龙岩市中医院网络安全运维及等保测评服务项目询价采购公告
龙岩市中医院网络安全运维及等保测评服务项目询价采购公告
经龙岩市中医院院采购小组决定就龙岩市中医院网络安全运维及等保测评服务等项目采用询价招标方式进行采购,欢迎有资质的供应商,就相应产品提交应答投标文件。
一、项目编号:LYSZYYXXK[2023]-10-1
二、项目名称: 龙岩市中医院网络安全运维及等保测评服务项目
三、采购内容及要求:
序号 | 项目名称 | 数量 | 限价(元) |
1 | 2024年网络安全运维及等保测评服务 | 1 | |
四、拟采购的货物或者服务的说明
2024年网络安全运维及等保测评服务一、等保测评服务1、服务范围
龙岩市中医院六大系统:四大系统(HIS、LIS、PACS、EMR)、互联网医院系统及互联网网站系统及其软硬件设施等。
2、服务内容
提供一次三级等保安全测评服务,根据提交的网络安全等级保护测评申请书,对服务范围内的信息系统进行安全等级测评,并为被测系统提供测评机构出具的信息系统安全等级测评报告。服务概述如下表:
序号 | 服务细项 | 服务内容 | 交付成果 | 服务频次 |
1 | 技术层面测评服务 | 从技术层面进行安全测评 | 测评报告 | 单次 |
2 | 管理层面测评服务 | 从管理层面进行安全测评 | 测评报告 | 单次 |
a) 技术层面测评服务
技术层面测评将根据要求逐项进行测评:
安全物理环境:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
安全通信网络:网络架构、通信传输、可信验证。
安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
安全管理中心:系统管理、审计管理、安全管理、集中管控。
b) 管理层面测评服务
管理层面测评将根据要求逐项进行测评:
安全管理制度:安全策略、管理制度、制定与发布、评审与修订。
安全管理机构:岗位设置、人员配备、授权和审批、沟通与合 作、审核和检查。
安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
安全建设管理:定级和备案、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供 应商管理。
安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
二、运维服务1 服务目标
通过安全运维服务,实现以下目标:
1. 通过专业安全服务,全面发现网络中存在的安全隐患,及时提供有效的安全技术防护;
2. 通过专业安全服务,进一步加强医院的网站、业务系统及其基础设施的信息安全防御能力,提升信息化部门对突发事件的预防能力和应急处理能力;
3. 完善信息安全技术体系建设,提升业务应用系统的安全性和可靠性,保障业务应用系统的安全、稳定、高效运行。
4. 完善等级保护系统安全运维规范,规范医院安全运维管理模式,将安全运维服务工作规范化、标准化、精细化;
2 服务范围
对象1:院内全网信息网络、服务、存储、机房运维、虚拟化平台等;
对象2:主干网络设备、安全设备与安全软件、内网关键服务器(如核心HIS、LIS、EMR、PACS及互联网医院系统等系统);
对象3:门户网站系统及其相关服务器、数据库;
对象4:网络安全制度巡检内容。
3 项目期限
本安全服务期限为一年周期,各项服务频次见项目服务内容约定。
4 服务内容
本项目由龙岩市中医院安全运维人员进行统筹、规划、指导,针对医院网络与信息安全日常运维的工作职责把专业性较强的任务通过购买专业信息安全服务团队服务来完成。
1.实现中医院IT资源资产梳理并全面数据化,实现IT资源资产数据化管理,实现IT资源资产可用性,自动实现资源资产物理CI关系、网络拓扑CI关系、应用业务CI关系,及全生命周期在线管理。所采用的安全服务工具能够对信息安全资产进行统一文档安全管理,来限制文档的扩散与安全管理,提供功能截图。
2.实现对全网交换机、路由器、安全设备的可用性、CPU、内存、网络接口、服务器、存储等监控指标进行统一告警管理,实现日志聚合可视分析,实现日志有效告警。
3.实现对医院重点信息系统的网络安全威胁觉察、跟踪溯源和关分析,全面掌握网络安全态势、威胁、风险和隐患。所采用的安全服务工具支持大屏展示综合态势,从资产、漏洞、攻击、告警等维度呈现整体安全状态,包括安全评级、资产总数、漏洞分布、漏洞top5、高危漏洞、告警总数、安全事件趋势等信息;提供功能截图。
4.所有的IT告警信息消息化,告警通过主动消息推送。
5.为保证实施质量,在安全运维服务过程中所采用的安全服务工具应支持(1)通过模拟黑客向主机应用系统植入网页木马(webshell),上传反动、赌博、色情等内容。通过安全服务工具查看可疑文件,各类威胁自动评分,按照危险值从高到低进行排序。导出检测结果,批量复制或批量删除可疑文件。通过光盘/U盘提供虚拟机环境下的录屏演示(录屏演示时间为3至5分钟);(2)按照基线模板对主机安全配置进行基线检查,识别主机不符合项,并按照基线模板选择加固策略,对不符合项自动完成主机加固。通过光盘/U盘提供虚拟机环境下的录屏演示(录屏演示时间为3至5分钟);(3)可自动识别异常进程;通过主机应用系统批量连接国内IP、境外IP, 安全服务工具自动识别异常网络连接,并以不同颜色区分局域网IP、国内IP、境外IP。通过光盘/U盘提供虚拟机环境下的录屏演示(录屏演示时间为3至5分钟)。
6.为保证实施质量,在安全运维服务过程中所采用的安全服务工具应支持能够对web源代码进行扫描,检查代码中的网页木马,网页挂马以及网页暗链,并支持自定义规则,提供功能截图。
7.每季度提供安全运营、安全风险评估报告及对比持续改进报告。
5 服务要求
融合集成一体化管理,能够与其他系统平台进行账权及数据无缝调用对接流转,实现对重点信息系统的网络安全威胁觉察、跟踪溯源和关分析,全面掌握网络安全态势、威胁、风险和隐患,实时监测漏洞、病毒木马、网络攻击情况,形成网信部门和其他职能部门协调联动的网络安全监测预警处置工作机制,及时向各单元组织和监管部门通报重大网络安全威胁。实现安全运维化管理和组织内外工作协同于一体的全新企业级智能安全运维服务管理工作台,能将各组件产生的各类事件信息及告警信息智能精准推送到相关人员,使其能够在第一时间准确获得所要知悉的资讯,并及时分析决策处理。进行安全检测与分析,支持通过 AI安全检测、多维度安全检测、回溯分析,实现对全网安全检测和可视化分析。支持 TCP 阻断安全事件,联动防火墙下发安全策略,阻断安全威胁。
服务清单如下:
服务项目 | 服务内容 | 服务范围 | 服务频度 | 交付成果 | |
1、安全咨询服务 | 网络边界及安全域分析 | 院内全网信息网络 | 全年 | 《网络安全规划设 计》 | |
网络拓扑重现 | |||||
现有安全措施分析 | |||||
网络安全规划设 计 | |||||
2、内网安全风险评估服务 | 网络架构安全风险评估 | 院内全网信息网络 | 每年1次 | 《网络信息系统安全风险评估报告》 | |
网络设备风险评估 | |||||
安全设备风险评估 | |||||
主机服务器系统安全风险评估 | |||||
核心业务系统安全风险评估 | |||||
普通业务系统安全风险评估 | |||||
客户端抽样安全风险评估 | |||||
3、安全措施有效性巡检服务 | 网络边界管控有效性及策略核查 | 主干网络设备、安全设备与软件、关键服务器 | 每年4次 | 《设备安全巡检报告》 | |
硬件措施有效性及策略核查(防火墙、入侵检测等) | |||||
软件措施有效性及策略核查(防篡改、防病毒、终端管理等) | |||||
4、互联网网站安全巡检服务 | 安全巡检服务 | 定期远程安全检测 | 医院门户网站等网站系统 | 每年4次 | 《网站安全检测报告》 |
定期现场巡检服务 | |||||
人工渗透性测试 | |||||
网站代码反黑扫描 | |||||
安全通告服务 | |||||
安全加固服务 | 针对检测的安加固全漏洞、策略配置等进行安全 | ||||
网站安全在线监控服务 | 在线远程漏洞扫描(每月1次,提供扫描报告)、网马检测、暗链监控、安全预警和通告。 | 一年不间断 | 《网站安全监控报告》 | ||
5、外网业务安全巡检服务 | 安全巡检服务 | 定期远程安全检测 | 移动支付微信平台、支付宝生活号 | 每年4次 | 《安全巡检报告》 |
定期现场巡检服务 | |||||
主机安全加固服务 | 针对检测的主机安全漏洞、策略配置等进行安全加固 | 每年4次 | |||
应用安全加固辅导服务 | 提供应用安全问题加固建议,指导开发人员加固 | 每年4次 | |||
6、内网安全巡检服务 | 安全扫描服务 | 对医院内容关键服务器定期漏洞扫描 | 内网核心业务系统(HIS、LIS、EMR、PACS、等核心系统) | 每年4次 | 《安全巡检报告》 |
渗透测试 | 对核心业务系统定期进行人工渗透测试 | 每年4次 | |||
配置核查服务 | 对医院核心服务器、安全设备开展基线合规性配置检查 | 每年4次 | |||
安全加固与辅导服务 | 对医院核心服务器系统进行安全加固 | 每年4次 | |||
业务系统安全加固辅导 | |||||
7、医院互联网(APP)安全测试服务 | 服务器端安全测试服务 | Web页面安全测试 | 龙岩市中医院客户服务平台服务器 | 每年4次 | 《手机APP应用安全测试评估报告》 |
WebService接口安全测试 | |||||
APK反编译测试服务 | APK文件反编译测试 | 包含龙岩市中医院客户服务平台客户端 | 每年4次 | ||
客户端安全测试服务 | APP程序安全测试 | ||||
APP数据存储安全测试 | |||||
客户端环境安全测试 | |||||
客户端与服务器端的通信安全服务 | 数据加密解密分析 | ||||
会话劫持测试 | |||||
数据包篡改测试 | |||||
数据包重放测试 | |||||
安全加固辅助服务 | 针对测试结果提供安全加固建议 | 医院客户服务平台系统 | |||
8、安全培训服务 | 提供面向网络管理员、信息技术人员以及全院新员工的定制化安全培训。 | 线上或医院现场 | 每年4次 | 培训记录材料 | |
9、安全应急响应服务 | 政策检查技术支持服务 | 安全检查 | 配合政策检查防护 | 若发生网络安全事件则提交《应急响应报告》 | |
7×24小时应急保障服务 | 安全事件 | 半小时远程响应 | |||
2小时现场响应 | |||||
10、管理制度辅助建设 | 辅助龙岩市中医院建设安全管理制度 | 院内全网信息网络 | 全年 | 输出相关安全管理制度文档 | |
1 续保产品清单
序号 | 设备类型 | 设备型号 | 数量 | 服务期限 |
1 | 防火墙 | V3.5/HD-FW1170-0 | 1 | 提供1年的续保服务 |
2 | 防火墙 | V3.5/HD-FW1170-0 | 1 | |
3 | 安全隔离网闸系统 | V2.0/HD-GAP-4170-0 | 1 | |
4 | 安全网关系统 | V3.0/HD-SAS-Fort-EA-2170-0 | 1 | |
5 | HD-SMS管理系统 | V2.0/HD-SMS-EM-17-100-50 | 1 | |
6 | 安全审计系统 | V3.0/HD-SAS-ED-1170-0c | 1 | |
7 | HD-SMS管理系统 | V2.0/HD-SMS-LAS-3170-0 | 1 | |
8 | VPN网关 | HD-FWSSL-E1-1200-170-0 | 1 | |
9 | 入侵防御系统 | V3.1/HD-IPS-E1-3170-0 | 1 | |
10 | 安全网关系统 | V4.0/HD-SGS-A300-170-0 | 1 | |
11 | 安全审计系统 | V3.0/HD-SAS-NI-2170-0 | 1 | |
12 | HD-SMS管理系统 | V2.0/HD-SMS-400 | 1 | |
13 | WAF墙 华安星 | V3.0/CSS-WAF-AI-3170-0 | 1 |
为了降低本项目的实施风险,保障实施服务质量,提供设备续保升级服务的工程技术人员须具备安全设备原厂工程师认证(提供认证证书复印件)。
2.续保服务内容
1远程支持服务
在服务期内,产品使用过程中,因某种原因出现问题,提供电话方式远程支持服务,由工程师将对问题进行诊断解决;如不能通过电话解决,通过远程联机管理解决故障。
2培训服务:
服务供 应商为龙岩市中医院的技术人员,应免费为龙岩市中医院提供以上产品的使用维护培训,培训地点为龙岩市中医院。
3现场服务
在服务期内,通过电话交流或者远程调试无法解决的,工程师在1小时内响应并到现场维护。
4系统版本升级
为保障用户业务的稳定性,系统本身未提供自动升级服务。在服务期内,黑盾安全产品出现可升级的新版本时,根据产品硬件性能及系统软件版本情况,将为用户提供同代版本升级服务。由工程师为客户系统进行配置备份。在不影响业务系统正常运行的情况下,对系统版本进行升级,并完成新系统的配置恢复。新系统上线后,对网络连通性和业务可用性进行测试,保证业务的正常运行。
5产品特征库升级服务
在服务期内,续保产品对需要升级特征库版本的安全产品(如IDS、IPS、WAF、上网行为),在日常运维的过程中,根据产品的硬件性能及系统版本情况,将对安全产品的特征库进行定期升级。在可升级的版本范围内,保证特征库及时更新。
6产品保修
在服务期内,若续保产品出现软硬件故障,提供免费维修服务。保障用户设备及业务系统的持续可用性。
对于购买日期超过6年的设备,可能在硬件市场上找不到相应的配件进行维修。对于该种情况,提供不低于故障设备型号的同品牌备机直至服务期结束。
7备机服务
投标人或所投服务供应商具备完善、充足的备机配件库。当设备发生故障且短时间内无法修复时,提供备机服务。在短时间内,将备机或备件送至现场进行更换,确保业务系统的正常运行。
以上服务仅限于以上清单中网络安全产品本身出现的故障,由于其他网络原因造成的故障或由于不可抵抗力所造成故障的,则不在服务供应商服务范围内。
1
2
付款方式:合同签订后付款30%,信息安全运维服务期满一年并验收合格后支付合同金额剩余70%。
五、招标服务要求
所有供应商应答内容必须完全符合本采购文件说明包括第四条“拟采购的货物或者服务的说明”的所需要求,否则投标无效。
六、报价要求:
供应商投报的总金额和收费标准不得高于预算金额。价格包含第四条“拟采购的货物或者服务的说明”的所有功能及其他要求。否则视为无效应答。
七、采购有关说明
(一)获取采购文件
时间:2023-9-7 至2023-9-13,每天上午00:00:00至11:59:59,下午12:00:00至23:59:59(北京时间,法定节假日除外)
地点:询价文件随同本项目询价公告一并发布。
方式:在线获取
(二)投标截止时间、开标时间及地点:
1、递交投标文件地点:龙岩市中医院医技楼六楼信息科
2、投标截止时间: 2023年9月13日11:00时(北京时间)
开标时间、地点:具体时间、地点另行通知
联系人:陈女士 联系电话:*******(8:00-12:00、15:00-18:00) 邮箱:**********@qq.com
3、评标方式:
当有三家以上有效应答的供应商应答的情况下,以最低报价者为中标成交人;如果不足三家供应商应答,该次采购流标。
八、投标人须知:
1、本项目不接受联合体投标,只允许投标人自己履行该项服务。
2、投标人必须是在中华人民共和国境内注册,且具备合法有效的独立法人资格的企业;
3、投标人应提供下述资格证明文件,否则导致投标无效:
(1)企业法人营业执照副本、法人身份证复印件或法人授权委托书、被授权人身份证(注明联系电话和邮箱)等相关材料复印件,加盖公章并注明与原件一致。
(2)所投项目具体参数、具体报价、售后服务承诺等。以上所有材料均加盖公章装订成册,并于封面注明项目名称、单位名称、联系人、联系方式(固定电话及手机号码)。
(3)投标人参加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明原件。【不良信用记录是指在“中国政府采购网”网站(www.ccgp.gov.cn)-“政府采购严重违法失信行为记录名单”没有失信信息记录或不在处罚期内及在“信用中国”网站(www.creditchina.gov.cn)没有被列入失信被执行人、重大税收违法案件当事人名单】书面声明原件。
4、真实性投标要求:为保证本项目的进度和质量,投标人必须对投标真实性进行负责,并明确承诺(承诺函格式自拟)如果提供任何虚假材料,都将被视为恶意虚假应标,并根据本招标文件和相关法律追究其相关责任,包括且不限于终止合同、追偿损失、向主管部门和社会信用管理部门通报情况并要求列入黑名单等。
5、本项目的特定资格要求:
(1)投标人或所投安全测评服务商应具有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》,服务商若非等级保护测评机构,须提供由具有相应服务认证证书的等级保护测评机构出具的授权函;
(2)为保证服务质量,投标人或所投安全测评服务商拟投入此次项目中的测评人员中至少需要有一名高级测评师及四名中级测评师(需提供测评师证书复印件),提供以上人员提供相关证明材料及近6个月的任意一个月社保证明(不含投标当月)。
(3)安全测评单位在委托方现场测评时安全测评单位在采购人现场测评时,应遵守委托方的工作纪律应遵守采购人的工作纪律,不破坏采购人的工作设备和软、硬件设施。
(4)安全测评单位在现场测评时,应与采购方项目负责人充分沟通,如在运用相关工具或开展相关测评工作前,应事先做好风险评估和回退机制,做好安全防范措施,确保在测评工作开展过程中不影响系统的正常运行。
(5)投标人或所投安全测评服务商在测评现场具有应急技术处理能力。
(6)测评单位需积极配合采购方的第三方安全服务商以及对应系统开发商完成测评整改工作。
九、报价
(1)提供最合理的投标报价,报价不超过最高限价,报价为含税单价。
(2)投标人以人民币报价。
以上相关资料均为复印件盖公章,所有投标文件装订成册,装入文件袋密封并加盖公章。
标签: 网络安全运维
0人觉得有用|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
