XX医院2025年网络信息安全运维服务用户需求书.docx

《XX医院2025年网络信息安全运维服务用户需求书.docx》由会员分享，可在线阅读，更多相关《XX医院2025年网络信息安全运维服务用户需求书.docx（21页珍藏版）》请在三一文库上搜索。

1、XX医院2025年网络信息安全运维服务用户需求书一、功能技术参数（一）网络安全驻场运维服务1.网络安全驻场运维服务要求序号服务名称服务要求1驻场运维服务按国家法定工作日提供三5*8小时现场服务，专职驻场技术工程师两名，每周到达项目现场三5天驻场办公。2资产台账梳理服务内容对全网的网络设备、服务器、业务资产进行台账梳理、统计；对全网的业务系统的软件版本、漏洞情况进行台账梳理；对全网的对外连接线路、路由情况、开放的安全端口进行梳理；对全网的弱口令资产进行统计梳理。服务周期每年2次，半年1次，提供1年服务3日常安全配置服务内容对全网的网络安全设备、网络安全软件等安全产品进行策略的配置、调整、优化、对

2、安全事件及时通过策略调整进行处置。医院与外部单位对接的安全策略调整，安全设备架构调整。服务周期提供1年服务不限次数4安全巡检服务服务内容通过安全巡检定期对重点主机、应用系统进行安全巡查，包括日志分析、恶意文件查杀、安全策略检查等，开展漏洞扫描和渗透测试，针对存在的问题及时组织整改,确保信息系统维持在一个动态安全的状态。安全巡检采用现场服务的形势，每季度开展一次。服务周期每季度1次，一年4次。提供一年服务5应急处置服务服务内容提供应急响应服务内容包括但不限于以下方面：1）事件调查分析：根据事件识别所发生事件的情况,对需要进一步分析的事件直接进行到相关的安全设备、网络设备、服务器、数据库等分析事件

3、的细节情况，进行细致的精确分析；2）事件取证：对确定有问题的严重事件进行调查后取证，将实际证据保存下来，形成文档提供给用户；3）事件解决方案和恢复：根据事件发生的实际情况调整网络设备、安全设备、服务器等的安全策略，解决和恢复事件造成的影响；4）书写事件总结报告：针对发生的事件前因后果书写总结报告；5）提出整改建议：对影响面大，后续可能还会发生的事件提出全面整改建议。6）减少损失和负面影响：利用自身的资源协调能力降低或减少事件负面影响，减少整体损失。服务周期全年，提供一年服务不限次数。6安全规划与咨询服务内容根据前期安全评估的结果，对全校安全相关设备进行策略指定和优化，以相关法律、政策为依据，结

4、合具体业务需求，站在全局高度，指导近期、长远信息安全建设，通过体系化的信息安全规划，建立全面、体系的信息安全技术防御体系；完善信息安全管理制度，规范日常管理流程；有序推进信息化建设，避免盲目投资造成的投资浪费。服务周期每年1次。提供一年服务。7网络安全监测服务服务内容实时对互联网信息系统进行远程安全监测，监测内容包括：服务可用性、网站漏洞、网站挂马、网站篡改等，对的信息系统进行远程监测，掌握系统安全运行态势，发现潜在攻击行为，及时进行预警、响应和处理，通过该项工作开展掌握网络安全动向，实现事前防御、事中监测、事后响应，确保安全事件可控。服务周期全年，提供一年服务不限次数。8信息安全预警服务内容

5、供应商的信息安全服务小组在第一时间提供最新的安全漏洞预警通告及相应的修补建议。服务周期全年，提供一年服务不限次数。9网络安全评估及协助加固服务服务内容服务人员使用商用安全评估工具对评估目标范围内对象进行漏洞扫描，并人工验证所发现的Web应用漏洞、主机操作系统漏洞、数据库漏洞、逻辑缺陷、弱口令、信息泄露及配置不当等脆弱性问题。根据安全评估结果的具体情况，协助采购人制定服务目标的加固建议，针对不同类型的目标系统，通过打补丁、修改安全配置、增加安全机制、建议添置安全设备等方法，合理加强服务目标的安全性。10渗透测试服务内容模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试,查找针对应

6、用程序的各种漏洞（出具渗透测试报告）每年三3次2.网络安全运维服务工具要求为确保本项目服务质量与效率，供应商应具备较高自动化服务能力，高质量按时完成网络安全运维服务，确保客观、快速、全面覆盖本项目所有内容。供应商应在项目实施过程中所使用的工具包括但不仅限以下：1）网络安全管理中心指标规格参数基本要求1、产品采用B/S设计架构，无需安装客户端，可通过浏览器远程对产品进行管理；2、该配套平台提供网络安全资产漏洞扫描、网站风险监测、网络蜜罐功能、资产测绘和管理功能授权许可提供无授权限制的资产发现功能授权许可，资产包括主机和网站。提供无授权限制的主机漏洞扫描和漏洞管理功能授权许可。提供无授权限制的网站

7、风险与威胁监测功能授权许可。提供无授权限制的内网和互联网蜜罐诱捕功能授权许可。资产测绘和管理功能资产发现探测主机资产识别支持自动扫描IP资产信息，包括：“存活IP、设备厂商、操作系统、端口、应用、数据库、中间件、服务版本”等资产指纹特征；网站资产识别支持白动识别网站资产信息，包括：“中间件信息、Web框架信息、CMS&OA、程序语言”等指纹信息，支持爬取网站后台、ICP备案编号、网站标题、网站返回码等属性；二级域名扫描支持二级域名扫描功能，输入一级域名进行一键扫描，通过搜索互联网数据，自动获取到该域名的二级域名、网站标题、解析IP地址。IP反查域名监测输入IP或者网段，通过搜索互联网数据，自动

8、获取到IP对应的域名、URL链接、网站标题、返状态码。网站资产通过爬取已知的网站页面，分析网页中是否包相关度分析含企业单位相关的网站链接，从而发现未知网站；可配置“网段、域名”等命中规则，自动判断是否属于相关单位的网址资产。资产深度管理下线资产监测可及时发现未存活IP、未存活端口以及访问延迟的网站，可查看未存活IP列表、未存活端口列表，可对未存活的资产进行移除操作。新增资产趋势可按最近一周、最近一个月、最近一个季度可查新增的主机IP资产、网站资产，掌握资产新增趋势。资产认领资产责任人可认领IP、网站资产，可显示资产认领状态，未认领的资产无法进行编辑。网站风险与威胁监测功能网站风险监测web漏洞

9、监测支持网站漏洞评估能力，提供多种Web应用漏洞的安全检测，如“SQL注入、跨站脚本、文件包含、CSRF、目录遍历”等网站脆弱性漏洞。网站应用监测支持监测网站的可用性、域名劫持等事件。网站威胁检测黑链/篡改事件监测高频率监测站点是否存在被黑客植入黑链、篡改的事件，系统需要保留植入黑链、篡改的快照页面，监测频率低至5分钟/次。全站敏感词事件监测用户可对不同网站自定义不同的敏感词库，并对企业、单位的网站进行全站页面爬取，发现敏感词字眼。敏感文件事件泄露监测可监测发布到网上的pdf、wordexcel文件中是否包含“身份证号、邮箱、手机号码、用户名/密码”等敏感信息，可在系统上查看泄露的信息以及敏感

10、文件下载链接。主机漏洞扫描主机漏洞扫描完善的漏洞库漏洞库漏洞信息大于210000+条，与CVE.CNNVD等主流标准兼容。支持通过多种维度对漏洞进行检索，包括：CVEID、CNNVDlD、漏洞名称、和漏洞管理功能漏洞风险等级等维度。可入侵漏洞监测集成多种PoC对内网资产进行自动漏洞验证与渗透，发现可导致数据泄露、系统入侵、越权等可入侵漏洞，先于黑客发现此类漏洞，主动发现。版本漏洞监测基于资产的版本信息，全面、快速进行漏洞版本比对,兼容CVE、CNNVD等漏洞库。主机漏洞管理漏洞生命周期管理支持漏洞跟踪管理，能够自动对漏洞状态进行处置，自动识别“新增、已修复、未修复”的漏洞，同时支持人工方式进行

11、漏洞状态处置，以及编写漏洞备注。内网威胁监测功能无侵入式全网病毒监测trunk部署病毒监测节点无需在用户服务器上安装agent,可通过trunk方式将诱捕能力发布到全内网各VIan网段，实现在全内网中部署大量高交互病毒监测诱饵，无侵入式部署不影响用户业务运行，同时极大提高黑客攻击病毒监测诱饵的概率。跨三层监测探针扩展监测探针支持trunk接入客户网络，可通过trunk方式将诱捕能力发布到全内网各VIan网段，实现在全内网中部署大量高交互病毒监测诱饵，同时支持软件和硬件版本的流量牵引探针。病毒诱饵类型支持高交互病毒监测诱饵，并可同时启用：“samba、ftp、sshrdptelnetmssqlm

12、ysqlmongoDBpostgresqltomcatweblogicjenkinsredishadoopmemcachesolractiveMQStrUtS2、wordpressnginxjbossjoomlaSmtp”等，以上服务应为真实应用服务，能够正常交互，欺骗攻击者。病毒处置功能失陷主机微隔离不需要联动第三方设备、不需要在主机上安装agent脚本，就能对失陷主机进行网络隔离，隔离后失陷主机无法访问同网段以及其它网段IP,防止失陷主机继续对东西向主机进行病毒传播、横向攻击等行为。取消微隔离在Web管理界面上，支持对已隔离的失陷主机取消微隔离，恢复失陷主机的网络访问权限。互联网威胁诱捕功

13、能蜜罐仿真默认仿真蜜罐支持至少10种可自定义logo和公司名称的仿真蜜罐，仿真蜜罐类型包括但不限于：“齐治堡垒机、启明堡垒机、深信服VPN、泛微0A、通达C)A、u8crmwikimailcowbbs论坛、订单管理系统”。完全仿真蜜罐支持通过反向代理的方式，接入用户自身搭建的应用系统，从而实现完全仿真真实业务系统，生成完全仿真蜜罐。智能克隆仿真蜜罐支持智能克隆仿真功能，可以通过自学习的模式对真实业务系统进行遍历访问，形成机器记忆，与真实业务系统一样可进行前后端的数据交互，包括但不限于以下动态交互类型：“搜索查询、登陆验证、账号注册”等，高迷惑性地吸引攻击者攻击蜜罐，要求拟态仿真蜜罐系统为纯静态

14、系统，无需额外提供蜜罐定制服务。攻击吸引引流防御可将访问真实业务系统的流量引流到仿真蜜罐，使攻击无法命中真实业务系统，真正有效消耗攻击资源，并直接保护真实资产互联网诱饵可在Web管理界面上自定义生成github互联网诱饵，可自定义添加蜜罐IP地址、github项目说明、项目提交人信息、邮箱信息等内容，以便黑客可以从互联网上搜索到自定义信息内容，从而转向攻击蜜罐。威胁感知入侵攻击参考MrrREATT&CK,采用多种取证技术手段，链检测还原黑客攻击入侵蜜罐的过程，形成黑客攻击链，攻击链检测包含：“针对蜜罐的探测扫描、渗透攻击、攻陷蜜罐、在蜜罐上安装后门远控程序、利用蜜罐进行跳板攻击”等入侵过程。还

15、原攻击数据包支持还原攻击者的网络数据包,包括icmptcpUdP等协议的攻击包，可查看攻击者发起的具体攻击请求数据，比如SQL注入、XSS攻击的http请求头部信息。时间轴告支持时间轴告警分析：可根据基于告警时间/攻击类型/地理位置等对攻击行为进行筛查，其中攻击类型可分类为：“可疑访问、尝试登陆、端口扫描、攻击尝试、强力攻击、异常进程、暴力破解、登陆成功、命令执行、可疑文件、恶意文件、跳板攻击”等类型，对于攻击事件分析起关键作用。攻击溯源攻击者社交信息溯源支持记录攻击者的“黑客社交画像”信息，包括社交账号、手机号、昵称、用户ID、头像等信息，支持多种黑客社交画像，需至少包含腾讯QQ、当当、百度

16、博客园、网易163邮箱、58同城、爱奇艺、和优酷以上任意三项。攻击者唯一指纹溯源可基于显卡成像参数、CPU等硬件信息，计算攻击者唯一身份指纹,即便攻击者更换IP也可以通过该指纹确定攻击者。设备指纹溯源设备指纹溯源至少包括：操作系统信息、浏览器指纹、浏览器类型、mac地址、设备厂商、屏幕分辨率、浏览器历史记录、计算机名。其他功能监测中心监测中心展示整体安全监测概况，呈现主机资产信息以及主机监测雷达图，包含：“弱口令、可入侵漏洞、高风险漏洞”等概况；呈现攻击监测诱饵监测概况，包含：“失陷主机统计、攻击链统计、威胁趋势”等。大屏展示支持大屏展示功能，可视化呈现监测中心的数据，包括主机资产监测概况、

17、攻击监测诱饵监测概况，大屏界面能够自动刷新监测数据，实时展示最新监测结果。告鹫微信告警支持微信告警。邮件告警支持邮件告警，可自定义告警邮箱。系统管理用户管理支持创建三类角色用户：管理员、操作员、审计员，支持账号安全策略设置，可设置密码最长天数、最小天数、登录失败锁定次数、登录超时时间、登录IP地址白名单等安全策略。（二）安全运营服务服务类技术类型内容及要求服务内容要求资产识别与梳理供应商需借助安全工具对用户资产进行全面发现和深度识另U,并在后续服务过程中触发资产变更等相关服务流程，确保资产信息的准确性和全面性。供应商需结合安全工具发现的资产信息，首次进行服务范围内资产的全面梳理（梳理的信息包含

18、支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本，类型，IP地址；应用开放协议和端口；应用系统管理方式、资产的重要性以及网络拓扑），并将信息录入到安全运营平台中进行管理；当资产发生变更时，安全专家对变更信息进行确认与更新。漏洞管理漏洞扫描与验证：供应商需每月针对服务范围内的资产的系统漏洞和Web漏洞进行全量扫描，并针对发现的漏洞进行验证，验证漏洞在已有的安全体系发生的风险及分析发生后可造成的危害。漏洞优先级排序：供应商需提供客观的漏洞修复优先级指导，不能以漏洞危害等级作为唯一的修复优先级排序依据。排序依据包含但不限于资产重要性、漏洞等级以及威胁情报（漏洞被利用的可能性）三个维度。漏洞

19、验证：提供漏洞验证服务，针对发现的漏洞进行验证，验证漏洞在已有的安全体系发生的风险及分析发生后可造成的危害。针对已经验证的漏洞，自动生成漏洞工单，安全专家跟进漏洞状态，各个处理进度透明，方便采购人清晰了解当前漏洞的处置状态，将漏洞处理工作可视化。漏洞修复建议：针对存在的漏洞提供修复建议，能够提供精准、易懂、可落地的漏洞修复方案。服务催单：针对服务平台生成的工单，采购人可按需催单，服务平台采用短信等方式通知安全专家，督促供应商第一时间处理。漏洞复测：需提供漏洞复测措施，及时检验漏洞真实修复情况。复测措施可按需针对指定漏洞，指定资产等小范围进行，降低漏洞复测时的潜在影响范。漏洞状态追踪：对发现的漏

20、洞建立状态追踪机制，自动化持续跟踪漏洞情况，清晰直观地展示漏洞的修复情况，遗留情况以及漏洞对比情况，使得采购人可做到漏洞的可视、可管、可控。资产指纹信息梳理：供应商需梳理信息化资产详情（含操作系统、中间件、数据库、应用框架，开发语言以上指纹信息）并将梳理的信息录入安全运营平台。最新漏洞预警与排查：供应商需实时抓取互联网最新漏洞与详细资产信息进行匹配，对最新漏洞进行预警与排查。预警信息中包含最新漏洞信息、影响资产范围。最新漏洞处置指导：一旦确认漏洞影响范围后，安全专家提供专业的处置建议，处置建议包含两部分，补丁方案以及临时规避措施。最新漏洞复测与状态跟踪：由供应商对该最新漏洞建立状态追踪机制；跟

21、踪修复状态，遗留情况。威胁管理结合大数据分析、人工智能、云端专家提供安全事件发现服务：依托于安全防护组件、检测响应组件和安全平台，将海量安全数据脱敏，包括漏洞信息、共享威胁情报、异常流量、攻击日志、病毒日志等数据，经由大数据处理平台结合人工智能和云端安全专家使用多种数据分析算法模型进行数据归因关联分析，实时监测网络安全状态,发现各类安全事件，并自动生成工单。实时监测网络安全状态，对攻击事件自动化生成工单，及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件。实时监测网络安全状态，对病毒事件自动化生成工单，及时进行分析与预警。病毒类型包含勒索型、流行病毒、挖矿型、蠕虫

22、型、外发DOS型、C&C访问型、文件感染型、木马型。供应商需针对每一类威胁，进行深度分析验证，分析判断是否存在其他可疑主机，将深度关联分析的结果通过邮件、微信等方式告知用户。结合威胁情报，供应商需排查是否对用户资产造成威胁并通知用户，协助及时进行安全加固。供应商需每月主动分析病毒类的安全事件：提供病毒处置工具，并针对服务范围内的业务资产使用病毒处置工具进行病毒查杀，对于服务范围外的业务资产，安全专家协助用户查杀病毒。供应商需每月主动分析攻击类的安全事件：通过攻击日志分析，发现持续性攻击，立即采取行动实时对抗，当用户无防御措施时，提供攻击类安全事件的处置建议。供应商需每月主动分析漏洞利用类的安全

23、事件并验证该漏洞是否利用成功，提供工具协助处置。供应商需每月主动分析失陷类的安全事件并协助用户处置，并提供溯源服务。策略调配：新增资产、业务变更策略调优服务，业务变更时策略随业务变化而同步更新。策略定期管理：供应商需每月对安全组件上的安全策略进行统一管理工作，确保安全组件上的安全策略始终处于最优水平，针对威胁能起到最好的防护效果。策略调整：安全专家根据安全事件分析的结果以及处置方式，根据用户授权情况按需对安全组件上的安全策略进行调整工作。通过攻击日志分析，发现持续性攻击，立即采取行动实时对抗。通过全网大数据分析，发现有境外黑客或高级黑客正在攻击，立即采取行动封锁黑客行为。事件管理基于主动响应和

24、被动响应流程，对页面篡改、通报、断网、WebshelK黑链等各类严重安全事件进行紧急响应和处置的解决方案。实时针对异常流量分析、攻击日志和病毒日志分析，经过海量数据脱敏、聚合发现安全事件。针对分析得到的勒索病毒、挖矿病毒、篡改事件、WebShe11、僵尸网络等安全事件，通过工具和方法对恶意文件、代码进行根除，帮助采购人快速恢复业务，消除或减轻影响。入侵影响抑制：通过事件检测分析，提供抑制手段，降低入侵影响，协助快速恢复业务。入侵威胁清除：排查攻击路径，恶意文件清除。入侵原因分析：还原攻击路径，分析入侵事件原因。加固建议指导：结合现有安全防御体系，指导用户进行安全加固、提供整改建议、防止再次入侵

25、服务平台功能要求运营可视支持面向采购人的安全状态展示，展示出采购人的业务和用户安全状态信息，使得采购人能直观感受到当前的业务和资产安全状态。支持面向采购人的安全态势展示，展示出当前采购人遭受的威胁事件信息以及脆弱性信息统计，使得采购人能直观感受到当前的风险态势情况。支持面向采购人的安全报告与交付物管理，可生成、导出、下载各类安全报告，包括但不限于风险评估报告、安全服务运营报告、安全能力差距分析报告、未公开威胁报告、事件分析与处置报告、应急响应报告等，使得采购人能直观查看服务成果和使用效果。工单类型平台支持的工单类型应包含内部威胁工单、外部威胁工单、脆弱性工单、应急工单、策略工单、和其他工单。

26、告警工单管理支持安全告警管理：根据大数据分析平台生成的威胁告警，展示出当前采购人所有的威胁告警信息。威胁告警应显示出威胁类型，威胁发生时间，攻击者IP,被攻击者IP,威胁描述，攻击趋势等信息。平台应支持专家根据威胁告警信息，确认告警是否为有效，并将分析结果记录到对应的告警信息展示里。事件工单管理支持安全事件管理：如果判断为有效威胁，专家将该威胁转化为威胁事件，威胁事件将转给更高级的专家处理。平台应支持威胁事件将多个同类威胁告警聚合到一起，方便专家批量处理，提高处置效率。平台应支持专家将威胁事件的分析过程详细记录到对应的威胁事件工单里，便于工单流转和过程回溯。当专家处置完威胁事件后，将对应的威胁

27、事件进行关闭，完成整个威胁闭环过程。日志检索平台应通过大数据平台的搜索引擎，支持快速搜索和搜索语句搜索所有安全日志数据。快速搜索能够通过搜索页面上预先配置好的按钮，实现只需点击不同的搜索条件，即可直接获取到搜索结果。查询语句搜索需要在搜索框内输入查询语句，实现更灵活的自定义搜索，满足高级搜索和复杂搜索场景。日志接收和处理平台支持接收多种安全设备同步的安全日志等数据，目前支持防火墙，终端检测与响应EDR,流量分析设备、态势感知平台等设备。平台支持在数据采集过程中将无效和非法的数据进行过滤，过滤后的安全日志可以缓存7天。平台支持对不同设备上报的日志进行格式泛化，以统一格式存储到大数据平台，为安全规

28、则配置提供标准格式的数据。报告中心支持配置报告模板和下载报告文件，报告的类型有Pdf格式报告和word格式报告。支持根据不同场景，灵活选择不同的组件组合形成新的报告模板，以便于采购人查看不同场景和维度的服务报告。可从时间范围，开始时间，结束时间、漏洞攻击，网络流量，恶意攻击，脆弱性等维度组合新的报告模板。下载报告时，选择相应场景的模板进行下载即可。平台管理本项目使用服务工具支持将收集的安全日志上传到安全服务平台上，并支持在该平台上对服务工具进行管理平台应支持配置采购人的业务信息，将业务设置为高中低三个不同的等级。在每个业务下，配置业务的资产IP范围。服务平台应支持为采购人设置白名单，包括自动封

29、锁白名单，策略白名单等。支持重大活动保障时期的备战阶段、实战阶段、演练结束三个阶段的指导性工作流程。平台支持使用finebi平台，自定义配置统计数据，包括告警数据，工单数据，工单平均处置时长等数据，来统计当前平台的运营效率，直观体现出当前运营能力，同时可对服务专家处置效率进行考核。服务水平协议SLA通过SLA对安全事件服务水平作出承诺：1）从安全日志产生到事件通告给采购人的时间方面，重大安全事件和较大安全事件的通告时间小于30分钟，一般事件的通告时间少于1小时。2）在配备供应商的边界防护服务组件和终端防护服务组件的情况下，运营服务对于重大安全事件和较大安全事件的遏制影响和处置完成时间小于1小时

30、对于一般事件的遏制影响和处置完成时间小于2小时。3）在未配备供应商的边界防护服务组件和终端防护服务组件的情况下，运营服务对于重大安全事件和较大安全事件的遏制影响和处置完成时间小于4小时，对于一般事件的遏制影响和处置完成时间小于24小时。4）安全事件经过服务人员的确认后，各类安全事件的判断准确率不低于99%。5）在配备了供应商的边界防护服务组件和终端防护服务组件的情况下，安全事件的闭环处置比例达到100%。6）以上要求未达标的惩罚措施为：每不达标一次，服务时间延长一周。7）对于特别重大安全事件应启动应急响应机制，10分钟之内云端专家进行响应，同城2小时内上门处置，同省4小时内上门处置。8）服务

31、期内若发生一次特别重大安全事件，供应商将扣除合同总金额3%作为赔偿金。通过SLA对安全威胁服务水平作出承诺：1）从安全日志产生到威胁通告给采购人的时间方面，高级威胁的通告时间少于30分钟，一般威胁的通告时间少于1小时。2）在配备供应商的边界防护服务组件和终端防护服务组件的情况下，高级威胁的处置完成时间少于1小时，一般威胁的处置完成时间少于4小时；3）在未配备供应商的边界防护服务组件和终端防护服务组件的情况下，高级威胁和一般威胁的处置完成时间少于24小时；4）安全威胁经过服务人员的确认后，高级威胁和一般威胁的判断准确率不低于99%。5）在配备了供应商的边界防护服务组件和终端防护服务组件的情况下，

32、高级威胁和一般威胁的闭环处置比例达到100%o6）以上要求未达标的惩罚措施为：每不达标一次，服务时间延长一周。通过SLA对安全漏洞服务水平作出承诺：1）在配备供应商的漏洞定期扫描服务组件的情况下，漏洞扫描的频率不低于每15天扫描一次。2）高危可利用漏洞从发现到完成闭环处置的时间少于7个工作日。3）高危可利用漏洞经服务人员确认后的准确率不低于99%o4）高危可利用漏洞的闭环处置比例达到100%。5）对于Oday和最新漏洞，从发现漏洞到通告给采购人的时间少于8小时。6）在配备供应商的边界防护服务组件和终端防护服务组件的情况下，对于Oday和最新漏洞，在发布相应的攻击PoC之后，运营服务将在24小时

33、内遏制漏洞的影响；7）Oday漏洞经过服务人员确认后的准确率不低于99%o8）在配备了供应商的边界防护服务组件和终端防护服务组件的情况下，Oday漏洞的闭环处置比例达到100%。9）以上要求未达标的惩罚措施为：每不达标一次，服务时间延长一周。服务交付物交付物名称：首次威胁分析与处置报告，报告频率：一次交付物名称：事件分析与处置报告，报告频率：按需触发，不限次数交付物名称：安全通告，报告频率：按需触发，不限次数交付物名称：季度汇报PPT，报告频率：每季度一次交付物名称：年度汇报PPT，报告频率：每年一次服务频率7*24小时持续专家服务，威胁发现及时响应，三150个IP资产的1年服务。（三）重保护

34、网安全服务服务类服务类型内容及要求服务内容资产识别与梳理供应商需借助安全工具对IT资产进行全面发现和深度识别，确保资产信息的准确性和全面性，便于攻防演习期间快速定位安全风险和加固。资产指纹信息梳理：供应商需提供服务工具辅助梳理信息化资产详情（含操作系统、中间件、数据库、应用框架，开发语言以上指纹信息），并将梳理的信息录入安全运营平台。风险监测与管控最新漏洞预警与排查：供应商在攻防演习期间提供专业的威胁情报服务，实时抓取互联网最新漏洞与详细资产信息进行匹配，对最新漏洞进行预警与排查。应能支持对资产影响范围的自动监测与排查。最新漏洞处置指导：供应商确认漏洞影响范围后，应安全专家提供专业的处置建议，

35、处置建议包含两部分，补丁方案以及临时规避措施。威胁情报跟踪：供应商应提供对最新漏洞威胁情报跟踪进度的可视化界面展示最新漏洞的跟踪处置过程实时监测网络安全状态，攻防演习期间，提供安全大数据分析平台和安全运营服务平台，对攻击事件自动化生成工单，及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件、和高级威胁事件。高级安全专家威胁狩猎，提供高级安全攻防专家在线值守服务，在安全运营服务平台自动生成安全威胁工单的基础上每两个小时进行一次人工威胁狩猎，主动全面的分析全网安全日志信息，提高有效攻击事件的检出率，供应商从安全攻击事件产生到发现时间应W30分钟。攻防对供应商需针对每一

36、类威胁，进行深度分析验证，分析判断是否存在其他可疑主机，将深度关联分析的结果通过邮件、微信等方式告知用户。抗防守对抗：供应商应提供高级安全专家对发现的安全攻击行为进行快速的源IP封锁或行为规则封锁，同时对安全组件上的安全策略进行动态调优工作，确保安全组件上的安全策略始终处于最优水平，实时动态的抵御攻击方的攻击行为。高级威胁攻击源情报共享服务，供应商应利用专业的技术团队和服务工具，获取行业内发生的攻击源IP等威胁消息，并同步为采购人提供高级威胁和攻击行为的提前预判和攻击行为封堵，提供安全服务平台支持批量下发封锁攻击源IPo为保障攻防演练期间对大量的攻击源IP封锁及风险排查工作，应能在服务平台上实

37、现攻防专家之间共享攻击源并且支持重复源IP的自动去重，减少安全人员操作复杂度，提高防守对抗效率事件监测与响应基于主动响应和被动响应流程，对页面篡改、通报、断网、WebshelK黑链等各类严重安全事件进行紧急响应和处置的解决方案。实时针对异常流量分析、攻击日志和病毒日志分析，经过海量数据脱敏、聚合发现安全事件。针对分析发现的入侵成功的安全事件，通过工具和方法对恶意文件、代码进行根除，帮助采购人快速恢复业务，消除或减轻影响。策略调整:安全专家根据安全事件分析的结果以及处置方式，根据用户授权情况按需对安全组件上的安全策略进行调整工作。处置合规性保障：安全专家根据安全事件分析的结果以及处置方式，为保障

38、服务人员操作的合规性，安全专家应获得用户对操作执行的有效授权。入侵影响抑制：通过事件检测分析，提供抑制手段，降低入侵影响，协助快速恢复业务。入侵威胁清除：排查攻击路径，恶意文件清除。入侵原因分析：还原攻击路径，分析入侵事件原因。加固建议指导：结合现有安全防御体系，指导用户进行安全加固、提供整改建议、防止再次入侵。服务交付物交付物名称：攻防演习日报，报告频率：每天一次交付物名称：攻防演习值守总结报告，报告频率：一次交付物名称：安全事件防守报告，报告频率：按需触发，不限次数采购人有权要求供应商严格按照上述频率要求提供服务交付物，确保满足采购人安全需求。如供应商未能按时提供，采购人有权终止服务合同，

39、中间产生任何费用由供应商自行承担服务频率提供一年不限制次数重保运维服务;供应商应承诺7*24小时持续专家服务，威胁发现及时响应。二、项目团队本项目人员配备要求：L项目经理：1人，具有信息系统项目管理师证书（计算机技术与软件专业技术资格）、具有系统规划与管理师证书（计算机技术与软件专业技术资格）；2 .项目技术负责人：1人，具有网络工程师证书（计算机技术与软件专业技术资格）、信息安全工程师证书（计算机技术与软件专业技术资格）；3 .项目实施团队：2人，具有信息安全工程师证书（计算机技术与软件专业技术资格）。三、服务要求1、供应商应按照合同要求期限内安排人员到采购人指定地点配合工作。如驻场人员能力

40、达不到采购人要求，采购人有权要求更换项目驻场人员。2、供应商按采购人提供的合同执行进度计划，再配合采购人及有关单位，以此做好合同执行进度上的配合工作。3、在项目的建设和实施过程中，供应商应遵守采购人XX医院信息化项目管理实施条例内相关制度的考核，如有监理单位，则要接受采购人指定的监理单位的监督和考核。4、供应商在项目实施阶段需要提供符合资质和经验要求的项目人员，如项目人员有调整，需要提出书面的人员变更申请，并经过采购人和监理方（如有）同意后才能更换。5、服务范围内的资产如果出现重大安全事件，如：L服务器遭遇勒索病毒导致重要数据丢失；2.出现大面积服务器因中病毒导致业务不可用并超过3小时无法恢复

41、3.网页遭受黑客恶意篡改内容及黑链并造成巨大不良影响；经技术取证确认为供应商工作失职，要求对供应商进行处罚，每出现一次在当前季度款结算时扣除合同进度款的10%,合同期内累计出现3次或以上的重大安全事件,采购人有权单方面解除合同。四、送货项目实施要求1、供应商所提供的货物、设备、软件、服务及配套配件，应符合国家有关规范和采购人的技术要求，并提供货物的厂试测验报告（保修卡、合格证、出厂检验报告等质量相关证明文件）。2、供应商提供的货物、设备、服务要能与医院的原有的设备或系统良好的兼容，并且不能影响医院原有的设备或系统的性能。五、服务清单序号需求名称单位数量1网络安全驻场运维服务年12网络安全运营

42、服务年13重保护网安全服务年1六、验收要求采购人每季度在收到供应商提供的服务报告后，结合供应商的服务情况及服务报告，对供应商的服务作出考核和验收，供应商应于每个自然月结束后5个工作日内向采购人提交书面服务报告，采购人收到供应商书面服务报告后每季度内组织一次验收。七、合同履行期限合同签订之日起，提供一年维保服务。八、付款方式1期：支付比例30%,签订合同后5个工作日内办理完开工手续，并安排实施人员进场，在完成需求调研并出具经采购人、供应商、监理（如有）三方认可的第一个3个月的运维服务确认报告后，采购人于收到发票后10个工作日内向供应商支付合同总额的30%o2期：支付比例20%,第二个3个月的运维服务经采购人信息技术部、监理（如有）签字确认后，采购人于收到发票后10个工作日内向供应商支付合同总额的20%o3期：支付比例30%,第三个3个月的运维服务经采购人信息技术部、监理（如有）签字确认后，采购人于收到发票后10个工作日内向供应商支付合同总额的30%o4期：支付比例20%,第四个3个月的运维服务经采购人信息技术部、监理（如有）签字确认后，采购人于收到发票后10个工作日内向供应商支付合同总额的20%o以上付款方式如财政部门另有规定，则从其规定。