医保信息安全风险评估询价公告

1

安全风险评估服务

提供30人天1800虚拟机高级服务工程师采取访谈调研、人工审核、工具检测等手段，评估信息系统安全现状，对信息资产面临的威胁、存在的脆弱性、现有防护措施及综合作用而带来的风险发生的可能性进行评估，最终提供全面性的风险评估报告及建设建议。

项

1

170000.00

170000.00

2

攻防演练服务

提供6名安全工程师，进行约1周时间的攻防演练，以APT攻击者视角对我单位目前现有防御措施进行深度渗透测试，对目标系统、人员、软硬件设备、基础架构，进行多维度、多手段、对抗性模拟攻击，旨在发现可能被入侵的薄弱点，并以此为跳板将攻击渗透结果最大化（包括系统提权、控制业务、获取信息），进而检验现有防御体系的短板和远程社工，通过发送邮件、虚拟网络身份欺骗、水坑攻击以及其他社工方式，通过职工打开进入系统&内网的突破口（远程）以及近源攻击，开展伪造wifi钓鱼、现场身份识别绕过、本地网络嗅探、虚假活动钓鱼等方式获取职工敏感个人信息，进而实现对内部网络的渗透工作（现场）。同时在演练期间，安全专家需组织防守工作，每天对演练期间攻击、防守双方提交的报告进行审核。演练结束后对数据进行安全统计分析，完成总结报告。

项

1

200000.00

200000.00

3

应急演练服务

据相关国家标准或国际标准，结合组织的IT建设现状，安排1-2名安全工程师，每次应急演练不超过一天，提供网络与信息安全突发事件应急预案模版，以指导应急团队应对安全事件，制定应急演练方案及脚本并协助开展应急演练，模拟安全事件发生及处置的全过程，提高应对安全事件的处置能力，预防和减少安全事件造成的危害和损失，每季度组织一次，一年共4次应急演练服务。

次

4

10000.00

40000.00

4

商用密码应用安全性评估

参照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》检查被测系统，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置进行差距分析，对系统进行安全评估。
通过对系统现状的分析和梳理，发现系统现有安全措施与等级保护基本要求的差距，提出安全整改建议，以指导后续安全整改工作。
（1）物理和环境安全：包括身份鉴别、电子门禁记录数据存储完整性、视频监控记录数据存储完整性等内容。
（2）网络和通信安全：包括身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性 、安全接入认证等内容。
（3）设备和计算安全：包括身份鉴别、远程管理通道安全、系统资源访问控制信息完整性、重要信息资源安全标记完整性、日志记录完整性、重要可执行程序完整性、重要可执行程序来源真实性等内容。
（4）应用和数据安全：包括身份鉴别、访问控制信息完整性、重要信息资源安全标记完整性、重要数据传输机密性、重要数据存储机密性、重要数据传输完整性、重要数据存储完整性、不可否认性等内容。
（5）管理制度：具备密码应用安全管理制度、密钥管理规则、建立操作规程、定期修订安全管理制度、明确管理制度发布流程、制度执行过程记录留存等内容。
（6）人员管理：涵盖了解并遵守密码相关法律法规和密码管理制度 、建立密码应用岗位责任制度、建立上岗人员培训制度、定期进行安全岗位人员考核、建立关键岗位人员保密制度和调离制度等内容。
（7）建设运行：涵盖制定密码应用方案、制定密钥安全管理策略、制定实施方案、投入运行前进行密码应用安全性评估、定期开展密码应用安全性评估及攻防对抗演习等内容。
（8）应急处置：涵盖应急策略、事件处置、向有关主管部门上报处置情况等内容。
（9）针对系统评估后输出《商用密码应用安全性评估报告》和针对建设方案评估后输出《系统方案商用密码安全性评估报告》。

1

1

170000.00

170000.00

合计

580000.00