经龙岩市中医院院采购小组决定就龙岩市2025年安全运维服务及等保测评服务项目采用询价招标方式进行采购,欢迎有资质的供应商,就相应产品提交应答投标文件。
一、项目名称:龙岩市中医院2025年安全运维服务及等保测评服务项目
|
项目名称 |
数量 |
限价 |
|
2025年安全运维服务及等保测评服务项目 |
1 |
345000元 |
二、采购内容及要求:
运维服务
1.1服务目标
通过安全运维服务,实现以下目标:
1.1.1 通过专业安全服务,全面发现网络中存在的安全隐患,及时提供有效的安全技术防护;
1.1.2 通过专业安全服务,进一步加强医院的网站、业务系统及其基础设施的信息安全防御能力,提升信息化部门对突发事件的预防能力和应急处理能力;
1.2.3完善信息安全技术体系建设,提升业务应用系统的安全性和可靠性,保障业务应用系统的安全、稳定、高效运行;
1.1.4 完善等级保护系统安全运维规范,规范医院安全运维管理模式,将安全运维服务工作规范化、标准化、精细化;
1.2服务范围
对象1:院内全网信息网络;
对象2:主干网络设备、安全设备与安全软件、内网关键服务器(如核心HIS、LIS、EMR、PACS等系统);
对象3:门户网站系统及其相关服务器、数据库;
对象4:龙岩市中医院客户服务平台(APP)及其相关服务器、数据库;
对象5:互联网舆情监测。
1.3项目期限
安全服务期限为一年周期,各项服务频次见项目服务内容约定。
1.4服务内容
本项目由龙岩市中医院安全运维人员进行统筹、规划、指导,针对医院网络与信息安全日常运维的工作职责把专业性较强的任务通过购买专业信息安全服务团队服务来完成。
1.4.1 实现中医院IT资源资产梳理并全面数据化,实现IT资源资产数据化管理,实现IT资源资产可用性,自动实现资源资产物理CI关系、网络拓扑CI关系、应用业务CI关系,及全生命周期在线管理;
1.4.2 实现对全网交换机、路由器、安全设备的可用性、CPU、内存、网络接口、服务器、存储等监控指标进行统一告警管理,实现日志聚合可视分析,实现日志有效告警;
1.4.3 实现对医院重点信息系统的网络安全威胁觉察、跟踪溯源和关分析,全面掌握网络安全态势、威胁、风险和隐患;
1.4.4 所有的IT告警信息消息化,告警通过主动消息推送。
服务清单如下:
|
服务项目 |
服务内容 |
服务范围 |
服务频度 |
交付成果 |
|
|
1、安全咨询服务 |
网络边界及安全域分析 |
院内全网信息网络 |
全年 |
《网络安全规划设计》 |
|
|
网络拓扑重现 |
|||||
|
现有安全措施分析 |
|||||
|
网络安全规划设 计 |
|||||
|
2、内网安全风险评估服务 |
网络架构安全风险评估 |
院内全网信息网络 |
每年1次 |
《网络信息系统安全风险评估报告》 |
|
|
网络设备风险评估 |
|||||
|
安全设备风险评估 |
|||||
|
主机服务器系统安全风险评估 |
|||||
|
核心业务系统安全风险评估 |
|||||
|
普通业务系统安全风险评估 |
|||||
|
客户端抽样安全风险评估 |
|||||
|
3、安全措施有效性巡检服务 |
网络边界管控有效性及策略核查 |
主干网络设备、安全设备与软件、关键服务器 |
每年4次 |
《设备安全巡检报告》 |
|
|
硬件措施有效性及策略核查(防火墙、入侵检测等) |
|||||
|
软件措施有效性及策略核查(防篡改、防病毒、终端管理等) |
|||||
|
4、互联网网站安全巡检服务 |
安全巡检服务 |
定期远程安全检测 |
医院门户网站等网站系统 |
每年4次 |
《网站安全检测报告》 |
|
定期现场巡检服务 |
|||||
|
人工渗透性测试 |
|||||
|
网站代码反黑扫描 |
|||||
|
安全通告服务 |
|||||
|
安全加固服务 |
针对检测的安加固全漏洞、策略配置等进行安全 |
||||
|
网站安全在线监控服务 |
在线远程漏洞扫描(每月1次,提供扫描报告)、网马检测、暗链监控、安全预警和通告。 |
一年不间断 |
《网站安全监控报告》 |
||
|
5、外网业务安全巡检服务 |
安全巡检服务 |
定期远程安全检测 |
移动支付微信平台、支付宝生活号 |
每年4次 |
《安全巡检报告》 |
|
定期现场巡检服务 |
|||||
|
主机安全加固服务 |
针对检测的主机安全漏洞、策略配置等进行安全加固 |
每年4次 |
|||
|
应用安全加固辅导服务 |
提供应用安全问题加固建议,指导开发人员加固 |
每年4次 |
|||
|
6、内网安全巡检服务 |
安全扫描服务 |
对医院内容关键服务器定期漏洞扫描 |
内网核心业务系统(HIS、LIS、EMR、PACS、等核心系统) |
每年4次 |
《安全巡检报告》 |
|
渗透测试 |
对核心业务系统定期进行人工渗透测试 |
每年4次 |
|||
|
配置核查服务 |
对医院核心服务器、安全设备开展基线合规性配置检查 |
每年4次 |
|||
|
安全加固与辅导服务 |
对医院核心服务器系统进行安全加固 |
每年4次 |
|||
|
业务系统安全加固辅导 |
|||||
|
7、医院互联网(APP)安全测试服务 |
服务器端安全测试服务 |
Web页面安全测试 |
龙岩市中医院客户服务平台服务器 |
每年4次 |
《手机APP应用安全测试评估报告》 |
|
WebService接口安全测试 |
|||||
|
APK反编译测试服务 |
APK文件反编译测试 |
包含龙岩市中医院客户服务平台客户端 |
每年4次 |
||
|
客户端安全测试服务 |
APP程序安全测试 |
||||
|
APP数据存储安全测试 |
|||||
|
客户端环境安全测试 |
|||||
|
客户端与服务器端的通信安全服务 |
数据加密解密分析 |
||||
|
会话劫持测试 |
|||||
|
数据包篡改测试 |
|||||
|
数据包重放测试 |
|||||
|
安全加固辅助服务 |
针对测试结果提供安全加固建议 |
医院客户服务平台系统 |
|||
|
8、安全培训服务 |
提供面向网络管理员、信息技术人员以及全院新员工的定制化安全培训。 |
线上或医院现场 |
每年4次 |
培训记录材料 |
|
|
9、安全应急响应服务 |
政策检查技术支持服务 |
安全检查 |
配合政策检查防护 |
若发生网络安全事件则提交《应急响应报告》 |
|
|
7×24小时应急保障服务 |
安全事件 |
半小时远程响应 |
|||
|
2小时现场响应 |
|||||
|
10、舆情监测服务 |
舆情系统提供针对互联网信息的舆情监测管理分析服务 |
互联网 |
全年 |
《舆情监测报告》 |
|
1.5产品维保
1.5.1 产品维保清单
|
序号 |
设备类型 |
设备型号 |
数量 |
服务期限 |
|
1 |
防火墙 |
V3.5/HD-FW-1170-0 |
1 |
提供1年的续保服务 |
|
2 |
防火墙 |
V3.5/HD-FW-1170-0 |
1 |
|
|
3 |
网闸 |
V2.0/HD-GAP-4170-0 |
1 |
|
|
4 |
安全网关(堡垒机) |
V3.0/HD-SAS-Fort-EA-2170-0 |
1 |
|
|
5 |
数据库审计 |
V3.0/HD-SAS-ED-1170-0c |
1 |
|
|
6 |
HD-SMS管理(准入) |
V2.0/HD-SMS-LAS-3170-0 |
1 |
|
|
7 |
VPN网关 |
HD-FWSSL-E1-1200-170-0 |
1 |
|
|
8 |
入侵防御 |
V3.1/HD-IPS-E1-3170-0 |
1 |
|
|
9 |
安全网关(堡垒机) |
V4.0/HD-SGS-A300-170-0 |
1 |
|
|
10 |
安全审计(上网行为) |
V3.0/HD-SAS-NI-2170-0 |
1 |
|
|
11 |
HD-SMS管理(桌管) |
V2.0/HD-SMS-400 |
1 |
|
|
12 |
日志审计 |
V4.0/HD-LAS-3170-0 |
1 |
|
|
13 |
入侵检测 |
V5.0/HD-NGIDS-E2-1S02 |
1 |
|
|
14 |
WEB抗攻击系统 |
HD-WAF-2170-0 |
1 |
1.5.2 续保服务内容
1.5.2.1远程支持服务
在服务期内,产品使用过程中,因某种原因出现问题,提供电话方式远程支持服务,由工程师将对问题进行诊断解决;如不能通过电话解决,通过远程联机管理解决故障。
1.5.2.2培训服务
服务供应商为龙岩市中医院的技术人员,应免费为龙岩市中医院提供以上产品的使用维护培训,培训地点为龙岩市中医院。
1.5.2.3现场服务
在服务期内,通过电话交流或者远程调试无法解决的,工程师在1小时内响应并到现场维护。
1.5.2.4系统版本升级
为保障用户业务的稳定性,系统本身未提供自动升级服务。在服务期内,黑盾安全产品出现可升级的新版本时,根据产品硬件性能及系统软件版本情况,将为用户提供同代版本升级服务。由工程师为客户系统进行配置备份。在不影响业务系统正常运行的情况下,对系统版本进行升级,并完成新系统的配置恢复。新系统上线后,对网络连通性和业务可用性进行测试,保证业务的正常运行。
1.5.2.5产品特征库升级服务
在服务期内,续保产品对需要升级特征库版本的安全产品(如IDS、IPS、WAF、上网行为),在日常运维的过程中,根据产品的硬件性能及系统版本情况,将对安全产品的特征库进行定期升级。在可升级的版本范围内,保证特征库及时更新。
1.5.2.6产品保修
在服务期内,若续保产品出现软硬件故障,提供免费维修服务。保障用户设备及业务系统的持续可用性。
对于购买日期超过6年的设备,可能在硬件市场上找不到相应的配件进行维修。对于该种情况,提供不低于故障设备型号的同品牌备机直至服务期结束。
1.5.2.7备机服务
投标人或所投服务供应商具备完善、充足的备机配件库。当设备发生故障且短时间内无法修复时,提供备机服务。在短时间内,将备机或备件送至现场进行更换,确保业务系统的正常运行。
以上服务仅限于以上清单中网络安全产品本身出现的故障,由于其他网络原因造成的故障或由于不可抵抗力所造成故障的,则不在服务供应商服务范围内。
2、等保测评服务
2.1服务范围
龙岩市中医院7大系统:四大系统(HIS、LIS、PACS、EMR)、在线问诊、互联互通系统、互联网网站系统及其软硬件设施等。
2.2服务内容
提供一次三级等保安全测评服务,根据提交的网络安全等级保护测评申请书,对服务范围内的信息系统进行安全等级测评,并为被测系统提供测评机构出具的信息系统安全等级测评报告。服务概述如下表:
|
序号 |
服务细项 |
服务内容 |
交付成果 |
服务频次 |
|
1 |
技术层面测评服务 |
从技术层面进行安全测评 |
测评报告 |
单次 |
|
2 |
管理层面测评服务 |
从管理层面进行安全测评 |
测评报告 |
单次 |
2.2.1 技术层面测评服务
技术层面测评将根据要求逐项进行测评:
安全物理环境:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
安全通信网络:网络架构、通信传输、可信验证。
安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
安全管理中心:系统管理、审计管理、安全管理、集中管控。
2.2.2 管理层面测评服务
管理层面测评将根据要求逐项进行测评:
安全管理制度:安全策略、管理制度、制定与发布、评审与修订。
安全管理机构:岗位设置、人员配备、授权和审批、沟通与合 作、审核和检查。
安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
安全建设管理:定级和备案、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供 应商管理。
安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
三、付款方式:合同签订后付款30%,信息安全运维服务期满一年并验收合格后支付合同金额剩余70%。
四、本项目的特定资格要求
(1)投标人或所投安全服务商须具备公安部第三研究所认定的《网络安全等级测评与检测评估机构服务认证证书》须提供证书复印件;
(2)为了降低本项目的实施风险,保障实施服务质量,提供设备维保升级服务的技术人员须具备安全设备原厂工程师认证(提供认证证书复印件)。
(3)投标人或所投安全服务商在测评现场具有应急技术处理能力,安全测评服务商连续五年在备案所在省具有网安或网信的技术支撑单位(需提供相关证明材料)
(4)为保证服务质量,投标人或所投安全测评服务商拟投入此次项目中的测评人员中至少需要有一名高级测评师及四名中级测评师(需提供测评师证书复印件),提供以上人员提供相关证明材料及近6个月的任意一个月社保证明(不含投标当月)。
(5)安全测评单位在委托方现场测评时安全测评单位在采购人现场测评时,应遵守委托方的工作纪律应遵守采购人的工作纪律,不破坏采购人的工作设备和软、硬件设施。
(6)安全测评单位在现场测评时,应与采购方项目负责人充分沟通,如在运用相关工具或开展相关测评工作前,应事先做好风险评估和回退机制,做好安全防范措施,确保在测评工作开展过程中不影响系统的正常运行。
(7)测评单位需积极配合采购方的第三方安全服务商以及对应系统开发商完成测评整改工作。
五、投标截止时间: 2024年8月23日10:00时(北京时间)
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:王越
电话:010-68819835
手机:13661355191 (欢迎拨打手机/微信同号)
邮箱:wangyue@zbytb.com
