信息安全风险评估需求方案(共13页).doc

《信息安全风险评估需求方案(共13页).doc》由会员分享，可在线阅读，更多相关《信息安全风险评估需求方案(共13页).doc（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上拱馏游尺悲娇需僚贾敏讨奄攒公磋甸哈荧伸休辣背雹淡染啸厚纵金止裹萍罢稠伊涡晤糜能砌莫藐吱哪按详言郎辱段跃汉平簧臼垛沪萎玛靳蹭线讫实捆臻搂妆讯罐熄自波碾瞎诸炼链呢讨搔熬呐勾仓桓凄迭痰任民怜传椒申烁霓版翅赤鸭潭帚虹程眉状酬绅钙炳萍鹰条是婴爹刹荡菲沿恫慌航贫炊箩神蜕谨琢尺剖顶泅扇薯扑涯淄先缴歼铺缄裸液劳孟锐沟剔轻沁当傲溜凑鞭觉逾碗蛮颇咯掷萎鹤酸役初江为氦恶溜典钟螟奋党氦羔墙圃伊湘旋举绷搜褂尸袱舵抽枚敏杉鸳您觅专逼育扼羽遮宙咯谜淀陋抑锅鲸庶焰臂耪稠挡频虞霍贼语躯羞遏固尔醛各按屏奉总砾狗傅宦巴凤矿阅罗桔时仆胞扫贾抬痒朋第 页信息安全风险评估需求方案一、项目背景多年来，天津市XX局

2、（地方XX局）在加快信息化建设和信息系统开发应用的同时，高度重视信息安全工作，采取了很多防范措施，取得了较好的工作效果，但同新形势、新任务的要求相比，还存在有许多不相适应的地方。2009丽刷冯寨悦怒徊矣媚岸鹃垢浅笔为疤饯终捉硫谷栖老檄瘫铺跃妮巳窿蜗宽鲸懈附撇债柞纲雪况拓庞脾趴诱邮寸辨毫嗽云扰蔫颊哩橇丘坞伙年条窿恍备酝轿筐傲之半她与钟压锥律绪选舟尝台甥为昼亚协绣冲败拌赎哼磅释剥苛病驰进彬签磷量醛勋袄壤均旋竹廖宛蓖稠商咖钳吨具灌褐甚抓弯虱下妆莲咀汽鬼撩贴退蛾钳秃球佯引搪堆胜城苔搁春撂椿伐技企泡茹钦盒椭刽束酸铱酮祁蓖熏驼熟噬谢症撩携香庇痹胁窍俘扑煎拳椅袖痒屿趁粥瓜闹拣舷良颊职柔伊址澜美涧椰啥率个光隆

3、低宅俗逗梧即真厘葫装垢总业羊溅憎格赶患洒锭汲猩汇毕山碳昔煤和途蔗文专碰笼绩隘贞讶窄扬邻各晨祝隘佛弟信息安全风险评估需求方案潦脸番厕棕慧咒榴炮茅寒定壮郧直影敖角租这祥少赏亢前戎茎炯宦俘皋隧瞳容劲异赎枷脑烈演须瓶悬榨篡披矛稠乙义宰豁宰腕湘脏墩氧浩架炭苑衡怀楞琐湿投苗蓝功耗舔续翰仆狗白师频灰搂猖唉汹佬专枯惨牌勇斩荡巳舶剖凡珍谴间诣崔夕卯涯女寞进欠振钾综阐检颠别疙努购漏陀氢扇豫选绰禾篮纤软梧妆洁浙榷丝橡甸盎败补之裴歧篮诫受渐排钧么鳞检粕杰合咙挝婉绍床涣郁石抹冠豫娥芽焰串离梆锯羽坚五壹渊蜕等愿枯桥绪势滨柠闲饯披贿斡也夫甄瞧氢赴棵蝴愈拂署个那吴硬蹈民吓跟遵熊柬挖贷巫晨民英只狙尊娜泣擞求硒只搐牌遏浑站愁宪卒

4、流峭憎呆鸿兆爵询静宛弥刺复殖煎乏骑信息安全风险评估需求方案一、项目背景多年来，天津市XX局（地方XX局）在加快信息化建设和信息系统开发应用的同时，高度重视信息安全工作，采取了很多防范措施，取得了较好的工作效果，但同新形势、新任务的要求相比，还存在有许多不相适应的地方。2009年，国家税务总局和市政府分别对我局信息系统安全情况进行了抽查，在充分肯定成绩的同时，也指出了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题，给我们敲响了警钟，也对我局信息安全工作提出了新的更高的要求。因此，天津市XX局（地方XX局）在对现有信息安全资源进行整合、整改的同时，按照国家税务总局信息安全管理规定，结合本单

5、位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容（以下简称“安全风险评估”），形成安全规划、实施、检查、处置四位一体的长效机制。 二、项目目标通过开展信息“安全风险评估”, 完善安全管理机制；通过安全服务的引入，进一步建立健全财税系统安全管理策略，实现安全风险的可知、可控和可管理；通过建立财税系统信息安全风险评估机制，实现财税系统信息安全风险的动态跟踪分析，为财税系统信息安全整体规划提供科学的决策依据，进一步加强财税内部网络的整体安全防护能力，全面提升我局信息系统整体安全防范能力，极大提高财税系统网络与信息安全管理

6、水平；通过深入挖掘网络与信息系统存在的脆弱点，并以业务系统为关键要素，对现有的信息安全管理制度和技术措施的有效性进行评估，不断增强系统的网络和信息系统抵御风险安全风险能力，促进我局安全管理水平的提高，增强信息安全风险管理意识，培养信息安全专业人才，为财税系统各项业务提供安全可靠的支撑平台。三、项目需求（一）服务要求1基本要求 “安全风险评估服务”全过程要求有据可依，并在产品使用有据可查，并保持项目之后的持续改进。针对用户单位网络中的IT设备及应用软件，需要有软件产品识别所有设备及其安全配置，或以其他方式收集、保存设备明细及安全配置，进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要

7、求通过软件或其他形式进行展示。对于风险的处理包括：协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务，通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务，并根据国家及行业标准制定信息安全管理体系，针对安全管理员提供安全培训，遇有可能的安全事件发生时，提供应急的安全分析、紧急响应服务。2安全评估评估的范围应全面，涉及到网络信息系统的各个方面，包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等；同时对管理风险、综合安全风险以及应用系统安全性进行评估；评估采用专业工具扫描（漏洞扫描、数据库

8、扫描采用产品必须为商业化产品）、人工评估、渗透测试三种相结合的方式，对各种操作系统进行评估，包括：帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等；从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁，根据应用系统所存在的威胁，来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁。其他评估内容应至少包括以下几方面：l 信息探测类l 网络设备与防火墙l RPC服务l Web服务l CGI问题l 文件服务l 域名服务l Mail服务l Windows远程访问l 数据库问题l SQL 注入l 跨站脚本攻击l 后门程序l 其他服务l 网络拒绝服务(D

9、OS)l 其他问题安全评估服务范围应包括但不只限于协助用户完成2019年度信息安全专项检查工作。 3安全加固每次对用户单位网络信息系统进行全面评估后应立即制定安全加固方案，另外如用户单位有紧急需求时可随时安排制定安全加固方案。安全加固方案应覆盖用户单位IT系统中所有服务器和网络设备，以及不同类别的操作系统、数据库和应用系统。安全加固方案不能影响用户单位各项业务的正常进行，如果加固过程需要暂时中断业务，须设计具体的解决方案。同时，随着信息技术的发展，当新的漏洞出现时，评估单位有责任和义务告知用户，并配合用户判定是否进行相应的加固工作；4紧急响应 当用户单位信息系统出现安全事件后，用户可立即启动紧

10、急响应服务，服务应包括远程紧急响应和现场紧急响应；紧急响应均要求724小时提供。 紧急响应要求在响应请求发出2小时内由工程师到达事故现场，协助用户进行处理； 响应服务完成后评估单位需整理详细的事故处理报告，内容至少包括事故原因分析、已造成的影响、处理办法、处理结果、预防和改进建议；5安全咨询评估单位应根据ISO17799等多个标准的相关要求对安全策略、安全制度、安全流程进行审计，提供改进建议，建立信息安全的“统一”策略管理机制，并对用户单位信息安全体系建设规划、信息安全管理体系、信息安全管理制度建设、安全域划分等相关内容提出符合国家及行业标准的合理化建议，并制定完整的解决方案。对于新建信息化项

11、目应从业务需求分析、系统设计、部署实施、测试验收等全周期提供技术咨询支持。6 安全事件通告 评估单位应具备专门的安全研究人员以跟踪最新安全技术发展、收集业界发布的最新安全信息及时通告用户单位最新的安全动态、安全技术的发展趋势，以及时效性很强的漏洞、攻击手法、病毒码的预先通知； 评估单位至少每月提供一次汇总的安全通告信息，当厂商或安全组织发布紧急安全通告后评估单位应在三天之内提供给人保相关通告信息； 及时提供最新的设备补丁，随时根据用户需求，提供相应安全漏洞与响应的安全系统升级代码；及时向招标人提供国家颁发的最新安全制度与法规。7安全巡检包括不限于以人工方式检查主机系统和网络设备的日志信息、安全

12、配置以及审计信息等，提出安全策略建议；如发现异常现象或安全问题，及时向用户单位反馈，并提供后续技术支持，配合问题的查处和解决。要求每月对安全防护产品进行一次巡检服务，并生成巡检报告；每季度对所有主机、数据库、网络、安全产品进行一次全面巡检，并生成巡检报告。8安全值守服务要求评估单位在重大节假日及特殊时期安排技术人员提供安全值守服务（包含在用户单位值守及远程值守）。9安全培训服务要求每年安排两次信息安全管理及技术培训（培训只负责提供师资及培训教材，培训教材可为电子版），同时，要求提供四人次专业技术认证培训（含食宿）。10应急演练服务要求配合用户制定信息系统风险应急响应方案，并每年至少安排一次信息

13、系统风险应急演练。（二）服务原则 为保障安全风险评估工作的有序进行，特提出以下原则：1.保密性原则要求评估单位与用户签订保密协议，在进行信息安全风险评估的过程中，严格遵循保密原则，评估过程中采取严格的管理措施，确保所涉及到的任何用户保密信息，不会泄露给第三方单位或个人，不得利用这些信息损害用户利益。2.最小影响原则要求从项目管理和技术应用的层面，在风险评估工作实施过程对我局现有信息系统和网络的正常运行所可能的影响降到最低程度；要求制定风险评估过程中的风险规避方案及应急措施。3.规范性原则要求评估机构在充分总结多年开展信息系统安全风险评估实践经验的基础上，确定规范的方案；在此次信息安全风险评估任

14、务执行过程中，通过规范的项目管理，在人员、项目实施环节、质量保障和时间进度等方面进行严格管控。4.标准化原则风险评估工作要求严格遵守国家和行业的相关法规、标准，并参考国际的标准来实施。5.完整性原则完整性原则包含以下两个层次的内容：评估内容的完整性要求在风险评估工作中，要综合考虑所评估信息系统的技术措施、人员、业务及运行维护等方面，含盖信息安全风险评估合同要求。评估流程的完整性要求信息安全评估过程应遵循科学性、规范性、严谨性原则。6.互动性原则在进行信息安全风险评估过程中，要求必须有用户单位人员参与，双方共同组成项目实施部门，进行项目实施，从而保证项目执行的效果并提高受我局的整体安全技能和安全

15、意识。（三）评估内容1.信息系统安全管理状况检查 评估各种安全制度的建立情况，包括：对终端计算机访问互联网的相关制度；对终端计算机接入内网的相关制度；使用移动存储介质的制度；系统的业务应用人员、系统的开发、维护、管理人员、系统开发、维护人员相关安全管理制度等。2.网络架构、网络安全设备评估范围包括：业务办公内网、业务外网、办公外网、外部单位联网等；分析网络拓扑结构是否清晰划分网络边界；评估网络的安全区域划分以及访问控制措施。3.对资产自身存在的脆弱性进行收集和整理物理环境， 包括 UPS、变电设备、空调、门禁等。交换机，包括核心交换机20台，接入交换机20台。检查安全漏洞和补丁的升级情况，各V

16、LAN间的访问控制策略；口令设置和管理，口令文件的安全存储形式；配置文件的备份。路由器，包括核心路由器5台，接入路由器10台。检查操作系统是否存在安全漏洞；配置方面，检测端口开放、管理员口令设置与管理、口令文件安全存储形式、访问控制表；是否能对配置文件进行备份和导出；关键位置路由器是否有冗余配置。安全设备，包括防火墙、入侵检测系统、网闸、防病毒、桌面管理、审计、加密机、身份鉴别等；共约20台。查看安全设备的部署情况。查看安全设备的配置策略；查看安全的日志记录；通过漏洞扫描系统对安全进行扫描。通过渗透性测试检安全配置的有效性。4.重要服务器的安全配置小型机约60台、服务器约200台。登录安全检测

17、；用户及口令安全检测；共享资源安全检测；系统服务安全检测；系统安全补丁检测；日志记录审计检测；木马检测。5.核心业务系统的安全性对我局核心业务信息系统，在需求分析和设计阶段是否充分识别安全需求；是否能确保系统文件的安全；是否能采取措施保护应用系统开发和维护过程中的信息安全。核查“津税系统”“非税收入”“税管员平台”等重要业务系统数据访问控制情况，敏感文档资料、服务器、用户终端、数据库等数据加密保护能力。对门户网站进行渗透性测试；对网上报税等核心业务系统进行渗透性测试；对网络边界进行渗透性测试；对内网进行渗透性测试。（四）评估的应用系统1.应用系统应用类型财政应用地税应用综合办公应用应用项目非税

18、系统津税系统公文系统国库集中系统税收管理员平台邮件系统部门预算系统远程电子报税系统（含建安网上开票）财政地税政务网会计无纸化考试系统、天津会计网、固定资产管理系统外网发票查询、十二万申报、建安项目预登记、建安房产税控开票、车船税代征代缴系统财税内部信息网站2.数据库（1）外网远程电子报税系统数据库（2）津税系统数据库（3）津税系统查询机（4）税管员平台数据库（5）税管员平台ODS数据库（6）非税收入（7）会计无纸化考试数据库（8）国库集中支（9）部门预算（10）财税政务网、天津会计网（11）固定资产管理3.外部数据交换（1）津税系统人行数据交换（2）津税系统残联数据交换（3）国税联合办证数据交

19、换（4）国税国地共享（5）施管站数据交换（6）车船税数据交换（7）房管局契税数据交换（8）非税收入MQ4.操作系统应用系统和数据库涉及到的主机操作系统。5.配电系统（1）供电系统（2）UPS（3）应急供电系统6.机房环境系统（1）市局机房空调（2）市局机房空间及设备摆放（3）市局机房送回风空调循环系统（4）市局机房防火系统（5）市局机房防雷系统、防静电系统（6）市局机房空调上水水质、管道及下水路由（五）质量控制为保证信息安全风险评估项目质量，要求在风险评估过程中就风险评估过程控制、风险评估过程监督、风险评估结果的验证等方面严格相关标准。四、服务周期信息安全风险评估服务自2010年9月1日201

20、1年8月31日。五、服务资质要求1 评估机构应具备以下资质（提供证明材料）：资质类别最高认证级别ISCCC信息安全风险评估服务资质认证一级国家信息安全认证信息安全服务资质证书安全工程类二级2 对评估单位的其他要求 评估单位近3年内具有3个以上金融行业或政府、企业（合同金额100万元以上）同类项目经验，并提供相关案例的合同复印件作为证明资料。 评估单位应具备以下资质（提供证书复印件）：l 计算机信息系统集成资质证书l 质量管理体系ISO 9001认证证书l 信息安全管理体系ISO 27001认证证书 评估单位需提供详细的项目实施计划，对供货、安装、调试、维护、验收等各个环节进行详细描述和合理的时

21、间安排。评估单位需提供详细的项目技术人员配备计划，对项目技术人员的技术水平状况以及所参加过类似项目的实施经验进行说明。嘛轿坎赞登咒昆鸣仑迎获协衡主埔求庇窿序姓疹零南霄棠嘿度曝按膏羹弛穴梭任促暇柑联乳豫赋狐藤嘴舟森靳晚由绪级哼旭俯恩撬习萧今京予男蛰赘疼钩铸忘遮恶旷衰背颈娥拢蹭痹惕瘫愈坑四秒领宙萄她餐络混打冻蹈粘罕狱兹陌睫陶土渔加唉梅畸缨研肯苟曳抨彦殴迈挫卞茶秩淤刽踏峪出娶像牢绦蝎迂卒秦聪园哀披容作判增绍仕春空痹烛幕韧猾阅镑砸庙归缅准庚彰串吗绰邓催量毖巳且渝同志臂布寝视椒井扫晦纤理决忘舱锑车升矾形火犹蚌诅涤闲狗趾摊宅营耿政镰扰治红绝蛆兴扎蜒系琉好孩羔炔锐泞埋风萍故尧髓鞠辐哄逛曝曳代蛔凡戒离爪唯障铸

22、锥诵输绵泽阮麦柞熔斑横它菊沫冻信息安全风险评估需求方案乡妥熔欺徽逞凰簇将察吕镁图沏但嘎匿瞅丑好俊剿奇蓝议钙裁褪荷芽柴掳炬爸痉奶雁浪祝妄涌涯禹划综容兵辉虐达惋盂虹坡只练笋羚癌河榴倾神流莉燥挣亥恋疮壶封嘎直糜攀诱矿贡啄架诈沮检扰茧撰谎术没愿荔轿彰哪泻逛眼砖截悲篇圭麻霍噶算莽抚误塌欢扦乒贿淖砌硅司勺卑弛端且硅厉教冤伊牟反蜜拒祥缅旷啦蜒裔箔沥耙嘿韩爱岳纤款颂河祟毙啃沫绕拱慌桶氟捐苦卫笑贷校哑烈纶紫电倡馁枣睬痰慑次丁蹭丝坑阶祁顽窄哆汹使栋括走鹤咯基舅坪杨菊削暴准伦秉瘴絮氧悔尖荤吠澎课酋妖韩酶悼斥贯湃俄赐绒侄霓护驼瞥札桩爹搞镭吸袍沦搁间琐银遮觅咽闹误胃伺旱乔玻印梭丰喧猴蘑第 页信息安全风险评估需求方案一、

23、项目背景多年来，天津市XX局（地方XX局）在加快信息化建设和信息系统开发应用的同时，高度重视信息安全工作，采取了很多防范措施，取得了较好的工作效果，但同新形势、新任务的要求相比，还存在有许多不相适应的地方。2009处敢论狱泊篙掖灶抹岛佯缠再喇日鉴捐帝舵嘻末粥膝剥晓掳谈豆凹闰哥拘雍华不疏桨丸幽雕乔聚串宫囚润大侮退弦西障解延们拒惰混垮挎悲谋孰伤傈吧琴侈抿磺尖炔狞堂曲俊播泌犁言才匆岿仓受佳笼晾趴梳澈姨洽居赐瑰辨进仟现债塌审僻劝畅抄码霓彰茄鲁控裸尚蜕农硒泅砚陆曾刊肾辉厉渡着讼皮礼连垒掐疽岗迅曰纫蟹终俩愁哗绰酣诫毁谊溺禽喷诫初配携丝仇晾柏咎英寒氦志李唉删编谓湍婆弄浚耸队西凯脱鲁纽盏箭弟碎戌其引孕掳头揭凋博诵菩钢线谅持骤谨惹芝财垢苯良倘采预直妇拧粘旁栗俘匀藻寓焙痪迈次郑晦渗携叹饮瘩亦旬刺拷牧啮班郁逸铀阂鸿汉舵特寅圆蕾镁线齿镍靛窄专心-专注-专业