关于宜春市第三人民医院网络安全运维与监控服务询价公告

为提升我院网络安全防护能力，保障业务连续性与数据安全，现就“网络安全运维与监控服务”项目进行公开询价。欢迎符合资格条件的供应商参加。

一、公示及报名时间

****-****，****10:00截止报名

二、询价采购时间及地点

时间：****10:00

地点：点击登录查看门诊六楼接访室

三、咨询电话

电话：****（信息科设备组）

**** （纪检监察室）

五、服务内容与核心要求

本次询价为医院网络提供现场与远程相结合的一体化安全运营，设备升级及等级测评服务。同时供应商需指派专职工程师为医院网络提供7x24小时远程监控服务，具体包括但不限于：

安全服务人员通过设备人员从网络安全角度，对医院网络安全进行实时监测服务，及时发现安全攻击事件，对安全风险进行及时通报和处置，每次处置完安全事件需编制《安全事件报告》，分析原因并对系统进行及时加固。(2)漏洞扫描服务

对主机进行周期性安全漏洞扫描，提供主机漏洞台账与报告，并根据漏洞风险等级、漏洞被利用可能性、漏洞加固或规避措施等内容，为医院进行漏洞处置决策提供参考依据。

(3)配置核查服务

配置核查是实现信息安全风险评估和风险管理的前提和基础，为了满足各业务系统的基本安全需求，就需要充分参考国家及行业标准、规范以及成熟经验，建立并形成一个针对各业务系统的基线安全模型。

根据医院的情况，对医院管辖范围内网络设备、主机等资产进行基线配置核查，检查目标资产是否满足最小化服务原则进行配置，并提供相对应报告和整改建议。

(4)弱口令检测服务

弱口令监测是对服务范围内主机中，包含redis、smb、rdp、telnet、ftp、ssh、pop3、smtp、mysql、imap、vnc、snmp、vmauthd、postgres、mssql、oracle、mongodb、onvif等多种服务协议进行常态化弱口令检测，并提供弱口令处置方案。

(5)安全加固服务

针对医院网络和系统运行过程出现或发现的安全问题，制定安全加固方案，并协助单位进行加固；①对网络运行日志、网络安全监测记录的报警信息分析和研判工作，为单位提出优化建议。②协助单位对通报的安全威胁，包括漏洞、后门、暗链、弱口令等制作处置工作方案，交于单位处理加固，并上报主管单位；

(6)安全咨询服务

依照国家网络安全法、网络安全等级保护制度、国家政策要求和监管、主管单位要求，根据医院信息安全实际情况和业务安全保障及信息安全风险管理的需要，提供网络安全咨询服务满足合规要求。

(7)安全制度梳理服务

指导医院制定符合本单位实际情况的信息安全管理制度，并在日常的网络安全建设、运维中，提供制度落实的相关建议。

(8)信息安全风险评估服务

依据有关信息安全技术与管理标准，从风险管理角度，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，通过评估资产面临的威胁及威胁利用脆弱性导致安全事件的可能性，评估严格按照《GBT 20984-2022 信息安全技术 信息安全风险评估方法》进行。评估内容主要包括以下方面：

资产评估

信息资产的识别确定评估的对象，是整个安全服务工作的基础。本阶段需根据市卫健委相关要求，完成医院信息资产国产化、正版化情况，并根据医院情况制订国产化正版化计划，帮助医院实现信息资产识别和整理，完成一份医院关键信息基础设施的信息资产清单，并对这些资产进行风险评估和认证。

架构安全评估

对网络结构及网络关键设备进行评估，发现存在的安全性问题。结合业务体系、系统体系提出整改建议，并协助医院进行安全整改。

配置安全评估

对网络及安全设备的配置进行检查，对IP 地址分配是否正确、VLAN 划分是否合理，路由协议、安全策略是否合理等多方面进行分析。

设备漏洞扫描

为了充分了解医院当前网络存在的安全隐患，采用漏洞扫描工具对医院的网络进行扫描，检查其系统和主机的弱点，查找入侵者用来非法进入网络的漏洞。

本项每年进行1次，并出具相应的风险评估报告，提出整改意见，协助医院进行整改工作。

(9)应急响应与处理服务

主要包括一下3种情况的应急响应：1、病毒和蠕虫事件；2、黑客入侵事件；3、误操作或设备故障事件。根据安全事件的影响级别启动应急响应级别。事前帮助客户建立应急响应组织、应急响应流程、应急响应实施方案。事中安全事件现场处理，减少事件影响。事后对安全事件溯源，包括事件后消除，弥补系统脆弱行，分析原因，总结教训，完善安全策略，服务和过程。

安全问题及隐患处理：如医院出现信息系统安全问题或发现安全隐患，在接到医院电话通知后，服务商应在4 小时内提供专业工程师和技术人员上门服务，现场分析问题，提供解决问题方案，并协助用户对问题进行处理。并向医院出具问题分析及处理报告。

(10)安全通告服务

安全通告服务包括两类通告内容，分别为“安全漏洞通告”和“安全威胁通告”。针对特殊或突发情况，同时提供“紧急安全漏洞通告”和“紧急安全威胁通告”。

安全通告提供最新安全漏洞、威胁（0day、系统漏洞、网络攻击）的解决办法、安全问题描述和相应的处理意见，及时提供符合医院实际需求的安全信息。

(11)应急演练服务

根据信息系统及其承载业务信息的重要性，以及业务特点，结合国家、地区和行业等信息安全政策和标准，根据用户实际需求，协助用户开展应急演练，并出具应急演练相关报告文档。

(12)重保值守服务

在重大节假日、重要会议期间、关键任务期间派出专业技术人员驻场协助处理各类安全事务。包括但不仅限于安全设备的运维管理、状态检查、策略调整、故障处理等，整体提升信息安全管理成熟度，并出具相应的维护报告等。

(13)渗透测试服务

渗透测试人员通过实际环境进行模拟黑客入侵，在保证不影响业务的前提下可以使用攻击工具，挖掘系统存在的漏洞，寻找可以进一步控制目标的安全漏洞，发掘、检测内部安全隐患，找出当前重要系统的不足或缺陷，出具渗透测试报告，为医院安全风险处置提供依据。一年1次。(14)安全意识培训服务

协助单位开展网络安全教育培训，对医院全体人员进行网络安全相关法律法规宣传培训，提高受众隐私保护、常规攻击防护、信息安全管理等能力，增强个人网络安全防护意识，规避网络攻击风险。一年一次。

提供常态化安全运营监控服务，须部署一套在线流量威胁监测系统（工具），对我院核心网络链路进行7×24小时全流量采集、异常行为分析与高级威胁检测，并支持与我院现有安全体系对接

对医院备案系统进行等保测评服务，其中一个三级系统，三个二级系统。

对医院安全设备进行维保，软件特征库等进行升级一年，要求提供原厂厂家开发的正版软件，具体设备情况潜在供应商可根据需求自行了解。

六、服务清单

服务期内通过本地部署一套资产安全运营管理平台对医院网络安全进行7*24实时监测服务，及时发现安全攻击事件，对安全风险进行及时通报和处置

安全保护等级测评数量：一个三级，三个二级

七、供应商资格要求

1. 在中华人民共和国境内注册，具有独立法人资格及有效的营业执照。

2. 具有良好的商业信誉和健全的财务会计制度。

3. 参加政府采购活动前三年内，在经营活动中无重大违法记录。

4. 具备履行合同所必需的设备和专业技术能力，供应商需具备信息系统安全集成及信息系统安全运维服务能力，需提供相关服务能力资质证书扫描件，并加盖供应商公章

5. 具备设备升级和维保能力，需提供升级清单中设备制造商的授权函并加盖制造商公章。

6. 近三年（2021年至今）至少具有2个医院或医疗机构的网络安全服务成功案例（须提供合同关键页复印件及用户证明）。

7. 本项目不接受联合体投标。

八、报价文件组成

供应商须提交以下材料（均需加盖公章）：

1. 资格证明文件：营业执照、相关资质证书、设备升级清单中设备制造商授权函、信用记录查询截图、无重大违法记录声明。

2. 服务保障措施：服务质量承诺与保障措施。

3. 商务报价：填写完整的报价一览表，明确服务总价及分项报价，并加盖公章。

4. 成功案例：要求提供的案例证明材料。

5. 其他认为必要的文件。