一、项目名称:关于泉州市第一医院安全服务招标的招标
二、项目完成期:合同生效后15个自然日内完成
三、交货地点:泉州市第一医院
四、技术规格要求:
方案目标为了2017年我院网络信息安全有一个整体上的提高,特编制2017年泉州市第一医院整体信息安全服务方案,并拟邀请第三方网络安全厂商提供专业服务。
本方案目标旨在为泉州市第一医院建立一套完整的安全防护制度。方案分为三点,第一点修复医院信息系统目前所存在的安全漏洞及提出安全加固建议,第二点建立应急演练制度和安全防护制度,第三点,提供安全运维服务,确保网络实时安全,参考相关国际安全标准,为信息系统的安全建设提供依据,为信息系统的持续稳定的运行提供安全保障。
设计依据参考标准汇总:
指导思想 | 中华人民共和国计算机信息系统安全保护条例(国务院147号令) |
关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号) | |
中办[2003]27号文件(关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知) | |
公通字[2004]66号文件(关于印发《信息安全等级保护工作的实施意见》的通知) | |
公通字[2007]43号文件(关于印发《信息安全等级保护管理办法》的通知) | |
闽政办〔2007〕182号关于福建省人民政府办公厅关于加强我省政府类互联网站安全管理的通知 | |
等级保护 | GB/T 22239-2008信息系统安全等级保护基本要求 GB 17859-1999 计算机信息系统安全保护等级划分准则 |
技术方面 | GB/T 21052-2007 信息安全技术信息系统物理安全技术要求 GB/T 20270-2006 信息安全技术网络基础安全技术要求 GB/T 20272-2006 信息安全技术操作系统安全技术要求 GB/T 20273-2006 信息安全技术数据库管理系统通用安全技术要求 GA/T 711-2007 信息安全技术应用软件系统安全等级保护通用技术指南 |
方案设计 | ISO/IEC27001信息安全管理实用规则 GB/T24856-2009 信息系统等级保护安全设计技术要求 |
对泉州市第一医院信息系统进行一次全面的安全漏洞检测。
2.1.2 安全漏洞修复根据泉州市第一医院信息系统所存在的安全漏洞,在不影响信息系统正常运作的情况下完整修复,并且提出所存在的安全隐患。
2.2 建立网络与信息安全事件应急处理预案和攻防演练针对泉州市第一医院的实际情况,建立一份在泉州市第一医院网站与信息系统发生安全事件的时候所采取的应急预案。并根据《泉州市网络与信息安全事件应急处理预案》进行一次攻防演练。
2.2.1 攻防演练目的本次攻防演练的基本目的是为了提高泉州市第一医院内部人员的网络安全意识;提高各个应急小组人员的协调能力,做到在发生安全事件后能快速反应、快速上报、快速处理、快速恢复;
2.2.2 攻防演练环境由安全工程师与泉州市第一医院运维人员商讨攻防演练环境部署情况,分为主机环境、网络环境、数据库环境和应用系统四个方面。
2.2.3 攻防演练场景设置(1)攻击者通过利用SQL注入漏洞获取到管理员账号。
(2)利用管理员账号登录到后台,利用后台发布系统上传图片处上传木马文件。
(3)通过上传漏洞上传木马文件获取到网站权限并将网站主页面进行篡改。
(4)24小时监控平台警报发现问题第一时间通知到泉州市第一医院运维人员。
(5)运维人员接到通知第一时间断开服务器和网络的连接,并将该消息通知给部门主管,主管立即联系网络安全执行小组成员,并且启动《泉州市第一医院网络与信息安全事件应急预案》。
(6)执行小组成员根据《泉州市第一医院网络与信息安全事件应急预案》对网络攻击事件进行溯源并修复漏洞恢复系统的正常运行。
(7)事件结束后由网络安全执行小组人员对本次攻防演练的过程出具一份《网络与信息安全攻防演练(网页篡改事件)》报告。
2.3 运维服务管理建设运维管理保证体系的建设是信息安全建设中最重要的一环,其中运维服务内容包括如下内容:
事件阶段 | 序号 | 服务项目 | 项目内容 | 服务周期 |
业务系统测试 | 1 | 端口扫描 | 采用工具及人工的方式梳理系统是否存在不必要端口,判断开放端口的危害性。 | 单系统 |
2 | 漏洞利用 | 针对特定系统漏洞进行分析,判断系统是否存在相关缺陷。 | 单系统 | |
3 | 数据嗅探 | 抓取特定应用系统网络数据包,对数据包进行拆解、篡改,验证数据包在传输过程中的防偷窥、防篡改的防护。 | 单系统 | |
4 | 黑白盒渗透测试 | 新应用上线前以及系统重大变更后的安全风险评估。 | 单系统 | |
门户网站及信息系统安全监测 | 1 | 24小时安全状态 | 页面可用性检测、篡改检测、挂马检测、敏感信息检测等功能。 | 实时 |
2 | 安全预警系统 | 针对门户网站提供7*3小时实时安全预警功能。 | 实时 | |
3 | 高危跟踪服务 | 针对信息系统可能存在或已存在的高危漏洞,进行安全性跟踪及处置,直至高危漏洞消除。 | 每月一次 | |
4 | 本地化响应 | 两个小时到达现场给予技术支撑 | 出现需要现场解决的安全问题 | |
重保期间安全维护 | 1 | 事前 | 重要敏感时期是之前进行细致的防范加固和补漏 | 重要敏感时期,特殊需求加急处理。 |
2 | 事中 | 实施监管并每日出具分析报告 | ||
3 | 事后 | 对敏感时期检测情况进行审计和追踪,进而优化安全策略 | ||
4 | 人员驻点 | 在重要会议期间,提供技术人员现场驻点服务及安全检查 | 重要会议期间 | |
安全加固服务 | 1 | 数据库安全加固服务 | 依据国家标准及日常信息系统安全常见漏洞对数据库、主机、应用系统及网络进行全面安全加固。 | 每季度一次 |
2 | 主机安全加固系统 | 每季度一次 | ||
3 | 应用系统安全加固 | 每季度一次 | ||
4 | 网络结构及配置安全加固 | 每季度一次 | ||
安全服务-风险评估 | 信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。 | 至少一年一次 | ||
安全服务-巡检服务 | 安全巡检服务主要是检查系统运行环境;系统硬件运行情况;系统ERROR LOG分析;系统安全性、状态检查和优化等。 | 至少一月一次 | ||
安全服务-资产调查 | 资产调查是对企业、政府单位等各类资产状况所进行的调查,包括资产的盘点、分类、登记资产相关属性、设置资产标记等。 | 至少一年一次 | ||
培训服务 | 标准化培训 | 依据用户需求提供相应的信息系统安全培训。 | 每年一次 | |
网页防篡改 | 防范第一医院门户网站、网页被篡改,被篡改后能够自动恢复 | 1年 |
安全服务提交成果 | 《网站安全检测报告》1份; 《泉州第一医院网络与信息安全事件应急处理预案》1份; 《泉州市第一医院网站攻防演练报告》一份; 《安全管理制度》一套; 《服务器入侵清查报告》1份; 《网站安全加固报告》1份; 《季度网站安全监控报告》4份; 《网站远程安全巡检报告》3份; 《网站安全现场巡检报告》3份; 《网站安全应急响应报告》(若有安全事件发生则提交该报告) |
五、报名截至时间:2017年10月9日上午11:00 (注:医院国庆放假时间:10月1日—7日)
六、报名地点:泉州市第一医院城东院区信息管理科
七、其它要求与说明:
1、投标人应具有本次招标货物或服务的经营范围;投标产品、服务应符合国家和福建省的政府采购相关规定。投标人应在报名时递交携带公司营业执照副本复印件、税务登记证复印件、组织机构代码证复印件(或者三证合一)、非法人代表参与的需提供法人代表授权函。
2、投标人需具备下列至少一项国内信息安全权威测评认证机构发布的有效的安全服务相关资质(投标人应在投标文件中提供资质证书复印件并加盖投标人单位公章)且获得福建省网络与信息安全测评中心项目授权许可。
u 国家信息安全认证信息安全服务资质证书(安全工程类)
u 中国通信企业协会通信安全服务能力评定证书(风险评估)
u 中国信息安全认证中心ISCCC风险评估服务资质
u 中国信息安全认证中心ISCCC信息系统安全集成服务资质
u 中国信息安全认证中心ISCCC信息安全应急处理服务资质
u 福建省网络与信息安全信息通报中心支撑单位
u 福建省网络与信息安全协调小组办公室网络与信息安全应急技术支撑单位
3、投标价格需含一切施工所需的辅料、实施安装等一切人工费用、税费、售后服务等费用,招标方不再追加相关的一切费用。
4、如对内容有异议的,需要报名期内书面向信息管理科提供书面质疑函,意见合理的,计算机中心将对内容进行修改。
5、根据科室要求,必要时在安排的时间内对项目进行公开演示讲解。
6、根据医院规定,招标过程中供应商不得擅自离开招标现场,否则视为自动放弃竞标资格。
八、联系电话:********查看详情(购物部),********查看详情(信息管理科)
信息管理科
2017年9月27日