XX医院2025年网络信息安全运维服务用户需求书

1XX医院2025年网络信息安全运维服务用户需求书1驻场运维服务按国家法定工作日提供≥5*8小时现场服务，专职驻场技术工程师两名，每周到达项目现场≥5天驻场办公。2资产台账梳理服务内容理、统计；对全网的业务系统的软件版本、漏洞情况进行台账对全网的对外连接线路、路由情况、开放的安全端口进行梳理；服务周期每年2次，半年1次，提供1年服务3日常安服务内容对全网的网络安全设备、网络安全软件等安全产品过策略调整进行处置。医院与外部单位对接的安全策略调整，安全设备架构调整。服务周期提供1年服务不限次数4安全巡检服务服务内容通过安全巡检定期对重点主机、应用系统进行安全巡查，包括日志分析、恶意文件查杀、安全策略检2展一次。服务周期每季度1次，一年4次。提供一年服务5服务内容提供应急响应服务内容包括但不限于以下方面：细节情况，进行细致的精确分析；2)事件取证：对确定有问题的严重事件进行调查3)事件解决方案和恢复：根据事件发生的实际情解决和恢复事件造成的影响；4)书写事件总结报告：针对发生的事件前因后果书写总结报告；5)提出整改建议：对影响面大，后续可能还会发生的事件提出全面整改建议。6)减少损失和负面影响：利用自身的资源协调能服务周期全年，提供一年服务不限次数。6安全规询服务内容5析含企业单位相关的网站链接，从而发现未知网站；可配置“网段、域名”等命中规则，自动判断是否属于相关单位的网址资产。资产深度管理下线资产监测可及时发现未存活IP、未存活端口以及访问延迟的网站，可查看未存活IP列表、未存活端口新增资产趋势可按最近一周、最近一个月、最近一个季度可查新增的主机IP资产、网站资产，掌握资产新资产认领资产责任人可认领IP、网站资产，可显示资产认领状态，未认领的资产无法进行编辑。网站风险与威测功能网站风险监测监测支持网站漏洞评估能力，提供多种Web应用漏洞的安全检测，如“SQL注入、跨站脚本、文网站应用监测网站威胁检测黑链/篡改事件监测高频率监测站点是否存在被黑客植入黑链、篡改的事件，系统需要保留植入黑链、篡改的快照页面，监测频率低至5分钟/次。全站敏感词事件监测用户可对不同网站自定义不同的敏感词库，并敏感词字眼。敏感文件事件泄露监测可监测发布到网上的pdf、word、excel文件中是否包含“身份证号、邮箱、手机号码、用户名/密码”等敏感信息，可在系统上查看泄露的信息以及敏感文件下载链接。主机漏洞扫描主机漏洞扫描完善的漏洞库6和漏洞管理功能可入侵漏洞监测集成多种POC对内网资产进行自动漏洞验证与等可入侵漏洞，先于黑客发现此类漏洞，主动版本漏洞监测本比对，兼容CVE、CNNVD等漏洞库。主机漏洞管理支持漏洞跟踪管理，能够自动对漏洞状态进行处置，自动识别“新增、已修复、未修复”的漏洞，同时支持人工方式进行漏洞状态处置，以及编写漏洞备注。内网监测功能无侵入式全网病毒监测trunk部署病毒监测节点方式将诱捕能力发布到全内网各vlan网段，实现在全内网中部署大量高交互病毒监测诱饵，无侵入式部署不影响用户业务运行，同时极大提高黑客攻击病毒监测诱饵的概率。测探针扩展监测方式将诱捕能力发布到全内网各vlan网段，实现在全内网中部署大量高交互病毒监测诱饵，同时支持软件和硬件版本的流量牵引探针。类型支持高交互病毒监测诱饵，并可同时启用：功能失陷主机微隔离不需要联动第三方设备、不需要在主机上安装agent脚本，就能对失陷主机进行网络隔离，9统计、威胁趋势”等。大屏展示支持大屏展示功能，可视化呈现监测中心的数测概况，大屏界面能够自动刷新监测数据，实时展示最新监测结果。告警支持微信告警。邮件告警支持邮件告警，可自定义告警邮箱。系统管理支持创建三类角色用户：管理员、操作员、审计员，支持账号安全策略设置，可设置密码最长天数、最小天数、登录失败锁定次数、登录超时时间、登录IP地址白名单等安全策略。(二)安全运营服务服务内容要求资产识别与梳理供应商需借助安全工具对用户资产进行全面发现和深度识别，并在后续服务过程中触发资产变更等相关服务流程，确保资产信息的准确性和全面性。供应商需结合安全工具发现的资产信息，首次进行服务范围内资产的全面梳理(梳理的信息包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本，类型，IP地址；应用开放协议和端口；应用系统管理方式、资产的重要性以及网络拓扑),并将信息录入到安全运营平台中进行管理；当资产发生变更时，安全专家对变更信息进漏洞扫描与验证：供应商需每月针对服务范围内的资产的系统漏洞和Web漏洞进行全量扫描，并针对发现的漏洞进行验证，验证漏洞在已有的安全体系发生的风险及分析发生后可造成的危害。最新漏洞复测与状态跟踪：由供应商对该最新漏洞建立状态追踪机制；跟踪修复状态，遗留情况。结合大数据分析、人工智能、云端专家提供安全事件发现服务：依托于安全防护组件、检测响应组件和安全平台，将海量安全数据脱敏，包括漏洞信息、共享威胁情报、异常流量、攻击日志、病毒日志等数据，经由大数据处理平台结合人工智能和云端安全专家使用多种数据分析算法模型进行数据归因关联分析，实时监测网络安全状态，发现各类安全事件，并自动生成工单。实时监测网络安全状态，对攻击事件自动化生成工单，及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴实时监测网络安全状态，对病毒事件自动化生成工单，及时进行分析与预警。病毒类型包含勒索型、流行病毒、挖矿型、蠕虫型、外发DOS型、C&C访问型、文件感染型、木马型。是否存在其他可疑主机，将深度关联分析的结果通过邮件、微信等方式告知用户。结合威胁情报，供应商需排查是否对用户资产造成威胁并工具，并针对服务范围内的业务资产使用病毒处置工具进行病毒查杀，对于服务范围外的业务资产，安全专家协助用户查杀病毒。供应商需每月主动分析攻击类的安全事件：通过攻击日志分析，发现持续性攻击，立即采取行动实时对抗，当用户无防御措施时，提供攻击类安全事件的处置建议。供应商需每月主动分析漏洞利用类的安全事件并验证该漏洞是否利用成功，提供工具协助处置。置，并提供溯源服务。策略调配：新增资产、业务变更策略调优服务，业务变更策略定期管理：供应商需每月对安全组件上的安全策略进行统一管理工作，确保安全组件上的安全策略始终处于最策略调整：安全专家根据安全事件分析的结果以及处置方式，根据用户授权情况按需对安全组件上的安全策略进行调整工作。通过攻击日志分析，发现持续性攻击，立即采取行动实时对抗。基于主动响应和被动响应流程，对页面篡改实时针对异常流量分析、攻击日志和病毒日志分析，经过僵尸网络等安全事件，通过工具和方法对恶意文件、代码进行根除，帮助采购人快速恢复业务，消除或减轻影响。入侵影响抑制：通过事件检测分析，提供抑制手段，降低入侵威胁清除：排查攻击路径，恶意文件清除。入侵原因分析：还原攻击路径，分析入侵事件原加固建议指导：结合现有安全防御体系，指导用户进行安全加固、提供整改建议、防止再次入侵。服务平台功能要求支持面向采购人的安全状态展示，展示出采购人的业务和用户安全状态信息，使得采购人能直观感受到当前的业务支持面向采购人的安全态势展示，展示出当前采购人遭受的威胁事件信息以及脆弱性信息统计，使得采购人能直观感受到当前的风险态势情况。支持面向采购人的安全报告与交付物管理，务运营报告、安全能力差距分析报告、未公开威胁报告、工单类型平台支持的工单类型应包含内部威胁工单、告警工单管理威胁告警应显示出威胁类型，威胁发生时间，攻击者IP,管理支持安全事件管理：如果判断为有效威胁，专家将该威胁转化为威胁事件，威胁事件将转给更高级的专家处平台应支持专家将威胁事件的分析过程详细记录到对应的威胁事件工单里，便于工单流转和过程回溯。当专家处置完威胁事件后，将对应的威胁事件进行关闭，完成整个威日志检索平台应通过大数据平台的搜索引擎，支持快速搜索和搜索上预先配置好的按钮，实现只需点击不同的搜索条件，即可直接获取到搜索结果。查询语句搜索需要在搜索框内输入查询语句，实现更灵活的自定义搜索，满足高级搜索和复杂搜索场景。日志接收平台支持接收多种安全设备同步的安全日志等数据，目前支持防火墙，终端检测与响应EDR,流量分析设备、态势滤，过滤后的安全日志可以缓存7天。式存储到大数据平台，为安全规则配置提供标准格式的数据。报告中心支持配置报告模板和下载报告文件，报告的类型有pdf格式报告和word格式报告。支持根据不同场景，灵活选择不同的组件组合形成新的报告模板，以便于采购人查看不同场景和维度的服务报告。可从时间范围，开始时间，结束时间、漏洞攻击，网络流量，恶意攻击，脆弱性等维度组合新的报告模板。下载报告时，选择相应场景的模板进行下载即可。服务平台应支持为采购人设置白名单，包括自动封锁白名单，策略白名单等。支持重大活动保障时期的备战阶段、实战阶段、演练结束三个阶段的指导性工作流程。平台支持使用finebi平台，自定义配置统计数据，包括告警数据，工单数据，工单平均处置时长等数据，来统计当前平台的运营效率，直观体现出当前运营能力，同时可对服务专家处置效率进行考核。1)从安全日志产生到事件通告给采购人的时间方面，重大安全事件和较大安全事件的通告时间小于30分钟，一般事2)在配备供应商的边界防护服务组件和终端防护服务组件的情况下，运营服务对于重大安全事件和较大安全事件的遏制影响和处置完成时间小于1小时，对于一般事件的遏制影响和处置完成时间小于2小时。3)在未配备供应商的边界防护服务组件和终端防护服务组件的情况下，运营服务对于重大安全事件和较大安全事件的遏制影响和处置完成时间小于4小时，对于一般事件的5)在配备了供应商的边界防护服务组件和终端防护服务组件的情况下，安全事件的闭环处置比例达到100%。6)以上要求未达标的惩罚措施为：每不达标一次，服务时间延长一周。7)对于特别重大安全事件应启动应急响应机制，10分钟之内云端专家进行响应，同城2小时内上门处置，同省4小时内上门处置。8)服务期内若发生一次特别重大安全事件，供应商将扣除合同总金额3%作为赔偿金。1)从安全日志产生到威胁通告给采购人的时间方面，高级威胁的通告时间少于30分钟，一般威胁的通告时间少于1小时。2)在配备供应商的边界防护服务组件和终端防护服务组件的情况下，高级威胁的处置完成时间少于1小时，一般威胁的处置完成时间少于4小时；3)在未配备供应商的边界防护服务组件和终端防护服务组件的情况下，高级威胁和一般威胁的处置完成时间少于24的判断准确率不低于99%。5)在配备了供应商的边界防护服务组件和终端防护服务组件的情况下，高级威胁和一般威胁的闭环处置比例达到6)以上要求未达标的惩罚措施为：每不达标一次，服务时间延长一周。1)在配备供应商的漏洞定期扫描服务组件的情况下，漏洞扫描的频率不低于每15天扫描一次。2)高危可利用漏洞从发现到完成闭环处置的时间少于7个工作日。3)高危可利用漏洞经服务人员确认后的准确率不低于99%。4)高危可利用漏洞的闭环处置比例达到1005)对于Oday和最新漏洞，从发现漏洞到通告给采购人的时6)在配备供应商的边界防护服务组件和终端防护服务组件的情况下，对于Oday和最新漏洞，在发布相应的攻击POC之后，运营服务将在24小时内遏制漏洞的影响；7)Oday漏洞经过服务人员确认后的准确率不低于99%。件的情况下，Oday漏洞的闭环处置比例达到1009)以上要求未达标的惩罚措施为：每不达标一次，服务时间延长一周。服务交付物交付物名称：《首次威胁分析与处置报告》,报告频率：一次交付物名称：《事件分析与处置报告》,报告频率：按需交付物名称：《安全通告》,报告频率：按需触发，不限次数交付物名称：《季度汇报PPT》,报告频率：每季度一次交付物名称：《年度汇报PPT》,报告频率：每年一次服务频率7*24小时持续专家服务，威胁发现及时响应，≥150个IP(三)重保护网安全服务服务内资产识别与梳理供应商需借助安全工具对IT资产进行全面发现和深度识别，确保资产信息的准确性和全面性，便于攻防演习期间快速定位安全风险和加固。资产指纹信息梳理：供应商需提供服务工具辅助梳理信息化资产详情(含操作系统、中间件、数据库、应用框架，开发语言以上指纹信息),并将梳理的信息录入安全运营平风险监测与管控最新漏洞预警与排查：供应商在攻防演习期间提供专业的威胁情报服务，实时抓取互联网最新漏洞与详细资产信息进行匹配，对最新漏洞进行预警与排查。应能支持对资产影响范最新漏洞处置指导：供应商确认漏洞影响范围后，应安全专家提供专业的处置建议，处置建议包含两部分，补丁方案以威胁情报跟踪：供应商应提供对最新漏洞威胁情报跟踪进度的可视化界面展示最新漏洞的跟踪处置过程攻防对抗实时监测网络安全状态，攻防演习期间，提供安全大数据分析平台和安全运营服务平台，对攻击事件自动化生成工单，力破解攻击事件、持续攻击事件、和高级威胁事件。高级安全专家威胁狩猎，提供高级安全攻防专家在线值守服务，在安全运营服务平台自动生成安全威胁工单的基础上每两个小时进行一次人工威胁狩猎，主动全面的分析全网安全日志信息，提高有效攻击事件的检出率，供应商从安全攻击供应商需针对每一类威胁，进行深度分析验证，分析判断是否存在其他可疑主机，将深度关联分析的结果通过邮件、微信等方式告知用户。防守对抗：供应商应提供高级安全专家对发现的安全攻击行为进行快速的源IP封锁或行为规则封锁，同时对安全组件上的安全策略进行动态调优工作，确保安全组件上的安全策略始终处于最优水平，实时动态的抵御攻击方的攻击行高级威胁攻击源情报共享服务，供应商应利用专业的技术团队和服务工具，获取行业内发生的攻击源IP等威胁消息，并同步为采购人提供高级威胁和攻击行为的提前预判和攻击行为封堵，提供安全服务平台支持批量下发封锁攻击源IP。为保障攻防演练期间对大量的攻击源IP封锁及风险排查工作，应能在服务平台上实现攻防专家之间共享攻击源并且支持重复源IP的自动去重，减少安全人员操作复杂度，提高防守对抗效率测与响应基于主动响应和被动响应流程，对页面篡改、通报、断网、解决方案。实时针对异常流量分析、攻击日志和病毒日志分析，经过海量数据脱敏、聚合发现安全事件。针对分析发现的入侵成功的安全事件，通过工具和方法对恶意文件、代码进行根除，帮助采购人快速恢复业务，消除或减轻影响。处置合规性保障：安全专家根据安全事件分析的结果以及处置方式，为保障服务人员操作的合规性，安全专家应获得用侵影响，协助快速恢复业务。入侵威胁清除：排查攻击路径，恶意文件清除。入侵原因分析：还原攻击路径，分析入侵事件原加固建议指导：结合现有安全防御体系，指导用户进行安全加固、提供整改建议、防止再次入侵。交付物名称：《攻防演习日报》,报告频率：每天一次交付物名称：《攻防演习值守总结报告》,报告频率：一次不限次数物，确保满足采购人安全需求。如供应商未能按时提供，采购人有权终止服务合同，中间产生任何费用由供应商自行承担提供一年不限制次数重保运维服务；供应商应承诺7*24小时持续专家服务，威胁发现及时响应。1.项目经理：1人，具有信息系统项目管理师证书(计算机技术与软件专业技术资格)、具有系统规划与管理师证书(计算机技术与软件专业技术资格);2.项目技术负责人：1人，具有网络工程师证书(计算机技术与软件专业技术资格)、信息安全工程师证书(计算机技术与软件专业技术资格);3.项目实施团队：2人，具有信息安全工程师证书(计算机技术与软件专业技术资格)。1、供应商应按照合同要求期限内安排人员到采购人指定地点配合工作。如2、供应商按采购人提供的合同执行进度计划，再配合采购人及有关单位，4、供应商在项目实施阶