昆明醫(yī)科大學(xué)附屬口腔醫(yī)院三級等級保護(hù)服務(wù)建設(shè)方案及概算征集的公告

發(fā)布時(shí)間:2024-04-07

為更好地推進(jìn)口腔醫(yī)院三級等級保護(hù)建設(shè),現(xiàn)向社會(huì)征集建設(shè)方案及相應(yīng)概算。

一、建設(shè)方案交回時(shí)間、地址

征集截止時(shí)間:202447日至2024415,每日8:30~11:30,13:30~17:30,逾期不再接受。

地點(diǎn):高新區(qū)海源中路1088號和成國際C509室。

如有實(shí)地踏勘或其它疑問,請?jiān)?/span>202447日至2024414日,每日9:00~11:00,14:00~17:00至上述地點(diǎn)進(jìn)行登記、踏勘或咨詢。建設(shè)方案需裝訂完整,形成一正一副兩本,封面及概算部分每頁均蓋鮮章。

二、項(xiàng)目服務(wù)目標(biāo)

昆明醫(yī)科大學(xué)附屬口腔醫(yī)院網(wǎng)絡(luò)安全運(yùn)營服務(wù)項(xiàng)目的建設(shè)目標(biāo),主要是確保醫(yī)院的信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境中能夠安全、穩(wěn)定、高效的運(yùn)行。引入專業(yè)的技術(shù)力量幫助醫(yī)院構(gòu)建一個(gè)全方位的網(wǎng)絡(luò)安全防護(hù)體系,以抵御各種網(wǎng)絡(luò)攻擊和威脅,保護(hù)醫(yī)院的敏感信息和數(shù)據(jù)不受泄露和損壞。

根據(jù)《網(wǎng)絡(luò)安全法》相關(guān)要求,本項(xiàng)目建設(shè)以達(dá)到等保三級測評為建設(shè)目標(biāo),在當(dāng)前醫(yī)院現(xiàn)有的網(wǎng)絡(luò)環(huán)境基礎(chǔ)上,幫助醫(yī)院從技術(shù)和管理兩方面完善,構(gòu)建安全防護(hù)體系,使醫(yī)院等保測評成績結(jié)果不低于80分。

根據(jù)《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》相關(guān)要求,幫助醫(yī)院建立完善的數(shù)據(jù)安全防護(hù),如數(shù)據(jù)備份、恢復(fù)、容災(zāi)等保障體系及服務(wù),確保數(shù)據(jù)具備三重或以上的容災(zāi)措施.

根據(jù)《密碼法》相關(guān)要求,服務(wù)商提供的服務(wù)工具需滿足國密要求,為醫(yī)院下一步商用密碼評估做好提前規(guī)劃。

三、項(xiàng)目服務(wù)要求

隨著智慧醫(yī)院系統(tǒng)推進(jìn)建設(shè),需對目前在用軟件、全院互聯(lián)網(wǎng)訪問、跨區(qū)域數(shù)據(jù)交換、多鏈路通信等的外部互聯(lián)網(wǎng)應(yīng)用、內(nèi)部數(shù)據(jù)流轉(zhuǎn)、敏感信息脫敏、訪問權(quán)限控制、遠(yuǎn)程維護(hù)管理、數(shù)據(jù)災(zāi)備、網(wǎng)絡(luò)情況監(jiān)控、潛在威脅發(fā)現(xiàn)等形成一套可持續(xù)性的、高可靠的信息安全服務(wù)體系,因此在等級保護(hù)的框架內(nèi)還需針對專科醫(yī)院及多院區(qū)特點(diǎn)實(shí)現(xiàn)個(gè)性化的信息安全管理服務(wù)模式。

四、項(xiàng)目服務(wù)依據(jù)及服務(wù)主要內(nèi)容概述

(一)服務(wù)依據(jù)(包含但不限于)

GB/T 22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南

GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

GB/T 36626-2018信息安全技術(shù)信息系統(tǒng)安全運(yùn)維管理指南

GB/T 30285-2013信息安全技術(shù)災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理規(guī)范

GB/T 28827.3-2012信息技術(shù)服務(wù)運(yùn)行維護(hù)第3部分:應(yīng)急響應(yīng)規(guī)范

GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

GB/T 20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》

GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》

《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》

(二)服務(wù)主要內(nèi)容概述

1、依據(jù)國家相關(guān)政策要求,網(wǎng)絡(luò)空間安全總體設(shè)計(jì)指引以“一個(gè)中心、三重防護(hù)”為理念,從現(xiàn)有的被動(dòng)防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計(jì)的動(dòng)態(tài)保障體系轉(zhuǎn)變。從安全技術(shù)體系、安全管理體系、安全運(yùn)營體系三方面來實(shí)現(xiàn)信息安全建設(shè)。建立安全技術(shù)體系和安全管理體系,構(gòu)建具備相應(yīng)等級安全保護(hù)能力的網(wǎng)絡(luò)安全綜合防御體系,開展組織管理、機(jī)制建設(shè)、安全規(guī)劃、通報(bào)預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊(duì)伍建設(shè)、安全培訓(xùn)和日常運(yùn)維保障等工作的服務(wù)。

2、構(gòu)建完整的數(shù)據(jù)中心及動(dòng)態(tài)網(wǎng)絡(luò)空間運(yùn)行質(zhì)量洞察運(yùn)維管理體系方案,從IT基礎(chǔ)設(shè)施運(yùn)行態(tài)勢管理,包括在資源層面構(gòu)建業(yè)務(wù)為導(dǎo)向的可視化安全運(yùn)維管理,多維度可視化視圖管理,到核心業(yè)務(wù)運(yùn)行態(tài)勢可視化管理;以及處理安全事件有效的記錄手段,形成體系,逐步建立起精細(xì)化、主動(dòng)式、可視化、流程化、標(biāo)準(zhǔn)化、一體化、智能化的IT運(yùn)維管理體系,基于智慧醫(yī)院業(yè)務(wù)運(yùn)行背景優(yōu)化現(xiàn)有運(yùn)維體系,建立符合數(shù)據(jù)中心實(shí)際情況的運(yùn)維管理流程及運(yùn)維體系,提高運(yùn)維效率。掌握IT設(shè)施的運(yùn)行趨勢,安全趨勢、資源運(yùn)行態(tài)勢、業(yè)務(wù)運(yùn)行態(tài)勢、提高IT資源、業(yè)務(wù)應(yīng)用、數(shù)據(jù)存儲的安全性;預(yù)判業(yè)務(wù)系統(tǒng)整體健康狀況和運(yùn)行趨勢,從而有效保障業(yè)務(wù)應(yīng)用的連續(xù)運(yùn)行的服務(wù)。

3、依據(jù)《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》規(guī)范要求,構(gòu)建整體信息化業(yè)務(wù)系統(tǒng)的安全性、業(yè)務(wù)連續(xù)性保障體系方案。通過技術(shù)與管理手段的結(jié)合,設(shè)計(jì)一套完整的災(zāi)備系統(tǒng)管理體系,規(guī)范災(zāi)備系統(tǒng)的應(yīng)用流程、提升綜合管理水平、降低業(yè)務(wù)安全風(fēng)險(xiǎn)、減輕運(yùn)維壓力,達(dá)到醫(yī)院智慧醫(yī)院背景下對于信息化業(yè)務(wù)系統(tǒng)的各項(xiàng)指標(biāo)。同時(shí),幫助醫(yī)院在相關(guān)各項(xiàng)政策、標(biāo)準(zhǔn)、要求中相關(guān)的標(biāo)準(zhǔn)實(shí)現(xiàn)與達(dá)成,包括但不限于、網(wǎng)絡(luò)安全等級保護(hù)制度、災(zāi)難恢復(fù)規(guī)范等。

4、提供數(shù)據(jù)中心運(yùn)行及動(dòng)態(tài)網(wǎng)絡(luò)空間全域安全持續(xù)監(jiān)測、發(fā)現(xiàn)、預(yù)警、防護(hù)運(yùn)維服務(wù),及時(shí)提出有效應(yīng)對解決方案并組織甲方協(xié)同處理可能存在的網(wǎng)絡(luò)安全威脅;基于基礎(chǔ)數(shù)據(jù)中心全局視角、保障系統(tǒng)健康穩(wěn)定運(yùn)行;對業(yè)務(wù)變更、技術(shù)革新、新系統(tǒng)測試、上線、生命周期等全局集成性工作提供及時(shí)專業(yè)支持的服務(wù)。

5、按事件、巡檢結(jié)果、月度分析可能對醫(yī)院業(yè)務(wù)系統(tǒng)和IT系統(tǒng)的安全性造成威脅的各種風(fēng)險(xiǎn)因素并提出相應(yīng)的對策和改進(jìn)方案。風(fēng)險(xiǎn)分析的工作將不僅僅只是提出補(bǔ)救措施,還將定義出對于風(fēng)險(xiǎn)的預(yù)防措施的服務(wù)。

6、匯集數(shù)據(jù)中心運(yùn)行及動(dòng)態(tài)網(wǎng)絡(luò)空間全域事件及機(jī)器數(shù)據(jù),構(gòu)建多域機(jī)器數(shù)據(jù)及事件全生命周期管理;提升全域數(shù)據(jù)應(yīng)用能力,逐步實(shí)現(xiàn)以數(shù)據(jù)驅(qū)動(dòng)信息平臺運(yùn)營的服務(wù)。

五、服務(wù)需滿足的質(zhì)量、安全、技術(shù)規(guī)格、物理特性等要求

(一)協(xié)助醫(yī)院完成信息安全管理制度、知識庫、災(zāi)備演練及培訓(xùn)體系建設(shè)服務(wù)

1、需建設(shè)符合國家法律法規(guī)的一系列安全制度,同時(shí)制度的執(zhí)行具有可操作性,并符合醫(yī)院現(xiàn)階段的現(xiàn)實(shí)情況,并提供必要的執(zhí)行手段。

2、在制度中明確各部門、各崗位職責(zé),并具有懲罰機(jī)制。

3、對信息安全提供覆蓋全院的、類型多樣的、定期的培訓(xùn)方式、方法。

4、提供必要的信息安全反饋渠道,接入醫(yī)院消息發(fā)送平臺,對涉及到的人員進(jìn)行及時(shí)提醒。

5、建立信息安全知識庫,按照安全漏洞危害等級、修補(bǔ)方式、時(shí)間遠(yuǎn)近及查詢權(quán)限等進(jìn)行覆蓋全院的系統(tǒng)快速查詢,以提高全院信息安全綜合素質(zhì)。

6、定期開展災(zāi)備演練,并提供相應(yīng)報(bào)告。提供安全事故庫,耦合醫(yī)院實(shí)際情況,對演練環(huán)境做到擬真、不走過場,事后報(bào)告有詳細(xì)記錄,并有分析總結(jié)。

(二)數(shù)據(jù)安全及保障

1、按照數(shù)據(jù)管理要求輔助完成組織架構(gòu)、工作責(zé)任制度建設(shè),并建立具備可操作性的規(guī)程及技術(shù)規(guī)范。

2、建立數(shù)據(jù)審計(jì)、備份、恢復(fù)、容災(zāi)等保障體系及提供相應(yīng)服務(wù),確保數(shù)據(jù)具備三重或以上的容災(zāi)措施,且具備授權(quán)體系下的恢復(fù)、查詢、比對功能,相關(guān)手段包含但不限于冷、熱,增量、全備、實(shí)時(shí)等自動(dòng)化方法,并確保過程的可追溯性,同時(shí)具備通訊加密、數(shù)據(jù)校驗(yàn),確保數(shù)據(jù)一致性并對數(shù)據(jù)對象格式、存儲方式等具備較高兼容性。將存儲空間軟件定義為磁帶格式,避免病毒及勒索軟件對備份數(shù)據(jù)的破壞。對每個(gè)人員操作與任務(wù)執(zhí)行過程進(jìn)行詳細(xì)記錄,在必要的情況下進(jìn)行歷史追溯。定期或即時(shí)對備份數(shù)據(jù)進(jìn)行在線查詢、演練恢復(fù),驗(yàn)證備份數(shù)據(jù)的正確性及完整性。將系統(tǒng)運(yùn)行情況使用大屏展示,顯示感知數(shù)據(jù)保護(hù)態(tài)勢。

3、提供數(shù)據(jù)審計(jì)服務(wù),對數(shù)據(jù)的同源性、一致性、流轉(zhuǎn)可進(jìn)行追溯,其中對于統(tǒng)方、統(tǒng)計(jì)耗材等要有高可靠的審計(jì)效能,同時(shí)能夠阻攔非法數(shù)據(jù)查詢、修改、刪除、增加。

4、對特定數(shù)據(jù)進(jìn)行自動(dòng)化的脫敏處理,并具備脫敏的可逆或不可逆方法,且符合國家相關(guān)法律法規(guī)要求。

5、以上建設(shè)內(nèi)容需高度兼容現(xiàn)有網(wǎng)絡(luò)架構(gòu)、存儲方式、物理空間,并具備高抗壓性、高容錯(cuò)、容災(zāi)性。

(三)安全通信及區(qū)域管理

1、提供鏈路質(zhì)量的實(shí)時(shí)監(jiān)控,在主線路出現(xiàn)問題時(shí),能切換到其他網(wǎng)絡(luò)以保障網(wǎng)絡(luò)正常運(yùn)行,同時(shí)需優(yōu)先保障重要業(yè)務(wù)的正常開展。

2、補(bǔ)強(qiáng)現(xiàn)有數(shù)據(jù)通訊中的弱項(xiàng),利用信息化、智能化方法進(jìn)行加密、混淆,以保障通信過程保密、內(nèi)容不可逆向明文化、性能損失最小化。

3、建設(shè)安全通信的冗余通道,并提供可伸縮的安全區(qū)域邊界。

4、在安全區(qū)域邊界,提供并部署實(shí)時(shí)的策略,并提供詳細(xì)說明及來源,同時(shí)策略形成具備完善的人工路徑及自動(dòng)化路徑,并可進(jìn)行追溯及效果評估。

5、安全區(qū)域邊界需對進(jìn)出區(qū)域的行為、內(nèi)容進(jìn)行審計(jì)、阻攔,并進(jìn)行記錄,同時(shí)具備路徑冗余。

6、發(fā)生超出閾值或低于閾值情況時(shí),通過多路徑通知管理人員,并對區(qū)域內(nèi)外的安全措施形成聯(lián)動(dòng)效應(yīng),第一時(shí)間阻止安全區(qū)域的入侵或逃離。

7、以上服務(wù)除依托外部數(shù)據(jù)為基礎(chǔ)外,同時(shí)需要針對內(nèi)部進(jìn)出數(shù)據(jù)、日志、操作痕跡等形成區(qū)域策略。

(四)安全計(jì)算環(huán)境

1、提供有效認(rèn)證服務(wù),并能與其他服務(wù)形成聯(lián)動(dòng),形成細(xì)粒度的行為管控策略。

2、對業(yè)務(wù)系統(tǒng)遇到的攻擊需能提供實(shí)時(shí)檢測與防護(hù),并能及時(shí)阻斷機(jī)器人攻擊行為,同時(shí)應(yīng)充分考慮策略下發(fā)的便利性。

3、利用傳感器、數(shù)據(jù)分析、并依托大數(shù)據(jù)分析以及人工指令對整體計(jì)算環(huán)境進(jìn)行監(jiān)測,當(dāng)數(shù)值高于閾值或低于閾值時(shí)及時(shí)通過多種渠道通知系統(tǒng)管理員。

4、對計(jì)算環(huán)境故障發(fā)生具有前瞻性,并結(jié)合數(shù)據(jù)容災(zāi)體系做到提前預(yù)知、事發(fā)阻止、數(shù)據(jù)不丟、時(shí)候可追溯。

5、輔助建設(shè)多節(jié)點(diǎn)計(jì)算環(huán)境,確保冗余性,同時(shí)單節(jié)點(diǎn)確保全負(fù)載的可持續(xù)性。

6、對計(jì)算環(huán)境中的安全策略進(jìn)行集中設(shè)置及處理,并對接入計(jì)算環(huán)境的身份進(jìn)行驗(yàn)證,并能快速定位。

(五)安全管理

1、依托已建成的城域網(wǎng),對總院及門診形成有效的安全管理體系,包括但不限于以下內(nèi)容:

1)具備遠(yuǎn)程操控能力。

2)具備信息資產(chǎn)(實(shí)體及非實(shí)體)的自動(dòng)收集、分類、修改、維修、工單一體化管理能力,手段豐富不限于APP、小程序等形式。

3)對整個(gè)體系內(nèi)的終端可按照前述結(jié)果及人工干預(yù)快速進(jìn)行定位、隔離,防止故障蔓延。

4)管理體系內(nèi)的終端行為可按照預(yù)設(shè)策略進(jìn)行管控,并對性能情況進(jìn)行及時(shí)反饋。

2、針對終端日志、系統(tǒng)登錄、軟件操作等行為具備分析、預(yù)警及干預(yù)機(jī)制,必要時(shí)對終端進(jìn)行鎖定并聯(lián)動(dòng)觸發(fā)網(wǎng)絡(luò)隔離。

3、快速定位網(wǎng)絡(luò)虛擬空間中終端設(shè)備的物理位置,同時(shí)防止硬件識別碼篡改帶來的偽造問題,并能對網(wǎng)絡(luò)環(huán)路進(jìn)行自動(dòng)化警告、隔離降低或消除影響。

4、提供對IT資產(chǎn)分組、分域的統(tǒng)一管理維護(hù),并提供專項(xiàng)安全場景分析,對脆弱性、弱口令和其他安全風(fēng)險(xiǎn)進(jìn)行綜合分析,必要時(shí)聯(lián)動(dòng)其他技術(shù)組件完成一鍵封堵。

(六)運(yùn)維安全

1、具備統(tǒng)一入口以及強(qiáng)身份認(rèn)證(包含但不限于動(dòng)態(tài)密碼、物理地址認(rèn)證等)的運(yùn)維平臺。

2、在運(yùn)維過程中從操作動(dòng)作、輸入語句及語句執(zhí)行層面進(jìn)行主動(dòng)式監(jiān)管,并在發(fā)生超出閾值行為時(shí)及時(shí)阻斷,同時(shí)對運(yùn)維過程全程保留視頻等資料。

3、具備安全可靠及動(dòng)態(tài)更新的運(yùn)維平臺自身安全保障體系。

(七)安全服務(wù)

1、安全咨詢。提供網(wǎng)絡(luò)安全咨詢專業(yè)服務(wù),指導(dǎo)信息安全建設(shè)與運(yùn)維工作,解答各類安全問題,對醫(yī)院安全策略、安全流程提供改進(jìn)建議,建立網(wǎng)絡(luò)安全統(tǒng)一策略管理機(jī)制,并制定完善解決方案。全周期對醫(yī)院新建信息化項(xiàng)目從業(yè)務(wù)需求分析、系統(tǒng)設(shè)計(jì)、部署實(shí)施、測試運(yùn)行、竣工驗(yàn)收等環(huán)節(jié),提供網(wǎng)絡(luò)安全技術(shù)咨詢支持。

2、安全巡檢。全面掌握醫(yī)院網(wǎng)絡(luò)安全狀況,分析面臨的安全威脅和風(fēng)險(xiǎn),評估安全防護(hù)水平,查找突出問題和薄弱環(huán)節(jié),提供有針對性的防范對策和改進(jìn)措施。巡檢時(shí)間安排根據(jù)實(shí)際情況進(jìn)行,每季度至少對醫(yī)院內(nèi)安全設(shè)備和重要網(wǎng)絡(luò)設(shè)備的安全策略全面巡檢一次。定期對醫(yī)院內(nèi)業(yè)務(wù)系統(tǒng)進(jìn)行安全滲透檢測,檢查和評估目標(biāo)網(wǎng)站是否存在SQL注入、跨站腳本、木馬上傳等漏洞,分析掌握Web網(wǎng)站中存在的薄弱環(huán)節(jié)。

3、安全策略梳理。定期梳理安全設(shè)備和網(wǎng)絡(luò)設(shè)備等軟硬件系統(tǒng)的安全策略,及時(shí)調(diào)整發(fā)生變更或廢止的信息資產(chǎn)安全策略,建立策略池和配置檔案,提高安全運(yùn)維質(zhì)量和水平。

4、整改加固。根據(jù)網(wǎng)絡(luò)信息系統(tǒng)安全評估報(bào)告及等保測評問題,制定安全加固方案。安全加固方案應(yīng)覆蓋醫(yī)院所有服務(wù)器和網(wǎng)絡(luò)設(shè)備,以及不同類別的操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)。并在出現(xiàn)不符合規(guī)定要求的事項(xiàng)后,根據(jù)需要采取糾正措施與預(yù)防性措施。

5、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)。主要工作包括:事先充分準(zhǔn)備,包括安全培訓(xùn)、制訂安全政策和應(yīng)急預(yù)案以及風(fēng)險(xiǎn)分析等。事件發(fā)生后采取的抑制、根除和恢復(fù)等措施,盡可能的減少損失或盡快恢復(fù)正常運(yùn)行。并協(xié)助管理人員形成正反饋機(jī)制,配合強(qiáng)化網(wǎng)絡(luò)安全防范體系。

六、項(xiàng)目服務(wù)地點(diǎn)

昆明醫(yī)科大學(xué)附屬口腔醫(yī)院

七、項(xiàng)目服務(wù)標(biāo)準(zhǔn)、期限、效率等要求

服務(wù)期間至少需要1名網(wǎng)絡(luò)安全持證專業(yè)技術(shù)人員駐場,原則上不得更換。如駐場服務(wù)中途離場須獲醫(yī)院批準(zhǔn),輪換同等及以上技術(shù)水平人員。駐場提供5×8小時(shí)駐場運(yùn)維保障服務(wù),重要時(shí)7×24小時(shí)值守。

八、其它技術(shù)要求

1.安全服務(wù)中如有硬件、云資源等資產(chǎn)由服務(wù)提供商一并提供,產(chǎn)權(quán)屬于服務(wù)提供商。

2.建設(shè)方案需針對智慧醫(yī)院系統(tǒng)及電子病歷系統(tǒng)通過信息安全等級保護(hù)2.0中的三級等級保護(hù);醫(yī)院資源管理系統(tǒng)(HRP)通過二級等級保護(hù);其余系統(tǒng)置于保護(hù)體系內(nèi),獲得不低于二級等級保護(hù)的條件。


附件:昆明醫(yī)科大學(xué)附屬口腔醫(yī)院現(xiàn)弱電環(huán)境明細(xì)

1)服務(wù)器及計(jì)算環(huán)境

在網(wǎng)服務(wù)器列表

服務(wù)器類型

數(shù)量

型號

在用端口

物理服務(wù)器

7

2288H V6

2光纖+2電口


2

OceanStorDorado 5300 V6


5

5885H V5

1光纖+2電口


1

HP ProLiant DL580 Gen9

1電口


1

Dell PowerEdge R730xd

1電口


1

Dell PowerEdge R730

1電口

虛擬服務(wù)器

18

智慧醫(yī)院系統(tǒng)


4

EMR


2

HRP


4

其它B/S架構(gòu)軟件服務(wù)器

2)現(xiàn)有數(shù)據(jù)庫情況

Mysql(5.6.36);Oracle(11g);MSSQL(11.0.7469)

3)網(wǎng)絡(luò)設(shè)備情況

型號

數(shù)量

位置

Quidway S6700

1

核心交換

Ruijie RG-S7805C

1

核心維修交換

S5720-52X-LI-AC

15

樓層及五所附屬門診


用戶登錄