我院拟采购渗透测试和攻防演练的招标公告

为确保我院网络渗透测试工作能按时完成，现拟采取院内比选的形式选择商家对互联网业务进行网络安全渗透测试。作为议价人，为体现公开、公平和公正的原则，按医院有关要求和规定，现诚邀有合格资格的商家参加以下项目的比选。

一、项目名称：大邑县妇幼保健院渗透测试和攻防演练采购

1. 拟采购产品名称：渗透测试和攻防演练 

2. 报名要求：报名人带公司委托书、身份复印件、投标公司资质并盖鲜章。    

3. 报名时间：2019年8月15日至2018年8月20日（节假日除外）

4. 报名地点：大邑县妇幼保健院采购部办公室

5. 报名截止时间：2019年8月21日上午12:00

6. 招标比选时间：2019年8月21日下午14:30时

7. 联系人：文老师（电话：***

二、采购项目简介

根据《四川省卫生健康委员会关于在全省开展攻防演练和渗透测试的通知》的通知要求，我院将门户网站等互联网业务系统进行漏洞扫描、渗透服务，以清查我院面临的安全威胁，并我院提升管理人员的应急响应能力。具体服务内容及要求见附件。

三、供应商资格要求：

1、具有独立承担民事责任的能力；

2、具有良好的商业信誉和健全的财务会计制度；

3、具有履行合同所必须的设备和专业技术能力；

4、具有依法缴纳税收和社会保障资金的良好记录；

5、参加本次政府采购活动前三年内，在经营活动中没有重大违法记录；

四、附件

一、 项目背景

2019年6月3日，省卫健委下发了《四川省卫生健康委员会关于在全省开展攻防演练和渗透测试的通知》的通知，要求全省县级以上卫生健康局，各直属单位，委注册二级及以上医疗机构做好建国70周年网络和信息安全保障工作，进一步提高卫生健康行业网络和信息安全水平，有效排查整改网络安全隐患，并形成了对上述单位的安全漏洞形势的监督与检查机制。我院自有的安全管理能力以及专业技术能力无法达到相关要求。亟需第三方安全厂家对相关业务系统进行渗透测试服务，纠察业务系统的安全漏洞、提高安全管理人员的应急处置能力。

二、 项目内容

对大邑县妇幼保健院门户官网、微信等业务系统进行漏洞扫描、渗透服务服务，以清查大邑县妇幼保健院面临的安全威胁，并提升管理人员的应急响应能力。

（1）漏洞扫描服务

服务内容：

采用国家信息安全漏洞库（CNNVD）为标准漏洞库的漏洞扫描设备对互联网业务系统进行漏洞扫描，扫描出其漏洞、弱口令，验证其健壮性。漏洞扫描不仅是寻找存在的安全风险、漏洞和威胁，同时也是助力客户有主次、有目的地进行信息安全系统加固、架构优化、防范恶意人员的基础。

A.服务器漏洞扫描

对我院的服务器进行漏洞扫描，从内网和外网两个角度及时发掘扫描对象的脆弱性，输出安全整改建议。

B.web应用漏洞扫描

对我院的应用系统进行漏洞扫描，从内网和外网两个角度及时发掘扫描对象的脆弱性，输出安全整改建议。

服务频率：一次

输出内容：相关系统、设备的《漏洞扫描报告与整改建议》，报告需要满足省市卫健委要求

（2）渗透测试服务

服务内容：

参考国际先进标准PTEC和CPT，通过使用各类网络黑客攻击技术对网络进行模拟渗透攻击，测试web应用系统的安全性和健壮性，整个过程充分借助专业人员的技能与经验，挖掘传统自动化检测工具所无法识别的安全漏洞。测试内容包括但不限于SQL注入及盲注漏洞、任意文件上传下载漏洞、存储型XSS跨站脚本漏洞、越权操作漏洞、缓冲区溢出漏洞、远程命令执行漏洞、敏感信息泄露漏洞、代码执行漏洞、重要操作的CSRF漏洞等。并提供安全修复加固建议并指导修复加固。

渗透测试服务商必须同时具备如下4个条件（或者满足要求的厂商授权）：1.信息安全管理体系认证证书（ISO/IEC 27001）、2.《信息安全服务资质证书》（安全工程类）、3.国家信息安全漏洞库（CNNVD）技术支撑单位、4.在四川省有常驻的支柱服务团队。中标后需提供原厂授权函。

服务频率：一次

输出内容：《渗透测试报告与整改建议》，报告需要满足省市卫健委要求。

（3）渗透测试服务期间安全保障服务

为保障我院业务在渗透测试期间，安全、稳定、可控地运营，需服务方在渗透测试准备阶段为我院提供访问控制最小化、安全策略合规化等服务，并部署渗透测试保障产品，达成业务安全运营地目标。

具体的内容要求如下：具体的内容要求如下：

A.根据业务流程与数据流程，对我院安全设备进行策略调优，保障安全设备的策略可控。

B.对我院进行安全巡检，针对安全设备的CPU、内存、功能模块授权情况、安全日志等内容进行梳理与问题总结，保障我院安全设备安全、稳定的运行。

C. 对服务器操作系统、网络设备进行安全风险检查，排查高危漏洞并提出整改建议；对网络设备、服务器的身份权限、访问控制、安全审计、边界保护、入侵防范、设备防护等进行手工配置核查，提供安全整改建议。

D.对目标网站的应用服务器、数据库服务器的操作系统进行安全配置，对操作系统进行补丁装载，杜绝操作系统安全隐患，并指导业务厂家对数据库漏洞、应用漏洞进行整改，直至厂家整改完毕。

★F.为避免恶意人员在渗透期间，向我院业务服务器实施勒索病毒，造成极大的损失。服务方应向我方服务器提供核心数据保护系统，对操作系统提供内核级保护，在内核级上提升操作系统的安全级别，保证核心数据不被删改、核心业务（进程）不被非法终止。所提供的软件需具备《计算机软件著作权登记证书》、《公安部销售许可证》，并提供原厂授权证明。

★G.为了保障渗透测试安全性，需要现有安全设备进行审计，提供日志审计，数据库审计产品的原厂商授权并加盖鲜章。

三、 服务范围

大邑县妇幼保健院门户网站、微信。

四、 服务方式

    服务方式：派遣具有医疗行业安全服务经验的高级渗透测试工程师进行远程或现场安全检测。