网站维护要求

第三章 招标内容和服务要求

一、项目情况

为保证信息平台的安全、高效、稳定地运行，现对杭州市经济和信息化委员会（以下简称“经信委”）门户网站运维服务项目进行招标采购，通过本次采购招标，确定专业维护公司来负责门户网站运行维护服务。

本次招标内容为：杭州市经济和信息化委员会门户网站运维服务，维护服务期为合同签订之日起1年。

二、经信委网站的维护

1、信息采集要求

要求维护方配置2名采编人员，主要承担市经信委各项活动图片拍摄与文字报道等信息采集工作；采编团队应配置专业设备（摄像机、摄影机等），能及时、精准地将市经信委各项活动制作成图文特稿或视频短片发布在门户网站上。请各投标人在投标文件中写明配置的采编人员数量及其基本情况。

2、网站的信息刷新量要求

采编人员保障网站的信息刷新工作，每天网站刷新量要求在10条以上。及时做好与市经信委相关处室联系沟通，应达到信息目录编制规定的信息量。

3、网站专栏建设要求

采编人员根据各业务处室要求，策划制作各类专栏，宣传推广市经信委各项活动。

4、结合《电子政务指标》综合考评要求，做好杭州市电子政务（政府门户网站）绩效评估的各项工作

1）在“信息公开”、“办事服务”、“公众参与”、“网站性能”等方面，在市经信委的指导下，及时上传有关内容进行更新，针对提出的问题及时改进。

2）提供网站绩效考核有关技术支持。

5、配合完成中国杭州政务网市经信委平台相关栏目的信息维护工作。主要包括部门文件、公告公示、部门及公务人员信息、行政权力事项信息等，动态性做好政府信息公开工作。

6、配合完成经信委非涉密电脑文件的自检自查工作。

7、配合作好政务服务网网上政务大厅建设工作。

8、每周需现场驻点服务1天。

二、网站技术维护要求

要求维护方配置配置足够的编程人员和美工人员为网站提供技术支持，并根据经信委实际需求对网站栏目功能进行调整、升级和完善。请各投标人在投标文件中写明配置的编程、美工人员数量及其基本情况。

三、经信委网站服务器维护服务

投标人应根据招标人的实际需求结合自身的专业经验与特长优势，制定网站运维方案并在投标文件详细阐述，如日常巡检的开展、故障隐患的提前发现、故障抢修、故障设备的维修、数据库服务器备份等。具体应包括但不限于下述工作：

1、日常维护：要求提供经信委网站服务器维护服务，保证服务器24小时无故障运行。

 定期对整个机房内设备进行检查，对机房温湿度、UPS输入输出、机房服务器其性能进行分析，优化，警告问题和潜在的风险瓶颈，保证系统处于健康状态。

 当机房发生各种突发重大故障时，需及时联系相应厂商及技术支持单位，进行故障诊断及排除。

2、巡检工作：要求制定每月两次的机房安全巡检工作，要求有明确的巡检制度，巡检内容。

 对整个机房内设备进行检查，对其性能进行分析，优化，警告问题和潜在的风险瓶颈，提出书面优化建议，保证系统处于健康状态。如：交换机硬件产品电气性能的检测、防火墙的硬件的电气性能的检测、路由器的硬件的电气性能的检测、服务器系统（包括小型机、刀片）硬件的电气性能的检测、机房UPS系统的电气性能的检测、机房空调系统的电气性能的检测、机房其他设备的电气性能的检测等。

 及时上报巡检计划及巡检工作小结，并建立巡检台帐，以便服务期内供招标人检查，服务期结束时作为技术档案资料移交给招标人。在巡检维护中发生的设备（材料）维修均由投标人负责。

3、数据备份：做好数据库服务器的备份工作，要求本地、异地同时备份，要求每周、每月固定时间备份，保障数据绝对安全。

 数据恢复服务，确保系统崩溃后尽快恢复：协助用户建立全面的备份计划及灾难恢复计划，做

到有备无患。在遇到各类严重故障而导致系统崩溃后，确保在最短时间内恢复。

4、服务器维护专业人员配置：要求维护方配置服务器专业人员1名为服务器正常运行提供保障。请各投标人在投标文件中写明配置的服务器专业人员数量及其基本情况。

5、其他投标人认为需要提供的服务。

四、网站安全服务内容

1、网站安全体系规划

依据客户当前的需求（包括需要遵守的法律法规、行业规范以及国家标准），考察分析客户现有网站安全体系中不完善、不符合以及不恰当的部分，同时提出改进建议。提供1年网站安全服务。

2、网站安全体系规划主要内容

网站安全体系规划主要包含但不限于以下内容：

1）安全体系建设

针对客户业务需求，参考国家标准、行业惯例，从人员、技术、流程等多个方面进行分析，给出网站安全体系建设方案或改进建议。

2）安全策略制定

通过安全管理、安全技术等相关课程的培训，强化网站所有者以及网站管理员的安全意识，完善“预防为主，补救为辅”的主动型网站安全防御体系，协助客户制定适合自身业务特点的安全管理策

略和管理制度。

3、网站安全评估

1）操作系统安全评估

提供主流操作系统（包括AIX、HP-UX、SOLARIS、FREEBSD、LINUX、WINDOWS等）的工具扫描和人工评估服务，对评估结果进行专业的安全判定后提供评估报告。

2）数据库安全评估

通过对主流数据库系统（包括ORACLE、SQL Server、MySQL、Informix、DB2等）进行工具扫描和人工检查，查找数据库系统配置、用户权限分配等方面的安全隐患。

3）网站应用程序代码评估

通过对主流应用代码（包括asp、aspx、php、perl、jsp等）进行工具扫描和人工检查，排查在网站应用系统中可能存在的漏洞，以规避SQL注入、XSS等攻击风险。

4）网站安全加固维护

在网站安全评估的基础上，采取各种可能的技术手段，针对网站应用的特点，合理地调整操作系统、数据库系统、Web应用服务器、网站应用程序的配置参数，加强网站抵御攻击或者入侵的能力。

5）操作系统安全加固

Windows系统：补丁、文件系统、帐号管理、网络及服务、注册表、共享、应用软件、审计/

日志，其它（包括紧急恢复、数字签名等）。

6）网站应用服务器安全加固

对IIS、Apache等常见应用服务器进行安全配置。

7）数据库安全加固

对主流数据库系统（包括Oracle、SQL Server、MySQL、Informix、DB2）的补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、后门程序等进行调整。

8）服务器性能调整

通过关闭系统不需要的服务、调整系统参数等手段提高服务器的性能，降低安全风险。

9）对服务器的应用程序、管理工具进行升级。

10）对服务器的数据库系统进行检查。

11）病毒检测与查杀

当客户遇到自身无法解决的大规模病毒感染时为客户提供网站服务器的病毒检测及查杀服务。

12）日志分析

提供以下日志分析服务，帮助管理员了解整个系统的安全状况：

A、操作系统日志分析；

B、应用服务日志分析；

C、安全产品日志分析；

4、网站安全风险通告

通过电话、短信、传真、邮件等方式（客户可选择）提供网站安全风险通告服务。通告内容主要为最新的安全动态、安全技术的发展趋势，也包括时效性很强的漏洞、攻击手法、病毒码的预先通知，帮助客户的安全管理员在最快的时间内了解重要的安全信息。安全通告服务包括但不限于如下内容：

1）厂商安全通告：提供主流厂商的中文安全通告；

2）其他安全通告：操作系统、其它应用系统及安全组织的安全通告；

3）客户关心的安全技术的最新发展情况通告；

4）最新公布的漏洞及解决方法安全通告；

5）最新的病毒动态及防治；

5、网站安全事件响应

当网站由于遭受攻击、网站内容被篡改、网站系统被入侵、网站被当做攻击第三方系统的跳板等原因导致网站不能正常提供服务或者有损网站所有者的利益（包括但不限于经济利益、公司声誉、可能的法律诉讼等）时，由网站所有者提出援助请求，公司组织紧急事故响应小组进行分析并对其做出

应急处理。网站安全事件响应主要包括但不限于以下内容：

1）预案设计，应急事件处理预案设计；

2）事件处理，紧急事件处理；

3）数据修复，系统及数据修复；

4）报告与总结，回顾并整理发生事件的各种相关信息、把相关情况记录到文档中，记录的内容对有关部门的处理工作具有重要意义，而且对将来应急工作的开展是非常重要的经验积累。

五、制订应急预案

要求制订应急预案包括：网站安全应急预案、网络安全（入侵、攻击类）应急预案、机房安全应急预案、病毒爆发应急预案等以及投标人认为其它必要的预案。

六、人员配置

投标人须构建由足够数量的各类专业服务人员组成的项目服务团队为本项目服务，团队负责人应有较强的组织领导能力和协调能力，具有较强的专业技术能力、组织、操作与管理能力和应急处理能力、组织和安排的能力；具有承担相类似运维服务项目的经验。投标人应根据招标文件的上述要求配置各类专业服务人员，并须在投标文件中提供详细团队人员组成清单。中标后，团队负责人和主要成员未经招标人同意不得更换。

七、其他

特殊情况下的现场值班服务。遇有法定节假日或重大活动，服务提供方应主动提前提供值班工程

师名单及联系电话，做到客户呼叫即时响应并及时到达客户现场，给予现场技术支持与协助。

保密服务承诺。服务方在提供服务和维修的过程中，获悉的一切资讯均需严格保密，不得自行使用或给他人使用，如有泄漏或擅自使用或允许他人使用用户信息造成损失的必须承担相应的民事赔偿责任。