為更好地推進口腔醫(yī)院三級等級保護建設(shè)，現(xiàn)向社會征集建設(shè)方案及相應(yīng)概算。

一、建設(shè)方案交回時間、地址

征集截止時間：2024年4月7日至2024年4月15日，每日8:30~11:30,13:30~17:30，逾期不再接受。

地點：高新區(qū)海源中路1088號和成國際C座509室。

如有實地踏勘或其它疑問，請在2024年4月7日至2024年4月14日，每日9:00~11:00,14:00~17:00至上述地點進行登記、踏勘或咨詢。建設(shè)方案需裝訂完整，形成一正一副兩本，封面及概算部分每頁均蓋鮮章。

二、項目服務(wù)目標

昆明醫(yī)科大學(xué)附屬口腔醫(yī)院網(wǎng)絡(luò)安全運營服務(wù)項目的建設(shè)目標，主要是確保醫(yī)院的信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境中能夠安全、穩(wěn)定、高效的運行。引入專業(yè)的技術(shù)力量幫助醫(yī)院構(gòu)建一個全方位的網(wǎng)絡(luò)安全防護體系，以抵御各種網(wǎng)絡(luò)攻擊和威脅，保護醫(yī)院的敏感信息和數(shù)據(jù)不受泄露和損壞。

根據(jù)《網(wǎng)絡(luò)安全法》相關(guān)要求，本項目建設(shè)以達到等保三級測評為建設(shè)目標，在當(dāng)前醫(yī)院現(xiàn)有的網(wǎng)絡(luò)環(huán)境基礎(chǔ)上，幫助醫(yī)院從技術(shù)和管理兩方面完善，構(gòu)建安全防護體系，使醫(yī)院等保測評成績結(jié)果不低于80分。

根據(jù)《數(shù)據(jù)安全法》、《個人信息保護法》相關(guān)要求，幫助醫(yī)院建立完善的數(shù)據(jù)安全防護,如數(shù)據(jù)備份、恢復(fù)、容災(zāi)等保障體系及服務(wù)，確保數(shù)據(jù)具備三重或以上的容災(zāi)措施.

根據(jù)《密碼法》相關(guān)要求，服務(wù)商提供的服務(wù)工具需滿足國密要求，為醫(yī)院下一步商用密碼評估做好提前規(guī)劃。

三、項目服務(wù)要求

隨著智慧醫(yī)院系統(tǒng)推進建設(shè)，需對目前在用軟件、全院互聯(lián)網(wǎng)訪問、跨區(qū)域數(shù)據(jù)交換、多鏈路通信等的外部互聯(lián)網(wǎng)應(yīng)用、內(nèi)部數(shù)據(jù)流轉(zhuǎn)、敏感信息脫敏、訪問權(quán)限控制、遠程維護管理、數(shù)據(jù)災(zāi)備、網(wǎng)絡(luò)情況監(jiān)控、潛在威脅發(fā)現(xiàn)等形成一套可持續(xù)性的、高可靠的信息安全服務(wù)體系，因此在等級保護的框架內(nèi)還需針對專科醫(yī)院及多院區(qū)特點實現(xiàn)個性化的信息安全管理服務(wù)模式。

四、項目服務(wù)依據(jù)及服務(wù)主要內(nèi)容概述

（一）服務(wù)依據(jù)（包含但不限于）

GB/T 22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南

GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

GB/T 36626-2018信息安全技術(shù)信息系統(tǒng)安全運維管理指南

GB/T 30285-2013信息安全技術(shù)災(zāi)難恢復(fù)中心建設(shè)與運維管理規(guī)范

GB/T 28827.3-2012信息技術(shù)服務(wù)運行維護第3部分：應(yīng)急響應(yīng)規(guī)范

GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則

GB/T 20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》

GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》

《全國醫(yī)院信息化建設(shè)標準與規(guī)范（試行）》

（二）服務(wù)主要內(nèi)容概述

1、依據(jù)國家相關(guān)政策要求，網(wǎng)絡(luò)空間安全總體設(shè)計指引以“一個中心、三重防護”為理念，從現(xiàn)有的被動防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變。從安全技術(shù)體系、安全管理體系、安全運營體系三方面來實現(xiàn)信息安全建設(shè)。建立安全技術(shù)體系和安全管理體系，構(gòu)建具備相應(yīng)等級安全保護能力的網(wǎng)絡(luò)安全綜合防御體系，開展組織管理、機制建設(shè)、安全規(guī)劃、通報預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊伍建設(shè)、安全培訓(xùn)和日常運維保障等工作的服務(wù)。

2、構(gòu)建完整的數(shù)據(jù)中心及動態(tài)網(wǎng)絡(luò)空間運行質(zhì)量洞察運維管理體系方案，從IT基礎(chǔ)設(shè)施運行態(tài)勢管理，包括在資源層面構(gòu)建業(yè)務(wù)為導(dǎo)向的可視化安全運維管理，多維度可視化視圖管理，到核心業(yè)務(wù)運行態(tài)勢可視化管理；以及處理安全事件有效的記錄手段，形成體系，逐步建立起精細化、主動式、可視化、流程化、標準化、一體化、智能化的IT運維管理體系，基于智慧醫(yī)院業(yè)務(wù)運行背景優(yōu)化現(xiàn)有運維體系，建立符合數(shù)據(jù)中心實際情況的運維管理流程及運維體系，提高運維效率。掌握IT設(shè)施的運行趨勢，安全趨勢、資源運行態(tài)勢、業(yè)務(wù)運行態(tài)勢、提高IT資源、業(yè)務(wù)應(yīng)用、數(shù)據(jù)存儲的安全性；預(yù)判業(yè)務(wù)系統(tǒng)整體健康狀況和運行趨勢，從而有效保障業(yè)務(wù)應(yīng)用的連續(xù)運行的服務(wù)。

3、依據(jù)《全國醫(yī)院信息化建設(shè)標準與規(guī)范（試行）》規(guī)范要求，構(gòu)建整體信息化業(yè)務(wù)系統(tǒng)的安全性、業(yè)務(wù)連續(xù)性保障體系方案。通過技術(shù)與管理手段的結(jié)合，設(shè)計一套完整的災(zāi)備系統(tǒng)管理體系，規(guī)范災(zāi)備系統(tǒng)的應(yīng)用流程、提升綜合管理水平、降低業(yè)務(wù)安全風(fēng)險、減輕運維壓力，達到醫(yī)院智慧醫(yī)院背景下對于信息化業(yè)務(wù)系統(tǒng)的各項指標。同時，幫助醫(yī)院在相關(guān)各項政策、標準、要求中相關(guān)的標準實現(xiàn)與達成，包括但不限于、網(wǎng)絡(luò)安全等級保護制度、災(zāi)難恢復(fù)規(guī)范等。

4、提供數(shù)據(jù)中心運行及動態(tài)網(wǎng)絡(luò)空間全域安全持續(xù)監(jiān)測、發(fā)現(xiàn)、預(yù)警、防護運維服務(wù)，及時提出有效應(yīng)對解決方案并組織甲方協(xié)同處理可能存在的網(wǎng)絡(luò)安全威脅；基于基礎(chǔ)數(shù)據(jù)中心全局視角、保障系統(tǒng)健康穩(wěn)定運行；對業(yè)務(wù)變更、技術(shù)革新、新系統(tǒng)測試、上線、生命周期等全局集成性工作提供及時專業(yè)支持的服務(wù)。

5、按事件、巡檢結(jié)果、月度分析可能對醫(yī)院業(yè)務(wù)系統(tǒng)和IT系統(tǒng)的安全性造成威脅的各種風(fēng)險因素并提出相應(yīng)的對策和改進方案。風(fēng)險分析的工作將不僅僅只是提出補救措施，還將定義出對于風(fēng)險的預(yù)防措施的服務(wù)。

6、匯集數(shù)據(jù)中心運行及動態(tài)網(wǎng)絡(luò)空間全域事件及機器數(shù)據(jù)，構(gòu)建多域機器數(shù)據(jù)及事件全生命周期管理；提升全域數(shù)據(jù)應(yīng)用能力，逐步實現(xiàn)以數(shù)據(jù)驅(qū)動信息平臺運營的服務(wù)。

五、服務(wù)需滿足的質(zhì)量、安全、技術(shù)規(guī)格、物理特性等要求

（一）協(xié)助醫(yī)院完成信息安全管理制度、知識庫、災(zāi)備演練及培訓(xùn)體系建設(shè)服務(wù)

1、需建設(shè)符合國家法律法規(guī)的一系列安全制度，同時制度的執(zhí)行具有可操作性，并符合醫(yī)院現(xiàn)階段的現(xiàn)實情況，并提供必要的執(zhí)行手段。

2、在制度中明確各部門、各崗位職責(zé)，并具有懲罰機制。

3、對信息安全提供覆蓋全院的、類型多樣的、定期的培訓(xùn)方式、方法。

4、提供必要的信息安全反饋渠道，接入醫(yī)院消息發(fā)送平臺，對涉及到的人員進行及時提醒。

5、建立信息安全知識庫，按照安全漏洞危害等級、修補方式、時間遠近及查詢權(quán)限等進行覆蓋全院的系統(tǒng)快速查詢，以提高全院信息安全綜合素質(zhì)。

6、定期開展災(zāi)備演練，并提供相應(yīng)報告。提供安全事故庫，耦合醫(yī)院實際情況，對演練環(huán)境做到擬真、不走過場，事后報告有詳細記錄，并有分析總結(jié)。

（二）數(shù)據(jù)安全及保障

1、按照數(shù)據(jù)管理要求輔助完成組織架構(gòu)、工作責(zé)任制度建設(shè)，并建立具備可操作性的規(guī)程及技術(shù)規(guī)范。

2、建立數(shù)據(jù)審計、備份、恢復(fù)、容災(zāi)等保障體系及提供相應(yīng)服務(wù)，確保數(shù)據(jù)具備三重或以上的容災(zāi)措施，且具備授權(quán)體系下的恢復(fù)、查詢、比對功能，相關(guān)手段包含但不限于冷、熱，增量、全備、實時等自動化方法，并確保過程的可追溯性，同時具備通訊加密、數(shù)據(jù)校驗，確保數(shù)據(jù)一致性并對數(shù)據(jù)對象格式、存儲方式等具備較高兼容性。將存儲空間軟件定義為磁帶格式，避免病毒及勒索軟件對備份數(shù)據(jù)的破壞。對每個人員操作與任務(wù)執(zhí)行過程進行詳細記錄，在必要的情況下進行歷史追溯。定期或即時對備份數(shù)據(jù)進行在線查詢、演練恢復(fù)，驗證備份數(shù)據(jù)的正確性及完整性。將系統(tǒng)運行情況使用大屏展示，顯示感知數(shù)據(jù)保護態(tài)勢。

3、提供數(shù)據(jù)審計服務(wù)，對數(shù)據(jù)的同源性、一致性、流轉(zhuǎn)可進行追溯，其中對于統(tǒng)方、統(tǒng)計耗材等要有高可靠的審計效能，同時能夠阻攔非法數(shù)據(jù)查詢、修改、刪除、增加。

4、對特定數(shù)據(jù)進行自動化的脫敏處理，并具備脫敏的可逆或不可逆方法，且符合國家相關(guān)法律法規(guī)要求。

5、以上建設(shè)內(nèi)容需高度兼容現(xiàn)有網(wǎng)絡(luò)架構(gòu)、存儲方式、物理空間，并具備高抗壓性、高容錯、容災(zāi)性。

（三）安全通信及區(qū)域管理

1、提供鏈路質(zhì)量的實時監(jiān)控，在主線路出現(xiàn)問題時，能切換到其他網(wǎng)絡(luò)以保障網(wǎng)絡(luò)正常運行，同時需優(yōu)先保障重要業(yè)務(wù)的正常開展。

2、補強現(xiàn)有數(shù)據(jù)通訊中的弱項，利用信息化、智能化方法進行加密、混淆，以保障通信過程保密、內(nèi)容不可逆向明文化、性能損失最小化。

3、建設(shè)安全通信的冗余通道，并提供可伸縮的安全區(qū)域邊界。

4、在安全區(qū)域邊界，提供并部署實時的策略，并提供詳細說明及來源，同時策略形成具備完善的人工路徑及自動化路徑，并可進行追溯及效果評估。

5、安全區(qū)域邊界需對進出區(qū)域的行為、內(nèi)容進行審計、阻攔，并進行記錄，同時具備路徑冗余。

6、發(fā)生超出閾值或低于閾值情況時，通過多路徑通知管理人員，并對區(qū)域內(nèi)外的安全措施形成聯(lián)動效應(yīng)，第一時間阻止安全區(qū)域的入侵或逃離。

7、以上服務(wù)除依托外部數(shù)據(jù)為基礎(chǔ)外，同時需要針對內(nèi)部進出數(shù)據(jù)、日志、操作痕跡等形成區(qū)域策略。

（四）安全計算環(huán)境

1、提供有效認證服務(wù)，并能與其他服務(wù)形成聯(lián)動，形成細粒度的行為管控策略。

2、對業(yè)務(wù)系統(tǒng)遇到的攻擊需能提供實時檢測與防護，并能及時阻斷機器人攻擊行為，同時應(yīng)充分考慮策略下發(fā)的便利性。

3、利用傳感器、數(shù)據(jù)分析、并依托大數(shù)據(jù)分析以及人工指令對整體計算環(huán)境進行監(jiān)測，當(dāng)數(shù)值高于閾值或低于閾值時及時通過多種渠道通知系統(tǒng)管理員。

4、對計算環(huán)境故障發(fā)生具有前瞻性，并結(jié)合數(shù)據(jù)容災(zāi)體系做到提前預(yù)知、事發(fā)阻止、數(shù)據(jù)不丟、時候可追溯。

5、輔助建設(shè)多節(jié)點計算環(huán)境，確保冗余性，同時單節(jié)點確保全負載的可持續(xù)性。

6、對計算環(huán)境中的安全策略進行集中設(shè)置及處理，并對接入計算環(huán)境的身份進行驗證，并能快速定位。

（五）安全管理

1、依托已建成的城域網(wǎng)，對總院及門診形成有效的安全管理體系，包括但不限于以下內(nèi)容：

（1）具備遠程操控能力。

（2）具備信息資產(chǎn)（實體及非實體）的自動收集、分類、修改、維修、工單一體化管理能力，手段豐富不限于APP、小程序等形式。

（3）對整個體系內(nèi)的終端可按照前述結(jié)果及人工干預(yù)快速進行定位、隔離，防止故障蔓延。

（4）管理體系內(nèi)的終端行為可按照預(yù)設(shè)策略進行管控，并對性能情況進行及時反饋。

2、針對終端日志、系統(tǒng)登錄、軟件操作等行為具備分析、預(yù)警及干預(yù)機制，必要時對終端進行鎖定并聯(lián)動觸發(fā)網(wǎng)絡(luò)隔離。

3、快速定位網(wǎng)絡(luò)虛擬空間中終端設(shè)備的物理位置，同時防止硬件識別碼篡改帶來的偽造問題，并能對網(wǎng)絡(luò)環(huán)路進行自動化警告、隔離降低或消除影響。

4、提供對IT資產(chǎn)分組、分域的統(tǒng)一管理維護，并提供專項安全場景分析，對脆弱性、弱口令和其他安全風(fēng)險進行綜合分析，必要時聯(lián)動其他技術(shù)組件完成一鍵封堵。

（六）運維安全

1、具備統(tǒng)一入口以及強身份認證（包含但不限于動態(tài)密碼、物理地址認證等）的運維平臺。

2、在運維過程中從操作動作、輸入語句及語句執(zhí)行層面進行主動式監(jiān)管，并在發(fā)生超出閾值行為時及時阻斷，同時對運維過程全程保留視頻等資料。

3、具備安全可靠及動態(tài)更新的運維平臺自身安全保障體系。

（七）安全服務(wù)

1、安全咨詢。提供網(wǎng)絡(luò)安全咨詢專業(yè)服務(wù)，指導(dǎo)信息安全建設(shè)與運維工作，解答各類安全問題，對醫(yī)院安全策略、安全流程提供改進建議，建立網(wǎng)絡(luò)安全統(tǒng)一策略管理機制，并制定完善解決方案。全周期對醫(yī)院新建信息化項目從業(yè)務(wù)需求分析、系統(tǒng)設(shè)計、部署實施、測試運行、竣工驗收等環(huán)節(jié)，提供網(wǎng)絡(luò)安全技術(shù)咨詢支持。

2、安全巡檢。全面掌握醫(yī)院網(wǎng)絡(luò)安全狀況，分析面臨的安全威脅和風(fēng)險，評估安全防護水平，查找突出問題和薄弱環(huán)節(jié)，提供有針對性的防范對策和改進措施。巡檢時間安排根據(jù)實際情況進行，每季度至少對醫(yī)院內(nèi)安全設(shè)備和重要網(wǎng)絡(luò)設(shè)備的安全策略全面巡檢一次。定期對醫(yī)院內(nèi)業(yè)務(wù)系統(tǒng)進行安全滲透檢測，檢查和評估目標網(wǎng)站是否存在SQL注入、跨站腳本、木馬上傳等漏洞，分析掌握Web網(wǎng)站中存在的薄弱環(huán)節(jié)。

3、安全策略梳理。定期梳理安全設(shè)備和網(wǎng)絡(luò)設(shè)備等軟硬件系統(tǒng)的安全策略，及時調(diào)整發(fā)生變更或廢止的信息資產(chǎn)安全策略，建立策略池和配置檔案，提高安全運維質(zhì)量和水平。

4、整改加固。根據(jù)網(wǎng)絡(luò)信息系統(tǒng)安全評估報告及等保測評問題，制定安全加固方案。安全加固方案應(yīng)覆蓋醫(yī)院所有服務(wù)器和網(wǎng)絡(luò)設(shè)備，以及不同類別的操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)。并在出現(xiàn)不符合規(guī)定要求的事項后，根據(jù)需要采取糾正措施與預(yù)防性措施。

5、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)。主要工作包括：事先充分準備，包括安全培訓(xùn)、制訂安全政策和應(yīng)急預(yù)案以及風(fēng)險分析等。事件發(fā)生后采取的抑制、根除和恢復(fù)等措施，盡可能的減少損失或盡快恢復(fù)正常運行。并協(xié)助管理人員形成正反饋機制，配合強化網(wǎng)絡(luò)安全防范體系。

六、項目服務(wù)地點

昆明醫(yī)科大學(xué)附屬口腔醫(yī)院

七、項目服務(wù)標準、期限、效率等要求

服務(wù)期間至少需要1名網(wǎng)絡(luò)安全持證專業(yè)技術(shù)人員駐場，原則上不得更換。如駐場服務(wù)中途離場須獲醫(yī)院批準，輪換同等及以上技術(shù)水平人員。駐場提供5×8小時駐場運維保障服務(wù)，重要時7×24小時值守。

八、其它技術(shù)要求

1.安全服務(wù)中如有硬件、云資源等資產(chǎn)由服務(wù)提供商一并提供，產(chǎn)權(quán)屬于服務(wù)提供商。

2.建設(shè)方案需針對智慧醫(yī)院系統(tǒng)及電子病歷系統(tǒng)通過信息安全等級保護2.0中的三級等級保護；醫(yī)院資源管理系統(tǒng)（HRP）通過二級等級保護；其余系統(tǒng)置于保護體系內(nèi)，獲得不低于二級等級保護的條件。

附件：昆明醫(yī)科大學(xué)附屬口腔醫(yī)院現(xiàn)弱電環(huán)境明細

（1）服務(wù)器及計算環(huán)境

在網(wǎng)服務(wù)器列表

（2）現(xiàn)有數(shù)據(jù)庫情況

Mysql(5.6.36);Oracle(11g);MSSQL(11.0.7469)

（3）網(wǎng)絡(luò)設(shè)備情況