《1安全运维服务》由会员分享,可在线阅读,更多相关《1安全运维服务(9页珍藏版)》请在金锄头文库上搜索。
1、中国医学科学院肿瘤医院安全运维项目需求2017-9目录、项目概述2、服务需求22.1安全运维服务22.1.1渗透测试22.1.2安全加固32.1.3安全巡检42.1.4应急响应42.1.5安全预警42.1.6安全培训52.2安全咨询与安全检测服务52.3备案与测评服务62.3.1备案服务62.3.2网站整改62.3.2三级系统测评服务6三、服务要求6四、资质要求7项目概述随着信息技术在医院业务与管理上的深入应用,医院信息系统、网络的安全 性直接关系到医院的正常工作,因此需要引入专业的信息安全服务团队, 建立一 套安全运维与应急体系,根据医疗行业、国家以及国外的先进的信息安全标准, 为我院提供全
2、面、合规、先进的信息安全服务,保障我院业务系统及门户网站安 全平稳运行,支持新建系统安全体系的建立与测评,逐步实现动态、完整、高效 的信息安全体系。二、服务需求2.1安全运维服务2.1.1 渗透测试要求次数:一年一次服务对象:现有重要系统(HIS、门户网站、PACS LIS、OA等)对用户选定的渗透对象,按照国际通用的 PETS渗透测试标准,进行深入的 模拟黑客攻击的渗透测试。测试中为保证整个渗透测试过程都在可以控制和调整 的范围之内,以人工渗透为主,并辅助用户认可的渗透测试工具,发现业务和应 用系统中的安全隐患,要求测试者有较强的专业技能,可以准确发现逻辑性更强、 更深层次的弱点。通过渗透测
3、试发现业务系统存在的可能被利用的安全隐患,提出解决方案, 协助用户进行全面的安全加固。具体的渗透测试手段包括但不限于:1)已知漏洞攻击通过被披露的操作系统及应用软件(或模块)的安全漏洞,利用这些漏洞及 相关工具对网站及其应用进行测试。2)口令猜解对于采用口令进行用户认证的应用,将使用工具进行口令猜测以获取用户帐 号/密码,口令猜测使用字典攻击和蛮力攻击。3)注入攻击对网站应用程序的输入数据进行合法性检查, 对客户端参数中包含的某些特 殊内容进行不适当的处理,进行预判。具体方法主要为SQL语句注入、隐蔽命令 执行、遍历目录/文件4)异常处理当应用程序中的方法调用出现故障时,应用程序进行哪些操作?
4、显示了多 少?是否返回友好的错误信息给最终用户?是否把有价值的异常信息传递回调 用者?应用程序的故障是否适当。5)后门利用工具对信息系统进行彻底扫描,对异常进程、网络异常连接、异常流量、 启动项等进行深入分析,查找系统是否存在后门。6)溢出攻击通过前期资料收集掌握的系统运行的各种应用程序进行分析、 总结,利用工 具与工程经验结合的方式对各种应用程序进行缓冲区溢出攻击测试, 发现存在溢 出的程序,充分信息系统安全运行。2.1.2 安全加固要求次数:一年四次服务对象:所有主机、应用、网络设备对于信息系统的安全加固需要从网络层到应用层各层面进行安全配置优 化,包括但不限于:主机操作系统安全加固、数据
5、库系统安全加固、网络设备 安全加固、 安全访问控制、应用基础平台安全加固、应用系统安全加固。由于安全加固需要在生产环境中进行实际配置修改等操作,需要遵循用户 方的变更管理控制程序,加固前需确定变更方案、进行变更内容测试、备份等 工作,当加固发生问题时,可及时恢复到加固前的环境。安全加固工作由投标方主要操作,相关系统厂家、工程师配合。2.1.3安全巡检要求次数:一年四次服务对象:所有主机、应用、网络设备对医院网络环境、服务器、操作系统、安全设备、应用系统等一系列对象进 行安全巡检:1)使用多种技术手段,对网络设备、服务器、操作系统、安全设备、应用系统 进行周期性的安全扫描、手工检查及日志审计,检
6、查策略是否有效,配置是 否安全,必要时进行安全策略的调整;2)结合防火墙、防病毒服务器、入侵检测系统、数据库审计、日志审计系统、数据备份系统等设备进行事件审计和日志分析,查找是否存在安全隐患,进 行可疑事件分析;3)出具安全巡检报告及加固建议,安全加固工作由投标方主要操作,相关系统 厂家、工程师配合。2.1.4应急响应协助医院制订各系统应急预案,提供信息安全应急响应服务,当系统遭受网 络攻击、系统攻击等相关安全事件时,及时提供解决方案,协助用户解决。当入 侵或者破坏发生时,处理方法主要原则是首先恢复计算机、网络服务的正常工作, 事后对入侵者进行追查,协助用户分析事件的起因,漏洞及后门检查,同时
7、为用 户提供事件的解决方案,尽快恢复服务,修补漏洞。服务方式可以是远程支持或现场支持, 当远程支持无法解决问题时,将派遣 专业的紧急响应服务人员在2小时内到达客户所在地提供现场服务。2.1.5安全预警1)对医院外网重要系统,如门户网站、科研系统、教育系统等进行实时监测,对于黑客的攻击行为及 WEBSHEL实时预警,并有专家团队进行分析,以短 信或邮件等方式告知用户,如发现网站无法访问、网页被篡改等严重事件时, 需立即电话通知用户,必要时到场提供安全服务。2)以邮件、电话等方式,将业界动态、国家安全政策及法律法规、漏洞信息、 安全产品评测信息、病毒信息等及时传递给用户,对于严重漏洞或重大安全 事
8、件,需立即电话通知用户,提供相应的解决方案,必要时到场提供安全服 务。3)对于操作系统、应用软件的安全漏洞、补丁和安全建议等相关信息12小时内即时口头通知,24小时内邮件正式通知;对于与医院IT资产无关的安全 漏洞或者威胁时,每周发布通用安全通告。2.1.6安全培训安全培训包括日常安全运维培训、安全认证培训及安全管理培训等,内容 涉及信息系统等级保护、操作系统安全技术、数据库安全技术、网络安全技 术、应用系统安全技术、各类安全产品的策略配置标准等,可根据用户需求做 相应调整。通过培训,使用户能够对等级保护、网络技术、信息安全方面有系统的、全 面的了解和认识,掌握基本知识、基本理论和相应的技能,
9、掌握产品配置和应用 的基础知识及对应的等级保护要求,并基本掌握产品的部署方法和产品策略的配 置方法,解决在实际应用中所遇到的基本问题。2.2安全咨询与安全检测服务在医院进行重要系统建设过程中,投标人负责设计各新建系统的安全建设方 案,为医院提供安全相关咨询服务, 协助医院进行安全产品的选型与测试,同时在新建系统开发完成及重大更新时进行全面安全检测,使用静态扫描、动态分析、 数据流追踪等方式查看是否存在后门、 漏洞及其他安全威胁,并提出详细的整改 建议与方案,直到满足安全建设方案与相关技术要求,完成系统验收。系统服务对象包括但不限于:医院 APP系统、医院信息平台系统。安全建设方案应遵从GB/T
10、 22239-2008信息安全等级保护基本要求GB/T 20271-2006信息安全通用技术要求信息系统等级保护安全设计技术要求GB/T 20270-2006网络基础安全技术要求GB/T 21052-2007信息系统物理安 全技术要求。2.3备案与测评服务 2.3.1备案服务投标人负责院方新增二级、三级信息系统的备案工作。工作内容包括帮助院 方准备备案材料、帮助院方完成备案流程工作。遵从GB/T 22240-2008信息系统安全等级保护定级指南,根据院方情况对 系统进行定级备案工作。2.3.2 网站整改投标人按照等保二级要求对网站进行进行差距分析,并提出整改建议,协助 医院进行整改。2.3.2
11、三级系统测评服务投标人完成院方三级系统的测评工作,出具测评报告,提出整改建议,协助 医院进行整改。测评对象包括但不限于:HIS集成平台、APP等,实际测评服务以医院具体测评要求为准。服务要求1. 设立专门的项目组,人数不少于6人,项目负责人与技术人员具有三甲医院 安全运维项目实施经验,具备安全方案设计能力及实施能力,熟悉各类网络 产品、操作系统、数据库、安全产品的功能及配置,从物理安全、网络安全、 主机安全、应用安全、数据安全、管理安全等多方面配合医院完成安全体系的建立与运维;2. 安排1名技术专家,作为本单位的技术顾问,随时沟通咨询,解决信息安全或等级保护相关问题;3. 协助医院进行公安年度自查工作以及各种监管机关的安全检查;4. 在国家重要活动、重大会议前,对医院门户网站及其他主要设施进行安全巡查,活动期间进行安全保障;5. 提供电话支持、现场支持,提供 24小时电话支持服务,若电话无法解决的 问题,与用户协商时间到场支持。四、资质要求1. 具有信息安全等级保护测评机构推荐证书。2. 项目经理应具备信息安全等级保护中级及以上测评师资质证书,项目组其他成员应具备信息安全等级保护初级及以上测评师资质。3. 项目组至少一人具有CISP资质。4. CNASE 书。
