技術 要求

一、總體要求：

1.保障我院官網(wǎng)在安全升級服務 合同 生效后一年內(nèi)，發(fā)生安全問題的概率不超過 1%。計算公式為：（設備發(fā)生故障次數(shù)÷設備總數(shù)÷運維天數(shù)）×***%。

備注： “ 安全問題 ” 定義范圍包括但不限于以下情形：

（ 1 ） 網(wǎng)站無法正常訪問、響應異常或服務中斷；

（ 2 ） 被植入木馬、后門、惡意代碼、暗鏈、垃圾廣告等非法內(nèi)容；

（ 3 ） 遭受 DDoS、CC攻擊、暴力破解、SQL注入、XSS跨站等網(wǎng)絡攻擊并造成實際影響；

（ 4 ） 服務器、網(wǎng)絡設備、安全設備（如防火墻、 WAF等）發(fā)生非計劃性宕機、異常掉線、配置失效或性能嚴重下降；

（ 5 ） 其他影響官網(wǎng)正常運行與安全狀態(tài)的事件。

“ 核心設備 ” 范圍包括但不限于：官網(wǎng) Web服務器、數(shù)據(jù)庫服務器、應用服務器、負載均衡、WAF、防火墻、IPS/IDS、核心交換機。

2. 保障我院官網(wǎng)在網(wǎng)站安全升級服務 合同 生效后一年內(nèi)，設備故障平均恢復時間不超過 ***分鐘（涉及到敏感問題的恢復時間不超過***分鐘） 。

備注： “敏感問題”定義范圍包括但不限于以下情形：

（ 1 ） 患者隱私數(shù)據(jù)、就診信息、個人信息泄露、被竊取、被篡改；

（ 2 ） 官網(wǎng)頁面被篡改、發(fā)布虛假信息、反動言論、違法內(nèi)容；

（ 3 ） 核心業(yè)務系統(tǒng)、掛號 / 繳費 / 查詢等關鍵服務異常；

（ 4 ） 被監(jiān)管部門通報、媒體曝光、輿情預警的安全事件；

（ 5 ） 其他可能造成重大負面影響或合規(guī)風險的安全故障 。

3.保障我院官網(wǎng)在網(wǎng)站安全升級服務生效后一年內(nèi)，不產(chǎn)生與安全相關的安全事故。

4.保障我院官網(wǎng)在網(wǎng)站安全升級服務 合同 生效后一年內(nèi)，能通過網(wǎng)絡安全等級保護三級測評。

5.本次項目服務期間，供應商如須在采購人現(xiàn)有網(wǎng)站系統(tǒng)的基礎上進行網(wǎng)站整改服務。供應商應確保其提供的安全服務及產(chǎn)品與現(xiàn)有網(wǎng)站系統(tǒng)完全兼容，保證網(wǎng)站數(shù)據(jù)的安全性和完整性、故障處理的效率性和便利性、維護工作的合法性。如因整改服務需要現(xiàn)有網(wǎng)站系統(tǒng)開發(fā)公司（四川銳狐網(wǎng)絡科技有限公司）提供技術協(xié)助的，由中標供應商負責與原廠進行技術協(xié)調，并承擔由此產(chǎn)生的一切費用和責任。供應商須在投標文件中就此項協(xié)調能力及費用承擔出具書面承諾，日期需覆蓋本項目服務期限范圍并加蓋公章，否則視為無效響應。供應商須對現(xiàn)有網(wǎng)站運行維護的網(wǎng)站管理系統(tǒng)進行三級等保測評合規(guī)的整改服務，對網(wǎng)站管理系統(tǒng)及服務器、數(shù)據(jù)庫等所有漏洞（高、中、低）進行修復， 包括且不限各種文件制度的編寫等。

6.協(xié)助采購人完成日常安全問題處理，國家政治活動、重大節(jié)假日、省市級活動及其它特殊時期關 鍵節(jié)點期間提供安全服務及提供上級部門要求的文件報告。

7.協(xié)助采購人完成漏洞和程序修復。

8.按照等保要求對網(wǎng)站的服務器進行安全加固服務，至少包括安全加固、漏洞修復處理、按照三級等保要求進行合規(guī)整改。

二、為保障通過三級等保測評，設備需滿足以下要求（需以滿足三級等保測評通過為標準，增設包括但不限于以下內(nèi)容的安全服務）：

（一）安全中心：

1.資產(chǎn)清點：能定期獲取并記錄主機上的Web站點、Web容器、Web應用、Web應用框架、賬號、計劃任務、端口、數(shù)據(jù)庫、進程、第三方組件、環(huán)境變量、Jar包、系統(tǒng)安裝包、軟件應用、內(nèi)核模塊等信息。

2.主動監(jiān)控:支持對主機開啟各類監(jiān)控包括登錄監(jiān)控、完整性監(jiān)控、操作審計、進程監(jiān)控、資源監(jiān)控、性能監(jiān)控、會話監(jiān)控，可發(fā)現(xiàn)服務器問題。

3.入侵檢測：支持展示及處理各類入侵事件及具有高度威脅的事件，支持識別并處置的入侵威脅事件包括：病毒木馬、網(wǎng)頁后門、反彈shell、異常賬號、日志刪除、異常登錄、異常進程、系統(tǒng)命令校驗等。對接國內(nèi)外主流病毒查殺引擎，采用不少于4個的多引擎查殺，可檢測出惡意進程及軟件，并提供隔離、信任等功能。

4.安全體檢：支持主動發(fā)起主機深度檢測，檢測的項目包括：系統(tǒng)漏洞、弱口令、高危賬號、配置缺陷、病毒木馬、網(wǎng)頁后門、反彈shell、異常賬號、日志刪除、異常進程、系統(tǒng)命令校驗等。

5.安全基線：支持對服務器操作系統(tǒng)（Windows和Linux）配置和web容器配置的基線內(nèi)容進行檢查，支持設置合規(guī)基線檢測的基線模板，設置模板基礎信息、規(guī)則信息，支持自定義基線檢測。

6.病毒防護和主動防護功能：支持暴力破解防護、掃描防護、病毒防護、IP黑白名單、端口安全防護、訪問控制、進程行為控制、反彈shell監(jiān)控、遠程登錄防護、本地提權防護。

（二） Web應用防火墻：

1.支持云平臺+安全插件的管理架構，支持公有云、私有云和混合云及傳統(tǒng)環(huán)境等場景，并支持多場景的統(tǒng)一實施和管理；

2.部署模式:支持反向代理防護模式和主機防護模式；

3.網(wǎng)站漏洞防護:支持HTTP檢測，持文件上傳防護，通過自定義禁止上傳的文件類型，對上傳至web服務器的信息進行檢查;

4.文件防護:支持目錄漏洞防護，支持禁止瀏覽畸形文件，支持短文件名防護;

5.Webshell防護:支持網(wǎng)頁后門（webshell）查殺，分為靜態(tài)查殺引擎和動態(tài)查殺引擎；

6.資源防護:支持資源防盜鏈防護，支持特定資源防護，通過對某些特定資源的進行防護，不允許被下載或被盜用。保護模式有資源路徑保護 和 資源類型保護。

7.內(nèi)容防護模塊:支持網(wǎng)站后臺防護，支持響應內(nèi)容防護;

8.支持CC攻擊防護：支持通過主動防御系統(tǒng)防御CC攻擊。

9.支持黑白名單管理：支持通過設置IP地址為黑名單地址或者白名單地址，調整指定IP/IP段對網(wǎng)站的訪問權限。支持的設置有白名單、黑名單、封禁區(qū)域、爬蟲白名單。

***.虛擬補?。褐С衷跓o需打補丁的情況下，通過其他方式進行非法攻擊攔截，完成漏洞防護。

***.攻擊分析：支持對攻擊事件源和攻擊源事件的分析；支持從多個維度挖掘攻擊者IP的地理信息、活躍度、攻擊手法特征、攻擊次數(shù)、攻擊服務器范圍等并進行畫像分析和威脅程度排名，提供攻擊IP風險分布圖、攻擊IP地理分布圖、最近***天攻擊IP列表。

（三） SSL證書（OV通配符）

1. 支持網(wǎng)站安全合規(guī)認證：提高搜索引擎排名，防止流量劫持， 防止 “不安全網(wǎng)站”警告提示。

（四）日志審計

1. 支持威脅情報管理，支持威脅情報本地手工導入及在線聯(lián)查，至少支持 IP、域名、URL。

2. 支持通過接口對 URL、IP、未知文件信息排查威脅情報。

3. 支持內(nèi)置漏洞庫及安全規(guī)則庫。

4. 支持針對日志或事件類型關聯(lián)規(guī)則配置：至少支持事件數(shù)告警與字段統(tǒng)計告警。

5. 必須有入侵防護日志、認證日志、病毒日志、 Web安全日志、威脅日志、WAF日志、數(shù)據(jù)庫審計日志、應用管理日志。

6. 支持對應用安全審計日志進行持續(xù)采集，要求具有高可靠性、低時延行、軟硬件結合冗余的方式。

7. 支持對日志數(shù)據(jù)、系統(tǒng)數(shù)據(jù)定時備份，支持對數(shù)據(jù)進行快速回復。

8. 支持對攻擊進行自動化分析與交互示分析，可通過分析引擎對告警事件、問題資產(chǎn)進行實時分析。也可通過搜索、查詢等 方式 進行高級分析。

（五）堡壘機

1.支持集中管理資產(chǎn)權限，全程監(jiān)控操作行為，運維場景錄像還原，支持身份鑒別、權限管控、風險阻斷、操作審計。

2.支持通過運維權限細粒度管控、風險命令實時阻斷、密碼無感知托管、操作行為錄播審計等，解決資產(chǎn)管理、權限劃分以及操作追溯等問題。

3.支持權限細粒度劃分，防止越權行為導致的敏感數(shù)據(jù)泄漏事件。

4.支持高危風險命令實時阻斷。

（六）人員要求

供應商為本項目至少配備 2名服務人員，若供應商服務人員變更，需提前 *** 天告知采購人，供應商服務人員需完成工作交接并勝任工作，經(jīng)采購人同意后方可完成服務人員變更（提供人員清單）。

以上技術要求為實質性要求

服務要求

1 . 付款方式：

（ 1） 合同簽訂且供應商完成本合同項下全部安全產(chǎn)品的部署、配置，并提交 截圖等佐證材料 ，采購人在收到供應商開具的合同總金額 ***%的真實有效的增值稅發(fā)票及憑證資料后***個工作日內(nèi)支付 。

（ 2）供應商應確保采購人官方網(wǎng)站通過網(wǎng)絡安全等級保護三級測評并取得公安機關備案證明。雙方依據(jù)本合同約定的違約責任條款對合同期內(nèi)發(fā)生的違約事項進行結算，共同書面確認最終應付尾款金額。供應商根據(jù)最終確認的尾款金額向采購人開具真實有效的增值稅發(fā)票，并提交備案證明復印件。采購人在收到上述完整憑證資料后***個工作日內(nèi)支付尾款。

2 . 售后要求： （比如 質保期、產(chǎn)品升級、備品備件等 ）

根據(jù)國家最新文件或網(wǎng)絡安全問題通報，自收到采購人通知起， 2小時內(nèi)響應，4小時內(nèi)完成處理網(wǎng)絡安全問題，***小時內(nèi)更新防護規(guī)則。

3 . 項目交付的時間和地點：

項目服務期限和交付地點：服務期自合同簽訂之日起一年；在合同簽訂后 7日之內(nèi)，完成網(wǎng)站網(wǎng)絡安全三級等保測評整改及安全加固服務。交付地點：成都市第七人民醫(yī)院天府院區(qū) 。

4 . 驗收的標準 :

按采購人采購公告的服務要求和技術指標、供應商的響應文件及承諾與本項目合同約定標準進行驗收；雙方如對質量要求和技術指標的約定標準有相互抵觸或異議的事項，由采購人在采購公告與響應文件中按質量要求和技術指標比較優(yōu)勝的原則確定該項目的約定標準進行驗收。

5 .本項目 是否收取 履約保證金 及收取金額、 退還規(guī)則：

否

6. 違約責任：

（ 1）采購人、供應商雙方必須遵守本項目合同并執(zhí)行合同中的各項規(guī)定，保證本項目合同的正常履行，如因服務要求不達標造成服務不達標的，按照違約條款執(zhí)行。

（ 2）如因供應商工作人員在履行職務過程中的的疏忽、失職、過錯等故意或者過失原因給采購人造成損失或侵害，包括但不限于采購人本身的財產(chǎn)損失、由此而導致的采購人對任何第三方的法律責任等，供應商對此均應承擔全部的賠償責任。

（ 3）若供應商開具的發(fā)票為虛假發(fā)票，或提供由他人開具的與實際經(jīng)營業(yè)務不符的發(fā)票。因此引起發(fā)票無法認證、認證不符或其他任何因發(fā)票瑕疵導致發(fā)票作廢等情形。由供應商承擔相關責任。

（ 4）若供應商未按合同約定提供服務或服務內(nèi)容不符合合同要求，每發(fā)生一次，服務期限自動順延7天；同時，因供應商原因導致服務不達標或處置延誤的，每延誤一天，應按合同總金額的5‰向采購人支付違約金，違約金不足以彌補采購人損失的，供應商應繼續(xù)承擔賠償責任。

（ 5 ）問題處理未能在 2小時內(nèi) 響應 ，每超過 1小時，扣除合同總金額的1%。問題未能在4小時完成處置的，每超過1小時，扣除合同總金額的1%。（超過處理時限，不足1小時的按1小時計算）

（ 6 ）若我院官網(wǎng)在安全升級服務生效后一年內(nèi)，每發(fā)生一次安全問題扣 ***元。

（ 7 ）若我院官網(wǎng)在安全升級服務生效后一年內(nèi)，設備故障平均恢復時間超過 ***分鐘（涉及到敏感問題的恢復時間超過***分鐘），每超過***分鐘（敏感問題***分鐘），扣***元。（超過處理時限，不足***分鐘的按***分鐘計算，敏感問題不足***分鐘的按照***分鐘計算。 ）

（ 8 ）若我院官網(wǎng)在安全升級服務生效后一年內(nèi)，產(chǎn)生與維保服務項相關的重大安全事故發(fā)生（重大事故指網(wǎng)站被篡改、數(shù)據(jù)發(fā)生泄露、網(wǎng)站因安全問題影響正常運行等情況，每發(fā)生一次扣 ***元。 ）

（ 9 ）未能協(xié)助采購人完成日常安全 問題處理，國家政治活動、重大節(jié)假日、省市級活動及其它特殊時期關鍵 節(jié)點期間提供安全服務及未能提供相關文件報告的，每次扣 ***元。

（ *** ） 因供應商內(nèi)部問題導致采購人受到互聯(lián)網(wǎng)領域（包括抖音、小紅書、今日頭條、微信公眾號、快手、微博、問政四川等）負面影響，應向采購人承擔 ***元/條的經(jīng)濟賠償，并且供應商應在2小時內(nèi)控制負面影響，且采購人有權解除合同，并追究供應商相關責任。 （ *** ） 供應商在參與本項目采購過程中，因自身圍標、串標或提供虛假材料（承諾）、惡意競標（中標后無法實質性響應采購要求等）謀取中標 /成交/中選等行為被質疑成立、投訴成立或被相關上級部門通報處罰的，采購人有權解除合同，并追究供應商相關責任。

7. 其它：

報價均用人民幣表示，所報價格是包含交貨或提供服務的驗收價格，人工、運輸、安裝、稅金和保險等相關費用以及采購要求的其他費用均應包含在報價中。采購人不再支付本項目報價外的費用。

備注：上述所以商務服務要求均為實質性要求。