汕頭融媒集團融媒業(yè)務(wù)技術(shù)系統(tǒng)網(wǎng)絡(luò)安全服務(wù)采購項目（項目編號：****）進行詢價采購，誠邀合格的響應(yīng)供應(yīng)商參加響應(yīng)，有關(guān)事項如下：

一、項目編號：****

二、項目名稱：汕頭融媒集團融媒業(yè)務(wù)技術(shù)系統(tǒng)網(wǎng)絡(luò)安全服務(wù)采購項目

三、項目概況：

汕頭融媒集團作為粵東地區(qū)規(guī)模最大、最具影響力的主流黨媒集團，承擔著新聞資訊傳播、文化娛樂服務(wù)及應(yīng)急廣播等重要社會責任，業(yè)務(wù)覆蓋多辦公地點，形成了復雜的多系統(tǒng)協(xié)同業(yè)務(wù)體系。

隨著《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》等法律法規(guī)的深化實施，媒體機構(gòu)網(wǎng)絡(luò)安全合規(guī)要求日益嚴格。集團現(xiàn)有信息系統(tǒng)在日常運營中面臨 SQL 注入、跨站腳本攻擊等多種安全威脅，一旦發(fā)生安全事件，可能影響新聞發(fā)布時效性、泄露敏感信息，甚至威脅到重要社會服務(wù)的連續(xù)性。因此，亟需通過專業(yè)的滲透測試和漏洞掃描服務(wù)，系統(tǒng)性排查風險，筑牢安全防線。

汕頭融媒集團已建成涵蓋內(nèi)容生產(chǎn)、傳播分發(fā)、辦公管理等多領(lǐng)域的信息系統(tǒng)矩陣，包括網(wǎng)站平臺、內(nèi)容管理系統(tǒng)、應(yīng)急廣播調(diào)度系統(tǒng)等，支撐集團日常業(yè)務(wù)及社會責任履行。但隨著系統(tǒng)規(guī)模擴大和技術(shù)迭代，部分系統(tǒng)存在開發(fā)時安全考慮不足、配置優(yōu)化不及時等問題，潛在安全漏洞可能被惡意利用，需通過專業(yè)檢測手段全面梳理。

歡迎有相關(guān)經(jīng)營資質(zhì)的供應(yīng)商前來投標。

對于影響項目正常進行的必要組成部分，無論在“招標公告”中指出與否，響應(yīng)供應(yīng)商都應(yīng)提供，并在響應(yīng)文件中明確列出。

四、采購預(yù)算和承包方式：

本項目最高預(yù)算為人民幣18000.00元。最高預(yù)算為包括完成本項目所需的全部費用的包干價（即包服務(wù)、包人工、包人員安全、包稅費、包交通、包調(diào)試、包售后、包培訓等一切費用），響應(yīng)供應(yīng)商須對本項目所有內(nèi)容進行響應(yīng)，不允許僅對項目其中部分內(nèi)容進行響應(yīng)。響應(yīng)總價超過最高預(yù)算的將被視為無效響應(yīng)。

五、項目內(nèi)容：

1、項目目標

本項目旨在通過專業(yè)的滲透測試和系統(tǒng)漏洞掃描服務(wù)，全面排查汕頭融媒集團信息系統(tǒng)（含內(nèi)部網(wǎng)站、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）存在的安全風險，精準定位漏洞類型、危害等級及影響范圍，提供針對性的修復建議，構(gòu)建 “檢測-修復-驗證” 的閉環(huán)安全管理體系。最終實現(xiàn)提升集團網(wǎng)絡(luò)安全防護能力、保障信息系統(tǒng)穩(wěn)定運行、滿足網(wǎng)絡(luò)安全法律法規(guī)合規(guī)要求的目標。

具體目標包括：全面識別信息系統(tǒng)潛在安全漏洞，形成完整的風險清單及攻擊鏈分析；評估安全漏洞對集團業(yè)務(wù)的潛在影響；提供可落地的漏洞修復方案及安全加固建議，降低安全事件發(fā)生概率；通過持續(xù)性安全檢測，動態(tài)跟蹤漏洞修復效果，構(gòu)建常態(tài)化安全管理機制。

2、采購內(nèi)容

（1）滲透測試服務(wù)

〈1〉實施內(nèi)容

采用 “人工測試為主、工具輔助為輔” 的方式，模擬黑客攻擊手法，對集團授權(quán)的融媒業(yè)務(wù)技術(shù)系統(tǒng)（含大屏指揮系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、APP、后臺管理系統(tǒng)等）進行非破壞性攻擊測試，重點發(fā)現(xiàn)以下安全風險：

①.應(yīng)用層漏洞：包括 SQL 注入、跨站腳本（XSS）、跨站請求偽造（CSRF）、文件上傳漏洞、文件包含漏洞、業(yè)務(wù)邏輯漏洞（如越權(quán)訪問、密碼重置漏洞）等；

②.配置類問題：包括弱口令（默認密碼、簡單密碼）、敏感信息泄露（源碼、備份文件、錯誤信息）、后臺地址暴露、會話管理缺陷（Session 固定、超時配置不當）等；

③.系統(tǒng)及組件漏洞：包括操作系統(tǒng)（Windows、Linux/Unix）、中間件（IIS、Apache、Weblogic 等）、數(shù)據(jù)庫（MySQL、SQL Server 等）的版本漏洞、未修復補丁等；

④.其他風險：包括高危端口開放、不安全對象引用、鏈接重定向風險、驗證碼機制失效等。

通過測試明確漏洞利用路徑、影響范圍及可能造成的業(yè)務(wù)損失，形成針對性修復建議。

〈2〉服務(wù)交付物

①.《汕頭融媒集團融媒業(yè)務(wù)技術(shù)系統(tǒng)滲透測試報告》（含漏洞詳情、截圖證據(jù)、修復方案）；

②.《滲透測試匯總報告》（輸出含所有系統(tǒng)漏洞統(tǒng)計、風險趨勢分析）；

③.《漏洞修復復測報告》（復測后輸出，確認修復效果）。

以上交付物需分別提供紙質(zhì)文件二份，電子檔一份。

（2）系統(tǒng)漏洞掃描服務(wù)

〈1〉實施內(nèi)容

采用專業(yè)漏洞掃描工具，對融媒業(yè)務(wù)技術(shù)系統(tǒng)進行自動化掃描與人工分析結(jié)合的安全評估，覆蓋以下對象及內(nèi)容：

下載

〈2〉服務(wù)交付物

①.《融媒業(yè)務(wù)技術(shù)系統(tǒng)漏洞掃描報告》（含所有資產(chǎn)漏洞統(tǒng)計、分級列表、修復建議）。

②.《新增子系統(tǒng)漏洞掃描報告》（針對新增子系統(tǒng)單獨輸出）。

③.《漏洞修復復測報告》（復測后輸出，重點說明高、中危漏洞修復情況）。

滲透測試和漏洞掃描分別提供2次測試，即1 次初測和1 次復測。

六、服務(wù)要求（需提交履行服務(wù)承諾函）:

1、總體要求

（1）專業(yè)性：測試人員需具備 1 年以上滲透測試及漏洞掃描經(jīng)驗，持有 CISSP、CEH、CSSLP 等專業(yè)認證。

（2）安全性：嚴格遵守 “非破壞性測試” 原則，測試過程不得影響系統(tǒng)正常運行；測試數(shù)據(jù)（含漏洞信息、敏感數(shù)據(jù)）需加密存儲，測試結(jié)束后徹底銷毀。

（3）準確性：滲透測試誤報率≤5%，漏洞掃描誤報率≤10%；高、中危漏洞檢出率需達到 100%。

（4）時效性：掃描及測試結(jié)果需在執(zhí)行完成后 3 個工作日內(nèi)輸出初步報告，5 個工作日內(nèi)輸出正式報告。

（5）可追溯性：所有測試操作需記錄詳細日志（含時間、操作人、操作內(nèi)容），支撐過程回溯。

（6）保密性：項目涉及的所有數(shù)據(jù)及漏洞信息僅限于授權(quán)人員知悉，未經(jīng)許可不得對外披露或用于其他用途；服務(wù)過程中如發(fā)現(xiàn)重大安全隱患，應(yīng)立即啟動應(yīng)急響應(yīng)機制，確保風險可控；服務(wù)團隊須簽署保密協(xié)議，對合作內(nèi)容承擔永久保密義務(wù)。

2、工具要求

滲透測試工具需包含 Burp Suite、Nmap、Metasploit 等主流工具，且為正版授權(quán)；漏洞掃描工具需具備國家網(wǎng)絡(luò)安全等級保護測評資質(zhì)認可，支持對最新漏洞（如 CVE 近 6 個月發(fā)布的高危漏洞）的識別。

3、其他要求

（1）成交供應(yīng)商需在項目時間要求前完成項目內(nèi)容并通過采購人驗收。如因成交供應(yīng)商未能及時完成工作造成采購人損失的，采購人有權(quán)臨時購買第三方服務(wù)，一切費用由成交供應(yīng)商承擔。

（2）成交供應(yīng)商在工作期間，需遵守采購人的有關(guān)規(guī)定，作業(yè)過程需嚴格遵守行業(yè)操作規(guī)范，任何來自項目或其過程中所致的人身傷亡或安全事故，不管按照任何法令而產(chǎn)生的任何費用、責任、損失、索賠或訴訟均由成交供應(yīng)商負責，并保證采購人免予承擔任何責任。

（3）成交供應(yīng)商工作應(yīng)安全、保質(zhì)、文明，并配合采購人做好需求內(nèi)容工作，采購人只負責支付成交供應(yīng)商本項目的合同款，項目中具體產(chǎn)生的一切費用由成交供應(yīng)商承擔。成交供應(yīng)商應(yīng)自行承擔項目期間的交通安全、工具費用以及交通費、餐補、人員安全、耗材等。

（4）成交供應(yīng)商須具有充足的人力資源，能隨時在接到采購人通知后立即派人對項目作出響應(yīng)，成交供應(yīng)商不得以人手不足或時間緊等理由延遲交付時間。

（5）成交供應(yīng)商應(yīng)保證其服務(wù)人員不得任意動用與項目工作無關(guān)的任何設(shè)施，否則，造成財物損失的，成交供應(yīng)商須自己承擔賠償責任。

（6）在處理特殊事件和緊急突發(fā)事故時，采購人對成交供應(yīng)商本項目的服務(wù)人員有直接指揮權(quán)。

（7）成交供應(yīng)商不得以任何名義將采購人的項目進行轉(zhuǎn)讓或分包。

（8）成交供應(yīng)商在服務(wù)期內(nèi)應(yīng)無償為采購人提供咨詢服務(wù)。

（9）成交供應(yīng)商應(yīng)保證采購人享有其提供服務(wù)在知識產(chǎn)權(quán)方面的權(quán)利，如果因此項目發(fā)生第三方指控時，應(yīng)由成交供應(yīng)商負責與第三方交涉，并承擔由此產(chǎn)生的一切法律和經(jīng)濟上的責任。如果在訴訟或仲裁中被認定構(gòu)成侵權(quán)，服務(wù)的使用被禁止，成交供應(yīng)商應(yīng)自行承擔費用承擔替換服務(wù)，使之不再構(gòu)成侵權(quán)，并在實質(zhì)上用同樣的質(zhì)量進行同樣的服務(wù)，并賠償采購人由此所致的經(jīng)濟損失，任何知識產(chǎn)權(quán)糾紛與采購人無關(guān)。

七、項目時間要求：

合同簽訂后，成交供應(yīng)商在30個日歷日內(nèi)完成項目內(nèi)容、交付相關(guān)報告。并通過采購人驗收。

八、項目地點：廣東省汕頭市****

九、付款方式：

成交供應(yīng)商完成項目內(nèi)容并通過采購人驗收，在成交供應(yīng)商提交合法全額的增值稅專用發(fā)票后十五個工作日后，由采購人安排向成交供應(yīng)商支付合同款。

十、響應(yīng)供應(yīng)商資格條件：

1、響應(yīng)供應(yīng)商須具備下列條件：

（1）響應(yīng)供應(yīng)商須為在中華人民共和國國內(nèi)注冊的具有獨立承擔民事責任能力的法人或其他組織。

（2）響應(yīng)供應(yīng)商須在參加本項目采購活動的最近三年內(nèi)無嚴重違法記錄，并提供《近三年內(nèi)，參加相關(guān)采購活動中沒有存在重大違法記錄的聲明函》（成立不足三年的單位只須提供成立至今在經(jīng)營活動中沒有重大違法記錄的聲明函）。

2、本項目不接受聯(lián)合體參與響應(yīng)。

十一、遞交投標文件時，須帶齊以下資料（全部須加蓋公章）：

1、有效的《營業(yè)執(zhí)照》或《事業(yè)單位法人證書》復印件一份；

2、《法定代表人/負責人身份證明書》原件一份，法定代表人/負責人身份證復印件一份；

3、《法定代表人/負責人授權(quán)委托書》原件一份，被授權(quán)人身份證復印件一份（若委托代理人領(lǐng)取投標文件）。

十二、公告期限：****起至****期間（3個工作日）。

十三、符合資格的響應(yīng)供應(yīng)商應(yīng)當在公告期限內(nèi)，在采購人上班時間通過郵箱: rmcg_****@163.com參與報名，并于****上午（8：50至11：40）到汕頭融媒集團（詳細地址：汕頭市****

十四、投標文件的簽署、裝訂和密封

1.投標文件正本一套。投標文件正本應(yīng)由供應(yīng)商的法定代表人或經(jīng)法定代表人正式授權(quán)的代表在投標文件上簽字，并需將以書面形式出具的“法定代表人授權(quán)書”附在報價文件中。投標文件正本每一頁均須加蓋供應(yīng)商單位公章，任何行間插字、涂改和增刪，必須由投標文件簽字人用姓或首字母在旁邊簽字才有效。

2.所有投標文件應(yīng)按A4紙規(guī)格制作；建議采用雙面打印或復印。

3.投標文件須編頁碼，頁碼必須連續(xù)。

4.所有投標文件必須裝入密封的信封或封套，并在信封或包裝的封面上注明：

下載

5.采購人對因投標文件未裝訂成冊而造成的投標文件的損壞、丟失不承擔任何責任。

6.采購人對不可抗力事件造成的投標文件的損壞、丟失不承擔任何責任。

十五、采購人名稱、地址和聯(lián)系方式：

采購人名稱：點擊登錄查看

采購人地址：汕頭市****

采購人聯(lián)系人：點擊登錄查看

采購人聯(lián)系電話：****

附件：投標文件格式.docx