潮州市建设工程咨询事务所有限公司受业主（潮州市中心医院）委托，现对潮州市中心医院核心系统渗透测试、核心服务器漏洞扫描项目进行市场调查，现通过公告方式，欢迎有兴趣参与该项目调查的公司根据项目信息和贵公司实际情况递交调查资料。

一、项目背景

在信息技术深度融入医疗业务的当下，医院核心信息系统承载着海量患者诊疗数据、医疗业务信息以及医院运营管理数据。这些数据不仅关乎患者隐私安全，更是医院正常运转的关键支撑。然而，随着网络安全威胁的日益多样化与复杂化，定期开展全面、深入的安全检测工作成为保障医院信息系统安全的必要手段。通过渗透测试和漏洞扫描，能够及时发现系统潜在的安全隐患，提前采取针对性防护措施，降低数据泄露、业务中断等安全事件发生的风险，确保医疗服务的连续性与稳定性。

二、服务内容要求

（一）渗透测试服务

测试范围：全面覆盖医院核心信息系统，包括但不限于医院信息系统（HIS）、电子病历系统（EMR）、实验室信息系统（LIS）、医学影像存档与通信系统（PACS）、互联网医院平台、医院集成平台等，以及相关网络设备、服务器主机、数据库系统和第三方接口。

测试深度：模拟真实黑客攻击场景，从网络层、应用层、数据层等多维度进行深度渗透测试，涵盖身份认证绕过、SQL 注入、跨站脚本攻击（XSS）、文件上传漏洞、逻辑漏洞等常见攻击类型，精准定位系统安全薄弱点。

报告输出：完成测试后，需在 5 个工作日内提交详细的《渗透测试报告》。报告应包含详细的攻击路径、发现的漏洞详情（包括漏洞名称、编号、位置、危害程度）、漏洞利用代码（如有）、风险影响分析以及切实可行的修复建议和方案。同时，针对高危漏洞，需在发现后4 小时内以紧急报告形式通知医院相关部门，并提供应急处置指导。

（二）漏洞扫描服务

扫描频率：提供定期全系统漏洞扫描服务，以及在系统重大变更（如系统升级、新功能上线、网络架构调整等）后10 个工作日内的临时扫描服务，确保及时发现系统因变更产生的新安全漏洞。

扫描内容：支持全端口扫描、Web 漏洞扫描（全面覆盖 OWASP Top 10 等常见 Web 漏洞类型）、数据库漏洞检测（针对医院所使用的 Oracle、MySQL 等主流数据库）、操作系统漏洞扫描（包括 Windows、Linux 及国产操作系统如麒麟、统信等）。同时，对医院物联网设备（如医疗智能终端、穿戴设备等）的网络端口开放情况、固件漏洞等进行检测。

报告要求：每次扫描完成后，应在5个工作日内出具详细的《漏洞扫描报告》。报告需对漏洞进行分级（高危、中危、低危），详细描述漏洞信息（名称、位置、影响范围），提供修复建议，并对漏洞修复情况进行跟踪验证（复测服务不少于 1 次 / 年），确保漏洞得到有效解决。

（三）专项检测服务

新系统上线检测：针对新上线的医院信息系统（如 AI 辅助诊断系统、远程医疗系统等），在上线前提供全面的安全检测服务，确保新系统在投入使用前不存在重大安全隐患。检测内容包括但不限于系统架构安全评估、数据交互安全检测、用户权限管理检测等。

移动应用安全检测：对医院移动应用（如医院 APP）进行深度安全检测，重点关注数据本地化存储风险、通信加密缺陷、OAuth2.0 认证流程安全、第三方登录接口（微信 / 支付宝等）风险评估等方面，保障移动应用的安全性，防止患者信息泄露。

特定场景检测：根据医院实际需求，对特定场景（如医保接口安全检测、区域卫生平台接口安全检测、数据中心灾备切换过程中的安全检测等）进行专项安全检测，提供针对性的检测方案和报告。

（四）整改支持服务

漏洞修复建议：针对渗透测试和漏洞扫描过程中发现的安全漏洞，提供专业、详细的技术修复建议，协助医院信息部门制定切实可行的漏洞修复计划。修复建议应包括详细的操作步骤、技术原理以及可能对系统产生的影响评估。

复测服务：在医院完成漏洞修复后，及时提供复测服务，验证漏洞修复效果，确保系统已恢复安全状态。对于未能有效修复的漏洞，需进一步分析原因，提供二次修复建议，直至漏洞完全解决。

应急响应支持：针对检测过程中发现的高危漏洞或突发安全事件，提供 7×24 小时应急响应服务。在接到通知后2小时内启动应急响应机制，通过远程或现场方式提供技术支持，指导医院进行应急处置，最大限度降低安全事件对医院业务的影响。

现通过公告方式，对本项目进行市场调研，欢迎有兴趣参与该项目调查的公司根据项目信息和贵公司实际情况递交调查资料。调研范围不限于以上需求，可现场堪察。

三、参加本次市场调查供应商应具备下列条件：

1、市场调研材料需正本一份，副本二份，电子文档二份（无加密的word版和PDF盖章版各一份），正本必须用A4幅面纸张打印装订，副本可以用正本的完整复印件，并在封面标明“正本”、“副本”字样。正本与副本如有不一致，则以正本为准。电子文档内容需与正本内容一致。

2、市场调研材料包括：

（1）投标人必须是来自于中华人民共和国境内的独立法人企业或其他组织。投标人应当具备承担招标项目的能力, 投标人应具备《中华人民共和国招标投标法》第二十六条资格条件；

（2）投标人具备履行合同所必需的设备和专业技术能力的证明材料：提供但不限于以下例举的证明材料(如提供相应的产品功能彩页或方案，以及过往在医疗领域的实施过的项目案例 (配合同佐证)等证明材料复印件）；

（3）投标人具备良好的财务状况（（备注栏要求材料3点中其中一点即可）

提供2023年度或2024年度的财务报告或财务报表，如为2024年注册的，提供成立至今的月或季度财务状况报告复印件；

基本开户银行出具的资信证明（要求：投标截止之日前6个月内出具且在有效期内的，能够清晰反映供应商的商业信誉情况，如成立时间不足6个月的，按成立时间提供，如资信证明不能体现基本开户账户的，应另附开户许可证）；

其他组织和自然人须提供2024年内任1月份或任1季度缴纳税收和缴纳社会保险的凭据。

（4）投标人提供依法缴纳税收和社会保障资金的相关材料

税务登记证(地税或国税)复印件（如无，须提供相关证明材料。已按《关于我省实施“三证合一”“一照一码”改革的通告》规定，取得“一照一码”营业执照的，则无需提供。）

2024年内任1月份或任1季度缴纳税收和保险的凭证复印件。注：如依法免税或不需要缴纳社会保障资金的，应提供相应文件证明其依法免税或不需要缴纳社会保障资金。

（5）本项目不接受联合体投标。未经招标人许可，不得分包、转包。(投标人出具承诺函)

（6）单位负责人为同一人或者存在控股、管理关系的不同单位，不得参加同一招标项目包投标。(投标人出具承诺函)

（7）投标人参与采购项目投标的供应商未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。

注：“信用中国（www.creditchina.gov.cn)”中“信用服务”栏的“重大税收违法案件当事人名单”“失信被执行人”“中国政府采购网（www.ccgp.gov.cn）”中的“政府采购严重违法失信行为记录名单”为供应商信用信息的查询渠道，相关信息以开标当日的查询结果为准。

（8）所有材料必须加盖公章方为有效（产品彩页除外）,必须留相关联系方式。

以上材料胶装后用信封或档案袋等密封，提交的所有资料须合法、真实、有效、清晰，并加盖单位公章，按以上顺序编订，并在信封封面编制简要目录、公司名称、联系人、联系方式等相关信息。

郑重提示：以上资料务必真实有效，且在有效期内。该市场调研并非采购行为，各单位提供的相关产品信息仅有助于提高本单位对该方案的认知，不作为本单位采购行为的任何承诺。

四、市场调查时间：

2025年4月30日—5月12日

五、市场调研期间，如需进行产品介绍，采取现场联系，公司须有商务代表与技术代表在场。

六、市场调查有关材料提交地点与时间：

1、提交时间：2025年5月12日17:00之前提交相关资料，逾期不予受理。

2、参加可采用邮寄或现场方式递交资料，并在规定时间内送达。

3、专人送达：请于上班时间（周一至周五9:00-11:30，14:30-17:00）将资料送至潮州市湘桥区桥东街道东山路裕源大厦综合楼第七层东侧（潮州市建设工程咨询事务所有限公司）。

4、邮寄地址：潮州市湘桥区桥东街道东山路裕源大厦综合楼第七层东侧

   收件人：张工                    收件电话：0768-2393316

5、联系人：张工                    联系电话：0768-2393316

   电子邮箱：1294933583@qq.com

潮州市建设工程咨询事务所有限公司    

2025年4月30日