招标文件
招标内容及要求
一、项目概况(采购标的)
1、本项目为校园网络中心信息系统整体运维及安全服务,本次项目维保期限:自合同签订之日起三年。
二、技术和服务要求(以“★”标示的内容为不允许负偏离的实质性要求)
(一)网络及中心机房系统运维服务
(项1)1.运维设备清单
|
序号 |
产品 |
型号 |
数量 |
|
1 |
核心交换机 |
H3CS7510 |
1台 |
|
2 |
核心交换机 |
H3CS7610 |
1台 |
|
3 |
出口网关 |
RGAG515 |
1台 |
|
4 |
防火墙 |
黑盾V3.5/HD-FW-4317-8 |
1台 |
|
5 |
网络入侵防御系统 |
H3CSecBlade(板卡集成于H3C-S7610) |
1块 |
|
6 |
网络行为审计系统 |
深信服AC-3300-JC |
1台 |
|
7 |
VPN |
深信服 VPN-2050-JC |
1台 |
|
8 |
存储阵列 |
浪潮AS520E-M1(12) 浪潮扩展柜SS520EJ-12 |
1套 |
|
9 |
防火墙 |
绿盟NFNX3-G2100M |
1台 |
|
10 |
网络入侵防御系统 |
绿盟NIPSNX3-N300A |
1台 |
|
11 |
WAF应用防火墙 |
启明WAF6000-C-TR |
1台 |
|
12 |
汇聚交换机 |
H3C S5130S-28S-HI |
2台 |
|
13 |
汇聚交换机 |
RG S5750S-24GT-12SFP |
2台 |
|
14 |
汇聚交换机 |
H3C S3600-28P-EI |
1台 |
|
15 |
汇聚交换机 |
H3C S5500-28C-EI |
2台 |
|
16 |
二层交换机 |
H3C E126A |
13台 |
|
17 |
二层交换机 |
H3C S2610 |
5台 |
|
18 |
二层交换机 |
H3C S2626 |
10台 |
|
19 |
二层交换机 |
H3C S3100V2-8TP-SI |
1台 |
|
20 |
二层交换机 |
H3C S5024PV2-EI |
1台 |
|
21 |
二层交换机 |
Huawei S2403TP-EA |
1台 |
|
22 |
虚拟化系统 |
H3C CAS企业版 |
1套 |
|
23 |
UPS不间断电源 |
雷迪司 |
1套 |
|
24 |
精密空调 |
佳力图13AD15 |
2台 |
|
25 |
动力环境监控系统 |
力禾信息安全运行保障集中管理系统(包括系统主机、软硬件平台、温湿度、漏水、门禁、消防、监控、精密空调、机房配电) |
1套 |
|
26 |
机房监控 |
海康威视DS-7608N-E2/8P |
1套 |
|
27 |
消防控制系统系统 |
火灾报警控制器、气体灭火控制器 |
1套 |
|
28 |
服务器 |
联想 ThinkServer RD330 |
5台 |
|
29 |
服务器 |
华为 H22M-03 |
9台 |
|
30 |
服务器 |
浪潮英信 NF5270M3 |
8台 |
|
31 |
服务器 |
浪潮英信 NF290D |
5台 |
|
32 |
服务器 |
浪潮英信 NF5220 |
1台 |
|
33 |
服务器 |
浪潮英信 NF560D2 |
2台 |
|
34 |
服务器 |
浪潮英信 NP370G2 |
1台 |
|
35 |
服务器 |
浪潮 SA5212M4 |
2台 |
|
36 |
服务器 |
IBM System x3400 m3 |
1台 |
|
37 |
服务器 |
IBM System x3250 m4 |
1台 |
|
38 |
服务器 |
IBM System x3630 m4 |
1台 |
|
39 |
服务器 |
Dell PowerEdge 4600 |
2台 |
|
40 |
服务器 |
Dell PowerEdge R720 |
1台 |
|
41 |
服务器 |
Dell PowerEdge 2950 |
1台 |
|
42 |
服务器 |
Dell PowerEdge 6600 |
1台 |
|
43 |
服务器 |
Dell PowerVault 775N |
1台 |
|
44 |
服务器 |
Dell PowerVault 220S |
1台 |
(项2)2.运维要求
2.1前期工作
对中心的所有系统和设备进行初次检测和诊断并登记做好设备的清单资产表(台账),熟悉网络拓扑等前期准备工作。对系统中潜在的硬件、网络故障应立即登记与报修,主要包括(不仅限以下内容):
(1)机房服务器、存储主机系统的运行状态及资源使用情况,
(2)网络设备(含网络安全产品)的运行状态;
(3)机房环境运行情况;
(4)所有连接接口,CABLE,电源等可能容易导致设备出现问题的敏感部件;
(5)检查所有IT设备的 Error log;
(6)协助网管技术人员解决和分析设备运行中出现的未解决问题;
(7)负责所有线缆的梳理及标识制做并做好IT资产登记表。
(8)虚拟化系统的资源配置情况;
2.2故障排除
运维技术小组必须做好巡检工作,就发现的问题在规定的时间进行现场诊断,分析锁定故障问题部件,应急情况下需提供设备备件直接更换故障部件,直至设备恢复正常运行。
对于本次服务项目,出现设备故障需要进行维修并进行更换的,单品维修或更换金额低于 200 元(含200元)的,由中标人承担;单品维修或更换金额高于200元的,由中标人提出维修或更换申请,采购人同意后,进行维修或更换,费用由采购人承担。
对于本次服务项目,若出现由于设备问题导致的系统故障,在排除硬件问题后,系统故障仍存在,需要设备厂家或第三方专业服务机构上门服务的,所产生的费用,由采购人承担。
2.3巡检内容
定期做巡检,及时发现和预防可能出现的硬件和系统问题,从而在最大程度上为系统的连续稳定运行提供保证。巡检工作主要包括(不仅限以下内容):
(1)机房硬件设备的运行状态:对设备的CPU、内存、I/O状态、端口、故障诊断面板、故障指标灯、风扇运行等进行检查;
(2)网络状态:硬件设备的性能使用分析、内网及专网网络(含无线设备)运行状态、网络IP变更情况、网络故障信息收集;
(3)网络安全检查:网络病毒查杀、漏洞扫描、系统补丁升级、固件升级、安全漏洞检测等;
(4)机房环境:包括UPS、精密空间、电源电压、接地和室内温度、湿度、空气洁净度等检测;
(5)设备的外观清洁保养,清除设备的机箱、滤清器内的灰尘与异物;
2.4巡检目标及周期
(1)确保本次保修范围内所有硬件设备的正常运行;
(2)确保本次保修范围内设备的系统的正常运行;
(3)及时提供操作系统升级和故障硬件更换;
(4)提供特殊时段(如:会议保障、国家节假日、系统停机维护、数据集中及采购人认为必须的重要时段)的服务,以及产品安装、系统变更和迁移等的现场支持服务;
2.5运维服务时间响应要求
(1)现场驻点工程师负责学院IT设备的日常管理、故障排查、问题跟踪处理等工作,提供7*24的技术支持服务;当系统硬件发生故障时,场进行故障检测、维护,及时更换故障部件恢复系统正常运行。如果故障在短时间内无法排除,驻点人员与产品制造商(设备供货商)联系并配合其服务缩短故障时间并提供应急方案。
(2)项目维护小组负责驻点工程师无法独立判断或是解决故障问题时提供高级后端技术及运维支持,提供故障分析、问题处理、现场技术支持、突发事件处理,并提供7*24的电话及上门服务,确保采购人的数据安全和业务运行的可靠稳定连续。
(3)中标人提供全天的服务,由专人受理采购人问题的技术团队提供全天候无间断的产品技术咨询、故障申报受理、硬件维修受理、以及服务政策咨询等服务内容。对简单的技术咨询性问题在2小时内给出明确答复,复杂的产品技术问题(非产品质量问题)在24小时内给出明确答复。
故障恢复时间根据业务的重要性分成以下4种情况:
|
故障级别 服务级别 |
一级故障 |
二级故障 |
三级故障 |
四级故障 |
|
|
设备在运行中出现整机系统瘫痪或服务中断,导致设备的基本功能不能实现或全面退化的故障。 |
设备在运行中出现的故障具有潜在的系统瘫痪或服务中断的危险,并可能导致设备的基本功能不能实现或全面退化。 |
设备在运行中出现的影响业务,并导致系统性能或服务部分退化的故障。 |
咨询类问题或设备在运行安装过程中,客户对产品功能、配置等方面需要的信息和需求,对业务系统几乎无影响。 |
||
|
故障 修复 |
故障确诊时间 |
30分钟内 |
1小时内 |
2小时内 |
24小时内 |
|
抵达现场时间 |
1小时内 |
2小时内 |
4小时内 |
驻点人员上门 |
|
|
故障排除时间 |
抵达现场后 4小时内 |
抵达现场后 12小时内 |
抵达现场后 24小时内 |
当天 |
|
2.6信息归档
(1)提供完整的维护设备清单并归类,其中设备的清单资产表,报网络管理科备案;
(2)对每次主要设备的故障维修进行详细记录:设备的型号、序列号、故障时间、故障类型、维护方法、维护时间等信息录入并归档。
(项3)3.服务清单
|
序号 |
服务项目内容 |
运维服务要求 |
|
1 |
服务器虚拟化系统 |
需要每周对虚拟化系统进行日志审核及备份,对数据库进行整理与调优,并具有现场解决故障问题的能力并完成交付的其他日常管理工作。 |
|
2 |
网络系统 (含无线) |
需要对中心核心路由、交换机、汇聚、接入交换机进行巡查、配置优化、固件升级、日志整理、潜在故障预警、全网IP地址的管理与维护,定期进行设备配置文件的备份。 |
|
3 |
服务器、存储设备 |
对服务器、存储硬件设备进日常的巡检、故障预警处理、保修期内设备报修对业务操作系统调试与优化、应用软件安装、调试,对系统进行安全检测、病毒检测及补丁升级。 |
|
4 |
网络安全设备 |
对设备进行巡查、网络风险分析、系统漏洞扫描及修复、设备系统版本升级及库文件升级,按照等保相关要求提供合规性建议报告及解决方法,每季度一次。 |
|
5 |
数据库系统维护 |
针对ORACLE、SQL SERVER、MYSQL进行日常数据备份管理、故障分析及应用恢复,每周一次。 |
|
6 |
应用系统及日志平台 |
对校园网门户主站及各部门网站、各专题网站、相关应用应用系统等,以及各类日志系统平台每周进行一次常规巡检,对于存在的问题及时反馈。 |
|
7 |
IMC管理系统 |
对接入用户IP进行梳理归档,对接入策略及设备定期进行统一巡检,优化配置。每月一次。 |
|
8 |
机房环境监测系统 |
监测机房及弱电间环境,包括温湿度、UPS、精密空调等设备进行巡检,对潜在问题及时反馈汇报。每天一次。 |
|
9 |
综合布线系统 |
线路维护、线路调整后的标识及修改相应存档电子资料;网络维护、线路调整后的标识及修改相应存档电子资料。对不符合规范要求的标识进行完善。 |
|
10 |
其他系统 |
学院其他需要维护及保障的系统进行维护、应急处理、故障判断及修复。 |
|
11 |
其他要求 |
1、合同期内中心新增IT设备或者信息系统,必须提供同样的应急维保服务。 2、包含新增设备或系统在内的中心所有设备要按时除尘、各机房工作环境干净整齐,每月进行一次保洁。 |
4.技术要求
(项4)4.1数据中心机房运维服务
★(1)服务内容:派遣1名网络工程师进行驻点运维,执行5*8工作制,即:每周不少于五个工作日,及时响应采购人需求,高效完成采购人急需处理的业务。提供重大会议期间以及采购人要求的特殊时段全程运维保障服务。投标人须提供服务工具,以及配套万兆光模块,光纤跳线等,用以保障学校的网络安全,相关软硬件设备应在3年服务期满后继续提供给采购人使用,直到新一轮的网络中心信息系统整体运维及安全服务项目启动为止。
(2)驻点人员应具备以下能力:1.计算机、通信等相关专业本科以上学历;2.熟悉华为、华三、锐捷等厂商网络设备运维配置;3.具有在网络系统集成领域两年以上的经验;4.熟悉Windows、Linux、麒麟、统信等操作系统的安装、配置和调试;5.熟悉华为、华三、浪潮、VMware等厂商虚拟化平台的安装、配置、管理和调试;6.具备大中型网络的方案设计能力和实施能力;7.能独立处理较为重大的网络故障和变更需求;8.能够对大型系统集成项目及相关硬件设备进行运行维护;9.熟悉Sybase、Oracle、SQL Sever、MySQL等数据库和国产数据库管理和数据备份技术;同时驻点工程师必须是中标人的正式员工,合同签订后需提供相关证明材料给采购人备案。
▲(3)投标人承诺拟派项目驻点工程师人员具备中级以上路由交换相关证书。(投标人需提供承诺函,承诺函格式自拟,并加盖投标人公章)
(项5)4.2资产管理及服务咨询
资产管理
服务内容:记录和管理运维相关的基础物理信息,包括数据中心、网络、机柜、服务器、IP等各种资源信息,制定有效的流程,确保信息的准确性。
交付成果:《资产清单》
服务咨询
服务内容:以电话或远程维护方式建立联系,提供技术方案支持。
服务周期:实时
(项6)4.3运维巡检及日志管理与审计服务
运维巡检
服务内容:定期做巡检,及时发现和预防可能出现的硬件和系统问题,从而在最大程度上为系统的连续稳定运行提供保证。
交付成果:《巡检报告》
日志管理与审计服务
服务内容:收集、监控和分析日志,定期审核、管理和跟踪设备日志,确保敏感数据的安全,安全关联不同事件。
服务要求:本地部署相关硬件系统或平台,服务工具需满足下列指标:
▲(1)内存大小≥16G,硬盘容量≥4T,电源为单电源,接口≥4千兆电口,主机审计许可证书数量≥200,最大可扩展审计主机许可数≥450;提供1套日志审计分析管理系统软件;(投标人需提供承诺函,承诺函格式自拟,并加盖投标人公章)
(2)支持网站攻击、漏洞利用、C&C通信、暴力破解、拒绝服务、主机脆弱性、主机异常、恶意软件、账号异常、权限异常、侦查探测等内置关联分析规则,内置关联分析规则数量达到350条以上,支持自定义关联分析规则。
(3)支持通配符、范围搜索、字段等多种输入方式、搜索框模糊搜索、指定语段进行语法搜索;可根据时间、严重等级等进行组合查询;可根据具体设备、来源/目的所属(可具体到外网、内网资产等)、IP地址、特征ID、URL进行具体条件搜索;支持可设置定时刷新频率,根据刷新时间显示实时接入日志事件;
(4)支持可视化展示,包括数据分布、安全事件趋势图、关联规则告警趋势图、接入设备概况等,可提供设备专项分析场景。如防火墙外部攻击场景分析、VPN账号异常场景分析、Windows服务器主机异常场景分析等,通过设备专项页面对每一台设备安全情况深度专业化分析。
(项7)4.4出口负载均衡服务
服务内容:通过网关模式部署负载均衡系统,做精准的应用分流和应用负载,来判断网络质量的好与坏,从而快速定位故障问题,减轻运维压力,在保障关键业务的同时降低带宽成本。
服务要求:本地部署相关软硬件系统或平台,每月提供一次流量计行为审计服务,根据审计结果进行出口策略调整或升级。服务工具需满足下列指标:
▲(1)支持带宽≥10G,并发会话数≥85万,万兆光口≥6个,千兆光口≥4个,千兆电口≥4个。(投标人需提供承诺函,承诺函格式自拟,并加盖投标人公章)
▲(2)实配功能:应用级出口链路负载均衡、IPv6转IPv4、IPv4转IPv6、IPv6转IPv6、上网行为管理(配置3年应用特征库)、流量控制、威胁情报模块(配置3年威胁情报特征库,情报库需要具备数字货币、C2节点、APT攻击、僵尸网络、恶意软件、扫描器、TOR节点、代理和隧道、钓鱼黄赌网站)、防私接(禁止二级路由)(投标人需提供承诺函,承诺函格式自拟,并加盖投标人公章)
(3)支持对P2P下载、网络电视、网络游戏、Web视频和普通HTTP流量做应用分流;支持基于域名的路由。
(4)支持基于域名、应用协议的负载均衡。
(5)可根据源IP、目标IP、访问域名、所在线路等组合条件实现对域名访问的控制。
(6)支持根据链路带宽,调节多链路分发策略,实现多链路负载均衡,同时支持轮询及权重分配的服务器负载均衡。
(7)支持检测并控制网关“一拖N”行为功能;基于7层协议特征检测网关后面的私有IP地址信息,并能以“共享IP数”或“共享终端数”,如“超过3人”或“超过3个终端”设置为触发条件,对宿主IP或账号进行限制管控。
(8)支持IPv6转IPv4、IPv4转IPv6、IPv6转IPv6。
(9)支持流量镜像。
(10)支持对网络中各种应用的时延进行检测。
▲(11)配置外置数据中心日志系统软件,支持虚拟机、物理服务器部署,需具备出口设备的所有用户的上网行为日志记录查询。(投标人需提供承诺函,承诺函格式自拟,并加盖投标人公章)
(12)外置数据中心日志系统软件支持基于上网时长、应用类型、用户流速、用户连接数、流量使用量等条件进行TOP排行统计,支持趋势图展示。
(13)外置数据中心日志系统软件支持异常流量分析,增加运营商和NAT查询条件,可统计时间段内某条线路的流量,可统计时间段内去某运营商的流量。
(14)外置数据中心日志系统软件符合网络安全法规,上网日志至少留存180天。
(项8)4.5出口边界安全防御服务
服务要求:本地部署相关硬件系统或平台,每月提供一次出口边界安全审计服务,根据审计结果进行出口安全策略调整或升级。服务工具需满足下列指标:
▲(1)规格≥1U,内存大小≥16G,硬盘容量≥256G SSD,电源为冗余电源,接口:≥8千兆电口、≥6万兆光口SFP+。网络层吞吐量≥35G,应用层吞吐量≥20G,并发连接数≥800万,HTTP新建连接数≥18万;(投标人需提供承诺函,承诺函格式自拟,并加盖投标人公章)
▲(2)提供≥1套基础级软件,具体包括ACL控制、应用识别与流控、入侵防御、僵尸网络检测等功能。(投标人需提供承诺函,承诺函格式自拟,并加盖投标人公章)
(3)支持IPv4/IPv6双栈工作模式,以适应IPv6发展趋势。
(4)支持2种以上的用户认证方式,包含但不限于本地账号密码、外部账号密码认证。
(5)支持策略生命周期管理功能,支持对安全策略修改的时间、策略、变更类型进行统一管理,便于策略的运维与管理。
(6)支持僵尸主机检测功能,可识别主机的异常外联行为。
(7)支持安全策略有效性分析功能,分析内容至少包括策略冗余分析、策略匹配分析、风险端口分析等内容。
▲(8)设备内置不低于10000种漏洞规则,同时支持在控制台界面通过漏洞ID、漏洞名称、危险等级、漏洞CVE标识等条件查询漏洞特征信息,支持用户自定义IPS规则。(需提供产品功能截图证明,并加盖投标人公章)
(项9)4.6服务器边界区域安全防御服务
服务要求:本地部署相关硬件系统或平台,每月提供一次出口边界安全审计服务,根据审计结果进行出口安全策略调整或升级。服务工具需满足下列指标:
▲(1)规格≥2U,内存大小≥32G,硬盘容量≥128G SSD+480G SSD,电源为冗余电源,接口≥8千兆电口、≥6万兆光口SFP+;网络层吞吐量≥50G,应用层吞吐量≥30G,防病毒吞吐量≥7.5G,IPS吞吐量≥6G,全威胁吞吐量≥3.5G,并发连接数≥800万,HTTP新建连接数≥35万;(投标人需提供承诺函,承诺函格式自拟,并加盖投标人公章)
▲(2)提供一套IPS防护模块,一套WAF防护模块。支持对WEB应用防护识别库、IPS特征库、僵尸网络防护库、实时漏洞分析识别库和URL&应用识别库定期更新,保持设备具备检测防御最新威胁的能力。(投标人需提供承诺函,承诺函格式自拟,并加盖投标人公章)
(3)支持策略生命周期管理功能,支持对安全策略修改的时间、策略、变更类型进行统一管理,便于策略的运维与管理。
(4)支持安全策略有效性分析功能,分析内容至少包括策略冗余分析、策略匹配分析、风险端口分析等内容,提供安全策略优化建议。
(5)支持独立的账号安全防护模块,具备事前账号脆弱性、事中账号爆破、事后账号失陷的全生命周期安全防护,在设备界面可以详细展示账号安全相关信息,包括风险业务、风险等级、存在账号入口、存在弱口令、遭受口令爆破、异常登录账号等。
▲(6)支持对不少于6000种应用的识别和控制,应用类型包括游戏、购物、图书百科、工作招聘、P2P下载、聊天工具、旅游出行、股票软件等类型应用进行检测与控制。(提供产品界面截图证明,并加盖投标人公章)
(7)支持通过全球超过30+pop节点,实现对威胁流量就近进行实时检测&拦截,实现失陷外联100ms实时阻断,保护资产安全。
(项10)4.7上网行为管理与审计服务
服务要求:本地部署相关硬件系统或平台,每月提供一次上网行为管理与审计服务,根据审计结果进行用户上网策略调整。
服务工具需满足下列指标:
▲(1)规格≥2U,内存大小≥16G,硬盘容量≥128G SSD+960G SSD,电源为双电源,接口≥6千兆电口、≥4万兆光口SFP+;网络层吞吐量≥18Gb,应用层吞吐量≥4.5Gb,带宽性能≥2.5Gbps,支持用户数≥25000,最大准入终端数≥20000,包转发率≥384Kpps,每秒新建连接数≥40000,最大并发连接数≥1800000;(投标人需提供承诺函,承诺函格式自拟,并加盖投标人公章)
▲(2)提供≥1套URL&应用识别规则库软件;≥1套终端接入安全软件,提供不少于4000个终端准入授权。具体包含终端安全检查、非法外联检查/管控、外设管控、802.1x认证和Portal认证客户端、U盘管控和审计、客户端分时访问管控、端口管控、应用联网管控、软件安装检查/推送等。(投标人需提供承诺函,承诺函格式自拟,并加盖投标人公章)
(3)支持通过抑制P2P的上行流量,来减缓P2P的下行流量,从而解决网络出口在做流控后仍然压力较大的问题
(4)支持windows终端调用管理员指定脚本/程序以满足个性化检查要求,对不满足检查要求的终端可弹窗提示、禁止上网。
(5)支持图形化查看当前内网IP使用情况,帮助管理员减少人工维护IP表的工作量;
(6)支持应用流量、用户流量,实时流量排名分析,可以针对线路、用户(IP)、应用、时间等进行策略分配,实现流量精准管理。
(7)支持资产识别管理,查看在线资产状态。
(8)支持移动终端、共享终端检测管理。
(9)支持PPS异常、丢包异常、ARP异常、内网DOS攻击等异常情况实时监测,显示每日异常事件个数及情况。
(10)支持终端用户账号绑定手机号码和微信号,绑定后可以通过微信扫码实现上网快捷登录认证。
(项11)4.8中心机房服务器核心区域接入层设备升级服务
服务要求:升级服务器核心区域接入层设备,进一步提升服务器访问性能。
服务工具需满足下列指标:
(1)性能:交换容量≥336Gbps;转发性能≥104Mpps
(2)接口:≥24个千兆电口,≥4个万兆光口
(3)支持虚拟化技术,将多台物理设备互相连接起来,使其虚拟为一台逻辑设备
(4)支持IPv4/IPv6静态路由、支持IPv6静态路由、双协议栈
(5)设备数量:2台
(项12)4.9 SSL证书服务
服务要求:SSL证书支持一个主域名,多个二级子域名,检查证书所使用的加密算法是否安全,及时发现并更换弱加密算法,防止黑客通过破解加密算法窃取网站数据。证书有效期:自合同签订之日起三年内有效。
服务工具需满足下列指标:
(1)SSL证书支持OCSP/CRL中国大陆境内本地或者进行镜像加速功能;
(2)提供国产自主品牌,服务工具具备自主管理、审核、签发证书的能力,证书数据不出境。
★(3)证书支持一个教育网主域名,以及多个教育网二级子域名。
▲(4)提供Webtrust审计报告,以及能够证明服务工具为国产自主品牌的材料。(需提供相关证明材料复印件,并加盖投标人公章)
★4.10.出口带宽服务
服务要求:提供上下行500M的互联网专线出口带宽,以及IPV4地址/28,即:14个,IPV6地址/48,即:65535个。
(项13)4.11数据备份与恢复服务
服务要求:定期针对数据中心机房重要业务系统进行容灾备份。
服务工具需满足下列指标:
▲(1)规格≥2U,内存≥64GB,系统盘≥2*240GB,数据盘≥6*4T,标配盘位数≥8,电源为冗余电源,接口≥2千兆电口+2万兆光口。提供≥40T空间可用授权;支持无代理虚拟机、NAS备份,有代理备份物理机、数据库、文件等功能;支持sql server、Oracle(单机)等数据库的实时备份、任意点数据回退且保证数据库事务完整性、业务接管等。(投标人需提供承诺函,承诺函格式自拟,并加盖投标人公章)
(2)虚拟机恢复时支持选择目标存储资源,能够设置恢复后虚拟机的CPU、内存。支持恢复后自动打开虚拟机
(3)创建备份任务时,支持展示当前系统任务的时间分布,可展示备份繁忙期、空闲期,方便用户选择最佳窗口建立备份任务,避免备份任务过于集中。
(4)数据库CDP支持将数据同步至备份系统,也支持将数据同步至备用设备,必要时可实现数据回退或使用备用设备进行数据库接管。
(项14)4.12运维团队的建设
目前的运维项目多以运维技术小组为单位开展运维保障工作,小组至少有1名项目负责人,以及运维技术小组若干技术人员。
项目负责人主要工作内容:
(1)运维项目的统筹管理工作,制定运维工作流程;
(2)引导运维项目团队和人员落实ITSS信息服务标准及其实施;
(3)现场团队管理,与采购人的信息中心的沟通与协调等;
(4)根据实际情况建立日常运维机制,与采购人及团队定期进行工作沟通和汇报。
运维服务技术人员主要工作内容:
(1)受理并响应客户服务请求(电话、网络平台),并提交相关服务文档;
(2)远程通过电话或网络进行沟通,帮助用户处理常见的网络问题;
(3)远程无法解决时,上门进行网络运维服务,排查及解决故障;如果是运营商线路问题,详细记录故障现象并烦气故障断点,向上反馈,及后续跟踪服务请求、及问题处理的过程;问题处理结束后,对问题进行记录并提交相应处理文档;
(4)运维过程中的设备备件的更换,维修;
(5)日常问题收集、整理、记录及反馈;
(二)等保及系统安全运维服务
(项15)1.安全运维服务范围
|
序号 |
系统名称 |
|
1 |
福建警察学院门户网站 |
|
2 |
福建警察学院招生网 |
|
3 |
福建警察学院毕业生就业信息网 |
|
4 |
福建警察学院信息公开网 |
|
5 |
福建警察学院相关专题网站(外网) |
|
6 |
福建警察学院各系部、各行政部门网站(内网) |
|
7 |
福建警察学院办公OA系统 |
|
8 |
福建警察学院科研管理系统 |
|
9 |
福建警察学院统一门户 |
|
10 |
福建警察学院数据中台 |
|
11 |
福建警察学院国资管理系统 |
|
12 |
藏蓝科普平台 |
2.服务要求
(项16) 2.1网站监控服务
(1)服务内容
可用性监控服务:服务期内每天7*24小时,每隔5分钟一次对系统可用性探测,一旦发现系统无法访问则通过微信、短信、邮件等方式直接提醒到安全服务的工程师,确认安全事件后,进行人工电话告警。
网页挂马监控服务:每周一次采用远程监控方式对应用系统页面进行网页挂马分析,一旦识别到网页挂马行为,则进行邮件和短信告警。
网站暗链监控服务:每周一次采用远程监控方式对应用系统页面进行暗链分析,一旦识别到网页存在暗链行为,则进行邮件和短信告警。
外链检测扫描服务:每周一次对应用系统页面进行外链检测扫描,检测并分析采购人信息系统有没有外部链接,现有链接是否已经废弃,检测网页是否包含涉黄涉政涉赌等内容,及时通知并与信息系统相关管理员沟通联系,协助做好相应的安全处理和记录。
敏感内容监控服务:每周一次对应用系统页面、附件、图片以及视频的敏感内容进行监控,识别网站存在包括但不限于黄赌毒、政治、低俗、个人身份信息等敏感内容情况,并进行邮件和短信进行告警。
(2)服务频率:提供服务范围内全年7*24小时监测
(3)输出成果:每月提供一份《网站安全监测报告》
(项17) 2.2季度安全检查服务
(1)季度漏洞扫描服务
对服务范围内的服务器、操作系统、数据库、信息系统的脆弱性进行安全评估。安全评估内容包括但不限于端口扫描、系统扫描、漏洞扫描,尽可能早地发现安全漏洞并进行修补,以最大可能的消除安全隐患。能检测包含但不限于以下类型的漏洞:SQL 注入漏洞检测、跨站脚本(XSS)漏洞检测、CGI 漏洞检测、CSRF 跨站请求伪造漏洞检测、应用漏洞检测、表单破解、信息泄露检测、PHPINFO文件信息泄露、内网IP地址泄露、数据库信息泄露、WebShell网站后门、服务端调试信息、备份文件、Web容器目录浏览、后台登录地址、服务器端应用程序错误、源代码泄露、测试文件泄漏、Web应用程序默认目录等。开展弱口令安全检查服务,发现口令与授权风险,并协助扫描结果的整改,大幅度减少黑客爆破攻击的成功率。
服务成果:《季度漏洞扫描报告》
(2)季度配置核查服务
派遣专业技术人员(非驻点工程师)在现场进行安全配置核查服务,服务对象包括但不限于主机、操作系统、数据库、中间件、信息系统等系统的账号、口令、授权、日志安全要求、不必要的服务、启动项、注册表、会话设置等安全配置脆弱性进行全面核查。服务器漏洞检测:该服务针对网络服务器系统,采用工具检测来识别系统中的漏洞和安全性问题。
服务成果:《季度配置核查报告》
(3)季度渗透测试服务
评估目标系统是否存在注入攻击漏洞(如SQL注入、命令注入、LDAP注入、JSON注入、Cookie注入、SSI注入、XML注入、XPath注入等),评估攻击者是否可以非法读取、篡改、添加、删除未授权数据;
评估目标系统是否存在跨站脚本攻击(XSS)漏洞(如存储式跨站攻击、反射型跨站脚本攻击、基于DOM的XSS攻击、FLASH跨站脚本等),评估攻击者是否可以窃取用户会话、窃取敏感信息、重写WEB页面、重定向到恶意网站等;
评估目标系统的基本特征信息(如系统名称、版本、管理入口、网络指纹等)是否可以被远程探测和获取;
评估目标系统的相关安全认证及会话管理是否存在漏洞,评估攻击者是否可以窃取到密码、密钥、会话授权、用户身份等;
评估目标系统是否存在安全配置错误威胁(如应用程序、系统框架、应用程序服务、页面服务、数据库服务、运行平台等配置是否安全合理);
评估目标系统是否存在对不安全对象的直接引用,评估攻击者是否可以利用引用对象访问未授权的数据;
评估目标系统加密存储方面是否存在不安全因素(如应用程序是否利用适当的加密或者散列手段来妥善保护信用卡、身份验证信息等),评估攻击者是否可以窃取或者非法修改这些受保护的敏感数据;
评估目标系统是否限制访问者的URL,评估攻击者是否可以通过伪造URL的方式随意访问隐藏页面;
评估目标系统是否存在缓冲区溢出漏洞,评估攻击者是否可以利用缓冲区溢出漏洞进行非法授权访问、获取权限、破坏可用性(如导致程序运行失败、系统关机、重新启动等)等威胁操作;
评估目标系统是否存在业务逻辑层面缺陷;
评估目标系统是对未经验证的访问请求重新指向或转发至其它页面是否有正确的验证机制,评估攻击者是否可以将访问请求指向到钓鱼类或者其它恶意网站等未经授权的页面。
服务成果:提交《季度系统渗透检测报告》。
(项18) 2.3安全应急演练服务
投标人协助采购人根据网络、系统等因素制定不同的应急演练方案,并组织相应人员根据应急预案至少每半年开展一次应急演练。应急演练完后,根据应急演练结果和整改情况更新应急演练方案。通过应急演练能够检验应急方案的合理性和有效性,发现应急方案中存在的问题,并及时改进,锻炼采购方工作人员的应急处置能力,提高应急意识。
服务成果:应急演练开始前两周内需提交(包括但不限于):《应急演练方案》等;应急演练结束后两个工作日内提交(包括但不限于)《应急演练记录》、《应急演练报告》和《应急演练签到表》等材料。
(项19) 2.4安全巡检服务
服务内容:
(1)设备状态检查服务
查看安全设备的运行状态、设备负载等是否正常,同时对设备的版本进行检查,如版本不是最新,经客户确认需要升级后,进行版本升级(根据实际情况升级)。
1.安全配置检查服务
服务期限内,通过人工现场设备检查的方式对指定系统和设备等进行全面的安全配置核查和分析,发现配置的不合规项,并结合行业实际需求提出系统整改建议,输出报告。
2.安全日志分析服务
定期为用户信息系统内安全设备产生的海量日志进行深度挖掘和分析,从IP分布、时间分布、事件分布,行为分布、告警趋势这五个维度对用户信息系统内安全设备产生的日志进行梳理,发现潜在的风险点,得出安全现状结论,并提供极具参考价值的分析报告。通过提供日志分析报告,及时掌握网络运行状态和安全隐患。
服务频率:一年两次
服务成果:安全设备巡检记录及升级记录、安全配置核查报告以及日志分析报告。
(项20)(三)等保咨询及测评服务
服务范围:OA、科研、国资、统一门户、数据中台、藏蓝科普平台六个二级系统的定级、测评、备案等工作。
服务成果:《XX信息系统等级保护测评报告》、《XX信息系统等级保护备案证明》
1.等级保护咨询服务
(1)在采购人信息系统自行定级的基础上,投标人参照国家和地方对信息系统安全等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息,明确信息系统的边界和安全保护等级,收集整理定级系统参与等级保护测评机构安全等级测评所需的资料和文档。
(2)根据等级保护基本要求以及测评风险和差距分析结果,派遣专业工程师到现场根据安全加固实施方案实施边界防护安全策略优化辅导,提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。
(3)等保测评现场辅助,在服务期内,协助采购人完成测评数据采集等工作,直至备案系统通过等级测评。即通过等级保护安全测评,获取正式等级保护测评报告。
2.等级保护测评服务
★(1)测评范围为OA、科研、国资、统一门户、数据中台、藏蓝科普平台六个二级系统。
(2)测评须涉及安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全物理环境五个方面,须通过访谈、配置检查和工具测试的方式测评信息系统的技术安全保障情况,其中测试主要包括:①数据分析(检测)②漏洞扫描③主机扫描(检测)④安全基线检测⑤渗透测试等5个方面。测评服务须依据国家《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《信息安全等级保护管理办法》(公通字[2007]43号)、《信息安全技术 网络安全等级保护基本要求GBT22239-2019 》、《信息安全技术 网络安全等级保护测评要求GBT28448-2019》等法规要求进行信息系统安全等级测评。
(3)技术要求部分测评须涉及安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全物理环境五个方面,须通过访谈、配置检查和工具测试的方式测评信息系统的技术安全保障情况。
(4)物理安全测评须通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为机房。
(5)安全通信网络测评须通过访谈、配置检查和工具测试的方式测评信息系统的安全通信网络保障情况。
(6)安全区域边界测评须通过访谈、配置检查和工具测试的方式测评信息系统的安全区域边界保障情况。
(7)安全计算环境须通过访谈、配置检查和工具测试的方式测评信息系统的安全计算环境保障情况。
(8)安全管理中心测评须通过访谈、配置检查的方式测评信息系统的安全管理中心保障情况。
(9)管理要求部分测评须涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面,管理要求方面的测评对象主要为安全主管人员、安全管理人员等。
(10)安全管理制度:须针对管理制度、制定和发布、评审和修订等情况进行核查。
(11)安全管理机构:须针对岗位设置、人员配备、授权和审批、沟通和协作、审核和检查等情况进行审核。
(12)安全人员管理:须针对人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等进行核查。
(13)安全建设管理:须针对系统建设的全过程,系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发等进行核查。
(14)安全运维管理:须针对资产管理、介质管理、设备管理、监控管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理进行核查。
三、商务要求(以“★”标示的内容为不允许负偏离的实质性要求)
采购包1:
|
序号 |
参数性质 |
类型 |
要求 |
|
1 |
★ |
交货时间 |
合同签订后10日内提供服务 |
|
2 |
★ |
交货地点 |
福建省福州市 |
|
3 |
★ |
交货条件 |
验收合格后交付 |
|
4 |
★ |
是否邀请投标人验收 |
不邀请投标人验收 |
|
5 |
★ |
履约验收方式 |
1、期次1,说明:2025-2026年度服务完成后进行服务考核和验收 2、期次2,说明:2026-2027年度服务完成后进行服务考核和验收 3、期次3,说明:2027-2028年度服务完成后进行服务考核和验收 |
|
6 |
★ |
合同支付方式 |
1、合同签订,并收到2025-2026年度服务启动函后,正式启动项目。2025-2026年度考核后,根据考核结果支付相应金额款项,达到付款条件起7日内,支付合同总金额的40.00% 2、上年度服务考核合格,并收到2026-2027年度服务启动函后,正式启动新一年度服务项目。2026-2027年度考核后,根据考核结果支付相应金额款项,达到付款条件起7日内,支付合同总金额的30.00% 3、上年度服务考核合格,并收到2027-2028年度服务启动函后,正式启动新一年度服务项目。2027-2028年度考核后,根据考核结果支付相应金额款项,达到付款条件起7日内,支付合同总金额的30.00% |
|
7 |
★ |
履约保证金 |
不缴纳 |
收藏