服务

分项

服务内容

等保测评

针对云南省老年病医院的3个业务系统：His系统（三级）、Web网站（二级、阿里云部署）与微信小程序（二级），依据网络安全等级保护2.0标准完成2023年度的网络安全等级测评工作，承担网络安全等级保护测评服务所需全部费用。按照等级保护流程，服务须包括但不限于以下内容：

1.在定级备案阶段，协助客户完成未备案系统的定级和备案工作，取得《信息系统安全等级保护备案证明》；

2.依据网络安全等级保护测评过程指南（GB\/T*****-2018）采用人工检查以及专业工具检测，内容包括：

（1）安全物理环境：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

（2）安全通信网络：网络架构、通信传输、可信验证。

（3）安全区域边界：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

（4）安全计算环境：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

（5）安全管理中心：系统管理、审计管理、安全管理、集中管控。

（6）安全管理制度：安全策略、管理制度、制定和发布、评审和修订。

（7）安全管理机构：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（8）安全管理人员：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（9）安全建设管理：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

（10）安全运维管理：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

3.测评人员需具备网络安全等级测评师证书；需提供项目实施成员名单及证书并出示相关证明材料证明工程师投标单位与最终实施单位要求一致，以确保实施质量。

4.信息安全等级保护安全管理体系咨询服务：服务方应对单位现有安全管理体系、安全管理制度进行咨询服务的方式，协助建立包含：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个层面。

5.等保测评服务的交付成果为《网络安全等级测评报告》。

网络安全架构梳理

针对云南省老年病医院目前数据中心网络、安全、服务器、业务系统等资产进行梳理并绘制网络拓扑图，根据目前实际情况规划：网络体系架构、安全域划分、VLAN划分、系统边界安全防护、访问控制措施强度、入侵检测点部署、系统网络监控的有效性、系统与外界的通讯线路的冗余性、系统关键设备设施的冗余性等进行分析与配置加固。

网络安全加固

1.采用人工安全加固方法，对目标系统的安全漏洞进行修复、基线配置进行优化的过程，是一项纯技术服务，对客户指定的信息资产重要系统进行安全加固工作，包括网络设备加固、操作系统加固（Windows系统、Linux系统）、数据库加固、Web服务器、中间件加固、终端安全加固等内容。

2.信息安全分析：为用户单位提供信息安全策略、管理、技术和运维体系服务，安全事件专业的分析和预防，最新的安全漏洞、木马病毒、攻击事件等网络破坏行为信息以及解决指引服务，及时响应用户单位提出的安全服务请求，提出针对性的安全防护建议和整改措，并协助甲方实施落地工作；

3.安全策略优化及加固督导：对用户目标系统的安全漏洞进行修复、配置隐患进行优化的过程。加固内容包括但不限于系统补丁、防火墙、防病毒、危险服务、共享、自动播放、密码安全。

网络安全应急响应服务

当云南省老年病医院的业务系统有紧急安全问题发生，在现场技术人员无法迅速解决的时候，提供应急响应服务，进行现场技术支持，根据事件的具体情况，迅速组织应急安全专家小组，进行信息安全事件分析、事件紧急处置，并采取有效措施，遏制事件蔓延。

1.接到事件报告：根据事件级别进行不同级别的响应方式，包括电话、现场等；安全事件要求应急团队须在5分钟内，对信息安全事件做出响应，并严格按照招标方信息安全等级要求迅速到达现场并解决问题，其中一类、二类业务系统须30分钟内到达现场。三类业务系统须2个小时内到达现场。

2.安全事件溯源分析：排查攻击路径，恶意文件清除；入侵原因分析还原攻击路径，分析入侵事件原因。

3.加固建议指导服务：结合现有安全防御体系，进行安全加固、提供整改建议、防止再次入侵。

4.服务交付：编制应急响应情况报告，说明事件原因、处置措施等；交付《应急响应报告》。

服务质量保障能力

1.人员保障。根据相关规定，测评方参与本项目的项目组成员不得少于4人。其中高级测评师至少1人，中级测评师至少1人。

2.工具要求。测评方在等保测评和渗透测试过程中使用的漏洞扫描工具应满足以下技术要求：

（1）端口扫描策略支持标准端口扫描、快速端口扫描、指定端口范围扫描、全端口扫描等。

（2）TCP端口扫描方式支持CONNECT和SYN。

（3）支持UDP端口扫描。

（4）具备口令猜测任务，支持的猜测服务包括SMB、RDP、TELNET、FTP、SFTP、SSH、ACTIVEMQ、POP3、Tomcat、SQL SERVER、MYSQL、Oracle、Sybase、DB2、MONGODB、SMTP、IMAP、Onvif和RTSP等。

（5）WEB扫描支持并发线程数调节、超时限制、目录猜测、自定义User-Agent等能力。

针对上述能力，供应商需提供产品截图。

二、资格要求

（一）满足《中华人民共和国政府采购法》第二十二条规定：

1.具有独立承担民事责任的能力，在中华人民共和国境内依法注册，供应商须提供企业营业执照副本、税务登记证、组织机构代码证（要求清晰反映经营范围）；（注：三证合一企业只需提供营业执照副本）（原件或复印件加盖公章）。

2.供应商具有良好的商业信誉和健全的财务会计制度，供应商须提供财务状况报告，内容可为近三个月内开户银行出具的资信证明或资金存款证明（复印件）或（2020年至2022年任意一年度）经审计的财务审计报告及财务报表（须包括审计报告、资产负债表、利润表、现金流量表），如供应商成立时间不足一年的，提供自成立至今的财务报表或相关情况说明；

3.具有履行合同所必须的设备和专业技术能力（提供承诺函）。