采购需求

 

注：1、以下《采购需求说明》及《采购需求一览表》所列内容为招标人（采购人）所提招标（采购）需求，投标人（供应商）应认真仔细研究，投标时应慎重选择相应符合要求的服务进行投标。

2、标有“*”的参数为实质性参数，必须满足，否则其投标无效。

3、本项目招标文件通用部分第四章中“投标文件格式”内容应根据项目需要和评标办法规定填写；如不需要，则填写无。

4、投标人对本项目免费维保期满后每年维护服务报价（年报价）不得超过投标报价的 %。（仅适用于 B4 类评标办法）

5、中标人和采购人签订的合同应与招标文件中的采购合同一致，不得另行签订与采购合同相背离的其他合同。

6、下列《采购需求一览表》中：标注▲的服务，投标供应商在投标文件《主要成交标的承诺函》中填写服务项目名称、服务要求简述、数量、单价等信息，承诺函经评标委员会评审认可后随评审结果一并公示，如投标文件中未提供、提供不全将可能导致投标无效。采购人（采购代理机构）在编制招标文件时必须将采购的主要产品(包括核心产品)标注“▲”。按照招标文件要求，标注 “▲”号的产品，投标人必须在“主要成交标的承诺函中”填写该产品的名称规格、型号、数量、单价等具体信息。

 

采购需求说明

第一章  背景、现状和必要性 

（一） 项目提出的背景和依据

1、项目背景

随着医院信息网信息化建设的不断深入，业务开展对信息化系统的依赖越来越强，信息基础设施和重要信息化系统能否安全正常地运行直接关系到社会秩序稳定，国家长治久安。近年来，“震网”病毒入侵导致伊朗核电站上千台离心机报废、乌克兰电网被攻击导致 140 余万家庭断电、永恒之蓝“WannaCry” 勒索病毒波及全球，导致国内部分高校、企业、政府系统停摆业务中断。网络攻击成为网络空间攻防博弈的重要“武器”， 愈加严峻的网络安全威胁对国家经济社会稳定运行和国家安全造成巨大冲击。

信息系统的安全保障体系建设是一个极为复杂、动态调整的工作，医院的信息系统应用众多，结构复杂，涉及的行政部门和人员众多，近年来医院信息网各类安全事件频发，遭受非法入侵、高危病毒攻击、敏感信息泄露案例层出不穷，物理隔离保安全的梦想不断破碎。

为了保障国家现代化建设的有序进行，加强信息系统安全体系建设，我国制定了各类网络空间安全法律法规及相关标准，先后颁布了多条条例、准则来规范信息安全等级保护工作。1994 年《中华人民共和国计算机信息系统安全保护条例》( 国务院第 147 号令) 。1999 年，《计算机信息系统安全保护等级划分准则》(GB 17859)发布，国家对信息安全等级保护工作制定了强制性标准。在《国家信息化领导小组关于加强信息安全保障工作的意见》( 中办发[2003]27 号文) 明确指出“ 实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。”2008 年以来，相继发布了以下网络安全等级保护 2.0 标准；如：《信息安全技术 网路安全等级保护基本要求》 GB／T22239-2019) 、《信息安全技术 网络安全等级保护安全设计技术要求》GBT25070-2019）等涵盖等级保护基本要求、系统定级、实施指导、系统备案、建设整改、测评评估、监督检查各环节的系列标准 。

2017 年 6 月 1 日，《中华人民共和国网络安全法》正式实施 ，《网络安全法》第二十一条明确提出“ 国家实行网络安全等级保护制度 ”，第三十一条明确提出“ 国家对公共通信…关键信息基础设施 ，在网络安全等级保护制度的基础上，实行重点保护”。第五十九条明确规定：网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

相关法律法规 、政策标准的出台和实施 ，为开展医疗行业信息系统等级保护工作提出了依据和要求，为提升医疗行业信息化工作水平，尤其是提升网络信息安全保障能力奠定了基础 。

根据公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429 号）、国家发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071 号）及安徽省发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]967 号），现需对我院信息系统实施等级保护测评，以进一步完善信息系统安全管理体系和技术防护体系，切实提高系统信息安全防护能力，为环境信息化健康发展提供可靠保障。

2、项目依据

政策依据：

《关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知》（中办 27 号文件）

《关于印发《信息安全等级保护管理办法》的通知》（公通字 43 号文件）

《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安 1429 文件）

《中华人民共和国网络安全法》2017 年 6 月 1 日正式实施

2.0 标准依据：

《信息安全技术 网路安全等级保护基本要求》 GB／T22239-2019)

《信息安全技术 网络安全等级保护安全设计技术要求》GB/T25070-2019）

《信息安全等级保护管理办法》（公通字[2007]43 号）

《信息安全技术 网络安全等级保护测试评估技术指南GB/T 36627-2018》

《信息安全技术 网络安全等级保护测评过程指南GB/T 28449-2018》

《信息安全技术 网络安全等级保护测评要求GB/T28448-2019》

《信息安全技术 网络安全等级保护安全管理中心技术要求GBT 36958-2018》

《GB 17859-1999 计算机信息系统 安全等级保护划分准则》

《GBT 20269—2006 信息安全技术 信息系统安全管理要求》

《GBT 20271—2006 信息安全技术 信息系统安全通用技术要求》

《GBT 20272—2006 信息安全技术 操作系统安全技术要求》

《GBT 20273—2006 信息安全技术 数据库管理系统安全技术要求》

《GBT 22240—2020 信息安全技术 网络安全等级保护定级指南》

《信息安全等级保护备案实施细则》（公信安[2007]1360 号）

（二）现有信息系统装备和信息化应用状况、存在的主要问题

我院已定级的信息系统主要包括HIS 系统、LIS 系统、PACS 系统、电子病历系统、网站、心电采集系统、基础网络支撑系统，其中 HIS 系统、电子病历系统、心电采集系统、Pacs 系统和 Lis 系统统称为面向患者服务系统。

基础支撑系统业务主要是支撑上述等应用系统的信息传输。

随着全球网络安全形势日趋严峻，芜湖市中医医院高度关注医院网络安全问题，近年来网络安全能力逐步提升。经过几年来的不断努力，芜湖市中医医院信息系统已经建立了一套安全防护及监控手段，包括网络和主机层面的恶意代码防范、入侵防御、安全审计、数据库审计等，但是由于信息系统较多，造成无法对信息系统的安全状态缺乏科学、全面的认识和评估。芜湖市中医医院信息系统按照卫生部办公厅最新规范和要求且将等级保护相关要求纳入建设 要求，芜湖市中医医院当前部分信息系统存在前期建设不规范，建设初期缺乏科学依据，未将等级保护相关要求纳入建设规范要求中，存在安全漏洞及隐患。例如：某些信息系统的网络安全设备策略设置过于简单，缺乏重要的访问控制策略，应用程序长期未更新，存在安全漏洞等。在安全管理制度方面，芜湖市中医医院已经建立了部分相关制度，但是在机房管理方面，虽然有相关管理制度及进出访问控制，但是还存在制度落实不到位，未严格按照管理制度进行执行，在系统管理制度方面，部分系统管理用户权限过大、过期账户未及时清理。主机及应用层面安全状况相对滞后，部分主机及应用系统运维人员缺乏、运维工作无法落实到位，存在一定漏洞，控制及审计能力不足。

（三）项目建设的意义和必要性

等级保护是我国关于网络安全的基本政策，《国家信息化领导小组关于加 强信息安全保障工作的意见》（中办发[2003]27 号，以下简称“27 号文件”） 明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007 年 6 月发布的关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43 号， 以下简称“43 号文件”）规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。2017 年 6 月 1 日正式实行的《中华人民共和国网络安全法》中第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；随着网络安全等级等级保护2.0 相关标准的发布，现有的部分安全措施已无法满足网络安全等级等级保护2.0 的相关要求。

开展等级保护工作的意义：

1、降低信息安全风险，提高信息系统的安全防护能力； 

（注：开展等保的最重要原因是为了通过等级保护测评工作，发现单位系统内、外部存在的安全风险和脆弱性，通过整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。一般用户单位内部系统较多，用途不一样， 受众群体和使用用户也不一样，那我们就需要通过等级保护去梳理和分析我们现有的信息系统，将不同系统分不同重要等级进行分等级保护，这就是等保的定级工作。

梳理出了不同等级的系统后，我们就要对不同系统进行不同等级的安全防护建设，保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用，不造成重大损失或影响。）

2、满足国家相关法律法规和制度的要求；

（注：国家法律法规、相关政策制度要求我们去开展等级保护工作，不做就不合规，就违法。等级保护是我国关于信息安全的基本政策，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号，以下简称“27 号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007 年 6 月发布的关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43 号，以下简称“43 号文件”）规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。2017 年 6 月 1 日《中华人民共和国网络安全法》正式施行，网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。）

3、合理地规避或降低风险。

（注：每年都会出现一些大的信息安全事件，我们日常经常听到或看到的有，某某网站网页被篡改了，用户敏感信息被泄露了，更多的一些小范围安全事件我们不清楚，却时有在发生。那么发生比较大的安全事件，首先主管单位们要去现场调查，首先就会看我们到底有没开展等级保护工作，那么如果你没有，最直接的一个结论就是你的信息安全工作没有开展好，没有开展到位，国家最基本的信息安全等级保护工作都没做，再多的安全设备不如实实在在拿出备案证明，拿出测评报告说服力强。等保工作有没有开展就是衡量的一个重要标准，因为等级保护是国家基本信息安全制度要求。）

第二章 需求分析

项目整体需求从全方位掌握医院信息系统网络安全状况、进一步完善医院信息系统管理制度，安全加固，建立长效安全运维机制四个方面进行分析：

全方位掌握医院信息系统网络安全状况

落实《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019） 对信息系统的安全保护要求，通过对信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面基本技术要求进行技术检测；对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面基本管理要求进行管理体系检查。

安全物理环境测评通过人员访谈、文档检查和实地察看的方式评测信息系统的物理安全保障情况。主要涉及对象为物理环境、物理设备和物理设施等; 涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护；安全通信网络测评通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象为广域网、城域网和局域网等; 涉及的安全控制点包括网络架构、通信传输和可信验证；安全区域边界测评通过访谈、检查和测试的方式评测信息系统的安全保障情况。主要对象为系统边界和区域边界等; 涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证; 安全计算环境测评通过访谈、检查和测试结合的方式评测信息系统的安全保障情况。主要对象为边界内部的所有对象, 包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等; 涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护; 安全管理中心测评通过访谈、检查和测试结合的方式评测信息系统的安全保障情况。安全管理中心部分是针对整个系统提出的安全管理方面的技术控制要求, 通过技术手段实现集中管理。涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。

安全管理制度测评通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。安全管理机构测评通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。安全管理人员测评通过访谈和检查的形式评测机构人员安全控制方面的情况。安全建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。安全运维运维管理测评通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。

实施安全加固提升信息系统安全

根据前期脆弱性评估，结合信息系统的业务需求，在操作系统级别上， 利用专业化检测工具进行系统后门检测、基本系统安全配置、口令与帐户安全、修补常见网络服务安全性问题等进行检查。在网络设备级别上，进行远程管理和维护的安全、口令安全性、配置确认与清理、系统升级与补丁安装等进行检查。在安全设备部分，主要进行远程维护安全性设置、防护规则的确认、审计与清理等工作。对相关设备进行安全策略加强、调优， 加强网络、系统和设备抵御攻击和威胁的能力，针对较为严重问题，制定安全整改方案，配合相关人员进行整改，整体提高网络安全防护水平，满足等级保护相关要求。

进一步完善医院信息系统管理制度 

以等级保护差距分析结果为依据，依照安全保障体系设计所提及的建设内容，按照等级保护标准要求，制定等级保护管理体系框架，明确管理方针、策略，以及相应的规定、操作规程、业务流程和记录表单；从结合信息系统实际业务流程的原则出发，指导系统运维方按照等级保护对应网络安全等级保护2.0 的管理标准，编写 2.0 管理制度文件，并进行反复沟通和修订，确保所制定的文件的适用性，且满足信息系统网络安全等级保护 2.0 的安全管理要求。

建立长效安全运维机制

根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）， 需要提供以下安全服务：

1、加强安全监测提高系统安全稳定性。

通过专业化脆弱性漏洞检测工具，对交换机、路由器、安全防护设备、服务器主机、应用系统及数据库实施扫描，发现系统、应用、配置上等存在的弱点，对现有的安全监管设备（运维系统、网管系统、态势感知、安全审计、数据库审计等）的审计日志分析，配合相关检查工具，对发现的网络攻击行为、异常状态、可疑安全事件及运维事件进行分析，建立长效安全监测、安全应急响应机制。

2、加强安全培训提高安全意识及技能。

通过信息安全形势分析、政策解读、应用指导，使信息系统相关人员充分认识到信息安全的重要性，进一步提升预防知识水平，提高员工安全意识，实现从“要我安全”到“我要安全”的转变，安全教育培训要从“四不伤害”入手。有效地增强信息系统相关人员在工作和日常生活中的信息安全防范意识， 提高信息安全突发事件应急处置能力和信息安全保障能力，推进信息化健康发展打下坚实基础。

第三章 项目建设目标

• 1.1.1 梳理芜湖市中医医院当前众多应用系统、网络拓扑，各系统的网络设备、主机设备和应用组成，同时理清各个信息系统安全边界，了解清楚系统状况。根据国家等级保护相关标准，分析系统的安全保护现状，找出存在问题，提出更合理的信息系统整改建议，配合相关工作人员把整改内容落到实地， 从而有效提升信息系统的抗攻击能力和恢复能力。
• 1.1.2 老信息系统初期建设存在重建设、轻安全的问题，基础信息网络和重要信息系统存在安全漏洞隐患，相关设备未进行安全策略加强、调优，加强网络、系统和设备抵御攻击和威胁的能力。针对存在的安全问题，制定安全加固及整改方案，相关人员进行整改方案内容落实，整体提高网络安全防护水平，满足等级保护相关要求。
• 1.1.3 通过等级保护测评进一步完善医院信息安全管理制度，落实各项管理制度在实际工作的作用，建立建全长效系统安全建设管理、变更管理、系统安全运维管理等制度，充分调动系统相关责任单位部门、运维人员的积极性，提高相关人员信息安全意识，发挥各方面的作用，增强信息系统整体的安全保护的能力，确保信息系统正常稳定运行。

第四章 项目建设方案

• 1.1.1.设计目的

本方案针对被测系统的网络环境和应用系统为基础，分析被测单位的安全建设需求，结合国家等级保护的建设规范和技术要求而编制，为被测单位信息系统安全的等保符合性建设提供指导。

• 1.1.2. 设计原则

等级保护是国家信息安全建设的重要政策，其核心是对信息系统分等级、按标准进行建设、管理和监督。对于被测单位信息安全建设，应当以适度风险为核心，以重点保护为原则，从业务的角度出发，重点保护重要的信息系统， 在方案设计中应当遵循以下的原则：

适度安全原则

任何信息系统都不能做到绝对的安全，在进行被测单位信息安全等级保护规划中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。

适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中， 一方面要严格遵循基本要求，从物理、网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合成本的角度， 针对被测单位信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。

重点保护原则

根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统；门户网站以二级，面向患者服务系统和基础支撑系统以三级安全防护要求来实现。

技术管理并重原则

信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖被测单位所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障被测单位信息系统的整体安全性，形成技术和管理两个部分的建设方案；

分区分域建设原则

对信息系统进行安全保护的有效方法就是分区分域，由于信息系统中各个信息资产的重要性是不同的，并且访问特点也不尽相同，因此需要把具有相似特点的信息资产集合起来，进行总体防护，从而可更好地保障安全策略的有效性和一致性，比如把业务服务器集中起来单独隔离，然后根据各业务部门的访问需求进行隔离和访问控制；另外分区分域还有助于对网络系统进行集中管理，一旦其中某些安全区域内发生安全事件，可通过严格的边界安全防护限制事件在整网蔓延；

标准性原则

信息安全保护体系应当同时考虑与其他标准的符合性，在方案中的技术部分将参考《信息安全技术信息系统等级保护安全设计技术要求》进行设计，在管理方面同时参考《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》以及 27001 安全管理指南，使建成后的等级保护体系更具有广泛的实用性；

科学性原则

本方案的设计是建立在对被测单位进行安全测评后基础上的，在威胁分析、弱点分析和风险分析方面，是建立在客观评价的基础上而展开分析的结果， 因此方案设计的措施和策略一方面能够符合国家等级保护的相关要求，另一方面也能够很好地解决被测单位中存在的安全问题，满足特性需求。

• 1.1.3. 设计参考标准

本方案根据国家提出的等级保护管理办法和实施指南，针对被测单位信息系统的特点和安全建设需求，进行全面的安全保障规划，设计中重点参考的政策和标准包括以下两个部分：

本方案重点参考以下的的政策和标准：

技术方面	GB/T 22239-2019 信息安全技术 网路安全等级保护基本要求 GB/T 20270-2019 信息安全技术 网络安全等级保护安全设计技术要求 GB/T28448-2019 信息安全技术 网络安全等级保护测评要求 GB/T 20271-2006 信息安全技术信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术操作系统安全技术要求 GB/T 20273-2006 信息安全技术数据库管理系统通用安全技术要求 GA/T671-2006 信息安全技术 终端计算机系统安全等级技术要求 GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型
管理方面	GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求ISO/IEC 27001 信息系统安全管理体系标准

*详情请见招标文件