信息化系統(tǒng)安全運(yùn)維服務(wù)方案標(biāo)書(shū)技術(shù)方案

1、信息化系統(tǒng)安全運(yùn)維服務(wù)方案目錄1概述1.1.1 服務(wù)范圍和服務(wù)內(nèi)容1.1.2 服務(wù)目標(biāo)1.2系統(tǒng)現(xiàn)狀1.2.1 網(wǎng)絡(luò)系統(tǒng)1.2.2 設(shè)備清單2.2.3 應(yīng)用系統(tǒng)4.3服務(wù)方案5.3.1 系統(tǒng)日常維護(hù)5.3.2 信息系統(tǒng)安全服務(wù)103.3 系統(tǒng)設(shè)備維修及保養(yǎng)服務(wù)1.23.4 軟件系統(tǒng)升級(jí)及維保服務(wù)134服務(wù)要求134.1 基本要求1.44.2 服務(wù)隊(duì)伍要求.154.3 服務(wù)流程要求 .154.4 服務(wù)響應(yīng)要求164.5 服務(wù)報(bào)告要求.174.6 運(yùn)維保障資源庫(kù)建設(shè)要求174.7 項(xiàng)目管理要求.184.8 質(zhì)量管理要求 .184.9 技術(shù)交流及培訓(xùn)185經(jīng)費(fèi)預(yù)算181概述1.1 服務(wù)范圍和服務(wù)內(nèi)容

2、本次服務(wù)范圍為XX局信息化系統(tǒng)硬件及應(yīng)用系統(tǒng)，各類軟硬件均位于XX局 第一辦公區(qū)內(nèi)，主要包括計(jì)算機(jī)終端、打印機(jī)、服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)（安全） 設(shè)備以及應(yīng)用系統(tǒng)。服務(wù)內(nèi)容包括日常運(yùn)維服務(wù)（駐場(chǎng)服務(wù)）、專業(yè)安全服務(wù)、主要硬件設(shè)備維保服務(wù)、主要應(yīng)用軟件系統(tǒng)維保服務(wù)、信息化建設(shè)咨詢服務(wù)等。1.2 服務(wù)目標(biāo)保障軟硬件的穩(wěn)定性和可靠性；保障軟硬件的安全性和可恢復(fù)性；故障的及時(shí)響應(yīng)與修復(fù)；硬件設(shè)備的維修服務(wù)； 人員的技術(shù)培訓(xùn)服務(wù)； 信息化建設(shè)規(guī)劃、方案制定等咨詢服務(wù)。2系統(tǒng)現(xiàn)狀2.1 網(wǎng)絡(luò)系統(tǒng)XX局計(jì)算機(jī)網(wǎng)絡(luò)包括市電子政務(wù)外網(wǎng)（簡(jiǎn)稱外網(wǎng)）、市電子政務(wù)內(nèi)網(wǎng)（簡(jiǎn)稱 內(nèi)網(wǎng)）以及全國(guó)政府系統(tǒng)電子政務(wù)專網(wǎng)（簡(jiǎn)稱專網(wǎng)

3、）三部分。內(nèi)網(wǎng)、外網(wǎng)、專網(wǎng) 所有硬件設(shè)備集中于XX局機(jī)房各個(gè)獨(dú)立區(qū)域，互相物理隔離。外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離，主要為市人大建議提案網(wǎng)上辦理、XX局政務(wù)公開(kāi)等 應(yīng)用系統(tǒng)提供網(wǎng)絡(luò)平臺(tái)，為市領(lǐng)導(dǎo)及 XX局各處室提供互聯(lián)網(wǎng)服務(wù)。外網(wǎng)安全加 固措施：WSU網(wǎng)艮務(wù)器、瑞星殺毒軟件服務(wù)器為各聯(lián)網(wǎng)終端提供系統(tǒng)補(bǔ)丁分發(fā)和 瑞星殺毒軟件管理服務(wù)，建立IPS、防火墻等基本網(wǎng)絡(luò)安全措施。內(nèi)網(wǎng)與外網(wǎng)和互聯(lián)網(wǎng)物理隔離，為 XX局日常公文流轉(zhuǎn)、公文處理等信息化 系統(tǒng)提供基礎(chǔ)網(wǎng)絡(luò)平臺(tái)。內(nèi)網(wǎng)安全加固措施：WSU服務(wù)器、瑞星殺毒軟件服務(wù)器 為各聯(lián)網(wǎng)終端提供系統(tǒng)補(bǔ)丁分發(fā)和瑞星殺毒軟件管理服務(wù)；配備防火墻實(shí)現(xiàn)內(nèi)網(wǎng)中服務(wù)器區(qū)域間的邏輯隔離

4、及安全區(qū)域間的訪問(wèn)控制，重點(diǎn)劃分服務(wù)器區(qū)，實(shí)現(xiàn)相應(yīng)的訪問(wèn)控制策略。專網(wǎng)由XX局電子政務(wù)辦公室統(tǒng)一規(guī)劃建設(shè)，專網(wǎng)和 互聯(lián)網(wǎng)、內(nèi)網(wǎng)及其他非 涉密網(wǎng)絡(luò)嚴(yán)格物理隔離，目前主要提供政務(wù)信息上報(bào)服務(wù)和郵件服務(wù)。（內(nèi)網(wǎng)結(jié)構(gòu)圖）（外網(wǎng)結(jié)構(gòu)圖）（專網(wǎng)結(jié)構(gòu)圖）2.2 設(shè)備清單XX局各個(gè)計(jì)算機(jī)網(wǎng)絡(luò)及應(yīng)用系統(tǒng)硬件設(shè)備集中于 XX局專用機(jī)房。清單如下:硬件設(shè)備匯總表設(shè)備類型設(shè)備型號(hào)數(shù)量備注服務(wù)器服務(wù)器合計(jì)39交換機(jī)42光纖交換機(jī)11交換機(jī)合計(jì)8防火墻5內(nèi)外網(wǎng)各一臺(tái)冷備2安全審計(jì)1IPS1存儲(chǔ)2111磁帶庫(kù)1虛擬帶庫(kù)1其他設(shè)備1機(jī)房監(jiān)控系統(tǒng)使用支撐軟件統(tǒng)計(jì)表版本數(shù)量數(shù)據(jù)庫(kù)操作系統(tǒng)除上述設(shè)備外，維護(hù)內(nèi)容還包括約XX臺(tái)電腦終

5、端（含筆記本電腦）和XX臺(tái) 打印機(jī)。2.3 應(yīng)用系統(tǒng)XX局日常公文流轉(zhuǎn)、公文辦理等日常工作均在基于內(nèi)網(wǎng)的不同應(yīng)用系統(tǒng)上得以實(shí)現(xiàn)。各系統(tǒng)使用的操作系統(tǒng)包括 MS-WinServer和LINUX兩大類，數(shù)據(jù)庫(kù) 包括Lotus、Access> MS-SQlL。主要應(yīng)用系統(tǒng)清單如下：應(yīng)用系統(tǒng)清單廳P系統(tǒng)名稱訪問(wèn)地址1.2.3.4.5.6.7.8.9.10.11.12.13.14.對(duì)于其中部分重要應(yīng)用，描述如下:1、XX局辦公資源網(wǎng)2、政府公文綜合管理系統(tǒng)3、政府信息管理服務(wù)平臺(tái)3服務(wù)方案1.1.1.1 維護(hù)系統(tǒng)首要維護(hù)工作是信息化系統(tǒng)的日常維護(hù)，主要包括以下4個(gè)方面：3.1.1 系統(tǒng)支撐軟硬件的

6、日常維護(hù)系統(tǒng)支撐軟硬件主要包括PC服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、安全設(shè)備及數(shù)據(jù)庫(kù)軟件、 中間件等基礎(chǔ)軟硬件設(shè)施。1.1.1.2 服務(wù)器維護(hù)服務(wù)器系統(tǒng)主要包括信息處目前在用的各類服務(wù)器：數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用 服務(wù)器、WE刎管/備份服務(wù)器、門戶網(wǎng)站、防病毒服務(wù)器等。具體服務(wù)內(nèi)容包 括：(1)服務(wù)器硬件狀態(tài)檢查(2)服務(wù)器硬件安裝與調(diào)整(3)服務(wù)器設(shè)備事件管理服務(wù)要求運(yùn)維團(tuán)隊(duì)根據(jù)服務(wù)器的情況制訂相應(yīng)的事件管理文檔，由現(xiàn)場(chǎng)服務(wù)人員對(duì)服務(wù)器發(fā)生的事件進(jìn)行記錄、跟蹤與分析，通過(guò)對(duì)事件的分析，及時(shí)發(fā)現(xiàn)服務(wù)器中存在的潛在問(wèn)題，并進(jìn)行解決或提出相應(yīng)的解決方案。(4)服務(wù)器性能監(jiān)控要求運(yùn)維團(tuán)隊(duì)每天由現(xiàn)場(chǎng)服務(wù)人員根據(jù)制定的性能

7、監(jiān)測(cè)模板對(duì)服務(wù)器的性 能監(jiān)控，監(jiān)控的參數(shù)為服務(wù)器的 CPU memory hdd、network ,并根據(jù)各服務(wù)器 的應(yīng)用情況，分析出服務(wù)器性能的基本基準(zhǔn)線。(5)應(yīng)用維護(hù)要求運(yùn)維團(tuán)隊(duì)現(xiàn)場(chǎng)服務(wù)人員對(duì)這些應(yīng)用進(jìn)行定期的維護(hù)，對(duì)防病毒軟件的 防護(hù)狀態(tài)與更新情況進(jìn)行每天檢查。(6)服務(wù)器進(jìn)程與服務(wù)檢查(7)服務(wù)器磁盤空間檢查(8)服務(wù)器系統(tǒng)漏洞修補(bǔ)(9)系統(tǒng)配置與變更管理(10)系統(tǒng)垃圾清理(11)記錄與報(bào)告?服務(wù)器操作管理手冊(cè)? 服務(wù)器事故管理文檔? 服務(wù)器監(jiān)控報(bào)告? 服務(wù)器設(shè)備標(biāo)識(shí)，配置記錄? 服務(wù)器故障處理報(bào)告? 服務(wù)器運(yùn)維分析報(bào)告? 應(yīng)用系統(tǒng)故障處理報(bào)告? 服務(wù)器系統(tǒng)配置記錄? 垃圾信息清理

8、記錄1.1.1.3 存儲(chǔ)設(shè)備維護(hù)存儲(chǔ)系統(tǒng)平臺(tái)主要包括：SAN存儲(chǔ)系統(tǒng)(接入SAN網(wǎng)絡(luò)的服務(wù)器客戶端、 SAN交換機(jī))、磁盤陣列、磁帶庫(kù)等的管理和維護(hù)工作。具體服務(wù)內(nèi)容包括：(1)存儲(chǔ)設(shè)備配置管理服務(wù)(2)備份作業(yè)檢查(3) SAN交換機(jī)日常狀態(tài)檢查維護(hù)(4)存儲(chǔ)設(shè)備事件管理服務(wù)(5)備份及恢復(fù)策略制定(6)備份介質(zhì)管理(7)備份軟件維護(hù)(8)備份數(shù)據(jù)恢復(fù)當(dāng)系統(tǒng)出現(xiàn)異常數(shù)據(jù)丟失時(shí)，協(xié)同應(yīng)用廠商，在信息處的授權(quán)下，要求運(yùn)維 團(tuán)隊(duì)現(xiàn)場(chǎng)服務(wù)人員對(duì)相應(yīng)的備份數(shù)據(jù)進(jìn)行數(shù)據(jù)恢復(fù)，以快速保證與恢復(fù)客戶的應(yīng)用。(9)備份數(shù)據(jù)整理由于目前備份數(shù)據(jù)沒(méi)有明確的管理制度，備份數(shù)據(jù)管理程無(wú)序化狀態(tài)，對(duì) 于備份數(shù)據(jù)的保存聲

9、明周期沒(méi)有周密的限定計(jì)劃，造成備份數(shù)據(jù)占用大量的存儲(chǔ) 空間，要求運(yùn)維團(tuán)隊(duì)現(xiàn)場(chǎng)服務(wù)人員根據(jù)備份和存儲(chǔ)數(shù)據(jù)的情況，提出數(shù)據(jù)整理頻率計(jì)劃，并信息處進(jìn)行數(shù)據(jù)的整理。(10)存儲(chǔ)設(shè)備運(yùn)行維護(hù)要求運(yùn)維團(tuán)隊(duì)現(xiàn)場(chǎng)服務(wù)人員對(duì)存儲(chǔ)設(shè)備硬件狀態(tài)監(jiān)控，問(wèn)題及時(shí)處理。(11)記錄與報(bào)告? 存儲(chǔ)設(shè)備操作管理手冊(cè)? 設(shè)備檢修報(bào)告? 故障處理報(bào)告? 存儲(chǔ)設(shè)備運(yùn)維分析報(bào)告? 數(shù)據(jù)備份操作管理手冊(cè)? 數(shù)據(jù)備份記錄? 存儲(chǔ)系統(tǒng)配置記錄? 存儲(chǔ)系統(tǒng)空間調(diào)整記錄? 備份策略調(diào)整更新記錄3.1,1.3網(wǎng)絡(luò)、安全設(shè)備維護(hù)網(wǎng)絡(luò)、安全平臺(tái)維護(hù)的目標(biāo)是：通過(guò)網(wǎng)絡(luò)、安全系統(tǒng)管理服務(wù)，降低網(wǎng)絡(luò)設(shè) 備故障率，提高網(wǎng)絡(luò)設(shè)備的運(yùn)行性能。提高XX局網(wǎng)絡(luò)運(yùn)行

10、的穩(wěn)定性、可靠性，以專業(yè)化運(yùn)作模式解決XX局各類信息系統(tǒng)信息化發(fā)展的需求。需要提供故障診 斷、遠(yuǎn)程支持、現(xiàn)場(chǎng)支持、軟件升級(jí)、設(shè)備搬遷、網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)巡檢、現(xiàn)場(chǎng)培 訓(xùn)、技術(shù)交流、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)建設(shè)建議等服務(wù)。具體服務(wù)內(nèi)容如下：(1)網(wǎng)絡(luò)故障排查(2)網(wǎng)絡(luò)設(shè)備硬件狀態(tài)檢查(3)網(wǎng)絡(luò)流量監(jiān)測(cè)(4)安全策略配置及配置優(yōu)化(5)網(wǎng)絡(luò)設(shè)備配置管理服務(wù)(6)網(wǎng)絡(luò)設(shè)備資料整理，配置參數(shù)整理(7)網(wǎng)絡(luò)使用狀況趨勢(shì)分析及建議3.1.1.4數(shù)據(jù)庫(kù)系統(tǒng)維護(hù)數(shù)據(jù)庫(kù)為SQL200吸SQL2008具維護(hù)服務(wù)內(nèi)容主要包括：(1)數(shù)據(jù)庫(kù)實(shí)例狀態(tài)檢查(2)數(shù)據(jù)庫(kù)表空間使用情況(3)監(jiān)控查看數(shù)據(jù)庫(kù)的連接情況(4)表空間使用情況和性

11、能檢查(5)數(shù)據(jù)庫(kù)告警日志檢查分析(6)數(shù)據(jù)庫(kù)備份檢查3.1,1.5中間件維護(hù)中間件軟件維護(hù)服務(wù)內(nèi)容主要包括：(1)數(shù)據(jù)維護(hù)(2)數(shù)據(jù)備份(3)系統(tǒng)日常維護(hù)(4)中間件升級(jí)而對(duì)應(yīng)用軟件進(jìn)行適應(yīng)性更新與調(diào)測(cè)服務(wù)(5)中間件維護(hù)操作手冊(cè)及應(yīng)急流程更新3.1.2應(yīng)用系統(tǒng)的日常維護(hù)維護(hù)要求為：通過(guò)對(duì)應(yīng)用系統(tǒng)的維護(hù)，分析用戶的不斷更新的需求，分析應(yīng) 用系統(tǒng)對(duì)服務(wù)平臺(tái)性能的要求，提出系統(tǒng)優(yōu)化擴(kuò)容解決方案，保障應(yīng)用系統(tǒng)的處 理服務(wù)性能。主要維護(hù)內(nèi)容包括：(1)業(yè)務(wù)數(shù)據(jù)維護(hù)；(2)業(yè)務(wù)數(shù)據(jù)備份；(3)業(yè)務(wù)系統(tǒng)日常維護(hù)；(4)軟件更新服務(wù)；(5)對(duì)業(yè)務(wù)管理系統(tǒng)健康狀態(tài)檢查與分析報(bào)告；(6)對(duì)系統(tǒng)用戶信息進(jìn)行維護(hù)

12、和修改，添加系統(tǒng)用戶、更改系統(tǒng)用戶信 息、權(quán)限，負(fù)責(zé)系統(tǒng)中管理人員、操作人員、監(jiān)督人員名單的調(diào) 整，以及數(shù)據(jù)同步。3.1.3 終端設(shè)備的日常維護(hù)3.1.3.1 電腦終端運(yùn)維服務(wù)主要包括XX局工作人員的臺(tái)式電腦、筆記本電腦等，共計(jì)約XX臺(tái)。具體維 護(hù)內(nèi)容為：(1) 操作系統(tǒng)安裝維護(hù)及補(bǔ)丁安裝? 對(duì)終端用戶的計(jì)算機(jī)的操作系統(tǒng)的安裝與維護(hù)請(qǐng)求進(jìn)行響應(yīng)；(操作系統(tǒng)安裝介質(zhì)由信息處提供)? 對(duì)終端用戶的計(jì)算機(jī)的操作系統(tǒng)的補(bǔ)丁安裝；?在重裝前協(xié)助終端用戶進(jìn)行計(jì)算機(jī)數(shù)據(jù)的備份(2) 終端防病毒軟件安裝及升級(jí)? 對(duì)終端計(jì)算機(jī)的防病毒軟件故障進(jìn)行現(xiàn)場(chǎng)處理與解決；? 對(duì)其他用戶的防病毒軟件進(jìn)行電話技術(shù)支持與問(wèn)題解

13、決。(3) 終端網(wǎng)絡(luò)接入調(diào)整對(duì)終端計(jì)算機(jī)的網(wǎng)絡(luò)連接的調(diào)整(不包括布線)。(4) 終端事件檢查及排查對(duì)終端計(jì)算機(jī)的安全事件進(jìn)行故障定位與排查；對(duì)終端計(jì)算機(jī)的故障事件進(jìn)行故障定位與排查。(5) 通用辦公軟件安裝提供對(duì)終端計(jì)算機(jī)的通用軟件的安裝；(通用軟件包括office等辦公軟件， 安裝介質(zhì)由信息處提供)提供對(duì)終端計(jì)算機(jī)的客戶需求軟件的安裝。(軟件由用戶提供)(6) 計(jì)算機(jī)使用規(guī)范制定計(jì)算機(jī)的使用規(guī)范，使用規(guī)范主要包括計(jì)算機(jī)的使用注意事項(xiàng)、U盤的 使用注意事項(xiàng)、計(jì)算機(jī)使用的一些小常識(shí)等，該規(guī)范主要是幫助用戶了解計(jì)算機(jī) 的使用常識(shí)與技巧，減少故障的發(fā)生頻率。該規(guī)范可做成相應(yīng)的貼示張貼在終端 用戶計(jì)算

14、機(jī)的顯示器或機(jī)箱上。(7) 計(jì)算機(jī)安裝操作規(guī)范計(jì)算機(jī)安裝規(guī)范主要是對(duì)終端用戶的計(jì)算機(jī)安裝過(guò)程進(jìn)行規(guī)范，規(guī)定相應(yīng) 的文件備份地點(diǎn)、分區(qū)大小、補(bǔ)丁安裝、安全加固、軟件安裝等方面。通過(guò)制定 相應(yīng)的計(jì)算機(jī)安裝操作規(guī)范，以規(guī)范與保證服務(wù)人員在服務(wù)過(guò)程中的服務(wù)質(zhì)量。(8) 記錄與報(bào)告? 計(jì)算機(jī)使用規(guī)范(貼示)；? 計(jì)算機(jī)安裝操作規(guī)范；? 服務(wù)確認(rèn)單；? 電話支持記錄單；? 故障處理報(bào)告。3.1.3.23.1.3.3 網(wǎng)絡(luò)信息點(diǎn)位維護(hù)(1)根據(jù)信息點(diǎn)的編號(hào)，分別將編號(hào)的單數(shù)和雙數(shù)規(guī)劃為網(wǎng)絡(luò)信息接口和 語(yǔ)音接口，并統(tǒng)一建立信息點(diǎn)數(shù)據(jù)。通過(guò)對(duì) XX局的調(diào)研和了解，對(duì)各辦公室的 信息點(diǎn)作出適當(dāng)調(diào)整和數(shù)據(jù)的修改。(

15、2)各處室接入期間，做好配合工作，包括樓層交換機(jī)調(diào)試、桌面跳線等。(3)要求運(yùn)維團(tuán)隊(duì)現(xiàn)場(chǎng)服務(wù)人員做好定期對(duì)網(wǎng)絡(luò)信息點(diǎn)、配線架、理線架、終端模塊的巡檢工作。3.1.4 維護(hù)制度建設(shè)制度是一種必須共同遵守的行為規(guī)范，是保證工作有序開(kāi)展和任務(wù)圓滿完成 的基礎(chǔ)。建立和健全XX局信息化設(shè)施運(yùn)行維護(hù)的各項(xiàng)管理制度，對(duì)于維護(hù)工作 的順利完成是必需的。要求運(yùn)維團(tuán)隊(duì)依據(jù)以下標(biāo)準(zhǔn)，協(xié)助XX局建立規(guī)范、科學(xué)、實(shí)用的維護(hù)制度。(1) «電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范(GB50174-2008(2)綜合布線設(shè)計(jì)規(guī)范GB50311-2007(1) 中華人民共和國(guó)消防法(2) 電力供電標(biāo)準(zhǔn)與內(nèi)部控制管理制度全集(3)

16、成都市電子政務(wù)外網(wǎng)使用管理規(guī)定(6) ISO/IEC 9001:2008 質(zhì)量管理體系(7) ISO/IEC 20000: 2005 IT 服務(wù)管理體系(8) ITIL(Information Technology Infrastructure Library) 2.0 IT基礎(chǔ)架構(gòu)庫(kù)終端設(shè)備的日常維護(hù)(9) ITSS (Information Technology Service Standards )信息技術(shù)服務(wù) 標(biāo)準(zhǔn)3.2信息系統(tǒng)安全服務(wù)風(fēng)險(xiǎn)評(píng)估和安全加固工作貫穿于信息系統(tǒng)的整個(gè)生命周期的各階段中。在運(yùn)行維護(hù)階段，要不斷地實(shí)施風(fēng)險(xiǎn)評(píng)估以識(shí)別系統(tǒng)面臨的不斷變化的風(fēng)險(xiǎn)和脆弱性， 并通過(guò)安全加

17、固進(jìn)行有效的安全措施干預(yù)，確保安全目標(biāo)得以實(shí)現(xiàn)。103.2.1 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過(guò)程中的信息系統(tǒng)安全風(fēng)險(xiǎn)， 運(yùn)維階段的 風(fēng)險(xiǎn)評(píng)估是一種較為全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資 產(chǎn)、威脅、脆弱性等各方面。(1)資產(chǎn)評(píng)估：對(duì)真實(shí)環(huán)境下較為細(xì)致的評(píng)估，包括實(shí)施階段采購(gòu)的軟硬 件資產(chǎn)、系統(tǒng)運(yùn)行過(guò)程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等。本階段資產(chǎn)識(shí) 別是前期資產(chǎn)識(shí)別的補(bǔ)充與增加；(2)威脅評(píng)估：真實(shí)環(huán)境中的威脅分析，應(yīng)全面地評(píng)估威脅的可能性和影 響程度。對(duì)非故意威脅產(chǎn)生安全事件的評(píng)估可以參照事故發(fā)生率；對(duì)故意威脅主要由評(píng)估人員就威脅的各個(gè)影響因素做出專業(yè)判斷；同時(shí)考

18、慮已有控制措施；(3)脆弱性評(píng)估：全面的脆弱性評(píng)估。包括運(yùn)行環(huán)境下物理、網(wǎng)絡(luò)、系統(tǒng)、 應(yīng)用、安全保障設(shè)備、管理的脆弱性。對(duì)于技術(shù)的脆弱性評(píng)估采取核查、掃描、 案例驗(yàn)證、滲透性測(cè)試的方式驗(yàn)證脆弱性；對(duì)安全保障設(shè)備脆弱性評(píng)估時(shí)考慮安 全功能的實(shí)現(xiàn)情況和安全措施本身的脆弱性。對(duì)于管理脆弱性采取文檔、記錄核 查進(jìn)行驗(yàn)證；(4)風(fēng)險(xiǎn)計(jì)算：根據(jù)相關(guān)標(biāo)準(zhǔn)，對(duì)主要資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行定性或定量的風(fēng)險(xiǎn) 分析，描述不同資產(chǎn)的風(fēng)險(xiǎn)高低狀況。3.2.2 安全加固安全加固是指對(duì)在風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn)的系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行處理，按照級(jí)別不同,應(yīng)該在相應(yīng)時(shí)間內(nèi)完成。安全加固的內(nèi)容主要包括：(1)日常安全加固工作，主要是根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行

19、系統(tǒng)安全調(diào)優(yōu)服務(wù)， 根據(jù)系統(tǒng)運(yùn)行需要適時(shí)調(diào)整各類設(shè)備及系統(tǒng)配置、合理規(guī)劃系統(tǒng)資源、消除系統(tǒng) 漏洞，提高系統(tǒng)穩(wěn)定性和可靠性；(2)主動(dòng)安全加固，在未出現(xiàn)安全事故之前就對(duì)已經(jīng)通報(bào)或者暴露出來(lái)的 軟件漏洞或最新病毒庫(kù)更新，就主動(dòng)進(jìn)計(jì)劃的升級(jí)和改進(jìn)，從而避免出現(xiàn)安全事 故。具體加固內(nèi)容包括但不限于：帳戶策略、帳戶鎖定策略、審核策略、 NTFS 用戶權(quán)限分配、系統(tǒng)服務(wù)策略、補(bǔ)丁管理、事件日志、應(yīng)用軟件的更新等。113.2.3 應(yīng)急響應(yīng)應(yīng)急狀態(tài)的安全值守、響應(yīng)工作，主要是系統(tǒng)應(yīng)急響應(yīng)、重大安全故障處理， 確保系統(tǒng)出現(xiàn)安全事件時(shí)快速反應(yīng)、及時(shí)處理，降低系統(tǒng)安全問(wèn)題對(duì)XX局內(nèi)工作的影響。3.2.4 安全巡檢安

20、全巡檢主要是指深入現(xiàn)場(chǎng)，了解情況：質(zhì)檢服務(wù)內(nèi)容中的各類安全設(shè)備， 了解安全設(shè)備運(yùn)行情況，仔細(xì)觀察各個(gè)安全節(jié)點(diǎn)的可靠性，并綜合安全巡檢情況， 定制安全策略。3.2.5 安全監(jiān)控對(duì)服務(wù)內(nèi)容進(jìn)行監(jiān)控，在安全環(huán)境產(chǎn)生變化時(shí)，及時(shí)更新安全策略，在現(xiàn)有設(shè)備和網(wǎng)絡(luò)情況有改變的時(shí)候，快速制定，針對(duì)更新后設(shè)備環(huán)境的安全策略， 并實(shí)施部署。避免因設(shè)備變更而帶來(lái)的安全風(fēng)險(xiǎn)。3.2.7 安全通告定期安全通告，在互聯(lián)網(wǎng)上出現(xiàn)新型病毒或者新出現(xiàn)漏洞并且部分修補(bǔ)的情 況下，制作安全通告及時(shí)告知相關(guān)運(yùn)維人員，增強(qiáng)對(duì)于新型病毒和漏洞的防御力。 3.3系統(tǒng)設(shè)備維修及保養(yǎng)服務(wù)針對(duì)本項(xiàng)目中的系統(tǒng)硬件設(shè)備，除在4.1.1中提供的日常運(yùn)

21、維服務(wù)外，要求 運(yùn)維團(tuán)隊(duì)提供設(shè)備的維修及保養(yǎng)服務(wù)。主要包括：(1)當(dāng)硬件設(shè)備出現(xiàn)故障時(shí)，硬件設(shè)備故障部件的現(xiàn)場(chǎng)替換工作或?qū)Ψ敌薰ぷ?，具體如下:故障設(shè)備名稱現(xiàn)場(chǎng)替換返修備注內(nèi)存條是硬盤是CPU是視現(xiàn)場(chǎng)情況，可提供現(xiàn)場(chǎng)更換主板是電源模塊是是有冗余電源的，返修后更換；無(wú)冗余電 源現(xiàn)場(chǎng)更換。12網(wǎng)卡是散熱模塊是散熱模塊都有冗余，可在返修后進(jìn)行更換其他設(shè)備是其他非常規(guī)設(shè)備，只能原廠返修(2)非故障時(shí)期對(duì)系統(tǒng)硬件設(shè)備的定期現(xiàn)場(chǎng)巡檢、功能性能測(cè)試等日常 保養(yǎng)工作，具體如下：1 .電源是否穩(wěn)定；2 .散熱是否正常；3 .檢查服務(wù)器指示燈是否有故障燈亮起；4 .定期用測(cè)試軟件對(duì)服務(wù)器CPU性能進(jìn)行壓力測(cè)試，并給

22、予打分；5 .定期用測(cè)試軟件對(duì)服務(wù)器內(nèi)存讀取速度進(jìn)行測(cè)試，并給予打分；6 .定期用測(cè)試軟件對(duì)服務(wù)器硬盤I/O能力進(jìn)行測(cè)試，并給予打分； 檢查出故障的按第一條進(jìn)行相應(yīng)處理，無(wú)故障但是在性能測(cè)試中分?jǐn)?shù)較低者，提出相應(yīng)更換或者維修建議。(3)要求運(yùn)維團(tuán)隊(duì)每年定期對(duì)服務(wù)器進(jìn)行一次除塵工作，既提高服務(wù)器 的散熱能力，也可避免由于微塵造成的服務(wù)器線路不通、性能降低 或短路等危險(xiǎn)。3.4軟件系統(tǒng)升級(jí)及維保服務(wù)針對(duì)本項(xiàng)目中的防病毒軟件、公文綜合管理及會(huì)議管理系統(tǒng)、智能文件交換 系統(tǒng)三個(gè)較為重要的應(yīng)用，除在4.1.2中提供的日常運(yùn)維服務(wù)外，要求運(yùn)維團(tuán)隊(duì) 提供系統(tǒng)的原廠升級(jí)及維保服務(wù)。主要包括：(1)防病毒軟件的

23、原廠升級(jí)服務(wù)，保證殺毒引擎和病毒庫(kù)隨時(shí)更新；(2)公文綜合管理及會(huì)議管理系統(tǒng)的業(yè)務(wù)流程調(diào)整、簡(jiǎn)單功能調(diào)整等小開(kāi) 發(fā)量維保服務(wù)；(3)智能文件交換系統(tǒng)所包含的專用設(shè)備(文件柜、鎖等)的維保服務(wù)。4服務(wù)要求在本服務(wù)項(xiàng)目中，運(yùn)維團(tuán)隊(duì)?wèi)?yīng)明確自己的責(zé)任和義務(wù)， 在充分了解項(xiàng)目所述 各個(gè)系統(tǒng)現(xiàn)有環(huán)境的基礎(chǔ)上，提供規(guī)范化、 高質(zhì)量的服務(wù)，并對(duì)服務(wù)質(zhì)量做出可 量化的承諾。134.1 基本要求4.1.1 日常運(yùn)維服務(wù)針對(duì)XX局的不定時(shí)工作日制度，為客戶提供系統(tǒng)級(jí)的日常維護(hù)、定期巡檢、 性能測(cè)試、故障排查等服務(wù)。具體內(nèi)容包括：4.1.1.1 工作日服務(wù)主要指現(xiàn)場(chǎng)值守服務(wù)，維護(hù)團(tuán)隊(duì)需要指派3名資深服務(wù)技術(shù)服務(wù)工程師

24、長(zhǎng)期 值守在XX局現(xiàn)場(chǎng)，負(fù)責(zé)對(duì)現(xiàn)場(chǎng)設(shè)備運(yùn)行狀態(tài)進(jìn)行監(jiān)視、管理和維護(hù)以及工作終 端的管理和維護(hù)，通過(guò)對(duì)系統(tǒng)運(yùn)行日志的分析提前發(fā)現(xiàn)并排除可能發(fā)生的潛在故 障，并在全部維護(hù)服務(wù)團(tuán)隊(duì)支持下，在 1小時(shí)內(nèi)排除普通故障，2小時(shí)內(nèi)排除較 大故障，4小時(shí)內(nèi)排除重大故障，24小時(shí)內(nèi)排除特大故障。維護(hù)期內(nèi)提供技術(shù)人員進(jìn)行現(xiàn)場(chǎng)監(jiān)控服務(wù)。4.1.1.2 故障響應(yīng)服務(wù)除了現(xiàn)場(chǎng)值守服務(wù)方式外，同時(shí)，提供 7X24小時(shí)故障響應(yīng)服務(wù)具體包括：? 維護(hù)期內(nèi)提供電話、傳真、電子郵件等方式的咨詢和支持服務(wù)。? 主要系統(tǒng)設(shè)備出現(xiàn)故障時(shí)，15分鐘內(nèi)響應(yīng)，當(dāng)現(xiàn)場(chǎng)維護(hù)工程師或節(jié)假日值班維護(hù)工程師無(wú)法排除故障時(shí)，1小時(shí)內(nèi)中心派專業(yè)工程師趕赴

25、現(xiàn)場(chǎng)進(jìn)行故障診斷及處理，在1小時(shí)內(nèi)排除普通故障，2小時(shí)內(nèi)排除較 大故障，4小時(shí)內(nèi)排除重大故障，24小時(shí)內(nèi)排除特大故障。? 一般故障，正常工作日內(nèi)響應(yīng)。4.1.2 其他時(shí)間及夜間服務(wù)當(dāng)系統(tǒng)在非工作日出現(xiàn)異常時(shí)，維護(hù)團(tuán)隊(duì)現(xiàn)場(chǎng)人員將在1小時(shí)內(nèi)趕赴現(xiàn)場(chǎng)并 排除系統(tǒng)普通故障，特大故障將在 24小時(shí)內(nèi)處理完畢。具體聯(lián)系方式包括：通過(guò)維護(hù)團(tuán)隊(duì)提供的7X 24小時(shí)響應(yīng)服務(wù)熱線；現(xiàn)場(chǎng)維 護(hù)人員通過(guò)移動(dòng)通信網(wǎng)絡(luò)（當(dāng)運(yùn)維管理系統(tǒng)具備短信故障報(bào)警通知功能時(shí)） 接收 到系統(tǒng)報(bào)警信息；或維護(hù)人員接到服務(wù)請(qǐng)求電話時(shí)。4.1.3 臨時(shí)保障服務(wù)當(dāng)遇到重大活動(dòng)需要提供臨時(shí)保障服務(wù)時(shí)， 維護(hù)團(tuán)隊(duì)須在需要保障服務(wù)的前 三天進(jìn)駐現(xiàn)場(chǎng)，

26、并對(duì)所有設(shè)備進(jìn)行臨時(shí)性安全檢查，排除安全隱患，以做到萬(wàn)無(wú)一失。144.1.4 月度檢查每月對(duì)各系統(tǒng)及設(shè)備進(jìn)行檢查， 進(jìn)行安全系統(tǒng)、防病毒系統(tǒng)檢查，進(jìn)行漏洞 掃描，并對(duì)檢查中存在的故障及安全隱患進(jìn)行處理。 每月第一周向用戶單位提交 上月的月度巡檢報(bào)告，報(bào)請(qǐng)用戶單位審批簽署。4.1.5 季度檢查每季度對(duì)由維護(hù)團(tuán)隊(duì)的專業(yè)維護(hù)隊(duì)伍對(duì)所有設(shè)備進(jìn)行安全評(píng)估和風(fēng)險(xiǎn)分析， 提交完整的安全狀況評(píng)估報(bào)告，分析存在的安全漏洞情況，提出整改方案和建議。4.1.6 年度檢查每年由維護(hù)團(tuán)隊(duì)組織相關(guān)的專家（含硬件和軟件）對(duì)整個(gè)系統(tǒng)進(jìn)行安全檢查， 對(duì)每個(gè)硬件設(shè)備使用狀態(tài)進(jìn)行風(fēng)險(xiǎn)評(píng)估， 并對(duì)下一年可能存在的問(wèn)題進(jìn)行風(fēng)險(xiǎn)預(yù) 測(cè)，

27、對(duì)每個(gè)設(shè)備的狀態(tài)出具使用報(bào)告。4.2 服務(wù)隊(duì)伍要求要求維護(hù)團(tuán)隊(duì)擁有強(qiáng)大的技術(shù)支持力量，擁有穩(wěn)定的專業(yè)化的技術(shù)支持服務(wù) 隊(duì)伍，完善的技術(shù)支持服務(wù)體系?，F(xiàn)場(chǎng)服務(wù)人員負(fù)責(zé)網(wǎng)絡(luò)的監(jiān)控、簡(jiǎn)單故障的解決，接聽(tīng)技術(shù)熱線?，F(xiàn)場(chǎng)服務(wù)人員按照計(jì)劃對(duì)現(xiàn)場(chǎng)工作終端、樓層設(shè)備、機(jī)房及機(jī)房設(shè)備等進(jìn)行 例行巡檢。技術(shù)專家負(fù)責(zé)重大故障的處理，定期對(duì)運(yùn)行情況進(jìn)行分析，并提出整改或優(yōu) 化方案和建議。4.3 服務(wù)流程要求4.3.1 主動(dòng)式服務(wù)（1）定期預(yù)防性維護(hù)服務(wù)維護(hù)團(tuán)隊(duì)根據(jù)系統(tǒng)維護(hù)服務(wù)計(jì)劃或用戶要求為用戶提供定期預(yù)防性維護(hù)服 務(wù)。此類服務(wù)是有計(jì)劃有步驟進(jìn)行的，目的是為了提高系統(tǒng)的可使用率和高可靠 性，把系統(tǒng)故障的可能性降低到最

28、低。在硬件維護(hù)方面，要求維護(hù)團(tuán)隊(duì)工程師每 兩周進(jìn)行一次現(xiàn)場(chǎng)例行檢查，為用戶維護(hù)硬件設(shè)備，并為用戶替換那些雖然能夠 工作但不是很正常的部件，以避免系統(tǒng)崩潰的情況發(fā)生，防患于未然。在系統(tǒng)服務(wù)方面，投標(biāo)方應(yīng)指定預(yù)防性服務(wù)級(jí)別，安裝預(yù)防性PTF軟件（補(bǔ)丁軟件）檢測(cè)系 統(tǒng)運(yùn)行狀況，解決系統(tǒng)軟件問(wèn)題，使用戶的系統(tǒng)保持良好的運(yùn)行狀況。15(2)系統(tǒng)運(yùn)行健康檢查維護(hù)團(tuán)隊(duì)?wèi)?yīng)提供一月一次的系統(tǒng)運(yùn)行健康檢查，按計(jì)劃由專家定期對(duì)主機(jī)系統(tǒng)性能進(jìn)行診斷，根據(jù)結(jié)果出具性能診斷報(bào)告，并征得用戶同意后調(diào)整系統(tǒng)參數(shù)， 使系統(tǒng)始終在最佳狀態(tài)下運(yùn)行。對(duì)可能出現(xiàn)的問(wèn)題提供科學(xué)預(yù)測(cè)， 并采取必要的 預(yù)防和補(bǔ)救措施，防患于未然。(3)系統(tǒng)

29、運(yùn)行狀況分析每季一次對(duì)系統(tǒng)的運(yùn)行狀況分析。提供本項(xiàng)目系統(tǒng)設(shè)備和PC服務(wù)器設(shè)備運(yùn)行狀態(tài)和性能的分析、評(píng)估服務(wù)，以提高系統(tǒng)的可靠性、可用性和整體性能。每 年一次向用戶提交詳細(xì)的系統(tǒng)可用性、安全性、運(yùn)行狀況分析等預(yù)防性維護(hù)策略、 報(bào)告和總結(jié)。4.3.2 糾錯(cuò)性維護(hù)/維修服務(wù)維護(hù)團(tuán)隊(duì)?wèi)?yīng)提供電話技術(shù)支持服務(wù)或到場(chǎng)維修服務(wù)。 在部件服務(wù)方面，維護(hù) 團(tuán)隊(duì)?wèi)?yīng)及時(shí)確認(rèn)故障原因，并更換故障部件，恢復(fù)系統(tǒng)正常運(yùn)行。解決系統(tǒng)軟件 問(wèn)題，恢復(fù)系統(tǒng)軟件正常運(yùn)行，作系統(tǒng)備份，遞交系統(tǒng)檢查報(bào)告等。4.4 服務(wù)響應(yīng)要求4.4.1 日常服務(wù)響應(yīng)時(shí)間由于針對(duì)本項(xiàng)目采用的駐留現(xiàn)場(chǎng)服務(wù)方式， 維護(hù)團(tuán)隊(duì)需指派駐3名資深工程 師采取同步的

30、作息時(shí)間，因此，現(xiàn)場(chǎng)服務(wù)的響應(yīng)時(shí)間為及時(shí)響應(yīng)。4.4.2 事故分級(jí)響應(yīng)服務(wù)時(shí)間各級(jí)故障事件的最晚響應(yīng)時(shí)間為:確認(rèn)時(shí)間一級(jí)故障事件二級(jí)故障事件三級(jí)故障事件四級(jí)故障事件1小時(shí)技術(shù)服務(wù)人員4小時(shí)專業(yè)工程師技術(shù)服務(wù)人員24小時(shí)技術(shù)支持專豕專業(yè)工程師技術(shù)服務(wù)人員48小時(shí)服務(wù)項(xiàng)目經(jīng)理服務(wù)項(xiàng)目經(jīng)理專業(yè)工程師技術(shù)服務(wù)人員故障事件等級(jí)劃分如下：? 一級(jí)故障事件：現(xiàn)有的網(wǎng)絡(luò)或系統(tǒng)停機(jī)，或遭到嚴(yán)重攻擊行為或安全事件，對(duì)信息系統(tǒng)的業(yè)務(wù)運(yùn)作有重大影響；? 二級(jí)故障事件：現(xiàn)有網(wǎng)絡(luò)或系統(tǒng)的操作性能嚴(yán)重降級(jí)， 或由于網(wǎng)絡(luò)性能 失?；虬踩录?yán)重影響信息系統(tǒng)用戶業(yè)務(wù)運(yùn)作；16? 三級(jí)故障事件：網(wǎng)絡(luò)或系統(tǒng)的操作性能受損，安全事件

31、（例如病毒在小范圍內(nèi)發(fā)作），但大部分業(yè)務(wù)運(yùn)作仍可正常工作；? 四級(jí)故障事件：在網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、安全設(shè)備功能、安裝或配置方 面需要調(diào)整或優(yōu)化。本級(jí)故障事件對(duì)信息系統(tǒng)的業(yè)務(wù)運(yùn)作幾乎無(wú)影響， 或影響很小。依據(jù)事故重要性和緊急性的原則，每一級(jí)事故嚴(yán)格定義升級(jí)時(shí)間為2小時(shí)， 其中在二級(jí)事故和一級(jí)事故應(yīng)急處理過(guò)程中，要及時(shí)考慮替代恢復(fù)方案，盡可能 在最短的時(shí)間內(nèi)恢復(fù)業(yè)務(wù)系統(tǒng)。 其中三級(jí)事故的處理，駐場(chǎng)服務(wù)人員在事故響應(yīng) 1個(gè)小時(shí)內(nèi)，如果不能快速判斷問(wèn)題所在，可以尋求整個(gè)服務(wù)團(tuán)隊(duì)的支持。在一、 二級(jí)事故判斷中，服務(wù)人員在監(jiān)控中發(fā)現(xiàn)問(wèn)題，一方面應(yīng)迅速將問(wèn)題向部門領(lǐng)導(dǎo) 進(jìn)行反應(yīng)，一方面須快速判斷問(wèn)題和收集事故信息， 涉及到具體產(chǎn)品提供商或服 務(wù)商內(nèi)，及時(shí)告知客戶協(xié)調(diào)相關(guān)廠商現(xiàn)場(chǎng)支持。為保障業(yè)務(wù)平臺(tái)的正常運(yùn)行，除 對(duì)突發(fā)故障的應(yīng)急支持外，要充分保障日常對(duì)業(yè)務(wù)系統(tǒng)軟硬件的應(yīng)急災(zāi)備恢復(fù)預(yù) 案，并通過(guò)定期的演練加強(qiáng)應(yīng)對(duì)突發(fā)事故的意識(shí)和流程。4.5 服務(wù)報(bào)告要求維護(hù)團(tuán)隊(duì)定期提供服務(wù)報(bào)告，服務(wù)期結(jié)束前應(yīng)提供服務(wù)年報(bào)，并對(duì)每一次重 大故障和問(wèn)題的原因、解決方法、 完成情況等形成專門報(bào)告，及時(shí)報(bào)送用戶部門 和服務(wù)管理部門。在運(yùn)維服務(wù)過(guò)程中將產(chǎn)生不限于以下的記錄和報(bào)告：?