1、_某单位 信息安全风险评估投标书技术部分_北京启明星辰信息安全技术有限公司注释:本文档所包含的信息在未事先得到北京启明星辰信息技术股份有限公司书面同意之前,本文档全部或部分内容不得用于其他任何用途或交与第三方。目 录第 1 章项目概述 .51.1. 项目背景 .51.2. 项目目标 .51.3. 项目范围 .61.4. 项目内容 .6第 2 章 项目需求理解 .7第 3 章 项目方案设计 .73.1. 设计目标 .73.2. 设计原则 .83.3. 设计依据 .83.3.1. 政策依据 .83.3.2. 标准依据 .93.4. 方法模型 .103.4.1. 风险关系模型 .103.4.2. 风
2、险分析方法模型 .113.5. 工具方法 .123.5.1. 风险评估采用方法 .123.5.2. 风险评估使用工具 .13第 4 章 风险评估实施流程 .144.1. 阶段 1:项目启动阶段 .144.1.1. 阶段目标 .144.1.2. 阶段步骤 .154.1.3. 阶段输出 .154.2. 阶段 2:资产评估阶段 .164.2.1. 阶段目标 .1624.2.2. 阶段步骤 .164.2.3. 阶段方法 .164.2.4. 阶段输出 .174.3. 阶段 3:威胁评估 .174.3.1. 阶段目标 .174.3.2. 阶段步骤 .174.3.3. 阶段方法 .184.3.4. 阶段输出
3、 .194.4. 阶段 4:脆弱性评估 .194.4.1. 阶段目标 .194.4.2. 实施步骤 .194.4.3. 已有安全措施识别 .384.4.4. 阶段输出 .394.5. 阶段 5:风险综合分析 .394.5.1. 阶段目标 .394.5.2. 阶段步骤 .394.5.3. 阶段输出 .424.6. 阶段 6:风险处置计划 .424.7. 阶段 7:风险评估验收 .434.7.1. 成果交付 .434.7.2. 成果验收 .44第 5 章 应急预案修订与演练 .445.1. 应急预案修订 .445.1.1. 修订方法 .445.1.2. 修订程序 .445.1.3. 修订要点 .4
4、55.1.4. 阶段输出 .455.2. 应急预案演练 .4535.2.1. 应急演练目标: .465.2.2. 应急演练计划 .465.3. 项目验收 .49第 6 章 项目管理 .496.1. 组织管理 .506.2. 范围管理 .516.2.1. 范围定义 .516.2.2. 范围变更控制 .516.3. 进度管理 .526.4. 风险管理 .536.5. 质量管理 .536.5.1. 项目实施负责人质量控制 .536.5.2. 项目经理质量控制 .536.5.3. 质量管理质量控制 .536.6. 沟通管理 .546.6.1. 协调沟通机制基本准则 .546.6.2. 沟通计划 .54
5、6.7. 会议管理 .556.8. 文档管理 .556.9. 保密管理 .56第 7 章 人员安排 .567.1. 职责和分工 .567.2. 人员简历 .57第 8 章 项目计划 .688.1. 总体计划 .688.2. 项目计划时间表 .704第 9 章 项目收益 .70第 10 章 成果交付一览表 .70第 11 章 成功案例 .7111.1. 重点案例列表 .7111.2. 重点案例简介 .7211.2.1. 金融案例 .7211.2.2. 电信案例 .7311.2.3. 能源案例 .7311.2.4. 政府案例 .74第 12 章 公司优势 .7412.1. 公司简介 .7412.2
6、. 公司资质 .755第 1 章 项目概述1.1.项目背景中国石油天然气股份有限公司管道分公司(简称某单位)隶属于中国石油天然气股份有限公司,主要负责长输油气管道的运营管理、建设和科研。公司下辖大庆、长春等 26 个输油(气)单位以及管道工程项目经理部、管道科技中心等单位,所属单位和人员分布在全国 17 个省(自治区、直辖市) 。公司拥有集油气管道输送技术研发、服务、培训、检测和监测为一体的专业科研机构,科研力量雄厚,科研设施完备,拥有管道核心技术研发能力。在油气储运工艺、管道完整性管理、管道化学添加剂、管道规划、信息与经济等研究领域整体处于国内领先水平。随着 “十二五”计划的开局与发展,某单
7、位将加快战略转型,深入使用信息化科技手段提高生产效率。当企业经营数据、生产过程控制及信息交换完成信息化的大集中后,信息系统的安全一旦受到破坏将产生严重的、不可估量的后果。因此,某单位急需展开信息安全风险评估专项工作,加强信息安全建设和管理,本次项目根据某单位工作要求,结合国家相关政策要求,依据信息安全建设相关国际和国内标准,对石油管道公司重要信息系统进行完整的信息系统评估,为公司信息系统的安全运行提供有力的保障。1.2.项目目标安全评估的目的通常包括以下几个方面: 确定可能对信息系统造成危害的威胁 通过历史资料和专家的经验确定威胁实施的可能性 对可能受到威胁影响的信息资产确定其价值、敏感性和严
8、重性 对各类信息资产,确定一旦威胁发生其潜在的损失或破坏针对本次的安全评估,主要包括以下目的:6 准确了解企业的网络和系统安全现状 明晰企业的安全需求 制定企业网络和系统的安全策略 制定企业网络和系统的安全解决方案 指导企业未来的安全建设和投入 指导企业建立信息安全框架1.3.项目范围此次信息安全评估服务范围涵盖由项目组双方沟通确认,推荐主管信息化部门、系统建设和运维部门、业务部门都参与本次项目。涉及的信息系统如下表所示:实施范围 范围类型 详细资产 物理环境 评估设备系统所在机房 主机系统 主机设备名称操作系统型号(IP 地址) 数据库系统 数据库(SqlServer、Oracle、Info
9、rmix、DB2 等) 应用中间件 信息系统中间件(WEBLOGIC、WEBSPHERE、APACHE、TOMCAT 等) 核心层交换机 汇聚层交换机 网络设备接入层交换机 技术评估范围安全设备 IPS、IDS、防火墙安全管理机构 信息系统责任单位的安全管理机构设置情况 安全管理制度 信息系统责任单位的安全管理制度建设情况 人员安全管理 信息系统责任单位的人员安全管理情况 系统建设管理 信息系统责任单位的系统建设管理情况 管理评估范围系统运维管理 信息系统责任单位的系统运维管理情况 1.4.项目内容本次安全评估的内容包括: 通过技术性检测评估,获得网络层存在的网络安全漏洞报告;7 通过问卷调查
10、和交流沟通,了解非技术层面的安全漏洞; 通过对上述技术和非技术漏洞的分析,得出安全状况报告; 提出网络安全策略和网络安全解决方案,指导下一步的网络安全建设; 根据某单位的要求,可以进行授权渗透测试,模拟黑客入侵的过程;第 2 章 项目需求理解风险评估的范围应全面,涉及到网络信息系统的各个方面,包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等;同时对管理风险、综合安全风险以及应用系统安全性进行评估。风险评估采用专业工具扫描、人工评估、渗透测试三种相结合的方式,对各种操作系统进行评估,包括:帐户与口令安全、网络服务安全、内核参
11、数安全、文件系统安全、日志安全等;从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁,根据应用系统所存在的威胁,来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁。第 3 章 项目方案设计3.1.设计目标本次风险评估的安全服务项目主要目标是: 通过风险评估,得到某单位的整体安全现状; 通过资产评估,得到某单位的网络信息安全资产状况,并录入资产库,进行资产梳理; 通过威胁评估,得到某单位存在的安全威胁情况; 通过脆弱性评估,得到某单位当前业务系统存在的脆弱性; 对各个业务系统进行综合风险分析,得到风险情况,提出分系统的安全解决方案; 提出各个系统的风险处置解决
12、方案。83.2.设计原则1. 标准性原则遵循国家、行业和组织相关标准开展风险评估工作。2. 可控性原则在项目建设与实施过程中,应保证参与实施的人员、使用的技术和工具、过程都是可控的。3. 完整性原则项目方案要充分考虑项目所有环节,做到统筹兼顾,细节清楚。4. 最小影响原则项目的所有阶段,保证项目实施过程工作对系统正常运行的可能影响降低到最低限度,不会对某单位目前的业务系统运行造成明显的影响。5. 保密原则项目的所有阶段,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。并与某单位签订保密协议,承诺未经允许不向其他任何第三方
13、泄露有关信息系统的信息。3.3.设计依据本方案设计主要参照以下政策和标准进行设计。3.3.1. 政策依据表格 1 相关策略时间 相关政策文件2003 年 国家信息化领导小组关于加强信息安全保障工作的意见 (中办发 27号文) ,提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估” 。2004 年 为贯彻落实 27 号文件精神,原国信办组织有关单位和专家编写了信息安全风险评估指南 。2005 年 国务院信息化工作办公室关于印发9的通知 (国信办【2005】5 号) ,组织在北京、上海、黑龙江、云南等地方以及银行、税务、电力等重要行业开展信息安全风险
14、评估试点工作。2006 年 由国家网络与信息安全协调小组讨论通过的关于开展信息安全风险评估工作的意见 (国信办20065 号) ,文件要求三年内在国家基础信息网络和重要行业信息系统中普遍推行信息安全风险评估工作。 中共中央办公厅国务院办公厅关于印发 20062020 年国家信息化发展战略的通知 (中办200611 号文)提出加强信息安全风险评估工作。2007 年 为保障十七大,在国家基础信息网络和重要信息系统范围内,全面展开了自评估工作。 (中国移动、电力、税务、证券)2008 年 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071 号) ,明确“加强和规范国
15、家电子政务工程建设项目信息安全风险评估工作” 。3.3.2. 标准依据表格 2 相关标准标准类型 参考标准国际标准 ISO15408 信息技术安全评估准则 ISO/IEC TR 13335 信息和通信技术安全管理 ISO/TR 13569 银行和相关金融服务信息安全指南 ISO/IEC 27000 信息安全管理体系系列标准 AS/NZS 4360 风险管理 NIST SP 800-30 IT系统风险管理指南国内标准 GB17859计算机信息系统安全保护等级划分准则 GBT 20984信息安全风险评估规范 GBT 22239信息安全技术信息系统安全等级保护基本要求 GBZ 20985信息技术安全技术信息安全事件管理指南 GBZ 20986信息安全技术信息安全事件分类分级指南
