主机IDS系统建设项目供应商征集

招标

主机IDS系统建设项目供应商征集

金额

项目地址

北京市

发布时间

2022/05/20

公告摘要

项目编号-

预算金额-

招标公司泰康保险集团股份有限公司

招标联系人刘兴春

标书截止时间-

投标截止时间2022/05/26

公告正文

主机IDS系统建设项目供应商征集

根据业务发展需要，我公司目前正在进行“主机IDS系统建设项目”供应商征集工作，满足项目需求的供应商请点击下方“点击报名”。同时也欢迎广泛转发本通知。

技术联系人：刘兴春：19801151982

具体的征集信息请下载附件，欢迎大家踊跃报名！

主机IDS系统建设项目技术需求书.docx 主机IDS系统建设项目技术需求书.docx

报名截止时间：2022-05-26 13:15

扫描二维码可通过公众号报名

主机IDS系统建设项目

商务技术需求书

2022年5月18日

项目需求

声明：本次供应商征集只得产品原厂进行报名！

总体需求

人寿计划采购主机入侵检测系统（HIDS）平台以建立主机层安全防护，满足云服务器入侵检测、风险感知和资产发现的需求。首先产品需满足人寿业务系统服务器的入侵检测需求，对暴力破解、webshell、反弹shell、本地提权、web后门、系统后门、可疑命令等攻击进行监控，发现隐藏攻击，并阻断攻击在内网的传播，充分提高内网整体防护水平；其次产品需满足资产管理需求，需要能够发现和管理主机、进程、端口、账户、数据库、应用、web站点、web服务、web框架、web应用、中间件、组件等资产，以实现在安全突发事件中及时定位使用应用组件的系统和主机概况，全面提升安全应急效率；需具备弱口令、恶意文件、权限监控、文件配置、操作审计、异常进程、异常账号、异常登录、合规基线、漏洞扫描等风险感知能力，需提供可落地的风险修复建议，改进应用服务器的安全隐患，建立完善的主机防御机制。

功能需求

主机IDS系统平台需包括入侵检测、风险感知和资产发现三大基本功能。具体要求如下：

功能模块	功能点	需求描述	满足	部分满足	不满足	备注
入侵检测	暴力破解检测	应实时监测服务器是否存在SSH、FTP、windows rdp 等类型的暴力破解。
入侵检测	暴力破解检测	产品需提供完备的溯源结果，包括攻击主机的IP、被攻击主机的IP、攻击时间、攻击次数、攻击形式等。
入侵检测	暴力破解检测	产品需提供拦截、加白两种处理模式。
入侵检测	Webshell检测	产品需提供用户可自定义webshell扫描路径的能力。
入侵检测	Webshell检测	产品需能够检测asp、php、jsp等类型的webshell动态脚本，实时报警检测信息。
入侵检测	Webshell检测	产品需提供遭受危害的主机IP、webshell类型、所在路径、发现时间、恶意代码详情分析等。
入侵检测	反弹shell检测	应实时监测反弹shell攻击，
入侵检测	反弹shell检测	需能够对确认的误报攻击行为进行加白处理。
入侵检测	反弹shell检测	需提供详细信息，包括攻击主机、目标主机、目标端口、攻击时间、攻击进程、攻击进程用户、进程路径以及执行的具体命令等信息帮助运维人员确认攻击行为事实。
入侵检测	本地提取检测	需实时监测主机上是否有本地提权行为发生，需能够对确认的误报攻击行为进行加白处理。
入侵检测	本地提取检测	需给出被攻击主机、提权用户、提权进程、提权文件目录和修复建议等信息帮助运维人员确认攻击行为事实。
入侵检测	Web后门攻击检测	支持检测不同维度的web后门，如jsp、php、asp等格式的web后门检测能力，并提供告警。
入侵检测	Web后门攻击检测	需识别后门类型、后门危害等级、后门文件目录、文件所属用户、恶意代码详情、检测依据等帮助确认攻击行为事实。
入侵检测	系统后门检测	需能够检测ssh、ftp等服务后门，对检测结果提供告警。
入侵检测	系统后门检测	需提供后门危害等级、后门类型、后门说明、文件目录、进程树等信息帮助确认攻击行为事实。
入侵检测	可疑命令检测	需要对系统命令进行异常检测，支持检测数据库、Web RCE的多种行为。
入侵检测	可疑命令检测	用户需要能够自定义检测策略。
入侵检测	可疑命令检测	需给出可疑命令发现时间、具体事件、命令的具体内容、攻击的主机、用户以及被攻击的主机等信息。
风险感知	弱口令检测	需内置top100的弱口令字典，对服务器开放的端口服务有弱口令检测能力。
风险感知	弱口令检测	需能够允许用户导入或自定义字典的能力。
风险感知	弱口令检测	需提供存在弱口令的主机IP、具体的弱密码事件、弱密码用户名、脱敏处理后的弱密码、建议等。
风险感知	权限异常	需支持配置web文件、用户文件、系统文件等文件的权限异常扫描任务，一旦发现权限异常的文件，给出异常风险的描述、文件目录、处置建议等。
风险感知	配置缺陷检测	应具备对数据库、中间件等相关配置存在的缺陷进行检测，需要给出危险级别分类、危险行为分析、相关的修复建议。
风险感知	操作审计	需要对用户登录服务器及一系列的操作进行日志记录。
风险感知	操作审计	需能够按时间、操作、按业务组、按命令、按主机进行统一管理，并能够筛选出高危的操作进行报警。
风险感知	异常账号检测	需要对隐藏的账号、存在空密码等账号进行监控，并提供报警功能。
风险感知	异常账号检测	需要提供异常账号所在主机、具体风险事件、修复建议等信息。
风险感知	异常进程检测	应具备对新增的进程、进程异常、隐藏的进程进行监控，并提供报警功能。（与正常的情况）。
风险感知	异常登录检测	需能够针对用户登录的时间、地点、IP段进行监控，支持监控非正常登录时间段内、非常用登录地点、非正常IP的异常登录等。
风险感知	异常登录检测	需能够自定义过滤规则。
风险感知	异常登录检测	需提供对确认的异常登录进行阻断机制。
风险感知	合规基线检测	支持等保2，3级的Centos 7，Ubuntu 14、16、18 等系统合规基线。
风险感知	合规基线检测	支持CIS的 Ubuntu 14、16、18，Redhat 6、7、8，CentOS 6、7，windows 7、8、10，windows server 2008、2012、2016等系统合规基线。
风险感知	合规基线检测	需允许基线可自定义。
风险感知	漏洞检测	需能够检测和发现系统主机安全漏洞，具备对windows和linux的系统、中间价、数据库等暴露的漏洞进行扫描检测。
风险感知	漏洞检测	需提供漏洞等级划分、漏洞编号、漏洞知识库查询、漏洞危害、漏洞详情、可落地实施的漏洞修复建议（不可以直接给一个链接）等信息。
风险感知	漏洞检测	需能够针对漏洞等级、漏洞名称、漏洞类型、主机、应用、内核风险、本地提权、修复影响等字段进行检索或统一管理。
资产发现	主机资产发现	需对所有安装客户端的主机进行识别，可以获取主机的主机名、主机IP地址、主机状态、主机标签、操作系统。
资产发现	主机资产发现	需能够针对业务建立分组，可针对业务组、操作系统等字段进行统一检索和管理；
资产发现	进程资产发现	需清点进程名、可执行文件路径、命令行参数、启动时间、运行用户、PID 等信息。
资产发现	进程资产发现	需能够针对业务组、进程名、进程PID、运行用户等字段进行检索和管理。
资产发现	端口资产发现	需能够查看监听端口号、对应进程、IP、协议、外部可访问性等信息。
资产发现	端口资产发现	需能够针对业务组、端口号、进程名、进程PID等字段进行检索和管理。
资产发现	账户资产发现	需能够查看用户名、用户组、用户说明、用户主目录、是否管理员权限、是否可登录、登录 Shell、修改密码时间、用户失效时间、密码到期时间、用户认证公钥等信息。
资产发现	数据库资产发现	需具备对主流的数据库资产识别，如Oracle 11g、Oracle 19c、mongo、mysql、DB2、sqlserver、HBASE（hadoop)等。
资产发现	数据库资产发现	需能够针对业务组、数据库类型、主机等进行检索和管理。
资产发现	应用资产发现	需能够清理包管理器安装的软件信息，支持清点通过其他方式安装的软件信息，可查看应用名称，版本号，路径等信息。
资产发现	应用资产发现	需能够针对不同应用、主机、应用版本、业务分组等字段进行检索或统一管理。
资产发现	Web站点资产发现	需能够清点主机上正在服务的 Web 站点，可查看服务名称、端口号、域名、Web 路径等信息。
资产发现	Web站点资产发现	需能够针对不同web站点、主机、域名、业务分组等字段进行检索或统一管理。
资产发现	Web服务资产发现	需清点对应主机正在运行相关 web 服务。
资产发现	Web服务资产发现	需能够针对不同web服务、主机、版本、用户、路径、业务分组等字段进行检索或统一管理。
资产发现	Web应用资产发现	具备对web容器、框架、域名、组件、编程语言等资产清点。
资产发现	Web应用资产发现	需能够针对不同主机、版本、服务类型、目录、路径、业务分组等字段进行检索或统一管理。
资产发现	中间件、组件资产发现	需能够识别所有应用的第三方组件，显示组件的版本号等信息；
资产发现	中间件、组件资产发现	可根据主机、应用、组件名称、版本号业务分组等字段进行检索或统一管理。
其他重要需求	账号完整性监控	产品应具备对账号权限改变、账号被删除进行监控，如果账号权限发生变化和删除，应具有报警提示功能。
其他重要需求	文件完整性监控	需要对服务器内敏感目录下文件新增、修改、删除操作进行实时监控；
其他重要需求	文件完整性监控	需要对敏感文件修改、删除操作进行监控。
其他重要需求	文件完整性监控	需要具有报警功能，应具备运维的便利性。
其他重要需求	用户与权限管理	需要授予管理员用户可自定义用户角色；
其他重要需求	用户与权限管理	要求对不同角色划分不同使用权限；可根据用户权限分配对应功能权限和管理范围。
其他重要需求	管理员操作审计	需能够记录软件管理中心的管理员及其他用户在使用过程中发生的所有操作，需要记录 IP、用户名、时间、事件类型，事件详情等信息，方便对敏感行为进行审计
其他重要需求	事件告警	系统通过多种途径发送所发现的安全报警信息，通过syslog、飞书、短信、邮件等方式进行对外输出。
其他重要需求	事件告警	需能够导出报警的报告，需能够自定义报告模板。
其他重要需求	事件告警	需能够设置告警阈值，自定义选择告警内容。
其他重要需求	日志审计	需要对不同角色用户的登录日志和操作日志进行审计。
其他重要需求	日志审计	需要针对日志主机、时间、所属业务组、命令内容等字段进行检索或统一管理。
其他重要需求	白名单优化	在入侵检测和风险感知等模块中，需要能够对报警事件进行加白处理，加白后的报警不会再反复报警。
其他重要需求	外部系统对接能力	需提供API接口以及接口开发文档、开发示例、demo等，实现与其他产品对接，无需再进行开发工作。
其他重要需求	外部系统对接能力	需能够对接SOC、siem等统一日志管理平台。
其他重要需求	总分公司分级授权	产品需支持总分公司分级分权限授权，即不同用户可以设置不同的权限以及主机监控范围等。
其他重要需求	规则库更新	风险感知、入侵检测等功能模块中需要定期（1个月）更新规则库。

性能需求

产品客户端（agent）和服务端（server）必须满足以下性能需求：

需求模块	需求点	需求描述	满足	部分满足	不满足	备注
Agent非root权限		agent在非root权限下运行； agent安装过程中，不改变系统配置、不安装内核驱动
Agent 性能	agent安装	agent需要以命令的形式单个或者批量安装，注意linux系统与windows系统的安装区别。
Agent 性能	agent资源占用	agent长时间运行时，cpu占用不能超过5%，内存占用不能超过200M
Agent 性能	agent资源占用	应提供近一年内完善的性能测试报告。
Agent 性能	agent资源占用阈值设置	考虑到业务繁多情况下，客户端不能影响服务器运行。产品需能够支持根据不同业务自定义资源占用阈值，包括cpu占用和内存占用的降级阈值和自杀阈值，使HIDS客户端降级运行，或者待业务静默期，客户端再恢复运行。
Agent 性能	Agent进程详情	需提供所有服务器上运行的与agent相关的所有进程的详情，包括进程名称、进程PID。
Agent 性能	agent兼容性	客户端应该兼容常见的linux系统和windows系统，如windows server、centos、ubuntu、rhel、Suse等；
Agent 性能	agent兼容性	需兼容当前业务的现有环境配置，如有问题，可适配安装。
Agent 性能	agent稳定性	在长期运行中，不能重启操作系统，并且客户端不会出现无故掉线情况。
Agent 性能	agent更新	需要更新agent版本以及更新规则库时，可在管理中心采用离线方式进行操作，支持自定义升级包下发的频率、速度、覆盖范围等。
Agent 性能	agent监测	agent需要对自身状态、占用资源进行监控
Agent 性能	agent监测	Agent掉线等异常情况需要有一定的报警或提示，支持设置agent离线报警时间
Server 性能	Server用户容量	Server端可添加至少50个用户进行服务器安全管理；
Server 性能	Server主机容量	Server端应支持高可用可扩展的部署方式，未来只需扩容授权即可满足未来3-5年主机监控需求；
Server 性能	Server主机容量	Server端应至少支持监控1万个主机的容量。
Server 性能	Server平台安全性	需提供服务端所有服务器的CPU，内存，硬盘使用状态的实时监控。
流量需求	agent和server通信流量	agent和server端通信流量应有一定限制，不可挤占正常业务带宽。

产品扩展性需求

需求项	需求描述	满足	部分满足	不满足	备注
容器支持	建议产品支持容器适配
信创产品支持	建议产品支持信创操作系统主机，如kylin等
蜜罐诱捕	建议能自定义伪装蜜罐，对攻击者实施诱捕；建议支持与蜜罐系统联动，提高蜜罐的可交互性。

安全需求

需求项	需求描述	满足	部分满足	不满足	备注
Agent安全机制	agent应具备一定的安全机制，如防攻击、离线报警、防卸载等。
Server安全机制	口令安全：密码策略满足集团关于特权账户管理相关要求；
Server安全机制	登录支持双因素验证；
Server安全机制	禁止密码明文传输、保存，或使用低安全度的密码加密策略；
通信传输加密	通信传输应基于https
安全资质	平台对于标准或法律法规的的支持，包括GB/T 35273-2020《个人信息安全规范》，《数据安全法》、《个人信息保护法》等。
安全资质	供应商需承诺所交付的产品出现安全漏洞的，将通知甲方并提供产品修复包，并免费提供技术服务协助甲方完成产品安全漏洞修复。
安全资质	供应商提出的产品不能包含木马、后门、蠕虫、病毒、恶意代码等。
安全资质	供应商提供的产品中不能包含隐藏端口，要关闭无用的端口。
安全资质	供应商提供的产品不存在绕过系统安全机制的功能。
安全资质	供应商提供的产品无不可控的数据上报功能。
安全资质	供应商需要同步提交近三年内第三方出具的仍在有效期内的产品安全测试报告。
安全资质	供应商产品中如包含第三方软件，需要建立第三方软件清单，并进行安全检测。
安全资质	供应商产品中如包含开源软件，需要建立开源软件清单。
安全资质	供应商交付产品的功能特性、安全特性与合同承诺内容保持一致。
安全资质	供应商交付的产品提供数字签名，保持软件的完整性和一致性。

售后服务与技术支持

需求项	需求描述	满足	部分满足	不满足	备注
售后服务体系	应当具有良好的服务理念和完善的售后服务体系，能够按照投标技术方案提供系统集成技术支持服务（包括但不限于：部署实施、变更管理、策略定制、策略优化、日常驻场运营、定制化需求落地、优化改进等工作）。
质保期	所投软、硬件产品质保期不低于三年，质保期内应用软件和硬件的升级、维护均免费。在保修期内，因设备本身缺陷造成各种故障、漏洞风险应由原厂商提供免费技术服务和维修。需对产品（组件）漏洞进行及时的风险提示并提供修复补丁或相应风险缓解措施支持。说明质保期后的售后服务内容和收费标准。
运维支持	具有专业化的本地服务支持团队或承诺在指定地点设立专职服务点（专职服务点的运维支持人员的费用应包括在投标价格内，期限至少涵盖三年质保期），能对客户提出的需求快速反应，提供本地技术支持服务，设备出现故障时能及时提供现场支持（本地服务团队或指定地点至少包括北京）
日常技术支持	厂商根据用户需求提供高级别的服务承诺，提供7天×24小时电话热线技术服务、邮件技术支持及远程技术协助服务，建立大客户档案，工程师在线提供技术问题咨询和故障诊断服务。
现场技术支持	对于远程无法解决的技术问题，提供现场技术支持。一般问题专业技术支持工程师应在4小时内到达用户现场，重大问题专业技术支持工程师应在2小时内到达用户现场。乙方应在3天内出具故障报告，提出解决方案，并给出最终实施的时间期限。
巡检	定期（至少每季度一次）派专业认证工程师对产品运行状况进行巡检，提出系统优化建议与措施。
培训	对于开发运维人员，提供产品原理、部署、操作维护等相关知识的现场培训。对于用户，提供产品手册、产品使用等相关知识的现场培训。
升级服务	在保修期内，按用户要求提供产品升级服务，制定升级计划，按期进行升级安装。
重保支持	在甲方要求的重要保障期间提供相应的现场值守服务，负责解决出现的产品相关的任何问题，确保不影响正常业务运行。
安全事件应急	如有紧急安全事件等0day漏洞发生时，厂商应在24小时内及时和甲方通报安全事件，并及时给出针对产品的安全应对方案。

资质要求

需求项	需求描述	满足	部分满足	不满足	备注
注册资金	供应商注册资金需大于等于2000万元。
同业案例	原厂至少应具有近三年内5个保险、银行HIDS项目成功案例，需提供合同复印件作为证明材料（至少包括合同首页、产品内容页、签署日期页及双方盖章页，并加盖相应公司公章）。
同业案例	原厂应至少包含近三年内2个主机点数在10000以上规模的应用案例。
资质证明	供应商应具备相关安全相关资质，包括ISO9001,ISO27001,ISO20000,CMMI3及以上等；
资质证明	具有中国电子工业标准化技术协会、中国信息安全测评中心等国内信息科技、信息安全权威组织颁发的关于信息安全风险评估服务、信息系统业务安全服务、信息安全应急处理服务、数据保护资质证书中的一个或多个。
资质证明	本次采购产品的销售许可、软件著作权等资质，提供资质复印件。

软件及服务需求清单

主机IDS软件产品一套。

至少提供3年的原厂维保服务，包括特征库升级服务、软件版本升级服务以及其他技术支持服务。

需提供一名中级及以上职称售后工程师在甲方驻场服务（自软件部署后5个工作内起1年内）。需协助甲方确认风险感知和入侵检测报警事实，确认是否是误报。针对误报事件及时做出加白处理，针对确认的报警信息给出修复建议，协助项目组进行修复。另外需进行产品升级、产品巡检、规则更新、故障处理等售后维保类工作，解决问题和不足，还需完成服务方交代的其他任务。

现场支持服务（按需），根据需要提供技术人员上门进行现场服务支持。

三、交付方式

软件产品交付方式：乙方应以光盘等形式交付甲方所购有关软件，同时由原厂商协助开通相关账号权限和安装部署工作。

专业服务交付方式：实施服务在硬件设备、软件到达甲方场地后乙方指派专业技术实施人员对设备进行实施安装调制；维保售后服务在项目验收后正式启动，乙方应指定专业售后技术人员抵达甲方指定场所提供专业的售后维保服务。

四、付款周期

整个合同付款周期分为4期，分别为：

合同签订生效之后，软件到货安装完成上线并能正常运行（以甲、乙双方签字的验收报告日期为准）且甲方收到乙方开具的对应价款专用发票之日起【15个工作日】内，甲方向乙方支付合同总价款的30%，作为项目首付款。

合同签订生效之后，项目完成与其他系统集成并稳定运行（以甲、乙双方签字的验收报告日期为准）满一个月（30天）且甲方收到乙方开具的对应价款专用发票之日起【15个工作日】内，甲方向乙方支付合同总价款的30%，作为项目初验款。

合同签订生效之后，项目完成与其他系统集成并稳定运行（以甲、乙双方签字的验收报告日期为准）满半年（180天）且甲方收到乙方开具的对应价款专用发票之日起【15个工作日】内，甲方向乙方支付合同总价款的20%。

合同签订生效之后，项目验收合格（以甲、乙双方签字的验收报告日期为准）进入运行保障阶段，运行保障满1年且甲方收到乙方开具的对应价款专用发票之日起【15个工作日】内，甲方向乙方支付合同总价款的20%，作为项目尾款。

五、项目执行需求

1、项目执行能力要求

投标公司具有规范的项目管理体系和软件开发资质，实施团队具备丰富的项目管理经验，可以依据成熟的项目管理方法通过良好的控制手段，确保项目按时、按质完成。

投标文件应说明产品原厂在北京团队情况及为泰康服务的实施团队各级人员情况。投标文件中需提供项目成员列表和项目成员近三年同类项目案例，需提供人员简历加盖公司公章。

企业内部管理顺畅，可以依据项目需要调用企业的跨部门跨地域的资源。

对项目重视程度高，该项目对该企业发展至关重要，能够全力以赴的投入企业资源。

提供人员风险控制措施，承诺项目定制开发阶段人员的流动率比例控制情况。

实施团队需要严格遵守泰康对外部人员的管理规定，所有活动按照泰康流程规范进行，并符合泰康项目管理部门的相关要求。

实施团队需要具备优秀的协调沟通与团队协作能力，说明在本项目实施工作的沟通管理方法和计划。

实施团队需熟悉项目难点及相应对策，有特定的解决方案和技巧，予以说明。

实施团队需要敏锐的风险意识和良好的风险识别能力，熟知类似该项目的风险点，并具有应对经验。

2、项目管理及规范要求

实施团队应遵守《泰康项目管理制度》，监督项目进度，保证项目质量，及时汇报项目风险，确保项目按计划完成。

要求投标人制定完善的项目沟通计划，包括周例会、月例会、阶段性评审会等。请投标人阐述本项目的风险、问题管理方法，包括风险问题的识别、规避、应对策略等。

要求实施团队遵守《泰康项目管理制度》，监督项目进度，保证项目质量，及时汇报项目风险，确保项目按计划完成。

项目实施过程中应严格执行关键评审环节，包括：主机资源占用评审，网络资源占用评审、部署方案评审等：

评审方应包括甲乙双方核心干系人参与；

待评审交付物应在评审日前至少两天发给评审员，应有评审纪要，对评审问题应有闭环管理机制。

需要严格遵守泰康对外部人员的管理规定，所有活动按照泰康流程规范进行。并符合公司项目管理部门的相关要求。

实施团队需要敏锐的风险意识和良好的风险识别能力，熟知类似该项目的风险点，并具有应对经验。

3、团队配置要求

参与投标讲标的必须包含实施团队核心成员。投标人需在应标书中提供项目实施团队的核心人员及简历，包含教育培训背景、工作经历、技能、项目经验（包含在项目中负责的工作，参与项目的时长）。在泰康项目中担任的角色，并列出人员在项目各阶段主要负责的工作。并承诺未经我方允许，不得更换所列核心人员，不得随意变更其在项目中的职责，不得随意变更其参与项目的时长。如因离职等特殊原因需要更换，投标人必须提供能力相当的人员接替工作（能力是否相当，由泰康考察决定）。由于核心人员不能参加且接替人员经考察不符合要求，泰康有权因此原因终止合同，并追究投标人责任。

实施团队高级工程师应该占整体团队比例超过50%，包括但不限于以下人员：

项目经理：负责本项目的计划、组织、实施、协调、人员配置并监督工作情况及进度等工作，负责各方的沟通联系，对甲方项目组负责。项目经理要求具有PMP认证，具有CISSP或CISP等网络信息安全相关证书的资深管理者，有网络安全渗透、漏扫、应急管理相关经验。具备3年以上在保险、银行实施HIDS项目管理经验，深刻理解本次项目需求和目标，具有预见和应对项目风险能力。

驻场工程师：需具备2-3年主机安全运维经验，深刻理解主机漏洞以及恶意攻击等。负责在甲方驻场，根据甲方业务特点、需求进行产品功能优化，如检测规则配置、漏洞和恶意攻击行为报警的确认、加白等处理；另需进行产品升级、产品巡检、规则更新、故障处理等售后维保类工作的具体执行，解决问题和不足，另外还需完成服务方交代的其他任务。

4、项目验收要求

软件安装、调试达到技术需求书规定的指标并投入使用，要求从应用初次在设备上部署为使用起始期，设备经过初验后进入试运行期，经过3个月试运行期，所有性能指标达到技术需求书的要求时，可进行初次验收。

软件经过初验后进入正式运行期，在合同最后一期付款前，所有性能指标达到技术需求书的要求时，可进行最终验收。如系统出现重大问题，则正式运行期从系统故障修复之日起重新计算，顺延3个月，若仍达不到要求，继续顺延，一直到系统连续3个月无故障时为止。在全部达到要求时，双方签署最终验收文件。

5、项目交付物要求

中标方应说明其技术开放情况和向招标方提供的资料和知识转移。提供的文档具体如下。

手册

产品功能白皮书；

产品帮助手册

提供测试用例及测试报告；

安装部署方案、说明书、针对业务特点的评估报告；

应急手册；

用户操作手册；

性能测试报告；

产品安全测试报告

接口设计说明书。

培训

对用户提供系统操作培训；

对系统管理员提供权限、用户管理等系统管理培训；

对维护人员提供系统安装、配置、日常管理维护、排除故障、整体维护的培训。

六、罚则

因乙方产品缺陷或者服务不及时等原因导致泰康对应的业务系统出现故障，甲方有权视事件故障影响每次从合同项目尾款中扣减合同总金额的1%-5%作为处罚金（按次扣减），且乙方应全力协助甲方处理直至问题解决。事件影响认定参考泰康保险集团股份有限公司《IT系统故障管理制度》执行。定级及处罚标准如下：

事件级别	分级标准	处罚标准
一级	1. 3 个或 3 个以上对接业务系统同时发生业务中断； 2. 单个对接业务系统发生中断 90 分钟以上； 3. 生产业务数据丢失； 4. 重复发生的故障； 5. 其它 IT 管理层判断为一级的故障；	扣减合同总金额的5%/次
二级	1. 2 个对接业务系统同时发生业务中断； 2. 单个对接业务系统发生业务中断 30 分钟以上； 3. 其它 IT 管理层判断为二级的故障；	扣减合同总金额的3%/次
三级	1. 单个对接业务系统发生业务中断； 2. 非对接业务系统发生业务中断 90 分钟以上； 3. 存在造成生产业务中断、数据丢失的巨大风险；	扣减合同总金额的1%/次
四级	1.系统操作使用不便，但无业务停顿或性能下降； 2.生产系统失去冗余，但无生产业务停顿或性能下降； 3.所有可能导致生产业务系统性能下降的硬件或应用故障；	不扣减，但乙方应全力协助甲方处理直至问题解决