昆明医科大学附属口腔医院三级等级保护服务建设方案及概算征集的公告

（略）三级等级保护服务建设方案及概算征集的公告发布时间：（略）
分享到：
（略）三级等级保护建设，现向社会征集建设方案及相应概算。
一、建设方案交回时间、地址：（略）
征集截止时间：2024年4月7日至2024年4月15日，每日8:30~11:30,13:30~17:30，逾期不再接受。
地点：（略）
如有实地踏勘或其它疑问，请在2024年4月7日至2024年4月14日，每日9:00~11:00,14:00~17:00至上述地点：（略）
二、项目服务目标
（略）络安全运营服务项目的建设目标，（略）络环境中能够安全、稳定、高效的运行。（略）（略）络安全防护体系，（略）络攻击和威胁，（略）的敏感信息和数据不受泄露和损坏。
根据《网络安全法》相关要求，本项目建设以达到等保三级测评为建设目标，（略）络环境基础上，（略）从技术和管理两方面完善，构建安全防护体系，使医院等保测评成绩结果不低于80分。
根据《数据安全法》、《个人信息保护法》相关要求，（略）建立完善的数据安全防护,如数据备份、恢复、容灾等保障体系及服务，确保数据具备三重或以上的容灾措施.
根据《密码法》相关要求，服务商提供的服务工具需满足国密要求，为医院下一步商用密码评估做好提前规划。
三、项目服务要求
（略）推进建设，需对目前在用软件、（略）访问、跨区域数据交换、（略）应用、内部数据流转、敏感信息脱敏、访问权限控制、远程维护管理、数据灾备、网络情况监控、潜在威胁发现等形成一套可持续性的、高可靠的信息安全服务体系，（略）及（略）特点实现个性化的信息安全管理服务模式。
四、项目服务依据及服务主要内容概述
（一）服务依据（包含但不限于）
GB/T（略）（略）络安全等级保护定级指南
GB/T（略）（略）络安全等级保护基本要求
GB/T（略）（略）安全运维管理指南
GB/T30285-（略）建设与运维管理规范
GB/T28827.3-2012信息技术服务运行维护第3部分：应急响应规范
GB（略）（略）安全保护等级划分准则
GB/T（略）（略）通用安全技术要求
GB/T（略）《（略）密码应用基本要求》
GM/T（略）《（略）密码应用测评要求》
《（略）信息化建设标准与规范（试行）》
（二）服务主要内容概述
1、依据国家相关政策要求，网络空间安全总体设计指引以“（略）、三重防护”为理念，从现有的被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。从安全技术体系、安全管理体系、安全运营体系三方面来实现信息安全建设。建立安全技术体系和安全管理体系，（略）络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、安全培训和日常运维保障等工作的服务。
2、（略）（略）络空间运行质量洞察运维管理体系方案，从IT基础设施运行态势管理，包括在资源层面构建业务为导向的可视化安全运维管理，多维度可视化视图管理，到核心业务运行态势可视化管理；以及处理安全事件有效的记录手段，形成体系，逐步建立起精细化、主动式、可视化、流程化、标准化、一体化、智能化的IT运维管理体系，（略）业务运行背景优化现有运维体系，（略）实际情况的运维管理流程及运维体系，提高运维效率。掌握IT设施的运行趋势，安全趋势、资源运行态势、业务运行态势、提高IT资源、业务应用、数据存储的安全性；（略）整体健康状况和运行趋势，从而有效保障业务应用的连续运行的服务。
3、依据《（略）信息化建设标准与规范（试行）》规范要求，（略）的安全性、业务连续性保障体系方案。通过技术与管理手段的结合，（略）管理体系，（略）的应用流程、提升综合管理水平、降低业务安全风险、减轻运维压力，（略）的各项指标。同时，（略）在相关各项政策、标准、要求中相关的标准实现与达成，包括但不限于、网络安全等级保护制度、灾难恢复规范等。
4、（略）（略）络空间全域安全持续监测、发现、预警、防护运维服务，及时提出有效（略）络安全威胁；（略）全局视角、（略）健康稳定运行；对业务变更、技术革新、新系统测试、上线、生命周期等全局集成性工作提供及时专业支持的服务。
5、按事件、巡检结果、（略）和IT系统的安全性造成威胁的各种风险因素并提出相应的对策和改进方案。风险分析的工作将不仅仅只是提出补救措施，还将定义出对于风险的预防措施的服务。
6、（略）（略）络空间全域事件及机器数据，构建多域机器数据及事件全生命周期管理；提升全域数据应用能力，（略）运营的服务。
五、服务需满足的质量、安全、技术规格、物理特性等要求
（一）（略）完成信息安全管理制度、知识库、灾备演练及培训体系建设服务
1、需建设符合国家法律法规的一系列安全制度，同时制度的执行具有可操作性，（略）现阶段的现实情况，并提供必要的执行手段。
2、在制度中明确各部门、各岗位职责，并具有惩罚机制。
3、对信息安全提供覆盖全院的、类型多样的、定期的培训方式：（略）
4、提供必要的信息安全反馈渠道，（略），对涉及到的人员进行及时提醒。
5、建立信息安全知识库，按照安全漏洞危害等级、修补方式：（略）
6、定期开展灾备演练，并提供相应报告。提供安全事故库，（略）实际情况，对演练环境做到拟真、不走过场，事后报告有详细记录，并有分析总结。
（二）数据安全及保障
1、按照数据管理要求辅助完成组织架构、工作责任制度建设，并建立具备可操作性的规程及技术规范。
2、建立数据审计、备份、恢复、容灾等保障体系及提供相应服务，确保数据具备三重或以上的容灾措施，且具备授权体系下的恢复、查询、比对功能，相关手段包含但不限于冷、热，增量、全备、实时等自动化方法，并确保过程的可追溯性，同时具备通讯加密、数据校验，确保数据一致性并对数据对象格式、存储方式：（略）
3、提供数据审计服务，对数据的同源性、一致性、流转可进行追溯，其中对于统方、统计耗材等要有高可靠的审计效能，同时能够阻拦非法数据查询、修改、删除、增加。
4、对特定数据进行自动化的脱敏处理，并具备脱敏的可逆或不可逆方法，且符合国家相关法律法规要求。
5、（略）络架构、存储方式：（略）
（三）安全通（略）域管理
1、（略）质量的实时监控，（略）出现问题时，（略）络正常运行，同时需优先保障重要业务的正常开展。
2、补强现有数据通讯中的弱项，利用信息化、智能化方法进行加密、混淆，以保障通信过程保密、内容不可逆向明文化、性能损失最小化。
3、建设安全通信的冗余通道，并提供可伸缩的（略）域边界。
4、在（略）域边界，提供并部署实时的策略，并提供详细说明及来源，（略）径，并可进行追溯及效果评估。
5、（略）域边界需对（略）域的行为、内容进行审计、阻拦，并进行记录，（略）径冗余。
6、发生超出阈值或低于阈值情况时，（略）径通知管理人员，（略）域内外的安全措施形成联动效应，第一时间阻止（略）域的入侵或逃离。
7、以上服务除依托外部数据为基础外，同时需要针对内部进出数据、日志、操作痕迹等（略）域策略。
（四）安全计算环境
1、提供有效认证服务，并能与其他服务形成联动，形成细粒度的行为管控策略。
2、（略）遇到的攻击需能提供实时检测与防护，并能及时阻断机器人攻击行为，同时应充分考虑策略下发的便利性。
3、利用传感器、数据分析、并依托大数据分析以及人工指令对整体计算环境进行监测，当数值（略）管理员。
4、对计算环境故障发生具有前瞻性，并结合数据容灾体系做到提前预知、事发阻止、数据不丢、时候可追溯。
5、辅助建设多节点计算环境，确保冗余性，同时单节点确保全负载的可持续性。
6、对计算环境中的安全策略进行集中设置及处理，并对接入计算环境的身份进行验证，并能快速定位。
（五）安全管理
1、（略），对总院及门诊形成有效的安全管理体系，包括但不限于以下内容：
（1）具备远程操控能力。
（2）具备信息资产（实体及非实体）的自动收集、分类、修改、维修、工单一体化管理能力，手段丰富不限于APP、小程序等形式。
（3）对整个体系内的终端可按照前述结果及人工干预快速进行定位、隔离，防止故障蔓延。
（4）管理体系内的终端行为可按照预设策略进行管控，并对性能情况进行及时反馈。
2、针对终端日志、系统登录、软件操作等行为具备分析、预警及干预机制，（略）络隔离。
3、（略）络虚拟空间中终端设备的物理位置，同时防止硬件识别码篡改带来的伪造问题，（略）进行自动化警告、隔离降低或消除影响。
4、提供对IT资产分组、分域的统一管理维护，并提供专项安全场景分析，对脆弱性、弱口令和其他安全风险进行综合分析，必要时联动其他技术组件完成一键封堵。
（六）运维安全
1、具备统一入口以及强身份认证（包含但不限于动态密码、物理地址：（略）
2、在运维过程中从操作动作、输入语句及语句执行层面进行主动式监管，并在发生超出阈值行为时及时阻断，同时对运维过程全程保留视频等资料。
3、（略）自身安全保障体系。
（七）安全服务
1、安全咨询。（略）络安全咨询专业服务，指导信息安全建设与运维工作，解答各类安全问题，对医院安全策略、安全流程提供改进建议，（略）络安全统一策略管理机制，并制定完善解决方案。（略）新建信息化项目从业务需求分析、系统设计、部署实施、测试运行、竣工验收等环节，（略）络安全技术咨询支持。
2、安全巡检。（略）络安全状况，分析面临的安全威胁和风险，评估安全防护水平，查找突出问题和薄弱环节，提供有针对性的防范对策和改进措施。巡检时间安排根据实际情况进行，（略）络设备的安全策略全面巡检一次。（略）进行安全渗透检测，（略）站是否存在SQL注入、跨站脚本、木马上传等漏洞，分析掌握Web网站中存在的薄弱环节。
3、安全策略梳理。（略）的安全策略，及时调整发生变更或废止的信息资产安全策略，建立策略池和配置档案，提高安全运维质量和水平。
4、整改加固。（略）安全评估报告及等保测评问题，制定安全加固方案。（略）络设备，（略）、（略）。并在出现不符合规定要求的事项后，根据需要采取纠正措施与预防性措施。
5、网络安全应急响应。主要工作包括：事先充分准备，包括安全培训、制订安全政策和应急预案以及风险分析等。事件发生后采取的抑制、根除和恢复等措施，尽可能的减少损失或尽快恢复正常运行。并协助管理人员形成正反馈机制，（略）络安全防范体系。
六、项目服务地点：（略）
（略）
七、项目服务标准、期限、效率等要求
服务期间至少需要1名网络安全持证专业技术人员驻场，原则上不得更换。（略）批准，轮换同等及以上技术水平人员。驻场提供5×8小时驻场运维保障服务，重要时7×24小时值守。
八、其它技术要求
1.安全服务中如有硬件、云资源等资产由服务提供商一并提供，产权属于服务提供商。
2.（略）通过信息安全等级保护2.0中的三级等级保护；（略）（HRP）通过二级等级保护；（略）置于保护体系内，获得不低于二级等级保护的条件。
附件：（略）现弱电环境明细
（1）服务器及计算环境
（略）服务器列表
服务器类型
数量
（略）
在用端口
物理服务器
7台
2288HV6
2光纤+2电口
2台
OceanStorDorado5300V6
5台
5885HV5
1光纤+2电口
1台
HPProLiantDL580Gen9
1电口
1台
DellPowerEdgeR730xd
1电口
1台
DellPowerEdgeR730
1电口
虚拟服务器
18台
（略）
4台
EMR
2台
HRP
4台
其它B/S架构软件服务器
（2）现有数据库情况
Mysql(（略）);Oracle(11g);MSSQL(（略）)
（3）网络设备情况
（略）
数量
位置
QuidwayS6700
1
核心交换
RuijieRG-S7805C
1
核心维修交换
S5720-52X-LI-AC
15
（略）层及五所附属门诊