醫(yī)院網(wǎng)絡安全建設方案

醫(yī)院網(wǎng)絡安全建設方案序號服務項目服務范圍服務內(nèi)容簡述服務頻次單位備注1▲等級保護咨詢服務需要過等保的信息系統(tǒng)，目前是HIS\LIS\EMR\PACS\HIP\門戶網(wǎng)站\公共大屏播放系統(tǒng)\微信公眾號\互聯(lián)網(wǎng)醫(yī)院里的應用功能系統(tǒng)以及二級系統(tǒng)為客戶單位提供等保安全咨詢規(guī)劃、等保定級評審協(xié)助、等保備案協(xié)助、等保安全差距分析、等保安全整改協(xié)助、等保制度編制輔助、等保自評輔助、測評現(xiàn)場協(xié)助等服務。（需提供以往協(xié)助等保測評案例檢測報告截圖證明，至少含測評結(jié)論頁面和測評封面）1次共9個三級系統(tǒng)和二級系統(tǒng)，出具啟動會PPT

《實施計劃表》、《資產(chǎn)調(diào)研表》、《定級報告》、《專家評審意見》、《主管部門審批意見》、信息系統(tǒng)備案表等備案材料、《備案證明》、《差距分析報告》等相關(guān)等保建設過程需要的材料內(nèi)容應急響應服務突發(fā)性安全事件：如數(shù)據(jù)大量被篡改、丟失，網(wǎng)絡大面積終端，應用系統(tǒng)中毒等嚴重影響業(yè)務系統(tǒng)運行和醫(yī)院辦公的高危事件提供7*24小時對網(wǎng)絡安全設備故障、病毒暴發(fā)、門戶網(wǎng)站黑客入侵等緊急事件進行安全應急響應服務。安全專家通過遠程或現(xiàn)場方式及時響應與處理信息安全事件，協(xié)助客戶降低影響，分析安全問題產(chǎn)生的原因，提供應急響應報告和改進建議。安全問題發(fā)生后≤5分鐘電話響應，≤30分鐘遠程支持響應，≤2小時現(xiàn)場支撐響應。1年《應急響應報告》▲安全演練服務高風險安全事件根據(jù)用戶現(xiàn)場網(wǎng)絡和業(yè)務的實際環(huán)境，協(xié)助編寫專項網(wǎng)絡安全演練預案，準備演練場景，演練的方式以桌演為主（其他方式由供應商和采購方協(xié)商而定），來檢驗應急預案和應急流程是否完善，發(fā)現(xiàn)用戶的網(wǎng)絡安全應對薄弱點，實現(xiàn)提高應急處理能力。（需提供以往案例報告截圖證明）1次《安全演練方案》、《安全演練報告》▲基線檢查服務需要過等保的信息系統(tǒng)，目前是HIS\LIS\EMR\PACS\HIP\門戶網(wǎng)站\公共大屏播放系統(tǒng)、微信公眾號里的應用功能系統(tǒng)使用安全配置核查產(chǎn)品（工具或系統(tǒng)）或人工方式，對約定服務范圍內(nèi)系統(tǒng)中網(wǎng)絡設備、主機操作系統(tǒng)、中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和業(yè)務應用系統(tǒng)進行安全配置基線（依據(jù)《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》/或相關(guān)行業(yè)標準）檢查。（需提供基線檢查報告和安全配置改進建議）1次《基線檢查報告》▲漏洞安全預警通告服務已知安全事件、高危漏洞高危漏洞預警屬于實時預警通告服務，依據(jù)全面的攻防能力和強大的漏洞驗證能力，在第一時間向用戶發(fā)布高危漏洞預警，向用戶通告漏洞的破壞程度，風險等級，影響范圍、處置建議等信息。(需提供通告截圖證明)并配合客戶完成安全漏洞修補1年《漏洞安全預警通告》安全熱點報告服務安全熱點資訊屬于每周推送分享服務，主要通過“安全事件”、“權(quán)威發(fā)布和安全趨勢”和“安全快訊”多個專欄向用戶分享網(wǎng)絡攻擊事件分析、境外黑客組織攻擊行為分析、軟硬件漏洞技術(shù)分析、病毒或惡意代碼等有害程序事件和技術(shù)原理分析、安全技術(shù)研究報告，以及一些安全新聞或事件動態(tài)。1年《安全熱點周報》▲web安全測試服務醫(yī)院門戶網(wǎng)站1、專業(yè)信息安全服務工程師通過人工以非破壞性方式（通過遠程或現(xiàn)場方式）對約定服務范圍內(nèi)指定的WEB應用系統(tǒng)進行WEB安全測試，測試內(nèi)容至少包括OWASPTOP10和已知的大部分市面公布漏洞。以模擬黑客操作行為對用戶的WEB應用系統(tǒng)進行模擬攻擊或入侵，利用信息安全服務工程師的專業(yè)知識來識別用戶信息系統(tǒng)的已知和未知漏洞。提供WEB安全測試報告和修復建議。2、跟進WEB安全測試結(jié)果，閉環(huán)協(xié)助處置發(fā)現(xiàn)的WEB安全問題。（需提供以往案例報告截圖證明）。4次《滲透測試報告》安全加固協(xié)助服務醫(yī)院內(nèi)部信息系統(tǒng)網(wǎng)絡安全事件針對安全掃描服務、基線檢查服務或是客戶單位提供的安全漏洞報告中發(fā)現(xiàn)的安全漏洞和配置缺陷，提供加固意見和實施報告，配合客戶完成配置修復。4次《安全加固實施報告》安全檢查支持上級部門網(wǎng)絡安全檢查事件在安全主管部門或上級部門開展網(wǎng)絡安全檢查、電子病歷評級、智慧醫(yī)院評級、互聯(lián)互通評級時，配合客戶單位應對網(wǎng)絡安全檢查。主要工作包括：檢查前準備工作協(xié)助、檢查時技術(shù)支撐、檢查后整改工作協(xié)助。1年《自查報告》安全意識培訓醫(yī)院網(wǎng)絡安全意識為醫(yī)院指定人員開展安全意識培訓講演，培養(yǎng)員工網(wǎng)絡安全意識。1次/年安全意識培訓PPTLED屏幕安全巡檢服務戶外公共電子屏顯示系統(tǒng)對醫(yī)院公共顯示屏和管理機進行安全巡檢提供安全巡檢報告。2次/年LED屏幕安全巡檢報告安全監(jiān)測云服務醫(yī)院門戶網(wǎng)站對指定web站點進行實時監(jiān)測、暴露面檢測、漏洞脆弱性檢測等，及時發(fā)現(xiàn)風險（SQL注入、掛馬、黑鏈等）并提供風險溯源手段，提供安全可視化展示。詳細內(nèi)容請看1.1安全監(jiān)測云服務(門戶網(wǎng)站系統(tǒng)云服務)1年每月輸出安全監(jiān)測報告，及時告警發(fā)現(xiàn)的異常事件并提供解決建議安全設備狀態(tài)和運行與告警問題檢查醫(yī)院現(xiàn)有所有安全設備對現(xiàn)有所有安全軟硬件的運行狀態(tài)、策略匹配度、告警日志、特征庫問題等進行分析檢查，并協(xié)助處理已知問題4次《安全檢查報告》▲安全掃描服務醫(yī)院協(xié)調(diào)需要進行安全掃描的IP網(wǎng)段、業(yè)務系統(tǒng)、主機系統(tǒng)、中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)1、使用商業(yè)化的安全漏洞評估產(chǎn)品（工具/系統(tǒng)），全面檢測約定服務范圍內(nèi)的網(wǎng)絡設備、主機操作系統(tǒng)、中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和業(yè)務應用系統(tǒng)中存在的安全漏洞，提供漏洞掃描報告和修復建議。（需提供以往案例報告截圖證明）。4次/年信息資產(chǎn)表資產(chǎn)梳理與調(diào)研服務醫(yī)院機房網(wǎng)絡安全軟硬件設備信息根據(jù)安全運維服務服務范圍，對醫(yī)院的信息系統(tǒng)相關(guān)組織、管理和IT環(huán)境進行調(diào)研，全面、準確、深入的了解和描述客戶信息系統(tǒng)現(xiàn)狀，以及確定安全運維工作的相關(guān)人員職責；根據(jù)信息支持調(diào)研表不同內(nèi)容，依據(jù)等保2.0第三級標準和其他國家網(wǎng)絡安全法律法規(guī)內(nèi)容來分析跟進處理可能存在安全不足點，提供對應解決建議，協(xié)助提升醫(yī)院網(wǎng)絡安全建設的規(guī)范性和實際符合醫(yī)院網(wǎng)絡安全建設的需求。信息資產(chǎn)調(diào)查表（包含但不限于網(wǎng)絡拓撲圖、各類網(wǎng)絡和安全設備、醫(yī)院重要業(yè)務系統(tǒng)等相關(guān)IP、登陸地址、管理主機、賬號密碼、購入時間、過保時間、序列號、部署位置等）。1次/年APP安全加固OA系統(tǒng)針對醫(yī)院現(xiàn)有的移動APP客戶端，提供安卓與IOS版本的客戶端各1個的安全檢測與加固，減小APP引發(fā)的安全問題概率安全加固服務內(nèi)容：提供針對AndroidAPK應用程序包的安全加固保護，防止應用被破解，逆向分析及盜版，主要功能點包括：JAVA代碼加密，SO庫加密，防篡改保護，防調(diào)試保護，資源文件加密，數(shù)據(jù)加密,JAVA-C轉(zhuǎn)換，為應用提供高等級的安全防護及抗攻擊能力。IOS加固服務內(nèi)容：提供針對源代碼（C/C++/Object-C)的白盒加密保護，防止源代碼被逆向分析及破解主要功能點包括：代碼邏輯分支混淆，代碼字符串加密。應用安全測評服務Android/ios：提供針對移動應用的全自動安全性，脆弱性及漏洞檢測分析，幫助企業(yè)實現(xiàn)全自動的應用發(fā)布管理及安全性回歸測試。主要功能點包括：反病毒掃描，權(quán)限掃描，廣告掃描，惡意扣費代碼掃描，常見安全缺陷掃描，常見安全漏洞掃描，基于腳本驅(qū)動的定制化掃描，基于FUZZY的漏洞挖掘。提供Android檢測，內(nèi)容如下：★根據(jù)Android客戶端及IOS客戶端安全檢測綜合能力進行評估：為滿足未來常態(tài)化安全建設，檢測平臺除支持Android及IOS客戶端檢測以外，平臺還需具備AndroidSDK（SDK支持單獨提交檢測）、源碼、web檢測，小程序檢測能力，保障項目擴容需求。（提供平臺功能截圖并加蓋投標人公章）★檢測平臺中Android檢測應具備動態(tài)、靜態(tài)檢測兩項勾選功能，實現(xiàn)直接勾選動態(tài)/靜態(tài)選項即可實現(xiàn)動態(tài)/靜態(tài)檢測設置。（提供平臺功能截圖并加蓋投標人公章）支持覆蓋自身安全、程序源文件安全、本地數(shù)據(jù)存儲安全、通信數(shù)據(jù)傳輸安全、身份認證安全、內(nèi)部數(shù)據(jù)交互安全、惡意攻擊防范能力等類別測評項。包含但不限于以下功能：檢測App基本信息：包括但不限于APK文件名、軟件名稱、包名、軟件大小、軟件版本、MD5、簽名信息、targetSdkVersion、minSdkVersion、分析時間等；檢測App的權(quán)限信息，包括申請的權(quán)限范圍和使用權(quán)限范圍，需要提供敏感權(quán)限、普通權(quán)限、自定義權(quán)限三大類別權(quán)限結(jié)果；檢測App加固與否以及使用何種加固，可識別的加固類別至少覆蓋市場中10家以上的主流加固廠商；病毒檢測：至少具備3種病毒庫的檢測能力，提供檢測出的漏洞信息和具體定位；檢測App行為信息：需要提供每個行為信息對應所在的文件位置；敏感詞信息；第三方SDK檢測；資源文件中的Apk文件；內(nèi)部數(shù)據(jù)交互安全檢測：動態(tài)注冊Receiver風險；ContentProvider數(shù)據(jù)泄露漏洞；Activity組件導出風險；Service組件導出風險；BroadcastReceiver組件導出風險；ContentProvider組件導出風險；本地端口開放越權(quán)漏洞；PendingIntent錯誤使用Intent風險；Intent組件隱式調(diào)用風險；IntentSchemeURL攻擊漏洞；Fragment注入攻擊漏洞；反射調(diào)用風險；▲Android檢測中需涵蓋HTML5安全檢測（不包括單獨得H5檢測）：混合開發(fā)App就是部分功能是由html5開發(fā)的應用。針對這類AndroidApp，自動化檢測這部分代碼是否存在數(shù)據(jù)泄露、代碼缺陷等安全隱患。檢測項包括：WebStorage數(shù)據(jù)泄露風險；WebSQL注入漏洞；InnerHTML的XSS攻擊漏洞。需提供檢測平臺的該功能點及檢測報告截圖并加蓋投標人公章▲支持單獨提交AndroidSDK程序的SDK獨立安全檢測功能，且可以指定SDK關(guān)聯(lián)的分類標簽等信息，滿足對外部引入SDK或者外發(fā)SDK的安全評估需要，需提供檢測平臺的該功能點及檢測報告截圖并加蓋投標人公章?！С纸缑娼俪诛L險檢測能力，系統(tǒng)可檢測客戶端App的應用界面是否存在可被劫持的風險，需提供檢測平臺的該功能點及檢測報告截圖并加蓋投標人公章?！邆錃埩糍~戶密碼信息檢測：移動應用發(fā)布包中如果存在殘留的賬戶、密碼信息，可能會被盜取并惡意利用在正式服務器上進行攻擊，例如賬號重試，攻擊安全薄弱的測試服務器以獲取服務器安全漏洞或者邏輯漏洞，需提供檢測平臺的該功能點及檢測報告截圖并加蓋投標人公章?！邆鋭討B(tài)調(diào)試攻擊風險：在未加入反調(diào)試術(shù)的iOSApp中，攻擊者使可用GDB、IDA、Ptrace等調(diào)試器跟蹤運行的目標程序，查看內(nèi)存中運行的進程狀態(tài)，獲取內(nèi)存進程中的運行代碼和實時數(shù)據(jù)，甚至分析篡改程序的業(yè)務邏輯，對客戶關(guān)鍵數(shù)據(jù)或者服務器進行惡意攻擊，例如查看客戶端業(yè)務操作的數(shù)據(jù)，比如登錄賬號、密碼等，竊取用戶信息；或者通過分析程序運行邏輯，挖掘應用漏洞。需提供檢測平臺的該功能點及檢測報告截圖并加蓋投標人公章。3.提供Android安全加固，如下：反編譯保護：支持對SO內(nèi)的字符串/函數(shù)表信息防止反匯編的，需提供檢測平臺輸出示例內(nèi)容的截圖證明并加蓋投標人公章防篡改：防止應用被第三方篡改、破解、二次打包或者被植入惡意程序防動態(tài)攻擊：應用不能被第三方工具動態(tài)調(diào)試，運行邏輯和業(yè)務邏輯對外不可見；應用不能被Xpose等第三方工具內(nèi)存注入，內(nèi)存數(shù)據(jù)對外不可見，不可修改；采用VMP，即使在發(fā)生內(nèi)存DUMP攻擊時，也只能看到虛擬化后加密的代碼。數(shù)據(jù)加密防護：支持對敏感資源文件做加密處理；支持本地存儲的所有數(shù)據(jù)被加密存儲；支持直接在底層實現(xiàn)函數(shù)監(jiān)聽的加密操作，避免通過加密SDK調(diào)用集成的繁瑣方式。防劫持防護：加固平臺支持應用防界面劫持功能，提供自動化集成方式?！鶕?jù)移動APP安全加固內(nèi)容所提供的安全加固工具進行評價，所使用工具的原廠商應具備CCRC（中國網(wǎng)絡安全審查技術(shù)與認證中心）頒發(fā)的EAL3認證證書的得1分，否則不得分。（需提供證書復印件并加蓋投標人公章）1個/年APP安全加固包安全監(jiān)測云服務(門戶網(wǎng)站系統(tǒng)云服務)序號服務名稱具體內(nèi)容及要求一、定期風險評估（云評估）1暴露面檢測①支持關(guān)鍵資產(chǎn)系統(tǒng)域名發(fā)現(xiàn)，自動發(fā)現(xiàn)客戶所填入域名相關(guān)的所有子域名。②支持檢測網(wǎng)站服務器端口開放情況，比如數(shù)據(jù)庫端口、FTP服務端口等。2漏洞脆弱性檢測①支持對Web漏洞進行掃描，覆蓋通用漏洞和常規(guī)漏洞。支持SQL注入、XSS、安全配置錯誤、已知漏洞組件包含、敏感信息泄露等常見漏洞的檢測。②支持系統(tǒng)弱口令檢測，對服務器對外提供的RDP、SSH等遠程服務進行弱口令檢測。3專家漏洞驗證服務對風險評估報告中的高危漏洞進行專家驗證，確保高危事件的準確性，并定期給用戶推送云掃描報告。4高危0day事件告警★支持高危0day實時檢測出現(xiàn)0day漏洞時，主動對所監(jiān)控用戶業(yè)務做掃描發(fā)現(xiàn)，重要網(wǎng)絡安全事件和安全漏洞快速預警通告和檢測，檢測結(jié)果第一時間定向推送到客戶，能夠支持微信端實時推送告警信息；須提供界面截圖證明并加蓋供應商公章。二、實時異常監(jiān)測（云監(jiān)測）5敏感詞監(jiān)測支持對目標站點提供7×24小時網(wǎng)頁敏感詞檢測能力。發(fā)現(xiàn)網(wǎng)頁敏感詞事件第一時間通過微信通知用戶，監(jiān)測內(nèi)容能夠在報告中進行呈現(xiàn)。6業(yè)務可用性監(jiān)測①支持頁面響應監(jiān)測，通過固定的頻率模擬用戶請求訪問被監(jiān)控站點，實時獲取站點的響應狀態(tài)和請求詳情，精準的探測出網(wǎng)站的各種異常5分鐘檢測一次，當連續(xù)3次訪問失敗時判斷為業(yè)務不可用。②支持網(wǎng)站存活監(jiān)測，通過固定的頻率探測被監(jiān)控主機或站點存活狀態(tài)，監(jiān)控不同地域和運營商的連通性。7篡改監(jiān)測①對目標站點的關(guān)鍵頁面進行實時篡改監(jiān)測，分鐘級篡改發(fā)現(xiàn)，第一時間通過微信進行實時告警，并提供主動電話告警。②支持整站內(nèi)容進行篡改監(jiān)測，梳理并在首頁展示站點結(jié)構(gòu)圖，顯示網(wǎng)站各節(jié)點是否存在被篡改事件。8黑鏈監(jiān)測支持對目標站點提供7×24小時網(wǎng)頁黑鏈監(jiān)測能力。發(fā)現(xiàn)網(wǎng)頁黑鏈事件第一時間通過微信通知用戶，監(jiān)測內(nèi)容能夠在報告中進行呈現(xiàn)。三、及時告警9微信告警★支持以微信的方