网络信息和数据安全技术等级保护建设需求

网络信息和数据安全技术等级保护建设需求一、项目概况各医疗卫生机构按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，应在规划和申报阶段确定网络安全保护等级。各医疗卫生机构应全面梳理本单位各类网络，根据网络的功能、服务范围、服务对象和处理数据等情况，依据相关标准科学确定网络的安全保护等级。第三级的网络应委托等级保护测评机构，每年至少一次开展网络安全等级测评。第二级的网络应委托等级保护测评机构定期开展网络安全等级测评，其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评。《医疗卫生机构网络安全管理办法》中要求，各医疗卫生机构在网络运营过程中，应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查，及时发现可能存在的问题和隐患。针对安全自查、监测预警、安全通报等过程中发现的安全隐患应认真开展整改加固，防止网络带病运行，并按要求将安全自查整改情况报上级卫生健康行政部门。自查整改可与等级测评问题整改一并实施。并鼓励三级医院探索态势感知平台建设，及时收集、汇总、分析各方网络安全信息，加强威胁情报工作，组织开展网络安全威胁分析和态势研判，及时通报预警和处置，防止网络被破坏、数据外泄等事件。建立应急处置机制，通过建立完善应急预案、组织应急演练等方式，有效处理网络中断、网络攻击、数据泄露等安全事件，提高应对网络安全事件能力。积极参加网络安全攻防演练，提升保护和对抗能力。二、技术要求（一）项目服务内容序号服务分项产品功能用途/服务内容简述单位数量1等保测评服务安全等级测评服务1.1提供4个三级系统、1个二级系统的安全等级保护测评服务。1.2提供院内≥50个系统等保一级的定级服务。次12网络安全差距整改服务威胁监测与主动响应服务提供漏洞扫描及修复、重保监测服务、API风险监测服务、威胁监测及应急响应服务。年13驻点人员（安全运维方向）提供驻点人员1人；（按国家法定工作日，现场驻点）；提供安全排查、安全保障及响应、基线检查、等保测评辅助、重保值守、巡检服务等院内其他网络安全工作。年14渗透测试服务对采购人已发布在互联网的25个系统进行渗透测试。在渗透测试开始前收集渗透测试所需资料及渗透测试网络环境的准备，协助安全公司派驻的渗透测试工程师解决在渗透测试过程中会遇到的其他突发情况。年15数据分类分级提供数据分类分级服务，依据分类结果，构建全面的数据资产台账。年16应急演练组织一次全院信息安全风险意识培训，提升医院全员的信息安全防范意识。同时，定期对两个关键系统（体检系统与互联网医院系统）进行年度应急演练，确保应急响应流程的有效性和系统的稳定性。次17医院全网安全威胁检测和事件响应平台服务以平台和探针组件组合成安全感知系统，提供资产中心、风险管理、检测响应、安全监控、攻防百宝箱等基础功能模块，能够容纳180天安全日志、端审计日志的存储。中标人自带设备，接入单位网络全部流量。年18网络运维服务及值守（网络方向）1驻场网络互联保障及处置1人，配合医院做好网络运维服务及值守。2有线网络维护：包括内外网核心交换机、汇聚交换机、接入交换机、内网核心防火墙板卡的运行情况监测，分析并排除交换机设备、网络链路的异常情况，以及交换机配置维护、备份，医疗设备的网络接入的维护和保障。3无线网络维护：包括内外网无线控制器、无线AP的运行情况、无线信号的质量监测，移动护理推车、PDA、心电监护仪等医疗设备接入无线网络的维护和保障，分析并排除无线网络中的异常情况，以及无线控制器配置维护、备份。4新增网络接入的规划、方案制订，并根据方案进行交换机、无线AP的上线、配置、连通保障，以及新增设备的配置维护。5内网出口区路由器维护，分析并排除设备、网络链路的异常情况，以及路由器配置维护、备份。外部接入专线链路维护、IP路由连通性配置和测试，配合专线运营商进行链路接入、保障、故障排查工作。6IP地址维护：根据医院的IP规划，进行IP地址的下发和回收，并维护更新IP地址规划表。7网络拓扑维护：对现网拓扑进行整理，更新网络拓扑，对新增、下线、调整的网络接入点需要及时完成网络拓扑图的更新。8网络区域间访问控制策略开通、维护、删除。根据业务需要，进行业务访问开通区域间的访问控制策略，并根据策略需要完成相关交换机、路由器、防火墙的安全控制策略配置。9院内座机电话日常维护：电话系统的维护、分机号码的维护、连接线路的调整。按需完成分机号码的发放、通话权限的调整、电话线路调整和故障排除，配合第三方运维单位进行电话系统的故障排除工作。10其他网络互联工作配合：其他单位、部门、项目设备需要接入网络，配合完成网络接入工作，并根据需要分配IP地址、配置路由和访问控制策略。年19数据安全服务蜜罐数据风险溯源服务在重保期间提供设备租用服务，使用时设备为最新规则库。通过业务仿真、诱饵设置、探针部署等方式进行攻击捕获和行为监控分析。年110数据安全风险评估至少对二个系统各进行一次数据安全风险评估服务，出具数据安全风险评估报告，制定整改计划。年111个人信息保护影响评估至少对二个系统各进行一次个人信息保护影响评估服务，提供个人信息保护影响评估报告。年1（二）服务技术要求序号服务分项产品功能用途/服务内容简述1等保测评服务安全等级测评服务1.1聘请持有等级保护测评资质、管理部门认可的信息安全等级测评机构，按照国家信息安全等级保护的管理规范和技术标准，对采购人已经完成等级保护建设的信息系统进行等级测评，获得测评结果通知书。1.2提供4个三级项目（HIS系统（电子病历系统）、集成平台、互联网医院、CDR）、1个二级项目（官网）的安全等级保护测评服务。1.3提供院内≥50个系统等保一级的定级服务。2网络安全差距整改服务威胁监测与主动响应服务2.1漏洞扫描及修复：线上运营工程师每月至少1次对院内≥200个资产进行安全漏洞扫描，完成安全漏洞扫描并输出《漏洞扫描报告》和《漏洞修复方案》后，通知并协助系统厂家进行漏洞修复并跟进漏洞修复情况完成问题闭环。2.2重保监测服务:在“两会”、“国庆”、“春节”重点保障时期，由安全运营中心7x24小时进行安全监测值守，当发现安全威胁时，联合运营工程师对安全威胁事件进行分析及处置。2.3通过API监测设备，定期（按月）出具API风险监测及审计报告。2.4威胁监测及应急响应：由安全运营中心7x24小时进行安全监测值守，当发现安全威胁时，驻场工程师联合运营工程师对安全威胁事件进行分析及处置。2.5服务期间高危安全事件支持微信小程序实时推送，小程序可查看服务团队人员信息、服务工单、安全事件、资产漏洞，确保服务事项及时通告。2.6支持威胁管理，可实时监测网络安全状态，对攻击事件自动化生成工单，及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件。2.7需自备服务工具，要求：支持联动云端智能运营平台，支持流量日志分析、事件聚合、云端专家研判，安全事件微信端就可接受预警和处置。2.8需自备服务工具，要求：支持一键云鉴定服务，提供云端专家+沙箱+多引擎鉴定能力，结合云端威胁情报对已告警的威胁文件再次进行综合研判并给出黑白结果，可自助对管理平台告警的威胁快速判断是否误报和了解威胁详情。2.9需自备服务工具，要求：支持跳转链接至云端威胁情报中心，针对已发生的威胁提供详细的分析结果，包含威胁分析、网络行为、静态分析、分析环境和影响分析。2.10需要自备服务工具，工具部署在虚拟机上实现网端联动，以可视化形式展现攻击故事，提供可视化的进程树溯源，可直观看出攻击入口、相关操作行为、高危实体文件等信息，协助客户进行事件攻击溯源和研判分析。2.11需要自备服务工具，通过网端联动实现对攻击事件深度分析，展示每步关键进程相关的文件行为、域名访问行为、进程操作行为、命令行参数等攻击相关的关键行为，帮助用户快速了解攻击者操作，洞悉目的和危害面。3驻点人员（安全运维方向）3.1驻点人员1人（按国家法定工作日，现场驻点）；了解各厂商设备的调试及策略配置，具有抓包分析、网络故障排查能力和基础的安全日志分析能力，负责医院日常的安全问题处置及巡检和基本服务工作实施。3.2负责院内安全保障及响应处置，协调安全公司安全运营安全团队，配合医院做好威胁监测与主动响应服务。3.3.等保测评：负责在等保测评开始前完成对本年度所需要测评的系统进行网络安全设备、网络设备、服务器和系统运行环境进行整理自查，测评过程中协调配合等保测评公司完成机房内安全设备、网络设备、服务器、系统运行软件环境的演示，全程参与等保测评工作，对测评过程发现的问题，督促软件厂商进行整改并协调安全公司进行复测。3.4重保值守:在“两会”、“国庆”、“春节”重点保障时期，提供7x24小时安全值守工作，当发现安全威胁时，对安全威胁事件进行分析及处置。3.5终端病毒防护：巡检全院所有终端（大约1500台）的病毒防护情况，根据防毒墙软件日报及时发现并处置已感染的终端，并追溯病毒感染途径，检查出防护漏洞避免再次感染病毒。3.6月度巡检：每月对现有网络安全设备进行巡检、根据月度安全运营现状进行分析总结，对已发现的安全事件进行工作闭环，形成工作月报并汇报。3.7服务器巡检：日常巡检全院所有服务器，包含硬件及虚拟服务器（≥400台），对服务器资产进行安全策略防护巡检，输出服务器安全巡检报告，检查出防护漏洞并加强防护，一年两次。3.8基线核查：通过漏扫设备，核查全院所有系统，对操作系统、数据库、中间件进行基线核查，输出基线核查报告，制定整改计划，一年两次。3.9配合医院安排的其他网络安全工作。3.10需自备服务工具，要求：支持按“一个中心、三重防护”的架构展示检测结果，每个检测结果呈现具体问题及整改建议，系统支持手动核查确认、整改后重新检测、以及手动导入全局分析和人工核查报告来对测评报告中的结果进行核查确认，其中手动核查确认支持单项核查确认和批量核查确认。3.11需自备服务工具，要求：支持提供检测结果综述分析，按照等保2.0的检测项要求，统计业务系统存在的不符合、部分符合、符合、待确认、不适用检测项，直观了解自身业务系统合规情况。3.12需自备服务工具，要求：集成威胁知识库、风险分值自动计算功能，根据相关标准和规范，对资产识别、弱点分析输出的结果进行综合分析。4渗透测试服务4.1渗透测试：在渗透测试开始前收集渗透测试所需资料及渗透测试网络环境的准备，协助安全公司派驻的渗透测试工程师解决在渗透测试过程中会遇到的其他突发情况。4.2服务频次：对采购人已发布在互联网的25个系统进行渗透测试。4.3招标方授权后，投标方应通过模拟黑客攻击行为通过本地或远程方式对目标对象进行非破坏性的入侵测试。4.4渗透测试应至少包括但不限于以下范围的漏洞：即WEB应用系统渗透、主机操作系统渗透、数据库系统渗透。4.5渗透测试内容包括但不限于：身份验证类、会话管理类、访问控制类、输入处理类、信息泄露类、第三方应用类。4.6渗透测试人员应针对使用不同技术手段，发现不同纬度的漏洞进行验证，并形成记录和报告。4.7需自备服务工具，要求：支持弱密码主动扫描，其中服务类型至少支持Oracle、MSSQL、MySQL、SMB、RDP、SSH、Redis、MongoDB、WINRM、RSYNC、ACTIVEEMQ、SVN、WEBLOGIC、TOMCAT等协议。4.8需自备服务工具，要求：支持风险信息展示，其中包括脆弱性总数、风险等级分布、紧急漏洞发现、Web漏洞数量、系统漏洞数量、基线风险数量、弱口令风险数量。5数据分类分级5.1通过数据分类分级工具，对所有数据库进行自动标识工作。形成数据资产台账。5.2服务产物:《数据分类分级标准及保护要求指南》《系统数据分类分级结果》。6应急演练6.1针对两个系统（体检和互联网医院），信息安全风险意识培训。6.2根据实际情况，为单位提供应急预案编写，结合应急预案，制定详细的应急演练方案，并协助开展应急演练，应急演练前，组织全体参演人员学习演练脚本并解说注意事项，通过应急演练加强安全应急预案的可执行性。6.3需自备服务工具，要求：具有高危0day事件告警功能，支持高危0day实时检测，出现0Day漏洞时，主动对所监控用户业务做扫描发现，重要网络安全事件和安全漏洞快速预警通告和检测，检测结果第一时间定向推送到客户，能够支持微信端实时推送告警信息。6.4需自备服务工具，要求：支持基于零信任的威胁诱捕功能，管理员可以创建多种蜜罐（包含但不限于“SSH蜜罐”,"HTTPS蜜罐",“FTP蜜罐”，"SMTP蜜罐"、“docker蜜罐”等），每一种蜜罐具备对应的协议特征用于欺骗攻击者，且不响应攻击者交互命令。7医院全网安全威胁检测和事件响应平台服务7.1以平台和探针组件组合成安全感知系统，提供资产中心、风险管理、检测响应、安全监控、攻防百宝箱等基础功能模块，能够容纳180天安全日志、端审计日志的存储。借助原生的流量采集与端点采集工具聚合关键数据进行分析，精确生成安全事件并自动回溯完整攻击链，内置微剧本以半自动化方式高效智能响应，帮助单位及时发现威胁状况。自带安全监测设备，满足采购方需求。7.2支持跨三层取MAC地址，识别资产MAC地址，并能够解决不同资产IP冲突问题，以及DHCP场景IP变更的问题。7.3支持流量实时识别漏洞分析，漏洞分析类型包含配置错误漏洞、OpenSSH漏洞、OpenLDAP等操作系统、数据库、Web等，页面上支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建议，并支持导出脆弱性感知报告。7.4支持资产全生命周期自动管理，包括资产自动发现、多级资产、资产入库审核、资产离线风险识别、资产退库、资产数据更新，责任人管理机制等。7.5支持基于人工渗透、程序自动化、业务风险相关、其他等4个维度对告警进行分类，帮助安全人员快速处置高危告警。7.6支持展示内网收件人IPTOP5、外网发件人账号TOP5、危害和处理建议；支持展示恶意邮件详情，包含但不限于内网收件人账号、恶意邮件数量、外网发件人账号、附件名称、病毒名称、恶意链接。7.7支持与现网中的深信服防火墙、行为管理等自有设备进行联动，包括但不限于联动封锁、访问控制、上网提醒、冻结账号、一键查杀等。7.8支持具备元数据行为分析引擎：安全日志、Downlow行为、HttpFlow行为、MailFlow行为、SmbFlow行为、攻击行为、恶意脚本行为、HttpsFlow行为、SocksFlow行为等分析引擎,通过异常行为分析，结合各类机器学习算法完成未知威胁检测。7.9需自备服务工具，要求：支持挖矿专项检测页面，具备挖矿攻击事前、事中和事后全链路的检测分析能力，综合运用威胁情报、IPS特征规则和行为关联分析技术，如检测发现文件传输（上传下载）阶段的异常，对挖矿早期的准备动作即告警,平台内置挖矿安全知识库，对常见的挖矿如：Bluehero挖矿蠕虫变种、虚拟货币挖矿、EnMiner挖矿病毒、PowerGhost挖矿病毒、DDG挖矿病毒、Docker挖矿、DDG挖矿变种、GroksterMiner挖矿病毒、Linux挖矿木马、ZombieBoy挖矿木马等提供详细的背景介绍、感染现象、详细分析、相关IOC（MD5、C2、URL）、解决方案。7.10需自备服务工具，要求：支持威胁分析共享功能，实现云端与本地威胁情报共享，实时收集同步攻击者IP，并详细展示情报列表，包括IOC、区域、来源、更新时间、剩余封锁时间、状态、操作等，并可对本地威胁情报及云端威胁情报联动兼容防火墙实现自动封锁。7.11需自备服务工具，要求：支持外部威胁分析、DNS异常行为分析、服务器异常行为分析功能。7.12需要自备服务工具，工具能够推送安全事件处置和响应建议，响应建议至少包括原理介绍、危害影响、处置建议。通过建议描述、业务影响标签和安全效果标签清晰明确指导下一步响应动作。工具能够可一键封禁IP、隔离主机等。工具具备调用安全GPT在线解读事件的能力。7.13需要自备服务工具，工具具备告警智能定性分析功能。通过分析告警的上下文关联、时序关系、历史告警发生的频率规律性，结合威胁情报与安全专家经验对当前的安全告警进行目的性确认、从而确认安全告警的优先级顺序，帮助安全人员高效的完成攻击告警的运营工作，可归类人工渗透攻击，包括定向攻击、攻防演练、内部测试。程序自动化攻击，包括监管通报、病毒、扫描器攻击。业务风险相关，包括脆弱性风险、业务不规范，和其他威胁。7.14需要自备服务工具，工具具备可视化、免费的钓鱼演练功能。根据钓鱼演练的性质以及组织属性选择合适的钓鱼邮件模版，钓鱼邮件种类包括：财务钓鱼、放假通知钓鱼、漏洞自检钓鱼、简历钓鱼等。8网络运维服务及值守（网络方向）8.1驻场网络互联保障及处置1人（与安全运维人员不得是同一人），配合医院做好网络运维服务及值守。8.2有线网络维护：包括内外网核心交换机、汇聚交换机、接入交换机、内网核心防火墙板卡的运行情况监测，分析并排除交换机设备、网络链路的异常情况，以及交换机配置维护、备份，医疗设备的网络接入的维护和保障。8.3无线网络维护：包括内外网无线控制器、无线AP的运行情况、无线信号的质量监测，移动护理推车、PDA、心电监护仪等医疗设备接入无线网络的维护和保障，分析并排除无线网络中的异常情况，以及无线控制器配置维护、备份。8.4新增网络接入的规划、方案制订，并根据方案进行交换机、无线AP的上线、配置、连通保障，以及新增设备的配置维护。8.5内网出口区路由器维护，分析并排除设备、网络链路的异常情况，以及路由器配置维护、备份。外部接入专线链路维护、IP路由连通性配置和测试，配合专线运营商进行链路接入、保障、故障排查工作。8.6IP地址维护：根据医院的IP规划，进行IP地址的下发和回收，并维护更新IP地址规划表。8.7网络拓扑维护：对现网拓扑进行整理，更新网络拓扑，对新增、下线、调整的网络接入点需要及时完成网络拓扑图的更新。8.8网络区域间访问控制策略开通、维护、删除。根据业务需要，进行业务访问开通区域间的访问控制策略，并根据策略需要完成相关交换机、路由器、防火墙的安全控制策略配置。8.9院内座机电话日常维护：电话系统的维护、分机号码的维护、连接线路的调整。按需完成分机号码的发放、通话权限的调整、电话线路调整和故障排除，配合第三方运维单位进行电话系统的故障排除工作。8.10其他网络互联工作配合：其他单位、部门、项目设备需要接入网络，配合完成网络接入工作，并根据需要分配IP地址、配置路由和访问控制策略。9数据安全服务蜜罐数据风险溯源服务9.1通过业务仿真、诱饵设置、探针部署等方式进行攻击捕获和行为监控分析。9.2对攻击者设备指纹及各类属性信息进行自动化反向溯源，精准感知内部安全风险，防御APT、高级攻击渗透等攻击行为。9.3在重保期间提供设备租用服务，使用时设备为最新规则库。在全年重保时间部署在医院网络环境内，线上运营工程师与驻点人员对蜜罐风险威胁监测与主动响应。9.4需自备服务工具，要求：内置蜜罐诱捕服务，提供诱捕内外网的攻击行为，并联合云端分析技术溯源和反制，在设备界面可以看到攻击者列表，包含攻击者IP、危险等级、攻击源、地理位置、社交指纹、影响真实业务、攻击次数、最高攻击时间、最近攻击时间等。10数据安全风险评估10.1围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。10.2通过信息调研识别数据处理者、业务和信息系统、重要数据资产、数据