信息安全等級(jí)測(cè)評(píng)及系統(tǒng)安全監(jiān)測(cè)掃描檢測(cè)服務(wù)

信息安全等級(jí)測(cè)評(píng)及系統(tǒng)安全監(jiān)測(cè)掃描檢測(cè)服務(wù)項(xiàng)目服務(wù)內(nèi)容清單及建設(shè)目標(biāo)序號(hào)產(chǎn)品名稱服務(wù)時(shí)限備注1區(qū)域化業(yè)務(wù)系統(tǒng)信息系統(tǒng)(三級(jí))、電子業(yè)務(wù)系統(tǒng)（二級(jí)）、門戶網(wǎng)站（二級(jí)）的等級(jí)保護(hù)2.0測(cè)評(píng)工作復(fù)評(píng)工作；一年所有服務(wù)內(nèi)容最終用戶為衛(wèi)生健康事業(yè)發(fā)展中心，以上服務(wù)可做分包或轉(zhuǎn)包（不影響服務(wù)銷售前提下）2衛(wèi)生WEB應(yīng)用業(yè)務(wù)原有云防護(hù)服務(wù)延續(xù)服務(wù)和衛(wèi)生運(yùn)維虛擬桌面域名云防護(hù)服務(wù)(2個(gè)域名防護(hù))；一年3衛(wèi)生數(shù)據(jù)中心信息安全、檢查服務(wù)(漏洞掃描,滲透測(cè)試,安全域分析優(yōu)化,安全巡檢等)一年4衛(wèi)生數(shù)據(jù)中心內(nèi)外網(wǎng)絡(luò)及系統(tǒng)的安全整改及加固工作。一年5衛(wèi)健系統(tǒng)（包含區(qū)縣）安全檢測(cè)、檢查的服務(wù)、人事保密檢查等駐場(chǎng)人員支持服務(wù)及報(bào)告編制服務(wù)。一年建設(shè)目標(biāo)：提升衛(wèi)生數(shù)據(jù)中心的整體安全防護(hù)能力。根據(jù)等保相關(guān)要求進(jìn)行門戶網(wǎng)站等級(jí)保護(hù)測(cè)評(píng)工作，提供門戶網(wǎng)站整體安全防御能力。二、服務(wù)技術(shù)規(guī)格要求2.1等級(jí)保護(hù)測(cè)評(píng)工作復(fù)評(píng)工作根據(jù)2017年新頒發(fā)的《網(wǎng)絡(luò)安全法》以及相關(guān)等保安全規(guī)定、條例進(jìn)行等保復(fù)測(cè)評(píng)工作，應(yīng)依據(jù)國家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)開展工作，依據(jù)標(biāo)準(zhǔn)包括但不限于如下國家標(biāo)準(zhǔn)：GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（報(bào)批稿）信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（報(bào)批稿）應(yīng)依據(jù)國家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)開展工作，對(duì)區(qū)域化業(yè)務(wù)系統(tǒng)信息系統(tǒng)(三級(jí))、電子業(yè)務(wù)系統(tǒng)（二級(jí)）、門戶網(wǎng)站（二級(jí)）的等級(jí)保護(hù)2.0測(cè)評(píng)工作復(fù)評(píng)工作；的內(nèi)容包括但不限于以下內(nèi)容：安全技術(shù)測(cè)評(píng)：包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測(cè)評(píng)；安全管理測(cè)評(píng)：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)2.2衛(wèi)生WEB應(yīng)用業(yè)務(wù)原有云防護(hù)服務(wù)延續(xù)服務(wù)和衛(wèi)生運(yùn)維虛擬桌面域名云防護(hù)服務(wù)(2個(gè)域名防護(hù))；指標(biāo)項(xiàng)指標(biāo)要求運(yùn)營(yíng)廠商資質(zhì)及要求云防御平臺(tái)的運(yùn)營(yíng)廠商具有全國性的增值電信業(yè)務(wù)經(jīng)營(yíng)許可證（ISP）。云防御平臺(tái)擁有類似阿里、百度、騰訊、360、知道創(chuàng)宇等大型互聯(lián)網(wǎng)公司至少一家以上的安全大數(shù)據(jù)規(guī)則庫。產(chǎn)品成熟度云防御平臺(tái)有網(wǎng)站云防護(hù)運(yùn)營(yíng)記錄；云防御平臺(tái)目前在線防護(hù)網(wǎng)站數(shù)量不低于86萬個(gè)；具有國際會(huì)議主辦方網(wǎng)站云防護(hù)服務(wù)項(xiàng)目經(jīng)驗(yàn)或省級(jí)及以上門戶網(wǎng)站云防護(hù)服務(wù)項(xiàng)目經(jīng)驗(yàn)。兼容性及要求提供中間件接口（價(jià)格包含在總價(jià)中）?；疽蠡贚inux安全操作系統(tǒng)。無需在被監(jiān)測(cè)網(wǎng)站上安裝任何軟件和代理。采用B/S設(shè)計(jì)架構(gòu)支持通過瀏覽器遠(yuǎn)程對(duì)產(chǎn)品進(jìn)行操作。功能項(xiàng)能夠提供防止以下對(duì)網(wǎng)站的Web攻擊：SQL注入、命令注入、跨站腳本、跨站請(qǐng)求偽造、信息探測(cè)等攻擊。能夠識(shí)別出各種Web掃描器的自動(dòng)化掃描和攻擊行為，并進(jìn)行掃描阻斷。協(xié)同防御，全網(wǎng)攔截任何攻擊過平臺(tái)防護(hù)體系的攻擊者IP?？筛鶕?jù)IP來源預(yù)防和控制來自于境外非法攻擊。國內(nèi)攻擊者為防止追查，也經(jīng)常使用境外代理對(duì)境內(nèi)網(wǎng)站進(jìn)行攻擊。能夠防止攻擊者上傳、訪問WebShell。能夠爬取網(wǎng)站的所有靜態(tài)頁面，并據(jù)此代替網(wǎng)站提供服務(wù)。能夠定義給定的URL作為網(wǎng)站后臺(tái)管理頁面，允許特定IP進(jìn)行訪問。能夠以URL形式定義網(wǎng)站的關(guān)鍵資源，并對(duì)關(guān)鍵資源進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)關(guān)鍵資源被篡改，立刻自動(dòng)替換回來。需要提供網(wǎng)站永久在線功能，即網(wǎng)站由于各種原因不能訪問時(shí)，Web應(yīng)用防火墻可以提供網(wǎng)站首頁映像，訪問者可以訪問到這個(gè)首頁。能夠根據(jù)訪問頻率識(shí)別出攻擊者的撞庫行為，避免網(wǎng)站數(shù)據(jù)泄露。能夠檢查網(wǎng)站內(nèi)容，發(fā)現(xiàn)敏感信息、反動(dòng)言論和淫穢內(nèi)容并可以恢復(fù)到上一次；能夠提供自定義敏感信息功能。能夠保護(hù)網(wǎng)站圖片、壓縮包等資源文件不被其它站點(diǎn)盜用。能夠根據(jù)IP地址，建立黑名單或白名單，阻止或者允許特定IP進(jìn)行訪問。根據(jù)訪問時(shí)間控制，通常攻擊發(fā)生在Web系統(tǒng)運(yùn)維人員下班后或夜間進(jìn)行攻擊，以避免攻擊時(shí)對(duì)系統(tǒng)影響而被發(fā)現(xiàn)。能夠?qū)χ付↖P進(jìn)行屏蔽時(shí)長(zhǎng)設(shè)置，以分鐘為單位。防護(hù)信息展示提供網(wǎng)站訪問及攻擊情況信息展示，包括歷史及當(dāng)日的請(qǐng)求數(shù)、總流量、網(wǎng)站瀏覽人數(shù)，搜索引擎引導(dǎo)量，遭受攻擊次數(shù)等?？娠@示對(duì)網(wǎng)站的安全評(píng)級(jí)（安全或危險(xiǎn)）和提供查看網(wǎng)站安全狀況（各種攻擊類型及發(fā)生次數(shù)）。可顯示攻擊者的掃描和定點(diǎn)攻擊具體情況，包括時(shí)間、攻擊URL，攻擊者IP及來源（國家）等，攻擊類型等。提供實(shí)時(shí)攻擊視圖，在視圖中實(shí)時(shí)顯示攻擊源IP，國家，目標(biāo)域名等，同時(shí)實(shí)時(shí)顯示TOP5的攻擊來源國家、城市、國內(nèi)IP國外IP信息。產(chǎn)品部署進(jìn)行部署后，對(duì)網(wǎng)站性能不造成明顯影響。公有云提供。提供接入向?qū)Чδ?，指?dǎo)完成系統(tǒng)初次部署?？商峁Ｓ卸ㄖ苹撁妗Ｔ品烙?wù)，無需對(duì)原有網(wǎng)絡(luò)拓?fù)溥M(jìn)行任何更改，需將原網(wǎng)站NS解析為運(yùn)營(yíng)廠商的DNS服務(wù)器，或者將CNAME別名指向云防御平臺(tái)。具體內(nèi)容通過云防護(hù)平臺(tái)，在原有安全體系之外，增加一層以先進(jìn)的云計(jì)算、大數(shù)據(jù)技術(shù)為基礎(chǔ)的特殊防御手段。所提供的服務(wù)包括但不限于：自動(dòng)掃描防護(hù)、網(wǎng)站入侵防護(hù)、服務(wù)攻擊防護(hù)、智能DNS解析、日志分析。采用專用監(jiān)測(cè)平臺(tái)，對(duì)網(wǎng)站安全事件、漏洞、可用性等多個(gè)維度進(jìn)行全面監(jiān)控，實(shí)時(shí)掌握網(wǎng)站狀況，及時(shí)發(fā)現(xiàn)安全隱患，對(duì)發(fā)現(xiàn)的問題及時(shí)通報(bào)網(wǎng)站責(zé)任人并提供處置建議。提供1次網(wǎng)站云防護(hù)安全運(yùn)維使用培訓(xùn)。服務(wù)期結(jié)束時(shí)，提供完整的防護(hù)情況匯總和安全建議。服務(wù)期限一年2.3）衛(wèi)生數(shù)據(jù)中心信息安全、檢查服務(wù)(漏洞掃描,滲透測(cè)試,安全域分析優(yōu)化,安全巡檢等)指標(biāo)項(xiàng)滲透測(cè)試服務(wù)規(guī)格要求服務(wù)內(nèi)容對(duì)用戶的業(yè)務(wù)系統(tǒng)進(jìn)行人工與專用工具結(jié)合的方式滲透測(cè)試。滲透內(nèi)容至少包含對(duì)如下內(nèi)容進(jìn)行檢測(cè)：弱口令檢測(cè)、認(rèn)證與會(huì)話管理、跨站請(qǐng)求偽造（CSRF）、跨站腳本攻擊（XSS）、注入式攻擊、訪問控制、信息泄露、存儲(chǔ)和傳輸不安全、IIS寫權(quán)限開啟、Struts2遠(yuǎn)程任意代碼執(zhí)行漏洞、Weblogic反序列化漏洞、Jboss反序列化漏洞、WebSphere反序列化漏洞、Elasticsearch遠(yuǎn)程代碼執(zhí)行漏洞、操作系統(tǒng)漏洞提權(quán)、數(shù)據(jù)庫提權(quán)、DNS域傳送漏洞、FTP明文傳輸與匿名登錄、TELNET明文傳輸、SSL漏洞、破解PIN碼、AP漏洞或后門利用。滲透方法主要滲透方法包括：信息收集、端口掃描、遠(yuǎn)程溢出、口令猜測(cè)、本地溢出、客戶端攻擊、中間人攻擊、web腳本滲透、B/S或C/S應(yīng)用程序測(cè)試等。交付內(nèi)容提供完成滲透測(cè)試報(bào)告，使得客戶可以清晰知曉目標(biāo)系統(tǒng)中存在的安全隱患。漏洞挖掘能力滲透測(cè)試廠商具備良好的漏洞挖掘能力，要求為國家信息安全漏洞共享平臺(tái)成員單位，并且年度貢獻(xiàn)排名前三。指標(biāo)項(xiàng)漏洞掃描服務(wù)規(guī)格要求服務(wù)內(nèi)容對(duì)用戶的業(yè)務(wù)系統(tǒng)進(jìn)行漏洞掃描，通過風(fēng)險(xiǎn)評(píng)估，得到客戶的整體安全現(xiàn)狀；通過資產(chǎn)評(píng)估，得到客戶的網(wǎng)絡(luò)信息安全資產(chǎn)狀況，并錄入資產(chǎn)庫，進(jìn)行資產(chǎn)梳理；通過威脅評(píng)估，得到客戶存在的安全威脅情況；通過脆弱性評(píng)估，得到客戶當(dāng)前業(yè)務(wù)系統(tǒng)存在的脆弱性；對(duì)各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行綜合風(fēng)險(xiǎn)分析，得到風(fēng)險(xiǎn)情況，提出分系統(tǒng)的安全解決方案，每半年一次對(duì)衛(wèi)生數(shù)據(jù)中心內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的多個(gè)方面（包括系統(tǒng)漏洞、目錄共享、賬戶信息、賬戶弱口令、基礎(chǔ)應(yīng)用服務(wù)、數(shù)據(jù)庫等）安全配置，安全策略等進(jìn)行全面的調(diào)查，以發(fā)現(xiàn)系統(tǒng)面臨的威脅和存在的安全性隱患，輸出《安全巡檢報(bào)告》。每半年一次定期漏洞掃描對(duì)衛(wèi)生數(shù)據(jù)中心內(nèi)的服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)安全隱患，輸出《漏洞掃描報(bào)告》。評(píng)估方式與內(nèi)容資產(chǎn)評(píng)估：幫助客戶對(duì)組織內(nèi)資產(chǎn)進(jìn)行梳理。威脅評(píng)估：幫助客戶識(shí)別出資產(chǎn)所面對(duì)的各類威脅，幫助客戶了解網(wǎng)絡(luò)與信息系統(tǒng)的安全狀況，全面分析客戶信息系統(tǒng)和網(wǎng)絡(luò)中存在的各種安全問題，同時(shí)將發(fā)現(xiàn)的安全問題與信息資產(chǎn)的重要程度相關(guān)聯(lián)，明確當(dāng)前的安全風(fēng)險(xiǎn)。脆弱性評(píng)估：幫助客戶發(fā)現(xiàn)技術(shù)和管理兩方面存在漏洞。風(fēng)險(xiǎn)分析：幫助客戶確定資產(chǎn)所面臨的各類安全風(fēng)險(xiǎn)等級(jí)，幫助客戶在安全建設(shè)過程中綜合平衡安全風(fēng)險(xiǎn)與成本代價(jià)；幫助客戶及時(shí)發(fā)現(xiàn)和修復(fù)網(wǎng)絡(luò)與信息系統(tǒng)的安全問題，使安全風(fēng)險(xiǎn)降低到可以接受并且可以被有效管理的范圍內(nèi)，保障客戶組織內(nèi)信息系統(tǒng)穩(wěn)定運(yùn)行和業(yè)務(wù)連續(xù)性。交付內(nèi)容提供漏洞掃描報(bào)告，并進(jìn)行相應(yīng)風(fēng)險(xiǎn)評(píng)估。漏洞挖掘能力滲透測(cè)試廠商具備良好的漏洞挖掘能力，要求為國家信息安全漏洞共享平臺(tái)成員單位，并且年度貢獻(xiàn)排名前三。指標(biāo)項(xiàng)安全巡檢服務(wù)指標(biāo)要求應(yīng)急預(yù)案和演練服務(wù)提供符合單位實(shí)際業(yè)務(wù)需求的應(yīng)急演練方案，方案應(yīng)與業(yè)務(wù)連續(xù)性計(jì)劃的范圍相一致，并符合相關(guān)的法律法規(guī)的要求。并參考相關(guān)標(biāo)準(zhǔn)，利用科學(xué)的方法論，依據(jù)單位應(yīng)急預(yù)案每年一次組織實(shí)施應(yīng)急演練。有計(jì)劃及受控制的情況下，執(zhí)行可預(yù)見的減少業(yè)務(wù)停頓、失敗或?yàn)?zāi)難影響的措施，盡可能消除業(yè)務(wù)活動(dòng)所出現(xiàn)的中斷，保護(hù)單位關(guān)鍵業(yè)務(wù)過程免受重大故障或?yàn)?zāi)難的影響，避免和減少可以導(dǎo)致關(guān)鍵業(yè)務(wù)中斷事件的發(fā)生，減少意外事故所造成的影響，縮短業(yè)務(wù)中斷的恢復(fù)時(shí)間，保證關(guān)鍵業(yè)務(wù)活動(dòng)的連續(xù)性。設(shè)備巡檢服務(wù)補(bǔ)丁服務(wù)：消除軟件漏洞給系統(tǒng)帶來的安全隱患，并對(duì)安裝補(bǔ)丁所引起的系統(tǒng)連鎖反應(yīng)進(jìn)行合理的平衡。升級(jí)服務(wù)：對(duì)系統(tǒng)進(jìn)行軟件或硬件的升級(jí)，以改進(jìn)、完善現(xiàn)有系統(tǒng)或消除現(xiàn)有系統(tǒng)的漏洞?，F(xiàn)場(chǎng)故障診斷：按服務(wù)級(jí)別：重要設(shè)備7×24小時(shí)；次要設(shè)備5×8小時(shí)。7*24小時(shí)電話遠(yuǎn)程技術(shù)支持。服務(wù)頻率：每半年進(jìn)行詳細(xì)書面報(bào)告。指標(biāo)項(xiàng)安全域優(yōu)化指標(biāo)要求安全域咨詢服務(wù)提供安全域梳理及優(yōu)化等相關(guān)安全咨詢服務(wù)，根據(jù)數(shù)據(jù)流現(xiàn)狀分析提出安全域的優(yōu)化建議方案，針對(duì)不同對(duì)象和不同時(shí)期，提供安全體系規(guī)劃、整體安全策略等咨詢服務(wù)，形成優(yōu)化建議報(bào)告。安全域分析需求能夠?qū)⒘髁哭D(zhuǎn)化成服務(wù)器、設(shè)備間的業(yè)務(wù)互聯(lián)關(guān)系事件。內(nèi)部服務(wù)器能夠自動(dòng)定位到設(shè)備名稱、IP、所屬業(yè)務(wù)系統(tǒng)、所屬安全域。具備自動(dòng)區(qū)分服務(wù)器或者設(shè)備所屬的安全域或者業(yè)務(wù)系統(tǒng)。新發(fā)現(xiàn)的設(shè)備能夠自動(dòng)劃分到所屬業(yè)務(wù)系統(tǒng)（安全域）。應(yīng)具備按照域、子域、設(shè)備的不同層次對(duì)互聯(lián)情況進(jìn)行拓?fù)湔故荆⒛茉诓煌瑢哟伍g進(jìn)行下鉆和后退。應(yīng)具備將內(nèi)部服務(wù)器或者設(shè)備間的互聯(lián)情況適用拓?fù)鋱D的形式進(jìn)行自動(dòng)展示。能夠根據(jù)業(yè)務(wù)系統(tǒng)、ip、黑白名單等條件過濾拓?fù)鋱D。系統(tǒng)設(shè)備的互聯(lián)監(jiān)控系統(tǒng)應(yīng)具備對(duì)內(nèi)部服務(wù)器與境外設(shè)備互聯(lián)的自動(dòng)發(fā)現(xiàn)能力。提供內(nèi)網(wǎng)計(jì)算機(jī)與互聯(lián)網(wǎng)未授權(quán)連接監(jiān)測(cè)功能的國家權(quán)威機(jī)構(gòu)證明。系統(tǒng)能區(qū)分互聯(lián)時(shí)的方向，即能夠區(qū)分是內(nèi)部服務(wù)器向外連接還是外部設(shè)備向用戶內(nèi)部服務(wù)器的連接。內(nèi)部服務(wù)器能夠自動(dòng)定位到設(shè)備名稱、IP、所屬業(yè)務(wù)系統(tǒng)、所屬安全域。境外設(shè)備能夠自動(dòng)定位到國家和所屬企業(yè)。服務(wù)類型現(xiàn)場(chǎng)服務(wù)。2.4衛(wèi)生數(shù)據(jù)中心內(nèi)外網(wǎng)絡(luò)及系統(tǒng)的安全整改及加固工作。服務(wù)內(nèi)容安全加固：將根據(jù)安全評(píng)估及漏洞掃描、安全檢測(cè)、日志分析和配置檢測(cè)中發(fā)現(xiàn)的問題，協(xié)調(diào)并指導(dǎo)服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫系統(tǒng)等有關(guān)廠商進(jìn)行修補(bǔ)，加強(qiáng)安全配置、安全加固處理。額外要求對(duì)所有服務(wù)器、虛擬機(jī)操作系統(tǒng)密碼進(jìn)行修改。服務(wù)頻率：一年一次。服務(wù)類型：現(xiàn)場(chǎng)服務(wù)。服務(wù)對(duì)象：服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，針對(duì)甲方需求進(jìn)行。安全加固流程與方法安全加固工作主要以人工的方式實(shí)現(xiàn)，具體流程與內(nèi)容如下：1、收集系統(tǒng)信息加固之前收集所有的系統(tǒng)信息和用戶服務(wù)需求，收集所有應(yīng)用和服務(wù)軟件信息，做好加固前預(yù)備工作。2、做好備份工作系統(tǒng)加固之前，建議先對(duì)系統(tǒng)做完全備份。加固過程可能存在任何不可遇見的風(fēng)險(xiǎn)，當(dāng)加固失敗時(shí)，可以恢復(fù)到加固前狀態(tài)。3加固系統(tǒng)按照系統(tǒng)加固核對(duì)表，逐項(xiàng)按順序執(zhí)行操作。4、復(fù)查配置對(duì)加固后的系統(tǒng)，全部復(fù)查一次所作加固內(nèi)容，確保正確無誤。5、應(yīng)急恢復(fù)當(dāng)出現(xiàn)不可預(yù)料的后果時(shí)，首先使用備份恢復(fù)系統(tǒng)提供服務(wù)，同時(shí)與安全專家小組或者專職人員取得聯(lián)系，尋求幫助，解決問題。安全加固風(fēng)險(xiǎn)與控制措施安全加固和優(yōu)化服務(wù)存在以下安全風(fēng)險(xiǎn)： 安全加固過程中的誤操作； 安全加固與業(yè)務(wù)應(yīng)用系統(tǒng)沖突，安全加固后造成目標(biāo)主機(jī)、設(shè)備和網(wǎng)絡(luò)的資源消耗，導(dǎo)致業(yè)務(wù)服務(wù)性能下降、服務(wù)中斷； 廠家提供的加固補(bǔ)丁和工具可能存在新的漏洞，帶來新的風(fēng)險(xiǎn)；要求采取以下措施，控制和避免上述風(fēng)險(xiǎn)： 制定嚴(yán)格的安全加固計(jì)劃，充分考慮對(duì)業(yè)務(wù)系統(tǒng)的影響，實(shí)施過程避開業(yè)務(wù)高峰時(shí)段； 嚴(yán)格審核安全加固的流程和規(guī)范； 嚴(yán)格審核安全加固的各子項(xiàng)內(nèi)容和加固操作方法、步驟，實(shí)施前進(jìn)行統(tǒng)一的培訓(xùn)； 嚴(yán)格員工工作紀(jì)律和操作規(guī)范，實(shí)施前進(jìn)行統(tǒng)一的培訓(xùn)； 制訂意外事件的緊急處理和恢復(fù)流程； 所有的安全加固程序和安全加固操作經(jīng)過事先驗(yàn)證。安全加固內(nèi)容網(wǎng)絡(luò)安全加固主要從以下幾個(gè)方面考慮：1、主機(jī)系統(tǒng)主要從以下方面進(jìn)行安全加固和優(yōu)化： 安全補(bǔ)丁的選擇性安裝 最小服務(wù)原則的貫徹，禁用不必要系統(tǒng)服務(wù) 最小授權(quán)原則的貫徹，細(xì)化授權(quán)原則 SSH管理數(shù)據(jù)加密配置 賬號(hào)、密碼安全策略 文件、目錄訪問控制 關(guān)鍵系統(tǒng)服務(wù)安全配置 安全日志策略 WindowsNT/2000/2003系統(tǒng)RPCDCOM安全配置 WindowsNT/2000/2003系統(tǒng)注冊(cè)表安全配置2、網(wǎng)絡(luò)設(shè)備主要從以下方面進(jìn)行安全加固和優(yōu)化： 安全補(bǔ)丁的選擇性安裝 最小服務(wù)原則的貫徹 最小授權(quán)原則的貫徹 SSH管理數(shù)據(jù)加密配置 配置身份認(rèn)證、授權(quán)和統(tǒng)計(jì)（AAA） 對(duì)密碼進(jìn)行高級(jí)別的加密保護(hù) 加強(qiáng)對(duì)基于廣播的風(fēng)暴攻擊的防范 加強(qiáng)對(duì)內(nèi)部地址欺騙的防范 加強(qiáng)對(duì)源路由欺騙的防范 加強(qiáng)對(duì)于SNMP的默認(rèn)管理字符串的安全管理 依據(jù)需求提升訪問控制規(guī)則的嚴(yán)格程度 設(shè)置明確的禁止非授權(quán)訪問的警告提示3、安全設(shè)備安全設(shè)備的加固和優(yōu)化內(nèi)容，視安全設(shè)備具體的配置策略而定。4、數(shù)據(jù)庫系統(tǒng)主要從以下方面進(jìn)行安全加固和優(yōu)化： 安全補(bǔ)丁的選擇性安裝 最小服務(wù)原則的貫徹，禁用不必要的服務(wù)模塊 最小授權(quán)原則的貫徹，細(xì)化用戶訪問不同數(shù)據(jù)庫、數(shù)據(jù)表的授權(quán)原則 數(shù)據(jù)庫系統(tǒng)默認(rèn)帳號(hào)的禁用或調(diào)整 數(shù)據(jù)庫系統(tǒng)帳號(hào)、密碼安全策略 數(shù)據(jù)庫系統(tǒng)認(rèn)證和審核策略配置 MSSQLServer擴(kuò)展存儲(chǔ)過程的調(diào)整 MSSQLServer注冊(cè)表訪問過程的調(diào)整 MSSQLServer緩沖區(qū)溢出漏洞的安全加固 Oracle緩沖區(qū)溢出隱患的安全加固5、應(yīng)用系統(tǒng)主要從以下方面進(jìn)行安全加固和優(yōu)化： 安全補(bǔ)丁的選擇性安裝 最小服務(wù)原則的貫徹，禁用不必要的服務(wù)模塊 最小授權(quán)原則的貫徹，盡量削弱應(yīng)用系統(tǒng)服務(wù)的運(yùn)行權(quán)限 IIS的針對(duì)性安全加固和優(yōu)化 Tomcat的安全加固和優(yōu)化 WebLogic的針對(duì)性安全加固和優(yōu)化 Foxmail的針對(duì)性安全加固和優(yōu)化復(fù)核式安全評(píng)估復(fù)核式安全評(píng)估主要是在加固后進(jìn)行再次評(píng)估復(fù)查，以便確定對(duì)發(fā)現(xiàn)問題進(jìn)行安全加固整改。成果交付物序號(hào)類別報(bào)告名稱1安全加固過程報(bào)告《信息安全加固實(shí)施計(jì)劃方案》《安全加固checklist》《安全加固實(shí)施記錄》《安全加固總結(jié)PPT》對(duì)應(yīng)系統(tǒng)的其他服務(wù)過程文檔或表單2安全加固報(bào)告《信息安全加固報(bào)告》2.5衛(wèi)計(jì)系統(tǒng)（包含區(qū)縣）安全檢測(cè)、檢查的服務(wù)、人事保密檢查等駐場(chǎng)人員支持服務(wù)及報(bào)告編制服務(wù)。1、市直屬單位網(wǎng)站開展網(wǎng)站安全檢查，每半年一次。在中心單位現(xiàn)場(chǎng)，利用漏洞掃描軟件對(duì)外網(wǎng)網(wǎng)站服務(wù)器(含市衛(wèi)生數(shù)據(jù)外網(wǎng)網(wǎng)站、委下屬單位外網(wǎng)網(wǎng)站、健康網(wǎng)及健康通APP)上所運(yùn)行的基本應(yīng)用服務(wù)（APACHE、IIS、FTP等）進(jìn)行漏洞掃描，掃描內(nèi)容包括帳戶安全、版本漏洞等，通過漏洞掃描，了解系統(tǒng)漏洞和安全威脅情況，并形成《重要網(wǎng)站系統(tǒng)安全檢測(cè)總結(jié)報(bào)告》。2、根據(jù)要求協(xié)助進(jìn)行衛(wèi)生系統(tǒng)機(jī)構(gòu)（包含區(qū)縣）的信息安全檢查，并提供技術(shù)支持，每半年一次,并編制提交報(bào)告。對(duì)市下屬單位重要信息系統(tǒng)、門戶網(wǎng)站等進(jìn)行現(xiàn)場(chǎng)安全檢查技術(shù)工作，重點(diǎn)排系統(tǒng)安全隱患、內(nèi)外網(wǎng)互聯(lián)等，以及日常安全制度建設(shè)、臺(tái)賬管理等情況。檢查同時(shí)還包括等級(jí)保護(hù)開展情況調(diào)查及整改情況檢查,并編制提交報(bào)告。機(jī)關(guān)及衛(wèi)生中心保密檢查人員駐場(chǎng)支持、人事考試信息安全駐場(chǎng)支持人員無條件滿足及中心要求的次數(shù)。三、服務(wù)與培訓(xùn)要求1、質(zhì)量保證：（1）投標(biāo)產(chǎn)品必須是符合國家技術(shù)規(guī)范和質(zhì)量標(biāo)準(zhǔn)的合格產(chǎn)品，滿足采購人的使用需求，并具有可靠的售后服務(wù)體系，質(zhì)量可靠、使用安全。（2）保證其提供的產(chǎn)品中所有預(yù)裝和為本項(xiàng)目安裝的軟件均為具有合法版權(quán)或使用權(quán)的正版軟件且無質(zhì)量瑕疵；（3） 在質(zhì)保期內(nèi)，如遇軟件產(chǎn)品升級(jí)、改版，應(yīng)免費(fèi)提供更新、升級(jí)服務(wù)。2、要求提供的服務(wù)不得低于標(biāo)準(zhǔn)服務(wù)，即與投標(biāo)產(chǎn)品制造廠商通過網(wǎng)站等對(duì)外公布的有效服務(wù)標(biāo)準(zhǔn)相一致（不得另行制作網(wǎng)頁）。在標(biāo)準(zhǔn)服務(wù)基礎(chǔ)上，還應(yīng)達(dá)到以下標(biāo)準(zhǔn)：（1） 投標(biāo)產(chǎn)品制造廠商應(yīng)具有完善的服務(wù)保障體系（在最終供貨地有直接設(shè)立或授權(quán)的售后服務(wù)機(jī)構(gòu)，配備有足夠的、有相應(yīng)資質(zhì)的專業(yè)技術(shù)人員）；供應(yīng)商也應(yīng)就投標(biāo)貨物的品質(zhì)和服務(wù)對(duì)采購機(jī)構(gòu)和采購人負(fù)責(zé)。（2） 應(yīng)明確說明此次投標(biāo)的服務(wù)策略，提供此次投標(biāo)貨物的服務(wù)計(jì)劃（售后服務(wù)內(nèi)容、等級(jí)、相關(guān)服務(wù)指標(biāo)、售后服務(wù)組織機(jī)構(gòu)及人員安排情況及其聯(lián)絡(luò)信息）。（3） 在質(zhì)保期內(nèi)供應(yīng)商必須為最終用戶提供技術(shù)服務(wù)熱線（7*24小時(shí)），負(fù)責(zé)解答用戶在設(shè)備使用中遇到的問題，并及時(shí)提出解決問題的建議和操作方法。技術(shù)服務(wù)熱線支持應(yīng)是中文服務(wù)。（4） 在投標(biāo)貨物質(zhì)保期內(nèi)，供應(yīng)商應(yīng)提供不低于7*24小時(shí)的現(xiàn)場(chǎng)質(zhì)保和技術(shù)支持服務(wù)，對(duì)故障即時(shí)響應(yīng)，3小時(shí)以內(nèi)到現(xiàn)場(chǎng)，4小時(shí)以內(nèi)解決問題；不能當(dāng)場(chǎng)修復(fù)的，必須采取提供備品、備件或備機(jī)等措施，以保證采購人的正常使用。如果逾期未作出響應(yīng)，供應(yīng)商應(yīng)承擔(dān)由于故障所造成的全部損失。（5） 當(dāng)投標(biāo)貨物發(fā)生非人為因素嚴(yán)重故障時(shí)，供應(yīng)商應(yīng)當(dāng)免費(fèi)在七日內(nèi)將補(bǔ)充或者更換的貨物運(yùn)抵發(fā)生故障的貨物所在地，由此產(chǎn)生的一切相關(guān)費(fèi)用由供應(yīng)商負(fù)擔(dān)。（6） 質(zhì)保期內(nèi)所有因更換或修理設(shè)備或部件而導(dǎo)致設(shè)備停止運(yùn)行的時(shí)間應(yīng)從其質(zhì)保期內(nèi)扣除。（7） 供應(yīng)商在質(zhì)保期內(nèi)安裝的任何產(chǎn)品，必須是其投標(biāo)產(chǎn)品制造廠商原產(chǎn)的或是經(jīng)其認(rèn)可的。（8） 所有的替代零配件必須是新的未使用和未經(jīng)修復(fù)的，除非最終用戶提供書面許可，否則不可使用此范圍外的其他（非新的）配件。（9）供應(yīng)商必須為維修和技術(shù)支持所未能解決的問題