序号

名称

技术指标要求

数量

单位

备注

1

资产梳理

（1）物理资产梳理：绘制医院网络现状拓扑图，包含但不限于机房物理环境设备、服务器设备、网络设备、安全设备、其他设备精准统计与标签标签注明，终端设备统计及终端设备带宽测试等；

（2）网络资产梳理：IP地址、端口、应用服务、权限口令管理等统计，如是高危端口及存在的风险需加固；

（3）业务资产梳理：计算及存储资源、业务系统、应用系统、操作系统、数据库等全类型资产，形成动态更新的资产清单，形成资产画像，标注责任人、地理位置、业务归属等；

（4）风险资产分析：将资产清单导入漏洞扫描系统，标记存在高危漏洞的资产‌。

服务完成后交付包含但不限于《网络拓扑图》、《信息资产和设备统计清单》、《终端带宽记录》等。

2

次

2

WEB检测

（1）通过工具运用爬虫技术、内容匹配、沙箱环境及漏洞扫描等手段，全面检测医院互联网业务的可用性、安全性和合规性。针对漏洞，篡改等提供专业修补建议，有效降低安全风险，实现预防为主。服务利用工具监测节点模拟真实用户访问行为，持续跟踪网站的关键指标，包括HTTP/HTTPS响应状态、页面加载速度、服务器延迟、SSL证书有效性、第三方服务依赖等，并通过多通道告警即时通知异常情况。其功能涵盖多层次监测：从基础的可用性检查、到性能深度分析、安全防护以及内容验证，并满足行业合规要求。

（2）服务完成后交付《WEB检测报告》及其他相关报告文档。

4

次

3

渗透测试服务

（1）‌通过模拟外部攻击者（黑盒测试）或内部威胁（白盒测试）的技术手段，针对医疗信息系统进行授权化的安全评估，在发现并验证系统漏洞（如弱口令、未授权访问、文件上传缺陷等），评估患者隐私数据泄露、医疗业务中断等风险‌。测试过程涵盖资产探测（如全端口扫描识别Weblogic、SpringBoot服务）、漏洞利用（如绕过强制跳转植入Webshell）、内网横向渗透（如通过Linux跳板机访问数据库服务器）等阶段‌，辅助医院构建符合《数据安全法》和医疗行业规范的安全防护体系‌。

（2）服务完成后交付包含但不限于《业务渗透测试报告》及其他相关报告文档。

4

次

4

漏洞扫描服务

（1）使用漏洞扫描工具对硬件设备及业务系统进行扫描，并分类扫描硬件及软件漏洞、WEB漏洞、弱口令扫描等，扫描完成后，实现风险统计，报告导出等。输出包含漏洞修复建议与业务影响分析的报告。下发漏洞报告整改通知，协助医院组织系统厂家完成漏洞修复，并验证漏洞整改结果，做好安全漏洞风险管理工作。

（2）服务完成后交付包含但不限于《漏洞扫描报告》、《漏洞扫描复测报告》等。

4

次

5

基线核查服务

（1）通过系统性检查确保医院的网络设备、应用系统及设备符合预设安全配置标准的流程，涵盖‌资产清点、基线制定、自动化核查、漏洞修复及长效管理‌等环节‌。全面梳理安全设备、HIS、EMR等核心资产，依据《网络安全法》等行业规范制定访问控制、授权管理、日志审计等维度的基线标准‌；其次采用自动化工具检测弱密码、冗余端口等配置漏洞，并人工复核远程管理链路加密缺失等高危风险‌；针对CVSS评分较高的协议缺陷（如HTTP未升级HTTPS）、入侵防范漏洞（如设备管理IP未限制）实施优先级修复，并建立“识别-整改-复验”闭环机制‌‌。

（2）服务完成后交付《基线核查报告》及其他相关报告文档。

4

次

6

综合风险评估服务

提供包含但不限于医院物理安全、业务安全、数据安全、网络安全及终端安全的整体综合风险分析评估，交付包含但不限于《风险评估报告》、《建议处置方案报告》等文档资料。

4

次

7

网络安全培训

提供网络安全意识形态、网络安全法、数据安全法、个人隐私保护法、网络安全漏洞原理等内容的安全培训。

2

次

8

应急演练服务-模拟平台场景演练

根据用户实际网络环境情况，提供多个场景下的模拟演练服务，检验应急预案、应急流程的完整性、可行性，提高应急处理能力。按服务次数提供应急演练报告。

2

次

9

重保值守服务

在全国性、行业性等视角的重大活动期间，提供重要保障值守服务。可选7X***h、5X8h现场或远程值守与响应服务包，开展安全检查、驻场保障以及应急值守等工作，对客户重要系统进行安全保障。

1

年

***

网络安全事件响应

当发现各类安全威胁、安全攻击事件时，有针对性的提供安全事件协助处置服务，帮助管理部门合理应对安全事件，最小化负面影响。按响应次数提供应急响应处置报告。

1

年