|
序号
|
产品名称/型号
|
描述
|
数量
|
单位
|
|
1
|
驻场服务
|
需要提供知名/大型安全厂商认证的安全服务工程师,负责医院日常的安全问题处置及巡检和基本服务工作实施,每周5天;(具体工作由医院指派,按照医院正常上班工作时间标准接受考核)
|
人/年
|
1
|
|
2
|
资产清单梳理服务
|
资产清单梳理,全面对数据名称、数据内容、确定存储位置、数据流向、使用方式进行梳理,并对每个内容进行明确,完成对资产及数据进行清晰化、定位化。
|
次/年
|
2
|
|
3
|
定期漏洞扫描
|
一、服务描述:
使用系统漏洞扫描工具对 数据库、操作系统、中间件等进行漏洞、端口、弱口令扫描,扫描完成后由技术人员对漏洞进行确认测试,提出整改建议,协助开发人员整改。
二、具体服务内容:
a.准备阶段
对目标用户的服务范围内资产进行搜集,获取域名、IP、网络拓扑等相关信息,作为后续的扫描资产范围;
签署漏洞扫描委托授权函,获得用户的授权;
约定漏洞扫描的时间和漏洞扫描工具;评估漏洞扫描过程中可能存在的技术问题并与用户协商应急响应策略;与用户沟通相关的网络环境,提供漏洞扫描设备接入点;与用户协商进行相关目标资产文件与数据的备份;
b.扫描实施阶段
实施扫描阶段开始现场检查网络连通性情况,根据情况分配合理 IP,确保扫描工具能探测到扫描范围内的所有主机,且无防火墙等安全设备进行阻拦,之后开展漏洞扫描;
扫描过程中,如果目标系统出现无响应、中断等情况,扫描人员会立即中止漏洞扫描,并配合客户进行问题排查,在确认问题以及完成系统修复之后,根据分析结果调整扫描方式,经客户再次授权同意的前提下才会继续进行其余的扫描;
c.总结汇报阶段
总结项目工作内容及成果,并向客户汇报扫描报告结果。
三、服务交付物
《漏洞扫描报告》
|
次/年
|
驻场人员工作(不限次,工作内容由医院指派)
|
|
4
|
季度巡查服务
|
每个季度安全巡检服务,对暴露在互联网上的设备、应用、数据库等资产进行安全排查及安全评估,并提供《季度互联网网信安全及信息化评估报告》。
|
年
|
驻场人员工作(不限次,工作内容由医院指派)
|
|
5
|
每个季度安全巡检服务,对内网的设备、应用、数据库等资产进行安全排查及安全评估,找出系统存在的安全威胁,并提供《季度内网网信安全及信息化评估报告》。
|
年
|
驻场人员工作(不限次,工作内容由医院指派)
|
|
6
|
安全加固服务
|
项目范围内的业务数据网络系统提供以下安全加固内容:
1、主机设备安全加固(数据库系统与业务系统方面提供加固建议和协助,具体加固由业务系统开发单位实施)
2、网络设备安全加固(包括账号梳理,策略完善等)
3、管理制度完善
|
年
|
驻场人员工作(不限次,工作内容由医院指派)
|
|
7
|
日常安全巡检
|
日常对服务器设备,网络设备,安全设备进行定期安全巡检
|
年
|
驻场人员工作(不限次,工作内容由医院指派)
|
|
8
|
安全策略优化服务
|
协助进行安全策略配置检验,并针对性对安全设备上安全策略配置进行相关优化
《安全策略检查及优化报告》
|
年
|
驻场人员工作(不限次,扫描对象由医院指派)
|
|
9
|
安全检查协助服务
|
针对监管单位安全检查提供相应的配合整理服务,协助输出安全检查相关文件;
|
年
|
驻场人员工作(不限次,工作内容由医院指派)
|
|
10
|
渗透测试服务
|
核心业务系统的渗透测试:利用各种主流攻击技术对客户授权指定的应用系统做模拟攻击测试,找出安全风险点,出具渗透测试报告
|
项
|
驻场人员工作(不限次,工作内容由医院指派)
|
|
11
|
人员信息安全培训
|
1、服务内容:
为增强医院人员的安全意识、提升全员的网络及信息安全知识,通过当前典型的安全事件导入,定期开展信息安全宣传活动,宣传内容包括:网络及信息安全法律法规、员工安全意识、网络及信息安全制度等。
2、输出:《安全意识培训记录》
|
次/年
|
2
|
|
12
|
应急演练服务
|
一、服务概述:
据相关国家标准或国际标准,提供对应的应急演练场景专项应急预案模板,以指导应急响应团队应对与处置安全事件;
制定应急演练方案及脚本并协助开展应急演练,模拟安全事件发生及处置的全过程,提高应对安全事件的处置能力,预防和减少安全事件造成的危害和损失。
二、具体服务内容:
应急演练服务主要通过模拟各种突发事件场景进行,根据突发网络安全事件的性质,应急演练场景可分为:有害程序事件演练、网络攻击事件演练、信息破坏事件演练、设备设施故障演练;
有害程序事件:内网传播型病毒应急演练、勒索病毒应急演练、挖矿病毒应急演练等;
网络攻击事件:漏洞攻击应急演练、后门攻击应急演练等;
信息破坏事件:网站篡改应急演练、网页挂马应急演练等;
设备设施故障事件:网络设备故障应急演练、服务器故障应急演练等;
三、服务交付物
《应急演练方案》、《应急演练总结报告》、《专项应急预案模板》
|
次/年
|
2
|
|
13
|
攻击诱捕与威胁检测服务组件
|
一、产品采用B/S设计架构,无须安装客户端,可通过浏览器远程对产品进行管理。
二、1U机架式设备,支持4个接口板卡扩展插槽,默认配置6个千兆电口,2T硬盘存储空间,8核/16线程CPU处理器,32G内存,单电源。
1、资产发现探测
1)主机资产识别:支持自动扫描IP资产信息,包括:“存活IP、设备厂商、操作系统、端口、应用、数据库、中间件、服务版本”等资产指纹特征;
2)网站资产识别:支持自动识别网站资产信息,包括:“中间件信息、web框架信息、CMS&OA、程序语言”等指纹信息,支持爬取网站后台、ICP备案编号、网站标题、网站返回码等属性;
3)二级域名扫描:支持二级域名扫描功能,输入一级域名进行一键扫描,通过搜索互联网数据,自动获取到该域名的二级域名、网站标题、解析IP地址;。
4)IP反查域名监测:输入IP或者网段,通过搜索互联网数据,自动获取到IP对应的域名、url链接、网站标题、返回状态码;。
5)网站资产相关度分析:通过爬取企业单位已知的网站页面,分析网页中是否包含企业单位相关的网站链接,从而发现未知网站;可配置“网段、域名”等命中规则,自动判断是否属于企业单位的网址。
2、资产深度管理
1)下线资产监测:可及时发现未存活IP、未存活端口以及访问延迟的网站,可查看未存活IP列表、未存活端口列表,可对未存活的资产进行移除操作
2)新增资产趋势:可按最近一周、最近一个月、最近一个季度可查新增的主机IP资产、网站资产,掌握资产新增趋势
3)资产认领:资产责任人可认领IP、网站资产,可显示资产认领状态,未认领的资产无法进行编辑。
3、网站风险监测
1)web漏洞监测:支持网站漏洞评估能力,提供多种Web应用漏洞的安全检测,如“SQL注入、跨站脚本、文件包含、CSRF、目录遍历”等网站脆弱性漏洞。
2)网站应用监测:支持监测网站的可用性、域名劫持等事件
3、网站威胁检测
1)黑链/篡改事件监测:高频率监测站点是否存在被黑客植入黑链、篡改的事件,系统需要保留植入黑链、篡改的快照页面,监测频率低至5分钟/次
2)全站敏感词事件监测:用户可对不同网站自定义不同的敏感词库,并对企业、单位的网站进行全站页面爬取,发现敏感词字眼。
3)敏感文件事件泄露监测:可监测发布到网上的pdf、word、excel文件中是否包含“身份证号、邮箱、手机号码、用户名/密码”等敏感信息,可在系统上查看泄露的信息以及敏感文件下载链接。
4)敏感内容审查工具:可上传文件(pdf、word、excel)、或者粘贴内容进行敏感词审查,内置敏感词库10万+,支持人工再确认审查结果。
4、主机漏洞扫描
1)完善的漏洞库:漏洞库漏洞信息大于210000+条,与CVE、CNNVD等主流标准兼容,提供详细的漏洞描述和对应的解决方案描述。支持通过多种维度对漏洞进行检索,包括:CVE ID、CNNVD ID、漏洞名称、漏洞风险等级等维度。可基于资产的版本信息,全面、快速进行漏洞版本比对,兼容CVE 、CNNVD等漏洞库。
2)可入侵漏洞监测:集成1800+POC对内网资产进行自动漏洞验证与渗透,发现可导致数据泄露、系统入侵 、越权等可入侵漏洞,先于黑客发现此类漏洞,主动发现。
3)弱口令监测:支持各类应用资产的弱口令扫描,可扫描的应用包括“SSH、SMB、RDP、Telnet、Ftp、pop3、VNC、SNMP、Vmauthd、Postgres、MsSQL、MySQL、Oracle”支持自定义字典,支持设置弱口令扫描白名单,可以指定某个ip某个应用不执行弱口令扫描。
4)漏洞生命周期管理:支持漏洞跟踪管理,能够自动对漏洞状态进行处置,自动识别“新增、已修复、未修复”的漏洞,同时支持人工方式进行漏洞状态处置,以及编写漏洞备注,
5、主机配置核查
1)配置核查能力:支持20种以上常见设备和应用的配置检查,包括操作系统、应用中间件、数据库。
2)配置核查支持类型:操作系统,支持Windows 2003、2008、2012、2016、2019、7、8、10、11;支持linux(Centos、Redhat、suse等);应用服务,支持Linux、Windows下的Apache、Weblogic、TOMCAT、Websphere、Nginx,以及IIS 6、7、8;数据库,支持Linux、Windows下Oracle8i、9i、10、11g、Mysql。
6、无侵入式全网病毒监测
1)trunk部署病毒监测节点:无需在用户服务器上安装agent,可通过trunk方式将诱捕能力发布到全内网各vlan网段,实现在全内网中部署大量高交互病毒监测诱饵,无侵入式部署不影响用户业务运行,同时极大提高黑客攻击病毒监测诱饵的概率。
2)跨三层监测探针扩展监测:探针支持trunk接入客户网络,可通过trunk方式将诱捕能力发布到全内网各vlan网段,实现在全内网中部署大量高交互病毒监测诱饵,同时支持软件和硬件版本的流量牵引探针。
3)病毒诱饵类型:支持高交互病毒监测诱饵,并可同时启用:“samba、ftp、ssh、rdp、telnet、mssql、mysql、mongoDB、postgresql、tomcat、weblogic、jenkins、redis、hadoop、memcache、solr、activeMQ、struts2、wordpress、nginx、jboss、joomla、smtp”等,以上服务须为真实应用服务,能够正常交互,欺骗攻击者,
7、病毒处置功能
1)失陷主机微隔离:不需要联动第三方设备、不需要在主机上安装agent脚本,就能对失陷主机进行网络隔离,隔离后失陷主机无法访问同网段以及其它网段IP,防止失陷主机继续对东西向主机进行病毒传播、横向攻击等行为,及技术专利证书
2)取消微隔离:在web管理界面上,支持对已隔离的失陷主机取消微隔离,恢复失陷主机的网络访问权限
8、蜜罐仿真
1)默认仿真蜜罐:支持至少10种可自定义logo和公司名称的仿真蜜罐,仿真蜜罐类型包括但不限于:“齐治堡垒机、启明堡垒机、深信服VPN、泛微OA、通达OA、u8crm、wiki、mailcow、bbs论坛、订单管理系统”。
2)完全仿真蜜罐:支持通过反向代理的方式,接入用户自身搭建的应用系统,从而实现完全仿真真实业务系统,生成完全仿真蜜罐,
3)智能克隆仿真蜜罐:支持智能克隆仿真功能,可以通过自学习的模式对真实业务系统进行遍历访问,形成机器记忆,与真实业务系统一样可进行前后端的数据交互,包括但不限于以下动态交互类型:“搜索查询、登陆验证、账号注册”等,高迷惑性地吸引攻击者攻击蜜罐,要求拟态仿真蜜罐系统为纯静态系统,无需额外提供蜜罐定制服务。
4)钓鱼邮件演练:可利用仿真邮件服务进行钓鱼邮件模拟演练,可在平台中统计打开钓鱼邮件的账号、点击连接的账号、提交敏感数据的账号等数据,统计维度包括账号名称、访问ip、提交敏感数据内容、访问时间等。
9、攻击吸引
1)引流防御:可将访问真实业务系统的流量引流到仿真蜜罐,使攻击无法命中真实业务系统,真正有效消耗攻击资源,并直接保护真实资产。
2)互联网诱饵:可在web管理界面上自定义生成github互联网诱饵,可自定义添加蜜罐IP地址、github项目说明、项目提交人信息、邮箱信息等内容,以便黑客可以从互联网上搜索到自定义信息内容,从而转向攻击蜜罐。
10、威胁感知
1)入侵攻击链检测:参考MITRE ATT&CK,采用多种取证技术手段,还原黑客攻击入侵蜜罐的过程,形成黑客攻击链,攻击链检测包含:“针对蜜罐的探测扫描、渗透攻击、攻陷蜜罐、在蜜罐上安装后门远控程序、利用蜜罐进行跳板攻击”等入侵过程,
2)还原攻击数据包:支持还原攻击者的网络数据包,包括icmp、tcp、udp等协议的攻击包,可查看攻击者发起的具体攻击请求数据,比如SQL注入、XSS攻击的http请求头部信息。
3)时间轴告警:支持时间轴告警分析:可根据基于告警时间/攻击类型/地理位置等对攻击行为进行筛查,其中攻击类型可分类为:“可疑访问、尝试登陆、端口扫描、攻击尝试、强力攻击、异常进程、暴力破解、登陆成功、命令执行、可疑文件、恶意文件、跳板攻击”等类型,对于攻击事件分析起关键作用。
11、攻击溯源
1)攻击者社交信息溯源:支持记录攻击者的“黑客社交画像”信息,包括社交账号、手机号、昵称、用户ID、头像等信息,支持多种黑客社交画像,至少包括:百度、网易、当当等6种不同类型的社交账号。
2)攻击者唯一指纹溯源:可基于显卡成像参数、CPU等硬件信息,计算攻击者唯一身份指纹,就算攻击者换了IP也可以通过该指纹确定攻击者。
3)设备指纹溯源:设备指纹溯源至少包括:操作系统信息、浏览器指纹、浏览器类型、mac地址、设备厂商、屏幕分辨率、浏览器历史记录、计算机名。
12、攻击反制
1)威慑反制:可警告攻击者,比如灌输国家网络安全法、告知已获得相关溯源信息,发挥蜜罐威慑作用,使攻击者放弃后续的攻击行为;可灵活指定对某个攻击源IP地址发起威慑反制。
2)拒绝服务反制:可使攻击者浏览器拒绝服务,可灵活指定对某个攻击源IP地址发起拒绝服务反制。
3)数据库诱骗反制:可使攻击者在连接数据库类模拟应用时,识别攻击者身份信息。包括但不限于:计算机名称、使用浏览器版本、浏览器历史记录、浏览器上记录的访问账号等。
4)木马诱骗反制:可使攻击者下载某个文件时,替换成木马文件,诱骗攻击者下载安装;可在web管理界面上灵活指定对某个攻击源IP地址发起木马远控反制。
5)漏洞攻击反制:支持一键扫描攻击源IP地址,探测攻击者主机的开放端口信息、弱口令、漏洞等。
13、服务器Agent告警要求
1)主动威胁监测:在用户的服务器、业务系统上安装安全监控软件,主动监测恶意文件(webshell、病毒木马)、挖矿病毒、可疑进程、异常行为等,发现可疑的入侵事件,并实时将告警同步到服务平台,
2)检测任务自定义:支持自定义下发服务器入侵检测任务,可指定扫描某个文件目录,以及实时检测变更或者新增的可疑文件
14、服务器Agent防御要求
1)恶意文件检测:恶意文件检测包含:Webshell网马、病毒木马、攻击脚本、宏病毒文件等
2)挖矿病毒检测:支持检测挖矿病毒,识别挖矿程序文件、挖矿进程名称、进程号、运行参数、CPU运行异常状态、网络连接状态、病毒程序打开的文件
3)网站篡改检测:可检测网站文件的篡改行为,包括:“创建、写入、修改权限、重命名、删除”等篡改行为。
15、报表管理
1)站点报表:支持生成各个主机的安全监测报表、各个网站的安全监测报表,报表类型包括:excel、word、html。
2)综合报表:支持生成主机安全监测综合报表、网站安全监测综合报表,报表类型包括:excel、word、html。
3)监测维度报表:支持生成某个监测维度报表,包括:敏感词事件报表、敏感文件事件报表、黑链事件报表、失陷主机事件报表、可用性事件报表、域名劫持事件报表、漏洞列表等各个监测维度的报表
16、监测中心
1)监测中心:展示整体安全监测概况,呈现主机资产信息,包含:“弱口令、可入侵漏洞、高风险漏洞”等概况;呈现攻击监测诱饵监测概况,包含:“失陷主机统计、攻击链统计、威胁趋势”等。
2)大屏展示:支持大屏展示功能,可视化呈现监测中心的数据,包括主机资产监测概况、攻击监测诱饵监测概况,大屏界面能够自动刷新监测数据,实时展示最新监测结果。
17、二级用户关联资产运维:一级用户可创建与管理二级用户,并可给二级用户关联资产。
多级用户管理,一级用户可查看与管理二级用户所有资产风险信息,二级用户只能查看与管理自身的资产风险信息。
18、即时通信平台告警:支持将平台监测事件,通过企业微信、钉钉、飞书通知管理员及时处置,
19、用户管理:支持创建三类角色用户:管理员、操作员、审计员,支持账号安全策略设置,可设置密码最长天数、最小天数、登录失败锁定次数、登录超时时间、登录IP地址白名单等安全策略。
20、厂商资质:厂商具备ISO9001质量管理体系认证资质,提供相关资质证明;厂商具备“中国网络安全审查技术与认证中心”颁发的《信息系统安全运维》资质,提供相关资质证明;厂商具备“中国网络安全审查技术与认证中心”颁发的《信息安全风险评估》资质,提供相关资质证明;厂商具备cnnvd国家漏洞库技术支撑单位
21、产品资质:产品要求为国内开发,具备自主知识产权,请提供产品销售许可证,类型为“Web应用安全检测系统”。
22、售后服务:提供三年售后维保服务,包括:400远程支持服务、硬件售后维修服务、软件更新服务
|
项/年
|
1
|
|
14
|
网络故障应急服务
|
网络故障应急现场处理服务,承诺接到服务要求后,2小时内到现场进行故障排查、制定解决方案和故障排除,直至故障解决工程师才可离开,(每次提供相应的应急响应报告)。
|
次/年
|
4
|
|
15
|
重保值守
|
服务概述:
在HW期间,安服工程师提供每天24小时的值守服务,值守工作内容包括态势感知等安全流量设备日志分析与研判,每天输出值守报告。
服务期限:仅限于在本合同签订生效之日起一年内启用,自服务正式上线/启用之日起算服务期限。(高级安全服务专家)
|
天
|
14
|
|
16
|
重保安全托管服务
|
【【按年收费】【数据中心资产(IP)数量≤50个】
一、服务概述:安全运营服务以保障网络安全“持续有效”为目标,围绕资产、漏洞、威胁、事件四个要素,通过云端安全运营中心和安全专家团队有效协同的“人机共智”模式7*24H持续性开展网络安全保障工作,与用户一同构建持续(7*24小时)、主动、闭环的安全运营体系。
二、服务内容
1、脆弱性验证:提供脆弱性验证服务,针对发现的脆弱性问题进行验证,验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。针对已经验证的脆弱性,自动生成工单,安全专家跟进修复状态,各个处理进度透明,方便招标方清晰了解当前脆弱性的处置状态,将脆弱性处理工作可视化
2、实时监测网络安全状态,对攻击事件自动化生成工单,及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件;
3、在配备投标方的边界防护服务组件和终端防护服务组件的情况下,高级威胁的处置完成时间少于1小时,一般威胁的处置完成时间少于4小时;
4、需为院方提供服务成果展示,可以直观的管理服务过程中生产的服务报告和交付物,包括但不限于《准备阶段文件》、《特殊时期值守报告》、《运营周报》、《运营月报》、《运营季报》、《威胁情报》、《年度汇报》、《事件总结报告》。
5、提供的服务成果展示门户应具备服务质量可视化展示,投标方能通过可视化的数据,清晰的了解安全专家的服务水平,至少包括脆弱性闭环率、脆弱性平均响应时长、脆弱性平均闭环时长、威胁闭环率、威胁平均响应时长、威胁平均闭环时长、事件闭环率、事件平均闭环时长,以验证投标方所承诺的服务指标。
6、通过SLA对安全事件服务水平作出承诺:
a、从安全日志产生到事件通告给医院的时间方面,按照国家标准对安全事件的分类分级指南,重大安全事件通告时间小于30分钟,一般事件的通告时间少于1小时。
b、在未配备服务商的边界防护服务组件和终端防护服务组件的情况下,运营服务对于重大安全事件的遏制影响和处置完成时间小于8小时,对于一般事件的遏制影响和处置完成时间小于24小时。
c、安全事件经过服务人员的确认后,各类安全事件的判断准确率不低于99%。
d、在配备了服务商的边界防护服务组件和终端防护服务组件的情况下,安全事件的闭环处置比例达到100%。
f、对于重大事故应启动应急响应机制,工作时间15分钟之内云端专家进行响应,非工作时间30分钟之内云端专家进行响应,省会2小时上门处置,省内8小时上门处置。
7、通过SLA对安全漏洞服务水平作出承诺:
a、在配备服务商的漏洞定期扫描服务组件的情况下,漏洞扫描的频率不低于每30天扫描一次。
b、高危可利用漏洞从完成漏扫后发现到推送漏洞报告的时间少于2个工作日。
c、高危可利用漏洞经服务人员确认后的准确率不低于99%。
d、高危可利用漏洞的防护率达到99%。
e、工作时间15分钟之内云端专家进行响应,非工作时间30分钟之内云端专家进行响应。
8、安全专家每月对安全组件上的安全策略进行统一管理工作,确保安全组件上的安全策略始终处于最优水平,针对威胁能起到最好的防护效果。
9、事件分析与处置:实时针对异常流量分析、攻击日志和病毒日志分析,经过海量数据脱敏、聚合发现安全事件。
10、针对分析得到的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件,通过工具和方法对恶意文件、代码进行根除,帮助客户快速恢复业务,消除或减轻影响。
11、为了更好的保护用户数据,支持设置定期全量备份、增量备份、差异备份(支持增量差异即基于上次增量做差异备份,不支持累积差异即基于首次全备做差异增量),支持用户灵活配置备份策略,备份文件保留时间最高可以达到15年,支持将虚拟机的备份文件定期归档到第二存储。
12、应急响应:通过事件检测分析,提供抑制手段,降低入侵影响,协助快速恢复业务,同时还原攻击路径,分析入侵事件原因,指导用户进行安全加固、提供整改建议、防止再次入侵。
13、投标方应当具备云端检测和分析平台,通过采集招标方安全设备和工具的安全告警和安全日志,结合大数据分析、人工智能等技术手段,为招标方提供7*24小时持续不间断的安全威胁分析鉴定,同时在用户界面进行展示;
14、分析研判包括但不限于对脆弱性、异常流量、攻击日志、病毒日志等数据进行采集和实时分析研判,支持将同一资产的多个告警进行聚合分析发现各类安全事件并生成工单,并在告警详情中展示告警的基本信息,涉及的业务信息、攻击趋势、威胁详情、攻击原理、处置建议等内容,并支持根据客户情况提供备注。
|
次
|
1
|
