1、 1 采购人编制采购需求的 温馨提示 一、 请采购人根据政府采购货物和服务招标投标管理办法(财政部第 87 号令) 第十一条、第十七条 及我中心发布的 政府采购文件编制负面清单(货物和服务) (具体内容见我中心网站通知公告栏目) 等规定提交完整、明确的采购需求。 二、 对属于 号要求的,请明确号约束的范围(以段落为准)。 需求中属于 号要求的,不再列 为 评审内容。 三、 属于政务信息系统类的项目,请采购人严格按照财政部印发的政务信息系统政府采购管理暂行办法(财库 2017 210 号)的相关规定,提交符合该 办法 的采购需求。 四、设置采购需求、评分等须遵守以下规定: 中华人民共和国政府采购
2、法实施条例 第二十条 采购人或者采购代理机构有下列情形之一的,属于以不合理的条件对供应商实行差别待遇或者歧视待遇: (一)就同一采购项目向供应商提供有差别的项目信息; (二)设定的资格、技术、商务条件与采购项目的具体特点和实际需要不相适应或者与合同履行无关; (三)采购需求中的技术、服务等要求指向特定供应商、特定产品; (四)以特定行政区域或者特定行业的业绩、奖项作为加分条件或者中标、成交条件; (五)对供应商采取不同的资格审查或者评审标准; (六)限定或者指定特定的专利、商标、品牌或者供应商; (七)非法限定供应商的所有制形式、组织形式或者所在地; (八)以其他不合理条件限制或者排斥潜在供应
3、商。 第三十四条 政府采购招标评标方法分为最低评标价法和综合评分法。 技术、服务等标准统一的货物和服务项目,应当采用最低评标价法。采用综合评分法的,评审标准中的分值设置应当与评审因素的量化指标相对应。 第四十八条 采购文件要求中标或者成交供应商提交履约保证金的,供应商应当以支票、汇 票、本票或者金融机构、担保机构出具的保函等 非现金形式 提交。 履约保证金的数2 额不得超过政府采购合同金额的 10%。 政府采购货物和服务招标投标管理办法(财政部第 87 号令) 第二十二条 采购人、采购代理机构一般不得要求投标人提供样品,仅凭书面方式不能准确描述采购需求或者需要对样品进行主观判断以确认是否满足采
4、购需求等特殊情况除外。 第五十五条 综合评分法, 评审因素的设定应当与投标人所提供货物服务的质量相关,包括投标报价、技术或者服务水平、履约能力、售后服务等。 资格条件不得作为评审因素。 评审因素应当在招标文件中规定。 评审因素应当细化和量化,且与相应的商务条件和采购需求对应。商务条件和采购需求指标有区间规定的,评审因素应当量化到相应区间,并设置各区间对应的不同分值。 货物项目的价格分值占总分值的比重不得低于 30%;服务项目的价格分值占总分值的比重不得低于 10%。执行国家统一定价标准和采用固定价格采购的项目,其价格不列为评审因素。 第七十八条 采购人、采购代理机构有下列情形之一的,由财政部门
5、责令限期改正,情节严重的,给予警告,对直接负责的主管人员和其他直接责任人员,由其行政主 管部门或者有关机关给予处分,并予通报:(二) 设定最低限价的 。3 政务信息系统项目采购需求模板(信息系统运行维护类) 第 一 章 一、采购预算(最高限价) 采购预算(最高限价):人民币 1124000 万元。 二、 资格要求 (一) 符合政府采购法第二十二条规定的条件; 分公司投标的,必须由具有法人资格的总公司授权。 (二)是否接受联合体投标:( )是( )否。 (三)是否专门面向中小微企业采购:( )是( )否。 三、政策要求 采购内容: 广州市广播电视台 2018年全台新媒体网络安全保障服务采购, 包
6、 括 风险评估服务、安全扫描评估、安全基线检查服务、渗透测试、 APP 安全测试、互联网资产发现服务、重要安全保障期现场值守和专家应急响应服务等。 (一)国货 /进口产品: 1、采购国货: 本次采购产品为非进口产品(进口产品指通过中国海关报关验放进入中国境内且产自关境外的产品)。 2、采购进口产品:经政府采购管理部门同意,本次采购的产品为本国产品或不属于国家法律法规政策明确规定限制的进口产品(经审批采购进口产品的,如仅批准部分产品采购进口的需列明)。 (二)强制节能产品: 凡属于政府强制采购节能产品, 请投标人承诺 在交货时提供节能产品政府采购清单中的产品。(注:节能产品政府采购清单投标人可查
7、询中国政府采购网。) (三)优先节能产品: 4 凡属优先采购节能产品,请 投标人 尽可能提供节能产品政府采购清单中的产品。( 注 : 节 能 产 品 政 府 采 购 清 单 投标人 可查询中国政府采购网,网址http:/) (四)强制性认证产品: 凡属于中华人民共和国实施强制性产品认证的产品目录 的产品, 请投标人承诺在交货时提供该产品的 中国强制认证( CCC认证)。 (五)环境标志产品: 凡属优先采购环境标志产品,请投标人尽可能提供环境标志产品政府采购清单中的产品。(注:环境标志产品政府采购清单投标人可查询中国政府采购网,网址http:/) (六)核心产品 (适用于非单一产品采购项目):
8、本项目的核心产品是: (请列出具体的产品名称)。 或本项目采购的产品全部为核心产品(如 采购人不确定核心产品时适用)。 5 第二章 采购需求 一、招标范围 确定一家中标人,为采购人提供 广州市广播电视台 2018 年全台新媒体网络安全保障服务 ,包括风险评估服务、安全扫描评估、安全基线检查服务、渗透测试、 APP安全测试、互联网资产发现服务 、重要安全保障期现场值守和专家应急响应服务、全流量威胁检测服务、 Web失陷检测服务等 信息 安全 服务。 二、 项目 服务期 要求 服务期从 成交 之日起 12个月 。 三、 项目概况 (一) 项目背景 近年来,国内国外网络信息安全形势不断变化,网络攻击
9、呈有组织化、专业化和复杂化的态 势发展。在我国,网络强国已经升级为我国的国家战略,十九大报告更是提出,要加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间。 随着网络安全形势的日益严峻,应用系统所面临的安全风险日益增多。一方面,由于广电媒体行业 的特殊地位,针对系统的攻击、木马病毒等网络安全攻击日益增多;另一方面, 广电媒体行业 的软硬件设备类型繁多,各技术系统的网络架构,系统构成,操作系统版本、应用软件等情况各不相同,给安全播出增加了难度。 (二) 项目现状 广电媒体行业在网络信息系统建设上历来存在“重应用、轻安全”的特点,各系统目前 也不同程度存在安全防护措施不足、运行管理不规范
10、、网络安全技术专业人员短缺等特点。作为政府官媒,各新媒体平台受到外界的广泛关注,作为较敏感的被攻击目标,受到网信办、工信委、广电局、公安网警等上级部门的重点关注和监测。因此,根据中华人民共和国网络安全法、国家网信办关键信息基础设施安全保护条例(征求意见稿)对关键信息基础设施提出的具体要求,我台拟定了 2018年全台新媒体网络安全保障服务采购项目。 (三)项目目标 6 本项目主要目标 范围: 针对 广视网(含手机版)、掌中广视 APP、城市交换云平台、花城 FM、直播( 点播)融平台等 5个 网站 系统 , 为 广州市广播电视台 2018 年全台新媒体网络安全 提供 保障服务,包括风险评估服务、
11、安全扫描评估、安全基线检查服务、渗透测试、 APP 安全测试、互联网资产发现服务 、重要安全保障期现场值守和专家应急响应服务 、 全流量威胁检测服务 、 Web失陷检测服务 等。 四、 总体要求 (一)项目需实现的功能或者目标,以及为落实政府采购政策需满足的要求; 本次项目主要目标为 广州市广播电视台 2018 年全台新媒体网络安全保障服务,包括风险评估服务、安全扫描评估、安全基线检查服务、渗透测试、 APP 安全测试、互联网 资产发现服务 、重要安全保障期现场值守和专家应急响应服务 、 全流量威胁检测服务 、 Web 失陷检测服务 等。 网络 安全保障服务清单如下: 序号 服务分项 数量 单
12、位 说明 1 风险评估服 务 按需检查 ,一年 不少于 2次 对全网(包括网络、主机、应用、终端、数据、物理、管理、数据流等 8 个方面)进行全面风险评估。 2 安全扫描评 估 服务 至少每月 1次 对全网的服务器、终端、网络设备、安全设备、 网站及应用系统进行安全扫描。 3 安全基线检 查服务 按需检查 ,一年 不少于 2次 对全网各类服务器、网络设备、安全设备等 IT 设备进行安 全基线检查。 4 渗透测试 服务 按需检查 ,一年 不少于 5个系统,每个 系统 2次 按需检查 ,一年 不少于 5个 系统 , 每个 系统 2次 5 APP安全 测试服务 按需检查 ,一年 不少于 3个 APP
13、, 每个 APP 2次 按需检查 ,一年 不少于 3个 APP, 每个 APP 2次 6 互联网资产 发现服务 按需检查 , 至少 4次 针对给出的 IP或域名,安全服务商要自主提供并利用平台系统自动发现所有的暴露在互联网上的信息资产,并输出互联网资产发现报告 7 重大活动保 障服务 120 个人工时,每天三岗,每岗 7*8小时,共计 40天 针对用户 要求的 所 有重大 活动 、 节假日 进行 现场值守 的安全保障。 提供 7x24小时现场值守、主备轮岗服务 8 专家应急响 应服务 一年不限次数 针对用户 的 信息 安全事件进行应急响应。 要求 一小时内 到场 9 全流量威胁 检测服务 由安
14、全服务商提供 1套 可本地化部署的流量采集设备及配套的全流量风险分由安全服务工程师针对在现场部署的采集设备所采集的全流量网络数据,进行资产梳理和攻击面分析,及时发现用户网络系统中的安全事件和威7 序号 服务分项 数量 单位 说明 析工具,全面采集流量 数据 。 胁,从而进行深度的风险分析并提出解决方案。 10 Web失陷检测服务 按需检测 , 至少一年 2次 安全服务商要自主提供分析工具,通过专用分析工具结合云端大数据对 Web 网站进行失陷 检测服务 。 (二) 项目需执行的国家相关标准、行业标准、地方标准、 市场自主制定的团体标准或者其他标准、规范 ; 请采购人根据项目情况进行补充。 (
15、三)项目 应当落实政务信息系统整合共享要求,符合政务信息共享标准体系,确保相关系统能够按照规定接入国家共享数据交换平台。采购需求要与现有系统功能协调一致,避免重复建设。 (四)项目应当体现公共数据开放有关要求,推动原始性、可机器读取、可供社会化再利用的数据集向社会开放。 (五)项目应当 落实国家支持云计算的政策要求,推动政务服务平台集约化建设管理。不含国家秘密、面向社会主体提供服务的政务信息系统,原则上应当采用云计算模式进行建设。 (六) 项目 应当落实国家密码管理有关法律法规、政策和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。 五、 IT运维服务范围 IT运维服务
16、类别 服务内容 基础设施维护服务 服务器与相关设备维护 办公自动化设备维护 网络和信息安全设备维护 机房环境维护 视频监控、防盗报警设备维护 软件及信息资源维护服务 基 础软件维护 业务系统维护 支撑软件维护 信息资源安全维护 链路租赁和云平台租赁迁移服务 链路租赁 云平台租赁迁移服务 8 六、 安全 服务内容 针对广视网(含手机版)、掌中广视 APP、城市交换云平台、花城 FM、直播(点播)融平台等 5个 网站系统。 为 了做好 2018 年 全台新媒体网络安全保障服务, 要求安全 服务商 至少 提供 7名 安全服务人员 。 针对上述网站或 APP 的运行现状, 2018 年采购以下网络安全
17、运行保障服务: 6.1 风险评估服务 根据相关文件要求,帮助用户对全网进行安全风险评估,进一步 控制和降低风险,改善安全状况,为信息系统的风险管理提供依据。 安全风险评估服务, 包括 网络、主机、应用、终端、数据、物理、管理、数据流 等 8个方面 。 网络安全评估 : 对组织的网络拓扑架构、安全域规划、 VLAN 划分、网络设备配置、安全设备配置、安全防护措施进行分析,从而评估网络的安全现状,查找安全隐患。 主机安全评估 : 对各种操作系统,通过技术手段进行分析,发现系统配置和运行中存在的安全漏洞和安全隐患。主机安全评估的内容,主要包括以下方面 : 账号 、 认证 、 授权 、网络服务 、 系
18、统日志 、 补丁升级 、 病毒防护 、 本地安全策略 等。 应 用安全评估 : 从账号、认证、授权、审计、性能资源、备份恢复、渗透测试等方面,对应用系统进行全面的安全评估,查找应用系统自身的安全漏洞和安全隐患。 终端安全评估 : 从补丁升级、病毒防护、账号口令、网络服务、本地安全策略等方面,对终端主机的安全状况进行评估,查找终端主机的安全漏洞和安全隐患。 数据安全评估 : 从数据的机密性、完整性、可用性三个方面,对数据的安全状况进行主估,查找数据层面可能存在的安全漏洞和安全隐患。 物理安全评估 : 从机房的物理环境、访问控制、电力供应、线缆布放、设备摆放、标签规范、机房制度等方面,评估 网络机
19、房的安全 管理安全评估 : 从安全组织、安全制度、安全人员、安全运维、安全应急、安全培训等方面,对信息安全管理现状进行评估,查找可能的安全隐患和缺失点。 要求在一年服务期内,至少开展 2 次风险评估服务,并针对评估报告出现的问题协助进行整改,直至问题解决。交付成果:风险评估报告。 6.2 安全扫描 评估服务 广州市广播电视台 全 网运行的服务器、终端、网络设备、安全设备、网站及应用系统,9 可能存在硬件、软件、协议的具体实现或系统安全策略上的缺陷,这些缺陷可能被攻击者所利用从而产生不利影响,这些缺陷就是安全漏洞。 通过安全 扫描评估,可以及时发现信息系统中存在的安全漏洞,通过对 Windows
20、、 Linux服务器及安全设备漏洞的整改,可以及时地消除安全漏洞可能带来的安全风险。 交付 成果: 针对所有进行安全扫描评估的服务器、安全设备等输出安全扫描评估报告及漏洞修复报告,报告内容详细描述安全扫描结果和修复结果。 要求在服务期内,至少每月开展 1 次安全扫描评估服务,针对所有进行安全扫描评估的服务器、安全设备等输出安全扫描评估报告及漏洞修复报告,报告内容详细描述安全扫描结果和修复结果。交付成果:安全扫描评估报告 6.3 安全基线检查服务 在系统部 署阶段通过安全基线检查工作,发现 全网 各类服务器、网络设备、安全设备等 IT设备自身存在的安全漏洞和薄弱环节,并对发现的脆弱性进行识别、分
21、析、修补、检验,消除、降低 IT设备的高、中风险隐患,防范安全事件发生,避免信息系统脆弱性被非法利用,增强信息系统安全防范能力,保障业务的可持续性。 针对广州市广播电视台重要信息系统的基线检查服务,主要包括以下各个层面的基线检查: ( 1) 网络及安全设备人工检查内容 针对交换机、路由器、防火墙、入侵防御系统、 VPN 等网络及安全设备进行设备设置的人工检查,尽量减少网络设备因配置不当 产生的安全弱点,提升网络设备自身及网络整体的抗攻击能力。 ( 2)操作系统人工检查内容 针对 WINDOWS、 LINUX、 UNIX、 AIX、 HP-UNIX 等操作系统进行系统配置的人工检查,尽量减少服务
22、器因操作系统设置不当生的安全弱点,提升服务器自身的抗攻击能力,并根据应用系统的不同情况,提供定制式安全策略建议,使操作系统的安全级别达到理想化状态。 ( 3)数据库人工检查内容 针对 mysql、 SQLServer、 ORACLE、 INFORMIX、 PostgreSQL等数据库进行系统配置的人工检查,尽量减少数据库系统因 配置不当产生的安全弱点,提升数据库系统的安全性 ( 4) Web 服务器、中间件人工检查内容 针对 IIS、 TOMCAT、 WEBLOGIC、 Apache、 Jboss 的 Web 服务器、中间件进行配置人工检查,利用系统自身的安全功能提高 Web服务器、中间件的安
23、全性 。 10 要求在一年服务期内,至少开展 2 次安全基线检查服务,并针对基线检查服务报告中出现的问题协助进行整改,直至问题解决。交付成果:基线检查报告。 6.4 渗透测试 服务 为广州市广播电视台的 5 个 对外网站进行渗透测试,通过对系统的弱点、技术缺陷或漏洞的主动分析,对信息系统 进行模拟攻击测试,分析系统的安全风险和应对措施。通过渗透测试、安全修复、回归性测试进行网站安全漏洞的闭环管理,从而提高网站的安全性和降低网站出现安全事件的风险。 根据国家网信办关键信息基础设施安全保护条例(征求意见稿)要求, 要求 在服务期内, 对上述 但不限于 5 个系统 进行 一 年 2次的渗透测试 。
24、渗透 测试 人员能力要求: 至少 安排 2名 普通渗透测试人员,具备中国信息安全测评中心颁发的 CISP-PTE注册渗透测试工程师资质认证的人员参与项目实施,以保障实施人员具备专业的技术实力。 至少 安排 2 名 高级渗透测试人员,承担过大 型企业的信息安全风险评估工作经验,并能提供权威机构(如 CNVD、 CNNVD 等)的相关漏洞提交证明,或者互联网公司 SRC 严重漏洞提交并得到确认的从业者。 按需检查,一年不少于 5个系统,每个系统 2次。交付成果:渗透测试报告。 6.5 APP 安全 测试服务 随着 广州市 广播电视台 业务的不断发展, 推出了很多 APP 的业务,为了保证 APP
25、业务系统的安全性,希望通过 APP安全检测,提升移动 APP系统的自身的安全性。 移动 APP 安全测试则是一个具有高度针对性的技术评估服务,它的重点在于通过对网络通讯、服务器端、客户端、数据和业务 逻辑等多个层面进行细致的梳理、测试和分析,发现移动 APP面临的安全风险。 本次 APP应用安全评估范围为:应用系统客户端(包含安卓和 IOS类型 ) ,针对广州市广播电视台 要求的不少于 3 个 APP 客户端 和服务器进行安全测试服务 , APP 客户端和系统需 进行一年 2次的 安全 测试服务 。 移动 APP 安全评估主要针对 APP 客户端漏洞和对应的 APP 服务端进行安全测试。其中客户端的安全测试包括移动 APP 自身出现的漏洞和移动 APP 所调用的系统组件漏洞。服务端的安全测试包括传输安全测试和服务端应用安全测试。 主要通过以下方法进行测试: 身份验证突破
