序号

服务项

服务简述

范围

具体要求

1

网络安全管理制度的完善、督导与落实

对医院现有管理制度进行梳理、完善。提供相关模板，让医院有更明确更高效的管理制度，并且根据医院网络安全管理制度，协助信息科不定期对全院进行网络安全检查，对检查过程中发现的问题提出整改意见，协助、监督整改。完善医院网络安全制度落实工作。

持续/年

依据网络安全相关法律法规以及条例，参照全省卫生健康行业网络和数据安全检查方案与网络信息与数据安全工作责任制考核指标，持续完善落实医院现有的管理制度。要求输出各种管理制度和执行表格。

2

资产梳理服务

通过对现有的网络环境进行资产分类，了解目前的安全现状以及薄弱性。梳理核心资产与边缘资产，核心资产重点防护，建立资产防护基线。对所有对外资产进行探测，梳理出各业务系统的资产信息，关闭对外暴露的多余端口。从而医院能更清晰明了知晓自身资产信息情况。

2次/年

含包括医疗设备在内的接入医院网络的全部设备。要求输出详细的资产信息，包括但不限于《资产信息表》、《资产分布图》等。

3

风险评估服务

全院系统进行全面性的风险评估，制定风险评估策略，根据安全评估结果分析系统安全风险和威胁，给出针对性的风险处理方案。减少医院业务系统安全风险。

2次/年

要求输出详细的《风险评估报告》。

4

安全加固服务

针对风险评估发现的问题，结合医院信息系统的特点，给出相应的加固建议，并协助信息科整改。分析漏洞对设备安全性的影响并提出相应的解决建议，同时登记在遗留问题记录中，以备后续查找和参考。

2次/年

要求安全加固包含不限于以下内容：网络设备加固、主机操作系统加固、数据库加固、常见中间件及网络服务加固。修补和加固完成后不影响修补加固对象原有的功能和性能。输出《安全加固方案》。

5

安全基线检查服务

结合医院行业特性，完成对安全基线的定义。提供主机操作系统、数据库、中间件、网络安全等设备的配置核查与分析，发现不符合安全基线的配置，并结合行业实际需求提出系统整改建议。

4次/年

要求形成安全基线，输出详细的全面的《安全基线核查清单》以及《网络安全基线核查报告》。

6

上线检测服务

系统上线前进行脆弱性评估：通过web扫描，漏洞扫描、基线检查、漏洞验证等手段，识别业务系统安全脆弱性风险。防御能力评估：通过模拟黑客进行信息收集、应用及系统入侵，验证防御体系的安全防御能力。安全整改建议：基于安全评估结果分析系统安全风险和威胁，给出针对性的风险处理方案。

新上线系统/年

对即将上线的系统开展上线前全方位的安全检测，找出当前存在的漏洞，并出具整改建议，协助修复安全隐患。并输出《系统上线检测报告》、《系统上线复测报告》。

7

漏洞扫描服务

根据医院网络安全现状，针对核心业务服务器系统、中间件、数据库等漏洞扫描与分析服务，降低因系统漏洞引发的安全风险，根据扫描结果对各安全漏洞的风险进行分析在综合平衡成本与风险的基础上建议采取适宜的整改措施，形成系统检查报告及整改建议，并协助医院信息科进行漏洞整改，监督相关运维厂商进行安全整改，确保信息化基础设施安全状况符合所制定的安全基线。

4次/年

输出《信息系统漏洞分析与整改报告》、《信息系统漏洞整改建议》、《信息系统漏洞处置情况报告》、《安全加固后系统安全评估报告》，形成漏洞管理台账，包含但不限于卫健委、网信办、公安局等主管监管部门发布的漏洞告警、预警等，协助医院进行漏洞修复及加固。

8

渗透测试服务

针对医院核心业务信息资产，如web应用系统、中间件、服务器系统、数据库所存在的漏洞进行安全评估。通过安全专家对评估的系统进行模拟黑客攻击测试，最大限度的发现系统漏洞风险。测试包含渗透测试、安全加固建议、加固完成后的复测。从而减少医院核心业务系统漏洞风险。

1次/年

要求专业的深度渗透测试服务，输出详细的《系统渗透测试报告》和《系统渗透测试整改报告》，明确整改的措施和修复验证。

9

信息系统设备巡检服务

开展信息系统设备，如：服务器、存储设备、网络设备、网络安全设备等核心业务系统重要硬件设施的性能指标、功能指标和状态等的定期巡检，记录指标值，发现异常记录并通知院方。

4次/年

做好信息系统的物理安全保障，要求输出《信息系统设备巡检报告》。

10

应急演练服务

协助信息科完善安全应急响应机制，完成切实可行的网络安全应急响应预案，并根据医院的实际情况，提供安全应急事件演练方案并协助完成演练。场景可以为但不限于以下内容：系统入侵攻击安全事件、拒绝服务攻击安全事件、病毒与木马攻击安全事件、网站页面篡改安全事件、数据库内部误操作等场景。编写网络安全事件应急演练脚本，并提交院方审核。

1次/年

要求输出《网络安全事件应急演练方案》、《网络安全事件应急演练脚本》、《网络安全事件应急演练总结报告》。

11

应急响应服务

当发生外部黑客入侵、数据泄露、木马病毒等突发安全事件时，能够为医院提供7*24小时响应服务。服务团队需熟悉安全处置流程，提供专业的安全管理与处置意见，为医院建立闭环的安全管理体系，最大化降低网络安全事件带来的影响。

365*24小时/年

突发网络安全事件的应急保障需在1小时内响应，必要情况3小时内到达医院现场，应急响应协助处置安全事件，输出《应急响应报告》。

12

攻防演练保障

在攻防演练期间派遣专业工程师驻场值守，对目标系统担任防守方。演练期间主要保障但不限于：网络安全、主机安全、应用安全、数据安全、应急响应等方面。可分析、记录、还原攻击方的攻击过程，并按网络安全事件应急预案有序开展应急处置工作。

2次/年

演练期间需协助信息科进行流量分析、日志分析、溯源取证、IP封堵、攻击路径回溯等。要求输出《安全防守日报》、《安全防守总结报告》。

13

重保值守服务

重要会议或重大活动时期，如：两会、国庆、周年、特殊敏感时期等，保障网络基础设施、门户网站和业务系统的安全及平稳运行。通过设计保障计划、通报流程、协作机制、处置规范及注意事项等。对医院重要系统进行实时安全监测与安全保障。

每次重保/年

要求重保期间7*24小时安全监控与值守，必要时派遣专业工程师驻场值守。及时同步外部威胁情况，提前设置安全策略。现场或远程进行人工日志分析，每日分析当天web全流量、各类告警、安全设备等日志。输出《重保值守日报》、《重保值守汇总报告》。

14

网络安全检查应检服务

针对市级及以上卫健委、网信办、公安局等主管、监管部门网络安全检查，协助信息科依据当次检查的标准及细则进行自查和预查，完善并归档检查实证材料，共同做好检查备查工作。

每次检查/年

要求可与市主管、监管的相关职能部门进行对接协调，能够第一时间掌握网络安全检查状态和规范要求。输出《网络安全检查汇报PPT》

15

网络安全意识培训及宣传

针对医院特性，根据《网络安全法》、《数据安全法》和《个人信息保护法》等相关法律，对全院人员进行网络安全意识培训，使全院人员在涉及病患数据处理，病患个人信息处理时做到合法合规，避免数据及个人信息泄露。引用当前典型的网络安全事件，开展网络安全等专题宣传活动，宣传内容包括：网络及网络安全法律法规、员工安全意识、网络安全制度。提升全院人员网络安全意识和减少网络安全风险。通过但不限于集中培训、播放网络安全宣传视频、张贴网络安全意识壁纸以及发放宣传手册等方式。

集中培训：1次/年

每次开展需输出相关成果，包括演示文稿资料、书面讲义、电子档案、网络安全意识宣贯素材等。

16

网络安全专业技术咨询与培训

为医院信息科网络安全专业技术人员提供专业技术服务，分为线上咨询服务与线下技术培训部分，线上咨询可通过腾讯会议、微信、钉钉等实时通讯工具，可及时响应对信息科技术人员对网络安全专业相关技术问题的咨询；线下培训针对二进制漏洞挖掘方向（PWN），讲师需具有丰富的实战经验和清晰的表达能力，可提供详尽的理论讲解和实景操作。

线上咨询：不限次/年；

线下培训：2人次/年

要求线下培训时间不少于一周，内容包括但不仅仅限于gdb调试技巧、exp脚本编写训练、linux保护机制的绕过、栈溢出原理与各种利用技巧、堆溢出原理与各种利用技巧、格式化字符串漏洞利用、整型溢出漏洞利用、linux内核漏洞利用等。需提供详细的课表安排，输出《二进制漏洞挖掘培训讲义》