三亚中心医院（海南省第三人民医院）医院信息网络安全服务项目市场调研公告

序号

项目名称

服务内容

1

7*24网站安全监测服务

监测网站的异常，持续挖掘网站风险，充分预警各类网站安全事件，向医院互联网网站提供7×24小时提供网站漏洞扫描、网页篡改监测、网页挂马监测、黑词/暗链监测、可用性监测等安全云监测服务。网站安全监测服务可以为医院提供以下（但不限于）的信息：
1）网站黑链风险，提供受影响资产信息（包括单位、地区、网站名称和URL等）、疑似黑链和黑词信息和相关证据信息，以及隐患风险数量、趋势和威胁等级等信息；
2）网站违规内容，提供受影响资产信息（包括单位、地区、网站名称和URL等）、违规敏感词、违规内容，复现方法、提取的数据及截图证明等信息；
3）网站可用性，提供被监测站点在全国多个区域/线路的可访问性异常告警、证书快过期/已过期提醒、域名注册快过期/已过期提醒、ICP备案状态异常等。
服务范围：全年监测不少于10个网站。
1、安全事件中心：显示被监管的网站总数、存在事件的网站数、未处理的事件数、下发的通报数、尚未完成的通报数的统计；
2、通报管理：通告处理过程的时间轴，并可追踪通告处理的全过程，可对相关人的处理行为进行记录，设置不接收告警的时间，每周7天都可以分别设置不同的告警接收时间；
3、篡改-黑词黑链：基于大数据支撑的黑词暗链发现技术手段，支持全站监测，可定位源代码篡改的位置和内容，支持监测频率自定义；
4、可用性监测：HTTP监测，监控频率支持自定义；支持全国范围内至少具备10个监测点，确保电信、联通和移动都具备监测点；支持https监控和自定义URL监控；支持网站故障原因定位，不限于：响应连接被重置、连接超时、http状态码、连接被拒绝等；可用性节点智能监测，可以配置最少监测节点数量并且每次随机选择节点进行监测；提高效率，支持设置可用性模版，模版可以快速用于多个资产的监测；按照响应时间、状态码、body的json字段、HTTP响应头等设置可用性监测的告警条件；用性监测时支持设置请求参数，包括：HTTP头、Cookie、用户认证（Basic Auth）设置，支持设置是否进行SSL证书验证。

2

互联网暴露面监测服务

以防护用户资产安全为目标，该服务通过互联网测绘方式，摸清医院物理点位分散的互联网资产底数，包括互联网域名、端口、服务、中间件、操作系统等。并与客户IT资产列表进行对比梳理，发现存在安全风险的资产包括但不限于高危端口以及服务、存在已知漏洞的组件、内部的敏感文件发布外网、未知业务系统等。掌握对外暴露资产情况及其相关风险。在常态化安全运营中，可满足医院对互联网资产和风险管理工作要求，直接通过外部视角清晰了解到医院资产在互联网的暴露面情况。服务范围：（1年内开展2次）（包含5个关键词监测）
1、网络子URL爬取：针对网站子URL的爬取，并形成网站地图。支持标记来源，来源至少包括爬虫、被动流量、情报等。限制爬取的目录层数（不低于5级）、单个路径下文件数量（不少于50个文件）。
2、公众号发现：根据企业关键词发现企业相关微信公众号的基本信息，需包括但不限于公众号名称、状态、类型、绑定微信号、认证主体、统一社会信用代码、服务提供商、公众号简介、最后更新时间、功能菜单名称、功能菜单状态、功能菜单链接和功能菜单类型。
3、小程序发现：根据企业关键词发现企业相关小程序的基本信息，需包括但不限于小程序名称、状态、小程序ID、APPID、认证主体、统一社会信用代码、服务提供商、小程序简介、最后更新时间和业务域名清单。
4、网盘监测：基于关键词监测百度网盘、新浪微盘、微云网盘等不同网盘来源的数据信息，信息内容需包括但不限于文件名称、来源、关键词、上传者、上传时间、文件大小、链接地址、提取码、简介、标记。
5、文库监测：基于关键词监测百度文库、csdn、oschina等至少45个不同文库来源的数据信息，信息内容需包括但不限于文件名称、来源、关键词、上传者、上传时间、链接地址、简介、标记。
6、代码托管平台监测：基于关键词监测GitHub、码云的相关数据信息，信息内容包含但不限于仓库名称、仓库简介、作者、语言、关键词、状态、最后更新时间、来源、标记、泄露文件内容。

3

内网资产漏洞管理服务

服务使用POC探测手段主动扫描发现医院网络内网数字资产的漏洞，评估漏洞影响和提供修复建议，并每月对漏洞的修复情况进行跟踪，统计漏洞的修复情况和关闭已修复漏洞，确保漏洞修复闭环，帮助降低被勒索软件、黑客攻击成功利用的风险。检测任务需基于《院方资产调研表》完成资产清单预梳理，明确IP段、网站等扫描范围，利用相关资产发现工具下发扫描任务。对资产进行扫描、资产漏洞验证、并整合报告提交。
服务期限为1年。

4

安全大模型和智能体威胁运营服务

基于在医院部署智能体安全服务工具进行数据源/日志源接入，同时对云服务工具规则优化降噪及新增、有效性验证后，由SaaS大数据分析平台和安全专家对汇聚告警进行研判，为医院提供全天候网络威胁告警监测和分析服务。每月定期输出当月服务报告。服务期限为1年。
1、攻击溯源智能体：在遭受攻击后快速获取攻击源的详细信息，通过安全大数据的关联查询和分析能力，帮助用户精准定位攻击者身份、攻击路径和攻击意图。攻击溯源报告能够为用户提供全面的攻击分析，帮助其采取有效的应对措施，降低安全风险，保障业务安全。同时，服务还支持监管部门通报或运营过程中发现的疑似攻击源头的精准处置，为用户提供安全决策依据。
2、样本分析智能体：对样本文件进行全面、多维度的鉴定和分析，结合多种检测引擎的优势，确保对恶意样本的精准识别和分类。通过自动化流程和智能化分析，快速生成样本分析报告，为用户提供威胁定性和处置建议，帮助用户及时响应和处理安全事件，降低安全风险，提升安全运营效率。
3、作战情报智能体：对为用户提供精准、高效的安全情报服务。精准推送0day漏洞信息和红队IP清单，结合低延时的情报预警机制，帮助用户提前发现潜在威胁，优化安全策略，降低安全风险，确保业务的安全性和稳定性。 在重保、攻防演习等活动前期准备过程中，通过该服务项可对外网资产进行专项摸排并加固，达到收敛互联网暴露面的效果。包含检测任务下发、资产有效核验、资产漏洞验证、资产漏洞验证、报告整合提交。
4、邮件溯源智能体：能够快速、精准地对可疑邮件进行溯源分析，帮助用户识别钓鱼邮件、恶意软件邮件等威胁，还原邮件的真实来源和传输路径。通过详细的溯源报告和可视化展示，用户可以快速采取措施，降低邮件攻击带来的安全风险，保障邮件程序的安全性和业务的正常运行。

5

渗透测试服务

安全专家以人工方式对目标业务系统发起模拟攻击，发现安全漏洞和隐患并提供安全整改建议。服务范围：应用类型包括Web应用、API、APP、小程序等；具体内容如下：
WEB安全：SQL注入、跨站脚本攻击（XSS）、XML外部实体（XXE）注入、跨站点伪造请求（CSRF）、服务器端请求伪造（SSRF）、任意文件上传、任意文件下载或读取、任意目录遍历、.SVN/.GIT源代码泄露、信息泄露、CRLF注入、命令执行注入、URL重定向、JSON劫持、第三方组件安全、本地/远程文件包含、任意代码执行、STRUTS2远程命令执行、SPRING远程命令执行、反序列化命令执行等。
业务逻辑安全：
用户名枚举、用户密码枚举、用户弱口令、会话标志固定攻击、平行越权访问、垂直越权访问、未授权访问、验证码缺陷等。
中间件安全：
中间件配置缺陷、中间件弱口令、WEBLOIGC反序列化命令执行、JBOSS反序列化命令执行、WEBSPHERE反序列化命令执行、JENKINS反序列命令执行、JBOSS远程代码执行、文件解析代码执行等。
服务器安全：
域传送漏洞、REDIS未授权访问、MANGODB未授权访问、操作系统弱口令、数据库弱口令、本地权限提升、已存在的脚本木马、应用防护软硬件缺陷等。服务包含一次安全整改指导以及一次复查测试。
每年渗透目标/系统不少于20个；

6

供应链（专项）监测服务

每季度开展一次（全年共计4次）对涉及三亚中心医院资产范围内的供应链安全进行监测，包括ISP供应商、软硬件品牌厂商、网站应用组件的供应源头、漏洞风险情况进行监测；供应链风险监测服务可以为医院提供以下各方面的信息：
供应链产品风险清单
供应链产品厂商、国产化信息
供应链产品风险影响IP、域名、端口等信息
供应链产品风险详情
供应链产品风险复现方法
供应链产品风险证据截图
修复建议

7

数据泄露（专项）监测服务

每季度开展1次基于 SaaS 化服务形式（全年共计4次），依托 AI 智能体与多源威胁情报联动，对暗网、地下论坛、 pastebin 等数据泄露高发渠道进行持续监控，主动识别并预警医院核心数据泄露、攻击预谋、敏感信息暴露等风险事件，提供泄露溯源、影响范围评估与应急响应建议，协助医院快速遏制数据泄露扩散。数据泄露监测服务可以为医院提供以下各方面的信息：
辖区数据泄露隐患清单
数据泄露隐患相关链接
数据泄露隐患复现方法
数据泄露隐患涉及的数据量大小及条数
数据泄露隐患涉及的敏感数据字段
数据泄露隐患证据截图
数据泄露隐患归属判断证明
修复建议
1、供针对互联网终端的统一终端安全与管理及配套订阅服务，通过集中后台管理架构，具备终端安全、终端部署、终端管理、外设管理、资产管理、软件管理、上网管理、终端运维、数据安全、行为审计、数据管理等能力，避免互联网终端被植木马、开后门、控权限及数据泄露等安全事件发生，有效提升互联网终端安全防护能力。
2、查看具体终端的客户端版本与木马病毒库版本，并支持对新老版本在分组维度进行可视化统计；
提供终端分组安全策略管理能力，包括客户端升级、木马病毒库升级、漏洞库及补丁文件更新；
3、可查看终端量化安全数据，如终端体检得分、木马、漏洞风险数量等；可以按需按分组选择设定每天、每周、每月周期性体检、木马查杀、漏洞修复；也可按分组手动一键按分组进行体检、木马查杀、漏洞修复；
4、上网防护：挖矿木马拦截，避免挖矿木马感染终端占用设备性能；反勒索防护，防御勒索病毒，保障文件安全；隔离可疑程序，隔离运行下载的风险未知文件；
5、高级威胁防护：横向渗透专项防护，防止内网设备横向渗透攻击；无文件攻击专项防护，防止黑客进行无文件攻击行为；软件劫持、提权攻击，防止黑客通过劫持软件或提升权限攻击终端；提权攻击防护，防止权限提升攻击；

8

网络安全管理制度编写

依据《信息安全技术网络安全等级保护基本要求》、《网络和数据安全检查指南》的相关要求，协助甲方建立科学规范的网络安全管理制度和流程，并针对“安全管理”类安全要求进行体系化文件编写补充；安全管理体系具体包括以下方面：
组织人员管理、制度策略管理、安全管理流程、安全建设管理、安全运营管理。安全管理体系基于信息系统生命周期将安全管理中涉及的人员角色、安全管理制度、安全技术、安全运营等工作相结合实现可量化考核、可落地的安全管理体系。依据国家、省市、行业相关标准要求开展网络安全管理制度编制，完善与补充制度包括第三方运维人员入场离场制度、防病毒管理制度。

9

网络安全意识培训

为强化单位信息化人员网络安全意识，以历次实战攻防演练为背景，每年开展2次对全院相关人员（培训人数不限）进行网络安全意识培训。安全意识培训内容包括以下：
1) 安全形式、法律法规、日常培训，安全形式介绍依托于近期网络安全事件；重大保障培训，安全形式介绍依托于历届活动总结。
2) 个人安全。从设备、口令、行为习惯等方面展开。如：个人终端，长期不更新补丁，存在永恒之蓝漏洞；使用类似111111的弱口令；习惯性在终端不加密记录重要业务说明、账户密码。
3) 企业安全。包含：APT攻击、勒索病毒、挖矿木马、源码泄露等风险场景介绍。
4) 社会工程学防范。包含：邮件钓鱼、网页钓鱼、社工平台钓鱼、二维码钓鱼、WIFI钓鱼、BadUSB钓鱼、近源攻击等场景。
5) 安全意识培训总结。回顾安全意识培训内容，加深员工对常见攻击手段的认知。
培训讲师要求具有资质(网络安全相关证书)，培训时长为1天。

10

网络安全技术技能培训服务

针对海南省卫生健康行业网络安全技能大赛，提供对医院相关技术人员进行配套培训，培训内容涵盖CTF竞赛培训、安全运营培训、应急响应培训、内网安全培训等，以掌握最新的网络安全技术和工具，提高网络安全防范能力和效率为目标。 每年不少于6次；

11

重保服务

针对重大节假日（两会、HW、国庆、春节、三亚市攻防演练）或其他甲方重要的活动期间，提供技术支撑和7*24现场值守等安全保障服务，对医院信息系统和网络的安全运行进行监测，对各安全系统告警日志进行分析，排除疑似危险，确认威胁，协助处置，并撰写总结报告。全年重保服务时间人员投入不少于30人天（保底重保期间2人值守驻场）
若需额外人员值守按照不高于2000/人/天单独计费，不计入总价。

12

应急演练服务

以人工方式模拟客户发生特定网络安全事件，验证安全事件应急响应和处置方法的有效性。主要检验应急响应过程中组织各方的协同反应水平和实战能力、评估应急响应预案的实用性、可行性、可靠性为目的。演练场景范围（每年根据以下场景选三）：勒索病毒应急演练、钓鱼邮件应急演练、信息泄露应急演练、Webshell后门应急演练、挖矿木马应急演练、网页篡改应急演练、近源攻击应急演练等；
服务周期：每年一次

13

驻场安全运营服务

由供应商提供专职工程师现场驻点服务，完成网络安全监测预警平台的运行维护服务工作（含2名专职服务人员5×8小时现场驻点服务，完成相配套的安全服务工作；并根据安全事件迫切性需求，提供7*24小时应急响应技术支撑服务。工程师日常服务包含以下内容：网络安全平台监测预警及处置，包含但不限于以下内容：
1) 主机告警。告警时间、告警类别、威胁级别、告警内容、主机IP、威胁影响预估。
2) 应用告警。告警时间、告警类别、威胁级别、告警内容、源IP、目的IP、威胁影响预估。
3) 安全设备告警。告警时间、告警类别、威胁级别、告警内容、源IP、目的IP、威胁影响预估。
4) 告警处置记录。告警时间、上报时间、对接人、处置时间、处置方式、处置结果。
安全规则调优，包含但不限于以下内容：
1) 防火墙。误报消除优化、告警遗漏优化。
2) 态势感知。误报消除优化、告警遗漏优化。
3) WAF。误报消除优化、告警遗漏优化。
4) IPS。误报消除优化、告警遗漏优化。
5) 蜜罐。误报消除优化、告警遗漏优化。
驻点工程师要求：全日制大学本科网络安全相关专业毕业，毕业并且从事网络安全相关专业不少于3年；