序号

名称

数量

单位

1

全终端安全管理系统（软件）

1

套

2

全终端安全管理网关（硬件）

2

套

3

网络改造及资产梳理服务

1

套

序号

名称

主要规格、技术参数

必须满足项

1

全终端安全管理系统

平台支持在不安装插件和客户端前提下，实现全院各类型终端和网络管理。各类型****医院职工、访客、患者、医疗交互终端、医疗设备、摄像头及各类哑终端设备，网络管理包括各类型不限厂家品牌的交换设备。实现网络和终端一体化融合管理，提供身份鉴别、安全接入、全向访问控制、终端身份治理、纵向及横向访问控制和网络日志采集记录分析、分类资产管理等功能。实现统一管理界面对终端和网络的集中管理。（提供总体方案阐述）

★

系统多种环境部署要求，包括但不限于虚拟机、服务器裸机等环境。软件平台支持高可用，提供分布式部署能力，任意部署节点故障不影响整体平台使用。

★

支持多院区统一部署要求，实现统一管理界面对多院区终端和网络融合管理能力，无需多次部署。

★

在实现所有功能基础上，在网络上对现网接入、汇聚、核心交换机无品牌和设备型号等要求，包括后续网络设备升级或维修换新时，也没有任何限制要求。

★

平台支持接入网安全管理要求，对入网终端和人员身份做效验，未经授权设备和人阻断入网。终端入网支持多协议接入，包括但不限于MAC、Portal、PPPoE等。

★

系统支持对终端IP地址使用进行入网限制，必须由平台指定DHCP服务器获取地址才允许接入网络，对于非法修改IP地址和其他设备分配IP地址的终端自动隔离入网。

系统支持终端入网后通过后台算法自动生成身份指纹，身份指纹信息具有唯一性，对伪冒接入的终端设备做自动识别和入网隔离。

★

系统支持在不改变内网应用环境情况下，采用无插件客户端方式实现非法外联终端的检测、告警、内网阻断、访问次数统计和外联终端定位等功能。实现全类型网络非法访问管控，包括但不限于网站、聊天软件、视频软件、外网远程工具、游戏等应用，告警界面可根据使用需求做定制化设计。

★

系统支持在终端设备入网以后，生成终端身份台账信息，入网设备自动关联到人、部门、科室和位置等信息，可通过终端设备名称、IP、MAC等信息快速检索定位，方便终端发生问题后快速定位到部门和人。

★

系统支持来访人员入网管控，加强第三方人员入网安全管理能力。可根据不同需求，限制来访人员入网时间和访问控制，支持接待人员二维码扫码接待和访客自助实名认证登记多种入网方式。访客入网记录入网时间、入网访问行为日志，并记录对应接待人信息，发生问题可溯源定责

★

平台管理员可设置人员的接待权限，实现开启/关闭接待功能，可设置访问特定系统支持内外网**等功能权限，访问网络权限可根据需求动态变更。

系统支持动态IP分配功能，且支持按需动态分配能力，可支持终端位置、终端所属部分、终端标签属性分配地址和划分网络地址段。支持已分配地址的租期和回收时间设置，支持查看VLAN和地址分配信息，可手动修改已分配地址设置。

★

支持终端IP地址可视化矩阵，单个地址显示多个信息，包括但不限于IP信息、MAC信息、所属VLAN、所属终端、对应终端位置信息等。同时对全局地址信息中的固定地址、绑定地址、动态分配地址、冲突地址、保留地址、未使用地址特殊标记。支持全局地址池智能释放和解绑功能，为保证地址的合理利用，要求对长期占用未上线终端地址自动释放。同时支持查看已分配地址的历史使用数据，展示分配地址信息、对应终端信息、终端位置等数据。

★

平台支持地址分配时自动规避手工设置的静态地址，防止分配地址发生冲突。针对网络中常见的IP冲突问题，平台支持冲突地址终端位置定位和定障。

系统支持端到端的微隔离能力，对无访问特殊要求的终端做到双向访问限制，阻断终端和终端之间的网络访问，使病毒无法横向蔓延影响院内终端。

★

平台支持网络访问控制策略集中化控制，统一控制可细分到端口和端口之间的网络控制，访问控制策略支持WEB化设置。策略设置支持基于IP、终端身份账户、VLAN、终端接入位置、标签、分类、部门等做为访问控制的源、目的地址，策略可设置单向、双向访问，并限制访问策略的端口号。对于设置好的策略可通过平台一键开启或关闭。

★

支持单条策略包含多组IP、IP范围、IP群组，单条策略中可支持混合设置IP、账户、VLAN、物理接入位置、标签、分类、部门等作为访问控制策略的源、目的地址。

系统支持在多院区多网关部署统一管理背景下，所有访问控制策略的设置必须在统一的软件管理界面进行设置，管理软件可将策略分发给多**全管控网关设备，实现一体化管理。

系统支持终端在合法授权入网后，自动关联接入物理位置，位置定位数据精准真实。终端在院内网络移动后，位置信息在秒级内变更到当前所在位置，后台自动记录每次移动后的轨迹信息，轨迹信息永久保存在系统中。

★

终端轨迹信息包括但不限于终端上线时间、离线时间、在线总时长、终端在线状态、终端身份用户状态等数据。

★

系统支持在遇到科室搬迁和终端设备移动后，无需变更终端和交换机网络配置的前提下，移动后IP保持不变，终端访问网络权限一致，减轻网络运维压力。

★

系统支持全院终端感知地图，大屏可视化展示全院终端资产总量、部分资产信息和在线情况，可根据用户要求设置闲置周期，对超时未上线终端自动定义为闲置终端，并记录最后一次上线时间。提供资产数据统计报表，实时展示在册终端数、在线终端数、未上线终端数、年销户数、年新增数。****医院实际情况提供GIS基础应用服务，展示每栋楼终端信息。

★

系统支持重点终端实时监测能力。监测对象包括但不限于自助设备、工作站终端等。终端资产信息按部门分类展示在线量，支持终端延时可视化分析，对工作时间掉线和故障终端做单独告警，方便全院网络状态实时分析和对问题终端的快速定位。

★

系统支持科室终端精细化管理，根据院内每个科室情况实时展示不同类型终端分类，记录终端总数和在线情况。并对科室内终端增多或减少等问题做告警提醒，并实时记录资产流动轨迹和状态。

★

提供≥1000注册终端数量授权

★

提供≥3年的软件质保

★

2

全终端安全管理网关

吞吐量≥10G、并发连接数≥200万、单台并发用户规模≥2000

★

网络接口：≥2*千兆电口、≥4*万兆光口

★

支持二层协议透传、静态、动态LACP链路聚合、VLAN、TRUNK、QINQ

支持MAC、Portal、802.1x、PPPoE等认证协议

★

支持终端接入位置变化强制重新认证功能

★

支持静态路由、RIP、OSPF、策略路由

支持IPv4、IPv6接入

支持DHCP SERVER、DHCP RELAY

支持全院终端网络应用流量使用的智能控制，策略可以基于智能、手动流量控制策略，实现网络链路流量上下行带宽限制。支持按照不同种类应用类型进行分类限制。

★

支持与全终端安全管控一体化系统配合，实现院内终端识别、接入、认证、入网等安全管理。

支持安全策略集中管控，接收安全管控平台下发策略，在不依赖交换设备的前提下实现对入网人员、终端设备的内、外网访问权限控制功能。

★

支持内网隔离准入功能，实现基于网络身份对处于相同或不同网段的任意入网终端间的访问隔离及访问控制功能。

支持免认证放通微信通道。

★

硬件网关采用双机热备部署模式，当主设备故障或上下行链路中断时，网络业务能够快速被备机自动接管。

满足整体系统运行安全性，要求主备状态下自动同步接入用户会话信息，主备切换时能够在秒级内实现用户业务复通。

提供≥3年的软硬件质保

★

3

网络改造及资产梳理服务

在利旧现有接入设备、汇聚设备和核心设备的前提下，对全院网络架构进行梳理和优化，对现网架构下存在的网络风险问题和故障问题做建议和优化，降低风险问题，提升网络整体访问质量。同时适应全网终端安全管控的部署环境，全终端网络一体化管理平台，满足终端接入管理、终端全生命周期管控、网络质量监测、策略集中化管控、终端身份治理、软件定义网络、资产数据台账等能力。网络改造和调整必须以按需分步割接、不影响日常生产为前提进行。

★

根据网络摸排的基础信息和改造后的网络架构，整理出全院的网络基础架构拓扑图和全网改造规划设计方案，对现网交换机数量、类型、性能和位置等信息做详细记录。需要替换的设备记录替换原因和推荐型号、性能等信息，结合管理方网络使用、管理、运维等习惯进行规划设计，并对改造中存在的问题提供相关说明。

★

结合医院实际情况对院内入网终端资产盘点，核对每台终端IP、MAC对应状态，对终端进行分类、分部门梳理，配合院方对终端合法性进行校验，确保入网终端的安全性。建立终端身份和入网信息的基础信息台账，对终端的接入位置建立全面准确对应关系，终端需要关联部门和个人。终端资产梳理完成后，需提供终端资产管理表，记录资产类型、位置、所属部门、IP、MAC等信息。

★

序号

名称

数量

单位

品牌型号

金额（元）

1

全终端一体化准入系统

1

套