采购内容及要求

宁夏卫健委信息系统网络安全等级保护测评及网络安全运维服务技术参数

标段	招标内容
一标段	网络安全运维服务
二标段	网络安全等级保护测评

 

一标段：

网络安全运维服务

 

1. 项目背景

随着全球信息化技术的不断发展，信息系统建设越来越复杂，信息系统自身的安全也越来越重要。针对自治区卫生健康委信息中心实际情况，制定此网络安全运维服务方案。

本方案主要涉及信息系统第三方现场驻场运维及远程支持。包括开展网络安全基础调研工作，结合安全评估手段，及时发现系统漏洞及缺陷；开展网络安全运维工作， 通过安全巡检、安全评估、安全加固等手段不断优化网络安全防护能力，保障卫生健康信息系统的连续、稳定、安全运行得到可靠保障；开展攻防演练工作，通过模拟网络遭到攻击的情况，增强快速实施应急方案的能力。

2. 项目需求及范围

负责自治区卫生健康委信息中心的日常网络安全运维；每季度对自治区卫生健康委信息中心管理的信息系统（约 18 个）进行漏洞扫描和渗透测试；每季度对自治区卫生健康委直属单位、县级及以上卫生健康信息系统（含医疗机构）接入互联网部分进行漏洞扫描，下发漏洞整改通知，并进行复检；配合自治区卫生健康委信息中心开展年度攻防应急演练。

• 安全评估

基于网络安全基础调研，结合漏洞扫描、渗透测试等技术，及时发现信息系统目前存在的漏洞及缺陷。针对系统缺陷，提供专业的加固建议。

• 网络安全运维

 

根据实际需求，派遣网络安全工程师驻场运维，开展网络架构优化、安全产品配置、安全巡检、安全加固等工作，以此支撑业务持续、稳定发展。

• 应急演练

开展应急攻防演练，检验网络安全应急预案的可行性，完善安全事件防范与处置流程，提升运维人员安全意识和安全突发事件处置能力，为运维人员培训提供依据。

3. 项目工作内容及要求
   • 安全评估
     • 网络安全环境调研

网络安全服务机构工程师从技术层面和管理制度两个方面进行调研，最终目的是分析系统整体安全状况，全面了解和掌握该系统面临的信息安全威胁和风险，明确采取何种有效措施，降低威胁事件发生的可能性或者其所造成的影响，减少信息系统的脆弱性，从而将风险降低到可接受的水平；同时，可以定期了解信息系统的安全防护水平并为后期安全规划建设提供原始依据。

• 漏洞扫描

每季度进行漏洞扫描安全服务，向自治区卫生健康委信息中心提供书面的漏洞扫描报告，高危漏洞需第一时间进行报送。通过全面漏洞扫描工作，可以详细的了解当前网络和系统中可能存在的潜在安全隐患，从而为进一步通过技术手段降低或解决问题提供了参考依据和方法。安全专家通过安全扫描，从内部和外部两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。

安全漏洞扫描项目包括、但不限于如下内容：

 

信息探测类	网络设备与防火墙
RPC 服务	Web 服务
CGI 问题	文件服务
Windows 远程访问	数据库问题
后门程序	其他服务
网络拒绝服务(DOS)	其他问题

 

• 渗透测试

定期进行渗透测试安全服务，渗透测试必须在自治区卫生健康委信息中心书面授

 

权和监督下进行，主要针对信息系统主机，模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试，以人工渗透为主，辅助以攻击工具的使用，保证整个渗透测试过程都在可控和调整的范围之内。

用“黑盒测试”、“白盒测试”和“灰盒测试”三种方法进行渗透测试，针对信息系统的主机层面、应用系统层面和网络设备层面三方面进行。渗透测试完成后提供渗透测试报告，报告包含漏洞详细说明和相应的修复建议，并对修复后的结果进行二次复核测试。

• 复检测试

依据初次漏洞扫描报告和渗透测试报告的问题点，结合各单位整改后上报的情况，再进行整改复检。复检工作的重点是检测初测报告中的高、中危风险项，复检完成后出具复检报告，并提交自治区卫生健康委信息中心审核。

• 网络安全运维
  • 网络安全升级优化

保证原网络基础架构不变，业务正常运行的情况下。对网络架构，安全设备的使用，安全策略实施进行升级优化，以达到立体、纵深化防御的要求，根据网络安全相关技术标准给出安全建议和技术指导。

• 优化网络架构

在原有的基础上，精细划分 VLAN，根据不同业务内容划分不同的 VLAN，核心数据库区、核心应用区、安全管理区等在不同的区域，并且根据业务和安全的需求，严格设置访问权限，确保数据流向按照策略的设定传输。根据需要对核心数据实行半或全物理隔离，设置专门的区域和安全制度对核心数据进行重点保护。

• 安全产品的安全配置

根据不同安全产品的特点，和网络结构特点，合理配置安全产品，保证安全产品的高效可用性。在不同的业务区域部署相应的安全产品，保证在发生安全问题的时候第一时间反应，第一时间处理，并及时留存证据。并给出合理的安全建议供自治区卫生健康委信息中心参考。

• 工程师驻场

驻场工程师，遵守自治区卫生健康委信息中心机房的规章制度，认真完成中心交于的工作，配合中心完成相关工作：

配合用户，开展系统用户的账号权限清理，开展运维账号权限整改工作；

 

配合用户进行用户账号、权限查询统计工作，每季度排查系统用户账号使用情况， 分析并出具处理意见；

根据用户人员轮换情况，完成人员权限调整及维护。

• 网络安全巡检

系统安全巡检即信息系统的网络安全运维，服务目的是帮助用户从网络安全的技术角度对信息系统进行网络安全配置、权限、账号等方面的检查，让用户对于信息系统的网络安全状况有全面的了解，以便根据医疗行业的需求和目前情况制定合理、可行的网络安全规划，提高系统的安全性。

• 网络安全加固

根据巡检情况，进行安全加固，并向甲方提供安全加固文档。安全加固是针对设备脆弱性采取的一种有效的安全手段，可以提高系统抵御外来的入侵和蠕虫病毒袭击的能力，缩小影响范围，使信息系统可以长期保持在高度可信的状态。

3.3 网络应急攻防演练

网络安全攻防实战演练，针对面向互联网的业务系统，模拟黑客入侵和攻击， 发现安全漏洞和隐患，有效识别、分析和控制信息系统安全风险。选择重点（非涉密） 关键业务系统及网络（选择一至两家综合医院及一至两个市县区域卫生健康平台）组织开展攻防演练，负责搭建攻防演练环境平台及现场环境，组建三个红方攻击小组（每组 3 人），并录制演习的全过程视频，制作音视频演练纪实片。

4. 项目质量标准

本项目所含维护保养工作应符合国家及行业相关政策、标准。

5. 项目验收

项目工作完成后，由投标方提交安全运维服务报告，招标方进行验收评估。提交的文档主要包括但不限于：

系统安全等级资产梳理相关资料、系统安全等级整改相关方案；系统渗透测试相关报告、系统漏洞扫描相关报告、系统安全服务季度报告；应急响应预案及子预案、应急演练方案、脚本及相关总结资料、应急演练纪实片。

6. 团队人员要求

团队人员须有专职项目经理，负责项目的管理协调工作，组建本次项目的专职团队，团队成员不得低于 5 人（不含项目经理）。明确项目人员岗位和职责。

7. 服务方案的编制

 

投标方需基于本项目服务内容及要求，提供完整的服务方案。

8. 项目实施管理要求
   • 投标人必须按招标方要求参加各种现场会议，积极配合招标方工作，以解决项目运维实施中所有问题。
   • 投标人应当设置完善的组织机构，并为此安排具有足够经验、认真负责和精干称职的管理人员。除非事先得到招标方的书面批准，投标人不得更换或撤回主要管理人员和技术人员。

 

二标段：

网络安全等级保护测评

 

一、项目背景及详细要求

（一）项目背景

等级保护是国家关于网络安全的基本政策和法律要求，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），（以下简称27号文）明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

2017年6月1日实施的《中华人民共和国网络安全法》第二十一条、第三十八条明确要求实行网络安全等级保护制度，关键信息基础设施的运营者应当自行或委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

为进一步加强自治区卫生健康委员会网络安全防护能力，认真贯彻和执行公安部、网信办网络安全等级保护需求，切实做好自治区卫生健康委员会等级保护测评和安全防护评估工作，结合自治区卫生健康委员会业务系统实际情况，对宁夏卫生健康信息系统开展网络安全等级保护测评工作。

（二）项目目的

通过等级保护测评工作发现信息系统在安全方面的不足之处，找出自治区卫生健康委员会各信息系统与国家和行业等级保护标准要求和之间的差距，可以有效地提高自治区卫生健康委员会网络安全建设的整体水平，并且指明方向，有利于在信息化建设过程中同步建设网络安全设施，保障网络安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督； 有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施。为信息系统的安全提供合理化建议，并协助自治区卫生健康委员会设计详细和合理的等级保护整改方案，通过安全建设整改工作能够使各信息系统达到相应安全保护等级的能力要求。具体如下：

• 通过等级保护预测评，对自治区卫生健康委员会信息系统安全防护体系能力的分析与确认，发现存在的安全隐患，协助进行整改，全面达到国家网络安全等级保护相关要求；
• 对自治区卫生健康委员会信息系统的安全状态做出判断，验证其是否符合

 

等级保护要求，提出安全防护相关合理化建议，提升安全运维水平。同时，将测评结论作为进一步完善系统安全防护措施的依据。

• 提升自治区卫生健康委员会网络安全事件应急响应及安全事件分析，使技术人员更全面掌握了解信息系统安全状况，提升人员安全威胁处置能力。
• 遵循国家等级保护有关规定的要求，对信息系统安全建设进行符合性测评 ，出具网络安全等级保护测评报告。

（三）项目内容

1、对以下完成定级备案的信息系统严格按照等保2.0相关要求开展信息系统网络安全等级保护测评工作，并对差距项提出整改建议。

序号	系统名称	系统级别
1	宁夏卫生健康委员会官方网站	三级
2	居民电子健康（码）系统	三级
3	突发公共卫生事件应急指挥与决策系统	三级
4	全员人口信息系统	三级
5	宁夏健康扶贫动态管理系统	三级
6	宁夏远程医疗服务系统	三级
7	120 急救网络一体化系统	三级
8	免疫规划信息系统	三级
9	中医协同应用系统	三级
10	宁夏城乡居民健康档案管理系统	三级
11	宁夏区域医疗卫生信息平台	三级
12	“省院合作”政策试点项目	三级
13	国家卫生计生统计信息网络直报系统	三级
14	宁夏家庭医生签约服务平台	三级

（四）项目依据参考：

• 《中华人民共和国网络安全法》
• 《中华人民共和国计算机信息系统安全保护条例》（国务院 147 号令）
• 《计算机信息系统 安全保护等级划分准则》（GB 17859-1999）

 

• 《信息系统安全等级保护实施指南》(GB/T25058-2010)
• 《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）
• 《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）
• 《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2018 试行稿）
• 《信息安全等级保护备案实施细则》（公信安[2007]1360 号）
• 《信息安全技术 网络安全等级保护安全设计技术要求》（GBT 25070-2019）
• 《信息安全技术 网络安全等级保护测评过程指南》（GBT 28449-2018）
• 《信息安全技术 网络安全等级保护测试评估技术指南》（GB_T 36627-2018）
• 《网络安全等级保护测评报告模板（2019 版）》

（五）项目要求

1、自项目合同签订之日起，45个工作日内完成系统梳理和测评工作并出具测评相关报告。

2、现场测评活动中，必须使用漏洞扫描、渗透测试等验证性测试方法，对自治区卫生健康委员会的信息系统进行全面的工具测试，确保全面的找出系统漏洞薄弱点，并协助建设方完成漏洞修复或风险降低工作。

二、测评工作内容

（一）等级测评内容

测评的内容包括但不限于以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。

安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。

1、安全物理环境

根据自治区卫生健康委员会信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护” 等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。

2、安全通信网络

安全通信网络现场测评主要针对系统网络架构方面，在“网络架构”、“通信传

 

输”、“可信验证”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

3、安全区域边界

安全区域边界现场测评主要针对网络安全区域边界进行测评，测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。

4、安全计算环境

安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。

5、安全管理中心

安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。

6、安全管理制度

根据现场安全测评记录，针对自治区卫生健康委员会信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标， 判断出与其相对应的各测评项的测评结果。

7、安全管理机构

根据现场安全测评记录，针对自治区卫生健康委员会信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

8、安全管理人员

根据现场安全测评记录，针对自治区卫生健康委员会信息系统在人员安全管理方面的“人员录用”、“人员离岗”、 “安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

9、安全建设管理

根据现场安全测评记录，针对自治区卫生健康委员会信息系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、

“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标，判断出与其相对应的各测评项的测评结果。

 

10、安全运维管理

根据现场安全测评记录，针对自治区卫生健康委员会信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、 “应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。

（二）项目实施要求

1、保密要求

测评机构对项目实施过程中所获得数据及文档等保密信息，承担以下保密义务：

• 测评机构应按要求与自治区卫生健康委员会信息中心签署保密协议。
• 主动采取加密措施对上述所列及之保密信息进行保护，防止不承担同等保密义务的任何第三者知悉及使用。
• 不得刺探或者以其他不正当手段（包括利用计算机进行检索、浏览、复制等）获取与本职工作或本身业务无关的自治区卫生健康委员会信息中心关于该项目的商业秘密。
• 不得向不承担同等保密义务的任何第三人披露自治区卫生健康委员会信息中心关于该项目的商业秘密。
• 不得允许（包括出借、赠与、出租、转让等行为）或协助不承担同等保密义务的任何第三人使用自治区卫生健康委员会信息中心关于该项目的商业秘密。
• 不论何种原因终止参与自治区卫生健康委员会信息中心关于该项目的工作后，都不得利用该项目之商业秘密为其他与自治区卫生健康委员会信息中心有竞争关系的企业（包括自办企业）服务。
• 该项目的商业秘密所有权始终全部归属自治区卫生健康委员会信息中心， 测评机构不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权，在本协议签订前测评机构已依法具有某些所有权者除外。
• 如发现自治区卫生健康委员会信息中心关于该项目的商业秘密被泄露或者自己过失泄露秘密，应当采取有效措施防止泄密进一步扩大，并及时向自治区卫生健康委员会信息中心报告。

2、服务要求

• 提供给自治区卫生健康委员会信息中心与项目相关的技术文档。

 

• 一旦收到自治区卫生健康委员会信息中心的服务请求，测评机构项目组成员应立即给予响应。双方确认需要到现场服务时，从确认时间开始，测评机构工程师在 24 小时内到达用户现场，提供服务。
• 提供技术服务热线，并安排专业人员为自治区卫生健康委员会信息中心解答本项目有关技术问题，接收到用户要求服务的通知后，有关技术人员应立即做出响应。

（三）交付物

根据《网络安全等级保护测评机构管理办法》（公信安〔2018〕765）号要求， 成果交付物为：

1、所有登记备案的信息系统出具由测评机构法人审签的正式纸质测评报告2套。

2、所有登记备案的信息系统出具纸质安全整改建议方案2套。

3、测评活动原始记录材料1份。

（四）质量保证

1、为保证网络安全等级测评项目质量，要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。

2、参与等级测评的每个人都应具有等级测评师安全服务资质。

3、等级测评结果必须通过自治区卫生健康委员会信息中心组织的评审和审批。