一、目的

為有效檢驗我院整體網(wǎng)絡(luò)安全狀況，精準(zhǔn)查找網(wǎng)絡(luò)系統(tǒng)中的漏洞與薄弱環(huán)節(jié)，計劃采購網(wǎng)絡(luò)安全攻防實戰(zhàn)演習(xí)服務(wù)。通過模擬真實的網(wǎng)絡(luò)攻擊場景，全面評估我院現(xiàn)有安全防護(hù)體系的有效性，以便及時發(fā)現(xiàn)潛在風(fēng)險，采取針對性的加固措施，進(jìn)一步提升我院網(wǎng)絡(luò)安全防護(hù)能力，確保我院信息資產(chǎn)的安全與穩(wěn)定運(yùn)行。

二、需求

1、紅隊攻擊測試服務(wù)：根據(jù)黑客攻擊的思維，參考黑客攻擊的手段，從互聯(lián)網(wǎng)信息系統(tǒng)為攻擊切入點對醫(yī)院信息系統(tǒng)進(jìn)行攻擊測試，盡可能全面發(fā)現(xiàn)導(dǎo)致黑客入侵的所有途徑。以獲取核心數(shù)據(jù)、服務(wù)器權(quán)限或漫游進(jìn)入內(nèi)網(wǎng)為目的，從而暴露對外網(wǎng)的防御薄弱點。具體服務(wù)內(nèi)容包括不限于：1、身份認(rèn)證攻擊；2、權(quán)限訪問攻擊；3、XSS（跨站腳本攻擊）；4、CSRF（跨站請求偽造）；5、SSRF（服務(wù)器端請求偽造）；6、XXE（XML外部實體注入）；7、OS命令注入；8、反序列化攻擊；9、后臺Getshell；10、遠(yuǎn)程代碼執(zhí)行；11、任意文件下載/讀?。?2、任意文件上傳；13、數(shù)據(jù)存儲注入技術(shù)；14、應(yīng)用服務(wù)暴力破解；15、腳本漏洞挖掘。

2、近源安全檢測服務(wù)：根據(jù)黑客進(jìn)源攻擊的思維，參考黑客攻擊的手段，從醫(yī)院實際物理環(huán)境為攻擊切入點對信息系統(tǒng)進(jìn)行攻擊測試，盡可能全面發(fā)現(xiàn)導(dǎo)致黑客入侵的所有物理途徑。

三、報名要求：

歡迎具備合格資質(zhì)、具有相應(yīng)供應(yīng)保障能力、三年內(nèi)無違法違紀(jì)記錄的生產(chǎn)廠商參加。

四、參加“德陽市人民醫(yī)院信息化建設(shè)項目市場調(diào)研”工作的須知：

1、報名資質(zhì)要求：

①生產(chǎn)廠家資質(zhì)（三證合一的營業(yè)執(zhí)照或營業(yè)執(zhí)照）

②推薦方案相關(guān)產(chǎn)品登記證書或軟件著作權(quán)登記證書

③生產(chǎn)廠家授權(quán)人給予參與調(diào)研工作經(jīng)辦人的授權(quán)及其身份證復(fù)印件（授權(quán)人、經(jīng)辦人）

④以上報名用資質(zhì)文件需加蓋生產(chǎn)廠家鮮章

2、報名時間截止于2025年3月24日17:30分，報名方式分兩種：

①線上報名方式：將以上報名資質(zhì)彩掃成一個PDF文件發(fā)至郵箱dy120sbk@163.com并致電下方聯(lián)系方式審核登記。

②線下現(xiàn)場報名地點位于醫(yī)工信息部醫(yī)工中心二號辦公室

3、各項目“調(diào)研會議”時間另行通知。

五、聯(lián)系方式：

1、聯(lián)系人：彭老師、江老師，郝老師，聯(lián)系電話：0838-2418071。

2、地址：四川省德陽市旌陽區(qū)泰山北路173號，德陽市人民醫(yī)院醫(yī)工信息部醫(yī)工中心二號辦公室。

醫(yī)工信息部

                                                                                                                                                                                                                                 2025年3月5日