XX医院信息安全运维服务采购需求.docx

XX医院信息安全运维服务采购需求一、项目概况医院信息系统是现代医院医疗、服务、管理和教学研究正常开展的重要支撑设施，往往要求医疗服务、门户网站等系统能够24小时的不间断运行，同时全院的网络信息安全需要得到保障。随着医疗应用系统多样化、网络结构的复杂化以及外界环境的变化，网络信息安全形势也因此不断发生变化。在医院信息部门技术力量有限的条件下，为了加强医院网络信息安全的保障能力，结合等保测评结果和信息安全工作遇到的突出问题，本项目拟采购信息安全运维服务，加强保障技术力量和网络安全边界管理，提升医院信息网络的安全监测与风险处置能力,在年度特殊时期实施重点防护，从而合规合理确保医院信息系统的安全性和运行的连续性。二、项目内容序号名称配置说明数量1安全运维服务提供威胁监测主动响应、医院信息系统漏洞扫描、漏洞研判、渗透测试、基线核查、安全风险评估等服务,提供两会、国庆等重要时期安全保障服务，以及安全培训服务、应急演练和突发事件技术支持服务、信息安全管理平台技术服务。1年三、技术要求服务名称指标项技术服务内容1.威胁监测主动响服务频次12次/年服务范围合同服务期内医院全部网络安全管控设施应服务服务内容一、安全威胁分析：结合安全感知日志和威胁情报进行深度分析，研判网络中存在的威胁和攻击行为，明确对业务的影响和危害，保障安全风险动态清零；1 .外部威胁评估：综合分析数据，发现攻击威胁、持续性攻击和高级黑客等安全事件；2 .精准入侵检查：WebShen检查、恶意文件查杀、web日志分析、系统状态分析，发现已经被入侵或感染的主机；3 .位置威胁发现：及时对未公开威胁进行评估、针对高威胁风险进行通告o未知威胁快速规避措施:通过安全策略的运营（例“自定义策略临时防护）临时应对、规避最新爆发的风险。安全功能迭代升级（例：更新规则库、升级安全组件）将防护能力整合到安全设备。二、安全事件处置：对安全事件进行处置，清除恶意文件、快速恢复业务：1 .策略管理：新增资产、业务变更策略调优服务，业务变更时策略随业务变化而同步更新。策略冲突、策略有效性调优服务。2 .攻击对抗：通过攻击日志分析，发现持续性攻击，立即采取行动实时对抗。通过全网大数据分析，发现有境外黑客或高级黑客正在攻击，立即采取联动封锁黑客行为。3 .事件分析与处置：对安全设备预警及用户上报的安全事件进行及时响应。实时针对异常流量分析、攻击日志和病毒日志分析，经过海量数据脱敏、聚合发现安全事件。针对分析得到的勒索病毒、挖矿病毒、篡改事件、WebshelK僵尸网络等安全事件，通过工具和方法对恶意文件、代码进行根除，帮助客户快速恢复业务，消除或减轻影响。三、事件溯源分析：深入分析安全事件的成因，发现存在的薄弱点，溯源攻击路径；1.入侵影响抑制：通过事件检测分析，提供抑制手段，降低入侵影响，协助快速恢复业务。2 .入侵威胁清除：排查攻击路径，恶意文件清除。3 .入侵原因分析：还原攻击路径，分析入侵事件原因。四、安全加固建议：根据事件发生的根因、影响范围，针对性给出安全加固建议。输出物安全日志分析与响应报告2.漏洞扫描服务服务频次2次/年服务范围涵盖医院各信息系统服务器、新建信息系统服务内容提供安全服务工程师，进行漏洞扫描：使用系统漏洞扫描工具对数据库、操作系统、中间件等进行漏洞、端口、弱口令扫描，扫描完成后由技术人员对漏洞进行确认，提出整改建议，协助开发人员整改。利用专业级WEB应用扫描工具对被评估对象进行应用检测，以发现网站应用层面可能存在的技术漏洞；包括WEB容器识别，如：Apache>tomcat>Weblogic>WebSphere和Ngix等；支持多种服务端语言探测，如：PHP、JSP、ASP、ASPX和.NET等；支持WEB前端框架探测,:jQuery>BoOtStrap、HTML5等；支持WEB后端开发框架探测，如：Django、Rails、ThinkPHP、Struts等；支持WEB业务应用探测，如：BBS、CMS和BLOG等（备注：逻辑类漏洞主要通过人工渗透测试完成）支持扫描对象包括：B/S架构类应用漏洞，主要包括：SQL注入、XSS跨站脚本攻击、应用系统弱口令、敏感文件下载、后台用户枚举等。输出物漏洞扫描报告3.漏洞研判服务服务频次2次/年服务范围医院各信息系统服务器服务内容提供高级安全专家服务进行漏洞研判，主要内容包括：1 .漏洞梳理：根据安全服务经验，梳理汇总漏洞扫描报告中高危、中危且高可利用的漏洞；2 .漏洞验证：根据漏洞相关信息，验证漏洞存在的可信程度；3 .针对上级通报漏洞的漏洞研判；4 .提供漏洞研判的验证报告及解决方案，并指导/配合工程师进行漏洞整改。输出物漏洞验证报告4.渗透测试服务服务频次4次/年服务范围对外业务系统（医院网站等互联网应用）服务内容通过模拟黑客可能使用的攻击技术和漏洞发现技术，采用黑盒测试的方法对目标系统的安全做深入的探测，发现系统最脆弱的环节，了解自身网络所面临的问题。指导/配合第三方整改，并在第三方整改后，进行验证，确保隐患清零。渗透测试内容主要包括：1、主机操作系统渗透：包括且不限于WlNDOWS、LlNUX、麒麟、欧拉、统信等。2、数据库系统渗透：包括且不限于SQLServer,ORACLE.MYSQL,达梦、金仓、TiDB等。3、应用系统渗透：对各种应用系统进行渗透测试，如WWW、E-mail、DNS、FTP等。输出物渗透测试报告渗透测试复评报告5.基线核查及脆弱性分析服务服务频次1次/年服务范围核心网络设备、安全设备、服务器主机系统等服务内容1、资产识别：资产梳理、资产赋值及重要性区分；2、基线核查：针对漏洞扫描工具不能有效发现的方面（网络设备的安全策略弱点和部分主机的安全配置错误等）进行安全辅助的一种有效评估手段。服务范围包括各种网络设备、安全设备、主机操作系统、数据库、常见中间件及网络服务应用等。基线核查的服务内容主要集中在设备的账号管理、口令管理、认证授权、日志配置、进程服务、外部端口等几个方面，覆盖与安全问题相关的各个层面。3、脆弱性分析：脆弱性威胁识别、脆弱性关联统计及赋值、潜伏威胁检测输出物基线核查报告6.安全风险评估服务服务频次约20次/年，共计10人天服务范围新建信息系统资产（按需）服务内容提供安全风险评估工程师对医院新建信息系统资产进行安全风险评估。资产包括：业务系统应用、服务器、安全设备、关键网络设备（核心和汇聚交换机）等通过识别资产现有的脆弱性，可能面临的威胁，并充分调研已有的安全控制措施，以综合判断存在的风险，帮助用户预知可能发生的安全事件，指导/配合用户整改，确保系统零风险上线：1、漏洞扫描：使用系统漏洞扫描工具对数据库、操作系统、中间件等进行漏洞、端口、弱口令扫描，扫描完成后由技术人员对漏洞进行确认测试，提出整改建议，协助开发人员整改。2、渗透测试：通过模拟黑客可能使用的攻击技术和漏洞发现技术，对新建信息系统采用白盒测试的方法对目标系统的安全做深入的探测；3、基线核查：针对网络设备的安全策略弱点和部分服务器主机的安全配置错误等进行核查；4、风险分析：不可接受风险处理建议。输出物安全风险评估报告安全风险复评报告7.重要保护时期安全保障服务频次约40人天服务范围涵盖医院目前信息系统网络服务内容提供高级安全专家、安全服务工程师特殊时期提供人员保障服务。特殊时刻人员值守：两会、国庆等重要时期，提供人员值守服务对安全事件进行预防、监测、处置，保障信息系统安全稳定运行（按上级文件要求）。输出物重要时期安全保障记录8.安全培训服务服务频次2次/年培训对象用户指定服务内容根据医院要求对业务人员、安全管理人员、技术人员开展网络安全、数据安全、信息安全相关培训，提高受众个人隐私保护、技术防护、信息安全管理等能力，增强个人网络安全防护意识，规避网络攻击风险。服务要求对安全管理人员的培训1,讲解国家相关部门对系统信息安全管理和建设的相关标准，研讨建立具有针对性和适用性的安全管理办法。对技术人员的培训1,使他们了解信息系统所面临的严峻安全威胁和挑战，以及如何进行全面有效的安全防护措施。全员培训主要包括：安全意识培训等。对普通用户的培训1,让大家对信息安全的有初步的认识和逐步提高安全意识，让安全事故可以得到有效的避免。输出物培训课件、培训记录9.信息安全事件管理与突发事件技术支持服务1 .配合采购人更新信息安全重点资产台账，实现安全风险事件记录电子化管理，形成安全管理数据库并支持快速检索。2 .提供7*24小时10分种内应急响应服务，支持网络安全风险阻断和事件排查技术工作，分析故障原因，提出书面故障分析报告及整改措施。四、服务要求1 .本项目由1名项目经理及若干名技术服务人员组成，具备相关工作经验及高度的责任心，服务期内项目经理及现场服务技术服务人员不得变更,如遇特殊情况，须提前一个月向采购人提出申请。为保障服务效果，服务提供方应具备高级安全专家。项目经理应具备5年以上网络或信息安全行业从业经验，具有信息系统项目管理师（高级）证书或网络安全厂商（认证安全高级工程师），项目技术服务人员具备网络与信息安全工程师、注册信息安全专业人员（CISP）、注册渗透测试工程师（CISP-PTE）、注册渗透测试专家（CISP-PTS）,信息安全保障人员（CISAW）认证证书之一。2 .服务商应提供详尽技术服务方案。3 .服务商应提供相应的培训计划，详细说明培训的方式、地点、人数、时间等实质性内容。4 .针对医院可能网络安全突发事件情况，服务期间须提供7*24小时10分种内应急响应服务，支持网络安全风险阻断和事件排查技术工作，分析故障原因，提出书面故障分析报告及整改措施。5 .医院新建信息系统安全风险评估服务，需根据年度系统建设情况，按需提供。五、验收要求与其它1 .项目服务内容按要求开展，服务满6个月可提出初验申请，服务期满可提出最终验收。2 .项目验收前须按照技术服务内容要求提交相应的交付物，并参照医院项目管理要求提供项目总结报告、培训资料、会议记录等并装订成册，填写项目验收报告信息。六.付款方式合同签订后，供应商应向采购人提交预付款保函。采购人在合同生效且项目具备实施条件后7个工作日支付合同金额的40%作为预付款;项目初验后支付合同价的30%,终验完成支付合同价的30%o注：签订合同时供应商明确表示无需预付款或者要求降低预付款比例的，采购人可在合同中另行约定。