鄄城县人民医院网络安全及等保服务项目

根据工作需要，依照鄄城县财政局下发的鄄财采〔2023〕6号文要求，我院将自行采购网络安全及等保服务项目。欢迎具有相关资质的公司积极参与。

一、采购单位：鄄城县人民医院

二、采购编号：JCXRMYY-20231101

三、项目预算价：26万元（包含税金、维保人员工资等一切全费用）。

四、采购内容及要求

A包：

1、性能参数：硬盘128G以上 SSD，电源：冗余电源，接口≥8千兆电口，≥2万兆光口SFP+,≥2千兆光口。网络层吞吐量大于16Gbps，最大并发连接数大于300万，每秒新建连接数大于8万。

2、为保障产品成熟度，产品为知名主流国产防火墙。病毒库、特征库更新及时。（提供相关证明材料）

3、产品需支持支持静态路由、策略路由、动态路由、ISP路由；策略路由支持七元组策略；动态路由支持RIP、OSPF 等；ISP 路由支持运营商地址自定义；支持双活。

4、产品需支持多种选路策略，包括：Auto选路、QOE最优选路、按剩余带宽比例负载、指定应用指定线路等智能流量调度策略等。其中Auto选路，基于DPI/DFI技术识别应用种类，高频率检测链路QOE质量，基于不同类型应用SLA需求实现自适应最优选路，确保业务时刻在最佳链路上传输。

5、产品需支持链路连通性检查功能，支持基于3种以上协议对链路连通性进行探测，探测协议至少包括DNS解析、ARP探测、PING和BFD等方式。

6、为保证产品安全防护能力，生产厂商需具有中国网络安全审查技术与认证中心提供的信息安全服务资质-SD安全开发一级认证证书（以提供的证书复印件加盖厂家公章的扫描件为准)

7、产品需支持路由类型、协议类型、网络对象、国家地区等条件进行自动选路的策略路由，支持不少于3种的调度算法，至少包括带宽比例、加权流量、线路优先等。

8、产品内置超过4500种WEB应用攻击特征，支持对跨站脚本（XSS）攻击、SQL注入、文件包含攻击、信息泄露攻击、WEBSHELL、网站扫描、网页木马等攻击类型进行防护；（提供界面截图证明并加盖厂商公章）

9、为降低医院遭受勒索挖矿病毒等安全事件危险系数，产品需支持勒索病毒检测与防御功能，需提供产品功能截图证明。

10、产品内置不低于13000种漏洞规则，同时支持在控制台界面通过漏洞ID、漏洞名称、危险等级、漏洞CVE标识、漏洞描述等条件查询漏洞特征信息，支持用户自定义IPS规则；（提供界面截图证明并加盖厂商公章）

11、产品需支持僵尸主机检测功能，产品内置僵尸网络特征库超过120万种，可识别主机的异常外联行为，需提供产品功能截图证明。

12、产品支持用户账号全生命周期保护功能，包括用户账号多余入口检测、用户账号弱口令检测、用户账号暴力破解检测、失陷账号检测，防止因账号被暴力破解导致的非法提权情况发生；（提供界面截图证明并加盖厂商公章）

13、产品三年质保，包含病毒库、特征库更新服务。

B包、C包：

（一）供应商资格要求

1、符合《中华人民共和国政府采购法》第二十二条的规定。

2、具备公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书。

3、本项目不接受联合体报价。

（二）项目实施的测评标准或依据

公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66 号）；

公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字 [2007]43 号）；

《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）；

《信息安全技术 网络安全等级保护定级指南》（GA/T 1389-2017）；

《信息安全技术-网络安全等级保护安全管理中心技术要求》（GB/T 36958-2018）

《信息安全技术-网络安全等级保护测试评估技术指南》（GB/T 36627-2018）

《信息安全技术-网络安全等级测评机构能力要求和评估规范》（GB/T 36959-2018）

《信息安全技术 信息系统安全等级保护实施指南》（GB/T 25058-2010）；

《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）；

《信息安全技术 信息系统安全等级保护测评过程指南》 （GB/T 28449-2018）；

《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号）；

《计算机信息系统安全保护等级划分准则》（GB 17859-1999）；

《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）；

《信息安全技术 网络基础安全技术要求》（GB/T 20270-2006）；

《信息安全技术 操作系统安全技术要求》（GB/T 20272-2006）；

《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）；

《信息安全技术 服务器技术要求》（GB/T 21028-2007）；

《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006）；

《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）；

《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006）；

（三）服务内容和技术要求

对鄄城县人民医院信息系统进行信息安全等级保护测评。

1、等级保护测评服务

1.1 测评范围

1.2 差距分析测评

按照信息系统等级保护基本要求及测评流程，进行信息系统安全现状分析，明确信息系统目前采取的安全保护措施与信息安全等级保护相关国家标准和行业标准之间的差距，排查信息系统安全隐患和薄弱环节，查找信息系统安全建设整改需要解决的问题，确定安全需求，编制《差距分析报告》。

1.3 协助安全建设整改

协助鄄城县人民医院进行网络安全建设整改工作。确保网络安全建设整改工作安全、科学、有效的进行，并达到国家相关标准的技术要求，切实、高效的提升信息系统安全防护水平。

1.4安全测评

按照《信息安全技术 网络安全保护等级基本要求（GB/T22239-2019）的要求，对鄄城县人民医院信息系统进行信息安全等级保护现状测评。依据信息系统安全等级保护测评相关标准，运用各种管理和技术手段对信息系统安全等级进行等级测评，测评过程中须完全按照中国合格评定国家认可委员会CNAS相关要求实施测评工作并在最终交付的等级保护测评报告中加盖“CNAS17020等级保护检查机构”认证专用章。

1.5等保测评的内容：

包括但不限于以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

安全管理测评：安全管理机构、安全管理制度、安全管理人员、安全建设管理和系安全运维管理等五个方面的安全测评。

（1）安全物理环境。安全通用要求的安全物理环境针对物理机房提出安全控制要求，主要对象为物理环境、物理设备、和物理设施等，涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、电力供应和电磁防护；

（2）安全通信网络。安全通用要求的安全通信网络针对通信网络提出安全控制要求，主要对象为广域网、城域网和局域网等，涉及的安全控制点包括网络架构、通信传输和可信验证。

（3）安全区域边界。针对网络安全边界提出安全控制要求，主要对象为系统边界和区域边界等，涉及对控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

（4）安全计算环境。安全通用要求的安全计算环境部分针对边界内提出安全控制要求，主要对象为边界内的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备，涉及的控制点包括身份验证、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护和可信验证。

（5）安全管理中心。安全通用要求的安全管理中心是针对整个系统提出安全管理方面的技术控制要求，主要对象为管理工具、管理模式和管理手段等，涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。

（6）安全管理制度。安全通用要求的安全管理制度部分针对整个管理制度体系提出安全控制要求，涉及的安全控制点包括安全策略、管理制度、制定和发布、评审和修改等。

（7）安全管理机构。安全通用要求的安全管理机构部分针对整个管理组织架构提出安全控制要求，涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等；

（8）安全管理人员。安全通用要求的安全管理人员部分针对整个人员管理模式提出安全控制要求，涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。

（9）安全建设管理。安全通用要求的安全建设管理部分针对安全建设过程中提出安全控制要求，涉及的安全控制点包括定级备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理等。

（10）安全运维管理。安全通用要求的安全运维管理部分针对安全运维过程中提出的安全控制要求，涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、交更管理、备份与恢复管理、安全时间处置、应急预案管理、外包运维管理等。

（四）该项目提交的文档至少包括如下文件：

（1）《鄄城县人民医院信息系统网络安全等级保护测评报告》

（2）《鄄城县人民医院信息安全等级保护管理体系制度汇编》

（3）《鄄城县人民医院等级保护差距性分析报告》

（五）其他要求

1、人员要求：本次项目组中至少包含等级测评师（一名高级测评师、两名中级测评师、三名初级测评师）；投标人应详细描述项目组成员人员分工计划。

2、保密要求：参与人应对采购人提供的所有资料向第三方保密，不得将本项目产生的所有资料、数据向第三方提供。本次项目参与人员均为中国公民，无违法犯罪记录并签订安全保密协议。

五、需提供的资料：

1.提供公司营业执照及相关资质材料（复印件并加盖公章）。所提供的报价单、服务方案方案、及资质材料须装订成一册，密封并注明联系方式，封口处加盖单位公章。（一式三份）

2.医院自行组织评审，参与人需按时到场参与。如参与人未按时到场，则视为放弃监督权利，不得对采购过程提出异议。

六、付款方式：验收合格后付至合同额的90%，剩余10%一年后一次性无息付清。

七、现场踏勘：院方不组织现场踏勘，参与人可自行勘察，费用自理。踏勘人员须做好自身安全防护，踏勘期间发生的一切问题均由踏勘方承担，与院方无关。

八、文件递交：

文件递交截止时间：2023年11月10日10:00

递交地点：鄄城县人民医院新院区五楼招标办

评审时间：2023年11月10日10:00

九、联系方式：医院招标办公室       联系电话：0530-7793702

                                            鄄城县人民医院

2023年11月6日