比比招標網(wǎng)> 招標公告 > 網(wǎng)絡安全等級保護測評及網(wǎng)絡安全運營服務(信息中心)招標公告
| 更新時間 | 2025-08-25 | 招標單位 | 我要查看 |
| 截止時間 | 我要查看 | 招標編號 | 我要查看 |
| 項目名稱 | 我要查看 | 代理機構(gòu) | 我要查看 |
| 關鍵信息 | 我要查看 | 招標文件 | 我要查看 |
每天更新 70000 條招標信息
涵蓋超過 1000000 家招標單位
網(wǎng)絡安全等級保護測評及網(wǎng)絡安全運營服務(信息中心)招標公告
發(fā)布時間:****-**-**信息來源:
重要提示:實質(zhì)性要求及重要指標用★標注(“★”必須標注在序號前),★標注項不得負偏離,如果負偏離,則響應文件無效。
★標注項不得負偏離(投標人需提供滿足★標注項要求的售后服務承諾加蓋投標人公章證明)
*、網(wǎng)絡安全等級保護測評服務
*. 服務目標及需求
★*.* 總體目標
投標人按照網(wǎng)絡安全等級保護測評*.*標準對采購人的備案需要測評的信息系統(tǒng)開展信息安全等級保護測評工作,并符合公安監(jiān)管部門要求。
★*.*服務原則
根據(jù)采購人實際的業(yè)務特點和網(wǎng)絡結(jié)構(gòu),在測評過程中,投標人充分考慮并遵循以下原則:
保密性原則:投標人應與采購人簽訂等級保護測評保密協(xié)議,對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密,未經(jīng)授權不得泄露給任何單位和個人,不得利用此數(shù)據(jù)侵害采購人的權益,否則采購人有權追究投標人的責任。
標準性原則:測評方案的設計與實施應依據(jù)國家等級保護的相關標準進行。
規(guī)范性原則:投標人工作中的過程和文檔,應具有規(guī)范性,便于項目跟蹤和控制。
可控性原則:測評服務的進度應符合進度安排,保證采購人對測評工作的可控性。
整體性原則:測評的范圍和內(nèi)容應系統(tǒng)、全面、規(guī)范,滿足國家等級保護相關基本要求。
最小影響原則:技術測評工作應盡可能小地影響采購人在線系統(tǒng)應用及網(wǎng)絡的正常運行,不能對現(xiàn)有運行系統(tǒng)造成影響。在線測評應在采購人許可的條件下進行。
★*.* 服務需求
投標人應詳細描述等級保護測評的整體實施方案,包括項目概述、定級備案方案等保測評方案、項目實施方案、時間安排、階段性文檔提交等。投標人應詳細描述測評人員的組成、資質(zhì)及各自職責的劃分。投標人應配置經(jīng)驗豐富的技術人員進行等級保護測評工作,將測評報告遞交至公安局監(jiān)管部門并通過審核。
★*.* 主要工作任務
*.*.* 協(xié)助完成定級備案工作,取得備案證明;
*.*.* 網(wǎng)絡安全等級保護測評準備;
*.*.* 測評方案編制;
*.*.* 現(xiàn)場測評;
*.*.*出具測評報告及整改建議書;
*.*.*完成測評報告遞交;
*. 服務范圍及要求
★*.* 服務范圍
招標人單位已完成備案的信息系統(tǒng)中的*個*級系統(tǒng)及*個*級系統(tǒng)。
★*.* 服務過程要求
*.*.* 投標人應提供測評成員的技術背景資歷資料、從事測評的經(jīng)驗、人力資源的組織方式、項目實施的管理方式、項目成員的角色和責任。
*.*.* 投標人應承諾在等級保護安全測評過程中所使用的工具軟件本身不能有任何安全隱患,對此應承擔責任。同時提供的安全服務必須在技術上先進和成熟,使用工具軟件版本是最新的并且成熟穩(wěn)定,投標人應在等級保護測評過程中保證系統(tǒng)的穩(wěn)定性。
*.*.* 投標人現(xiàn)場工作結(jié)束后,如果采購人對提出的安全問題有疑義,投標人應予解答。
★*.* 服務內(nèi)容要求
*.*.* 實施地點:采購人指定地點。
*.*.* 服務時間:**工作日
*.*.* 投標人應詳細描述等級保護測評的整體實施方案,包括項目概述、測評方案、項目實施方案、時間安排、階段性文檔提交等。投標人應詳細描述測評人員的組成、資質(zhì)及各自職責的劃分。投標人應配置經(jīng)驗豐富的技術人員進行等級保護測評工作。
*.*.* 投標人的測評方法應符合下述條件:
*.*.*.* 測評方法包括訪談、檢查和測試*種方法,可細化為文檔審查、配置檢查、工具測試和實地察看等多種方法。
*.*.*.* 如需在等級保護測評實施過程中采用在線測評工具的,各種工具軟件由投標人推薦,經(jīng)采購人確認后由投標人提供并在工作中使用。應詳細描述所使用的安全測評工具(軟硬件型號、功能和性能描述)、使用的方式和時間、對環(huán)境和平臺的要求以及使用可能對系統(tǒng)造成的風險等。等級保護測評應有詳細的實施方案和嚴格的操作步驟,采取的措施應是經(jīng)過測試、穩(wěn)定可靠的。
*.*.*.* 安全工具軟件運行可能需要的硬件平臺(如筆記本電腦、**、工作站等)和操作系統(tǒng)軟件等由投標人推薦,經(jīng)采購人確認后由投標人提供并在實際工作中使用。安全測評需要的運行環(huán)境(如場地、網(wǎng)絡環(huán)境等)由采購人提供,投標人應詳細描述需要的運行環(huán)境的具體要求。
*.*.*.* 采購人各信息系統(tǒng)安全等級保護測評流程分為*個階段:測評準備階段、方案編制階段、現(xiàn)場測評階段、分析與報告編制階段。
*.*.*.* 測評工作本身也會引入安全風險,必須加強測評過程中的風險控制。測評實施前,雙方應充分討論并明確測評對系統(tǒng)可能帶來的風險和隱患,確定測評對象、測評方法和工具,并制定應急恢復措施。
*.*.*.* 測評操作必須遵守現(xiàn)場運行規(guī)章制度,確保系統(tǒng)安全穩(wěn)定運行。如需在線測試,按照相關工作規(guī)程,事前申請,并在供應商人員的指導和監(jiān)護下進行。
*.*.*.* 投標人應重視測評保密工作,加強測評過程中的保密管理,確保參與測評工作人員的可靠、穩(wěn)定,防止敏感信息泄露。
*.*.*.* 優(yōu)先選擇備用設備(系統(tǒng))或臨時搭建的模擬環(huán)境進行測評,避免影響在線系統(tǒng)運行。
*.*.*.* 根據(jù)被測評系統(tǒng)情況,在測評實施前制定應急預案,加強系統(tǒng)在線應急處置能力。
★*.* 實施團隊要求
*.*.* 投標人實施團隊組成應包括有豐富此類項目經(jīng)驗的項目經(jīng)理、實施工程師向采購人提供服務,根據(jù)項目總體要求,完成項目需求內(nèi)容。
*.*.* 為保證項目順利進行,投標人必須組織專業(yè)的實施團隊,項目實施人員必須具備信息安全等級測評師證書。技術、管理人員到現(xiàn)場,負責及時組織和進行系統(tǒng)測評;并負責解決系統(tǒng)在測評過程中發(fā)現(xiàn)的有關問題。對于不能勝任工作的現(xiàn)場技術人員,采購人有權要求投標人重新選派人員且不得影響工程進度。投標人應保證項目實施人員的相對固定,如發(fā)生人員變動需征得采購人同意。如果采購人認為實施人員不能勝任工作,有權提出更換。
★*.*文檔交付
交付給招標人單位按照合同約定測評完成的*個*級系統(tǒng)及*個*級系統(tǒng)的網(wǎng)絡安全等級測評報告。
★*.* 服務質(zhì)量保證
*.*.* 投標人在等級保護測評方案設計、實施的各個階段,均應滿足系統(tǒng)正常穩(wěn)定運行的要求。
*.*.* 投標人出具的相關報告應得到等級保護行業(yè)主管單位認定。報告*式*份,采購人保留*份,公安監(jiān)管部門*份,測評機構(gòu)*份。
★*.* 保密要求
*.*.* 投標人承擔采購人敏感信息的保密責任,在項目實施過程中,雙方需要復制對方提供的相關資料時,應提交書面申請,在得到對方書面同意后方可復制,并將數(shù)據(jù)內(nèi)容記錄成表,簽字確認。
*.*.* 未經(jīng)雙方書面同意,不得向第*方透露項目和涉及雙方企業(yè)信息安全、技術成果的任何內(nèi)容。
*.*.*項目結(jié)束后,雙方必須互相確認測評過程中提供的相關資料,相互承擔保密責任。
*、網(wǎng)絡安全運營服務
*. 服務基本要求
★*.* 提供不少于*名具備滲透測試能力的駐場安全運維工程師,可根據(jù)采購人需要對業(yè)務系統(tǒng)現(xiàn)場滲透測試。基于業(yè)務需要提供為期*年的不少于***流量范圍內(nèi)資產(chǎn)安全運營服務,提供****小時持續(xù)專家服務保障,醫(yī)院網(wǎng)絡發(fā)現(xiàn)的威脅可及時響應,通過服務構(gòu)建持續(xù)、主動、閉環(huán)的安全運營體系。
*.* 服務過程中需配置不少于*名安全專家作為專屬服務經(jīng)理(非本場人員),提供持續(xù)在線服務,安全專家需為客戶創(chuàng)建專屬的服務微信群,對用戶咨詢或上報的安全問題進行及時響應并給出建議。
★*.* 應使用安全工具對用戶服務資產(chǎn)開展互聯(lián)網(wǎng)暴露面探測,以梳理資產(chǎn)面向互聯(lián)網(wǎng)的開放情況,快速發(fā)現(xiàn)違規(guī)暴露在互聯(lián)網(wǎng)中的資產(chǎn)及存在的風險并進行處置,實現(xiàn)對暴露面資產(chǎn)可管可控,降低暴露面資產(chǎn)的風險。
★*.* 提供安全運營服務,云端檢測和分析平臺,通過采集用戶安全設備和工具的安全告警和安全日志,結(jié)合大數(shù)據(jù)分析、人工智能等技術手段,為用戶提供****小時持續(xù)不間斷的安全威脅分析鑒定,同時在用戶界面進行展示。
★*.* 需提供的服務成果展示門戶,需要提供安全托管服務相關信息的詳細展示和呈現(xiàn),分別為安全運營概覽、事件&***;威脅概況、服務承諾協(xié)議***、勒索風險概況、設備安全策略檢查、行業(yè)情報,并支持全屏投放展示。
★*.* 需提供專屬客戶成功經(jīng)理和安全團隊的介紹信息,服務過程中的動態(tài)信息,便于用戶直觀查看安全專家當前正在執(zhí)行的任務和處置的動作。
★*.* 需提供安全事件和威脅的概況信息,包括事件&***;威脅總數(shù)、已處置情況,處置中情況,且需要統(tǒng)計受影響資產(chǎn)的****以及事件&***;威脅類型的分布,提供相關的專家解讀,對于每*個威脅與事件,需提供詳細處置進度(從發(fā)現(xiàn)事件、**研判、專家*次研判、事件處置到完成歸檔)和研判定性結(jié)論,讓用戶全方面了解當前安全威脅和事件的運營成果。
★*.* 需提供勒索風險的概況,包括勒索風險總數(shù),已處置情況,處置中情況,且需要分析受影響資產(chǎn)的****以及勒索風險類型的分布,提供相關的專家解讀,讓用戶全方面了解當前勒索風險的服務成果。
★*.* 需提供設備安全策略的檢查情況,包括發(fā)現(xiàn)的策略異常項總數(shù),已處置和處置中的數(shù)量,并提供專家解讀內(nèi)容。
★*.** 需提供行業(yè)情報的情況,情報內(nèi)容需包括安全風險通告、全球安全熱點事件總結(jié)、網(wǎng)絡安全政策法律動態(tài)。
★*.** 對服務范圍內(nèi)的資產(chǎn)提供網(wǎng)絡安全事件損失理賠承諾,即在正常服務過程中因服務缺陷導致采購人服務范圍內(nèi)的資產(chǎn)發(fā)生網(wǎng)絡安全事件時,客戶有權要求投標人賠償該事件給采購人直接造成的網(wǎng)絡營業(yè)中斷損失、數(shù)據(jù)恢復費用、第*者責任、應急響應損失、網(wǎng)絡勒索損失,累計賠付金額不得低于**萬元人民幣。
*. 運營服務內(nèi)容
*.* 日常安全運維服務
★*.*.* 安全巡檢:統(tǒng)*管理防火墻、***、安全審計、防病毒系統(tǒng)、漏掃配置核查系統(tǒng)、網(wǎng)頁防篡改、***應用防火墻等安全設備,監(jiān)控設備運行情況,包括系統(tǒng)日志分析、系統(tǒng)運行狀態(tài)等,發(fā)現(xiàn)異常及時告警處理。管理各安全設備,包括策略配置、任務下發(fā)等
★*.*.* 資產(chǎn)梳理:加強資產(chǎn)梳理工作,逐步完善基本信息的管理、查詢、審計能力,推進網(wǎng)絡安全漏洞等隱患與基本信息的關聯(lián),以安全隱患為抓手,進*步減少網(wǎng)絡安全漏洞與隱患,提升增改效率。
★*.*.* 資產(chǎn)漏洞全生命周期管理:提供威脅與漏洞管理平臺作為技術手段服務人員將利用平臺工具,對漏洞生命周期管理的全過程支撐
★*.*.* 漏洞掃描:制定常規(guī)基礎安全評估的流程及制度,根據(jù)業(yè)務的級別的不同,使用不同的漏洞掃描工作頻率進行漏洞掃描,并輸出報告。
★*.*.* 安全配置評估:協(xié)助完成實現(xiàn)統(tǒng)*的安全配置標準以便規(guī)范日常的安全配置操作,使用軟件自動及手工的方式對操作系統(tǒng)、中間件、數(shù)據(jù)庫及業(yè)務應用系統(tǒng)進行全面檢查及抽樣檢查,并輸出報告
★*.*.* 弱口令檢查:利用工具及人工的方法,清查操作系統(tǒng)、數(shù)據(jù)庫、中間件等的弱口令,并輸出報告。
★*.*.* 滲透測試:通過公網(wǎng)及內(nèi)網(wǎng)環(huán)境對***應用進行信息搜集、漏洞探測、安全防護突破、獲取權限、提權、獲取數(shù)據(jù)等測試,驗證當前安全防護的健壯性及已有漏洞被成功利用的可能性。
★*.*.* 安全加固實施:參考安全評估報告中提供的安全整改建議,與維護人員制定整改方案及計劃,在運維人員的授權下,完成相關系統(tǒng)風險點加固,并對每*步的整改在風險列表中更新。
★*.*.* 安全加固支持:協(xié)助維護統(tǒng)*的資產(chǎn)風險列表,對有風險資產(chǎn)的整改情況進行實時跟蹤,做到對資產(chǎn)的數(shù)量、脆弱項分布、整改進度等數(shù)據(jù)的實時統(tǒng)計、分析、匯報。對于發(fā)現(xiàn)的安全脆弱項,參考安全評估報告中提供的安全整改建議,配合維護人員完成整改,并對每*步的整改在風險列表中更新。
★*.*.** 重大活動保障:在重大活動時期,為采購人重要**系統(tǒng)資產(chǎn)、包括主機、網(wǎng)絡、應用等系統(tǒng)進行保障,包括監(jiān)控、應急處置等。
★*.*.** 安全培訓:提供安全培訓服務,結(jié)合采購人網(wǎng)絡安全的實際情況和需求,對安全管理及技術人員進行本地網(wǎng)絡與信息安全現(xiàn)場培訓。
★*.*.** 惡意樣本分析:提供包括惡意文件分析、信譽分析能力,對采購人信息系統(tǒng)中的可疑文件、外網(wǎng)***訪問、疑似僵木蠕**地址進行安全性分析,提供進*步攔截的依據(jù)
★*.*.** 迎檢支撐工作:規(guī)定*年時間內(nèi),配合迎接上級領導的安全檢查工作,詳細解讀安全檢查細則,并制定安全迎檢規(guī)范和計劃,協(xié)助進行安全檢查工作。
★*.*.** 安全應急支持服務:在業(yè)務系統(tǒng)發(fā)生安全事件后,安全服務人員應迅速到達現(xiàn)場,協(xié)助采購人遏制事件的擴大,并恢復業(yè)務系統(tǒng)、網(wǎng)絡環(huán)境的正常運行。
★*.*.** 安全事件實戰(zhàn)演練:通過在現(xiàn)網(wǎng)環(huán)境模擬安全事件的真實發(fā)生,驗證現(xiàn)網(wǎng)已有的安全防護手段是否有效,協(xié)助管理員完成安全實戰(zhàn)應急演練。
★*.*.** 現(xiàn)場安全值守:安全值守的核心工作包括預警、日常安全監(jiān)控與分析、安全事件管理與響應,主要提供安全預警、安全監(jiān)測和發(fā)現(xiàn)、安全應對能力;另外,還包括了日常安全維護(防護)工作,提供安全防護和保障能力。擴展服務是常見安全值守服務的*種擴展,主要包括風險評估、安全加固、安全咨詢、巡檢、威脅分析等。
★*.*.** 安全預警通告服務:投標人向采購人及時通告最新安全信息,并提供安全響應建議。
★*.*.** 信息安全管理體系建立:信息安全管理體系主要包括信息安全保障體系中的信息安全組織體系、制度規(guī)范體系、運維流程體系。
★*.*.** 脆弱性閉環(huán)管理:集中管理資產(chǎn)風險和現(xiàn)狀,收集漏洞掃描的掃描結(jié)果,對互聯(lián)網(wǎng)資產(chǎn)和內(nèi)網(wǎng)資產(chǎn)進行備案和監(jiān)控,實現(xiàn)資產(chǎn)脆弱性生命周期管理,包括漏洞掃描、漏洞修補、漏洞復查等階段,確保漏洞管理工作實現(xiàn)從“漏洞發(fā)現(xiàn)”到“漏洞治理”的集中轉(zhuǎn)變。
★*.*.** 異常流量攻擊溯源處置:對于異常流量攻擊,通過投標人的技術手段和安全服務,準確定位攻擊來源,進*步協(xié)助進行應急處置,并在攻擊事件發(fā)生后可通過還原攻擊場景,為責任追查提供數(shù)據(jù)支撐。
★*.*.** *鍵封堵服務:為保障在遭遇突發(fā)安全攻擊事件時,能在最短時間內(nèi)控制事態(tài)的擴散,投標人需提供分鐘級別的解決方案,提供監(jiān)測與防御能力的手段進行檢測、分析、處置。
*.*.** 內(nèi)網(wǎng)準入控制:為預防內(nèi)網(wǎng)攻擊,能結(jié)合醫(yī)院在用的******準入控制平臺實現(xiàn)對醫(yī)院內(nèi)網(wǎng)(如和平院區(qū)內(nèi)網(wǎng)匯聚機*******-***,內(nèi)網(wǎng)接入交換機******-**)、外網(wǎng)(如和平院區(qū)外網(wǎng)匯聚交換機******-***-**,外網(wǎng)接入交換機******-***-**)、無線網(wǎng)絡的準入聯(lián)動控制。
*.*.** 提供醫(yī)院在用弱電井智能安全監(jiān)管平臺******許可或第*方軟硬件,支持對采購人全院的弱電井實現(xiàn)近源攻擊(非法開門)實時短信,郵件告警,同時利用醫(yī)院在用的語音網(wǎng)關******* ******電話告警,并視頻取證。
★*.* 釣魚演練服務
*.*.* 為了幫助醫(yī)院評估組織員工的網(wǎng)絡安全意識和安全應對能力,提供*次釣魚演練服務,服務包含但不限于釣魚郵件偽造、釣魚郵件攻擊、風險操作跟蹤、釣魚風險分析等。
*.*.* 釣魚演練工具應支持自定義釣魚郵件模板、批量發(fā)送郵件、攻擊過程沉浸式大屏展示、演練對象風險操作跟蹤(風險操作清單、用戶畫像)、演練日報統(tǒng)計等。
*.*.* 支持釣魚鏈接/釣魚*維碼/釣魚多種釣魚演練形式。
*.*.* 支持釣魚風險操作跟蹤。
*.*.* 釣魚文案支持郵件模板自定義。
*.*.* 釣魚頁面支持鏡像仿真業(yè)務網(wǎng)站/模板頁面。
*.*.* 釣魚郵件內(nèi)容支持收件人;日期等動態(tài)變量,發(fā)件人支持中文別名顯示。
*.*.* 支持演練實況沉浸式實時觀看。
*.*.* 輸出《釣魚演練總結(jié)報告》《釣魚演練數(shù)據(jù)統(tǒng)計表》。
★*.* 威脅狩獵服務
*.*.* 為了保障醫(yī)院網(wǎng)絡環(huán)境的安全性,需提供核心業(yè)務系統(tǒng)的深度威脅狩獵服務,識別系統(tǒng)中的安全漏洞,使用主流的攻擊技術和工具對醫(yī)院網(wǎng)絡、業(yè)務系統(tǒng)和數(shù)據(jù)庫進行深入分析,以評估醫(yī)院抵抗入侵者攻擊的能力。
*.*.* 深度威脅分析:依托安全運營平臺,對外部高價值攻擊行為進行分析。根據(jù)安全事件關聯(lián)日志與事件上下文,對重要事件開展深入的調(diào)查排除誤報,并給出詳細的舉證信息。基于安全日志、威脅情報等信息進行主動挖掘,對安全事件進行綜合分析,分析事件成因和影響范圍。基于業(yè)務特定邏輯進行深度挖掘,盡可能快地發(fā)現(xiàn)漏洞或攻擊痕跡,發(fā)現(xiàn)潛在的安全隱患和已失陷的主機。
*.*.* 脆弱性排查:依托安全運營平臺整理高危可利用漏洞,并提供可落地的修復方案以便用戶修復漏洞。識別業(yè)務弱密碼問題,并將弱密碼問題分級分類,找出危害大的弱口令,以便優(yōu)先整改。找到對外暴露的風險端口并做出相應的整改建議,如及時做好風險加固、關閉沒必要的端口、對需要開放的端口做好訪問控制等。
*.*.* 配置有效性分析:對安全運營平臺進行基礎配置檢查,包括但不限于:平臺、探針的最新版本檢查;最新規(guī)則庫版本檢查;序列號檢查;****日志審計開啟記錄數(shù)據(jù)包(所有服務器全方向)功能檢查等,以便后續(xù)分析能夠順利進行。
*.*其他服務要求
*.*.* 應具備互聯(lián)網(wǎng)暴露面梳理的服務工具,收集到的暴露面信息至少包括域名、域名標題、**地址、開放端口、資產(chǎn)指紋、網(wǎng)站截圖、移動端暴露面,并且能采集對應暴露資產(chǎn)的訪問截圖向用戶舉證,及對應暴露資產(chǎn)存在的漏洞。
*.*.*分析研判過程包括但不限于對脆弱性、異常流量、攻擊日志、病毒日志等數(shù)據(jù)進行采集和實時分析研判,支持將同*資產(chǎn)的多個告警進行聚合分析發(fā)現(xiàn)各類安全事件并生成工單,并在告警詳情中展示告警的基本信息,涉及的業(yè)務信息、攻擊趨勢、威脅詳情、攻擊原理、處置建議等內(nèi)容,并支持根據(jù)客戶情況提供備注。
*.*.*為了保證安全監(jiān)測的準確率和服務質(zhì)量,應當支持為用戶自定義配置安全規(guī)則,以滿足日益復雜的安全趨勢所帶來的安全監(jiān)測需求。
*.*.*每月對用戶的安全設備的防護策略進行檢查,確保安全設備上的安全策略始終處于最優(yōu)水平,針對威脅能起到最好的防護效果。投標人提供的云端服務平臺應當具備豐富的策略檢查工具(要求不少于**種策略檢查的工具),支持排查安全設備防護策略配置的合理性。
*.*.*服務過程中應具備***服務工具,支持集成在服務微信群、服務工作臺,該工具能力項應支持告警數(shù)據(jù)包研判、情報查詢分析、*******解碼、事件研判定性、自動調(diào)用安全設備遏制(**、域名封堵)、事件調(diào)查溯源、運營數(shù)據(jù)統(tǒng)計(支持在線統(tǒng)計、分析并下載數(shù)據(jù))等。
*.*.*安全運營服務從安全日志上傳分析研判到通告給客戶的時間方面,按照國家標準對安全事件的分類分級指南,重大安全事件通告時間小于**分鐘,*般事件的通告時間少于**分鐘;重大威脅與事件的遏制影響完成時間少于**分鐘,*般威脅與事件的遏制影響完成時間少于*小時。
*.*.* 安全運營服務安全事件經(jīng)過服務人員的確認后,通告給客戶的各類安全事件的準確率不低于**%(即誤報不能超過*%);服務范圍內(nèi)的所有安全事件的閉環(huán)處置比例達到***%。安全運營服務應當滿足重大事故應啟動應急響應機制地駐,工作時間**分鐘之內(nèi)云端專家進行響應,非工作時間**分鐘之內(nèi)云端專家進行響應,*小時上門處置。經(jīng)客戶授權后,服務人員協(xié)助進行安全事件的閉環(huán),*般安全事件的閉環(huán)完成時間少于**小時,重大事件的閉環(huán)完成時間少于**小時。
*.*.*服務過程中提供移動端服務過程展示門戶(移動端******),支持直觀地查閱服務推送的各種安全事件/威脅的詳細專家審核研判過程,需包含安全事件詳細的【基本信息】【入侵路徑】【影響主機】【主機調(diào)查】【數(shù)據(jù)包分析】等內(nèi)容。
*.*.*服務過程中提供的服務成果展示門戶(或用戶******)應具備服務質(zhì)量可視化展示,投標人能通過可視化的數(shù)據(jù),清晰的了解安全專家的服務水平,至少包括平均研判時間、平均遏制時間****、平均閉環(huán)時間****、事件閉環(huán)率,以驗證投標人所承諾的服務指標(或稱為服務***)。
*.*.**提供詳細且完整的安全運營服務方案,內(nèi)容包括但不限于:現(xiàn)網(wǎng)防火墻聯(lián)動方案;數(shù)據(jù)保護;遠程監(jiān)控;威脅檢測以及防護
*. 服務質(zhì)量要求
★*.* 要求服務工程師學歷本科及以上,具備*年及以上相關工作經(jīng)驗或大專學歷具備*年及以上相關工作經(jīng)驗,入場前采購人與投標人共同組織面試,根據(jù)雙方磋商結(jié)果決定運維人選,采購人不定期組織運維人員進行技能考核,根據(jù)考核結(jié)果及日常工作表現(xiàn),采購人有權要求更換運維服務工程師。
★*.* 駐場運營服務人員考勤要求與采購人要求的時間*致,考勤方式按照采購人要求執(zhí)行,直至合同期滿為止。考勤每半年考核*次,考勤不合格率大于等于*人次/半年,采購人有權扣除合同總價*%。
★*.* 故障響應時間*分鐘,達標率達到**%及以上,對故障修復時間*小時的修復率達到**%及以上,考核依據(jù)為采購人運維管理系統(tǒng)。
★*.* 如在服務過程中故障響應達標率低于**%。每降低*個百分點采購人有權扣除合同總價*%。因操作失誤所造成的設備損壞,數(shù)據(jù)丟失投標人需承擔相應的賠償責任。
★*.* 服務期內(nèi)出現(xiàn)因服務質(zhì)量、服務響應速度、服務能力等問題遭采購人投訴且經(jīng)討論確系投標人自身原因的情況,每次投訴投標人扣除本項目合同總額的*‰;出現(xiàn)嚴重投訴的、給采購人造成不良社會影響的、給采購人工作帶來重大麻煩的情況,投標人扣除本項目合同總額的*‰,投訴情況由采購人出具書面通知書為準。
★*.* 運營服務期間,出現(xiàn)重大安全違規(guī)情況,且給采購人造成嚴重損失的,因操作失誤所造成的設備損壞,數(shù)據(jù)丟失投標人需承擔相應的賠償責任,采購人有權追究當事人和(或)其所屬公司法律責任并解除合同。
★*.* 因休假未提供服務(元旦、春節(jié)、清明節(jié)、勞動節(jié)、端午節(jié)、中秋節(jié)、國慶節(jié)除外),或維修不及時所造成損失,費用應由投標人承擔。
★*.* 投標人依維保技術文件規(guī)定組成專業(yè)維護服務團隊并同意在服務期內(nèi)保持基本穩(wěn)定,未經(jīng)采購人書面同意更換人員,每更換或減少*人,應向采購人支付合同總額**%的違約金。未經(jīng)采購人書面同意,投標人*年之內(nèi)累計更換人員超過*名及以上的,投標人應按合同總價款**%支付違約金,采購人有權解除合同。
★*.* 投標人成交后若未達到合同要求的故障響應時間、到達現(xiàn)場時間、響應時間、系統(tǒng)故障修復時間或投標人提供的服務承諾,每發(fā)生*次,采購人有權扣除合同總額的*%;因投標人未達到要求的故障響應時間、到達現(xiàn)場時間和系統(tǒng)故障修復時間,引起采購人信息系統(tǒng)發(fā)生較大事故,造成應用不可使用時,每發(fā)生*次,則采購人有權扣除合同總額的**%;因投標人未達到合同要求的故障響應時間、到達現(xiàn)場時間和系統(tǒng)故障修復時間,造成采購人信息系統(tǒng)(如***/****/***/***等)服務中斷超過**分鐘或引發(fā)較大社會影響,采購人有權對投標人按違約終止合同。如果造成重大責任事故,采購人有權追究投標人法律責任。
★*.** 投標人需提供安全責任書,投標人自行承擔駐場工程師的所有安全責任及其帶來的經(jīng)濟損失。投標人應嚴格遵守與采購人簽訂的保密協(xié)議的相關內(nèi)容,如果有違反保密協(xié)議約定或承諾的,采購人有權單方面終止與投標人之合作,并追究投標人的法律責任。
★*.** 投標人的報價明顯低于其他通過符合性審查的投標人的報價,有可能影響產(chǎn)品質(zhì)量或者不能誠信履約的,應當按照評標委員會的要求,在評標現(xiàn)場合理的時間內(nèi)提供書面說明,必要時提交相關證明材料;投標人不能證明其報價合理性的,將被作為無效響應處理。
★*.** 投標人在結(jié)束服務合同后要在仍然保證采購人系統(tǒng)正常運行的情況下將合同結(jié)束時的項目整體移交給采購人,不得更換、拆除任何部件或者應用程序。投標人將軟件系統(tǒng)的更新、備份、故障解決等日志資料全部交由采購人備案存檔,并將更換記錄進行登記。作為項目中存儲使用的所有設備或配件不得帶離采購人,所有權歸采購人所有,統(tǒng)*交由采購人留存或銷毀。
*、內(nèi)網(wǎng)核心防火墻升級許可服務采購
*. 服務內(nèi)容及要求
★*.* 中標單位需為醫(yī)院提供全方位的網(wǎng)絡安全技術支持,如遇緊急情況,提供及時、有效的服務響應。
★*.* 為醫(yī)院提供針對內(nèi)網(wǎng)現(xiàn)有*臺深信服**********-*防火墻不少于*年的硬件維保、軟件升級、安全防護規(guī)則庫升級服務。
★*.* 中標單位在服務周期內(nèi)需提供設備巡檢服務,安排網(wǎng)絡安全工程師對設備進行日常運行狀態(tài)的監(jiān)控,季度形成巡檢報告。
*. 服務人員要求
★*.* 中標單位需至少派遣*名具有專業(yè)知識的資深技術人員作為本項目的服務工程師,負責本項目,統(tǒng)籌相關工作。項目執(zhí)行與工作匯報,控制工作質(zhì)量,執(zhí)行變更和應急情況管理,以保證設備的正常高效運行。
★*.* 未經(jīng)采購人同意,不得中途擅自更換指定的項目人員,采購人也有權更換不合格的項目人員。中標單位應在**個工作日內(nèi)將符合采購人要求的項目人員更換到位,否則采購人有權終止合同。由此造成的損失由中標人承擔。
★*.* 在合同履行期間,中標人對其現(xiàn)場派出的人員的安全負全部責任,如中標方工作人員在合同履行中發(fā)生安全事故的,中標人應負責處理并承擔責任。
★*.* 中標單位派出的技術人員應精通網(wǎng)絡安全技術,精通防火墻的配置與部署,應具備*年以上的相關工作經(jīng)驗。
重要提示:實質(zhì)性要求及重要指標用★標注(“★”必須標注在序號前),★標注項不得負偏離,如果負偏離,則響應文件無效。
★標注項不得負偏離(投標人需提供滿足★標注項要求的售后服務承諾加蓋投標人公章證明)
*、網(wǎng)絡安全等級保護測評服務
*. 服務目標及需求
★*.* 總體目標
投標人按照網(wǎng)絡安全等級保護測評*.*標準對采購人的備案需要測評的信息系統(tǒng)開展信息安全等級保護測評工作,并符合公安監(jiān)管部門要求。
★*.*服務原則
根據(jù)采購人實際的業(yè)務特點和網(wǎng)絡結(jié)構(gòu),在測評過程中,投標人充分考慮并遵循以下原則:
保密性原則:投標人應與采購人簽訂等級保護測評保密協(xié)議,對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密,未經(jīng)授權不得泄露給任何單位和個人,不得利用此數(shù)據(jù)侵害采購人的權益,否則采購人有權追究投標人的責任。
標準性原則:測評方案的設計與實施應依據(jù)國家等級保護的相關標準進行。
規(guī)范性原則:投標人工作中的過程和文檔,應具有規(guī)范性,便于項目跟蹤和控制。
可控性原則:測評服務的進度應符合進度安排,保證采購人對測評工作的可控性。
整體性原則:測評的范圍和內(nèi)容應系統(tǒng)、全面、規(guī)范,滿足國家等級保護相關基本要求。
最小影響原則:技術測評工作應盡可能小地影響采購人在線系統(tǒng)應用及網(wǎng)絡的正常運行,不能對現(xiàn)有運行系統(tǒng)造成影響。在線測評應在采購人許可的條件下進行。
★*.* 服務需求
投標人應詳細描述等級保護測評的整體實施方案,包括項目概述、定級備案方案等保測評方案、項目實施方案、時間安排、階段性文檔提交等。投標人應詳細描述測評人員的組成、資質(zhì)及各自職責的劃分。投標人應配置經(jīng)驗豐富的技術人員進行等級保護測評工作,將測評報告遞交至公安局監(jiān)管部門并通過審核。
★*.* 主要工作任務
*.*.* 協(xié)助完成定級備案工作,取得備案證明;
*.*.* 網(wǎng)絡安全等級保護測評準備;
*.*.* 測評方案編制;
*.*.* 現(xiàn)場測評;
*.*.*出具測評報告及整改建議書;
*.*.*完成測評報告遞交;
*. 服務范圍及要求
★*.* 服務范圍
招標人單位已完成備案的信息系統(tǒng)中的*個*級系統(tǒng)及*個*級系統(tǒng)。
★*.* 服務過程要求
*.*.* 投標人應提供測評成員的技術背景資歷資料、從事測評的經(jīng)驗、人力資源的組織方式、項目實施的管理方式、項目成員的角色和責任。
*.*.* 投標人應承諾在等級保護安全測評過程中所使用的工具軟件本身不能有任何安全隱患,對此應承擔責任。同時提供的安全服務必須在技術上先進和成熟,使用工具軟件版本是最新的并且成熟穩(wěn)定,投標人應在等級保護測評過程中保證系統(tǒng)的穩(wěn)定性。
*.*.* 投標人現(xiàn)場工作結(jié)束后,如果采購人對提出的安全問題有疑義,投標人應予解答。
★*.* 服務內(nèi)容要求
*.*.* 實施地點:采購人指定地點。
*.*.* 服務時間:**工作日
*.*.* 投標人應詳細描述等級保護測評的整體實施方案,包括項目概述、測評方案、項目實施方案、時間安排、階段性文檔提交等。投標人應詳細描述測評人員的組成、資質(zhì)及各自職責的劃分。投標人應配置經(jīng)驗豐富的技術人員進行等級保護測評工作。
*.*.* 投標人的測評方法應符合下述條件:
*.*.*.* 測評方法包括訪談、檢查和測試*種方法,可細化為文檔審查、配置檢查、工具測試和實地察看等多種方法。
*.*.*.* 如需在等級保護測評實施過程中采用在線測評工具的,各種工具軟件由投標人推薦,經(jīng)采購人確認后由投標人提供并在工作中使用。應詳細描述所使用的安全測評工具(軟硬件型號、功能和性能描述)、使用的方式和時間、對環(huán)境和平臺的要求以及使用可能對系統(tǒng)造成的風險等。等級保護測評應有詳細的實施方案和嚴格的操作步驟,采取的措施應是經(jīng)過測試、穩(wěn)定可靠的。
*.*.*.* 安全工具軟件運行可能需要的硬件平臺(如筆記本電腦、**、工作站等)和操作系統(tǒng)軟件等由投標人推薦,經(jīng)采購人確認后由投標人提供并在實際工作中使用。安全測評需要的運行環(huán)境(如場地、網(wǎng)絡環(huán)境等)由采購人提供,投標人應詳細描述需要的運行環(huán)境的具體要求。
*.*.*.* 采購人各信息系統(tǒng)安全等級保護測評流程分為*個階段:測評準備階段、方案編制階段、現(xiàn)場測評階段、分析與報告編制階段。
*.*.*.* 測評工作本身也會引入安全風險,必須加強測評過程中的風險控制。測評實施前,雙方應充分討論并明確測評對系統(tǒng)可能帶來的風險和隱患,確定測評對象、測評方法和工具,并制定應急恢復措施。
*.*.*.* 測評操作必須遵守現(xiàn)場運行規(guī)章制度,確保系統(tǒng)安全穩(wěn)定運行。如需在線測試,按照相關工作規(guī)程,事前申請,并在供應商人員的指導和監(jiān)護下進行。
*.*.*.* 投標人應重視測評保密工作,加強測評過程中的保密管理,確保參與測評工作人員的可靠、穩(wěn)定,防止敏感信息泄露。
*.*.*.* 優(yōu)先選擇備用設備(系統(tǒng))或臨時搭建的模擬環(huán)境進行測評,避免影響在線系統(tǒng)運行。
*.*.*.* 根據(jù)被測評系統(tǒng)情況,在測評實施前制定應急預案,加強系統(tǒng)在線應急處置能力。
★*.* 實施團隊要求
*.*.* 投標人實施團隊組成應包括有豐富此類項目經(jīng)驗的項目經(jīng)理、實施工程師向采購人提供服務,根據(jù)項目總體要求,完成項目需求內(nèi)容。
*.*.* 為保證項目順利進行,投標人必須組織專業(yè)的實施團隊,項目實施人員必須具備信息安全等級測評師證書。技術、管理人員到現(xiàn)場,負責及時組織和進行系統(tǒng)測評;并負責解決系統(tǒng)在測評過程中發(fā)現(xiàn)的有關問題。對于不能勝任工作的現(xiàn)場技術人員,采購人有權要求投標人重新選派人員且不得影響工程進度。投標人應保證項目實施人員的相對固定,如發(fā)生人員變動需征得采購人同意。如果采購人認為實施人員不能勝任工作,有權提出更換。
★*.*文檔交付
交付給招標人單位按照合同約定測評完成的*個*級系統(tǒng)及*個*級系統(tǒng)的網(wǎng)絡安全等級測評報告。
★*.* 服務質(zhì)量保證
*.*.* 投標人在等級保護測評方案設計、實施的各個階段,均應滿足系統(tǒng)正常穩(wěn)定運行的要求。
*.*.* 投標人出具的相關報告應得到等級保護行業(yè)主管單位認定。報告*式*份,采購人保留*份,公安監(jiān)管部門*份,測評機構(gòu)*份。
★*.* 保密要求
*.*.* 投標人承擔采購人敏感信息的保密責任,在項目實施過程中,雙方需要復制對方提供的相關資料時,應提交書面申請,在得到對方書面同意后方可復制,并將數(shù)據(jù)內(nèi)容記錄成表,簽字確認。
*.*.* 未經(jīng)雙方書面同意,不得向第*方透露項目和涉及雙方企業(yè)信息安全、技術成果的任何內(nèi)容。
*.*.*項目結(jié)束后,雙方必須互相確認測評過程中提供的相關資料,相互承擔保密責任。
*、網(wǎng)絡安全運營服務
*. 服務基本要求
★*.* 提供不少于*名具備滲透測試能力的駐場安全運維工程師,可根據(jù)采購人需要對業(yè)務系統(tǒng)現(xiàn)場滲透測試。基于業(yè)務需要提供為期*年的不少于***流量范圍內(nèi)資產(chǎn)安全運營服務,提供****小時持續(xù)專家服務保障,醫(yī)院網(wǎng)絡發(fā)現(xiàn)的威脅可及時響應,通過服務構(gòu)建持續(xù)、主動、閉環(huán)的安全運營體系。
*.* 服務過程中需配置不少于*名安全專家作為專屬服務經(jīng)理(非本場人員),提供持續(xù)在線服務,安全專家需為客戶創(chuàng)建專屬的服務微信群,對用戶咨詢或上報的安全問題進行及時響應并給出建議。
★*.* 應使用安全工具對用戶服務資產(chǎn)開展互聯(lián)網(wǎng)暴露面探測,以梳理資產(chǎn)面向互聯(lián)網(wǎng)的開放情況,快速發(fā)現(xiàn)違規(guī)暴露在互聯(lián)網(wǎng)中的資產(chǎn)及存在的風險并進行處置,實現(xiàn)對暴露面資產(chǎn)可管可控,降低暴露面資產(chǎn)的風險。
★*.* 提供安全運營服務,云端檢測和分析平臺,通過采集用戶安全設備和工具的安全告警和安全日志,結(jié)合大數(shù)據(jù)分析、人工智能等技術手段,為用戶提供****小時持續(xù)不間斷的安全威脅分析鑒定,同時在用戶界面進行展示。
★*.* 需提供的服務成果展示門戶,需要提供安全托管服務相關信息的詳細展示和呈現(xiàn),分別為安全運營概覽、事件&***;威脅概況、服務承諾協(xié)議***、勒索風險概況、設備安全策略檢查、行業(yè)情報,并支持全屏投放展示。
★*.* 需提供專屬客戶成功經(jīng)理和安全團隊的介紹信息,服務過程中的動態(tài)信息,便于用戶直觀查看安全專家當前正在執(zhí)行的任務和處置的動作。
★*.* 需提供安全事件和威脅的概況信息,包括事件&***;威脅總數(shù)、已處置情況,處置中情況,且需要統(tǒng)計受影響資產(chǎn)的****以及事件&***;威脅類型的分布,提供相關的專家解讀,對于每*個威脅與事件,需提供詳細處置進度(從發(fā)現(xiàn)事件、**研判、專家*次研判、事件處置到完成歸檔)和研判定性結(jié)論,讓用戶全方面了解當前安全威脅和事件的運營成果。
★*.* 需提供勒索風險的概況,包括勒索風險總數(shù),已處置情況,處置中情況,且需要分析受影響資產(chǎn)的****以及勒索風險類型的分布,提供相關的專家解讀,讓用戶全方面了解當前勒索風險的服務成果。
★*.* 需提供設備安全策略的檢查情況,包括發(fā)現(xiàn)的策略異常項總數(shù),已處置和處置中的數(shù)量,并提供專家解讀內(nèi)容。
★*.** 需提供行業(yè)情報的情況,情報內(nèi)容需包括安全風險通告、全球安全熱點事件總結(jié)、網(wǎng)絡安全政策法律動態(tài)。
★*.** 對服務范圍內(nèi)的資產(chǎn)提供網(wǎng)絡安全事件損失理賠承諾,即在正常服務過程中因服務缺陷導致采購人服務范圍內(nèi)的資產(chǎn)發(fā)生網(wǎng)絡安全事件時,客戶有權要求投標人賠償該事件給采購人直接造成的網(wǎng)絡營業(yè)中斷損失、數(shù)據(jù)恢復費用、第*者責任、應急響應損失、網(wǎng)絡勒索損失,累計賠付金額不得低于**萬元人民幣。
*. 運營服務內(nèi)容
*.* 日常安全運維服務
★*.*.* 安全巡檢:統(tǒng)*管理防火墻、***、安全審計、防病毒系統(tǒng)、漏掃配置核查系統(tǒng)、網(wǎng)頁防篡改、***應用防火墻等安全設備,監(jiān)控設備運行情況,包括系統(tǒng)日志分析、系統(tǒng)運行狀態(tài)等,發(fā)現(xiàn)異常及時告警處理。管理各安全設備,包括策略配置、任務下發(fā)等
★*.*.* 資產(chǎn)梳理:加強資產(chǎn)梳理工作,逐步完善基本信息的管理、查詢、審計能力,推進網(wǎng)絡安全漏洞等隱患與基本信息的關聯(lián),以安全隱患為抓手,進*步減少網(wǎng)絡安全漏洞與隱患,提升增改效率。
★*.*.* 資產(chǎn)漏洞全生命周期管理:提供威脅與漏洞管理平臺作為技術手段服務人員將利用平臺工具,對漏洞生命周期管理的全過程支撐
★*.*.* 漏洞掃描:制定常規(guī)基礎安全評估的流程及制度,根據(jù)業(yè)務的級別的不同,使用不同的漏洞掃描工作頻率進行漏洞掃描,并輸出報告。
★*.*.* 安全配置評估:協(xié)助完成實現(xiàn)統(tǒng)*的安全配置標準以便規(guī)范日常的安全配置操作,使用軟件自動及手工的方式對操作系統(tǒng)、中間件、數(shù)據(jù)庫及業(yè)務應用系統(tǒng)進行全面檢查及抽樣檢查,并輸出報告
★*.*.* 弱口令檢查:利用工具及人工的方法,清查操作系統(tǒng)、數(shù)據(jù)庫、中間件等的弱口令,并輸出報告。
★*.*.* 滲透測試:通過公網(wǎng)及內(nèi)網(wǎng)環(huán)境對***應用進行信息搜集、漏洞探測、安全防護突破、獲取權限、提權、獲取數(shù)據(jù)等測試,驗證當前安全防護的健壯性及已有漏洞被成功利用的可能性。
★*.*.* 安全加固實施:參考安全評估報告中提供的安全整改建議,與維護人員制定整改方案及計劃,在運維人員的授權下,完成相關系統(tǒng)風險點加固,并對每*步的整改在風險列表中更新。
★*.*.* 安全加固支持:協(xié)助維護統(tǒng)*的資產(chǎn)風險列表,對有風險資產(chǎn)的整改情況進行實時跟蹤,做到對資產(chǎn)的數(shù)量、脆弱項分布、整改進度等數(shù)據(jù)的實時統(tǒng)計、分析、匯報。對于發(fā)現(xiàn)的安全脆弱項,參考安全評估報告中提供的安全整改建議,配合維護人員完成整改,并對每*步的整改在風險列表中更新。
★*.*.** 重大活動保障:在重大活動時期,為采購人重要**系統(tǒng)資產(chǎn)、包括主機、網(wǎng)絡、應用等系統(tǒng)進行保障,包括監(jiān)控、應急處置等。
★*.*.** 安全培訓:提供安全培訓服務,結(jié)合采購人網(wǎng)絡安全的實際情況和需求,對安全管理及技術人員進行本地網(wǎng)絡與信息安全現(xiàn)場培訓。
★*.*.** 惡意樣本分析:提供包括惡意文件分析、信譽分析能力,對采購人信息系統(tǒng)中的可疑文件、外網(wǎng)***訪問、疑似僵木蠕**地址進行安全性分析,提供進*步攔截的依據(jù)
★*.*.** 迎檢支撐工作:規(guī)定*年時間內(nèi),配合迎接上級領導的安全檢查工作,詳細解讀安全檢查細則,并制定安全迎檢規(guī)范和計劃,協(xié)助進行安全檢查工作。
★*.*.** 安全應急支持服務:在業(yè)務系統(tǒng)發(fā)生安全事件后,安全服務人員應迅速到達現(xiàn)場,協(xié)助采購人遏制事件的擴大,并恢復業(yè)務系統(tǒng)、網(wǎng)絡環(huán)境的正常運行。
★*.*.** 安全事件實戰(zhàn)演練:通過在現(xiàn)網(wǎng)環(huán)境模擬安全事件的真實發(fā)生,驗證現(xiàn)網(wǎng)已有的安全防護手段是否有效,協(xié)助管理員完成安全實戰(zhàn)應急演練。
★*.*.** 現(xiàn)場安全值守:安全值守的核心工作包括預警、日常安全監(jiān)控與分析、安全事件管理與響應,主要提供安全預警、安全監(jiān)測和發(fā)現(xiàn)、安全應對能力;另外,還包括了日常安全維護(防護)工作,提供安全防護和保障能力。擴展服務是常見安全值守服務的*種擴展,主要包括風險評估、安全加固、安全咨詢、巡檢、威脅分析等。
★*.*.** 安全預警通告服務:投標人向采購人及時通告最新安全信息,并提供安全響應建議。
★*.*.** 信息安全管理體系建立:信息安全管理體系主要包括信息安全保障體系中的信息安全組織體系、制度規(guī)范體系、運維流程體系。
★*.*.** 脆弱性閉環(huán)管理:集中管理資產(chǎn)風險和現(xiàn)狀,收集漏洞掃描的掃描結(jié)果,對互聯(lián)網(wǎng)資產(chǎn)和內(nèi)網(wǎng)資產(chǎn)進行備案和監(jiān)控,實現(xiàn)資產(chǎn)脆弱性生命周期管理,包括漏洞掃描、漏洞修補、漏洞復查等階段,確保漏洞管理工作實現(xiàn)從“漏洞發(fā)現(xiàn)”到“漏洞治理”的集中轉(zhuǎn)變。
★*.*.** 異常流量攻擊溯源處置:對于異常流量攻擊,通過投標人的技術手段和安全服務,準確定位攻擊來源,進*步協(xié)助進行應急處置,并在攻擊事件發(fā)生后可通過還原攻擊場景,為責任追查提供數(shù)據(jù)支撐。
★*.*.** *鍵封堵服務:為保障在遭遇突發(fā)安全攻擊事件時,能在最短時間內(nèi)控制事態(tài)的擴散,投標人需提供分鐘級別的解決方案,提供監(jiān)測與防御能力的手段進行檢測、分析、處置。
*.*.** 內(nèi)網(wǎng)準入控制:為預防內(nèi)網(wǎng)攻擊,能結(jié)合醫(yī)院在用的******準入控制平臺實現(xiàn)對醫(yī)院內(nèi)網(wǎng)(如和平院區(qū)內(nèi)網(wǎng)匯聚機*******-***,內(nèi)網(wǎng)接入交換機******-**)、外網(wǎng)(如和平院區(qū)外網(wǎng)匯聚交換機******-***-**,外網(wǎng)接入交換機******-***-**)、無線網(wǎng)絡的準入聯(lián)動控制。
*.*.** 提供醫(yī)院在用弱電井智能安全監(jiān)管平臺******許可或第*方軟硬件,支持對采購人全院的弱電井實現(xiàn)近源攻擊(非法開門)實時短信,郵件告警,同時利用醫(yī)院在用的語音網(wǎng)關******* ******電話告警,并視頻取證。
★*.* 釣魚演練服務
*.*.* 為了幫助醫(yī)院評估組織員工的網(wǎng)絡安全意識和安全應對能力,提供*次釣魚演練服務,服務包含但不限于釣魚郵件偽造、釣魚郵件攻擊、風險操作跟蹤、釣魚風險分析等。
*.*.* 釣魚演練工具應支持自定義釣魚郵件模板、批量發(fā)送郵件、攻擊過程沉浸式大屏展示、演練對象風險操作跟蹤(風險操作清單、用戶畫像)、演練日報統(tǒng)計等。
*.*.* 支持釣魚鏈接/釣魚*維碼/釣魚多種釣魚演練形式。
*.*.* 支持釣魚風險操作跟蹤。
*.*.* 釣魚文案支持郵件模板自定義。
*.*.* 釣魚頁面支持鏡像仿真業(yè)務網(wǎng)站/模板頁面。
*.*.* 釣魚郵件內(nèi)容支持收件人;日期等動態(tài)變量,發(fā)件人支持中文別名顯示。
*.*.* 支持演練實況沉浸式實時觀看。
*.*.* 輸出《釣魚演練總結(jié)報告》《釣魚演練數(shù)據(jù)統(tǒng)計表》。
★*.* 威脅狩獵服務
*.*.* 為了保障醫(yī)院網(wǎng)絡環(huán)境的安全性,需提供核心業(yè)務系統(tǒng)的深度威脅狩獵服務,識別系統(tǒng)中的安全漏洞,使用主流的攻擊技術和工具對醫(yī)院網(wǎng)絡、業(yè)務系統(tǒng)和數(shù)據(jù)庫進行深入分析,以評估醫(yī)院抵抗入侵者攻擊的能力。
*.*.* 深度威脅分析:依托安全運營平臺,對外部高價值攻擊行為進行分析。根據(jù)安全事件關聯(lián)日志與事件上下文,對重要事件開展深入的調(diào)查排除誤報,并給出詳細的舉證信息。基于安全日志、威脅情報等信息進行主動挖掘,對安全事件進行綜合分析,分析事件成因和影響范圍。基于業(yè)務特定邏輯進行深度挖掘,盡可能快地發(fā)現(xiàn)漏洞或攻擊痕跡,發(fā)現(xiàn)潛在的安全隱患和已失陷的主機。
*.*.* 脆弱性排查:依托安全運營平臺整理高危可利用漏洞,并提供可落地的修復方案以便用戶修復漏洞。識別業(yè)務弱密碼問題,并將弱密碼問題分級分類,找出危害大的弱口令,以便優(yōu)先整改。找到對外暴露的風險端口并做出相應的整改建議,如及時做好風險加固、關閉沒必要的端口、對需要開放的端口做好訪問控制等。
*.*.* 配置有效性分析:對安全運營平臺進行基礎配置檢查,包括但不限于:平臺、探針的最新版本檢查;最新規(guī)則庫版本檢查;序列號檢查;****日志審計開啟記錄數(shù)據(jù)包(所有服務器全方向)功能檢查等,以便后續(xù)分析能夠順利進行。
*.*其他服務要求
*.*.* 應具備互聯(lián)網(wǎng)暴露面梳理的服務工具,收集到的暴露面信息至少包括域名、域名標題、**地址、開放端口、資產(chǎn)指紋、網(wǎng)站截圖、移動端暴露面,并且能采集對應暴露資產(chǎn)的訪問截圖向用戶舉證,及對應暴露資產(chǎn)存在的漏洞。
*.*.*分析研判過程包括但不限于對脆弱性、異常流量、攻擊日志、病毒日志等數(shù)據(jù)進行采集和實時分析研判,支持將同*資產(chǎn)的多個告警進行聚合分析發(fā)現(xiàn)各類安全事件并生成工單,并在告警詳情中展示告警的基本信息,涉及的業(yè)務信息、攻擊趨勢、威脅詳情、攻擊原理、處置建議等內(nèi)容,并支持根據(jù)客戶情況提供備注。
*.*.*為了保證安全監(jiān)測的準確率和服務質(zhì)量,應當支持為用戶自定義配置安全規(guī)則,以滿足日益復雜的安全趨勢所帶來的安全監(jiān)測需求。
*.*.*每月對用戶的安全設備的防護策略進行檢查,確保安全設備上的安全策略始終處于最優(yōu)水平,針對威脅能起到最好的防護效果。投標人提供的云端服務平臺應當具備豐富的策略檢查工具(要求不少于**種策略檢查的工具),支持排查安全設備防護策略配置的合理性。
*.*.*服務過程中應具備***服務工具,支持集成在服務微信群、服務工作臺,該工具能力項應支持告警數(shù)據(jù)包研判、情報查詢分析、*******解碼、事件研判定性、自動調(diào)用安全設備遏制(**、域名封堵)、事件調(diào)查溯源、運營數(shù)據(jù)統(tǒng)計(支持在線統(tǒng)計、分析并下載數(shù)據(jù))等。
*.*.*安全運營服務從安全日志上傳分析研判到通告給客戶的時間方面,按照國家標準對安全事件的分類分級指南,重大安全事件通告時間小于**分鐘,*般事件的通告時間少于**分鐘;重大威脅與事件的遏制影響完成時間少于**分鐘,*般威脅與事件的遏制影響完成時間少于*小時。
*.*.* 安全運營服務安全事件經(jīng)過服務人員的確認后,通告給客戶的各類安全事件的準確率不低于**%(即誤報不能超過*%);服務范圍內(nèi)的所有安全事件的閉環(huán)處置比例達到***%。安全運營服務應當滿足重大事故應啟動應急響應機制地駐,工作時間**分鐘之內(nèi)云端專家進行響應,非工作時間**分鐘之內(nèi)云端專家進行響應,*小時上門處置。經(jīng)客戶授權后,服務人員協(xié)助進行安全事件的閉環(huán),*般安全事件的閉環(huán)完成時間少于**小時,重大事件的閉環(huán)完成時間少于**小時。
*.*.*服務過程中提供移動端服務過程展示門戶(移動端******),支持直觀地查閱服務推送的各種安全事件/威脅的詳細專家審核研判過程,需包含安全事件詳細的【基本信息】【入侵路徑】【影響主機】【主機調(diào)查】【數(shù)據(jù)包分析】等內(nèi)容。
*.*.*服務過程中提供的服務成果展示門戶(或用戶******)應具備服務質(zhì)量可視化展示,投標人能通過可視化的數(shù)據(jù),清晰的了解安全專家的服務水平,至少包括平均研判時間、平均遏制時間****、平均閉環(huán)時間****、事件閉環(huán)率,以驗證投標人所承諾的服務指標(或稱為服務***)。
*.*.**提供詳細且完整的安全運營服務方案,內(nèi)容包括但不限于:現(xiàn)網(wǎng)防火墻聯(lián)動方案;數(shù)據(jù)保護;遠程監(jiān)控;威脅檢測以及防護
*. 服務質(zhì)量要求
★*.* 要求服務工程師學歷本科及以上,具備*年及以上相關工作經(jīng)驗或大專學歷具備*年及以上相關工作經(jīng)驗,入場前采購人與投標人共同組織面試,根據(jù)雙方磋商結(jié)果決定運維人選,采購人不定期組織運維人員進行技能考核,根據(jù)考核結(jié)果及日常工作表現(xiàn),采購人有權要求更換運維服務工程師。
★*.* 駐場運營服務人員考勤要求與采購人要求的時間*致,考勤方式按照采購人要求執(zhí)行,直至合同期滿為止。考勤每半年考核*次,考勤不合格率大于等于*人次/半年,采購人有權扣除合同總價*%。
★*.* 故障響應時間*分鐘,達標率達到**%及以上,對故障修復時間*小時的修復率達到**%及以上,考核依據(jù)為采購人運維管理系統(tǒng)。
★*.* 如在服務過程中故障響應達標率低于**%。每降低*個百分點采購人有權扣除合同總價*%。因操作失誤所造成的設備損壞,數(shù)據(jù)丟失投標人需承擔相應的賠償責任。
★*.* 服務期內(nèi)出現(xiàn)因服務質(zhì)量、服務響應速度、服務能力等問題遭采購人投訴且經(jīng)討論確系投標人自身原因的情況,每次投訴投標人扣除本項目合同總額的*‰;出現(xiàn)嚴重投訴的、給采購人造成不良社會影響的、給采購人工作帶來重大麻煩的情況,投標人扣除本項目合同總額的*‰,投訴情況由采購人出具書面通知書為準。
★*.* 運營服務期間,出現(xiàn)重大安全違規(guī)情況,且給采購人造成嚴重損失的,因操作失誤所造成的設備損壞,數(shù)據(jù)丟失投標人需承擔相應的賠償責任,采購人有權追究當事人和(或)其所屬公司法律責任并解除合同。
★*.* 因休假未提供服務(元旦、春節(jié)、清明節(jié)、勞動節(jié)、端午節(jié)、中秋節(jié)、國慶節(jié)除外),或維修不及時所造成損失,費用應由投標人承擔。
★*.* 投標人依維保技術文件規(guī)定組成專業(yè)維護服務團隊并同意在服務期內(nèi)保持基本穩(wěn)定,未經(jīng)采購人書面同意更換人員,每更換或減少*人,應向采購人支付合同總額**%的違約金。未經(jīng)采購人書面同意,投標人*年之內(nèi)累計更換人員超過*名及以上的,投標人應按合同總價款**%支付違約金,采購人有權解除合同。
★*.* 投標人成交后若未達到合同要求的故障響應時間、到達現(xiàn)場時間、響應時間、系統(tǒng)故障修復時間或投標人提供的服務承諾,每發(fā)生*次,采購人有權扣除合同總額的*%;因投標人未達到要求的故障響應時間、到達現(xiàn)場時間和系統(tǒng)故障修復時間,引起采購人信息系統(tǒng)發(fā)生較大事故,造成應用不可使用時,每發(fā)生*次,則采購人有權扣除合同總額的**%;因投標人未達到合同要求的故障響應時間、到達現(xiàn)場時間和系統(tǒng)故障修復時間,造成采購人信息系統(tǒng)(如***/****/***/***等)服務中斷超過**分鐘或引發(fā)較大社會影響,采購人有權對投標人按違約終止合同。如果造成重大責任事故,采購人有權追究投標人法律責任。
★*.** 投標人需提供安全責任書,投標人自行承擔駐場工程師的所有安全責任及其帶來的經(jīng)濟損失。投標人應嚴格遵守與采購人簽訂的保密協(xié)議的相關內(nèi)容,如果有違反保密協(xié)議約定或承諾的,采購人有權單方面終止與投標人之合作,并追究投標人的法律責任。
★*.** 投標人的報價明顯低于其他通過符合性審查的投標人的報價,有可能影響產(chǎn)品質(zhì)量或者不能誠信履約的,應當按照評標委員會的要求,在評標現(xiàn)場合理的時間內(nèi)提供書面說明,必要時提交相關證明材料;投標人不能證明其報價合理性的,將被作為無效響應處理。
★*.** 投標人在結(jié)束服務合同后要在仍然保證采購人系統(tǒng)正常運行的情況下將合同結(jié)束時的項目整體移交給采購人,不得更換、拆除任何部件或者應用程序。投標人將軟件系統(tǒng)的更新、備份、故障解決等日志資料全部交由采購人備案存檔,并將更換記錄進行登記。作為項目中存儲使用的所有設備或配件不得帶離采購人,所有權歸采購人所有,統(tǒng)*交由采購人留存或銷毀。
*、內(nèi)網(wǎng)核心防火墻升級許可服務采購
*. 服務內(nèi)容及要求
★*.* 中標單位需為醫(yī)院提供全方位的網(wǎng)絡安全技術支持,如遇緊急情況,提供及時、有效的服務響應。
★*.* 為醫(yī)院提供針對內(nèi)網(wǎng)現(xiàn)有*臺深信服**********-*防火墻不少于*年的硬件維保、軟件升級、安全防護規(guī)則庫升級服務。
★*.* 中標單位在服務周期內(nèi)需提供設備巡檢服務,安排網(wǎng)絡安全工程師對設備進行日常運行狀態(tài)的監(jiān)控,季度形成巡檢報告。
*. 服務人員要求
★*.* 中標單位需至少派遣*名具有專業(yè)知識的資深技術人員作為本項目的服務工程師,負責本項目,統(tǒng)籌相關工作。項目執(zhí)行與工作匯報,控制工作質(zhì)量,執(zhí)行變更和應急情況管理,以保證設備的正常高效運行。
★*.* 未經(jīng)采購人同意,不得中途擅自更換指定的項目人員,采購人也有權更換不合格的項目人員。中標單位應在**個工作日內(nèi)將符合采購人要求的項目人員更換到位,否則采購人有權終止合同。由此造成的損失由中標人承擔。
★*.* 在合同履行期間,中標人對其現(xiàn)場派出的人員的安全負全部責任,如中標方工作人員在合同履行中發(fā)生安全事故的,中標人應負責處理并承擔責任。
★*.* 中標單位派出的技術人員應精通網(wǎng)絡安全技術,精通防火墻的配置與部署,應具備*年以上的相關工作經(jīng)驗。