根据《中华人民共和国政府采购法》及相关管理规定，就2024年达州市卫生计生信息中心关于2024年全市卫生健康系统网络安全攻防演练服务采购项目，现邀请符合条件、具备承担能力的供应商参加采购活动。

一、项目总体情况

（一）项目名称：2024年全市卫生健康系统网络安全攻防演练服务采购项目

（二）预算金额（元）：******，大写（人民币）：拾万元

（三）项目概况：为提高全市卫生健康行业网络和信息安全防御能力，根据市卫健委要求，我中心拟在全市范围内开展以医疗机构为主的网络安全攻防演练，为保障网络安全攻防演练的顺利开展，需采购安全攻防演练服务，为本次演练提供技术支撑。

二、采购服务内容

（一）渗透测试服务

利用人工、工具等非破坏性检查手段，对指定检查单位的系统进行数据安全检查，发现数据被篡改、泄露等问题，并给出专业的修复整改建议，达到保护数据安全的目的。

1、寻找漏洞：通过进行常规漏洞测试、中间件漏洞测试、业务安全测试、通信安全测试、服务器安全测试、信息泄露测试等，全方位发现安全风险，提供修复建议。

2、提供漏洞修复方案：针对漏洞产生的原因进行分析，提出修复建议报告。

3、服务交付物：《渗透测试报告》。

（二）漏洞扫描服务

对各医疗机构信息系统进行脆弱性扫描、安全性分析和评估，从而及时发现有效的安全漏洞，并提供针对性的漏洞修复建议。

1、系统扫描：针对操作系统、网络设备、防火墙、远程服务等系统层漏洞进行扫描。

2、Web扫描：漏洞扫描系统针对SQL注入、XSS跨站脚本、信息泄露、网络爬虫、目录遍历等Web攻击方式进行模拟黑客渗透攻击评估。

3、弱口令探测：内置有弱口令字典，针对账户和密码相同、密码相对比较简单、默认密码等问题进行自动探测，测试口令是否存在弱口令现象。

4、配置检查：针对操作系统、数据库、网络设备等系统的配置进行检查，检查配置是否符合标准。并可以自动启动软件执行过程的达标检测。

5、服务交付物：《漏洞扫描报告》。

（三）基线检查服务

针对服务器操作系统、数据库、软件和容器的配置进行安全检测，并提供检测结果 说明和加固建议。

1、操作系统基线扫描：利用基线扫描软件，对Windows、Linux主流操作系统安全配置基线进行检测。基线扫描内容包括：账号管理、认证授权配置、日志配置、IP协议安全配置和其他安全配置。

2、数据库基线扫描：利用基线扫描软件，对MySQL、Oracle、SQL Server、DB2等主流数据库安全配置基线进行检测。基线扫描内容包括：身份鉴别、访问控制、安全审计、入侵防范和资源控制。

3、中间件基线扫描：利用基线扫描软件，针对Tomcat、Websphere、Weblogic、IIS等主流的中间件软件安全配置基线进行检测。基线扫描内容包括：身份鉴别、访问控制、安全审计、入侵防范和资源控制。

4、服务交付物：《基线检查报告》

三、服务范围

对全市28家二级以上医疗机构进行抽查，最终攻防演练单位不少于14家。

四、服务要求

1、服务期限：服务提供时间不少于5天。

2、保密要求：供应商相关人员应对其所获取或获知的采购人信息秘密（包括但不限于政策要求、技术信息、产品信息、业务信息等）进行严格保密，该项保密义务永久有效，不因供应商人员的更换、服务的终止而消失。本文未尽事宜可根据项目情况合同自行约定。

五、采购方式：比选。

六、中标办法：综合评分法，评标结果按评审后的得分由高到低顺序排列。得分相同的，按报价由低到高顺序排列。评审得分最高的为第一中标候选人，若评审得分相同，则以报价最低的为第一中标候选人。

七、供应商资格要求：

1、具有独立承担民事责任的能力。

2、具有良好的商业信誉。

3、具有履行合同所必须的设备和专业技术能力。

4、在经营活动中没有重大违法记录。

八、领取比选文件时间地点：2024年11月19日至2024年11月22日到达州市卫生计生信息中心应用推广科（达州市通川区金兰路52号）领取。本项目不接受联合体，只接受注册登记地在中国境内的供应商参与。

九、提交响应文件时间及地点：2024年11月25日14:30前将响应文件交至达州市卫生计生信息中心应用推广科，逾期送达的响应文件不予接收。

十、比选地点：达州市卫生计生信息中心会议室。

十一、澄清或更正：本项目若有澄清或更正通知，将在达州市卫生计生信息中心官方网站（https://www.dzswjxxzx.cn/）上公告。

十二、本次比选结果信息将在达州市卫生计生信息中心官方网站（https://www.dzswjxxzx.cn/）上发布，不再另行通知。

十三、联系人及电话：李先生，183*****687。

达州市卫生计生信息中心

2024年11月18日