南昌市洪都中医院数据中心整体维保及服务项目询价调研公告

（略）运维需要，（略）整体维保及服务项目，欢迎符合资格条件的单位：（略）
一、项目名称：（略）
二、项目年限：二年或三年
三、项目基本需求：
本次项目是对（略）（略）机房中服务器、存储、UPS、网络设备、（略）的运行维护服务，（略）的日常运维，并保证业务稳定运行的最大可持续性；业务数据的最大可靠性与安全性；对于潜在问题的及时发现及处置，防止事故的发生；采用标准化服务管理体系，规范服务流程、完善服务记录；提供更为全面的服务，提供对业务应用的进一步支持。
（略）络安全事件频发，攻击手段不断增多，攻击的内容更有针对性，（略）络安全工作，（略）络安全突发事件，为日常业务提供可靠支撑。
维护设备清单
2026年除原有维保设备外，新增维保设备如下：
1.协助配合服务
（略）络相关建设、改造工作，（略）络环境准备、相关设备采购建议、网络运维保障人员及资源的协调、（略）络改造提供合理化建议、网络相关的信息化项目论证。
供应商需按照采购方要求对其他相关工作进行协助配合。
2.响应时间要求
为采购方提供7×24小时全天候服务响应，供应商应具备400或800运维服务热线，配备服务热线处理专班，确保随时响应采购方电话或Email服务请求。
1）一级故障定义及响应要求：因软硬件故障，（略）停止服务，故障级别定义为一级故障；一级故障发生后，供应商工程师应在接单后2小时内到达现场，应在4小时内解决。
2）二级故障定义及响应要求：因软硬件故障，存在造成业务停顿，数据丢失等风险，故障级别定义为二级故障；二级故障发生后，供应商工程师应在接单后2小时内到达客户现场，并根据采购方要求和实际情况提供现场或电话支持，应在6小时内解决故障（不涉及停机）。
3）三级故障定义及响应要求：因软硬件故障，（略）不能正常使用，但无业务停顿或性能下将，故障级别定义为三级故障；三级故障发生后，供应商工程师应在接单后4小时内到达客户现场，并根据采购方要求和实际情况提供现场或电话支持，应在12小时内解决故障（不涉及停机）。
4）四级故障定义及相应要求：除一级，二级，三级外的故障，均为四级故障；四级故障发生后，供应商工程师应在接单后30分钟内与采购方联系，并根据实际情况提供现场或电话支持，应在1天内解决故障（不涉及停机）。
5）服务达标率：（略）可用性（（略）本身故障）平均值≥99%。
3.服务器存储维护服务
供应商需针对维护设备清单范围内服务器、存储设备提供技术支持及硬件维保服务，（略）机房的安全稳定运行，及时发现设备隐患并排查故障，并提供7*24小时不间断服务。
（略）架构设备巡检。及时消除故障隐患，（略）健康运行。巡检要求如下：
1）检查各硬件的告警信息，对告警进行认真分析诊断，采取相应措施，消除故障和问题；
2）收集各硬件的日志信息，对日志进行全面分析诊断，采取相应措施，消除故障隐患；
3）检查各硬件的资源使用情况，如CPU、内存、硬盘使用量，剩余容量等，提出合理的资源优化升级建议。
（略）安装调试服务，（略）的安装调试、软件维护。
供应商需制定故障事件应对预案，根据各种可能发生的情况，制定快速、可行、有效、安全的应对措施。
供应商提供宏杉存储原厂服务，并提供相关的数据恢复服务，报价时提供原厂售后服务承诺函原件。
（略）络设备维护服务
3.1.日常维护
（略）络设备提供技术支持及硬件维保服务，（略）机房的安全稳定运行，及时发现设备隐患并排查故障，并提供7*24小时不间断服务。
3.2.月度巡检
供应商提供月度巡检服务，详细记录每一项巡检服务内容的检查情况及有关指标参数。巡检服务内容包括以下：
1）对网络设备、安全设备运行状态进行巡检；
2）检查各设备的运行指示灯是否正常；
3）线缆是否断开等异常现象；
4）监控显示器工作是否正常；
5）查看交换机的各个指示灯的状态、端口状态；
6）对服务器的内存使用率、CPU占用率等信息进行查看；
7）巡检时，对交换机及服务器设备进行清洁，保证交换机、服务器的通风；
8）定期更改服务器用户名和密码；
9）（略）络配置合理性，（略）络现状；
10）（略）络设备进行配置的备份；
11）（略）络拓扑图，对网络现状评估，（略）络风险点。
供应商需建立日常操作及标准操作知识库对现有的巡检表格及例行操作进行整理归档并形成知识库。
3.3.预防处理措施
3.4.配置管理服务
供应商需对现有的基础架构环境做一次配置管理基线、信息必须保证是完整可用的。
在故障排除过程中，如涉及对设备配置进行变更的，需通过配置管理办法对配置管理文件做及时变更，保证配置管理文件的有效性。
3.5.故障处理服务
供应商发现或被告知故障时，（略）络设备故障诊断、追踪，定位出故障点，进行故障排除。对于暂时不能确认并已隔离的故障，通过进一步测试分析故障原因并及时采取措施以将故障造成的损失降到最低，如遇无法解决故障及时上报采购方相关部门。
（略）络突发事件，如网络出现大面积无法访问情况，及时上报相关信息到采购方相关部门，除协调运维服务商或厂商处理突发事件外，还需按照采购方应急预案应对突发事件并形成突发事件报告上报到采购方相关部门。
3.6.设备升级服务
1）设备清单中安全产品（态势感知、探针设备，EDR,WAF,防火墙、日志审计、漏洞扫描、网络准入）需提供原厂软件升级服务，并提供相关的技术服务。
2）供应商报价时需提供原厂售后服务承诺函原件。
4.虚拟化运维服务
4.1.日常维护
（略）的日常运维服务，服务内容主要包含：季度巡检、系统调试及优化、权限管理、告警信息确认与处理、架构调整等。
4.2.月度巡检
每月度（巡检方式：（略）
（略）整体响应情况、告警信息处理（非红标告警）、日志收集、硬件设备运行情况、虚拟机部署情况、资源使用情况、虚拟机操作记录、人员登录情况、管理员权限分配情况等。每次巡检完毕后的五个工作日内提供详细的巡检报告，报告包括CPU、内存、磁盘（存储）、告警、备份等各项指标的详细参数。并针对每次巡检结果给出合理化的调整意见（如出现需要调整的情况）。如有必要进行优化调整，则还会出具具体的调整方案，并双方协调具体的优化实施事宜。
4.3.系统调试与优化
（略）的上线、虚拟机的资源调整、网络环境的调整进行配合。新系统上线，供应商需协助采购方按要求建立新虚拟机。针对在使用的虚拟机，调整其资源。例如内存、磁盘空间、CPU等。（略）络结构需要调整，供应商需进行技术协助，（略）能够正常运行，不影响业务应用。
4.4.权限管理
从安全的角度出发，（略）的安全管理办法。（略）（略）以及对应的权限。（略）的稳定性与数据的安全。
4.5.告警信息确认与处理
非事故类告警供应商可在季度巡检时解决与处理。对于红色的紧急情况告警，供应商必须启动应急事故预案，在第一时间内解决。
4.6.架构调整
在运维合同有效期内，（略）架构进行整体评估。（略）稳定性的设计，供应商需提出修改意见。如果需要进行整改，供应商都将配合进行调整。（略）持续运行且运行正常。
5.重要时期保障服务
当遇重大节日、重要时期、重大活动、重大事件时，根据采购方需求，供应商需提供重点软硬件设备巡检或现场支持保障服务。
6.应急演练服务
针对每年开展一次的年度突发事件应急演练，根据采购方需求，供应商需协助制定演练方案，协助提供必要的支撑设备和工具，配合完成年度演练。
7.技术咨询服务
当（略）研发测试过程中，遇到技术难题时，根据采购方需求，供应商需提供远程电话或现场研讨技术支持和咨询服务。
8.备品备件服务
为更好的提供运维服务、加快故障修复速度，供应商需具有备件库，并提供备件库信息，信息包括如下内容：备件库地址：（略）
在维修时，供应商所提供备品备件应与已经安装设备的相应部件能够互换，具有相同的技术规范和相同的规格、材质、制造工艺，（略）兼容性并正常运行的，（略）原有设备需求、（略）功能、性能产生实质性影响。
供应商需提供7*24小时的备件供应；所有备件信息必须真实有效，院方有权对中标供应商备品备件库进行现场核实，如不满足要求且不按期整改的，院方有权废止该供应商合同，同时须提供以下现场备机与备件：
9.数据备份服务
（略），供应商需提供一台至少72TB空间的备份服务工具及数据备份服务，（略）备份、虚拟机备份、数据库备份等。（略）支持Windows、Linux、AIX；数据库支持Oracle、DB2、SQL、MySQL；以及具备自动恢复演练功能。并对虚拟化、（略）等进行定时备份服务，定期梳理各类备份、归档和配置工作，确保备份数据的有效性。实现备份数据恢复验证、数据恢复技术支持，（略）提供容灾备份保护。具体要求如下：
9.1.技术支持
提供7*24小时响应支持服务：故障排除及故障处理；
提供400热线电话及远程技术支持，以及下一工作日现场保障支持。
9.2.软硬件质保
对服务工具提供故障部件免费更换服务。
对服务工具提供一年软件许可，升级后用户享有软件的使用权利；对同等功能软件版本按需提供补丁更新、软件升级服务；提供该软件版本配套的文档材料、用户手册。
9.3.数据备份服务
对LIS、HIS、PACS、EMR（略）虚拟机及数据库提供数据备份服务，数据实时同步。
提供数据备份保护范围内的故障处理；
9.4.备份配置变更服务
根据采购方需求，协助新增备份计划，或对现有备份进行配置变更，（略）变化，有效保护数据安全。
9.5.备份数据恢复服务
（略）发生故障时可及时进行数据恢复，可恢复至全量完成点后任意时间和版本，支持异机恢复；
提供电话方式：（略）
9.6.灾备巡检服务
（略）（略）均需提供月度巡检，内容包括：系统状态报告服务，（略）状态报告服务，（略）的备份进程、备份日志、数据可读性可用性、（略）数据健康检查报告。
9.7.备份数据演练服务
供应商提供一年一次演练服务。根据生产环境和备份数据，自动构建生产模拟环境，定时通过最新备份数据进行恢复演练。演练自动完成，确保备份机制和备份数据的有效性。
10.安全服务
10.1.资产梳理服务
供应商需梳理资产并形成资产清单，梳理并及时发现下述IT资产，包括：服务器、存储、网络设备、域名（含子域）、IP、站点防护设备、（略）、服务和端口、网站应用容器、应用服务组件等。
1）服务器类资产：服务器类资产发现与梳理工作，确认的资产，包括IP、（略）、（略）类型、中间件、数据库、用途、所属业务单位：（略）
2）网络设备类资产：网络设备类资产发现与梳理工作，包括IP、（略）、设备类型、管理方式：（略）
3）安全设备资产：安全设备资产发现与梳理工作，信息包括IP、（略）、设备类型、管理方式：（略）
4）（略）业务资产：（略）业务资产发现与梳理工作，信息包括域名、数据库、中间件、管理方式：（略）
5）内网业务资产：内网业务资产发现与梳理工作，信息包括域名、数据库、中间件、管理方式：（略）
6）网络拓扑图核实与绘制：结合梳（略）络拓扑图的绘制，并在后续安全服务工作中结合实际变化进行更新。
10.2.漏洞扫描服务
（略）所涉及到的主机、应用、数据库进行专业的漏洞扫描，扫描设备检测规则库及知识库应涵盖CVE、CNCVE、CNVD、CNNVD等标准。主要是对信息安全服务对象（网络中的主机、服务器、网络设备、安全设备、数据库、（略））全面进行安全脆弱性检测与漏洞扫描，（略）弱点与安全漏洞。扫描结束后人工验证所发现的web应用漏洞、（略）漏洞、数据库漏洞、逻辑缺陷、弱口令、信息泄露及配置不当等脆弱性问题，并汇总编制漏洞分析报表、基于漏洞及解决方法的漏洞分析报表，（略）弱点与安全漏洞，则按弱点与漏洞的重要程度(High,Medium,Low)进行分类，形成安全扫描报告，并根据设定好的安全策略采取相应的安全措施，消除弱点与漏洞，降低安全风险，（略）安全性。
（略）络设备、（略）、应用软件、中间件和服务等进行安全漏洞识别，详细要求如下：
（略）络层识别
1）版本漏洞，包括但不限于IOS存在的漏洞，（略）络设备及安全设备；
2）开放服务，（略）由器开放的Web管理界面、其他管理方式：（略）
3）空弱口令，例如空/弱telnet口令、snmp口令等；
4）网络资源的访问控制：检测到无线访问点；
5）（略）：ISCBINDSIG资源记录无效过期时间拒绝服务攻击漏洞，MicrosoftWindowsDNS拒绝服务攻击；
6）路由器：CiscoIOSWeb配置接口安全认证可被绕过，Nortel交换机/路由器缺省口令漏洞，（略）络设备没有设置口令。
（略）漏洞识别
1）（略）（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系统补丁、漏洞、病毒等各类异常缺陷；
2）空/（略）帐户检测；
3）例如：身份认证：通过telnet进行口令猜测；
4）访问控制：注册表HKEY_LOCAL_MACHINE普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录；
5）系统漏洞：SystemV系统Login远程（略）溢出漏洞，MicrosoftWindowsLocator服务远程（略）溢出漏洞；
6）安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh（略）。
应用层漏洞识别
1）应用程序（包括但不限于数据库Oracle、DB2、MSSQL，Web服务，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失补丁或版本漏洞检测；
2）空弱口令应用帐户检测；
3）数据库软件：Oracletnslsnr没有设置口令，MicrosoftSQLServer2000Resolution服务多个安全漏洞；
4）Web服务器：ApacheMod_SSL/Apache-SSL远程（略）溢出漏洞，（略）远程（略）溢出，SunONE/iPlanetWeb服务程序分块编码传输漏洞；
5）（略）：Sendmail头处理远程溢出漏洞，MicrosoftWindows2000SMTP服务认证错误漏洞；
6）（略）：AxentRaptor防火墙拒绝服务漏洞；
7）（略）：WingatePOP3USER命令远程溢出漏洞，Linux系统LPRng远程格式化串漏洞。
10.3.基线核查服务
（略）络及安全设备基线检查：（略）络设备、防火墙等安全设备进行基线核查，涵盖OS系统安全、帐号和口令管理、认证和授权策略、网络与服务、访问控制策略、通讯协议、路由协议、日志审核策略、加密管理、设备其他安全配置等。网络安全设备基线检查要求如下：
主机安全检查
（略）如VVindoVVs、Linux、Aix、Unix等进行安全配置缺陷的检查与评估。检测内容包括（但不限于）：身份鉴别方式：（略）
数据库安全检查
（略）涉及的数据库，如MySql、Oracle、DB2、sql（略）进行安全配置缺陷的检查与评估。检测内容包括（但不限于）：身份认证方式：（略）
（略）络安全设备配置检查
（略）络设备，如防火墙、入侵检测（入侵保护）系统、路由器、交换机等进行安全漏洞及安全配置缺陷的检查与评估。检测内容包括（但不限于）：帐号安全设置、管理权限和角色设置、（略）和缺省口令检查、备份和升级情况、访问控制、路由协议、日志审核、网络攻击防护及端口开放、远程访问等安全情况。
中间件安全检查
（略）包括：Weblogic、apache、IIS、VVAS等进行安全配置缺陷的评估。检测内容包括（但不限于）：系统和中间件的可用性、系统和中间件的完整性、系统中间件和应用的性能、（略）整体要求、对系统结构及运营架构进行高层面的评测、（略）的运作流程中潜在的（略）域、产生基于中间件的最佳应用准则的建议报告等。
10.4.渗透测试服务
针对院方的3（略）进行渗透测试，（略）站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告。（略）络层、系统层、应用层三个方面进行渗透测试。
（略）络层：（略）络拓扑的探测、路由测试、防火墙规则试探、规避测试、入侵检测规则试探、规避测试、（略）安全、（略）段Vlan之间的渗透、端口扫描等存在漏洞的发现和通过漏洞利用来验证此种威胁可能带来的损失或后果，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。
（略）层：通过采用适当的测试手段，（略）识别、服务识别、身份认证、数据库接口模块、系统漏洞检测以及验证等方面存在的安全隐患，并给出该种隐患可能带来的损失或后果，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。
应用层：通过采用适当测试手段，（略）认证及授权、代码审查、（略）的测试、文件接口模块报警响应等方面存在的安全漏洞,并现场演示再现利用该漏洞可能造成的客户资金损失，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。应用程序及代码在开发过程中，由于开发者缺乏安全意识，（略）存在可利用的安全漏洞。一般包括SQL注入漏洞、跨站脚本漏洞、上传漏洞、CSRF跨站请求伪造漏洞等。
10.5.系统漏洞加固
（略）的加固通常包括三个方面：系统加固、（略）加固。
（略）络设备安全加固
包括：（略）络服务、修改不安全的配置、利用最小特权原则严格对设备的访问控制、（略）进行软件升级提醒、提供符合IPP要求的物理保护环境等。对网络设备进行检测评估，提出可行性的加固方案。
（略）安全加固
包括：（略）补丁、停止不必要的服务、修改不合适的权限、修改安全策略、检查账户与口令安全、开启审核策略、关闭不必要的端口等。
（略）安全加固
包括：对要使用的操作数据库软件（程序）进行必要的安全审核，比如对ASP、PHP等脚本，这是很多基于数据库的WEB应用常出现的安全隐患，对于脚本主要是一个过滤问题，需要过滤一些类似,‘;@/等字符，防止破坏者构造恶意的SQL语句。安装最新的补丁，使用安全的密码、账号策略，加强日志的记录审核，修改默认端口，使用加密协议，加固TCP/IP端口，对网络连接进行IP限制等。
四、供应商资质要求：
（一）具有独立承担民事责任能力的法人；
（二）有依法缴纳税收和社会保障资金的良好记录（近半年任意一个月的纳税和社保证明）；
（三）具有良好的信誉及供货服务能力；
（四）具有本次招标内容相关研发能力和经营资质；
（五）参加政府采购活动前三年内，在经营活动中没有重大违法记录；
（六）本项目不接受联合体投标；
（七）供应商被“信用中国”网站列入失信被执行人和重大税收违法案件当事人名单的、被“（略）”网站列入政府采购严重违法失信行为记录名单（处罚期限尚未届满的），不得参与本项目采购活动。
五、报名时需提供以下材料（原件查验后退还，所有复印件须加盖单位：（略）
（一）投标人的有效营业执照副本原件（三证合一）及复印件；
（二）（略）单位：（略）
（三）如法定代表人报名需携带有效身份证原件及复印件，如被授权人报名需携带有效身份证原件及复印件和法人身份证复印件；
（四）（略）如为产品代理商，需提供生产企业相关产品的授权委托书并加盖生产企业公章。
（五）（略）需提供设备清单中安全产品（态势感知、探针设备，EDR,WAF,防火墙、日志审计、漏洞扫描、网络准入）原厂售后服务承诺函原件。
（六）（略）需提供宏杉存储原厂服务，报价时提供原厂售后服务承诺函原件。
六、报名须知：
（一）报名时间：2024年1月22日—2024年1月26日下午5点截止（工作日内上午：8:00-12:00，下午：2:30-5:00）
（二）现场报名地点：（略）
（三）调研时间、地点：（略）
（四）调研现场，（略）服务能力进行介绍如医疗行业案例、响应时效、工程师人员配置及（略）对相关服务需求的提问进行解答。
（五）调研现场需提供投标文件一正三副，（略）公章。
（六）联系人：（略）
提示：本次询价调研分别针对2024年至2025年（二年）及2024年至2026年（三年）分别进行询价，（略）关注2026年新增设备情况分别给出二年维保和三年维保的总体报价。
()DD000E;EE000E;FF000E;