信息安全服务意向公开

序号

物资类别及名称

规格型号

质量技术标准

计量单位

采购数量

交货日期

1

网络安全信息安全等级保护测评服务

/

1、★投标人所委托等保测评机构必须完成：面向患者系统、基础网络系统、互联网对外服务系统，要求三个系统通过网络安全等级保护测评三级并且分数达到75分以上。

2、★测评方资质要求：投标人所委托等保测评机构必须具备在有效期内的国家网络安全等级保护工作协调小组办公室颁发的测评机构推荐证书。（须提供相关证书资料）；投标人所委托等保测评机构必须是在三年内未被国家网络安全等级保护工作协调小组办公室责令整改的测评机构（需提供证明材料）。

3、★依据标准：投标人所委托等保测评机构应依据国家等级保护相关标准开展工作并编制等保测评方案，标准包括但不限于如下国家标准：GB/T 22239-2019 信息安全技术网络安全等级保护基本要求、GB/T 28448-2019 信息安全技术网络安全等级保护测评要求（需提供证明材料）。

4、★技术要求：根据国家网络安全等级保护相关标准，投标人所委托等保测评机构对需求单位信息系统安全等级保护测评的内容包括但不限于以下内容：安全技术测评，包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；安全管理测评，包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

5、等级测评要求：本次等级测评实施过程中所使用到的各种工具软件由投标人所委托等保测评机构的实施团队推荐，经需求单位确认后由投标人所委托等保测评机构提供并在测评中使用。投标人所委托等保测评机构对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面，需要符合信息安全等级保护主管部门要求，包括但不仅限于网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等；投标人所委托等保测评机构安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由实施方推荐，经需求单位确认后由投标人所委托等保测评机构提供并在测评中使用；投标人所委托等保测评机构安全测评需要的运行环境（如场地、网络环境等）由需求单位提供，投标人所委托等保测评机构应详细描述需要的运行环境的具体要求。

6、项目实施要求：投标人所委托等保测评机构应保证投标项目在需求单位条件成熟时应立即开展实施；投标人所委托等保测评机构应根据需求单位实际工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保工程实施按时保质的完成。

7、测评报告要求：投标人所委托等保测评机构在测评完成后，出具符合信息安全等级保护主管部门要求的信息系统安全等级保护测评报告；对不符合信息安全等级保护有关管理规范和技术标准的，投标人所委托等保测评机构须出具可行的信息系统整改建议，并指导需求单位完成整改。

8、★交付物：《XX系统等保测评报告》(投标时提供报告模版)。

项

1

2

安全运维服务

1、设备巡检

(1)期限及频率：★1周1次。（投标时提供服务承诺函）

(2)服务范围：需求单位安全设备。

(3)服务内容：在服务期内，投标人须提供设备巡检服务，针对现网内的安全设备的运行状态，检查设备存放环境是否符合标准；对设备的版本进行检查，分析是否有升级的必要；梳理分析设备的策略，清理过期无效策略等一系列的安全检查操作。根据网络安全等级保护的要求，对安全策略和配置做好调整和优化。

(4)服务要求：报告须包含设备运行状态、CPU及磁盘利用率、版本是否有可用新版本、策略使用情况。

2、应急响应

(1)期限频率：★按需提供。（投标时提供服务承诺函）

(2)服务范围：针对应急响应技术支持的需求。

(3)服务内容：

1)在服务期内，当需求单位业务系统出现一般安全事故（因感染计算机病毒或攻击引起，影响系统运行或影响非关键业务运作，不影响核心业务运作）时，投标人须指派技术人员即时配合处理，必要时协调安全技术团队远程支持。

2)当业务系统出现重大安全事故（核心业务系统性能严重下降，或者宕机，导致核心业务系统无法正常运行；拒绝服务，正常用户无法访问；大面积感染计算机病毒；核心数据被篡改或泄露；网页被非法篡改）时，由技术人员即时配合处理，协助完成保留证据、断网等操作，安全技术团队工程师1小时内（非工作日2小时）到达现场，协助用户查找风险来源，确定威胁过程，提供故障恢复方案，处理完成后提供应急响应报告与系统安全整改方案。

(4)服务要求：

1)在服务期内， (略) 业务系统出现安全事件时，根据安全事件类型可提供以下响应支持级别：

2)服务请求：针对普通技术问题、技术支持等服务请求，需提供7*24小时服务，15分钟内进行响应，如一线无法处理需二线专家赶到现场提供服务；

3)一般事件：高危安全漏洞、攻击告警等未实际造成后果的事件。需提供7*24小时服务，15分钟内进行响应，如一线无法处理需二线专家赶到现场处置，8小时完成事件处置；

4)紧急事件：网页篡改、拒绝服务攻击、病毒爆发等造成业务中断的事件。需提供7*24小时服务，5分钟内进行响应，如一线无法处理需二线专家2小时内赶到现场处置，4小时内解决问题；

5)报告内容须包含系统损失程度、社会影响程度、安全事件所涉及系统版本、处置及加固措施。

3、安全策略优化

(1)期限及频率：★1年4次，每季度1次。（投标时提供服务承诺函））

(2)服务范围：需求单位安全设备。

(3)服务内容：在服务期内，投标人须对在网安全设备访问控制策略进行梳理，并遵循网络安全设备访问控制策略最小化原则，对相互访问的逻辑关系梳理，对安全访问控制策略优化调整。

(4)服务要求：

1)投标人须根据等保要求，利用现网内安全设备进行排查，并结合安全扫描、人工检查的结果，同时根据客户的实际业务需要，对网络安全设备进行适度安全配置加固和安全策略优化。

2)报告内容须包含源IP、目的IP、协议及策略状态等。

4、安全日志分析

(1)期限及频率：★1年4次，每季度1次。（投标时提供服务承诺函）

(2)服务范围：需求单位安全设备。

(3)服务内容：在服务期内，投标人须提供安全日志分析服务，中标方综合运用丰富的技术经验及威胁信息知识库，梳理分析安全防御措施产生的大量安全日志和事件，及时排查并处理防护安全问题。

(4)服务要求：报告须包含中、高级安全事件分析研判处置结果；已完成处置安全事件类型及数量。

5、弱口令优化

(1)期限及频率：★1年2次，每半年1次。（投标时提供服务承诺函）

(2)服务范围：面向患者系统、基础网络系统、互联网对外服务系统等需求单位指定信息系统。

(3)服务内容：在服务期内，投标人须提供弱口令优化服务，主要针对需求单位对于口令监管和核查的要求，使用弱口令核查系统，核查设备中的帐号口令强度是否符合要求，对系统、业务口令的常态化检查，不影响业务系统正常运行，以在线或者离线获取各设备口令文件，后台集中核查，支持核查各类在网主机、数据库、中间件、业务系统（需定制开发）的弱口令，全面检测在网设备及系统口令合规情况。

(4)服务要求：针对不满足需求单位口令强度策略要求的系统口令提出优化方案并协助需求单位对弱口令进行优化。报告须包含安全场景分析、存在安全问题分析、口令策略分析、安全解决方案等。

6、漏洞扫描

(1)期限及频率：★1年2次，每半年1次。（投标时提供服务承诺函）

(2)服务范围：面向患者系统、基础网络系统、互联网对外服务系统等需求单位指定信息系统。

(3)服务内容：在服务期内，投标人须对核心及重要信息系统提供应用漏洞检测，对漏洞扫描结果提供专业有效的整改建议，第一时间将发现的信息系统漏洞告知采购人并及时协助用户修复；对于涉及到源代码级别的漏洞通知信息系统主办单位，并跟踪漏洞修复进程，直至完成修复漏洞；同时对漏洞的修复情况进行验证。

(4)服务要求：

1)需提供漏洞扫描工具，该系统的功能包括漏洞搜索、可视化仪表盘、用户管理、登录、注册。

2)▲工具须支持关键字检索功能。搜索结果会展示漏洞名称、CVE编号、CNVD编号、漏洞类型、漏洞级别、威胁类型、发布时间等字段信息。（提供截图并加盖公章）

3)▲工具须支持概览界面展示。概览界面可视化展示须包含安全指数、漏洞类别统计、漏洞发现情况、任务状态属性统计、资产总数、漏洞总数等信息。（提供截图并加盖公章）

4)工具须支持授权信息界面展示。该界面展示效果包含当前用户账号的到期时间、授权用户、资源限制数量、资源剩余数量、自定义漏洞剩余数量。并且右上角可以支持导入授权文件、备份授权文件。用户登录后，可以进入用户管理界面。该界面展示包含用户列表，可以对用户进行删除、重置口令、修改等操作。

5)报告须包含所扫描系统资产、扫描策略、扫描结果分析、存在问题与整改意见。

6)在服务期内凡是投标人在该采购项内提供的设备及软件工具使用权归需求单位所有。（须提供承诺函，格式自拟）

7、风险通告服务

(1)期限及频率：★1年4次，每季度1次。（投标时提供服务承诺函）

(2)服务范围：面向患者系统、基础网络系统、互联网对外服务系统等需求单位指定信息系统。

(3)服务内容：在服务期内，投标人须提供风险通告服务，定期为需求单位推送最新国际国内、省内最新的安全漏洞和安全趋势发展。安全通告内容包括但不限于：系统漏洞安全通告、应用漏洞安全通告、设备漏洞安全通告、病毒安全预警通告。

(4)服务要求：报告内容须包括漏洞描述、漏洞危害、修复建议等。

8、防病毒技术服务

(1)期限及频率：★1年4次，每季度1次。（投标时提供服务承诺函）

(2)服务范围：需求单位涉及已安装杀毒软件的终端。

(3)服务内容：在服务期内，投标人须提供防病毒技术服务，定期对特征库进行升级，检查防病毒系统告警日志并对日志进行研判处置。针对全网终端进行排查，发现未安装的终端杀毒系统的主机及时进行安装，对已感染病毒的终端设备进行整改并进行全面病毒查杀。

(4)服务要求：需提供病毒查杀、补*修复、勒索病毒诱捕、远程登录保护、漏洞攻击拦截、攻击溯源、软件捆绑安装拦截、U盘注册、U盘信任功能服务。

9、安全意识培训

(1)期限及频率：★1年1次。（投标时提供服务承诺函）

(2)服务范围：需求单位安全意识培训，安全技能培训。

(3)服务内容：在服务期内，投标人须提供安全意识培训服务，切实提高需求单位信息系统运维人员信息安全技能，采用理论结合实践的方式提供安全培训。主要的培训内容有以下几点：

1)安全意识培训：主要从网络安全的定义，目前常见的、影响较大的安全事件，目前网络安全所面临的最大威胁点等方面进行讲解。

2)安全技能培训：主要介绍目前最常见的安全漏洞，最常见的攻击手段其原理、检测方式、加固方式，网络架构，网络攻防技术等。

10、★提供每次安全运维服务交付物：《安全服务报告》（投标时需提供安全服务报告模板）

年

1

3

安全设备授权续费

针对以下安全设备，如有在本项目安全运维服务期内授权到期的，中标方中标后需及时购买提供1年原厂授权续约：

(1)安恒防火墙（DAS-GATEWAV），到期时间2024年3月2日

(2)天融信WEB应用防火墙（TopWAF(TWF-62128)），到期时间2024年7月4日

(3)安恒防火墙（IPS DAS-GATEWAV），到期时间2024年3月2日

(4)深信服防火墙（AF-1000），到期时间2024年7月9日

(5)迪普防火墙（DP-8000-A5），到期时间2024年11月21日

(6)盈高桌管系统（MSEP500-X），到期时间不限

(7)盈高准入系统（ASM6403-X），到期时间2022年8月30日

(8)利普网闸（2.4.0.0（Buid6833）），到期时间不限

(9)Logbase日志审计（logbase-A2600），到期时间不限

(10)齐治堡垒机，到期时间不限

(11)天融信VPN（topVPN6000(NV-62126)），到期时间不限

(12)美创数据库安全审计系统（DAS-300），到期时间2099年12月31日

(13)火绒管理系统（V2.0.11.6），到期时间2024年11月11号

(14)美创数据库防水坝系统（patch-3.15.1.136），到期时间2025年9月28日

项

1