1

安全托管服务

12万元

基本要求

持续监测

★提供不少于一年的安全托管服务，提供服务资产数量不少于30个，为医院提供7*24H的安全值守，扩展持续有效的安全运营能力，保障可承诺的风险管控效果。

服务内容要求

资产识别与梳理

服务供应商需借助安全工具对招标方资产进行识别和梳理，并在后续服务过程中根据识别的资产变化情况触发资产变更等相关服务流程，确保资产信息的准确性和全面性

服务供应商需结合安全工具发现的资产信息，首次进行服务范围内资产的全面梳理（梳理的信息包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本，类型，IP地址；应用开放协议和端口；应用系统管理方式、资产的重要性以及网络拓扑），并将信息录入到安全运营平台中进行管理；当资产发生变更时，安全专家对变更信息进行确认与更新  

安全现状评估

系统与Web漏洞扫描：对操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描

弱口令扫描：实现信息化资产不同应用弱口令猜解检测，如：SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等

基线配置核查：检查支撑信息化业务的主机操作系统、数据库、中间件的基线配置情况，确保达到相应的安全防护要求。检查项包含但不限于帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制等配置情况

失陷主机分析：服务供应商需对失陷主机进行分析研判（如后门脚本类事件），并给出修复建议

潜伏威胁分析：服务供应商需分析内网主机的非法外联威胁行为，判断是否存在潜伏威胁，并给出解决建议。含：对外攻击、APT C&C通道、隐藏外联通道等外联威胁行为

脆弱性管理

脆弱性扫描与验证：服务供应商需提供不少于每月一次针对服务范围内的资产的系统脆弱性和Web漏洞进行全量扫描，并针对发现的脆弱性进行验证，验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害

▲优先级排序：服务供应商需提供客观的修复优先级指导，不能以脆弱性危害等级作为唯一的修复优先级排序依据。排序依据包含但不限于资产重要性、漏洞等级以及威胁情报（漏洞被利用的可能性）三个维度（提供脆弱性优先级排序截图，展示优先级排序情况，投标人还需提供演示环境供招标人随时检验）

▲脆弱性验证：提供脆弱性验证服务，针对发现的脆弱性问题进行验证，验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。针对已经验证的脆弱性，自动生成工单，安全专家跟进修复状态，各个处理进度透明，方便招标方清晰了解当前脆弱性的处置状态，将脆弱性处理工作可视化（提供服务工具脆弱性工单截图，需展示当前脆弱性的处置状态）

修复建议：针对存在的漏洞提供修复建议，能够提供精准、易懂、可落地的漏洞修复方案

▲服务催单：针对服务平台生成的工单，采购人可按需催单，用户可在服务平台上采用邮件等方式提醒安全专家加快协助处置，督促服务供应商第一时间处理（服务供应商应提供服务平台脆弱性工单处置提醒的功能截图）

▲脆弱性复测：需提供脆弱性复测措施，及时检验脆弱性真实修复情况。服务供应商要支持招标方可按需针对指定脆弱性问题，指定资产等小范围进行，降低脆弱性复测时的潜在影响范围（提供服务平台支持指定批量脆弱性复测与单个脆弱性问题复测的功能截图）

▲脆弱性状态总览：对发现的脆弱性建立状态总览机制，自动化持续跟踪脆弱性情况，清晰直观地展示脆弱性的修复情况，遗留情况以及脆弱性对比情况，使得招标方可做到脆弱性的可视、可管、可控（提供脆弱性管理功能平台截图，直观展示脆弱性管理情况）

最新漏洞预警与排查：服务供应商需实时抓取互联网最新漏洞与详细资产信息进行匹配，对最新漏洞进行预警与排查。预警信息中包含最新漏洞信息、影响资产范围。

最新漏洞处置指导：一旦确认漏洞影响范围后，安全专家提供专业的处置建议，处置建议包含两部分，补丁方案以及临时规避措施。

最新漏洞复测与状态跟踪：由服务供应商对该最新漏洞建立状态追踪机制；跟踪修复状态，遗留情况。

威胁管理

结合大数据分析、人工智能、云端专家提供安全事件发现服务：依托于安全防护组件、检测响应组件和安全平台，将海量安全数据脱敏，包括脆弱性信息、共享威胁情报、异常流量、攻击日志、病毒日志等数据，经由大数据处理平台结合人工智能和云端安全专家使用多种数据分析算法模型进行数据归因关联分析，实时监测网络安全状态,发现各类安全事件，并自动生成工单

▲实时监测网络安全状态，对攻击事件自动化生成工单，及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件（提供安全事件（如暴力破解）的工单举证截图，需展示当前安全事件的处置状态）

实时监测网络安全状态，对病毒事件自动化生成工单,及时进行分析与预警。病毒类型包含勒索型、流行病毒、挖矿型、蠕虫型、外发DOS型、C&C访问型、文件感染型、木马型

服务供应商需针对每一类威胁，进行深度分析验证，分析判断是否存在其他可疑主机，将深度关联分析的结果通过邮件、微信等方式告知用户

事件管理

▲基于主动响应和被动响应流程，对页面篡改、通报、断网、webshell、黑链等各类严重安全事件客户可以在平台上直接发起服务咨询，云端进行紧急响应和处置（提供在平台申请主动咨询的实际界面截图证明）

实时针对异常流量分析、攻击日志和病毒日志分析，经过海量数据脱敏、聚合发现安全事件。

针对分析得到的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件，通过工具和方法对恶意文件、代码进行根除，帮助招标方快速恢复业务，消除或减轻影响

服务质量监督

▲业务安全状态监控：

服务供应商需为采购人提供服务监控门户（或用户Portal，区别于安全感知大屏），在门户中招标方可查看业务和资产安全状态信息，使得招标方能直观感受到当前的业务和资产安全状态，展示纬度至少包括服务资产安全评级、服务运营状态及成果、安全风险概览、最新情报。（提供监控门户中业务安全状态监控相关的截图证明）

▲服务质量监控：

服务供应商提供的服务监控门户（或用户portal）应具备服务质量可视化展示，服务供应商能通过可视化的数据，清晰的了解安全专家的服务水平，至少包括脆弱性闭环率、脆弱性平均响应时长、脆弱性平均闭环时长、威胁闭环率、威胁平均响应时长、威胁平均闭环时长、事件闭环率、事件平均闭环时长，已验证服务供应商所承诺的服务SLA。

（提供监控门户中服务质量监控相关的截图证明）

服务水平协议SLA

▲通过SLA对安全事件服务水平作出承诺，需提供服务承诺函：

1）从安全日志产生到事件通告给采购人的时间方面，按照国家标准对安全事件的分类分级指南，重大安全事件通告时间小于30分钟，一般事件的通告时间少于1小时。

2）在配备服务供应商的边界防护服务组件和终端防护服务组件的情况下，运营服务对于重大安全事件的遏制影响和处置完成时间小于1小时，对于一般事件的遏制影响和处置完成时间小于4小时。

3）安全事件经过服务人员的确认后，各类安全事件的判断准确率不低于99%。

4）在配备了服务供应商的边界防护服务组件和终端防护服务组件的情况下，安全事件的闭环处置比例达到100%。

5）对于重大事故应启动应急响应机制，工作时间15分钟之内云端专家进行响应，非工作时间30分钟之内云端专家进行响应， 2小时上门处置。

▲通过SLA对安全威胁服务水平作出承诺，需提供服务承诺函：

1）从安全日志产生到威胁通告给采购人的时间方面，重大威胁的通告时间少于1小时，一般威胁的通告时间少于2小时。

在配备服务供应商的边界防护服务组件和终端防护服务组件的情况下，高级威胁的处置完成时间少于1小时，一般威胁的处置完成时间少于4小时；

2）安全威胁经过服务人员的确认后，高级威胁和一般威胁的判断准确率不低于99%。

3）在配备了服务供应商的边界防护服务组件和终端防护服务组件的情况下，高级威胁和一般威胁的闭环处置比例达到100%。

▲通过SLA对安全漏洞服务水平作出承诺，需提供服务承诺函：

1）在配备服务供应商的漏洞定期扫描服务组件的情况下，漏洞扫描的频率不低于每30天扫描一次。

2）高危可利用漏洞从完成漏扫后发现到推送漏洞报告的时间少于2个工作日。

3）高危可利用漏洞经服务人员确认后的准确率不低于99%。

4）高危可利用漏洞的防护率达到99%。

5）工作时间15分钟之内服务专家进行响应，非工作时间30分钟之内服务专家进行响应；

服务交付物

交付物名称：《安全服务运营报告》，报告频率：每周一次

交付物名称：《首次威胁分析与处置报告》，报告频率：一次

交付物名称：《事件分析与处置报告》，报告频率：按需触发，不限次数

交付物名称：《安全通告》，报告频率：按需触发，不限次数

交付物名称：《综合分析报告/运营月报》，报告频率：每月一次

交付物名称：《季度汇报PPT》，报告频率：每季度一次

交付物名称：《年度汇报PPT》，报告频率：每年一次

▲中标后采购人有权要求中标方严格按照上述频率要求提供服务交付物，确保满足招标方安全需求。如中标方未能按时提供，招标方有权终止服务合同，中间产生任何费用由中标方自行承担

服务频率

7*24小时持续专家服务，威胁发现及时响应