。

46.系统应满足医院对外来人员及医院运维人员的信息化项目与设备运维管理要求，依照院内制定的相关流程完成管理流程的闭环。外来人员及运维人员发起运维工单，指定项目对接人或运维管理人员以及其他管理人员对运维工单有效性进行验证审核，验证审核通过后堡垒机授权人员才能授权外来人员及运维人员访问信息化设备，同时管理人员可以对运维工单、资产访问情况以及进行实时统计分析，实现信息化项目与设备运维的闭环流程管理。

47.系统应支持对运维工单的灵活配置，配置包括运维系统、运维厂商、运维人员、运维事由、运维时间、备注等信息项目，并且信息项可以支持按字典灵活配置，同时可以根据医院要求对运维时长、事由等信息进行必填、值域等要求校验。

三、商务要求

1.合同签订后90个日历日内完成全部项目内容，达到验收标准。

2.提供主流品牌的全新货品。

3.采用主流的技术解决方案，开发者拥有自主研发能力，拥有成熟稳定整套堡垒机的技术方案。

★4.提供品牌原厂质保服务，免费质保至少3年，整机和耗材全范围维保。

5.提供上门安装和实施服务、更换、维护、维修和换新服务。质保期内接到报修，20分钟响应电话、微信、企业微信、QQ、邮件等渠道，应在故障2小时内处理，故障若超过48小时，免费提供备用硬件设备并搭建系统，搭建时间不超过72小时，确保使用连续性。呼叫上门仅需电话确认产品序列号，无需注册维保平台报修，无需软件/APP/公众号注册报修，无需复杂的拍照上传过程，无论故障类型不得收上门费。

★6.提供7×24企业版支持服务，维保期间免费升级，维保期内的需求、漏洞修复免费提供。维保服务期内，供货商固定专人与院方对接，该人员负责与院方和品牌方沟通，确保维保服务可达，无需复杂的处理流程。

7.供应商提供产品的相关资质证明，提供生产厂家资质：企业营业执照、产品注册信息、产品彩页。

★8.供货商需提供品牌方的销售授权书，确认拥有品牌产品的合法代理销售权，并提供法定代表人授权书及被授权人身份证件复印件。

9.供货商固定专人与院方对接，该人员负责与院方和品牌方沟通，确保维保服务可达，无需复杂的报修处理流程。

10.系统培训：①系统管理员及业务用户的分层次培训。提供详细的培训计划，具体培训时间、地点以用户认可为准，提供有关系统功能、安装、操作、设计、维护和系统开发以及应用软件使用的文档和培训。对于所有培训，必须派出具有相应专业资格和实际工作经验的技术人员进行培训，并承担本项目的所有培训费用。②指定专门人员负责系统相关接口的开发和调试，无偿提供标的所有子系统数据接口，如不能及时提供接口，将不组织验收；及时维护数据接口，确保接口的安全，如接口升级须及时向院区提交升级后的新接口，为确保数据顺利对接。

11.维保期内可协商需求增加或变更，不额外增加费用。