网络安全建设服务项目需求招投标书范本.docx
《网络安全建设服务项目需求招投标书范本.docx》由会员分享,可在线阅读,更多相关《网络安全建设服务项目需求招投标书范本.docx(61页珍藏版)》请在冰豆网上搜索。
网络安全建设服务项目需求招投标书范本
网络安全建设采购需求申报书
项目名称
网络安全建设服务项目
是否预选项目
否
采购人名称
中国医学科学院肿瘤医院深圳医院
采购方式
(代理机构)公开招标
财政预算限额(元)
.
项目背景
按照“数字化医院”建设的目标,按照网络安全法、个人信息保护法、信息安全等级保护三级基本要求等法规的指导,以及第三方测评机构的等级保护差距测评结果,结合中国医学科学院肿瘤医院深圳医院信息安全的真实情况和具体需求,加强医院信息系统的安全建设。
针对终端、网络、服务器、应用、数据等,通过技术体系建设和信息安全服务等方式,解决存在的主要网络安全问题,保障医院各信息系统安全稳定运行,提高医院工作效率,有效防止病人信息、医院的数据泄密。
安全稳定的信息系统助力医疗服务的正常开展,有利于提升医院的服务质量和服务水平,提高医院的社会形象。
投标人资质要求
、具有独立法人资格(提供合法有效的营业执照原件扫描件,原件备查)。
、本项目不允许联合体投标,不允许分包,不接受投标人选用进口产品参与投标。
、参与政府采购项目投标的供应商近三年内无行贿犯罪记录(由采购中心定期向市人民检察院申请对政府采购供应商库中注册有效的供应商进行集中查询,投标文件中无需提供证明材料)。
货物清单
序号
采购计划编号
货物名称
数量
单位
备注
预算限额(元)
PLAN---
网络安全建设服务项目
项
拒绝进口
.
具体技术要求
说明:
投标人须如实填写《技术规格偏离表》,并按招标文件的要求提供相关证明资料,包括产品原厂说明书或产品彩页等。
提供的证明资料与投标响应情况不相符的,视为《技术规格偏离表》填写不实。
一、建设内容
序号
分项名称
内容
效益
性质
安全产品
网络准入控制系统套,内网套(含客户端);外网套(含客户端)
实现内网终端合法则入网,非法则阻断
新建
日志集中审计系统套;
对全网的安全事件进行全方位、细粒度的实时监测、统计分析、查询、调查、追溯、可视化分析展示等
安全服务
信息安全巡检服务,次/年
系统安全配置核查与加固服务,次/年
安全漏洞扫描服务,次/年
风险评估服务,次/年
网站安全渗透测试服务,次/年
网站安全监控服务,*小时
安全通告服务,按需/年
网络架构安全分析及整改服务,次/年
等保安全整改,按需
内网威胁检测服务,次/年
新系统上线安全检测,按需
应急响应服务,按需
应急演练,次
完善安全管理制度服务,次/年
服务工作汇报,按需
定制化信息安全培训,次/年
路由交换管理培训,次
日常安全咨询服务,按需
驻点服务,天/周
节省安全防护、运维成本,提高应急响应能力、安全技术能力
新建
二、安全产品需求
(一)网络准入控制系统需求
序号
功能项
要求
硬件参数
最大支持台设备的管理
设备需要自带操作系统;
设备需要自带数据库;
设备需要自带双机热备软件;
设备需要有自主知识产权,须为标准机架式硬件产品;
设备至少需要配置个M网口,个M光口,配置独立的个Console接口;配置双电源。
网络环境支持
支持混合厂商大规模网络环境,例如Cisco、HC、华为、锐捷、迈普、Nortel等厂商的网络设备环境;
支持自动发现接入网络的所有网络设备、主机、桌面PC、其他IP设备之间的二层连接关系,如:
发现交换机之间通过什么端口相互连接,发现每台桌面PC是连接到哪台交换机的哪个接口上;(投标时提供产品截图及原厂盖章)
拓扑性能要求
提供拓扑连接图,并支持图形编辑和自动排列功能;
提供拓扑关系的表格展示,方便查询定位设备连接到哪台交换机的哪个端口上;
设备快速定位
要求可以依据如下信息对接入网络的设备进行快速定位,包括但不限于设备的IP地址、MAC地址、主机名、用户名;
快速定位设备时,必须找到设备所直接连接的网络交换机端口及对应的信息点编号;
自动发现、定位网络中非法接入的HUB、无线AP等设备,找到这些非法设备通过哪台网络设备的哪个接口接入;
设备快速定位不依赖安装客户端,要求未安装客户端的设备也能够进行定位;(投标时提供产品截图及原厂盖章)
网络接入场景
一套准入控制系统同时支持有线、无线、VPN、HUB、NAT、漫游、远程分支机构接入等多种方式进行管控;
一套准入控制系统同时有客户端、无客户端、Portal等方式接入;(投标时提供产品截图及原厂盖章)
支持对PC、瘦终端、哑终端等设备通过网线连接交换机接入企业内部网络时进行准入控制;
支持对手机、PAD、笔记本等移动设备通过无线以太网卡连接WLAN接入企业内部网络时进行准入控制;
支持多个终端设备通过同一个HUB接入企业内部网络时进行准入控制;
支持设备通过路由器等设备进行NAT转换IP后接入企业内部网络时进行准入控制;
准入方式
支持基于.x的网络准入方式,包括有线环境.x与无线环境.x。
支持NACC准入(端口镜像或策略路由方式)
支持DHCP方式准入。
支持CiscoEoU方式准入。
支持Portal方式准入。
终端发现和识别
系统能够即时发现接入网络的终端,信息包含:
接入设备IP、接入设备MAC、接入的交换机端口、使用设备的用户。
系统能发现网络中常见的IOT设备,需要至少支持:
打印机、网络摄像头、IP电话。
同时能够根据终端行为进行设备自动分组。
准入身份认证
客户端能够自动获取AD登录的用户名,无须终端人员手工输入用户名和密码;自动结合.x准入完成认证,无须终端用户干预。
准入身份验证必须支持AD域帐号、LDAP帐号、X.证书、内置账号等;
需要支持身份验证凭据(USB-KEY或AD账号)与计算机MAC地址、接入交换机端口号、客户端软件随机认证码、终端硬件唯一ID、认证用户等进行灵活绑定,并可以满足一对多、一对一、多对一、多对多绑定;
需要支持微信准入,即访客或内部员工通过微信验证接入网络。
(投标时提供产品截图及原厂盖章)
支持打印机、网络摄像头、视频会议设备等哑终端的接入认证;并能够对认证设备进行动态授权。
准入安全检查
接入帐号的合法性,接入的硬件信息,包括MAC地址、主机硬件标识等;
接入设备的安全设置,防病毒软件的安装与更新信息,必须要支持现有防病毒客户端的准入检查;
Guest来宾账户检查、弱口令账户检查、AD域用户检查、共享目录检查;
系统补丁检查、注册表项检查、文件要求检查、软件配置检查、软件组配置检查、准入客户端的软标签(投标时提供产品截图及原厂盖章)
准入控制绑定
支持终端信息与用户信息、网络设备信息一对一绑定,校验绑定认证;
支持用户和MAC地址、交换机端口、接入控制点、主机码绑定;
支持在无线.x准入环境下用户和MAC、ssid绑定;(投标时提供产品截图及原厂盖章)
入网动态授权控制
.x认证接入,支持基于VLAN切换、VLAN隔离技术的资源访问权限控制;
在交换机硬件支持或者采用硬件准入设备的情况下,需要支持基于ACL控制技术的资源访问控制,对重要服务器和应用进行保护;
移动终端准入
准入系统支持PAD、iPhone、Android常见移动智能终端接入。
使用Web认证方式,需要具备一次认证多次有效,要避免用户频繁的输入账号密码方式,在保证体验的前提下,同样需要保证接入安全。
访客外协管理
准入系统支持访客接入,提供页面填写申请单方式。
访客系统支持:
自助接入和审核接入模式,以满足不同的管理需要。
准入系统能够根据访客类型进行网络动态授权。
确保访客网络访问权限最小化。
(投标时提供产品截图及原厂盖章)
兼容性
准入系统需要兼容主流网络设备,.x和Portal技术至少需要支持:
思科、华为、华三、锐捷、迈普五个常用品牌的网络交换机和无线AC、AP设备。
准入客户端需要兼容企业常用的操作系统,WindowsXP///,MacOSX、Ubuntu桌面系统、IOS、Android
准入需要要支持与深信服上网行为系统对接,可以实现单点登陆;(投标时提供产品截图及原厂盖章)
性能
准入系统处理认证请求速度应大于个/秒,以满足高并发需要(需要提供测试报告和测试方法)。
网关式准入控制器,数据包转发速度应该小于us,网络吞吐量不小GB,认证处理速度应大于个/秒(需要提供测试报告和测试方法)
易用性
系统应自带帮助功能,以帮助管理员对系统的理解和操作;
系统应该提供的接入记录应该清晰显示:
接入状态、接入时间、接入用户、接入设备。
接入失败的记录需要提供详细的失败原因,管理员可以快速判断失败原因;
可靠性
系统需要支持双机部署方式,确保高可用性;支持逃生功能,防止单点故障。
支持license回收功能,将更换下来的终端license回收后分配给新的终端。
主备服务器的数据需要时刻保持一致,数据同步时间应低于秒,以确保备机能够及时代替主机运行;
系统需要支持自动/手动的应急方式,系统检测到运行中出现的异常和故障需要能够自动应急,确保企业网络的可用性;
(二)日志集中审计系统需求
医院信息科部门经常面对的挑战是怎么有效收集、整理和存放那些标准或非标准的日志格式,分析并生成来自大量实时和历史事件日志的业务报告,根据业务逻辑关系去关联和整合那些离散事件的日志数据,以及尽可能全面地获取日志信息的价值以提高IT业务的可靠性。
序号
功能项
要求
系统要求
管理方式:
B/S方式;
设备部署:
提供旁路接入模式,设备部署不影响原有网络结构。
处理性能
日志采集能力:
条/秒以上;
日志存储能力:
条/秒以上(日志写入硬盘速率);
日志查询能力:
一亿条数据在秒以内,支持全文检索。
日志采集范围:
支持台服务器的日志收集。
硬件配置
内存:
G、硬盘:
T机械硬盘、外观:
标准U机架式、双电源、网卡口:
个//MBase-T电口,个Console口,支持Console口管理。
数据采集分析
支持主流网络设备、主机设备、数据库设备、安全设备、应用系统等日志采集
支持syslog,snmptrap,ftp,sftp,端口镜像,jdbc标准日志接口
支持通过页面直接将日志文件导入的方式采集日志
支持agent本地采集。
提供ftpserver支持,可以使其他第三方系统通过ftp协议上传日志。
采用非关系型数据库存储;支持海量数据存储;
数据分析
支持数据字典模型
支持内置过滤策略,对数据进行自动过滤处理
支持内置归并策略,对数据进行自动归并处理
支持内置关联分析策略,可以设定告警策略的参数
支持自定义告警规则添加
支持对日志的过滤和归并的配置
支持主机发现功能,可以发现设备和设备对外开放的端口(投标时提供产品截图及原厂盖章)
支持linux主机文件操作监控,时时发现违规行为(投标时提供产品截图及原厂盖章)
支持linux主机用户操作行为监控(投标时提供产品截图及原厂盖章)
系统查询
支持全文检索查询
支持关键字词检索查询
支持查询模版创建、修改、删除功能
支持高级检索以多条件组合查询方式
报表展示
内置丰富的报表,包括主机数据库网络设备等
内置会话审计,对用户登录操作系统后的行为作为一个会话来进行审计(投标时提供产品截图及原厂盖章)
支持灵活的自定义报表,可以手工添加报表(投标时提供产品截图及原厂盖章)
支持数据报表导出,可以导出word、excel、pdf、html、图片(投标时提供产品截图及原厂盖章)
告警处理
可以根据告警生成工单
支持工单的增删改查
支持工单确认,完成工单闭环处理
支持以告警页面、邮件、SYSLOG、SNMPTrap等各种方式输出告警
系统监控
支持以图表方式(饼图、柱图、曲线图)显示当日日志数据采集情况;
支持以图表方式显示近期安全事件及告警日志数据分布情况;
支持实时监控系统当前运行状态,包括系统CPU、内存、硬盘状态;
支持对存储空间实时监视,图形化显示最新存储空间使用情况
支持存储空间超过设定阀值则系统自动报警,提醒管理者备份原始数据
系统管理
支持系统自身管理记录
支持用户、角色、权限配置
支持自动与手动两种备份归档方式
支持资产管理,即所有采集日志源管理维护
支持根据磁盘空间大小超过阀值自动清理历史日志的功能
支持FTP备份方式对数据进行远程备份
系统升级
在系统维保期内,厂家提供对系统软件的免费升级服务,保证系统软件为最新版本
三、安全服务需求
序号
服务项
内容
频率
交付物
信息安全巡检服务
每季度对医院网络设备、安全设备、服务器、存储等软硬件和信息系统做信息安全巡检,找出潜在安全风险,全面提升区医院的信息安全防护能力,提供信息安全巡检报告。
包括:
1)硬件运行状况检查
2)硬件资源状态检查
3)系统运行状况检查
4)系统日志分析
5)版本或规则升级检查
次/年
《信息安全巡检报告》
系统安全配置核查与加固服务
根据信息安全等保标准结合信息安全业界标准的checklist,以人工检查的方式对主机操作系统及其上数据库、中间件以及网络设备和安全设备等系统安全配置进行检查,并根据检查的结果修改相应配置从而提升系统自身的安全防御能力。
包括
⏹操作系统安全配置核查与加固
⏹数据库安全配置核查与加固
⏹中间件安全配置核查与加固
⏹网络设备安全配置核查与加固
次/年
《系统安全配置核查及加固报告》
安全漏洞扫描服务
对医院服务器、网络设备、安全设备、数据库、应用等重要系统进行漏洞扫描和安全评估。
及时发现信息系统存在的各种安全隐患(网络结构、网络设备、服务器主机、操作系统、数据库和用户账号、口令等安全对象)和应用系统的漏洞,以便及时进行修补和加固,防患于未然。
次/年
《安全漏洞扫描报告》
风险评估服务
全面、系统地分析个重要业务系统面临的风险,能更好的设计符合业务特点的安全保障方案及措施,维护系统的安全稳定运行。
工作内容包括:
)业务要求和目标分析:
分析业务对信息系统的要求和目标,如可用性要求、完整性要求和安全性要求等。
针对不同的目标确定其优先级,得出重点保障的要求和目标。
)威胁建模:
针对重点保障的要求和目标,构建信息安全威胁模型
)风险分析:
针对重点保障的要求和目标,以及威胁模型分析情况,评估业务系统存在的风险,重点评估风险的不同级别。
)风险控制措施:
对所有风险情况进行统计、分析及总结,提出有针对性的风险控制措施。
)针对信息系统的总体情况,提出整体安全控制措施并形成完善解决方案,保障支撑业务安全目标的实现。
次/年
《信息安全风险评估报告》
网站安全渗透测试服务
针对医院网站,结合各项检查工作的成果,综合利用安全扫描器、漏洞利用工具、人工渗透测试等方式对其进行非破坏性质的模拟入侵者攻击的测试,以期掌握系统的安全状况,并对发现的安全风险提出针对性的安全整改建议,为修补漏洞、抵御安全风险提供技术支持。
渗透测试内容须至少包括服务器信息收集、文件目录测试、认证测试、会话管理测试、权限管理测试、文件上传下载测试、信息泄漏测试、输入数据测试、跨站脚本攻击、逻辑测试、搜索引擎信息收集、WebService测试。
发现和挖掘系统的安全隐患,输出渗透测试报告和整改修复建议。
次/年
《系统渗透测试报告》
网站安全监控服务
对医院的网站,提供*小时平台自动化+人工复核的服务,通过电话、短信、微信等方式进行告警告知。
定期出具安全监控服务报告。
网站安全监控服务包括但不限于以下:
1)网站可用性检测:
通过对国内多个运营商部署探针,对网站的可用性进行跨运营商的高频检测,实时了解网站的可用性风险;
2)网站内容合规检测:
通过爬虫对网站进行高频率内容抓取,并进行违规文字、违规图片等检测,实时了解网站的内容风险;
3)网站挂马检测:
对网站的内容进行高频率挂马检测,识别挂马风险;
4)网站链接检测:
对网站的断链、错链、死链等进行高频率检测;
5)其它。
*小时
《网站安全监控周报》
《网站安全监控月报》
安全通告服务
定期提供最新的安全资讯。
包括新闻,流行病毒提示,新病毒列表,系统漏洞提示,安全防护技巧等。
按需/年
《安全通告》
网络架构安全分析及整改服务
定期对现有的网络架构进行分析,对存在的故障隐患点、不合理节点等进行建议整改;安全分析内容及方向可包含如下:
)硬件设备分析:
硬件设备是有使用期的,硬件故障率会随着时间推移显著增加,老化的设备能耗大、性能差、稳定性差。
需要对硬件设备运行情况分析,并提出整改建议。
)网络架构合理性分析及整改:
对网络架构布局、安全域划分、网络地址、网络流量分配等合理性进行分析及整改。
)安全域防护分析:
对各安全域的网络安全防护措施及有效性进行分析。
)迁移或升级的规划:
根据需求提供网络的迁移或升级规划,包括风险评估与应对、网络升级、安全升级等方面的规划。
次/年
《网络架构安全分析报告》
等保安全整改指导
根据等级保护测评结果,通过安全工程师专业的分析,提交相关的安全整改报告,指出医院核心等级保护系统所存在的不符合项和风险问题所在,协助并指导对系统进行漏洞、安全配置、管理制度等方面的安全整改。
按需
《等保安全整改报告》
内网威胁检测服务
对医院内网安全现状进行分析,包括APT攻击,内外网恶意病毒程序传播,漏洞利用行为,恶意行为分析侦测,未知威胁侦测等类型威胁行为
次/年
《内网威胁检测报告》
新系统上线安全检测
协助医院对新上线的系统进行漏洞扫描及安全配置检查,找出不合规的配置项,形成报告并提供整改方案,通过安全检测后应用系统方可上线使用。
可协助制定规范的基线工作,包括建立安全基线、人工/自动化检测、配置修改与基线检查报告。
按需
《上线安全检测报告》
应急响应服务
根据信息科实际情况,提供信息安全应急响应工作,包括应急预案、事件处置及问题修复、报告输出。
提供一年的××小时重大安全事件的应急响应工作,半小时以内响应,通过电话、电子邮件、或通过远程控制等方式提供非现场技术支持服务。
重大安全事件小时内到现场,应急响应主要针对突发的网站安全故障、网络安全事件、应用系统安全事件、主机安全事件、黑客攻击事件等进行诊断、分析并协助解决。
在网络或安全设备发生故障之后,评估网络环境、配置、状况、备份等因素,判断是否可以进行修复。
在做好数据的备份、现场的记录之后,对配置进行紧急修复,尽可能的减少故障时间。
按需
《应急响应报告》
应急演练
根据应急预案,配合编写应急演练方案,确保应急预案可以适应信息系统的最新情况和外部的最新安全威胁,强化应急相关工作人员的应急操作水平,最终实现应急人员、应急预案和应急操作的协调,在安全事件发生后迅速采取措施和行动,其目的是最快速恢复系统的保密性、完整性和可用性,降低安全威胁事件给系统带来的严重影响,提升医院的应急保障能力。
次
《应急演练方案》
《应急演练总结报告》
完善安全管理制度服务
根据风险评估、等保测评结果,按照医院要求对安全管理制度和规范流程进行梳理和调整,保障信息安全管理得到有效执行和部分管理风险得到有效控制。
本工作贯穿于整个服务期,通过分析现有制度所对应的规范流程中不够完善的方面,如管理制度、操作规程、作业指导书等,及时进行调整改善,不断深化信息安全保障体系建设,推动信息安全工作的贯彻落实。
次/年
《信息安全方针》
《信息安全职责与权限》
《信息安全管理机构与人员配置》
《信息安全管理文件与数据的管控》
《第三方安全管理内容》
《信息安全应急与事件管理》
《IT作业环境安全管理》-《终端安全管理》、《机房安全管理》、《资产安全管理》、《网络安全管理》、《系统安全管理》、《恶意代码防范管理》、《备份与恢复管理》《、应急预案管理》和《安全运维管理规范》
服务工作汇报
1)每月日前提供月度服务工作情况报告,发送给客户的IT经理或项目主管;
2)同时对服务工作的处理和跟进情况进行总体评述,提出对客户的建议和我方的举措。
3)每个季度结束时,汇报在过去的一个季度所完成的服务工作情况、下一季度的工作计划,服务工作的改进措施等;
4)针对年度结束时的总结,详尽阐述全年的服务状况,并提出下一年服务的工作内容建议。
5)与上级及监管部门的协调对接工作。
按需
《服务工作情况报告》
定制化信息安全培训
提供信息安全专业知识培训工作,(包括全员培训和信息科人员培训)培养工作人员的信息安全意识,提高其信息安全知识水平,以更好地为信息安全建设和管理工作服务。
采用集中培训的方式对部署的各类系统相关人员进行面授培训,或者提供相应的培训视频进行自行学习;
培训内容可包含:
)各类安全系统部署后医疗信息系统的总体架构,医疗信息专网的业务应用;
)各类安全设备及系统的机房的维护和管理规范及操作流程;
)各类安全系统及设备配置、管理运维内容和故障排除;
)安全系统数据备份策略和数据恢复方法和管理。
)行业新技术培训、技术研讨交流会,使医院IT技术人员能在最短时间内了解行业安全方向、技术趋势、威胁演变、防御新方案等。
次/年
日常安全咨询服务
根据医院需求,现场或通过电话、电子邮件或短信息方式解答客户的相关安全咨询,协助处理客户提出的安全问题,并提供相关解决方法和处理流程。
安全咨询内容包括但不限于以下:
1)系统安全漏洞咨询;
2)安全体系建设咨询;
3)现有安全设备策略配置咨询;
4)现有网络设备策略配置咨询;
5)安全项目规划及建设咨询;
6)日常安全体系管理咨询;
7)风险评估及安全加固相关问题咨询;
8)医院防病毒事件安全问题咨询;
9)技术研讨交流;
其他信息安全问题等等。
按需
《安全咨询报告》
驻点服务
根据医院实际需求,中标商需要派安全工程师到我院进行驻点服务,每周至少一天
天/周
商务需求
商务要求
序号
招标商务需求
(一)免费保修期内售后服务要求
免费保修期
▲.本项目网络安全服务期限为一年。
项目安全产品(即网络准入控制系统和日志集中审计系统)免费保修期为三年,免费安装、调试、技术咨询。
维修响应及故障解决时间
▲设备维修服务响应:
使用者在使用过程中如发现不能自行解决的问题,可直接用电话、传真等方式与中标方联系,中标方须在小时响应,并与采购方协商解决办法。
一般故障小时内处理完毕,重大故障小时内处理完毕。
发生设备故障不能在小时内解决问题的须提供同档次或以上的备用机器,须确保在小时内设备正常运行。
给使用者造成损失的,中标方要照价赔偿。
安全服务应急响应:
参照三、安全服务需求.应急响应服务。
售后保障
.要求投标人在本市有公司/办事处,在深圳市有不少于名技术人员提供售后技术服务,确保能够提供高质量、及时响应的售后服务。
.根据医院实际需求,投标人需要派安全工程师到我院进行驻点服务,每周至少一天。
(二)免费保修期外售后服务要求
免费保修期外服务
所投须提供每周*小时免费技术咨询服务,免上门费,免人工费。
维修响应及故障解决时间
维修服务响应:
使用者在使用过程中如发现不能自行解决的问题,可直接用电话、传真等方式与中标方联系,须在小时响应,与使用者
升级会员 