信息安全风险评估需求方案32707.docx

《信息安全风险评估需求方案32707.docx》由会员分享，可在线阅读，更多相关《信息安全风险评估需求方案32707.docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全风险评估需求方案一、项目背背景多年来，天天津市财政政局（地方方税务局）在在加快信息息化建设和和信息系统统开发应用用的同时，高高度重视信信息安全工工作，采取取了很多防防范措施，取取得了较好好的工作效效果，但同同新形势、新新任务的要要求相比，还还存在有许许多不相适适应的地方方。20009年，国国家税务总总局和市政政府分别对对我局信息息系统安全全情况进行行了抽查，在在充分肯定定成绩的同同时，也指指出了我局局在信息安安全方面存存在的问题题。通过抽抽查所暴露露的这些问问题，给我我们敲响了了警钟，也也对我局信信息安全工工作提出了了新的更高高的要求。因此，天津津市财政局局（地方税税务局）在在对现有信

2、信息安全资资源进行整整合、整改改的同时，按按照国家税税务总局信信息安全管管理规定，结结合本单位位实际情况况确定实施施信息安全全评估、安安全加固、应应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容（以下简称“安全风险评估”），形成安全规划、实施、检查、处置四位一体的长效机制。 二、项目目目标通过开展信信息“安全风险险评估”, 完善善安全管理理机制；通通过安全服服务的引入入，进一步步建立健全全财税系统统安全管理理策略，实实现安全风风险的可知知、可控和和可管理；通过建立立财税系统统信息安全全风险评估估机制，实实现财税系系统信息安安全风险的的动态跟踪踪分析，为为财

3、税系统统信息安全全整体规划划提供科学学的决策依依据，进一一步加强财财税内部网网络的整体体安全防护护能力，全全面提升我我局信息系系统整体安安全防范能能力，极大大提高财税税系统网络络与信息安安全管理水水平；通过过深入挖掘掘网络与信信息系统存存在的脆弱弱点，并以以业务系统统为关键要要素，对现现有的信息息安全管理理制度和技术措施施的有效性性进行评估估，不断增增强系统的的网络和信信息系统抵抵御风险安安全风险能能力，促进进我局安全全管理水平平的提高，增增强信息安安全风险管管理意识，培培养信息安安全专业人人才，为财财税系统各各项业务提提供安全可可靠的支撑撑平台。三、项目需需求（一）服务务要求1基本要求求 “

4、安全风风险评估服服务”全过程要要求有据可可依，并在在产品使用用有据可查查，并保持持项目之后后的持续改改进。针对对用户单位位网络中的的IT设备备及应用软软件，需要要有软件产产品识别所所有设备及及其安全配配置，或以以其他方式式收集、保保存设备明明细及安全全配置，进进行资产收收集作为建建立信息安安全体系的的基础。安安全评估的的过程及结结果要求通通过软件或或其他形式式进行展示示。对于风风险的处理理包括：协协助用户制制定安全加加固方案、在在工程建设设及日常运运维中提供供安全值守守、咨询及及支持服务务，通过安安全产品解解决已知的的安全风险险。在日常常安全管理理方面提供供安全支持持服务，并并根据国家家及行业

5、标标准制定信信息安全管管理体系，针针对安全管管理员提供供安全培训训，遇有可可能的安全全事件发生生时，提供供应急的安安全分析、紧紧急响应服服务。2安全评估估评估的范围围应全面，涉涉及到网络络信息系统统的各个方方面，包括括物理环境境、网络结结构、应用用系统、数数据库、服服务器及网网络安全设设备的安全全性、安全全产品和技技术的应用用状况以及及管理体系系是否完善善等等；同同时对管理理风险、综综合安全风风险以及应应用系统安安全性进行行评估；评估采用专专业工具扫扫描（漏洞洞扫描、数数据库扫描描采用产品品必须为商商业化产品品）、人工工评估、渗渗透测试三三种相结合合的方式，对各种操操作系统进进行评估，包包括：

6、帐户户与口令安安全、网络络服务安全全、内核参参数安全、文文件系统安安全、日志志安全等；从应用系系统相关硬硬件、软件件和数据等等方面来审审核应用所所处环境下下存在哪些些威胁，根根据应用系系统所存在在的威胁，来来确定需要要达到哪些些系统安全全目标才能能保证应用用系统能够够抵挡预期期的安全威威胁。其他他评估内容容应至少包包括以下几几方面：l 信息探测类类l 网络设备与与防火墙l RPC服务务l Web服务务l CGI问题题l 文件服务l 域名服务l Mail服服务l Windoows远程程访问l 数据库问题题l SQL 注注入l 跨站脚本攻攻击l 后门程序l 其他服务l 网络拒绝服服务(DOOS)l

7、 其他问题安全评估服服务范围应应包括但不不只限于协协助用户完完成20110年度信信息安全专专项检查工工作。 3安全加固固每次对用户户单位网络络信息系统统进行全面面评估后应应立即制定定安全加固固方案，另另外如用户户单位有紧紧急需求时时可随时安安排制定安安全加固方方案。安全全加固方案案应覆盖用用户单位IIT系统中中所有服务务器和网络络设备，以以及不同类类别的操作作系统、数数据库和应应用系统。安全加固方方案不能影影响用户单单位各项业业务的正常常进行，如如果加固过过程需要暂暂时中断业业务，须设设计具体的的解决方案案。同时，随着着信息技术术的发展，当当新的漏洞洞出现时，评评估单位有有责任和义义务告知用用

8、户，并配配合用户判判定是否进进行相应的的加固工作作；4紧急响应应 当当用户单位位信息系统统出现安全全事件后，用用户可立即即启动紧急急响应服务务，服务应应包括远程程紧急响应应和现场紧紧急响应；紧急响应应均要求7724小时时提供。 紧紧急响应要要求在响应应请求发出出2小时内内由工程师师到达事故故现场，协协助用户进进行处理； 响应服务完完成后评估估单位需整整理详细的的事故处理理报告，内内容至少包包括事故原原因分析、已已造成的影影响、处理理办法、处处理结果、预预防和改进进建议；5安全咨询询评估单位应应根据ISOO177999等多个个标准的相相关要求对对安全策略略、安全制制度、安全全流程进行行审计，提提

9、供改进建建议，建立立信息安全全的“统一”策略管理理机制，并并对用户单单位信息安安全体系建建设规划、信信息安全管管理体系、信信息安全管管理制度建建设、安全全域划分等等相关内容容提出符合合国家及行行业标准的的合理化建建议，并制制定完整的的解决方案案。对于新建信信息化项目目应从业务务需求分析析、系统设设计、部署署实施、测测试验收等等全周期提提供技术咨咨询支持。6 安全事事件通告 评估单单位应具备备专门的安安全研究人人员以跟踪踪最新安全全技术发展展、收集业业界发布的的最新安全全信息及时时通告用户户单位最新新的安全动动态、安全全技术的发发展趋势，以以及时效性性很强的漏漏洞、攻击击手法、病病毒码的预预先通

10、知； 评评估单位至至少每月提提供一次汇汇总的安全全通告信息息，当厂商商或安全组组织发布紧紧急安全通通告后评估估单位应在在三天之内内提供给人人保相关通通告信息； 及及时提供最最新的设备备补丁，随随时根据用用户需求，提提供相应安安全漏洞与与响应的安安全系统升升级代码；及时向招招标人提供供国家颁发发的最新安安全制度与与法规。7安全巡检检包括不限于于以人工方方式检查主主机系统和和网络设备备的日志信信息、安全全配置以及及审计信息息等，提出出安全策略略建议；如如发现异常常现象或安安全问题，及及时向用户户单位反馈馈，并提供供后续技术术支持，配配合问题的的查处和解解决。要求求每月对安安全防护产产品进行一一次巡

11、检服服务，并生生成巡检报报告；每季季度对所有有主机、数数据库、网网络、安全全产品进行行一次全面面巡检，并并生成巡检检报告。8安全值守守服务要求评估单单位在重大大节假日及及特殊时期期安排技术术人员提供供安全值守守服务（包包含在用户户单位值守守及远程值值守）。9安全培训训服务要求每年安安排两次信信息安全管管理及技术术培训（培培训只负责责提供师资资及培训教教材，培训训教材可为为电子版），同时，要求提供四人次专业技术认证培训（含食宿）。10应急演演练服务要求配合用用户制定信信息系统风风险应急响响应方案，并每年至少安排一次信息系统风险应急演练。（二）服务务原则 为保障安安全风险评评估工作的的有序进行行，

12、特提出出以下原则则：1.保密性性原则要求评估单单位与用户户签订保密密协议，在进进行信息安安全风险评评估的过程程中，严格格遵循保密密原则，评评估过程中中采取严格格的管理措措施，确保保所涉及到到的任何用用户保密信信息，不会会泄露给第第三方单位位或个人，不不得利用这这些信息损损害用户利利益。2.最小影影响原则要求从项目目管理和技技术应用的的层面，在在风险评估估工作实施施过程对我我局现有信信息系统和和网络的正正常运行所所可能的影影响降到最最低程度；要求制定定风险评估估过程中的的风险规避避方案及应应急措施。3.规范性性原则要求评估机机构在充分分总结多年年开展信息息系统安全全风险评估估实践经验验的基础上上

13、，确定规规范的方案案；在此次次信息安全全风险评估估任务执行行过程中，通通过规范的的项目管理理，在人员员、项目实实施环节、质质量保障和和时间进度度等方面进进行严格管管控。4.标准化化原则风险评估工工作要求严严格遵守国国家和行业业的相关法法规、标准准，并参考考国际的标标准来实施施。5.完整性性原则完整性原则则包含以下下两个层次次的内容：评估内容的的完整性要求在在风险评估估工作中，要要综合考虑虑所评估信信息系统的的技术措施施、人员、业业务及运行行维护等方方面，含盖盖信息安全全风险评估估合同要求求。评估流程的的完整性要求信信息安全评评估过程应应遵循科学学性、规范范性、严谨谨性原则。6.互动性性原则在进

14、行信息息安全风险险评估过程程中，要求求必须有用用户单位人人员参与，双双方共同组组成项目实实施部门，进进行项目实实施，从而而保证项目目执行的效效果并提高高受我局的的整体安全全技能和安安全意识。（三）评估估内容1.信息系系统安全管管理状况检检查 评估各各种安全制制度的建立立情况，包包括：对终终端计算机机访问互联联网的相关关制度；对对终端计算算机接入内内网的相关关制度；使使用移动存存储介质的的制度；系系统的业务务应用人员员、系统的的开发、维维护、管理理人员、系系统开发、维维护人员相相关安全管管理制度等等。2.网络架架构、网络络安全设备备评估范围包包括：业务务办公内网网、业务外外网、办公公外网、外外部

15、单位联联网等；分分析网络拓拓扑结构是是否清晰划划分网络边边界；评估估网络的安安全区域划划分以及访访问控制措措施。3.对资产产自身存在在的脆弱性性进行收集集和整理物理环境， 包括 UUPS、变变电设备、空空调、门禁禁等。交换机，包包括核心交交换机200台，接入入交换机220台。检检查安全漏漏洞和补丁丁的升级情情况，各VVLAN间间的访问控控制策略；口令设置置和管理，口口令文件的的安全存储储形式；配配置文件的的备份。路由器，包包括核心路路由器5台台，接入路路由器100台。检查查操作系统统是否存在在安全漏洞洞；配置方方面，检测测端口开放放、管理员员口令设置置与管理、口口令文件安安全存储形形式、访问问

16、控制表；是否能对对配置文件件进行备份份和导出；关键位置置路由器是是否有冗余余配置。安全设备，包包括防火墙墙、入侵检检测系统、网网闸、防病病毒、桌面面管理、审审计、加密密机、身份份鉴别等；共约200台。查看看安全设备备的部署情情况。查看看安全设备备的配置策策略；查看看安全的日日志记录；通过漏洞洞扫描系统统对安全进进行扫描。通通过渗透性性测试检安安全配置的的有效性。4.重要服服务器的安安全配置小型机约660台、服服务器约2200台。登录安全检测；用户及口令安全检测；共享资源安全检测；系统服务安全检测；系统安全补丁检测；日志记录审计检测；木马检测。5.核心业业务系统的的安全性对我局核心心业务信息息系

17、统，在在需求分析析和设计阶阶段是否充充分识别安安全需求；是否能确确保系统文文件的安全全；是否能能采取措施施保护应用用系统开发发和维护过过程中的信信息安全。核核查“津税系统统”“非税收收入”“税管员员平台”等重要业业务系统数数据访问控控制情况，敏敏感文档资资料、服务务器、用户户终端、数数据库等数数据加密保保护能力。对对门户网站站进行渗透透性测试；对网上报报税等核心心业务系统统进行渗透透性测试；对网络边边界进行渗渗透性测试试；对内网网进行渗透透性测试。（四）评估估的应用系系统1.应用系系统应用类型财政应用地税应用综合办公应应用应用项目非税系统津税系统公文系统国库集中系系统税收管理员员平台邮件系统部

18、门预算系系统远程电子报报税系统（含含建安网上上开票）财政地税政政务网会计无纸化化考试系统统、天津会计网网、固定资产管管理系统外网发票查查询、十二二万申报、建建安项目预预登记、建建安房产税税控开票、车车船税代征征代缴系统统财税内部信信息网站2.数据库库（1）外网网远程电子子报税系统统数据库（2）津税税系统数据据库（3）津税税系统查询询机（4）税管管员平台数数据库（5）税管管员平台OODS数据据库（6）非税税收入（7）会计计无纸化考考试数据库库（8）国库库集中支（9）部门门预算（10）财财税政务网网、天津会会计网（11）固固定资产管管理3.外部数数据交换（1）津税税系统人行行数据交换换（2）津税税

19、系统残联联数据交换换（3）国税税联合办证证数据交换换（4）国税税国地共享享（5）施管管站数据交交换（6）车船船税数据交交换（7）房管管局契税数数据交换（8）非税税收入MQQ4.操作系系统应用系统和和数据库涉涉及到的主主机操作系系统。5.配电系系统（1）供电电系统（2）UPPS（3）应急急供电系统统6.机房环环境系统（1）市局局机房空调调（2）市局局机房空间间及设备摆摆放（3）市局局机房送回回风空调循循环系统（4）市局局机房防火火系统（5）市局局机房防雷雷系统、防防静电系统统（6）市局局机房空调调上水水质质、管道及及下水路由由（五）质量量控制为保证信息息安全风险险评估项目目质量，要要求在风险险评

20、估过程程中就风险险评估过程程控制、风风险评估过过程监督、风风险评估结结果的验证证等方面严严格相关标标准。四、服务周周期信息安全风风险评估服服务自20010年99月1日20111年8月331日。五、服务资资质要求1 评估机机构应具备备以下资质质（提供证证明材料）：资质类别最高认证级级别ISCCCC信息安全全风险评估估服务资质质认证一级国家信息安安全认证信信息安全服服务资质证证书安全工程类类二级2 对评估估单位的其其他要求 评估单位位近3年内内具有3个个以上金融融行业或政政府、企业业（合同金金额1000万元以上上）同类项项目经验，并并提供相关关案例的合合同复印件件作为证明明资料。 评估单位位应具备以以下资质（提提供证书复复印件）：l 计算机信信息系统集集成资质证证书l 质量管理理体系ISSO 90001认证证证书l 信息安全全管理体系系ISO 270001认证证证书 评估单位需需提供详细细的项目实实施计划，对对供货、安安装、调试试、维护、验验收等各个个环节进行行详细描述述和合理的的时间安排排。评估单位需需提供详细细的项目技技术人员配配备计划，对对项目技术术人员的技技术水平状状况以及所所参加过类类似项目的的实施经验验进行说明明。