序号

标的名称

品目分类编码

计量单位

数量

是否进口

1

四川省妇幼卫生信息平台安全运维

C******-安全运维服务

项

1

否

技术要求
（功能和质量要求）

本章中标注“★”号的条款为本项目的实质性要求，供应商应全部满足，否则其投标文件作无效处理。“▲”符号的条款为本项目的重要参数条款，未标识符号的条款为一般参数条款。

（一）WAF

1. 支持镜像检测模式及镜像阻断模式。

▲2. 防暴力破解，可支持频率阈值，动态令牌以及频率阈值+动态令牌等三种方式实现暴力破解防护。（投标时提供功能截图加盖投标单位公章）

3. 网站自学习建模，通过学习URL、host等信息展示网站结构树形图，并支持对URL的访问量和响应健康度进行图形化统计。（投标时提供功能截图加盖投标单位公章）

▲4. 通过BGP方式对流量进行牵引，并在清洗攻击后回注，回注过程支持设置SNAT策略。（投标时提供功能截图加盖投标单位公章）

5. 虚拟补丁功能，导入appscan等第三方扫描器的扫描结果生成WAF的规则，对此类网站漏洞直接防护。

▲6. 利用威胁情报规则进行防护，并基于威胁情报的日志查询。（投标时提供配置界面及日志截图加盖投标单位公章）

（二）网站安全防护服务

★1. 实时带宽峰值≥10M，支持一级域名个数≥1个，支持2级域名个数≥10个。

★2. 通过DNS别名将四川省妇幼卫生信息平台的域名指向到云端进行安全防护。

3. 分权分域，分级管理，能为每个网站用户单独创建用户账号，用于查看网站和系统的安全状况，监管用户可关注、查看所有下属机构的网站和系统整体情况。

4. 检查提交的报文是否符合HTTP协议框架，如异常的请求方法、特殊字符、重点字段的缺失、超长报文造成的溢出攻击以及对高危文件的访问等；

▲5. 区域访问控制，限制国外用户或者国内以市为最低行政单位的区域进行访问控制。（投标时提供功能截图并加盖投标单位公章）

6. 一键关停功能，当网站出现紧急安全事件时，可在一分钟内通过手机APP、浏览器、微信公众号一键完成关停，防止产生恶劣影响。（投标时提供功能截图并加盖投标单位公章）

▲7. 访问日志记录与查询功能，可根据域名、URL、客户端IP、返回码、访问区域、访问时间段进行查询，查询后的日志数据可导出Excel文件。（投标时提供功能截图并加盖投标单位公章）

（三）主机安全服务

★1. ******管理中心1套，服务器授权≥40个。

★2. 支持Windows server 2003、Windows server 2008、Windows server 2012、Windows server 2016、Win xp 、Win 7、Win 8、Win 10、Centos 5.0 +、Redhat 5.0 + 、Suse11 +、Ubuntu 14+等操作系统。

▲3. 具备专门的针对已知和未知勒索病毒的防御引擎，并提供功能开关项，对于已知勒索病毒确保进程无法启动，对于未知勒索病毒确保无法加密。（投标时提供功能截图证明材料并加盖投标人鲜章）

4. 支持系统漏洞扫描和修复功能，支持扫描的漏洞类型包括但不限于操作系统漏洞（Windows、Linux等）、数据库漏洞（Mysql等）、Web容器漏洞（Tomcat、Apache、Ngnix等）、其他组件漏洞。

5. 具备高级威胁防护策略下发功能，下发策略包括单机扩展、隧道搭建、内网探测、远控持久化等。

6. 违规外联支持黑、白名单双模式，白名单模式可配置是否允许访问特定的网站和地址；黑名单模式可自定义恶意IP，支持黑名单告警和阻断。（投标时提供功能截图证明材料并加盖投标人鲜章）

（四）云日志审计系统

★1. 配置可审计日志源授权数量≥50个。

2. 以Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议方式对主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等进行日志收集，并对收集到的日志进行标准化、归一化解析，解析规则可以根据客户要求定制扩展。

▲3. 服务工具编辑网络拓扑并与资产进行绑定，并在拓扑视图中显示资产相关信息。

4. 内置非法访问、可疑入侵、病毒爆发、设备异常、弱点针对等6大类50子类的安全分析场景。

▲5. 支持通过资产、安全知识库、弱点库等维度分析事件是否存在威胁，并形成关联事件。

6. 服务工具通过上传解决方案包的方式进行功能扩展，无需要代码开发。（投标时提供功能截图证明材料并加盖投标单位鲜章）

★7. 日志保存周期≥6个月。

（五）云防火墙

★1. 吞吐量≥500Gbps，适配入侵防御模块，防病毒模块。

2. 通过网络层控制、入侵防御、恶意代码防护等防护能力。

3. 实现IPv4/v6双栈协议的源地址转换、目的地址转换。

4. 基于多元组的访问控制，并提供智能策略分析功能，支持策略命中分析、隐藏策略分析、冗余策略分析、冲突策略分析、可合并策略分析、过期策略发现、空策略发现、策略宽松度分析，并在web页面显示分析结果。

▲5. 对内网服务器进行端口扫描，确定目标服务器是否存在潜在威胁。

6. 可实现与主机安全及管理系统协同工作，实现终端在访问特定IP/网段时需安装主机安全及管理系统，否则拒绝访问并重定向主机安全及管理系统的安装页面。

7. 基于攻击不同阶段来匹配并展示攻击者发起攻击的具体状态，资产遭受到攻击的具体状态。可展示具体攻击链，并可对威胁进行取证。（投标时提供功能截图证明材料并加盖投标人鲜章）

★8. 日志保存周期≥6个月。

（六）云堡垒机

★1. 配置可管理设备数量≥50个，字符类并发会话≥50个。

2. 基于不同的用户设置不同的双因子认证模式。

▲3. 自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系并可自动完成授权。

4. 服务工具内置VPN模块，可实现运维入口安全接入。

5. IE/Chrome代填应用发布HTTP/HTTPS协议的web设备，且可以直接代填账号和密码。

★6. 日志保存周期≥6个月。

（七）云数据库审计

★1. 配置可审计数据库实例数量≥5个，峰值SQL处理能力≥8000TPS。

2. 对Oracle、SQL Server、DB2、Informix、Sybase、MySQL、MariaDB等主流数据库进行审计。

3. 支持行为模型的配置，配置的维度包括客户端工具名、数据库用户名、客户端IP、数据库名及操作类型等。

4. 基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登录账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询。

▲5. 审计信息能够记录执行时长、影响行数、执行结果等。

▲6. 通过内置SQL注入、账号安全、数据泄露和违规操作等规则进行风险告警。

★7. 日志保存周期≥6个月。

（八）数据保密服务

1. 对存储在服务器、数据库、存储库中的结构化数据和非结构化数据进行检查、审计，根据现有安全策略确立数据分级分类管理以及风险评估，检测预警和应急处置等数据安全管理各项基本制度。

2. 建立异地数据备份制度，并且每月进行一次数据全量备份，异地存放。

★3. 安全保密审查，对相关运维人员的安全保密工作进行检查，签订数据保密协议。

（九）异地备份服务要求

★1. 数据传输专线不得采用互联网公网传输，必须是隔离互联网的点对点数据专线，带宽≥10M。

▲2. 数据容量1T，可自定义备份策略，可增量备份，全量备份，可自动恢复。（投标时提供软件截图证明并加盖投标人鲜章）

▲3. 备份数据存放地点需通过等保三级网络测评。（投标时提供备案证书复印件并加盖投标人鲜章）

▲4. 至少保留最近3次备份数据。

（十）漏洞扫描服务

★1. 漏洞扫描子域名或IP数量：≥10个；提供≥4次在线漏洞扫描服务。

2. 提供主机及网站资产提供云端漏洞扫描服务，快速发现网站或主机漏洞风险，防止攻击者通过漏洞植入后门、窃取核心数据、破坏服务器等，持续地发现暴露在互联网边界上的常见安全风险。

3. 厂商漏洞策略库≥50000条；提供详细的漏洞描述和对应的解决方案描述，漏洞知识库与国际CVE、国内CNNVD漏洞库标准兼容。

4. 具备弱口令扫描功能，提供多种弱口令扫描协议，包括SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS、RTSP等协议进行弱口令扫描，允许用户自定义用户、密码字典。

5. 对误报的漏洞进行修正，避免将误报结果导出。

6. 对信息系统内的网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞扫描。

（十一）风险评估服务

1. 梳理客户现有资产清单。从机房侧物理资产设备，资产内容包括：业务系统、数据库、服务器、核心网络设备、安全设备等。

2. 通过互联网搜索引擎对互联网资产清单进行梳理。重点利用单位域名、单位名称等关键词梳理互联网的资产信息。

3. 对数据中心的物理安全环境、网络、服务器等环境区域进行调研，基于调研结果做综合安全分析。

4. 针对信息系统安全管理制度、组织、流程、信息系统情况等进行综合调研。

5. 对信息系统内的网络设备、操作系统、数据库、中间件和服务等进行安全配置核查。

6. 模拟黑客对网站漏洞及漏洞利用风险进行全面测试。目的在于充分挖掘和暴露系统的弱点。

7. 通过阅读开发文档和源代码，利用专业能力并结合分析工具对应用程序进行深入分析，高效发现安全漏洞和不安全编程问题；交付代码审计报告。

8. 提升安全治理水平。基于配置核查、漏洞扫描、渗透测试等报告，全面分析整个网络信息系统风险情况，出具整体建设建议。

（十二）安全运维要求

1. 人员管理

（1）遵守采购人信息系统管理规定、机房管理规定、应急管理规定、第三方和外包人员管理规定，接受采购人不定期组织的安全培训和考核。

（2）原则上应派遣熟悉系统业务功能、熟悉采购人应用环境的工程师进行运维服务，在运维不顺畅的情况下，采购人有权要求投标人更换工程师。

（3）所有运维人员应具备无犯罪记录证明，并由中标人不定期开展背景调查。

2. 过程管理

★（1）建立完善的用户反馈机制，并集中管理和体系化分析所有用户反馈的各类问题或意见，每季度向采购人进行一次书面报告。报告内容包括但不限于系统日常维护记录、技术问题解答记录、远程技术支持服务记录以及高频问题解决措施或优化方案等。（提供承诺函并加盖公章）

★（2）及时编制针对性较强的操作手册，包括反馈频次超过3次的问题、近期更新的模块、新上线的业务等，在必要时编制培训材料并进行培训。（提供承诺函并加盖公章）

（3）常态化开展安全巡检，每月不少于一次，并在重大节假日前配合院方做好安全防护、安全巡检等工作以及节假日保障，并向采购人提供巡检报告，报告内容应最少包含巡检范围、巡检项目、巡检汇总结果、中高风险问题。

★（4）每月月初5个工作日内提交中标人签字盖章后的上月运维报告，报告内容应最少包含项目概况（基本信息、运维范围/项目清单）、运维回顾（所有待完成事项、本运维周期工作目标）、本运维周期运维情况（例行巡检、日常任务（缺陷/需求/保障）、安全防护）、协同推进（意见反馈、需要院方处理的事项、同类型业务最新动态）、下一个运维周期工作目标。

★（5）日常用户咨询与技术支撑，对使用过程中出现的技术问题、业务问题进行解答和技术支持，包括现场服务、7*24小时线上或者电话服务，并在必要时提供培训。

3. 合规运维

★（1）在运维过程中，原则上使用采购人提供的VPN+堡垒机的方式进行运维，不得违规接入任何具有存储功能的电子设备，不得对采购人的网络进行探测与破坏，不得携带病毒文件到采购人的各类信息设备。

★（2）严格控制并采取必要措施对采购人在用系统中所有运行日志、业务数据、系统源代码及其他专有信息、内部管理和其他商业秘密及资料、其他敏感信息等进行保密，不得在未经采购人审批同意下篡改日志、拷贝数据、对外传播等，并定期对系统日志、操作日志进行审计与分析。（提供承诺函并加盖公章）

★（3）无条件将系统中所有的管理员账号、数据库口令账号、系统部署图、系统吞度量、统计数据等以安全的方式告知采购人，并在密码发生变更时第一时间同步给采购人。（提供承诺函并加盖公章）

4. 信息安全

▲（1）遵守相关法律法规，包括但不限于《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《中华人民共和国个人信息保护法》《移动互联网应用程序信息服务管理规定》《生成式人工智能服务管理暂行办法》《未成年人网络保护条例》《网络数据安全管理条例》《个人信息保护合规审计管理办法》《中华人民共和国保守国家秘密法》《中华人民共和国密码法》《网络安全等级保护条例》《医疗卫生机构网络安全管理办法》《医疗质量安全核心制度要点》《国家网络身份认证公共服务管理办法》《网络暴力信息治理规定》《互联网信息服务管理办法》《互联网用户账号信息管理规定》《人脸识别技术应用安全管理办法》《中华人民共和国数据安全法》。

★（2）支撑采购人开展攻防演练、等保测评、供应链检测、安全运维，并在72小时内完成中高风险的缺陷处理，包括但不限于安全漏洞修复、系统补丁更新。（提供承诺函并加盖公章）

?

商务要求

本章中标注“★”号的条款为本项目的实质性要求，供应商应全部满足，否则其投标文件作无效处理。

★四、商务要求

4.1合同履行期限（服务期限）：①建设期限：签订合同起30日内中标人完成运维准备工作，并通过采购人验收。②服务年限：一年，运维准备工作验收合格之日起开始计算。

4.2服务地点：采购人指定地点。

4.3付款方法和条件：合同签订后，中标人完成运维准备工作且验收合格后，中标人提交付款申请及发票后60日内，采购人支付合同总金额的100%。

4.4履约保证金：成交金额的10%，合同签订前收取。合同履行期限结束后，由供应商提出书面申请，采购人60日内无息退还。在合同履行期限内，供应商存在任何违约行为，履约保证金不予退还。

4.5报价要求：本次报价包含完成本项目的所有费用，包含项目调研、咨询服务、方案制定、开发测试、部署实施、数据迁移及对接、培训、税费等费用，采购人不再额外支付任何费用。

4.6验收标准

4.6.1验收组织方式：自行验收。

4.6.2是否邀请本项目的其他供应商： 否

4.6.3是否邀请专家： 否

4.6.4是否邀请服务对象： 否

4.6.5是否邀请第三方检测机构： 否

4.6.6履约验收程序：一次性验收

4.6.7履约验收时间：中标人提出验收申请之日起 30 日内组织验收

4.6.8履约验收标准：中标人与采购人将严格按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》（财库〔2016〕205号）的要求进行验收。

4.6.9其他：以招标文件技术参数及要求和相关行业标准为准。

4.7服务要求

在合同履行期限（服务期限）内，中标单位接到采购人通知后需三十分钟内响应，******保健院。

4.8其他要求

4.8.1服务期间，如果因中标人原因造成招标人违反国家卫生行政管理部门及上级相关行政部门的规定被上级部门约谈、通报及处罚等情况发生，招标人有权对中标单位进行以下处理：1.要求中标单位承担招标人实际损失；2.同时，每发生一次，要求中标单位承担中标金额的5%的违约金；情节严重的，每次中标单位需承担中标金额的10%的违约金。中标单位承担损失金额及违约金都将从合同款中扣除，扣除后不足部分由中标单位补足。

4.8.2中标人应开展备份数据恢复试验，每半年至少开展1次，以确保备份数据的安全可用可靠。

其他需求

?

无

?

序号

评分因素

分值

评分标准

说明

1

价格

10分

满足招标文件要求且投标价格最低的有效投标报价为评标基准价，其投标人的报价分为10分。其他投标人的报价分按以下公式计算：报价得分=(评标基准价／投标报价)×分值。

客观分

2

投标人综合实力

10分

自2022年1月1日至今（以合同签订时间为准），投标人每提供1个类似项目业绩得2.5分，最多得10分。提供合同（协议）复印件并加盖投标人公章。

客观分

3

技术服务及商务要求

38分

完全符合招标文件“技术服务及商务要求”没有负偏离得38分。带“★”的条款为实质性参数条款，每有一条不满足将按无效响应处理；带“▲”的条款为重要条款（共16条），带“▲”的条款负偏离的，每有一条扣0.8分；未标识符号的为一般条款（共42条），每有一条负偏离的扣0.6分，扣完为止。

?

注：1.针对参数条款的响应，如果采购文件“技术、服务要求”中参数条款对支撑材料有要求，应按要求提供，否则对应参数条款将不得分。

2.带“▲”的条款以带序号“（1）”的为一条。

3.一般参数以条款最后一个序号层级进

行计数（例如：“（一）”“1”“（1）”则“（1）”为计数条款。

客观分

4

履约能力

4分

投标人提供有IT 产品信息安全认证证书的得4分，提供有效期内的证书复印件加盖投标单位公章。

客观分

5

人员要求

10分

投标人提供的人员中，每有一人具有高级信息系统项目管理师证书的得2.5分，最多得5分，投标人提供的人员中，每有一人具有注册信息安全专业人员（CISP或者CISE）证书的得2.5分，最多得5分，本项目最多得10分。提供证书复印件加盖投标单位公章。注：一人具有多个证书不重复计分。

客观分

6

项目管理与实施方案

28分

投标人提供的实施方案包含：

①项目管理方案；

②服务保障方案；

③培训方案；

④服务响应时间保障方案；

⑤紧急情况应急预案；

⑥安全防护配合方案；

⑦安全巡检实施方案；

以上7项共28分，每有一项内容缺失或与本项目无关（无关指描述中存在使用其他项目或其他采购人或与本项目无关的内容）扣4分，28分扣完为止。以上7项，每一项中每有1处存在内容缺陷扣2分，每项关于内容缺陷最多扣4分，该项扣完为止。【内容缺陷是指：内容描述有歧义、有错别字、涉及的规范及标准错误、存在不适用项目实际情况的情形、不可能实现的夸大情形】

主观分

1

四川省妇幼卫生信息平台安全运维

项

1

210000

报价合计

人民币：??????????元

（大写： ???????????????）

1

四川省妇幼卫生信息平台安全运维

项

1

210000

报价合计

人民币：??????????元

（大写： ???????????????）