南方医科大学口腔医院网络及数据安全建设产品征询函

为全面深入了解网络及数据安全建设产品市场行情，秉持“公平、公开、公正”之原则，诚邀符合条件的供应商凭借优质的产品、卓越的服务和优惠的价格参与此次征询活动。

一、项目背景

南方医科大学口腔医院信息化建设步入高质量发展阶段。在医疗环境变革下，医疗数据有价值也有风险，口腔诊疗会产生大量患者敏感信息。近年来，医疗领域数据安全事件频发，因多种因素导致的数据泄露损害医患信任、影响医院声誉。国家对该领域监管严格，要求医疗健康数据处理合规，数据分类分级成为法定义务。依据相关文件，医院提出构建纵深数据安全防护体系，该体系以数据分类分级为基础、以风险评估为导向、综合技术防控为手段、以数据全链路监测为关键，实现从“以系统为中心”到“以数据为核心”的防护转变。

二、目标与需求

*.数据安全治理

*数据分类分级

利用自动化工具，按照国家卫生健康委印发的《卫生健康行业数据分类分级指南（试行）》中的分类要求，对医院核心业务系统（如***、****）的数据进行处理，形成可输入数据资产梳理与分类分级系统的分类分级标准《卫生健康行业数据分类分级指南》。数据分类分级服务涵盖关键业务系统，且将分类分级后的数据字段应用于本项目数据安全防护相关产品，制定具有针对性的数据脱敏、监测和防护策略。

*数据安全风险评估

依据监管机构的数据安全合规政策要求，针对医院核心业务系统（例如***、***、****）的数据安全管理工作，开展数据安全风险评估服务。通过识别敏感数据资产，剖析存储、传输、使用环节的脆弱性与威胁，评估合规差距，进而输出《数据安全风险评估报告》，为医院数据安全建设提供决策依据。该数据安全风险评估服务需涵盖医院各项关键业务数据。

*.数据安全防护

*数据脱敏

部署数据脱敏系统，实现对源数据中敏感信息的自动化识别与脱敏规则匹配，通过自动变形、漂白等技术手段对敏感数据进行处理。脱敏过程需保持数据特征、关联性及一致性，有效降低敏感数据泄露风险，满足开发测试、分析挖掘及数据提取上报等场景的安全需求。

*数据全链路监测

部署数据安全监测平台，通过梳理探测环境资产，结合网络拓扑绘制网络空间分布图，备案数据交互行为，分析流量日志提取访问行为及内容。基于敏感数据清单、分类分级及资产备案信息，依托行为基线监测访问行为，实现外部访问、生产运维及数据生命周期风险监测，全链路覆盖重点业务、行为、数据与事件，达成数据全链路追踪，构建数据资产管理、流动监测、访问监测、***数据流转监测、统计分析、风险评估、合规报表及事件溯源等核心管控策略。

*数据防泄密

部署数据防泄漏系统，通过流量采集接入及多种协议分析，对协议承载数据内容进行还原，实现实时双向流量的内容审计。可有效识别文件内容，甄别是否存在限制出域的敏感价值文件，同时结合异常行为分析、全流量安全审计、安全事件告警等措施，实现核心敏感数据外泄行为的快速发现与高效处置。

*身份认证和安全准入

部署网络安全准入系统，实施全网终端准入管控，隔离非法或未授权终端，仅允许认证或审核通过的终端接入网络访问业务数据。按使用者身份区分设置访问权限，细化内部权限，技术措施需适配医院应用场景并预留应急机制，降低对现有业务影响，实现内网**、哑终端、特殊设备等接入时的身份认证与安全基线检查，构建资产综合治理能力。

*服务器安全防护

部署服务器安全防护系统，实现服务器软、硬件资产的自动化识别与清点，建立资产台账。同时对主机暴露面进行梳理并开展持续威胁监测分析，精准识别服务器安全威胁及入侵事件，可提供服务器等保合规、勒索挖矿防护、弱口令及风险账号治理、恶意扫描防御、爆破登录拦截、提权攻击阻断、无文件攻击检测、文件泄露防护、病毒横向扩散遏制、软件漏洞管理等场景防护能力，具备主流杀毒引擎，提供全面的服务器勒索与挖矿检测功能。

三、建设依据

本项目的设计与实施将严格遵循以下国家标准、法律法规和行业规范：

法律法规

《中华人民共和国网络安全法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

国家标准

**/* **********《信息技术 大数据 数据分类指南》

**/* **********《信息安全技术 健康医疗数据安全指南》

**/* **********《信息安全技术 个人信息安全规范》

**/* **********《数据安全技术 数据分类分级规则》

**/* **********《数据安全技术 数据分类分级规则》

**/* **********《信息安全技术网络安全等级保护基本要求》

行业标准

《医疗卫生机构网络安全管理办法》

《卫生健康行业数据分类分级指南（试行）》

*/**** ***.******《数据分类分级指南 第*部分：医疗健康》

《广东省卫生健康数据分类分级实施指南（试行）》

四、介绍会报名

*.报名资料

①企业营业执照复印件；②法人身份证复印件（或提供代理人身份证复印件及法人授权委托书）；③参与产品演示人员身份证复印件；④产品介绍 ***（介绍时间应限定在 ** 分钟以内）。

*.报名方式

凡参加产品介绍的供应商，请于****年*月*日**:**前，将以上报名资料（加盖公章的扫描件）发送至邮箱********@**.***。邮件主题格式为“公司名称+网络及数据安全建设报名资料”，邮件内容中需备注联系人姓名、电话等便于联系的信息。逾期提交或资料不全的，将不予接收。

*.会议安排

会议时间、地点：另行通知。联系人：郭老师（联系电话:************）

五、会议要求

我们期望贵公司能够向我院展示贵公司针对本项目的解决方案，并助力我院更深入地了解如何将该方案应用于我院业务。我们希望贵公司能够解答我院的疑问，并提供实际案例以彰显贵公司解决方案的优势。具体应涵盖以下内容：

*.技术方案：针对本项目的架构设计（不限于网络拓扑、数据流向、硬件/软件配置建议）；

*.产品介绍：推荐产品的功能说明、性能指标、兼容性列表及典型案例；

*.成功案例：其他医院同类型项目的解决方案与实施流程，尤其是华南地区的医疗单位；

*.服务保障：运维支持方式（如*×**小时响应）、服务承诺及应急处理流程、广州本地团队情况；

*.报价清单：方案涉及的产品、服务等明细报价。

注：本次南方医科大学口腔医院网络及数据安全建设项目方案征询，仅为院方征询报名之需，不构成实际依据，医院不承担任何相关费用。