中海信托信息安全风险评估及整改项目技术资料.doc

目 录 1 概述 35 1.1 项目背景 35 1.2 项目目标 35 1.3 项目内容 36 1.4 项目设计原则 37 1.5 项目范围 38 1.6 文件和法律法规 38 2 天融信对本项目的理解 39 2.1 对项目目标的理解 39 2.2 对项目特点的理解 39 3 项目总体方法与流程 41 3.1 概述 41 3.2 天融信风险评估方法 44 3.3 本项目采用的安全风险评估方法 45 3.4 技术难点和关键突破 48 4 信息资产调查和赋值 50 4.1 信息资产概述 50 4.2 信息资产分类 50 4.3 保护对象框架 56 4.4 资产识别过程 58 4.5 信息资产赋值 59 4.6 赋值工作操作方法指南 64 5 IT设备评估 66 5.1 评估的过程 66 5.2 评估的方法 68 5.3 评估的内容 70 5.4 评估的风险和应对 72 6 网络设备安全风险评估 73 6.1 评估过程描述 74 6.2 评估的方法 77 6.3 评估的内容 78 6.4 评估的风险和应对 81 7 应用系统和管理安全风险评估 81 7.1 评估过程描述 84 7.2 评估方法 46 7.3 评估内容 47 7.4 风险及应对措施 60 8 安全增强与加固 61 8.1 安全加固内容 62 8.2 安全加固流程 64 9 应急响应服务 65 9.1 服务目标： 65 9.2 服务特点： 66 9.3 一般实施流程： 66 9.4 流程说明： 66 10 安全解决方案 68 10.1 解决方案设计概述 68 10.2 安全需求分析 68 10.3 安全解决方案设计 69 11 项目组织结构 71 11.1 现场实施阶段，项目组织结构 71 11.2 项目角色和责任 71 12 项目进度计划 74 12.1 项目主要过程时间安排 74 13 项目启动和准备阶段 75 13.1 概述 75 13.2 参加人员 75 13.3 过程描述 75 13.4 需要中海信托配合的工作 75 13.5 输出 76 14 现场实施阶段 76 14.1 资产调查 76 14.2 安全评估（包括漏洞扫描、人工检查等） 77 14.3 渗透测试 79 14.4 安全加固 80 14.5 应急响应服务 81 15 数据分析及报告阶段 83 15.1 概述 83 15.2 过程描述 83 15.3 需要中海信托配合的工作 84 15.4 输出 84 16 项目收尾阶段 84 16.1 概述 84 16.2 过程描述 85 16.3 需要中海信托配合的工作 85 16.4 输出 85 17 售后服务 85 17.1 安全服务技术支持服务 85 17.2 安全服务跟踪服务 85 17.3 天融信安全服务业务关键能力 86 18 项目管理及沟通办法 87 18.1 天融信工程项目管理方法 87 18.2 天融信项目管理遵循的标准 88 18.3 项目沟通办法 88 19 项目风险管理及保密控制 92 19.1 项目风险分析及规避措施 92 19.2 项目的保密控制 94 20 天融信信息安全服务业务介绍 95 20.1 安全服务组织结构图 95 20.2 安全服务业务范围 96 21 项目实施质量保证 98 21.1 项目执行人员的质量职责 98 21.2 天融信安全服务质量保证体系严格贯彻以下过程 98 22 项目验收方式 101 22.1 验收方法确认 102 22.2 验收程序 103 22.3 版本控制 105 22.4 交付件归档办法 106 23 项目分项报价表 107 概述 项目背景 近年来，随着信息化技术越来越深入和广泛的应用，信息安全的风险日益加大，国家和各行业主管机构都对防范信息安全风险非常重视。国家信息化领导小组颁发的《信息安全等级化保障体系》系列标准文件对我国信息安全保障工作做出原则性战略性的规定，要求坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，经过五年左右的努力，基本形成国家信息安全保障体系。2006年起，银监会发布了《商业银行内部控制指引》，并进一步发出了关于信托投资公司加强内部控制和风险控制的要求。2008年7月，国家财政部和证监会、银监会、保监会等联合发布了《企业内部控制基本规范》，对企业的内部控制提出了较为具体的要求。 为进一步保障银联网络的边界安全，降低信息安全风险，中海信托投资有限公司拟于2009年在业界知名互联网安全服务公司的协助下，对中海信托中海信托中海信托中海信托中海信托中海信托中海中海信托所有中海信托中海信托中海信托 标准性原则：服务方案的设计与实施应依据国内或国际的相关标准进行； 规范性原则：服务工作中的过程和文档，具有很好的规范性，可以便于项目的