醫(yī)院信息安全服務(wù)方案

醫(yī)院信息安全服務(wù)方案1、滲透測(cè)試服務(wù)服務(wù)類技術(shù)類型內(nèi)容及要求滲透測(cè)試服務(wù)要求服務(wù)單位應(yīng)保證信息系統(tǒng)正常運(yùn)行前提下，模擬黑客攻擊行為通過遠(yuǎn)程或本地方式對(duì)信息系統(tǒng)進(jìn)行非破壞性的入侵測(cè)試，查找針對(duì)應(yīng)用程序的各種漏洞，幫助理解應(yīng)用系統(tǒng)當(dāng)前的安全狀況，發(fā)現(xiàn)在系統(tǒng)復(fù)雜結(jié)構(gòu)中的最脆弱鏈路并針對(duì)安全隱患提出解決辦法，切實(shí)保證信息系統(tǒng)安全服務(wù)單位應(yīng)在得到授權(quán)后方可開始實(shí)施滲透工作。服務(wù)單位應(yīng)確保實(shí)施滲透測(cè)試的服務(wù)人員的工作保密性，簽署相關(guān)的保密協(xié)議，在未經(jīng)允許的情況下，不得將識(shí)別的漏洞外泄、傳遞實(shí)施滲透測(cè)試服務(wù)后，未經(jīng)同意，禁止在系統(tǒng)留存后門服務(wù)方案服務(wù)單位應(yīng)根據(jù)安全需求及重要業(yè)務(wù)系統(tǒng)結(jié)構(gòu)，設(shè)計(jì)針對(duì)性的滲透測(cè)試方案，并提交至進(jìn)行評(píng)審服務(wù)單位詳細(xì)說明滲透測(cè)試的實(shí)施流程、滲透測(cè)試方法、實(shí)施過程中用到的工具、實(shí)施過程各階段輸出成果服務(wù)單位提供的滲透測(cè)試方案必須包括但不限于：滲透測(cè)試方法和流程滲透測(cè)試須采用的國內(nèi)外商業(yè)檢測(cè)工具或自有檢測(cè)工具提供滲透測(cè)試所面臨的主要風(fēng)險(xiǎn)及相應(yīng)的風(fēng)險(xiǎn)規(guī)避措施服務(wù)內(nèi)容授權(quán)后，服務(wù)單位應(yīng)通過模擬黑客攻擊行為通過本地或遠(yuǎn)程方式對(duì)目標(biāo)對(duì)象進(jìn)行非破壞性的入侵測(cè)試滲透測(cè)試應(yīng)至少包括但不限于以下范圍的漏洞：WEB業(yè)務(wù)系統(tǒng)微信小程序、微信公眾號(hào)APIC/S架構(gòu)系統(tǒng)滲透測(cè)試內(nèi)容包括但不限于：信息泄露信息猜解認(rèn)證信息泄露認(rèn)證信息猜解認(rèn)證功能失效認(rèn)證功能濫用數(shù)據(jù)猜解專項(xiàng)漏洞綜合利用權(quán)限篡改權(quán)限缺失防護(hù)功能濫用防護(hù)功能缺失防護(hù)功能失效業(yè)務(wù)邏輯篡改業(yè)務(wù)功能濫用業(yè)務(wù)功能失效服務(wù)單位滲透測(cè)試人員應(yīng)使用不同技術(shù)手段發(fā)現(xiàn)不同緯度的漏洞，并進(jìn)行驗(yàn)證，形成記錄和報(bào)告服務(wù)單位應(yīng)編寫滲透測(cè)試報(bào)告并提交給，報(bào)告應(yīng)該闡明業(yè)務(wù)系統(tǒng)中存在的安全隱患以及專業(yè)的漏洞風(fēng)險(xiǎn)處置建議服務(wù)頻率每次≥25個(gè)系統(tǒng)，每年≥12次服務(wù)交物《滲透測(cè)試授權(quán)書》

《系統(tǒng)滲透測(cè)試報(bào)告》

《系統(tǒng)滲透測(cè)試復(fù)測(cè)報(bào)告》2、安全環(huán)境評(píng)估服務(wù)服務(wù)類技術(shù)類型內(nèi)容及要求基礎(chǔ)環(huán)境評(píng)估服務(wù)內(nèi)容基礎(chǔ)環(huán)境評(píng)估是信息安全保障工作的基礎(chǔ)和重要環(huán)節(jié)，通過對(duì)信息系統(tǒng)進(jìn)行基礎(chǔ)環(huán)境評(píng)估，能夠快速、有效發(fā)現(xiàn)信息系統(tǒng)網(wǎng)絡(luò)方面的結(jié)構(gòu)合理性，主機(jī)方面的訪問控制、身份識(shí)別，應(yīng)用方面的邏輯安全、安全功能，數(shù)據(jù)庫方面的數(shù)據(jù)安全，管理方面的制度和規(guī)范等安全漏洞和安全風(fēng)險(xiǎn)，為全面有效落實(shí)安全管理工作提供資料，有助于加強(qiáng)安全管理，推動(dòng)各階層員工做好每項(xiàng)安全工作。服務(wù)要求1、服務(wù)單位能夠使用專業(yè)的工具對(duì)主機(jī)系統(tǒng)評(píng)估、網(wǎng)絡(luò)設(shè)備評(píng)估、應(yīng)用系統(tǒng)評(píng)估，并配合甲方解決相關(guān)安全隱患等服務(wù)頻率1年≥12次服務(wù)交付物《XXX網(wǎng)絡(luò)安全調(diào)研評(píng)估調(diào)研表》

《XXX網(wǎng)絡(luò)安全調(diào)研評(píng)估報(bào)告》3、基線核查服務(wù)服務(wù)類技術(shù)類型內(nèi)容及要求基線核查服務(wù)流程基線核查應(yīng)按照以下要求實(shí)施：服務(wù)單位應(yīng)提交基線核查的標(biāo)準(zhǔn)，會(huì)同各接口人進(jìn)行溝通確認(rèn)依據(jù)相關(guān)標(biāo)準(zhǔn)或規(guī)范，服務(wù)單位應(yīng)結(jié)合制定的基線核查標(biāo)準(zhǔn)、上級(jí)單位的基線核查標(biāo)準(zhǔn)、行業(yè)基線核查標(biāo)準(zhǔn)及行業(yè)最佳實(shí)踐等，對(duì)目標(biāo)對(duì)象進(jìn)行核查，目標(biāo)對(duì)象包括但不限于：網(wǎng)絡(luò)設(shè)備及安全設(shè)備、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫及常見中間件等服務(wù)單位應(yīng)組織相關(guān)人員對(duì)結(jié)果進(jìn)行確認(rèn)后，分析提交科學(xué)、合理的整改建議。基線核查內(nèi)容基線核查應(yīng)包含但不限于以下內(nèi)容：主機(jī)操作系統(tǒng)：帳號(hào)和口令管理、異常啟動(dòng)項(xiàng)、認(rèn)證合授權(quán)策略、訪問控制、通信協(xié)議、日志審核策略、文件系統(tǒng)權(quán)限、帳號(hào)和口令管理、防ddos攻擊、剩余信息保護(hù)、其它安全配置；數(shù)據(jù)庫：帳號(hào)和口令管理認(rèn)證、認(rèn)證和授權(quán)策略、訪問控制、通訊協(xié)議、日志審核功能、其他安全配置等；中間件：帳號(hào)和口令管理認(rèn)證、授權(quán)策略、通訊協(xié)議、日志審核功能、其他安全配置等；網(wǎng)絡(luò)設(shè)備及安全設(shè)備：OS安全、異常啟動(dòng)項(xiàng)、帳號(hào)和口令管理、認(rèn)證和授權(quán)策略、網(wǎng)絡(luò)與服務(wù)、訪問控制策略、通訊協(xié)議、路由協(xié)議、日志審核策略、加密管理、設(shè)備其他安全配置等。服務(wù)頻率1年≥12次服務(wù)交付物《XXXXX系統(tǒng)網(wǎng)絡(luò)安全基線檢查報(bào)告》

《XXXXX系統(tǒng)基線檢測(cè)復(fù)測(cè)報(bào)告》4、全流量威脅檢測(cè)服務(wù)服務(wù)類技術(shù)類型內(nèi)容及要求基線核查服務(wù)流程全流量威脅檢測(cè)服務(wù)：全流量安全事件檢查服務(wù)是一項(xiàng)技術(shù)類安全檢查服務(wù)。對(duì)客戶的鏡像全流量數(shù)據(jù)進(jìn)行安全威脅分析，及時(shí)發(fā)現(xiàn)客戶網(wǎng)絡(luò)中存在的安全威脅和事件，特別是高級(jí)持續(xù)性威脅，并形成處置和整改建議。全流量威脅檢測(cè)內(nèi)容全流量威脅檢測(cè)服務(wù)內(nèi)容包括：web攻擊行為、網(wǎng)絡(luò)可疑行為、APT攻擊、病毒傳播等，檢測(cè)完成后配合甲方解決相關(guān)威脅。服務(wù)頻率1年≥24次服務(wù)交付物《XXXXX告警分析報(bào)告》

《XXX全流量檢測(cè)分析報(bào)告（XX季度）》5、重保值守服務(wù)服務(wù)類技術(shù)類型內(nèi)容及要求攻擊研判分析安全事件監(jiān)控服務(wù)單位的現(xiàn)場(chǎng)值守人員作為監(jiān)控組成員實(shí)時(shí)對(duì)安全設(shè)備狀態(tài)、日志和事件進(jìn)行監(jiān)測(cè)，對(duì)系統(tǒng)失陷情況進(jìn)行監(jiān)測(cè)，對(duì)目標(biāo)系統(tǒng)、郵件系統(tǒng)、堡壘機(jī)、域控服務(wù)器、網(wǎng)管系統(tǒng)、DNS服務(wù)器、VPN設(shè)備等重要系統(tǒng)和設(shè)備進(jìn)行安全監(jiān)測(cè)，一旦發(fā)現(xiàn)異常及時(shí)預(yù)警。安全日志分析服務(wù)單位的現(xiàn)場(chǎng)值守人員作為分析組成員對(duì)監(jiān)控組上報(bào)的告警日志和可疑日志進(jìn)行分析誤判確認(rèn)和安全事件確認(rèn)，對(duì)各安全系統(tǒng)發(fā)現(xiàn)的事件進(jìn)行分析，對(duì)攻擊樣本進(jìn)行分析，對(duì)攻擊相關(guān)系統(tǒng)、設(shè)備的日志進(jìn)行分析研判。攻擊事件研判服務(wù)單位的現(xiàn)場(chǎng)值守人員作為分析組成員對(duì)于態(tài)勢(shì)感知以及防火墻等安全日志中成功攻擊成功事件進(jìn)行驗(yàn)證和確認(rèn)。應(yīng)急響應(yīng)安全事件處置服務(wù)單位的現(xiàn)場(chǎng)值守人員作為應(yīng)急響應(yīng)組成員根據(jù)研判分析組發(fā)現(xiàn)的安全事件進(jìn)行主動(dòng)應(yīng)急響應(yīng)和快速處置，包括封堵IP、斷網(wǎng)、快速打補(bǔ)丁以及刪除惡意文件等工作，確?？焖僖种瓢踩录?，防止攻擊方的進(jìn)一步橫向滲透行為，防止更多系統(tǒng)被入侵。入侵根因分析服務(wù)單位的現(xiàn)場(chǎng)值守人員對(duì)入侵的網(wǎng)絡(luò)安全攻擊成功事件進(jìn)行深度分析，并對(duì)攻擊方法、攻擊方式、攻擊路徑進(jìn)行分析，分析被入侵根因以及后門程序，并且按需撰寫應(yīng)急響應(yīng)報(bào)告服務(wù)頻率40人天（8小時(shí)制）服務(wù)交付物《重要時(shí)期安全保障服務(wù)方案》

《重要時(shí)期安全保障服務(wù)工作總結(jié)》6、應(yīng)急響應(yīng)服務(wù)類服務(wù)類型內(nèi)容及要求服務(wù)內(nèi)容響應(yīng)事件范圍1、服務(wù)單位應(yīng)在遇到重大或突發(fā)事件后按照要求的服務(wù)響應(yīng)級(jí)別采取相關(guān)的措施和行動(dòng)。幫助正確應(yīng)對(duì)安全事件，降低安全事件帶來的損失和影響，并將業(yè)務(wù)以及網(wǎng)絡(luò)恢復(fù)到正常狀態(tài)。2、本次招標(biāo)的應(yīng)急響應(yīng)包含但不限于以下幾類安全事件：WEB安全事件針對(duì)B/S類信息系統(tǒng)或網(wǎng)站遭受惡意入侵，利用網(wǎng)站進(jìn)行反動(dòng)信息、賭博、黃色等信息發(fā)布，傳播危害國家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全事件，包括但不限于：篡改、暗鏈、掛馬、Webshell等惡意程序事件針對(duì)遭受的各類惡意程序事件進(jìn)行快速處置，包括不限于病毒事件/木馬事件、蠕蟲事件、僵尸網(wǎng)絡(luò)事件、勒索病毒事件、挖礦病毒事件等網(wǎng)絡(luò)攻擊事件針對(duì)由于信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷，造成的信息系統(tǒng)異常的安全事件進(jìn)行應(yīng)急響應(yīng)信息破壞事件針對(duì)信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件進(jìn)行應(yīng)急響應(yīng)，包括但不限于系統(tǒng)配置遭篡改、數(shù)據(jù)庫內(nèi)容篡改、網(wǎng)站內(nèi)容篡改事件、信息數(shù)據(jù)泄露事件等響應(yīng)時(shí)間要求1、服務(wù)單位應(yīng)提供7*24應(yīng)急響應(yīng)服務(wù)，提供應(yīng)急響應(yīng)服務(wù)方案2、安全事件要求應(yīng)急團(tuán)隊(duì)須在5分鐘內(nèi)，對(duì)信息安全事件做出響應(yīng)，并嚴(yán)格按照信息安全等級(jí)要求迅速到達(dá)現(xiàn)場(chǎng)并解決問題：特別重大事件（Ⅰ級(jí)），5分鐘作出響應(yīng)，提供遠(yuǎn)程7*24小時(shí)響應(yīng)服務(wù)、1小時(shí)到達(dá)現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)服務(wù)重大事件（Ⅱ級(jí)），10分鐘作出響應(yīng)，提供遠(yuǎn)程7*24小時(shí)、2小時(shí)到達(dá)現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)服務(wù)較大突發(fā)事件（Ⅲ級(jí)），30分鐘作出響應(yīng)，提供遠(yuǎn)程7*24小時(shí)響應(yīng)服務(wù)、4小時(shí)到達(dá)現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)服務(wù)一般性突發(fā)事件（Ⅳ級(jí)），30分鐘作出響應(yīng)，提供遠(yuǎn)程7*24小時(shí)響應(yīng)服務(wù)、遠(yuǎn)程無法解決時(shí)，在4小時(shí)到達(dá)現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)服務(wù)3、每次故障處理完畢3個(gè)工作日內(nèi)提供詳細(xì)的故障處理報(bào)告服務(wù)頻率1年內(nèi)提供≥24次安全應(yīng)急響應(yīng)服務(wù)服務(wù)交付物《XX系統(tǒng)（事件）應(yīng)急響應(yīng)報(bào)告》

《應(yīng)急響應(yīng)服務(wù)確認(rèn)單》7、MSS安全托管服務(wù)服務(wù)類服務(wù)類型內(nèi)容及要求服務(wù)內(nèi)容要求資產(chǎn)識(shí)別與梳理服務(wù)單位需借助安全工具對(duì)資產(chǎn)進(jìn)行識(shí)別和梳理，并在后續(xù)服務(wù)過程中根據(jù)識(shí)別的資產(chǎn)變化情況觸發(fā)資產(chǎn)變更等相關(guān)服務(wù)流程，確保資產(chǎn)信息的準(zhǔn)確性和全面性；服務(wù)單位需結(jié)合安全工具發(fā)現(xiàn)的資產(chǎn)信息，首次進(jìn)行服務(wù)范圍內(nèi)資產(chǎn)的全面梳理（梳理的信息包含支撐業(yè)務(wù)系統(tǒng)運(yùn)轉(zhuǎn)的操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)的版本，類型，IP地址；應(yīng)用開放協(xié)議和端口；應(yīng)用系統(tǒng)管理方式、資產(chǎn)的重要性以及網(wǎng)絡(luò)拓?fù)洌⑿畔浫氲桨踩\(yùn)營平臺(tái)中進(jìn)行管理；當(dāng)資產(chǎn)發(fā)生變更時(shí)，安全專家對(duì)變更信息進(jìn)行確認(rèn)與更新；安全現(xiàn)狀評(píng)估系統(tǒng)與Web漏洞掃描：對(duì)操作系統(tǒng)、數(shù)據(jù)庫、常見應(yīng)用/協(xié)議、Web通用漏洞與常規(guī)漏洞進(jìn)行漏洞掃描；弱口令掃描：實(shí)現(xiàn)信息化資產(chǎn)不同應(yīng)用弱口令猜解檢測(cè)，如：SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等；基線配置核查：檢查支撐信息化業(yè)務(wù)的主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、中間件的基線配置情況，確保達(dá)到相應(yīng)的安全防護(hù)要求。檢查項(xiàng)包含但不限于帳號(hào)和口令管理、認(rèn)證、授權(quán)策略、網(wǎng)絡(luò)與服務(wù)、進(jìn)程和啟動(dòng)、文件系統(tǒng)權(quán)限、訪問控制等配置情況；針對(duì)漏洞利用攻擊行為、Webshell上傳行為、Web系統(tǒng)目錄遍歷攻擊行為、SQL注入攻擊行為、信息泄露攻擊行為、口令暴力破解攻擊行為、僵尸網(wǎng)絡(luò)攻擊行為、系統(tǒng)命令注入攻擊行為及僵尸網(wǎng)絡(luò)攻擊行為進(jìn)行分析評(píng)估，判斷攻擊行為是否成功以及業(yè)務(wù)風(fēng)險(xiǎn)點(diǎn)；問題處置服務(wù)單位需對(duì)發(fā)現(xiàn)的問題進(jìn)行處置，包含內(nèi)網(wǎng)脆弱性問題，病毒類事件，入侵行為，勒索、挖礦類事件等；脆弱性管理脆弱性掃描與驗(yàn)證：服務(wù)單位需提供不少于每月一次針對(duì)服務(wù)范圍內(nèi)的資產(chǎn)的系統(tǒng)脆弱性和Web漏洞進(jìn)行全量掃描，并針對(duì)發(fā)現(xiàn)的脆弱性進(jìn)行驗(yàn)證，驗(yàn)證脆弱性在已有的安全體系發(fā)生的風(fēng)險(xiǎn)及分析發(fā)生后可造成的危害；優(yōu)先級(jí)排序：服務(wù)單位需提供客觀的修復(fù)優(yōu)先級(jí)指導(dǎo)，不能以脆弱性危害等級(jí)作為唯一的修復(fù)優(yōu)先級(jí)排序依據(jù)。排序依據(jù)包含但不限于資產(chǎn)重要性、漏洞等級(jí)以及威脅情報(bào)（漏洞被利用的可能性）三個(gè)維度；脆弱性驗(yàn)證：提供脆弱性驗(yàn)證服務(wù)，針對(duì)發(fā)現(xiàn)的脆弱性問題進(jìn)行驗(yàn)證，驗(yàn)證脆弱性在已有的安全體系發(fā)生的風(fēng)險(xiǎn)及分析發(fā)生后可造成的危害。針對(duì)已經(jīng)驗(yàn)證的脆弱性，自動(dòng)生成工單，安全專家跟進(jìn)修復(fù)狀態(tài)，各個(gè)處理進(jìn)度透明，方便清晰了解當(dāng)前脆弱性的處置狀態(tài)，將脆弱性處理工作可視化；服務(wù)催單：針對(duì)服務(wù)平臺(tái)生成的工單，可按需催單，用戶可在服務(wù)平臺(tái)上采用郵件等方式提醒安全專家加快協(xié)助處置，督促服務(wù)單位第一時(shí)間處理；脆弱性復(fù)測(cè)：需提供脆弱性復(fù)測(cè)措施，及時(shí)檢驗(yàn)脆弱性真實(shí)修復(fù)情況。服務(wù)單位要支持可按需針對(duì)指定脆弱性問題，指定資產(chǎn)等小范圍進(jìn)行，降低脆弱性復(fù)測(cè)時(shí)的潛在影響范圍；脆弱性狀態(tài)總覽：對(duì)發(fā)現(xiàn)的脆弱性建立狀態(tài)總覽機(jī)制，自動(dòng)化持續(xù)跟蹤脆弱性情況，清晰直觀地展示脆弱性的修復(fù)情況，遺留情況以及脆弱性對(duì)比情況，使得可做到脆弱性的可視、可管、可控；威脅管理結(jié)合大數(shù)據(jù)分析、人工智能、云端專家提供安全事件發(fā)現(xiàn)服務(wù)：依托于安全防護(hù)組件、檢測(cè)響應(yīng)組件和安全平臺(tái)，將海量安全數(shù)據(jù)脫敏，包括脆弱性信息、共享威脅情報(bào)、異常流量、攻擊日志、病毒日志等數(shù)據(jù)，經(jīng)由大數(shù)據(jù)處理平臺(tái)結(jié)合人工智能和云端安全專家使用多種數(shù)據(jù)分析算法模型進(jìn)行數(shù)據(jù)歸因關(guān)聯(lián)分析，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)安全狀態(tài),發(fā)現(xiàn)各類安全事件，并自動(dòng)生成工單；實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)安全狀態(tài)，對(duì)攻擊事件自動(dòng)化生成工單，及時(shí)進(jìn)行分析與預(yù)警。攻擊事件包含境外黑客攻擊事件、暴力破解攻擊事件、持續(xù)攻擊事件；實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)安全狀態(tài)，對(duì)病毒事件自動(dòng)化生成工單,及時(shí)進(jìn)行分析與預(yù)警。病毒類型包含勒索型、流行病毒、挖礦型、蠕蟲型、外發(fā)DOS型、C&C訪問型、文件感染型、木馬型；事件管理基于主動(dòng)響應(yīng)和被動(dòng)響應(yīng)流程，對(duì)頁面篡改、通報(bào)、斷網(wǎng)、webshell、黑鏈等各類嚴(yán)重安全事件客戶可以在平臺(tái)上直接發(fā)起服務(wù)咨詢，云端進(jìn)行緊急響應(yīng)和處置；服務(wù)平臺(tái)和用戶Portal支持面向的安全態(tài)勢(shì)展示，展示出當(dāng)前遭受的威脅事件信息以及脆弱性信息統(tǒng)計(jì)，并支持服務(wù)專家按照資產(chǎn)類別、威脅類型進(jìn)行定制化篩選查看，能直觀感受到當(dāng)前的風(fēng)險(xiǎn)態(tài)勢(shì)情況；服務(wù)平臺(tái)支持面向的安全報(bào)告與交付物管理，可生成、導(dǎo)出、下載各類安全報(bào)告，包括但不限于《安全服務(wù)值守日?qǐng)?bào)》、《特殊時(shí)期值守報(bào)告》、《安全運(yùn)營周報(bào)》、《安全運(yùn)營月報(bào)》；所有可導(dǎo)出報(bào)告支持按照自定義模塊進(jìn)行導(dǎo)出，可自定義模塊必須包括但不限于事件管理、攻擊威脅、脆弱性管理；工單類型平臺(tái)支持的工單類型應(yīng)包含內(nèi)部威脅工單、外部威脅工單、脆弱性工單、應(yīng)急工單、策略工單、其他工單。告警工單管理支持安全告警管理：根據(jù)大數(shù)據(jù)分析平臺(tái)生成的威脅告警，展示出當(dāng)前所有的威脅告警信息。事件工單管理支持安全事件管理：如果判斷為有效威脅，專家將該威脅轉(zhuǎn)化為威脅事件，威脅事件將轉(zhuǎn)給更高級(jí)的專家處理。日志檢索平臺(tái)應(yīng)通過大數(shù)據(jù)平臺(tái)的搜索引擎，支持快速搜索和搜索語句搜索所有安全日志數(shù)據(jù)?？焖偎阉髂軌蛲ㄟ^搜索頁面上預(yù)先配置好的按鈕，實(shí)現(xiàn)只需點(diǎn)擊不同的搜索條件，即可直接獲取到搜索結(jié)果。查詢語句搜索需要在搜索框內(nèi)輸入查詢語句，實(shí)現(xiàn)更靈活的自定義搜索，滿足高級(jí)搜索和復(fù)雜搜索場(chǎng)景。日志接收和處理平臺(tái)支持接收多種安全設(shè)備同步的安全日志等數(shù)據(jù)，目前支持防火墻，終端檢測(cè)與響應(yīng)，流量分析設(shè)備、態(tài)勢(shì)感知平臺(tái)等設(shè)備。Usecase（安全規(guī)則）管理支持自定義配置安全規(guī)則，包括配置源算子、解析規(guī)則算子、關(guān)聯(lián)規(guī)則算子、Flinksql算子、union算子、標(biāo)簽算子、kafka算子、搜索引擎目的算子、自定義算子。通過組合不同算子，形成安全規(guī)則。服務(wù)單位服務(wù)平臺(tái)已支持的安全檢測(cè)規(guī)則應(yīng)超過1000個(gè)，且覆蓋內(nèi)網(wǎng)脆弱性問題，病毒類事件，入侵行為，勒索、挖礦類事件等；報(bào)告中心支持根據(jù)不同場(chǎng)景，靈活選擇不同的組件組合形成新的報(bào)告模板，以便于查看不同場(chǎng)景和維度的服務(wù)報(bào)告?？蓮臅r(shí)間范圍，開始時(shí)間，結(jié)束時(shí)間、漏洞攻擊，網(wǎng)絡(luò)流量，惡意攻擊，脆弱性等維度組合新的報(bào)告模板。下載報(bào)告時(shí)，選擇相應(yīng)場(chǎng)景的模板進(jìn)行下載即可。平臺(tái)管理服務(wù)單位在本項(xiàng)目使用服務(wù)工具應(yīng)當(dāng)支持將收集的安全日志上傳到安全運(yùn)營服務(wù)平臺(tái)上，并支持在該平臺(tái)上對(duì)服務(wù)工具進(jìn)行管理；平臺(tái)支持使用finebi平臺(tái)，自定義配置統(tǒng)計(jì)數(shù)據(jù)，包括告警數(shù)據(jù)，工單數(shù)據(jù)，工單平均處置時(shí)長等數(shù)據(jù)，來統(tǒng)計(jì)當(dāng)前平臺(tái)的運(yùn)營效率，直觀體現(xiàn)出當(dāng)前運(yùn)營能力，同時(shí)可對(duì)服務(wù)專家處置效率進(jìn)行考核；服務(wù)質(zhì)量監(jiān)督業(yè)務(wù)安全狀態(tài)監(jiān)控：服務(wù)單位需為提供服務(wù)監(jiān)控門戶（或用戶Portal，區(qū)別于安全感知大屏），在門戶中可查看業(yè)務(wù)和資產(chǎn)安全狀態(tài)信息，使得能直觀感受到當(dāng)前的業(yè)務(wù)和資產(chǎn)安全狀態(tài)，展示緯度至少包括服務(wù)資產(chǎn)安全評(píng)級(jí)、服務(wù)運(yùn)營狀態(tài)及成果、安全風(fēng)險(xiǎn)概覽、最新情報(bào)。服務(wù)質(zhì)量監(jiān)控：服務(wù)單位提供的服務(wù)監(jiān)控門戶（或用戶portal）應(yīng)具備服務(wù)質(zhì)量可視化展示，服務(wù)單位能通過可視化的數(shù)據(jù)，清晰的了解安全專家的服務(wù)水平，至少包括脆弱性閉環(huán)率、脆弱性平均響應(yīng)時(shí)長、脆弱性平均閉環(huán)時(shí)長、威脅閉環(huán)率、威脅平均響應(yīng)時(shí)長、威脅平均閉環(huán)時(shí)長、事件閉環(huán)率、事件平均閉環(huán)時(shí)長，已驗(yàn)證服務(wù)單位所承諾的服務(wù)SLA。服務(wù)水平協(xié)議SLA通過SLA對(duì)安全事件服務(wù)水平作出承諾：（1）從安全日志產(chǎn)生到事件通告給的時(shí)間方面，按照國家標(biāo)準(zhǔn)對(duì)安全事件的分類分級(jí)指南，重大安全事件通告時(shí)間小于30分鐘，一般事件的通告時(shí)間少于1小時(shí)。（2）在未配備服務(wù)單位的邊界防護(hù)服務(wù)組件和終端防護(hù)服務(wù)組件的情況下，運(yùn)營服務(wù)對(duì)于重大安全事件的遏制影響和處置完成時(shí)間小于8小時(shí)，對(duì)于一般事件的遏制影響和處置完成時(shí)間小于24小時(shí)。（3）安全事件經(jīng)過服務(wù)人員的確認(rèn)后，各類安全事件的判斷準(zhǔn)確率不低于99%。（4）在配備了服務(wù)單位的邊界防護(hù)服務(wù)組件和終端防護(hù)服務(wù)組件的情況下，安全事件的閉環(huán)處置比例達(dá)到100%。（5）對(duì)于重大事故應(yīng)啟動(dòng)應(yīng)急響應(yīng)機(jī)制，工作時(shí)間15分鐘之內(nèi)云端專家進(jìn)行響應(yīng)，非工作時(shí)間30分鐘之內(nèi)云端專家進(jìn)行響應(yīng)，1小時(shí)上門處置。通過SLA對(duì)安全威脅服務(wù)水平作出承諾：（1）從安全日志產(chǎn)生到威脅通告給的時(shí)間方面，重大威脅的通告時(shí)間少于1小時(shí)，一般威脅的通告時(shí)間少于2小時(shí)。（2）在未配備服務(wù)單位的邊界防護(hù)服務(wù)組件和終端防護(hù)服務(wù)組件的情況下，高級(jí)威脅和一般威脅的處置完成時(shí)間少于24小時(shí)；（3）安全威脅經(jīng)過服務(wù)人員的確認(rèn)后，高級(jí)威脅和一般威脅的判斷準(zhǔn)確率不低于99%。（4）在配備了服務(wù)單位的邊界防護(hù)服務(wù)組件和終端防護(hù)服務(wù)組件的情況下，高級(jí)威脅和一般威脅的閉環(huán)處置比例達(dá)到100%。通過SLA對(duì)安全漏洞服務(wù)水平作出承諾：（1）在配備服務(wù)單位的漏洞定期掃描服務(wù)組件的情況下，漏洞掃描的頻率不低于每30天掃描一次。（2）高?？衫寐┒磸耐瓿陕吆蟀l(fā)現(xiàn)到推送漏洞報(bào)告的時(shí)間少于2個(gè)工作日。（3）高?？衫寐┒唇?jīng)服務(wù)人員確認(rèn)后的準(zhǔn)確率不低于99%。（4）高?？衫寐┒吹姆雷o(hù)率達(dá)到99%。（5）工作時(shí)間15分鐘之內(nèi)云端專家進(jìn)行響應(yīng)，非工作時(shí)間30分鐘之內(nèi)云端專家進(jìn)行響應(yīng)；服務(wù)交付物交付物名稱：《安全服務(wù)運(yùn)營報(bào)告》，報(bào)告頻率：每周一次交付物名稱：《首次威脅分析與處置報(bào)告》，報(bào)告頻率：一次交付物名稱：《事件分析與處置報(bào)告》，報(bào)告頻率：按需觸發(fā)，不限次數(shù)交付物名稱：《安全通告》，報(bào)告頻率：按需觸發(fā)，不限次數(shù)交付物名稱：《綜合分析報(bào)告/運(yùn)營月報(bào)》，報(bào)告頻率：每月一次交付物名稱：《季度匯報(bào)PPT》，報(bào)告頻率：每季度一次交付物名稱：《年度匯報(bào)PPT》，報(bào)告頻率：每年一次服務(wù)頻率及范圍對(duì)醫(yī)院10個(gè)核心業(yè)務(wù)系統(tǒng)，7*24小時(shí)持續(xù)專家服務(wù)，威脅發(fā)現(xiàn)及時(shí)響應(yīng)服務(wù)組件性能要求性能要求服務(wù)組件功能要求邊界安全防護(hù)服務(wù)將用戶內(nèi)網(wǎng)現(xiàn)有防火墻設(shè)備接入云端運(yùn)營平臺(tái)進(jìn)行管理，提供網(wǎng)絡(luò)層防護(hù)，入侵防護(hù)等功能；中標(biāo)后簽訂合同前需提供功能測(cè)試支持針對(duì)SMTP、POP3、IMAP郵件協(xié)議的內(nèi)容檢測(cè)，如郵件附件病毒檢測(cè)、郵件內(nèi)容惡意鏈接檢測(cè)，郵件異常賬號(hào)檢測(cè)等，支持根據(jù)郵件附件類型進(jìn)行文件過濾；支持針對(duì)HTTP、FTP協(xié)議內(nèi)容檢測(cè)與病毒查殺。支持抵御SQL注入、XSS攻擊、網(wǎng)頁木馬、網(wǎng)站掃描、WEBSHELL、跨站請(qǐng)求偽造、系統(tǒng)命令注入、文件包含攻擊、目錄遍歷攻擊、信息泄露攻擊、WEB整站系統(tǒng)漏洞等攻擊；支持針對(duì)網(wǎng)站的漏洞掃描進(jìn)行防護(hù)，能夠攔截漏洞掃描設(shè)備或軟件對(duì)網(wǎng)站漏洞的掃描探測(cè)，支持基于目錄訪問頻率和敏感文件掃描等惡意掃描行為進(jìn)行防護(hù)；支持Web漏洞掃描功能，可掃描檢測(cè)網(wǎng)站是否存在SQL注入、XSS、跨站腳本、目錄遍歷、文件包含、命令執(zhí)行等腳本漏洞；安全態(tài)勢(shì)感知服務(wù)將用戶內(nèi)外網(wǎng)現(xiàn)有態(tài)勢(shì)感知設(shè)備接入云端運(yùn)營平臺(tái)進(jìn)行管理，提供資產(chǎn)梳理，威脅深度檢測(cè)，威脅統(tǒng)一分析，多產(chǎn)品日志收集與對(duì)接等功能。中標(biāo)后簽訂合同前需提供功能測(cè)試。支持基于流量實(shí)時(shí)漏洞功能，漏洞分析類型包含配置錯(cuò)誤漏洞、OpenSSH漏洞、目錄遍歷漏洞、OpenLDAP等操作系統(tǒng)、數(shù)據(jù)庫、Web應(yīng)用等，頁面上支持展示業(yè)務(wù)脆弱性風(fēng)險(xiǎn)分布、漏洞類型分析、漏洞態(tài)勢(shì)與危害和處置建議，并支持導(dǎo)出脆弱性感知報(bào)告。支持大屏展示業(yè)務(wù)脆弱性態(tài)勢(shì)，包括漏洞風(fēng)險(xiǎn)態(tài)勢(shì)、漏洞類型TOP5、高危漏洞TOP5、業(yè)務(wù)總覽、脆弱性業(yè)務(wù)TOP5、實(shí)時(shí)脆弱性監(jiān)測(cè)；平臺(tái)具備獨(dú)立文件威脅鑒定模塊，支持基于HTTP、郵件、FTB、SMB等協(xié)議的文件檢測(cè)，平臺(tái)內(nèi)置病毒檢測(cè)引擎、人工智能檢測(cè)引擎等，支持記錄惡意文件TOP5、文件名、病毒病毒、發(fā)現(xiàn)次數(shù)、傳播協(xié)議、感染源等信息，并支持導(dǎo)出分析結(jié)果。流量采集服務(wù)將用戶內(nèi)外網(wǎng)現(xiàn)有流量探針設(shè)備接入云端運(yùn)營平臺(tái)進(jìn)