全部加入收藏
招标文件
采购需求
一、项目概况:
本项目为市卫健局安全服务项目,详细内容请参阅招标文件商务技术需求书。
采购包1(市卫健局安全服务项目)1.主要商务要求
|
标的提供的时间 |
签订合同起至2025年9月30日 |
|
标的提供的地点 |
采购人指定地点(如有变化另行确定) |
|
付款方式 |
1期:支付比例20%,双方签订合同后15个工作日内,采购人向中标人支付至项目总额的20%; 2期:支付比例15%,项目第一次验收后15个工作日内,采购人向中标人支付至项目总额的35%; 3期:支付比例35%,采购人签署第二次服务项目开工令后15个工作日内,采购人向中标人支付至项目总额的70%; 4期:支付比例30%,项目第二次验收后15个工作日内,采购人向中标人支付至项目总额的100%。中标人向采购人开具等额正式发票。 因财政资金安排或财政部门资金拨付而导致时间延误除外,上述付款时间均指采购人将付款申请递交至财政部门的时间。 如项目发生合同融资,采购人应当将合同款项支付到合同约定收款账户。 |
|
验收要求 |
1期:根据项目招标文件及中标人投标文件中所制定的方案并按国家有关规定、规范进行验收。 |
|
履约保证金 |
不收取 |
|
其他 |
1、报价要求,①投标人报价采取打包报价的方式。 ②投标人报价应包括招标文件所确定的招标范围内的全部内容及完成招标必须的各种材料费、劳务费、采取措施等所需的全部费用。 ③投标人报价包括材料、工具、人工、管理费、利润、税金、风险、招标代理费用等一切因素所有应该和可能发生的费用因素。 2、合同条款,投标人实质响应合同条款。 3、其他要求,投标人应充分结合本招标文件上下文了解项目招标需求、采购文件未尽事宜,将在合同签订或项目执行过程中双方协商确定,供应商须无条件满足采购单位的合理要求。 |
2.技术标准与要求
|
序号 |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元) |
分项预算总价(元) |
所属行业 |
技术要求 |
|
1 |
安全运维服务 |
市卫健局安全服务项目 |
项 |
1.00 |
3,260,000.00 |
3,260,000.00 |
软件和信息技术服务业 |
详见附表一 |
附表一:市卫健局安全服务项目
|
参数性质 |
序号 |
具体技术(参数)要求 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
1 |
1.项目概述 近年来,东莞市卫生健康局信息化建设持续推进,信息系统规模越来越庞大,重要信息资产构成也越来越复杂。目前东莞市卫生健康信息专网,现已联网单位共489家,其中公立医疗卫生单位和民营医院92家,社区卫生服务中心及社区卫生服务站共397家,基本覆盖全市医疗卫生单位和社区卫生机构,各医疗机构可通过信息专网接入访问健康云,实现互联互通、资源共享;依托局本地数据中心和健康云平台已建设有16个信息系统供全市使用。为及时发现单位网络安全隐患,监管市医疗机构网络安全建设情况,需采购网络安全风险评估服务。 2.项目目标 依照国家政策标准以及上级广东省卫健委印发的文件要求东莞市卫生健康局需要加强对网络安全的建设和管理,对东莞市卫生健康局信息系统进行风险评估,验证已进行的信息安全建设的有效性,明确下一步基础设施建设策略,为整个东莞市卫生健康局信息安全防护体系建设提供依据;对东莞市卫生健康局信息系统进行等级保护备案、测评、整改、验收等工作,完成信息系统差距和验收测评,为持续加强东莞市卫生健康局等级保护建设提供依据;同时,为提升健康云平台各项系统安全运营水平,强化网络安全建设部署,实现云上云下协同安全保障提供依据。 按照“谁主管、谁负责”“管业务就要管安全”原则,形成“以 查促建、以查促管、以查促改”的良好安全保障工作态势,采取远程技术检测、现场检查方式,检测发现并督促医疗机构开展整改安全风险隐患,规范网络信息安全管理,持续加强安全监控和审计,健全个人信息安全管理和技术体系,规范个人信息使用,加强跨部门、跨机构、跨行业的个人信息交换管理,持续提升我市卫生健康行业网络安全保护意识和安全防护水平。 3.服务内容
4.服务内容详细技术要求 4.1.信息安全风险评估服务 4.1.1.服务范围 针对单位网络安全等级保护系统清单,结合本项目提供服务的2个阶段,第1次抽取不少于5个重要信息系统、第2次抽取不少于5个重要信息系统开展风险评估服务。 抽取清单包括但不限于如下:
4.1.2.服务内容 (一)信息资产摸底调研 对东莞市卫生健康局的关键信息系统信息资产进行梳理,通过主动探测、主动发现,厘清信息资产责任人及当前信息资产的安全现状,形成信息资产调研清单,为风险评估奠定基础。 (二)信息安全风险评估 依照《信息安全技术信息安全风险评估方法》(GB/T 20984-2022)等,对东莞市卫生健康局的网络和信息系统进行风险评估,提交相关风险分析报告。 风险评估的内容应包括:信息系统安全现状调研、网络设备安全审计、操作系统安全审计、漏洞扫描、重要日志分析、渗透测试、综合风险分析以及风险评估报告编写。 4.1.3.服务要求 (一)信息资产摸底调研 (1)梳理信息资产台账:通过资产摸底,梳理当前的信息资产台账。 (2)信息资产的主动探测发现:通过技术手段主动发现探测当前网络的信息资产情况,并与梳理的台账进行对比,找出信息系统等的所有资产,落实信息资产责任人。 (3)报告编制:根据资产的梳理摸底情况,编制《信息资产调研报告》。 (二)风险评估 信息安全风险评估过程需按照《信息安全技术信息安全风险评估方法》(GB/T 20984-2022)开展工作,在评估阶段应完成下述工作。 (1)资产评估:收集信息资产,包括有形资产和无形资产,如服务器、网络设备、存储设备、应用软件、数据、人员、管理等。 (2)安全审计:对服务器和网络设备进行抽样安全审计。其中,服务器的安全审计包括操作系统安全审计和应用软件的安全审计。 (3)漏洞扫描:漏洞扫描针对信息系统的主要IT设备(服务器,网络设备,安全设备)的自身脆弱性进行安全评估。扫描内容包括端口扫描、系统扫描、漏洞扫描、数据库等应用软件扫描等,服务完成后应提供扫描报告,解决方案并对发现漏洞给予解决。 (4)渗透测试服务:对重要应用系统进行渗透测试,渗透测试服务至少包括以下部分: Ø端口扫描:通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量和类型,为进行深层次的渗透提供依据。 Ø远程溢出:对端口扫描出来的漏洞进行利用,可以使用工具等手段实现远程溢出攻击。 Ø口令猜测:对指定业务系统的认证模块进行口令猜测,使用多种手段猜测口令。 Ø本地溢出:在拥有了一个普通用户的账号之后,使用一些特殊的技术手段,获得管理员权限或提高普通用户权限。 Ø脚本测试:利用SQL语句进行一些特殊操作,绕过应用系统自身的限制,从而获得一定的权限。检查出应用系统代码的漏洞环节。包括以下环节:检查应用系统架构,防止用户绕过系统直接修改数据库;检查身份认证模块,用以防止非法用户绕过身份认证;检查数据库接口模块,用以防止用户获取系统权限; 检查文件接口模块,防止用户获取系统文件;检查其他安全威胁。 Ø敏感信息测试:利用工具获取应用系统的源代码、应用软件版本系统等敏感信息的测试。 (5)综合风险分析:在对信息体系的各个层次进行技术安全评估基础上,综合分析信息系统面临的各方面威胁,依靠定量计算和定性分析结合的方式,计算出信息系统各方面的风险级别,并提出解决措施。 4.1.4.服务交付 《信息资产调研报告》 《安全审计报告》 《渗透测试报告》 《信息系统安全风险分析报告》 4.1.5.服务频率 不少于2次。 4.2.个人信息安全保护专项行动线下安全检查服务 4.2.1.服务范围 全市不少于75家医疗机构。 4.2.2.服务内容 现场审查 组成专项行动工作组,对不少于75个医疗卫生机构进行现场检查。现场检查期间,通过人员访谈、实地查看、文档查阅、配置核查、工具等方法开展检查。其中,检查人员在本地对目标系统进行技术测试,在工具扫描的基础上对发现的漏洞进行人工核实、确认其严重程度、危害与影响。 通过现场检查,开展数据安全及个人隐私保护职责及岗位检查、数据安全及个人隐私保护制度体系检查、数据安全漏洞及安全事件检查、个人隐私保护问题及安全事件检查,切实压实部门和个人网络安全工作责任,全面了解受检单位的安全现状,并给出针对性意见。 重点检查如下: (一)个人信息安全监管情况。包括:个人信息保护工作机制、安全责任制等建设和落实等情况。 (二)个人信息收集情况。 包括:个人信息收集的目的、依据、收集的方式、范围、类型、规模等,收集过程中用户同意、最小必要等原则的落实等情况。 (三)个人信息使用情况。包括:个人信息使用内部管理规范、超出用户授权或政策授权范围、向第三方提供、开展大数据分析、对外公开等情况。 (四)个人信息存储传输处理情况。包括:存储方式、分类及灾备情况、网络传输方式、匿名化和去标识化、删除,以及疫情防控相关数据存储、互联网邮箱规范使用等情况。 (五)个人信息技术防护情况。包括:个人信息存储和传输加密情况,个人信息访问和操作授权管理、日志留存、安全审计情况,个人信息安全防护技术手段、措施的建设使用情况,监测预警体系建设情况,安全检测评估开展等情况。 (六)网络安全等级保护等制度落实情况。包括:信息系统网络安全等级保护制度、应急处置制度等落实情况。 (七)上一年度检查问题“回头看”。 数据填报平台服务 根据“2023个人信息安全保护专项线下安全检查”活动检查情况,将检查的内容归纳成线上台账,建设数据安全上报平台,包含基础安全情况填写、重要数据库的分类分级情况,相关数据安全管理制度。本项目需提供一套数据安全填报平台,辅助“个人信息安全保护专项线下安全检查”行动发现的问题进行管理,闭环整个数据安全风险发现、告知、处置和整改反馈的整体流程。 4.2.3.服务要求 (一)项目实施须遵循的标准与政策 《个人信息保护法》 《数据安全法》 《GB/T 35273-2020 信息安全技术个人信息安全规范》 《广东省卫生健康委办公室关于进一步开展个人信息安全保护专项行动的通知》(粤卫办规划函〔2022〕12 号) (二)服务过程与指标
(三)检查内容与流程 检查内容 (1)数据安全合规检查 检查对象:全市不少于75家医疗卫生机构信息管理部门 检查方式:现场访谈、文档查验 检查内容: l组织与制度建设情况 l数据安全管理制度建设情况 l数据共享与使用安全管理 l信息系统供应链安全管理 l数据安全运营管理 (2)数据安全技术检查 检查对象:全市不少于75家医疗卫生机构重要业务系统、大型医疗联网设备 检查方式:技术检查 检查内容: l数据资产稽查 通过使用专用工具检查,对单位重要系统的流动数据资产、数据库资产,识别数据库的整体概况,包含数据表情况、字段情况、数据库大小等重要关键数据概况,数据资产清单台账。 l敏感数据识别 通过使用专用检查工具,结合《T/GDWJ 013—2022 广东省健康医疗数据安全分类分级管理技术规范》标准,内置几十种敏感类型库,自定义添加的敏感类型支持通过正则、字符包含、数据字典、字段名称等多种规则对敏感字段进行识别。采用自动识别技术,包括关键字、正则表达式、字典匹配、字段名称、精确内容指纹匹配技术等,智能敏感数据识别则采用自然语言分析、深度语义分析等方式,采用抽样扫描匹配加人工核实校正的方式,形成敏感数据分布清单。 l数据概要分类分级 通过内置和用户自定义行业敏感数据类型,快速识别出数据库表中敏感字段,再通过已配置的敏感字段与《T/GDWJ 013—2022 广东省健康医疗数据安全分类分级管理技术规范》标准的关联关系自动对数据进行分类分级,生成初步的数据分类分级清单。数据自动分类分级结果支持结合人工对敏感类型、数据分类和等级划分的手工调整和确认,形成最终的分类分级结果清单,并结合数据安全填报平台录入的数据进行比对,形成在线清单。 l数据库安全评估与合规配置检查 拥有DBA权限的账户、登录后可通过执行安全策略对数据库多项关键信息进行扫描。内置数据库安全配置基线、定期扫描、周期性监控数据库配置偏差、反映当前安全状况相对基线的变化并生成扫描报告。 (3)未成年人数据安全专项检查 检查对象:全市不少于75家医疗卫生机构 检查方式:现场访谈、文档查验、技术检查 检查内容: l合规性审查 检查相关企业和组织是否遵守了国家关于未成年人数据保护的法律法规,如《个人信息安全规范》和《儿童个人信息网络保护规定》等。 l隐私政策评估 评估企业是否制定了针对未成年人的隐私数据保护政策,并且这些政策是否得到有效执行。 l数据收集与存储 检查是否超期存储未成年人个人信息,以及是否有不当的数据收集和存储行为。 l身份验证机制 检查是否有精准的身份识别和实名认证机制,以减少未成年人个人信息泄露的风险。 l技术保护措施 评估是否采取了足够的技术措施来保护未成年人的个人信息,包括数据加密、访问控制等。 l监护人同意机制 检查是否尊重并执行了家长或监护人的同意机制,尤其是在处理未成年人的个人信息时。 l不良信息防护 检查是否有机制保护未成年人免受网络上的不良或负面信息的影响,包括是否有青少年模式的实施。 l监督与报告机制 评估是否建立了有效的监督机制和报告渠道,以便及时发现和处理侵犯未成年人数据权益的行为。 l应急响应计划 检查是否有应对数据泄露或其他安全事件的应急响应计划。 流程 (1)单位自查自纠阶段 根据省卫生健康委检查工作方案的要求,采购人根据启动会部署要求开展自查,并按要求报送相关自查情况,各医疗机构开展自纠工作,并在“数据安全上报平台”进行填报。 (2)实地检查阶段 结合填报平台对不少于75家医疗机构进行现场检查。通过人员访谈、实地查看、文档查阅、配置核查、流量分析、专用工具测试、人工测试等方法开展现场审查,核对实际的情况。 (3)单位整改与反馈阶段 根据检查的结果为问题单,通过“数据安全填报平台”以工单的形式,下发到各医疗机构,各医疗机构开展问题整改与加固,并输出整改反馈报告,并通过平台提交到东莞市卫生健康局。 (4)闭环复测阶段 根据平台反馈的结果,组织专业安全服务团队对纳入整改范围内的系统再次开展闭环复测,包含线上的技术测试,线下检查复核相结合方式,确认技术整改情况,并将有关单位整改情况同步给东莞市卫生健康局。 (5)总结反馈阶段 总结本次检查情况,并由东莞市卫生健康局反馈检查结果到各医疗机构。 4.2.4.服务交付 阶段一(单位自查自纠阶段):数据安全填报平台数据汇总 阶段二(实地检查阶段):《个人信息安全保护专项线下安全检查报告》、《问题处置与问题情况记录表》 阶段三(单位整改与反馈阶段、闭环复测报告):《整改反馈报告》(受检单位提供)、《闭环复测报告》 阶段四(总结反馈阶段):《行动总结报告》、《行动总结汇报PPT》 4.2.5.服务频率 不少于2次。 4.3.等级保护测评服务 4.3.1.服务范围 针对单位网络安全等级保护系统清单,结合本项目提供服务的2个阶段。 第1次针对网络安全等级保护等级为三级的信息系统(不少于8个)开展测评,对网络安全等级保护等级为二级的信息系统(不少于2个)开展测评。 第2次开展对网络安全等级保护等级为三级的信息系统(不少于8个)开展测评,对网络安全等级保护等级为二级的信息系统(不少于2个)开展测评。 单位网络安全等级保护系统清单如下:
4.3.2.服务内容 委托专业测评机构对应用系统执行网络安全等级保护测评,在测评期间,协助采购人收集资料,配合整改,帮助采购人顺利通过等保测评。 4.3.3.服务要求 (一)系统备案与定级服务 系统备案与定级服务依据《信息安全等级保护管理办法》信息系统等级保护三级的要求,配合采购人完成系统备案表,并组织专家进行评审,完成《系统备案表》、《系统定级报告》、《专家评审报告》,并报备至公安机关等级保护备案部门。 (二)等级保护测评服务 依据《信息安全等级保护管理办法》信息系统等级保护要求,对系统开展等保测评工作,聘请广东省具有等级保护测评资质的机构进行测评,并出具《网络安全等级测评报告》,协助采购人向东莞市公安部门完成等级保护备案工作。 (三)等保整改服务 依据测评机构开具的系统差距报告,依据《信息安全等级保护管理办法》信息系统等级保护对应等级的要求,开展对差距报告安全整改服务。 根据差距评估的报告结果,对服务器、安全设备等方面存在的各类脆弱性问题进行提炼归纳,提出合理的切实可行的安全加固方案。安全加固方案在提交并经过采购人评审、许可后,进行安全加固实施,同时,必须指导、协助对各应用系统的操作系统、数据库系统、中间件和应用程序的安全配置、安全策略和安全机制进行采购人加固和完善,使应用系统符合安全防护要求,保证采购人信息系统的安全可靠运行。 4.3.4.服务交付 《网络安全等级测评报告》、《接收网络安全等级保护测评报告回复》、其它相关的项目过程文档。 4.3.5.服务频率 不少于2次。 4.4.信息专网专项服务 4.4.1.信息专网弱口令检查 4.4.1.1.服务范围 全市不少于75家医疗机构 4.4.1.2.弱口令检查 检查方式:现场检查医疗机构区域流量捕获分析、城域信息专网流量捕获分析、字典撞库模拟攻击。 检查内容: l明文传输的密码 l采用弱加密方式密码 l易被字典攻击攻破密码 账号检查要求,包括但不限于: l常见账号 l单位常见工单 密码检查要求,包括但不限于: 字典强度至少包含2-7位: l纯数字、纯字母 l数字+大写或小写字母 l数字+大小写字母 l数字+大小写字母+常见特殊字符 4.4.1.3.服务交付 《弱口令检查报告》。 4.4.1.4.服务频率 不少于2次。 4.4.2.信息专网接入单位网络安全专项检查 4.4.2.1.漏洞扫描 检查对象:全市不少于75家医疗卫生机构重要业务系统、大型医疗联网设备 检查方式:通过专用的漏洞检查设备进行检查 检查内容: l服务和端口开放情况:评估不必要的服务和端口的开放情况,查找攻击者利用的入口点。 l权限和访问控制:验证系统的访问控制措施是否得当,包括用户权限分配、角色权限配置等。 l系统和应用程序漏洞:检查服务器、工作站以及应用程序中已知的漏洞,包括操作系统漏洞、软件缺陷、配置错误等。 l密码策略和加密措施:检查系统的密码策略是否足够强大,以及数据传输和存储是否采用了适当的加密措施。 l配置管理:评估系统配置是否符合安全最佳实践,包括系统补丁更新、防病毒软件安装等。 4.4.2.2.网络安全建设情况检查 检查对象:全市不少于75家医疗卫生机构重要业务系统 检查方式:现场检查、配置检查 检查内容: 包括但不限于以下内容: l网络安全规划规划、设计、实施基本情况 l网络安全组织管机构的设置和岗位人员配备情况 l网络安全管理制度情况 l网络安全基础架构情况 l网络安全策略与标准规范制定情况 l网络安全日常基础工作落实执行情况 l网络安全台账建设情况 l网络安全日常事件闭环情况 4.4.2.3.网络安全技术配置情况检查 检查对象:全市不少于75家医疗卫生机构重要业务系统 检查方式:现场检查、配置检查 检查内容: 卫生信息专网: l网络边界安全防御策略配置情况 l机构内部网络安全防护策略配置情况 l单位网络安全风险行为(如:病毒、入侵行为)监测、检测手段 l设备、系统安全基线落实情况 l日志审计落实情况 l多网融合边界隔离情况 lWeb应用加密技术应用情况(https,socket加密建设情况) 互联网: l网络边界安全防御策略配置情况 l单位网络安全风险行为(如:病毒、入侵行为)监测、检测手段 l设备、系统安全基线落实情况 l日志审计落实情况 lWeb应用加密技术应用情况(https,socket加密建设情况) 4.4.2.4.非法外联情况检查 检查对象:全市75家医疗卫生机构 检查方式:现场检查、配置检查 检查内容:检查内网是否有非法架设WIFI设备,如有部署上网行为管理设备,检查是否启用共享网络检测功能和共享终端检测功能等,如有部署终端安全管理系统,检查是否启用移动存储设备管控功能和含双网卡、WiFi及热点、CDMA/GPRS上网卡、Modem拨号、红外、蓝等管控功能。 4.4.2.5.显示屏情况检查 检查对象:全市75家医疗卫生机构 检查方式:现场检查、配置检查 检查内容:检查LED屏台账,检查LED屏的安全防护措施是否到位,检查设备传输接口和网络接口方式,检查各单位LED屏内容上传方式,上传接口是否有进行物理访问控制,是否使用联网访问进行内容上传,内容发布主机是否进行安全基线加固,联网控制软件的登录密码和登录方式是否合规等。 4.4.2.6.互联网暴露面检查 检查对象:全市不少于75家医疗卫生机构互联网业务系统 检查方式:人工检查、专用工具探测扫描验证(不少于2套工具) 检查内容: l梳理探测、梳理局和下级单位所有互联网应用API路径,并建立台账 l结合互联网暴露面,开展暴露面的渗透测试工作 4.4.2.7.互联网暴露应用渗透测试 检查对象:全市不少于75家医疗卫生机构互联网业务系统 l上一年度检查系统问题复测与“回头看” l优先满足测试自建医院互联网医院系统(非第三方托管); l无互联网医院的,选择相对核心的互联网应用; l由东莞市卫生健康局确定的其他的互联网应用系统。 检查方式:现场检查、配置检查 检查内容: 通过模拟黑客入侵的手段,对检查对象开展模拟攻击,包括但不限于:高危漏洞利用、恶意代码的利用、权限提升、注入攻击、暴力破解检测反弹shell检测、后门检测、web命令执行等。 4.4.2.8.服务交付 《接入单位网络安全专项检查报告》。 4.4.2.9.服务频率 不少于2次。 4.4.3.健康云主机安全检查 4.4.3.1.服务范围 健康云局内主机和业务系统资产,包含不少于200台主机和10套业务系统;其他医疗卫生机构在健康云部署的所有系统。 4.4.3.2.漏洞扫描 检查方式:现场检查、专用工具检查 检查内容: l服务和端口开放情况:评估不必要的服务和端口的开放情况,查找攻击者利用的入口点。 l权限和访问控制:验证系统的访问控制措施是否得当,包括用户权限分配、角色权限配置等,是否存在过渡开放情况。 l系统和应用程序漏洞:检查服务器、工作站以及应用程序中已知的漏洞,包括操作系统漏洞、软件缺陷、配置错误等。 l密码策略和加密措施:检查系统的密码策略是否足够强大,以及数据传输和存储是否采用了适当的加密措施。 l配置管理:评估系统配置是否符合安全最佳实践,包括系统补丁更新、防病毒软件安装等。 4.4.3.3.弱口令检查 通过在专用的密码爆破工具,对业务系统和主机操作系统进行弱口令检查,检查字典包括但不限于如下: 账号检查要求,包括但不限于: l常见账号 l单位常见工单 l相关路径抓取数据包明文传输账号 密码检查要求,包括但不限于: 字典强度至少包含2-7位: l纯数字、纯字母 l数字+大写或小写字母 l数字+大小写字母 l数字+大小写字母+常见特殊字符 4.4.3.4.服务交付 《健康云主机安全检查报告》、《弱口令检查报告》。 4.4.3.5.服务频率 不少于2次。 4.4.4.卫健行业攻防演练 4.4.4.1.服务范围 抽取不少于3家医疗机构。 4.4.4.2.服务流程 (一)准备阶段 (1)明确演练目标:根据实际情况制定演练目标,为后续的演练活动提供指导。 (2)确定演练时间和地点:选择合适的时间和地点进行演练,保证活动的顺利进行。 (3)确定演练人员:应根据组织机构的规模和特点,确定参与演练的人员,包括攻击方和防守方。组织攻击团队,攻击团队由不少于3家网络安全攻击队组成。 (4)编制演练方案:根据演练目标,制定详细的演练方案,包括攻击手法、防御措施、攻防演练分数计算机制、演练流程等。 (5)系统加固:防守方根据单位的特性,开展演练前的自查和加固,应急响应方案的自检,提升安全保障能力。 (6)攻防演练平台准备:本攻防演练提供一套攻防演练平台服务工具,实时展示攻击和防守情况。 演练阶段 (1)模拟攻击:根据预定的攻击手法,由专业的攻击团队对目标系统进行模拟攻击,测试系统的抵御能力。 (2)防御演练:目标系统的安全团队进行防御演练,采取相应的技术手段应对攻击。 (3)记录演练过程:详细记录演练过程中的攻击手法和防御措施,分析演练结果,总结经验教训。 复盘总结阶段 (1)演练总结:组织相关人员对演练活动进行总结,分析演练中的问题和不足之处,并提出改进建议。 (2)优化措施:根据演练总结的结果,及时采取相应的技术和组织上的改进措施,提高网络安全防护能力。 (3)持续改进:网络安全攻防演练不是一次性活动,应该定期进行,不断完善演练方案和改进防御手段。 (4)攻击痕迹清除:在完成攻击的7天内,对检查单位在攻击过程中的残留信息进行清除。 4.4.4.3.服务交付 《攻防演练方案》、《攻防演练报告》、《攻击成果报告》、《防守成果报告》。 4.4.4.4.服务频率 不少于2次。 5.服务工具技术要求 5.1.数据填报平台工具技术参数要求
5.2.安全检查平台工具技术参数要求
5.3.攻防演练平台工具技术参数要求
6.项目管理要求 (一)组织实施要求 (1)投标人应安排专职项目经理负责本次服务项目的实施。 (2)投标人应保证项目团队成员的稳定,以保证服务的质量和连贯性。 (二)人员安排要求 本项目的技术服务人员需具有信息安全服务工作经验,参加过信息网络安全专业技术人员教育培训并取得证书,提供人员管理及配备方案,并确保人员的稳定。如更换技术服务人员,须由采购方同意并签字确认。 投标人必须为本项目成立工作小组,现场服务小组不少于3组,每组服务人员不少于3人,由项目经理统一负责,能够容易地与客户沟通,能够很好地执行并完成技术服务工作,并能根据一些特殊的情况可以适当增加技术服务人员,接受用户与采购人的统一管理。投标人派驻本项目的技术服务人员和项目经理必须固定,如有变更,必须经采购人同意并签字确认。投标人必须提供人员管理及配备方案,安全服务项目经验、资质证书并确保其人员的稳定性。 7.质量服务承诺 (1)中标人应在本项目范围内提供服务期内5天*8小时/天的现场支持服务。 (2)在合同结束后10年内,中标人仍有保守东莞市卫生健康局秘密的责任。 (3)投标人可在项目投标文件中对售后技术支持服务的情况(无偿的/有偿的)做出必要的说明,以供采购人参考。 8.其他要求 (1)投标人应提供本项目的整体方案,包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等。 (2)实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等,需要明确每项工作(精确到每个阶段)的时间安排、操作时间和操作人员。安全评估过程中,如需使用安全工具,请在实施方案中详细描述所使用的安全工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求等。 (3)投标人应详细描述安全评估的组织方式,包括组成的人员及分工、评估的过程组织、实施时间安排、评估方式所遵循的标准等。投标人需要描述评估过程的步骤,每一步骤的具体内容、时间安排、详细实施过程、可能对网络及主机造成的影响等等。 (4)安全评估的过程中,投标人如需采购人人员配合,投标人需要详细描述需要配合的内容。如需要采购人人员协助完成各种表单,需要详细描述表单的名称、功能及主要表项等等,并由投标人给出具体示例。采购人有权利拒绝提供任何未事先提出的配合要求,由此产生的损失由投标人负完全责任。 (5)本项目中可能需要的硬件平台(如笔记本电脑、PC、工作站等)均由中标人提供,采购人将按照相关要求对设备进行必要的处理。投标人在服务期间未经采购人许可不得将设备带离采购人指定场所,也不得使用任何未经采购人确认的存储设备对评估数据进行复制。 (6)投标人需要给出采购人在进行评估时所需要提供的信息列表。经采购人确认后提供给投标人。采购人有权利拒绝提供任何信息列表以外的采购人资产信息。 (7)安全评估应按照分层的原则,包括但不限于以下对象:物理环境、网络结构、网络服务、主机系统、数据、应用系统、安全相关人员、处理流程、安全策略等。 (8)投标人应向采购人提供详细的调研及评估报告。 (9)中标人所提供所有安全服务工具,产权归属中标人。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
收藏