《XX省健康大脑—网络安全防护项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX省健康大脑—网络安全防护项目采购需求.docx(11页珍藏版)》请在课桌文档上搜索。
1、XX省健康大脑一网络安全防护项目采购需求一、项目目标深入推进“健康大脑”体系建设,完善医疗健康网络安全防护体系,建设健康大脑云网中心网络安全协调指挥模块等,实现贯穿省、市、县三级卫生业务网的全面动态管控,包括网络威胁态势感知集中展示、网站安全监管、网络安全风险隐患全流程闭环管理等功能,为数字经济创新提质“一号发展工程”保驾护航。二、建设原则高可靠性:具有很高的容错能力,具有抵御外界环境影响和人为操作失误的能力,保证单点故障不影响整个网络的正常运行。兼容性:支持IPv4和IPv6访问,确保平滑过渡;易于增加新设备和新用户,易于和各种公用网络连接;随系统应用的逐步成熟不断延伸和扩充,充分保护现有投
2、资。开放性和标准化:符合开放性规范,方便接入不同厂商的设备和网络产品。各种协议和接口符合国际标准(IEEE、IETF等)。实用性:具有良好的性能价格比,经济实用,设计方案和设备选型应符合骨干网络信息量大、信息流集中的特点。安全性:具有保证系统安全,防止系统被人为破坏的能力。易管理:只需浏览器即可连接到系统进行各种操作,对整个网络实施高效的管理。项目建设要贯彻“创新、协调、绿色、开放、共享”发展理念,坚持“方便实用、互联互通、全面智能”建设原则。三、采购内容序号建设内容数量1云网中心驾驶舱1项2资源总览模块1项3态势感知模块1项4智慧运维模块1项5通知通报模块1项四、总体要求4.1详细技术要求1
3、、云网中心驾驶舱构建网络安全驾驶舱,汇集多方威胁情报信息,展示网络和数据安全隐患、事件、态势等信息,展示闭环处置流程的关键节点信息,多维度展现网络安全态势。实现资源总览、态势感知、智慧运维、通知通报四个模块综合集成展示。D支持展示告警处理情况,包括告警总数、告警处理情况、省市县级医院数量、基层机构数量等;2)支持展示各地市、省级单位网络安全通报数量和处理情况;3)支持实时滚动展示安全通报处置、运维变更记录、故障实时监测、设备入网监测、安全值守记录情况;2、资源总览模块1)支持展示软硬件资产的总体情况,包括云资产信息、中心机房信息、操作系统分布情况、业务系统分布情况;2)支持对接第三方资产系统或
4、人工录入的方式,管理软件资产、硬件资产、云资产和线路资产。应具备对这些资产的名称、类型、责任单位、责任人等信息进行管理的能力;设备类型包括计算机设备、网络设备、安全设备、安防设备、办公设备、专用设备、其他设备;业务系统包括数据库、中间件、开发框架、插件等;云资产的管理包括计算服务、数据库服务、存储服务、网络服务、基础服务、大数据服务、中间件服务等;线路资产管理类型包括线路、边界防护设备、审计设备、终端防护设备、主动防御设备。应具备对这些线路和设备进行相互关联管理能力。3)支持新增、修改、查询、删除等功能操作;展示字段包括单位部门、类型、责任人、IP、MAC04)支持针对系统等级保护信息进行管理
5、。支持系统备案上报、修改、删除功能。系统等保备案支持填报单位信息、系统信息、等保材料等,内容包括但不限于单位名称、单位社会信用代码、负责人姓名、负责人移动电话、负责人电子邮件、业务系统名称、URL地址、等保级别、等保测评机构、等保测评时间、等保测评得分、等保备案时间、等保备案编号、等保备案机关、密码测评级别、密码测评时间、密码测评编号等。支持上传附件,包括专家评审报告、定级报告、测评报告、整改计划等;5)网站资产管理提供可用性监测、DNS解析监测、网页篡改监测、网页挂马监测、敏感关键字监测、暗链监测等检查能力等共计6项内容。3、态势感知模块1)态势感知模块支持展示卫生业务网安全态势和互联网安全
6、态势,包括高危端口、高危漏洞、弱口令、隐患事件等情况;2)支持第三方数据源的接入,包括第三方态势感知数据和卫健委违规外联数据;3)支持展示资产汇总、终端威胁、风险隐患、网络攻击的累计数据与今日新增数据;4)支持展示来自于卫生业务网和互联网的网络攻击实时飞线图实时攻击模块支持展示卫生业务网、互联网的实时攻击数据,包括攻击时间、风险等级、攻击源、攻击目的地和目的ip等信息;5)支持展示对于卫生业务网、互联网攻击数据的统计分析结果,包括攻击风险等级分布、攻击类型分布、被攻击情况top排行、攻击趋势等。4、智慧运维模块1)支持展示机房监控,包括中心机房的摄像头实时画面、机房门禁卡实时访问记录、掌握人员
7、进出信息;2)支持展示基础运维记录,包括堡垒机运维账户总数信息、运维人员实时登录信息、公网端口数等;3)支持展示政务云资源使用情况、运维登录信息、中心机房使用等情况。5、通知通报模块1)支持对接省委网信办等部门网络安全通报,包括事件通报和隐患提醒处理情况。2)支持展示全省通报处理情况、通报来源分布和地市、单位的被通报排名。3)支持展示当前登录账号安全通报、工作通知、我的任务、每日零报告的待办、己办、办结事项,并支持直接在当前页面对待办事项快捷处理;4)支持滚动展示最新的资讯信息,并支持附件查看和己读确认功能;支持对接X政钉工作通知模块,支持站内信推送用户待办通知;支持待办通知短信提醒、超时自动
8、短信提醒功能;5)支持安全工作相关流程的管理,可对多个单位、人员发起日常工作流程,可针对事件处理和隐患处理分类管理,包括但不限于管理待办流程、己办流程、办结流程等功能。安全工作流程处理的安全人员应包括安全值班员、单位安全管理员、安全分管领导等。6)支持对安全风险发起流程处理,流程包括代办、己办、发起、办结,支持流程按节点人员依次处理;支持填报处置描述、上传附件;支持通过、退回等处置操作;7)支持自动周期发布、设置截止时间、常用分组、超时单位自动报平安、excel导出等功能;8)支持接入第三方漏洞数据或手动新增通报的方式,完成对通知通报业务流程的发布、审核管理,包括外部通报、漏洞通报、隐患提醒和
9、事件通报;9)需支持考核周期统计和展示;支持按照区域或单位单独立打分考核;支持考核结果详情查询;10)要求能实现同已有态势感知设备、安全运营管理平台数据、流程无缝对接和管理联动,并提供相关承诺,若中标后无法兑现承诺,招标方有权做无效标处理。4.2标准规范要求基于国家、省电子政务相关标准规范、行业相关标准规范,遵循省经济社会发展标准体系,结合建设要求,设计项目相应的标准规范。1、组织人员对建设中所涉及的国家标准、行业标准及地方标准现状进行调研和梳理,为本项目标准规范建设提供理论和技术基础。2、在现有国家电子政务标准规范体系基础上,进行优化、完善,形成适合的标准规范体系框架。3、从建设需求出发,按
10、照急用先行的原则,制定关键标准规范,为互联互通、信息共享、业务协同、信息安全打好基础。4、建立标准规范贯彻实施机制,为标准的落地实施提供服务。4.3信息安全要求系统的安全性是项目稳定运行实施的基础,既要保证信息共享利用,又满足安全管理的需要。本项目建设需符合国家信息安全等级保护管理办法、XX省大数据局关于电子政务外网安全评估指标体系考核要求及其他相关文件要求,开展全方位的安全体系建设,满足网络安全、管理安全、系统安全和数据安全等各方面要求。1、服务保密要求中标方须在签订合同后与业主单位签订保密协议。2、安全性、功能性能测试要求系统须避免各种信息安全漏洞,对应用系统和数据开展全生命周期安全防护,
11、有完善的安全解决方案。3、系统等保要求在项目建成后,系统需按照等级保护要求开展等级保护测评,系统必须整改等保过程中发现的软件问题。在运维期内,每年至少进行一次等级问题整改。4、密评要求制订商用密码应用方案,运用国产密码技术保障信息系统网络和数据安全,按照要求开展商用密码安全性评估,必须整改密评中发现的安全问题。5、代码安全要求需遵循代码安全开发规范和实施代码安全检测。6、软件应急方案中标方必须提供系统应急方案,应急方案需考虑各种故障类型,分别给出解决方案。每年组织开展1次应急演练(至少包括稳定性和安全性两个方面),并做好记录。7、信息安全承诺保障中标方承诺严格把控运维人员安全风险及系统安全风险
12、,提供核心运维人员背景审查材料,每月对系统进行安全监测和巡检,出具安全巡检报告。及时修复系统存在的各类安全漏洞。在政府重要活动、会议召开期间对系统进行7*24小时严密监控,一旦发现问题,要求在第一时间内关停或恢复正常服务,并尽可能的消除影响。中标方承担因系统本身漏洞所引发的信息安全事件而带来的相关法律责任。4.4 技术要求符合政务云架构,采用主流的多层分布式架构进行设计开发,以B/S架构方式进行实现。要求通过加密和安全通道等方式确保敏感信息的在交互和存储过程中的安全性。在存储上,针对所有敏感信息采用加密方式确保内容存储的安全;在用户使用方面,采用单点退出功能确保用户的安全性。4.5 信创相关要
13、求本项目应根据建设单位需求,按照信创相关标准规范,实现建设单位建设需求、使用目标。按需求方指定的环境部署和应用,系统建成后对信创环境下的客户端必须具有良好的兼容性和适应性。五、实施要求5.1 项目组织管理要求I、投标方应充分考虑满足投标项目的建设要求,提出完整的项目管理、功能设计与开发、项目施工、项目验收、售后服务方案以及投标方人力资源供给方案。2、本项目要求开发团队至少6人,其中研发和测试的人员至少3人。部署实施人员至少3人,主要与外部系统进行对接、联调、部署工作。3、投标方在投标文件中,应根据对项目的理解做出项目的人员配置管理计划,包括组织结构、项目负责人、组成人员及分工职责;阐述项目建设
14、中业主方和建设方的职责。5.2 计划与进度管理要求1、本期项目的建设周期为合同签订后3个月内完成功能开发,其中试运行期不少于1个月。2、投标方在投标文件中应根据对项目的理解做出项目实施的初步计划,成为中标方后必须提交正式工作方案,明确招标项目工作的方式、方法、过程步骤、按阶段分解的详细计划、对应计划应提交的工作成果、需要招标人协调与配合的事项,并经招标人审核、批准。3、中标方在项目实施过程中必须分别按周、月提交进度报告,对项目问题及进度延迟原因进行说明,制定合理的解决措施并有效执行。4、投标方必须在投标文件中阐述项目沟通计划,确保投标方与业主之间信息沟通顺畅。5.3 质量管理要求1、投标方应按
15、IS09001质量管理体系规范要求,针对招标项目实施过程及交付结果进行质量规划、管理、控制。2、投标方一旦中标必须提交正式的质量计划,明确质量控制点、控制内容、质量要求、检查记录要求,并经招标人审核、批准。3、中标方在项目实施过程中应开展质量保证活动,所提交的进度报告应包括质量报告内容,对质量问题制定改进措施并有效执行。4、中标方必须接受招标人的质量监督检查,提供真实有效的相关质量活动记录、证据,无条件接受招标方提出的质量问题整改要求,承担质量责任及因质量问题导致的进度延迟责任。5、投标方必须提供详细测试方案,包括采用测试技术、测试方法和测试报告提交形式。在工程实施过程中,中标方应先拟出一个测
16、试方案,具体到每一个测试步骤,与用户讨论通过后,方可按计划进行测试。5.4 试运行与验收实施并调试完成,经过用户的认可后,投入不少于1个月试运行,在试运行期间,投标人应使任何故障或问题都能在收到故障通知后尽快(节、假日也不例外)被修复和解决,并给出详细修复细节报告,所有试运行期间软件的修改和变化都应在试运行结束后提供书面和电子文档。试运行稳定后可进行验收。验收合格的条件必须至少满足:1、项目开发任务已经完成,测试合格并上线试运行;2、项目经过试运行,试运行时出现的问题已被解决,并得到用户认可;3、项目提交了完整的文档资料,并通过了采购人组织的审核。5.5 文档交付要求项目交付物包含并不限于:需
17、求分析报告、设计书、投标书、合同、应急方案、应急演练记录、网络系统的拓扑结构以及相关设备的配置、体系架构及描述、数据库安装手册、程序安装维护手册、软件使用操作手册、测试报告等材料。5.6 售后服务要求投标人应配备专门的技术服务部门负责对用户的全方位的技术支持和服务,通过电话服务、远程服务和现场服务向采购方提供快速、高效的维护服务,及时准确解决出现的各种故障,进行完善性升级,保障系统长期安全、可靠、高效运行。5.6.1 售后服务时效性要求在维护期内乙方应响应7x24小时电话或电子邮件服务,1小时内做出明确响应和安排,2小时内做出故隙诊断报告,如需现场服务的,具有解决故障能力的工程师应在2小时内到
18、达现场。售后服务方式要求1.电话支持电话支持主要是在使用产品时遇到疑难或者软件出现不正常状态,通过电话、传真、电子邮件寻求技术支持和帮助,在确认用户的服务请求后,将安排技术服务专员在规定的响应时间通过电话帮助用户进行故障定位,并提出解决方案,最终指导或帮助用户排除软件故障。2 .远程维护远程维护是指用户在使用软件时遇到疑难或软件不正常的情况下,由平台开发方提供远程技术支持服务,以快速直接地面对软件运行中出现的故障问题,并对其进行诊断,给出解决方案,最终帮助用户排除软件运行出现的故障。1)原则上技术支持人员远程登录进行故障诊断时,只可以查看数据,寻找故障原因,需要对数据进行修改时,需经得用户的同
19、意。2)对于远程维护中由于排除故障的需要暂时中断软件系统,技术支持人员应事先向客户提出申请。3)由于技术支持人员在诊断中需要用户提供必要的配合和协调以及最后的需求反馈的确认工作,用户拨号接入远程维护专线后,用户必须在客户终端现场。4)由用户对技术支持服务提供的解决方案的有效性进行评估。3 .资料共享资料共享是指用户可以通过电话、传真、电子邮件、FTP、OSS服务网络,或者通过纸面文档、电子邮件、磁盘、光盘等材料,并及时掌握最新的维护经验和技巧,了解自己所维护软件的一些预防性措施、获得最新的软件产品知识等。1)提供与日常维护相关的资料,用户可以在开放的权限内,获取有关软件运行、产品知识、维护经验
20、与技术等方面的资料。2)定期向客户发放技术资料,满足用户日常维护的需要。5.6.2 维护期承诺1、项目验收合格后中标方承诺提供一年免费运行维护,维护服务内容按照售后服务要求。2、中标方收取的每年维保费用不高于本次所签订合同总价的10%o六、演示要求演示内容要求如下:1 .支持展示网络安全相关的总体概要情况,包括核心指标、大屏地图、实时监测模块、资源总览模块、智慧运维模块、态势感知模块、通知通报模块。2 .核心指标模块支持展示告警指标、下级单位统计等统计数据。3 .地图模块支持点击各个地区查看各地通报闭环处置情况。4 .实时监测模块滚动展示通报处置、运维变更记录、故障实时监测、设备入网监测、安全
21、值守记录的实时数据。5 .资源总览模块展示中心机房设备、云资产、业务系统、操作系统等软硬件资产统计数据。6 .智慧运维模块支持展示基础运维情况、中心机房资源使用率、政务云资源使用率等信息。7 .态势感知模块展示专网、公网三高一弱、网络攻击的统计数据。8 .通知通报模块展示全省通报闭环处置情况、通报排名情况等信息。9 .网络安全态势感知支持展示网络攻击相关的总体概要情况,包括资产汇总模块、终端威胁模块、风险隐患模块、网络攻击模块。10 .终端威胁模块展示流量异常、会话异常、敏感信息存储、系统异常访问等威胁发现情况。11 .风险隐患模块展示各地三高一弱发现与闭环处置情况。12 .网络攻击模块展示卫
22、生业务网、互联网的受攻击情况及攻击数据的统计与分析。七、知识产权要求1、中标方应保证所提供的系统或其任何一部分均不会侵犯任何第三方的知识产权。2、本项目所有成果知识产权归采购方所有,采购方有权在其他项目上运用该项目成果。未经采购方书面同意,成果不得擅自扩散或提供给第三方使用。3、中标方应保证采购方在软件使用过程中,免受第三方提出的侵权起诉。如发生此类纠纷,由中标方承担一切责任并负责解决。八、关于实施费用有关本项目实施、等保测评、代码审计、信创改造等所涉及的费用均由中标方承担。九、付款条件1、合同签订后,乙方需向甲方提交合同总金额的1%作为项目履约保证金。验收合格后,履约保证金无息退还。2、签订合同后,甲方在收到乙方发票并确认无误,甲方向乙方支付合同总额的60%,完成功能开发部署上线后,甲方向乙方支付合同总额的35%;验收合格后,甲方向乙方支付合同总额的5%。