在线咨询
一键预约 一键电话 一键导航
<
x

微信公众号

阳光融和医院2022年信息安全服务招标公告

发布时间:2021-12-13 来源: 作者: 点击次数: 打印 字号:

阳光融和医院2022年信息安全服务招标公告

一、采购人:山东阳光融和医院有限责任公司   

地址:潍坊市高新区樱前街9000号

二、项目名称:阳光融和医院2022年信息安全服务

三、采购内容及供应商资格要求:

1、采购内容

序号

服务名称

服务项目

服务内容

备注

1

IT资产梳理

暴露面梳理

对内外网IP段和域名全面梳理和收集,包括但不仅限于存活主机、地理位置、开放端口、安装的服务、系统版本信息、网站开发语言、网站指纹信息、前后端框架信息、是否使用已知开源框架,必须支持高危框架的识别如:ThinkPHP、Apache shrio、WebLogic、WebSphere、Jboss、Apache Struts 2等。

具有IP资产画像能力:能够对IP资产的端口、系统版本、地理位置、端口应用信息、IP下存在的网站信息

风险点梳理

识别已知组件、端口、开源软件、软件开发公司的潜在安全风险,并给出风险列表。通过建立的风险列表对可疑的开放端口、安装的服务、易受攻击的服务进行人工检测,形成资产探测和人工风险排查为一体的安全服务模式。

自动梳理外网网站是否已被防护,端口安全策略是否生效,验证网站防护和端口策略生效情况,从而来辅助安全管理决策。

2

漏洞扫描

主机漏洞扫描

主机漏洞扫描服务支持检测操作系统漏洞、网络设备漏洞、Web 服务器漏洞、数据库服务器漏洞、邮件服务器漏洞、DNS 漏洞等。

每年提供不少于10次整体漏洞扫描服务

Web漏洞扫描

Web 漏洞扫描服务支持检测 SQL 注入、跨站脚本、木马上传、代码执行、远程本地包含、信息泄露等各类型的 Web 漏洞。

弱密码扫描

弱密码漏洞扫描服务支持扫描RDP、FTP、SSH、TELNET、MSSQL、MYSQL、ORACLE、SMB、VNC 的弱密码,且提供弱密码字典的自定义扫描。

协助加固服务

在完成漏洞扫描工作输出报告后,用户在对漏洞修复的过程中有任何问题,安全团队须积极配合响应协助用户、软件开发厂商修复漏洞。

复测服务

核查整改情况,评估漏洞修复的完整度,确保漏洞被封堵。

交付物

《漏洞扫描报告》:支持HTML、docx、pdf格式,报告内容须有漏洞地址、漏洞URL、漏洞名称、漏洞说明、漏洞解决方案等。
《漏洞二次测试报告》:支持HTML、docx、pdf格式,复测用户方整改情况,形成复测报告。

3

人工渗透测试

应用场景渗透测试

须针对用户给出服务器主机、网站,全方位多维度的渗透性测试包括但不仅限于端口合规测试、应用合规测试、命令执行漏洞测试、代码执行漏洞测试、远程(本地)溢出漏洞测试、远程(本地)包含漏洞测试、注入漏洞测试、上传漏洞测试、重放攻击漏洞测试、密码攻击测试、重放攻击测试、加解密测试等。

①每年针对医院互联网侧5个重要业务系统(互联网医院、门户网站、健康管理系统、工单系统、银医系统)进行2次渗透测试(1月、9月)                             ②每年提供8次按需渗透测试服务,用于解决医院系统上线、重大应用更新等场景。                 ③如有渗透测试中未发现的已知类型漏洞被外部披露,超过3个后每2个漏洞提供一次额外渗透测试服务。超过10个后每一个漏洞扣除本年度服务费的1%

业务场景渗透测试

须从技术、管理、业务逻辑的角度发现漏洞,充分挖掘数据泄露的途径。测试内容包含但不限于:垃圾注册、短信轰炸、账户盗用、用户认证缺失、功能越权、平行越权、接口滥用等逻辑性漏洞。

协助加固服务

在完成渗透测试工作输出报告后,用户在对漏洞修复的过程中有任何问题,安全团队须积极配合响应协助用户、软件开发厂商修复漏洞。

复测服务

核查整改情况,评估漏洞修复的完整度,确保漏洞被封堵。

交付物

《渗透测试报告》:完成渗透测试之后,给出全面的渗透测试报告,渗透测试报告中需包含漏洞名称、漏洞等级、漏洞简介、漏洞危害、挖掘漏洞的详细过程和截图、漏洞的解决方案。
《渗透测试漏洞复测报告》:使用人工渗透测试技术复测用户方整改情况, 形成复测报告。

4

威胁情报

安全事件预警

了解零日漏洞、业界新发现的高危安全漏洞、突发安全事件的影响,根据用户实际情况进行预警,提出遏制和缓解措施。

提供医疗卫生行业安全动态

自身漏洞预警

日常主动发现用户资产范围内存在的安全风险,并给出详细的问题报告,提出安全修复建议。

成果输出

“安全通报邮件”+《安全通报报告》:提供预警邮件和PDF文档,预警内容中包括漏洞描述、影响范围、验证方式、解决方案。

5

应急响应

监测告警响应

网站与信息系统发生“7*24网站监测服务”范围内的突发网络安全事件,应在时间发生后3分钟内响应,一小时内开展处置工作,两小时内提出解决方案,并协助学校按要求完成应急响应处置。

安全事件响应

发生突发网络安全事件后,提供7*24小时远程应急响应服务,包括突发事件相关信息收集、事件分析、报告提交、问题解决建议等,协助用户第一时间解决安全故障,修复系统,使网站和信息系统恢复正常运行。

交付物

《应急响应报告》:提供详细的安全事件响应文档,安全事件发生的时间、原因,溯源的过程、结果、解决方案。

6

安全咨询和培训

异常情况/可疑事件分析建议

实时沟通异常情况/可疑事件,铱迅安全专家帮助分析情况,给出安全建议。

信息安全意识培训

通过分析海量的安全事件案例,让客户理解信息安全的重要性,帮助客户建立良好的信息安全意识习惯,实战视频使员工对每个主题涉及的信息安全知识与预防措施有感性和理性的认知,从而细化员工的信息安全知识

针对全院员工、中高层领导、运维开发人员每年组织一次安全培训。

交付物

《信息安全培训教材》、《信息安全培训记录》、《信息安全意识培训视频》

7

重大活动保障

重大事件(政治/商贸/活动/HW)保障

在重大事件前为用户制定网络安全保障工作方案,进行暴露面梳理、重要站点漏洞扫描与渗透测试,了解网络情况,准备相对应的应急响应预案,根据需求进行应急响应演练。
在重大事件期间,安排专业人员远程值守并提供远程技术支持。发生紧急安全事件或特殊安全保障任务期间,提供同等规模的保障服务,并且远程有专业人员进行应急处置。
保障结束后,输出相应的过程文档和总结文档。

国家法定节假日保障

为用户制定国家法定节假日网络安全保障工作方案,进行暴露面梳理、重要站点漏洞扫描与渗透测试,了解网络情况,准备相对应的应急响应预案,根据需求进行应急响应演练。
在法定节假日期间,安排专业人员远程值守并提供远程技术支持。
保障结束后,输出相应的过程文档和总结文档。

交付物

《网络安全专项保障方案》:根据用户指定的保障时段、保障范围,制定网络安全专项保障方案,包含保障内容、实施项、保障人员、联系方式等。
《网络安全专项保障总结报告》:总结本次保障情况,并提出安全建议。

2、供应商资格要求

参加本项目投标的投标人应符合《中华人民共和国政府采购法》第二十二条相关规定:

(1) 具有独立承担民事责任的能力;

(2) 具有良好的商业信誉和健全的财务会计制度;

(3) 具有履行合同所必需的设备和专业技术能力;

(4) 有依法缴纳税收和社会保障资金的良好记录;

(5) 参加本次招标活动前三年内,在经营活动中没有重大违法记录;

(6) 法律、行政法规规定的其他条件。

除应具备上述条件外,还必须符合下列要求:

(1)投标方不得有围标行为,否则取消投标资格。

(2)符合《中华人民共和国政府采购法》第二十二条规定,在中华人民共和国境内依法注册的具有独立法人资格的(生产或经营本次招标货物)企业;

(3)投标单位须提供法定代表人授权委托书及授权委托人身份证;

四、报名时间: 20211214-20211220

五、报名方式:电子邮件(不接受其他方式报名)

下载所有附件,信息填写完整后发送至法务招采中心邮箱。 

邮件主题: 替换为投标单位全称-阳光融和医院2022年信息安全服务

法务招采中心邮箱:ygrhzczx@163.com 

注:

1、报名邮件请按照以上格式编写主题,未按照格式发送邮件视为无效邮件。

2、已报名的企业应及时参加现场招标会,若不能现场参加招标会,请在现场招标会前邮件回复。

3、报名截止后统一审核投标供应商资质,资质审核通过后统一邮件发送招标文件。

六、资质审查方式:

资质预审,以下资质电子版(以投标设备/耗材/项目/...名称命名总文件夹,相关资质请按照以下序号用文件夹分类命名为相应名称,不合格视为报名不成功,具体见附件:报名说明)随附件1-2一起邮件发送。

(1)代理商资质:营业执照

(2)授权文件:法人资格证明、法人授权委托书(法定代表人直接投标可不提供,但须提供法定代表人身份证明)

3相关业绩提供相关业绩合同至少1份

5)财务文件:审计报告(如无提供近3个月加盖公章的会计报表)、近3个月完税证明(企业所得税和个人所得税)

注:以上资质材料均要求加盖代理商公章提交原件彩色扫描件,要求文件完整、字迹清晰,时限在有效期内,请自行检查,以上资料需全部提供不合格视为报名不成功

七、招标文件获取及开标时间地点:另行通知 

八、项目联系人:阳光融和医院法务招采中心

联系人电话:0536-5035188

联系人地址:阳光融和医院门诊楼行政区

附件:报名说明

附件1:投标单位报名表

分享到: