招标
宁乡市妇幼保健计划生育服务中心:宁乡市妇幼保健院网络安全升级改造项目一标段采购需求公开
金额
-
项目地址
湖南省
发布时间
2024/07/30
公告摘要
公告正文
一、功能及要求:
1、对原有安全设备进行维保升级服务,详见以下《四、维保设备参数清单》,原安全设备运行现状可咨询采购单位自行了解勘查。
2、配合宁乡市妇幼保健院对四大业务系统HIS,LIS,PACS,EMR系统进行等级保护测评工作;对HIS,LIS,PACS,EMR系统开展三级等保测评和完成在属地公安完成定级备案工作,提供技术支持和定级专家评审会(开展定级专家评审会)。
3、按照等保2.0的要求,对HIS,LIS,PACS,EMR四个系统进行等级测评,发现系统存在的安全风险隐患,依据《网络安全等级保护基本要求》,对信息系统的物理机房、网络结构、应用系统等进行合规性检查,分析信息系統与安全保护等级要求之间的差距,出具《网络安全等级保护测评报告》,并根据信息系统及安全防护措施的现状提出具有针对性的整改意见,确保信息系统的安全运行。
4、取得三级等保证书,配合采购方完成四级电子病历评审。
二、相关标准:
项目要求
1、服务商或供应商须依据《关键信息基础设施安全保护条例》、《信息安全等级保护管理办法》、湖南省卫生行业信息系统信息安全等级保护实施方案 》(湘卫办发[2012]28号)、《关于印发<长沙市卫生计生行业信息系统安全等级保护工作实施方案>的通知》(长卫发【2018】27号)等文件对卫生行业做出了具体的要求。以及依据等级保护行业标准文件《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2019)等规章、条例、规范性文件进行实施。
2、逐一对宁乡市妇幼保健院4个业务信息系统进行安全等级保护测评,测评的内容包括但不限于以下内容:
(1)安全技术测评:包括安全物理环境、安全通信网络、安全计算环境、安全区域边界和安全管理中心等五个方面的安全测评;
(2)安全管理测评:安全管理机构、安全管理制度、安全人员管理、安全建设管理和安全运维管理等五个方面的安全测评。
3、完成初步测评后,配合宁乡市妇保健院完成网络安全方面的整改工作,保证符合等级保护新标准的要求,出具测评报告后全程配合完成业务系统的定级工作,直至获得公安部门的定级备案证书。
4、项目成果交付
(1)医院HIS、LIS、PACS、EMR系统等级保护测评报告。
(2)4个系统定级备案证书
5、测评服务步骤
信息系统等级保护测评过程需按照《信息系统安全等级保护测评过程指南》开展工作,等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
5.1测评准备活动
测评准备工作包括编制项目启动、信息收集和分析、工具和表单准备。详细要求见下表:
5.2方案编制活动
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制等六项主要任务。详细要求见下表:
5.3现场测评活动
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。详细要求见下表:
5.4报告分析及编制活动
在现场测评工作结束后,应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初步判定单元测评结果后,还需进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。详细要求见下表:
三、技术规格:
维保设备参数
检测项目清单
四、交付时间和地点:
(1)交付时间:合同签订之日起60天内。
(2)交付地点:采购人指定地点。
五、服务标准:
项目要求
1、服务商或供应商须依据《关键信息基础设施安全保护条例》、《信息安全等级保护管理办法》、湖南省卫生行业信息系统信息安全等级保护实施方案 》(湘卫办发[2012]28号)、《关于印发<长沙市卫生计生行业信息系统安全等级保护工作实施方案>的通知》(长卫发【2018】27号)等文件对卫生行业做出了具体的要求。以及依据等级保护行业标准文件《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2019)等规章、条例、规范性文件进行实施。
2、逐一对宁乡市妇幼保健院4个业务信息系统进行安全等级保护测评,测评的内容包括但不限于以下内容:
(1)安全技术测评:包括安全物理环境、安全通信网络、安全计算环境、安全区域边界和安全管理中心等五个方面的安全测评;
(2)安全管理测评:安全管理机构、安全管理制度、安全人员管理、安全建设管理和安全运维管理等五个方面的安全测评。
3、完成初步测评后,配合宁乡市妇保健院完成网络安全方面的整改工作,保证符合等级保护新标准的要求,出具测评报告后全程配合完成业务系统的定级工作,直至获得公安部门的定级备案证书。
4、项目成果交付
(1)医院HIS、LIS、PACS、EMR系统等级保护测评报告。
(2)4个系统定级备案证书
5、测评服务步骤
信息系统等级保护测评过程需按照《信息系统安全等级保护测评过程指南》开展工作,等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
5.1测评准备活动
测评准备工作包括编制项目启动、信息收集和分析、工具和表单准备。详细要求见下表:
5.2方案编制活动
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制等六项主要任务。详细要求见下表:
5.3现场测评活动
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。详细要求见下表:
5.4报告分析及编制活动
在现场测评工作结束后,应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初步判定单元测评结果后,还需进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。详细要求见下表:
六、验收标准:
本项目采用一般程序验收。项目验收国家、省、市、县有强制性规定的,按国家、省、市、县规定执行,验收费用由中标人承担,验收报告作为申请付款的凭证之一。验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担。
七、其他要求:
1、整体项目质保期要求一年。质保期从验收合格(采购方取得三级等保证书,项目所要求的内容全部完成后)后开始计算。质保期内所有软件、硬件维护、升级等要求免费上门服务。中标方应制定应急预案,准备相应的应急设备,确保硬件异常情况下有替代,保证医院信息安全和业务运行。质保期后中标方继续提供服务,服务价格应当不高于同等业务情况医院服务价格,并安排具有软件、硬件系统维护资质的专人驻点采购方服务。
2、本项目采用一般程序验收。项目验收国家、省、市、县有强制性规定的,按国家、省、市、县规定执行,验收费用由中标人承担,验收报告作为申请付款的凭证之一。验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担。
3、交付时间和地点:
(1)交付时间:合同签订之日起60天内。
(2)交付地点:采购人指定地点。
4、结算方法:
(1)付款人:宁乡市妇幼保健计划生育服务中心。
(2)付款方式:按合同约定执行。
5、本项目采用费用包干方式建设,投标人应根据项目要求和现场情况,详细列明项目所需软件及材料购置,以及产品安装调试、试运行测试通过验收、质保期免费保修维护等所有人工、管理、财务等所有费用。如一旦中标,在项目实施中出现任何遗漏,均由中标人提供,采购人不再支付任何费用。
6、投标人在投标前,如须自行踏勘现场,有关费用自理,踏勘期间发生的意外自负。
对于上述项目要求,投标人应在投标文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。
1、对原有安全设备进行维保升级服务,详见以下《四、维保设备参数清单》,原安全设备运行现状可咨询采购单位自行了解勘查。
2、配合宁乡市妇幼保健院对四大业务系统HIS,LIS,PACS,EMR系统进行等级保护测评工作;对HIS,LIS,PACS,EMR系统开展三级等保测评和完成在属地公安完成定级备案工作,提供技术支持和定级专家评审会(开展定级专家评审会)。
3、按照等保2.0的要求,对HIS,LIS,PACS,EMR四个系统进行等级测评,发现系统存在的安全风险隐患,依据《网络安全等级保护基本要求》,对信息系统的物理机房、网络结构、应用系统等进行合规性检查,分析信息系統与安全保护等级要求之间的差距,出具《网络安全等级保护测评报告》,并根据信息系统及安全防护措施的现状提出具有针对性的整改意见,确保信息系统的安全运行。
4、取得三级等保证书,配合采购方完成四级电子病历评审。
二、相关标准:
项目要求
1、服务商或供应商须依据《关键信息基础设施安全保护条例》、《信息安全等级保护管理办法》、湖南省卫生行业信息系统信息安全等级保护实施方案 》(湘卫办发[2012]28号)、《关于印发<长沙市卫生计生行业信息系统安全等级保护工作实施方案>的通知》(长卫发【2018】27号)等文件对卫生行业做出了具体的要求。以及依据等级保护行业标准文件《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2019)等规章、条例、规范性文件进行实施。
2、逐一对宁乡市妇幼保健院4个业务信息系统进行安全等级保护测评,测评的内容包括但不限于以下内容:
(1)安全技术测评:包括安全物理环境、安全通信网络、安全计算环境、安全区域边界和安全管理中心等五个方面的安全测评;
(2)安全管理测评:安全管理机构、安全管理制度、安全人员管理、安全建设管理和安全运维管理等五个方面的安全测评。
3、完成初步测评后,配合宁乡市妇保健院完成网络安全方面的整改工作,保证符合等级保护新标准的要求,出具测评报告后全程配合完成业务系统的定级工作,直至获得公安部门的定级备案证书。
4、项目成果交付
(1)医院HIS、LIS、PACS、EMR系统等级保护测评报告。
(2)4个系统定级备案证书
5、测评服务步骤
信息系统等级保护测评过程需按照《信息系统安全等级保护测评过程指南》开展工作,等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
5.1测评准备活动
测评准备工作包括编制项目启动、信息收集和分析、工具和表单准备。详细要求见下表:
项目内容 | 工作内容 | 成果输出 |
1.项目启动 | 1.组建测评项目组 | |
2.编制《项目计划书》 | ||
3.确定测评委托单位应提供的资料 | ||
2.信息收集分析 | 定级报告及整改方案分析 | 《系统基本情况调研表》 |
1.整理调查表单 | ||
2.发放调查表单给测评委托单位 | ||
3.协助测评委托单位填写调查表 | ||
4.收回调查结果 | ||
5.分析调查结查 | ||
3.工具和表单准备 | 1.调试测评工具 | 确定测评工具、形成测评结果记录表 |
2.模拟被测系统搭建测评环境 | ||
3.模拟测评 | ||
4.准备打印表单 |
5.2方案编制活动
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制等六项主要任务。详细要求见下表:
工作内容 | 工作详细任务 | 输出成果 |
1.测评对象确认 | 识别被测系统等级 识别被测系统的整体结构 识别被测系统的边界 识别被测系统的网络区域 识别被测系统的重要节点和业务应用 确定测评对象 | 《测评方案》的测评对象部分 |
2.测评指标确定 | 识别被测系统业务信息和系统服务安全保护等级 | 《测评方案》的测评指标部分 |
选择对应等级的ASG三类安全要求作为测评指标 | ||
就高原则调整多个定级对象共用的某些物理安全或管理安全测评指标 | ||
3.工具测试点确定 | 确定工具测试的测评对象 选择测试路径 确定测试工具的接入点 | 《测评方案》的测试工具接入点部分 |
4.测试内容确定 | 识别每个测评对象对象的测评指标 | 《测评方案》的单项测评实施和系统测评实施部分 |
识别每个测评对象对应的每个测试指标的测试方法 | ||
5.测评指导书开发 | 从已有的测评指导书中选择与测评对象对应的手册 | 《测评方案》的测评实施手册部分 |
针对没有现成测评指导书的测评对象,开发新的测评指导书 | ||
6.测评方案编制 | 描述测评项目基本情况和工作依据 | 向用户提交 《测评方案》 |
描述被测系统的整体结构、边界和网络区域 | ||
描述被测系统的重要节点和业务应用 | ||
描述测评指标 | ||
描述测评对象 | ||
描述测评内容和方法 |
5.3现场测评活动
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。详细要求见下表:
工作内容 | 工作详细任务 | 输出 |
1.现场测评准备 | 现场测评授权书签署 | 向用户确认测评方案 |
召开现场测评启动会 | ||
双方确认测评方案 | ||
双方确认配合人员、环境等资源 | ||
确认信息系统已经备份 | ||
测评方案、结构记录表格等资料更新 | ||
2.现场测评和结构记录 | 依据测评指导书实施测评 | 访谈结果:技术安全和管理安全测评的测评结果记录或录音 文档审查结果:管理安全测评的测评结果记录 配置检查结果: 技术安全测评的网络、主机、应用测评结果记录表格 工具测试结果: 技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件 实地察看结果: 技术安全测评的物理安全和管理安全测评结果记录 测评结果确认: 现场核查中发现的问题汇总、证据和证据源记录、被测单位的书面认可文件 |
记录测评获取的证据、资料等信息 | ||
汇总测评记录,如果需要,实施补充测评 | ||
3.结果确认和资料归还 | 召开现场测评结束会 | |
测评委托单位确认测评过程中获取的证据和资料的正确性,并签字认可 | ||
测评人员归还借阅的各种资料 |
5.4报告分析及编制活动
在现场测评工作结束后,应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初步判定单元测评结果后,还需进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。详细要求见下表:
工作内容 | 工作详细任务 | 工作依据(模版) |
1.单项测评结果判定 | 分析测评项所对抗威胁的存在情况 | 等级测评报告的单项测评结果部分 |
分析单个测评项是否有多方面的要求内容,依据“优势证据”法选择优势证据,并将优势证据与预期测评结果相比较 | ||
综合判定单个测评项的测评结果 | ||
2.单元测评结果判定 | 汇总每个测评对象在每个测评单元的单项测评结果 | 等级测评报告的单项测评结果汇总分析部分 |
判定每个测评对象的单元测评结果 | ||
3.整体测评 | 分析不符合和部分符合的测评项与其他测评项(包括单元内、层面间、区域间)之间的关联关系及对结果的影响情况 | 等级测评报告的系统整体测评分析部分 |
分析被测系统整体结构的安全性对结果的影响情况 | ||
4.风险分析 | 整体测评后的单项测评结果再次汇总 | 等级测评报告的风险分析部分 |
分析部分符合项或不符合项所产生的安全问题被威胁利用的可能性 | ||
分析威胁利用安全问题后造成的影响程度 | ||
为被测系统面临的风险进行赋值 | ||
评价风险分析结果 | ||
5.等级测评结论形成 | 统计再次汇总后的单项测评结果为部分符合和不符合项的项数 | 等级测评报告的等级测评结论部分 |
形成等级测评结论 | ||
6.测评报告编制 | 概述测评项目情况 | 等级测评报告 提交用户 |
三、技术规格:
维保设备参数
序号 | 类别 | 服务项 | 具体服务内容 | 数量 | 单位 |
1 | 安全设备升级维保服务 | 核心防火墙 | 标准2U设备,双电源;配置8个10/100/1000M电口、4个千兆SFP接口和4个万兆SFP+接口,2个接口扩展槽,含2个高速USB2.0接口,冗余电源;防火墙吞吐量40G,并发连接数1000万,每秒新建连接数18万,具备64G SSD硬盘;标配IPSEC VPN、SSL VPN模块,并配置入侵防护模块和防病毒模块。 针对原设备以上配置参数本次项目提供以下升级服务: 1、提供壹拾捌个月防病毒及入侵防御特征库升级服务; 2、提供壹拾捌个月原厂硬件维保服务,提供7*24的硬件维修服务; 3、报修后15分钟内响应,1小时解决,不能解决的,1小时给出解决方案,2小时解决; 4、提供该设备同代软件版本升级服务; 5、提供7*24热线技术支持服务。 | 2 | 套 |
2 | 准入控制系统 | 1U机架结构;单电源;标准配置6个1000MBASE-T接口, 包含管理口和HA口;可扩4个1000M光口或4个1000M电口;每秒事务数(TPS):1700(次/秒),最大吞吐量:800Mbps,最大并发连接数:1600(条);最大支持800个终端设备和800个认证用户。 针对原设备以上配置参数本次项目提供以下升级服务: 1、提供壹拾捌个月原厂硬件维保服务,提供7*24的硬件维修服务; 2、报修后15分钟内响应,1小时解决,不能解决的,1小时给出解决方案,2小时解决; 3、提供该设备同代软件版本升级服务; 4、提供7*24热线技术支持服务; | 1 | 套 | |
3 | 日志审计系统 | 2U标准机架式,冗余电源,提供主机操作系统、网络设备、安全设备日志收集,查询,告警,审计,报表等功能。至少配置6个千兆电口,1个RJ-45 Console管理口,2个USB接口,存储容量2TB。入库性能5000EPS,日志处理性能(平均) 3000EPS。 针对原设备以上配置参数本次项目提供以下升级服务: 1、提供壹拾捌个月原厂硬件维保服务,提供7*24的硬件维修服务; 2、报修后15分钟内响应,1小时解决,不能解决的,1小时给出解决方案,2小时解决; 3、提供该设备同代软件版本升级服务; 4、提供7*24热线技术支持服务; | 1 | 套 | |
4 | 堡垒机 | 1U机架式软硬一体设备,具备液晶屏,配置6个千兆电口和2个接口扩展槽,1个console管理口,硬盘容量2TB,带液晶屏,单电源。支持800路字符会话或300路图形会话并发。 针对原设备以上配置参数本次项目提供以下升级服务: 1、提供壹拾捌个月原厂硬件维保服务,提供7*24的硬件维修服务; 2、报修后15分钟内响应,1小时解决,不能解决的,1小时给出解决方案,2小时解决; 3、提供该设备同代软件版本升级服务; 4、提供7*24热线技术支持服务; | 1 | 套 | |
5 | 数据库审计 | 标准1U机箱,配置6个千兆电口(含1个管理口)和4个SFP千兆插槽,1个RJ45串口,1T硬盘; 默认含2个监听口授权,含3个被审计DB服务数,可扩充;审计事件入库速度4000条/秒,日处理审计事件数5000万条。 针对原设备以上配置参数本次项目提供以下升级服务: 1、提供壹拾捌个月原厂硬件维保服务,提供7*24的硬件维修服务; 2、报修后15分钟内响应,1小时解决,不能解决的,1小时给出解决方案,2小时解决; 3、提供该设备同代软件版本升级服务; 4、提供7*24热线技术支持服务; | 1 | 套 | |
6 | 内网安全管理系统与杀毒软件二合一产品(终端安全管理系统) | 1、标准1U机箱,配置6个千兆电口(含1个管理口)和4个SFP千兆插槽,1个RJ45串口,1T硬盘; 默认含2个监听口授权,含3个被审计DB服务数,可扩充;审计事件入库速度≥4000条/秒,日处理审计事件数≥5000万条; ▲2、支持对Oracle、DB2、Informix、Sybase、MySQL、人大金仓KingBase、神通(OSCAR)、达梦(DM)、Redis、南大通用(GBase)、Redis、HBase、Hive、MongoDB等(国内使用的所有数据库类型)数据库的审计, 提供截图证明并加盖原厂商公章; 3、支持对Oracle数据库状态的自动监控,可监控会话数、连接进程、CPU和内存占用率等信息; 4、数据库异常审计支持对于数据库异常信息的统计与发现,一键生成审计结果; 5、支持数据库服务器、资源账号以及表名的自动发现,简化配置; 6、多核多线程ASIC架构,具备自主知识产权的加固操作系统,无通用安全漏洞; 7、支持数据库操作类、表、视图、索引、触发器、存储过程、域、Schema、游标、事物等各种对象的SQL操作审计; ▲8、产品具备公安部颁发的销售许可证(增强级)和《信息技术产品安全测评证书》(EAL3+),提供加盖原厂商公章的证书复印件; 系统由服务端和客户端组成,服务器支持在支持 Windows2008 R2 X64、Windows2012 R2 X64上部署,支持的数据库为开源的免费版MYSQL数据库。 针对原设备以上配置参数本次项目提供以下升级服务: 1、提供壹拾捌个月防病毒及入侵防御特征库升级服务; 2、提供壹拾捌个月原厂硬件维保服务,提供7*24的硬件维修服务; 3、报修后15分钟内响应,1小时解决,不能解决的,1小时给出解决方案,2小时解决; 4、提供该设备同代软件版本升级服务; 5、提供7*24热线技术支持服务。 | 1 | 套 | |
7 | 网闸 | 标准1U机箱,标配单电源;整机配设备健康监控声光报警装置。内/外网接口:标配1个千兆网络接口,2个千兆扩展接口,1个管理接口,1个HA接口(双机热备口),吞吐量100Mbps,并发连接数2万,系统延时<1ms。 针对原设备以上配置参数本次项目提供以下升级服务: 1、提供壹拾捌个月原厂硬件维保服务,提供7*24的硬件维修服务; 2、报修后15分钟内响应,1小时解决,不能解决的,1小时给出解决方案,2小时解决; 3、提供该设备同代软件版本升级服务; 4、提供7*24热线技术支持服务; | 1 | 套 | |
8 | 接入防火墙 | 标准1U机箱,单电源;配置6个千兆电口,含2个高速USB2.0接口;防火墙吞吐量4G,并发连接数250万,每秒新建连接数2.3万。 针对原设备以上配置参数本次项目提供以下升级服务: 1、提供壹拾捌个月原厂硬件维保服务,提供7*24的硬件维修服务; 2、报修后15分钟内响应,1小时解决,不能解决的,1小时给出解决方案,2小时解决; 3、提供该设备同代软件版本升级服务; 4、提供7*24热线技术支持服务; | 1 | 套 | |
9 | WEB防护系统 | 标准1U上架设备,具备1个RJ-45 Console口,1个千兆管理口和1个HA口,4个具备BYPASS功能的10/100/1000Base-T接口和4个SFP插槽,2个USB口,单电源,设备网络层吞吐率不少于2G,设备应用层吞吐率不少于850M,设备最大HTTP并发连接数不小于250万,设备每秒新建HTTP连接数不少于8000。 针对原设备以上配置参数本次项目提供以下升级服务: 1、提供壹拾捌个月防病毒及入侵防御特征库升级服务; 2、提供壹拾捌个月原厂硬件维保服务,提供7*24的硬件维修服务; 3、报修后15分钟内响应,1小时解决,不能解决的,1小时给出解决方案,2小时解决; 4、提供该设备同代软件版本升级服务; 5、提供7*24热线技术支持服务。 | 1 | 套 |
检测项目清单
1 | 三级等保设备 | 网络入侵检测响应系统 | 漏洞智能分析: 1、支持导入多种外部漏洞设备扫描数据,可按模板批量导入漏洞信息进行分析处理。 2、支持自动学习网络流量,快速识别待防护目标主机,也可自定义添加防护目标主机。 3、展示被屏蔽漏洞的详细信息,包含漏洞名称、CVSS评分、漏洞编号、说明、参考链接、可利用评估等多项信息。 漏洞防护: 1、支持对网络流量中包括远程命令执行漏洞、反序列化漏洞、任意文件上传漏洞、未授权访问漏洞、sql注入漏洞、模板注入漏洞、任意文件读取漏洞、目录遍历漏洞、文件包含漏洞、远程代码执行漏洞、信息泄露漏洞、硬编码漏洞、XXE漏洞等漏洞攻击等漏洞利用行为进行防护。 2、支持一键开启漏洞屏蔽策略,支持针对不同主机范围应用不同的屏蔽策略,并支持灵活调整屏蔽的策略,设置是否拦截漏洞攻击,也可对应设置屏蔽白名单,放行正常业务。 3、支持对当前漏洞的屏蔽的情况进行统计分析,方便用户快速知晓当前环境的漏洞屏蔽概况,可快捷调整屏蔽策略。 4、对于匹配中屏蔽策略的流量攻击,产品需支持将自动进行攻击的拦截;针对拦截期间内,若受攻击IP存在主动外连行为,还会自动进行一段时间的封禁,避免主机遭受反弹攻击。 ▲5、导入漏洞数据:产品需支持导入多种外部漏洞设备扫描数据,可按模板批量导入漏洞信息进行分析处理;(附功能截图) 屏蔽增强: 1、对漏洞攻击行为进行扩展检测,并进行相应屏蔽和告警,支持阻断模式和仅告警模式两种。 2、支持白名单配置,屏蔽增强只对白名单以外的主机生效,白名单内主机的漏洞防护功能不受影响。 ▲3、增强屏蔽:对漏洞攻击行为进行扩展检测,并进行相应屏蔽和告警,支持阻断模式和仅告警模式两种。(附功能截图) 策略配置: 1、支持屏蔽增强范围配置,仅对名单内主机生效 2、支持业务自学习配置开启和关闭 3、支持协议欺骗配置开启和关闭 4、支持配置基于源目IP配置流量阻断或放行策略 ▲5、支持与外部系统漏洞平台联动自适应生成漏洞屏蔽策略,通过外部系统漏洞平台风险评估能力识别漏洞风险,漏洞无效化系统自动感知漏洞风险并生成漏洞防护策略(附功能截图) ▲6、配置屏蔽策略:产品需支持一键开启漏洞屏蔽策略,支持针对不同主机范围应用不同的屏蔽策略,并支持灵活调整屏蔽的策略,设置是否拦截漏洞攻击,也可对应设置屏蔽白名单,放行正常业务;(附功能截图) 系统管理: 1、支持系统平台和引擎本地更新,漏洞规则可联网自动更新,并可查看历史更新的记录。 2、展示当前系统的概览信息,包含软件信息、硬件信息以及服务流量信息,支持下载系统日志,以便排查系统故障。 中标后要对参数进行测试验证。 | 1 | 套 |
2 | 硬件平台 | 1U标准机架式设备;千兆电口≥6个,万兆光口≥2个;2T硬盘;网络吞吐量≥800Mbps。 部署架构:软硬件一体化部署交付,采用旁路镜像流量模式部署,不改变业务逻辑,不在服务器上安装agent。 | 1 | 套 | |
3 | 三级等保测评 | (HIS,LIS,PACS,EMR) | 按照国家有关网络安全等级保护三级的标准要求,对客户信息系统开展安全保护现状调查,分别从技术和管理两个方面对测评对象进行安全现状测评,开展漏洞扫描和渗透测试等测试,对被测评业务信息系统进行全面检查,找出系统与相应等级基本要求之间的差距,提供解决安全隐患的整体方案并督促整改实施。 配合开展后续安全问题整改工作,待整改完成后,协助采购方进行整改工作,并负责对整改工程最终是否达到等保要求进行验收测评,针对已定级备案的系统出具公安部门认可的等级保护测评报告。 协助采购方完善主管部门检查所需要的文档和资料,取得等保备案证书。 | 4个*1年 | 个 |
四、交付时间和地点:
(1)交付时间:合同签订之日起60天内。
(2)交付地点:采购人指定地点。
五、服务标准:
项目要求
1、服务商或供应商须依据《关键信息基础设施安全保护条例》、《信息安全等级保护管理办法》、湖南省卫生行业信息系统信息安全等级保护实施方案 》(湘卫办发[2012]28号)、《关于印发<长沙市卫生计生行业信息系统安全等级保护工作实施方案>的通知》(长卫发【2018】27号)等文件对卫生行业做出了具体的要求。以及依据等级保护行业标准文件《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2019)等规章、条例、规范性文件进行实施。
2、逐一对宁乡市妇幼保健院4个业务信息系统进行安全等级保护测评,测评的内容包括但不限于以下内容:
(1)安全技术测评:包括安全物理环境、安全通信网络、安全计算环境、安全区域边界和安全管理中心等五个方面的安全测评;
(2)安全管理测评:安全管理机构、安全管理制度、安全人员管理、安全建设管理和安全运维管理等五个方面的安全测评。
3、完成初步测评后,配合宁乡市妇保健院完成网络安全方面的整改工作,保证符合等级保护新标准的要求,出具测评报告后全程配合完成业务系统的定级工作,直至获得公安部门的定级备案证书。
4、项目成果交付
(1)医院HIS、LIS、PACS、EMR系统等级保护测评报告。
(2)4个系统定级备案证书
5、测评服务步骤
信息系统等级保护测评过程需按照《信息系统安全等级保护测评过程指南》开展工作,等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
5.1测评准备活动
测评准备工作包括编制项目启动、信息收集和分析、工具和表单准备。详细要求见下表:
项目内容 | 工作内容 | 成果输出 |
1.项目启动 | 1.组建测评项目组 | |
2.编制《项目计划书》 | ||
3.确定测评委托单位应提供的资料 | ||
2.信息收集分析 | 定级报告及整改方案分析 | 《系统基本情况调研表》 |
1.整理调查表单 | ||
2.发放调查表单给测评委托单位 | ||
3.协助测评委托单位填写调查表 | ||
4.收回调查结果 | ||
5.分析调查结查 | ||
3.工具和表单准备 | 1.调试测评工具 | 确定测评工具、形成测评结果记录表 |
2.模拟被测系统搭建测评环境 | ||
3.模拟测评 | ||
4.准备打印表单 |
5.2方案编制活动
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制等六项主要任务。详细要求见下表:
工作内容 | 工作详细任务 | 输出成果 |
1.测评对象确认 | 识别被测系统等级 识别被测系统的整体结构 识别被测系统的边界 识别被测系统的网络区域 识别被测系统的重要节点和业务应用 确定测评对象 | 《测评方案》的测评对象部分 |
2.测评指标确定 | 识别被测系统业务信息和系统服务安全保护等级 | 《测评方案》的测评指标部分 |
选择对应等级的ASG三类安全要求作为测评指标 | ||
就高原则调整多个定级对象共用的某些物理安全或管理安全测评指标 | ||
3.工具测试点确定 | 确定工具测试的测评对象 选择测试路径 确定测试工具的接入点 | 《测评方案》的测试工具接入点部分 |
4.测试内容确定 | 识别每个测评对象对象的测评指标 | 《测评方案》的单项测评实施和系统测评实施部分 |
识别每个测评对象对应的每个测试指标的测试方法 | ||
5.测评指导书开发 | 从已有的测评指导书中选择与测评对象对应的手册 | 《测评方案》的测评实施手册部分 |
针对没有现成测评指导书的测评对象,开发新的测评指导书 | ||
6.测评方案编制 | 描述测评项目基本情况和工作依据 | 向用户提交 《测评方案》 |
描述被测系统的整体结构、边界和网络区域 | ||
描述被测系统的重要节点和业务应用 | ||
描述测评指标 | ||
描述测评对象 | ||
描述测评内容和方法 |
5.3现场测评活动
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。详细要求见下表:
工作内容 | 工作详细任务 | 输出 |
1.现场测评准备 | 现场测评授权书签署 | 向用户确认测评方案 |
召开现场测评启动会 | ||
双方确认测评方案 | ||
双方确认配合人员、环境等资源 | ||
确认信息系统已经备份 | ||
测评方案、结构记录表格等资料更新 | ||
2.现场测评和结构记录 | 依据测评指导书实施测评 | 访谈结果:技术安全和管理安全测评的测评结果记录或录音 文档审查结果:管理安全测评的测评结果记录 配置检查结果: 技术安全测评的网络、主机、应用测评结果记录表格 工具测试结果: 技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件 实地察看结果: 技术安全测评的物理安全和管理安全测评结果记录 测评结果确认: 现场核查中发现的问题汇总、证据和证据源记录、被测单位的书面认可文件 |
记录测评获取的证据、资料等信息 | ||
汇总测评记录,如果需要,实施补充测评 | ||
3.结果确认和资料归还 | 召开现场测评结束会 | |
测评委托单位确认测评过程中获取的证据和资料的正确性,并签字认可 | ||
测评人员归还借阅的各种资料 |
5.4报告分析及编制活动
在现场测评工作结束后,应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初步判定单元测评结果后,还需进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。详细要求见下表:
工作内容 | 工作详细任务 | 工作依据(模版) |
1.单项测评结果判定 | 分析测评项所对抗威胁的存在情况 | 等级测评报告的单项测评结果部分 |
分析单个测评项是否有多方面的要求内容,依据“优势证据”法选择优势证据,并将优势证据与预期测评结果相比较 | ||
综合判定单个测评项的测评结果 | ||
2.单元测评结果判定 | 汇总每个测评对象在每个测评单元的单项测评结果 | 等级测评报告的单项测评结果汇总分析部分 |
判定每个测评对象的单元测评结果 | ||
3.整体测评 | 分析不符合和部分符合的测评项与其他测评项(包括单元内、层面间、区域间)之间的关联关系及对结果的影响情况 | 等级测评报告的系统整体测评分析部分 |
分析被测系统整体结构的安全性对结果的影响情况 | ||
4.风险分析 | 整体测评后的单项测评结果再次汇总 | 等级测评报告的风险分析部分 |
分析部分符合项或不符合项所产生的安全问题被威胁利用的可能性 | ||
分析威胁利用安全问题后造成的影响程度 | ||
为被测系统面临的风险进行赋值 | ||
评价风险分析结果 | ||
5.等级测评结论形成 | 统计再次汇总后的单项测评结果为部分符合和不符合项的项数 | 等级测评报告的等级测评结论部分 |
形成等级测评结论 | ||
6.测评报告编制 | 概述测评项目情况 | 等级测评报告 提交用户 |
六、验收标准:
本项目采用一般程序验收。项目验收国家、省、市、县有强制性规定的,按国家、省、市、县规定执行,验收费用由中标人承担,验收报告作为申请付款的凭证之一。验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担。
七、其他要求:
1、整体项目质保期要求一年。质保期从验收合格(采购方取得三级等保证书,项目所要求的内容全部完成后)后开始计算。质保期内所有软件、硬件维护、升级等要求免费上门服务。中标方应制定应急预案,准备相应的应急设备,确保硬件异常情况下有替代,保证医院信息安全和业务运行。质保期后中标方继续提供服务,服务价格应当不高于同等业务情况医院服务价格,并安排具有软件、硬件系统维护资质的专人驻点采购方服务。
2、本项目采用一般程序验收。项目验收国家、省、市、县有强制性规定的,按国家、省、市、县规定执行,验收费用由中标人承担,验收报告作为申请付款的凭证之一。验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担。
3、交付时间和地点:
(1)交付时间:合同签订之日起60天内。
(2)交付地点:采购人指定地点。
4、结算方法:
(1)付款人:宁乡市妇幼保健计划生育服务中心。
(2)付款方式:按合同约定执行。
5、本项目采用费用包干方式建设,投标人应根据项目要求和现场情况,详细列明项目所需软件及材料购置,以及产品安装调试、试运行测试通过验收、质保期免费保修维护等所有人工、管理、财务等所有费用。如一旦中标,在项目实施中出现任何遗漏,均由中标人提供,采购人不再支付任何费用。
6、投标人在投标前,如须自行踏勘现场,有关费用自理,踏勘期间发生的意外自负。
对于上述项目要求,投标人应在投标文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。
返回顶部