攀钢财务系统技术附件.doc

PAGE PAGE 4 西城区信息中心网络和信息系统安全监测项目需求 概述 项目背景 北京市西城区政府电子政务网络(以下简称：西城区电子政务网络，分为物理隔离的两个网络：西城区互联网接入网和西城区政务外网)通过多年的发展，网络规模不断扩大，应用逐步增加，面临的安全威胁和风险也不断增大。 如何保证西城区电子政务网络系统正常运行和网络安全已成为迫切需要关注的问题。目前急需提高西城区电子政务网络的信息安全保障水平，为了更好地了解西城区电子政务网络的安全性，切实提高信息安全防护水平，西城区信息中心将对其电子政务网络与系统进行渗透测试 ，以了解目前西城区电子政务网络与系统的健壮性与抗攻击性，从而进一步完善西城区电子政务网络与系统的安全性与可靠性，更好地为北京市西城区政府及所属各单位提供信息服务和安全保障。 项目总体目标 本次渗透测试的范围为西城区电子政务网络与应用系统。 本次渗透测试的主要目的在于检测当前电子政务网络与系统，在已使用一定的安全设备及防护措施情况下，西城区电子政务网络系统的真实防护能力，增强对系统入侵的防护及检测能力及攻击发生时的处理能力，全面保障西城区电子政务网络的正常运行、提升西城区电子政务网络的整体防御能力，更好地为公众提供有效的服务，其具体目标为：准确、全面掌握西城区电子政务网络的安全现状及存在的风险、威胁。准确、详细的指出当前安全设备的使用情况、配置情况。针对当前安全状况，提出加固安全设备、优化设备配置、培训等建设方案。 保障西城区电子政务网络的稳定运行； 保障西城区电子政务网站、部门自建网站和重要的信息系统的安全运行； 提升西城区电子政务网络的整体防御能力，更好地为公众提供服务。 在安全保障重点时期，保障西城区电子政务网络的安全。 项目总体原则 把握重点，分清主次 在项目实施过程中必须坚持把握重点、分清主次的原则。评估的重点内容是：西城区的区级办公应用系统安全渗透测试、西城区电子政务网站和部门自建网站渗透测试。在制定实施方案与实施过程中对于上述重点内容要进行重点的安全风险评估分析，对于其他部分内容进行基本的安全风险评估分析。 结合实际，注重实效 在项目实施过程中必须坚持结合实际，注重实效的原则。在方案的编制、评估的实施、安全整改与加固等各个环节，都应立足于西城区电子政务网络信息化工作现状，调查、研究、分析西城区电子政务网络系统的建设、管理、运行中面临的实际威胁，存在的实际问题，在此基础上提出有针对性的整改与加固方案，指导并协助西城区信息中心对整改与加固方案进行实施，切实提高西城区电子政务网络与信息系统的健壮性与安全性，切实提高西城区电子政务网络与信息系统的整体安全水平、管理水平与运维水平。 项目总体要求 实施方在实施方案的制定及项目的实施过程中，要把握项目的总体目标，遵循项目的总体原则。合理分配资源，科学安排进度，充分调动参与各方的积极性，使项目开展得有序高效。 项目组织保障 在西城区信息中心领导小组的领导下，成立西城区电子政务网络与系统渗透测试项目组，负责本次项目的具体实施工作。 服务对象、内容 服务对象 对本次西城区电子政务网络与系统渗透测试的工作范围界定如下。 互联网接入网 西城区政府机关大院互联网接入网的网络设备、安全设备与信息中心机房内各应用服务器（如网站、OA外网服务器等）。 区政务外网 西城区政务外网网络设备、安全设备与信息中心机房内应用服务器等（如OA内网服务器等）。 部门自建网站和重要应用系统 对西城区部门自建网站和重要业务应用系统。 服务内容 服务的内容主要包括：网络和信息系统渗透测试安全性分析、网络架构合理性分析、设备配置合理性检查、安全整改与加固、应急响应、人员培训等。要求上述内容（除应急响应、人员培训外）每年应提供至少两次服务。 以上各部分内容评估完成后都要形成阶段性评估成果报告提交西城区信息中心，阶段性评估成果报告需获得西城区信息中心与评估方的共同认可。 渗透测试安全性分析 在保证网络与系统安全运行的前提下模拟渗透攻击者对系统进行渗透测试，对西城区互联网接入网系统的渗透测试安全性分析应从口令猜解、网站探测、已知漏洞攻击、参数操控、跨站脚本、指令注入、应用层DOS、HTTP方法利用、异常处理、审核及日志记录等10种以上方式进行安全分析，并对分析方法进行详细描述，并形成分项报告（包括对现状的分析、对策、建议或者方案等）： 关键应用系统与服务器的渗透测试(如OA外网应用服务器、反垃圾邮件服务器等)； 关键应用系统（如数据库系统等）的工作状态、资源利用情况、服务器的工作状态、资源利用情况以及稳定性和安全状况分析。 遭遇攻击时的可靠性分析； 系统边界的安全防护及访问控制措施强度分析； 网络监控和入侵检测的有效性分析； 网络应用现状分析以及线路冗余性分析； 网络架构合理性分析