绍兴市中医院信息化建设网络安全保障服务项目-采购文件网

绍兴市中医院信息化建设网络安全保障服务项目

招标文件

文档编号：202201200000207869 发布时间：2022-01-20 文档页数：59页所需下载券：10

绍兴市中医院信息化建设网络安全保障服务项目

招标项目范围及要求

相关声明：以下1-7条款如标段内另有说明的，则按标内要求执行。

1.设备（材料）要求

1.1投标人投标提供的设备必须是厂商原装的、全新的，型号、性能及指标符合国家及招标文件提出的有关技术、质量、安全标准。

1.2所有设备在开箱检验时必须完好，无破损，配置与装箱单相符。数量、质量及性能不低于本需求书中提出的要求。

1.3设备外观清洁，标记编号以及盘面显示等字体清晰，明确。铭牌、使用指示、警告指示应以中文或英文及易懂的通用符号来表示；应准确无误地表明设备之型号、规格、制造厂及生产或出厂日期。

1.4对于影响设备正常工作的必要组成部分，无论在技术规范中指出与否，投标人都应提供并在投标文件中明确列出。

1.5所有货物提供出厂合格证等质量证明文件，国外生产的必须有合法的进货渠道证明，如海关报关单、原产地证明、商检证明等。

1.6所有货物（如管芯）到现场安装使用前，招标人将进行抽样检验或试验。

2.数量调整

招标人保留在签约时调整部分方案及定购设备数量和服务的权力，投标人应对系统方案中设备和服务明细报价，按投标单价不变的前提下进行调整，双方不得拒绝。

如遇本次招标没有涉及的设备或服务时，由中标人提供申请，招标人确认后实施。

3.安装及调试、验收

中标人应派经招标人认可的有经验和能力、具有相应资质的技术人员，负责系统设备安装工作，在设备安装期间应充分了解设备安装进度要求，解决安装中出现的技术问题。

3.1中标人负责设备的安装、调试。

3.2调试所需专用工具设施物料由中标人自备、自费运到现场，完工后自费搬走。

3.3安装完成后，进行调试、验收按国家有关规范标准（国家无验收规范标准的按双方合同规定的要求）进行。

3.4设备的拆箱、通电、调试等各项工作由中标人负责，但必须在招标人指定人员的参与下进行。在实际实施前必须先经招标人同意方可进行。调试的原始记录须经各方签字后作为验收的文件之一。

3.5所有的招标设备应按照国家有关技术标准在制造厂检查和试验合格，以表明其运行性能、安全性能以及设备材料和结构在电气、机械上的完整性。

4.技术培训

4.1中标人须对招标人的技术人员培训。投标人须在投标文件中提供详细的培训计划，包括培训内容、培训时间、培训费用等。

4.2中标人提供的负责培训的人员应具备同类设备五年以上的经验。

4.3技术培训费用应包含在投标总价中。

4.4技术培训至少应包括下列内容：

4.4.1原理、构成和功能的描述。

4.4.2常见故障的处理或排除。

4.4.3各系统部件（设备）的检查、调整和维护。

4.4.4对使用者关于设备基本操作技能的培训。

5.售后服务

5.1投标人须提供经调试、试运行、验收合格后至少1年的质保期(投标人可根据自身实力作出更长时间的质保承诺)。在此期间，投标人应免费处理因质量发生的故障，并进行正常保养。

5.2中标人必须有可靠的售后服务保障包括但不限于在绍兴附近有固定的维修服务点，能提供正常的技术、备品备件服务。中标人在接到招标人通知后，6小时内派人赴现场处理设备质量问题。24小时内不能修复的，则无偿提供备机或备用零件供采购人使用。

6. 服务要求

6.1设备包修期内（各标项内已有要求的除外），如出现故障，中标人在接到电话6小时内到达采购人指定地点，

6.2 中标人提供的设备，必须符合招标文件及其投标文件规定的要求，如有不符，采购人可以无条件退货，造成的损失由中标人承担。

7. 项目实施人员费用

中标人应自行承担选派专业人员的住宿、就餐和交通等费用。

8.招标项目设备名称及数量：

01标绍兴市中医院信息化建设网络安全保障服务项目，本项目上限价：25万元，合同期限：自合同签订之日起一年。

一、服务清单

序号	产品名称	服务内容	数量	单位	服务周期	备注
1	合规性差距分析服务	依据“国家医疗健康信息医院信息互联互通标准化成熟度（医院信息互联互通）测评方案”对于网络安全方面的相关测评要求，安全公司应协助中医院找出当前网络体系建设的相关不足和风险，并对其提出具有针对性的安全解决方案，协助技术整改，使其达到测评规范要求。必要时，应向院方提供网络安全事件应急演练方案以及应急演练脚本等。	1	次/年	现场不少于4天
2	合规建设支持服务	协助我院梳理信息安全管理制度体系和网络安全合规性建设，必要时，应提供相关网络安全设备（如防火墙、日志审计、网闸等）为我院短期试用或使用，综合提升安全保障能力，支撑业务测评工作。	1	次/年	现场不少于4天
3	重要时期安全保障服务	通过人员现场值守服务，在亚运会和二十大期间开展全天候的安全保障任务。重保服务期间可通过安全监控、攻击验证、攻击排查等工作，协助我院完成安全防护和应急处置，提升期间安全事件的处置能力。	2	次/年	现场不少于5天
4	数据中心资产梳理服务	通过人+工具的组合方式，主动或被动探测我院数据中心（服务器、业务系统、中间件、数据库等）的资产信息，对资产进行全面梳理，发现数据中心出现的未报备资产，提前发现可能存在的安全隐患。	1	次/年	现场不少于3天
5	漏洞评估服务	提供对我院重要系统的安全漏洞发现和取证，客观分析安全风险等级，并根据检测结果和危害分析，适度修复安全漏洞和系统中的错误设置，在黑客攻击前开展防范措施，提高黑客的攻击成本，拉长黑客的攻击周期。	4	次/年	现场不少于2天
6	渗透测试服务	服务内容：站在黑客视角，实战化演练，采用无害攻击手段，针对网站业务系统、HIS业务系统，模拟黑客真实的攻击行为，深度检验网络安全防线效果，为中医院信息化安全建设方向提供有效依据。	1	次/年	现场+远程不少于3天
7	云监测saas服务	我院门户网站系统是面向广大群众的重要窗口，具备较高的资产价值，极易成为黑客攻击目标，造成篡改网页、挂黑链、不可用、上级通报、内网沦陷等一系列问题，其安全问题受到了监管等部门的高度关注。通过此项服务，协助我院开展7*24h的网站漏洞检测、持续监控、攻击防御、事件处置能力，构建以安全效果为目标的运营闭环体系。	1	年	/
8	失陷主机定位与分析服务	利用先进的威胁检测工具，结合威胁情报能力，对我院内网中潜藏的高级威胁（勒索软件、挖矿及特种木马等）实现精准定位，弥补防病毒软件无法对新型蠕虫、免杀木马、特种木马无法有效识别的能力不足，结合人工验证，协助开展处置工作。	1	次/年	现场不少于2天
9	安全巡检与加固服务	通过人工现场巡查方式对全网重要信息系统（业务系统、安全系统、网络系统）的运行状态、安全策略以及日志等风险进行识别、分析和定位，提出可行性修复建议，协助现场处置。	4	次/年	现场不少于3天
10	安全意识培训服务	开展安全意识培训是我院信息安全体系建设的基础性工作之一。根据最新《中国网民网络安全意识调研报告》显示，近90%的网民认为当前的网络环境是安全的，但82.6%的网民没有接受任何形式的网络安全培训，近75%的网络安全事件与内部员工操作不规范、不良行为有直接关联。	1	次	培训课程不少于45分钟。
11	应急响应服务	在发生确切的网络安全事件时，安全公司应急响应人员应及时采取行动，限制事件扩散和影响的范围，检查所有受影响的系统，在准确判断安全事件原因的基础上，提出基于安全事件解决方案，追查事件来源，协助后续处置。一年内不限次数。	不限	次	按需响应

二、技术参数：

2.1. 服务部分

2.1.1. 合规性差距分析服务

序号	招标参数要求	备注
1	工作内容：依据“国家医疗健康信息医院信息互联互通标准化成熟度（医院信息互联互通）测评方案”对于网络安全方面的相关测评要求，安全公司应协助中医院找出当前网络体系建设的相关不足和风险，并对其提出具有针对性的安全解决方案，协助技术整改，使其达到测评规范要求。必要时，应向院方提供网络安全事件应急演练方案以及应急演练脚本等。
2	服务人数： 2人
3	服务方式：现场
4	服务对象：绍兴市中医院内网和外网。
5	时间要求：不少于4天。
6	服务输出：《差距分析评估报告》、《医院网络安全保障体系规划设计方案》。

2.1.2. 合规建设支持服务

序号	招标参数要求	备注
1	工作内容：协助我院梳理信息安全管理制度体系和网络安全合规性建设，必要时，应提供相关网络安全设备（如防火墙、日志审计、网闸等）为我院短期试用或使用，综合提升安全保障能力，支撑业务测评工作。
2	服务人数： 2人
3	服务方式：现场
4	服务对象：绍兴市中医院内网和外网。
5	时间要求：不少于4天。
6	服务输出：《制度梳理报告》、《安全产品实施方案》。

2.1.3. 重要时期安全保障服务

序号	招标参数要求	备注
1	工作内容：通过人员现场值守服务，在亚运会和二十大期间开展全天候的安全保障任务。重保服务期间可通过安全监控、攻击验证、攻击排查等工作，协助我院完成安全防护和应急处置，提升期间安全事件的处置能力。工作流程如下： 1、备战阶段：摸清家底。站在黑客视角分析可能的攻击路径，以减少风险暴露面、事前防范和加固为主要目的，加强系统健壮性，提升黑客攻击成本。主要表现在：互联网未知资产探测、业务资产黑盒测试与加固、全网信息系统（服务器、路由器、交换机、安全系统等）配置核查，策略精细化调优。外联网等其他网络边界的开放服务和策略检查。 2、决战阶段：实时守护。开展异常流量的精准定位和分析，对恶意行为迅速封堵，不给攻击者可乘之机。主要工作表现在：态势感知系统及各类网络安全系统的实时攻击监测和分析、攻击研判和快速响应。 3、战后阶段:复盘总结。结合安全事件，找出潜藏的系统脆弱点，分析攻击者惯用的攻击手法特点，提出精准防护建议，进一步提升系统健壮性，以及积累更多重保活动经验，精准施策，共筑安全堡垒。
2	服务人数：1人
3	服务方式：现场
4	服务对象：绍兴市中医院内网和外网。
5	时间要求：现场不少于5天
6	服务输出：《重要保障时期安全服务方案》、《技术脆弱性检查报告》、《安全事件分析与处置报告》、《重保工作总结报告》。

2.1.4. 数据中心资产梳理服务

序号	招标参数要求	备注
1	工作内容：通过人+工具的组合方式，主动或被动探测我院数据中心（服务器、业务系统、中间件、数据库等）的资产信息，对资产进行全面梳理，发现数据中心出现的未报备资产，提前发现可能存在的安全隐患。梳理维度包括但不限于：名称、IP、端口、组件、服务等。
2	服务人数：1人
3	服务方式：现场
4	服务对象：绍兴市中医院数据中心。
5	时间要求：现场不少于3天
6	服务输出：《资产梳理报告》

2.1.5. 漏洞评估服务

序号	招标参数要求	备注
1	工作内容：提供对我院重要系统的安全漏洞发现和取证，客观分析安全风险等级，并根据检测结果和危害分析，适度修复安全漏洞和系统中的错误设置，在黑客攻击前开展防范措施，提高黑客的攻击成本，拉长黑客的攻击周期。要求：1、安全漏洞检测：如操作系统、中间件、B/S业务系统、数据库等漏洞。2、业务逻辑漏洞检测：如后台登录处存在逻辑错误，登陆时没有错误次数限制用户登录，并且没有判断验证码过期，导致验证码可以重复使用，可被爆破用户名密码或撞库。3、Webshell检测：如网页后门程序、线程插入后门程序、扩展后门程序。4、安全基线核查：如端口策略、账户策略、系统策略、应用策略以及中间件策略缺陷核查。5、弱口令核查：密码字典爆破测试。6、APP客户端检测: 对功能调用、系统组件、接口、漏洞等安全风险进行综合评估。
2	服务人数：2人
3	服务方式：现场
4	服务对象：绍兴市中医院重要信息系统。
5	时间要求：现场不少于2天
6	服务输出：《漏洞评估报告》
7	工具要求： ▲1、工具具备分布式部署提供远端扫描引擎列表，列表需对设备状态、策略同步、规则同步、引擎类型等状态提供最直观的展示效果（请提供相应截图证明）。 2、工具需支持多种扫描方式，提供对IP、域名、安全域、批量检测等目标扫描方式。 3、工具应具备操作系统、数据库、网络设备等主流系统的漏洞库列表，并提供至少20种以上的漏洞库分类。 ▲4、工具具备对DNS服务的安全漏洞检查，包括DNS缓存中毒、DNS拒绝服务漏洞、签名欺骗等至少100种以上的相关漏洞库（请提供相应截图证明）。 ▲5、工具具备对后门检测的安全漏洞检查，包括对Microsoft IIS特洛伊木马检测、Mac OS X恶意程序等常见后门漏洞的安全检测，并提供至少100种以上的相关漏洞库（请提供相应截图证明）。 6、计算机信息系统安全专用销售许可证（网络脆弱性扫描（增强级））。

2.1.6. 渗透测试服务

序号	招标参数要求	备注
1	工作内容：站在黑客视角，实战化演练，采用无害攻击手段，针对网站业务系统、HIS业务系统，模拟黑客真实的攻击行为，深度检验网络安全防线效果，为中医院信息化安全建设方向提供有效依据。相关要求如下： 1、 Windows 系列操作系统渗透测试： 1) 端口扫描；2) NetBIOS name service 测试；3) RFC 漏洞攻击；4) SMB 漏洞攻击；5) Windows DNS 测试；6) Snmp 漏洞测试；7) 活动目录测试；8) Sql Server 弱口令测试；9) 系统弱口令测试；10) 终端服务弱口令测试；11) IIS 权限及溢出测试；12) Exchange server 漏洞测试；13) ftp 弱口令测试。 2、 linux 系列主机操作系统渗透 SOLARIS、AIX、LINUX、SCO、SGI 等操作系统渗透测试包括: 1) 端口扫描；2) ssh 弱口令测试；3) telnet 弱口令测试；4) Ftp 弱口令测试；5) Samba 弱口令测试；6) RPc 枚举和漏洞测试；7) NFS 漏洞测试；8) Snmp 漏洞测试；9) DNS 漏洞测试；10) rlogin,rsh 漏洞测试。 3、数据库系统的测试对 MS-SQL、ORACLE、MYSQL、DB2 等数据库应用系统进行渗透测试。 1) 默认账号及弱口令攻击；2) 存储过程漏洞攻击；3) 数据库运行权限探测；4) 提权漏洞攻击；5) 低版本溢出漏洞攻击。 4、 WEB应用系统渗透对渗透目标提供的各种应用，如 JSP、PHP 等组成的 WEB 应用进行渗透测试。 1）检查应用系统架构、防止用户绕过系统直接修改数据库；2）检查身份认证模块，防止非法用户绕过身份认证；3）检查数据库接口模块，防止用户获取系统权限；4）检查文件接口模块，防止用户获取系统文件；5）检查其他安全威胁。 5、网络设备渗透对各种防火墙、入侵检测系统、网络设备进行渗透测试。 1) tftp 获取配置攻击；2) 管理界面默认账号密码；3) snmp 读写权限攻击；4) telnet,ssh 默认账号弱口令攻击；5) 低版本溢出漏洞攻击。 6、口令猜解口令猜测也是一种出现概率很高的风险，几乎不需要任何攻击工具，利用一个简单的暴力攻击程序和一个比较完善的字典，就可以猜测口令。
2	服务人数：2人
3	服务方式：远程+现场
4	服务对象：绍兴市中医院重要信息系统。
5	时间要求：现场不少于3天
6	服务输出：《渗透测试报告》

2.1.7. 云监测SaaS服务

序号	招标参数要求	备注
1	工作内容：我院门户网站系统是面向广大群众的重要窗口，具备较高的资产价值，极易成为黑客攻击目标，造成篡改网页、挂黑链、不可用、上级通报、内网沦陷等一系列问题，其安全问题受到了监管等部门的高度关注。通过此项服务，协助我院开展7*24h的网站漏洞检测、持续监控、攻击防御、事件处置能力，构建以安全效果为目标的运营闭环体系。
2	服务人数：1人
3	服务方式：远程
4	服务对象：所有互联网域名
5	时间要求：SLA：724365，服务为1年。
6	服务输出：《网站安全监测预警报告》、《网站风险、事件协助处置报告》。

2.1.8. 失陷主机定位与分析服务

序号	招标参数要求	备注
1	工作内容：利用先进的威胁检测工具，结合威胁情报能力，对我院内网中潜藏的高级威胁（勒索软件、挖矿及特种木马等）实现精准定位，弥补防病毒软件无法对新型蠕虫、免杀木马、特种木马无法有效识别的能力不足，结合人工验证，协助开展处置工作。检测能力包括但不限于：1、勒索软件；2、挖矿木马；3、远控木马；4、流氓软件；5、蠕虫病毒；6、APT攻击线索；7、僵尸网络等。
2	服务人数：1人
3	服务方式：现场
4	服务对象：全网
5	时间要求：现场不少于2天
6	服务输出：《网站安全监测预警报告》、《网站风险、事件协助处置报告》。

2.1.9. 安全巡检加固服务

序号	招标参数要求	备注
1	工作内容：通过人工现场巡查方式对全网重要信息系统（业务系统、安全系统、网络系统）的运行状态、安全策略以及日志等风险进行识别、分析和定位，提出可行性修复建议，协助现场处置。安全巡检服务作为一种预防式的服务，可以提前发现问题，降低安全事故的发生几率，提高绍兴市中医院IT信息化环境的安全水平。运行检查：对软硬件系统的运行状态进行检查，发现安全隐患，提供巡检报告，提供修复建议，协助用户恢复。策略检查：针对绍兴市中医院现有系统的安全策略和事件日志进行检查，对检查结果进行深入分析，提供优化建议，协助用户整改。日志分析：针对现有的安全设备系统进行日志分析，通过分析，明确安全设备的策略配置，防止因为安全配置不充分导致系统存在安全隐患，确保设备的安全性和完整性。
2	服务人数：2人
3	服务方式：现场
4	服务对象：重要IT信息资产
5	时间要求：现场不少于3天
6	服务输出：《安全巡检与加固报告》

2.1.10. 安全意识培训服务

序号	招标参数要求	备注
1	工作内容：开展安全意识培训是我院信息安全体系建设的基础性工作之一。根据最新《中国网民网络安全意识调研报告》显示，近90%的网民认为当前的网络环境是安全的，但82.6%的网民没有接受任何形式的网络安全培训，近75%的网络安全事件与内部员工操作不规范、不良行为有直接关联。
2	服务人数：1人
3	服务方式：现场
4	服务对象：所有办公人员
5	时间要求：不少于45分钟课程
6	▲讲师要求：安全专家（拥有省级（含以上）网络空间安全协会聘任的网络安全专家）
7	服务输出：《安全意识培训定制PPT》

2.1.11. 应急响应服务

序号	招标参数要求	备注
1	工作内容：在发生确切的网络安全事件时，应急响应实施人员应及时采取行动，限制事件扩散和影响的范围，检查所有受影响的系统，在准确判断安全事件原因的基础上，提出基于安全事件解决方案，追查事件来源，协助后续处置。应急响应范围包括： 1、突发网络安全设备通信异常； 2、病毒攻击分析、溯源和响应； 3、安全系统升级或网络割接人员保障； 4、网络安全事件相关工作事物。
2	服务人数：2人
3	服务方式：现场
4	服务对象：中医院内、外网
5	▲时间要求：一年内不限次数。30分钟内抵达现场，2小时内定位问题，4小时内控制风险、事件。（提供响应证明材料，如营业执照）
6	服务输出：《应急响应报告》