《广东省第二人民医院网络安全运维服务用户需求书.docx》由会员分享,可在线阅读,更多相关《广东省第二人民医院网络安全运维服务用户需求书.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、广东省第二人民医院网络安全运维服务用户需求书项目概述随着医院的快速发展,信息化的程度越来越高,对信息科的运维工作人员的技术要 求也随着提高,为了综合提升医院信息科IT运维人员的管理水平,因此需要引进专业 的IT维护公司,以保障用于承载医院核心业务的数据库系统和安全系统的正常稳定运 行,来为医院信息化建设提供必要的运维管理服务,对医院的业务系统提供更稳定的支 撑。同时,医院机房内信息系统基础平台,包括数据库集群、安全建设是否能稳定、高 效、可靠的运行也是决定医院业务系统能否正常使用的关键因素,在这些信息系统基础 平台出现问题的时候,能否快速响应,排查故障,也是医院信息化运维的关键所在。一、 服务
2、内容本项目服务内容要求如下:序号设备名称数量1网络安全运维服务1年具体内容(一)运维服务驻场服务要求不少于一名固定的安全服务工程师现场驻场服务,且驻场服务工程师入职时 间不少于两年。(二)定期安全检查服务频次:每季度一次服务内容:对医院的现网整体安全提供全面的巡检服务,巡检的内容包括但不限于:1. 安全设备品牌、设备型号、设备放置、设备性能参数、设备内存大小、设备槽 位、设备序列号、设备购买年限、设备保修状态、设备备件状况、设备标签完善程度;2. 安全设备软件版本信息、当前IOS版本信息、最新IOS版本信息、设备持续运 行时间、设备IOS备份情况、设备CPU利用率、设备内存利用率、设备模块运行
3、状态、 设备风扇及电源状况、设备端口数量、设备端口类别、设备端口类型、设备运行机箱温 度;3. 安全设备连通性、冗余协议运行状态、VLAN信息、设备配置信息分析、多余配 置信息分析、配置精简建议、IOS安全建议、防火墙信息、防火墙策略、防火墙DMZ区 检查;4. 对设备性能、告警信息、被攻击和入侵情况(如入侵事件、入侵源、前十位攻 击对象等)、安全威胁进行动态评估;5. 对安全系统瓶颈和资源竞争情况进行分析,找出潜在问题。6. 对服务器、终端做周期检查,主要内容是检查是否存在高危漏洞,杀毒软件病 毒库是否最新。(三)架构改动安全风险评估服务频次:一年内不限次数服务内容:在现网架构改动、新系统上
4、线、配置变更的时候,对变动带来的风险进行识别和评 估,提出风险预防和必要的整改措施。风险评估的内容包括但不限于以下内容:1. 存储被测系统重要数据的介质的存放环境;2. 整个系统的网络拓扑结构;3. 安全设备,包括防火墙、入侵检测设备、防病毒网关等;4. 边界网络设备,包括路由器、防火墙和认证网关等;5. 对整个信息系统或其局部的安全性起决定作用的网络互联设备,如核心交换机、 汇聚层交换机、核心路由器等;6. 涉及到信息系统安全的所有管理制度和记录。风险评估的方式包括人工访谈、工具检测、登录系统检测、文档分析、渗透测试等。(四)安全事件紧急响应服务频次:一年内不限次数服务内容:安全事件响应要求
5、服务商在广州有总公司、分公司或办事处常驻有安全工程师,在 接到医院的安全事件紧急救援服务请求后,本地安全工程师立即响应,通过预先确认的 远程连接方式登录到相应的系统上,对安全事件进行排查,在发现远程登录无法解决的 安全事件后,立即采用最快的交通方式赶赴医院现场,2小时内可达到医院的现场。当医院发生大规模的安全事件后,如信息系统中的计算机或网络设备系统的硬件、 软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改,或已经发现的有可能 造成上述现象的安全隐患,如非授权访问、信息泄密、系统性能严重下降、黑客攻击、 蠕虫或大面积爆发病毒等,服务商常驻广州的安全团队将在2小时之内赶赴现场协助解 决问
6、题,必要时应提供入侵调查分析、安全审计预警与黑客追踪服务。应急响应服务包括远程应急响应服务和本地应急响应服务,响应的主要内容如下:1. 消除潜在安全隐患:通过日志信息和其他必要信息,检查后门程序和网络系统 漏洞,消除其再次受到攻击的可能性,即消除今后的安全隐患,对系统的安全进行重新 评估。2. 检查安全日志:通过检查系统、防火墙、路由器等系统安全日志,为确认攻击 来源和攻击手段以及调查取证提供必要的条件。3. 主机恢复:在信息系统网络或主机受到攻击并且出现网页遭替换或系统丢失 等恶性事件后,确认已经消除安全隐患,在系统网络管理人员的协助下,对应用系统或 操作系统进行恢复,保证系统资源在第一时间
7、内的可使用性。4. 网络恢复:医院信息系统的核心交换机、路由设备等网络设备出现问题,在确 定是受到攻击所造成的情况下,确认已消除安全隐患,在经过医院授权后,对网络设备 进行恢复,保证医院信息系统网络资源在第一时间内的可使用性。(五)安全配置备份服务频次:不定期备份,一个季度一次服务内容:1. 为了保证安全设备的健康运行情况,使得设备在失效或配置丢失时,能依靠备 份尽快地恢复系统与配置,保护关键策略,保证配置不丢失,特制定本服务。2. 关键的网络安全设备的策略配置进行备份,防止策略的丢失与错误变更配置; 涉及备份和恢复的事由专人负责备份工作,并认真填写备份日志。3. 备份数据应该严格管理,妥善保
8、存;备份资料保管地点应有防火、防热、防潮、 防尘、防磁、防盗设施。4. 一旦发生配置丢失或数据破坏等情况,要由负责人员进行备份数据的恢复,以 免造成不必要的麻烦或更大的损失。(六)安全设备日志分析服务频次:一季度一次服务内容:1. 日志收集:定期统一收集各个安全设备的日志和报表进行存档以便分析。2. 分析日志:根据甲方设备的具体情况,分析关键服务器、安全设备等设备的日 志,采取人工加工具的审计分析方法对日志信息进行综合分析,找到当前的系统及网络 设备中存在的隐患和被攻击痕迹。3. 生成报告:根据以上评估,生成具体的日志分析报告,为甲方量身定制出专业 又极具可读性的报告,并会针对报告中的各项问题
9、,为甲方提供修补建议,使发现的问 题能尽可能早的得到解决,避免引起更大范围的影响和损失。(七)安全建设配合响应服务频次:一年内不限次数服务内容:在医院相关或上级部门提出安全建设、安全整改、安全加固等任务时,派遣专业安 全技术人员指导配合进行安全相关工作,工作内容包括但不限于以下内容:医院网站漏洞排查;公安部门递送的安全检查或安全漏洞通知;上级部门递送的安全检查或安全漏洞通知;国家重大事件的安全保障检查;突发性事件的检查通知或现场检查;在上述事件发生的时候,医院需要有安全水平高的行业技术人员配合医院开展安全 方面相关工作,乙方要根据约定的时间安排专业安全工程师提供远程或上门的安全相关 服务,具体
10、服务内容由医院和乙方根据具体要求商议决定。(八)安全设备配置适应性调整服务频次:一年内不限次数服务内容:在相关安全设备配置需要调整时,如:安全策略调整、新链路配置、产品参数调整 等;乙方必须派遣工程师进行配置风险评估、提出调整方案并实施。安全相关设备配置 包括但不限于以下情况:网络出口新增加,评估新网络出口的风险和安全防护措施;防火墙、UTM等边界类设备的配置变更,详细记录变更内容,包括IP策略、端口策 略、放通/禁止策略等;入侵防御、网络行为分析等旁路安全设备配置变更,包括协议监控、端口监控、联动 策略等;杀毒软件、准入控制等终端管理类软件的配置变更,包括扫描策略、准入方式、控制 范围等;乙
11、方在协助医院进行安全设备或软件的配置变更时,要充分考虑到配置变更过程中 和变更后带来的安全风险,采取一定的预防措施,将风险降低到最小,最小化对医院正 常业务开展的带来的影响。(九)系统漏洞扫描与分析服务频次:每季度一次服务内容:乙方定期利用专业的技术工具对系统进行测试,包括基于网络探测和基于主机检测 的漏洞扫描、数据库漏洞扫描等,扫描相关使用的专业工具版本由乙方提供,医院无需 为该工具支持额外费用。乙方对服务器主机、业务终端设备发现的问题或安全漏洞提出整改建议,并协助甲 方做好整改工作。包括服务器高危漏洞在不影响业务的情况下协商修复;终端健康情况 检查。(十)主机基线检查服务频次:一年轮询检查
12、服务器现有及新增IP (约700个),每个检查一次服务内容:安全基线是保持信息系统安全性、机密性、可用性的最小安全控制,是系统最小安 全保证,是最基本的安全要求。安全配置检查:系统管理和维护的正常配置,合理配置,及优化配置。配置检查主要 针对操作系统、网络设备、安全设备、数据库等,检查项包括系统目录权限,帐号管理 策略,文件系统配置,进程通信管理等方面。安全机制检查:安全机制的使用和正常配置,合理配置,及优化配置。例如日志及审 计、备份与恢复,加密与通信,特殊授权及访问控制等安全特性。(十一)安全加固服务频次:根据服务器现有及新增IP (约700个)漏洞扫描结果和主机基线检查, 修复高危漏洞和
13、配置主机基线服务内容:安全加固对象是漏洞扫描和基线核查中发现的问题,包括网络设备、安全设备、主 机操作系统、中间件、数据库。安全整改加固建议主要关注帐号口令、访问控制、设备 防护、安全审计等问题。账号口令:管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定 期更换。访问控制:应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管 理用户所需的最小权限。安全审计:应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录。设备防护:应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网 络登录连接超时自动退出等措施;漏洞修复:当发现高危紧急的漏洞时,提供漏洞分析和加固建
14、议,及时对操作系统 进行加固,并协助应用厂商修复应用中间件的漏洞。(十二)渗透服务服务频次:一年两次,12个主要系统服务内容:渗透测试主要是模拟黑客的攻击方法,检测网站、网络协议、网络服务、网络设备、 应用系统等各种信息资产所存在的安全隐患和漏洞。渗透测试主要分为扫描和人工两部分,依靠带有安全漏洞知识库的网络安全扫描工 具以及安全专家对漏洞的深入了解,其特点是能对被评估目标进行覆盖面广泛而且更深 度的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,较真实地反 映网站及服务器系统、网络设备、应用系统所存在的安全问题和面临的安全威胁 (十三)应急演练服务频次:一年一次服务内容:定信息
15、系统的应急预案,定期举行应急演练,应急响应处置,及时发现安全问,准确 分析和查找产生问题的原因,针对问题制定整改工作方案,落实整改措施,并提供具体 实施的技术服务,逐步建立一套完整的信息安全防护体系,可实现对未知威胁有检测能 力、非法攻击行为有分析阻断能力、信息系统弱点有探测能力及安全事件有持续监控能 力。(十四)安全培训服务服务频次:不小于一年两次服务内容:配合医院展开安全建设和运维的工作,定期对医院信息科相关人员提供信息安全技 术培训,提升医院信息安全意识和技术知识水平。培训对象医院系统管理员、网络管理员、数据库管理员、安全审计员等专业技术人员。培训内容包括但不限于以下内容:国家等级保护流
16、程与相关内容、医疗行业等级保 护建设案例分享、医疗行业网站建设和漏洞防范介绍(十五)安全制度建设服务频次:一年一次服务内容:结合甲方信息安全的实际情况,为甲方提供信息安全制度建设服务,服务内容包括 但不限定于:网络安全工作总体方针和安全策略安全管理组织规范外部人员访问管理制度移动存储设备的使用管理制度安全事件报告和处置制度恶意代码防范管理制度。(十六)失陷终端处置服务频次:两周一次服务内容:针对检查中发现的失陷终端进行及时、准确的发现和定位,化解安全危机、处置隐 患和问题,将安全事件的发生的风险概率降到最低。失陷终端是指在客户网络系统中出 现的影响业务正常运行的任何异常情况。例如:计算机被植入病毒、木马,与黑链进行 通讯,存在高危漏洞,或者对外发出攻击等任何可能对系统、网络造成损害的行为等。在甲方现网终端遇到安全告警的时候,采取适当的措施及时遏制安全事件发生,确 保业务正常运作不受到影响,保存证据和追查来源等。例如:勒索病毒、信息窃取、拒 绝服务攻击、网络流量异常等。统筹处理已部署卡巴斯基杀毒软件未发现异常,但态势感知已发现失陷的终端。