曲阜市中医院杀毒软件扩容升级及网络准入控制系统采购项目论证会邀请函

序号

产品

类别

功能参数

单位

数量

1

虚拟化平台底层安全防护软件升级

1．▲原有杀毒软件升级，****中心+100个虚拟服务器授权，同时支持Windows Server、Linux及**、统信、欧拉、龙蜥等国产信创操作系统，三年软件版本、特征库升级及原厂服务。采用虚拟化底层防护模式，可实时保护整个虚拟化基础架构上的所有虚拟服务器（提供原厂盖章的底层安全虚拟机配置功能截图），从物理主机层对虚拟机进行深度安全防护。

2．授权模块包含防病毒、防火墙、反网络攻击、应用程序启动控制、漏洞扫描、漏洞利用防御（虚拟补丁）、反加密勒索等功能模块。

3．提供入侵防护、反网络攻击功能，用于检测和拦截虚拟机网络流量中的典型网络攻击活动，提供包含攻击来源、攻击时间及试图利用什么方式进行攻击等必要信息，在事件发生时根据策略自动阻断攻击源，并能立即自动通知管理员，保护整个基础架构抵御各类网络攻击。

4．提供漏洞利用防御模块（虚拟补丁），可以阻止利用操作系统或第三方应用程序中漏洞进行恶意破坏的行为，能够在系统漏洞修复之前，阻止勒索病毒的攻击行为。

5．▲可基于 IP 地址、传输方向、端口、传输协议、应用程序网络行为等创建防火墙规则（提供原厂盖章的出入站IP、端口、网络协议的防火墙配置规则功能截图），支持东西向流量防护及主机微隔离，能对虚拟机之间的东西向流量进行防护，可根据业务需求，配置防火墙策略，实现虚拟机与虚拟机之间的微隔离。

6．虚拟服务器底层防护软件无需重新部署，实现无感平滑升级，能纳入现有虚拟化平台底层安全防护软件管理服务器统一管理，可自动继承现有版本的防火墙策略，统一生**全日志和病毒攻击防护报告，实现全网病毒威胁统计分析和防护策略联动，无需再单独部署管理服务器。

7．单一防病毒扫描引擎可以跨物理主机提供安全保护，一台防病毒底层安全虚机能同时防护多台物理主机，无须在每台虚拟服务器上部署单独的防病毒引擎，以节约虚拟机**，降低性能开销。

8．为服务器提供补丁远程推送、软件分发、软硬件资产管理等功能，掌握网内所有虚拟机的全面信息，实现全生命周期管理及应用程序漏洞快速自查。

9．为确保安全防护的可靠性和负载平衡，防病毒安全虚拟机具有HA功能，病毒扫描具备共享缓存技术，以大幅减少扫描时间和**占用。

10．能够为不同的虚拟机提供灵活的安全配置，可以对集群中的单台虚拟机进行查看及策略配置，并且能够显示虚拟机保护状态。能够对多个 ESXi 主机进行同时部署虚拟化安全产品操作。

11．可同时保护文件服务器、数据库服务器、业务服务器、邮件服务器、备份及存储服务器等。

套

1

2

终端杀毒软件扩容升级

1．终端杀毒软件扩容升级，****中心+1000个授权（包含30个物理服务器授权及200个移动查房PDA设备授权），三年软件版本、病毒库升级及原厂服务，所有版本都使用同一个授权激活。支持常见的 Windows 7、win10、win11、Server 2008 R2/2012/2016/2019/2022、和 RedHat、SuSE、CentOS、Ubuntu、Android、Mac、鸿蒙、**、统信、神州网信等操作系统。

2．具有良好的兼容性，与虚拟化平台底层安全防护软件同一品牌，能纳入现有防病毒管理服务器统一管理，自动继承现有安全防护策略及防火墙规则，统一病毒威胁预警及数据集成、统一病毒扫描及更新升级，统一生**全日志和安全事件报告，实现全网病毒威胁统计分析和防护策略联动，确保防病毒策略的一致性。

3．提供的功能应包括：KSN**全+行为检测+漏洞利用防御+主机入侵防御+染毒文件修复引擎+文件威胁防护+Web威胁防护+邮件威胁防护+网络威胁防护+防火墙+BadUSB攻击防护+AMSI保护+应用程序控制+设备控制+Web控制等模块。

4．具有修复引擎及回滚功能，通过行为检测阻止未知勒索软件的恶意加密行为，能对未知勒索病毒的恶意加密行为进行修复，使文件恢复到未被加密的可用状态，确保用户重要数据的安全。

5．▲提供漏洞利用防御（虚拟补丁）、反网络攻击功能，支持东西向流量防护及主机微隔离，可查看当前的网络活动、开放的端口、应用程序流量分布图以及已阻断的计算机等信息（提供功能截图并厂商盖章证明）。

6．▲自带防火墙模块，可基于IP 地址、传输方向、端口、传输协议、应用程序网络行为创建防火墙规则，禁用高风险端口（提供出入站IP、端口、网络协议防火墙规则功能截图并厂商盖章证明）。用于检测和拦截网络流量中的典型网络攻击（如：RDP爆破、泛洪攻击、端口扫描等），可根据策略自动阻断攻击源。

7．软件本地病毒库可准确查杀的病毒数量至少要达到1800万种以上，云端信誉库可识别的文件≥80亿条（提供原厂盖章的客户端软件显示的病毒特征库数量及云端信誉库可识别的文件数量截图证明）。

8．▲移动终端设备防护软件支持Android、鸿蒙、IOS等系统的平板设备、手机等，提供病毒防护、防Root、应用程序控制、设备管理及设备反盗窃功能（提供移动设备版防护软件管理配置策略截图并厂商盖章证明）。

9．提供漏洞扫描及补丁管理功能，支持补丁验证机制，降低因安装补丁而造成业务中断的风险，可通过管理控制台远程修复操作系统及第三方应用程序高危漏洞。

10．提供应用程序控制功能，可以基于零信任机制，设置允许终端电脑使用的应用程序黑、白名单规则，禁止工作时间段运行游戏软件等程序。

11．提供网页控制和上网行为管理功能，可管控和审计终端访问的网址，对访问的网页内容进行限制、过滤，可以根据网页的内容、网址、数据类型、时间段来管控终端电脑的Web访问。

12．提供邮件威胁防护，支持扫描POP3/SMTP/IMAP/NNTP等标准的邮件协议。

13．具有外设控制和对U盘的认证注册功能，可以制作信任U盘，只有通过认证注册的U****医院内网设备上使用，阻止非法U****医院内网。

14．具有无线连接管理功能，可指定受信任的Wi-Fi，绑定无线连接的网络名称、密码及加密类型，阻止非法外联，具有“反桥接”功能，****医院内网设备通过代理软件、手机、无线网络等违规外联互联网。

15．若客户端长时间未更新，开机后的更新过程中杀毒软件不得自动退出或重启客户端，确保客户端的持续运行，防护不中断。

16．支持软件资产清查，创建资产清单，掌握网内所有设备资产的全面信息，实现全生命周期管理及应用程序漏洞快速自查。

套

1

3

网络准入控制系统

1、标准1u机架式准入设备，千兆网口≥6个，支持BYPASS；系统具备丰富的终端安全管理功能，包括网络准入控制、日志审计、远程协助，移动存储管理、外设管理、系统盘还原保护、补丁管理、运维管理、水印管理等核心管理功能，终端支持PC端和安卓端的管理，终端授权≥600个；

▲2、终端管理构架：系统对于Windows终端、安卓终端、信创终端管理在同一个管理平台下，为了保证日常对于终端运维的及时性，终端管理部分为C/S构架，控制台位EXE模式，管理员人员可以在控制台对于终端进行策略配置，远程运维。（须提供截图证明）

3、准入技术

（1）支持高级别安全性的准入控制，如802.1X认证、DHCP认证等。

（2）镜像准入：支持网络镜像准入，tcpreset方式准入，准入设备旁路在核心交换机，通过获取核心的网络镜像数据来控制网络设备的准入。

（3）ARP准入：系统支持ARP准入认证，通过该认证方式，可以快速识别接入层交换机的终端接入，终端接入时，不需要访问任何网络数据，系统可以在1秒内侦测并报警，可根据测率对其进行放行或者阻断。

（4）提供Radius认证，支持无线控制器接入mac地址认证。

（5）提供DHCP服务器功能，支持分配地址IP-MAC静态绑定，并提供批量静态绑定功能。

4、准入认证模式

（1）客户端模式准入：终端需安装准入客户端并经合规检测后符合管理员指定的要求方可入网。

（2）无客户端模式准入：准入支持无客户端模式网络准入，精确识别所有网络设备并加以限制。

5、哑终端认证与防伪检查

（1）系统支持对无线设备、自助机、信息屏等哑终端接入。

（2）系统能通过终端指纹识别技术鉴别非法哑终端并阻断其入网。

哑终端认证需注册并经管理员审核后方可入网

6、全网资产统计与展示

（1）可以统计网络资产在线率和在线离线设备数量以及入网、阻断的设备数量和入网率。

（2）以饼状图形式展示设备在线率，以饼状图形式展示设备入网率。

（3）系统可以在全网资产功能节点界面展示出网络设备ip、设备类型、系统信息、准入状态、入网规则、设备在线时长、最后网络活动时间、设备位置、是否IP/MAC绑定、设备添加时间、资产识别时间，阻断原因、交换机刷新时间、交换机缓存MAC地址。支持自定义设备类型，操作系统、位置信息。

7、IP地址池：支持全网IP地址管理，以图形画形式展示每个网段内的IP使用情况并用不同设备图标展示占用IP的设备类型，包括：交换机、打印机、Windows/MacOS/信创/安卓/IOS系统设备、网桥、网关、存储、路由器、虚拟机、调制解调器、NAS、UNIX，鼠标挪动在相应IP上可展示当前IP的设备MAC地址信息、设备类型信息和操作系统信息。

▲8、远程屏幕协助：管理员可以快速接对于终端进行远程控制；当对终端计算机进行远程控制时，客户互传终端计算机中的文件；针对终端为双屏的电脑，管理员可以点击主/副屏切换进行控制；管理员可以将本地文件拖拽到远程协助对话框时间文件传输；可以使用自带得电子白板功能，在远程得时候在用户的屏幕上层做画线、输入文字等操作。（须提供截图证明）

▲9、远程协助安卓设备：****医院的安卓系统的PDA和诊间屏进行远程屏幕控制，管理员可以在一秒内接管移动设备的屏幕，控制速度快，无卡顿；在远程协助时候，可以开启文件互传功能，实现管理员Windows电脑和安卓终端的文件互传。（须提供截图证明）

▲10、安卓端安全桌面：安卓终端启动后自动进入安全桌面，在安全桌面上展示日期、时间、IP地址、MAC地址、通知通告信息、设备备注信息，及具备刷新按钮功能。在远程的时候可以进行文件互传，实现办管理员WINDOWS电脑的文件与安卓终端的文件进行互相传输。（须提供截图证明）

▲11、安卓端APP白名单：安全桌面只展示白名单中的APP，不能展示非管理员允许的APP。（须提供截图证明）

12、管理端开启桌面助手策略，终端计算机桌面底层一直展示半透明窗口，管理端可以配置窗口上多个快捷方式网址，可以选择打开的浏览器，用户点击每个快捷方式会打开相应系统；管理端可以以九宫格的形式设置桌面助手的固定展示位置。

▲13、系统盘自动还原：对于终端计算机提供系统盘还原功能，每次计算机重启，对于系统盘的写入信息，全部丢弃，系统盘恢复原状。（须提供截图证明）

14、系统提供大屏幕展示功能：以WEB形式展现，支持4K电视机屏幕完美呈现，可以在同一个屏幕上动态展示以下数据：分别以饼状图展示操作系统分布情况、计算机品牌分布情况、杀毒软件分布情况；以跑马灯的形式展示全网终端的健康度；大屏幕可以展示终端计算机维保在1至3年，3至5年，5至10年，10年以上的各个阶段的计算机数量;可以对于为关机电脑数量进行统计。

15、三年原厂7*24*4小时服务，设备生产商在国内设有400技术服务热线；

套

1