福建医科大学附属协和医院

网络安全服务建设项目市场调研公告

一、项目背景

为科学、规范推进我院网络安全服务体系建设，提升整体安全防护与合规运营能力，现对（*********年，共*年）网络安全服务开展市场调研，欢迎符合条件的供应商积极参与。

二、调研内容

（一）资产安全运营服务

*. 内网资产梳理及清理服务

对等保、风险评估等合规类资产，以及安全运营过程发现的无主资产进行持续完善，深度融合合规与运营资产，不断盘清家底。

*.互联网资产梳理与收敛服务

通过资产测绘节点对指定范围的互联网地址进行资产探测，识别端口开放、服务协议，形成互联网资产台账；基于主域名及关键字，利用机器学习算法自动发现暴露在互联网上的全部数字资产（域名、***网站、中间件等），输出疑似、仿冒资产数据（双非资产），提供暴露面收敛建议并协助收敛。

（二）威胁运营服务

*.安全威胁运营服务

在院内环境中部署平台，对接用户现有异构安全设备日志、流量数据，原始安全数据不离场，分析师在现场平台开展监测、分析、梳理及验证。建立安全告警与事件记录，形成安全态势报告，评估损害范围和防护措施有效性。支持以系统为维度展示风险系统，包括安全事件次数、紧急高危事件次数、影响的风险资产。

*.日志监测分析服务

依托平台对网络内众多安全设备产生的海量日志数据进行精细化、智能化监测分析。

*.主机监测分析服务

根据******或在主机上安装*****实现细粒度、实时的主机活动监控与威胁识别，将安全日志发送至平台进行全天候监测和精确分析。

*.应急响应服务

组建安全应急小组，提供*×**小时远程支撑服务和本地应急支撑服务，协助用户进行安全事件处置（定位问题、阻断传播、根除威胁），响应结束后提供应急响应报告。

（三）脆弱性运营服务

*. 远程互联网漏洞扫描服务

***漏洞检测：针对***网站进行安全评估，并提供《网站安全漏洞扫描报告》。

主机漏洞检测：对互联网服务器主机进行常态化漏洞与弱口令扫描，提供漏洞、弱口令台账与报告，并提供《主机安全漏洞扫描报告》。

*.内网服务器漏洞扫描服务

对内网服务器及***应用进行漏洞扫描（***漏洞、主机漏洞），并提供扫描报告。

*.系统渗透测试服务

模拟常见黑客攻击手段对目标系统进行非破坏性模拟入侵，承担测试结果审核，提供加固方式并跟踪整改。每次渗透均需提供《渗透测试报告》。

*.新系统上线检测服务

对新上线系统进行：安全漏洞扫描、安全配置检查、渗透测试。并提供《系统上线检测报告》。

*.热点漏洞通报服务

提供最新热点安全漏洞、威胁（****、系统漏洞、网络攻击）的告警通知、问题描述和处理意见，提供符合用户需求的安全信息，并由驻场人员协助整改处理。

*.漏洞闭环管理服务

收集汇总漏洞扫描、渗透测试、监管检查、攻防演练等漏洞数据，纳入平台统一管理，生成统一漏洞视图，关联责任人，跟踪处置状态。

（四）合规管理运营服务

*. 合规数据管理、自查及风险整改跟踪

将等级保护测评结果、密码应用安全性评估结果以及数据安全、供应链安全等合规情况进行展示。通过自动化解析或数据录入，对等保测评、商密评估、数据安全风险评估、个人信息安全影响评估、风险评估等合规检测中存在的问题进行跟踪管理；遵循《信息安全技术 网络安全等级保护基本要求》，从安全物理环境、安全计算环境、安全通信网络等方面开展等级保护合规自查，形成详实自查报告。

*.安全制度台账梳理服务

协助梳理等保、密评相关的全量网络安全管理制度、日常工作表单。

*.安全迎检支撑服务

在行业监管发布专项检查通知时，协助开展迎检自查。

（五）其他安全服务

*. 重要时期安全保障服务

在节假日、重大会议、安全演练等重要时期，提供驻场和二线专家现场人力保障，提供现场及远程人工值班值守服务。

*.有效性验证服务

通过在互联网发起针对验证标靶的各类攻击动作，检验防火墙、***、***等安全设备防护有效性。

*.攻击面管理服务

对互联网侧所有暴露资产进行**小时不间断探测，实时捕捉资产状态变化（新增**、端口开放/关闭、服务协议更新等），第一时间预警并闭环管理。

*.互联网敏感信息监测服务

对互联网侧暴露的敏感信息进行探测，覆盖百度文库、******、*****、公众号、小程序、***等渠道，对监测内容进行人工研判，发现暴露后第一时间告警。

*.网站安全监测服务

对互联网暴露网站进行*×**实时监测（漏洞、篡改、黑链、敏感文件、敏感词、网马监测、可用性等）。

*.安全设备巡检服务

制定安全设备巡检计划，定期对防火墙、入侵检测系统等设备进行深度检查，出具《安全设备巡检报告》。

*.安全意识评估服务

使用包括但不咸鱼钓鱼邮件、微信、电话等方式对员工进行模拟攻击，通过员工操作行为评估安全意识状态

*.安全意识培训服务

面向信息化维护人员组织安全意识培训，内容包含但不限于：网络安全态势分析、保密管理、等保*.*体系、信息安全基础、操作系统安全基础、口令破解实战、个人信息保护、电子邮件安全、移动***应用安全等。

*.安全从业人员培训服务

针对我院信息安全团队，提供专业化、系统性的安全技能培训，内容包括但不限于：安全攻防技术（***渗透、主机渗透、内网横向移动）、安全运维实战（日志分析、告警研判、应急响应流程）、安全工具使用（漏洞扫描、流量分析、***等）、安全合规与风险评估、医疗行业典型安全案例分析等。培训形式可采取集中授课、实战演练、模拟对抗等方式。

**.应急演练服务

通过设定安全事件开展应急演练，检验应急响应工作流程和预案有效性，并提供《应急演练方案》、《应急演练情况总结》。

**.安全规划咨询服务

依据信息安全策略及行业发展动态，在风险评估、差距分析基础上，从安全技术、安全管理、安全组织三个角度帮助用户构建短期、中期与长期信息安全规划。

**.威胁情报服务

提供高价值、实时更新的威胁情报服务，支持通过***接口与我院现有安全平台（网络安全合规与运营管理平台、****等）对接，实现自动化情报获取与联动。情报内容应包括但不限于：国家网络安全情报中心最新情报、恶意**/域名/***、恶意文件哈希、**服务器信息、***攻击组织****、最新漏洞情报（含****/****）、医疗行业定向攻击预警等。要求情报准确度高、延迟低，并提供情报查询、订阅、预警推送等功能。服务期内提供***维护、升级及技术支持。

**.红队评估服务

以真实攻击者视角，在不影响业务系统正常运行的前提下，对我院关键信息系统、网络基础设施、人员及管理流程进行全面的、有组织的模拟攻击演练。红队评估手段包括但不限于：外部渗透攻击、社会工程学攻击（钓鱼邮件、电话诈骗等）、物理入侵模拟、内网横向移动、域渗透等，全面检验现有安全防护、监测及应急响应体系的实际防御能力。评估结束后提交《红队评估报告》

（六）安全驻场人员

安全驻场服务

供应商需提供至少*名专职安全驻场人员，常驻我院现场办公。驻场人员要求：具备*年以上大型三甲医院网络安全运营经验； 负责日常安全监测、日志分析、漏洞验证、应急响应协调、安全设备维护、合规自查以及我院交办的其他等现场工作；

正常*×*小时现场工作时间。发生安全事件或重保期间需*×**小时值守。

定期提交驻场工作周报、月报及相关服务记录。

驻场人员服务周期与项目服务期一致。

三、人员资质要求

为保证服务质量，供应商须为本项目组建稳定的安全服务团队，团队人员应满足以下资质要求：

*.项目经理（*名）

具备*年以上网络安全项目管理经验；

持有***、****、*****、*****或同等资质证书至少一项；

具有医疗行业安全服务项目管理经验者优先。

*.安全驻场人员（*名）

具备*年以上大型三甲医院网络安全运营或安全服务工作经验；

熟悉主流安全产品（***、***、***、****等）的配置与日志分析；

具备独立开展漏洞验证、安全监测、应急响应协调等工作的能力。

*.红队评估人员

团队成员应具备丰富的渗透测试及红蓝对抗经验，持有********、********、****、****等渗透测试类资质证书者优先；

至少*人具有*年以上红队或高级渗透测试经验。

*.安全分析师（威胁运营、日志分析、重保驻场等）

具备*年以上安全事件监测、日志分析或应急响应经验；

持有****、*****、*****、***等相关认证或同等技能证明。

*.培训讲师（安全从业人员培训服务）

具备*年以上网络安全培训授课经验；

持有****、********、*****或其他高级安全认证；

熟悉医疗行业安全风险、安全竞赛、典型攻击案例者优先。

*.其他人员要求

所有驻场及现场服务人员均须通过背景审查，无犯罪记录；

供应商应提供服务团队人员清单及对应资质证书复印件，在服务期内保证核心人员稳定，如需更换须经我院书面同意。

四、报名材料及说明

* .报名表（附件*）。

*.公司营业执照复印件。

*.演示供应商代表的个人授权函、身份证复印件。

*.针对本项目建设内容、服务、周期、报价等出具报价函。

*.上述材料需加盖公章（报名表除外），并在****年*月**日**:**前提交电子材料或纸质材料。

（*）电子材料发送至********@**.***

（*）纸质材料于工作日提交至：福建省福州市鼓楼区新权路**号福建医科大学附属协和医院门诊楼*层信息管理处（联系人:林曦，联系电话：*************）。

*. 成功报名的供应商需准备**分钟左右的***演示材料，包含但不限于本项目关键功能、整体解决方案、同类项目案例、实施团队、维保年限等内容。演示会时间、地点、具体将以电话或电子邮件的方式告知成功报名的供应商。

附件*：报名表

备注：报名提交的电子邮件材料以项目名称+公司名称+联系人+联系电话命名；