招标文件
采购需求
(本需求仅供参考,具体以磋商文件为准)
前注:
本说明中提出的技术方案仅为参考,如无明确限制,供应商可以进行优化,提供满足用户实际需要的更优(或者性能实质上不低于的)服务方案,且此方案须经磋商小组评审认可。
一、采购需求前附表
二、项目概况
随着“互联网+政务服务”工作的深入快速发展,我国各级政府纷纷以网络为平台实现业务自动化处理,但是信息化在提高工作效率的同时也带来了严重的安全隐患,近年政府机关重大信息安全事件层出不穷,给信息系统使用单位带来了不可估量的经济损失和负面影响。因此,作为住房保障和房产管理政策及相关配套行政规章的制定实施部门,有必要加强信息化运维保障能力,确保信息系统安全稳定运行。
因信息化运维工作包含网络、网络安全、主机、存储、数据库、软件等多种技术,对专业技术要求面广且技术要求高,一两个人很难同时全面具备多种较高专业技能,目前省内其他单位也多采用第三方专业运维服务公司提供技术服务的方式保障自身信息系统安全稳定运行。采用服务外包方式也符合国家关于促进服务外包产业加快发展的要求。目前合肥市住房保障和房产管理局内部配备的技术人员也不具备运维所需的多种专业技能。因此,需要通过招标运维服务项目,采用具备多种运维服务技术的第三方专业服务团队,来弥补采购人目前在信息化运维方面人力和技术不足的现状。
合肥市住房保障和房产管理局目前有两个机房,主机房位于要素大市场,另外一个机房位于逍遥津房产大厦,两个机房通过两条20M专线互联,一条专线用作同城容灾数据传输使用,另外一条用于业务访问使用。
要素大市场主机房通过两台热备防火墙、两台热备IPS、两台热备WAF进行安全防护后对互联网提供服务;设置专线接入区,电子政务外网、多条银行及外单位专线接入该区域后,通过两台热备防火墙防护后与内网进行数据交互;外部移动办公人员在互联网上通过SSL VPN认证后接入内网,访问内部业务系统;数据区部署一套数据库一体机存储主要业务数据,通过20M专线与房产大厦部署的另外一套数据库一体机实现同城数据容灾。将22台物理服务器使用服务器虚拟化技术搭建虚拟化平台,为业务系统运行提供计算服务。
房产大厦机房部署房地产预售资金监管系统和部分业务系统,同时接入专线,与银行、住建部、住建厅等其他部门进行信息交互。
针对应用数据,部署虚拟化平台使用的存储为2套高性能存储,利用虚拟化网关实现2套存储之间数据的实时同步,保证了数据的冗余。
目前合肥市住房保障和房产管理局拥有多套业务数据库。主要有核心业务数据库、日志数据库、业务云平台数据库、资金监管业务数据库、政务服务数据库、住建部数据上报数据库、测绘系统数据库、住房保障业务数据库、档案系统数据库。除住房保障系统为sqlserver数据库外,其他均为oracle数据库。
核心业务数据库为一体机架构,利用oracle的ADG搭建主备库环境,实现要素机房主库到房产大厦机房备库数据的实时同步。
日志数据库为单实例数据库,利用oracle的ADG搭建主备库环境,实现主库到备库数据的实时同步。
业务云平台数据库为单实例数据库,部署在虚拟化平台。
资金监管业务数据库为单实例数据库,利用第三方集群软件搭建了主备集群环境。
政务服务数据库、住建部数据上报数据库、测绘系统数据库、档案系统数据库均为单实例数据库,部署在虚拟化平台上。
住房保障系统数据为单实例数据,部署在虚拟化平台上。
数据备份方面,使用备份一体机对核心数据库数据进行了定时备份。在数据备份服务器上利用定时任务+脚本方式对核心业务数据库、业务云平台数据库、资金监管业务数据库、政务服务数据库、住建部数据上报数据库、测绘系统数据库、住房保障业务数据库、档案系统数据库数据进行备份,备份完成后,再使用备份一体机将备份数据备份到一体机内。
现有主要信息资产清单如下表所示:
|
序号 |
名称 |
型号 |
数量 |
备注 |
|||||||||||||||||||||||||||||||
|
1.机房基础环境设备清单 |
|||||||||||||||||||||||||||||||||||
|
|
空调 |
Emerson精密空调 |
3台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
空调 |
艾泰沃空调 |
3台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
空调 |
维蒂空调 |
3台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
UPS |
Emerson UPS主机 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
UPS |
艾泰沃UPS主机 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
电池组 |
电池组 |
8组 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
配电柜 |
市电配电柜 |
1套 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
配电柜 |
Emerson配电柜 |
1套 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
配电柜 |
HGD配电柜 |
6套 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
动环监控大屏 |
动环监控大屏 |
2套 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
机柜 |
Emerson机柜 |
32个 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
空调 |
Emerson精密空调 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
空调 |
民用柜式空调 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
UPS |
UPS主机 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
电池组 |
UPS电池组 |
8组 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
配电柜 |
市电配电柜 |
1套 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
消防 |
七氟丙烷灭火器 |
4套 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
机柜 |
机柜 |
12个 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
2.网络设备清单 |
|||||||||||||||||||||||||||||||||||
|
|
网络分流器 |
NETTAP NT-CFTAP-8G |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
核心交换机 |
H3C S7508E-X |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
无线控制器 |
H3C LSUM3WCMD0 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
互联网接入交换机 |
H3C S5510 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
银行接入交换机 |
H3C S5560 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
楼层汇聚交换机 |
H3C S5820 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
专线接入交换机 |
H3C S5110 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
内网接入交换机 |
H3C S5110-52P |
11台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
刀片接入交换机 |
H3C B6300XLG |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
无线认证 |
城市热点无线认证 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
服务器区核心交换机 |
H3C S7503E |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
接入交换机 |
H3C S5110-52P |
8台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
数据库区核心交换机 |
H3C S7503E |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
监控接入交换机 |
H3C S5820 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
监控接入交换机 |
H3C S5120 |
3台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
交换机 |
锐捷RG-S2628G-I |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
交换机 |
H3C S5110-52P |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
交换机 |
H3C S5110 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
交换机 |
cicso 3750 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
资金监管路由器 |
H3C MSR30 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
核心交换机 |
H3C S7506E-S |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
交换机 |
中兴ZXR10 5928 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
网闸 |
京泰网闸 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
交换机 |
华为3328TP/3300 |
3台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
资金监管交换机 |
H3C S7503E-S |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
交换机 |
H3C S5120 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
3.主机设备清单 |
|||||||||||||||||||||||||||||||||||
|
|
网站数据库服务器 |
浪潮NF5280M4 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
浪潮服务器 |
浪潮NF5280M4 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
刀片服务器 |
H3C UIS8000(配16个B390刀片) |
1套 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
服务器 |
H3C R590 服务器 |
10台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
虚拟化物理服务器 |
浪潮NF5270M4 |
8台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
数据库一体机 |
沃趣TP1300 |
1套 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
数据库一体机 |
沃趣TP1300 |
1套 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
监控服务器 |
H3C FLEXSER 390 |
4台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
浪潮服务器 |
浪潮NF5280M4 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
测试服务器 |
HP DL388G9 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
财务服务器 |
HP DL380G4 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
虚拟化服务器 |
HP DL380G6 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
服务器 |
DELL R710 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
服务器 |
浪潮NF5280M4 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
服务器 |
HP DL585G7 |
4台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
服务器 |
HP DL385G7 |
7台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
服务器 |
HP DL380PG8 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
服务器 |
IBM X3650M3 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
服务器 |
HP DL388G8 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
服务器 |
HP BL870小型机 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
服务器 |
HP DL585G5 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
资金监管DB服务器 |
HP ML350PG8 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
4.安全产品清单 |
|||||||||||||||||||||||||||||||||||
|
|
堡垒机 |
安恒明御DAS-USM200 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
SSL VPN网关 |
网神SecSSL3600 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
SSL VPN网关 |
网神SecSSL 3600-X5000 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
入侵防御系统 |
启明星辰NGIPS5000-M1 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
互联网边界防火墙 |
网神NSG7500 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
防火墙 |
天融信NGFW4000-UF |
4台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
WEB防火墙 |
安恒明御WAF-500AG |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
日志审计系统 |
安恒明御DAS-LOG-1000 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
WEB监测系统 |
知道创于WebSOC-P100 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
网络漏洞扫描系统 |
启明星辰天镜CSNS-H3 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
配置核查系统 |
绿盟BVS NX3-S |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
网闸 |
网神SecSIS 3600-G5000 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
服务器区防火墙 |
网神NSG7500 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
数据库审计 |
启明星辰天玥GE1500ER |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
数据库防火墙 |
中安威士VS-FW-800 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
网闸 |
网神SecSIS 3600-G1500 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
负载均衡 |
深信服AD-4000 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
上网行为管理 |
网康上网行为管理 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
监控接入防火墙 |
H3C SECPATH F1000-E-SI |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
防火墙 |
网神 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
防火墙 |
山石网科SG-6000 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
SSLVPN |
网神SecSSL3600-A1500 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
防火墙 |
山石网科SG-6000 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
防火墙 |
天融信NGFW4000 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
防火墙 |
USG-FW-1008DP |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
网闸 |
京泰网闸 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
防火墙 |
网神 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
SSLVPN |
网神SECSSL VPN3600-X5000 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
5.存储备份设备清单 |
|||||||||||||||||||||||||||||||||||
|
|
服务器虚拟化存储 |
IBM V7000 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
存储虚拟化网关 |
IBM SVC |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
备份一体机 |
爱数备份VX2400 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
备份一体机 |
爱数备份VX1200 |
1台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
光纤刀片交换机 |
H3C 8Gb FC SAN 交换机 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
光纤交换机 |
博科6505 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
光纤交换机 |
HP光纤交换机 |
2台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
监控存储 |
海康威视DS-A81016S |
9台 |
滨湖机房 |
|||||||||||||||||||||||||||||||
|
|
备份一体机 |
爱数备份VX1200 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
存储 |
HP EVA6400 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
光纤交换机 |
HP 光纤交换机 |
2台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
备份一体机 |
爱数PX2400 |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
|
资金监管存储 |
爱数S1600I-SR |
1台 |
逍遥津机房 |
|||||||||||||||||||||||||||||||
|
6.外联链路清单 |
|||||||||||||||||||||||||||||||||||
|
|
互联网出口链路 |
2条 |
两机房各1条 |
||||||||||||||||||||||||||||||||
|
|
20M运营商专线 |
2条 |
两机房互联 |
||||||||||||||||||||||||||||||||
|
|
电子政务外网出口 |
2条 |
两机房各1条 |
||||||||||||||||||||||||||||||||
|
|
住建部出口专线 |
1条 |
逍遥津机房 |
||||||||||||||||||||||||||||||||
|
|
住建厅出口专线 |
1条 |
逍遥津机房 |
||||||||||||||||||||||||||||||||
|
|
纪委接入专线 |
1条 |
逍遥津机房 |
||||||||||||||||||||||||||||||||
|
|
合肥市自然资源规划局接入专线 |
1条 |
逍遥津机房 |
||||||||||||||||||||||||||||||||
|
|
四县一市房产主管部门专线 |
5条 |
逍遥津机房 |
||||||||||||||||||||||||||||||||
|
|
银行接入专线 |
30条 |
逍遥津机房 |
||||||||||||||||||||||||||||||||
|
|
银行接入专线 |
1条 |
滨湖机房 |
||||||||||||||||||||||||||||||||
|
|
合肥市不动产专线 |
1条 |
滨湖机房 |
||||||||||||||||||||||||||||||||
|
7.合肥市房产云服务平台子系统清单 |
|||||||||||||||||||||||||||||||||||
|
|
新建商品房预售许可 |
|
|||||||||||||||||||||||||||||||||
|
|
新建商品房网签备案 |
|
|||||||||||||||||||||||||||||||||
|
|
存量房网签备案 |
|
|||||||||||||||||||||||||||||||||
|
|
房产交易信息上报 |
|
|||||||||||||||||||||||||||||||||
|
|
限购查询 |
|
|||||||||||||||||||||||||||||||||
|
|
“互联网+”电子政务服务 |
|
|||||||||||||||||||||||||||||||||
|
|
合肥市住房租赁交易服务监管平台一期 |
|
|||||||||||||||||||||||||||||||||
|
|
合肥市房地产市场信息平台 |
|
|||||||||||||||||||||||||||||||||
|
|
合肥市密钥管理 |
|
|||||||||||||||||||||||||||||||||
|
8.合肥市政务云子系统清单 |
|||||||||||||||||||||||||||||||||||
|
|
开发企业项目上报 |
|
|||||||||||||||||||||||||||||||||
三、服务需求
(一)安全检查和监测服务
1.业务系统渗透测试服务
本次项目需要进行渗透测试的系统如下:
合肥市房产市场信息平台
房产交易信息上报
合肥市密钥管理
合肥市住房租赁服务平台(含手机客户端)
渗透测试工作开展前,成交供应商需根据采购人实际情况制定渗透测试方案,由采购人签署测试允许授权后,对采购人指定系统进行非破坏性的渗透测试。具体要求如下:
由具备渗透测试专业认证资质的技术人员,通过模拟黑客攻击的方式,对指定的业务系统和手机客户端(Android和IOS版)进行一次渗透测试,针对渗透测试发现的问题形成《XX系统(手机客户端)渗透测试报告》。对渗透测试结果提出修复意见,协助采购人和系统开发单位进行整改,在实施完针对性的优化加固服务之后,还需要针对主要业务再做一次渗透测试,主要目的为验证加固和优化服务的有效性,并提供《XX系统(手机客户端)加固后复查验证报告》。
渗透测试需要由专业的安全人员依据标准对目标系统进行测试,渗透测试的内容包括但不仅限于以下内容:
|
分类 |
测试内容 |
说明 |
|
配置管理 |
应用管理界面 |
检查是否对外开放了应用管理界面 |
|
HTTP方法 |
检查是否开放了不安全的HTTP方法 |
|
|
测试、备份文件 |
检查是否存在测试、备份文件 |
|
|
认证测试 |
认证绕过 |
检查是否可以绕过认证模式 |
|
用户枚举 |
检查登录时是否可以枚举系统中存在的账号 |
|
|
暴力破解 |
检查是否可以暴力破解系统中的账号 |
|
|
竞争条件 |
检查是否存在多线程竞争条件漏洞 |
|
|
图形验证码 |
检查图形验证码是否可以绕过 |
|
|
密码管理 |
检查密码相关点是否存在漏洞 |
|
|
注销测试 |
检查注销后,session是否销毁 |
|
|
授权测试 |
越权访问 |
检查是否存在水平越权和垂直越权 |
|
路径遍历 |
检查是否存在路径遍历漏洞 |
|
|
业务逻辑 |
检查业务逻辑是否存在漏洞 |
|
|
数据验证 |
SQL注入 |
检查是否存在SQL注入漏洞 |
|
跨站脚本 |
检查是否存在XSS漏洞 |
|
|
命令执行 |
检查是否存在命令执行漏洞 |
|
|
代码注入 |
检查是否存在代码注入漏洞 |
|
|
文件上传 |
检查是否存在文件上传漏洞 |
|
|
URL跳转 |
检查是否存在URL跳转漏洞 |
|
|
其他注入 |
检查是否存在XPATH注入、XML注入等漏洞 |
|
|
会话测试 |
Cookie安全 |
检查cookie的属性 |
|
会话泄露 |
检查是否存在会话泄露漏洞 |
|
|
其他 |
其他 |
检查是否存在框架等其他漏洞 |
手机客户端测试的内容包括但不仅限于以下内容:
|
测试内容 |
说明 |
|
证书有效性 |
测试客户端程序是否严格检查服务器端证书信息。 |
|
安全策略设置 |
测试客户端程序是否有密码复杂度检查功能。 |
|
关键数据加密校验 |
测试客户端程序提交数据给服务端时,敏感字段是否进行了加密。 |
|
防篡改校验 |
检查客户端提交给服务端的数据,是否有防篡改校验。 |
|
敏感信息保存 |
检查客户端程序存储在手机中的配置文件是否包含敏感信息。 |
|
反编译保护 |
检查客户端程序是否具有反编译保护功能。 |
|
组件安全 |
检查客户端程序的组件安全性。 |
|
常见漏洞 |
检查客户端程序是否包含了常见的安全漏洞。 |
IOS客户端测试的内容包括但不仅限于以下内容:
|
测试内容 |
说明 |
|
证书有效性 |
测试客户端程序是否严格检查服务器端证书信息。 |
|
安全策略设置 |
测试客户端程序是否有密码复杂度检查功能。 |
|
关键数据加密校验 |
测试客户端程序提交数据给服务端时,敏感字段是否进行了加密。 |
|
防篡改校验 |
检查客户端提交给服务端的数据,是否有防篡改校验。 |
|
敏感信息保存 |
检查客户端程序存储在手机中的配置文件是否包含敏感信息。 |
|
常见漏洞 |
检查客户端程序是否包含了常见的安全漏洞。 |
2.漏洞检查及修复服务
系统的各种漏洞是导致重大安全事件发生的隐患,成交供应商需根据滨湖机房和逍遥津机房的实际网络情况,制定漏洞扫描检查方案,每季度使用商业版(非免费)具备最新漏洞特征库的漏洞扫描工具,对要素大市场网络和房产大厦网络内运行的网络设备、安全设备、操作系统、数据库、中间件等进行漏洞扫描,每个目标需要提供单独的扫描报告,服务供应商须对所有扫描报告进行人工审核,去除误报和重复的漏洞。对扫描结果提出安全加固意见,并完成漏洞修复。每季度漏洞扫描工作完成后提交《漏洞检查报告》。
明确所使用漏洞扫描工具的品牌型号,产品需具有公安部销售许可证书;产品原厂商需具有自主漏洞挖掘能力,自主发现的CVE漏洞数不少于100个。合同签订后服务实施前成交供应商向采购人提供以上证明材料,响应文件中无需提供证明材料。
默认配置、弱口令等配置不当是导致数据泄露、越权访问、黑客入侵等安全事件发生的重要因素。成交供应商需根据采购人的实际情况,制定针对采购人的《安全基线策略检查规范》,经采购人认可后,由安全工程师每季度使用基线检查工具对要素大市场和房产大厦网络内的信息资产进行基线核查,包括操作系统、数据库、中间件、网络设备、安全设备等,及时发现各种配置隐患,对不符合项提出加固意见并协助实施,每个季度出具《安全基线检查报告》。
服务期内,成交供应商需为公安、网信等第三方漏洞通告中发现的采购人安全漏洞或采购人指定的需要进行漏洞验证的安全漏洞提供验证服务。每次服务结束后需提供《XXX漏洞验证报告及修复建议》,并协助相关人员对漏洞进行修复,修复完成后成交供应商需要对漏洞进行复查,并出具《XXX漏洞修复后验证报告》。
5.风险评估服务
1)系统上线前风险评估服务
服务期内,成交供应商需根据采购人的要求,对业务系统上线前的部署、对外需开放的IP和端口等进行上线前的风险评估,从部署架构、数据存储备份、数据传输、认证访问等多方面进行风险识别和评估,确保系统上线后的安全防护措施和安全管理工作充分。每次服务完成后出具《XXX系统上线前风险评估报告》。
2)在线系统风险评估服务
服务期内,针对采购人指定的一个业务系统进行一次网络安全风险评估,成交供应商需安排资深网络安全人员评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合资产价值来判断安全事件一旦发生对组织造成的影响,进而为应如何进一步强化安全控制措施提供依据及建议。
评估服务需针对指定业务系统的属性及职能定位、战略目标、业务规划、核心竞争力进行沟通检查分析评估(下称评估),针对指定业务系统的属性、定位、关联性、完整性、重要性进行评估。针对指定业务系统的软硬件资产、资产类别进行评估;针对指定业务系统的威胁源动机、能力、途径、可能性和影响进行评估;基于威胁行为、能力和频率,结合威胁发生的时机对威胁可能性进行赋值并评估。针对指定业务系统的物理环境、网络结构、系统软件、应用中间件、应用系统、技术管理、组织管理的脆弱性进行评估。针对指定业务系统的已有安全措施进行评估。针对以上评估结果的风险事件可能性、损失性进行分析、计算、评价,给出风险规避建议方案,出具《XXX系统风险评估报告》。
根据《网络安全法》和《互联网安全保护技术措施规定》(公安部令第82号)的相关要求,需要对内部访问互联网的行为进行审计、记录、分析。成交供应商需采取合适的技术手段,对要素大市场和房产大厦两处办公上网行为进行监测分析,提供终端上网控制服务。本服务需完成如下内容:
1)成交供应商需对两处办公地点网络中所有联网设备进行梳理,按照组织结构进行分组分类和实名化,以便对上网行为进行精准控制;
2)需对下载工具、视频播放、网络游戏、金融理财、即时消息、移动应用进行分类识别控制;
3)需对P2P等应用的带宽进行控制,保证关键业务应用的带宽,避免网络拥堵和带宽资源浪费;
4)需对玩游戏、看电影、网购等与工作无关的网络行为进行人性化的控制,减少工作时间浪费,提升工作效率;
5)需对论坛、微博等发帖内容进行监控审计,避免非法言论传播,审计留存用户上网日志,满足国家网络安全法要求。
成交供应商需综合评估采购人网络情况,可利用采购人现有设备实现上述功能,如不能完全实现上述要求,需免费提供相关设备实现上述功能,采购人不再单独支付任何费用。每月月初,成交供应商需提供两处办公地点的《上网行为监测月报》。
7.内网入侵监测服务
监测网络内是否存在异常安全事件并第一时间做出响应是遏制安全事件爆发和蔓延的有效手段。成交供应商需采取相应的技术措施对要素大市场机房网络进行入侵检测分析,实现对内网重要区域的安全监测,主要包含如下服务内容:
1)通过技术手段,对要素大市场机房网络所有网络出口进行入侵攻击和恶意代码的检测防护;
2)成交供应商需采用技术手段,对要素大市场机房内两台核心交换机和两台应用虚拟化区核心交换机镜像流量提供安全监测服务,对镜像流量进行缓冲区溢出、网络蠕虫、网络数据库攻击、木马软件、病毒文件、间谍软件等各种事件进行检测;
3)需对Web系统(包括浏览器、服务器)的SQL注入攻击、XSS、Webshell、网页挂马等进行检测;
4)需对最近24小时内部网络发生的安全事件进行展示,包括拒绝服务事件、扫描事件、蠕虫事件、木马病毒事件等,为驻场服务人员提供内网安全事件可视化界面,及时发现网络安全隐患;
5)需对网络访问中的弱口令进行监测,可以灵活定义网络内的弱口令条件;
6)成交供应商需安排专业技术人员对发现的异常事件进行分析,如判定为失陷主机,需配合相关运维人员协助定位解决问题;
7)对合肥市信息中心下发的安全事件通报进行自查,协助合肥房地产信息管理中心定位、分析和解决内部失陷主机。
成交供应商需综合评估采购人网络情况,可利用采购人现有设备实现上述功能,如不能完全实现上述要求,需免费提供相关设备实现上述功能,采购人不再单独支付任何费用。每月月初,成交供应商需结合采购人网络遭受来自外部和内部的安全攻击事件进行统一分析,提供《网络安全事件监测月报》。
8.数据库检查和运维服务
合肥市住房保障和房产管理局目前部署了多套业务数据库,本次项目运维的数据库系统包含核心业务数据库、日志数据库、业务云平台数据库、资金监管业务数据库、政务服务数据库、住建部数据上报数据库、测绘系统数据库、住房保障业务数据库、档案系统数据库。成交供应商须针对上述数据库提供如下服务:
1)故障处理:在服务期内对服务范围内的数据库系统提供故障处理等技术支持服务。
2)季度巡检:服务期内,对服务范围内的数据库进行每季度的巡检工作,巡检完成后,出具《数据库季度巡检报告》。
3)日常巡检;服务期内,每周对服务范围内的数据库运行状态进行巡检,详细查看数据库数据存储的空间、主备库数据是否同步等信息。对每周的巡检记录进行汇总形成月度《数据库日常巡检报告》。
4)数据备份状态查看:服务期间,由驻场人员在工作日每天对数据备份服务器与备份一体机数据备份结果进行查看,并进行记录,对每天的查看记录进行汇总形成月度《数据备份查看报告》。对于备份有问题的任务,及时进行处理。
5)备份数据刻录:服务期内,由驻场人员每周对备份服务器上的备份数据进行刻盘归档。并做相应记录。
6)数据恢复测试:服务期内,对服务范围内的数据库进行半年1次的备份数据恢复测试。并形成《数据恢复测试报告》
详细要求如下:
①数据库信息检查
数据库信息检查分为硬件环境检查和软件配置检查。
数据库硬件环境检查:检查数据库安装的物理主机设备,包括主机设备的型号、CPU、内存、操作系统类型、设备所在位置、IP地址等。确定物理服务器的磁盘阵列类型,查看是否使用外挂存储设备。对于外挂存储设备要记录存储设备的型号、硬盘数量、可用空间以及划给数据库物理服务器使用的存储空间。在使用外挂存储设备时,要记录外挂存储使用的网络类型(IP SAN或者FC SAN)。对于IP SAN要记录连接的网络交换机的相关信息,对于FC SAN要记录光纤交换机的相关信息。对于有外挂存储的,根据实际情况绘制《主机存储连线图》。
数据库软件配置检查:检查数据库的版本、安装目录、归档情况;检查SGA中share pool、database buffer cache、redolog buffer的大小;检查控制文件的数量及目录、redolog日志组的数量和各个日志组的成员以及日志切换的时间间隔;检查数据的备份情况(备份方式和备份周期)等。同时确定访问数据库系统的业务系统,以及业务系统访问数据库是否使用安全设备隔离等。
②数据库配置分析及性能优化服务
硬件方面从物理服务器的CPU、内存、存储等进行详细分析,通过相关操作系统命令查看当前硬件资源的使用情况,确定当前的硬件资源是否会成为数据库系统性能的瓶颈。
软件方面通过oracle数据库的相关分析报告确定数据库是否存在性能问题。
根据配置分析,从数据库运行安全及运行效率方面提出数据库性能优化建议。通过关键配置文件的备份和冗余来考虑数据库运行安全。通过PGA、SGA内存使用以及sql语句执行效率等考虑数据库的运行性能。
③日常运维和应急服务
数据库运维和应急服务需求内容如下:
数据库故障处理:当数据库出现故障无法正常使用时,分析数据库产生故障的原因,并根据实际故障原因提供故障处理的方法,按照故障处理方法处理数据库发生的故障或异常,最后根据故障产生原因提出预防性建议。
数据库备份与恢复:根据数据库运行的实际情况,分析数据库当前的运行模式,提供合适的备份方案;根据用户和应用的要求决定数据库的备份方式;充分利用物理备份和逻辑备份相结合的方式来备份数据;推荐合适的备份方案;规划用户的备份频率和所需空间及介质数目;规划用户备份的保留策略;及时处理过期的归档日志,释放存储空间;实施数据库的自动备份;保证备份数据的可恢复性,搭建备份测试环境并检查备份数据的有效性制定合理的数据备份策略;根据备份计划完成数据库的在线备份以满足系统自动、快速的备份要求,每半年对备份的数据进行恢复测试,以检验备份数据的可用性。该项工作完成后出具数据库备份恢复验证报告。
数据库日常维护标准操作流程设计:主要包括主机和操作系统启动操作流程;数据库启动流程;数据库关闭流程;数据库备份和检查流程;主机和操作系统关闭操作流程;数据库日常检查项目和检查流程;数据库设置变更流程;向数据库添加新的应用的方法和流程。
④数据库巡检
数据库巡检包含季度巡检和日常巡检。
季度巡检
由数据库工程师每季度对数据库进行详细的巡检,数据库季度巡检是对数据库最近一个季度运行状况详细的分析评估。检查用户系统的使用情况,了解一段时间以来出现的问题;检查操作系统的配置情况,当前运行情况;检查数据库的运行情况,运行日志 alert 文件的检查;检查磁盘系统的运行情况和空间使用情况等;全面检查数据库的安全设置和安装运行状态;包括但不局限于主机资源使用情况(如:CPU、内存、磁盘空间)、数据库整体运行情况,如各个文件系统的状态,平均每天日志归档量,SGA、PGA等内存空间使用情况。通过查看数据库的告警日志分析最近一个季度是否有异常情况发生。
日常巡检
每周由数据库工程师对数据库的运行状态进行巡检,详细查看数据库数据存储的空间、主备库数据是否同步等信息。对每周的巡检记录进行汇总形成月度《数据库日常巡检报告》。
9.网页安全监测服务
对互联网提供服务的WEB系统,提高了业务系统的访问便捷性,但也同时会受到来自互联网上的各类攻击,成交供应商除做好边界安全防护等基础工作外,还需梳理采购人两个机房对互联网发布的WEB系统,对这些WEB系统提供自动化监测工具,实时进行监测预警。监测内容至少包含监控对象的资产属性识别、资产运行状况监测、可用性监测、图片篡改监测、敏感词监测、网页挂马暗链监测、网页劫持篡改监测、威胁情报监测等功能,提供相关功能界面截图;对监测出的异常事件后台技术支撑人员经分析确认后,可通过微信、短信、邮件实时推送威胁告警信息,支持每日/周/月推送监测总览信息。每月初提交上月《WEB安全监测报告》,未发现新的异常风险也需提交零风险监测报告。
(二)统一运营管理服务
为便于采购人对本项目日常运维工作进行统一管理,成交供应商在服务期间需提供一套运营管理工具,运营管理工具至少需包含如下功能:
1)资产管理:
①资产管理可以自定义资产分组和资产模型分类,资产模型支持自定义多种字段类型;
②★支持管理多个机房,独立管理各自机房资产,机房属性包括管理员、机房位置、人员权限控制,不同机房支持独立管理资产模型,支持互相快捷复制模型;
③资产支持自定义多条件检索、检索条件收藏、支持表格导入与导出资产;
④资产可与合同供应商关联,方便查看资产维保信息与厂家信息;
⑤★资产可与状态监测直接关联,可查看资产的运行状态与告警信息。
2)工单管理:
①可在平台发起事物、问题、发布、变更等工单类型,工单流程支持多层审批,支持转交、升级、关闭、评分、归档等操作;
②★可灵活应用便捷流程、前审流程、后审流程、双审流程,可自行定制多层工单流程与工单审核人与审核顺序;
③发起工单可选择直接指派工程师、服务台分配与应用工单流程;
④★工单支持关联相关资产,便于资产故障归类;
⑤可导出工单工作报表,内容包括:服工程师服务质量评分、工单类型、服务目录分布、工程师工单数量统计与曲线图等,每月出具《工单运营报告》。
⑥★支持小程序移动端查看、发起工单,并支持多种工单状态检索、查看设备状态监测信息与故障告警信息。
3)业务系统管理:
①可定义业务系统模型,包括业务基本信息与业务拓扑组成;
②★业务系统拓扑支持关联资产与监测信息,可实现业务系统的运行状态、告警信息汇总展示;
③★系统可自动梳理出业务系统的:网站标题、状态码、web容器、操作系统、web组件、解析IP、IP属性、及IP开放端口与运行服务。
4)状态监测管理
①基于PHP、Python技术,客户端支持常见操作系统网页使用,支持SNMP、Telnet、SSH、WMI、SysLOG、HTTP、Ping、JMX等网管协议,实现对网络设备、传输设备、计算机、服务器、中间件、网络服务的一体化监控和管理;
②可以对网络设备的CPU、内存,接口的流量、状态、接收/发送字节、带宽、错误包、丢弃包进行监控;
③可以对Windows、Linux、Unix 服务器的 CPU、内存、磁盘、网卡流量进行监测;
④★支持对Linux系统的软件进程、网络连接、开放端口进行监控;
⑤★支持自定义绘制多个拓扑图,拓扑图支持展示设备接口流量、故障状态、cpu与内存、设备接口连接信息;
⑥IT资源出现告警后,可在资源告警信息中自动包含受其影响的业务服务信息。
5)IP管理
①★支持自动从交换机获取IP使用情况,支持IP使用状态展示:已分配、预分配、非法占用、空闲等状态,可对IP进行预分配、绑定MAC地址、添加IP用途。
6)合同供应商管理
①支持对供应商、联系人、服务人员进行录入和管理,支持录入合同信息,服务内容包括货物与服务内容录入,分别支持明细录入。
7)权限控制
①★内置系统管理员、工程师、服务台等角色,可自由配置不同角色对各项功能模块的操作权限控制。
8)组织人员管理
①支持对用户方的部门、人员及供应商、人员进行统一树状结构管理,实现多方人员信息、职责岗位统一管理。
9)审批管理
①★支持多种审批流程电子化管理,支持配置审批节点责任人,支持微信通知审批人,小程序端进行手写签字进行审批,可导出为pdf文件便于打印。
10)机房巡检管理
①★支持多种巡检记录表格电子化记录,可添加故障记录并与相应资产进行关联。
11)告警管理
①支持邮件、微信告警等方式通知用户,将设备状态告警、工单状态与审批等信息推送给相关人员及时进行处理。
②系统中设备告警信息支持分派工单、清除、确认等操作,将资产告警信息与工单系统、审批管理统一融合,提高运维管理效率。
12)大屏展示
①可动态全屏展示网络设备运行状态信息,包括:网络拓扑图、安全事件与故障告警、设备告警,离线及正常环形图、设备运行数据、业务运行数据、最新告警信息、资源TOP10、流量TOP10等信息。
成交供应商根据应急演练需求编制可用性和安全性应急演练方案,根据应急演练方案协助业主单位进行1次应急演练,使相关方熟悉应急预案中的执行流程,提高对突发事件的响应能力。最终根据应急演练的结果且根据实际情况对专项应急预案进行修订和完善。
1)可用性应急演练
成交供应商在演练前提供可用性专项应急演练记录表模板(投标时需提供样例),与采购人和应急演练其他相关单位进行应急演练内容的细化,以确保细化后的演练流程可在当前信息系统实际环境中进行演练。可用性应急演练内容包括:
①机房供电可用性演练:检查机房在市电断电情况下UPS供电能力以及动环监测告警能力是否正常;
②网络可用性演练:检查冗余环境下的关键链路及关键设备当网络发生异常时可用性工作机制是否正常;
③应用系统可用性演练:检查冗余环境下的应用系统及数据当发生异常时可用性工作机制是否正常。
2)安全性应急演练
安全性应急演练内容包括:
①应急工具使用演练:通过搭建环境,针对处置安全事件所需的应急工具进行使用演练,以提升业务单位技术人员正常执行应急预案的流畅度;
②通用型网站系统攻击溯源应急演练:通过搭建环境,进行php,jsp,asp网站系统攻击溯源应急演练;
③web网站内容篡改应急演练:通过搭建环境,进行web网站内容篡改应急演练;
④操作系统入侵挖矿应急演练:通过搭建环境,进行操作系统入侵挖矿应急演练;
⑤windows操作系统入侵检查应急演练:通过搭建环境,进行windows操作系统入侵检查应急演练;
⑥windows操作系统入侵加固应急演练:通过搭建环境,进行windows操作系统入侵加固应急演练;
⑦linux操作系统入侵检查应急演练:通过搭建环境,进行linux操作系统入侵检查应急演练;
⑧linux操作系统入侵加固应急演练:通过搭建环境,进行linux操作系统入侵加固应急演练;
⑨办公终端U盘钓鱼应急演练:通过搭建环境,进行办公终端U盘钓鱼应急演练;
⑩办公终端邮件钓鱼应急演练:通过搭建环境,进行办公终端邮件钓鱼应急演练。
成交供应商需在演练前交付《应急演练方案》,在演练结束后交付《应急演练报告》。根据应急演练结果协助采购人进行演练内容对应的应急预案修订,如应急流程未变更则无需对应急预案进行修订。
在采购人网络和信息系统发生突发事件无法由现场人员解决时,及时提供应急响应服务,执行应急响应的处置流程,通过专家级的技术支持和快速响应,及时对业主单位信息系统突发事件进行检测、抑制、根除、恢复和总结,并最大限度的减少损失和负面影响。
当发生互联网WEB应用出现被黑客入侵、挂马、篡改等安全性事件之后,提供分析、取证、追踪、恢复、协助加固等全方位的技术支持服务。根据互联网应用服务器操作系统和互联网应用日志的深入分析,发现入侵的痕迹,明确黑客入侵的时间线、IP地址,定位黑客入侵的方式、利用点,梳理黑客入侵进入互联网应用之后的行为和动作,定位事件发生的具体原因并交付具体的应急响应报告及处置建议。针对分析的结果,清理后门和木马程序,删除黑客上传或生成的垃圾文件,协助修补互联网应用相关漏洞。
为进一步提高应对信息系统突发事件的处置能力,提供7×24 的应急响应服务,在接到应急响应请求后,迅速进行相关处置。如需现场处置的需在1小时内(不含路程时间)指派专业工程师到达现场。应急服务处置至少包含如下内容:
①接到突发事件第一时间给予反馈;
②根据事件级别进行不同级别的响应,包括电话支持、远程协助、现场支持等,必要时协调相关方进行联合处理;
③针对应急响应过程中发现的信息系统不足之处进行记录,并在应急响应报告中进行体现并提供相关建立健全优化完善的建议,例如未记录相关痕迹导致无法入侵溯源,则建议对相关日志进行第三方多次备份,以规避本机备份不可靠、单一备份源存在单点故障的风险;
④编制应急响应报告,说明事件原因、处置措施等。应急响应工作结束后交付《XXX事件应急响应报告》。
服务期内,开展一次安全防护体系有效性验证服务,以检查采购人网络的可攻击面积,防止单个机器被入侵后影响整个内网。通过模拟内部某台机器黑客被控制后,对内部指定范围或所有范围发起授权攻击,全面检验各个区域、各区域下属网段的脆弱性,验证内部已有安全防护体系是否有效,运维体系、应急体系是否发挥作用。以互动演练的方式尝试发现内部网络中可能存在的安全隐患,安全风险,安全漏洞,例如以下成果示例:
①实际发生的xxx攻击无法发现,安全防护体系存在无法及时监测告警的安全隐患(安全隐患);
②实际发生xxx可跨域访问xxx系统的管理端口,访问控制存在风险(安全风险);
③xxx系统存在xx漏洞(安全漏洞),安全运维加固未执行到位。
服务完成后出具《安全防护体系有效性验证报告》,对发现的问题提出整改建议并协助相关单位对发现的问题进行整改和验证。
成交供应商需根据采购人要求,安排合格的经采购人认可的专业技术人员进行用户现场驻点服务,在采购人的统一管理和监督下为采购人提供信息化日常运维工作,保障信息系统安全稳定运行。因采购人有两处机房,为保证运维服务及时高效,成交供应商应自备车辆用于运维服务。
驻场服务人员需对滨湖机房和逍遥津机房内的机房环境、网络、网络安全、主机、存储、业务系统等进行例行检查服务,主要服务内容包含:
1)设备巡检:每周对运维的资产进行巡检,对运行状态进行检查和分析,对网络安全软硬件设施运行状态、特征库版本(如有)进行检查和分析,完成巡检后出具巡检报告;
2)运行监测:通过监控工具对运维对象的运行状态进行实时检查和分析,及时发现故障,每周出具运行状态监测报告;
3)设备保养:每月对运维对象进行一次清洁保养,连接线缆整理,标签粘贴,完成设备日常保养报告;
4)资产管理:对设备资产进行管理登记,对设备变更进行管理,及时更新资产清单,完成资产报表更新,每月出具最新的资产清单。
上述服务内容需使用本次提供的运营管理工具进行全周期管理,在管理工具里制定周期性的例行检查任务,按时提醒相关服务操作人员,服务结束导入相关服务报告,调整资产清单内容为最新。
驻场服务人员需对滨湖机房和逍遥津机房内的机房环境、网络、网络安全、主机、存储、业务系统等提供响应支持服务,主要服务内容包含:
1)现场值守:提供专业技术人员驻现场提供技术支持,每月提供驻场人员考勤报告;
2)故障排查:对用户申报的机房环境、网络、网络安全、主机、存储、业务系统等故障提供现场技术支持,修复故障,提供处理报告;对现场人员解决不了的问题提供后台专家远程支持,修复故障,提供处理报告;
3)设备迁移:对机房环境、网络、网络安全、主机、存储、业务系统等发生迁移需求时,提供迁移服务,进行前期调研,制定迁移方案,执行迁移实施,实施完成后,提供迁移实施报告。
4)脆弱性修复:对软硬件安全设施发现的安全事件进行分析定位,对发现的攻击、漏洞、弱口令、失陷主机等按照规定进行处置,出具问题分析处置报告。
上述服务内容需使用本次提供的运营管理工具进行管理,在管理工具里制定工单,经审批后执行相关服务内容,服务结束导入相关服务报告。
针对采购人两处机房当前的机房环境、网络、网络安全、主机、存储、业务系统等运行情况,对发现的网络架构、安全部署、设备配置不合理项,给出优化建议方案并协助落地实施。
成交供应商需与所运维的各个安全设备厂商进行对接,在项目实施及日常工作中,及时协调厂商资源为采购方提供产品备件、维修、调试、产品BUG解决以及产品测试等服务。除此以外,驻场服务人员应和软件业务开发或采购人的软件、网络等其他运维单位做好对接工作。
成交供应商需协助采购人对公安、网信等主管部门开展的安全检查提供对接服务,对等保测评公司开展的等保测评提供对接服务。
1.常规运维服务
定期对合肥市房产云服务平台子系统清单和合肥市政务云子系统清单中子系统的业务系统、中间件、数据统计等功能进行排查、处理,解决运行过程中发生的问题,包含但不限于以下业务项:
1)软件常规运维
每周对业务系统清单中所有运维系统的运行状况进行检查,重要排查是否有错误日志,针对错误日志记录内容,对相应功能进行整改完善。
2)接口常规运维
每周检查现有提供的接口运行情况,排查错误是否有错误日志,针对错误日志内容提供相应的整改解决方案。
3)数据常规运维
每周检查相关的数据归类运行情况、数据定时JOB执行情况、数据同步中间件稳定情况,解决执行错误或异常的问题。
4)统计常规运维
协助各科室、部门提供周/月/季/年度所需要的数据,所提供数据无法满足要求的,需要对数据进行处理,所提供数据需要多系统、多部门配合的,需协调解决,最终保证数据的一致性、正确性。
完成合肥市房产云服务平台子系统清单和合肥市政务云子系统清单中子系统的日常运维工作,确保各项业务系统软件能够正常、安全、可靠地运行,提供已有业务系统的优化保障服务,业务系统运维包括但不限于以下内容:
1)新建商品房预售许可
(1)维护预售证从申请、收费、审批、办结、发布全过程的功能,同时保障与政务服务平台的对接正常开展,完善预售许可的审批通知功能。
(2)维护预售证与政务服务平台的对接接口、对接数据,保证与政务事项对接的平稳运行。
2)新建商品房网签备案
(1)楼盘表功能维护:维护楼盘表从测绘系统导入预测楼盘表的功能,针对导入过程中因数据标准不一致,造成的不匹配问题进行人工排查;楼盘变更功能完善,针对业务人员提出的问题、意见进行功能优化调整。
(2)工商合同备案功能:完善开发企业的工商合同备案功能,完善住宅一房一价等业务功能。
(3)网签合同功能:针对网签合同模块的签约/备案功能进行优化完善。
(4)针对房地产市场调控需要对其他功能进行完善优化。
3)存量房网签备案
(1)登记房源录入功能:优化交易前的登记房源录入完善功能,可以通过不动产登记信息接口或共享库数据提高交易效率,需考虑县级单位使用过程中的一致性、通用性问题。
(2)交易合同签约功能:优化交易合同的签约、变更、注销等功能。
(3)针对系统运行过程中的其他已有功能提供完善服务,做好与四县一市的数据衔接服务。
4)房产交易信息上报
针对房地产日报系统的四县一市及市区的每日报送功能、每日及月度统计功能提供维护完善服务,定期为报送的数据,提供分析利用支撑。
5)限购查询
维护限购查询的申请、受理、审核、注销等功能,完善因政策调整需要,对限购查询功能的优化。
6)“互联网+”电子政务服务
维护电子政务服务与其他业务系统的数据互通、业务互通功能,保障系统之间的关联性正常运行,为新接入的业务系统提供技术支撑、故障排查工作。
7)合肥市住房租赁交易服务监管平台一期
(1)针对本系统一期建设中的房源核验、租赁信息发布、移动端APP、信息管理平台等子系统提供相应的优化服务、数据提取等支撑。
(2)配合合肥市房地产信息管理中心、合肥市住房租赁服务管理中心等相关部门进行租赁相关数据的应用分析,以及解决街道、社居委、物业使用过程中遇到的问题。
(3)保障与支付、人脸识别、电子签章、400电话等第三方平台对接的稳定性,及时同步第三方平台的配置更改。
(4)解决中介服务企业、居中服务机构、国有租赁公司等企业系统使用过程中的问题,对多次反馈的问题,提出相应的解决方案。
(5)保障租赁平台网站的稳定运行,不断提升用户的体验感,优化多渠道的租赁房源核验。
8)合肥市房地产市场信息平台
保障合肥市房地产市场信息平台平稳运行,及时发现系统运行过程中的异常问题,解决系统已有功能的优化完善工作;保障生产系统的数据推送服务正常执行,异常情况下及时排查,并提出解决方案。
9)合肥市密钥管理
保障密钥管理系统运行稳定,对运行过程中的问题进行排查处理。
10)开发企业项目上报
针对开发企业项目上报系统的项目上报功能、项目手册功能、工程施工进度功能等提供优化完善服务。
3.接口对接服务
1)现有接口保障服务
保障目前各部门、各业务系统提供的接口稳定运行,提供必要的自动化工具检测接口的服务稳定性,发现接口运行异常后简单问题必须在30分钟内解决,复杂问题1小时内提供解决方案,6小时内完成故障排查并解决问题。
2)接口接入服务
在业务开展过程中,完成因部门内部需要申请的其他单位接口对接工作,开发由其他部门向业务部门申请的新的接口需求,以及完善已有接口功能,不断提高接口的运行效率。
4.数据运维服务
1)数据统计服务
为各部门业务开展过程中所需的,以及其他的临时性数据统计需求和无法通过系统统计的数据,提供后端统计查询服务,编写相应的查询统计代码、语句完成工作,并核对统计查询结果的正确性、完整性,保证各部门所需的同类型数据的一致性;数据基本情况为商品房网签备案相关数据600万条,存量房交易相关数据150万条,商品房预售许可相关数据2万条,租赁平台一期相关数据100万条,限购查询相关数据80万条,实际统计服务不限于以上数据。
2)数据对接保障
配合完成与大数据资源局、住建厅、住建部以及其他部门之间的数据共享、数据推送、数据分析任务,协助排查数据共享过程中的各种问题并提出解决方案。
注:
(1)本项目涉及的数据运维成交供应商须保证数据的准确性、一致性,须签订保密协议,同时保证相关人员不能泄露任何数据,若成交供应商或其员工发生数据泄露、数据错误等问题,供应商须承担相关赔偿和法律责任。
(2)本项目涉及的业务系统运维、接口对接、部门对接中标供应商须保证业务系数正常开展,若因成交供应商的系统完善优化、接口对接、新增功能的BUG造成业务错误等问题,成交供应商须承担相关赔偿和法律责任。
成交供应商应安排咨询服务团队,按需随时按照采购人要求,提供系统、网络建设和管理、安全规划、运维管理、编码规范、检查或测评标准等提供全面专业的咨询服务,为系统开发方提供网络安全技术咨询和指导以及完成以上服务要求等内容。根据采购人的需要,随时提供咨询建议,协调设备厂家和业务开发单位,制定安全方案;对安全策略进行评估;必要时协调人员开展安全方案测试;根据采购人的需要,随时提供现场咨询服务;参加采购人要求的技术交流、学习培训或研讨会议等。
数据中心机房全年两会等重要时期及节假日日间安排专人值班,全年晚间需安排专人远程监测,如发现异常情况,应在30分钟内赶到现场处理。
(六)服务输出清单
|
序号 |
提交次数 |
输出内容 |
|
1 |
合同服务期内一次 |
《项目实施方案》 《渗透测试方案》 《XX系统(手机客户端)渗透测试报告》 《XX系统(手机客户端)加固后复查验证报告》 《漏洞扫描检查方案》 《安全基线策略检查规范》 《XXX漏洞验证报告及修复建议》 《XXX漏洞修复后验证报告》 《XXX系统上线前风险评估报告》 《XXX系统风险评估报告》 《主机存储连线图》 《应急演练方案》 《应急演练报告》 《安全防护体系有效性验证报告》 |
|
2 |
每半年一次 |
《数据库备份恢复验证报告》 |
|
3 |
每季度一次 |
《漏洞检查报告》 《安全基线检查报告》 《数据库季度巡检报告》 《软件运维服务报告》 |
|
4 |
每月一次 |
《上网行为监测月报》 《网络安全事件监测月报》 《WEB安全监测报告》 《工单运营报告》 《设备日常保养报告》 《资产清单》 《驻场人员考勤报告》 《数据库日常巡检报告》 《数据备份查看报告》 |
|
5 |
每周一次 |
《设备巡检报告》 《设备运行状态监测报告》 |
|
6 |
视情况而定 |
《数据库性能调整优化报告》(如有) 《应急预案修订建议报告》(如有) 《XXX事件应急响应报告》(如有) 《故障排查处理报告》(如有) 《XXX系统迁移方案》(如有) 《XXX系统迁移实施报告》(如有) 《脆弱性修复处置报告》(如有) 《XXX不合理项优化建议方案》(如有) |
(七)服务人员要求 (合同签订后服务实施前向采购人提供以下证明材料,响应文件中无需提供以下人员证明材料)
成交供应商应针对本次项目成立驻场运维服务项目组,驻场人员不少于4人,其中网络运维工程师不少于2名,软件运维人员不少于2名。成交供应商必须提供全程驻场服务,驻场人员全部由项目组成员担任,工作时间必须与采购人保持一致,不得迟到早退,驻场人员如工作时间遇特殊情况不能到场的要向采购人请假并要得到采购人批准。
成交供应商除驻场人员完成日常服务工作外,还需提供不少于5人的后台专家支持人员,专家技能覆盖安全、网络、存储、数据库、操作系统等方面,主要完成代码审计、渗透测试、风险评估、漏洞验证、应急响应、安全咨询、安全管理等服务内容以及配合驻场人员完成相应工作。
四、报价要求
本项目报总价,报价包含可能发生的一切费用,供应商须自行考虑风险。
收藏