玉溪市妇幼保健院信息网络安全维保与等保测评服务项目
预算金额：￥300000
采购方式：谈判采购


项目需求详情
采购服务需求
一、服务概况
1.1服务范围：玉溪市妇幼保健院整体信息网络安全运维服务。包含原有信息网络安全设备包括但不限于以下内容：网络交换设备、存储设备、防火墙、上网行为管理、日审设备、数审设备、终端安全、运维审计设备、准入控制设备、动环检测设备等的运维服务。对全院原有信息网络安全软件和设备进行整体规划及整改，具体内容详见技术要求。
1.2 项目名称：玉溪市妇幼保健院信息网络安全维保与等保测评服务。
1.3 验收标准：招标人取得第三方安全检测机构对院内核心系统的等级保护（二级）报告；且评分<70；30日历天内。
二、技术要求
1项目概况：为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针。需要全面提高信息安全防护能力。我院需要通过持续性的安全服务保障措施，全面提高信息安全防护能力，创建安全健康的网络环境，保护国家利益，促进我院信息化的深入发展。
1.1本次项目需要提供一站式的"交钥匙"工程：使我院核心业务系统HIS\LIS\EMR\PACS系统满足国家二级等级保护要求，并取得第三方安全机构对系统等级保护（二级）证书与报告等所有相关工作。
1.2遵循以下原则：安全性、可靠性、实用性、先进性、扩展性
1.3遵循以下国家相关的标准、规范、要求：
《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）
《信息安全等级保护管理办法》（公通字[2007]43号）
《计算机信息系统安全保护等级划分准则》（GB 17859—1999）
《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239--2008）
《信息安全技术 信息系统安全等级保护测评要求》（国标报批稿）
《信息安全技术 信息系统安全等级保护测评过程指南》（国标报批稿）
《信息系统安全等级测评报告模板（试行）》（公信安[2009]1487号）
《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）
《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）
《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）
《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）
《信息安全技术 服务器技术要求》（GB/T21028-2007）
《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671-2006）
1.4以下设备需提供原厂升级及维保服务

序号	项目名称	数量	服务期限
1	存储维保服务	3台	验收之日起 两年
2	外网防火墙维保服务	1台
3	数据中心防火墙维保服务	1台
4	上网行为管理维保服务	1台
5	日志审计维保服务	1台
6	安全运维服务	1项
7	终端安全软件扩容	1套	验收之日起 叁年

2．各子项目具体要求
2.1 存储维保服务
1）包括硬件维保更换、软件免费升级、定期上门巡检；
2）签订合同前必须提供原厂2年售后服务承诺函，如无法提供的按虚假应标处理，后果由投标人自行承担。
2.2 外网防火墙维保服务
1）包括WEB应用识别库、IPS特征库、热门威胁库、实时漏洞分析识别库和URL&应用识别库定期更新服务，保持设备具备检测防御最新威胁的能力。
2）签订合同前必须提供原厂2年售后服务承诺函，如无法提供的按虚假应标处理，后果由投标人自行承担。
2.3 数据中心防火墙维保服务
1）包括WEB应用识别库、IPS特征库、热门威胁库、实时漏洞分析识别库和URL&应用识别库定期更新服务，保持设备具备检测防御最新威胁的能力。
2）签订合同前必须提供原厂2年售后服务承诺函，如无法提供的按虚假应标处理，后果由投标人自行承担。
2.4 上网行为管理维保服务
1）包含系统升级、URL库升级、应用库升级服务。
2）签订合同前必须提供原厂2年售后服务承诺函，如无法提供的按虚假应标处理，后果由投标人自行承担。
2.5 日志审计维保服务
1）包括版本升级、解析规则升级，问题排查处置；
2）签订合同前必须提供原厂2年售后服务承诺函，如无法提供的按虚假应标处理，后果由投标人自行承担。
2.6 安全运维服务
1）对我院机房物理安全、网络安全、主机系统安全、应用安全、数据安全进行整体安全运维，每3个月进行一次安全信息评估及设备巡检；
2）使我院核心业务系统HIS\LIS\EMR\PACS系统满足国家二级等级保护要求，并取得第三方安全机构对系统等级保护（二级）报告和证书等所有相关工作；
3）安全巡检及安全评估应包含以下内容（服务期为项目验收合格后两年，每三个月进行一次）：

服务项目	服务内容
安全巡检	各类服务器的身份鉴别、访问控制、安全审计、入侵防范、系统补丁等
	各类WEB程序的日志配置、示例程序、脚本安全、目录权限设置、默认站点安全、Web服务扩展安全、出错页面安全、用户权限等
	各类数据库的账户口令、权限检查、日志审计、网络通讯、补丁升级等
	各类网络设备的身份鉴别、日志审计、snmp协议保护、最小化服务开启等
	结构安全、访问控制、网络安全审计、边界完整性、网络入侵检测、恶意代码防护、网络设备防护等
安全评估	日志分析：统一收集信息系统内各类设备的日志数据，经范式化处理后，查找信息系统已经遭受的威胁及风险或者面临潜在的威胁及风险，包括异常事件分析、系统访问情况分析、违规操作分析。一方面可以作为线索追溯违规行为；另一方面对攻击行为进行预警，出具日志分析报告。
	渗透测试：通过模拟黑客的入侵，从外部整体切入某个威胁点并加以利用，最终获取整个系统的，以此明确整体系统中的安全隐患点，深层次发现业务系统中存在的风险和漏洞以及黑客攻击路径。
安全整改加固	结合以各类检查结果，针对我院信息系统提出专业安全建议和解决方案，进行针对性的安全加固，确保系统满足等级保护相关要求。
应急演练	结合医院现有场景，提供应急方案和参与应急演练。

2.7 终端安全软件
1）对现有终端安全防护系统扩容升级，共用一套管理平台，配置大于60个客户端授权升级许可，客户端支持中标麒麟（龙芯、兆芯、申威、鲲鹏920）V7.0、银河麒麟（飞腾FT1500A、FT2000+）V4.0、银河麒麟V10(龙芯、飞腾、X64)、银河麒麟(龙芯、飞腾、X64)V10.1、UOS20 sp1(龙芯、龙芯3A5000、鲲鹏920、麒麟9006C、飞腾、X86、兆芯)、中科方德（龙芯、飞腾、申威、X86）等国产化环境；
2）可查看终端的安全情况，包括计算机名、IP地址、病毒数、病毒库更新时间，支持通过终端类型、在线状态、计算机名称、IP、MAC等多个条件的与/或组合进行终端筛选；
3）支持通过分组或条件筛选对指定范围的终端下发快速扫描、全盘扫描、强力查杀、隔离区文件恢复；
4）支持病毒日志详情中按病毒名搜索，便于追查网内是否已有外部安全事件暴露的病毒；
5）支持实时防护策略，实时防护过程中发现病毒时处理方式可选择杀毒软件自动处理病毒，并将原始文件隔离备份，也可选择发现病毒后通知终端用户，由终端用户选择处理；
6）国产专用机终端恶意代码检出率不低于99.5%，国产专用机终端恶意代码误报率不高于0.1%。
7）签订合同前必须提供原厂三年售后服务承诺函，如无法提供的按虚假应标处理，后果由投标人自行承担。
第三篇  采购商务需求
一、服务期、地点及验收方式
（一）服务期：合同签订后30日历天。
（二）服务地点
服务地点：玉溪市妇幼保健院指定地点。
二、付款方式：合同约定
三、知识产权
采购人在中华人民共和国境内使用成交供应商提供的货物及服务时免受第三方提出的侵犯其专利权或其它知识产权的起诉。如果第三方提出侵权指控，成交供应商应承担由此而引起的一切法律责任和费用。
四、其他
（一）供应商必须在响应文件中对以上条款和服务承诺明确列出，承诺内容必须达到本篇及谈判采购其他条款的要求。
（二）其他未尽事宜由供需双方在采购合同中详细约定。

服务周期：30天
报价方式：价格
评选方式：综合评分
谈判时间：2022-09-28 15:00:00
谈判地址： 云南省玉溪市红塔区玉溪市红塔区东风北路兴旺综合楼二楼
服务地址：云南省玉溪市红塔区玉溪市红塔区东风北路兴旺综合楼二楼
需求文件：
联系人：
报名结束时间：2022-09-27 18:00:00
发布时间：2022-09-22 17:33:35
采购编号：YNYXC02089920221133039
采购单位：玉溪市妇幼保健院
供应商数量： 报名供应商不足2家流标。
允许1家中选
谈判文件提醒：供应商网上报名时须上传盖章后的响应文档一份，线下谈判时须供应商提供响应文件一式2份，其中正本1份，副本1份。（电子文档内容应与纸质文件正本、副本一致，如不一致以网上电子文档为准，副本可为正本的复印件。）
谈判规则：1.供应商须在平台报名并上传响应文件，采购单位不接受未在平台报名并上传响应文件的供应商。2.供应商须准时在谈判时间到线下谈判地点签到并递交文件，参与谈判。
供应商资格：一、符合《中华人民共和国政府采购法》第二十二条规定，且已在本系统注册的供应商。
二、落实政府采购政策满足的需求：无。
三、特定的资格要求：无。
异议处理项：如有异议请电话咨询采购人联系方式：0877-2668961、15706944058，采购流程问题请咨询平台运营400-660-7735。