[信息安全等级保护整改]采购项目市场调查公告

各供应商：

我院信息安全等级保护整改采购项目现进入市场调查阶段，欢迎符合资格条件的供应商前来报名参与。我院将根据市场调查的结果，邀请符合我院需求的供应商进行院内邀请论证（谈判）会，具体时间另行通知。

一、采购项目概况： 1、项目名称：信息安全等级保护整改

2、项目编号：FSZYYHQCG2020122601

3、项目预算：76万元。

4、成交供应商数量：1家

5、用户需求：详见附件1（供应商必须响应用户需求书全部内容）

二、报名供应商资格要求：

1、供应商必须具有独立法人资格，能独立承担民事责任和合同义务。

2、供应商必须具有有效的中华人民共和国企业法人营业执照，执照中必须具有本项目的经营范围。

3、具有良好的商业信誉和健全的财务会计制度。

4、供应商须具备履行合同的设备和专业技术能力。

5、供应商应遵纪守法、诚信经营，近三年内（自本项目发布之日起往前推三年）无违规违法行为或采购活动中无不良记录。

6、本项目不接受联合体参与谈判。

三、网上公告时间及报名时提交的文件要求 1、报名时间：即日起至2021年1月8日17:00止。 2、报名时需提交的文件（A4纸，双面打印并按照以下顺序装订完整并每页加盖公章）：

（1）报名资料封面（格式见附件2）。

（2）报名文件目录（格式见附件3）。

（3）企业法人营业执照（副本）复印件。营业执照经营范围如注明“具体经营项目请登录商事主体信息公示平台查询”的，须打印商事主体信息公示平台查询页。

（4）税务登记证书（国、地税）复印件。

（5）组织机构代码证复印件。

（6）如已办理营业执照、税务登记证、组织机构代码证三证合一的企业，请提交加载法人和其他组织统一社会信用代码的营业执照复印件。

（7）自行登录“国家企业信用信息公示系统”（)， 点击右上角“发送报告”栏按提示把《企业信用信息公示报告》发送至指定邮箱，然后完整下载并打印。（备注：①不能截图，必须完整打印；②公示报告生成日期应在本邀请函发布日期之后）

（8）参与人如为法人代表，须提交供应商法人代表证明书（格式见附件4）法人代表第二代居民身份证复印件（原件备核）。参与人如为授权代理人，须提交供应商法人代表证明书及法人代表第二代居民身份证复印件、法人授权书（格式见附件5）及授权代理人第二代居民身份证复印件（原件备核）。

（9）供应商应遵纪守法、诚信经营，近三年内（自论证公告发布之日起往前推三年）无违规违法行为或采购活动中无不良记录。（供应商书面承诺，格式见附件6）。

（10）如有则提交 ISO9001 、ISO27001 、ISO20000证书的复印件。

（11）提供从2018年1月1日（以合同签订时间为准）至今，大于等于50万同类业绩（格式见附件7）及提供合同关键页不少于3份。

（12）按附件1项目需求书提供技术点对点响应表和截图。

 

备注：

1、供应商提交的材料必须真实可靠，如经核实为虚假材料的，将取消其报名资格并列入医院供应商诚信黑名单。

2、请供应商按照上述第三点第2条要求，提交纸质资料（一式一份），所提交的文件资料必须在有效期内，复印件需清晰并加盖公章，否则将会被取消资格。

3、供应商不得串通围标，如发现有串通围标行为将取消其参与项目资格并列入医院供应商诚信黑名单。（串通定义见《政府采购法实施条例》第七十四条，中华人民共和国财政部令第87号--政府采购货物和服务招标投标管理办法第三十七条）

 

四、报名交资料时间

即日起至2021年1月8日17:00截止。

 

五、联系方式

1、采购人：佛山市中医院

2、地址：佛山市禅城区亲仁路6号自编10号楼二楼采购办公室

3、联系电话：(0757)83067029，18025951948 传真：(0757)83067026

4、电子邮箱：it@fshtcm.com.cn

5、联系人：潘先生

 

 

佛山市中医院

2021年1月4日

 

附件1：

[信息安全等级保护整改]项目需求书

2019年国家发布新修订的《信息安全技术网络安全等级保护测评要求》，等保测评启用2.0标准。2019年11月佛山市中医院响应新要求，对院内的患者服务系统、门诊服务系统、体检服务系统、医学影像服务系统、信息平台这5个信息化系统以及机房环境和网络环境进行等保测评，其中患者服务系统、门诊服务系统、体检服务系统、信息平台被评定为三级，医学影像服务系统被评定为二级。

根据测评的结果，5个信息系统在应用与数据安全方面、安全计算环境方面、主机安全方面都存在多个不符合等保要求的项目。现在需要针对中医院5个信息系统中的不符合项，通过增加安全设备、整改机房环境及通信网络、信息系统整改、安全管理体系整改使5个信息系统符合要求。

 

一、采购设备

1.采购清单

序号

设备名称

功能要求

数量

单位

1

数据库透明加密网关

可通过数据库加密网关对5个数据库实例中的重要信息如个人身份证号，手机号进行加密。数据库加密网关采用透明加密技术，不影响最终用户、应用、数据库及非结构化数据的操作。通过数据库加密网关可保护任何数据类型，包括结构化数据库信息和非结构化的 文件。采用透明加密技术对于应用程序和数据资源的操作完全透明，可避免更改应用程序和存储改装。

1

台

2

远程安全评估系统

在核心交换机以旁挂的方式部署一套远程安全评估系统，定期对医院内信息系统进行漏洞扫描，可以及时发现信息系统下的所有主机系统、网络安全设备的新增漏洞并及时进行漏洞评估和修补。

1

台

2. 技术参数

▲为关键技术参数，须提供功能截图等有效证明材料并加盖响应供应商公章。

2.1数据库透明加密网关参数要求

 

2.2远程安全评估系统参数要求

序号

指标项

参数要求

1

硬件架构

软硬件一体化产品，标准1U硬件平台，硬盘2T，内存16G，配备至少6个100/1000M自适应电口，2USB口，单电源。提供3年硬件维保服务及特征库升级。

2

可扫描目标对象

授权可扫描总数量不多于128个无限制范围IP地址。

3

性能要求

任务并发数≥10，单任务并发IP数≥60；

4

总体要求

产品要求界面友好，并有详尽的技术支持文档，tpwallet官方网站所有图形界面要求中文。

系统为B/S架构， tp官方正版下载并采用SSL加密通信方式，用户可以通过浏览器远程方便对产品访问操作，支持多用户同时登录操作。

提供分布式部署，上级管理设备能够方便查看下级设备状态，提供产品截图。

▲支持用户自定义系统名称、版权信息和系统的Logo信息，而无需进行定制化。

5

系统漏扫功能要求

▲厂商漏洞特征库大于53000条；提供详细的漏洞描述和对应的解决方案描述；漏洞知识库与CVE、CNNVD、Bugtraq、CNCVE、CNVD等国际、国内漏洞库标准兼容。

支持对各种网络主机、操作系统、网络设备(如交换机、路由器、防火墙等)、常用软件以及应用系统的识别和漏洞扫描。

支持云平台扫描，漏洞覆盖OpenStack、Kvm、VMware、Xen等主流的云计算平台。

支持对Apple软件和应用进行扫描，包括Mac OS、Safari、itunes等。

支持扫描物联网设备的漏洞，至少支持国内主流摄像头品牌，包括海康威视、宇视、大华，打印机需支持惠普、三星，路由器需支持扫描TP-Link、Netgear、D-link等。

系统内置不同的策略模板如针对Linux、Windows操作系统、工控、大数据、虚拟化、数据库扫描等模板，同时允许用户定制扫描策略模板。

用户可自定义扫描范围、定义扫描端口、扫描使用的参数集等具体扫描选项。

可以自定义扫描端口范围、端口扫描策略。

https://www.token-im.net

提供采用SMB、SSH、Telnet、SNMP等协议对Windows、Linux系统进行登录授权扫描。

▲具备弱口令扫描功能，支持弱口令扫描协议数量≥22种，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等协议进行弱口令扫描，允许用户自定义用户、密码字典。

支持发现非默认端口启动的服务，支持服务的协议识别、版本。

▲同IP不同端口同漏洞的结果应明确给予端口标识。

支持对误报的漏洞进行修正，避免将误报结果导出。

支持端口探测方式≥7种，如： TCP ACK、TCP SYN、TCP Connect、TCP Null、TCP Xmas、TCP Window、TCP Fin等。

6

资产管理

支持手动创建资产也可以批量导入资产。

在资产管理页面可直接对单个资产或批量资产下发扫描任务。

在做系统扫描任务时发现的新资产能够自动录入至资产管理页面。

▲支持授权管理，对已知用户名、密码的资产可预先进行配置存放至授权管理，再下发扫描任务时能对该部分资产的授权信息同步。

7

策略管理

支持自定义扫描策略模板，可以将自定义策略模板导出备份，也可以导入备份的策略模板，能够对策略模板进行编辑、另存为新的模板。

漏洞知识库支持检索，可通过CVE ID、CNCVE ID、CNVD ID、CNNVD ID、Bugtraq、CVSS分值、漏洞名称、风险等级、发现日期等进行检索查看。

8

报表管理

支持导出的报告类型≥5种，包括HTML、WORD、PDF、EXCEL、XML报告格式。

▲支持在线查看报告和离线导出报告，报告导出可将弱口令隐藏不以明文的形式展现至报告。

提供直观的风险危害等级图表和风险类型统计图表、漏洞的描述、漏洞的风险级别、加固建议。

报告内容可以自定义(如：报告的标题、描述、页眉、页脚等相关信息)

9

日志管理

只有审计员可登录系统进行查看日志和检索导出等操作。

提供审计功能，能够对登录日志、操作日常进行记录和查询，并可以将日志导入导出操作。

操作日志支持手动备份和自动备份，自动备份支持邮件发送和FTP同步两种方式，支持自定义设置备份周期。

10

对外接口

具备对外接口，支持任务下发接口，扫描结果上报接口，任务进度接口，任务查询接口。

11

安全设置

▲支持安全配置，可以根据需要开启或关闭验证码登录。

支持超时自动退出设置，用户未操作扫描系统达到设定的阈值将自动退出系统。

用户连续登录失败支持设置锁定方式，支持锁定账户和锁定IP两种方式。

支持启用访问控制，可以设置黑白名单IP，只有白名单IP才可访问系统。

12

用户管理

▲提供三权分立的账户体系，支持上下级部门管理，非上下级的不同部门任务、资产隔离。

▲支持对用户有效期进行详细设置，可以设置不限制，也可以设置每天的哪个时段、每周的周几至周几、每月几号至几号才能正常使用。

支持针对账户设置允许扫描资产范围。

13

升级维护

产品能够提供在线升级和离线升级，至少每周进行一次漏洞特征库定期升级。

支持升级服务器地址配置，支持自动更新，在设置的周期时间内自动更新。

14

保修

安装和服务 提供原厂家的项目管理、现场安装、配置及实施服务，设备原厂商提供至少三年上门保修服务

15

▲产品资质及实力

产品具备《计算机软件著作权登记证》。提供有效证书的复印件

产品具备公安部的《计算机信息系统安全专用产品销售许可证》（增强级）。提供有效证书的复印件

产品符合《GB/T 20278-2013 信息安全技术 网络脆弱性扫描产品安全技术要求》增强级的要求

产品具备国家保密局涉密信息系统安全保密测评中心的《涉密信息系统产品检测证书》。提供有效证书的复印件

产品具备网络关键设备和网络安全专用产品安全认证证书（增强级）。提供有效证书的复印件

产品具备IPv6 Ready兼容认证

产品具备国家信息安全漏洞库《CNNVD兼容性资质证书》。提供有效证书的复印件

为保证能够提供准确可靠的Web应用漏洞扫描和恶意代码发现，要求提供网站漏洞扫描方法的专利证明不少于4种。

为保证能够提供准确可靠的数据库漏洞发现，要求提供数据库漏洞扫描方法的专利证明不少于4种。

二、服务要求

1.机房环境及通信网络整改服务：

结合单位目前现有机房环境及通信网络情况，根据现有网络拓扑结构，根据各厂家的配置规范进行以下几方面的加固配置，为达到设备安全程度最高化、网络合理化从而巩固该网络安全。加固内容包含但不限于以下加固内容。

（1）对非授权设备私自联到内部网络的行为进行检查或限制；

（2）在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；

（3）对内部用户非授权联到外部网络的行为进行检查或限制；

（4）对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。

 

2.信息系统整改服务

结合各项系统和整体的信息安全检测结果，针对各业务系统中的应用与数据安全、安全计算环境、主机系统漏洞、渗透测试等几方面的不符合项进行加固整改。加固内容包含但不限于以下加固内容

·应用与数据整改：

（1）对登录的用户进行身份标识和鉴别；

（2）启用登录失败处理功能，防止暴力破解；

（3）对管理用户所需的最小权限，实现管理用户的权限分离；

（4）对重要主体和客体设置安全标记；

（5）采用校验技术或密码技术保证重要数据在传输过程中的完整性；

（6）采用密码技术保证重要数据在存储过程中的保密性。

·安全计算环境：

（1）应用服务器应删除或停用多余的、过期的账户；

（2）应用服务器遵循最小安装的原则，处理非必需插件及软件；

（3）关闭不需要的系统服务、默认共享和高危端口；

（4）对审计进程进行保护，防止未经授权的中断；

（5）启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

·主机安全漏洞：

根据信息安全检测结果，对需要整改业务信息系统中的应用服务器、数据库等设施存在的漏洞进行修补。

·渗透测试问题：

（1）需对用户登陆窗口设置软键盘；

（2）禁止普通浏览用户访问以上目录和文件权限；

（3）在服务端禁止或者转义用户提交数据中的HTML代码。对站内所有用户提交的数据使用白名单限制，将用户提交的数据规定在限定的字符；

（4）应对程序添加登录功能，进行身份验证。

 

3.安全管理体系整改服务

结合目前的安全管理体系，针对信息安全检测结果报告中的不符项进行整改。整改内容包括但不限于以下内容。

（1）定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况，制订常规安全检查方案，定期对系统日常运行、系统漏洞和数据备份做检查；

（2）对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施，定期对系统相关人员进行安全意识教育和岗位技能培训；

（3）定期对系统相关的人员进行应急预案培训，并进行应急预案的演练，制订应急管预案，定期进行应急预案演练。

 

三、商务要求

 

 

 

附件2：

 

 

佛山市中医院后勤管理科采购项目

报名文件

 

 

 

项目名称：

项目编号：

 

 

 

 

 

 

供应商名称（加盖公章）：

联系人姓名：

联系电话（手机）：座机：

E-mail：

日期： 年   月  日

 

 

附件3

报名文件目录

 

序号

投标资料

页码

审核情况（√）

备注

1

三证合一的营业执照复印件

 

 

 

或

企业法人营业执照（副本）复印件

 

 

 

税务登记证书（国、地税）复印件

 

 

 

组织机构代码证复印件

 

 

 

2

商事主体信息公示平台查询页（营业执照经营范围如注明“具体经营项目请登录商事主体信息公示平台查询”）

 

 

 

3

企业信用信息公示报告

 

 

 

4

法人代表证明书

 

 

 

5

法人代表第二代居民身份证复印件

 

 

 

6

法人授权书

 

 

 

7

授权代理人第二代居民身份证复印件并提供授权代表人社保缴费证明

 

 

 

8

提供ISO9001证书复印件

 

 

 

9

供应商应遵纪守法、诚信经营，近三年内（自论证公告发布之日起往前推三年）无违规违法行为或采购活动中无不良记录。（供应商书面承诺，格式见附件6）。

 

 

 

10

提供2018年1月1日（以合同签订时间为准）至今，3份同类业绩（格式见附件7）及提供合同关键页。

 

 

 

 

 

附件4：

法定代表人资格证明书

 

佛山市中医院：

同志，现任我单位职务，联系手机：，为法定代表人，代表我单位参与贵单位以下项目的采购活动，特此证明。

项目名称：

项目编号：

 

 

法定代表人（亲笔签名或签章）：

签发日期：年月日单位名称（加盖公章）：

 

法定代表人身份证

复印件正面粘贴处

 

法定代表人身份证

复印件反面粘贴处

说明：

1.法定代表人为企业事业单位、国家机关、社会团体的主要行政负责人。

2.须提供第二代居民身份证双面复印件，并加盖供应商公章。

 

 

附件5：

法人授权书

佛山市中医院：

我单位特授权委任          (姓名)现职员工，作为我方代表，参与贵方的采购项目，对该代表人所提供、签署的一切文书均视为符合我方的合法利益和真实意愿，我方愿为其行为承担全部责任。

项目名称：

项目编号：

有效期限：自本单位盖章之日起生效。

 

供应商名称（加盖公章）：

法定代表人（亲笔签名或签章）：

授权代理人（亲笔签名）：，联系手机电话：

授权生效日期：年月日

 

授权代理人身份证

复印件正面粘贴处

 

授权代理人身份证

复印件反面粘贴处

说明：1.本授权书内容不得擅自修改。

2.须提供第二代居民身份证双面复印件，并加盖供应商公章。

3.内容必须填写真实、清楚、涂改无效，不得转让、买卖。

 

 

附件6：

承诺书

 

我公司在参加本次采购项目活动中，作出如下承诺：

一、参加本次采购活动前三年内，在经营活动中没有重大违法记录。

二、未挂靠、借用资质进行投标等违法违规行为。

三、提供的相关文件均真实、有效。

若发现我方存在上述问题，愿参照政府采购相关规定接受处罚并列入医院供应商诚信黑名单。

 

 

供应商名称（加盖盖章）：

日期：

 

 

 

 

附件7：

拟提供的业绩

 

 

供应商名称（加盖公章）：

授权代理人签字：

日期：年月日

 

注：

1、同类业绩需附合同关键页作为证明材料。

2、供应商未按上表和要求填报的，视为2018年1月1日起至今无用户。

 

 

附件8：报价表

备注：

1.报价表纸质版（附件8）随论证（谈判）会当日自行携带入场提交。 

2.必须完全满足并响应本采购项目的全部内容和要求。

3.请严格按照附件清单报价，更改序号、物资名称、单位的报价单视为无效报价单。

 

 C:\fakepath\2021-1-4【信息安全等级保护整改】采购项目市场调查公告.docx