昆明医科大学附属口腔医院三级等级保护服务建设方案及概算征集的公告
为更好地推进口腔医院三级等级保护建设,现向社会征集建设方案及相应概算。
一、建设方案交回时间、地址
征集截止时间:2024年4月7日至2024年4月15日,每日8:30~11:30,13:30~17:30,逾期不再接受。
地点:高新区海源中路1088号和成国际C座509室。
如有实地踏勘或其它疑问,请在2024年4月7日至2024年4月14日,每日9:00~11:00,14:00~17:00至上述地点进行登记、踏勘或咨询。建设方案需装订完整,形成一正一副两本,封面及概算部分每页均盖鲜章。
二、项目服务目标
昆明医科大学附属口腔医院网络安全运营服务项目的建设目标,主要是确保医院的信息系统在网络环境中能够安全、稳定、高效的运行。引入专业的技术力量帮助医院构建一个全方位的网络安全防护体系,以抵御各种网络攻击和威胁,保护医院的敏感信息和数据不受泄露和损坏。
根据《网络安全法》相关要求,本项目建设以达到等保三级测评为建设目标,在当前医院现有的网络环境基础上,帮助医院从技术和管理两方面完善,构建安全防护体系,使医院等保测评成绩结果不低于80分。
根据《数据安全法》、《个人信息保护法》相关要求,帮助医院建立完善的数据安全防护,如数据备份、恢复、容灾等保障体系及服务,确保数据具备三重或以上的容灾措施.
根据《密码法》相关要求,服务商提供的服务工具需满足国密要求,为医院下一步商用密码评估做好提前规划。
三、项目服务要求
随着智慧医院系统推进建设,需对目前在用软件、全院互联网访问、跨区域数据交换、多链路通信等的外部互联网应用、内部数据流转、敏感信息脱敏、访问权限控制、远程维护管理、数据灾备、网络情况监控、潜在威胁发现等形成一套可持续性的、高可靠的信息安全服务体系,因此在等级保护的框架内还需针对专科医院及多院区特点实现个性化的信息安全管理服务模式。
四、项目服务依据及服务主要内容概述
(一)服务依据(包含但不限于)
GB/T 22240-2020信息安全技术网络安全等级保护定级指南
GB/T 22239-2019信息安全技术网络安全等级保护基本要求
GB/T 36626-2018信息安全技术信息系统安全运维管理指南
GB/T 30285-2013信息安全技术灾难恢复中心建设与运维管理规范
GB/T 28827.3-2012信息技术服务运行维护第3部分:应急响应规范
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 20271-2006信息安全技术信息系统通用安全技术要求
GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
GM/T 0115-2021《信息系统密码应用测评要求》
《全国医院信息化建设标准与规范(试行)》
(二)服务主要内容概述
1、依据国家相关政策要求,网络空间安全总体设计指引以“一个中心、三重防护”为理念,从现有的被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。从安全技术体系、安全管理体系、安全运营体系三方面来实现信息安全建设。建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、安全培训和日常运维保障等工作的服务。
2、构建完整的数据中心及动态网络空间运行质量洞察运维管理体系方案,从IT基础设施运行态势管理,包括在资源层面构建业务为导向的可视化安全运维管理,多维度可视化视图管理,到核心业务运行态势可视化管理;以及处理安全事件有效的记录手段,形成体系,逐步建立起精细化、主动式、可视化、流程化、标准化、一体化、智能化的IT运维管理体系,基于智慧医院业务运行背景优化现有运维体系,建立符合数据中心实际情况的运维管理流程及运维体系,提高运维效率。掌握IT设施的运行趋势,安全趋势、资源运行态势、业务运行态势、提高IT资源、业务应用、数据存储的安全性;预判业务系统整体健康状况和运行趋势,从而有效保障业务应用的连续运行的服务。
3、依据《全国医院信息化建设标准与规范(试行)》规范要求,构建整体信息化业务系统的安全性、业务连续性保障体系方案。通过技术与管理手段的结合,设计一套完整的灾备系统管理体系,规范灾备系统的应用流程、提升综合管理水平、降低业务安全风险、减轻运维压力,达到医院智慧医院背景下对于信息化业务系统的各项指标。同时,帮助医院在相关各项政策、标准、要求中相关的标准实现与达成,包括但不限于、网络安全等级保护制度、灾难恢复规范等。
4、提供数据中心运行及动态网络空间全域安全持续监测、发现、预警、防护运维服务,及时提出有效应对解决方案并组织甲方协同处理可能存在的网络安全威胁;基于基础数据中心全局视角、保障系统健康稳定运行;对业务变更、技术革新、新系统测试、上线、生命周期等全局集成性工作提供及时专业支持的服务。
5、按事件、巡检结果、月度分析可能对医院业务系统和IT系统的安全性造成威胁的各种风险因素并提出相应的对策和改进方案。风险分析的工作将不仅仅只是提出补救措施,还将定义出对于风险的预防措施的服务。
6、汇集数据中心运行及动态网络空间全域事件及机器数据,构建多域机器数据及事件全生命周期管理;提升全域数据应用能力,逐步实现以数据驱动信息平台运营的服务。
五、服务需满足的质量、安全、技术规格、物理特性等要求
(一)协助医院完成信息安全管理制度、知识库、灾备演练及培训体系建设服务
1、需建设符合国家法律法规的一系列安全制度,同时制度的执行具有可操作性,并符合医院现阶段的现实情况,并提供必要的执行手段。
2、在制度中明确各部门、各岗位职责,并具有惩罚机制。
3、对信息安全提供覆盖全院的、类型多样的、定期的培训方式、方法。
4、提供必要的信息安全反馈渠道,接入医院消息发送平台,对涉及到的人员进行及时提醒。
5、建立信息安全知识库,按照安全漏洞危害等级、修补方式、时间远近及查询权限等进行覆盖全院的系统快速查询,以提高全院信息安全综合素质。
6、定期开展灾备演练,并提供相应报告。提供安全事故库,耦合医院实际情况,对演练环境做到拟真、不走过场,事后报告有详细记录,并有分析总结。
(二)数据安全及保障
1、按照数据管理要求辅助完成组织架构、工作责任制度建设,并建立具备可操作性的规程及技术规范。
2、建立数据审计、备份、恢复、容灾等保障体系及提供相应服务,确保数据具备三重或以上的容灾措施,且具备授权体系下的恢复、查询、比对功能,相关手段包含但不限于冷、热,增量、全备、实时等自动化方法,并确保过程的可追溯性,同时具备通讯加密、数据校验,确保数据一致性并对数据对象格式、存储方式等具备较高兼容性。将存储空间软件定义为磁带格式,避免病毒及勒索软件对备份数据的破坏。对每个人员操作与任务执行过程进行详细记录,在必要的情况下进行历史追溯。定期或即时对备份数据进行在线查询、演练恢复,验证备份数据的正确性及完整性。将系统运行情况使用大屏展示,显示感知数据保护态势。
3、提供数据审计服务,对数据的同源性、一致性、流转可进行追溯,其中对于统方、统计耗材等要有高可靠的审计效能,同时能够阻拦非法数据查询、修改、删除、增加。
4、对特定数据进行自动化的脱敏处理,并具备脱敏的可逆或不可逆方法,且符合国家相关法律法规要求。
5、以上建设内容需高度兼容现有网络架构、存储方式、物理空间,并具备高抗压性、高容错、容灾性。
(三)安全通信及区域管理
1、提供链路质量的实时监控,在主线路出现问题时,能切换到其他网络以保障网络正常运行,同时需优先保障重要业务的正常开展。
2、补强现有数据通讯中的弱项,利用信息化、智能化方法进行加密、混淆,以保障通信过程保密、内容不可逆向明文化、性能损失最小化。
3、建设安全通信的冗余通道,并提供可伸缩的安全区域边界。
4、在安全区域边界,提供并部署实时的策略,并提供详细说明及来源,同时策略形成具备完善的人工路径及自动化路径,并可进行追溯及效果评估。
5、安全区域边界需对进出区域的行为、内容进行审计、阻拦,并进行记录,同时具备路径冗余。
6、发生超出阈值或低于阈值情况时,通过多路径通知管理人员,并对区域内外的安全措施形成联动效应,第一时间阻止安全区域的入侵或逃离。
7、以上服务除依托外部数据为基础外,同时需要针对内部进出数据、日志、操作痕迹等形成区域策略。
(四)安全计算环境
1、提供有效认证服务,并能与其他服务形成联动,形成细粒度的行为管控策略。
2、对业务系统遇到的攻击需能提供实时检测与防护,并能及时阻断机器人攻击行为,同时应充分考虑策略下发的便利性。
3、利用传感器、数据分析、并依托大数据分析以及人工指令对整体计算环境进行监测,当数值高于阈值或低于阈值时及时通过多种渠道通知系统管理员。
4、对计算环境故障发生具有前瞻性,并结合数据容灾体系做到提前预知、事发阻止、数据不丢、时候可追溯。
5、辅助建设多节点计算环境,确保冗余性,同时单节点确保全负载的可持续性。
6、对计算环境中的安全策略进行集中设置及处理,并对接入计算环境的身份进行验证,并能快速定位。
(五)安全管理
1、依托已建成的城域网,对总院及门诊形成有效的安全管理体系,包括但不限于以下内容:
(1)具备远程操控能力。
(2)具备信息资产(实体及非实体)的自动收集、分类、修改、维修、工单一体化管理能力,手段丰富不限于APP、小程序等形式。
(3)对整个体系内的终端可按照前述结果及人工干预快速进行定位、隔离,防止故障蔓延。
(4)管理体系内的终端行为可按照预设策略进行管控,并对性能情况进行及时反馈。
2、针对终端日志、系统登录、软件操作等行为具备分析、预警及干预机制,必要时对终端进行锁定并联动触发网络隔离。
3、快速定位网络虚拟空间中终端设备的物理位置,同时防止硬件识别码篡改带来的伪造问题,并能对网络环路进行自动化警告、隔离降低或消除影响。
4、提供对IT资产分组、分域的统一管理维护,并提供专项安全场景分析,对脆弱性、弱口令和其他安全风险进行综合分析,必要时联动其他技术组件完成一键封堵。
(六)运维安全
1、具备统一入口以及强身份认证(包含但不限于动态密码、物理地址认证等)的运维平台。
2、在运维过程中从操作动作、输入语句及语句执行层面进行主动式监管,并在发生超出阈值行为时及时阻断,同时对运维过程全程保留视频等资料。
3、具备安全可靠及动态更新的运维平台自身安全保障体系。
(七)安全服务
1、安全咨询。提供网络安全咨询专业服务,指导信息安全建设与运维工作,解答各类安全问题,对医院安全策略、安全流程提供改进建议,建立网络安全统一策略管理机制,并制定完善解决方案。全周期对医院新建信息化项目从业务需求分析、系统设计、部署实施、测试运行、竣工验收等环节,提供网络安全技术咨询支持。
2、安全巡检。全面掌握医院网络安全状况,分析面临的安全威胁和风险,评估安全防护水平,查找突出问题和薄弱环节,提供有针对性的防范对策和改进措施。巡检时间安排根据实际情况进行,每季度至少对医院内安全设备和重要网络设备的安全策略全面巡检一次。定期对医院内业务系统进行安全渗透检测,检查和评估目标网站是否存在SQL注入、跨站脚本、木马上传等漏洞,分析掌握Web网站中存在的薄弱环节。
3、安全策略梳理。定期梳理安全设备和网络设备等软硬件系统的安全策略,及时调整发生变更或废止的信息资产安全策略,建立策略池和配置档案,提高安全运维质量和水平。
4、整改加固。根据网络信息系统安全评估报告及等保测评问题,制定安全加固方案。安全加固方案应覆盖医院所有服务器和网络设备,以及不同类别的操作系统、数据库和应用系统。并在出现不符合规定要求的事项后,根据需要采取纠正措施与预防性措施。
5、网络安全应急响应。主要工作包括:事先充分准备,包括安全培训、制订安全政策和应急预案以及风险分析等。事件发生后采取的抑制、根除和恢复等措施,尽可能的减少损失或尽快恢复正常运行。并协助管理人员形成正反馈机制,配合强化网络安全防范体系。
六、项目服务地点
昆明医科大学附属口腔医院
七、项目服务标准、期限、效率等要求
服务期间至少需要1名网络安全持证专业技术人员驻场,原则上不得更换。如驻场服务中途离场须获医院批准,轮换同等及以上技术水平人员。驻场提供5×8小时驻场运维保障服务,重要时7×24小时值守。
八、其它技术要求
1.安全服务中如有硬件、云资源等资产由服务提供商一并提供,产权属于服务提供商。
2.建设方案需针对智慧医院系统及电子病历系统通过信息安全等级保护2.0中的三级等级保护;医院资源管理系统(HRP)通过二级等级保护;其余系统置于保护体系内,获得不低于二级等级保护的条件。
附件:昆明医科大学附属口腔医院现弱电环境明细
(1)服务器及计算环境
在网服务器列表
服务器类型 | 数量 | 型号 | 在用端口 |
物理服务器 | 7台 | 2288H V6 | 2光纤+2电口 |
2台 | OceanStorDorado 5300 V6 |
| |
5台 | 5885H V5 | 1光纤+2电口 | |
1台 | HP ProLiant DL580 Gen9 | 1电口 | |
1台 | Dell PowerEdge R730xd | 1电口 | |
1台 | Dell PowerEdge R730 | 1电口 | |
虚拟服务器 | 18台 | 智慧医院系统 |
|
4台 | EMR |
| |
2台 | HRP |
| |
4台 | 其它B/S架构软件服务器 |
|
(2)现有数据库情况
Mysql(5.6.36);Oracle(11g);MSSQL(11.0.7469)
(3)网络设备情况
型号 | 数量 | 位置 |
Quidway S6700 | 1 | 核心交换 |
Ruijie RG-S7805C | 1 | 核心维修交换 |
S5720-52X-LI-AC | 15 | 楼层及五所附属门诊 |