一、项目名称：网络安全服务项目

　　二、项目编号：NFWZX-2025017

　　三、项目简介

　　因工作需要，需对外采购网络安全服务，现通过公开询价的采购方式邀请潜在供应商报价。

　　本项目最高限价27.45万元。

　　四、采购方式：公开询价采购

　　五、供应商资格条件

　　1、满足《中华人民共和国政府采购法》第二十二条规定。

　　（1）具有独立承担民事责任的能力；

　　（2）具有良好的商业信誉和健全的财务会计制度；

　　（3）具有履行合同所必需的设备和专业技术能力；

　　（4）有依法缴纳税收和社会保障资金的良好记录；

　　（5）参加政府采购活动前三年内，在经营活动中没有重大违法记录；

　　（6）法律、行政法规规定的其他条件。

　　2、能出具增值税专用发票。

　　3、不接受联合报价、分包和转包。

　　4、具有良好的商业信誉，未被列入法院、市场监管部门、税务部门、银行认定的失信名单，未有相关犯罪记录。

　　六、采购需求

　　1、项目要求：

　　1.1应用安全检测服务

　　1.1.1服务范围

　　不少于150个应用版本，上限不超过170个。

　　1.1.2服务内容

　　对应用的版本更新或者新建应用通过工具加人工的形式进行上线前的安全检测工作，发现应用可能存在的安全漏洞（包括但不限于SQL注入、跨站脚本、弱口令、溢出漏洞、文件上传漏洞、敏感配置泄露、越权访问漏洞、验证码爆破漏洞、任意网页跳转漏洞等），定位漏洞并给出修复建议，协助进行漏洞修复和安全加固，做好漏洞修复验证测试直至提测版本上线。

　　1.1.3服务时限

　　首次提测及回归测试均要求在任务下达24小时内完成。

　　1.1.4服务成果

　　《安全检测报告》，交付时间：每次提测版本完成后。

　　1.2渗透测试服务

　　1.2.1服务范围

　　对2个独立网站系统分别进行单次深度渗透测试服务。

　　1.2.2服务内容

　　经授权，模拟黑客的入侵思路和技术手段，利用目标系统的安全弱点进行攻击。以人工渗透为主，辅助使用各种工具进行非破坏性的模拟攻击，发现系统可能存在的安全漏洞（详见渗透测试指标）。具体要求包括：取得采购人书面授权后，在特定时间及范围内开展渗透测试工作；在渗透过程中不得使用损害系统正常运行的方法和工具，不得修改目标机器的数据；在实施过程中要有详细的攻击测试记录；在约定时间内完成渗透测试后，配合对安全问题进行安全加固和修复，并进行验证测试。

　　渗透测试指标如下：

　　1.2.3服务频次

　　服务期内对2个独立网站系统分别进行单次深度渗透测试服务。

　　1.2.4服务成果

　　《渗透测试服务报告》，根据测试的过程和结果编写渗透测试服务报告。内容包括：具体的操作步骤描述、响应分析以及最后的安全修复建议。渗透测试完成后，供应商需协助采购人对已发现的安全隐患进行修复。修复完成后，对修复的成果再次进行测试复查，对修复的结果进行检验，确保修复结果的有效性。

　　2.服务要求

　　2.1服务期限

　　合同期限1年，合同期间内未完成的服务可顺延。服务结束后若双方一致同意，可按合同内容续签1年。

　　2.2服务准备

　　因安全策略对互联网限制较多，为更深入发现安全问题，需要服务厂商提供固定的IP用于放宽安全策略，为避免对此IP放宽安全策略带来安全风险，此IP不能为公共使用的IP地址，须仅为服务厂商安全和安全测试专用IP地址。

　　因项目需要，安全测试所需要的工具全部由供应商自行提供，并保证符合相关法律法规要求，如因工具产生法律纠纷一切由供应商负责。采购人不提供安全测试所需工具也不为此另外付费。

　　2.3服务形式

　　本项目除明确现场服务的，其他不限定服务形式，不管以何种方式，供应商都需按质按量按时提供服务。为完成采购人布置的任务，供应商应视情况安排项目成员加班。明确现场服务的，不限时间段，供应商应根据采购人要求随时响应。

　　2.4服务人员

　　2.4.1组织和人员管理要求

　　为使项目按质、按量、按时及有序实施，供应商对本项目必须具备完善和稳定的管理组织机构。供应商需按照设定相应的岗位，配合采购人组建项目团队。服务期间项目经理和主要实施人员不得随意变更，确需变更须向采购人提出申请，并提供候选人供采购人筛选，以确定变更人选，以保持工作连续性。

　　供应商应保证供应商人员提供技术服务时遵守采购人及采购人上级管理部门的各项制度。如果供应商人员违反采购人人员管理的规定或工作失误，采购人将按合同追究供应商违约责任。如供应商人员考核不过关，采购人要求更换供应商人员，供应商应予以配合，提供同等条件的员工供采购人筛选。

　　供应商人员应遵守采购人及采购人上级管理部门的信息安全管理和网络管理等规定。供应商在服务采购人过程中，所涉及与产生的知识产权（包括并不限于代码、技术与非技术的文档、业务数据和各项虚拟资产等），所有权全部在采购人，供应商人员无权带走或处置。

　　一般情况下，服务人员的工作由项目经理安排和管理，项目经理对采购人指定的管理人员负责，同时用户指定的管理人员可以安排和监督所有供应商人员的工作，如有必要采购人有权提出调整服务人员的职责分工，安排其工作。

　　2.4.2岗位要求

　　供应商需提供不低于以下标准和要求的项目管理和技术人员。

　　本项目所需配备团队人员不少于6人。其中项目经理1人，服务人员不少于5人。

　　★项目经理及服务人员均需要具备一年以上目前就职单位的工作经验，须提供自报价之日前一年以上的社保证明及有效劳动合同。

　　供应商需明确具体岗位人员，不能随意更换，接受用户方指派的网络信息安全相关工作任务。项目经理需参加采购人组织的重要的网络信息安全工作会议。

　　2.5项目文档要求

　　供应商必须按要求提交服务工作文档，服务工作文档将作为合同验收的交付材料。最终产出的文档将根据实际情况进行调整：

　　2.5.1项目阶段性文档

　　项目实施方案、中期总结报告、项目总结报告（含项目建议）。

　　2.5.2安全测试报告

　　安全测试报告至少包括问题描述、风险级别、加固建议、回归验证等。在验收时提供盖章的纸质材料。

　　七、合同主要条款

　　1、签约主体：南方新闻网

　　2、合同主要条款或拟签合同样本（详见附件二）。

　　八、采购评审方法

　　1、本项目采用综合评分法进行评选，即在符合项目询价要求的前提下，由采购小组根据评分标准对各报价商的资质、报价、案例等内容进行评审，得分最高者为中选供应商。

　　2、评分标准（详见附件三）

　　3、本项目商务部分设置评分基准线.若报价人的商务评分低于基准线，其应答将被视为存在重大商务技术偏差，进而导致应答无效，并不进入技术部分评审。商务评分基准线=本项目商务部分分值×60%。

　　九、响应文件编制

　　响应文件编制应包括不限于如下列举材料，相关编制需按照后附模板附件内要求提供（详见附件一），响应文件必须生成文档目录。

　　1、营业执照副本或事业法人证（复印件）。

　　2、项目授权代表证明资料。

　　3、报价承诺书

　　4、公司简介（简要介绍公司基本情况、规模实力、获奖情况等）。

　　5、本项目特定资格要求证明文件。

　　6、同类型项目服务案例（提供合同关键页等证明文件）。

　　7、服务方案和服务承诺（简述）。

　　8、报价函。

　　9、其他自行补充资料。

　　十、响应文件递交

　　1、报价要求：请按要求填写报价，并附相关资质资料，加盖公章，装订成册。

　　2、密封要求：报价文件须进行密封，封口处贴封条并加盖骑缝章，外封面备注项目名称和联系方式。

　　3、递交方式：直接送达或快递邮寄（以送达签收时间为准）。

　　4、文件数量：正本壹份。

　　5、截止时间：2025年7月17日17时00分前。

　　十一、采购人和联系方式

　　1、采购人：南方新闻网

　　2、联系人及电话：宋先生，联系电话：13560461498；项目联系人，张先生，13763319831。

　　3、联系地点：广州市越秀区广州大道中289号新闻中心3楼。

南方新闻网

2025年7月11日

　　附：报价文件、合同条款及评分标准等

编辑：朱文婷