1

云对象存储服务

1套

1、提供对象存储空间≥7T。

2、需支持多协议融合，支持块存储、文件存储及对象存储协议。

3、系统在面对海量小文件时数据读写性能不应有明显波动。

4、底层采用分布式文件系统，可将数据文件分别保存在不同机房，数据存储达到三副本可靠性。

5、为了实现对象存储上的数据异地灾备，管理控制台应提供跨区域复制开通功能。支持整个bucket或按照前缀目录进行跨区域复制功能。

6、需支持纠删码技术存储架构，同时保证数据可靠性。

7、支持标准型存储可靠性≥99.99%。

8、需支持授权云主机对对象存储进行访问，其它未授权云主机通过网络隔离机制禁止访问。

10、安全认证模式：支持基于对称加密的请求认证方式支持通过 SSL 加密数据传输，以“不可删除、不可篡改”方式保存和使用数据支持服务端加密，服务端数据加密后存储。向用户提供标准、规范且简单的 API 接口和 SDK 工具包，并提供详尽的 API 文档和使用案例。

11、支持存储资源 URL 化，对象存储接收请求的协议为 HTTP或HTTPS ，接收到用户的文件上传和下载请求后，需要有相应的处理方法。

12、支持图片处理功能，包括基础图片转换、水印功能、原图保护、视频截帧、数据处理持久化保存等功能。

13、支持通过我院私网专线访问云对象存储资源。

2

二层组网专线服务

2条

1、提供2条带宽≥100M 的不同物理路由二层链路专线。

2、专线链路需支持点对点二层链路，需提供灵活业务接入、灵活带宽、高可靠性二层以太专线。

3、需提供从我院到云资源池站点的二层以太专线服务。

3

抗DDOS服务

1套

1、提供不小于1Gbps的DDOS流量清洗服务。

2、提供基于管道侧的清洗中心能力，可对医院单个在用目标IP进行全网牵引，实现基于防护目标IP地址的流量清洗功能。

3、提供的抗DDOS服务支持无需修改 DNS 配置和 IP 地址即可进行防护。

4、需提供近源式清洗、分布式清洗等全国调动防护能力，无需改变我院现有网络架构。

5、需提供T级处理能力及自助方式，保障有能力抵御突发大流量的DDOS攻击；提供秒级的防护生效时间和高精度全覆盖的攻击溯源能力，保障遭受DDOS攻击后能快速恢复业务。

6、需提供DDoS攻击监控、攻击防护和分析溯源的网络安全服务。

4

云WEB应用防火墙服务

1套

1、要求应用层吞吐量≥7Gbps，并发连接数≥400万，每秒新建连接数≥9万。

2、本项服务不得在本地部署软、硬件设备、不得通过将域名的 DNS 解析指向CNAME 地址方式引流，不得改变医院现有网络架构。

3、支持对Web应用进行识别，感知服务器的域名、操作系统、Web服务器类型、编程语言、中间件、服务器IP及端口等，保障web防护的精准度和细粒度。

3、提供人机识别能力，能够有效防止机器人对网站的攻击，提供CSRF防护及自学习功能，能够有效防止CSRF攻击。

4、提供自定义事件检测，可以自定义网络特征事件检测，需满足可对HTTP层、TCP层、IP层等协议自定义，业务系统遇到攻击时能进行检测与防护，提供协议识别及解码能力，提供:URL解码、XML解码、JSON解析、Base64解码、Unicode解码、十六进制转换、斜杠反转义、CHR解码、UTF-7解码，达到解析7层以上混合编解码能力。

5、提供对多层编码攻击的检测并对攻击行为进行捕获和阻断能力，提供网站一键关停功能。

6、支持HSTS、IP信誉、HTTPS检测等功能。

7、提供访问流量源地址保留功能，保留正常访问流量和攻击流量的源地址以便进行溯源分析。

5

云下一代防火墙服务

1套

1、要求并发连接数≥50万；吞吐量≥20Gbps；IPS吞吐量≥5Gbps；AV吞吐量≥2Gbps；每秒新建会话数≥5万；IPSEC VPN隧道数≥100；提供故障冗余功能。

2、提供入侵防御、精细化应用控制、病毒防护、负载均衡、URL 过滤、僵尸网络防护、沙箱防护等多种安全功能；提供网络安全隔离服务；提供 IPv6功能；提供与云沙箱、威胁情报中心联动能力，具备主动防御能力。

3、本项服务不得在本地部署软、硬件设备、不得通过将域名的 DNS 解析指向CNAME 地址方式引流，不得改变医院现有网络架构。提供网络流量深度检测和解析技术，支持对应用、用户、内容、国家地理等进行多维度的精准识别能力。

4、提供精确识别攻击源/目的IP所处的国家地理位置并对国家地理位置的访问控制，快速阻断攻击流量。提供基于文件深度检测技术能力，实现基于文件类型、文件大小、文件名称的文件传输控制能力，满足文件传输行为的合规性管理要求。

5、提供当前常见主流网络攻击行为的防护能力，包括各种 Flood 攻击如 SYN Flood攻击、ICMP Flood、UDP Flood、DNS Query Flood;各种扫描或欺骗攻击，如IP 地址欺骗、ARP 欺骗、IP 地址扫描、端口扫描等;畸形报文攻击， Ping of Death，Teardrop、IP 分片、IP 选项、TCP 选项、Land、ICMP 大包、攻击，反射式攻击:Smurf、Fraggle.提供基于深度应用识别能力，积极防范。对复杂应用攻击;如对 HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER, MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP 等多种常见的应用和协议的攻击防护。

6、需提供定期更新攻击特征库服务，响应新的攻击和漏洞。需支持智能流量管理技术并实现以管道为单位对流量进行划分，并对流经设备的流量，具备按照预设的匹配条件进入管道且匹配条件(rule)包括源安全域、源接口、源地址条目、目的安全域、目的接口、目的地址条目、用户/用户组服务/服务组、应用/应用组、TOS、Vlan等功能，确保网络安全可用。

6

云日志审计服务

1套

1、要求二进制NAT日志处理性能≥50,000EPS, SYSLOG日志处理性能≥5,000EPS，存储云资源产生的日志时间不少于6个月。

2、本项服务不得在本地部署软、硬件设备，不得改变医院网络架构。提供Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集，提供各种日志的采集能力。提供包括Http接收、syslog接收、SNMPtrap接收、TCP接收、WMI接收、aliyun接收等功能。

3、提供主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等的日志收集功能；提供基于日志等级进行过滤功能；提供通过自定义配置过滤掉不关心的日志；提供对收集到的重复日志进行自动聚合归并功能，减少日志量；提供自定义和修改的日志聚合归并逻辑规则等功能；将收集到的日志转发，当原始日志设备无法设置多个日志服务器时，提供通过本地系统的日志转发功能将日志转发到其他日志存储设备；提供多种统计项，包括保存统计项、自定义分类，提供趋势图、折线图、柱状图、饼图、表格等统计项图标的自定义展示；提供日志审计溯源等功能。

7

弹性IP服务

1个

1、提供云上互联网带宽≥100M（独享），提供≥1个弹性IP。

4、需提供IPv4/IPv6访问公网能力。

6、需提供对弹性IP的监控，包括入网流量、出网流量、入网带宽、出网带宽等；支持自动告警通知。