- 1、本文档共15页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
仅供个人参考
信息安全风险评估需求方案
一、项目背景
多年来,天津市财政局(地方税务局)在加快信息化建设和
信息系统开发应用的同时, 高度重视信息安全工作, 采取了很多
防范措施,取得了较好的工作效果,但同新形势、新任务的要求
相比,还存在有许多不相适应的地方。 2009 年,国家税务总局
和市政府分别对我局信息系统安全情况进行了抽查, 在充分肯定
成绩的同时, 也指出了我局在信息安全方面存在的问题。 通过抽
查所暴露的这些问题, 给我们敲响了警钟, 也对我局信息安全工
作提出了新的更高的要求。
因此,天津市财政局(地方税务局)在对现有信息安全资源进行整合、整改的同时,按照国家税务总局信息安全管理规定,
结合本单位实际情况确定实施信息安全评估、 安全加固、 应急响应、安全咨询、 安全事件通告、 安全巡检、 安全值守、 安全培训、应急演练服务等工作内容(以下简称“安全风险评估”),形成安全规划、实施、检查、处置 四位一体的长效机制。
二、项目目标
通过开展信息“安全风险评估”, 完善安全管理机制;通过安全服务的引入, 进一步建立健全财税系统安全管理策略, 实现安全风险的可知、 可控和可管理; 通过建立财税系统信息安全风险
不得用于商业用途
仅供个人参考
评估机制, 实现财税系统信息安全风险的动态跟踪分析, 为财税
系统信息安全整体规划提供科学的决策依据, 进一步加强财税内部网络的整体安全防护能力, 全面提升我局信息系统整体安全防范能力,极大提高财税系统网络与信息安全管理水平; 通过深入挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要素,
对现有的信息安全管理制度和技术措施的有效性进行评估, 不断增强系统的网络和信息系统抵御风险安全风险能力, 促进我局安全管理水平的提高, 增强信息安全风险管理意识, 培养信息安全专业人才,为财税系统各项业务提供安全可靠的支撑平台。三、项目需求
(一)服务要求
基本要求“安全风险评估服务”全过程要求有据可依,并在产品使用有
据可查,并保持项目之后的持续改进。 针对用户单位网络中的 IT
设备及应用软件,需要有软件产品识别所有设备及其安全配置,
或以其他方式收集、 保存设备明细及安全配置, 进行资产收集作
为建立信息安全体系的基础。 安全评估的过程及结果要求通过软
件或其他形式进行展示。 对于风险的处理包括: 协助用户制定安
全加固方案、 在工程建设及日常运维中提供安全值守、 咨询及支
持服务,通过安全产品解决已知的安全风险。 在日常安全管理方
不得用于商业用途
仅供个人参考
面提供安全支持服务, 并根据国家及行业标准制定信息安全管理
体系,针对安全管理员提供安全培训, 遇有可能的安全事件发生
时,提供应急的安全分析、紧急响应服务。
安全评估
评估的范围应全面, 涉及到网络信息系统的各个方面, 包括
物理环境、网络结构、应用系统、数据库、服务器及网络安全设
备的安全性、 安全产品和技术的应用状况以及管理体系是否完善
等等;同时对管理风险、 综合安全风险以及应用系统安全性进行
评估;
评估采用专业工具扫描 (漏洞扫描、 数据库扫描采用产品必
须为商业化产品) 、人工评估、渗透测试三种相结合的方式,对
各种操作系统进行评估, 包括:帐户与口令安全、 网络服务安全、
内核参数安全、文件系统安全、日志安全等;从应用系统相关硬
件、软件和数据等方面来审核应用所处环境下存在哪些威胁, 根
据应用系统所存在的威胁, 来确定需要达到哪些系统安全目标才
能保证应用系统能够抵挡预期的安全威胁。 其他评估内容应至少
包括以下几方面:
不得用于商业用途
仅供个人参考
信息探测类 网络设备与防火墙
RPC 服务 Web 服务
CGI 问题 文件服务
域名服务 Mail 服务
Windows 远程访问 数据库问题
SQL 注入 跨站脚本攻击
后门程序 其他服务
网络拒绝服务 (DOS) 其他问题
安全评估服务范围应包括但不只限于协助用户完成
2010 年
度信息安全专项检查工作。
安全加固
每次对用户单位网络信息系统进行全面评估后应立即制定
安全加固方案, 另外如用户单位有紧急需求时可随时安排制定安
全加固方案。安全加固方案应覆盖用户单位 IT 系统中所有服务
器和网络设备,以及不同类别的操作系统、数据库和应用系统。
安全加固方案不能影响用户单位各项业务的正常进行, 如果
加固过程需要暂时中断业务,须设计具体的解决方案。
同时,随着信息技术的发展,当新的漏洞出现时,评估单位
有责任和义务告知用户, 并配合用户判定是否进行相应的加固工
不得用于商业用途
仅供个人参考
作;
紧急响应
当用户单位信息系统出现安全事件后, 用户可立即启动紧急
响应服务, 服务应包括远程紧急响应和现场紧急响应; 紧急响应
均要求 7×24 小时提
文档评论(0)