整体安全服务项目书.docVIP

整体安全服务 项目书 目录 1. 公司介绍 4 1.1. 上海AAAAA股份有限公司 5 1.2. BBBBBB公司 5 2. 信息安全风险及银行业面临的挑战 7 2.1. 信息安全的现状 7 2.2. 国内企业信息安全方面的问题 8 2.3. 银行和金融服务机构的安全挑战 8 2.4. 安全服务项目所涉及的任务 9 3. XXXX上海分行整体安全服务介绍 11 4. 第一阶段：风险评估 12 4.1. 第一步：边界审核和远程测试（黑箱测试） 13 4.1.1. 方法论 13 4.1.2. 信息收集 13 4.1.3. 网络结构分析 14 4.1.4. 情景分析 14 4.1.5. 模拟攻击 14 4.2. 第二步：系统分析、改善建议和应用测试（白箱测试） 21 4.2.1. 方法论 21 5. 第二阶段：解决方案 23 6. 保密原则 24 6.1. 文档管理 24 6.1.1. 客户数据文档处理策略 24 6.1.2. 用户报告处理原则 24 6.2. 客户参考内容 24 6.2.1. 交叉参考 24 7. 项目团队介绍 26 7.1. 项目团队架构 26 7.2. 项目人员情况表 28 8. 项目合作形式及合作内容 29 9. 项目时间表、工作量和项目费用 30 9.1. 项目时间表 30 9.2. 工作量估计 30 9.3. 项目费用 30 10. 成功案例 32 11. 附件 33 11.1. Sample Policy Extract - Enterprise-wide Policy 33 11.2. Sample of Report 40 11.2.1. Examples of Vulnerability Tables provided in the Penetration Test Report 40 11.2.2. Architecture Review Report 43 11.3. 测试工具 44 11.4. 部分用户和合作伙伴的反馈意见 45 信息安全风险及银行业面临的挑战 信息安全的现状 信息安全是涉及计算机、网络技术、通信技术、密码技术、企业管理和社会工程的综合科学。旨在保护信息和相关应用系统的保密性、完整性和可用性。随着新技术的发展和普及，企业的业务活动越来越多地依赖更加复杂的计算机设备和通讯手段来完成，安全风险随之增加。无论是包括银行、保险、电信等行业在内的敏感企业，还是普通的制造和商业企业，都已经认识到了信息安全的重要性。 尽管如此，信息安全方面的专业调查仍然向我们展示了一些令人震惊的结果： 60%的企业机构可能受到拒绝服务类攻击。 80%的用户不知道自己的网络系统究竟提供了哪些服务，其中哪些可以从外部通过 Internet 访问。 80%的企业不具备完备的安全政策。 70%配备了防火墙的站点依然无法防范已知的攻击手段。 上述现象的存在，主要由于企业的安全管理意识不强，安全管理手段欠佳造成的。大部企业虽然在安全方面有所认识，并采取了相应的安全手段，却不能很好地将安全问题提高到企业的业务战略的高度加以考虑。因此，在安全项目的实施中，常常会因为缺乏对安全工作的重视或认为安全工作必须服务于业务系统而进行妥协，在应用系统中埋下案例隐患。 另外，企业在实施安全项目时，经常将安全工作简单地理解为采购大量软硬件设备，严格控制用户访问的过程，这显然不是正确的安全观点。实践证明，信息安全的重点是管理，而非技术。企业必须认真地分析自身的业务需求，并据此制定相应的安全战略；在它的指导下，建立和健全安全管理体系，规范业务活动和操作流程，提高安全防范意识，实施技术保障手段和应急措施，最终有效地保证企业的信息安全，降低运营风险。 国内企业信息安全方面的问题 国内企业在信息安全方面必须解决的问题包括： 缺乏完善的信息安全法规和特定行业的安全标准，使企业在实施信息安全项目时存在较大的盲目性。 国内市场上的安全技术、安全产品和安全服务严重滞后，无法满足企业的信息安全要求，也不能帮助国内企业应对国外最新发现的安全风险。 安全厂商、服务商和企业用户对信息安全的风险、防范手段和安全技术缺乏系统研究，无法针对企业的需求，形成全面的信息安全战略。 企业信息安全项目的实施没有列入企业的战略高度，不能与企业的业务目标很好地统一。 企业用户普遍缺乏针对信息安全问题的紧急响应能力，无法及时发现隐患，阻止攻击、滥用等安全问题的出现。 银行和金融服务机构的安全挑战 信息是银行和金融服务机构最重要的财富。如何保障信息资产的完整性、保密性和可用性，并允许用户以适当的方式对其进行便利的访问，已经成为一个日益突出的商业问题。 在传统应用向Internet 应用发展的进程中，银行和金融企业面临的内外部风险不断增加，形成包括拒绝服务、数据修改、计算机欺诈、