绵阳市疾病预防控制中心网络安全运维服务竞争性磋商采购公告

序号

项目名称

服务内容描述

数量

备注

1

网络安全运维支撑服务

全网风险评估服务、实时监测服务、入侵痕迹排查服务、安全加固服务、安全规划服务、应急响应服务、日志分析服务、配合漏洞扫描服务、测评服务、终端防护服务。

1

无

序号

服务项目

疾控服务内容

服务

名称

目标

报告周期

1

基础

网络

网络资源规划：在对现有网络设备和网络拓扑关系清理的基础上，结合用户需求和安全要求，提供如下服务：

▲1、建立设备台账，厘清现有网络设备接口地址、接口名，标记主要设备、路由器、防火墙的路由条目、端口映射、地址转换等相关信息；
▲2、规划合理的网络架构，提出合理的网络设备配置方案（包括现有设备的配置和新增设备建议），提高网络的稳定性，减少单点故障的风险；
★3、规划合理的网络安全方案（包括现有设备的配置和新增设备的建议），提高网络的安全性；
4、为用户的服务器和办公终端提供合理的子网划分和VLAN设置；
5、生成并维护正确的网络拓扑图；
6、网络设备的安装、调试、更换、配置更改等服务；
7、对网络系统进行日常巡检、监控、运维等服务；
8、备份网络设备配置，以便网络发生故障后能快速恢复；
9、对无线网络进行调整优化；

10、未知资产发现：探测局域网网段中网络地址、端口以及开放的服务，判断是否还有未列入系统资产表中的设备。

合同签订后15日内提交网络规划整改方案，每半年及每次新增或调整后3个工作日内提交整改报告

2

硬件

★1、开展硬件设备巡查工作，巡查内容包括硬件设备主机运行状态，包括硬件设备主机指示灯、磁盘状态灯、电源灯、故障灯等状态以及风扇、电源、网络、日志检查等，发现故障和隐患立即上报确认处置
2、针对授权、审计、堡垒机等相关设备按照用户需求重新调整配置

每月7日提交一次巡检报告，新增或调整后3个工作日内提交整改报告

3

数据

备份
与安

全

数据

备份

★制定合理的数据备份策略，对数据备份完成情况进行检查。

备份策略要求：1.每天对数据进行增量备份；2.每周进行一次完全备份。

定期对备份数据进行恢复测试，确保备份数据的可用性、有效性。在用户物理环境允许、用户许可同意的情况下，每半年进行一次备份数据恢复预演，应提前制定好行之有效的备份数据恢复预演方案。

每月7日提交一次巡检报告，新增或调整后3个工作日内提交整改报告

4

故障

处理
服务

业务

系统
故障

处理

▲对业务系统发现的故障及时联系系统开发人员进行处理，并记录故障处理方法和过程，形成业务系统故障处理表。

每月7日提交一次巡检报告，新增或调整后3个工作日内提交整改报告

故障

诊断

对物理设备硬件出现的故障进行分析判断，确定故障节点。

故障

处理

对发现故障的物理设备，第一事件进行检测，经检测需更换配件的，及时协调备品备件，完成维修；确保用户业务系统和网络的正常运行。

5

安全

服务

信息

化服
务

▲根据半年内信息系统的日常运维中发现的情况与社会主流的信息化发展情况相结合，提供可行的、结合实际的信息化建设建议和优化方案。

每月7日提交一次巡检报告，新增或调整后3个工作日内提交整改报告

物理

安全

信息机房的物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等的检查

网络

安全

★从网络架构、通信传输、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、集中管控等方面检查整个网络的安全性

6

日常

资产
清册

及配
置管

理服
务

配置

管理

确保各硬件设备的种类、型号、品牌、功能、IP地址、配置、策略、端口等信息以及软件系统的版本、用途、重要组件、配置、更新情况等信息得到有效记录统计，建立硬件设备档案和软件系统档案，实现资产配置管理。

每月7日提交一次巡检报告，新增或调整后3个工作日内提交整改报告

变更

管理

确保变更信息得到完整记录，同时更新配置管理文档，包含配置管理里所含变更项。

服务

报告

定期对基础配置信息进行分析和总结，并及时备案。

7

定期

巡检
服务

机房

巡检
及运

行监
控

▲通过对机房设备和机房环境的巡检，及时发现存在的硬件故障；服务器、安全设备、网络设备、存储设备等其他机房设备的功能是否正常，并填写日常运行维护记录表，确保设备异常得到有效记录和处置。

每月7日提交一次巡检报告，新增或调整后3个工作日内提交整改报告

▲每月对机房内设备进行一次全面的运行维护，包括机房及其设备的清洁卫生和对动环监控系统的安全性能测试，通过日常巡检内容及服务器、安全设备、网络设备、存储设备的系统日志、CPU利用率、内存利用率、磁盘利用率、空间结余量统计、端口流量、报警信息等关键工作性能指标来进行深度分析和评估机房设备，使机房设备得到有效监控，确保机房内所有设备的稳定运行。

业务

系统
维护

▲对业务系统日常的维护，保证业务系统的用户管理、权限管理、流程设置和调整；并填写日常运行维护记录表，确保业务系统的异常得到及时的记录和处理。

8

特殊
时日

保障

重点

保障
服务

▲重大节假日或者特殊时日时，或比较重要事件节点，提供现场人员值守保障。

每次保障结束后3个工作日内提交报告

9

应急

响应
服务

应急

要求

▲建立安全事故应急处置体系，制定可能会遇到的应急事故处置措施，做好预防措施。

及时响应处理应急事故：现场信息的收集、控制对事故的影响、事故处理的过程。

事故过后的追溯和总结，并进行相应的处理

响应后3个工作日内提交专题报告

10

网站

监管

▲监测中心官网及内网映射到公网的网站是否存在的篡改、SQL 注入、XSS 跨站脚本攻击、非法访问、网站漏洞、网站挂马、网站钓鱼、网站可用性、网站敏感信息泄露等各种安全问题。

每月7日提交一次巡检报告

级别

事件定义

响应时限

紧急

网站被篡改或被攻击，网站被仿冒；某个业务全部瘫痪，重要数据丢失或被篡改，核心网络流量严重异常或瘫痪等。

15分钟

严重

某个业务部分不可用，某个区域出现流量严重异常或瘫痪，网站访问速度严重变慢等。

30分钟

一般

业务使用存在异常，某个区域出现流量异常，发现安全漏洞隐患未进行修补的，病毒事件以及其他轻微事件。

1小时

内容

招标/采购要求

服务期限/

                                                                            网络安全运维服务期限为1年

服务地点

绵兴东路50号

履约、验收要求与标准

1.项目验收由采购人组织，供应商配合进行：

（1）履约验收内容：验收内容包括每一项技术和商务要求的履约情况。

（2）验收标准：参照政府采购相关法律法规、《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》（财库〔2016〕205号）《绵阳市财政局关于进一步做好政府采购项目履约验收工作的通知》（绵财采〔2021〕15号）和磋商文件的要求进行验收。

（3）如质量验收合格，双方签署质量验收报告；

（4）其他未尽事宜应参照《绵阳市财政局关于进一步做好政府采购项目履约验收工作的通知》（绵财采〔2021〕15号）和磋商文件的要求进行。

2.供应商应将所提供服务的相关用户使用手册、技术文档等资料交付给采购人；供应商不能完整交付相关资料的，必须负责补齐，否则视为未按合同约定交货。

款项支付方式、进度

1.签订合同后30日内，支付合同总金额的30%的预付款；

2.采购人每半年对成交供应商提供的服务情况进行验收，验收合格后于30日内支付合同金额的35%。

质保及售后服务要求/后续服务要求

1.网络安全运维支撑服务

（1）供应商应组建专业的技术团队，熟悉本中心现有设备及网络架构，为保证整个项目的顺利实施，供应商具有充分的技术力量提供对于项目实施的支持，其中包括本期项目管理人员名单、实施人员名单、实施方案。要求提供项目团队成员清单，具体要求详见技术参数中详细描述及技术要求。

（2）项目实施过程安全、可控要求

因本项目实施需供应商深度参与中心信息系统安全相关工作，为确保项目实施过程安全可控，具体要求如下：一是保存好项目实施过程中所有文档，含过程数据、过程文档等资料在内，并以电子、纸质同时保存；二是项目有关人员需严格按照国家相关要求做好人员保密教育工作并签订保密协议，且本项目联系人及技术人员不得随意更改。

2.供应商应具备成熟的安全事件响应服务流程和团队，在接到紧急响应请求时能够迅速启动响应预案；远程安全事件响应服务要求电话立即响应；在响应受理0.5小时内指派具体工程师进行处理，无论能否解决问题每天必须返回处理情况简报，直到此次响应服务结束。

3.中标方需有健全的售后服务体系，提供完善的售后服务，以确保系统正常运行。日常运维期间，应保证售后服务高效、快速、及时；如果遇特殊情况需要到达服务现场，则中标方应在1小时内必须派技术人员到达现场解决相关问题。

5.提供固定的售后服务和投诉渠道：固定电话热线、移动电话热线，设定专人为本项目提供紧急维护服务。

序号

评分因素及权重

分值

评分标准

1

报价

15%

15分

满足招标文件要求且投标价格最低的报价为基准价，其价格分为满分。其他供应商的价格得分统一按照下列公式计算：报价得分 =( 基准价／报价)*15%*100。

2

技术服务要求

15%

15分

1、一般技术参数条款响应得分=（投标人满足一般技术参数条款的数量÷一般技术参数条款的总数量）×5分
2、投标人针对招标文件“技术服务要求”中“▲”技术参数条款的响应得分规则如下：“▲”技术参数条款响应得分= (投标人满足“▲”技术参数条款的数量÷“▲”技术参数条款的总数量)×10分。
注：①如果招标文件“技术服务要求”中技术服务条款对证明材料有要求，应按要求提供，否则对应技术服务条款将被视为不满足。②“★”条款为实质性要求，不满足作废标处理。

3

业绩

5%

5分

投标人自 2020年1月1日至投标截止事件具备1个IT系统硬件机房建设及维保项目实施经验得1分，最多得5分。(一个用户签多份合同的视为一个案例)

4

维护方案12%

12分

提供针对本项目维保范围内的硬件及操作系统方面进行梳理与分析，评估系统，对本项目有针对性的维护方案，需要包含①基础网络维护方案，②硬件管理方案，③数据备份与安全方案，④重要时段保障服务，⑤系统档案管理方案，⑥网站监管方案。设计内容阐述齐全且完全满足项目要求的得12分，每有一项方案缺失的扣2分，每有一项内容有错误或有缺陷的扣1分，扣完为止。
注：内容错误或缺陷是指:存在不适用项目实际情况的情形、凭空编造、内容前后不一致、前后逻辑错误、涉及的规范及标准错误、地点区域错误、内容缺失、不符合采购需求、方案中的采购能力得不到验证等。

6

设备巡检 方案

10%

10分

提供针对本项目的设备巡检服务方案，方案需要包含但不限于：①巡检工程师方案、②巡检范围划定方案、③巡检频次方案、④巡检模板设置方案，⑤巡检结果输出方案。内容阐述齐全且完全满足项目要求的得10分，每有一项内容缺失的扣2分，每有一项内容有错误或有缺陷的扣1分，扣完为止。
注：内容错误或缺陷是指:存在不适用项目实际情况的情形、凭空编造、内容前后不一致、前后逻辑错误、涉及的规范及标准错误、地点区域错误、内容缺失、不符合采购需求、方案中的采购能力得不到验证等。

7

业务安全运维服务能力

9%

9分

投标人须具备与运维服务结合紧密的业务安全运维服务能力，并提供相应方案，包括但不限于：①数据库安全审计服务方案，②业务性能监控服务方案，③日志审计服务方案。内容阐述齐全且完全满足项目要求的得9分，每有一项方案缺失的扣3分，每有一项内容有错误或有缺陷的扣1分，扣完为止。
注：内容错误或缺陷是指:存在不适用项目实际情况的情形、凭空编造、内容前后不一致、前后逻辑错误、涉及的规范及标准错误、地点区域错误、内容缺失、不符合采购需求、方案中的采购能力得不到验证等。

8

应急恢复方案设计 4%

4分

确保IT系统软硬件发生故障或面对意外灾难时，相关服务能在最短事件内得以恢复运行，最大限度地保证业务的连续性，将损失降低到最小程度，投标人应提供应急恢复方案。方案内容阐述齐全且完全满足项目要求的得4分，每有一项内容有错误或有缺陷的扣1分，扣完为止。
注：内容错误或缺陷是指:存在不适用项目实际情况的情形、凭空编造、内容前后不一致、前后逻辑错误、涉及的规范及标准错误、地点区域错误、内容缺失、不符合采购需求、方案中的采购能力得不到验证等。

9

人员资质及技术能力

10%

10 分

1.服务人员具有3年及以上信息化硬件的日常维修、维护经验的， 每人得1分，最多得1分。
2.本项目经理具有3年及以上类似项目管理经验的，得1分；
3.项目人员具有计算机技术与软件 专业技术资格考试(软考)中级及以上资格的(中级资格证书中，仅信息系统、系统集成、网络、数据库、云计算等信息服务方向或专业的证书适用于本项目，其他方向或专业证书不得分；高级资格所有方向或专业均适用于本项目)，每人得2分，最多得8分。
注：驻场人员及项目经理的相关工作经验须提供证明材料或承诺材料，未提供或证明材料、承诺材料工作时长不满五年的，不得分。

10

公司履约能力

20%

20分

1、投标人的服务提供能力符合GB/T 27922-2011《商品售后服务评价体系》标准要求，具有五星认证的得5分，四星的得2分，三星及以下的不得分。（以上需求提供证书复印件并加盖投标人鲜章）
2、投标人通过信息技术服务管理体系认证、信息安全管理体系认证的得6分，有其中一个的得3分，没有的不得分。（以上需求提供证书复印件并加盖投标人鲜章）
3、投标人具有信息系统安全集成服务资质、信息系统安全运维服务资质和软件安全开发服务资质三级认证的得9分，有其中两个的得6分，只有其中一个的得3分，没有的不得分。