医院2023年等保测评及网络安全加固服务

医院2023年等保测评及网络安全加固服务（一）项目背景为全面贯彻落实国家《网络安全法》和等级保护制度，医院需对三级重要信息系统开展年度测评与持续整改，对新纳入等保范畴的系统开展定级备案、测评分析、安全加固、验收测评。开展年度网络安全培训、网络安全应急演练和重要时期网络安全保障等一系列网络安全工作，切实履行《网络安全法》规定的相关网络安全义务。（二）项目目标完成医院9个三级系统和6个二级系统的等保测评工作，开展常态化网络安全自查、整改工作，落实国家《网络安全法》和等级保护制度，提升全院网络安全整体防护能力和管理水平。（三）项目内容医院等级保护测评和常态化网络安全工作，具体如下：1、等保测评服务寻找具备网络安全等级测评与检测评估机构服务认证证书资质的测评机构，依据国家网络安全法最新的要求，对2023年度15个信息系统按照等级保护二、三级最新标准进行差距分析、验收测评。信息系统名称及级别如下：1）三级系统9个：影像信息管理系统，医院信息管理系统、集成平台，医院门户网站系统，检验信息管理系统，精神卫生信息系统，互联网医院系统，数据中心系统，EMR系统，OA系统；2）二级系统6个：医院住院医师规范化培训系统、医院蓝蜻蜓医院感染实时监控管理系统、医院合理用药/前置审方系统、医院心电信息管理系统、心理危机研究与干预中心网站、医院消毒供应质量追溯管理系统。2、新系统上线前安全检测服务对新上线的应用系统开展漏洞扫描、安全配置检测等工作，找出不合规的配置项，形成报告并提供整改建议，通过安全检测后方可上线使用。3、安全通告自查服务对监管机构发出的网络安全要求和安全通告，协助开展安全自查工作，递交安全自查报告，协助整改加固达到监管机构的要求。4、系统安全加固服务需要根据院方的要求，完成补丁更新、操作系统（含Windows和Linux操作系统）安全配置等系统加固工作，并提供技术支持，配合系统管理员完成其他安全加固工作。5、运维与排障服务需要根据院方的要求，处理院内网络设备、安全设备、终端设备系统的运行故障、访问故障等问题排查与修复，配合完成终端接入、访问控制等技术支持服务，并按要求填写故障排查与处置记录表单。6、安全巡检服务检查信息系统是否存在程序安全漏洞，例如SQL注入、跨网站脚本攻击以及缓存溢出等流行的Web应用漏洞，并标明漏洞类型和存在的链接。7、应急响应服务1）必要时，派出人员2小时内前往现场，提供必须的安全应急响应服务。2）建立应急响应小组，对网站入侵、拒绝服务攻击、大规模病毒爆发、主机或网站异常事件等紧急安全问题提供全天候现场技术支持，控制事态发展，无条件提供各类安全技术人员和调动各类资源，确保及时处置安全事件；保护或恢复客户主机、网站服务的正常运行；分析并修补安全漏洞，提取攻击证据，跟踪并追查攻击源；整合证据，形成分析报告。3）对安全评估报告和安全检测报告中提出的问题，进行现场技术支持，提供解决方案，配合系统管理员解决问题。8、安全检查支撑服务协助医院完成上级主管相关检查工作，包含但不限于：报告填写、现状分析、配合等保测评、协助迎检等相关工作。9、重要时期安全保障服务按需求为医院提供重要时期安全保障服务。服务期内不限次提供《重要时期安全保障》服务,必要时，增派5人在医院进行驻点保障。10、安全管理制度完善服务依照等级保护第三级的最新要求，医院应根据等级保护中针对安全管理的相关要求，通过各种手段强化医院的安全管理能力，规范处理流程，建立完善的安全管理制度，做到技术与管理并重。中标单位需依照测评机构对医院信息系统的综合测评结果分析和安全风险分析，协助医院建立一套完善的安全管理制度集，以消除在管理制度方面与等级保护第三级要求之间的差距。11、全院网络安全培训服务针对医院信息技术相关工作人员提供安全培训。包括安全管理体系的设计、安全管理的执行，安全意识、安全攻防知识等，针对普通工作人员，提供安全意识培训，培训次数为每年/2次。12、信息与网络安全应急演练服务通过模拟测试，验证制定的应急预案是否顺畅，确保应急预案的可用性和可行性。应急演练次数为每年/2次。主要包括：应急预案演练设计、演练培训、启动演练、提出应急预案模拟场景的假想状况、要求各小组成员按照计划中赋予的任务作出反应、通过现场演练检验应急恢复的技术流程与预期是否存在偏差，并通过演习对其进行调整以消除这种偏差、根据演练的效果对应急预案进行改进或进行新的应急预案编制、完成演练报告并提交、以简报形式汇报演练状况。13、渗透测试服务对现有重要信息系统渗透测试服务，通过模拟黑客入侵、攻击的方式、对医院网络信息系统进行入侵攻击能力测试，发现网络中存在的安全隐患。14、漏洞扫描服务对医院信息系统、主机、网络设备、操作系统、数据库、中间件以及WEB应用等范围提供安全脆弱性检测、全面的漏洞监测及漏洞扫描服务、提供专业的修复建议,从而避免漏洞被黑客利用,影响网络安全。15、医院网站互联网安全检测针对医院网站进行可用性监测、完整性监测及威胁深度检测，配以灵活的通知告警，全面掌握网站状况，快速发现故障，降低影响减少损失。（四）项目实施要求1.项目工期要求项目服务期限：自合同签订之日起一年。2.人员要求投标方必须为本项目成立本地化安全服务小组，人员不得少于5人。3.服务要求1）新系统上线前安全检测、安全通告自查、全院主机（1400多台终端及100多台服务器）安全检测及加固、安全检查支撑、安全管理制度完善等服务，根据医院实际需求提供支撑。2）安全巡检、漏洞扫描服务，每季度开展1次。3）全院网络安全培训、信息与网络安全应急演练、渗透测试等服务，服务期内开展2次。4）应急响应、网络安全技术咨询服务，随时支撑，不限次数。5）重要时期安全保障服务，按医院实际需求提供支撑，必要时，增派5人在医院进行驻点保障，每季度不少于5个工作日。6）医院网站互联网安全检测服务，7*24小时。7）本项目服务期内免费提供一套安全管理平台，本地化部署用于全院资产的安全运维管理及本项目网络安全服务质量的量化评估。4.服务工具要求投标人为达到本项目的信息安全目标，需提供检查、分析和安全管理工具：漏洞扫描工具、应急响应工具和安全管理平台，产权归投标人所有，其费用包含在项目总价中。服务期过后，服务工具中的数据需保留给医院，数据清除后服务工具返还投标人，确保数据的完整性和机密性。安全管理平台基本功能如下：安全管理平台功能要求表功能模块指标项规格要求资产测绘和管理功能资产发现探测主机资产识别支持自动扫描IP资产信息，包括：“存活IP、设备厂商、操作系统、端口、应用、数据库、中间件、服务版本”等资产指纹特征；网站资产识别支持自动识别网站资产信息，包括：“中间件信息、web框架信息、CMS&OA、程序语言”等指纹信息，支持爬取网站后台、ICP备案编号、网站标题、网站返回码等属性；二级域名扫描支持二级域名扫描功能，输入一级域名进行一键扫描，通过搜索互联网数据，自动获取到该域名的二级域名、网站标题、解析IP地址；IP反查域名监测输入IP或者网段，通过搜索互联网数据，自动获取到IP对应的域名、url链接、网站标题、返回状态码；网站资产相关度分析通过爬取企业单位已知的网站页面，分析网页中是否包含企业单位相关的网站链接，从而发现未知网站；可配置“网段、域名”等命中规则，自动判断是否属于企业单位的网址；资产深度管理下线资产监测可及时发现未存活IP、未存活端口以及访问延迟的网站，可查看未存活IP列表、未存活端口列表，可对未存活的资产进行移除操作新增资产趋势可按最近一周、最近一个月、最近一个季度可查新增的主机IP资产、网站资产，掌握资产新增趋势资产认领资产责任人可认领IP、网站资产，可显示资产认领状态，未认领的资产无法进行编辑。网站风险与威胁监测功能网站风险监测web漏洞监测支持网站漏洞评估能力，提供多种Web应用漏洞的安全检测，如“SQL注入、跨站脚本、文件包含、CSRF、目录遍历”等网站脆弱性漏洞。网站应用监测支持监测网站的可用性、域名劫持等事件网站威胁检测黑链/篡改事件监测高频率监测站点是否存在被黑客植入黑链、篡改的事件，系统需要保留植入黑链、篡改的快照页面，监测频率低至5分钟/次全站敏感词事件监测用户可对不同网站自定义不同的敏感词库，并对企业、单位的网站进行全站页面爬取，发现敏感词字眼。敏感文件事件泄露监测可监测发布到网上的pdf、word、excel文件中是否包含“身份证号、邮箱、手机号码、用户名/密码”等敏感信息，可在系统上查看泄露的信息以及敏感文件下载链接。主机漏洞扫描和漏洞管理功能主机漏洞扫描完善的漏洞库漏洞库漏洞信息大于210000+条，与CVE、CNNVD等主流标准兼容，提供详细的漏洞描述和对应的解决方案描述。支持通过多种维度对漏洞进行检索，包括：CVEID、CNNVDID、漏洞名称、漏洞风险等级等维度。可基于资产的版本信息，全面、快速进行漏洞版本比对，兼容CVE、CNNVD等漏洞库。可入侵漏洞监测集成多种POC对内网资产进行自动漏洞验证与渗透，发现可导致数据泄露、系统入侵、越权等可入侵漏洞，先于黑客发现此类漏洞，主动发现。弱口令监测支持各类应用资产的弱口令扫描，可扫描的应用包括“SSH\SMB\RDP\TELNET\FTP\POP3\VNC\SNMP\VMAUTHD\POSTGRES\MSSQL\MYSQL\ORACLE”支持自定义字典，支持设置弱口令扫描白名单，可以指定某个ip某个应用不执行弱口令扫描。主机漏洞管理漏洞生命周期管理支持漏洞跟踪管理，能够自动对漏洞状态进行处置，自动识别“新增、已修复、未修复”的漏洞，同时支持人工方式进行漏洞状态处置，以及编写漏洞备注。主机配置核查配置核查能力支持20种以上常见设备和应用的配置检查，包括操作系统、应用中间件、数据库。配置核查支持类型操作系统，支持Windows2003/2008/2012/2016/2019/7/8/10/11；支持linux（Centos、Redhat、suse等）；应用服务，支持Linux、Windows下的Apache、Weblogic、TOMCAT、Websphere、Nginx，以及windows2003/2008/2012/下IIS6/7/8；数据库，支持Linux、Windows下Oracle8i/9i/10/11g、Mysql。内网威胁监测功能无侵入式全网病毒监测trunk部署病毒监测节点无需在用户服务器上安装agent，可通过trunk方式将诱捕能力发布到全内网各vlan网段，实现在全内网中部署大量高交互病毒监测诱饵，无侵入式部署不影响用户业务运行，同时极大提高黑客攻击病毒监测诱饵的概率。跨三层监测探针扩展监测探针支持trunk接入客户网络，可通过trunk方式将诱捕能力发布到全内网各vlan网段，实现在全内网中部署大量高交互病毒监测诱饵，同时支持软件和硬件版本的流量牵引探针。病毒诱饵类型支持高交互病毒监测诱饵，并可同时启用：“samba、ftp、ssh、rdp、telnet、mssql、mysql、mongoDB、postgresql、tomcat、weblogic、jenkins、redis、hadoop、memcache、solr、activeMQ、struts2、wordpress、nginx、jboss、joomla、smtp”等，以上服务须为真实应用服务，能够正常交互，欺骗攻击者。病毒处置功能失陷主机微隔离不需要联动第三方设备、不需要在主机上安装agent脚本，就能对失陷主机进行网络隔离，隔离后失陷主机无法访问同网段以及其它网段IP，防止失陷主机继续对东西向主机进行病毒传播、横向攻击等行为。取消微隔离在web管理界面上，支持对已隔离的失陷主机取消微隔离，恢复失陷主机的网络访问权限互联网威胁诱捕功能蜜罐仿真默认仿真蜜罐支持至少10种可自定义logo和公司名称的仿真蜜罐，仿真蜜罐类型包括但不限于：“齐治堡垒机、启明堡垒机、深信服VPN、泛微OA、通达OA、u8crm、wiki、mailcow、bbs论坛、订单管理系统”。完全仿真蜜罐支持通过反向代理的方式，接入用户自身搭建的应用系统，从而实现完全仿真真实业务系统，生成完全仿真蜜罐。智能克隆仿真蜜罐支持智能克隆仿真功能，可以通过自学习的模式对真实业务系统进行遍历访问，形成机器记忆，与真实业务系统一样可进行前后端的数据交互，包括但不限于以下动态交互类型：“搜索查询、登陆验证、账号注册”等，高迷惑性地吸引攻击者攻击蜜罐，要求拟态仿真蜜罐系统为纯静态系统，无需额外提供蜜罐定制服务。攻击吸引引流防御可将访问真实业务系统的流量引流到仿真蜜罐，使攻击无法命中真实业务系统，真正有效消耗攻击资源，并直接保护真实资产。互联网诱饵可在web管理界面上自定义生成github互联网诱饵，可自定义添加蜜罐IP地址、github项目说明、项目提交人信息、邮箱信息等内容，以便黑客可以从互联网上搜索到自定义信息内容，从而转向攻击蜜罐。威胁感知入侵攻击链检测参考MITREATT&CK，采用多种取证技术手段，还原黑客攻击入侵蜜罐的过程，形成黑客攻击链，攻击链检测包含：“针对蜜罐的探测扫描、渗透攻击、攻陷蜜罐、在蜜罐上安装后门远控程序、利用蜜罐进行跳板攻击”等入侵过程。还原攻击数据包支持还原攻击者的网络数据包，包括icmp、tcp、udp等协议的攻击包，可查看攻击者发起的具体攻击请求数据，比如SQL注入、XSS攻击的http请求头部信息。时间轴告警支持时间轴告警分析：可根据基于告警时间/攻击类型/地理位置等对攻击行为进行筛查，其中攻击类型可分类为：“可疑访问、尝试登陆、端口扫描、攻击尝试、强力攻击、异常进程、暴力破解、登陆成功、命令执行、可疑文件、恶意文件、跳板攻击”等类型，对于攻击事件分析起关键作用。攻击溯源攻击者社交信息溯源支持记录攻击者的“黑客社交画像”信息，包括社交账号、手机号、昵称、用户ID、头像等信息，支持多种黑客社交画像，至少包括：QQ、百度、哔哩哔哩等6种不同类型的社交账号。攻击者唯一指纹溯源可基于显卡成像参数、CPU等硬件信息，计算攻击者唯一身份指纹,就算攻击者换了IP也可以通过该指纹确定攻击者。设备指纹溯源设备指纹溯源至少包括：操作系统信息、浏览器指纹、浏览器类型、mac地址、设备厂商、屏幕分辨率、浏览器历史记录、计算机名。攻击反制威慑反制可警告攻击者，比如灌输国家网络安全法、告知已获得相关溯源信息，发挥蜜罐威慑作用，使攻击者放弃后续的攻击行为；可灵活指定对某个攻击源IP地址发起威慑反制。拒绝服务反制可使攻击者浏览器拒绝服务，可灵活指定对某个攻击源IP地址发起拒绝服务反制。数据库诱骗反制可使攻击者在连接数据库类模拟应用时，识别攻击者身份信息。包括但不限于:计算机名称、使用浏览器版本、浏览器历史记录、浏览器上记录的访问账号等。木马诱骗反制可使攻击者下载某个文件时，替换成木马文件，诱骗攻击者下载安装；可在web管理界面上灵活指定对某个攻击源IP地址发起木马远控反制。漏洞攻击反制支持一键扫描攻击源IP地址，探测攻击者主机的开放端口信息、弱口令、漏洞等。服务器Agent安全防护功能服务器Agent告警要求主动威胁监测在用户的服务器、业务系统上安装安全监控软件，主动监测恶意文件（webshell、病毒木马）、挖矿病毒、可疑进程、异常行为等，发现可疑的入侵事件，并实时将告警同步到服务平台。检测任务自定义支持自定义下发服务器入侵检测任务，可指定扫描某个文件目录，以及实时检测变更或者新增的可疑文件服务器Agent防御要求恶意文件检测恶意文件检测包含：Webshell网马、病毒木马、攻击脚本、宏病毒文件等挖矿病毒检测支持检测挖矿病毒，识别挖矿程序文件、挖矿进程名称、进程号、运行参数、CPU运行异常状态、网络连接状态、病毒程序打开的文件网站篡改检测可检测网站文件的篡改行为，包括：“创建、写入、修改权限、重命名、删除”等篡改行为。风险统计报表管理站点报表支持生成各个主机的安全监测报表、各个网站的安全监测报表，报表类型包括：excel、word、html。综合报表支持生成主机安全监测综合报表、网站安全监测综合报表，报表类型包括：excel、word、html。监测维度报表支持生成某个监测维度报表，包括：敏感词事件报表、敏感文件事件报表、黑链事件报表、失陷主机事件报表、可用性事件报表、域名劫持事件报表、漏洞列表等各个监测维度的报表监测中心监测中心展示整体安全监测概况，呈现主机资产信息以及主机监测雷达图，包含：“弱口令、可入侵漏洞、高风险漏洞”等概况；呈现攻击监测诱饵监测概况，包含：“失陷主机统计、攻击链统计、威胁趋势”等。大屏展示支持大屏展示功能，可视化呈现监测中心的数据，包括主机资产监测概况、攻击监测诱饵监测概况，大屏界面能够自动刷新监测数据，实时展示最新监测结果。其他功能多级用户管理二级用户关联资产运维一级用户可创建与管理二级用户，并可给二级用户关联资产，

多级用户管理，一级用户可查看与管理二级用户所有资产风险信息，二级用户只能查看与管理自身的资产风险信息。告警微信告警支持微信告警。邮件告警支持邮件告警，可自定义告警邮箱系统管理用户管理支持创建三类角色用户：管理员、操作员、审计员，支持账号安全策略设置，可设置密码最长天数、最小天数、登录失败锁定次数、登录超时时间、登录IP地址白名单等安全策略。漏洞扫描工具基本功能如下：漏洞扫描工具功能要求表功能模块指标项规格要求数据库安全检测工具扫描类型支持IPV6地址检查支持对数据库弱点、不安全配置、安全策略、补丁升级、弱口令安全检查支持主流Oracle、SQLServer、DB2、Informix、MySQL、Sybase数据库类型，支持达梦、金仓国产数据库扫描方式支持授权扫描，使用具有DBA权限的数据库用户，执行选定的安全策略实现对目标数据库检查非授权扫描,用户在没有授权的情况下（即：不需要数据库用户名、密码），根据选定的安全策略对目标数据库进行的检测支持自动搜索功能，可以自动搜索出某一网段或指定IP范围内（端口号可默认或指定范围）的活动数据库，获得数据库的基本信息（包括IP、数据库类型、服务名、端口号、数据库版本等）扫描定制支持按时、按日、按周定制扫描计划，到时间自动进行扫描任务备份支持数据库检查任务以文件形式导出备份支持以文件形式导入检查任务报表定制支持自定义报表：报告内容可以自定义(如：报表的标题、描述、页眉、页脚、等相关信息满足不同场景报表输出需要敏感信息检测支持针对数据库每张表每个字段的内容进行敏感数据探测网站安全检测工具扫描对象支持WEB2.0，支持各类JavaScript脚本解析支持WAP站点扫描支持FLASH解析支持ERP等复杂的Web应用系统扫描支持易通、织梦、DEDECMS、Discuz、Ecshop、易思、方欣、大汉、科讯、通达OA、PHPCMS、PHP168、PHPCMS2008、phpcmsv9、SHOPEX、SiteServercms、TRS、Nginx代码执行、Spring代码执行、亿邮邮件系统命令执行等国内、国外知.名WEB应用程序漏洞扫描支持JSP、CGI、ASP、.NET等类型动态页面扫描过程控制支持扫描原始数据、测试数据的查看与浏览器回放显示支持对扫描用时、扫描页面数、发包数、页面请求时间等扫描过程数据进行统计支持实时存储扫描项目文件、断点续扫扫描方式支持主动扫描、被动扫描两种模式的深度扫描；支持多域名批量扫描支持定制扫描：用户可根据目标扫描网站的特点以及所在网络环境，对扫描过程进行定制，如爬行、检测、过滤、网络环境等支持多种网站认证方式：支持包括Basic、Digest、NTLM在内的认证方式，支持HTTP和SOCKS代理，并支持各种代理的认证方式系统漏洞检测工具对象支持支持对MicrosoftWindowsXP/2003/Vista/2008/7、SunSolaris、HPUnix、IBMAIX、IRIX、Linux、BSD等操作系统进行漏洞扫描支持对Web、FTP、电子邮件等应用系统以及Office、Apache等常用软件进行漏洞扫描支持对网络设备进行漏洞扫描扫描控制支持多种扫描策略，包括常规完全扫描、高强度完全扫描、高强度扫描、中强度扫描、低强度扫描、Windows主机扫描、类Unix主机扫描等扫描策略，方便用户快速选择支持自动统计总体漏洞数量、统计不同操作系统类型的主机数量、统计所有开发端口、可用帐户、列出每一个漏洞所存在的主机、详细描述与修补建议。漏洞详细描述包括：漏洞名称、详述、修补方案、CVE/Bugtraq/CNCVE/CNNVD编号、CVSS评分等支持设置跳过主机发现进行扫描支持设置主机发现方式进行扫描支持UDP端口扫描及端口对应服务探测，并支持端口扫描范围设置资产管理支持资产管理并从资产管理中导入资产记录进行扫描应急响应工具基本功能如下：应急响应工具功能要求表功能模块指标项规格要求应急处置任务管理支持新建应急处置任务，包括事件名称、事件等级、事件发生时间、事件发生单位关键信息记录资产与数据管理支持按资产上传专用数据采集工具所生成的采集数据包，并对上传数据进行分析支持添加多个处置对象资产，分别上传所采集的数据信息数据分析支持设置线索，发现关键可疑行为，包括IP线索、关键词线索、文件名线索、时间线索的设置支持对所采集的系统配置数据、使用痕迹数据、运行状态数据、恶意代码情况、系统日志、中间件日志等进行数据分析支持按照策略进行自动分析，包括非授权时间登录、口令爆破、恶意启动项、DDOS、可疑账号、木马回连、webshell攻击、SQL注入、java反序列化攻击等主机安全事件、网站安全事件、病毒感染事件等高危、中危、低危、信息等级的安全事件进行分析，形成可疑行为事件支持手动分析，支持处置人员查看采集的数据信息，标记关键数据形成可疑行为事件支持根据所提供的线索自动发现关键可疑行为并进行标记可疑行为信息应可疑行为名称、行为时间、行为描述、行为主机、危险等级等关键信息支持在处置过程中的发现，动态调整线索内容并进行重新分析情况调查支持安全事件基本情况调查，包括系统名称、备案等级、时间发生时间、调查处置时间的记录，支持处置过程人员记录，包括涉事单位人员、研发单位人员、运维单位人员、调查人员相关信息记录支持访谈笔录的管理并提供事件调查详表、事