中海信托信息安全风险评估及整改综合项目关键技术专项方案.doc

目 录 TOC \o 1-2 \h \z \u 1 概述 35 1.1 项目背景 35 1.2 项目目标 35 1.3 项目内容 36 1.4 项目设计标准 37 1.5 项目范围 38 1.6 文件和法律法规 38 2 天融信对本项目标了解 39 2.1 对项目目标了解 39 2.2 对项目特点了解 39 3 项目总体方法和步骤 41 3.1 概述 41 3.2 天融信风险评定方法 44 3.3 本项目采取安全风险评定方法 45 3.4 技术难点和关键突破 48 4 信息资产调查和赋值 50 4.1 信息资产概述 50 4.2 信息资产分类 50 4.3 保护对象框架 56 4.4 资产识别过程 58 4.5 信息资产赋值 59 4.6 赋值工作操作方法指南 64 5 IT设备评定 66 5.1 评定过程 66 5.2 评定方法 68 5.3 评定内容 70 5.4 评定风险和应对 72 6 网络设备安全风险评定 73 6.1 评定过程描述 74 6.2 评定方法 77 6.3 评定内容 78 6.4 评定风险和应对 81 7 应用系统和管理安全风险评定 81 7.1 评定过程描述 84 7.2 评定方法 46 7.3 评定内容 47 7.4 风险及应对方法 60 8 安全增强和加固 61 8.1 安全加固内容 62 8.2 安全加固步骤 64 9 应急响应服务 65 9.1 服务目标： 65 9.2 服务特点： 66 9.3 通常实施步骤： 66 9.4 步骤说明： 66 10 安全处理方案 68 10.1 处理方案设计概述 68 10.2 安全需求分析 68 10.3 安全处理方案设计 69 11 项目组织结构 71 11.1 现场实施阶段，项目组织结构 71 11.2 项目角色和责任 71 12 项目进度计划 74 12.1 项目关键过程时间安排 74 13 项目开启和准备阶段 75 13.1 概述 75 13.2 参与人员 75 13.3 过程描述 75 13.4 需要中海信托配合工作 75 13.5 输出 76 14 现场实施阶段 76 14.1 资产调查 76 14.2 安全评定（包含漏洞扫描、人工检验等） 77 14.3 渗透测试 79 14.4 安全加固 80 14.5 应急响应服务 81 15 数据分析及汇报阶段 83 15.1 概述 83 15.2 过程描述 83 15.3 需要中海信托配合工作 84 15.4 输出 84 16 项目收尾阶段 84 16.1 概述 84 16.2 过程描述 85 16.3 需要中海信托配合工作 85 16.4 输出 85 17 售后服务 85 17.1 安全服务技术支持服务 85 17.2 安全服务跟踪服务 85 17.3 天融信安全服务业务关键能力 86 18 项目管理及沟通措施 87 18.1 天融信工程项目管理方法 87 18.2 天融信项目管理遵照标准 88 18.3 项目沟通措施 88 19 项目风险管理及保密控制 92 19.1 项目风险分析及规避方法 92 19.2 项目标保密控制 94 20 天融信信息安全服务业务介绍 95 20.1 安全服务组织结构图 95 20.2 安全服务业务范围 96 21 项目实施质量确保 98 21.1 项目实施人员质量职责 98 21.2 天融信安全服务质量确保体系严格落实以下过程 98 22 项目验收方法 101 22.1 验收方法确定 102 22.2 验收程序 103 22.3 版本控制 105 22.4 交付件归档措施 106 23 项目分项报价表 107 概述 项目背景 多年来，伴随信息化技术越来越深入和广泛应用，信息安全风险日益加大，国家和各行业主管机构全部对防范信息安全风险很重视。国家信息化领导小组颁发《信息安全等级化保障体系》系列标准文件对中国信息安全保障工作做出标准性战略性要求，要求坚持主动防御、综合防范方针，全方面提升信息安全防护能力，关键保障基础信息网络和关键信息系统安全，经过五年左右努力，基础形成国家信息安全保