媒体资源内容数据安全保障采购需求模板.docx

1、媒体资源内容数据安全保障采购需求模板媒体资源内容数据安全保障采购需求（仅供参考，具体以招标文件为准）序号内容说明与要求1付款方式付款方式：（1）合同签订后30日内，采购人支付给中标供应商50%的合同款；（2）完成所有安全服务、按合同要求验收合格后30日内，采购人支付50的合同款；（3）每次付款前，中标供应商须提供经采购人认可、等额、带抵扣联的增值税专用发票；否则，采购人有权拒绝付款并不构成违约。投标供应商提交的投标文件中如有关于付款条件的表述与招标文件规定不符，投标无效。2投标保证金金额免收3评标办法综合评分法，详见招标文件第四章评标办法具体采购需求： 1、本采购需求中提出的服务方案仅为参考，

2、如无明确限制，投标供应商可以进行优化，提供满足采购人实际需要的更优（或者性能实质上不低于的）服务方案，且此方案须经评标委员会评审认可；2、投标供应商应当在投标文件中列出完成本项目并通过验收所需的所有各项服务等全部费用。中标供应商必须确保整体通过采购人及有关主管部门验收,所发生的验收费用由中标供应商承担；投标供应商应自行勘察项目现场，如投标供应商因未及时勘察现场而导致的报价缺项漏项废标、或中标后无法完工，投标供应商自行承担一切后果；3、如对本招标文件有任何疑问或澄清要求，请按本招标文件“投标供应商须知前附表”中约定方式联系安徽省政府采购中心，或接受答疑截止时间前联系采购人，否则视同理解和接受，投

3、标供应商对招标文件、采购过程、中标结果的质疑，应当在法定质疑期内一次性提出针对同一采购程序环节的质疑。一、项目概况随着广播电视媒体与新媒体融合的加速发展，以及融合生产技术平台高清化改造的快速推进，业务系统逐渐从封闭的内部网络系统转变为具备互联网访问能力的开放系统。在这种发展演进过程中，技术系统本身及其所存的媒体资源内容数据的安全是保障广播电视安全播出的重要内容。需要进一步提高融合媒体技术平台的安全性和可靠性，确保节目制作播出安全。建设目标如下：1）结合采购人特点和安全需求，为信息系统提供物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理制度等方面的信息安全需求分析、措施设计、安全加固

4、、制度编写辅助等安全服务工作。2）根据网络安全法广播电视相关信息系统等级保护基本要求广播电视台融合媒体互动技术平台白皮书等网络安全方面的规定和要求，通过技术手段和管理措施进一步强化我台融合生产技术平台相关各系统所涉及的内容安全、网络与信息安全等整体安全体系建设。二、服务需求1、融合生产技术平台高清化改造网络安全服务采购本包安全服务主要包括信息安全风险评估、渗透测试服务、安全应急响应服务、重要安全保障期间的安全支持服务、安全培训服务，针对本服务范围内的融合生产技术平台、高清全台网制播系统开展信息安全服务工作，遵循广播电台融合媒体平台建设技术白皮书、电视台融合媒体平台建设技术白皮书、广播电视相关信

5、息系统安全等级保护要求(GDJ038-2011)和广播电视安全播出管理规定及实施细则等规范和标准的要求，结合采购人特点和安全需求，为信息系统提供物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理制度等方面的信息安全需求分析、措施设计、安全加固、制度编写辅助等安全服务工作。1.1、总体要求1、本招标文件技术需求描述仅为通用与基本要求，投标供应商可在基础要求上进行方案优化，总体方案作为评分重要依据。2、中标供应商的技术服务应遵循广播电台融合媒体平台建设技术白皮书、电视台融合媒体平台建设技术白皮书、广播电视相关信息系统安全等级保护要求(GDJ038-2011)和广播电视安全播出管理规定及实

6、施细则等规范和标准。3、中标供应商在本包中用于安全检测的安全产品必须为厂商正版授权、符合国家安全标准的设备和产品，否则造成的一切损失由中标供应商承担。4、中标供应商渗透测试服务应根据采购人合同有效期内指定的日期开始进行安全服务。 5、中标供应商每半年对服务范围内的系统进行一次风险测评服务，首次风险测评服务应在合同签订后30日内完成。6、中标供应商在项目实施前应向采购人提供完善的安全服务方案及相应报告模板，包括但不限于安全风险评估方案、渗透性测试方案、安全应急响应方案、安全培训方案，应根据采购人要求进一步明确与完善。在具体实施过程中可根据实际情况，按采购人的要求灵活变更。7、中标供应商须指定固定

7、的安全服务人员为采购人服务，如有人员变动应先征得采购人同意，方可进行调换。8、中标供应商所提供安全服务人员的手机应7*24小时开机，以确保日常安全咨询服务的有效性。9、采购人有权在合同期内不定期对中标供应商的服务人员进行考查，若发现与投标文件中的不符，采购人有权终止服务合同，并追究中标供应商责任。如在安全服务实施过程中，采购人认为中标供应商服务人员能力有限，可要求中标供应商更换服务人员，中标供应商需按采购人要求执行。10、投标供应商在投标前应自行前往采购人项目实施现场对采购人与本次招标项目有关的信息系统等各类情况进行现场勘察和咨询，制定合理的技术服务方案，其产生的费用由投标供应商自行承担。11

8、、中标供应商需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购人利益。1.2、安全服务1.2.1、服务范围本包安全服务范围为融合生产技术平台（含电视全台网制播系统）内的物理安全、网络安全、主机安全、应用安全、数据安全等与网络安全相关工作。1.2.2、建设目标本项目主要建设目标如下：1）结合采购人特点和安全需求，为信息系统提供物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理制度等方面的信息安全需求分析、措施设计、安全加固、制度编写辅助等安全服务工作。2）根据网络安全法广播电视相关信息系统等级保护基本要求广

9、播电视台融合媒体互动技术平台白皮书等网络安全方面的规定和要求，通过技术手段和管理措施进一步强化我台融合生产技术平台相关各系统所涉及的内容安全、网络与信息安全等整体安全体系建设。1.2.3、服务要求为了进一步提高媒体融合技术平台（含电视全台网制播系统）的网络安全性和可靠性，确保节目制作播出安全，需将安全服务纳入安全建设规划中。当前所需的安全服务内容，包括但不限于以下几个方面。1.2.3.1、信息安全风险评估安徽广播电视台要求每年对全媒体融合生产系统、高清全台网制播系统依据GB/T 20984、GB/T 31509、公安部等级保护相关规定，通过资料收集、调查问卷、人员访谈、现场查勘、漏洞扫描、基线

10、核查、风险分析等手段进行2次系统的信息安全风险评估，具体要求如下：1基础设施评估：对网络交换设备、安全设备、网络结构、安全防护措施等安全性的全面评估、包括对操作系统安全性的全面评估；2管理安全评估：对安全组织机构、安全管理制度、安全运行维护、安全人员培训等方面进行全面评估；3应用安全评估：包括对数据库管理系统、服务器、中间件和应用软件的安全性进行全面评估；4其他信息系统安全风险方面的评估； 5整理评估数据和结果，形成风险评估报告和风险控制措施建议。1.2.3.2、安全加固服务对服务范围系统存在的问题进行安全加固，具体要求如下：1辅助编写或改进用户管理制度：主要包括但不限于信息安全工作职责、信息

11、安全监督、检查机制；辅助用户编写或改进现有方针、制度、各类记录表格模板在内的安全管理制度，达到等级保护三级等保安全要求。 2派遣专业工程师为服务器实施边界防护安全策略优化、服务器病毒检查与清理、主机安全加固、数据库安全加固，满足等级保护三级等保安全要求。 3安全加固实施前，应提交安全加固风险分析及风险规避说明书。 4派遣专业工程师到现场针对加固后的系统脆弱性进行复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。5复查结束后，形成加固前后对比复查报告。 1.2.3.3、渗透测试服务提供全媒体融合生产系统每年一次全面的渗透测试，模拟黑客可能使用的攻击技术和漏洞发现技术，对系

12、统做深入非破坏性探测，发现系统最脆弱的环节，给出安全报告，进行安全加固，此工作包括但不限于以下内容：1对 WINDOWS、LINUX 等操作系统本身进行渗透测试。2对ORACLE、MYSQL 等数据库应用系统进行渗透测试。3WEB 应用系统渗透。4网络设备渗透，对各种防火墙、入侵检测系统、网络设备进行渗透测试。5对系统业务进行渗透，对系统的核心业务进行安全风险挖掘。6口令猜解。7其它渗透，除了上述的测试手段以外的技术测试手段。1.2.3.4、安全应急响应服务要求在紧急安全事件发生后迅速采取措施和行动，最快速的恢复系统，降低安全威胁事件带来的影响。在完成应急事件事处理后，还需提供详细的应急响应报

13、告，报告中将还原入侵过程，同时给出对应的解决方案。1紧急事件：发生网络或系统瘫痪、无法工作等事件，在2小时以内技术工程师到达现场进行处理。2严重事件：发生网络和系统速度下降、但仍可以工作、如果持续下去可能造成网络和系统无法工作的事件，在6小时以内技术工程师到达现场进行处理。3一般事件：可以容忍而没有严重影响的安全事件，可以采取邮件、电话进行处理或24小时以内技术工程师到达现场进行处理。应急响应服务包含但不限于以下内容：1异常扫描探测2异常访问日志3分布式拒绝服务（DDoS）攻击4防火墙告警日志事件、入侵防御系统告警日志事件5其他安全系统的告警日志事件1.2.3.5、重要安全保障期间的安全支持服

14、务1在国家召开重大会议、举办重大活动或节假日、发生相关安全事件及相关部门安全检查时，根据采购人要求提供远程或现场信息安全应急服务支持，并由专人（至少1人）对日常应急情况提供响应，设立7*24小时应急服务支持电话。2在重要安全保障期前根据采购人要求派遣工程师到现场进行安全巡检。3在重要安全保障期前根据采购人要求派遣工程师到现场协助开展信息安全应急演练工作。1.2.3.6、数据日志分析服务要求每个季度对采购人提供的服务范围内系统的数据日志进行安全分析，具体要求包含但不限于以下内容：1对采购人服务范围内系统的漏洞扫描数据分析。2对采购人服务范围内系统的交换机、服务器等设备日志分析。3出具数据日志分析

15、结果报告。1.2.3.7、安全咨询服务1提供信息安全防御体系、监控体系、应急体系、重要的基础设施和组织架构等体系建设的咨询服务，并制订合适的安全策略、措施和方案；2提供信息系统建设的规划和方案设计服务；3提供服务要求范围内相关安全设备以及安全问题的咨询业务。1.2.3.8、安全培训服务要求每年面向网络安全人员，提供至少3次专业的信息安全培训服务，主要包括但不限于信息安全技术培训、安全管理培训、定制培训服务等。1提交详细的培训计划，列出培训课程、时间安排；2提供详细的培训教材；3在本地无法完成的培训，免费提供相应的食宿、交通费用。1.3、安全服务详细列表根据1.2条款，安全服务详细列表如下：序号

16、服务名称服务要求数量1信息安全风险评估依据GB/T 20984、GB/T 31509、公安部等级保护，通过资料收集、调查问卷、人员访谈、现场查勘、漏洞扫描、基线核查、风险分析等手段进行系统的信息安全风险评估，具体要求如下：1基础设施评估：对网络交换设备、安全设备、网络结构、安全防护措施等安全性的全面评估、包括对操作系统安全性的全面评估；2管理安全评估：对安全组织机构、安全管理制度、安全运行维护、安全人员培训等方面进行全面评估；3应用安全评估：包括对数据库管理系统、服务器、中间件和应用软件的安全性进行全面评估；4其他信息系统安全风险方面的评估； 5整理评估数据和结果，形成风险评估报告和风险控制措

17、施建议。2次/年2安全加固1辅助编写或改进用户管理制度：主要包括但不限于信息安全工作职责、信息安全监督、检查机制；辅助用户编写或改进现有方针、制度、各类记录表格模板在内的安全管理制度，达到等级保护三级等保安全要求。 2派遣专业工程师为服务器实施边界防护安全策略优化、服务器病毒检查与清理、主机安全加固、数据库安全加固，满足等级保护三级等保安全要求。 3安全加固实施前，应提交安全加固风险分析及风险规避说明书。 4派遣专业工程师到现场针对加固后的系统脆弱性进行复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。5复查结束后，形成加固前后对比复查报告。1年3渗透测试1对 WIND

18、OWS、LINUX 等操作系统本身进行渗透测试。2对ORACLE、MYSQL 等数据库应用系统进行渗透测试。3WEB 应用系统渗透。4网络设备渗透，对各种防火墙、入侵检测系统、网络设备进行渗透测试。5对系统业务进行渗透，对系统的核心业务进行安全风险挖掘。6口令猜解。7其它渗透，除了上述的测试手段以外的技术测试手段。1次/年4安全应急响应要求在紧急安全事件发生后迅速采取措施和行动，最快速的恢复系统，降低安全威胁事件带来的影响。在完成应急事件事处理后，还需向采购人提供详细的应急响应报告，报告中将还原入侵过程，同时给出对应的解决方案。1紧急事件：造成网络或系统瘫痪、无法工作等事件，在2小时以内技术工

19、程师到达现场进行处理。2严重事件：造成网络和系统速度下降、但仍可以工作、如果持续下去可能造成网络和系统无法工作的事件，在6小时以内技术工程师到达现场进行处理。3一般事件：可以容忍而没有严重影响的安全事件，可以采取邮件、电话进行处理或24小时以内技术工程师到达现场进行处理。应急响应服务包含但不限于以下内容：1异常扫描探测2异常访问日志3分布式拒绝服务（DDoS）攻击4防火墙告警日志事件、入侵防御系统告警日志事件5其他安全系统的告警日志事件1年5重要安全保障期间的安全支持1在国家召开重大会议、举办重大活动或节假日、发生相关安全事件及相关部门安全检查时，根据采购人要求提供远程或现场信息安全应急服务支

20、持，并由专人（至少1人）对日常应急情况提供响应，设立7*24小时应急服务支持电话。2在重要安全保障期前根据采购人要求派遣工程师到现场进行安全巡检。3在重要安全保障期前根据采购人要求派遣工程师到现场协助开展信息安全应急演练工作。1年6数据日志分析要求每个季度对采购人提供的服务范围内系统的数据日志进行安全分析，具体要求包含但不限于以下内容：1对采购人服务范围内系统的漏洞扫描数据分析。2对采购人服务范围内系统的交换机、服务器等设备日志分析。3出具数据日志分析结果报告。4次/年7安全咨询1提供信息安全防御体系、监控体系、应急体系、重要的基础设施和组织架构等体系建设的咨询服务，并制订合适的安全策略、措施和方案；2提供信息系统建设的规划和方案设计服务。3提供服务要求范围内相关安全设备以及安全问题的咨询业务。1年8安全培训要求每年面向网络安全人员，提供至少3次专业的信息安全培训服务，主要包括但不限于信息安全技术培训、安全管理培训、定制培训服务等。3次/年三、报价要求本项目报总价，报价为包含完成本项目所需的所有费用，投标供应商自行考虑投标风险。