《广州医科大学附属第二医院安全运维服务用户需求书.docx》由会员分享,可在线阅读,更多相关《广州医科大学附属第二医院安全运维服务用户需求书.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、广州医科大学附属第二医院 安全运维服务用户需求书 一、项目名称:安全运维服务 二、项目预算:760000元三、投标人资格1、投标人应是来自中华人民共和国的法人。2、投标人只允许为独立法人,不接受联合体投标。3、非广东省内注册的投标人应在广东省内设有经有效工商注册的分支机构,具有营业 场所和固定的售后服务队伍,提供有效的营业执照及社保证明材料。四、用户需求书.项目概述随着广州医科大学附属第二医院(以下简称:我院)业务的快速发展,信息化的程度越 来越高,对信息科的运维工作人员的技术要求也随着提高。为了综合提升我院信息科IT运 维人员的管理水平,因此需要引进专业的IT维护公司,从技术层面提供专业的安
2、全运维服 务。维护商需负责网络安全架构维护,配合上级部门检查部门提出的整改要求进行建设等工 作。并且在医院出现网络安全事故时能够第一时间提供响应,保障业务系统的连续性。1 .维护范围本次运维服务针对我院信息系统整体安全的现状,提供专业化安全管理和运维服务,项 目范围涉及到以下内容:1 .核心网络安全维护,包括内网和外网;2 .现有安全设备,包括边界类设备、摆渡类设备、终端设备、旁路设备等;.现有运行系统的后台支撑系统(如操作系统、数据库、中间件等)相关安全配置和 服务,如系统安全补丁通知、操作系统端口防护等;3 .安全管理制度的建设和运维。2 .本项目运维服务要求安全运维服务要求维护商针对我院
3、的信息安全运维服务需提供如下内容:运维项服务内容服务频率定期安全检查分析现网的安全风险,发现潜在的系统漏洞,排查网络中潜伏的未知风险和威胁4次/年安全风险评估在现网架构改动、新系统上线、配置变更的时候,对变 动带来的风险进行识别和评估,提出风险预防和必要的 整改措施。不限次数/年安全事件紧急 响应在出现安全事故、数据泄密、网络入侵等安全事件的时 候,紧急响应,快速定位和查找问题,制定出解决方案, 第一时间把安全问题消灭在萌芽状态。不限次数/年安全配置备份建立安全设备台账。通过配置备份,保障设备运行健康, 以防出现变更导致的错误,提高应急处置能力。不限次数/年安全设备日志分析从安全设备各结点获得
4、日志文件,采取人工+工具的分 析分析方法,形成日志分析报告。该报告与定期评估结 果、定期策略分析结果进行综合分析,找到当前的系统 及网络设备中存在的问题和隐患,并提供专业的增强建 议。4次/年安全建设配合响应在我院相关或上级部门提出安全建设、安全整改、安全 加固等任务时,派遣专业安全专家指导配合进行安全相 关工作。不限次数/年安全设备配置 适应性调整在安全相关设备配置需要调整时,如:安全策略调整、 新链路配置、产品参数调整等时,安排工程师进行现场 响应支持,提供配置风险评估、提出调整方案并实施。不限次数/年安全培训服务针对医院信息科人员现状进行针对性的安全培训工作,培训具体内容商议后制定1次/
5、年安全制度建设结合医院现有制度和安全管理的现状对安全制度进行建设和整改1次/年主机基线检查提供主机基线检查服务,包含重要服务器、网络设备、安全设备等基于信息安全风险的角度进行配置核查,提交核查结果1次/年杀毒软件安装 服务提供不少于2200终端主机杀毒软件的安装部署工作不限次数/年系统漏洞扫描及分析对医院新上线业务提供安全漏洞扫描,在通过安全检 查、漏洞扫描等方式发现操作系统、数据库、中间件等 通用软件的潜在高危安全漏洞时,针对漏洞进行风险分 析并提交漏洞分析方案1次/月安全加固漏洞分析针对风险评估扫描出的数据库、操作系统、中间件等扫 描出来的漏洞、端口、弱口令提供响应的安全修复不限次数/年资
6、产梳理针对医院3个院区提供资产统计梳理,包含但不限于 3000台内网终端计算机信息收集统计,物理位置定位, 形成资产统计清单1次/年渗透服务提供30个系统的渗透服务,渗透测试通过模拟黑客思 维及行动模式,使用主流的攻击技术对目标网络、系统、 数据库进行模拟攻击测试,提前发现系统潜在的各种高 危漏洞1次/年应急演练制定信息系统的应急预案,举行应急演练,应急响应处 置,及时发现安全问题。准确分析和查找产生问题的原 因,针对问题制定整改方案1次/年2.1 安全运维服务内容定期安全检查提供现网整体安全的巡检服务,巡检的内容包括但不限于:1 .安全设备品牌、设备型号、设备放置、设备性能参数、设备内存大小
7、、设备槽位、 设备序列号、设备购买年限、设备保修状态、设备备件状况、设备标签完善程度;.安全设备软件版本信息、当前IOS版本信息、最新IOS版本信息、设备持续运行时 间、设备IOS备份情况、设备CPU利用率、设备内存利用率、设备模块运行状态、 设备风扇及电源状况、设备端口数量、设备端口类别、设备端口类型、设备运行机 箱温度;2 .安全设备连通性、冗余协议运行状态、VLAN信息、设备配置信息分析、多余配置 信息分析、配置精简建议、IOS安全建议、防火墙信息、防火墙策略、防火墙DMZ 区检查;.对设备性能、告警信息、被攻击和入侵情况(如入侵事件、入侵源、前十位攻击对 象等)、安全威胁进行动态评估;
8、3 .对安全系统瓶颈和资源竞争情况进行分析,找出潜在问题。4 .对服务器、终端做周期检查,主要内容是检查是否存在高危漏洞,杀毒软件病毒库 是否最新。 安全风险评估在现网架构改动、新系统上线、配置变更的时候,对变动带来的风险进行识别和评估, 提出风险预防和必要的整改措施。风险评估的对象包括但不限于以下内容:1 .主机房环境,包括其环境、设备和设施等;2 .存储被测系统重要数据的介质的存放环境;3 .整个系统的网络拓扑结构;4 .安全设备,包括防火墙、入侵检测设备、防病毒网关等;5 .边界网络设备,包括路由器、防火墙和认证网关等;6 .对整个信息系统或其局部的安全性起决定作用的网络互联设备,如核心
9、交换机、汇 聚层交换机、核心路由器等;7 .承载被测系统核心或重要业务、数据的服务器(包括其操作系统和数据库);8 .能够代表被测系统主要使命的业务应用系统;9 .信息安全主管人员、各方面的负责人员;10 .涉及到信息系统安全的所有管理制度和记录。风险评估的方式包括人工访谈、工具检测、登录系统检测、文档分析,风险评估会涉及 到物理安全、网络安全、主机系统安全、应用安全和数据安全、安全管理制度、安全管理机 构、人员安全管理、系统建设管理和系统运维管理等十个方面。 安全事件紧急响应当我院发生安全事件需提供紧急救援服务时,维护商需提供现场的安全工程师响应,并 通过预先确认的远程连接方式登录到相应的系
10、统上,对安全事件进行排查。在发现远程登录 无法解决的安全事件后,立即采用最快的交通方式赶赴现场(要求2小时内到)。每逢各大 节假日和重要的国家政治事件提供工程师驻场服务。当我院发生大规模的安全事件后,如信息系统中的计算机或网络设备系统的硬件、软件、 数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改,或已经发现的有可能造成上述现 象的安全隐患,如非授权访问、信息泄密、系统性能严重下降、黑客攻击、蠕虫或大面积爆 发病毒等。维护商需提供二线支持的安全团队,在2小时之内赶赴现场协助解决问题,必要 时应提供入侵调查分析、安全审计预警与黑客追踪服务。应急响应服务包括远程应急响应服务和本地应急响应服务,响
11、应的主要内容如下:1 .消除潜在安全隐患:通过日志信息和其他必要信息,检查后门程序和网络系统漏洞, 消除其再次受到攻击的可能性,即消除今后的安全隐患,对系统的安全进行重新评 估。2 .检查安全日志:通过检查系统、防火墙、路由器等系统安全日志,为确认攻击来源 和攻击手段以及调查取证提供必要的条件。3 .入侵者追踪:通过所能得到的信息追踪入侵者,并记录其尽可能多的信息,为调查 取证提供条件。4 .主机恢复:在信息系统网络或主机受到攻击并且出现网页遭替换或系统丢失等恶性 事件后,确认已经消除安全隐患,在系统网络管理人员的协助下,对应用系统或操 作系统进行恢复,保证系统资源在第一时间内的可使用性。5
12、.网络恢复:我院信息系统的核心交换机、路由设备等网络设备出现问题,对网络设 备进行恢复,保证信息系统网络资源在第一时间内的可使用性。 安全设备配置备份.为了保证安全设备的健康运行情况,使得设备在失效或配置丢失时,能依靠备份尽 快地恢复系统与配置,保护关键策略,保证配置不丢失,特制定本服务。1 .关键的网络安全设备的策略配置进行备份,防止策略的丢失与错误变更配置;涉及 备份和恢复的事由专人负责备份工作,并认真填写备份日志。2 .备份数据应该严格管理,妥善保存;备份资料保管地点应有防火、防热、防潮、防 尘、防磁、防盗设施。3 . 一旦发生配置丢失或数据破坏等情况,要由负责人员进行备份数据的恢复,以
13、免造 成不必要的麻烦或更大的损失。4 安全设备日志分析1 .日志收集:定期统一收集各个安全设备的日志和报表进行存档以便分析。2 .分析日志:根据我院安全设备的具体情况,分析关键服务器、安全设备等设备的日 志,采取人工加工具的审计分析方法对日志信息进行综合分析,找到当前的系统及 网络设备中存在的隐患和被攻击痕迹。3 .生成报告:根据以上评估,生成具体的日志分析报告,提供专业又极具可读性的报 告,并针对报告中的各项问题,为信息科工程师提供修补建议,使发现的问题能尽 可能早的得到解决,避免引起更大范围的影响和损失。 安全建设配合响应在医院相关上级部门提出安全建设、安全整改、安全加固等任务时,派遣专业
14、安全技术 人员指导配合进行安全相关工作,工作内容包括但不限于以下内容:网站漏洞排查;公安部门递送的安全检查或安全漏洞通知;上级部门递送的安全检查或安全漏洞通知;国家重大事件的安全保障检查;突发性事件的检查通知或现场检查; 安全设备配置适应性调整在相关安全设备配置需要调整时,如:安全策略调整、新链路配置、产品参数调整等; 维护商需派遣工程师进行配置风险评估、提出调整方案并实施。安全相关设备配置包括但不 限于以下情况:网络出口新增加,评估新网络出口的风险和安全防护措施;防火墙、UTM等边界类设备的配置变更,详细记录变更内容,包括IP策略、端口策略、 放通/禁止策略等;入侵防御、网络行为分析等旁路安
15、全设备配置变更,包括协议监控、端口监控、联动策 略等;杀毒软件、准入控制等终端管理类软件的配置变更,包括扫描策略、准入方式、控制范 围等。 安全培训服务配合我院展开安全建设和运维的工作,定期对信息科相关人员提供信息安全技术培训I, 提升医院信息安全意识和技术知识水平。培训对象:信息科系统管理员、网络管理员、数据库管理员、安全审计员等专业技术人 员。培训内容包括但不限于以下内容:国家等级保护流程与相关内容、医疗行业等级保护建 设案例分享、医疗行业网站建设和漏洞防范介绍 安全制度建设结合我院信息安全的实际情况,提供信息安全制度建设服务,服务内容包括但不限定于:网络安全工作总体方针和安全策略安全管理
16、组织规范外部人员访问管理制度移动存储设备的使用管理制度安全事件报告和处置制度恶意代码防范管理制度。 主机基线检查配置检查主要针对操作系统、网络设备、安全设备、数据库等,检查项包括系统目录权 限,帐号管理策略,文件系统配置,进程通信管理等方面。 安全加固账号口令:管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更 换。访问控制:应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用 户所需的最小权限。安全审计:应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录。设备防护:应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登 录连接超时自动退出等措施
17、;漏洞修复:当发现高危紧急的漏洞时,提供漏洞分析和加固建议,及时对操作系统进行 加固,并协助应用厂商修复应用中间件的漏洞。杀毒软件安装服务为我院办公终端(包括但不限于):办公外网1200台,业务内网1000台提供杀毒软件 安装部署服务。结合终端的实际使用环境调整最优控制策略,如卸载不兼容程序,配置杀毒 软件所需的操作系统环境作为支持,确保杀毒软件的稳定运行。提供杀毒软件病毒库定期检查和更新服务:定期检查全院的杀毒软件的病毒库更新情况, 对病毒库已经过期的服务器和客户端进行病毒库更新。对办公外网各种自助机,特殊系统(如嵌入式Windows系统,Linux系统),协调相关 应用厂商配合安装杀毒软件
18、和系统补丁。本次实施所需要的软件授权许由院方购买。系统漏洞扫描与分析维护商适用专业的技术工具对系统进行测试,包括基于网络探测和基于主机检测的漏洞 扫描、数据库漏洞扫描等。对服务器主机、业务终端设备发现的问题或安全漏洞提出整改建议,并协助我院做好整 改工作。包括服务器高危漏洞在不影响业务的情况下协商修复;终端健康情况检查。安全加固漏洞修复安全加固对象是漏洞扫描和基线核查中发现的问题,包括网络设备、安全设备、主机操 作系统、中间件、数据库。安全整改加固建议主要关注帐号口令、访问控制、设备防护、安 全审计等问题。账号口令:管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更 换。访问控
19、制:应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用 户所需的最小权限。安全审计:应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录。设备防护:应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登 录连接超我动退出等措施;漏洞修复:当发现高危紧急的漏洞时,提供漏洞分析和加固建议,及时对操作系统进行 加固,并协助应用厂商修复应用中间件的漏洞。 资产梳理维护商需通过自动发现和手动记录方式,将各科室业务计算机进行标准化统计和整理, 输出清单台账,能准确地定位。与制度管理结合之后可跟踪记录计算机的状态变化。实现终 端计算机标准化管理。对业务计算机物理位置、使用人、
20、IP地址、MAC地址、计算机名、操作系统进行统计。 通过服务与管理结合,实时跟踪记录业务终端计算机的状态。在安全运维中,快速找到设备 位置。对终端计算机的变更过程进行跟踪,对操作人员、操作时间、等审计信息进行准确记 录,使所有的计算机终端都可追溯。渗透服务渗透测试主要是模拟黑客的攻击方法,检测网站、网络协议、网络服务、网络设备、应 用系统等各种信息资产所存在的安全隐患和漏洞。 应急演练制定信息系统的应急预案,定期举行应急演练,应急响应处置,及时发现安全问题,准 确分析和查找产生问题的原因,针对问题制定整改工作方案,落实整改措施,并提供具体实 施的技术服务,逐步建立一套完整的信息安全防护体系,可
21、实现对未知威胁有检测能力、非 法攻击行为有分析阻断能力、信息系统弱点有探测能力及安全事件有持续监控能力。4.服务要求1、服务时间:签订合同当日起开始计算中标人为“维护范围”内的医院网络安全提供 1年维护服务。2、服务地点:院方指定地点。5.投标人要求1、公司具有有效期内IS09001质量管理体系认证、IS027001信息安全管理体系认证、 具有IS020000 IT服务管理体系认证、IS014001环境管理体系认证;2、公司具有有效期内中国网络安全审查技术与认证中心CCRC颁发的信息安全服务资质 -认证方向为信息系统安全集成、安全运维服务、信息安全风险评估证书3、公司具有计算机信息系统安全服务
22、等级证书。4、具有ITSS数据中心服务能力成熟度标准符合性证书二级和具有ITSS信息技术服务 运行维护服务能力成熟度模型5、具有信息系统建设和服务能力等级证书和CMMI能力成熟度模型证书6、本项目需配备一名高级项目经理并具备如下条件;a)全日制本科以上学历,且工作经验不少于10年(以毕业证时间为证明依据)b)具有信息系统项目管理师认证证书和项目管理专业人员资格认证(PMP认证);c)具有Oracle数据库原厂OCP认证证书;d)具有信息安全保障人员认证证书;e)具有容灾实施专家认证;中标单位必须提供以上证书和相关人员近六个月社保;中标单位中标后提供以上资质证明文件原件供查验,如没有提供或作假当废标处理,并 打入黑名单。