江苏大学附属医院安全运维服务项目
采购需求公示
我院近期拟对“安全运维服务”项目启动采购程序,根据《政府采购信息发布管理办法》(财政部令〔2019〕101号)、《关于开展政府采购意向公开工作的通知》(财库〔2020〕10号)精神,现将有关该项目的主要用途、功能及使用目的、采购需求(技术参数、主要配置、售后服务等)进行公示。详见附件一:采购需求书。
本次公示是本单位采购工作的初步安排,具体采购项目情况以相关采购公告和采购文件为准。
公示期:2021年7月13日-2021年7月19日。
如有异议,请联系: 信息处:田老师 0511–85023285
采招办:邱老师 0511-80820337
江苏大学附属医院信息处
2021年7月13日
项目需求书
一、项目概况及总体要求
项目概况:为更好的保障江苏大学附属医院网络及信息系统的安全稳定运行,有效抵御内、外部的各类网络攻击,提前发现医院存在的网络安全问题和薄弱环节,及时进行网络安全整改和加固,拟购买专业公司的网络安全服务,给我院网络安全工作输入专业的安全管理及安全技术经验,引入网络安全运营团队的能力以及网络安全的情报资源,解决我院网络安全专业人员不足、安全情报不及时等问题,全面提升我院的网络安全管理能力、保障能力。
总体要求:供应商要针对我院提出的网络安全服务的需求制定全面、具体的方案,提前确定项目组成员,严格把控项目执行过程。我院对安全服务的团队要求、项目过程控制和服务质量考核要求如下所示:
a) 团队要求
为了保证服务质量,供应商需提供项目组成员名单,人员一经确认,不得随意变更。项目组成员不少于5人,需要具有高校网络安全服务的经验。供应商必须在江苏有常驻机构,能够提供本地化快速服务。供应商项目组成员均需提供在本单位不少于6个月的社保证明。
b) 项目过程控制要求
项目前期:制定全面、具体的服务方案。
项目进行:阶段性服务工作完成后需要输出相应的报表、报告等材料。
项目结束:编制总结报告,纸质文档交接,电子文档集中销毁。
c)服务质量考核
为评价中标方提供的服务质量,每季度对中标人的安全服务进行考核评分(百分制),年度考核评分为每年四个季度考核的平均分。详细考核机制如下表:
考核 |
考核项目 |
分值 |
评价描述 |
评分 |
工作考核 90分 |
任务完成效率 |
40 |
未充分规划、在规定时间内不能完成任务 |
每次扣5分 |
任务完成质量 |
50 |
出现质量异常(投诉、失误、返工) |
每次扣3分 |
出现严重质量异常(投诉、失误、返工) |
每次扣6分 |
出现因安全服务导致的宕机超过4小时 |
每次扣10分 |
响应需求被动,消极处理问题 |
每次扣5分 |
人员考核 10分 |
服务质量 |
10 |
不注重沟通,遇到问题以强硬或回避的态度来应对 |
每次扣2分 |
服务态度差,甲方收到投诉 |
每次扣5分 |
考核说明:
1. 考核初始赋值 100 分。考核表格包括但不限于以上内容,在实际运作中不断完善。每个考核项目扣分项最多将该项分值扣到 0 分。
2. 每季度考核分数在60到80分之间,将要求中标方对安全服务团队责任人进行谈话,并责令整改。每季度考核分数≦60分,中标方须更换安全服务实施人员,更换人员须符合安全服务人员要求。如无法更换符合要求的安全服务人员,甲方将终止合同,并拒付剩余合同款项。
3. 年度评分将作为考核中标方服务质量的依据,作为下一次安全服务招标对中标方评价的重要参考依据。
二、采购用途
采购用途:□科研 □教学 □医疗 ☑管理 □后勤 □其他
采购预算:78万元/三年
用途说明:江苏大学附属网络安全运维服务项目,服务内容包括:资产梳理、安全监测、漏洞扫描、渗透测试、安全预警、应急响应、安全培训、网络安全宣传周宣传教育、重要时期保障、新系统上线检测、应急演练、管理制度建设、安全设备巡检与策略调优、安全咨询等相关工作。
三、采购需求一览表(服务类):
序号 |
货物名称 |
是否为进口设备 |
单位 |
数量 |
是否属核心产品 |
1 |
江苏大学附属医院安全运维服务 |
否 |
年 |
3 |
否 |
四、技术指标(按一览表中服务分别填写)
1. 江苏大学附属医院安全运维服务(3年)
序号 |
服务名称 |
详细内容 |
服务频次 |
1 |
资产梳理 |
供应商需提供基于网络扫描、搜索引擎、互联网基础数据引擎以及人工服务主动探测业务应用系统在互联网出口以及内网暴露的资产,可以形成明确的资产清单,发现未知资产。供应商需通过大数据挖掘和调研的方式确定资产范围,进行主动精准探测深度发现暴露在外的IT设备、端口、应用服务等安全相关的安全资产,发现活跃资产及“僵尸”资产,由安全专家对每个业务梳理分析,结合采购人反馈的业务特点,对资产重要程度、业务安全需求进行归纳,最终形成资产清单。 |
不少于1次/年 |
2 |
基线检查 |
供应商提供基线核查服务,采用自动工具检查加人工审核的方式,检出信息系统与相关IT设备配置的不合规部分。供应商依据法律法规和业务环境,协助采购人制定系统安全配置基线规范,再根据规范,对系统进行基线核查,检查内容包括但不限于:网络设备、安全设备、操作系统、数据库、中间件等安全配置基线,其中重点对内网、互联网业务服务器进行安全基线检查。采用主流的安全配置核查系统或检查脚本工具,以远程登录或检查脚本工具的方式,完成检查。结合安全评估结果,按照安全整改建议,由安全服务人员实施安全加固。最终符合安全标准保障安全运行。编制并提交《安全基线检测报告》,描述其发现的问题并给出相应的解决方案。 |
不少于2次/年 |
3 |
漏洞扫描 |
供应商提供漏洞扫描服务,通过漏洞扫描真实全面地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁。新系统上线前或系统有重大升级、重大调整后也应对目标系统开展漏洞扫描。供应商须提供专业的安全扫描工具、结合采购人现有漏洞扫描设备,进行漏洞扫描。漏洞扫描完成后出具完成服务报告,根据漏洞扫描报告制定系统安全加固实施方案,并协助完成加固实施,提高IT设备与应用系统的安全性。 |
不少于4次/年 |
4 |
渗透测试 |
供应商对江苏大学附属医院建设维护的重要业务系统进行渗透测试,包括对业务服务器等开展漏洞挖掘并采用各种手段模拟真实的安全攻击,从而发现黑客入侵信息系统的潜在可能途径。渗透测试工作以人工渗透为主,工具为辅。主要的渗透测试方法包括:信息收集、端口扫描、远程溢出、口令猜测、本地溢出、采购人端攻击、中间人攻击、web脚本渗透、B/S或C/S应用程序测试、社会工程等。通过渗透测试服务,发现运行过程中存在的安全漏洞协助进行修复,编制并提交《渗透测试报告》,描述其发现的问题并给出相应的解决方案和提供复测。 |
不少于4个系统/年 |
5 |
应急响应 |
供应商在服务期内提供4小时内到达现场的应急响应服务,当江苏大学附属医院发生确切的安全事件时,应急响应实施人员及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏。并在此基础上,应急响应实施人员协助检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件整体安全解决方案,排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置。同时需要应急响应服务人员在实际中灵活变通,可适当简化,但任何变通都必须记录有关的原因。利用供应商云端威胁情报大数据能力详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法,甚至判定事故的责任,避免同类事件再次发生。 |
不限次数 |
6 |
重要时期保障 |
供应商提供重要时期安全值守服务,在重点时期依据现有的安全设备,对现有网络运行的服务器、安全设备、网站及应用系统等开展远程安全值守,做好应急响应工作,及时监测、发现及处理安全告警,保障安全稳定运行。 |
不限次数 |
7 |
安全事件通告预警 |
供应商提供安全事件通告预警服务,对全球最新发生的安全漏洞及安全事件进行跟踪研究,并在第一时间内对安全漏洞进行分析验证,找到有效的解决方案提供给采购人,安全通告服务要能够提供最新的安全漏洞、威胁(0day、系统漏洞、网络攻击)的解决办法、安全问题描述和相应的处理意见,及时提供符合采购人实际需求的安全信息。 |
不限次数 |
8 |
安全检查 |
根据网信、公安部门等安全主管部门的安全检查要求,结合采购人内外网网络安全现状,进行对检查单元的自查,并协助甲方对发现的安全问题进行整改和加固,以及文档准备等各项工作。 |
不限次数 |
9 |
威胁分析服务 |
供应商提供通过其采集全网流量数据,利用采集到的安全大数据,结合威胁情报数据,采用专业攻防思路构建分析模型,提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性的检测、发现和响应服务。提升主动应对安全威胁能力,在信息安全方面构建最后一道“防火墙”。威胁风险分析服务除了提供上述服务之外,还可以建立内部的安全大数据中心服务,为后续利用大数据分析技术来开展安全分析、安全数据的基线、安全数据的深度挖掘和安全数据的审计都提供了必要的基础。 |
不少于4次/年 |
10 |
代码审计 |
供应商通过挖掘源代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷和进行代码复查。服务人员需具备丰富的经验以及国家相关资质认证。代码审计范围须包含但不限于医院信息系统、电子病历系统、医院门户网站系统、互联网医院系统。 |
不少于1次/年 |
11 |
安全培训 |
根据客户的网络安全培训要求,免费提供8学时的网络安全课程,培训形式由客户指定,培训内容包含但不限于网络安全培训、网络安全管理培训、网络安全技能培训。 |
不少于8学时/年 |
12 |
安全设备巡检与策略调优 |
免费进行定期巡检防火墙、WAF等安全设备,通过分析安全设备的日志,给出安全建议,协助优化安全策略。如发现异常情况及时通知校方,每月输出安全巡检报告。 |
不少于12次/年 |
13 |
管理制度建设 |
根据国家等级保护制度(等保2.0)及《中华人民共和国网络安全法》等有关法律、法规要求,免费协助江苏大学附属医院逐步完善网络安全管理制度建设。 |
不少于1次/年 |
14 |
安全咨询 |
免费提供安全专家线上安全咨询服务,实时沟通异常情况、可疑事件、漏洞分析等问题,并提供安全建议。 |
不限次 |
以上服务项及服务频次仅为本项目最低实施标准,必须全部满足。否则按无效投标处理。 |
五、商务和服务需求(加*为必须满足项,不满足为无效投标)
序号 |
商务和服务项目 |
重要性 |
商务和服务要求 |
1 |
*考核验收办法 |
|
每季度对中标人的安全运维服务进行考核评分,考核结果将影响验收结果。 |
2 |
*付款方式 |
|
项目执行每半年,考核合格后30日内将支付合同总额的 1/6,共分为六次付款。 |
六、特定资格条件
除《中华人民共和国政府采购法》第二十二条规定的供应商应具备的条件外,采购人可以根据采购项目的特殊要求,规定供应商的特定资格条件,如国家或行业强制性标准等。但不得以不合理的条件对供应商实行差别待遇或者歧视待遇。
(无)
