一 .系统功能要求

（1）项目背景：

本次立项的****集团总医院等保测评及安全培训，目的健全信息安全保障体系，提高信息人员安全专业水平。

项目完成期限：等保测评在合同签定后不超过30天（含软件安装、调试、试运行、验收等）；网络安全培训服务不超过90天（根据实际培训情况，周期另行商定）。

（2）项目总体要求与技术参数

1.总则

本****集团总医院（项目业主，以下简称 招标方 ）等保测评需求的技术规范书。本规范书将作为招标的基础，供系统集成商（以下简称为投标方）编写项目建议书及最终商务合同附件使用。

投标方所提供的等保测评方案中所包含的软硬件服务应符合招标方相应的业务需求和技术标准。

投标方应按照本文件的要求提供详细的技术建议。投标方提供的各项软硬件的功能、性能应完全符合招标方指明的标准，并满足或高于招标方指出的要求。对于本文件未规定的有关软硬件的性能，投标方应提出建议，并陈述其理由。

招标方在任何时候保留和拥有对本文件的解释权。

2.技术建议书要求

1.技术建议书格式要求

投标方所提供的建议书应提出本项目的详细建设方案，建议书须包含但不限于以下内容：

投标方须对本技术规范书进行点对点应答，必须在引用本技术规范书的基础上,进行逐条逐项答复、说明和解释，即：首先针对本期投标方所提供的设备对实现或满足程度明确作出 满足 、 不满足 、 部分满足 的应答，对于要求进行描述或说明的必须按照要求进行详细的描述或说明。具体说明如下：

（1）对于答复为 满足 的条款，表示完全满足该项条款，该项功能已经包括在投标方为本期工程所提供的设备中，且该功能的相关费用已经含在本期报价中。对功能条款应答满足时，要求厂家应对该功能进行详细描述，否则若发生歧义，招标方保留最终的解释权。

（2）对于答复为 不满足 条款，表示目前不满足该项条款。

（3）对于 部分满足 的条款，投标方须在应答中明确指出满足和不满足部分，并分别加以详细说明。对不满足部分投标方说明要求与答复 不满足 的条款相同。

（4）涉及到具体的性能指标条款，投标方在答复的同时，须列出该指标条款对应的模型及计算方法，并针对规范书中的模型说明具体的性能指标。

（5）对于包含有多项内容的条款，如果投标方对其中部分内容存在有不满足的情况，投标方应在应答中予以明确指出并做以详细说明。对于在应答中没有明确说明满足或部分满足等内容，均视为不满足。

（6）对于一些需要进行描述或说明的条款，可以采用附件方式答复，并在点对点应答中用 详见 、 参见 的方式指明附件名称中的具体章节、页码及条款。

3.项目目标

网络安全工作不仅是信息化工作的重要组成部分，更是涉及国家经济、政治安全和社会稳定的重要因素，同时也是医疗行业落实主管单位对网络安全及等级保护的要求。

本次信息安全等级测评项目的开展旨在通过本年度的重要信息系统等级测评工作的开展，切实查找当前信息系统安全防护水平与国家网络安全等级保护标准、行业要求之间的存在的差距，提出安全整改方案；以测促改，通过本次测评工作的开展进一步强化相关人员的网络安全工作意识，为以后信息系统长期的稳定运行与网络安全保障打下坚实基础。

在开标现场，投标方需针对本项目准备15分钟的PPT汇报讲解，****公司简介、本次项目人员资质能力和售后服务方案等。

4.技术要求

1.等保测评要求

1、开展信息系统安全等级保护安全管理制度测评。根据《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，对本项目信息安全管理制度进行测评，在信息安全责任制建设、人员安全管理、系统建设管理、系统运维管理等方面提供相应的指导以符合信息安全等级保护制度层面的相关要求。

2、开展信息系统安全等级保护安全技术措施测评。根据《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计要求》等标准规范要求，结合行业特点和本单位自身安全需求，对物理安全、网络安全、主机安全、应用安全和数据安全及备份进行测评。所有获取测评证据的过程尽可能不影响信息系统的正常运行，对于可能产生的负面影响（如有）投标单位需要在投标文件中做具体描述。

3、协助开展信息系统安全等级保护整改。现场测评结束后进行差距汇总，根据实际情况制定合理的分步实施方案；协助完成各定级信息系统测评后的安全整改工作，保证信息系统具备与相应等级相匹配的信息安全保护能力。

4、本次信息系统等级测评服务项目的实施流程、技术方法必须严格执行国家相关标准规范。

5、投标单位制定合理的时间计划安排。（项目期限：30个工作日）

2.实施要求

1、客观性和公正性原则：测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案开展。

2、保密原则：在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。

3、最小影响原则：测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。

4、规范性原则：信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。

5、质量保障原则：在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照招标文件要求及相关标准执行。

6、系统安全原则：项目工作人员需遵守等保检测规定，采用符合标准的检测工具和检测方法实施检测，如因违规操作造成对检测系统的破坏，则应承担相应责任。

7、测评师规范原则：检测实施方******部的等级保护等级测评师认证，持证上岗，经项目委托方确认资格后方可实施检测。

8、本次项目的最终交付物为《XX（信息系统名称）信息安全等级测评报告》及整改建议（每个系统一份）。

9、投标人应保证所提供产品涉及到的知识产权和所提供的软件、技术资料是合法取得，并享有完整的知识产权，不会因为采购人的使用而被责令停止使用、追偿或要求赔偿损失，如出现此情况，一切经济和法律责任均由投标人承担。

10、投标人应列出详细项目实施方案，包括人员姓名、工作经验、学历和在本项目中的职责分工以及项目管理方法，项目实施管理策略、项目进度控制、项目应急措施等。

11、交付期限：测评服务在签订合同后30个工作日内完成。

12、交付地点：采购方指定地点。

3.培训要求

中标方需对招标方相关信息人员提供完整的网络安全系统化培训。培训要求如下：

1、中标方应为采购人提供完整系统化的网络安全培训，包括所涉及的理论知识培训、实战演练培训、解惑答疑等。

2、中标方制定一套阶段式培训计划，可参考但不局限于以下内容：

2.1相关基础

培训内容不限于网络安全导论、系统基础、基础运维、WEB基础、PHP入门、MYSQL等。

2.2信息收集

CDN、CMS、架构、搭建、WAF

2.3 WEB漏洞

虚拟化技术、SQL注入的渗透与防御、XSS相关渗透与防御、上传验证渗透与防御

2.4 漏洞发现

操作系统之漏洞探针类型利用、漏洞扫描工具、漏洞类型区分讲解权限提升远程执行、漏洞利用框架Metasploit,Searchsploit、WEB应用之漏洞探针类型利用、API接口服务之漏洞探针类型利用。

2.5 WAF绕过

反爬虫延时代理池、Safedog、Aliyun_os、BT默认拦截机制分析绕过、代理池指纹被动探针、绕过代理池Proxy_pool项止搭建。

2.6 权限提升

基于WEB环境下的权限提升、系统溢出漏洞、数据库应用提权在权限提升中的意义、WEB或本地环境如何探针数据库应用、数据库提权权限用户密码收集等方法、目前数据库提权对应的技术及方法等。

2.7 内网安全

信息收集、探针主机域控架构服务、横向移动渗透明文传递、横向渗透明文HASH传递、域横向移动服务利用、域横向HASH利用、域横向CobaltStrike.

2.8 应急响应

常见的WEB安全攻击技术、相关日志启用及存储、日志中记录数据分类及分析、操作系统应急响应、攻击响应暴力破解、控制响应-后门木马、危害响应病毒感染、自动化响应检测Gscan多重功能脚本测试、应用分析数据库爆破注入等操作、自动化应急响应取证工具箱。

2.9安全开发

Python入门、Python批量Fofa、PythonPOC验证。

2.10红蓝对抗

AWD模式赛制、部署WAF、代码审计、文件监控、扫描后门、流量临控、权限维持。

3、培训教师需具有国家安全专业证书，有多年的网络安全领域工作经验和丰富的专业理论知识，能够编写相应教材，按需要搭建好教学平台和环境（如Kali系统、靶场、对抗平台）

4、培训时间应尽量避开受训人员工作时间，每次培训尽量选择周六或周日半天时间，采取线上线下相结合形式进行，按计划分步完成，培训课程总时长不少于100小时。

5、培训计划过程中应有对应的练习题目和考核制度，以确保受训人员结业后能够达到相应的专业水平。

6、中标方应与招标方共同协商整个培训计划的实施方案、周期、人员、时间等一切相关事宜，如培训过程中遇到问题应及时沟通解决。

7、****总院及分院信息科相关人员。

8、网络安全培训需分为理论和实验部分。实验部分需要中标方提供相应的实验环境和供实验靶场。

9、网络安全培训需中标方提供课后科学有效的自学和实验平台，供招标方受训人员课后自学复习和练习。

10、网络安全培训计划将分阶段逐步完成，在每个培训分阶段完结后，将对受训人员进行阶段性考核验收，便于招标方根据考核成绩进行相应的奖励激励措施。

4.宣传要求

中标方应按招标方需求提供完整的网络安全宣传服务。服务要求如下：关于网络安全宣传的纸质印刷物及电子材料等的提供。

5.项目实施与验收

投标方应列出参与项目建设的项目经理及其他人员名单、简历以及详细同类项目实施经历。项目实施过程中项目组关键成员、项目经理未经招标方同意不能变更。请列出详细的工程实施计划，列出工程实施各阶段的参与人员以及项目职责。请列出负责技术支持服务工作人员名单。投标方项目所有参与人员资质需经过招标方认可。

投标方不得将项目转包给第三方。

投标方须保证合同签订后30天内完成等保测评项目实施。180天内完成网络安全培训服务。

6.技术支持与售后服务

投标方向招标方提供维护期内的免费技术支持服务。技术服务内容包括等保测评技术咨询、日常故障处理等。

6.1中标单位需提供至少一年的迎检服务，至少二年的安全技术支持服务，服务期内每年协助招标方对被测评系统进行漏洞扫描、渗透服务；

6.2 测评工作结束后，中标单位需提供至少一年的应急保障服务，包括：

6.3 当招标方被测评系统出现突发情况，30分钟内进行远程协助或1小时内现场技术支持，直至问题最终解决；

6.4 设立维修热线电话，7 24小时安排熟悉系统情况、胜任维修工作的技术人员值班，并提供E-mail技术支持服务。

7.交付的技术文件

投标方提供的书面技术资料应能满足确保等保测评后正常运行所需的管理、运行及维护有关的全套文件。

投标方提供的技术文件至少应包括：

项目实施计划书

系统集成文档

项目其他文档

文档和资料应同时提供电子文档和纸质文档，电子文件格式为Word文档或PDF文档或其他可视化文件。

8.保密要求

投标方提供的各种软件，均要求具有正式合法合规的软件许可。

未经招标方书面许可，投标方不得以任何形式向第三方透露本项目成果和技术细节。

若出现投标方向非相关厂商提供信息等泄密情况，一经确认，招标方将解除其参与本项目的资格，追究相关法律责任。

9.其他要求

投标方可根据招标方提供的技术规范资料基础上，提出更为合理、优化型建设方案。

项目整体服务期为二年。合同执行有效期满一年后，根据中标商的服务质量以及服务评价，招标方有权选择是否终止合同。

服务期满（或合同终止），招标方如须答疑解惑，投标方须全力配合且不能再追加费用。