南昌市第一医院网络安全运维服务项目

　　采购预算咨询论证

　　根据《网络安全法》要求以及2022年医院相关信息系统等保测评结果，医院HIS信息系统（等保测评三级）、医院EMR信息系统（等保测评三级）2023年度必须复评，医院官方网站必须进行定级备案及第三方等级保护测评工作。为顺利完成信息系统等保测评工作，需要对医院存在的网络安全缺陷进行安全风险评估并整改 ，对部分老旧安全设备的安全防护特征库进行升级。

　　现对医院网络安全运维服务项目采购预算进行公开咨询论证。望符合资格条件的厂商及供应商积极报名参加。

　　一、项目内容

　　医院网络安全运维服务项目

　　二、供应商需提供的相关材料

　　1、企业营业执照复印件

　　2、授权委托书

　　3、企业法人或委托人身份证复印件

　　4、无重大违法违纪记录、无安全事故证明

　　5、信用中国查询截图

　　6、网络安全运维服务PPT汇报

　　7、以上复印件均需加盖单位公章

　　三、项目要求

　　1、等保服务内容

　　1.1 网络安全等级保护定级和备案服务

　　服务对象：医院HIS信息系统、医院EMR信息系统、医院官方网站。

　　具体要求：

　　信息系统的定级是开展网络安全等级保护工作的首要环节和基础，测评机构需协助用户单位完成等级保护定级和公安备案工作。为了准确、科学的开展信息系统定级工作，开展进行摸底调查，摸清信息系统底数，掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况，进下一步明确要求、落实责任奠定基础。

　　定级工作将严格遵循《网络安全等级保护定级指南》（GB/T *****-2019 征求意见稿），深入调研掌握信息系统的应用部署实际情况，按照国家有关管理规范和标准要求， 细致分析各信息系统安全域及管理边界，合理划分信息系统范围，科学开展信息系统重要性程度分析，准确判定信息系统安全等级，编制《定级报告》和《备案表》，并按照定级备案流程，向主管部门、监管机关就信息系统定级进行审批备案，使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。

　　工作过程文件及项目交付成果（包括但不限于）：公安监管机关颁发的《信息系统安全等级保护备案证明》；

　　1.2 网络安全等级保护测评服务

　　1.2.1服务对象：医院HIS信息系统、医院EMR信息系统、医院官方网站。

　　1.2.2 具体要求：

　　测评机构工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》（GB/T *****-2019)、《网络安全等级保护测评过程指南》（GB/T *****-2018）和《信息安全技术 网络安全等级保护基本要求》（等保 2.0）文件。根据系统等级开展相应级别的开展单项测评和整体测评分析；测评报告内容及格式严格遵照网络安全等级保护测评报告最新模版，符合公安部门定级和备案要求。

　　按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》，遵循《网络安全等级保护基本要求》（GB/T *****-2019）等技术标准，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 10 个层面进行测评，并参考采购人自身信息安全管理要求，进行综合分析和整体测评。

　　应依据信息系统的业务应用和内外部环境，深入调研分析各信息系统资产状况和重要性程度，以及面临信息安全的威胁。

　　技术方面，物理安全方面应在采用专用测试工具测试和人工现场复核方式；对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。

　　管理安全方面应对采购人信息安全管理现状进行需求分析，确定安全管理目标和安全策略，针对信息系统的各类管理活动，梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。

　　应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、WEB 应用漏洞分析工具等对网络、主机等进行渗透测试分析。应采取等级测评、安全审计、风险评估等方法，逐项对照《网络安全等级保护基本要求》的各安全要求项，评估确定系统当前安全防护现状以及与标准要求的差距，判断安全保护建设需求及其分析。

　　在收集充足数据之后，对现场测评获得的数据进行汇总分析，形成等级测评项目的最终结论，并编制最终的《网络安全等级保护等级测评报告》。

　　工作过程文件及项目交付成果（包括但不限于）：《信息系统网络安全等级保护等级测评报告》；

　　2、安全运维服务内容

　　2.1安全运维服务

　　2.1.1安全风险评估：基于信息系统现状，参照国家信息安全风险评估规范，资产、威胁、脆弱性、安全措施进行识别和分析，确定风险计算模型，物理层、网络层、系统层和应用层等方面进行评估，全面分析系统面临的信息安全风险。

　　2.1.2主机漏洞扫描：通过自动化扫描工具，对目标网站服务器、系统服务器、网络设备、安全设备等进行自动化安全扫描进行漏洞扫描、软件漏洞扫描、端口及服务探测、弱口令扫描等，提前发现系统可能存在的各类安全风险，并提供修复建议。

　　2.1.3重要时期安全值守：为保证客户单位在重要时期（两会、亚运会、国庆等）信息系统能够正常、安全运行，派驻一名工程师在现场提供8小时安全值守保障工作。

　　2.1.4通过现场值守人员对应用、网络、操作系统、应用服务器、数据库及其他设备运行状况进行监测，随时监控系统“健康”状态，如果发现问题及时与用户进行沟通，并提出解决方案，得到用户确认后对出现的问题进行解决，做到及时、准确保证无差错。

　　2.2 特征库升级服务

　　2.2.1专线防火墙入侵防御库3年升级服务：

　　1、入侵防御攻击规则特征库3年升级服务许可，涵盖*****种以上的攻击检测规则库，支持能够检HTTP攻击、RPC攻击、WEBCGI攻击、拒绝服务类、木马类、蠕虫类等攻击。

　　2、规则库支持根据攻击类型、风险等级、流行程度、操作系统等进行分类，防护动作包括告警、阻断、记录攻击报文。

　　3、支持针对地址、应用设置入侵防御白名单，支持攻击规则搜索以及自定义规则，自定义规则支持导入导出。

　　4、支持对威胁事件、攻击来源、受威胁主机、威胁趋势等进行监控统计，并可进行可视化展示。5、能对常见漏洞进行安全防护，兼容国家信息安全漏洞库。

　　2.2.2数据中心防火墙入侵防御库3年升级服务：

　　1、入侵防御攻击规则特征库3年升级服务许可，涵盖*****种以上的攻击检测规则库，支持能够检HTTP攻击、RPC攻击、WEBCGI攻击、拒绝服务类、木马类、蠕虫类等攻击。

　　2、规则库支持根据攻击类型、风险等级、流行程度、操作系统等进行分类，防护动作包括告警、阻断、记录攻击报文。

　　3、支持针对地址、应用设置入侵防御白名单，支持攻击规则搜索以及自定义规则，自定义规则支持导入导出。

　　4、支持对威胁事件、攻击来源、受威胁主机、威胁趋势等进行监控统计，并可进行可视化展示。

　　5、能对常见漏洞进行安全防护，兼容国家信息安全漏洞库。

　　2.2.3外网防毒墙病毒库3年升级服务：

　　1、专业版防病毒规则特征库3年升级服务许可，涵盖600万种以上流行病毒库，支持对HTTP、FTP、POP3、 SMTP、IMAP等常用应用协议进行病毒检测与过滤。

　　2、支持IPv6、IPv6 over IPv4、IPv6和IPv4混合网络，能够在该网络环境中检测出病毒流量。

　　3、支持手动更新、定时自动更新，且支持设置定时更新时间。

　　4、支持病毒白名单和URL白名单，防止误拦误报。

　　5、能够防御病毒、木马、蠕虫、间谍软件等恶意软件，且支持对压缩数据、加壳病毒的检测与处理。

　　2.2.4漏洞扫描漏扫特征库3年升级服务：

　　1、WEB漏扫产品特征库3年升级服务许可，涵盖5000种以上Web漏洞，支持能扫描检测SQL注入、Weblogic、文件上传\下载、目录遍历、XSS、代码执行、弱口令、Cookies 欺骗等漏洞。

　　2、支持漏洞生命周期管理，包括未修复、确定、忽略、修复、已验证五种状态。

　　3、支持自定义路径，对有爬取限制链接进行深度扫描。

　　4、支持被动扫描功能，支持http代理和镜像流量两种被动扫描方式。5、爬取策略支持广度优先、深度优先，支持自定义子目录深度、最大页面数、页面最大响应长度。

　　2.2.5终端安全管理系统特征库3年升级服务：

　　安装终端管理后台；全模块功能反病毒引擎；多层次主动防御系统；病毒防御；系统防御；网络防御；设备控制等全模块进行授权。防病毒；网络防御；系统防御；漏洞补丁管理；主机防火墙；远程桌面；设备管控；终端管控与资产管理；多级中心 ；终端动态认证；容灾备份；API接口；安全工具。

　　3、具体工作内容

会议时间是10月18日上午9点南院门诊南9楼党性教育基地。报名时间截止10月17日下午17点。

报名地点：信息科，联系电话********.联系人：胡鹏