合同条款解析 香港交易所平台机房招标中的责任与维护约定

1. 项目背景与招标范围概述

1) 招标主体为香港交易所（或其指定平台运营单位），目标是为交易撮合与行情分发提供高可用机房与网络服务。
2) 招标内容包含物理机柜、服务器、网络交换设备、带宽接入、CDN接入以及域名与证书管理。
3) 要求提供DDoS防御、入侵检测、日志保留与合规审计等安全能力。
4) 运维服务范围包括24x7监控、补丁管理、故障响应与定期维护窗口约定。
5) 合同还需明确责任分配、赔偿条款、SLA指标与数据备份恢复策略。
6) 招标文件通常要求投标方给出具体服务器配置与性能测试数据以供评估。

2. 责任主体与责任边界的合同约定

1) 明确甲方（交易平台）与乙方（机房/托管/云供应商）在硬件、网络与应用层面的责任划分。
2) 乙方负责物理设施供电、制冷、机柜安全与基础网络连通。
3) 甲方或指定第三方负责应用层及数据库的部署、代码变更与应用安全（若另有约定则交叉）。
4) 对于VPS/云主机提供的托管环境，合同需明确平台方对虚拟化层的责任与租户隔离责任。
5) 在域名与证书管理上，需规定谁负责续费、谁负责CA证书部署与私钥保管。
6) 对于CDN与边缘节点故障，合同应规定由谁承担缓存刷新、流量重定向与费用。

3. 维护约定与SLA关键指标

1) SLA常见指标包括可用性（99.95%或更高）、网络延迟、丢包率与带宽可用性。
2) 规定故障响应时间（例如：P1事件30分钟内响应，4小时内提供临时缓解方案）。
3) 定义平均修复时间MTTR（例如P1 MTTR≤4小时，P2 MTTR≤24小时）。
4) 备份策略需写明RPO与RTO（例如每日异地快照，RPO≤1小时，RTO≤2小时）。
5) 维护窗口与变更管理流程：常规维护需提前72小时通知，紧急修复按应急流程执行。
6) 违约与赔偿条款：若可用性低于约定，按分钟或小时计费返还或信用积分。

4. 安全与DDoS防御约定细则

1) 要求提供至少10Gbps及以上的带宽入口并配置弹性抗DDoS服务。
2) 合同中应包含DDoS响应流程、清洗阈值与清洗带宽保障（例如可清洗峰值≥100Gbps）。
3) IDS/IPS、WAF与日志审计保留时长（例如日志保留不少于180天）。
4) 对于攻击导致的停机，需区分由乙方防护不足还是甲方配置问题导致的责任。
5) 安全事件通报与演练频率：要求季度演练与72小时内通报重大安全事件。
6) 针对DNS与域名被劫持，合同需约定二级保护与应急切换机制。

5. 真实案例：券商平台在港交所招标中的责任与维护实践

1) 案例概述：2019年某香港券商为接入港交所撮合平台，进行机房与网络托管招标，最终选定两家冗余机房。
2) 配置与SLA：合同约定主备机房可用性99.99%，主库与备库同步延迟≤500ms。
3) DDoS经验：一次针对行情分发的UDP放大攻击峰值达120Gbps，供应商启用清洗并将有效流量限制在10Gbps内，交易系统未发生丢单。
4) 责任划分：物理链路与机柜由供应商负责，应用层由券商自行维护，安全补丁由双方按月协同验收。
5) 索赔情况：在一次因供应商网络配置错误导致的2小时中断中，券商根据合同获得按可用性违约条款赔付的20%月度托管费。
6) 教训与改进：后续合同增加了更严格的DDoS清洗带宽条款和更快的P1响应承诺。

6. 服务器与网络配置示例（含数据表演示）

1) 以下为招标文件中常见的参考物理服务器与网络配置示例，供评估与报价使用。
2) 示范包含CPU、内存、存储、网络、备份与镜像策略等。
3) 表格展示常用三档配置（生产主库/备库/边缘节点）与对应SLA数值。
4) 表中数据为示例，可作为合同技术附件的初始基线。
5) 招标方可在此基础上调整存储IOPS、网络带宽与DDoS清洗能力指标。
6) 供应商报价需对应表内配置并注明可替代组件与扩展能力。

7. 合同撰写建议与风险控制要点

1) 在技术附件中列明详细配置、测试基线与验收步骤，减少模糊表述带来的争议。
2) 对SLA采用分钟或小时粒度计量，明确统计口径（不含计划维护窗口）。
3) 明确安全事件分级、应急联系人名单与升级链路，约定演练频率与报告模板。
4) 对于第三方服务（如CDN、DNS、云防护），约定接口与责任链，避免“推诿责任”。
5) 设定合理的保证金或绩效扣款机制，以确保供应商在故障处置上有足够激励。
6) 建议保留合同期内的配置快照与变更记录，作为后续仲裁与验收依据。

来源：合同条款解析 香港交易所平台机房招标中的责任与维护约定