采购人编制采购需求的温馨提示.docx

1、采购人编制采购需求的温馨提示采购人编制采购需求的温馨提示一、请采购人根据政府采购货物和服务招标投标管理办法（财政部第87号令）第十一条、第十七条及我中心发布的政府采购文件编制负面清单（货物和服务）（具体内容见我中心网站通知公告栏目）等规定提交完整、明确的采购需求。二、对属于号要求的，请明确号约束的范围（以段落为准）。需求中属于号要求的，不再列为评审内容。三、属于政务信息系统类的项目，请采购人严格按照财政部印发的政务信息系统政府采购管理暂行办法（财库2017210号）的相关规定，提交符合该办法的采购需求。 四、设置采购需求、评分等须遵守以下规定： 中华人民共和国政府采购法实施条例 第二十条采购人

2、或者采购代理机构有下列情形之一的，属于以不合理的条件对供应商实行差别待遇或者歧视待遇：（一）就同一采购项目向供应商提供有差别的项目信息；（二）设定的资格、技术、商务条件与采购项目的具体特点和实际需要不相适应或者与合同履行无关；（三）采购需求中的技术、服务等要求指向特定供应商、特定产品；（四）以特定行政区域或者特定行业的业绩、奖项作为加分条件或者中标、成交条件；（五）对供应商采取不同的资格审查或者评审标准；（六）限定或者指定特定的专利、商标、品牌或者供应商；（七）非法限定供应商的所有制形式、组织形式或者所在地；（八）以其他不合理条件限制或者排斥潜在供应商。 第三十四条政府采购招标评标方法分为最低

3、评标价法和综合评分法。技术、服务等标准统一的货物和服务项目，应当采用最低评标价法。采用综合评分法的，评审标准中的分值设置应当与评审因素的量化指标相对应。 第四十八条采购文件要求中标或者成交供应商提交履约保证金的，供应商应当以支票、汇票、本票或者金融机构、担保机构出具的保函等非现金形式提交。履约保证金的数额不得超过政府采购合同金额的10%。 政府采购货物和服务招标投标管理办法（财政部第87号令） 第二十二条采购人、采购代理机构一般不得要求投标人提供样品，仅凭书面方式不能准确描述采购需求或者需要对样品进行主观判断以确认是否满足采购需求等特殊情况除外。 第五十五条综合评分法，评审因素的设定应当与投标

4、人所提供货物服务的质量相关，包括投标报价、技术或者服务水平、履约能力、售后服务等。资格条件不得作为评审因素。评审因素应当在招标文件中规定。评审因素应当细化和量化，且与相应的商务条件和采购需求对应。商务条件和采购需求指标有区间规定的，评审因素应当量化到相应区间，并设置各区间对应的不同分值。货物项目的价格分值占总分值的比重不得低于30%；服务项目的价格分值占总分值的比重不得低于10%。执行国家统一定价标准和采用固定价格采购的项目，其价格不列为评审因素。 第七十八条采购人、采购代理机构有下列情形之一的，由财政部门责令限期改正，情节严重的，给予警告，对直接负责的主管人员和其他直接责任人员，由其行政主管

5、部门或者有关机关给予处分，并予通报：（二）设定最低限价的。政务信息系统项目采购需求模板（信息系统运行维护类）第一章一、采购预算（最高限价）采购预算（最高限价）：人民币 1124000 万元。二、资格要求（一）符合政府采购法第二十二条规定的条件；分公司投标的，必须由具有法人资格的总公司授权。（二）是否接受联合体投标：（ ）是（）否。（三）是否专门面向中小微企业采购：（ ）是（ ）否。三、政策要求采购内容：广州市广播电视台2018年全台新媒体网络安全保障服务采购，包括风险评估服务、安全扫描评估、安全基线检查服务、渗透测试、APP安全测试、互联网资产发现服务、重要安全保障期现场值守和专家应急响应服务

6、等。（一）国货/进口产品：1、采购国货：本次采购产品为非进口产品（进口产品指通过中国海关报关验放进入中国境内且产自关境外的产品）。2、采购进口产品：经政府采购管理部门同意，本次采购的产品为本国产品或不属于国家法律法规政策明确规定限制的进口产品（经审批采购进口产品的，如仅批准部分产品采购进口的需列明）。（二）强制节能产品：凡属于政府强制采购节能产品，请投标人承诺在交货时提供节能产品政府采购清单中的产品。（注：节能产品政府采购清单投标人可查询中国政府采购网。）（三）优先节能产品：凡属优先采购节能产品，请投标人尽可能提供节能产品政府采购清单中的产品。（注：节能产品政府采购清单投标人可查询中国政府采购

7、网，网址.cn）（四）强制性认证产品：凡属于中华人民共和国实施强制性产品认证的产品目录的产品，请投标人承诺在交货时提供该产品的中国强制认证（CCC认证）。（五）环境标志产品：凡属优先采购环境标志产品，请投标人尽可能提供环境标志产品政府采购清单中的产品。（注：环境标志产品政府采购清单投标人可查询中国政府采购网，网址.cn）（六）核心产品（适用于非单一产品采购项目）：本项目的核心产品是： （请列出具体的产品名称）。或本项目采购的产品全部为核心产品（如采购人不确定核心产品时适用）。第二章 采购需求一、招标范围确定一家中标人，为采购人提供 广州市广播电视台2018年全台新媒体网络安全保障服务，包括风险

8、评估服务、安全扫描评估、安全基线检查服务、渗透测试、APP安全测试、互联网资产发现服务、重要安全保障期现场值守和专家应急响应服务、全流量威胁检测服务、Web失陷检测服务等 信息安全服务。二、项目服务期要求服务期从成交之日起12个月。三、项目概况（一）项目背景近年来，国内国外网络信息安全形势不断变化，网络攻击呈有组织化、专业化和复杂化的态势发展。在我国，网络强国已经升级为我国的国家战略，十九大报告更是提出，要加强互联网内容建设，建立网络综合治理体系，营造清朗的网络空间。随着网络安全形势的日益严峻，应用系统所面临的安全风险日益增多。一方面，由于广电媒体行业的特殊地位，针对系统的攻击、木马病毒等网络

9、安全攻击日益增多；另一方面，广电媒体行业的软硬件设备类型繁多，各技术系统的网络架构，系统构成，操作系统版本、应用软件等情况各不相同，给安全播出增加了难度。（二）项目现状广电媒体行业在网络信息系统建设上历来存在“重应用、轻安全”的特点，各系统目前也不同程度存在安全防护措施不足、运行管理不规范、网络安全技术专业人员短缺等特点。作为政府官媒，各新媒体平台受到外界的广泛关注，作为较敏感的被攻击目标，受到网信办、工信委、广电局、公安网警等上级部门的重点关注和监测。因此，根据中华人民共和国网络安全法、国家网信办关键信息基础设施安全保护条例（征求意见稿）对关键信息基础设施提出的具体要求，我台拟定了2018年

10、全台新媒体网络安全保障服务采购项目。（三）项目目标本项目主要目标范围：针对广视网（含手机版）、掌中广视APP、城市交换云平台、花城FM、直播（点播）融平台等5个网站系统, 为广州市广播电视台2018年全台新媒体网络安全提供保障服务，包括风险评估服务、安全扫描评估、安全基线检查服务、渗透测试、APP安全测试、互联网资产发现服务、重要安全保障期现场值守和专家应急响应服务、全流量威胁检测服务、Web失陷检测服务等。四、总体要求（一）项目需实现的功能或者目标，以及为落实政府采购政策需满足的要求；本次项目主要目标为广州市广播电视台2018年全台新媒体网络安全保障服务，包括风险评估服务、安全扫描评估、安全

11、基线检查服务、渗透测试、APP安全测试、互联网资产发现服务、重要安全保障期现场值守和专家应急响应服务、全流量威胁检测服务、Web失陷检测服务等。网络安全保障服务清单如下：序号服务分项数量单位说明1风险评估服务按需检查，一年不少于2次对全网（包括网络、主机、应用、终端、数据、物理、管理、数据流等8个方面）进行全面风险评估。2安全扫描评估服务至少每月1次对全网的服务器、终端、网络设备、安全设备、网站及应用系统进行安全扫描。3安全基线检查服务按需检查，一年不少于2次对全网各类服务器、网络设备、安全设备等IT设备进行安全基线检查。4渗透测试服务按需检查，一年不少于5个系统，每个系统2次按需检查，一年不

12、少于5个系统, 每个系统2次5APP安全测试服务按需检查，一年不少于3个APP，每个APP 2次按需检查，一年不少于3个APP，每个APP 2次6互联网资产发现服务按需检查，至少4次针对给出的IP或域名，安全服务商要自主提供并利用平台系统自动发现所有的暴露在互联网上的信息资产，并输出互联网资产发现报告7重大活动保障服务120个人工时，每天三岗，每岗7*8小时，共计40天针对用户要求的所有重大活动、节假日进行现场值守的安全保障。提供7x24小时现场值守、主备轮岗服务8专家应急响应服务一年不限次数针对用户的信息安全事件进行应急响应。要求一小时内到场9全流量威胁检测服务由安全服务商提供1套可本地化部

13、署的流量采集设备及配套的全流量风险分析工具，全面采集流量数据。由安全服务工程师针对在现场部署的采集设备所采集的全流量网络数据，进行资产梳理和攻击面分析，及时发现用户网络系统中的安全事件和威胁，从而进行深度的风险分析并提出解决方案。10Web失陷检测服务按需检测，至少一年2次安全服务商要自主提供分析工具，通过专用分析工具结合云端大数据对Web网站进行失陷检测服务。（二）项目需执行的国家相关标准、行业标准、地方标准、市场自主制定的团体标准或者其他标准、规范；请采购人根据项目情况进行补充。（三）项目应当落实政务信息系统整合共享要求，符合政务信息共享标准体系，确保相关系统能够按照规定接入国家共享数据交

14、换平台。采购需求要与现有系统功能协调一致，避免重复建设。（四）项目应当体现公共数据开放有关要求，推动原始性、可机器读取、可供社会化再利用的数据集向社会开放。（五）项目应当落实国家支持云计算的政策要求，推动政务服务平台集约化建设管理。不含国家秘密、面向社会主体提供服务的政务信息系统，原则上应当采用云计算模式进行建设。（六）项目应当落实国家密码管理有关法律法规、政策和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。五、IT运维服务范围IT运维服务类别服务内容基础设施维护服务服务器与相关设备维护办公自动化设备维护网络和信息安全设备维护机房环境维护视频监控、防盗报警设备维护软件

15、及信息资源维护服务基础软件维护业务系统维护支撑软件维护信息资源安全维护链路租赁和云平台租赁迁移服务链路租赁云平台租赁迁移服务六、安全服务内容针对广视网（含手机版）、掌中广视APP、城市交换云平台、花城FM、直播（点播）融平台等5个网站系统。 为了做好2018年全台新媒体网络安全保障服务，要求安全服务商至少提供7名安全服务人员。针对上述网站或APP的运行现状， 2018年采购以下网络安全运行保障服务：6.1 风险评估服务根据相关文件要求，帮助用户对全网进行安全风险评估，进一步控制和降低风险，改善安全状况，为信息系统的风险管理提供依据。安全风险评估服务，包括网络、主机、应用、终端、数据、物理、管理

16、、数据流等8个方面。网络安全评估：对组织的网络拓扑架构、安全域规划、VLAN划分、网络设备配置、安全设备配置、安全防护措施进行分析，从而评估网络的安全现状，查找安全隐患。主机安全评估：对各种操作系统，通过技术手段进行分析，发现系统配置和运行中存在的安全漏洞和安全隐患。主机安全评估的内容，主要包括以下方面：账号、认证、授权、网络服务、系统日志、补丁升级、病毒防护、本地安全策略等。应用安全评估：从账号、认证、授权、审计、性能资源、备份恢复、渗透测试等方面，对应用系统进行全面的安全评估，查找应用系统自身的安全漏洞和安全隐患。终端安全评估：从补丁升级、病毒防护、账号口令、网络服务、本地安全策略等方面，

17、对终端主机的安全状况进行评估，查找终端主机的安全漏洞和安全隐患。数据安全评估：从数据的机密性、完整性、可用性三个方面，对数据的安全状况进行主估，查找数据层面可能存在的安全漏洞和安全隐患。物理安全评估：从机房的物理环境、访问控制、电力供应、线缆布放、设备摆放、标签规范、机房制度等方面，评估网络机房的安全管理安全评估：从安全组织、安全制度、安全人员、安全运维、安全应急、安全培训等方面，对信息安全管理现状进行评估，查找可能的安全隐患和缺失点。要求在一年服务期内，至少开展2次风险评估服务，并针对评估报告出现的问题协助进行整改，直至问题解决。交付成果：风险评估报告。6.2 安全扫描评估服务广州市广播电视

18、台全网运行的服务器、终端、网络设备、安全设备、网站及应用系统，可能存在硬件、软件、协议的具体实现或系统安全策略上的缺陷，这些缺陷可能被攻击者所利用从而产生不利影响，这些缺陷就是安全漏洞。通过安全扫描评估，可以及时发现信息系统中存在的安全漏洞，通过对Windows、Linux服务器及安全设备漏洞的整改，可以及时地消除安全漏洞可能带来的安全风险。交付成果：针对所有进行安全扫描评估的服务器、安全设备等输出安全扫描评估报告及漏洞修复报告，报告内容详细描述安全扫描结果和修复结果。要求在服务期内，至少每月开展1次安全扫描评估服务，针对所有进行安全扫描评估的服务器、安全设备等输出安全扫描评估报告及漏洞修复报

19、告，报告内容详细描述安全扫描结果和修复结果。交付成果：安全扫描评估报告6.3 安全基线检查服务在系统部署阶段通过安全基线检查工作，发现全网各类服务器、网络设备、安全设备等IT设备自身存在的安全漏洞和薄弱环节，并对发现的脆弱性进行识别、分析、修补、检验，消除、降低IT设备的高、中风险隐患，防范安全事件发生，避免信息系统脆弱性被非法利用，增强信息系统安全防范能力，保障业务的可持续性。针对广州市广播电视台重要信息系统的基线检查服务，主要包括以下各个层面的基线检查：（1）网络及安全设备人工检查内容针对交换机、路由器、防火墙、入侵防御系统、VPN等网络及安全设备进行设备设置的人工检查，尽量减少网络设备因

20、配置不当产生的安全弱点，提升网络设备自身及网络整体的抗攻击能力。（2）操作系统人工检查内容针对WINDOWS、LINUX、UNIX、AIX、HP-UNIX等操作系统进行系统配置的人工检查，尽量减少服务器因操作系统设置不当生的安全弱点，提升服务器自身的抗攻击能力，并根据应用系统的不同情况，提供定制式安全策略建议，使操作系统的安全级别达到理想化状态。（3）数据库人工检查内容针对mysql、SQLServer、ORACLE、INFORMIX、PostgreSQL等数据库进行系统配置的人工检查，尽量减少数据库系统因配置不当产生的安全弱点，提升数据库系统的安全性（4）Web服务器、中间件人工检查内容针对

21、IIS、TOMCAT、WEBLOGIC、Apache、Jboss 的Web服务器、中间件进行配置人工检查，利用系统自身的安全功能提高Web服务器、中间件的安全性。要求在一年服务期内，至少开展2次安全基线检查服务，并针对基线检查服务报告中出现的问题协助进行整改，直至问题解决。交付成果：基线检查报告。6.4 渗透测试服务为广州市广播电视台的5个对外网站进行渗透测试，通过对系统的弱点、技术缺陷或漏洞的主动分析，对信息系统进行模拟攻击测试，分析系统的安全风险和应对措施。通过渗透测试、安全修复、回归性测试进行网站安全漏洞的闭环管理，从而提高网站的安全性和降低网站出现安全事件的风险。根据国家网信办关键信息

22、基础设施安全保护条例（征求意见稿）要求，要求在服务期内，对上述但不限于5个系统进行一年2次的渗透测试。渗透测试人员能力要求：至少安排2名普通渗透测试人员，具备中国信息安全测评中心颁发的CISP-PTE注册渗透测试工程师资质认证的人员参与项目实施，以保障实施人员具备专业的技术实力。至少安排2名高级渗透测试人员，承担过大型企业的信息安全风险评估工作经验，并能提供权威机构（如CNVD、CNNVD等）的相关漏洞提交证明，或者互联网公司SRC严重漏洞提交并得到确认的从业者。按需检查，一年不少于5个系统，每个系统2次。交付成果：渗透测试报告。6.5 APP安全测试服务随着广州市广播电视台业务的不断发展，推

23、出了很多APP的业务，为了保证APP业务系统的安全性，希望通过APP安全检测，提升移动APP系统的自身的安全性。移动APP安全测试则是一个具有高度针对性的技术评估服务，它的重点在于通过对网络通讯、服务器端、客户端、数据和业务逻辑等多个层面进行细致的梳理、测试和分析，发现移动APP面临的安全风险。本次APP应用安全评估范围为：应用系统客户端（包含安卓和IOS类型），针对广州市广播电视台要求的不少于3个APP客户端和服务器进行安全测试服务，APP客户端和系统需进行一年2次的安全测试服务。移动APP安全评估主要针对APP客户端漏洞和对应的APP服务端进行安全测试。其中客户端的安全测试包括移动APP自

24、身出现的漏洞和移动APP所调用的系统组件漏洞。服务端的安全测试包括传输安全测试和服务端应用安全测试。 主要通过以下方法进行测试： 身份验证突破 策略配置漏洞 APP应用分析 APP应用漏洞利用 Web服务漏洞利用 访问控制突破 系统用户提权 网页代码漏洞 溢出漏洞攻击 按需检查，一年不少于3个APP，每个APP 2次，对APP客户端和系统进行安全测试服务。交付成果：APP安全测试报告。6.6 互联网资产发现服务要求安全服务商基于网络扫描、搜索引擎、互联网基础数据引擎主动探测广州市广播电视台在互联网上暴露的资产，可以形成明确的资产清单，帮助广州市广播电视台发现自己的未知资产。互联网资产发现是利用

25、互联网安全大数据进行企业互联网资产梳理与暴露面筛查的服务。该服务通过数据挖掘和调研的方式确定企业资产范围，之后进行主动精准探测深度发现企业暴露在外的IT设备、端口以及应用服务，并由安全专家对每个业务梳理分析，结合业务特点对资产重要程度、业务安全需求进行归纳，最终针对性的形成广州市广播电视台的资产画像，精准探测广州市广播电视台的互联网暴露面。要求在一年服务期内，至少开展4次互联网资产发现服务，与广州市广播电视台确认后形成真实资产报告。交付成果：要求针对所有需要发现确认的业务系统输出互联网资产发现报告，该报告内容是通过互联网发现后与广州市广播电视台确认后的真实资产。交付成果：互联网资产列表。6.7

26、 重要安全保障期现场值守服务为确保重要安全播出期间网络安全，参照“十九大”期间网络安全保障工作的经验，建议专业网络安全服务企业进行现场值守和应急响应。现场值守内容包括实时监测各网站的服务状态、实时分析网络安全设备（如防火墙等）的安全日志、对异常攻击实时封堵、遇到网站失陷时及时应急恢复，以及配合广州市广播电视台网络安全应急小组解决现场网络安全的具体问题。要求在重要安全保障期，针对用户要求的所有重大活动、节假日进行现场值守的安全保障。提供7x24小时现场值守、主备轮岗服务。要求现场人天数不低于120个人工时，按照每天三岗，每岗78小时，共计40天。在现场主要开展以下工作内容：（1）持续安全监测；（

27、2）故障定位；（3）排障处理；（4）其他保障系统稳定可靠运行的安全工作等。 本项须对照本招标文件“八、安全服务人员和工具的要求”提供技术总监和现场技术人员的资质情况。交付成果：安全值守报告6.8 专家应急响应服务 专家应急响应服务范围包括但不限于：已完成定级备案的6个信息系统。 提供安全事件应急响应和处置服务，在发生信息破坏事件（篡改、泄露、窃取、丢失等）、大规模病毒事件、网站漏洞事件等信息安全事件时，提供应急响应专家协助处置。 若发生确切的安全事件，应急响应实施人员需要及时采取行动限制事件扩散和影响的范围，限制潜在的损失与破坏服务基础上，实施人员协助客户检查所有受影响的系统，在准确判断安全事

28、件原因的基础上，提出基于安全事件整体安全解决方案，排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置，并提交事件应急响应报告，得到客户相关负责人的书面确认。 要求一小时内到场，一年不限次数。交付成果：应急响应报告。6.9 全流量威胁检测服务全流量威胁分析服务的服务流程如下：在现场环境部署一套专用的流量采集设备和大数据分析平台设备（未知威胁安全监测设备），设备要求能满足内网流量和出口流量要求，产权归属投标服务商，为本项目提供未知威胁监测与处置服务要求对广州市广播电视台网内流量数据进行全面采集，安全服务商安全分析专家到现场对告警、及日志进行检测和分析，出具专业分析报告。交付成果：全流量

29、威胁检测报告。要求基于全流量的威胁检测内容至少包括：序号检查内容检查项具体服务要求1资产梳理服务服务器类型、服务器版本、在线状态、开发语言、开放端口、新增资产、资产变更、新增端口、端口变更等。资产类型、开放服务及端口识别资产Web应用识别资产Web中间件识别资产Web业务类型识别资产Web开发语言识别资产服务状态变更监测资产端口状态变更监测2数据库行为分析服务数据库服务器敏感操作行为进行梳理，主要可抓取信息包括：源IP、目的IP、数据库类型、时间、具体操作行为等。数据库的内置高危存储过程识别数据库敏感操作识别数据库目录遍历、权限提升、非常规操作识别3非常规检测分析服务针对网络中存在一些非常规类

30、代理进行梳理分析，主要可抓取信息包括：源IP、目的IP、代理地址、代理方式、使用次数等。Regeory Tunnel识别HTTP代理识别SOCKS代理识别TeamView/IRC识别非标准端口分析4登录行为分析服务针对登录行为进行梳理分析，主要可抓取信息包括：源IP、目的IP、口令、登录方式、使用频率、来源属地、访问时间、常用登录地址、异常登录地址等。主动式弱口令探测基于企业相关信息生成弱口令暴力破解识别被动式邮件、WEB等弱口令探测通用默认密码检测5服务器危险行为分析服务对内网服务器存在的高危漏洞服务进行梳理，主要可抓取信息包括：源IP、目的IP、up_payload、down_payloa

31、d等。反弹shell识别Redis命令执行识别DNS Tunnel检测反序列化攻击检测其他高危漏洞，例如NSA等6WEB攻击分析服务针对内网中存在的web攻击进行梳理分析，主要可抓取信息包括：源IP、目的IP、利用模块、攻击方式、结果类型、敏感信息等。Web通用弱口令检测识别弱口令爆破成功识别Webshell存在识别Web漏洞扫描识别黑产后门扫描识别SQL注入攻击识别Struts 2 攻击识别上传行为攻击识别敏感信息泄露识别XSS跨站攻击识别敏感路径访问识别远程代码执行识别XML实体注入识别7威胁情报告警分析服务可对APT攻击、新型木马进行分析，主要可抓取信息包括：源IP、目的IP、木马类型、事件活跃量等。威