序号

名称

服务技术参数及描述

数量

单位

1

等保测评服务

一、测评范围要求

系统名称：****医院信息管理系统。

系统级别：为一个等保三级信息系统

二、等保测评过程要求

1.测评准备阶段

系统调研：对信息系统进行资料收集和系统调研；进行信息收集、工具准备，编制测评计划书、调查问卷收集等。

输出结果：测评计划书、测评启动会汇报、调研结果报告、工具及表单准备。

2.测评方案编制阶段

测评方案编制：方案编制、测评对象确认、测评指标确认、测评内容确认、整体测评方法确认、风险分析方法确认、开发指导书、编制结果记录表等，要求中标人在签订合同后出具相关方案。

输出结果：测评方案、测评指导书、结果记录表。

3.现场测评阶段

现场测评：通过访谈、检查、测试、分析等方法，现场根据测评指导书对信息系统进行现场测评并进行结果证据收集确认。

输出结果：现场测评结果记录表。

4.报告编制阶段

安全需求分析：依据测评结果汇总进行整体分析、风险分析、结果汇总、结论形成、结果判定、整改建议等。

输出结果：单项、单元测评结果汇总，测评报告；

三.安全服务要求：

（1）要求提供7×24小时安全应急服务，通过远程或现场方式提供快速、高效、专业的解决突发安全事故的安全服务。

（2）服务提供商应依照《**省网络安全等级保护测评机构管理办法（试行）》第十六条规定，为被测系统出具等级保护测评报告，并在出具报告时，加盖等级测评专用章。

（3）本次测评系统为重要信息系统，存储大量重要数据，在本项目实施过程中，投标人使用工具应该具备如下功能：

★1）项目实施过程中进行的渗透测试的部分工作可以由检测设备进行自动化渗透测试（提供以上描述的支持功能截图）；

★2）项目实施过程中使用的检测设备的渗透测试部分可以自定义攻击插件，实现自定义的攻击能力（提供以上描述的支持功能截图）；

★3）检测设备具有社会工程学测试攻击的功能（提供以上描述的支持功能截图）；

★4）检测设备可通过内置的方法反弹交互shell，执行基本命令、交互执行操作等功能（提供以上描述的支持功能截图）；

★5）产品支持自动进行深度安全测试评估（渗透测试），对渗透测试的信息收集、漏洞扫描、漏洞利用、权限提升、证据收集等步骤能均能实现自动化处理（提供以上描述的支持功能截图）；

★6）支持选择不同的渗透测试强度，避免影响重要业务系统的正常运行（提供以上描述的支持功能截图）；

★7）支持弱口令猜解，能够对AFP、MYSQL、SMB、SSH、WinRM、DB2、POP3、SNMP、Telnet、FTP、MSSQL、Postgresql、VNC等服务进行暴力破解（提供以上描述的支持功能截图）；

★8）漏洞利用成功后可对目标系统进行信息收集，收集系统配置文件、帐号密码、截屏、系统信息等。支持自动和手动两种方式（提供以上描述的支持功能截图）；

★9）可以导入漏洞扫描报告，并对报告中的漏洞进行自动渗透测试验证（提供以上描述的支持功能截图）；

★10)进行安全测试评估时没有任务、IP限制，一次可对多台主机进行测试（提供以上描述的支持功能截图）；

★以上1-10项功能投标企业中标后需提供样机演示，不符合技术指标要求，取消中标资格。

“★”代表实质性指标，不满足该指标项将导致投标被拒绝。

1

项

2

安全管理咨询服务

****医院完善安全管理体系建设，指导医院梳理组织架构、梳理安全管理体系制度，提供安全管理制度汇编（范本）；提供1次现场咨询指导服务、电话咨询服务。

1

项