系统信息安全风险评估服务方案.docVIP

PAGE \* Arabic 1 / NUMPAGES \* Arabic 46 X单位X系统 X单位X系统 信息安全风险评估服务方案 X单位X系统信息安全评估方案 目录 TOC \o 1-3 \h \z \u 1. 概述 1 1.1. 项目简介 1 1.2. 项目目标 1 1.3. 项目范围 2 2. 测评依据 2 3. 测评对象 3 4. 测评方法及流程 5 4.1. 测评方法 5 4.2. 测评流程 6 5. 测评内容 8 5.1. 单元测评 8 5.2. 整体测评 8 5.2.1. 安全控制间安全测评 8 5.2.2. 层面间安全测评 9 5.2.3. 区域间安全测评 9 5.2.4. 系统结构安全测评 10 6. 测评安排 10 6.1. 测评人员组成 10 6.2. 测评过程安排 12 6.3. 测评进度安排 13 6.4. 配合事项 14 6.5. 项目风险规避措施 14 7. 项目预算 17 概述 项目简介 近年来，信息安全形势日益严峻。一是来自境内外敌对势力的入侵、攻击、破坏越来越严重。二是针对基础信息网络和重要信息系统的违法犯罪持续上升。不法分子利用一些安全漏洞，使用病毒、木马、网络钓鱼等技术进行网络盗窃、诈骗、黑客攻击等违法犯罪活动，利用木马和“僵尸网络”实施分布式拒绝服务攻击的威胁加剧，防范难度越来越大。 X单位针对严峻的信息安全形势，认真贯彻落实网络安全法、网络安全等级保护相关政策法规，，参照等级保护的国家标准《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007），拟对X系统开展信息安全风险评估规范，掌握X系统安全防护与保障体系的现状，出具《X系统信息安全风险评估》，为进一步有效、合理地完善X系统的信息安全建设提供重要数据分析和判断依据。 项目目标 X单位X系统信息安全风险评估的目的，是全面评估X系统的网络安全现状，分析系统安全状况，为系统的安全整改建设提供依据。通过测评促，进安全整改与安全建设，保证信息安全技术体系的强壮性和有效性；加强信息安全建设、提升人员安全意识，为信息系统安全奠定良好基础。 项目范围 本次项目，主要进行X单位X系统的信息安全风险评估服务。 信息安全风险评估服务依据标准 在国家标准《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）中了规范了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。 在国家标准《信息安全技术 信息安全风险评估实施指南》（GB/T 31509-2015）中规定了信息安全风险评估实施的过程和方法。 在国家标准《电力信息系统安全检查规范》（GB/T 36047-2018）风险评估部分中明确规定需要对电力企业信息系统是否按要求开展信息安全风险评估并完成信息安全隐患整改进行检查。 在《电力行业网络与信息安全管理办法》（国能安全〔2014〕317）中规定，电力企业应当按照国家有关规定开展信息安全风险评估工作，建立健全信息安全风险评估的自评估和检查评估制度，完善信息安全风险管理机制。 信息安全风险评估服务方法 人员访谈 检查人员通过与信息系统有关人员(个人或群体)进行交流、讨论等活动,获取证据以证明信息系统安全防护措施是否有效的一种方法。 文档查阅 检查人员通过对被检査方支撑信息系统安全建设与运维的安全管理制度、记录等文档的核查,获取证据以证明信息系统安全的防护要求是否全面,防护规定是否得到执行。 配置核査 检査人员通过对被检查对象的配置进行查验,获取证据以证明信息系统安全防抑施是否有效的一种方法。 安全测试 检査人员使用预定的方法、工具使被检査对象产生特定的行为,通过查阅、分析这些行为的结果,获取证据以证明信息系统安全防护措施是否有效的一种方法。在检查中也可不重新实施安全测试而利用已有的安全测试结果。 信息安全风险评估服务工具 序号 工具名称 主要作用 1 洞鉴（X-Ray）安全评估系统 Web应用/主机漏洞扫描、资产信息探测、漏洞生命周期管理。 2 绿盟远程安全评估系统(RSAS) 操作系统、网络设备（如交换机、路由器、防火墙等）、中间件以及数据库的查安全配置核查，漏洞扫描。 4 威胁情报分析系统（TDP） 网络流量监测，恶意代码检测，风险发现、分析，僵木蠕及重要信息明文传输、服务器口令明文传输、邮件不安全传输等泄密隐患检测。 5 InScan内网横向渗透工具 多层网络穿越、ipv6扫描、快速资产识别、站点截图、网站目录扫描、系统漏洞扫描。 6 Wireshark 网络封包分析软件。 7 Nmap