编制说明

1、签订合同应遵守《中华人民共和国政府采购法》、《中华人民共和国民法典》。

2、签订合同时，采购人与中标人应结合招标文件第五章规定填列相应内容。招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

*方：福建省福州神经 (略)

*方：福建 (略)

根据招标编号为[*]LSGC[GK]*的福建省福州神经精神病防治院网络安全维护及等级保护测评服务类采购项目项目（以下简称：“本项目”）的招标结果，*方为中标人。现经**双方友好协商，就以下事项达成一致并签订本合同：

1、下列合同文件是构成本合同不可分割的部分：

1.1合同条款；

1.2招标文件、*方的投标文件；

1.3其他文件或材料：□无。□（若有联合协议或分包意向协议）无。

2、合同标的

3、合同总金额

3.1合同总金额为人民币大写： *万*仟*佰元整（￥*.0000）。

4、合同标的交付时间、地点和条件

4.1交付时间：合同签订后 (10) 天内开始实施服务；

4.2交付地点： (略) 仓山 (略) 451号；

4.3交付条件： 满足采购人技术和服务要求 。

5、合同标的应符合招标文件、*方投标文件的规定或约定，具体如下：

1.等级保护咨询与加固服务 1.1服务范围 ■（1）福建省福州神经 (略) 业务系统HIS、LIS、PACS、EMR等4个系统。提供服务期内的等保咨询与加固服务。 1.2服务内容 ■（1）网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。 1.3等保资产分析服务 ■（1）根据等级保护范围内的资产组成，派遣专业工程师到现场整理各 (略) 络结构拓扑以及相关联的资产，编制信息系统资产清单及资产报告；对服务范围内信息系统开展安全物理环境、 (略) 络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理，编制信息系统详细描述文档。 1.4等保风险分析服务 ■（1）根据等级保护基本要求，开展安全物理环境、 (略) 络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，分析信息系统安全风险评估分析，编制风险分析报告。 1.5等保差距评估服务 ■（1）在安全评估和信息系统定级的基础上，根据《GB/T *-2019 信息安全技术 网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个层面找出存在的问题并进行差距分析，包含以下内容： 1.5.1安全通用要求差距 1.5.1.1技术层面的差距评估（三级）内容： ■（1）安全物理环境：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 ■（2） (略) 络：网络架构、通信传输、可信验证。 ■（3）安全区域边界：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。 ■（4）安全计算环境：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。 ■（5）安全管理中心：系统管理、审计管理、安全管理、集中管控。 1.5.1.2管理层面的差距评估（三级）内容： ■（1）安全管理制度：安全策略、管理制度、制定与发布、评审与修订。 ■（2）安全管理机构：岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。 ■（3）安全管理人员：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。 ■（4）安全建设管理：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。 ■（5）安全运维管理： 环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。 1.5.2云计算安全扩展要求差距： ■（1）安全物理环境：基础设施位置。 ■（2） (略) 络：网络架构。 ■（3）安全区域边界：访问控制、入侵防范、安全审计安全计算环境。 ■（4）安全计算环境：身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护。 ■（5）安全管理中心：集中管控。 1.6等保整改建设服务 ■（1）依据相应等级要求对当前实际情况的差距分析结果对应策略设计整改加固措施，包含安全物理环境、 (略) 络、安全区域边界、安全计算环境、安全管理中心以及管理要求内容，针对不符合项以及行业特性要求进行个性化的整改方案设计，包含岗位职责梳理、技术策略实施、风险评估、管理体系建设、安全产品集成、组织方案评审、提供安全产品等方面，设计信息安全等级保护建设详细方案，协助建设单位完成建设整改工作。 1.7等保整改加固服务 ▲（1）根据等级保护基本要求以及风险和差距分析结果，对服务范围内信息系统的关键资产编制安全加固实施方案。派遣专业工程师到现场根据安全加固实施方案实施边界防护安全策略优化辅导、服务器病毒检查与清理，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。在安全加固实施前，应提交安全加固风险分析及风险规避说明书；安全加固实施后，应提交防火墙策略文件及配置清单、服务器安全加固建议报告、设备加固建议报告等文档。 ■（2）对于需要增加投资，部署新的信息安全产品和技术的整改措施，双方根据整改方案另行协商和实施。 1.8等保制度建设服务 ■（1）对安全管理制度建设，主要包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。 1.9安全策略复查服务 ■（1）派遣专业工程师到现场针对加固前后的系统脆弱性进行复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。复查结束后，形成加固前后对比复查报告。 1.10等保测评辅助服务 ▲（1）在测评阶段协助用户准备测评材料，指导用户单位配合测评机构开展等级测评工作，组织测评整改，并保障顺利通过等保测评获得测评报告。 1.11监督检查辅助服务 ■（1）配合完成自查工作，协助采购人接受检查和进行整改。 2.安全咨询服务 2.1安全咨询服务范围 ■（1）服务范围：采 (略) 络 2.2安全咨询服务内容 ■（1）每年1次针对本服务范围内信息系统进行安全咨询服务，安全服务具体工作内容如下： 2.2.1网络拓扑重现： ■（1）根据服务范围的应用组成，派遣专业工程师到现场整理各 (略) 络结构拓扑以及相关联的资产，修订信息系统资产清单； ■（2）对服务范围内信息系统开展物理环境、网络结构、设备配置、应用系统以及管理制度进行调研和梳理，修订信息系统详细描述文档。 ■（3）对服务范围内信息系统开展以系统为单位的安全策略梳理，调研每个系统所开 (略) 径、途径安全设备及策略，修订信息系统安全策略描述文档。 2.2. (略) 络与安全域安全分析 ■（1）分析服务范围 (略) 络与安全域安全隐患，分析其面临的安全需求。 2.2.3区域边界安全分析 ■（1）分析服务范围内的区域边界安全隐患，分析其面临的安全需求。 2.2.4计算环境安全分析 ■（1）分析服务范围内的计算环境安全隐患，分析其面临的安全需求。 2.2.5现有安全措施分析 ■（1）分析服务范围内现有安全措施是否能满 (略) 络安全需求。 2.2.6网络安全规划设计 ■（1）根据调研评估结果，对采购人进行安全架构设计。 3.安全风险评估服务 3.1服务范围 ■（1）采购人业务 (略) 络设备、安全设备与软件、关键服务器（如核心HIS、LIS、EMR、PACS四大系统） 3.2服务内容 ■（1）每年 (略) 内网安全评估，保障安全运行。 ■（2）网络架构安全风险评估：分 (略) 络拓扑结构安全隐患， (略) (略) 络面临的外部和内部威胁，面向数据 (略) 络。 ■（3）网络设备风险评估： (略) 络设备的配置和使用状况， (略) 络设备的有效性、安全性，面向交换、路由设备。 ■（4）安全设备风险评估：评估现有安全设备的配置和使用状况，考察安全设备的有效性、安全性，面向防火墙、数据库审计、网闸、堡垒机等相关安全设备。 ■（5） (略) 络安全评估：评估 (略) 络与设备配置和使用情况，考察设备的有效性、安全性； ■（6）主机服务器系统安全风险评估: 利用扫描工具及相关人工渗透测试等方式 (略) (略) 络的主机系统与数据库系统的漏洞情况，评估主系统与数据库本身存在的安全漏洞，面向数据 (略) 络。 ■（7）核心业务系统安全风险评估:采用人工与工具结合的方式，对核心业务进行工具扫描和渗透测试，评估核心业务存在的安全问题。系统工程师通过控制台登录到系统进行安全配置情况检查，涵盖口令、权限、帐户、日志审计、系统补*等几个方面。 4.网站安全巡检服务 4.1服务范围 ■（1）采 (略) 站系统及其相关服务器、数据库。 4.2服务内容 ■（1）网站安全巡检服 (略) 站提供安全评估检测服务。针对检测存在漏洞的应用系统，提供系统加固服务。在应用系统的日常运行过程中，提供系统监控服务。为了使应用系统安全状态始终保持良好状态，提供定期巡检服务。在应用系统发生突发事件时，为用户提供应急响应支撑服务。 4.2.1巡检服务 1.定期远程安全检测服务 ■（1）每年2次对服务范围内目标系统进行全面检测系统的安全性，并安排专业攻防人员深度挖掘程序中存在的各种漏洞和所面临的威胁，如XSS跨站脚本攻击漏洞、SQL Injection注入漏洞、恶意代码上传漏洞、Cookie注 (略) 页挂马、网页暗链等。并提交安全评估报告。 ■ 2.定期现场巡检服务 （1）每年2次定期对服务范围内目标系统进行以下检测服务：系统帐号检测；组帐号检测；系统日志检测；主机信任关系检测；系统配置文件检测；关键系统文件的基线检测；口令强度检测；系统安全漏洞检测；系统脆弱性分析；有控制的安全检测；日志文件检查；提供分析报告及安全建议。 （2）每年2次定期挖掘数据库系统的漏洞和安全性问题(扫描所使用软、硬件由服务提供商提供)，主要评估系统安全漏洞、安全配置不正确带来的安全威胁以及由于系统账号、权限等配置不严谨而产生的安全风险。结合工具检测和人工安全审查方式。 4.2.2安全加固服务 ■（1）WEB源代码审查及加固建议（每年提供2次服务）：发现WEB系统存在高危漏洞，从系统源代码层面提供代码加固建议，协助系统开发修改相关源代码；首次安全加固后，应进行漏洞复查和对比，以形成加固前后对比。 ■（2）Windows系统加固（每年提供2次服务）：该加固服务针对windows的服务器系统。主要是通过对系统层漏洞检测结果的分析，对在检测中发现的windows系统的安全问题进行安全加固，提高windows系统的整体安全性能。 ■（3）数据库安全性加固（每年提供2次服务）：该服务针对数据库系统，提供安全建议并协助系统开发修复数据库系统本身的漏洞及加强数据库系统账号、密钥、权限等带有安全风险的配置，从而从整体上提升数据库系统的安全性。 4.2.3网站安全在线监控服务 ■（1）提供7×24小时的远程安全监控服务，监控服务不需要改变用户环境和配置。监控基本 (略) 站可用性、响应时间，增强 (略) 页挂马监控等。 ■（2）网站页面可用性监控：1年365天7*24小时，每隔 (略) 站进行轮询探测，网站访问不到则预警。 ■（3）域名劫持监控：1年365天7×24小时，每隔5分钟监测DNS的劫持行为。 ■（4）暗链检测监控：1年365天每周 (略) 站被植入暗链的行为。 ■（5） (略) 页挂马监测服务：1年365天每 (略) 站进行挂马探测。 5.内网安全巡检服务 5.1服务范围 ■（1）采购人业务 (略) 络设备、安全设备与软件、关键服务器（如核心HIS、LIS、EMR、PACS四大系统） 5. (略) 安全巡检服务内容 5.2.1安全扫描服务 ■（1）每 (略) 内容关键服务器定期漏洞扫描。 5.2.2渗透测试服务 ■（1）每年2次对核心业务系统定期进行人工渗透测试。 5.2.3配置核查服务 ■（1）每 (略) 核心服务器参照等级保护2.0（三级）标准开展等保合规性配置检查。 5.2.4主机系统安全加固服务 ■（1）每 (略) 核心服务器系统参照等级保护2.0（三级）标准进行安全加固。 6.安全加固服务 6.1服务范围 ■（1）采购人业务 (略) 络设备、安全设备与软件、关键服务器（如核心HIS、LIS、EMR、PACS四大系统）。 6.2服务内容 ■（1）Web源代码审查及加固辅导（每年2次开展服务）：发现系统存在高危漏洞，及时采取可行的源代码加固措施，协助开发商进行源代码进行加固；首次安全加固后，应进行漏洞复查和对比，以形成加固前后对比。 ■（2）服务器系统加固协助（每年2次开展服务）：通过对系统层漏洞检测结果的分析，对在检测中发现的系统安全问题进行安全加固协助，提高系统的整体安全性能。 ■（3）数据库安全性加固协助（每年2次开展服务）：提供安全加固建议，最大程度降低数据库系统（SQL Server，Oracle等）本身的漏洞风险及加强数据库系统账号、密钥、权限等带有安全风险的配置，从而从整体上提升数据库系统的安全性。 ■（4） (略) 完成双机房安全架构规划，并按规划协助完成建设。 7.安全培训服务 ▲（1）每年1次 (略) 络管理员、信息技术 (略) 新员工的定制化安全培训。 8.安全应急演练服务 8.1应急预案服务 ■（1）设计安全应急预案：每年1次协助用户，根据采购人的业务现状， (略) 络中断、黑客入侵、病毒爆发等常见安全事件，分别设计应急流程和处置流程。 8.2应急演练服务 ■（1）应急演练服务：每年1次协助采购人针对黑客入侵进行应急模拟演练活动，协助采购人编写应急演练计划、演练方案、演练记录表、演练报告等。 9.安全应急响应服务 ■（1）为安全事件、安全咨询、紧急状况提供技术响应支持，提供临时处置办法，分析事故原因，提供解决措施。针对本服务范围内信息系统安全服务具体工作内容如下： 9.1全年应急响应服务 ■（1）在遇到安全紧急情况时，并且远程支持无法解决时，启动应急响应服务程序，指派专人进行紧急响应，要求2小时内到达现场，实施最有效的紧急救援及恢复补救方案。 9.2全年远程安全咨询 ■（1）故障时能立即以电话咨询或远程维护方式建立联系，立即给予技术协助，远程咨询提供7×24小时服务支持。 9.3安全通告服务 ▲（1）不定期通过电话、传真、 (略) 、邮件、走访等方式提供信息安全政策咨询及最新的重大安全资讯，包括但不限于：a）国家安全政策及法律法规，b）安全界的新闻大事，新技术发展动态，c）厂商安全通告，d）最新公布漏洞及解决方法安全通告，e）最新的病毒动态及防治；

6、验收

6.1验收应按照招标文件、*方投标文件的规定或约定进行，具体如下：

验收期次：1 验收期次说明：按照招标文件要求和合同要求验收。

6.2本项目是否邀请其他投标人参与验收：

不邀请。

7、合同款项的支付应按照招标文件的规定进行，具体如下：

8、履约保证金

无。

9、合同有效期

合同自双方签字盖章起生效至双方权利义务履行完毕时止。

10、违约责任

10.1如果*方未能按合同规定的时间按时足额交货的(不可抗力除外)，在*方支付延期交货违约金的条件下，*方有权选择同意延长交货完工期还是不予延长交货完工期，*方同意延长交货完工期的，延期交货的时间由双方另行确定。延期交货违约金*方有权从未付的合同货款中予以扣除。延期交货违约金比率为每迟交 1 天，按迟交货物金额的0.05%。 10.2如果*方未能按合同规定的时间或双方另行确定的延期交货完工期按时足额交货的(不可抗力除外)，每逾期 1天，*方应按迟交货物金额的0.05%向*方支付逾期交货的违约金。逾期交货违约金*方有权从未付的合同货款中予以扣除。若*方逾期交货达30天(含30天)以上的，*方有权单方解除本合同，*方应按合同总价款的20%支付违约金。若因此给*方造成损失的，还应赔偿*方所受的损失。 10.3若*方不能交货的或交货不合格从而影响*方正常使用的，*方应向*方支付不能交货部分货款的5%的违约金。违约金不足以补偿损失的，*方有权要求*方赔偿损失。 10.4如果*方未能按照合同约定的时间提供服务的，每逾期 1 天的，*方应向*方支付合同总金额的0.05%的违约金，若因此给*方造成损失的，*方还应赔偿*方所受的损失。 10.5*方逾期付款的(有正当拒付理由的除外)应按照逾期金额的每日0.05%支付逾期付款违约金。

11、知识产权

11.1*方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪劣品；*方还应保证*方不受到第三方关于侵犯知识产权及专利权、商标权或工业设计权等知识产权方面的指控，任何第三方如果提出此方面指控均与*方无关，*方应与第三方交涉，并承担可能发生的一切法律责任、费用和后果；若*方因此而遭致损失，则*方应赔偿该损失。

11.2若*方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品，则*方中标资格将被取消；*方还将按照有关法律、法规和规章的规定进行处理，具体如下： / 。

12、解决争议的方法

12.1*、*双方协商解决。

12.2若协商解决不成，则通过下列途径之一解决：

13、不可抗力

13.1因不可抗力造成违约的，遭受不可抗力一方应及时向对方通报不能履行或不能完全履行的理由，并在随后取得有关主管机关证明后的15日内向另一方提供不可抗力发生及持续期间的充分证据。基于以上行为，允许遭受不可抗力一方延期履行、部分履行或不履行合同，并根据情况可部分或全部免于承担违约责任。

13.2本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况，包括但不限于：自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适用的变化或其他任何无法预见、避免或控制的事件。

14、合同条款

14.1服务周期： 一年，由合同签订之日起算为期1年

15、其他约定

15.1合同文件与本合同具有同等法律效力。

15.2本合同未尽事宜，双方可另行补充。

15.3本合同自签订之日起生效。

15.4本合同纸质文件一式 * 份。合同电子文本通过 (略) 上公开信息系统自动备案。合同纸质文本需与备案电子文本一致，以备案电子文本为准，具有同等效力。

15.5其他：□无。□ 无 。

编制说明

1、签订合同应遵守《中华人民共和国政府采购法》、《中华人民共和国民法典》。

2、签订合同时，采购人与中标人应结合招标文件第五章规定填列相应内容。招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

*方：福建省福州神经 (略)

*方：福建 (略)

根据招标编号为[*]LSGC[GK]*的福建省福州神经精神病防治院网络安全维护及等级保护测评服务类采购项目项目（以下简称：“本项目”）的招标结果，*方为中标人。现经**双方友好协商，就以下事项达成一致并签订本合同：

1、下列合同文件是构成本合同不可分割的部分：

1.1合同条款；

1.2招标文件、*方的投标文件；

1.3其他文件或材料：□无。□（若有联合协议或分包意向协议）无。

2、合同标的

3、合同总金额

3.1合同总金额为人民币大写： *万*仟*佰元整（￥*.0000）。

4、合同标的交付时间、地点和条件

4.1交付时间：合同签订后 (10) 天内开始实施服务；

4.2交付地点： (略) 仓山 (略) 451号；

4.3交付条件： 满足采购人技术和服务要求 。

5、合同标的应符合招标文件、*方投标文件的规定或约定，具体如下：

1.等级保护咨询与加固服务 1.1服务范围 ■（1）福建省福州神经 (略) 业务系统HIS、LIS、PACS、EMR等4个系统。提供服务期内的等保咨询与加固服务。 1.2服务内容 ■（1）网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。 1.3等保资产分析服务 ■（1）根据等级保护范围内的资产组成，派遣专业工程师到现场整理各 (略) 络结构拓扑以及相关联的资产，编制信息系统资产清单及资产报告；对服务范围内信息系统开展安全物理环境、 (略) 络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理，编制信息系统详细描述文档。 1.4等保风险分析服务 ■（1）根据等级保护基本要求，开展安全物理环境、 (略) 络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，分析信息系统安全风险评估分析，编制风险分析报告。 1.5等保差距评估服务 ■（1）在安全评估和信息系统定级的基础上，根据《GB/T *-2019 信息安全技术 网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个层面找出存在的问题并进行差距分析，包含以下内容： 1.5.1安全通用要求差距 1.5.1.1技术层面的差距评估（三级）内容： ■（1）安全物理环境：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 ■（2） (略) 络：网络架构、通信传输、可信验证。 ■（3）安全区域边界：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。 ■（4）安全计算环境：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。 ■（5）安全管理中心：系统管理、审计管理、安全管理、集中管控。 1.5.1.2管理层面的差距评估（三级）内容： ■（1）安全管理制度：安全策略、管理制度、制定与发布、评审与修订。 ■（2）安全管理机构：岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。 ■（3）安全管理人员：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。 ■（4）安全建设管理：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。 ■（5）安全运维管理： 环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。 1.5.2云计算安全扩展要求差距： ■（1）安全物理环境：基础设施位置。 ■（2） (略) 络：网络架构。 ■（3）安全区域边界：访问控制、入侵防范、安全审计安全计算环境。 ■（4）安全计算环境：身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护。 ■（5）安全管理中心：集中管控。 1.6等保整改建设服务 ■（1）依据相应等级要求对当前实际情况的差距分析结果对应策略设计整改加固措施，包含安全物理环境、 (略) 络、安全区域边界、安全计算环境、安全管理中心以及管理要求内容，针对不符合项以及行业特性要求进行个性化的整改方案设计，包含岗位职责梳理、技术策略实施、风险评估、管理体系建设、安全产品集成、组织方案评审、提供安全产品等方面，设计信息安全等级保护建设详细方案，协助建设单位完成建设整改工作。 1.7等保整改加固服务 ▲（1）根据等级保护基本要求以及风险和差距分析结果，对服务范围内信息系统的关键资产编制安全加固实施方案。派遣专业工程师到现场根据安全加固实施方案实施边界防护安全策略优化辅导、服务器病毒检查与清理，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。在安全加固实施前，应提交安全加固风险分析及风险规避说明书；安全加固实施后，应提交防火墙策略文件及配置清单、服务器安全加固建议报告、设备加固建议报告等文档。 ■（2）对于需要增加投资，部署新的信息安全产品和技术的整改措施，双方根据整改方案另行协商和实施。 1.8等保制度建设服务 ■（1）对安全管理制度建设，主要包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。 1.9安全策略复查服务 ■（1）派遣专业工程师到现场针对加固前后的系统脆弱性进行复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。复查结束后，形成加固前后对比复查报告。 1.10等保测评辅助服务 ▲（1）在测评阶段协助用户准备测评材料，指导用户单位配合测评机构开展等级测评工作，组织测评整改，并保障顺利通过等保测评获得测评报告。 1.11监督检查辅助服务 ■（1）配合完成自查工作，协助采购人接受检查和进行整改。 2.安全咨询服务 2.1安全咨询服务范围 ■（1）服务范围：采 (略) 络 2.2安全咨询服务内容 ■（1）每年1次针对本服务范围内信息系统进行安全咨询服务，安全服务具体工作内容如下： 2.2.1网络拓扑重现： ■（1）根据服务范围的应用组成，派遣专业工程师到现场整理各 (略) 络结构拓扑以及相关联的资产，修订信息系统资产清单； ■（2）对服务范围内信息系统开展物理环境、网络结构、设备配置、应用系统以及管理制度进行调研和梳理，修订信息系统详细描述文档。 ■（3）对服务范围内信息系统开展以系统为单位的安全策略梳理，调研每个系统所开 (略) 径、途径安全设备及策略，修订信息系统安全策略描述文档。 2.2. (略) 络与安全域安全分析 ■（1）分析服务范围 (略) 络与安全域安全隐患，分析其面临的安全需求。 2.2.3区域边界安全分析 ■（1）分析服务范围内的区域边界安全隐患，分析其面临的安全需求。 2.2.4计算环境安全分析 ■（1）分析服务范围内的计算环境安全隐患，分析其面临的安全需求。 2.2.5现有安全措施分析 ■（1）分析服务范围内现有安全措施是否能满 (略) 络安全需求。 2.2.6网络安全规划设计 ■（1）根据调研评估结果，对采购人进行安全架构设计。 3.安全风险评估服务 3.1服务范围 ■（1）采购人业务 (略) 络设备、安全设备与软件、关键服务器（如核心HIS、LIS、EMR、PACS四大系统） 3.2服务内容 ■（1）每年 (略) 内网安全评估，保障安全运行。 ■（2）网络架构安全风险评估：分 (略) 络拓扑结构安全隐患， (略) (略) 络面临的外部和内部威胁，面向数据 (略) 络。 ■（3）网络设备风险评估： (略) 络设备的配置和使用状况， (略) 络设备的有效性、安全性，面向交换、路由设备。 ■（4）安全设备风险评估：评估现有安全设备的配置和使用状况，考察安全设备的有效性、安全性，面向防火墙、数据库审计、网闸、堡垒机等相关安全设备。 ■（5） (略) 络安全评估：评估 (略) 络与设备配置和使用情况，考察设备的有效性、安全性； ■（6）主机服务器系统安全风险评估: 利用扫描工具及相关人工渗透测试等方式 (略) (略) 络的主机系统与数据库系统的漏洞情况，评估主系统与数据库本身存在的安全漏洞，面向数据 (略) 络。 ■（7）核心业务系统安全风险评估:采用人工与工具结合的方式，对核心业务进行工具扫描和渗透测试，评估核心业务存在的安全问题。系统工程师通过控制台登录到系统进行安全配置情况检查，涵盖口令、权限、帐户、日志审计、系统补*等几个方面。 4.网站安全巡检服务 4.1服务范围 ■（1）采 (略) 站系统及其相关服务器、数据库。 4.2服务内容 ■（1）网站安全巡检服 (略) 站提供安全评估检测服务。针对检测存在漏洞的应用系统，提供系统加固服务。在应用系统的日常运行过程中，提供系统监控服务。为了使应用系统安全状态始终保持良好状态，提供定期巡检服务。在应用系统发生突发事件时，为用户提供应急响应支撑服务。 4.2.1巡检服务 1.定期远程安全检测服务 ■（1）每年2次对服务范围内目标系统进行全面检测系统的安全性，并安排专业攻防人员深度挖掘程序中存在的各种漏洞和所面临的威胁，如XSS跨站脚本攻击漏洞、SQL Injection注入漏洞、恶意代码上传漏洞、Cookie注 (略) 页挂马、网页暗链等。并提交安全评估报告。 ■ 2.定期现场巡检服务 （1）每年2次定期对服务范围内目标系统进行以下检测服务：系统帐号检测；组帐号检测；系统日志检测；主机信任关系检测；系统配置文件检测；关键系统文件的基线检测；口令强度检测；系统安全漏洞检测；系统脆弱性分析；有控制的安全检测；日志文件检查；提供分析报告及安全建议。 （2）每年2次定期挖掘数据库系统的漏洞和安全性问题(扫描所使用软、硬件由服务提供商提供)，主要评估系统安全漏洞、安全配置不正确带来的安全威胁以及由于系统账号、权限等配置不严谨而产生的安全风险。结合工具检测和人工安全审查方式。 4.2.2安全加固服务 ■（1）WEB源代码审查及加固建议（每年提供2次服务）：发现WEB系统存在高危漏洞，从系统源代码层面提供代码加固建议，协助系统开发修改相关源代码；首次安全加固后，应进行漏洞复查和对比，以形成加固前后对比。 ■（2）Windows系统加固（每年提供2次服务）：该加固服务针对windows的服务器系统。主要是通过对系统层漏洞检测结果的分析，对在检测中发现的windows系统的安全问题进行安全加固，提高windows系统的整体安全性能。 ■（3）数据库安全性加固（每年提供2次服务）：该服务针对数据库系统，提供安全建议并协助系统开发修复数据库系统本身的漏洞及加强数据库系统账号、密钥、权限等带有安全风险的配置，从而从整体上提升数据库系统的安全性。 4.2.3网站安全在线监控服务 ■（1）提供7×24小时的远程安全监控服务，监控服务不需要改变用户环境和配置。监控基本 (略) 站可用性、响应时间，增强 (略) 页挂马监控等。 ■（2）网站页面可用性监控：1年365天7*24小时，每隔 (略) 站进行轮询探测，网站访问不到则预警。 ■（3）域名劫持监控：1年365天7×24小时，每隔5分钟监测DNS的劫持行为。 ■（4）暗链检测监控：1年365天每周 (略) 站被植入暗链的行为。 ■（5） (略) 页挂马监测服务：1年365天每 (略) 站进行挂马探测。 5.内网安全巡检服务 5.1服务范围 ■（1）采购人业务 (略) 络设备、安全设备与软件、关键服务器（如核心HIS、LIS、EMR、PACS四大系统） 5. (略) 安全巡检服务内容 5.2.1安全扫描服务 ■（1）每 (略) 内容关键服务器定期漏洞扫描。 5.2.2渗透测试服务 ■（1）每年2次对核心业务系统定期进行人工渗透测试。 5.2.3配置核查服务 ■（1）每 (略) 核心服务器参照等级保护2.0（三级）标准开展等保合规性配置检查。 5.2.4主机系统安全加固服务 ■（1）每 (略) 核心服务器系统参照等级保护2.0（三级）标准进行安全加固。 6.安全加固服务 6.1服务范围 ■（1）采购人业务 (略) 络设备、安全设备与软件、关键服务器（如核心HIS、LIS、EMR、PACS四大系统）。 6.2服务内容 ■（1）Web源代码审查及加固辅导（每年2次开展服务）：发现系统存在高危漏洞，及时采取可行的源代码加固措施，协助开发商进行源代码进行加固；首次安全加固后，应进行漏洞复查和对比，以形成加固前后对比。 ■（2）服务器系统加固协助（每年2次开展服务）：通过对系统层漏洞检测结果的分析，对在检测中发现的系统安全问题进行安全加固协助，提高系统的整体安全性能。 ■（3）数据库安全性加固协助（每年2次开展服务）：提供安全加固建议，最大程度降低数据库系统（SQL Server，Oracle等）本身的漏洞风险及加强数据库系统账号、密钥、权限等带有安全风险的配置，从而从整体上提升数据库系统的安全性。 ■（4） (略) 完成双机房安全架构规划，并按规划协助完成建设。 7.安全培训服务 ▲（1）每年1次 (略) 络管理员、信息技术 (略) 新员工的定制化安全培训。 8.安全应急演练服务 8.1应急预案服务 ■（1）设计安全应急预案：每年1次协助用户，根据采购人的业务现状， (略) 络中断、黑客入侵、病毒爆发等常见安全事件，分别设计应急流程和处置流程。 8.2应急演练服务 ■（1）应急演练服务：每年1次协助采购人针对黑客入侵进行应急模拟演练活动，协助采购人编写应急演练计划、演练方案、演练记录表、演练报告等。 9.安全应急响应服务 ■（1）为安全事件、安全咨询、紧急状况提供技术响应支持，提供临时处置办法，分析事故原因，提供解决措施。针对本服务范围内信息系统安全服务具体工作内容如下： 9.1全年应急响应服务 ■（1）在遇到安全紧急情况时，并且远程支持无法解决时，启动应急响应服务程序，指派专人进行紧急响应，要求2小时内到达现场，实施最有效的紧急救援及恢复补救方案。 9.2全年远程安全咨询 ■（1）故障时能立即以电话咨询或远程维护方式建立联系，立即给予技术协助，远程咨询提供7×24小时服务支持。 9.3安全通告服务 ▲（1）不定期通过电话、传真、 (略) 、邮件、走访等方式提供信息安全政策咨询及最新的重大安全资讯，包括但不限于：a）国家安全政策及法律法规，b）安全界的新闻大事，新技术发展动态，c）厂商安全通告，d）最新公布漏洞及解决方法安全通告，e）最新的病毒动态及防治；

6、验收

6.1验收应按照招标文件、*方投标文件的规定或约定进行，具体如下：

验收期次：1 验收期次说明：按照招标文件要求和合同要求验收。

6.2本项目是否邀请其他投标人参与验收：

不邀请。

7、合同款项的支付应按照招标文件的规定进行，具体如下：

8、履约保证金

无。

9、合同有效期

合同自双方签字盖章起生效至双方权利义务履行完毕时止。

10、违约责任

10.1如果*方未能按合同规定的时间按时足额交货的(不可抗力除外)，在*方支付延期交货违约金的条件下，*方有权选择同意延长交货完工期还是不予延长交货完工期，*方同意延长交货完工期的，延期交货的时间由双方另行确定。延期交货违约金*方有权从未付的合同货款中予以扣除。延期交货违约金比率为每迟交 1 天，按迟交货物金额的0.05%。 10.2如果*方未能按合同规定的时间或双方另行确定的延期交货完工期按时足额交货的(不可抗力除外)，每逾期 1天，*方应按迟交货物金额的0.05%向*方支付逾期交货的违约金。逾期交货违约金*方有权从未付的合同货款中予以扣除。若*方逾期交货达30天(含30天)以上的，*方有权单方解除本合同，*方应按合同总价款的20%支付违约金。若因此给*方造成损失的，还应赔偿*方所受的损失。 10.3若*方不能交货的或交货不合格从而影响*方正常使用的，*方应向*方支付不能交货部分货款的5%的违约金。违约金不足以补偿损失的，*方有权要求*方赔偿损失。 10.4如果*方未能按照合同约定的时间提供服务的，每逾期 1 天的，*方应向*方支付合同总金额的0.05%的违约金，若因此给*方造成损失的，*方还应赔偿*方所受的损失。 10.5*方逾期付款的(有正当拒付理由的除外)应按照逾期金额的每日0.05%支付逾期付款违约金。

11、知识产权

11.1*方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪劣品；*方还应保证*方不受到第三方关于侵犯知识产权及专利权、商标权或工业设计权等知识产权方面的指控，任何第三方如果提出此方面指控均与*方无关，*方应与第三方交涉，并承担可能发生的一切法律责任、费用和后果；若*方因此而遭致损失，则*方应赔偿该损失。

11.2若*方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品，则*方中标资格将被取消；*方还将按照有关法律、法规和规章的规定进行处理，具体如下： / 。

12、解决争议的方法

12.1*、*双方协商解决。

12.2若协商解决不成，则通过下列途径之一解决：

13、不可抗力

13.1因不可抗力造成违约的，遭受不可抗力一方应及时向对方通报不能履行或不能完全履行的理由，并在随后取得有关主管机关证明后的15日内向另一方提供不可抗力发生及持续期间的充分证据。基于以上行为，允许遭受不可抗力一方延期履行、部分履行或不履行合同，并根据情况可部分或全部免于承担违约责任。

13.2本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况，包括但不限于：自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适用的变化或其他任何无法预见、避免或控制的事件。

14、合同条款

14.1服务周期： 一年，由合同签订之日起算为期1年

15、其他约定

15.1合同文件与本合同具有同等法律效力。

15.2本合同未尽事宜，双方可另行补充。

15.3本合同自签订之日起生效。

15.4本合同纸质文件一式 * 份。合同电子文本通过 (略) 上公开信息系统自动备案。合同纸质文本需与备案电子文本一致，以备案电子文本为准，具有同等效力。

15.5其他：□无。□ 无 。