網(wǎng)站維護要求.doc

第三章 招標內容和服務要求一、項目情況為保證信息平臺的安全、高效、穩(wěn)定地運行，現(xiàn)對杭州市經(jīng)濟和信息化委員會（以下簡稱“經(jīng)信委”）門戶網(wǎng)站運維服務項目進行招標采購，通過本次采購招標，確定專業(yè)維護公司來負責門戶網(wǎng)站運行維護服務。本次招標內容為：杭州市經(jīng)濟和信息化委員會門戶網(wǎng)站運維服務，維護服務期為合同簽訂之日起1年。二、經(jīng)信委網(wǎng)站的維護1、信息采集要求要求維護方配置2名采編人員，主要承擔市經(jīng)信委各項活動圖片拍攝與文字報道等信息采集工作；采編團隊應配置專業(yè)設備（攝像機、攝影機等），能及時、精準地將市經(jīng)信委各項活動制作成圖文特稿或視頻短片發(fā)布在門戶網(wǎng)站上。請各投標人在投標文件中寫明配置的采編人員數(shù)量及其基本情況。2、網(wǎng)站的信息刷新量要求采編人員保障網(wǎng)站的信息刷新工作，每天網(wǎng)站刷新量要求在10條以上。及時做好與市經(jīng)信委相關處室聯(lián)系溝通，應達到信息目錄編制規(guī)定的信息量。3、網(wǎng)站專欄建設要求采編人員根據(jù)各業(yè)務處室要求，策劃制作各類專欄，宣傳推廣市經(jīng)信委各項活動。4、結合電子政務指標綜合考評要求，做好杭州市電子政務（政府門戶網(wǎng)站）績效評估的各項工作 1）在“信息公開”、“辦事服務”、“公眾參與”、“網(wǎng)站性能”等方面，在市經(jīng)信委的指導下，及時上傳有關內容進行更新，針對提出的問題及時改進。 2）提供網(wǎng)站績效考核有關技術支持。5、配合完成中國杭州政務網(wǎng)市經(jīng)信委平臺相關欄目的信息維護工作。主要包括部門文件、公告公示、部門及公務人員信息、行政權力事項信息等，動態(tài)性做好政府信息公開工作。6、配合完成經(jīng)信委非涉密電腦文件的自檢自查工作。7、配合作好政務服務網(wǎng)網(wǎng)上政務大廳建設工作。8、每周需現(xiàn)場駐點服務1天。二、網(wǎng)站技術維護要求要求維護方配置配置足夠的編程人員和美工人員為網(wǎng)站提供技術支持，并根據(jù)經(jīng)信委實際需求對網(wǎng)站欄目功能進行調整、升級和完善。請各投標人在投標文件中寫明配置的編程、美工人員數(shù)量及其基本情況。三、經(jīng)信委網(wǎng)站服務器維護服務投標人應根據(jù)招標人的實際需求結合自身的專業(yè)經(jīng)驗與特長優(yōu)勢，制定網(wǎng)站運維方案并在投標文件詳細闡述，如日常巡檢的開展、故障隱患的提前發(fā)現(xiàn)、故障搶修、故障設備的維修、數(shù)據(jù)庫服務器備份等。具體應包括但不限于下述工作：1、日常維護：要求提供經(jīng)信委網(wǎng)站服務器維護服務，保證服務器24小時無故障運行。l 定期對整個機房內設備進行檢查，對機房溫濕度、UPS輸入輸出、機房服務器其性能進行分析，優(yōu)化，警告問題和潛在的風險瓶頸，保證系統(tǒng)處于健康狀態(tài)。l 當機房發(fā)生各種突發(fā)重大故障時，需及時聯(lián)系相應廠商及技術支持單位，進行故障診斷及排除。2、巡檢工作：要求制定每月兩次的機房安全巡檢工作，要求有明確的巡檢制度，巡檢內容。l 對整個機房內設備進行檢查，對其性能進行分析，優(yōu)化，警告問題和潛在的風險瓶頸，提出書面優(yōu)化建議，保證系統(tǒng)處于健康狀態(tài)。如：交換機硬件產(chǎn)品電氣性能的檢測、防火墻的硬件的電氣性能的檢測、路由器的硬件的電氣性能的檢測、服務器系統(tǒng)（包括小型機、刀片）硬件的電氣性能的檢測、機房UPS系統(tǒng)的電氣性能的檢測、機房空調系統(tǒng)的電氣性能的檢測、機房其他設備的電氣性能的檢測等。l 及時上報巡檢計劃及巡檢工作小結，并建立巡檢臺帳，以便服務期內供招標人檢查，服務期結束時作為技術檔案資料移交給招標人。在巡檢維護中發(fā)生的設備（材料）維修均由投標人負責。3、數(shù)據(jù)備份：做好數(shù)據(jù)庫服務器的備份工作，要求本地、異地同時備份，要求每周、每月固定時間備份，保障數(shù)據(jù)絕對安全。 l 數(shù)據(jù)恢復服務，確保系統(tǒng)崩潰后盡快恢復：協(xié)助用戶建立全面的備份計劃及災難恢復計劃，做到有備無患。在遇到各類嚴重故障而導致系統(tǒng)崩潰后，確保在最短時間內恢復。4、服務器維護專業(yè)人員配置：要求維護方配置服務器專業(yè)人員1名為服務器正常運行提供保障。請各投標人在投標文件中寫明配置的服務器專業(yè)人員數(shù)量及其基本情況。5、其他投標人認為需要提供的服務。四、網(wǎng)站安全服務內容1、網(wǎng)站安全體系規(guī)劃依據(jù)客戶當前的需求（包括需要遵守的法律法規(guī)、行業(yè)規(guī)范以及國家標準），考察分析客戶現(xiàn)有網(wǎng)站安全體系中不完善、不符合以及不恰當?shù)牟糠?，同時提出改進建議。提供1年網(wǎng)站安全服務。2、網(wǎng)站安全體系規(guī)劃主要內容網(wǎng)站安全體系規(guī)劃主要包含但不限于以下內容：1）安全體系建設針對客戶業(yè)務需求，參考國家標準、行業(yè)慣例，從人員、技術、流程等多個方面進行分析，給出網(wǎng)站安全體系建設方案或改進建議。2）安全策略制定通過安全管理、安全技術等相關課程的培訓，強化網(wǎng)站所有者以及網(wǎng)站管理員的安全意識，完善“預防為主，補救為輔”的主動型網(wǎng)站安全防御體系，協(xié)助客戶制定適合自身業(yè)務特點的安全管理策略和管理制度。3、網(wǎng)站安全評估1）操作系統(tǒng)安全評估提供主流操作系統(tǒng)（包括AIX、HP-UX、SOLARIS、FREEBSD、LINUX、WINDOWS等）的工具掃描和人工評估服務，對評估結果進行專業(yè)的安全判定后提供評估報告。2）數(shù)據(jù)庫安全評估通過對主流數(shù)據(jù)庫系統(tǒng)（包括ORACLE、SQL Server、MySQL、Informix、DB2等）進行工具掃描和人工檢查，查找數(shù)據(jù)庫系統(tǒng)配置、用戶權限分配等方面的安全隱患。3）網(wǎng)站應用程序代碼評估通過對主流應用代碼（包括asp、aspx、php、perl、jsp等）進行工具掃描和人工檢查，排查在網(wǎng)站應用系統(tǒng)中可能存在的漏洞，以規(guī)避SQL注入、XSS等攻擊風險。4）網(wǎng)站安全加固維護在網(wǎng)站安全評估的基礎上，采取各種可能的技術手段，針對網(wǎng)站應用的特點，合理地調整操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web應用服務器、網(wǎng)站應用程序的配置參數(shù)，加強網(wǎng)站抵御攻擊或者入侵的能力。5）操作系統(tǒng)安全加固Windows系統(tǒng)：補丁、文件系統(tǒng)、帳號管理、網(wǎng)絡及服務、注冊表、共享、應用軟件、審計/日志，其它（包括緊急恢復、數(shù)字簽名等）。6）網(wǎng)站應用服務器安全加固對IIS、Apache等常見應用服務器進行安全配置。7）數(shù)據(jù)庫安全加固對主流數(shù)據(jù)庫系統(tǒng)（包括Oracle、SQL Server、MySQL、Informix、DB2）的補丁、賬號管理、口令強度和有效期檢查、遠程登陸和遠程服務、存儲過程、審核層次、備份過程、角色和權限審核、并發(fā)事件資源限制、訪問時間限制、審核跟蹤、后門程序等進行調整。8）服務器性能調整通過關閉系統(tǒng)不需要的服務、調整系統(tǒng)參數(shù)等手段提高服務器的性能，降低安全風險。9）對服務器的應用程序、管理工具進行升級。10）對服務器的數(shù)據(jù)庫系統(tǒng)進行檢查。11）病毒檢測與查殺當客戶遇到自身無法解決的大規(guī)模病毒感染時為客戶提供網(wǎng)站服務器的病毒檢測及查殺服務。12）日志分析提供以下日志分析服務，幫助管理員了解整個系統(tǒng)的安全狀況：A、操作系統(tǒng)日志分析；B、應用服務日志分析；C、安全產(chǎn)品日志分析；4、網(wǎng)站安全風險通告通過電話、短信、傳真、郵件等方式（客戶可選擇）提供網(wǎng)站安全風險通告服務。通告內容主要為最新的安全動態(tài)、安全技術的發(fā)展趨勢，也包括時效性很強的漏洞、攻擊手法、病毒碼的預先通知，幫助客戶的安全管理員在最快的時間內了解重要的安全信息。安全通告服務包括但不限于如下內容：1）廠商安全通告：提供主流廠商的中文安全通告；2）其他安全通告：操作系統(tǒng)、其它應用系統(tǒng)及安全組織的安全通告；3）客戶關心的安全技術的最新發(fā)展情況通告；4）最新公布的漏洞及解決方法安全通告；5）最新的病毒動態(tài)及防治；5、網(wǎng)站安全事件響應當網(wǎng)站由于遭受攻擊、網(wǎng)站內容被篡改、網(wǎng)站系統(tǒng)被入侵、網(wǎng)站被當做攻擊第三方系統(tǒng)的跳板等原因導致網(wǎng)站不能正常提供服務或者有損網(wǎng)站所有者的利益（包括但不限于經(jīng)濟利益、公司聲譽、可能的法律訴訟等）時，由網(wǎng)站所有者提出援助請求，公司組織緊急事故響應小組進行分析并對其做出應急處理。網(wǎng)站安全事件響應主要包括但不限于以下內容：1）預案設計，應急事件處理預案設計；2）事件處理，緊急事件處理；3）數(shù)據(jù)修復，系統(tǒng)及數(shù)據(jù)修復；4）報告與總結，回顧并整理發(fā)生事件的各種相關信息、把相關情況記錄到文檔中，記錄的內容對有關部門的處理工作具有重要意義，而且對將來應急工作的開展是非常重要的經(jīng)驗積累。五、制訂應急預案要求制訂應急預案包括：網(wǎng)站安全應急預案、網(wǎng)絡安全（入侵、攻擊類）應急預案、機房安全應急預案、病毒爆發(fā)應急預案等以及投標人認為其它必要的預案。六、人員配置投標人須構建由足夠數(shù)量的各類專業(yè)服務人員組成的項目服務團隊為本項目服務，團隊負責人應有較強的組織領導能力和協(xié)調能力，具有較強的專業(yè)技術能力、組織、操作與管理能力和應急處理能力、組織和安排的能力；具有承擔相類似運維服務項目的經(jīng)驗。投標人應根據(jù)招標文件的上述要求配置各類專業(yè)服務人員，并須在投標文件中提供詳細團隊人員組成清單。中標后，團隊負責人和主要成員未經(jīng)招標人