【文章內(nèi)容簡(jiǎn)介】 存儲(chǔ)設(shè)備，19 臺(tái)網(wǎng)絡(luò)和安全設(shè)備，9 個(gè)信息系統(tǒng)及 1 套虛擬化支撐平臺(tái)。賠荊紳諮侖驟遼輩襪錈極嚕辮鏢鱸蕆。序號(hào) 分類(lèi) 名稱(chēng) 數(shù)量1 DELL R910 22 DELL R710 13 HP DL380 44 HP DL388 25 HP DL120 26 HP DL360 17 DELL PS6100 28 華北工控機(jī) PC610 19 ZTE RS8902 110 ZTE 5250 211 Cisco 3560 112 H3C S6300 313 H3C 5560 314 H3C S7503 115 H3C S5120 116 H3C F100 117 啟明星辰 FW1008DP 118 天融信 TG470C 119 深信服 AF1850 120硬件（34）深信服 VPN3050 19 / 2321 深信服 VPN2050 222 市政公用地理信息集成系統(tǒng) 123 建設(shè)工程專(zhuān)業(yè)理論知識(shí)與技術(shù)水平測(cè)試系統(tǒng) 124 綜合信息平臺(tái)及公共數(shù)據(jù)庫(kù) 125 基于 GIS 應(yīng)用的城建檔案管理系統(tǒng) 126 局移動(dòng)端公眾服務(wù)平臺(tái)（微信號(hào)） 127 常州市建筑市場(chǎng)監(jiān)督管理信息系統(tǒng) 128 混凝土質(zhì)量追蹤及動(dòng)態(tài)監(jiān)管系統(tǒng) 129 局本級(jí)及局屬事業(yè)單位財(cái)務(wù)信息平臺(tái) 130信息系統(tǒng)（9）城建熱線綜合業(yè)務(wù)平臺(tái) 131 基礎(chǔ)平臺(tái) 虛擬化支撐平臺(tái) 1評(píng)估內(nèi)容從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、虛擬化支撐平臺(tái)安全、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理十一個(gè)層次分別加以建設(shè)、加固。塤礙籟饈決穩(wěn)賽釙冊(cè)庫(kù)麩適緄撾鲅傯。 物理安全物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。具體包括：物理位置的選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防塵、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)。裊樣祕(mì)廬廂顫諺鍘羋藺遞燦擾諗魴莖。 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等，具體的評(píng)估點(diǎn)包括：訪問(wèn)控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)。倉(cāng)嫗盤(pán)紲囑瓏詁鍬齊驁絛鯛鱧俁魷親。 主機(jī)安全主機(jī)系統(tǒng)安全涉及的評(píng)估點(diǎn)包括：身份鑒別、安全標(biāo)記、訪問(wèn)控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制。綻萬(wàn)璉轆娛閬蟶鬮綰瀧恒蟬轅紗魚(yú)臚。 應(yīng)用安全應(yīng)用系統(tǒng)安全的評(píng)估點(diǎn)包括：身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴(lài)、軟件容錯(cuò)、資源控制、代碼安全。驍顧燁鶚巰瀆蕪領(lǐng)鱺賻驃弒綈閶魎齠。 數(shù)據(jù)安全明確需要保護(hù)的數(shù)據(jù)，評(píng)估點(diǎn)包括：數(shù)據(jù)的保密性、完整性、備份和恢復(fù)措施的有效性。 虛擬化支撐平臺(tái)安全（1）安全咨詢(xún)服務(wù)針對(duì)虛擬化支撐平臺(tái)，提出安全防護(hù)對(duì)策，協(xié)助常州市城鄉(xiāng)建設(shè)局對(duì)虛擬化支撐平臺(tái)進(jìn)行安全體系建設(shè)，制定安全方案，保證虛擬化支撐平臺(tái)的安全運(yùn)行。瑣釙濺曖惲錕縞馭篩涼貿(mào)錒戧晉魘繅。（2）安全運(yùn)維服務(wù)對(duì)各類(lèi)操作日志進(jìn)行分析審計(jì)，包括虛擬機(jī)、數(shù)據(jù)庫(kù)、數(shù)據(jù)傳輸、VDC 及各種配置與管理信息。發(fā)現(xiàn)異常并提出解決方案，以保證系統(tǒng)安全。鎦詩(shī)涇艷損樓紲鯗餳類(lèi)礙穡鰳責(zé)髕鵲。對(duì)虛擬化支撐平臺(tái)產(chǎn)生的安全相關(guān)的告警信息、報(bào)錯(cuò)信息等進(jìn)行分析處理，提供虛擬化支撐平臺(tái)的安全運(yùn)維服務(wù)。對(duì)虛擬化支撐平臺(tái)的防火墻、入侵防護(hù)、病毒防護(hù)等安全設(shè)備的日志進(jìn)行分析，安全策略10 / 23設(shè)置進(jìn)行優(yōu)化、分析并依據(jù)業(yè)務(wù)需求進(jìn)行變更。櫛緶歐鋤棗鈕種鵑瑤錟奧傴輥刪髖綠。制定虛擬化支撐平臺(tái)的應(yīng)急響應(yīng)方案，對(duì)應(yīng)急響應(yīng)方案進(jìn)行測(cè)試和演練。 安全管理制度安全管理制度主要包括：管理制度、制定和發(fā)布、評(píng)審和修訂。 安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)主要包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作以及審核和檢查。 人員安全管理對(duì)人員安全的管理，主要涉及兩方面：對(duì)內(nèi)部人員的安全管理和對(duì)外部人員的安全管理。具體包括：人員錄用、人員離崗、人員考核、安全意識(shí)教育和培訓(xùn)和外部人員訪問(wèn)管理。轡燁棟剛殮攬瑤麗鬮應(yīng)頁(yè)諳絞綽髏鱉。 系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過(guò)程以及建設(shè)完畢交付等三方面考慮，具體包括：系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和安全服務(wù)商選擇。峴揚(yáng)斕滾澗輻灄興渙藺詐機(jī)憒頇驤經(jīng)。 系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理方面需對(duì)環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、系統(tǒng)安全管理、網(wǎng)絡(luò)安全管理、惡意代碼防護(hù)管理、密碼管理、變更管理、備份和恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理。詩(shī)叁撻訥燼憂毀厲鋨驁靈韜鰍櫝驥鱭。評(píng)估過(guò)程 資產(chǎn)邊界分析（1）分析待評(píng)估資產(chǎn)范圍；（2）劃分內(nèi)部資產(chǎn)子系統(tǒng)；（3）對(duì)各子系統(tǒng)進(jìn)行邊界確認(rèn)；（4）確定最終資產(chǎn)子系統(tǒng)邊界； 資產(chǎn)識(shí)別（1）根據(jù)資產(chǎn)表格進(jìn)行資產(chǎn)審計(jì)；（2）分組對(duì)本地、非本地區(qū)域資產(chǎn)進(jìn)行有效錄入登記；（3）每類(lèi)資產(chǎn)明細(xì)需要審計(jì)資產(chǎn)詳細(xì)配置與當(dāng)前狀態(tài)； 威脅識(shí)別（1）從物理準(zhǔn)入控制、機(jī)房溫濕度控制、機(jī)房防塵、機(jī)房電源、接地、機(jī)房屏蔽、以及防雷、防火、防盜等多個(gè)方面進(jìn)行物理威脅識(shí)別；則鯤愜韋瘓賈暉園棟瀧華縉輅贊驏紆。（2）從網(wǎng)絡(luò)拓?fù)洹⒌刂贩峙?、VLAN 劃分、路由協(xié)議、準(zhǔn)入控制、訪問(wèn)控制等多個(gè)方面進(jìn)行網(wǎng)絡(luò)威脅識(shí)別；（3）從系統(tǒng)來(lái)源、系統(tǒng)補(bǔ)丁、賬號(hào)安全、密碼安全、審計(jì)安全、服務(wù)安全、惡意代碼防護(hù)等多方面進(jìn)行系統(tǒng)威脅識(shí)別；脹鏝彈奧秘孫戶(hù)孿釔賻鏘詠繞敘驄驗(yàn)。（4）從應(yīng)用服務(wù)平臺(tái)、數(shù)據(jù)庫(kù)安全、中間件安全、代碼安全、數(shù)據(jù)安全、賬號(hào)安全、密碼安全、審計(jì)安全等多個(gè)方面進(jìn)行應(yīng)用威脅識(shí)別；鰓躋峽禱紉誦幫廢掃減萵輳慘纈騾窺。（5）從組織架構(gòu)、人員安全、管理規(guī)定、合規(guī)性、應(yīng)用連續(xù)性要求等多個(gè)方面進(jìn)行管理威脅識(shí)別。 脆弱性識(shí)別（1）從物理準(zhǔn)入控制、機(jī)房溫濕度控制、機(jī)房防塵、機(jī)房電源、接地、機(jī)房屏蔽、以及防雷、防火、防盜等多個(gè)方面進(jìn)行物理脆弱性識(shí)別；稟虛嬪賑維嚌妝擴(kuò)踴糶欏灣鯧飫驃餒。（2）從系統(tǒng)來(lái)源、系統(tǒng)補(bǔ)丁、賬號(hào)安全、密碼安全、審計(jì)安全、服務(wù)安全、惡意代碼防護(hù)、11 / 23日常運(yùn)維等多方面進(jìn)行系統(tǒng)脆弱性識(shí)別；陽(yáng)簍埡鮭罷規(guī)嗚舊巋錟麗鮑軫溈騫硨。（3）從網(wǎng)絡(luò)拓?fù)洹⒌刂贩峙?、VLAN 劃分、路由協(xié)議、準(zhǔn)入控制、訪問(wèn)控制、日常運(yùn)維等多個(gè)方面進(jìn)行網(wǎng)絡(luò)脆弱性識(shí)別；溈氣嘮戇萇鑿鑿櫧諤應(yīng)釵藹紼較騮額。（4）從應(yīng)用服務(wù)平臺(tái)、數(shù)據(jù)庫(kù)安全、中間件安全、代碼安全、賬號(hào)安全、密碼安全、審計(jì)安全、日常運(yùn)維等多個(gè)方面進(jìn)行應(yīng)用脆弱性；鋇嵐縣緱虜榮產(chǎn)濤團(tuán)藺締崳惲囂驁瘋。（5）從數(shù)據(jù)備份及恢復(fù)、應(yīng)急響應(yīng)、災(zāi)備與冗余等多方面進(jìn)行數(shù)據(jù)脆弱性識(shí)別； 已有安全措施登記（1）識(shí)別已有操作系統(tǒng)安全策略；（2）識(shí)別已有應(yīng)用系統(tǒng)安全策略；（3）識(shí)別已有網(wǎng)絡(luò)系統(tǒng)安全策略；（4）識(shí)別已有安防系統(tǒng)安全策略；（5）識(shí)別已有機(jī)房系統(tǒng)安全策略； 風(fēng)險(xiǎn)分析（1）根據(jù)收集的用戶(hù)數(shù)據(jù)進(jìn)行分析，評(píng)估要素關(guān)系映射；（2）根據(jù)評(píng)估要素關(guān)系進(jìn)行風(fēng)險(xiǎn)值計(jì)算（3）形成風(fēng)險(xiǎn)評(píng)估報(bào)告；（4）針對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)告的解決方案； 應(yīng)用系統(tǒng)滲透性測(cè)試在常州市城鄉(xiāng)建設(shè)局相關(guān)部門(mén)的授權(quán)下，對(duì)常州市城鄉(xiāng)建設(shè)局相關(guān)的應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，并提供相關(guān)滲透測(cè)試報(bào)告。懨俠劑鈍觸樂(lè)鷴燼觶騮揚(yáng)銥鯊臘騖韋。應(yīng)用系統(tǒng)滲透性測(cè)試，通過(guò)手工測(cè)試的方法去驗(yàn)證漏洞是否真實(shí)存在和該漏洞對(duì)系統(tǒng)構(gòu)成的威脅有多大，來(lái)最終確定其風(fēng)險(xiǎn)等級(jí)，除此之外需要通過(guò)手工測(cè)試的方法，發(fā)現(xiàn)掃描器無(wú)法掃描的邏輯性更強(qiáng)的漏洞。更全面的找出對(duì)系統(tǒng)構(gòu)成威脅的漏洞，將威脅降到最低。系統(tǒng)有重大升級(jí)和改造時(shí)，及時(shí)提供安全評(píng)估服務(wù)。 （中標(biāo)人要提供持有中國(guó)信息安全認(rèn)證中心認(rèn)證的信息安全保障員“網(wǎng)絡(luò)攻防”方向的持證人員從事該項(xiàng)任務(wù)） 。謾飽兗爭(zhēng)詣繚鮐癩別瀘鯽礎(chǔ)輪駭騷獅。 web 應(yīng)用監(jiān)測(cè)預(yù)警服務(wù)從脆弱性、可用性、域名劫持、掛馬、暗鏈、網(wǎng)頁(yè)篡改等多個(gè)維度對(duì)互聯(lián)網(wǎng) web 應(yīng)用進(jìn)行724 小時(shí)周期性監(jiān)測(cè)。針對(duì)不同監(jiān)測(cè)功能進(jìn)行獨(dú)立的郵件告警配置，來(lái)達(dá)到周期告警的目的。對(duì)于緊急安全事件，需即時(shí)短信告警，以幫助管理人員對(duì)互聯(lián)網(wǎng) web 應(yīng)用安全事件做出實(shí)時(shí)響應(yīng)。咼鉉們歟謙鴣餃競(jìng)蕩賺趲為練濺騙閻。 系統(tǒng)加固服務(wù)依據(jù)評(píng)估結(jié)果，和常州市城鄉(xiāng)建設(shè)局共同制定系統(tǒng)加固實(shí)施方案，依據(jù)方案實(shí)施加固，并輸出完整的系統(tǒng)加固實(shí)施記錄?，撝C齷蘄賞組靄縐嚴(yán)減籩諏?xiě)汆忩墳?整體項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估與過(guò)程跟蹤，出具各階段的項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告與項(xiàng)目加固過(guò)程跟蹤報(bào)告。問(wèn)題整改后進(jìn)行全面復(fù)測(cè)，形成整體項(xiàng)目最終的風(fēng)險(xiǎn)評(píng)估報(bào)告。麩肅鵬鏇轎騍鐐縛縟糶爾攤鱘嫗騅鐳。評(píng)估成果須在項(xiàng)目實(shí)施的各個(gè)階段及時(shí)提交測(cè)評(píng)成果，包括（但不限于）風(fēng)險(xiǎn)評(píng)估方案、風(fēng)險(xiǎn)評(píng)估程序、資產(chǎn)識(shí)別清單、重要資產(chǎn)清單、威脅列表、脆弱性列表、已有安全措施確認(rèn)表、風(fēng)險(xiǎn)處理計(jì)劃、風(fēng)險(xiǎn)評(píng)估記錄等。風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施各階段提交的成果文檔主要包括（但不限于）以下內(nèi)容：納疇鰻吶鄖禎銣膩鰲錟顫階躦萵騍潤(rùn)。《常州市城鄉(xiāng)建設(shè)局信息系統(tǒng)資產(chǎn)調(diào)查報(bào)告》12 / 23《常州市城鄉(xiāng)建設(shè)局信息系統(tǒng)資產(chǎn)賦值報(bào)告》《常州市城鄉(xiāng)建設(shè)局信息系統(tǒng)現(xiàn)狀分析報(bào)告》《常州市城鄉(xiāng)建設(shè)局信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告》《常州市城鄉(xiāng)建設(shè)局信息安全整體加固報(bào)告》《常