南昌市第一医院受南昌市第一医院 委托,根据《中华人民共和国政府采购法》等有关规定,现对南昌市第一医院网络安全运维服务进行其他招标,欢迎合格的供应商前来投标。
项目名称:南昌市第一医院网络安全运维服务
项目编号:/
项目联系方式:
项目联系人:李老师、孙老师
项目联系电话:****-********
采购单位联系方式:
采购单位:南昌市第一医院
采购单位地址:南昌市第一医院采购科老食堂八楼左第五间
采购单位联系方式:李老师、孙老师****-********
代理机构联系方式:
代理机构:南昌市第一医院
代理机构联系人:李老师、孙老师****-********
代理机构地址: 南昌市第一医院采购科老食堂八楼左第五间
一、采购项目内容
依据我院临床需要,拟对下列货/服务进行市场调研,欢迎合格的供应商参加。
一、采购项目内容:
| 序号 |
项目名称 |
预算价 |
| * |
网络安全运维服务 |
***万 |
二、项目需求
*、等保主要工作内容
(*)网络安全等级保护定级和备案服务
(*)网络安全等级保护测评服务
*.* 网络安全等级保护定级和备案服务
(*)服务对象:《信息系统清单》中所含信息系统。
(*)具体要求:
信息系统的定级是开展网络安全等级保护工作的首要环节和基础,测评机构需协助用户单位完成等级保护定级和公安备案工作。为了准确、科学的开展信息系统定级工作,开展进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,进下一步明确要求、落实责任奠定基础。
定级工作将严格遵循《网络安全等级保护定级指南》(**/* *****-**** 征求意见稿),深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求, 细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析,准确判定信息系统安全等级,编制《定级报告》和《备案表》,并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。
工作过程文件及项目交付成果(包括但不限于):公安监管机关颁发的《信息系统安全等级保护备案证明》;
*.* 网络安全等级保护测评服务
(*)服务对象:《信息系统清单》中所含信息系统。
(*)具体要求:
测评机构工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》(**/* *****-****)、《网络安全等级保护测评过程指南》(**/* *****-****)和《信息安全技术 网络安全等级保护基本要求》(等保 *.*)文件。根据系统等级开展相应级别的开展单项测评和整体测评分析;测评报告内容及格式严格遵照网络安全等级保护测评报告最新模版,符合公安部门定级和备案要求。
按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》,遵循《网络安全等级保护基本要求》(**/* *****-****)等技术标准,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 ** 个层面进行测评,并参考采购人自身信息安全管理要求,进行综合分析和整体测评。
应依据信息系统的业务应用和内外部环境,深入调研分析各信息系统资产状况和重要性程度,以及面临信息安全的威胁。
技术方面,物理安全方面应在采用专用测试工具测试和人工现场复核方式;对信息机房的消防、防雷击、防水防潮、防静电、空调、***、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。
管理安全方面应对采购人信息安全管理现状进行需求分析,确定安全管理目标和安全策略,针对信息系统的各类管理活动,梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。
应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、*** 应用漏洞分析工具等对网络、主机等进行渗透测试分析。应采取等级测评、安全审计、风险评估等方法,逐项对照《网络安全等级保护基本要求》的各安全要求项,评估确定系统当前安全防护现状以及与标准要求的差距,判断安全保护建设需求及其分析。
在收集充足数据之后,对现场测评获得的数据进行汇总分析,形成等级测评项目的最终结论,并编制最终的《网络安全等级保护等级测评报告》。
工作过程文件及项目交付成果(包括但不限于):《信息系统网络安全等级保护等级测评报告》;
*、安全服务要求
(*)安全风险评估:基于信息系统现状,参照国家信息安全风险评估规范,对资产、威胁、脆弱性、安全措施进行识别和分析,确定风险计算模型,从物理层、网络层、系统层和应用层等方面进行评估,全面分析系统面临的信息安全风险。
主机漏洞扫描:通过自动化扫描工具,对目标网站服务器、系统服务器、网络设备、安全设备等进行自动化安全扫描进行漏洞扫描、软件漏洞扫描、端口及服务探测、弱口令扫描等,提前发现系统可能存在的各类安全风险,并提供修复建议。
重要时期安全值守:为保证客户单位在重要时期(两会、亚运会、国庆等)信息系统能够正常、安全运行,派驻一名工程师在现场提供*小时安全值守保障工作。
通过现场值守人员对应用、网络、操作系统、应用服务器、数据库及其他设备运行状况进行监测,随时监控系统“健康”状态,如果发现问题及时与用户进行沟通,并提出解决方案,得到用户确认后对出现的问题进行解决,做到及时、准确保证无差错。
须提供专业的漏洞扫描工具,漏洞扫描工具的生产厂家应为《*** ****-****信息安全技术 ***应用安全扫描产品安全技术要求》和《*** ****-**** 信息安全技术 数据库扫描产品安全技术要求》的标准起草单位之一
*、特征库升级
(*)专线防火墙入侵防御库*年升级许可:*、入侵防御攻击规则特征库*年升级服务许可,涵盖*****种以上的攻击检测规则库,支持能够检****攻击、***攻击、******攻击、拒绝服务类、木马类、蠕虫类等攻击。*、规则库支持根据攻击类型、风险等级、流行程度、操作系统等进行分类,防护动作包括告警、阻断、记录攻击报文。*、支持针对地址、应用设置入侵防御白名单,支持攻击规则搜索以及自定义规则,自定义规则支持导入导出。*、支持对威胁事件、攻击来源、受威胁主机、威胁趋势等进行监控统计,并可进行可视化展示。*、能对常见漏洞进行安全防护,兼容国家信息安全漏洞库。
(*)数据中心防火墙入侵防御库*年升级许可:*、入侵防御攻击规则特征库*年升级服务许可,涵盖*****种以上的攻击检测规则库,支持能够检****攻击、***攻击、******攻击、拒绝服务类、木马类、蠕虫类等攻击。
*、规则库支持根据攻击类型、风险等级、流行程度、操作系统等进行分类,防护动作包括告警、阻断、记录攻击报文。*、支持针对地址、应用设置入侵防御白名单,支持攻击规则搜索以及自定义规则,自定义规则支持导入导出。*、支持对威胁事件、攻击来源、受威胁主机、威胁趋势等进行监控统计,并可进行可视化展示。*、能对常见漏洞进行安全防护,兼容国家信息安全漏洞库。
(*)外网防毒墙病毒库*年升级许可:*、专业版防病毒规则特征库*年升级服务许可,涵盖***万种以上流行病毒库,支持对****、***、****、 ****、****等常用应用协议进行病毒检测与过滤。*、支持****、**** **** ****、****和****混合网络,能够在该网络环境中检测出病毒流量。*、支持手动更新、定时自动更新,且支持设置定时更新时间。*、支持病毒白名单和***白名单,防止误拦误报。*、能够防御病毒、木马、蠕虫、间谍软件等恶意软件,且支持对压缩数据、加壳病毒的检测与处理。
(*)漏洞扫描漏扫特征库*年升级许可:*、***漏扫产品特征库*年升级服务许可,涵盖****种以上***漏洞,支持能扫描检测***注入、********、文件上传\下载、目录遍历、***、代码执行、弱口令、******* 欺骗等漏洞。*、支持漏洞生命周期管理,包括未修复、确定、忽略、修复、已验证五种状态。*、支持自定义路径,对有爬取限制链接进行深度扫描。*、支持被动扫描功能,支持****代理和镜像流量两种被动扫描方式。*、爬取策略支持广度优先、深度优先,支持自定义子目录深度、最大页面数、页面最大响应长度。
(*)终端安全管理系统特征库*年升级许可:安装终端管理后台;全模块功能反病毒引擎;多层次主动防御系统;病毒防御;系统防御;网络防御;设备控制等全模块进行授权。防病毒;网络防御;系统防御;漏洞补丁管理;主机防火墙;远程桌面;设备管控;终端管控与资产管理;多级中心 ;终端动态认证;容灾备份;***接口;安全工具。 *、 客户端安装后占用硬盘空间 *** 以内,病毒库大小*** 以内,日常使用内存占用 *** 以内提供界面截图功能证明并加盖厂商公章进行佐证。*、具有终端动态口令验证功能,当终端用户登录计算机时都将弹出动态口令安全认证窗口若用户设置了计算机密码该弹窗将在用户输入正确的账户密码后弹出用户需再次输入正确的动态口令才可登入计算机且可设置应用范围:远程登录时启用或本地登录时启用提供界面截图功能证明并加盖厂商公章进行佐证。*、支持横向渗透防护,防护内网中已中毒机器感染其他主机,阻止横向传播、病毒以及木马的扩散防护项包括默认共享访问、远程服务创建、远程计划任务创建、远程注册表篡改、远程 *** 调用、远程 **** 调用、远程 ***调用有效阻止病毒横向渗透提供界面截图功能证明并加盖厂商公章进行佐证。*、 杀毒软件需提供原厂售后服务承诺函以及与医院现有的准入管理系统联动的 *** 接口二次开发服务承诺函提供原厂商出具的承诺函加盖厂商公章进行佐证.
三、报名要求及报名需提供的相关材料:
(*)具有独立承担民事责任能力的法人;
(*)具有良好的商业信誉和健全的财务会计制度;
(*)具有履行合同所必需的设备;
(*)有依法缴纳税收的良好记录;
(*)近三年内在经营活动中没有重大违法记录;
(*)符合法律、行政法规规定的其他条件;
(*)企业规模证明材料(中小企业声明函),加盖单位公章;
(*)信用中国查询结果截图打印,加盖单位公章;
(*)法定代表人身份证明书或法人授权委托书,加盖单位公章。
(**)供应商需提供中国政府采购网政府采购严重违法失信行为记录名单查询结果截图打印,加盖单位公章。
(**)报名结束后将对报名单位资质进行综合审查,通过资格审核合格后,方可进行调研。
(根据《江西省财政厅关于推行政府采购供应商资格信用承诺制的通知》(赣财购〔****〕*号),决定在我院政府采购领域推行供应商信用承诺制,对参加我院政府采购项目的供应商可以选择承诺制的方式代替以上*-*项资格材料。模版详见附件。)
四、市场调研时需提供的相关材料:
(*)以上第二项报名需要的所有资料(为方便审核,请把报价表附在标书第一页,其他报名材料按顺序依次附在报价表之后。)需要加盖单位公章
(*)根据服务需求提供基本实施方案、工作思路等,除纸质版外,还需要提供汇报***;
(*)该服务用户名单加盖单位公章;
(*)该服务售后联系方式及售后服务承诺;
市场调研时谈判文件要求一正三副,密封。谈判现场须有技术工程师代表在场。
五、报名时间:****年*月*日至****年*月**日**:**止,过期不予受理。
六、咨询(报名)地点:南昌市第一医院采购科老食堂八楼左第五间
七、谈判时间:另行通知
八、联系电话:****-********(李老师、孙老师)
二、开标时间:
三、其它补充事宜
无
四、预算金额:
预算金额:***.****** 万元(人民币)
