一、项目名称:武陟县人民医院网络安全考核保障与安全托管技术服务。
1、渗透测试服务
输出结果:《渗透测试报告》
2、外网资产暴露面检测
(1)互联网资产详情:互联网主机IP及资产类型、互联网网站URL等。
(2)风险暴露面排查:风险端口、后台页面、弱口令、可入侵漏洞等。
3、网站安全监测服务
投标人对招标方网站提供7×24小时的网站安全监测服务,发现网站漏洞、网页篡改等安全问题,确保网站安全稳定运行。服务期内投标人免费提供专业的网站安全监测工具,并放置在招标方机房指定位置专用,提供以下服务能力:
(1)Web漏洞监测:具备多种Web应用漏洞的安全检测能力,如“SQL注入、跨站脚本、文件包含、CSRF、目录遍历”等网站脆弱性漏洞。
(2)网站应用监测:监测网站的可用性、域名劫持等事件。
(3)黑链/篡改事件监测:高频率监测站点是否存在被黑客植入黑链、篡改的事件,系统需要保留植入黑链、篡改的快照页面,监测频率不高于5分钟/次。
(4)敏感词全站监测:可自定义不同的敏感词库,并对网站进行全站页面爬取,发现敏感词字眼,包括文字文档等敏感信息监测。
交付成果:利用网站安全监测工具,实现对招标方网站风险的掌控:
(1)能展示网站风险的数量统计、分布及变化趋势,并可进行网站风险的详细查询。
(2)根据需求交付《网站安全监测报告》。
4、互联网数据泄露监测服务
从“攻击者视角”监控招标方外网暴露的资产和风险,使得这些可能会被攻击者发现的资产风险系数降低。
5、资产梳理服务
服务期内投标人提供资产梳理服务,协助招标方做好网络内部信息化资产的各项管理,免费提供专业的资产管理工具,并放置在招标方机房指定位置专用。提供以下服务能力:
(1)主机资产识别:支持自动扫描IP资产信息,包括:“存活IP、设备厂商、操作系统、端口、应用、数据库、中间件、服务版本”等资产特征。
(2)网站资产识别:支持自动识别网站资产信息,包括:“中间件信息、web框架信息、CMS&OA、程序语言”等指纹信息,支持爬取网站后台、ICP备案编号、网站标题、网站返回码等属性。
(3)二级域名扫描:提供二级域名扫描功能,输入一级域名进行一键扫描,通过搜索互联网数据,自动获取到该域名的二级域名、网站标题、解析IP地址。提供服务工具界面截图证明并加盖原厂商公章。
(4)IP反查域名监测:输入IP或者网段,通过搜索互联网数据,自动获取到IP对应的域名、url链接、网站标题、返回状态码。提供服务工具界面截图证明并加盖原厂商公章。
(6)MAC地址自动识别:不需要联动第三方设备、不需要在主机中安装任何代理、无需主机开放任意端口,就可支持对跨网段的IP或多个网段进行MAC地址探测识别,支持识别MAC地址的设备类型包含:“Windows、Linux、国产操作系统、交换机\路由器、安全设备、打印机、物联网设备、医疗设备等”,提供服务工具界面截图证明并加盖原厂商公章。
交付成果:利用资产梳理工具,实现招标方信息化资产的系统、自动化管理:
(1)下线资产监测:可及时发现未存活IP、未存活端口的主机和网站资产,可查看未存活IP列表、未存活端口列表,可对未存活的资产进行移除操作。
(2)新增资产趋势:可按最近一周、最近一个月、最近一个季度可查新增的主机IP资产、网站资产,掌握资产新增趋势。
(3)资产台账:通过资产梳理工具实时生成招标方资产台账。
6、主机脆弱性扫描服务
服务期内投标人提供主机脆弱性扫描服务,对招标方网络、服务器及应用系统进行漏洞发现、漏洞追踪,以建立漏洞管理长效机制,并提供专业的漏洞扫描工具,放置在招标方机房指定位置专用,提供以下服务能力:
(2)可入侵漏洞监测:集成多种POC对内网资产进行自动漏洞验证与渗透,发现可导致数据泄露、系统入侵、越权等可入侵漏洞,先于黑客发现此类漏洞,主动发现。提供服务工具界面截图证明并加盖原厂商公章。
(3)弱口令监测:支持各类应用资产的弱口令扫描,可扫描的应用包括“SSH\SMB\RDP\TELNET\FTP\POP3\VNC\SNMP\VMAUTHD\POSTGRES\MSSQL\MYSQL\ORACLE”支持自定义字典。
(4)支持漏洞跟踪管理,能够自动对漏洞状态进行处置,自动识别“新增、已修复、未修复”的漏洞,同时支持人工方式进行漏洞状态处置,以及编写漏洞备注。提供服务工具界面截图证明并加盖原厂商公章。
交付成果:利用漏洞扫描工具,实现对招标方信息化资产漏洞的实时掌控:
(1)可实现资产漏洞数量统计、变化及趋势,并可进行漏洞的查询。
(2)根据需求自动导出《漏洞扫描报告》。
7、配置核查服务
服务期内投标人提供操作系统、中间件、数据库等的配置核查服务,并提供配置核查工具,放置在招标方机房指定位置专用,提供配置核查结果及加固建议。
(1)配置核查能力:支持20种以上常见设备和应用的配置检查,包括操作系统、应用中间件、数据库。
(2)配置核查支持类型:操作系统支持Windows2003/2008/2012/2016/2019/7/8/10/11;支持linux(Centos、Redhat、suse等);应用服务,支持Linux、Windows下的Apache、Weblogic、TOMCAT、Websphere、Nginx,以及windows2003/2008/2012/下IIS6/7/8;数据库,支持Linux、Windows下Oracle8i/9i/10/11g、Mysql。
交付成果:提供《配置核查报告》。
8、协助安全加固
在发现安全漏洞风险时,提供协助安全加固服务,协助指导招标方及时修复资产存在的风险隐患,提高资产的网络防御能力,消除或降低信息系统安全风险,保障招标方信息系统的安全性和稳定性,有效防范各类网络攻击和安全威胁。
9、漏洞防护服务
服务期内投标人免费提供专业的主机漏洞防护工具,并放置在招标方机房指定位置专用,提供以下服务能力:
精准检测恶意攻击源、扫描源,并可基于告警风险值、或者定向源进行屏蔽,使漏洞扫描器、恶意攻击源无法扫描到主机存在的漏洞。提供服务工具界面截图证明并加盖原厂商公章。
10、全网威胁诱捕服务
投标人应协助招标方建立常态化的主动防御机制,转换攻守态势,并通过安全自查、攻击诱捕,反被动为主动。服务期内投标人提供威胁监测诱捕服务,并提供专业的威胁监测诱捕工具,放置在招标方机房指定位置专用,提供以下服务能力:
(1)蜜罐/蜜网类功能:支持智能克隆仿真功能,可以通过自学习的模式对真实业务系统进行遍历访问,形成机器记忆,与真实业务系统一样可进行前后端的数据交互,包括但不限于以下动态交互类型:“搜索查询、登陆验证、账号注册”等,高迷惑性地吸引攻击者攻击蜜罐,要求拟态仿真蜜罐系统为纯静态系统,无需额外提供蜜罐定制服务。提供服务工具界面截图证明并加盖原厂商公章。
(2)引流防御:可将访问真实业务系统的流量引流到仿真蜜罐,使攻击无法命中真实业务系统,真正有效消耗攻击资源,并直接保护真实资产。
交付成果:利用威胁监测诱捕工具,实现对招标方信息化威胁的主动防御:
(1)可直观呈现攻击链每个阶段的安全事件。
(2)根据需求提供《威胁监测诱捕报告》。
11、主机威胁监测服务
主机安全是安全保障的最后防线,需要重点防范,投标人提供7×24主机安全监测服务,重点检测成功入侵主机行为。服务期内投标人免费提供专业的主机威胁监测工具,并部署在招标方指定机房指定位置和主机,提供以下服务能力:
(1)主动威胁监测:主动监测恶意文件(webshell、反弹shell、病毒木马)、挖矿病毒等,发现可疑的入侵事件。提供服务工具界面截图证明并加盖原厂商公章。
(2)检测任务自定义:支持自定义下发服务器入侵检测任务,可指定扫描某个文件目录,以及实时检测变更或者新增的可疑文件。
(3)恶意文件检测:包含Webshell网马、病毒木马、攻击脚本、宏病毒文件等。
(4)文件篡改检测:可检测网站文件的篡改行为,包括:“创建、写入、修改权限、重命名、删除”等篡改行为。提供服务工具界面截图证明并加盖原厂商公章。
交付成果:《主机威胁监测报告》。
12、应急响应服务
交付成果:《应急响应报告》
13、现场运维巡检服务
投标人提供定期的对招标方安全设备进行安全检查,确保设备安全稳定运行。
(1)检查现有安全设备的各项运行指标是否正常,查看各项设备硬件运行状态是否正常。
(2)检查各项安全设备的软件版本(如操作系统补丁、防病毒系统病毒库等)是否需要升级,并在得到网络安全管理人员同意的情况下协助对各项内容进行升级。
(3)查看安全设备的日志,分析目前的安全风险情况。
(4)根据安全硬件设备的运行情况,在招标方网络/信息系统发生变化时或按照优化实施安排,投标人应提供安全策略变更和调优服务。
(6)安全设备的安全策略应始终随着业务和风险的变化同步调整和优化,保障招标方信息系统始终处于有效的安全防护范围。
交付成果:《安全巡检报告》、《安全策略优化报告》。
14、流量监测服务
投标人需对招标方网络提供流量检测服务,及时发现网络流量异常、攻击等安全问题,确保招标方网络流量安全稳定运行。服务期内投标人免费提供专业的流量检测工具,并部署在招标方机房指定位置,提供以下服务能力:
(1)通过流量镜像对海量流量进行采集,不少于80000威胁特征库,对于捕获的流量进行存储、分析,内置多重检测引擎,包含入侵检测、web检测、威胁情报等,结合攻击源、风险等级、地理位置、攻击目标、命中规则数、告警次数等因素综合分析,精准识别攻击源头,发现不同场景下的已知威胁和未知威胁。
交付成果:《流量监测报告》。
15、重保支撑服务
在国家、省市或行业等组织举办的重要活动期间,投标人为招标方提供的重要时期安全保障服务,以确保重大活动期间招标方重要业务系统正常安全稳定的运行。
交付成果:《重保支撑服务报告》。
16、安全培训服务
利用已有的网络安全培训体系为招标方建设网络安全人员培训机制,投标人应根据招标方人员现状设计出适应单位人员能力提升的课程体系,进行周期性的安全意识、安全技术、开发安全、安全管理等内容进行选择性培训,加强整体的安全水平。
交付成果:《网络安全培训材料》。
17、应急演练服务
交付成果:《应急演练报告》。
18、检查协助服务
随着国家对网络安全的越发重视,法律的逐步完善,网信、公安、行业监管部门承担安全监管职责,会不定期对重点单位进行安全检查。
投标人在公安、网信等监管和主管部门网络安全检查期间,提供安全检查协助服务,配合招标方积极应对监管单位的网络安全检查工作,并针对检查出的问题进行处置。
19、风险评估服务
投标人需依据GB/T20984-2022《信息安全技术信息安全风险评估方法》、GB/T31509-2015《信息安全技术信息安全风险评估实施指南》等标准,以科学的方法和手段,系统地分析招标方网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。
交付成果:《风险评估报告》。
★以上所有参数为基础要求,投标方可多于招标方的需求参数,不能少于基础要求参数(必要项)。
三、服务要求:
(1)投标人具有ISO管理体系认证证书3个及以上,提供证书复印件及官网查询截图,并加盖投标人公章。
(2)投标人具备“中国信息安全测评中心”或“中国网络安全审查技术与认证中心”或“中国电子工业标准化技术协会信息技术服务分会”颁发的信息安全服务资质证书或运行维护资质证书3个及以上,提供证书复印件及官网查询截图,并加盖投标人公章。
(3)服务内容中服务期内投标人免费提供的服务工具,部署在招标方指定机房指定位置,投标人须提供承诺函并加盖投标人公章;同时服务工具须满足国家有关规定,工具需具备“网络关键设备和网络安全专用产品安全认证证书”或“计算机信息系统安全专用产品销售许可证”,提供证书复印件并加盖原厂商公章。
(4)投标人须具有近一年以来河南省内医院类似的安全服务案例,提供至少2个客户名单及合同,并加盖投标人公章。
四、中标人要求:
服务期限:一年。
五、评标地点:武陟县人民医院门急诊医技综合楼四楼小会议室1。
八、招标控制价:270000元(大写:贰拾柒万元整),投标人报价高于控制价的将作废标处理。
九、投标人要求:
2、投标人团队成员需具备网络安全专业能力,至少2个人员具备“注册信息安全专业人员”(CISP)证书,提供人员近3个月社保缴纳证明、资质证书电子扫描件及官网查询截图,并加盖投标人公章。
十一、评标办法:首先对所有投标人进行资格审查;符合招标要求的投标人依次向评标小组递交第一轮报价和第二轮报价,第二轮报价结束后,评标小组对投标人进行议价,议价结果为签订合同价,报价需加盖公章或委托代理人签字按手印,报价必须按照投标人须知中第二项服务要求进行报价,直至验收后的所有费用,遇市场和政策变动,价格不予调整。
十二、中标人确定:依据第二轮报价结果、投标人服务能力、服务承诺,评标小组综合评选出中标人。
十三、付款方式:验收后付至合同价的90%,服务期结束支付合同价剩余的10%。
十四、坚持公开、公平、公正、诚实信用原则,坚持按同一标准对待所有投标人。
十五、成交的投标人提供全额发票,税率执行普通税率(税费包含在报价内)。
十六、投标人准备和参加投标活动发生的费用自理。
十七、本次邀请招标未尽事宜,最终解释权为武陟县人民医院。