潮州市建設(shè)工程咨詢事務(wù)所有限公司受業(yè)主(潮州市中心醫(yī)院)委托��,現(xiàn)對(duì)潮州市中心醫(yī)院核心系統(tǒng)滲透測(cè)試����、核心服務(wù)器漏洞掃描項(xiàng)目進(jìn)行市場(chǎng)調(diào)查,現(xiàn)通過公告方式�����,歡迎有興趣參與該項(xiàng)目調(diào)查的公司根據(jù)項(xiàng)目信息和貴公司實(shí)際情況遞交調(diào)查資料�。
一、項(xiàng)目背景
在信息技術(shù)深度融入醫(yī)療業(yè)務(wù)的當(dāng)下����,醫(yī)院核心信息系統(tǒng)承載著海量患者診療數(shù)據(jù)���、醫(yī)療業(yè)務(wù)信息以及醫(yī)院運(yùn)營管理數(shù)據(jù)。這些數(shù)據(jù)不僅關(guān)乎患者隱私安全��,更是醫(yī)院正常運(yùn)轉(zhuǎn)的關(guān)鍵支撐��。然而��,隨著網(wǎng)絡(luò)安全威脅的日益多樣化與復(fù)雜化����,定期開展全面、深入的安全檢測(cè)工作成為保障醫(yī)院信息系統(tǒng)安全的必要手段���。通過滲透測(cè)試和漏洞掃描���,能夠及時(shí)發(fā)現(xiàn)系統(tǒng)潛在的安全隱患,提前采取針對(duì)性防護(hù)措施��,降低數(shù)據(jù)泄露��、業(yè)務(wù)中斷等安全事件發(fā)生的風(fēng)險(xiǎn)����,確保醫(yī)療服務(wù)的連續(xù)性與穩(wěn)定性�����。
二、服務(wù)內(nèi)容要求
(一)滲透測(cè)試服務(wù)
測(cè)試范圍:全面覆蓋醫(yī)院核心信息系統(tǒng)�����,包括但不限于醫(yī)院信息系統(tǒng)(HIS)�����、電子病歷系統(tǒng)(EMR)��、實(shí)驗(yàn)室信息系統(tǒng)(LIS)����、醫(yī)學(xué)影像存檔與通信系統(tǒng)(PACS)、互聯(lián)網(wǎng)醫(yī)院平臺(tái)�����、醫(yī)院集成平臺(tái)等����,以及相關(guān)網(wǎng)絡(luò)設(shè)備��、服務(wù)器主機(jī)����、數(shù)據(jù)庫系統(tǒng)和第三方接口��。
測(cè)試深度:模擬真實(shí)黑客攻擊場(chǎng)景�����,從網(wǎng)絡(luò)層�、應(yīng)用層、數(shù)據(jù)層等多維度進(jìn)行深度滲透測(cè)試�����,涵蓋身份認(rèn)證繞過�、SQL 注入、跨站腳本攻擊(XSS)����、文件上傳漏洞、邏輯漏洞等常見攻擊類型����,精準(zhǔn)定位系統(tǒng)安全薄弱點(diǎn)����。
報(bào)告輸出:完成測(cè)試后�����,需在 5 個(gè)工作日內(nèi)提交詳細(xì)的《滲透測(cè)試報(bào)告》�。報(bào)告應(yīng)包含詳細(xì)的攻擊路徑�����、發(fā)現(xiàn)的漏洞詳情(包括漏洞名稱�、編號(hào)、位置�、危害程度)、漏洞利用代碼(如有)����、風(fēng)險(xiǎn)影響分析以及切實(shí)可行的修復(fù)建議和方案。同時(shí)�����,針對(duì)高危漏洞,需在發(fā)現(xiàn)后4 小時(shí)內(nèi)以緊急報(bào)告形式通知醫(yī)院相關(guān)部門�,并提供應(yīng)急處置指導(dǎo)。
(二)漏洞掃描服務(wù)
掃描頻率:提供定期全系統(tǒng)漏洞掃描服務(wù)���,以及在系統(tǒng)重大變更(如系統(tǒng)升級(jí)��、新功能上線���、網(wǎng)絡(luò)架構(gòu)調(diào)整等)后10 個(gè)工作日內(nèi)的臨時(shí)掃描服務(wù),確保及時(shí)發(fā)現(xiàn)系統(tǒng)因變更產(chǎn)生的新安全漏洞�����。
掃描內(nèi)容:支持全端口掃描���、Web 漏洞掃描(全面覆蓋 OWASP Top 10 等常見 Web 漏洞類型)�、數(shù)據(jù)庫漏洞檢測(cè)(針對(duì)醫(yī)院所使用的 Oracle�、MySQL 等主流數(shù)據(jù)庫)、操作系統(tǒng)漏洞掃描(包括 Windows�、Linux 及國產(chǎn)操作系統(tǒng)如麒麟、統(tǒng)信等)�。同時(shí),對(duì)醫(yī)院物聯(lián)網(wǎng)設(shè)備(如醫(yī)療智能終端���、穿戴設(shè)備等)的網(wǎng)絡(luò)端口開放情況���、固件漏洞等進(jìn)行檢測(cè)�����。
報(bào)告要求:每次掃描完成后�,應(yīng)在5個(gè)工作日內(nèi)出具詳細(xì)的《漏洞掃描報(bào)告》����。報(bào)告需對(duì)漏洞進(jìn)行分級(jí)(高危����、中危、低危)��,詳細(xì)描述漏洞信息(名稱�、位置、影響范圍)��,提供修復(fù)建議����,并對(duì)漏洞修復(fù)情況進(jìn)行跟蹤驗(yàn)證(復(fù)測(cè)服務(wù)不少于 1 次 / 年)��,確保漏洞得到有效解決���。
(三)專項(xiàng)檢測(cè)服務(wù)
新系統(tǒng)上線檢測(cè):針對(duì)新上線的醫(yī)院信息系統(tǒng)(如 AI 輔助診斷系統(tǒng)、遠(yuǎn)程醫(yī)療系統(tǒng)等)����,在上線前提供全面的安全檢測(cè)服務(wù),確保新系統(tǒng)在投入使用前不存在重大安全隱患����。檢測(cè)內(nèi)容包括但不限于系統(tǒng)架構(gòu)安全評(píng)估、數(shù)據(jù)交互安全檢測(cè)�、用戶權(quán)限管理檢測(cè)等。
移動(dòng)應(yīng)用安全檢測(cè):對(duì)醫(yī)院移動(dòng)應(yīng)用(如醫(yī)院 APP)進(jìn)行深度安全檢測(cè)��,重點(diǎn)關(guān)注數(shù)據(jù)本地化存儲(chǔ)風(fēng)險(xiǎn)����、通信加密缺陷、OAuth2.0 認(rèn)證流程安全����、第三方登錄接口(微信 / 支付寶等)風(fēng)險(xiǎn)評(píng)估等方面,保障移動(dòng)應(yīng)用的安全性,防止患者信息泄露����。
特定場(chǎng)景檢測(cè):根據(jù)醫(yī)院實(shí)際需求,對(duì)特定場(chǎng)景(如醫(yī)保接口安全檢測(cè)���、區(qū)域衛(wèi)生平臺(tái)接口安全檢測(cè)�、數(shù)據(jù)中心災(zāi)備切換過程中的安全檢測(cè)等)進(jìn)行專項(xiàng)安全檢測(cè)���,提供針對(duì)性的檢測(cè)方案和報(bào)告�。
(四)整改支持服務(wù)
漏洞修復(fù)建議:針對(duì)滲透測(cè)試和漏洞掃描過程中發(fā)現(xiàn)的安全漏洞��,提供專業(yè)�����、詳細(xì)的技術(shù)修復(fù)建議�����,協(xié)助醫(yī)院信息部門制定切實(shí)可行的漏洞修復(fù)計(jì)劃�����。修復(fù)建議應(yīng)包括詳細(xì)的操作步驟��、技術(shù)原理以及可能對(duì)系統(tǒng)產(chǎn)生的影響評(píng)估��。
復(fù)測(cè)服務(wù):在醫(yī)院完成漏洞修復(fù)后���,及時(shí)提供復(fù)測(cè)服務(wù)���,驗(yàn)證漏洞修復(fù)效果,確保系統(tǒng)已恢復(fù)安全狀態(tài)�。對(duì)于未能有效修復(fù)的漏洞,需進(jìn)一步分析原因�,提供二次修復(fù)建議,直至漏洞完全解決���。
應(yīng)急響應(yīng)支持:針對(duì)檢測(cè)過程中發(fā)現(xiàn)的高危漏洞或突發(fā)安全事件���,提供 7×24 小時(shí)應(yīng)急響應(yīng)服務(wù)。在接到通知后2小時(shí)內(nèi)啟動(dòng)應(yīng)急響應(yīng)機(jī)制�����,通過遠(yuǎn)程或現(xiàn)場(chǎng)方式提供技術(shù)支持����,指導(dǎo)醫(yī)院進(jìn)行應(yīng)急處置�����,最大限度降低安全事件對(duì)醫(yī)院業(yè)務(wù)的影響���。
現(xiàn)通過公告方式,對(duì)本項(xiàng)目進(jìn)行市場(chǎng)調(diào)研���,歡迎有興趣參與該項(xiàng)目調(diào)查的公司根據(jù)項(xiàng)目信息和貴公司實(shí)際情況遞交調(diào)查資料�。調(diào)研范圍不限于以上需求���,可現(xiàn)場(chǎng)堪察����。
三����、參加本次市場(chǎng)調(diào)查供應(yīng)商應(yīng)具備下列條件:
1、市場(chǎng)調(diào)研材料需正本一份����,副本二份,電子文檔二份(無加密的word版和PDF蓋章版各一份)��,正本必須用A4幅面紙張打印裝訂�,副本可以用正本的完整復(fù)印件,并在封面標(biāo)明“正本”���、“副本”字樣�。正本與副本如有不一致��,則以正本為準(zhǔn)���。電子文檔內(nèi)容需與正本內(nèi)容一致�����。
2��、市場(chǎng)調(diào)研材料包括:
(1)投標(biāo)人必須是來自于中華人民共和國境內(nèi)的獨(dú)立法人企業(yè)或其他組織����。投標(biāo)人應(yīng)當(dāng)具備承擔(dān)招標(biāo)項(xiàng)目的能力, 投標(biāo)人應(yīng)具備《中華人民共和國招標(biāo)投標(biāo)法》第二十六條資格條件�����;
(2)投標(biāo)人具備履行合同所必需的設(shè)備和專業(yè)技術(shù)能力的證明材料:提供但不限于以下例舉的證明材料(如提供相應(yīng)的產(chǎn)品功能彩頁或方案,以及過往在醫(yī)療領(lǐng)域的實(shí)施過的項(xiàng)目案例 (配合同佐證)等證明材料復(fù)印件)����;
(3)投標(biāo)人具備良好的財(cái)務(wù)狀況((備注欄要求材料3點(diǎn)中其中一點(diǎn)即可)
提供2023年度或2024年度的財(cái)務(wù)報(bào)告或財(cái)務(wù)報(bào)表,如為2024年注冊(cè)的�����,提供成立至今的月或季度財(cái)務(wù)狀況報(bào)告復(fù)印件�;
基本開戶銀行出具的資信證明(要求:投標(biāo)截止之日前6個(gè)月內(nèi)出具且在有效期內(nèi)的,能夠清晰反映供應(yīng)商的商業(yè)信譽(yù)情況����,如成立時(shí)間不足6個(gè)月的,按成立時(shí)間提供���,如資信證明不能體現(xiàn)基本開戶賬戶的����,應(yīng)另附開戶許可證)����;
其他組織和自然人須提供2024年內(nèi)任1月份或任1季度繳納稅收和繳納社會(huì)保險(xiǎn)的憑據(jù)。
(4)投標(biāo)人提供依法繳納稅收和社會(huì)保障資金的相關(guān)材料
稅務(wù)登記證(地稅或國稅)復(fù)印件(如無���,須提供相關(guān)證明材料���。已按《關(guān)于我省實(shí)施“三證合一”“一照一碼”改革的通告》規(guī)定,取得“一照一碼”營業(yè)執(zhí)照的�,則無需提供。)
2024年內(nèi)任1月份或任1季度繳納稅收和保險(xiǎn)的憑證復(fù)印件��。注:如依法免稅或不需要繳納社會(huì)保障資金的�,應(yīng)提供相應(yīng)文件證明其依法免稅或不需要繳納社會(huì)保障資金。
(5)本項(xiàng)目不接受聯(lián)合體投標(biāo)�。未經(jīng)招標(biāo)人許可,不得分包�、轉(zhuǎn)包。(投標(biāo)人出具承諾函)
(6)單位負(fù)責(zé)人為同一人或者存在控股��、管理關(guān)系的不同單位���,不得參加同一招標(biāo)項(xiàng)目包投標(biāo)���。(投標(biāo)人出具承諾函)
(7)投標(biāo)人參與采購項(xiàng)目投標(biāo)的供應(yīng)商未被列入失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單����、政府采購嚴(yán)重違法失信行為記錄名單�����。
注:“信用中國(www.creditchina.gov.cn)”中“信用服務(wù)”欄的“重大稅收違法案件當(dāng)事人名單”“失信被執(zhí)行人”“中國政府采購網(wǎng)(www.ccgp.gov.cn)”中的“政府采購嚴(yán)重違法失信行為記錄名單”為供應(yīng)商信用信息的查詢渠道����,相關(guān)信息以開標(biāo)當(dāng)日的查詢結(jié)果為準(zhǔn)���。
(8)所有材料必須加蓋公章方為有效(產(chǎn)品彩頁除外),必須留相關(guān)聯(lián)系方式����。
以上材料膠裝后用信封或檔案袋等密封��,提交的所有資料須合法�、真實(shí)、有效�����、清晰�����,并加蓋單位公章,按以上順序編訂�����,并在信封封面編制簡要目錄�、公司名稱�、聯(lián)系人、聯(lián)系方式等相關(guān)信息���。
鄭重提示:以上資料務(wù)必真實(shí)有效���,且在有效期內(nèi)。該市場(chǎng)調(diào)研并非采購行為�,各單位提供的相關(guān)產(chǎn)品信息僅有助于提高本單位對(duì)該方案的認(rèn)知,不作為本單位采購行為的任何承諾�。
四、市場(chǎng)調(diào)查時(shí)間:
2025年4月30日—5月12日
五��、市場(chǎng)調(diào)研期間���,如需進(jìn)行產(chǎn)品介紹��,采取現(xiàn)場(chǎng)聯(lián)系�����,公司須有商務(wù)代表與技術(shù)代表在場(chǎng)�。
六、市場(chǎng)調(diào)查有關(guān)材料提交地點(diǎn)與時(shí)間:
1�、提交時(shí)間:2025年5月12日17:00之前提交相關(guān)資料,逾期不予受理�。
2、參加可采用郵寄或現(xiàn)場(chǎng)方式遞交資料�����,并在規(guī)定時(shí)間內(nèi)送達(dá)�。
3、專人送達(dá):請(qǐng)于上班時(shí)間(周一至周五9:00-11:30�,14:30-17:00)將資料送至潮州市湘橋區(qū)橋東街道東山路裕源大廈綜合樓第七層?xùn)|側(cè)(潮州市建設(shè)工程咨詢事務(wù)所有限公司)。
4�、郵寄地址:潮州市湘橋區(qū)橋東街道東山路裕源大廈綜合樓第七層?xùn)|側(cè)
收件人:張工 收件電話:0768-2393316
5、聯(lián)系人:張工 聯(lián)系電話:0768-2393316
電子郵箱:1294933583@qq.com
潮州市建設(shè)工程咨詢事務(wù)所有限公司
2025年4月30日
豫公網(wǎng)安備41010702002971號(hào)