关于我局信息安全评估的整体方案.docx

《关于我局信息安全评估的整体方案.docx》由会员分享，可在线阅读，更多相关《关于我局信息安全评估的整体方案.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全全风险评评估需求求方案一、项目目背景多年来，天天津市财财政局（地地方税务务局）在在加快信信息化建建设和信信息系统统开发应应用的同同时，高高度重视视信息安安全工作作，采取取了很多多防范措措施，取取得了较较好的工工作效果果，但同同新形势势、新任任务的要要求相比比，还存存在有许许多不相相适应的的地方。220099年，国国家税务务总局和和市政府府分别对对我局信信息系统统安全情情况进行行了抽查查，在充充分肯定定成绩的的同时，也也指出了了我局在在信息安安全方面面存在的的问题。通通过抽查查所暴露露的这些些问题，给给我们敲敲响了警警钟，也也对我局局信息安安全工作作提出了了新的更更高的要要求。因此，天天

2、津市财财政局（地地方税务务局）在在对现有有信息安安全资源源进行整整合、整整改的同同时，按按照国家家税务总总局信息息安全管管理规定定，结合合本单位位实际情情况确定定实施信信息安全全评估、安安全加固固、应急急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容（以下简称“安全风险评估”），形成安全规划、实施、检查、处置四位一体的长效机制。 二、项目目目标通过开展展信息“安全风风险评估估”, 完完善安全全管理机机制；通通过安全全服务的的引入，进进一步建建立健全全财税系系统安全全管理策策略，实实现安全全风险的的可知、可可控和可可管理；通过建建立财税税系统信信息安全全风险评

3、评估机制制，实现现财税系系统信息息安全风风险的动动态跟踪踪分析，为为财税系系统信息息安全整整体规划划提供科科学的决决策依据据，进一一步加强强财税内内部网络络的整体体安全防防护能力力，全面面提升我我局信息息系统整整体安全全防范能能力，极极大提高高财税系系统网络络与信息息安全管管理水平平；通过过深入挖挖掘网络络与信息息系统存存在的脆脆弱点，并并以业务务系统为为关键要要素，对对现有的的信息安安全管理理制度和和技术措措施的有有效性进进行评估估，不断断增强系系统的网网络和信信息系统统抵御风风险安全全风险能能力，促促进我局局安全管管理水平平的提高高，增强强信息安安全风险险管理意意识，培培养信息息安全专专业

4、人才才，为财财税系统统各项业业务提供供安全可可靠的支支撑平台台。三、项目目需求（一）服服务要求求1基本要要求“安全风风险评估估服务”全过程程要求有有据可依依，并在在产品使使用有据据可查，并并保持项项目之后后的持续续改进。针针对用户户单位网网络中的的IT设设备及应应用软件件，需要要有软件件产品识识别所有有设备及及其安全全配置，或或以其他他方式收收集、保保存设备备明细及及安全配配置，进进行资产产收集作作为建立立信息安安全体系系的基础础。安全全评估的的过程及及结果要要求通过过软件或或其他形形式进行行展示。对对于风险险的处理理包括：协助用用户制定定安全加加固方案案、在工工程建设设及日常常运维中中提供安

5、安全值守守、咨询询及支持持服务，通通过安全全产品解解决已知知的安全全风险。在在日常安安全管理理方面提提供安全全支持服服务，并并根据国国家及行行业标准准制定信信息安全全管理体体系，针针对安全全管理员员提供安安全培训训，遇有有可能的的安全事事件发生生时，提提供应急急的安全全分析、紧紧急响应应服务。2安全评评估评估的范范围应全全面，涉涉及到网网络信息息系统的的各个方方面，包包括物理理环境、网网络结构构、应用用系统、数数据库、服服务器及及网络安安全设备备的安全全性、安安全产品品和技术术的应用用状况以以及管理理体系是是否完善善等等；同时对对管理风风险、综综合安全全风险以以及应用用系统安安全性进进行评估估

6、；评估采用用专业工工具扫描描（漏洞洞扫描、数数据库扫扫描采用用产品必必须为商商业化产产品）、人人工评估估、渗透透测试三三种相结结合的方方式，对各种种操作系系统进行行评估，包包括：帐帐户与口口令安全全、网络络服务安安全、内内核参数数安全、文文件系统统安全、日日志安全全等；从应用用系统相相关硬件件、软件件和数据据等方面面来审核核应用所所处环境境下存在在哪些威威胁，根根据应用用系统所所存在的的威胁，来来确定需需要达到到哪些系系统安全全目标才才能保证证应用系系统能够够抵挡预预期的安安全威胁胁。其他他评估内内容应至至少包括括以下几几方面：l 信息探测测类l 网络设备备与防火火墙l RPC服服务l Web

7、服服务l CGI问问题l 文件服务务l 域名服务务l Maill服务l Winddowss远程访访问l 数据库问问题l SQL 注入l 跨站脚本本攻击l 后门程序序l 其他服务务l 网络拒绝绝服务(DOSS)l 其他问题题安全评估估服务范范围应包包括但不不只限于于协助用用户完成成20110年度度信息安安全专项项检查工工作。3安全加加固每次对用用户单位位网络信信息系统统进行全全面评估估后应立立即制定定安全加加固方案案，另外外如用户户单位有有紧急需需求时可可随时安安排制定定安全加加固方案案。安全全加固方方案应覆覆盖用户户单位IIT系统统中所有有服务器器和网络络设备，以以及不同同类别的的操作系系统、

8、数数据库和和应用系系统。安全加固固方案不不能影响响用户单单位各项项业务的的正常进进行，如如果加固固过程需需要暂时时中断业业务，须须设计具具体的解解决方案案。同时，随随着信息息技术的的发展，当当新的漏漏洞出现现时，评评估单位位有责任任和义务务告知用用户，并并配合用用户判定定是否进进行相应应的加固固工作；4紧急响响应 当用户户单位信信息系统统出现安安全事件件后，用用户可立立即启动动紧急响响应服务务，服务务应包括括远程紧紧急响应应和现场场紧急响响应；紧紧急响应应均要求求724小小时提供供。 紧急响响应要求求在响应应请求发发出2小小时内由由工程师师到达事事故现场场，协助助用户进进行处理理； 响应服务务

9、完成后后评估单单位需整整理详细细的事故故处理报报告，内内容至少少包括事事故原因因分析、已已造成的的影响、处处理办法法、处理理结果、预预防和改改进建议议；5安全咨咨询评估单位位应根据据ISOO177799等等多个标标准的相相关要求求对安全全策略、安安全制度度、安全全流程进进行审计计，提供供改进建建议，建建立信息息安全的的“统一”策略管管理机制制，并对用户户单位信信息安全全体系建建设规划划、信息息安全管管理体系系、信息息安全管管理制度度建设、安安全域划划分等相相关内容容提出符符合国家家及行业业标准的的合理化化建议，并并制定完完整的解解决方案案。对于新建建信息化化项目应应从业务务需求分分析、系系统设

10、计计、部署署实施、测测试验收收等全周周期提供供技术咨咨询支持持。6 安全全事件通通告 评估估单位应应具备专专门的安安全研究究人员以以跟踪最最新安全全技术发发展、收收集业界界发布的的最新安安全信息息及时通通告用户户单位最最新的安安全动态态、安全全技术的的发展趋趋势，以以及时效效性很强强的漏洞洞、攻击击手法、病病毒码的的预先通通知； 评估单单位至少少每月提提供一次次汇总的的安全通通告信息息，当厂厂商或安安全组织织发布紧紧急安全全通告后后评估单单位应在在三天之之内提供供给人保保相关通通告信息息； 及时提提供最新新的设备备补丁，随随时根据据用户需需求，提提供相应应安全漏漏洞与响响应的安安全系统统升级代

11、代码；及及时向招招标人提提供国家家颁发的的最新安安全制度度与法规规。7安全巡巡检包括不限限于以人人工方式式检查主主机系统统和网络络设备的的日志信信息、安安全配置置以及审审计信息息等，提提出安全全策略建建议；如如发现异异常现象象或安全全问题，及及时向用用户单位位反馈，并并提供后后续技术术支持，配配合问题题的查处处和解决决。要求求每月对对安全防防护产品品进行一一次巡检检服务，并并生成巡巡检报告告；每季季度对所所有主机机、数据据库、网网络、安安全产品品进行一一次全面面巡检，并并生成巡巡检报告告。8安全值值守服务务要求评估估单位在在重大节节假日及及特殊时时期安排排技术人人员提供供安全值值守服务务（包含

12、含在用户户单位值值守及远远程值守守）。9安全培培训服务务要求每年年安排两两次信息息安全管管理及技技术培训训（培训训只负责责提供师师资及培培训教材材，培训训教材可可为电子子版），同同时，要要求提供供四人次次专业技技术认证证培训（含含食宿）。10应急急演练服服务要求配合合用户制制定信息息系统风风险应急急响应方方案，并并每年至至少安排排一次信信息系统统风险应应急演练练。（二）服服务原则则 为保障障安全风风险评估估工作的的有序进进行，特特提出以以下原则则：1.保密密性原则则要求评估估单位与与用户签签订保密密协议，在在进行信信息安全全风险评评估的过过程中，严格遵循保密原则，评估过程中采取严格的管理措施，

13、确保所涉及到的任何用户保密信息，不会泄露给第三方单位或个人，不得利用这些信息损害用户利益。2.最小小影响原原则要求从项项目管理理和技术术应用的的层面，在在风险评评估工作作实施过过程对我我局现有有信息系系统和网网络的正正常运行行所可能能的影响响降到最最低程度度；要求求制定风风险评估估过程中中的风险险规避方方案及应应急措施施。3.规范范性原则则要求评估估机构在在充分总总结多年年开展信信息系统统安全风风险评估估实践经经验的基基础上，确确定规范范的方案案；在此此次信息息安全风风险评估估任务执执行过程程中，通通过规范范的项目目管理，在在人员、项项目实施施环节、质质量保障障和时间间进度等等方面进进行严格格

14、管控。4.标准准化原则则风险评估估工作要要求严格格遵守国国家和行行业的相相关法规规、标准准，并参参考国际际的标准准来实施施。5.完整整性原则则完整性原原则包含含以下两两个层次次的内容容：评估内容容的完整整性要求在在风险评评估工作作中，要要综合考考虑所评评估信息息系统的的技术措措施、人人员、业业务及运运行维护护等方面面，含盖盖信息安安全风险险评估合合同要求求。评估流程程的完整整性要求信信息安全全评估过过程应遵遵循科学学性、规规范性、严严谨性原原则。6.互动动性原则则在进行信信息安全全风险评评估过程程中，要要求必须须有用户户单位人人员参与与，双方方共同组组成项目目实施部部门，进进行项目目实施，从从

15、而保证证项目执执行的效效果并提提高受我我局的整整体安全全技能和和安全意意识。（三）评评估内容容1.信息息系统安安全管理理状况检检查 评估估各种安安全制度度的建立立情况，包包括：对对终端计计算机访访问互联联网的相相关制度度；对终终端计算算机接入入内网的的相关制制度；使使用移动动存储介介质的制制度；系系统的业业务应用用人员、系系统的开开发、维维护、管管理人员员、系统统开发、维维护人员员相关安安全管理理制度等等。2.网络络架构、网网络安全全设备评估范围围包括：业务办办公内网网、业务务外网、办办公外网网、外部部单位联联网等；分析网网络拓扑扑结构是是否清晰晰划分网网络边界界；评估估网络的的安全区区域划分

16、分以及访访问控制制措施。3.对资资产自身身存在的的脆弱性性进行收收集和整整理物理环境境， 包包括 UUPS、变变电设备备、空调调、门禁禁等。交换机，包包括核心心交换机机20台台，接入入交换机机20台台。检查查安全漏漏洞和补补丁的升升级情况况，各VVLANN间的访访问控制制策略；口令设设置和管管理，口口令文件件的安全全存储形形式；配配置文件件的备份份。路由器，包括核心路由器5台，接入路由器10台。检查操作系统是否存在安全漏洞；配置方面，检测端口开放、管理员口令设置与管理、口令文件安全存储形式、访问控制表；是否能对配置文件进行备份和导出；关键位置路由器是否有冗余配置。安全设备备，包括括防火墙墙、入

17、侵侵检测系系统、网网闸、防防病毒、桌桌面管理理、审计计、加密密机、身身份鉴别别等；共共约200台。查查看安全全设备的的部署情情况。查查看安全全设备的的配置策策略；查查看安全全的日志志记录；通过漏漏洞扫描描系统对对安全进进行扫描描。通过过渗透性性测试检检安全配配置的有有效性。4.重要要服务器器的安全全配置小型机约约60台台、服务务器约2200台台。登录录安全检检测；用用户及口口令安全全检测；共享资资源安全全检测；系统服服务安全全检测；系统安安全补丁丁检测；日志记记录审计计检测；木马检检测。5.核心心业务系系统的安安全性对我局核核心业务务信息系系统，在在需求分分析和设设计阶段段是否充充分识别别安全

18、需需求；是是否能确确保系统统文件的的安全；是否能能采取措措施保护护应用系系统开发发和维护护过程中中的信息息安全。核核查“津税系系统”“非税税收入”“税管管员平台台”等重要要业务系系统数据据访问控控制情况况，敏感感文档资资料、服服务器、用用户终端端、数据据库等数数据加密密保护能能力。对对门户网网站进行行渗透性性测试；对网上上报税等等核心业业务系统统进行渗渗透性测测试；对对网络边边界进行行渗透性性测试；对内网网进行渗渗透性测测试。（四）评评估的应应用系统统1.应用用系统应用类型型财政应用用地税应用用综合办公公应用应用项目非税系统统津税系统统公文系统统国库集中中系统税收管理理员平台台邮件系统统部门预

19、算算系统远程电子子报税系系统（含含建安网网上开票票）财政地税税政务网网会计无纸纸化考试试系统、天津会计计网、固定资产产管理系系统外网发票票查询、十十二万申申报、建建安项目目预登记记、建安安房产税税控开票票、车船船税代征征代缴系系统财税内部部信息网网站2.数据据库（1）外外网远程程电子报报税系统统数据库库（2）津津税系统统数据库库（3）津津税系统统查询机机（4）税税管员平平台数据据库（5）税税管员平平台ODDS数据据库（6）非非税收入入（7）会会计无纸纸化考试试数据库库（8）国国库集中中支（9）部部门预算算（10）财财税政务务网、天天津会计计网（11）固固定资产产管理3.外部部数据交交换（1）津

20、津税系统统人行数数据交换换（2）津津税系统统残联数数据交换换（3）国国税联合合办证数数据交换换（4）国国税国地地共享（5）施施管站数数据交换换（6）车车船税数数据交换换（7）房房管局契契税数据据交换（8）非非税收入入MQ4.操作作系统应用系统统和数据据库涉及及到的主主机操作作系统。5.配电电系统（1）供供电系统统（2）UUPS（3）应应急供电电系统6.机房房环境系系统（1）市市局机房房空调（2）市市局机房房空间及及设备摆摆放（3）市市局机房房送回风风空调循循环系统统（4）市市局机房房防火系系统（5）市市局机房房防雷系系统、防防静电系系统（6）市市局机房房空调上上水水质质、管道道及下水水路由（五

21、）质质量控制制为保证信信息安全全风险评评估项目目质量，要要求在风风险评估估过程中中就风险险评估过过程控制制、风险险评估过过程监督督、风险险评估结结果的验验证等方方面严格格相关标标准。四、服务务周期信息安全全风险评评估服务务自20010年年9月11日20111年88月311日。五、服务务资质要要求1 评估估机构应应具备以以下资质质（提供供证明材材料）：资质类别别最高认证证级别ISCCCC信息息安全风风险评估估服务资资质认证证一级国家信息息安全认认证信息息安全服服务资质质证书安全工程程类二级级2 对评评估单位位的其他他要求 评估单单位近33年内具具有3个个以上金金融行业业或政府府、企业业（合同同金额1100万万元以上上）同类类项目经经验，并并提供相相关案例例的合同同复印件件作为证证明资料料。 评估单单位应具具备以下下资质（提提供证书书复印件件）：l 计算机机信息系系统集成成资质证证书l 质量管管理体系系ISOO 90001认认证证书书l 信息安安全管理理体系IISO 270001认认证证书书 评估单位位需提供供详细的的项目实实施计划划，对供供货、安安装、调调试、维维护、验验收等各各个环节节进行详详细描述述和合理理的时间间安排。评估单位位需提供供详细的的项目技技术人员员配备计计划，对对项目技技术人员员的技术术水平状状况以及及所参加加过类似似项目的的实施经经验进行行说明。