序号

产品名称

技术参数

数量

单位

1

安全运营服务

一、服务概述：安全运营中心可对接医院现有下一代防火墙、终端安全防护软件和态势感知等安全设备，通过云端安全运营中心和安全专家团队有效协同的“人机共智”模式7*24H持续性开展网络安全保障工作，与用户一同构建持续（7*24小时）、主动、闭环的安全运营体系，提供项目厂商售后服务承诺函，并加盖印章。

二、服务内容

1、现状评估及处置加固

1.1、资产识别与梳理

资产发现与识别：借助安全工具对用户资产进行全面发现和深度识别，并在后续服务过程中触发资产变更等相关服务流程，确保安全运营中心中资产信息的准确性和全面性。

资产信息梳理与管理：结合安全工具发现的资产信息，首次进行服务范围内资产的全面梳理，并将信息录入到安全运营平台中进行管理；

1.2、安全现状评估：包含脆弱性、病毒类事件、攻击行为、失陷类事件等安全现状的评估

1.3、问题处置：建立安全事件的进度监控机制，现场T1上门提供处置服务。

2、持续有效运营

2.1、漏洞管理

漏洞分析与管理：通过漏洞扫描工具识别系统安全漏洞，结合多种信息对识别的漏洞进行优先级排序，最后提出切实可行的漏洞修复指导。同时，借助漏洞跟踪管理平台，可以有效地追踪资产漏洞生命周期，清楚地掌握资产的脆弱性状况，实现漏洞全生命周期的可视、可控和可管。

弱口令分析与管理：实现信息化资产不同应用弱口令猜解检测，如：SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。

针对不同行业提供行业密码字典，有针对性的进行内网弱口令检测，并将检测发现的问题通过工单系统跟踪修复状态。

2.2、威胁管理

威胁分析与通告：实时监测网络安全状态，对攻击事件自动化生成工单,及时进行分析与预警。攻击事件包含境外黑客攻击事件、高级黑客攻击事件、持续攻击事件。实时监测网络安全状态，对病毒事件自动化生成工单,及时进行分析与预警。病毒类型包含勒索型、流行病毒、挖矿型、蠕虫型、外发DOS型、C&C访问型、文件感染型、木马型。

流行威胁通告与排查：结合威胁情报，安全专家排查是否对用户资产造成威胁并通知用户，协助及时进行安全加固

主动分析与响应：每月主动分析病毒类、攻击类、漏洞利用类、失陷类的安全事件，并提供相应解决方案。

策略管理：安全专家每月对安全组件上的安全策略进行统一管理工作，确保安全组件上的安全策略始终处于最优水平，针对威胁能起到最好的防护效果。

持续攻击对抗：通过攻击日志分析，发现持续性攻击，立即采取行动实时对抗。

2.3、事件管理

事件分析与处置：实时针对异常流量分析、攻击日志和病毒日志分析，经过海量数据脱敏、聚合发现安全事件。

针对分析得到的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件，通过工具和方法对恶意文件、代码进行根除，帮助用户快速恢复业务，消除或减轻影响。

应急响应：通过事件检测分析，提供抑制手段，降低入侵影响，协助快速恢复业务，同时还原攻击路径，分析入侵事件原因，指导用户进行安全加固、提供整改建议、防止再次入侵。

三、定期汇报：默认每年四次服务进展汇报。

四、服务交付物

《项目启动会PPT》、《首次分析与处置报告》、《漏洞管理举证报告》、《漏洞清单》、《服务资产表》、《安全服务运营报告》、《应急响应报告》、《事件分析与处置报告》、《安全运营报告》、《安全通告》、《综合分析报告》、《季度汇报PPT》、《年度汇报PPT》。

1

年

2

应急响应服务

1、投标方应在招标方遇到重大或突发事件后按照要求的服务响应级别采取相关的措施和行动。帮助招标方正确应对安全事件，降低安全事件带来的损失和影响，并将业务以及网络恢复到正常状态。

2、应急响应包含但不限于以下几类安全事件：

（1）WEB安全事件：针对B/S类信息系统或网站遭受恶意入侵，利用网站进行反动信息、赌博、黄色等信息发布，传播危害国家安全、社会稳定和公共利益的内容的安全事件，包括但不限于：篡改、暗链、挂马、Webshell等。

（2）恶意程序事件：针对遭受的各类恶意程序事件进行快速处置，包括不限于病毒事件/木马事件、蠕虫事件、僵尸网络事件、勒索病毒事件、挖矿病毒事件等。

（3）网络攻击事件：针对招标方由于信息系统的配置缺陷、协议缺陷、程序缺陷，造成的信息系统异常的安全事件进行应急响应。

（4）信息破坏事件：针对招标方信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件进行应急响应，包括但不限于系统配置遭篡改、数据库内容篡改、网站内容篡改事件、信息数据泄露事件等。

3、安全事件要求应急团队须在5分钟内，对信息安全事件做出响应，并严格按照招标方信息安全等级要求迅速到达现场并解决问题。

1

年

3

安全加固服务

1、网络安全设备加固：对网络设备的管理员进行分级管理，权限更高的管理员的帐号和口令的管理要求必须保证是最严格等级，同时对其他管理员的帐号和口令的复杂度进行优化；网络设备的服务配置方面，遵循最小化服务原则，关闭网络设备不必要的所有服务，修复网络服务或网络协议自身存在的安全漏洞以降低网络的安全风险。

2、主机操作系统加固：针对主机操作系统管理设置访问安全控制策略，只允许特定主机访问网络设备；对主机操作系统的管理员进行分级管理，确保不同管理员的帐号和口令的管理要求差异化，同时对帐号和口令的复杂度进行严格要求。

3、数据库加固：针对数据库管理设置访问安全访问限制策略，只允许特定主机访问网络设备，关闭不必要的服务，加固TCP/IP协议栈，使用加密通信协议。

4、中间件及常见网络服务安全加固：针对应用的登录帐号进行一定强度的认证要求和不同级别的授权策略优化；根据安全级别要求，开启中间件及常见网络服务必需的监控日志记录，并支持一定周期的日志本地存储或外置存储。

5、交付物：《安全加固报告》，具体内容应包含：1）对加固过程的详细记录；2）对加固结果的详细记录；3）对未能实施加固（残余风险）的风险项进行详细说明，并提出安全补救措施和安全专家建议，为管理人员的后期维护提供参考。

1

年