医院网络安全建设方案
序号 | 服务项目 | 服务范围 | 服务内容简述 | 服务频次 | 单位 | 备注 | ||
1 | ▲等级保护咨询服务 | 需要过等保的信息系统,目前是HIS\LIS\EMR\PACS\HIP\门户网站\公共大屏播放系统\\互联网医院里的应用功能系统以及二级系统 | 为客户单位提供等保安全咨询规划、等保定级评审协助、等保备案协助、等保安全差距分析、等保安全整改协助、等保制度编制辅助、等保自评辅助、测评现场协助等服务。(需提供以往协助等保测评案例检测报告截图证明,至少含测评结论页面和测评封面) | 1 | 次 | 共9个三级系统和二级系统,出具启动会PPT 《实施计划表》、《资产调研表》、《定级报告》、《专家评审意见》、《主管部门审批意见》、信息系统备案表等备案材料、《备案证明》、《差距分析报告》等相关等保建设过程需要的材料内容 | ||
应急响应服务 | 突发性安全事件:如数据大量被篡改、丢失,网络大面积终端,应用系统中毒等严重影响业务系统运行和医院办公的高危事件 | 提供7*24小时对网络安全设备故障、病毒暴发、门户网站黑客入侵等紧急事件进行安全应急响应服务。 安全专家通过远程或现场方式及时响应与处理信息安全事件,协助客户降低影响,分析安全问题产生的原因,提供应急响应报告和改进建议。 安全问题发生后≤5分钟电话响应,≤30分钟远程支持响应,≤2小时现场支撑响应。 | 1 | 年 | 《应急响应报告》 | |||
▲安全演练服务 | 高风险安全事件 | 根据用户现场网络和业务的实际环境,协助编写专项网络安全演练预案,准备演练场景,演练的方式以桌演为主(其他方式由供应商和采购方协商而定),来检验应急预案和应急流程是否完善,发现用户的网络安全应对薄弱点,实现提高应急处理能力。(需提供以往案例报告截图证明) | 1 | 次 | 《安全演练方案》、《安全演练报告》 | |||
▲基线检查服务 | 需要过等保的信息系统,目前是HIS\LIS\EMR\PACS\HIP\门户网站\公共大屏播放系统、里的应用功能系统 | 使用安全配置核查产品(工具或系统)或人工方式,对约定服务范围内系统中网络设备、主机操作系统、中间件系统、数据库系统和业务应用系统进行安全配置基线(依据《信息安全技术 网络安全等级保护基本要求》/或相关行业标准)检查。(需提供基线检查报告和安全配置改进建议) | 1 | 次 | 《基线检查报告》 | |||
▲漏洞安全预警通告服务 | 已知安全事件、高危漏洞 | 高危漏洞预警属于实时预警通告服务,依据全面的攻防能力和强大的漏洞验证能力,在第一时间向用户发布高危漏洞预警,向用户通告漏洞的破坏程度,风险等级,影响范围、处置建议等信息。(需提供通告截图证明)并配合客户完成安全漏洞修补 | 1 | 年 | 《漏洞安全预警通告》 | |||
安全热点报告服务 | 安全热点资讯属于每周推送分享服务,主要通过“安全事件”、“权威发布和安全趋势”和“安全快讯”多个专栏向用户分享网络攻击事件分析、黑客组织攻击行为分析、软硬件漏洞技术分析、病毒或恶意代码等有害程序事件和技术原理分析、安全技术研究报告,以及一些安全新闻或事件动态。 | 1 | 年 | 《安全热点周报》 | ||||
▲web安全测试服务 | 医院门户网站 | 1、专业信息安全服务工程师通过人工以非破坏性方式(通过远程或现场方式)对约定服务范围内指定的WEB应用系统进行WEB安全测试,测试内容至少包括OWASP TOP10和已知的大部分市面公布漏洞。以模拟黑客操作行为对用户的WEB应用系统进行模拟攻击或入侵,利用信息安全服务工程师的专业知识来识别用户信息系统的已知和未知漏洞。提供WEB安全测试报告和修复建议。 2、跟进WEB安全测试结果,闭环协助处置发现的WEB安全问题。(需提供以往案例报告截图证明)。 | 4 | 次 | 《渗透测试报告》 | |||
安全加固协助服务 | 医院内部信息系统网络安全事件 | 针对安全扫描服务、基线检查服务或是客户单位提供的安全漏洞报告中发现的安全漏洞和配置缺陷,提供加固意见和实施报告,配合客户完成配置修复。 | 4 | 次 | 《安全加固实施报告》 | |||
安全检查支持 | 上级部门网络安全检查事件 | 在安全主管部门或上级部门开展网络安全检查、电子病历评级、智慧医院评级、互联互通评级时,配合客户单位应对网络安全检查。主要工作包括:检查前准备工作协助、检查时技术支撑、检查后整改工作协助。 | 1 | 年 | 《自查报告》 | |||
安全意识培训 | 医院网络安全意识 | 为医院指定人员开展安全意识培训讲演,培养员工网络安全意识。 | 1 | 次/年 | 安全意识培训PPT | |||
LED屏幕安全巡检服务 | 户外公共电子屏显示系统 | 对医院公共显示屏和管理机进行安全巡检提供安全巡检报告。 | 2 | 次/年 | LED屏幕安全巡检报告 | |||
安全监测云服务 | 医院门户网站 | 对指定web站点进行实时监测、暴露面检测、漏洞脆弱性检测等,及时发现风险(SQL注入、挂马、黑链等)并提供风险溯源手段,提供安全可视化展示。 详细内容请看1.1安全监测云服务(门户网站系统云服务) | 1 | 年 | 每月输出安全监测报告,及时告警发现的异常事件并提供解决建议 | |||
安全设备状态和运行与告警问题检查 | 医院现有所有安全设备 | 对现有所有安全软硬件的运行状态、策略匹配度、告警日志、特征库问题等进行分析检查,并协助处理已知问题 | 4 | 次 | 《安全检查报告》 | |||
▲安全扫描服务 | 医院协调需要进行安全扫描的IP网段、业务系统、主机系统、中间件系统、数据库系统 | 1、使用商业化的安全漏洞评估产品(工具/系统),全面检测约定服务范围内的网络设备、主机操作系统、中间件系统、数据库系统和业务应用系统中存在的安全漏洞,提供漏洞扫描报告和修复建议。(需提供以往案例报告截图证明)。 | 4 | 次/年web应用防护系统 | 信息资产表 | |||
资产梳理与调研服务 | 医院机房网络安全软硬件设备信息 | 根据安全运维服务服务范围,对医院的信息系统相关组织、管理和IT环境进行调研,全面、准确、深入的了解和描述客户信息系统现状,以及确定安全运维工作的相关人员职责;根据信息支持调研表不同内容,依据等保2.0第三级标准和其他国家网络安全法律法规内容来分析跟进处理可能存在安全不足点,提供对应解决建议,协助提升医院网络安全建设的规范性和实际符合医院网络安全建设的需求。信息资产调查表(包含但不限于网络拓扑图、各类网络和安全设备、医院重要业务系统等相关IP、登陆地址、管理主机、账号密码、购入时间、过保时间、序列号、部署位置等)。 | 1 | 次/年 | ||||
APP安全加固 | OA系统 | 针对医院现有的移动APP客户端,提供安卓与IOS版本的客户端各1个的安全检测与加固,减小APP引发的安全问题概率 安全加固服务内容:提供针对Android APK应用程序包的安全加固保护,防止应用被破解,逆向分析及盗版,主要功能点包括:JAVA代码加密,SO库加密,防篡改保护,防调试保护,资源文件加密,数据加密, JAVA-C 转换,为应用提供高等级的安全防护及抗攻击能力。 IOS加固服务内容:提供针对源代码(C/C++/Object-C)的白盒加密保护,防止源代码被逆向分析及破解主要功能点包括:代码逻辑分支混淆,代码字符串加密。 应用安全测评服务Android/ios:提供针对移动应用的全自动安全性,脆弱性及漏洞检测分析,帮助企业实现全自动的应用发布管理及安全性回归测试。 主要功能点包括:反病毒扫描,权限扫描,广告扫描,恶意扣费代码扫描,常见安全缺陷扫描,常见安全漏洞扫描,基于脚本驱动的定制化扫描,基于FUZZY的漏洞挖掘。提供Android检测,内容如下: 1.★根据Android客户端及IOS客户端安全检测综合能力进行评估:为满足未来常态化安全建设,检测平台除支持Android及IOS客户端检测以外,平台还需具备AndroidSDK(SDK支持单独提交检测)、源码、web检测,小程序检测能力,保障项目扩容需求。(提供平台功能截图并加盖投标人公章) 2.★检测平台中Android检测应具备动态、静态检测两项勾选功能,实现直接勾选动态/静态选项即可实现动态/静态检测设置。(提供平台功能截图并加盖投标人公章) (1)支持覆盖自身安全、程序源文件安全、本地数据存储安全、通信数据传输安全、身份认证安全、内部数据交互安全、恶意攻击防范能力等类别测评项。包含但不限于以下功能: (2)检测App基本信息:包括但不限于APK文件名、软件名称、包名、软件大小、软件版本、MD5、签名信息、targetSdkVersion、minSdkVersion、分析时间等; (3)检测App的权限信息,包括申请的权限范围 和使用权限范围,需要提供敏感权限、普通权限、自定义权限三大类别权限结果; (4)检测App加固与否以及使用何种加固,可识 别的加固类别至少覆盖市场中10家以上的主流加固厂商; (5)病毒检测:至少具备3种病毒库的检测能力,提供检测出的漏洞信息和具体定位; (6)检测App行为信息:需要提供每个行为信息 对应所在的文件位置;敏感词信息;第三方SDK检测;资源文件中的Apk文件; (7)内部数据交互安全检测:动态注册Receiver风险;Content Provider数据泄露漏洞;Activity组件导出风险;Service组件导出风险;Broadcast Receiver组件导出风险;Content Provider组件导出风险;本地端口开放越权漏洞;PendingIntent错误使用Intent风险;Intent组件隐式调用风险;Intent Scheme URL攻击漏洞;Fragment注入攻击漏洞;反射调用风险; (8)▲Android检测中需涵盖HTML5安全检测(不包括单独得H5检测):混合开发App就是部分功能是由html5开发的应用。针对这类Android App,自动化检测这部分代码是否存在数据泄露、代码缺陷等安全隐患。检测项包括:Web Storage数据泄露风险;WebSQL注入漏洞;InnerHTML的XSS攻击漏洞。需提供检测平台的该功能点及检测报告截图并加盖投标人公章 (9)▲支持单独提交Android SDK程序的SDK独立安全检测功能,且可以指定SDK关联的分类标签等信息,满足对外部引入SDK或者外发SDK的安全评估需要,需提供检测平台的该功能点及检测报告截图并加盖投标人公章。 (10)▲支持界面劫持风险检测能力,系统可检测客户端App的应用界面是否存在可被劫持的风险,需提供检测平台的该功能点及检测报告截图并加盖投标人公章。 (11)▲具备残留账户密码信息检测:移动应用发布包中如果存在残留的账户、密码信息,可能会被盗取并恶意利用在正式服务器上进行攻击,例如账号重试,攻击安全薄弱的测试服务器以获取服务器安全漏洞或者逻辑漏洞,需提供检测平台的该功能点及检测报告截图并加盖投标人公章。 (12)▲具备动态调试攻击风险:在未加入反调试术的iOS App中,攻击者使可用GDB、IDA、Ptrace等调试器跟踪运行的目标程序,查看内存中运行的进程状态,获取内存进程中的运行代码和实时数据,甚至分析篡改程序的业务逻辑,对客户关键数据或者服务器进行恶意攻击,例如查看客户端业务操作的数据,比如登录账号、密码等,窃取用户信息;或者通过分析程序运行逻辑,挖掘应用漏洞。需提供检测平台的该功能点及检测报告截图并加盖投标人公章。 3.提供Android安全加固,如下: (1)反编译保护:支持对SO内的字符串/函数表信息防止反汇编的,需提供检测平台输出示例内容的截图证明并加盖投标人公章 (2)防篡改:防止应用被第三方篡改、破解、二次打包或者被植入恶意程序 (3)防动态攻击:应用不能被第三方工具动态调试,运行逻辑和业务逻辑对外不可见;应用不能被Xpose等第三方工具内存注入,内存数据对外不可见,不可修改;采用VMP,即使在发生内存DUMP攻击时,也只能看到虚拟化后加密的代码。 (4)数据加密防护:支持对敏感资源文件做加密处理;支持本地存储的所有数据被加密存储;支持直接在底层实现函数监听的加密操作,避免通过加密SDK调用集成的繁琐方式。 (5)防劫持防护:加固平台支持应用防界面劫持功能,提供自动化集成方式。 (6)▲根据移动APP安全加固内容所提供的安全加固工具进行评价,所使用工具的原厂商应具备CCRC(中国网络安全审查技术与认证中心)颁发的EAL3认证证书的得1分,否则不得分。(需提供证书复印件并加盖投标人公章) | 1 | 个/年 | APP安全加固包 | |||
发表评论