招标文件
采购需求及技术参数要求
(一)服务内容
滁州市人力资源和社会保障信息中心机房小型机、存储、PC服务器、交换设备、安全设备及技术服务等维保服务。
(二)相关服务要求(技术要求)
1、需要维护的主要设备及数量
|
序号 |
设备名称 |
描述 |
单位 |
数量 |
维保级别 |
|
1 |
IBM小型机 |
P系列小型机 |
台 |
4 |
原厂质保、授权、升级等 |
|
2 |
SAN交换机 |
SAN 交换机,Cisco 9120,OceanStor ,博科交换机 |
台 |
6 |
原厂质保、授权、升级等 |
|
3 |
存储阵列 |
华为存储,神州云科存储,IBM存储,浪潮存储 |
台 |
5 |
原厂质保、授权、升级等 |
|
4 |
中间件 |
WebLogic |
套 |
1 |
|
|
5 |
数据库软件 |
ORACLE数据库,1年12次工程师到场巡检,提供数据库迁移服务(并确保在数据崩溃时得到ORACLE原厂服务) |
套 |
1 |
|
|
6 |
交换机 |
华为交换机 |
台 |
2 |
|
|
7 |
路由器 |
华为路由器,H3C路由器 |
台 |
6 |
|
|
8 |
UPS |
|
台 |
1 |
原厂质保、授权、升级等 |
|
9 |
防火墙 |
|
台 |
2 |
原厂质保、授权、升级等 |
|
10 |
服务器 |
IBM服务器,浪潮服务器,华为服务器 |
台 |
14 |
原厂质保、授权、升级等 |
|
11 |
网闸 |
|
台 |
2 |
原厂质保、授权、升级等 |
|
12 |
IBM kvm套件 |
|
套 |
2 |
|
|
13 |
抗拒绝服务攻击系统 |
|
台 |
2 |
原厂质保、授权、升级等 |
|
14 |
应用交付器 |
|
台 |
4 |
原厂质保、授权、升级等 |
|
15 |
华为视频会议系统 |
mcu ,te50,雅马哈调音台,功放等 |
套 |
1 |
原厂质保、授权、升级等 |
|
16 |
入侵防御系统 |
|
台 |
1 |
原厂质保、授权、升级等 |
|
17 |
虚拟机系统 |
ESXI |
套 |
2 |
|
|
18 |
VPN系统 |
|
台 |
2 |
原厂质保、授权、升级等 |
|
19 |
Web防护系统 |
|
台 |
1 |
原厂质保、授权、升级等 |
|
20 |
技术培训 |
每合同年度提供主机、存储、网络及安全、oracle数据库各2人*5天(每套)原厂标准内容培训(含食宿交通等费用) |
套 |
4 |
|
备注:以上为不完全统计,本次采购服务范围包括机房内所有设备及维保期间新增的设备,如果有需要请自行勘探现场。
1、 机房环境系统维保
1)基础维护
吊顶表面清洁;墙面污迹清理,裂缝修补;玻璃清洗;静电地板清洁;线路测试;标签检查;整理凌乱线缆;对所发生的故障及时排除;编写更新文档、表格和对应表来显示其物理链路。机柜除尘、清洁;机柜及网络设备整理,包括交换机、配线架和网线的重新整理、排序,并重新标上统一的编号。
2)配电柜及照明系统维护
低压配电柜检查维护,电气盘柜检查维护,电气设备内部各配件检查维护,绝缘子检查维护,接线柱检查维护,镇流器检查维护,灯盘。
3) 新风排气系统
在设备移动后应及时检查机房内的气流状况,看是否有气流短路的现象发生,同时在新设备的位置是否存在送风阻力过大的情况。检查风机马达运转是否正常,有无异常噪音,并且轴承是否发热,检查耗电量。对于由皮带传动的机组,检查传动皮带,用手指拉紧时,是否可延长2cm;检查空调过滤器是否干净,如脏了应及时更换或清洗滤芯,并在招标人处留有备件。
4) 防雷接地系统
接地电阻测试;主接地点除锈、土壤降阻、接头紧固;防雷器检测;接地线触点防氧化加固。机柜、地板支架、设备支架、设备外壳等金属部件接地端检测,并出具检测报告。
5) 空调系统
检查空调系统的各项功能及参数是否正常,包括:温湿度传感器、压缩机、加湿器、冷凝器,冷媒管、风扇、蒸发器、膨胀阀,如有报警的情况要检查报警记录,并分析报警原因。日常的维护工作中要观察加湿罐内是否有沉淀物质,如有就要及时更换,并在招标人处留有备件。每年对空调系统进行2次清洗,发生故障时进行维修,所产生的费用包含在维保费中。(如有需要,请自行勘探现场)
6) UPS及电池维护
测试及记录主机运行参数,用专用仪器对后备用蓄电池组逐个测量,进行充放电维护,确保电池正常工作,检查风机及风道情况并清洁,主机外观清洁、内部除尘,检查记录输出波形、谐波含量、零地电压等,清洁系统主设备及电池等,检查主机、电池及相关配电引线及端子的接触情况是否可靠;电池发生故障后及时更换。
7) 消防设备的更换和检测
2、系统维护服务内容
(1)软硬件系统日常保修服务
Ⅰ、日常保修范围
主要包括两个部分:预防性软硬件巡检和日常电话支持、远程协助服务。在对维护方小型机系统提供保修服务时,提供包括设备的硬件系统、操作系统、数据库、备份系统及应用系统等方面的技术支持服务。
a) 硬件系统
投标人须提供每一个月一次的技术巡检,巡检须派专业人员到招标人机房,并做好巡检记录,经招标人签字认可后存档。其目的在于通过巡检及时发现和纠正设备上可能出现的硬件问题, 从而在最大程度上为设备的连续稳定运行提供保证。
b)操作系统
在巡检的同时,投标人要负责检查操作系统中的系统设置和系统日志,以确认系统是否在正常的状态下运行,同时对系统运行过程中所产生的垃圾文件和日益膨胀的日志文件进行清理。如果操作系统运行出现异常,投标人负责对操作进行系统性能调整和系统优化,必要时进行系统以及应用的升级和安装,提高系统效率和安全性。
c)双机热备份软件
在每次预防性检查维护中,投标人要对热备系统进行详细检查,并进行模拟故障测试,以确保在发生故障的情况下保证备份机能够正常接管主机的工作。
d) Oracle数据库软件
中标人将定期检查数据库中的设置和数据库的运行日志,并对数据库中日益膨胀的日志文件进行清理,在必要的情况下,对数据库进行系统故障监控和性能调优。如招标人有需求,中标人需进行数据库升级和补丁修复工作。维保期间按照招标人的要求,对数据库进行迁移,并保证数据的完整性。
e) Symantec NBU备份软件
中标人应对数据备份经常校验,检查备份策略和备份软件的设置是否正确,备份出来的数据是否可用。
在每次预防性检查维护中,投标人要对Symantec NBU备份进行详细检查,检测备份系统工作是否正常,备份是否完整,确保备份系统的安全。
容灾备份演练,每年组织两次的容灾演练,包括硬件、数据库、网络、各种应用软件的所有检测与演练,包含了所有参与各方所需要的费用。
对于应用系统软件出现的问题,投标人应主动配合维护方从系统层面上分析故障的原因,在需要的情况下,积极配合用户或有关应用软件开发商,及时找出故障原因,尽快恢复维护方的业务运行。
g)同城灾备系统
负责灾备系统的维护,并列入巡检内容,出现问题需及时解决。
h)网络安全
负责对内、外网安全状况进行检查,调优安全策略。对外网应用系统进行定期扫描,发现问题,及时通知招标人,并负责协调整改。
i) 其它设备
未在表中列举的其它机房设备,也纳入维保范围,需根据用户需求,在用户调整网络时,负责提供现场配置技术服务或现场配合其它服务商调配工作。提供社保卡系统所需的打印设备的日常维护,包含斑马7c打印机原装色带和清洁套装10套,佳能image runner c3020彩色打印机原装硒鼓两套。
j) 网络维护
中标方需完全掌握甲方系统网络结构,提供一名专业网络工程师,通过VPN等安全连接和堡垒机,负责网络日常远程维护工作,如需抵达现场,则按故障级别所约定的时间内,抵达现场处理问题。维保期内按招标方要求对大厅网络进行改造,所需的费用包含在维保费内。(如有需要,请自行勘探现场)
K)虚拟化池维护
中标方负责虚化池的维护、调优,根据招标方的需求,对虚拟化池进行扩容调整,提供应用程序和数据迁移服务,并做好备份工作。
L) 视频会议系统维护
①做好视频会议定期进行巡检,每月至少热机保养一次(开机不少于十分钟)及时发现和排除各类隐患、故障保持视频会议系统良好状态,检查视频会议终端连接状态和工作状态,对维保范围内软硬件运行状态进行评估分析,并填写设备运行评估报告,每次巡检应作好记录。②每年和省厅视频会议系统进行2次联调,对视频会议系软硬件进行调优。
③如视频会议系统硬件出现问题,务必在2小时内携带视频会议系统硬件到现场更换。
④维保期内按招标方的要求对视频会议室环境进行改造,所需的费用包含在维保费内。(如有需要,请自行勘探现场)
Ⅱ、单独技术支持服务小组服务
为确保维护方主机系统在投标人负责的保修期内连续正常运行,投标人应针对维护方主机系统成立单独的技术支持服务小组,由经验丰富的认证工程师参与,保证在7×24小时内,维护方主机软硬件系统方面有任何的问题,随时可找到指定工程师回答和解决。日常巡检也由专人负责,以保证设备的软硬件系统运行万无一失。
服务小组人员配备最低要求(4名技术人员)
|
序号 |
人员配备要求 |
数量 |
|
1 |
CISCO、H3C或华为认证的工程师 |
1名 |
|
2 |
ORACLE OCP认证的工程师 |
1名 |
|
3 |
VMWARE VCP认证工程师 |
1名 |
|
4 |
IBM认证工程师 |
1名 |
Ⅲ、 日常巡检服务
投标人至少一个月一次派指定工程师对招标人机房系统、设备进行日常巡检维护。目的是通过巡检,及时发现和解决问题;通过当面交流,提高维护方工程师水平,使承担维护的设备能更好的运行。
主要工作包括:
a) 检查机房环境
内容包括:检查机房内的温、湿度,空调数量及状况,UPS电源的状态及输出电压,保护地电阻及零地电压,检查电源线及接线插座是否安全可靠。
b) 检查主机的运行状况
内容包括:主机的配置情况及序列号,主机是否存在硬件故障,安装操作系统类型及版本,集群软件及版本,填写主机检查表。
c) 检查磁盘柜运行状况
内容包括:磁盘柜配置情况及序列号,磁盘柜是否存在故障,RAID组的配置情况,填写磁盘柜检查表。
d) 清洗工作
内容包括:清扫主机、磁盘柜内部的灰尘,清扫设备周围包括地面的灰尘。同时检查主机、磁盘柜、磁带库内的通风状况是否良好,检查各风扇是否良好。
e) 检查软件运行状况
内容包括:文件系统磁盘空间使用率是否超过85%,CPU的使用率是否超过80%,内存的使用情况,及内存的交换区(paging space)使用率是否超过70%,系统运行是否正常,系统及数据盘是否做过近期的备份,双机切换是否正常。
f) 检查数据库运行状况
内容包括:检查数据库日志使用情况,是否有报错,数据库设备空间使用情况,是否需要碎片整理。
g) 检查Veritas备份软件运行状况
内容包括:检查备份日志,查看备份过程有无报错,存储策略是否正确,存储介质的使用情况,何时更换介质等。
h) 预防性工作
内容包括:为系统及数据盘进行全盘的备份,数据盘的备份可考虑在磁盘柜内部及本地盘双备份的方案,尤其是在AIX系统下的应用数据及数据库。检查、调整HACMP软件使之能够达到双机热备。更换不安全的电源插座,电源线。检查主机内部电源及接线是否安装良好。检查、阅读日志文件,察看是否有错误报告,并分析原因。询问值班人员或察看值班记录有无以往的错误报警。
i)其它系统和设备
保修范围内的其它系统和设备的巡检。
Ⅳ、服务档案
a) 建立系统保修档案
投标人应建立相应的设备系统保修档案,并根据每次预防性巡检保修报告和故障维修报告的情况建立技术保修档案,记录每次预防性保修和故障维修服务的详细技术信息,以便为维护方在今后的设备调整、更新、升级等方面,以及考核投标人技术服务质量等提供可靠的依据。
b) 巡检维护报告
投标人至少每一个月派出经验丰富的工程师,提供维护方主机系统的预防性检查和设备的保养,并在两周内向维护方提供维护报告。
c)故障服务报告
每次故障解决后向招标人提交《故障处理报告》一份。对故障原因做出分析解释,并提出整改意见和预防措施。
d)年度总结报告
在年度保修期即将结束之前,投标人须根据保修期内的系统维护情况提供一份全面的设备运行状况总结。
(2)软硬件系统安装、升级服务
Ⅰ、版本升级安装
当AIX、HP-UNIX、LINUX及WINDOWS操作系统有新的版本或补丁,投标人应及时通知客户,并根据实际情况讨论是否需要升级安装,需要升级时投标人应及时派工程师上门升级。
a)对AIX、HP-UNIX、LINUX及WINDOWS版本升级的计划及准备提供建议
b)安装新版本的AIX、HP-UNIX、LINUX及WINDOWS
c)在新版本AIX、HP-UNIX、LINUX及WINDOWS上调试系统配置并合成用户资料
d)对已安装的新版本AIX、HP-UNIX、LINUX及WINDOWS进行测试及确定其基本功能
Ⅱ、 硬件系统升级安装
如在保修期内,用户有硬件升级需求,如向投标人购买,则所有升级备件将按最低成本价收费并免费安装。
(3)紧急故障响应和故障排除服务
Ⅰ、支持专线电话
投标人应提供7×24小时技术支持专线电话,当维护方发现系统故障或遇到疑难问题不能解决时,投标人将给予认真及时的响应。维护方也可以随时通过电话向投标人技术人员要求提供协助以解决与需要维护的硬件、软件系统有关的日常运作、安装和使用(怎样用)等简短问题。
Ⅱ、故障响应时间
投标人提供的故障服务是7×24小时故障响应服务,具体响应方式及响应时间将根据主机的故障严重程度而定(见下表)。
对于不影响业务工作的一般性非系统崩溃故障,投标人工程师将在接到电话、传真、E-mail等任何形式的故障通知后,15分钟内提供故障热线支持服务。其方式包括通过电话进行技术支持或远程登录。并根据用户要求和实际情况提供现场维修服务
如果系统崩溃或系统故障已导致正常业务工作已不能正常进行,投标人工程师将在接到电话、传真、E-mail等任何形式的故障通知后,立即提供电话支持服务,并同时以最快的速度提供现场技术支持。
下面是不同的故障级别对应的响应时间和响应方式:
故障级别响应表
|
级别 |
故障严重程度 |
故障范围 |
响应时间 |
|
I |
严重程度三 |
系统有故障,但仍可全面运行,对招标人业务系统的正常运行有一定的或轻微的影响;产品性能增强请求;非生产系统故障。 例如:一个用户无法联接到服务器。 |
7×24小时电话咨询,10小时内到达现场。 |
|
II |
严重程度二 |
系统主要功能不能正常工作,并对招标人业务的正常运行造成较大影响;生产系统不稳定,并有周期性的中断。 |
7×24小时电话咨询,6小时内到达现场。 |
|
III |
严重程度一 |
系统崩溃,无法启动或拒绝连接等原因导致招标人无法获得任何系统服务,并对客户业务的正常运行造成重大影响。 |
7×24小时电话咨询,3小时内到达现场。 |
Ⅲ、故障排除服务
投标人技术人员接到电话、传真、E-mail等任何形式的故障通知后,立即提供电话支持服务,并通过服务方工程师的情况描述和Error Report,迅速做出故障初步判断。根据故障严重程度,通知相关人员赶往现场。如能初步判断硬件损坏,技术人员应同时携带相关配件赶往现场。
到现场经过检测确实需要更换配件,如果投标人技术人员携带有相应的备件,则立即予以无条件更换;如果投标人技术人员没有携带相应的备件,投标人应紧急协调备件,保证在12小时内更换配件,恢复设备正常运行。
如故障排除牵涉到数据恢复,投标人应根据数据的备份记录将数据恢复到原始状态,根据恢复的情况,提出日常的备份建议和恢复计划。
在硬件出现故障,短时间内无法恢复也无法提供配件的情况下,投标人应为服务方提供一台备机,确保客户业务应用不中断。在服务方提供有效的系统、数据备份条件下,除去4小时备机应急安装时间,要使备机达到正常工作状态,以保证业务的正常运行。
(4)信息安全服务要求
Ⅰ、服务规范
安全服务供应商所提供的所有服务应符合技术标准的要求如下:
a) 遵循《信息安全技术 信息安全评估规范》(GB/T20984-2007),《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008),《中华人民共和国计算机信息系统安全保护条列》。
b) 安全服务还应依据滁州市人力资源和社会保障局已经发布的各类配置规范进行。
Ⅱ、服务原则
a) 安全服务应严格遵守保密原则,对服务的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人网络的行为,否则招标人有权追究安全服务供应商的责任。招标人需要与投标人单独签订《保密承诺书》。
b) 服务方案的设计与实施应依据国内或国际的相关标准进行;
c) 服务用的工具、方法和过程要在双方认可的范围之内,服务的进度要跟上进度表的安排,保证需求方对于服务工作的可控性;
d) 服务的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。且服务中的过程和文档,具有严格的规范性,可以便于项目的跟踪和控制
e) 服务工作应尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况应在服务方案中详细描述);
f) 安全服务供应商应针对招标人服务原则和安全服务需求提出安全服务方案,其中所提供的各项服务/工具应完全符合招标人指明的标准,满足或高于招标人的要求,对于招标文件中未规定的有关服务要求,招标人应提出建议,并陈述其理由。招标人有权在签定合同前,根据需要修改和补充安全服务方案,修改补充后的最终安全服务方案将作为合同的附件。
Ⅲ、服务内容
安全服务供应商应对滁州市人力资源和社会保障信息系统所涉及的所有应用业务系统、网站系统、网上服务系统等提供自合同签订之日开始的为期一年的信息安全服务。
a) 信息系统安全评估优化服务
(1)在服务期内安全服务供应商为招标人提供不少于两次的业务系统评估优化服务,主要包括:网络架构安全评估、系统漏洞和配置扫描检查、安全加固和渗透测试等。该服务需严格参照下列标准进行:
GB/T20984-2007信息安全技术 信息安全风险评估规范
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
GB/T 20270-2006 信息安全技术网络基础安全技术要求
GB/T 20271-2006 信息安全技术信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术操作系统安全技术要求
GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求
GB/T 20228-2007 信息安全技术服务器安全技术要求
GB/T 21050-2007 信息安全技术网络交换机安全技术要求
GB/T 18018-2007 信息安全技术路由器安全技术要求
GB/T 20988-2007信息系统灾难恢复规范
(2)安全服务供应商应依据相关规范对项目范围内所涉及的所有防火墙、路由器、交换机、服务器等设备的安全配置的合理性进行检查。并根据合理的业务数据流和运维管理数据流提出安全设备部署位置建议,实施策略优化调整或提出优化建议。
(3)安全服务供应商应对每次评估的结果进行综合分析,形成评估报告。要求提供的报告列表如下,但不限于以下内容:
评估阶段最终报告,内容应当包括:
漏洞评估,要求包括但不限于以下方面的漏洞分析:网络结构、网络设备、安全设备、主机设备。
风险评估,说明风险计算方法,要求包括但不限于以下方面的风险分析:网络结构、网络服务、网络设备、设备配置、主机系统、安全策略。
应对风险的结果进行统计分析,形成风险分布统计报表、风险严重程度统计报表;并在安全服务方案中提供图样示例。
业务系统信息安全优化方案和实施建议,并应注意以下几点:
实施风险削减建议的优先度,便于招标人在评估后根据揭示出的安全风险建立实施风险管理的计划;
提请注意风险削减与实施费用的平衡控制,做到适度安全;
提出的具体整改措施、方案、建议等,应覆盖所有评估内容
评估过程报告
《XXX业务系统主机设备安全漏洞扫描报告》;
《XXX业务系统主机设备安全配置检查报告》;
《XXX业务系统渗透测试报告》;
《XXX业务系统主机设备安全加固方案》;
安全优化过程报告
《XXX业务系统主机设备安全漏洞扫描对比分析报告》;
《XXX业务系统主机设备安全配置对比分析报告》;
项目管理报告
《项目实施进展周报》
b) 支撑、保障服务技术要求
(1)漏洞扫描和安全配置核查服务
安全服务供应商需提供自合同签订后1年期的漏洞扫描和安全配置核查服务,服务频度每1个月一次。
实施风险控制
在进行漏洞扫描和安全配置核查前,安全服务供应商需进行小范围的模拟试验,检验漏洞扫描和安全配置核查的有效性和安全可靠性。
在漏洞扫描和安全配置核查过程中安全实施顾问会对操作的每一个步骤及系统状态进行详细记录,一旦发现异常立刻退回上一步。
在漏洞扫描和安全配置核查过程中,需要招标人相关人员全程跟进,对要检查的系统进行确认,对可能存在的风险由安全服务供应商及时提出,确认后再进行漏洞扫描和安全配置核查。
漏洞扫描和配置核查服务框架
漏洞扫描服务主要包括:
弱口令扫描,至少包含以下应用的弱口令:FTP、SNMP、Telnet、SSH、SYBASE、Oracle、MySQL、MSSQL等;
系统漏洞:Windows、AIX、HP-UX、等操作系统漏洞、系统后门;
网络设备漏洞:Cisco、华为、H3C、PIX firewall、等网络设备漏洞;
数据库及应用服务漏洞:MS SQL Server、MySQL、Oracle、Apache、IIS、Tomcat、WebLogic、等漏洞;
对互联网开放的系统是否开启telnet、ssh、远程桌面、pcanywhere等常用维护端口(23、22、3389、5631、5632等)但是没有严格限制访问原IP;
Web应用漏洞:Web服务器是否存在测试页面、后台登录是否有限制、Web页面是否存在SQL注入、跨站等漏洞;
本项目中安全服务供应商使用的漏洞规则库应保持最新状态,每条漏洞具有CVE编码,并提供详细的漏洞描述和加固建议措施。
安全配置核查服务有:
根据专用安全配置规范,安全服务供应商将针对以下业务数据网络系统提供安全配置配置核查服务:
主机设备:Windows、AIX、HP-UX、Linux、Solaris、UNIX
网络设备:Cisco、华为、H3C、Juniper、PIX firewall、NetScreen Firewall
业务系统:MS SQL Server、MySQL、Oracle、Apache、IIS、Tomcat、WebLogic、Informix、BIND、Web、DNS
本项目中安全服务供应商使用的安全配置核查工具应支持的足够数量的检查模板,能够支持自定义安全配置核查的模板。
输出成果
每次漏洞扫描和安全配置核查检查完成后,安全服务供应商需向招标人提交不同业务系统的《漏扫扫描报告》、《漏扫扫描加固建议》、《安全配置核查报告》、以及建立各个业务系统每台服务器开放端口、服务的安全配置核查清单。
其中,《漏洞扫描报告》和《安全配置核查报告》应包括整体扫描任务和单个主机扫描任务的情况。安全服务供应商须分别提供漏洞扫描服务和安全配置核查服务的对比报告,能够直观展示多次服务任务中系统资产的风险变化情况。对比报告应支持HTML、WORD、PDF和EXCLE(XML)等格式。
安全服务供应商须根据报告情况协助招标人完成安全加固,并对加固后的系统提供二次评估,验证发现的安全风险已经有效处理。
(2)安全巡检
安全巡检服务的内容包括安全设备巡检和安全日志分析两部分。
安全服务供应商需提供自合同签订后1年期的安全巡检服务,服务频度不少于每1个月一次。
安全设备巡检
检查机房环境及服务器、存储等外设的使用情况,检查主机操作系统及应用软件运行状况,检查安全产品及配套软件运行状况,检查日志服务器运行情况,更新事件库、漏洞库、病毒库等,并对各项配置加以优化。
安全日志采集、分析服务
安全服务供应商向招标人提供1年期每月1次安全日志分析服务。主要针对业务支撑系统,服务内容包括:
梳理业务支撑系统现有安全设备日志平台可用性
搜集现有安全设备日志
分析日志,及时发现安全威胁和业务异常
具体要求:收集现有安全设备如IPS、WAF、审计等的日志信息。安全服务供应商对收集到的日志进行人工分析,提交《安全告警分析报告》及时发现安全威胁和业务异常,并向招标人相关人员汇报。
(3)新业务上线安全检查服务
安全服务供应商需提供自合同签订后1年期的业务系统上线前安全检查服务。
服务范围包括:
安全漏洞检查,提供加固建议。
安全配置合规检查。
应用系统配置安全检查。
新上线业务如有互联网IP,须在互联网渗透测试。
新上线业务如有web网站,对网站程序全面检查,提供代码修改建议。
新业务的安全域规划和边界访问控制策略。
网络改造协助提供安全审计、建议和整改方案。
另外安全服务供应商需协助招标人对新上业务系统完成等级保护定级以及人力资源和社会保障上级部门、经信委等重大安全检查前的自查工作。
具体要求如下:
安全服务供应商应首先提供业务系统上线安全检查流程、方法。
每次服务完成后,提供安全漏洞、安全配置、web应用漏洞以及互联网渗透的报告,提出安全加固建议。
新上业务相关建设方完成加固后,提供二次复查,对发现的安全风险逐一验证,确保上线业务系统不存在已知的安全风险。
(4)重要网站的监测和监控
安全服务供应商还应通过云监控平台或工具,对公共服务平台开放业务系统包括WEB应用系统、网站等,提供7*24小时的安全监测及监控服务。
c) 应急响应服务
(1)应急响应
安全服务供应商应提供7*24小时的应急响应服务;对重大安全问题的响应和处理,应保证专业安全服务工程师在3小时内抵达现场,并在3小时内予以解决。
(2)应急预案:
安全服务供应商应在合同签订后3周内提供完整的应急预案,包括安全事件的监控机制、安全事件的触发条件、安全事件级别定义、安全事件的处理流程、安全事件的恢复处理、安全应急的组织结构、安全应急的联系方式等。
安全服务供应商应在应急预案建立后提供相应的培训,对安全事件的处理进行讲解,如何保护现场、如何控制事件蔓延、如何启动备份机制等;
(3)安全服务供应商应急响应人员应协助招标人完成以下工作:事件范围损失控制,取证,事件处理,外部攻击源追溯,内部脆弱性分析;并提供相关文档详实记录分析判断过程及结果,包括使软件记录应急响应顾问在其主机上的所有操作,便于审计和考核;
(4)安全事件处理完毕后,安全服务供应商应协助招标人进行事件原因调查,以及系统恢复等后期工作,以建立正常的业务运行环境;
(5)安全事件处理结束后,安全服务供应商应在1周内提交完整的《安全事件分析及处理总结报告》。
对事件的起因、处理过程、处理方法、处理结果等进行总结;
并按照相关安全标准和脆弱性报告为恢复的系统设计加固方案,并协助招标人进行安全加固;
对安全事件的相关方进行培训,主要是与该事件相关问题的处理,如如何保护现场、如何控制事件蔓延、如何启动备份机制等;
(6)安全应急演练:
为了提高招标人管理维护人员的安全能力和意识,安全服务供应商的应急响应服务人员应定期针对热点问题组织相关维护人员进行安全演练。在服务期内,针对网站系统应提供不少于4次的安全应急演练服务。并能按照滁州市人力资源和社会保障局的要求,及时提供针对核心业务生产系统的安全应急演练服务;
安全服务供应商应提供详细的安全演练方案、演练的模拟环境;
每次演练后安全服务供应商应提供演练总结报告,并针对演练的情况进行总结培训;
(7)应急响应服务和应急演练过程中所使用的相关工具和产品原则上由安全服务供应商提供,招标人如事先得到请求,在条件允许的情况下将予以协助。
(8)特殊保障服务
安全服务供应商应为招标人在重大活动期间提供信息安全的特殊保障服务。
事前服务:在重大活动开始之前完成对服务范围内的系统进行全面安全检查,并进行安全加固或提供安全优化加固的建议。
事中值守:在重大活动期间提供增强的安全运维服务,包括至少额外增派一名经验丰富的专家进行现场值守。
安全值守期间,安全服务供应商还应通过云监控平台或工具,对公共服务平台开放业务系统包括WEB应用系统、网站等,提供7*24小时的安全监测及监控服务。
安全值守时间,自重大活动前1周到重大活动结束。
安全服务供应商应按日和周提供《系统安全运行报告》,前一日和周的系统遭受攻击情况、应急处理情况等进行总结报告。
事后服务:安全服务供应商应在活动结束后1周内提供《特殊保障服务报告》,对重大活动之前的安全检查、期间的安全值守情况等进行总结。
d) 安全咨询
(1)安全通告服务
安全服务供应商通过Email等方式向招标人提供厂商安全通告、行业安全通告、其他安全通告等成果。
厂商安全通告:提供主流厂商的中文安全通告,包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。
行业安全通告:通信管理局、Cncert、运营商相关的安全事件分析、安全规范解读、安全检查范围方法通告。
其他安全通告:其他应用系统和安全组织(如SANS/CERT等)的安全通告。
(2)日常安全咨询服务
安全服务供应商项招标人提供一年期不限次数的远程和现场咨询服务。对安全管理、安全技术、安全科研课题、安全热点事件、行业安全规范提供咨询、解读、分析、指导服务。并提供相关简体中文文档给招标人人员,供学习使用。
e) 安全服务规划
安全服务供应商在投标书中需为招标人制定为期1年的安全服务实施方案,具体要求为:
(1)安全服务供应商提供的各项服务/工具应完全符合招标人指明的标准,并满足或高于招标人指出的要求。对于本文件未规定的有关设备/服务要求,安全服务供应商应提出建议,并陈述其理由。
(2)安全服务供应商应在实施方案中提供服务的详细说明,列出详细工程进度表、安全服务所投入的人日总数、各单项服务所投入的人日数量,并说明工作量的计算方法、依据。
(3)应详细阐述服务方法、流程、项目时间安排、项目组织、从合同签订之日起的周工作进度安排等,还需提供项目经理、技术负责人、项目组成员名单(包括工作分工)以及上述人员的简历等。
(4)应详细提供相关漏洞扫描以及安全配置核查等安全服务检查工具的系统原理、系统功能特性和性能指标、软件的体系结构及采用的关键技术和所具备的特点的说明,并提供产品的资质证明。
(5)应详细说明7*24网站检测和监控服务的实现方式和工作原理等。
(6)软件功能分类、功能模块、功能列表、功能描述以及软件和安装所在硬件设备对照表。
(7)服务中所涉及的多方合作的分工界面。
(8)服务中所使用的各类工具的详细说明。
(9)安全服务供应商应在建议书中列出提供的书面技术资料详细清单。
(10)详细阐述安全服务实施进度控制措施。
(11)培训计划,授课人员资质等。
f) 服务实施要求
(1) 安全服务供应商应详细描述安全服务过程中人员的组成及各自职责的划分。
(2) 安全服务供应商应配置有经验的安全服务人员进行本项目的服务工作,未经与招标方协商确认安全服务供应商不允许随意更换安全服务人员,安全服务供应商应确保选派高级咨询人员参与整个项目,确保项目的进度和质量。
(3) 本项目实施过程中所使用到的各种工具软件由安全服务供应商推荐,经招标人确认后由安全服务供应商提供并在安全服务中使用。
(4) 安全服务工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由安全服务供应商推荐,经招标人确认后由安全服务供应商提供并在评估中使用。
(5) 安全服务需要的运行环境(如场地、网络环境等)由招标人提供,安全服务供应商应详细描述招标人的运行环境的具体要求。
(6) 安全服务应实施风险控制:
在进行漏洞扫描和安全配置核查前,安全服务供应商需进行小范围的模拟试验,检验漏洞扫描和安全配置核查的有效性和安全可靠性。
在漏洞扫描和安全配置核查过程中安全服务供应商应对操作的每一个步骤及系统状态进行详细记录,一旦发现异常立刻退回上一步。
在漏洞扫描和安全配置核查过程中,由招标人相关人员全程跟进,对要检查的系统进行确认,对可能存在的风险由安全服务供应商工程人员及时提出,确认后再进行漏洞扫描和安全配置核查。
3.服务质量保证
故障处理速度和质量要求:对于维护范围内的故障,中标人应在故障发生后立即响应,并尽快加以解决,解决时间不超过8小时,特殊情况不超过24小时,否则视为违约;对于非维护范围内的故障,中标人应在故障发生后积极配合其他服务商尽快加以解决。
4.备件投资
(1)中标人需对招标人机房UPS电源系统,进行更换30节12V 250AH全新免维护电池。(电池需提供购买发票供查验,并提供原厂4年质保)
(2) 中标人需提供全新20kva ups一台(彩屏尺寸≥28inch,高度≤3U,输出功率≥20kw兼容普通网络机柜及现用UPS,支持现存电池组)作为备件,并负责安装做双机热备,以确保原ups损坏时及时切换。
(3)为了金保工程内网安全和保密要求,避免病毒交叉传播,降低敏感数据外泄风险,中标人在合同期内,需提供一台全新笔记本电脑,供己方维护人员现场维护专用。(电脑性能如下cpu性能不低于i7-10750HQ,内存≥32G,硬盘≥512G固态+2T,显卡不低于6G)
(4)中标人需提供两台全新国产服务器作为备件,以确保虚拟化设备发生故障时及时更换。(基本配置不低于:2U机架式服务器,2颗Intel Xeon 5117 (14C,105W,2.0GHz)处理器,512GB DDR4内存,3*240G SSD,双千双万(含光模块),独立RAID卡,冗余电源,导轨;2块16GB单口HBA卡;)
(5)中标人需提供浪潮、联想、IBM服务器使用的32G内存条各10根,用于服务器内存更换升级。
(6)中标人需提供空调挂机一台作为备件,以确保机房控制室空调发生故障时可以替换。
(7)中标人在合同期内,需提供机房、UPS间照明设备(5套)、86型插座面板(15个)、86型网络面板(15个)、防雷PDU (4只)、网线(超 5类)(一箱)及若干工具。
(8)在合同期内提供1次机房设备货物搬迁服务,如有需要请自行勘探现场。
备注:以上备件需在中标合同签订后15日内提供,作为付款条件之一。如需勘察现场请于投标人联系。
5、中标人责任
中标人履行合同过程中,各项检查,需要有完整的检查报告备案,招标人不对报告结果做现场确认。对以下问题给招标人造成各种损失的,中标人负责赔偿:
1、由于自身疏忽或失误、认知局限,在维保过程中误操作产生不良后果;
2、使用非原装或不合规定的配件,造成设备不能正常运转,或导致其它后果的;
3、在维保服务范围内,应当发现问题而未能发现的问题的、发现问题没有及时解决的或确实不能解决而未及时通知招标人的。
(三)商务要求
1、本次招标服务期限为2年,本次投标报价只报年度服务价格,中标后与中标人按此年度服务价格签定服务合同,每年服务期满,招标人有权根据中标人上年度服务情况决定是否续签合同。合同执行期间,若有设备报废停用,则从服务总费用中扣除相应设备的服务费用。
2、进场时间:自签订合同并生效之日起 15日内,维护保养服务人员进场工作,备机、备件进场就位。
3、培训:
①现场培训:中标人为招标人提供操作维护培训,直至其能熟练独立操作设备及日常维护与保养,设备简单故障诊断与排除。
②集中培训:中标人每年负责为招标人提供2人次×5天/合同年度IBM小型机ORACLE数据库厂家、华为存储网络、VMware虚拟化技术等网络与安全厂家在国内的技术中心培训安排,培训费用及食宿交通费考试等,每合同年度的费用不得少于3万元。
二、商务要求(重要条款用“★”标明)
(一)货物的生产、安装、维修、检验、验收等按照以下原则执行:有国家标准的执行国家标准;无国家标准的执行行业标准;无行业标准的执行地方标准;无地方标准的执行企业标准。
(二)如果在技术参数或配置中标明了品牌或产地,则仅供参考,并非指定,但投标人提供的货物必须满足主要技术参数及配置要求,投标人可以选用替代的方案,但这种替代整体上要优于或相当于招标文件的相关要求。
(三)供货时所有货物(包括零部件)须为全新的、未使用过的原装正品,并完全符合国家质量标准,提供厂家出具的合格证书、有国家强制性认证要求的产品须提供相应证书,货物的技术参数及配置情况必须由投标人提供国家相关检测机构出具的检验报告、生产厂家公开发布的印刷资料等技术资料予以支持。没有技术资料支持的技术参数及配置不能视为响应。 (厂家出具的合格证书供货时提供)
(四)技术支持
1.中标人应向采购人提供全方位、及时而有效的技术支持和服务。
2.中标人负责供货、安装、调试。
3.中标人负责将货物的全部有关技术文件(外文应提供中文翻译资料,下同)、施工图纸、资料、测试、验收报告等汇集成册交付采购人,涉及进口的产品或部件配件软件等须提供中国海关进口货物报关单、完税证明及商检证明等材料。
(五)质保及售后服务:
1.中标人须提供至少 / 年的免费质保服务,所有质保费用均已包含在投标报价中,质保期满后,应提供优先的有偿售后服务及按不高于投标文件中主要配件、易损件清单所报价格供应原厂零配件等。软件终身免费升级服务。
2.中标人须设有维修服务电话,负责解答用户在货物使用中遇到的问题,及时提出解决问题的建议和操作方法。
3.售后服务响应时间:如货物出现故障,电话响应无法解决,中标人必须在接报修电话 / 小时到现场并解决问题。
(六)培训:中标人负责为采购人操作人员提供操作及维护培训,直至其能熟练独立操作及日常维护与保养,简单故障诊断与排除。
(七)交货期: 按招标人要求。
(八)交货地点:按招标人要求。
(九)验收:
1.采购人和相关部门按照国家规定标准验收,没有国家标准的按行业标准验收,无行业标准的按地方或企业标准验收,中标人予以配合。涉及安全、消防、环保等其他需要由质检或行业主管部门验收的项目,采购人须约请相关部门和专家参加项目验收。
2.货物在验收时,投标人应提供发票、制造厂家出具的产品合格证书、装箱清单等, 涉及进口的产品、部件、配件等须提供中国海关进口货物报关单、完税证明及商检证明等材料;提供有关货物的操作规程和使用说明书,维护手册、保养修理所需的各种随机工具及相关设计、制造、检验、安装、技术性指导等文件和应由投标人提供的必要文件。
(十)付款方式:见投标人须知前附表。
收藏