一、扬州市审计局机房信息安全系统及网络系统维护内容包括：

1、系统硬件维护（包括故障部件更换）服务；

2、各类系统相关设备技术培训；

3、各类系统的清洁保养服务（含耗材）；

4、各类系统维护需要的其他服务内容等；

5、网络故障应急预案，设备每个月一次巡检，出具巡检报告；

6、投标人根据询价文件所提出的要求，综合考虑项目的适应性，以高素质的技术人员、完善的服务体系、快捷的响应为采购单位提供优质可靠的设备及维护服务；

7、对采购单位的维护设备提供产品备件服务;

二、技术服务要求及规范

1、维护技术服务要求

（1）保修服务级别：所有设备及服务要求必须提供7×24小时维护服务。

（2）硬件基本服务要求：硬件的损坏修复，设备零配件的更换修复，以及在无法修复时提供不低于原型号的硬件设备备件，并且负责还原设备上相关软件环境的部署及配置、设备维护，系统故障诊断、安装及维护，整体网络设备故障诊断、安装及维护。

（3）远程电话支持服务要求：要求服务商提供7×24不间断的热线服务电话技术服务支持，不限次。

（4）维护服务要求：工作日上班时间，服务商须派遣至少一名认证工程师在公司待命以快速响应服务（投标人应具备不少于2人的数据中心云计算和网络安全技术运维团队，其成员同时具备CISP-PTE认证证书是由中国信息安全测评中心推出的注册信息安全专业人员-渗透测试工程师证书及天融信网络安全产品的厂家认证维护服务技术人员证书及新华三网络产品的H3CTE认证工程师证书；非工作日及工作日下班时间，服务商须提供7×24小时的服务（故障响应时间：宕机故障，0.5小时响应，2小时到达现场。发生不影响正常工作的一般性故障1小时响应，4小时到达现场。）服务商不得擅自调换工程师，如遇特殊原因，须报采购单位，经采购单位书面同意后方可调换。

（5）系统定期预防性维护服务：对清单中设备进行最少每季度一次的巡检。

（6）结合本单位的实际，对可能出现网络故障服务商提供应急预案。

（7）技术培训服务：成交方在成交后须为采购单位提供每年一次的设备技术培训。

（8）如未按规定完成上述所要求的技术服务，每发生一次扣5000元，若三次（含）以上故障期间投标人均无法兑现维护要求的，询价人有权力单方面终止合同，且由此带来的一切损失由成交方负责。

（9）投标人在接到电话故障报告后30分钟内无法到达现场，1小时内无法做出实质性响应的从当年费用扣除1万每次；规定时间（24小时内）无法解决设备故障或无能力提供备机的从当年费用扣除2万每次。

2、技术方案要求：

投标方应提供详细的组织实施技术方案，包括但不限于以下内容：

 （1）投标方技术力量及技术支持手段介绍、人员安排。

 （2）设备维护组织实施计划：包括技术支持与客户系统维护流程等，要求内容完整，描述清晰具体，包括技术交流、定期巡检及巡检报告、保障流程规范、服务岗位职责等。

 （3）故障处理分析及预防和应急措施。

 （4）现场服务、技术故障解决时间、设备故障解决时间承诺。

 （5）相关表格：包括例行检查维护保养报告、样式性能分析报告和系统优化建议书、故障分析报告样式等。

 （6）其他投标人认为需要说明的内容。

3、项目投标报价要求:

投标报价包括材料费、服务费（含维修、维护费）、安装调试费、培训费和税金等所有费用，投标方所投报的投标报价为投标方所能承受的整个项目的一次性最终最低报价，如有漏项，视同已包含在其它项目中，合同总价和单价不做调整。

4、备件要求：
  （1）投标方应具备一定规模的备件库，具体如下：
   投标方备件库：至少能满足本系统目前所有软硬件产品及配件，判定需要更换备件和备件到达现场的总时间不超过4小时。
    （2)投标方提供的备件必须是高质量的元器件，能够确保系统长期稳定、可靠地运行。若出现由于投标方提供的备件不满足要求或其所提供技术支持和服务不全面而导致系统功能无法实现或不能完全实现，由投标方负全部责任。

三、系统运维服务

为确保采购单位相关设备完好，运转正常，驻场技术服务包括规范性日常维护，故障应急响应，设备问题解决等范围，具体工作内容如下：

1、设备应用

(1)负责对所有设备（维护设备一览表）的应用操作，每半年提交一次每个设备的配置和存储应用情况报告、网络拓扑报告、IP分配报告，并负责对扬州市审计局的相关工作人员进行培训；

(2)掌握设备的运行情况，就保修期、存储空间等及时进行提醒；

(3)建立相关系统软件各种故障的恢复流程及应急措施；

(4)协助数据中心进行机房升级、设备搬迁、网络改造等工作。

(5)安全加固：

 1、安全加固服务基本要求

对我局机房相关软硬件系统的问题、漏洞及风险提供相应的安全加固方案，并根据相应系统管理人员的意见组织实施安全加固。

2、信息系统加固范围

1）网络设备安全加固

包括：禁用不必要的网络服务、修改不安全的配置、利用最小特权原则严格对设备的访问控制、及时对系统进行软件升级、提供符合IPP要求的物理保护环境等。对网络设备进行检测评估，提出可行性的加固方案。

2）操作系统安全加固

包括：检查系统补丁、停止不必要的服务、修改不合适的权限、修改安全策略、检查账户与口令安全、开启审核策略、关闭不必要的端口等。

(6)数据安全服务：

1、详细技术服务要求

1)安全规范类（API）：应包含以下检查项，鉴权信息在URL中、在cookie中保存密码、未禁用目录浏览、脆弱应用在公网暴露、敏感信息在URL中。

2）高危接口类：应包含以下检查项，任意短信发送、数据库查询接口、命令执行接口、指定文件下载接口。

3）口令认证类：应包含以下检查项，明文密码透出、登录弱密码、登录认证不合理、明文密码传输、密码透出、登录提示不合理。

4）数据暴露类：应包含以下检查项，脱敏策略不一致、调试信息泄露接口、单次数据量过大、返回数据量可修改、单次返回数据类型过多。

5）访问权限类：应包含以下检查项，接口未鉴权、接口参数可遍历。

6）数据泄漏类：应包含以下检查项，IP执行参数遍历、IP执行翻页遍历、境外IP拉取大量数据、API单次返回大量敏感数据、异常请求查询敏感数据、IP访问次数异常。

7）账号安全类：应包含以下检查项，IP高频撞库、账号暴力破解、登录API存在弱密码登录账号。

8）web攻击类：SQL注入、路径试探、SSRF攻击。

四、维护设备一览表:

注：成交后，签订合同前需核验公司维护能力资料如下：工程师具备CISP-PTE认证证书是由中国信息安全测评中心推出的注册信息安全专业人员-渗透测试工程师证书，提供网上认证截图证明；提供天融信网络安全产品的厂家认证维护服务技术人员证书（原件备查）；提供新华三网络产品的H3CTE认证工程师证书（原件备查）；

四、投标资料提交要求

（一）投标时应提交的资料

1.根据评定规则提交相应材料及证明材料复印件，加盖公章；

2.投标资料应予以密封，并加盖公章。

（二）投标截止时间

2024年12月13日18:00（邮寄以邮戳为准）。

（三）投标资料报送地址

扬州市审计局1201室（扬州市文昌西路525号11号楼）。

联系人：齐奇；电话：0514-87365017。

廉政监督人：徐浩；廉政监督电话：0514-87365795。

特此通告。