项目名称：重庆市福利彩票发行中心信息系统安全服务 一、项目概况 *.* 信息系统等保测评服务 电脑彩票交易系统（含灾备系统）、官方网站及办公系统（参照等保三级标准）。 *.* 安全运维服务 安全运维指导、应急响应、系统安全咨询及网站安全专家服务。 *.* 服务期限 自签订合同起一年。 二、项目需求 *.* 信息系统等保测评 ***.******.*** 总体要求 投标人应充分了解我中心以及所处行业信息系统情况，并通过测评方案编制、现场测评、差距分析、配合整改、报告编制等服务为我中心通过等级评测机构的测评工作打下良好的基础。在测评过程中，指派安全服务人员给予我中心指导，促使测评工作一次性通过，使我中心的“电脑彩票交易系统(含灾备系统)”和“官方网站”获得等级保护三级测评报告，报告表明我中心该信息系统基本符合或完全符合等级保护的基本要求。 针对我中心办公系统，需参照三级等保标准，出具安全风险评估报告，并提出安全整改建议。 ***.******.*** 测评方案要求 在进行测评前，投标人要在了解信息系统构成（包括网络拓扑、业务应用、业务流程、工作流程、设备信息、安全措施状况等），确定每个信息系统分析对象（包括整体对象和具体对象如机房、办公环境、网络、边界设备、网关设备、服务器设备、工作站、应用系统）的基础上，依据各信息系统的安全保护等级的相应等级指标，结合具体对象制定可操作的《信息系统安全测评方案》。 测评方案中要对信息系统中重要部件（边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等）的安全弱点（包括技术上和管理上的，安全弱点被利用的可能性）、面临威胁（包括外部威胁、内部威胁及威胁发生的可能性或概率）等进行重点测评。 测评内容应至少包括以下安全控制测评、系统整体测评两个方面。安全控制测评方面，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况。具体又分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机安全、应用安全和数据安全及备份和恢复等五个层面上的安全控制测评；安全管理测评包括：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。系统整体测评方面，主要测评分析信息系统的整体安全性。 本阶段需提交的文档为《重庆福彩中心XX信息系统测评方案》，该方案应至少包含详细的测评实施计划、测评文档、测评内容。 其中测评实施计划是指根据项目整体情况，将项目细分为具体的测评任务，并对整体项目和具体任务制定具有可操作性的实施计划，具体内容应至少包括测评任务、测评时间、测评人员、测评方式等。 测评文档是指测评需要和产生的文档，应至少包括管理状况测评表、网络状况测评表、网络设备（含安全设备）测评表、主机设备测评表、主要设备安全测试方案、重要操作的作业指导书、现状与评价指标对比等。 ***.******.*** 测评及差距分析要求 投标人按照测评方案可通过现场观察、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等等级测评要求的方式进行安全技术和管理方面的测评。 测评完成后，投标人应至少对安全管理、安全技术及系统整体性等方面进行差距分析，并依据等级保护差距分析情况，出具详细的《重庆福彩中心XX信息系统等级保护差距分析报告》。 该报告应至少包含信息系统描述、安全管理状况、安全技术状况、存在的不足和可能的风险、安全需求描述等方面。测评报告中应包括以上测评内容的各测评项、测评对象、测评方式、测评实施和结果判定，并报告信息系统的整体安全测试评估分析结果。 特别针对不符合项及与安全要求之间的差距及可能造成的风险、可能造成损害程度等要逐项明确，并提出合理建议，对需要以图表、拓扑图等方式表达的，还应出具详细的图表和拓扑图，为我中心对该系统进行安全整改提供帮助。 ***.******.*** 测评报告要求 投标人应在我中心对系统的安全整改过程中，指派安全服务人员给予我中心指导，促使安全整改工作完成后我中心的“电脑彩票交易系统(含灾备系统)”和“官方网站”可获得等级保护三级测评报告，报告表明我中心该信息系统基本符合或完全符合等级保护的基本要求。 本阶段需提交的文档为《重庆福彩中心XX信息系统测评报告》，该报告须由经主管部门认可的具备测评资质的等级测评机构出具，并按主管部门要求的格式进行编制。 ***.******.*** 提交文档 《重庆福彩中心XX信息系统测评方案》 《重庆福彩中心XX信息系统安全差距分析报告及整改建议》 《重庆福彩中心XX信息系统等级测评报告》（经本地主管部门认可的等级测评机构出具） 《重庆福彩中心办公系统安全风险评估报告》（参照三级等保标准） 除以上须提交的文档外，在项目实施过程中要求对每项任务都要有相应的实施计划、实施记录、工作月报（至少含工作内容、结果、进度、人员等基本要素）、任务总结、涉及资料清单和提交文档清单等。 *.* 安全运维专家指导 中标单位至少应派遣一名信息安全运维专家在一年内作为我中心信息安全顾问，远程或现场提供信息安全咨询服务。信息安全专家要求同时具备不低于中级测评师资质和CISSP(或CISP)资质，并在信息安全行业内从业经历不小于*年。 信息安全运维专家需负责指导信息安全建设，协助安全规划与安全事故的调查，参与安全评审，提供预防性的安全建议，并为我中心接受监管部门信息系统安全方面的检查提供必要的技术支持和建议。 中标单位将作为我中心的技术支持单位,应成立不低于*人的专业安全服务团队，并根据测评结果，牵头我中心的安全整改工作，提供合理的整改方案，同时定期提供下列服务： ***.******.*** 应急演练服务 根据我中心信息系统现状，制定详细的应急演练方案，在应急演练工作中发现在处理流程、人员职责分配和技术措施等方面存在的不足，指导我中心对应急预案进行完善，使我中心技术人员在面对安全风险时，能有效的进行处置。 安全攻防演练每年至少开展一次。 ***.******.*** 系统安全巡检服务 专业安全服务团队到现场进行信息系统安全巡检并指导我中心解决发现的安全问题。安全巡检前，事先制定并提交巡检方案、内容和具体明细项，待我中心确认后逐项进行实施。巡检结束后提供巡检结果及报告，并对巡检的结果进行分析，找出其中不完善或者欠缺而可能给系统带来威胁的部分，提出解决建议。 安全巡检服务每季度至少开展一次。 ***.******.*** 专家现场指导服务 专业安全服务团队到我中心进行现场指导服务，为我中心技术人员集中解答安全技术问题，以提高我中心技术人员的信息安全技术能力。 现场指导服务每季度开展一次，每次服务时间不少于半天。 ***.******.*** 系统安全评估服务 针对我中心已有系统的升级改造及新建系统的建设方案进行安全评审，并给出评审意见和评估建议报告。评估报告应根据等级保护安全技术测评要求（包括：物理安全、网络安全、主机安全、应用安全和数据安全及备份和恢复）、安全管理测评要求（包括：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理）及系统整体测评要求，全面分析建设方案面临的潜在安全风险及后果，并给出修正建议。 *.* 信息安全应急响应服务 针对我中心的所有信息系统提供应信息安全应急响应服务，以帮助我中心在最短时间内恢复业务运行，同时提供现场取证、事故原因分析及改进建议。 投标人提供****小时的远程紧急响应服务和本地现场紧急响应服务。 远程紧急响应在响应请求发出*小时内投标人指派专业技术人员处理，并同时承诺：无论能否解决问题每天均返回处理《应急响应事件跟踪简报》，直到本次响应服务被我中心确认关闭。 本地紧急响在响应请求发出后，由投标人指派专业技术人员到达应急响应现场（正常工作日接到通知后*个小时内到达现场，一般节假日*个小时到达现场，重大节假日*个小时内到达现场），协助我中心系统运维人员处理应急响应事件，直至本次响应服务被我中心确认关闭，并提交《紧急响应事件分析报告》。《紧急响应事件分析报告》内容应包括：事故原因分析、已造成的影响、处理办法、处理结果、预防和改进建议。 当需要配合公安机关取证时，由投标人协助我中心提供取证材料。 *.* 信息系统安全咨询服务 投标人在了解我中心所有信息系统构成的基础上，依据各信息系统的安全状况协助我中心进行信息系统等保定级、制定近期和远期的安全建设规划，协助中心安全管理体系的建立及流程优化，协助编制信息系统安全建设预算，提供信息系统安全方面的咨询和安全通告，配合上级单位的安全检查监督等。 ***.******.*** 体系咨询：依据相关标准提供技术体系、管理体系或安全规划方面的系统化专业咨询服务，以及安全产品性价比选购、安全厂家选择、项目建设安全性等方面的第三方专业咨询服务。 ***.******.*** 迎检服务：按照行业规范及主管部门要求，针对主管部门例行检查工作提供现场迎检服务，服务内容包含： ***.******.***.* 协助客户准备迎检材料； ***.******.***.* 检查前的漏洞扫描； ***.******.***.* 提供漏洞整改加固建议； ***.******.***.* 检查过程中的应急工作。 ***.******.*** 信息安全脆弱性管理服务：为我中心提供一套漏洞扫描服务，定期帮助我中心开展漏洞扫描，通过漏洞扫描服务，对漏洞的修复情况进行监视和比对，展现当前漏洞的管理修复情况，能够直观展示信息安全风险状态，为我中心提供可视化的信息安全工作的成果。 每半年开展一次，提交《漏洞扫描分析报告》。 ***.******.*** 安全通告：通过邮件、WEB网站或电话、现场沟通等方式，为我中心提供及时的、针对性的新发生的病毒、蠕虫、漏洞及攻击事件预警信息服务等各类安全信息，帮助我中心及时的了解最新安全动态，并帮助进行补丁更新，及时地做好安全调整，完善安全保护措施。 *.* 网站安全专家服务 需应对不断恶化的网络环境，适应在线网站在信息安全、业务连续性方面的高要求，打造可靠、安全、高效的在线服务网站，提升网站公信力，提供网站实时监控、防护服务。 ***.******.*** 网站可用性监测 对网站进行****小时监测，发现访问异常（包括访问通断、访问响应太慢）时，及时进行短信和邮件的告警。 ***.******.*** 网站内容监测 实时对网站进行网页篡改监控，监测指定页面的内容和结构变化。发现变更并核实变更事件是恶意篡改后通过电话、短信和邮件告警。 ***.******.*** 网页挂马监测 对网站系统进行监测，发现网站系统中被恶意植入木马程序后，及时进行告警。 ***.******.*** 敏感关键字监测 监测网站页面中是否存在敏感信息（政治、色情、反动及违反政策法规的关键词），及时进行告警。 ***.******.*** 暗链检测 检测网站是否被嵌入暗链地址，发现暗链后，及时进行告警。 ***.******.*** 漏洞检测 对网站进行深层扫描，发现网站是否存在SQL注入漏洞、XSS漏洞、CSRF漏洞，以及Web应用漏洞、CGI漏洞、表单绕过等漏洞，并提供加固意见。 ***.******.*** 网站安全防护 为网站提供防火墙、流量保护、防盗链、访问屏蔽、访问过滤等服务，可为定制网站安全防护策略，生成安全防护日常报表。 三、采购预算 本采购项目的预算金额为**.*万元。 四、投标人资质 *.* 投标人须具有独立法人资格，能提供增值税普通发票； *.* 投标人在信用中国网站上查询未有不良记录，同时以往参加采购人招标业务未因提供虚假资料而出现诚信问题； *.* 投标人须为全国等级保护测评机构推荐目录单位，投标人须在“中国网络安全等级保护网”中，提供查询截图证明材料； 投标人须满足以上所有要求，否则将失去中标资格。 五、投标材料 *.* 投标单位法定代表人授权委托书（格式见附件*），法人及被授权人身份证复印件； *.* 投标单位的法人营业执照、组织机构代码证及税务登记证（三证合一的只提供营业执照）复印件； *.* 报价函（格式见附件*）； *.* 项目人员信息表等资料（格式见附件*），并提供项目人员缴纳****年*月-****年*月社保的证明材料（社保局加盖相关印章的复印件）； *.* 服务方案（包括但不限于投标人对本项目的理解、为项目实施提出的合理化建议、评估工作流程与工作方法等）； *.* 投标人资质能力证书（复印件）。 投标文件一式两份，其中正本一份、副本一份；副本可为正本的复印件，应与正本一致，如出现不一致情况以正本为准。 投标文件的正本中按规定需要签字、盖章的地方必须按其规定签字、盖章。投标文件的正本、副本载体均采用信封分别密封。信封上注明项目名称、投标人名称、“正本”、“副本”字样。信封的封口应加盖投标人公章或法人授权代表签字，未按招标文件要求提供投标文件的投标人视为无效投标。 六、评标方式及原则 本次采用综合评分法（详见附件*），根据综合评分排名情况，分数最高者即为中标人。 七、评标时间及地点 评标时间：****年*月**日**:** 评标地点：重庆市福利彩票发行中心七楼 评标现场先由采购人评审小组对各投标人进行资格审查，审查通过后由投标人做服务方案的阐述，各投标人阐述时间不超过**分钟，阐述结束后，由采购人评标小组进行综合评分，并将评审结果在采购人官网上进行公示。 八、联系方式 采购人名称：重庆市福利彩票发行中心 地址：重庆市渝北区红锦大道**号福彩大厦 联系人及电话：刘老师 ******** 李老师 ******** 九、公告期限 本采购公告自发布之日起公告期限为*个工作日。 十、其他事项 **.* 投标人如对本采购项目公告内容有疑问的，须在公告期内向采购人提出询问或质疑（不包括开标当日），否则，采购人有权拒绝受理其询问或质疑； **.* 在采购公告公示期间，投标人可到采购人、联系人处查询及获取相关信息； **.* 投标人须向采购人缴纳****元投标保证金（投标前到中心财务部缴纳现金），未中标的投标人于招标结束后到财务部办理退款事项； **.* 中标人不论何种原因弃标，采购人不予退还保证金； **.* 投标人须按照采购公告的要求提供投标资料，未按照本公告要求提供投标材料的投标人将失去竞标资格； **.* 中标人应于项目合同签订后或测评活动实施前*个工作日内，通过网络安全等级保护测评项目登记管理系统填报测评项目基本情况。