信息安全风险评估需求方案bpwn.docx

《信息安全风险评估需求方案bpwn.docx》由会员分享，可在线阅读，更多相关《信息安全风险评估需求方案bpwn.docx（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全风险评估需求方案一、项目背景多年来，天天津市财财政局（地地方税务务局）在在加快信信息化建建设和信信息系统统开发应应用的同同时，高高度重视视信息安安全工作作，采取取了很多多防范措措施，取取得了较较好的工工作效果果，但同同新形势势、新任任务的要要求相比比，还存存在有许许多不相相适应的的地方。220099年，国国家税务务总局和和市政府府分别对对我局信信息系统统安全情情况进行行了抽查查，在充充分肯定定成绩的的同时，也也指出了了我局在在信息安安全方面面存在的的问题。通通过抽查查所暴露露的这些些问题，给给我们敲敲响了警警钟，也也对我局局信息安安全工作作提出了了新的更更高的要要求。因此，天津津市财政

2、政局（地地方税务务局）在在对现有有信息安安全资源源进行整整合、整整改的同同时，按按照国家家税务总总局信息息安全管管理规定定，结合合本单位位实际情情况确定定实施信信息安全全评估、安安全加固固、应急急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容（以下简称“安全风险评估”），形成安全规划、实施、检查、处置四位一体的长效机制。 二、项目目目标通过开展信信息“安全风风险评估估”, 完完善安全全管理机机制；通通过安全全服务的的引入，进进一步建建立健全全财税系系统安全全管理策策略，实实现安全全风险的的可知、可可控和可可管理；通过建建立财税税系统信信息安全全风险评评估机制

3、制，实现现财税系系统信息息安全风风险的动动态跟踪踪分析，为为财税系系统信息息安全整整体规划划提供科科学的决决策依据据，进一一步加强强财税内内部网络络的整体体安全防防护能力力，全面面提升我我局信息息系统整整体安全全防范能能力，极极大提高高财税系系统网络络与信息息安全管管理水平平；通过过深入挖挖掘网络络与信息息系统存存在的脆脆弱点，并并以业务务系统为为关键要要素，对对现有的的信息安安全管理理制度和和技术措措施的有有效性进进行评估估，不断断增强系系统的网网络和信信息系统统抵御风风险安全全风险能能力，促促进我局局安全管管理水平平的提高高，增强强信息安安全风险险管理意意识，培培养信息息安全专专业人才才，

4、为财财税系统统各项业业务提供供安全可可靠的支支撑平台台。三、项目需需求（一）服务务要求1基本要求求 “安全风风险评估估服务”全过程程要求有有据可依依，并在在产品使使用有据据可查，并并保持项项目之后后的持续续改进。针针对用户户单位网网络中的的IT设设备及应应用软件件，需要要有软件件产品识识别所有有设备及及其安全全配置，或或以其他他方式收收集、保保存设备备明细及及安全配配置，进进行资产产收集作作为建立立信息安安全体系系的基础础。安全全评估的的过程及及结果要要求通过过软件或或其他形形式进行行展示。对对于风险险的处理理包括：协助用用户制定定安全加加固方案案、在工工程建设设及日常常运维中中提供安安全值守

5、守、咨询询及支持持服务，通通过安全全产品解解决已知知的安全全风险。在在日常安安全管理理方面提提供安全全支持服服务，并并根据国国家及行行业标准准制定信信息安全全管理体体系，针针对安全全管理员员提供安安全培训训，遇有有可能的的安全事事件发生生时，提提供应急急的安全全分析、紧紧急响应应服务。2安全评估估评估的范围围应全面面，涉及及到网络络信息系系统的各各个方面面，包括括物理环环境、网网络结构构、应用用系统、数数据库、服服务器及及网络安安全设备备的安全全性、安安全产品品和技术术的应用用状况以以及管理理体系是是否完善善等等；同时对对管理风风险、综综合安全全风险以以及应用用系统安安全性进进行评估估；评估采

6、用专专业工具具扫描（漏漏洞扫描描、数据据库扫描描采用产产品必须须为商业业化产品品）、人人工评估估、渗透透测试三三种相结结合的方方式，对各种种操作系系统进行行评估，包包括：帐帐户与口口令安全全、网络络服务安安全、内内核参数数安全、文文件系统统安全、日日志安全全等；从应用用系统相相关硬件件、软件件和数据据等方面面来审核核应用所所处环境境下存在在哪些威威胁，根根据应用用系统所所存在的的威胁，来来确定需需要达到到哪些系系统安全全目标才才能保证证应用系系统能够够抵挡预预期的安安全威胁胁。其他他评估内内容应至至少包括括以下几几方面：l 信息探测类类l 网络设备与与防火墙墙l RPC服务务l Web服务务l

7、 CGI问题题l 文件服务l 域名服务l Mail服服务l Windoows远远程访问问l 数据库问题题l SQL 注注入l 跨站脚本攻攻击l 后门程序l 其他服务l 网络拒绝服服务(DDOS)l 其他问题安全评估服服务范围围应包括括但不只只限于协协助用户户完成220100年度信信息安全全专项检检查工作作。 3安全加固固每次对用户户单位网网络信息息系统进进行全面面评估后后应立即即制定安安全加固固方案，另另外如用用户单位位有紧急急需求时时可随时时安排制制定安全全加固方方案。安安全加固固方案应应覆盖用用户单位位IT系系统中所所有服务务器和网网络设备备，以及及不同类类别的操操作系统统、数据据库和应应

8、用系统统。安全加固方方案不能能影响用用户单位位各项业业务的正正常进行行，如果果加固过过程需要要暂时中中断业务务，须设设计具体体的解决决方案。同时，随着着信息技技术的发发展，当当新的漏漏洞出现现时，评评估单位位有责任任和义务务告知用用户，并并配合用用户判定定是否进进行相应应的加固固工作；4紧急响应应 当当用户单单位信息息系统出出现安全全事件后后，用户户可立即即启动紧紧急响应应服务，服服务应包包括远程程紧急响响应和现现场紧急急响应；紧急响响应均要要求724小小时提供供。 紧紧急响应应要求在在响应请请求发出出2小时时内由工工程师到到达事故故现场，协协助用户户进行处处理； 响应服务完完成后评评估单位位

9、需整理理详细的的事故处处理报告告，内容容至少包包括事故故原因分分析、已已造成的的影响、处处理办法法、处理理结果、预预防和改改进建议议；5安全咨询询评估单位应应根据ISSO1777999等多个个标准的的相关要要求对安安全策略略、安全全制度、安安全流程程进行审审计，提提供改进进建议，建建立信息息安全的的“统一”策略管管理机制制，并对用户户单位信信息安全全体系建建设规划划、信息息安全管管理体系系、信息息安全管管理制度度建设、安安全域划划分等相相关内容容提出符符合国家家及行业业标准的的合理化化建议，并并制定完完整的解解决方案案。对于新建信信息化项项目应从从业务需需求分析析、系统统设计、部部署实施施、测

10、试试验收等等全周期期提供技技术咨询询支持。6 安全事事件通告告 评估单单位应具具备专门门的安全全研究人人员以跟跟踪最新新安全技技术发展展、收集集业界发发布的最最新安全全信息及及时通告告用户单单位最新新的安全全动态、安安全技术术的发展展趋势，以以及时效效性很强强的漏洞洞、攻击击手法、病病毒码的的预先通通知； 评评估单位位至少每每月提供供一次汇汇总的安安全通告告信息，当当厂商或或安全组组织发布布紧急安安全通告告后评估估单位应应在三天天之内提提供给人人保相关关通告信信息； 及及时提供供最新的的设备补补丁，随随时根据据用户需需求，提提供相应应安全漏漏洞与响响应的安安全系统统升级代代码；及及时向招招标人

11、提提供国家家颁发的的最新安安全制度度与法规规。7安全巡检检包括不限于于以人工工方式检检查主机机系统和和网络设设备的日日志信息息、安全全配置以以及审计计信息等等，提出出安全策策略建议议；如发发现异常常现象或或安全问问题，及及时向用用户单位位反馈，并并提供后后续技术术支持，配配合问题题的查处处和解决决。要求求每月对对安全防防护产品品进行一一次巡检检服务，并并生成巡巡检报告告；每季季度对所所有主机机、数据据库、网网络、安安全产品品进行一一次全面面巡检，并并生成巡巡检报告告。8安全值守守服务要求评估单单位在重重大节假假日及特特殊时期期安排技技术人员员提供安安全值守守服务（包包含在用用户单位位值守及及远

12、程值值守）。9安全培训训服务要求每年安安排两次次信息安安全管理理及技术术培训（培培训只负负责提供供师资及及培训教教材，培培训教材材可为电电子版），同时，要求提供四人次专业技术认证培训（含食宿）。10应急演演练服务务要求配合用用户制定定信息系系统风险险应急响响应方案案，并每每年至少少安排一一次信息息系统风风险应急急演练。（二）服务务原则 为保障安安全风险险评估工工作的有有序进行行，特提提出以下下原则：1.保密性性原则要求评估单单位与用用户签订订保密协协议，在在进行信信息安全全风险评评估的过过程中，严格遵循保密原则，评估过程中采取严格的管理措施，确保所涉及到的任何用户保密信息，不会泄露给第三方单位

13、或个人，不得利用这些信息损害用户利益。2.最小影影响原则则要求从项目目管理和和技术应应用的层层面，在在风险评评估工作作实施过过程对我我局现有有信息系系统和网网络的正正常运行行所可能能的影响响降到最最低程度度；要求求制定风风险评估估过程中中的风险险规避方方案及应应急措施施。3.规范性性原则要求评估机机构在充充分总结结多年开开展信息息系统安安全风险险评估实实践经验验的基础础上，确确定规范范的方案案；在此此次信息息安全风风险评估估任务执执行过程程中，通通过规范范的项目目管理，在在人员、项项目实施施环节、质质量保障障和时间间进度等等方面进进行严格格管控。4.标准化化原则风险评估工工作要求求严格遵遵守国

14、家家和行业业的相关关法规、标标准，并并参考国国际的标标准来实实施。5.完整性性原则完整性原则则包含以以下两个个层次的的内容：评估内容的的完整性性要求求在风险险评估工工作中，要要综合考考虑所评评估信息息系统的的技术措措施、人人员、业业务及运运行维护护等方面面，含盖盖信息安安全风险险评估合合同要求求。评估流程的的完整性性要求求信息安安全评估估过程应应遵循科科学性、规规范性、严严谨性原原则。6.互动性性原则在进行信息息安全风风险评估估过程中中，要求求必须有有用户单单位人员员参与，双双方共同同组成项项目实施施部门，进进行项目目实施，从从而保证证项目执执行的效效果并提提高受我我局的整整体安全全技能和和安

15、全意意识。（三）评估估内容1.信息系系统安全全管理状状况检查查 评估各各种安全全制度的的建立情情况，包包括：对对终端计计算机访访问互联联网的相相关制度度；对终终端计算算机接入入内网的的相关制制度；使使用移动动存储介介质的制制度；系系统的业业务应用用人员、系系统的开开发、维维护、管管理人员员、系统统开发、维维护人员员相关安安全管理理制度等等。2.网络架架构、网网络安全全设备评估范围包包括：业业务办公公内网、业业务外网网、办公公外网、外外部单位位联网等等；分析析网络拓拓扑结构构是否清清晰划分分网络边边界；评评估网络络的安全全区域划划分以及及访问控控制措施施。3.对资产产自身存存在的脆脆弱性进进行收

16、集集和整理理物理环境， 包括 UPSS、变电电设备、空空调、门门禁等。交换机，包包括核心心交换机机20台台，接入入交换机机20台台。检查查安全漏漏洞和补补丁的升升级情况况，各VVLANN间的访访问控制制策略；口令设设置和管管理，口口令文件件的安全全存储形形式；配配置文件件的备份份。路由器，包包括核心心路由器器5台，接接入路由由器100台。检检查操作作系统是是否存在在安全漏漏洞；配配置方面面，检测测端口开开放、管管理员口口令设置置与管理理、口令令文件安安全存储储形式、访访问控制制表；是是否能对对配置文文件进行行备份和和导出；关键位位置路由由器是否否有冗余余配置。安全设备，包包括防火火墙、入入侵检

17、测测系统、网网闸、防防病毒、桌桌面管理理、审计计、加密密机、身身份鉴别别等；共共约200台。查查看安全全设备的的部署情情况。查查看安全全设备的的配置策策略；查查看安全全的日志志记录；通过漏漏洞扫描描系统对对安全进进行扫描描。通过过渗透性性测试检检安全配配置的有有效性。4.重要服服务器的的安全配配置小型机约660台、服服务器约约2000台。登登录安全全检测；用户及及口令安安全检测测；共享享资源安安全检测测；系统统服务安安全检测测；系统统安全补补丁检测测；日志志记录审审计检测测；木马马检测。5.核心业业务系统统的安全全性对我局核心心业务信信息系统统，在需需求分析析和设计计阶段是是否充分分识别安安全

18、需求求；是否否能确保保系统文文件的安安全；是是否能采采取措施施保护应应用系统统开发和和维护过过程中的的信息安安全。核核查“津税系系统”“非税税收入”“税管管员平台台”等重要要业务系系统数据据访问控控制情况况，敏感感文档资资料、服服务器、用用户终端端、数据据库等数数据加密密保护能能力。对对门户网网站进行行渗透性性测试；对网上上报税等等核心业业务系统统进行渗渗透性测测试；对对网络边边界进行行渗透性性测试；对内网网进行渗渗透性测测试。（四）评估估的应用用系统1.应用系系统应用类型财政应用地税应用综合办公应应用应用项目非税系统津税系统公文系统国库集中系系统税收管理员员平台邮件系统部门预算系系统远程电子

19、报报税系统统（含建建安网上上开票）财政地税政政务网会计无纸化化考试系系统、天津会计网网、固定资产管管理系统统外网发票查查询、十十二万申申报、建建安项目目预登记记、建安安房产税税控开票票、车船船税代征征代缴系系统财税内部信信息网站站2.数据库库（1）外网网远程电电子报税税系统数数据库（2）津税税系统数数据库（3）津税税系统查查询机（4）税管管员平台台数据库库（5）税管管员平台台ODSS数据库库（6）非税税收入（7）会计计无纸化化考试数数据库（8）国库库集中支支（9）部门门预算（10）财财税政务务网、天天津会计计网（11）固固定资产产管理3.外部数数据交换换（1）津税税系统人人行数据据交换（2）津

20、税税系统残残联数据据交换（3）国税税联合办办证数据据交换（4）国税税国地共共享（5）施管管站数据据交换（6）车船船税数据据交换（7）房管管局契税税数据交交换（8）非税税收入MMQ4.操作系系统应用系统和和数据库库涉及到到的主机机操作系系统。5.配电系系统（1）供电电系统（2）UPPS（3）应急急供电系系统6.机房环环境系统统（1）市局局机房空空调（2）市局局机房空空间及设设备摆放放（3）市局局机房送送回风空空调循环环系统（4）市局局机房防防火系统统（5）市局局机房防防雷系统统、防静静电系统统（6）市局局机房空空调上水水水质、管管道及下下水路由由（五）质量量控制为保证信息息安全风风险评估估项目质

21、质量，要要求在风风险评估估过程中中就风险险评估过过程控制制、风险险评估过过程监督督、风险险评估结结果的验验证等方方面严格格相关标标准。四、服务周周期信息安全风风险评估估服务自自20110年99月1日日20111年88月311日。五、服务资资质要求求1 评估机机构应具具备以下下资质（提提供证明明材料）：资质类别最高认证级级别ISCCCC信息安安全风险险评估服服务资质质认证一级国家信息安安全认证证信息安安全服务务资质证证书安全工程类类二级2 对评估估单位的的其他要要求 评估单位位近3年年内具有有3个以以上金融融行业或或政府、企企业（合合同金额额1000万元以以上）同同类项目目经验，并并提供相相关案例例的合同同复印件件作为证证明资料料。 评估单位位应具备备以下资资质（提提供证书书复印件件）：l 计算机信信息系统统集成资资质证书书l 质量管理理体系IISO 90001认证证证书l 信息安全全管理体体系ISSO 2270001认证证证书 评估单位需需提供详详细的项项目实施施计划，对对供货、安安装、调调试、维维护、验验收等各各个环节节进行详详细描述述和合理理的时间间安排。评估单位需需提供详详细的项项目技术术人员配配备计划划，对项项目技术术人员的的技术水水平状况况以及所所参加过过类似项项目的实实施经验验进行说说明。