合同包 序号 设备类型 型号 数量 服务内容及要求 服务年限 服务地点 1 1-1 服务器 X3650M3 1 台 见附件 2 1 年 福建省血液中心(福州市台江区西二环南路 28 号) X3650M4 2 台 X3850x5 2 台 X366 2 台 X3850x6 2 台 1-2 存储设备 DS5020 1 台
福建省血液中心服务器维护保养及数据库安全服务项目集中采购
公告
闽血购集[2018]4 号
一、投标邀请
福建省血液中心对以下货物及服务项目进行集中采购,欢迎国内合格的投标人前来投标。 1.采购文件编号:闽血购集[2018]4 号
2.采购项目:服务器维护保养及数据库安全服务(详见采购项目一览表)
3.交货期:详见采购项目一览表
4.采购文件的索取:投标人直接从福建省血液中心网站下载。
5.投标文件递交截止时间:凡有意参加本项目投标的投标人应按规定编写投标文件并请于 2018 年 1 月 11 日 11:30 前送达福建省血液中心四层 404 室后勤科(地址:福州市台江区西二环南路 28 号,联系人:xxx,电话:0000-00000000)。逾期送达或不符合规定的投标文件将被拒绝。 6.开标时间:2018 年 1 月 11 日 15:00
7.开标地点:福建省血液中心五层会议室
8.凡对本次采购提出疑问的,请在开标日前以书面方式与福建省血液中心后勤科联系,联系人:xxx,电话:0000-00000000
附件 1:采购项目一览表
采购项目一览表
采购项目名称:服务器维护保养及数据库安全服务
合同包 | 序号 | 设备类型 | 型号 | 数量 | 服务内容及要求 | 服务年限 | 服务地点 |
1 | 1-1 | 服务器 | X3650M3 | 1 台 | 见附件 2 | 1 年 | xxxxxxx (xxxxxxxxxxx 00 x) |
X3650M4 | 2 台 | ||||||
X3850x5 | 2 台 | ||||||
X366 | 2 台 | ||||||
X3850x6 | 2 台 | ||||||
1-2 | 存储设备 | DS5020 | 1 台 |
附件 2:服务内容及要求
一、技术服务要求
服务内容及要求
x项目服务要求至少提供安全硬件系统维护服务、软件系统维护服务、运维服务体系咨询服务、应急响应服务及培训服务。具体要求如下:
1.硬件维护服务应包含系统故障诊断服务、系统故障分析服务、故障解决处理服务、不间断服务、系统日常维护服务等。
⑴系统故障诊断服务,通过拨打服务商指定服务热线进行故障申告,对于不能通过远程方式解决的,服务商应在接到故障申告电话 2 小时内到达用户现场提供系统故障诊断服务;
⑵故障解决处理服务,对于发生的各类故障服务商应在解决故障后的 1 个工作日内提供《故障处理报告》;
⑶系统故障分析服务,每月对已发生的故障进行系统性分析,按月提交《故障分析报告》;
⑷不间断服务,提供业务恢复服务,包含现场技术保障及提供备机的现场应急保障;
⑸系统日常维护服务,对福建省血液中心安全设备提供日常技术维护服务;
⑹定期巡检服务,巡检范围包含提供维保设备的健康运行状况、数据中心的安全等级保护健康检查并提供相应报表;
⑺提供备件备机支持服务;
⑻系统安全评估服务,按月对现有业务系统的安全情况进行综合性评估,并提交《系统安全评估报告》;
⑼其它服务:①借鉴风险评估方法及内容,从制度执行、漏洞管理、日志分析、定向测试、安全事件分析、配置核查、策略优化、系统加固等几方面入手,对信息系统进行全面评估。②面向信息系统所涉及到的资产进行漏洞管理,了解资产软件信息以及潜在的安全漏洞,对存在的漏洞进行综合评估,客观评估系统的风险等级,提供相应的加固方案。③分析服务范围内的信息资产日志并输出日志分析报告。针对特定高危漏洞进行专项检查,判断该漏洞及风险对网站的影响程度并输出报告。
④安全策略核查和优化。在漏洞管理、安全通告及定向测试成果基础上,结合系统上一周期运维情况提出策略优化建议,每季度对服务范围内的信息资产进行配置核查工作,提供策略优化建议。⑤安全事件分析。综合日志分析、漏洞扫描、制度执行评估等技术在事件发生后对涉及系统进行事后分析,输出相应报告。结合漏洞扫描、日志分析、定向测试及渗透测试服务结果,针对服务范围内的信息资产提供安全加固服务。⑥根据采购人的实际需求必要时可以免费提供 Web 应用防火墙、综合日志审计系统、Web 应用弱点扫描器、信息安全等级保护检查工具箱、运维审计与风险控制系统、数据库审计与风险控制系统作为现场安全应急保障设备服务。在投标书中必须注明产品的品牌、型号以及产品的相关证书。
⑽ORACLE 数据库软件补丁升级、故障诊断分析处理、常规性能优化;数据恢复服务(故障排查、健康检查、性能调整、评估服务、知识传授、产品安装、补丁分析,补丁安装、备份恢复、容灾实施、 24*7 中文响应、15 分钟回应);IT 数据库优化工具(具有自主知识产权的中华人民共和国国家版权局颁发的《IT 数据优化软件》的计算机软件著作权登记证书)。 2.软件系统维护服务应该包含操作系统软件服务、性能监视服务及系统补丁升级安装服务。
3.运维服务体系咨询服务,协助福建省血液中心建立内外安全管理制度以及事件的呈报制度,同时按月提交《月服务报告》,针对福建省血液中心上月设备、操作系统运行和安全维护情况,按半年度提交《半年度服务报告》,针对福建省血液中心上季度数据库运行维护情况,提供优化改进建议及整改计划。
4.应急响应服务,在关键时刻服务商需提供技术人员 7*24 小时应急响应,包括:安全、网络工程师随时待命。
5.培训服务,根据用户指定的时间在一年两次的关于安全维护、数据库维护的培训。二、服务响应时间的要求
1.故障分类和具体定义:
⑴紧急故障通常是指软硬件设备发生严重影响业务的故障或者是主要安全设备出现系统宕机等现象;
⑵严重故障通常是指软硬件设备发生故障,目前没有影响到业务,但如果不尽快处理将造成业务中断或给安全造成重大隐患等现象;
⑶一般故障通常是指软硬件设备发生故障但尚未对业务产生直接影响的现象。 2.业务恢复时限:
从建立起一个有效的服务请求,到通过实施解决方案/替代方法将现网业务恢复到发生故障前的状态。如果故障必须现场解决,在相关业务恢复时限基础上增加双方协商认可的路途时间。 3.故障清除时限:
从建立起一个有效的服务请求,到通过实施解决方案将此系统故障清除的时间。
需要通过软件打补丁方式彻底清除故障的情况,维保服务商需要同福建省血液中心确认明确的提供软件补丁的时间。
4.故障处理时间:
服务级别 | 业务恢复时限 | 故障清除时限 | 故障报告交付时限 |
紧急类故障 | 2 小时 | 4 小时 | 故障清除后 1 个自然天 |
严重类故障 | 4 小时 | 8 小时 | |
一般类故障 | 6 小时 | 24 小时 |
5.备件、备机到达现场时限:
当设备或系统出现故障时,维保服务商应及时进行检查、维修或更换故障部件。如果硬件设备故障,应在规定时间内提供不低于故障设备同档次的无故障原厂备用设备替代使用,直至故障设备修复为止,以最大限度保证业务系统不间断地正常运行。
对于影响生产的重大故障,维保服务商在接到福建省血液中心故障硬件更换服务请求后,应及时电话指导福建省血液中心工程师采取应急措施,避免事故扩大,同时携带必要的备品备件搭乘最快的交通工具在维保服务商承诺的时间(从接到采购方电话通知起不得超过 2 小时)内抵达福建省血液中心现场。
三、系统维护服务 1.设备固件、系统软件及补丁更新升级
维保服务商应能根据原厂商发布的最新的经测试可用的正式版本的设备固件、系统软件及系统
补丁,结合福建省血液中心的实际需求和情况,及时为福建省血液中心提供设备固件、系统软件及系统补丁的更新升级服务。
2.系统重新安装与配置
根据福建省血液中心实际需求和情况,对维保范围内设备的系统进行重新安装与配置、。升级前需做好旧系统的备份工作并制定科学合理的回退机制和方案,以便在必要时可以对变更后的系统进行回退操作。
3.定期巡检及预防性维护服务
维保服务商自合同签定之日起,应每月对福建省血液中心维保范围内的核心设备进行一次现场例行巡检和预防性维护检查服务,及时发现和消除隐患,优化各种软硬件设置,使系统具有良好的运行状态。在巡检结束后,向福建省血液中心提交巡检记录和巡检总结报告及健康性分析报告。
4.性能检测及调优
为了确保服务范围内安全设备的系统性能,提高系统运行效率,维保服务商应安排具有相应系统管理高级认证资格的技术服务工程师到福建省血液中心现场对其维护的软硬件设备进行每季度一次详细完整的健康检查和性能优化。同时根据情况在一周内向我方以书面方式提供检测报告和具体的改进措施建议。我方根据检测报告和改进建议,决定是否实施系统性能优化调整。如需实施,则维保服务商应安排工程师负责现场实施,保持系统始终处于安全、稳定运行状态。
5.集成服务
x次维保服务的设备涉及多个厂家的安全设备,所以当出现相互之间发生配置变更、故障、性能瓶颈等事件,维保服务商应提供综合性解决方案和技术支持。
6.节假日期间技术保障
在维保期内,在国家法定假日或市级以上政府机关规定的通信设备重点保障期间,提前制定技术保障计划,保障计划包括事前进行巡检、制定应急预案和安排现场值班技术人员。 7.设备迁移保障服务
福建省血液中心因为业务发展需要增加、改变网络、硬件设备、更改通信方式、安全系统检测升级或与业务系统有关的情况下,维保服务商应增派工程师提供现场值守技术支持服务。 8.定期技术交流
在服务期内,维保服务商至少季度安排一次技术交流,对本季度所发生的故障或问题进行汇总
分析,提出改进建议,或安排其他技术方面的交流。 9.文档管理服务
建立专门的系统维护档案及日志:
维保服务商工程师第一次到现场巡检时,要做出福建省血液中心所有维保设备的详细配置清单、所使用的操作系统、版本号、系统的使用情况及系统的配置参数。建立和完善主机系统的技术档案,同时对用户系统提供相应的技术支持的电子文档。
每次巡检为每台保修设备填写巡检表,记录设备的运行情况,以及出现过的问题和解决的办法,设备的配置变动情况。
对每次故障处理时,填写设备服务记录表,记录故障的现象,处理的过程,更换设备的情况,并记录更换设备的原型号和现型号。故障处理后要提交设备服务记录表。
维保服务商每月巡检后,要提交针对所有续保设备的巡检报告和巡检表,并由服务提供商和服务接受方双方签字。在服务期满后,服务提供商应向我方提供本服务期内所有发生过的服务处理总表,并由服务提供商和我方各自作出服务质量总评,作为本期服务的总结。
四、IT 管理服务 1.系统维护管理要求
⑴日常维护要求
序号 | 类别 | 项 目 | 周期 | 备 注 |
1 | 系统运行 | 系统服务器CPU 使用状况 | 月 | 系统服务器包括数据库服务器、应用服务器等其他SERVER 类型的硬件设备。 |
2 | 系统服务器内存使用状况 | 月 | ||
3 | 系统服务器硬盘空间状况 | 月 | 包括普通硬盘和磁盘阵列 | |
4 | 数据库存储空间检查 | 月 | 查看存储空间的使用情况 | |
5 | 系统重要进程运行状况 | 月 | 包括系统进程 | |
6 | 系统备份 | 系统文件全备份 | 不定期 | 配置文件变化时进行。如果定期执行, 则周期不能超过月。 |
7 | 数据库全备份 | 月 | ||
8 | 数据库增量备份或归档日 志备份 | 月 | 如果执行了每天做数据库全备份,则该 作业可取消。 | |
9 | 主要网络设备配置备份 | 不定期 | 配置文件变化时进行。如果定期执行, 则周期不能超过月。 | |
10 | 配合主要应用软件备份 | 不定期 | 软件版本变化时进行。如果定期执行, 则周期不能超过月。 | |
11 | 日常维护 | 网络连接情况检查 | 月 | 包括系统内部网络连接,以及与其它系 统的连通性情况。 |
12 | 系统日志检查 | 月 | ||
13 | 删除旧的临时文件 | 月 | ||
14 | 机房设备远程巡检(必要时 到达现场)和系统部件运行状态检查 | 月 | ||
15 | 服务器运行状态检查及服 务器主机系统时钟校准 | 季度 | 校准有时钟误差的主机时间。 |
维保服务商应对福建省血液中心本次所涉及的设备提供定期的日常维护服务,维护测试项目内容和测试周期如下:
16 | 系统应急方案演练 | 半年 |
⑵安全服务
季度安全检查服务 | 主机安全配置检 查 | 使用工具对windows、Linux、Unix 服务器系统进行安全配置扫 描,检查配置合规情况。 |
弱口令检查 | 使用工具和密码字典对Ssh、smb、Telnet、ftp、rdp、sql、oracle、 mysql、pop3 等协议进行弱口令测试,检查是否有弱口令存在。 | |
系统漏洞检查 | 使用工具对windows、Linux 等系统进行漏洞扫描,检查是否存 在未修补的漏洞及漏洞威胁情况。 | |
数据库漏洞检查 | 使用远程方式扫描数据库配置信息、安全策略、参数、账户弱口令安全、远程服务、端口和漏洞信息,支持 Sqlserver、oracle、 mysql、Sybase 等主流数据库。 | |
年度安全等保测评服务 | 物理安全评估 | 对于客户在基础设施物理安全方面的问题进行评估,包含:物理访问控制、防盗窃及破坏、防雷防火、防水防潮、防静电、温湿度控制、电磁防护及电力供应等方面,根据评估结果提出 合理改进意见并提交用户,协助用户进行物理安全方面的改造。 |
网络安全评估 | 对于客户在网络架构、网络设备、设备配置等方面进行安全评估,包含:结构安全、访问控制、安全审计、边界完整性、入侵防御、网络设备管理等方面,根据评估结果提出合理改进意 见并提交用户,协助用户进行网络安全方面的改造。 | |
主机安全评估 | 对于客户在主机安全方面进行安全评估,包含:访问控制、漏洞修补、系统安全配置、恶意代码防范、资源控制、安全升级等方面,根据评估结果提出合理改进意见并提交用户,协助用 户进行主机安全方面的改造。 | |
应用安全评估 | 对于客户在业务系统方面进行安全评估,包含:业务数据安全、业务运行安全、应用安全审计、应用访问控制、中间件及数据库安全等方面,根据评估结果提出合理改进意见并提交用户, 协助用户进行业务安全方面的改造。 | |
安全管理评估 | 对于客户在安全管理制度方面的问题进行评估,包含:制度的制定、发布、评审及修改等方面,根据评估结果提出合理改进 意见并提交用户,协助用户进行安全管理方面的改造。 |
2.信息中心基础架构维护工作提升
⑴采用ITIL 等 IT 安全服务先进管理理论与实践经验优化提升福建省血液中心的维护水平。
⑵对基础硬件平台维护管理流程体系进行梳理及优化,建章立制,建立一套专业、标准、高效的维护管理体系,建立以安全维护管理为核心的,包括:流程管理、规范控制、技术操作,三个层面的有效工作流程控制体制;
⑶对基础硬件平台维护的安全服务级别管理进行评估、设计,提供服务级别管理解决方案,建立以主动维护为目标的服务级别管理体系。
二、投标人须知
1.项目概况
1.1 项目名称:福建省血液中心服务器维护保养及数据库安全服务采购项目
1.2 项目内容:见采购项目一览表
1.3 项目编号:闽血购集[2018]4 号 2.投标人资格
2.1 在中国境内注册并具有合法经营资格,有能力提供本采购文件所述货物及服务的生产商或供应商(须提供合格有效的营业执照复印件及全国企业信用信息公示系统打印的 2016 年度企业年度报告公示信息材料,并加盖投标人公章,注明与原件一致)。未提供上述资料的按无效投标处理。
2.2 投标人生产、经销的投标货物或服务的资格必须得到有关行政主管部门的许可和认可。
2.3 投标人应具有 ISO27001 信息安全管理体系认证。
2.4 投标人应具备《中华人民共和国政府采购法》第二十二条规定的条件,并提供下列证明材料:
⑴财务状况报告(2015 年度或 2016 年度企业财务报表或会计事务所出具的审计报告或基本开户银行出具的资信证明文件复印件),近期依法缴纳税收和社会保障资金的证明材料;
⑵具备履行合同所必需的设备和专业技术能力的证明材料;
⑶参加政府采购活动前 3 年内在经营活动中没有《政府采购法实施条例》第十九条所规定的重大违法记录的书面声明;
⑷提供检察院出具的近三年内无行贿犯罪记录证明原件(供应商向住所地或业务发生地检察院申请查询,原件须胶装在响应文件正本中,副本附复印件)。
投标人必须同时满足以上所有的资格要求并提供资料,所有提供的相关资质证明文件应属法定有效期内的,若发生变更的,应按有关规定办理完变更手续后方可参加招标,并以发证机关核准的变更为准,否则按无效文件处理。所有资格证明文件复印件应是清晰的并加盖投标人公章。
2.5 投标代表必须经投标人的法定代表人或负责人关于参加本项目投标的授权,请提供授权委托书原件(投标代表是法定代表人或负责人本人的无需授权委托书),并提供投标代表的身份证复印件。
2.6 本项目不接受联合体投标。
3.投标有效期:投标截止期结束后 90 日历日,投标有效期不足的按无效投标处理。
4.投标文件递交地址:福州市台江区西二环南路 28 号,福建省血液中心四层 404 室,联系人:xxx,联系电话:0000-00000000
5. 投标文件的编写
5.1 本采购项目共 1 个合同包,投标人按合同包投标,对同一合同包内所有品目号内容投标时必须完整。评标与授标以合同包为单位。
5.2 投标人按合同包填写《福建省血液中心服务器维护保养及数据库安全服务采购项目响应书》(包括“商务技术响应书”和“报价书”)并根据响应书所列内容提供相关材料,装订成册,加盖投标人公章后密封投标,并在封口处加盖投标人公章。
5.3 投标人需对采购项目一览表所列的合同包进行投标,不得仅对一个合同包中的部分服务进行报价,否则其报价将被拒绝。除非有另外的规定,本项目不接受有任何可选择性的报价。
5.4 投标文件应用中文书写,并应使用不能擦去的墨料或墨水打印或书写。
5.5 投标人应保证所提供的全部资料的真实性,否则其投标可能被拒绝。
5.6 投标文件应包括下列部分:
①《福建省血液中心服务器维护保养及数据库安全服务采购项目响应书》(包括“商务技术响应书”和“报价书”)
②投标人营业执照和有关资格证明文件(详见第 2 条投标人资格)
③投标人所投货物的彩页资料或影印件(如果有)
未按要求提供上述文件或资料的,按无效投标处理。 6.投标文件的密封、标记和递交
6.1 投标文件要求独立编制:必须用A4 幅面纸张打印,须装订成册,并加盖骑缝章(或每页盖章),否则视为投标无效。
6.2 投标文件的数量:投标人应制作投标文件正本 1 份,副本 3 份递交给采购人。
6.3 投标人应在投标文件用信封密封,并在密封信封上注明“正本”、“副本”、“合同包号”、“采购货物(服务)名称”和“于 之前(指采购文件中规定的开标日期及时间)不准启封”的字样,
并加盖投标人公章。如果未按规定进行密封和标记,采购人对投标文件的误投或提前拆封不负责任。
6.4 如果投标文件由邮局送交,投标人应将投标文件按照本须知第 6.1 至第 6.3 的规定进行装订、密封和标记后,按投标邀请第 5 条注明的时间和地址送达采购人。
6.5 投标文件应在采购文件中规定的截止时间前送达,迟到的投标文件将被拒绝。投标文件未按上述要求制作和提交的,按无效投标处理。
7. 投标人的报价
7.1 本采购项目使用的报价货币为人民币。
7.2 投标人的报价应填写服务的单价和总价,否则以无效投标处理。单价与总价不符的以单价为准;大写报价与小写报价不符的以大写报价为准。
7.3 投标人的报价应包含服务过程中所涉及的一切费用,包括设备、劳务、配件、运维保障服务、保险、验收、相关鉴定检测、人员培训、检验、计量、税金等,项目实施后采购人不再支付其它费用。
7.4 最高限价:本采购项目最高限价为 99000 元,投标人报价超出最高限价的,按无效标处理。 8.评标标准和方法:
8.1 当有效投标人多于或等于二家时,采取最低评标价法确定中标方。在符合采购文件商务技术、质量和服务要求的前提下,按照投标人对产品投标报价由低到高排序,推荐中标候选供应商;以提出最低投标报价的供应商作为中标供应商。
8.2 当有效投标人只有一家时,采取直接谈判的方式确定中标方。 9.合同授予、付款方式及条件
中标人确定后,采购人与中标人签订服务器维护保养及数据库安全服务合同。中标后中标人向采购人提供服务满两周且满足采购人的服务要求后,采购人向中标人支付总金额的 40%;中标人向采购人提供服务满 12 个月且满足采购人的《年度运维总结报告》的综合评价结果要求时,采购人向中标人支付合同价款的 60%。
10.关于样品的规定:无
11.技术服务要求:
11.1 服务方在机房内工作期间严格遵守机房的管理规定,加强劳动保护,坚持xx安全生产,对在维护过程中发生的人身伤亡事故负责。不随意更改设备的技术参数及技术性能。
11.2 投标人所提供货物应按国家规定的包装标准进行包装,包装、标签、说明书符合有关要求。
11.3 投标人所提供货物到货后有效期距离失效时间最少应为:无
11.4 投标人应有能力提供下列伴随服务:
①货物的现场搬运和入库。
②对进货开箱时发现的破损、近效期货物或其他不合格包装货物及时更换。
③提供货物开箱或分装用具(如果需要)。
④在采购人指定地点为所供货物的使用进行现场讲解或培训(如果需要)。 12.其他:
①投标人中标后不得转包他人,若发现转包,采购人有权终止合同,并追究相应法律责任。
②投标人所提供的资质材料的内容无法用肉眼识别、超过有效期(包括未提供企业年度报告公示信息)的,以无效投标处理。
福建省血液中心 2018 年 1 月 4 日
福建省血液中心服务器维护保养及数据库安全服务采购项目响应书
致:福建省血液中心
根据贵中心服务器维护保养及数据库安全服务采购项目的投标邀请(采购文件编号:闽血购集 [2018]4 号),现授权我单位(投标代表) 参加投标。并按要求提供如下响应书。
商务技术响应书 | ||||
合同 包 | 序号 | 要求 | 投标响应 | 偏离说明 |
1 | 1 | 投标人资格证明文件 | ||
1.1 | 合格有效营业执照复印件及企业年度报告公示信息材料 | |||
1.2 | 投标代表人的授权书(投标代表是法定代表人或负责人本人的无需授权委托书) | |||
1.3 | 投标代表人身份证复印件 | |||
1.4 | ISO27001 信息安全管理体系认证 | |||
2 | 服务内容和要求 | |||
2.1 | 技术服务要求 | |||
2.1.1 | 硬件维护服务应包含系统故障诊断服务、系统故障分析服务、故障解决处理服务、不间断服务、系统日常维护服务等。⑴系统故障诊断服务,通过拨打服务商指定服务热线进行故障申告,对于不能通过远程方式解决的,服务商应在接到故障申告电话 2小时内到达用户现场提供系统故障诊断服务;⑵故障解决处理服务,对于发生的各类故障服务商应在解决故障后的 1 个工作日内提供《故障处理报告》;⑶系统故障分析服务,每月对已发生的故障进行系统性分析,按月提交《故障分析报告》;⑷不间断服务,提供业务恢复服务,包含现场技术保障及提供备机的现场应急保障;⑸系统日常维护服务,对福建省血液中心安全设备提供日常技术维护服务;⑹定期巡检服务,巡检范围包含提供维保设备的健康运行状况、数据中心的安全等级保护健康检查并提供相应报表;⑺提供备件备机支持服务;⑻系统安全评估服务,按月对现有业务系统的安全情况进行综合性评估,并提交《系统安全评估报告》;⑼其它服务:①借鉴风险评估方法及内容,从制度执行、漏洞管理、日志分析、定向测试、安全事件分析、配置核查、策略优化、系统加固等几方面入手,对信息系统进行全面评估。②面向信息系统所涉及到的资产进行漏洞管理,了解资产软件信息以及潜在的安全漏洞,对存在的漏洞进行综合评估,客观评估系统的风险等级,提供相应的加固方案。③分析服务范围内的信息资产日志并输出日志分析报告。针对特定高危漏洞进行专项检查,判断该漏洞及风险对网站的影响程度并输出报告。④安全策略核查和优化。在漏洞管理、安全通告及定向测试成果基础上,结合系统上一周期运维情况提出策略优化建议,每季度对服务范围内的信息资产进行配置核查工作,提供策略优化建议。⑤安全事件分析。综合日志分析、漏洞扫描、制度执行评估等技术在事件发生后对涉及系统进行事后分析,输出相应报告。结合漏洞扫描、日志分析、定向测试及渗透测试服务结果,针对服务范围内的信息资产提供安全加固服务。⑥根据采购人的实际需求必要时可以免费提供Web 应用防火墙、综合日志审计系统、Web 应用弱点扫描器、信息安全等级保护检查工具箱、运维审计与风险控制系统、数据库审计与风险控制系统作为现场安全应急保障设备服务。在投标书必须注明产品的品牌、型号以及产品的相关证书。 ⑽ORACLE 数据库软件补丁升级、故障诊断分析处理、常规性能优化;数据恢复服务 (故障排查、健康检查、性能调整、评估服务、知识传授、产品安装、补丁分析,补丁安装、备份恢复、容灾实施、24*7 中文响应、15 分钟回应);IT 数据库优化工具 (具有自主知识产权的中华人民共和国国家版权局颁发的《IT 数据优化软件》的计 算机软件著作权登记证书)。 | |||
2.1.2 | 软件系统维护服务应该包含操作系统软件服务、性能监视服务及系统补丁升级安装服 务。 | |||
2.1.3 | 运维服务体系咨询服务,协助福建省血液中心建立内外安全管理制度以及事件的呈报制度,同时按月提交《月服务报告》,针对福建省血液中心上月设备、操作系统运行和安全维护情况,按半年度提交《半年度服务报告》,针对福建省血液中心上季度数 据库运行维护情况,提供优化改进建议及整改计划。 | |||||||
2.1.4 | 应急响应服务,在关键时刻服务商需提供技术人员 7*24 小时应急响应,包括:安全、 网络工程师随时待命。 | |||||||
2.1.5 | 培训服务,根据用户指定的时间在一年两次的关于安全维护、数据库维护的培训。 | |||||||
2.2 | 服务响应时间的要求 | |||||||
2.2.1 | 故障分类和具体定义: ⑴紧急故障通常是指软硬件设备发生严重影响业务的故障或者是主要安全设备出现系统宕机等现象; ⑵严重故障通常是指软硬件设备发生故障,目前没有影响到业务,但如果不尽快处理将造成业务中断或给安全造成重大隐患等现象; ⑶一般故障通常是指软硬件设备发生故障但尚未对业务产生直接影响的现象。 | |||||||
2.2.2 | 业务恢复时限: 从建立起一个有效的服务请求,到通过实施解决方案/替代方法将现网业务恢复到发生故障前的状态。如果故障必须现场解决,在相关业务恢复时限基础上增加双方协商认可的路途时间。 | |||||||
2.2.3 | 故障清除时限: 从建立起一个有效的服务请求,到通过实施解决方案将此系统故障清除的时间。 需要通过软件打补丁方式彻底清除故障的情况,维保服务商需要同福建省血液中心确认明确的提供软件补丁的时间。 | |||||||
2.2.4 | 故障处理时间: | |||||||
服务级别 | 业务恢复时限 | 故障清除时限 | 故障报告交付时限 | |||||
紧急类故障 | 2 小时 | 4 小时 | 故障清除后1 个自然天 | |||||
严重类故障 | 4 小时 | 8 小时 | ||||||
一般类故障 | 6 小时 | 24 小时 | ||||||
2.2.5 | 备件、备机到达现场时限:当设备或系统出现故障时,维保服务商应及时进行检查、维修或更换故障部件。如果硬件设备故障,应在规定时间内提供不低于故障设备同档次的无故障原厂备用设备替代使用,直至故障设备修复为止,以最大限度保证业务系统不间断地正常运行。 对于影响生产的重大故障,维保服务商在接到福建省血液中心故障硬件更换服务请求后,应及时电话指导福建省血液中心工程师采取应急措施,避免事故扩大,同时携带必要的备品备件搭乘最快的交通工具在维保服务商承诺的时间(从接到采购方电话通 知起不得超过 2 小时)内抵达福建省血液中心现场。 | |||||||
2.3 | 系统维护服务 | |||||||
2.3.1 | 设备固件、系统软件及补丁更新升级: 维保服务商应能根据原厂商发布的最新的经测试可用的正式版本的设备固件、系统软 件及系统补丁,结合福建省血液中心的实际需求和情况,及时为福建省血液中心提供设备固件、系统软件及系统补丁的更新升级服务。 | |||||||
2.3.2 | 系统重新安装与配置: 根据福建省血液中心实际需求和情况,对维保范围内设备的系统进行重新安装与配置、。升级前需做好旧系统的备份工作并制定科学合理的回退机制和方案,以便在必 要时可以对变更后的系统进行回退操作。 | |||||||
2.3.3 | 定期巡检及预防性维护服务: | |||||||
维保服务商自合同签定之日起,应每月对福建省血液中心维保范围内的核心设备进行一次现场例行巡检和预防性维护检查服务,及时发现和消除隐患,优化各种软硬件设置,使系统具有良好的运行状态。在巡检结束后,向福建省血液中心提 交巡检记录和巡检总结报告及健康性分析报告。 |
2.3.4 | 性能检测及调优: 为了确保服务范围内安全设备的系统性能,提高系统运行效率,维保服务商应安排具有相应系统管理高级认证资格的技术服务工程师到福建省血液中心现场对其维护的软硬件设备进行每季度一次详细完整的健康检查和性能优化。同时根据情况在一周内向我方以书面方式提供检测报告和具体的改进措施建议。我方根据检测报告和改进建议,决定是否实施系统性能优化调整。如需实施,则维保服务商应安排工程师负责现 场实施,保持系统始终处于安全、稳定运行状态。 | |||||||
2.3.5 | 集成服务: 本次维保服务的设备涉及多个厂家的安全设备,所以当出现相互之间发生配置变更、故障、性能瓶颈等事件,维保服务商应提供综合性解决方案和技术支持。 | |||||||
2.3.6 | 节假日期间技术保障: 在维保期内,在国家法定假日或市级以上政府机关规定的通信设备重点保障期间,提前制定技术保障计划,保障计划包括事前进行巡检、制定应急预案和安排现场值班技术人员。 | |||||||
2.3.7 | 设备迁移保障服务: 福建省血液中心因为业务发展需要增加、改变网络、硬件设备、更改通信方式、安全系统检测升级或与业务系统有关的情况下,维保服务商应增派工程师提供现场值守技术支持服务。 | |||||||
2.3.8 | 定期技术交流: 在服务期内,维保服务商至少季度安排一次技术交流,对本季度所发生的故障或问题进行汇总分析,提出改进建议,或安排其他技术方面的交流。 | |||||||
2.3.9 | 文档管理服务: 建立专门的系统维护档案及日志:①维保服务商工程师第一次到现场巡检时,要做出福建省血液中心所有维保设备的详细配置清单、所使用的操作系统、版本号、系统的使用情况及系统的配置参数。建立和完善主机系统的技术档案,同时对用户系统提供相应的技术支持的电子文档。②每次巡检为每台保修设备填写巡检表,记录设备的运行情况,以及出现过的问题和解决的办法,设备的配置变动情况。③对每次故障处理时,填写设备服务记录表,记录故障的现象,处理的过程,更换设备的情况,并记录更换设备的原型号和现型号。故障处理后要提交设备服务记录表。④维保服务商每月巡检后,要提交针对所有续保设备的巡检报告和巡检表,并由服务提供商和服务接受方双方签字。在服务期满后,服务提供商应向我方提供本服务期内所有发生过的服务处理总表,并由服务提供商和我方各自作出服务质量总评,作为本期服务的总结。 | |||||||
2.4 | IT 管理服务 | |||||||
2.4.1 | 系统维护管理要求 ⑴日常维护要求 维保服务商应对福建省血液中心本次所涉及的设备提供定期的日常维护服务,维护测试项目内容和测试周期如下: | |||||||
类别 | 项 目 | 周期 | 备 注 | |||||
系统运行 | 系统服务器CPU 使用状况 | 月 | 系统服务器包括数据库服务器、应用服务器等其他SERVER 类型的硬件设备。 | |||||
系统服务器内存使用状况 | 月 | |||||||
系统服务器硬盘空间状况 | 月 | 包括普通硬盘和磁盘阵列 | ||||||
数据库存储空间检查 | 月 | 查看存储空间的使用情况 | ||||||
系统重要进程运行状况 | 月 | 包括系统进程 | ||||||
系统备份 | 系统文件全备份 | 不定期 | 配置文件变化时进行。如果定期执行,则周期不能超过月。 | |||||
数据库全备份 | 月 | |||||||
数据库增量备份或归档日志备份 | 月 | 如果执行了每天做数据库全备份,则该作业可取消。 | ||||||
主要网络设备配置备份 | 不定期 | 配置文件变化时进行。如果定期执行,则周期不能超过月。 | ||||||
配合主要应用软件备份 | 不定期 | 软件版本变化时进行。如果定期执行,则周期不能超过月。 | ||||||
日常维护 | 网络连接情况检查 | 月 | 包括系统内部网络连接,以及与其它系统的连通性情况。 | |||||
系统日志检查 | 月 | |||||||
删除旧的临时文件 | 月 | |||||||
机房设备远程巡检(必要时到达现场)和系统部件运行状态检查 | 月 | |||||||
服务器运行状态检查及服务器主机系统时钟校准 | 季度 | 校准有时钟误差的主机时间。 | ||||||
系统应急方案演练 | 半年 | |||||||
⑵安全服务 ①季度安全检查服务 主机安全配置检查:使用工具对 windows、Linux、Unix 服务器系统进行安全配置扫描,检查配置合规情况。 弱口令检查:使用工具和密码字典对 Ssh、smb、Telnet、ftp、rdp、sql、oracle、 mysql、pop3 等协议进行弱口令测试,检查是否有弱口令存在。 系统漏洞检查:使用工具对 windows、Linux 等系统进行漏洞扫描,检查是否存在未修补的漏洞及漏洞威胁情况。 数据库漏洞检查:使用远程方式扫描数据库配置信息、安全策略、参数、账户弱口令安全、远程服务、端口和漏洞信息,支持 Sqlserver、oracle、mysql、Sybase 等主流数据库。 ②年度安全等保测评服务 | ||||||||
物理安全评估:对于客户在基础设施物理安全方面的问题进行评估,包含:物理访问控制、防盗窃及破坏、防雷防火、防水防潮、防静电、温湿度控制、电磁防护及电力供应等方面,根据评估结果提出合理改进意见并提交用户,协助用户进行物理安全方面的改造。 网络安全评估:对于客户在网络架构、网络设备、设备配置等方面进行安全评估,包含:结构安全、访问控制、安全审计、边界完整性、入侵防御、网络设备管理等方面,根据评估结果提出合理改进意见并提交用户,协助用户进行网络安全方面的改造。 主机安全评估:对于客户在主机安全方面进行安全评估,包含:访问控制、漏洞修补、系统安全配置、恶意代码防范、资源控制、安全升级等方面,根据评估结果提出合理改进意见并提交用户,协助用户进行主机安全方面的改造。 应用安全评估:对于客户在业务系统方面进行安全评估,包含:业务数据安全、业务运行安全、应用安全审计、应用访问控制、中间件及数据库安全等方面,根据评估结果提出合理改进意见并提交用户,协助用户进行业务安全方面的改造。 安全管理评估:对于客户在安全管理制度方面的问题进行评估,包含:制度的制定、发布、评审及修改等方面,根据评估结果提出合理改进意见并提交用户,协助用户进 行安全管理方面的改造。 | ||||
2.4.2 | 信息中心基础架构维护工作提升 ⑴采用ITIL等IT 安全服务先进管理理论与实践经验优化提升福建省血液中心的维护水平。 ⑵对基础硬件平台维护管理流程体系进行梳理及优化,建章立制,建立一套专业、标准、高效的维护管理体系,建立以安全维护管理为核心的,包括:流程管理、规范控制、技术操作,三个层面的有效工作流程控制体制; ⑶对基础硬件平台维护的安全服务级别管理进行评估、设计,提供服务级别管理解决 方案,建立以主动维护为目标的服务级别管理体系。 | |||
服务年限:1 年 | ||||
3 | 投标有效期:投标截止期结束后 90 日历日 | |||
4 | 服务地点:福建省血液中心(福州市台江区西二环南路 28 号) | |||
5 | 交货期(完成时限):按合同约定时间 | |||
6 | 其他:采购文件提出的其他要求 | |||
注:1.投标人应在提交的响应书的“投标响应”栏填写响应情况,完全符合采购要求的填写“响应”,部分符合采购要求的,填写具体响应内容,优于采购要求的填写具体的响应内容。 2.“偏离说明”项下填写以下内容:优于采购要求的,填写“正偏离”;符合采购要求的,填写“无偏离”;低于采购要求的,填写“负偏离”。 3.若有负偏离而未如实填写的将视为虚假应标。 | ||||
投标单位(盖章): 投标单位负责人或代表人签字:电话: 传真: 身份证号码及复印件:
投 标 时 间: 年 月 日
合同包 | 采购项目名称 | 序号 | 设备类型 | 型号 | 数量 | 服务内容及要求 | 服务年限 | 投标人报价 | |
单价(元/年) | 总价(元) | ||||||||
1 | 服务器维护保养及数据库安全服务 | 1-1 | 服务器 | X3650M3 | 1 台 | 见附件 2 | 1 年 | ||
X3650M4 | 2 台 | ||||||||
X3850x5 | 2 台 | ||||||||
X366 | 2 台 | ||||||||
X3850x6 | 2 台 | ||||||||
1-2 | 存储设备 | DS5020 | 1 台 | ||||||
投标人报价(总价):(大写) | |||||||||
投标单位(盖章): 投标单位负责人或代表人签字:电话: 传真: 身份证号码及复印件:
投 标 时 间: 年 月 日