二级以上医院数据中心安全防护产品技术指标要求

第一部分：数据中心安全防护产品

一、        防火墙类

1、        WEB防火墙

WEB 网站访问防护专用安全设备，具备 WEB 访问控制、

WEB 网络数据分析等基本功能。具备对 SQL 注入、跨站、 扫描器扫描、 信息泄露、 文件传输攻击、操作系统命令注入、目录遍历、异常发现、webshell 攻击检测、 盗链行为、 拒绝服务攻击防护、 网页防篡改、 身份认证、日志审计等 14 项安全功能。

二级医院 推荐要求

三级乙等医院 具备 9 项功能。

三级甲等医院 具备 12 项功能。

2、        数据库防火墙

数据库访问控制和安全审计专用设备。

①具备数据库审计、数据库访问控制、数据库访问检测与过滤、数据库服务发现、脱敏数据发现、数据库状态和性能监控、数据库管理员特权管控等功能。

②支持桥接、网关和混合接入方式，基于安全等级标记的访问控制策略和双机热备功能，保障连续服务能力。

二级医院 推荐要求。

三级乙等医院 满足①要求。

三级甲等医院 满足①②要求。

3、        网络防火墙

网络边界防护和访问控制的专用设备。

①具备访问控制、入侵防御、病毒防御、应用识别、WEB 防护、负载均衡、流量管控、身份认证、数据防泄露等 9 项功能。

②支持区域访问控制、数据包访问控制（例如基于IP、端口、网络协议访问的数据包）、会话访问控制、信息内容过滤访问控制、应用识别访问控制等 5 种访问控制类型。

二级医院 具备 3 项功能、 支持 3 种访问控制类型。

三级乙等医院 同上。

三级甲等医院 同上。

二、        安全审计设备类

1、        网络安全审计

记录网络行为并进行审计和异常行为发现的专用安全设备。

①对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

②审计记录包括事件的时间和日期、用户、事件类型、事件是否成功及其它与审计相关的信息。

③能够对记录数据进行分析，生成审计报表。

二级医院 满足①②③要求。

三级乙等医院 同上。

三级甲等医院 同上。

2、        数据库审计

监控数据库系统的用户操作日志、数据库活动、预警的专用设备。

①具备数据库操作记录的查询、保护、备份、分析、审计、实时监控、风险报警和操作过程回放等功能。

②支持监控中心报警、短信报警、邮件报警、 Syslog

报警等报警方式。

      二级医院 满足①②要求。

三级乙等医院 同上。

三级甲等医院 同上。

3、        运维审计

数据中心运维操作审计及预警的专用设备。

①具备资源授权、运维监控、运维操作审计、审计报表、违规操作实时告警与阻断、会话审计与回放等功能。

②支持基于用户、运维协议、目标主机、运维时间段（年、月、日、时间）等授权策略组合。

③支持运维用户、运维客户端地址、资源地址、协议、开始时间等实时监控信息项。

二级医院 满足①②③要求。

三级乙等医院 同上。

三级甲等医院 同上。

4、        主机安全审计

记录主机操作的审计设备。

①支持重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要事件审计。

②支持记录事件的日期、时间、类型、主体标识、客体标识和结果等。

二级医院 满足①②要求。

三级乙等医院 同上。

三级甲等医院 同上。

三、        系统加固设备类

1、        漏洞扫描设备

检测与发现系统漏洞的专用设备。

①具备资产管理、漏洞管理、扫描策略配置、漏洞扫描和报表管理等 5 项功能。

②支持 CVE、 CNNVD、 CNCVE、 CNVD、 BUGTRAQ 等 5 种漏洞库编号，按照国家新发布的漏洞及时更新。

③产品扫描信息支持主机信息、用户信息、服务信息、漏洞信息等 4 种内容。

④支持扫描操作系统、网络设备、虚拟化设备、数据库、移动设备、应用系统等 6 类系统和设备。

⑤支持主机探测、端口扫描、弱口令扫描、多主机扫描、多线程扫描、口令猜解等 6 种扫描方式。

⑥支持 SNMP trap、 邮件、 短信、 Syslog 等 4 种告警方式。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

2、        WEB 漏洞扫描设备

检测与发现医院 WEB 网站漏洞的专用设备。

①具备资产管理、漏洞管理、扫描策略配置、漏洞扫描和报表管理等功能。

②支持 SQL 注入、 Cookie 注入、跨站脚本攻击、敏感信息泄露等漏洞检测能力。

③支持 Cookie、 Form、 Basic、 NTLM 等登录认证方式。

④支持 SNMP trap、邮件、短信、 syslog 等告警方式。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

四、        数据加固设备类

1、        网络防泄露设备

防止通过网络传输泄露敏感/关键信息的专用设备。

①具备识别能力（协议识别、应用识别、文件识别、内容识别、 异常行为识别）、响应能力、策略管理、报表与审计等 4 项功能。

②支持 HTTP、 HTTPS、 FTP、 SMTP、 POP3 等 5 种协议识别。

③支持识别加密文件、压缩文件、图片文件、非Windows 文件、未知文件、自定义文件等 6 种文件类型。

④支持文档多层嵌套方式逃避检测、文件多层压缩逃避检测、邮件密送、修改文件扩展名、图片嵌入敏感文档、拷贝文档部分内容泄露敏感信息、少量多次泄露敏感信息、文档页眉页脚隐藏敏感信息、敏感信息标识为隐藏段落等 9 种常见异常行为识别方式。

⑤支持文件内容、发送者、接收者、文件特征、通讯协议等 5 种条件策略配置。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

2、        存储数据防泄露设备

发现和处理存储系统敏感数据的专用防泄露设备。

①具备敏感数据发现、发现的敏感数据展示、敏感数据隔离等 3 项功能。

②支持在文件服务器、数据库、协作平台、 Web 站点、台式机、 移动终端等 6 种系统的敏感数据发现。

③支持非结构化数据指纹检测、结构化数据指纹检测、机器学习特征提取与检测、关键内容描述、正则、数据符等 6 种检测技术。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

3、        数据库加密设备

加密医院数据库和发现数据库风险的专用设备。

①具备系统管理、加解密引擎管理、数据库透明加密管理、数据库状态监控、数据库风险扫描等 5 项功能。

②支持动态加解密、密文索引、多级密钥等技术。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

4、        邮件加密设备

邮件加密和邮件服务器安全防护的专用设备。

①具备邮件加密、安全防御、 邮件传输代理、日志审计等 4 项功能。

②支持附件加密、邮件替换、邮件附件备份、附件链接下载管理、防止机密信息外泄、第三方证书认证加密、网关-网关加密等 7 种邮件加密方式。

③支持 DNS 反向解析、 SMTP 攻击防御、 SMTP 连接限制、 SMTP 字典攻击、 SMTP 密码防猜机制、 POP 攻击防御、IMAP 攻击防御、 DNS 攻击防御等 8 种安全防御方式。

④支持邮件中继控制、多台 AD 服务器轮询、 SMTP认证控制、邮件交换、假冒 Postmaster 攻击防护等 5 种MTA 功能。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

五、        入侵防范设备类

1、        入侵防御设备

对网络数据流量进行深度检测、实时分析，并对网络中的攻击行为进行主动防御的专用设备。

①具备深层检测、内容识别、即时侦测、主动防御、无线攻击防御、抗拒绝服务、日志审计、身份认证等 9项功能。

②支持攻击行为记录（包括攻击源 IP、攻击类型、攻击目的、攻击时间等）、协议分析、模式识别、异常流量监视、统计阀值、实时阻断攻击等 6 种入侵防御技术。

③支持流量检测与清洗（流量型 DDoS 攻击防御、应用型 DDoS 攻击防御、 DoS 攻击防御、非法协议攻击防御、常用攻击工具防御等）、流量牵引和回注等 2 种抗拒绝服务技术。

二级医院 具备 3 项功能、 支持 2 种入侵防御技术、 支

持 2 种抗拒绝服务技术。

三级乙等医院 具备 4 项功能、 支持 3 种入侵防御技术、

支持 2 种抗拒绝服务技术。

三级甲等医院 同上。

2、        入侵检测设备

通过对网络上的数据包作为数据源，监听所保护网络内的所有数据包并进行分析，从而发现异常行为的入侵检测系统。

参照《信息安全技术网络入侵检测系统技术要求和测评方法》 [GBT20275-2013]将网络入侵检测系统技术要求分为一级、二级、三级。

二级医院 满足一级要求。

三级乙等医院 满足二级要求。

三级甲等医院 满足三级要求。

3、        网络准入控制设备

屏蔽不安全的设备和人员接入网络，规范用户接入网络行为的专用设备。

①具备网络准入身份认证、合规性健康检查、终端接入管理（包括： PC、移动终端等）、用户管理、准入规则管理、高可用性、日志审计等 7 项功能。

②支持 pap、 chap、 md5、 tls、 peap 等 5 种网络准入身份认证方法。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

4、        防病毒网关设备

病毒防御网关化的专业设备。

①具备病毒过滤、内容过滤、反垃圾邮件、日志审计、身份认证、高可用等 6 项功能。

②支持流杀毒、文件型杀毒、常用协议端口病毒扫描、 IPv4 和 IPv6 双协议栈的病毒过滤、病毒隔离等 5 种病毒过滤方法。

二级医院 具备 3 项功能。支持 3 种病毒过滤方法。

三级乙等医院 具备 5 项功能。支持 4 种病毒过滤方法。

三级甲等医院 同上。

5、        网络安全入侵防范

①在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；

②当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

6、        主机入侵防范

①能够检测到对重要服务器进行入侵的行为，能够记录入侵的源 IP、 攻击的类型、攻击的目的、攻击的时间，并在发生入侵事件时提供报警。

②能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

7、        主机恶意代码防范

①应用防恶意代码软件， 及时更新防恶意代码软件板本和恶意代码库。

②支持防恶意代码的统一管理。

二级医院 推荐要求。

三级乙等医院 满足①②要求。

三级甲等医院 同上。

8、        网页防篡改

用于医院保护网站文件，防止网站篡改。

①具备网站攻击过滤、网站文件访问控制、网站安全校验、网站攻击事件告警、网站安全管理策略、网站备份、网站同步、网站自动恢复、网站服务器可靠性监测、网站审计日志等 10 项功能。

②网站同步过程支持文件加密传输技术、完整性校验、文件检索、快速传输技术等 4 种技术。

二级医院 推荐要求。

三级乙等医院 具备 6 项功能、支持 2 种技术。

三级甲等医院 具备 8 项功能、支持 3 种技术。

六、        身份认证系统

1、        统一身份管理

对医院内所有应用实现统一的用户信息存储、认证和管理的系统。

①具备单点登录、用户身份信息管理、用户管理规则库、用户访问权限设置、权限规则库、用户与权限的适配管理、系统审计、第三方应用系统接口调用获取权限等 8项功能。

②实现多业务系统的统一认证， 支持数字证书、动态口令、静态口令、 Windows 域认证、通行码认证、指纹认证、人脸识别等 7 种认证方式。

二级医院 推荐要求。

三级乙等医院 具备 5 项功能、支持 2 种认证方式。

三级甲等医院 具备 6 项功能、支持 4 种认证方式。

2、        电子认证服务

用于发放并管理所有参与医院网上业务的实体所需的数字证书。

①具备数字证书的申请、审核、签发、查询、发布、证书吊销列表的签发、查询、发布等 8 项数字证书全生命周期管理功能。

②支持国密系列标准。

③支持交叉认证、 数据备份/恢复、 日志审计管理等 3项系统管理功能。

二级医院 推荐要求。

三级乙等医院 满足①②③要求。

三级甲等医院 同上。

3、        用户身份鉴别

数据中心服务器操作系统和数据库管理系统提供鉴别机制，保证用户身份安全可信， 支持用户标识和用户鉴别。

①支持受控的口令或具有相应安全强度的其他机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。

②支持两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。

二级医院 满足①要求。

三级乙等医院 满足①②要求。

三级甲等医院 同上。

4、        个人隐私保护

患者隐私数据存储于数据库，具备隐私数据（敏感）数据防泄露能力。

①具备隐私数据字段级加密保护功能，并能提供第三方服务接口，支持动态脱敏和动态加密数据保护功能。

②支持代理、网关和混合接入方式，基于安全等级标记的数据标签技术和双机热备功能，保障连续服务能力。

二级医院 推荐要求。

三级乙等医院 满足①要求。

三级甲等医院 满足①②要求。

5、        网络设备身份鉴别

①支持登录网络设备的用户进行身份、 地址、 标识进行管理。

②支持两种或以上组合的鉴别技术进行身份鉴别。

③支持口令复杂度、 定期更换、 失败处理、 结束会话、限制非法登录次数、 登录连接超时自动退等 6 项安全功能。

二级医院 推荐要求。

三级乙等医院 满足①②要求。

三级甲等医院 满足①②③要求。

6、        主机身份鉴别

①对登录操作系统和数据库系统的用户进行身份标识和鉴别。

②支持两种或以上组合的鉴别技术进行身份鉴别。

③支持口令复杂度、 定期更换、 失败处理、 结束会话、限制非法登录次数、 登录连接超时自动退等 6 项安全功能。

二级医院 推荐要求。

三级乙等医院 满足①②要求。

三级甲等医院 满足①②③要求。

七、        访问控制系统

1、        上网行为管理

用于医院互联网的安全管理。

①具备上网人员管理、上网浏览管理、上网外发管理、上网应用管理、上网流量管理、上网行为分析、上网隐私保护、风险集中告警等 8 项功能。

②支持 IP/MAC 识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式等 3 种上网人员身份管理方式。

③支持对主流即时通讯软件外发内容的关键字识别、记录、阻断等 3 项操作。

二级医院 推荐要求。

三级乙等医院 具备 5 项功能、 支持 2 种身份管理方式、

外发内容管理支持 2 项操作。

三级甲等医院 具备 6 项功能、 支持 2 种身份管理方式、

外发内容管理支持 3 项操作。

2、        虚拟化安全防护

提供虚拟化网络边界防护的专用软件防火墙。

①具备访问控制、入侵防范、病毒过滤、应用识别、抗拒绝服务、 网络防护、日志审计、身份认证等 8 项功能。

②支持网络访问控制、权限控制、目录级安全控制、属性安全控制、服务器安全控制等 5 种访问控制方法。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

八、        安全管理系统

1、        文档安全管理

用于医院核心信息资产有意或无意泄露防护的管理系统。

①具备文档加密、文档安全策略（权限控管、使用次数、文档生命期限、打印自定义水印等）、 身份认证、使用追踪、 离线管理、文档操作审计等 6 项功能。

②支持对电子文档进行细粒度的权限控制， 包括只读、打印、修改、复制等 4 种权限控制。

③支持对文档的阅读、编辑、删除、打印、外发、授权等 6 种动作进行详细的日志审计。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

2、        日志审计系统

记录、分析和处理用户操作行为的系统。

①具备日志记录、用户重要操作日志记录、日志查询、日志保护、日志备份、日志分析模型、日志审计报告等项功能。

②支持用户名称、操作日期和时间、操作类型、是否成功、合规审计等项日志审计内容。

③支持数据分析，并生成审计报表。

二级医院 满足①②③要求，日志存储时间≥6 个月。

三级乙等医院 同上。

三级甲等医院 同上。

3、        资产风险管理

基于医院网络环境, 构建医院网络资产基础信息库，能整体和动态发现网络安全风险的管理系统。

①具备实时评估网络安全风险、验证重要风险点、评估风险影响范围、网络安全持续监控、风险通报和威胁预警、风险分析结果可视化、风险处理等 7 项功能。

②支持信息系统、承载业务、网络设备、安全设备、服务器设备、终端设备、软件、数据、存储等 9 种资产信息库内容。

③支持表格、指示灯、 3D 图表、雷达图、拓扑图、热度图等 6 种风险可视化结果展示方式。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

4、        统一安全管理

对医院各类网络安全安全事件的监控、分析和管理的信息系统。

①具备资产管理、资产风险管理、网络安全事件采集、网络安全事件分析、网络安全事件分析模型、实时安全监测、分析结果可视化、安全运营决策和处置服务等 8 项功能。

②基于数据分析模型， 支持表格、指示灯、 3D 图表、雷达图、拓扑图、热度图等 6 种可视化结果展示方式。

二级医院 推荐要求。

三级乙等医院 同上

三级甲等医院 具备 6项功能、支持 4种可视化展示方式。

、第二部分:终端安全产品

一、        身份认证设备类

1、        电子信息鉴别

用于对实体和其所呈现身份之间绑定关系进行确认过程的专用设备。

①支持口令认证、证书认证、智能卡认证、短信认证、第三方系统联动等 5 种身份鉴别方式。

②支持两种或以上组合的鉴别技术进行身份鉴别。

二级医院 满足①要求。

三级乙等医院 满足①②要求。

三级甲等医院 同上。

2、        生物信息鉴别

基于生物信息鉴别的身份认证专用设备。

①具备用户身份识别和鉴别、身份认证、权限管理、PKI/CA 集成接口等 4 项功能。

②支持人脸、指纹、掌纹、虹膜等 4 种用户身份生物信息采集和鉴别类型。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

二、        介质安全设备

1、安全 U 盘

采用数据加密和专用芯片技术， 防止 U 盘数据泄露。

①访问安全 U 盘中的数据之前须进行口令认证。

②对安全 U 盘操作权限进行管控，包括数据的复制，文件的另存，打印等 3 项功能。

③对安全 U 盘进行加密存储，支持国密算法。

④对操作行为进行审计。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

2、移动存储介质

对普通移动存储介质的注册、使用、访问进行管控与审计。

①具备存储介质的安全分区、数据加密存储等 2 项功能。

②加密分区支持访问权限控制、防止恶意破坏。

③支持加密标签认证管理，防止未授权移动存储介质接入。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

三、        客户端管理系统

1、客户端终端认证

用于终端对网络空间身份和实体用户身份进行关联的客户端软件。

①具备用户名密码、证书、智能卡认证、短信、生物特征等 5 种身份鉴别功能。

②支持浏览器、独立客户端等 2 种认证客户端。

③支持两种或以上组合的鉴别技术进行身份鉴别。

二级医院 具备 2 种身份鉴别功能、支持 1 种认证客户端。

三级乙等医院 满足①②③要求。

三级甲等医院 同上。

3、        虚拟专用网络客户端管理

用于终端设备与业务系统之间传输数据加密的客户端软件。

①具备 L2TP、 PPTP、 IPSec VPN、 SSL VPN 等 4 种虚拟专用网络（VPN） 客户端功能。

②支持主流桌面终端操作系统和主流移动终端操作系统接入方式。

③支持 SM1、 SM2、 SM3、 SM4 等 4 种国密算法。

④支持 MD5、 SHA1、 DES、 AES、 RSA 等 5 种国际密码算法。

二级医院 具备 1 种 VPN 客户端功能、 支持 1 种系统接入方式、 支持 2 种国际密码算法。

三级乙等医院 具备 2 种 VPN 客户端功能、 支持 2 种系统接入方式、 支持 2 种国密算法、 支持 2 种国际密码算法。

三级甲等医院 同上。

四、        终端安全管理系统类

1、桌面终端安全管理

用于满足终端各种安全管理和合规性需求的终端安全管理软件。

①具备即时通讯管理、非授权外连管理、软件分发、打印管理、文件操作行为管理、补丁管理、移动介质管理、主机监控与审计、上网行为控制与审计、敏感字审计、远程协助等 11 项功能。

②支持对双网卡、 WIFI、 3G、蓝牙、红外等 5 种违规连接方式进行监测、审计和阻断。

二级医院 具备 2 项功能、支持 2 种连接方式管理。

三级乙等医院 具备 5 项功能、支持 3 种连接方式管理。

三级甲等医院 同上。

2、移动终端安全管理

     支持医院移动业务终端安全防护的管理系统。

①具备移动身份管理、移动应用管理、移动内容管理、移动策略管理、移动设备管理等 5 项功能。

②支持主流移动操作系统。

二级医院 具备 2 项功能、 支持 1 种操作系统类型。

三级乙等医院 具备 4 项功能、 支持 2 种操作系统类型。

三级甲等医院 同上。

3、移动存储介质管理

   解决医院移动存储介质非法滥用造成信息泄露安全问题的专用管理设备。

①具备移动存储介质注册管理、接入控制、访问权限控制、安全审计等 4 项功能。

②支持移动硬盘、闪存、 U 盘、 储存卡等 4 种移动存储介质的管理。

③支持预置策略、自定义策略、预置标签及自定义

标签等 4 种管理规则。

④支持内部低密、内部普密、内置高密、外部应用审计、外部文档审计、外部无审计等 6 种预置管理策略和预置标签管理策略。

二级医院 具备 2 项功能、支持 2 种存储介质管理、 支持 1 种管理规则、支持 2 种管理策略。

三级乙等医院 具备 4 项功能、 支持 4 种存储介质管理、支持 3 种管理规则、支持 4 种管理策略。

三级甲等医院 同上。

第三部分：网络安全防护产品

一、        结构安全设备类

1、        单向网闸

隔断内外网间的直接连接的专用隔离硬件。

①具备单向文件传输、单向数据库同步、 单向邮件传输、邮件过滤、数据防泄漏规则等 5 项功能。

②支持主流数据库的单向同步。

③支持按邮件地址、邮件域名、邮件内容、邮件附件和 IP 地址端口等 5 种邮件过滤条件。

二级医院 具备 2 项功能，支持 1 种邮件过滤条件。

三级乙等医院 具备 3 项功能、 支持 2 种邮件过滤条件。

三级甲等医院 同上。

2、双向网闸

隔断内外网间的直接连接，保障用户网络在隔离的同时进行可控数据交换的专用隔离硬件。

①具备防止各类敏感数据泄露、安全隔离和受控的信息交换、应用协议支持、应用层数据控制等 4 项功能。

②支持根据数据的类别和级别，制定数据防泄露规则。

③支持 Web、 FTP、 SMTP、 POP3、数据库访问等 5 种

应用协议。

④支持 Web、 FTP、 SMTP、 POP3、 TCP、 UDP 等 6 种应用层数据控制协议。

二级医院 具备 2 项功能、 支持 2 种应用协议、 支持 2种应用层数据控制协议。

三级乙等医院 具备 4 项功能、 支持 3 种应用协议、 支持 4 种应用层数据控制协议。

三级甲等医院 同上。

二、        通信加密设备类

1、        虚拟专用网络设备

医院采用加密通道进行数据通信传输的专用设备。

①        备网络通信加密、数据完整性校验、身份认证、日志审、地址转换、内容过滤、病毒过滤、入侵防御等 8 项功能。

②        ②支持传输通道加密、数据加密、数据校验、通信数据加密与解密统一等 4 种技术类型。

二级医院 具备 2 项功能、支持 2 类技术。

三级乙等医院 具备 4 项功能、支持 3 类技术。

三级甲等医院 同上。

2、        加密机

遵循国家密码管理局制定的《SSL VPN 技术规范》和

《IPSec VPN 技术规范》，采用加密通道传输数据的专用数据通信设备。

①具备网络通信加密、数据完整性校验、身份认证、日志审计、地址转换、内容过滤、病毒过滤、入侵防御等 8 项功能。

②支持传输通道加密、数据加密、数据校验、通信数据加密与解密统一等 4 种技术类型。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

三、        网络优化设备类

1、        广域网加速设备

对医院应用系统加速，提高效率、节省带宽和降低成本的数据传输优化专用设备。

①具备对传输数据以透明方式进行流量整形、顺序重组，动态压缩等 3 项功能。

②支持多种医疗应用数据类型加速服务，包括 WEB页面类型、 图片类型、 视频类型等 3 种协议类型。

③支持单边加速和双边加速等 2 种加速方式。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

2、        链路负载均衡设备

解决医院网络拥塞， 提高网络资源访问的响应速度，基于负载均衡算法做流量最优原路的网络硬件设备。

①具备链路聚合、负载均衡选路算法、网络请求重定向、内容管理、内置地址库、链路健康检查等 6 项功能。持轮询算法、加权轮询算法、 带宽比率算法、首个有效算法、 随机算法、 加权随机算法、 丢包算法、最小连接数算法、 加权最小连接数算法、 最小流量算法、加权最小流量算法、 观察者算法、 包速率算法、 实时带宽算法、 最小新建连接数算法、 静态就近性算法等 16 种负载均衡选路算法。

③        支持手工导入更新，支持国内运营商地址库、全国地址库和全球地址等 3 种内置地址库类型。

④        支持控制报文协议（ICMP）、 地址解析协议(ARP)、自定义逻辑组合条件等 3 种链路健康检查方式。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

3、        流量控制

对医院网络流量（网络层流量、 传输层流量、 应用层流量）进行特征抓取分析及管控的硬件设备。

①具备用户行为分析、 用户行为管控、 应用带宽限制、 应用带宽保障、 网络流量分析报告等 5 项功能。

②支持对 P2P、游戏、网络视频、 WEB 视频等 4 类应用进行分析管控。

二级医院 推荐要求。

三级乙等医院 具备 4 项功能、 支持 3 类应用管控。

三级甲等医院 同上。

四、        网络安全管理类

1、        安全策略管理

用于网络安全设备集中管理和监控的专用系统。

①具备网络安全设备策略集中编辑、策略集中下发、设备集中升级、设备集中监控、拓扑展示、统计报表等 6项功能。

②支持防火墙、入侵防御、病毒防御、 VPN 网关、 VPN客户端等 5 种管控策略。

③支持邮件告警、日志、短信、第三方应用等 4 种告警方式。

二级医院 推荐要求。

三级乙等医院 具备 4 项功能、 支持 3 种管控策略、 支持3 种告警方式。

三级甲等医院 同上。

2、        网络设备管理

用于网络设备集中管理和监控的专用系统。

①具备网络设备拓扑管理、 可用性监控、网络设备性能监控、主机服务器监控、数据库监控、中间件监控、业务系统监控、网络配置管理、统计报表等 9 项功能。

②支持设备综合性能、链路带宽利用率、 CPU 使用率、内存使用率、设备响应时间、设备 ICMP 丢包率、端口进/出流量、端口进/出错包率、端口进/出丢包率、端口进/出单播包速率、非单播包速率、组播包速率、广播包速率、自定义报表等 14 种报表。

③支持邮件、日志、声音、短信、颜色等 5 种告警方式。

二级医院 推荐要求。

三级乙等医院 具备 5 项功能、 支持 8 种报表、 支持 3 种告警方式。

三级甲等医院 同上。

第四部分：容灾备份产品

五、        基础设备灾备类

1、        本地备用机房

①备用机房面积是主机房的 50-80%，具备 2 路市电电源、精密空调、消防和监控安全设备等 4 项功能。

②满足备份介质长期存放的防尘、防磁、 防物理损坏的环境和场地要求。

二级医院 推荐要求。

三级乙等医院 满足①②要求。

三级甲等医院 同上。

2、        异地备用机房

①备用机房面积是主机房的 50%或以上，具备 2 路市电电源、精密空调、消防和监控安全设备等 4 项功能。

②备份介质长期存放的防尘、防磁、 防物理损坏的环境和场地要求。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

六、        备用网络灾备类

1、        备用网络链路

提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。

①主机房和备用机房各需要 1 条内部网络备用链路。

②支持冗余技术设计网络拓扑结构，避免关键节点存在单点故障。

③支持全冗余技术设计网络拓扑结构，保证系统的高可用性。

二级医院 满足①要求。

三级乙等医院 满足①②要求。

三级甲等医院 满足①②③要求。

2、        备用网络设备

路由器、防火墙、交换机、负载均衡等设备需要具备冗余电源、冗余接口、冗余风扇等 3 项部件。

二级医院 具备 1 项冗余部件， 核心交换机具备足够的千兆光电网口和万兆光电网口。

三级乙等医院 具备 2 项冗余部件， 核心交换机具备足够的千兆光电网口和万兆光电网口。

三级甲等医院 具备 3 项冗余部件， 核心交换机具备足够的千兆光电网口和万兆光电网口。

七、        数据备份与恢复类

1、本地数据备份

  ①具有存储磁盘阵列和存储备份软件等 2 个组件。

②支持使用数据快照、同异步复制等 2 种相关技术。

二级医院 具备 1 个组件、支持 1 种技术。

三级乙等医院 具备 2 个组件、 支持 1 种技术。

三级甲等医院 具备 2 个组件、 支持 2 种技术。

2、本地数据恢复

具备关键业务信息系统复原时间目标（RTO）和复原点

目标（RPO）等 2 项指标。

二级医院 具备 2 项功能，关键业务信息系统 RTO≦30 分钟， RPO≦15 分钟。

三级乙等医院 同上，关键业务信息系统 RTO≦20 分钟，

RPO≦15 分钟。

三级甲等医院 同上，关键业务信息系统 RTO≦15 分钟，

RPO≦10 分钟。

3、        异地数据备份

①具有存储磁盘阵列和存储备份软件等 2 个组件。

②支持使用存储镜像、数据异步备份等 2 种相关技术。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

4、        异地数据恢复

具备关键业务信息系统复原时间目标（RTO）和复原点目标（RPO）等 2 项功能， 关键业务信息系统 RTO≦1 小时，RPO≦30 分钟。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

八、        应用容灾类

1、        本地应用高可用

①具有应用服务器、数据库服务器、存储磁盘阵列、集群软件和应用容灾软件等 5 个组件。

②支持使用集群、负载均衡等 2 种相关技术。

二级医院 具备 4 个组件、支持 1 种技术。

三级乙等医院 具备 5 个组件、支持 1 种技术。

三级甲等医院 同上。

2、        本地应用恢复

具备关键业务信息系统复原时间目标（RTO）和复原点目标（RPO）等 2 项功能。

二级医院 具备 2 项功能， RTO≦30 分钟， RPO≦15 分钟。

三级乙等医院 具备 2 项功能， RTO≦20 分钟， RPO≦15分钟。

三级甲等医院 具备 2 项功能， RTO≦15 分钟， RPO≦10分钟。

3、        异地应用容灾

①具有应用服务器、数据库服务器、存储磁盘阵列、集群软件和应用容灾软件等 5 个组件。

②支持使用高可用、负载均衡、内容分发网络等 3 种相关技术。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。

4、        异地应用恢复

具备关键业务信息系统复原时间目标（RTO） 和复原点目标（RPO） 等 2 项功能,关键业务信息系统 RTO≦1 小时，RPO≦30 分钟。

二级医院 推荐要求。

三级乙等医院 同上。

三级甲等医院 同上。