信息安全風險評價需求方案-精品文檔資料

1、信息安全風險評估需求方案一、項目背景多年來，天津市 XX 局（地方 XX 局）在加快信息化建設和 信息系統(tǒng)開發(fā)應用的同時， 高度重視信息安全工作， 采取了很多 防范措施，取得了較好的工作效果，但同新形勢、新任務的要求 相比，還存在有許多不相適應的地方。 2009 年，國家稅務總局 和市政府分別對我局信息系統(tǒng)安全情況進行了抽查， 在充分肯定 成績的同時， 也指出了我局在信息安全方面存在的問題。 通過抽 查所暴露的這些問題， 給我們敲響了警鐘， 也對我局信息安全工 作提出了新的更高的要求。因此，天津市 XX 局（地方 XX 局）在對現(xiàn)有信息安全資源 進行整合、整改的同時，按照國家稅務總局信息安全管

2、理規(guī)定， 結合本單位實際情況確定實施信息安全評估、 安全加固、 應急響 應、安全咨詢、 安全事件通告、 安全巡檢、 安全值守、 安全培訓、 應急演練服務等工作內容（以下簡稱“安全風險評估”），形成安 全規(guī)劃、實施、檢查、處置 四位一體的長效機制。二、項目目標通過開展信息“安全風險評估”, 完善安全管理機制；通過安 全服務的引入， 進一步建立健全財稅系統(tǒng)安全管理策略， 實現(xiàn)安 全風險的可知、 可控和可管理； 通過建立財稅系統(tǒng)信息安全風險 評估機制， 實現(xiàn)財稅系統(tǒng)信息安全風險的動態(tài)跟蹤分析， 為財稅 系統(tǒng)信息安全整體規(guī)劃提供科學的決策依據(jù)， 進一步加強財稅內 部網(wǎng)絡的整體安全防護能力， 全面提升我

3、局信息系統(tǒng)整體安全防 范能力， 極大提高財稅系統(tǒng)網(wǎng)絡與信息安全管理水平； 通過深入 挖掘網(wǎng)絡與信息系統(tǒng)存在的脆弱點，并以業(yè)務系統(tǒng)為關鍵要素， 對現(xiàn)有的信息安全管理制度和技術措施的有效性進行評估， 不斷 增強系統(tǒng)的網(wǎng)絡和信息系統(tǒng)抵御風險安全風險能力， 促進我局安 全管理水平的提高， 增強信息安全風險管理意識， 培養(yǎng)信息安全 專業(yè)人才，為財稅系統(tǒng)各項業(yè)務提供安全可靠的支撐平臺。三、項目需求（一）服務要求1 基本要求 “安全風險評估服務”全過程要求有據(jù)可依，并在產品使用有 據(jù)可查， 并保持項目之后的持續(xù)改進。 針對用戶單位網(wǎng)絡中的 IT 設備及應用軟件，需要有軟件產品識別所有設備及其安全配置， 或以

4、其他方式收集、 保存設備明細及安全配置， 進行資產收集作 為建立信息安全體系的基礎。 安全評估的過程及結果要求通過軟 件或其他形式進行展示。 對于風險的處理包括： 協(xié)助用戶制定安 全加固方案、 在工程建設及日常運維中提供安全值守、 咨詢及支 持服務， 通過安全產品解決已知的安全風險。 在日常安全管理方 面提供安全支持服務， 并根據(jù)國家及行業(yè)標準制定信息安全管理 體系，針對安全管理員提供安全培訓， 遇有可能的安全事件發(fā)生 時，提供應急的安全分析、緊急響應服務。2 安全評估評估的范圍應全面， 涉及到網(wǎng)絡信息系統(tǒng)的各個方面， 包括 物理環(huán)境、網(wǎng)絡結構、應用系統(tǒng)、數(shù)據(jù)庫、服務器及網(wǎng)絡安全設 備的安全性

5、、 安全產品和技術的應用狀況以及管理體系是否完善 等等；同時對管理風險、 綜合安全風險以及應用系統(tǒng)安全性進行 評估；評估采用專業(yè)工具掃描 （漏洞掃描、 數(shù)據(jù)庫掃描采用產品必 須為商業(yè)化產品） 、人工評估、滲透測試三種相結合的方式，對 各種操作系統(tǒng)進行評估， 包括：帳戶與口令安全、 網(wǎng)絡服務安全、 內核參數(shù)安全、文件系統(tǒng)安全、日志安全等；從應用系統(tǒng)相關硬 件、軟件和數(shù)據(jù)等方面來審核應用所處環(huán)境下存在哪些威脅， 根 據(jù)應用系統(tǒng)所存在的威脅， 來確定需要達到哪些系統(tǒng)安全目標才 能保證應用系統(tǒng)能夠抵擋預期的安全威脅。 其他評估內容應至少 包括以下幾方面：信息探測類網(wǎng)絡設備與防火墻RPC服務Web服務C

6、GI問題文件服務域名服務Mail服務Windows遠程訪問數(shù)據(jù)庫問題SQL注入跨站腳本攻擊后門程序其他服務網(wǎng)絡拒絕服務(DOS)其他問題安全評估服務范圍應包括但不只限于協(xié)助用戶完成2019年度信息安全專項檢查工作。3安全加固每次對用戶單位網(wǎng)絡信息系統(tǒng)進行全面評估后應立即制定安全加固方案，另外如用戶單位有緊急需求時可隨時安排制定安 全加固方案。安全加固方案應覆蓋用戶單位IT系統(tǒng)中所有服務器和網(wǎng)絡設備，以及不同類別的操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)。安全加固方案不能影響用戶單位各項業(yè)務的正常進行，如果加固過程需要暫時中斷業(yè)務，須設計具體的解決方案。同時，隨著信息技術的發(fā)展，當新的漏洞出現(xiàn)時，評估單位有責

7、任和義務告知用戶，并配合用戶判定是否進行相應的加固工 作;4 緊急響應當用戶單位信息系統(tǒng)出現(xiàn)安全事件后， 用戶可立即啟動緊急 響應服務， 服務應包括遠程緊急響應和現(xiàn)場緊急響應； 緊急響應 均要求7 >24小時提供。緊急響應要求在響應請求發(fā)出 2 小時內由工程師到達事故 現(xiàn)場，協(xié)助用戶進行處理；響應服務完成后評估單位需整理詳細的事故處理報告， 內容至少包括事故原因分析、已造成的影響、處理辦法、處理結果、 預防和改進建議；5 安全咨詢評估單位應根據(jù) ISO17799 等多個標準的相關要求對安全 策略、安全制度、安全流程進行審計，提供改進建議，建立信息 安全的“統(tǒng)一”策略管理機制，并對用戶單位

8、信息安全體系建設規(guī) 劃、信息安全管理體系、信息安全管理制度建設、安全域劃分等 相關內容提出符合國家及行業(yè)標準的合理化建議， 并制定完整的 解決方案。對于新建信息化項目應從業(yè)務需求分析、 系統(tǒng)設計、 部署實 施、測試驗收等全周期提供技術咨詢支持。6 安全事件通告評估單位應具備專門的安全研究人員以跟蹤最新安全技術發(fā) 展、收集業(yè)界發(fā)布的最新安全信息及時通告用戶單位最新的安全 動態(tài)、安全技術的發(fā)展趨勢， 以及時效性很強的漏洞、 攻擊手法、 病毒碼的預先通知；評估單位至少每月提供一次匯總的安全通告信息， 當廠商或 安全組織發(fā)布緊急安全通告后評估單位應在三天之內提供給人 保相關通告信息；及時提供最新的設備

9、補丁， 隨時根據(jù)用戶需求， 提供相應安 全漏洞與響應的安全系統(tǒng)升級代碼； 及時向招標人提供國家頒發(fā) 的最新安全制度與法規(guī)。7 安全巡檢包括不限于以人工方式檢查主機系統(tǒng)和網(wǎng)絡設備的日志信 息、安全配置以及審計信息等，提出安全策略建議；如發(fā)現(xiàn)異常 現(xiàn)象或安全問題，及時向用戶單位反饋，并提供后續(xù)技術支持， 配合問題的查處和解決。 要求每月對安全防護產品進行一次巡檢 服務，并生成巡檢報告；每季度對所有主機、數(shù)據(jù)庫、網(wǎng)絡、安 全產品進行一次全面巡檢，并生成巡檢報告。8 安全值守服務要求評估單位在重大節(jié)假日及特殊時期安排技術人員提供 安全值守服務（包含在用戶單位值守及遠程值守） 。9 安全培訓服務要求每年

10、安排兩次信息安全管理及技術培訓 （培訓只負責提 供師資及培訓教材，培訓教材可為電子版） ，同時，要求提供四 人次專業(yè)技術認證培訓（含食宿） 。10 應急演練服務要求配合用戶制定信息系統(tǒng)風險應急響應方案， 并每年至少 安排一次信息系統(tǒng)風險應急演練。（二）服務原則 為保障安全風險評估工作的有序進行，特提出以下原則：1. 保密性原則要求評估單位與用戶簽訂保密協(xié)議， 在進行信息安全風險評 估的過程中， 嚴格遵循保密原則， 評估過程中采取嚴格的管理措 施，確保所涉及到的任何用戶保密信息， 不會泄露給第三方單位 或個人，不得利用這些信息損害用戶利益。2. 最小影響原則要求從項目管理和技術應用的層面， 在風

11、險評估工作實施過 程對我局現(xiàn)有信息系統(tǒng)和網(wǎng)絡的正常運行所可能的影響降到最 低程度；要求制定風險評估過程中的風險規(guī)避方案及應急措施。3. 規(guī)范性原則要求評估機構在充分總結多年開展信息系統(tǒng)安全風險評估 實踐經(jīng)驗的基礎上， 確定規(guī)范的方案； 在此次信息安全風險評估 任務執(zhí)行過程中， 通過規(guī)范的項目管理， 在人員、項目實施環(huán)節(jié)、 質量保障和時間進度等方面進行嚴格管控。4. 標準化原則風險評估工作要求嚴格遵守國家和行業(yè)的相關法規(guī)、標準， 并參考國際的標準來實施。5. 完整性原則完整性原則包含以下兩個層次的內容： 評估內容的完整性要求在風險評估工作中， 要綜合考慮 所評估信息系統(tǒng)的技術措施、人員、業(yè)務及運

12、行維護等方面，含 蓋信息安全風險評估合同要求。評估流程的完整性要求信息安全評估過程應遵循科學 性、規(guī)范性、嚴謹性原則。6. 互動性原則在進行信息安全風險評估過程中， 要求必須有用戶單位人員 參與，雙方共同組成項目實施部門，進行項目實施，從而保證項 目執(zhí)行的效果并提高受我局的整體安全技能和安全意識。（三）評估內容1. 信息系統(tǒng)安全管理狀況檢查評估各種安全制度的建立情況，包括：對終端計算機訪問互 聯(lián)網(wǎng)的相關制度； 對終端計算機接入內網(wǎng)的相關制度； 使用移動 存儲介質的制度；系統(tǒng)的業(yè)務應用人員、系統(tǒng)的開發(fā)、維護、管 理人員、系統(tǒng)開發(fā)、維護人員相關安全管理制度等。2. 網(wǎng)絡架構、網(wǎng)絡安全設備評估范圍包

13、括：業(yè)務辦公內網(wǎng)、業(yè)務外網(wǎng)、辦公外網(wǎng)、外部 單位聯(lián)網(wǎng)等； 分析網(wǎng)絡拓撲結構是否清晰劃分網(wǎng)絡邊界； 評估網(wǎng) 絡的安全區(qū)域劃分以及訪問控制措施。3. 對資產自身存在的脆弱性進行收集和整理物理環(huán)境， 包括 UPS 、變電設備、空調、門禁等。交換機，包括核心交換機 20 臺，接入交換機 20 臺。檢查 安全漏洞和補丁的升級情況， 各 VLAN 間的訪問控制策略； 口令 設置和管理，口令文件的安全存儲形式；配置文件的備份。路由器，包括核心路由器 5 臺，接入路由器 10 臺。檢查操 作系統(tǒng)是否存在安全漏洞；配置方面，檢測端口開放、管理員口 令設置與管理、口令文件安全存儲形式、訪問控制表；是否能對 配置文

14、件進行備份和導出；關鍵位置路由器是否有冗余配置。安全設備，包括防火墻、入侵檢測系統(tǒng)、網(wǎng)閘、防病毒、桌 面管理、審計、加密機、身份鑒別等；共約 20 臺。查看安全設 備的部署情況。 查看安全設備的配置策略； 查看安全的日志記錄； 通過漏洞掃描系統(tǒng)對安全進行掃描。 通過滲透性測試檢安全配置 的有效性。4. 重要服務器的安全配置小型機約60臺、服務器約200臺。登錄安全檢測；用戶及口令安全檢測；共享資源安全檢測；系統(tǒng)服務安全檢測；系統(tǒng)安 全補丁檢測；日志記錄審計檢測；木馬檢測。5. 核心業(yè)務系統(tǒng)的安全性對我局核心業(yè)務信息系統(tǒng)，在需求分析和設計階段是否充分識別安全需求；是否能確保系統(tǒng)文件的安全； 是否

15、能采取措施保 護應用系統(tǒng)開發(fā)和維護過程中的信息安全。核查“津稅系統(tǒng)” “非稅收入”“稅管員平臺”等重要業(yè)務系統(tǒng)數(shù)據(jù)訪問控制情況，敏感文檔 資料、服務器、用戶終端、數(shù)據(jù)庫等數(shù)據(jù)加密保護能力。對門戶 網(wǎng)站進行滲透性測試；對網(wǎng)上報稅等核心業(yè)務系統(tǒng)進行滲透性測 試；對網(wǎng)絡邊界進行滲透性測試；對內網(wǎng)進行滲透性測試。（四）評估的應用系統(tǒng)1.應用系統(tǒng)應用類型財政應用地稅應用綜合辦公應用應 用 項 目非稅系統(tǒng)津稅系統(tǒng)公文系統(tǒng)國庫集中系統(tǒng)稅收管理員平臺郵件系統(tǒng)部門預算系統(tǒng)遠程電子報稅系統(tǒng)（含建安網(wǎng)上開票）財政地稅政務網(wǎng)會計無紙化外網(wǎng)發(fā)票查詢、十財稅內部信息考試系統(tǒng)、二萬申報、建安項網(wǎng)站天津會計目預登記、建安房網(wǎng)

16、、產稅控開票、車船固定資產管稅代征代繳系統(tǒng)理系統(tǒng)2. 數(shù)據(jù)庫(1 )外網(wǎng)遠程電子報稅系統(tǒng)數(shù)據(jù)庫(2 )津稅系統(tǒng)數(shù)據(jù)庫(3 )津稅系統(tǒng)查詢機(4) 稅管員平臺數(shù)據(jù)庫(5) 稅管員平臺ODS數(shù)據(jù)庫(6 )非稅收入(7 )會計無紙化考試數(shù)據(jù)庫(8)國庫集中支(9 )部門預算(10) 財稅政務網(wǎng)、天津會計網(wǎng)(11) 固定資產管理3. 外部數(shù)據(jù)交換(1 )津稅系統(tǒng)人行數(shù)據(jù)交換(2 )津稅系統(tǒng)殘聯(lián)數(shù)據(jù)交換(3 )國稅聯(lián)合辦證數(shù)據(jù)交換(4) 國稅國地共享（5）施管站數(shù)據(jù)交換（6）車船稅數(shù)據(jù)交換（7）房管局契稅數(shù)據(jù)交換（8）非稅收入 MQ4. 操作系統(tǒng)應用系統(tǒng)和數(shù)據(jù)庫涉及到的主機操作系統(tǒng)。5. 配電系統(tǒng)（1）供電系統(tǒng)（2）UPS（3）應急供電系統(tǒng)6. 機房環(huán)境系統(tǒng)（1）市局機房空調（2）市局機房空間及設備擺放（3）市局機房送回風空調循環(huán)系統(tǒng)（4）市局機房防火系統(tǒng)（5）市局機房防雷系統(tǒng)、防靜電系統(tǒng)（6）市局機房空調上水水質、管道及下水路由（五）質量控制為保證信息安全風險評估項目質量， 要求在風險評估過程中 就風險評估過程控制、 風險評估過程監(jiān)督、 風險評估結果的驗證 等方面嚴格相關標準。四、服務周期信息安全風險評估服務自2010年9月1日一2011年8月31日 五、服務資質要求1評估機構應具備以下資質（提供證明材料）：資質類別最咼認