2024年市住房和城乡建设局城市信息模型（CIM）基础平台（一期）项目等保测评及安全测评项目

采购项目名称： 2024****建设局城市信息模型（CIM）基础平台（一期）项目等保测评及安全测评项目

采购项目编码： ****

项目业主： ****

服务机构： ****

合同名称： 2024****建设局城市信息模型（CIM）基础平台（一期）项目等保测评及安全测评项目

合同编号： ****

合同总金额： ￥115,000.00元

合同签订时间： 2024年11月13日

履约人员：

合同服务期限： 2024年11月13日至2026年06月01日

服务内容： 一、等保测评内容 服务机构按照等级保护2.0相关标准的要求： 1.协助采购人完成系统定级备案工作； 2.对采购人的信息系统进行测试评估、分析差距、输出差距测评报告和安全整改建议； 3.根据差距测评报告与安全整改建议实施安全整改；测评方需协助采购人按照等级保护相关标准完善安全管理制度； 4.再次对采购人的信息系统进行测试评估、输出2.0验收测评报告，并协****机关的备案与检查。 为此，服务机构测评师需要通过规范的等级保护测试评估，对采购人信息系统从安全技术和安全管理两个方面的各个层面的安全控制进行整体性验证。 二、安全测评内容 对于**系统，需要根据信息系统的业务要求、实际情况，在正式投运前，对信息系统的安全性进行测试评估以验证系统符合安全需求定义和入网投运安全要求。包括系统网络安全、主机安全（包括操作系统与数据库）、中间件安全、应用安全等各个层面进行全面测评。 1.安全基线检查：根据单位网络安全库，制定操作系统、网络设备、重要应用、数据库等的安全配置规范，对新入网设备进行安全配置核查，查找存在的安全配置隐患，并提供整改建议。 2.安全漏洞检查：通过专业评估工具以本地扫描方式对评估范围内的系统和网络进行安全扫描，查找网络设备、服务器主机、应用软件、数据库等安全对象目标存在的安全风险、漏洞和威胁，不允许存在已被CVE（Common Vulnerabilities and Exposures，公共漏洞库）定义的高风险漏洞和中风险漏洞，并且针对每个漏洞提出相对应的解决方案供业主进行整改。 3.渗透测试：根据预设场景中，渗透测试人员获得授权后分别接入渗透发起的指定位置，对渗透目标进行扫描和探测，根据漏洞探测情报，在不影响生产控制系统并得到被测单位允许的情况下，尝试发送测试数据包，进行漏洞挖掘。

合同附件 CIM等保合同-东建合同〔2024〕74号.pdf
关于****城市信息模型（CIM）基础平台（一期）项目等保测评及安全测评项目的情况说明.pdf