网站集群运维及网络安全服务项目需求

网站集群运维及网络安全服务项目需求（一）内容一览表序号模块名称描述数量1业务服务网站监测运维服务模块网站的日常运维服务，包含网站图片制作修改、页面调整、广告设计制作、服务档案管理、紧急事件处理、适老化及无障碍运维服务等工作。网站错别字、长期未更新量栏目、空白栏目、首页更新、可用性、个人涉密信息等监测服务。服务网站的单点登录成功率、指南要素完整性、流程环节可用性、数据共享充分性、业务系统稳定性等5个方面，开展地毯式排查、验收，按照“自查、反馈整改、复验、反馈整改”的闭环流程，不断提升压实各项指标，优化服务体验。1套2移动端2.0技术运营服务项目（1）建立移动端客户服务体系，从智能客服、热线客服、管理员服务体系、后台管理配置、数据导出、培训等多个维度保障移动端用户的使用。（2）建立移动端技术服务体系，从应用对接技术指导、应用审核流程设计及指导、应用技术审核、应用管理、工作台管理、审批流配置等多个维度支持各单位应用建设。（3）建立移动端运维服务体系，从应用状态监控等维度有效保障移动端平台及应用的稳定运行。1套3网络安全专业服务及机房设备维保区大数据发展中心机房设备阳光维保，包括空调、UPS等设备维护和日常巡检运维服务；提供安全培训、人工渗透、应急演练等安全服务；协助处理网络安全事件，应对安全检查问题。1套（二）项目具体技术参数需求1.1项目建设背景与现状1.1.1建设背景突出抓好网站业务公开、业务服务、政民互动、功能建设等重点工作，推动公开、服务、互动融合发展，助推数字建设惠及更多群众、企业。1.1.2数字化改革背景下的网络安全随着数字化改革工作的逐步深入，一体化智能化公共数据平台的建设将数字化改造后的城市基础设施以及传统较为封闭的系统进行连接赋能，并通过数字化赋能实现智能化管理，实现城市的智能化运行。如此，针对网络安全威胁将扩展到一系列城市基础设施，外部和不法分子可以借助互联网威胁到城市基础设施的安全，导致城市所面临的网络安全风险，不再仅仅是信息泄漏、信息系统无法使用等“小”问题，而是会对现实世界造成直接的、实质性的影响。随着各类业务场景以便民惠企为目标驱动，协同部门相关业务系统及业务数据，相关业务的开展使得信息化整体业务环境将更加开放，业务生态将更加复杂，参与提供数据服务和应用服务的角色也将更加多元，业务应用和数据资源的安全也将成为挑战。1.1.3方案建设意义从职能角度出发，需要从战略保障、技术、管理和运营等多方面保障各类重要行政及公共服务系统的安全。为更好贯彻落实数字化改革相关要求，加快构建县域网络安全保障体系，补齐安全的短板。1.2采购需求1.2.1建设目标在遵循国家安全相关政策和国家标准的基础上，制定数字化改革安全保护方面的顶层设计与指导性方案，约束和规制各单位开展数字化改革业务过程中的行为。加强业务网络边界安全准入与外联行为监测机制，严格控制各级部门业务外网内系统及终端的外联行为，加强业务网络安全准入控制机制。通过外联监测与风险评估等手段加强本单位的外联监测机制。统筹业务网内的外联监测机制，建立外联监测平台对业务网外的外联行为进行实时监测并及时通报相关单位进行整改。建立专业的团队进行运营，由专业的人做专业的事情，实现管运分离，节约人力物力投入。为数字化改革，筑牢“防火墙”、加上“安全锁”。1.2.2建设内容服务清单序号功能模块子模块技术要求1业务服务网站监测运维服务模块（服务要求：提供1人三年的5*8小时人员驻场服务）网站日常运维监测网站普查检测网站日常运维监测服务，每月出具报告。2业务服务网抽查复核服务每月对业务服务网进行抽查，每月抽查报告出具一周后进行复核，12个月抽查完全部单位。3网站安全检测服务对网站存在的黑链，非法外链，个人涉密信息，进行检测，每两周监测一次。网站内容运维网站页面调整、重要节日首页广告条设计制作、网站错误修复、产品BUG排除、紧急事件响应、年度服务报告等。4网站专栏设计每年提供不超过两个的专题专栏设计。5适老化及无障碍运维服务无障碍系统前端产品异常维护、无障碍系统应用软件维护、数据中心系列软件异常维护。6移动端2.0技术运营服务项目智能客服在省级智能客服的基础上，定期进行更新维护，具体通过对话流设置、机器人训练等步骤实现。7客服热线为移动端普通用户提供热线电话为接入方式的答疑服务。8管理员答疑为移动端管理员提供管理员群沟通、钉钉在线沟通等接入方式的答疑服务。9可见性配置协助制定可见性、被见性规则，提供县级范围内的用户可见性、被见性规则设置等操作。10通讯录管理1.制定通讯录管理规范，严格管控移动端管理权限，避免越权操作的可能；

2.移动端主管理员相关功能操作（一级子节点的管理员维护、根节点的通讯录维护等，包括组织及人员、查看未激活/待确认人员、发送激活短信、查看信息不完整人员名单、创建部门群、设置部门主管）。11培训服务针对需要管理员自行操作的内容，以不定期培训的方式进行赋能指导。12接口对接指导提供应用上钉接口对接的技术指导。13上钉流程指导针对应用上钉提供相关申请流程、申请材料的指导。14应用管理提供应用上架配置操作，待应用上架审批通过后，由应用管理员在应用后台完成应用的初始化配置工作及权限分配工作，向业主单供提供权限分配后的开发参数用于应用开发配置。15工作台管理提供工作台的创建、维护等工作，提供应用在工作台上的配置管理操作。16应用运营审核由运营专家针对应用上下架、变更等操作进行运营维度的审核工作，以确保上架应用满足移动端运营维度标准规范。17应用技术审核由技术服务专家针对应用上下架、变更等操作进行技术维度的审核工作，以确保上架应用满足移动端技术维度标准规范。18应用运维审核由运维专家针对应用上下架、变更等操作进行运维维度的审核工作，以确保上架应用满足移动端运维维度标准规范。19应用产品审核由产品专家针对应用上下架、变更等操作进行产品维度的审核工作，以确保上架应用满足移动端产品维度标准规范。20应用安全审核由安全专家针对应用上下架、变更等操作进行安全维度的审核工作，以确保上架应用满足移动端安全维度标准规范。21审批流配置基于移动端2.0审批流工具提供不超过50个标准审批流的搭建及维护服务。22网络安全专业服务（服务要求：提供1人三年的5*8小时人员驻场服务，服务人员需具备注册信息安全工程师资质且拥有至少两家国内知名安全厂家网络安全相关认证证书）安全培训服务解读国家有关法律法规，剖析网络安全事件发生的多种原因，培训网络安全防范措施。帮助用户对自身信息安全状况及薄弱环节有更深入了解，传递最前沿的网络与信息安全理念与技术知识，树立信息安全整体意识，同时提高安全人员在信息安全防护技术方面的基本实践技巧和服务水平。形成培训通知、培训材料、签到表、现场照片及记录等。

交付成果：《安全培训材料》。

服务频次：2次/年。23人工渗透服务提供对10个系统以内进行渗透测试服务，渗透测试也称为黑盒测试，是在不知晓系统具体运行代码的情况下，通过系统所提供的功能，安全专家采用模拟黑客攻击的技术和方法，全面检测应用系统可能存在的各类型安全漏洞和安全隐患，并提供修复建议、指导漏洞修复工作，以避免安全漏洞被黑客恶意利用、攻击，最终保护信息系统的安全、平稳、可靠运行。具体测试内容包括如SQL注入、xSS（路站脚本）、CRLF注入、具录遍历、文件包含、命令执行、webshell网页木马上传等技术漏洞，以及各类如任意密码重置、越权查询、交易金额复改等各类逻辑漏洞。

交付成果：《渗透测试报告》。

服务频次：1次/年。24应急演练服务通过服务方式制定业务系统应急演练预案，并协助开展应急演练，提高应对网络与信息安全事件的处置能力，预防和减少网络与信息安全事件造成的危害和损失。从两个维度开展：网络安全应急预案、数据安全应急预案。

交付成果：《应急演练报告》。

服务频次：1次/年。25安全维护服务1、日常维护工作，协助处理网络安全事件，应对安全检查问题；为区大数据发展中心机房阳光维保、网络安全专业服务、业务服务网站监测提供维护工作。

2、安全成助及事件监测、分析即针对现有网络安全设各日常维护，对设备告警、日志进行监测和数据分析。

3、每月针对应用系统、服务器进行基础性环境评估，进行漏洞扫描，并协助漏洞加固。

4、重大节日保障，在重要活动或会议期间，按照用户单位要求针对重要信息系统所处整体两络进行全面安全评估，协助用户对发现的问题进行整改，保障重要时段网络安全。在重大活动期间进行现场值守，对发生的网络安全事件进行研判分析，协助处置。

5、通过应急响应服务，提供后备力量支援，面对本地区突发的安全事件，能够快速调动安全资源，尽可能地减小和控制住网络安全事件的损失，提供有效的应急和恢复指导，最大程度遏制安全事件造成的不良影响，并提供处置报告。针对省、市大数据中心通报的安全事件响应时间不超过五个工作日，并提供书面反馈材料。

交付成果：《安全总结报告》。

服务要求：工作日内5分钟内在线响应，10分钟内到场。26机房设备维保（服务要求：提供1人三年的5*8小时人员驻场服务，服务人员需熟练配置采购人使用的网络设备与故障排查，定期完成各项服务内容）空调维护两台精密空调空调内机滤网、室外机散热片清洗、检查制冷压力等，每季度一次,空调滤网每年更换一次。27UPS（易事特EA9030H）维保UPS（易事特EA9030H）主机不含电池维保。28UPS（KSTAR040KVA-3X3）维保UPS（KSTAR040KVA-3X3）主机不含电池维保。29日常巡视机房日常巡检（每周一次）。30网络维护大楼内各网络系统维护，保障大楼网络系统软硬件的正常运行。需求内容.1网站监测.1.1监测服务指标网站错误链接（日常监测）、一般性错别字监测(每周监测)、网站严重错别字（人工审核，每天监测一次）、敏感字词监测（人工审核，每天一次）、无法下载附件（日常监测）、在线申报错误（日常监测）、超期未更新栏目、空白栏目（每月度监测一次）、网站总更新量、栏目更新汇总（日常监测）、网站首页更新量（日常监测）、站点可用性、首页可用性（日常监测）、动态要闻类栏目（每两周监测一次）、个人涉密信息检查（每月检查一次）。.1.2月度监测报告对网站进行网站全查，每月出具一份报告,并且每年对网站的概况信息、机构、领导等信息的准确性进行检查。检测站内搜索功能的实效性、网站主流浏览器的兼容性；抽查政策文件和政策解读的相互关联情况；抽查留言公开及办理答复情况，安排专人对网站相关负责人日常遇到的相关普查问题进行及时解答。.2业务服务网监测.2.1检查单点登录成功率检查事项要素“服务对象”填写是否正确；根据“服务对象”检查事项是否对接统一身份认证。个人标识、法人认证地址是否已在事项要素中维护；检查点击事项在线办理跳转办事系统是否已无需二次登录。.2.2.检查指南要素完整性检查事项要素中有关联关系的字段内容是否一致、无冲突；检查事项核心要素是否按照要求进行填写；检查事项要素中需要填写的要素内容是否准确无误。.2.3检查流程环节可用性检查事项办理流程是否涵盖受理、审核、审批、办结、送达等环节，应与实际办理环节相符；检查事项办理流程中各个环节的内容和要点是否填写准确清晰，需包含办理时限、办理人员、审批标准的信息；检查办理流程中办理时限与事项承诺办结时限是否一致。.2.4检查数据共享充分性检查“一证通办”事项，在办理过程中，应共享的信息与材料是否都已实现共享，无需申请人再次上传提交。.2.5检查业务系统稳定性检查事项点击“在线办理”按钮是否可以打开跳转到正确的办事系统页面；检查事项相应的办事系统是否可以正常办理，提升用户体验。.2.6月度抽查服务每月对业务服务网频道进行抽查1次，每次抽查100条办事指南，对业务服务网-频道（部门窗口-按事项类型）检测“个人办事”和“法人办事”服务指南所含事项要素是否存在空白或信息明显不实、不准确问题（含具体事项中人工可查范围内的错链、断链）进行监测，每月提供业务服务网全站抽查检测报告服务。.3网站安全检测服务对网站存在的黑链，非法外链，个人涉密信息，进行检测，每两周监测一次。.4网站日常运维服务.4.1图片制作修改网站图片制作修改主要包括：运维服务人员根据客户要求,提供网站维护、修改所需的图片制作，部分专业内容基于客户提供的基本素材上进行加工。重要节日首页广告条设计制作（包括劳动节、中秋节、国庆节、新年和春节的首页Banner设计制作）；网站所需的图片制作（不含LOGO设计和大批量的照片修图处理工作）。.4.2页面调整页面调整主要包括：网站页面新增、调整和错误修复等工作。客户提出的页面局部调整和栏目新增等需求进行更新和错误修复（不含复杂专题制作和产品新功能的定制开发）。.4.3重要节日首页广告条设计制作重要节日首页广告条设计制作主要包括为客户提供重要节日（如劳动节、中秋节、国庆节、新年和春节等）的首页横幅设计制作等。.4.4网站检查与整改网站检查及整改主要包括：根据国办关于网站的考核要求与省日常检查内容，如栏目更新情况、链接可用性等，发现问题及时整改修复。.4.5服务档案管理服务档案管理是将网站运维过程中的相关数据进行记录并跟踪，包括维护记录、维护内容等，以便为今后服务提供更准确的信息，将相关整理好的档案定期提交给业主方。.4.6专栏制作网站专栏制作工作主要包括：重大项目专栏、专题工作，组织人员进行网站专题建设，以专题的形式进行宣传。专题建设工作主要包括：专题策划、页面设计。.4.7适老化及无障碍运维服务对适老化及无障碍工具条统一升级，支持PC版及WAP版使用。.4.7.1网页盲道处理网页盲道，是一种重要的网页无障碍技术，主要支持浏览者利用键盘对网页中的内容进行快速结构化操作的技术。对有丰富内容的网页页面来说，遵循内容逻辑的结构化跳转浏览阅读能快速帮助浏览者预览页面内主要信息、准确定位到兴趣内容，极大地提高了浏览者的浏览效率。用途：定位及搜寻优点：可快速至不同区块，也可以避免使用者在网页中迷失。方便使用者在各框架之间快速移动与搜索页内容。可以导引使用者依自己的需要，跳至所需的区块中，阅读自己想要的内容。服务说明：经最合理的归纳，一般需要对每个网页页面进行5种内容区块处理。内容导航区页面中用于导航的内容，一般为网站地图的结构内容组成部分；链接信息区页面中最主要的信息表达区域，也可以称为“小列表”或“视窗”；链接信息区又可分为“详细链接信息区”和“简要链接信息区”；正文信息区页面中最终信息表现区域，多为一条新闻的最终页面；交互操作区页面中支持用户交互操作的内容及功能，一般有“搜索”、“登录”等；站点信息区页面中作为网站信息的传达表现部分，多存在于网页底部，一般有“友情链接”、“版权信息”等。.4.7.2网站标准化标注工作流程：用途：网页无障碍缺失信息补全与监测服务说明对每个网页进行结构重组、重分区、无障碍信息缺失补全处理，将网页划分成一个一个的区域块，还提供模块分析、内容更改监测机制。极大地缩减了用户浏览信息的时间，提升用户体验。.4.7.3无障碍系统前端产品异常维护服务内容：导航系统异常维护；老人版系统异常维护；盲人在线系统异常维护；辅助读屏系统异常维护；移动App系统异常维护；搜索系统异常维护；客户端软件异常维护；其他辅助帮助与说明等内容维护。服务说明：对可能出现的异常情况进行监测、修复和反馈。.4.7.4无障碍系统应用软件维护服务内容：语音合成系统及语音包异常维护；搜索引擎系统异常维护。服务说明：对可能出现的异常情况进行监测、修复和反馈。.4.7.5数据中心系列软件异常维护服务内容：系统内各站点历史数据镜像系统异常维护；系统内各站点数据与结构监控系统异常维护；正文分析与抽取系统异常维护；总控守护进程的异常维护；网站任务定时校验系统异常维护；无障碍各子系统数据接口异常维护。服务说明：对可能出现的异常情况进行监测、修复和反馈。.5移动端2.0技术运营服务.5.1建立移动端客户服务体系从智能客服、热线客服、管理员服务体系、后台管理配置、数据导出、培训等多个维度保障移动端用户的使用。在省级智能客服的基础上，增加区域特定的知识库内容，并定期进行更新维护，每两周进行一次知识库升级维护。具体通过知识库管理、对话流设置、机器人训练等步骤实现；对智能客服无法解决的问题或者紧急事项，提供5*8小时专家电话服务，收集“移动端”用户的问题与需求，并进行反馈处理，对紧急事件进行快速上报处理；指定一名专家，主要以管理员群在线答疑、钉钉在线沟通、电话沟通等接入方式提供服务为管理员提供答疑、赋能指导等服务；根据《移动端管理暂行办法》，结合区域的实际情况，制定通讯录管理规范，严格管控区域内移动端管理权限，最大限度避免越权操作的可能。建立移动端管理员服务体系，明确区域主管理员操作内容，赋能各分级管理员进行分级管理；根据移动端年度任务推进、日常运营推广的需要，定期或不定期对移动端核心数据进行导出，便于决策分析；针对需要管理员自行操作的内容，制定培训计划，以定期或不定期培训的方式进行赋能指导。包括通讯录管理培训、宜搭审批流配置培训、移动端新功能发布培训、移动端一方应用使用培训等。.5.2建立移动端技术服务体系从应用对接技术指导、应用审核流程设计及指导、应用技术审核、应用管理、工作台管理、审批流配置等多个维度支持各单位应用建设。为本级各单位应用开发商提供应用对接、审批流程咨询服务，指导应用开发商如何利用移动端核心功能、实现应用与移动端的对接上架。建立区域内的应用管理相关流程进行详细设计，在省进行应用审批权限下放后落实执行，相关流程需充分考虑区域内对应用管理的需求。建立区域内应用技术审核体系，在省进行应用审批权限下放后，由运营、产品、技术、运维、安全五个维度的专家分别进行各自维度的应用审核，确保区域内上架应用符合移动端相关规范。为区域内通过上架审批的应用提供应用上架配置操作，完成应用的初始化配置工作及初始权限分配工作，并根据后续变更需要，持续提供应用的配置及权限修改。为区域内提供工作台管理服务，建立并维护区域统建工作台，为各级单位管理员提供工作台管理能力的赋能。为区域内提供移动端2.0审批流配置服务，协助进行VIP单位审批流程的配置及维护，并赋能各级管理员进行常规审批流程自行配置。.5.3建立移动端运维服务体系从应用状态监控等维度有效保障移动端平台及应用的稳定运行。建立移动端应用状态监测机制，具备被动监测、主动监测两种类型的监测能力，尽可能做到故障先于用户发现。.6网络安全专业服务及机房设备维保。.6.1安全培训服务服务类技术类型内容及要求安全培训服务要求通过定期组织开展安全培训，帮助用户对自身信息安全状况及薄弱环节有更深入了解，通过剖析安全事件向用户传递最前沿的网络与信息安全理念与技术知识，树立信息安全整体意识，同时提高安全人员在信息安全防护技术方面的基本功、实践技巧和服务水平。服务方案为了满足培训需求，本次安全培训需提供优秀的培训教师、组织精良的培训教材、制订科学的培训计划，精心组织培训。具体培训要求包括：培训目标、培训内容、培训质量保证、培训时间、培训体系、交付成果。服务交付物安全培训材料.6.2人工渗透服务服务类技术类型内容及要求渗透测试服务要求针对网站及Web类系统模拟黑客攻击，发现应用层面可能存在的SQL注入、XSS（跨站脚本）、CRLF注入、目录遍历、文件包含、输入验证、认证、逻辑错误、GoogleHacking、密码保护区域猜测、字典攻击、特定的错误页面检测、脆弱权限的目录、危险的HTTP方法（如：PUT、DELETE）、信息泄露、structs2漏洞、Cookie欺骗、源代码泄露、恶意网络地址转移、http响应头截断、备份文件遗留隐患等各类型已知安全漏洞和安全隐患。服务方案渗透测试服务主要分为五个阶段，包括测试前期准备阶段、信息收集阶段、测试阶段实施、复测阶段实施以及成果汇报阶段：前期准备阶段在实施渗透测试工作前，负责项目实施的技术人员会和客户对渗透测试服务相关的技术细节进行详细沟通。由此确认渗透测试的方案，方案内容主要包括确认的渗透测试范围、最终对象、测试方式、测试要求的时间等内容，客户签署渗透测试授权书。在测试实施之前，会做到让客户对安全测试过程和风险的知晓，使随后的正式测试流程都在客户的控制下。信息收集阶段通过安全测试工具进行信息收集，内容包括：操作系统类型收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。测试实施阶段在测试实施过程中，测试人员首先使用自动化的安全扫描工具，完成初步的信息收集、服务判断、版本判断、补丁判断等工作。然后由人工的方式对安全扫描的结果进行人工的确认和分析，并且根据收集的各类信息进行深入渗透测试，测试人员在获取到普通权限后，尝试由普通权限提升为管理员权限，获得对系统的完全控制权，此过程将循环进行，直到测试完成。测试人员需整理渗透测试服务的输出结果并编制渗透测试报告，最终提交客户和对报告内容进行沟通。回归测试阶段在经过初次渗透测试报告提交和沟通后，等待客户针对渗透测试发现的问题整改或加固。经整改或加固后，测试人员进行回归测试，即二次复测。复测结束后提交给客户复测报告和对复测结果进行沟通。成果汇报阶段根据初次渗透测试和二次复测结果，整理渗透测试服务输出成果，最后汇报项目领导。服务交付物《渗透测试报告》.6.3应急演练服务服务类技术类型内容及要求应急演练服务要求通过服务方式制定业务系统应急演练预案，并协助开展应急演练，提高应对网络与信息安全事件的处置能力，预防和减少网络与信息安全事件造成的危害和损失。从两个维度开展：网络安全应急预案、数据安全应急预案。服务方案应急演练内容包括：网站篡改应急演练、数据丢失应急演练、勒索病毒应急演练等。服务对象针对某个重要系统模拟应急处置的过程。服务交付物《应急演练方案》《应急演练总结报告》.6.4安全维护服务服务类技术类型内容及要求安全维护服务服务要求提供5*8小时运维服务。服务方案1、日常维护工作，协助处理网络安全事件：应对安全检查问题；

2、安全成助及事件监测、分析即针对现有网络安全设各日常维护，对设备告警、日志进行监测和数据分析；

3、每月针对应用系统、服务器进行基础性环境评估，进行漏洞扫描，并协助漏洞加固；

4、重大节日保障，在重要活动或会议期间，按照用户单位要求针对重要信息系统所处整体两络进行全面安全评估，协助用户对发现的问题进行整改，保障重要时段网络安全。在重大活动期间进行现场值守，对发生的网络安全事件进行研判分析，协助处置；

5、通过应急响应服务，提供后备力量支援，面对本地区突发的安全事件，能够快速调动安全资源，尽可能地减小和控制住网络安全事件的损失，提供有效的应急和恢复指导，最大程度遏制安全事件造成的不良影响，并提供处置报告。针对省、市大数据中心通报的安全事件响应时间不超过五个工作日，并提供书面反馈材料。