97国产精品视频|欧美国产偷国产精品三区|在线欧美成人网站网址|亚洲在线色情日本无码视频网|高潮喷水在线日韩精品操|真真操逼视频国产免费啪啪片|超大波少妇欧美亚洲精品日韩一区|久久视频精品91午夜视频|亚洲无码成人动漫精品一区二区|中文字幕久久成人

項目需求和技術(shù)方案要求一、項目概況本項目服務(wù)涵蓋范圍主要為山東中醫(yī)藥大學(xué)第二附屬醫(yī)院（以下簡稱“我院”）相關(guān)系統(tǒng)和業(yè)務(wù)。本項目服務(wù)時間：合同簽訂日起1年。國內(nèi)外網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻，隨著《網(wǎng)絡(luò)安全法》及《數(shù)據(jù)安全法》及《個人信息保護法》及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等相關(guān)法律法規(guī)及等保20標(biāo)準(zhǔn)相繼發(fā)布實施，面對日益變化的新技術(shù)問題及不斷增加的監(jiān)管要求等，無論是合規(guī)性、業(yè)務(wù)系統(tǒng)監(jiān)管與防護還是安全運營管理，都面臨著新的挑戰(zhàn)。加強網(wǎng)絡(luò)安全防護工作，做好事前檢測與整改、事中監(jiān)測與防護運營、事后處置與溯源已成為我院必需的網(wǎng)絡(luò)安全工作。本項目擬購買日常網(wǎng)絡(luò)安全保障服務(wù)，按類型分為三大部分：1．網(wǎng)絡(luò)安全檢測類服務(wù)：通過針對我院互聯(lián)網(wǎng)的暴露面進行威脅性與脆弱性分析，提升整個暴露面的安全性，服務(wù)包括互聯(lián)網(wǎng)及內(nèi)網(wǎng)資源探測服務(wù)、漏洞掃描服務(wù)、安全配置基線檢查服務(wù)、新系統(tǒng)入網(wǎng)評估服務(wù)、滲透測試服務(wù)。2．網(wǎng)絡(luò)安全運營類服務(wù)：通過安全加固支持服務(wù)、重要時期安全保障服務(wù)、托管式安全運營服務(wù)（7*24小時）、網(wǎng)絡(luò)安全培訓(xùn)服務(wù)，實現(xiàn)我院網(wǎng)絡(luò)安全運營能力提升。3．網(wǎng)絡(luò)安全應(yīng)急類服務(wù)：針對我院網(wǎng)絡(luò)安全應(yīng)急服務(wù)。二、服務(wù)內(nèi)容本次網(wǎng)絡(luò)安全日常保障服務(wù)項目的具體要求如下：序號服務(wù)名稱服務(wù)內(nèi)容服務(wù)成果服務(wù)頻率一、網(wǎng)絡(luò)安全檢測類服務(wù)1互聯(lián)網(wǎng)資源探測服務(wù)采用互聯(lián)網(wǎng)暴露面檢測工具，針對互聯(lián)網(wǎng)系統(tǒng)進行資產(chǎn)發(fā)現(xiàn)和暴露面檢查，包括但不限于未知資產(chǎn)識別、高風(fēng)險主機識別、惡意行為分析等，分析系統(tǒng)被入侵的風(fēng)險并提出具體的安全加固建議。服務(wù)完成后，供應(yīng)商提供《互聯(lián)網(wǎng)資產(chǎn)暴露面檢查報告》等。每半年1次，一年2次。2漏洞掃描服務(wù)供應(yīng)商采用專業(yè)的漏洞掃描工具及安全運營平臺，通過定制的掃描規(guī)則，對服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、web應(yīng)用、數(shù)據(jù)庫等進行自動化安全掃描，人工驗證掃描結(jié)果并輸出安全掃描報告及修復(fù)建議。服務(wù)完成后，提供《漏洞掃描報告》等。每季度1次，一年4次。3安全配置基線檢查服務(wù)供應(yīng)商采用滿足等級保護20的專業(yè)的安全配置基線檢查工具對安全配置基線進行檢查，主要包括網(wǎng)絡(luò)設(shè)備配置基線、安全設(shè)備配置基線、操作系統(tǒng)配置基線、數(shù)據(jù)庫配置基線、中間件配置基線等，對發(fā)現(xiàn)的配置的不合規(guī)項，結(jié)合我院實際需求提出整改建議。服務(wù)完成后，提供《基線檢查報告》等。每季度1次，一年4次。4新系統(tǒng)入網(wǎng)評估服務(wù)為提高新系統(tǒng)入網(wǎng)的自身安全性，在新系統(tǒng)入網(wǎng)前供應(yīng)商應(yīng)提供新系統(tǒng)入網(wǎng)安全檢查服務(wù)，要綜合采用訪談、漏洞掃描、滲透測試、安全配置檢查、后門檢查等方法對新系統(tǒng)入網(wǎng)進行安全檢查，并提供檢測報告，對發(fā)現(xiàn)的不足提出詳盡的整改建議。服務(wù)完成后，提供《新系統(tǒng)入網(wǎng)安全檢查報告》等。根據(jù)新系統(tǒng)入網(wǎng)情況不限次數(shù)提供服務(wù)。5滲透測試服務(wù)供應(yīng)商通過專業(yè)的滲透測試工具，查找業(yè)務(wù)安全漏洞和安全風(fēng)險，對各類業(yè)務(wù)，開展業(yè)務(wù)安全測試工作驗證各類業(yè)務(wù)是否符合業(yè)務(wù)規(guī)范和要求。服務(wù)人員通過智能工具掃描與人工測試、分析的手段，從各類用戶視角模擬黑客入侵的方式對服務(wù)目標(biāo)系統(tǒng)進行模擬入侵測試，識別服務(wù)目標(biāo)存在的安全風(fēng)險，并協(xié)助整改。服務(wù)完成后，提供《滲透測試報告》等。每半年1次，一年2次。二、網(wǎng)絡(luò)安全運營類服務(wù)6安全加固支持服務(wù)供應(yīng)商應(yīng)結(jié)合我院的實際情況，根據(jù)漏洞掃描、配置檢查、滲透測試等服務(wù)發(fā)現(xiàn)的風(fēng)險，充分考慮整改可能產(chǎn)生的風(fēng)險，制定詳細(xì)的整改方案，并協(xié)助相關(guān)責(zé)任人進行整改加固。針對我院無法獲取的補丁，供應(yīng)商應(yīng)提供相關(guān)安全補丁并協(xié)助我院安裝使用。補丁類型包括但不限于Weblogic、Struts2、jboss、Tomcat、Windows、Linux漏洞補丁。服務(wù)期間，提供《安全加固方案》和相關(guān)安全補丁，服務(wù)期內(nèi)供應(yīng)商協(xié)助整改。服務(wù)期內(nèi)不限次數(shù)。7托管式安全運營服務(wù)（7*24小時）供應(yīng)商提供7*24小時托管式安全運營服務(wù)，安全運營團隊對各類威脅主動監(jiān)測并通過微信、釘釘?shù)确绞酵ㄖ以海f(xié)助我院完成事件處置。供應(yīng)商應(yīng)提供部署本地的流量分析對接設(shè)備，開展遠(yuǎn)程托管運營服務(wù)。服務(wù)期內(nèi)，提供《安全運營月報》《安全運營年報》等安全運營相關(guān)報告。服務(wù)期內(nèi)7*24小時8重要時期安全保障服務(wù)服務(wù)期內(nèi),供應(yīng)商應(yīng)提供不少于10天的重大活動網(wǎng)絡(luò)護網(wǎng)服務(wù)（包括全國兩會、國慶、護網(wǎng)攻防演練及我院認(rèn)為的其他重要活動或時間節(jié)點等）。供應(yīng)商安排不少于1名滲透測試工程師在現(xiàn)場安全值守保障，開展護網(wǎng)工作，對網(wǎng)絡(luò)安全進行監(jiān)測分析和應(yīng)急處置，及時消除隱患，保障我院網(wǎng)絡(luò)和信息系統(tǒng)安全穩(wěn)定運行，不出現(xiàn)重大安全事件。服務(wù)期內(nèi)，提供《重大活動安全保障方案》、《網(wǎng)絡(luò)安全風(fēng)險排查報告》、《網(wǎng)絡(luò)安全值守報告》。服務(wù)期內(nèi)根據(jù)我院工作需要定義的重保期間。9網(wǎng)絡(luò)安全培訓(xùn)服務(wù)供應(yīng)商應(yīng)為我院提供針對以上安全服務(wù)的相關(guān)安全培訓(xùn)，培訓(xùn)內(nèi)容如包括但不限于：CTF技能、滲透測試方法和工具、常見Windows及Linux安全事件應(yīng)急響應(yīng)、常見漏洞及解決方案、重要應(yīng)用系統(tǒng)安全根據(jù)我院要求，提供安全培訓(xùn)涉及的所有內(nèi)容及資料。一年2次。配置、主要安全設(shè)備的原理及安全設(shè)置、目前黑客主要攻擊手段及防范措施、常用檢測、監(jiān)測工具的使用方法、緊急事件處理方法以及安全意識、新技術(shù)引入導(dǎo)致的安全問題等。10網(wǎng)絡(luò)安全駐場服務(wù)供應(yīng)商為我院提供派駐一名安全工程師，要求具備2年以上工作經(jīng)驗，提供5*8小時駐場服務(wù)。該安全工程師負(fù)責(zé)現(xiàn)場安全運維、應(yīng)急響應(yīng)、安全咨詢及與我院相關(guān)人員的溝通協(xié)調(diào)等工作。服務(wù)期間，供應(yīng)商需確保駐場人員的工作質(zhì)量與效率，及時響應(yīng)我院需求。服務(wù)期內(nèi)，供應(yīng)商需提交《運維巡檢日報》等。一年三、網(wǎng)絡(luò)安全應(yīng)急類服務(wù)11網(wǎng)絡(luò)安全應(yīng)急服務(wù)服務(wù)期內(nèi)供應(yīng)商應(yīng)按照網(wǎng)絡(luò)安全法的要求，根據(jù)我院的安全現(xiàn)狀，結(jié)合業(yè)界主流的攻擊手法，分析系統(tǒng)可能遭受的攻擊行為及其影響范圍、嚴(yán)重程度，制定對應(yīng)的安全應(yīng)急預(yù)案，并協(xié)助我院按照應(yīng)急預(yù)案至少開展兩個場景的應(yīng)急演練。演練過程中涉及的演練方案、工具、平臺由供應(yīng)商提供。服務(wù)期內(nèi)，根據(jù)我院需求，提交《應(yīng)急預(yù)案》。服務(wù)完成后，供應(yīng)商提供《應(yīng)急預(yù)案》《應(yīng)急響應(yīng)報告》。應(yīng)急響應(yīng)一年服務(wù)期內(nèi)不限次數(shù)；一年服務(wù)期內(nèi)提供兩個場景的應(yīng)急演練。三、服務(wù)要求服務(wù)重點關(guān)注因為IT信息系統(tǒng)存在的漏洞、威脅、攻擊路徑而導(dǎo)致我院信息系統(tǒng)篡改、不良信息傳播的風(fēng)險，特別需要關(guān)注對互聯(lián)網(wǎng)開放應(yīng)用的業(yè)務(wù)系統(tǒng)安全保障，保證服務(wù)期間網(wǎng)絡(luò)安全工作滿足上級部門保障目標(biāo)。1．供應(yīng)商應(yīng)詳細(xì)描述我院服務(wù)的整體方案，包括整體服務(wù)安排、服務(wù)方法、人員組織、時間安排、階段性文檔提交和驗收標(biāo)準(zhǔn)等。2．供應(yīng)商應(yīng)詳細(xì)描述服務(wù)過程中人員的組成及各自職責(zé)的劃分。供應(yīng)商應(yīng)配置有經(jīng)驗的服務(wù)人員進行本項目的服務(wù)工作，在應(yīng)答文件中確定服務(wù)組織架構(gòu)