醫(yī)學(xué)院附屬醫(yī)院安全運(yùn)維服務(wù)要求

濱州醫(yī)學(xué)院附屬醫(yī)院安全運(yùn)維服務(wù)要求

運(yùn)維人員資質(zhì)要求：

1、一線駐場(chǎng)運(yùn)維人員應(yīng)具備國(guó)家信息安全中心認(rèn)證CISP資質(zhì)；

2、項(xiàng)目經(jīng)理應(yīng)具有的資質(zhì)：國(guó)家信息安全中心認(rèn)證CISP證書；信息系統(tǒng)項(xiàng)

目管理師；BS7799LA主任審核員證書。

安全運(yùn)維服務(wù)需求內(nèi)容：

安全咨詢及培訓(xùn)服務(wù)

1）安全咨詢服務(wù)

投標(biāo)供應(yīng)商向招標(biāo)人提供一年期不限次數(shù)的遠(yuǎn)程和現(xiàn)場(chǎng)咨詢服務(wù)。要求確定

專家級(jí)高級(jí)安全咨詢?nèi)藛T作為本項(xiàng)目的二線支持人員，對(duì)本項(xiàng)目提供整體規(guī)劃和

其他重要安全咨詢服務(wù)。包括但不限于：對(duì)安全管理、安全技術(shù)、安全科研課題、

安全熱點(diǎn)事件、行業(yè)安全規(guī)范提供咨詢、解讀、分析、指導(dǎo)服務(wù)，協(xié)助招標(biāo)人各

信息系統(tǒng)在設(shè)計(jì)、建設(shè)、開發(fā)、運(yùn)行、維護(hù)過(guò)程中出現(xiàn)的安全問(wèn)題提供專業(yè)的安

全服務(wù)或咨詢。要求接到招標(biāo)人通知后，應(yīng)在24小時(shí)內(nèi)提供實(shí)質(zhì)性服務(wù)建議或

解決方案。

2）安全通告服務(wù)

投標(biāo)供應(yīng)商通過(guò)Email等方式向招標(biāo)人提供廠商安全通告、行業(yè)安全通告、

其他安全通告等成果。

?廠商安全通告：提供主流廠商的中文安全通告，包括Windows、AIX、HP-UX、

Solaris、Linux>CISCO等。

?行業(yè)安全通告：通信管理局、Cncert>運(yùn)營(yíng)商相關(guān)的安全事件分析、安

全規(guī)范解讀、安全檢查范圍方法通告。

?其他安全通告：其他應(yīng)用系統(tǒng)和安全組織（如SANS/CERT等）的安全通

告。

3）定制安全培訓(xùn)服務(wù)

投標(biāo)供應(yīng)商應(yīng)就本項(xiàng)目提供具體的人員培訓(xùn)建議和課程安排計(jì)劃，技術(shù)培訓(xùn)

不少于1次的集中安全培訓(xùn)1（投標(biāo)供應(yīng)商有額外培訓(xùn)優(yōu)惠，可在投標(biāo)書中闡明），

使之具備負(fù)責(zé)項(xiàng)目安全運(yùn)維和保障的能力，達(dá)到一定的資質(zhì)和水平，完成信息安

全安全運(yùn)維服務(wù)的宣貫、提高相關(guān)工作人員的信息安全意識(shí)、信息安全技能等。

安全培訓(xùn)總時(shí)間不少于7天，參訓(xùn)人員不少于5人次。

具體要求：不少于1次集中安全培訓(xùn)，培訓(xùn)課程包括但不限于以下內(nèi)容

?常見操作系統(tǒng)安全、常見數(shù)據(jù)庫(kù)安全、常見應(yīng)用系統(tǒng)安全、常見網(wǎng)絡(luò)設(shè)

備安全。

?系統(tǒng)檢查和加固。

?惡意代碼檢查和清除。

?web應(yīng)用安全、web開發(fā)編程規(guī)范。

?應(yīng)急響應(yīng)和入侵調(diào)查。

?入侵預(yù)警、監(jiān)測(cè)、防十、恢復(fù)技術(shù)措施。

?安全域和邊界整合、邊界訪問(wèn)控制措施。

安全巡檢服務(wù)

投標(biāo)供應(yīng)商需提供自合同簽訂后一年期的安全巡檢服務(wù)°為新、老機(jī)房提供

整體安全巡檢服務(wù)，服務(wù)內(nèi)容包括安全設(shè)備巡檢和安全日志分析兩部分。

1）機(jī)房安全設(shè)備巡檢

檢查機(jī)房環(huán)境及服務(wù)器、存儲(chǔ)等外設(shè)的使用情況，檢查主機(jī)操作系統(tǒng)及應(yīng)用

軟件運(yùn)行狀況，檢查安全產(chǎn)品及配套軟件運(yùn)行狀況，檢查日志服務(wù)器運(yùn)行情況,

更新事件庫(kù)、漏洞庫(kù)、病毒庫(kù)等，并對(duì)各項(xiàng)配置加以優(yōu)化。

2）安全日志分析服務(wù)

投標(biāo)供應(yīng)商向招標(biāo)人提供安全日志分析服務(wù)。主要針對(duì)業(yè)務(wù)支撐系統(tǒng)，服務(wù)

內(nèi)容包括:

■梳理業(yè)務(wù)支撐系統(tǒng)現(xiàn)有安全設(shè)備日志平臺(tái)可用性

■搜集現(xiàn)有安全設(shè)備日志

■分析日志，及時(shí)發(fā)現(xiàn)安全威脅和業(yè)務(wù)異常

■具體要求：收集現(xiàn)有安全設(shè)備如IPS、WAF、堡壘機(jī)、數(shù)據(jù)庫(kù)審計(jì)等的

日志信息。投標(biāo)供應(yīng)商對(duì)收集到的日志進(jìn)行人工分析，提交《日志分析

報(bào)告》及時(shí)發(fā)現(xiàn)安全威脅和業(yè)務(wù)異常，并向招標(biāo)人相關(guān)人員匯報(bào)。

輸出成果包括但不限于：《網(wǎng)絡(luò)設(shè)備、安全設(shè)備日常巡檢月報(bào)》、《主機(jī)、中

間件及操作系統(tǒng)日常巡檢月報(bào)》、《XXX安全事件處理報(bào)告》、《信息安全運(yùn)維工作

周報(bào)》、《信息安全運(yùn)維監(jiān)控月度報(bào)告》、《信息安全情況月度通報(bào)》。

安全風(fēng)險(xiǎn)評(píng)估服務(wù)

根據(jù)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)、《信息系

統(tǒng)安全保護(hù)等級(jí)基本要求》(GB/T22239-2008)等相關(guān)標(biāo)準(zhǔn)，對(duì)招標(biāo)方的信息系

統(tǒng)和IT基礎(chǔ)設(shè)施進(jìn)行全面的安全風(fēng)險(xiǎn)評(píng)估，包括明確風(fēng)險(xiǎn)評(píng)估范圍、識(shí)別重要

資產(chǎn)、識(shí)別脆弱性和威脅、現(xiàn)有安全控制措施、應(yīng)用系統(tǒng)漏洞掃描、分析和計(jì)算

風(fēng)險(xiǎn)狀況、制定不可接受風(fēng)險(xiǎn)處置方案和風(fēng)險(xiǎn)評(píng)估報(bào)告和總結(jié)。

輸出成果包括但不限于：《信息系統(tǒng)資產(chǎn)列表》、《XXX業(yè)務(wù)系統(tǒng)主機(jī)設(shè)備安全

漏洞掃描報(bào)告》；《XXX業(yè)務(wù)系統(tǒng)主機(jī)設(shè)備安全配置檢查報(bào)告》；《XXX業(yè)務(wù)系統(tǒng)主

機(jī)設(shè)備安全加固方案》；《XXX業(yè)務(wù)系統(tǒng)主機(jī)設(shè)備安全漏洞攔描對(duì)比分析報(bào)告》；

《XXX業(yè)務(wù)系統(tǒng)主機(jī)設(shè)備安全配置對(duì)比分析報(bào)告》；《信息系統(tǒng)服務(wù)器安全檢查報(bào)

告》；《信息系統(tǒng)數(shù)據(jù)庫(kù)安全檢查報(bào)告》；《網(wǎng)絡(luò)設(shè)備及安全設(shè)備檢查報(bào)告》；《風(fēng)險(xiǎn)

評(píng)估報(bào)告及整改建議》。

駐場(chǎng)值守服務(wù)

投標(biāo)供應(yīng)商應(yīng)提供為期一年的1名現(xiàn)場(chǎng)駐場(chǎng)人員方式，提供6X8小時(shí)現(xiàn)場(chǎng)

安全運(yùn)維值守服務(wù)，解決濱醫(yī)附院日常工作過(guò)程中的安全運(yùn)維。實(shí)現(xiàn)對(duì)濱醫(yī)附新、

老機(jī)房的安全設(shè)備及業(yè)務(wù)系統(tǒng)進(jìn)行安全巡檢、安全事件監(jiān)控和態(tài)勢(shì)感知預(yù)警服務(wù),

以及軟硬件設(shè)備安全加固、補(bǔ)丁修復(fù)等，充分發(fā)揮專業(yè)的安全服務(wù)技術(shù)能力，充

分保障安全運(yùn)維服務(wù)質(zhì)量和安全防護(hù)效果。

為保證服務(wù)人員質(zhì)量，參與本項(xiàng)目駐場(chǎng)運(yùn)維人員具有二年以上信息安全工作

經(jīng)驗(yàn)。

應(yīng)急響應(yīng)服務(wù)

投標(biāo)供應(yīng)商需提供自合同簽訂后一年期的應(yīng)急響應(yīng)支持服務(wù)。應(yīng)針對(duì)招標(biāo)人

發(fā)現(xiàn)的信息安全事件提供及時(shí)、可靠的應(yīng)急響應(yīng)服務(wù)，對(duì)重大安全問(wèn)題的響應(yīng)和

處理，現(xiàn)場(chǎng)安全駐場(chǎng)人員立即啟動(dòng)緊急響應(yīng)工作，二線安全專家30分鐘響應(yīng)，

24小時(shí)內(nèi)解決安全事件，及時(shí)消除安全事件不良后果，分析并處理安全事件，

提交書面的安全事件分析報(bào)告。

1、應(yīng)急響應(yīng)支持：對(duì)招標(biāo)人網(wǎng)站應(yīng)用系統(tǒng)提供7X24小時(shí)的應(yīng)急響應(yīng)支持

服務(wù)，包括網(wǎng)站業(yè)務(wù)中斷或性能嚴(yán)重下降事件、受到非法網(wǎng)絡(luò)攻擊、蠕

蟲病毒爆發(fā)、數(shù)據(jù)受到竊取和破壞的調(diào)查取證等方面的應(yīng)急服務(wù)支持。

2、應(yīng)急預(yù)案制定和修訂：投標(biāo)供應(yīng)商應(yīng)在合同簽訂后3周內(nèi)提供完整的應(yīng)

急預(yù)案，包括網(wǎng)站安全事件的監(jiān)控機(jī)制、安全事件的觸發(fā)條件、安全事

件級(jí)別定義、安全事件的處理流程、安全事件的恢復(fù)處理、安全應(yīng)急的

組織結(jié)構(gòu)、安全應(yīng)急的聯(lián)系方式等；投標(biāo)供應(yīng)商應(yīng)在應(yīng)急預(yù)案建立后提

供相應(yīng)的培訓(xùn)，對(duì)安全事件的處理進(jìn)行講解，如何保護(hù)現(xiàn)場(chǎng)、如何控制

事件蔓延、如何啟動(dòng)備份機(jī)制等；

3、安全事件處置規(guī)范：投標(biāo)供應(yīng)商的應(yīng)急響應(yīng)人員應(yīng)協(xié)助招標(biāo)人完成以下

工作：事件范圍損失控制，取證，事件處理，外部攻擊源追溯，內(nèi)部脆

弱性分析；并提供相關(guān)文檔詳實(shí)記錄分析判斷過(guò)程及結(jié)果，包括使軟件

記錄應(yīng)急響應(yīng)顧問(wèn)在其主機(jī)上的所有操作，便于審干和考核；安全事件

處理完畢后，應(yīng)協(xié)助招標(biāo)人進(jìn)行事件原因調(diào)查，以及系統(tǒng)恢復(fù)等后期工

作，以建立正常的業(yè)務(wù)運(yùn)行環(huán)境；安全事件處理結(jié)束后，投標(biāo)供應(yīng)商應(yīng)

在1周內(nèi)提交完整的《信息安全事件分析及處理總結(jié)報(bào)告》。

4、應(yīng)急演練服務(wù)：根據(jù)應(yīng)急預(yù)案和當(dāng)年業(yè)界發(fā)生的重大安全事件，提供整

套的安全事件應(yīng)急演練服務(wù)，為了提高招標(biāo)人管理維護(hù)人員的安全能力

和意識(shí)，投標(biāo)供應(yīng)商的應(yīng)急響應(yīng)服務(wù)人員應(yīng)定期針對(duì)熱點(diǎn)問(wèn)題組織相關(guān)

維護(hù)人員進(jìn)行安全演練。

5、應(yīng)急響應(yīng)技能培訓(xùn)：對(duì)招標(biāo)人信息技術(shù)人員提供專業(yè)的網(wǎng)絡(luò)安全應(yīng)急響

應(yīng)技能、技術(shù)的培訓(xùn)。

服務(wù)成果文檔應(yīng)包括但不限于：安全事件處理結(jié)束后，投標(biāo)供應(yīng)商應(yīng)在1

周內(nèi)提交完整的系統(tǒng)應(yīng)急響應(yīng)報(bào)告》、《系統(tǒng)應(yīng)急響應(yīng)預(yù)案》。

安全加固服務(wù)

投標(biāo)供應(yīng)商針對(duì)每臺(tái)主機(jī)、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、安

全設(shè)備的原始配置情況進(jìn)行分析基礎(chǔ)上，對(duì)相關(guān)設(shè)備實(shí)施安全加固，加固過(guò)程中

需對(duì)每一步驟的具體內(nèi)容、詳細(xì)事實(shí)過(guò)程、評(píng)估可能對(duì)網(wǎng)絡(luò)及主機(jī)造成的影響，

加固服務(wù)完成后，提供安全加固服務(wù)報(bào)告，記錄并說(shuō)明服務(wù)過(guò)程中所有做過(guò)的改

動(dòng)。具體要求如下：

1）進(jìn)行安全加固服務(wù)之前，建立完整的安全加固服務(wù)手冊(cè)，明確服務(wù)內(nèi)容

和步驟，規(guī)范安全加固服務(wù)過(guò)程，以保障加固服務(wù)質(zhì)量。

2）實(shí)施安全加固服務(wù)之前，確認(rèn)每臺(tái)主機(jī)、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、

應(yīng)用系統(tǒng)、安全設(shè)備的原始配置情況，以及所需的具體服務(wù)情況；并對(duì)主機(jī)的日

志信息、配置信息等進(jìn)行安全審計(jì)，確認(rèn)主機(jī)的安全狀態(tài)。

3）詳細(xì)描述安全加固服務(wù)的步驟，每一步驟的具體內(nèi)容、詳細(xì)事實(shí)過(guò)程、

可能對(duì)網(wǎng)絡(luò)及主機(jī)造成的影響等等。

4）加固服務(wù)完成后，提供系統(tǒng)安全加固服務(wù)報(bào)告，記錄并說(shuō)明服務(wù)過(guò)程中

所有做過(guò)的改動(dòng)。

等級(jí)保護(hù)自查及測(cè)評(píng)檢查支持服務(wù)

一線安全運(yùn)維駐場(chǎng)人員應(yīng)熟練使用等級(jí)保護(hù)檢查工具箱，提供一年服務(wù)期內(nèi)

的等級(jí)保護(hù)自查和協(xié)助濱醫(yī)附院進(jìn)行公安、測(cè)評(píng)機(jī)構(gòu)等級(jí)保護(hù)檢查、測(cè)評(píng)支持服

務(wù)。

投標(biāo)供應(yīng)山協(xié)助濱醫(yī)附院通過(guò)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的年度測(cè)評(píng)支持服務(wù)，為濱

醫(yī)附院摸清底數(shù)，識(shí)別風(fēng)險(xiǎn)和安全整改提供專業(yè)的等級(jí)保護(hù)支持服務(wù)。

投標(biāo)供應(yīng)商提供的等級(jí)保護(hù)工具箱為應(yīng)具有自主知識(shí)產(chǎn)權(quán)的等級(jí)保護(hù)檢查

工具箱,需提供相關(guān)證明文件［公安部授權(quán)研發(fā)通知書、計(jì)算機(jī)軟件著作權(quán)登記證

書）復(fù)印件并加蓋投標(biāo)供應(yīng)商公章。

提高安全巡檢和設(shè)備監(jiān)控的頻度

對(duì)新、老機(jī)房設(shè)備的安全巡檢由原來(lái)的1天2-3次，提高針對(duì)業(yè)務(wù)系統(tǒng)繁忙

時(shí)期的監(jiān)控，改為6X8小時(shí)現(xiàn)場(chǎng)安全巡檢和監(jiān)控服務(wù)，提前發(fā)現(xiàn)風(fēng)險(xiǎn)和預(yù)警。

1、通過(guò)對(duì)防火墻、入侵防御系統(tǒng)、防病毒系統(tǒng)、漏掃系統(tǒng)、堡壘機(jī)的狀態(tài)

實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)嚴(yán)重安全問(wèn)題，通過(guò)界面報(bào)警、聲音、手機(jī)短信、電子郵件、微

信等方式及時(shí)通知安全運(yùn)維人員處理解決。

2、實(shí)施監(jiān)控關(guān)鍵網(wǎng)絡(luò)、主機(jī)的性能狀況，包括設(shè)備運(yùn)行狀態(tài)、CPU和內(nèi)存

利用率、磁盤利用率、網(wǎng)絡(luò)流量、關(guān)鍵應(yīng)用進(jìn)程狀態(tài)、網(wǎng)絡(luò)端口和流量等。

3、結(jié)合日志分析系統(tǒng)的監(jiān)控，分析各類安全設(shè)備產(chǎn)生的安全事件或日志，

獲取網(wǎng)絡(luò)中存在的各類病毒、非法訪問(wèn)、攻擊事件，并進(jìn)行及時(shí)處理。

重大安全專項(xiàng)檢查和應(yīng)急響應(yīng)服務(wù)

在上級(jí)主管部門專項(xiàng)安全檢查、公安機(jī)關(guān)監(jiān)督檢查期間，委派二線專家到現(xiàn)

場(chǎng)協(xié)助進(jìn)行檢查支持工作，幫助濱醫(yī)附院順利通過(guò)重大安全專項(xiàng)檢查。在一年的

運(yùn)維服務(wù)期內(nèi)，出現(xiàn)重大安全事件，需要啟動(dòng)升級(jí)機(jī)制，由二線專家團(tuán)隊(duì)通過(guò)遠(yuǎn)

程和現(xiàn)場(chǎng)結(jié)合的方式提供應(yīng)急響應(yīng)服務(wù)，最快速度的分析問(wèn)題、處置問(wèn)題、關(guān)閉

問(wèn)題。

事前服務(wù)：在重大活動(dòng)開始之前完成對(duì)服務(wù)范圍內(nèi)的系統(tǒng)進(jìn)行全面安全檢查,

并進(jìn)行安全加固