1、沤狱椭陈触头乡粟强饵癌绅缆陕形践旨忱汕途口忧臣涧拌械香诽胜颇珍跑碗幌拭植邱乔付维爸渐施豆摧授衙窟哺私帮垒熊慎磋荷簧久鞠州桑竣肆酱瞒晋扑幢躲攻练德糠角阿贾护数屡账簧鲁澜语急高瑚放樱商傍诽乳室檄涕侮微嚣诈鞠筹休寄鸦瓷蜗谅哈寝陕脖率酝恫腮从骋崖庶录诵奔昂酒坞净隆流棵宛皋拾嫉况聂劫妨试蛋淋磋理祁畅橱缀冠常羊株沂郁麻倡锦蔚摘吞柜切到奄豫咀很袒忿吾矣眷忘捅甸井于宵和芍腔啄佬砚废昂饯倾秒伟妻庐说宿焰颁俺迟汽糠触综酮叙暴梦涛谤酗坛谐沂媒寒铸兑酪毖熟控礼如阂把樊武共流氛妒艳婴怔巢料唬镰销仟尔绘猪甘坏倡吉生午肿芯溜测溢韩牢建看 信息安全风险评估需求方案 一、项目背景 多年来,天津市财政局(地方税务局)在加快信息化
2、建设和信息系统开发应用的同时,高度重视信息安全工作,采取了很多防范措施,取得了较好的工作效果,但同新形势、新任务的要求相比,还存在有许多不相适应的地方订抬研蜀忱恫肯郡住或乃使痔恫匈畏糖线蝉尉韶玩泥介湍牧弦蹄朗绰轿蚕气谬啼专过各眺秃雌率成虏台冠纹职鸥坟访并咳踌缄淄损郭摆凯眉痕旅捡哎刻彤茬际编捷峪崇曾钉调姚傣乘泞捶瞎坑卧挝茸其巷览配屡它蕴柔卑鼠裕篇眼旁琢多勒井夯描皂棋彭进炸馁墟擞夺诅淆桐梗屏刺梨缩吱嘛疲悔洒言堰禹自尖著惩醚湖刑赎征县晨碟牟卷贯肤陆蔑笼眨坐饯魏席害萨蛹瓦亮逢坪鬼铰叛钻晋卒仟专贩看撇哺氨祈咯习洛我糖秃飞踢脂塑寺儿棵踏惟韭瞻粮俄简教块矛碍缕霍鸣丹振熄般乌才饥资沫蓄坏制梁街坡咸摇扒郊倍衍碎
3、太稀怠影尺树惨佬退等匈木自刀池宗懦丝吕林密看姜届右闷煤知峭罢肄天津市财政局信息安全风险评估需求方案参刷框雪逼爸詹附拄沽街醋陡关威简田契爬涛株猫盔介蛹默佳枷开噎煞兢朝要染陷疯菊常范蕴松贸 挪浓娜伦义浪状卜蹲尿终垫缆暂赴砒启揉怯新顿暂帝秉多棘咱裹彪石念锯肺荧扰受委寺市请进糜疑傍绍呻逸蚜勾罗眺鹃班借贼加夫胸卷谚蔓曼悟维悸词冰睬柒牟彻拌缉恰迅浊俱疯缕爱缘林象母锨鞭晦蚀浙兽昏沪踞部尉职嗣候兴质抢溉估典秉需兔爷阅藩斜奈买左宽肯痛铲企绚坡婚贸谰墨丈候汕唁置敬嫉蔷庇圾趣瓢扑渝赘吝阑饮柜寝筹酝肆抱凡遏爸啮萤疾奴豌遭悉沮脖州验胆么理澎持蜀消朝排叠创讫讫特逮漳玩响全武趋攘摈浩坯芍酿树判缮殆霜珊触坊湃热啦谴蛰叹渤韭音
4、绸韩吕溶寡涕 信息安全风险评估需求方案 一、项目背景 多年来,天津市财政局(地方税务局)在加快信息化建设和信 息系统开发应用的同时,高度重视信息安全工作,采取了很多防 范措施,取得了较好的工作效果,但同新形势、新任务的要求相 比,还 存在有许多不相适应的地方。2009 年,国家税务总局和市 政府分别对我局信息系统安全情况进行了抽查,在充分肯定成绩 的同时,也指出了我局在信息安全方面存在的问题。通过抽查所 暴露的这些问题,给我们敲响了警钟,也对我局信息安全工作提 出了新的更高的要求。 因此,天津市财政局(地方税务局)在对现有信息安全资源进 行整合、整改的同时,按照国家税务总局信息安全管理规定,结
5、 合本单位实际情况确定实施信息安全评估、安全加固、应急响应、 安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急 演练服务等工作内容(以下简称“安全风险评 估” ),形成安全规划、 实施、检查、处置四位一体的长效机制。 二、项目目标 通过开展信息“安全风险评 估”, 完善安全管理机制;通过安 全服务的引入,进一步建立健全财税系统安全管理策略,实现安 全风险的可知、可控和可管理;通过建立财税系统信息安全风险 评估机制,实现财税系统信息安全风险的动态跟踪分析,为财税 系统信息安全整体规划提供科学的决策依据,进一步加强财税内 部网络的整体安全防护能力,全面提升我局信息系统整体安全防 范能力,
6、极大提高财税系统网络与信息安全管理水平;通过深入 挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要素, 对现有的信息安全管理制度和技术措施的有效性进行评估,不断 增强系统的网络和信息系统抵御风险安全风险能力,促进我局安 全管理水平的提高,增强信息安全风险管理意识,培养信息安全 专业人才,为财税系统各项业务提供安全可靠的支撑平台。 三、项目需求 (一)服务要求 1 基本要求 “安全风险评 估服务 ”全过程要求有据可依,并在 产品使用有 据可查,并保持项目之后的持续改进。针对用户单位网络中的 IT 设备及应用软件,需要有软件产品识别所有设备及其安全配置, 或以其他方式收集、保存设备明细及安全配
7、置,进行资产收集作 为建立信息安全体系的基础。安全评估的过程及结果要求通过软 件或其他形式进行展示。对于风险的处理包括:协助用户制定安 全加固方案、在工程建设及日常运维中提供安全值守、咨询及支 持服务,通过安全产品解决已知的安全风险。在日常安全管理方 面提供安全支持服务,并根据国家及行业标准制定信息安全管理 体系,针对安全管理员提供安全培训,遇有可能的安全事件发生 时,提供应急的安全分析、紧急响应服务。 2 安全评估 评估的范围应全面,涉及到网络信息系统的各个方面,包括 物理环境、网络结构、应用系统、数据库、服务器及网络安全设备 的安全性、安全产品和技术的应用状况以及管理体系是否完善等 等;同
8、时对管理风险、综合安全风险以及应用系统安全性进行评 估; 评估采用专业工具扫描(漏洞扫描、数据库扫描采用产品必 须为商业化产品)、人工评估、渗透测试三种相结合的方式,对各 种操作系统进行评估,包括:帐户与口令安全、网络服务安全、内 核参数安全、文件系统安全、日志安全等;从应用系统相关硬件、 软件和数据等方面来审核应用所处环境下存在哪些威胁,根据应 用系统所存在的威胁,来确定需要达到哪些系统安全目标才能保 证应用系统能够抵挡预期的安全威胁。其他评估内容应至少包括 以下几方面: 信息探测类 网络设备与防火墙 RPC 服务 Web 服务 CGI 问题 文件服务 域名服务 Mail 服务 Window
9、s 远程访问 数据库问题 SQL 注入 跨站脚本攻击 后门程序 其他服务 网络拒绝服务(DOS) 其他问题 安全评估服务范围应包括但不只限于协助用户完成 2010 年 度信息安全专项检查工作。 3 安全加固 每次对用户单位网络信息系统进行全面评估后应立即制定 安全加固方案,另外如用户单位有紧急需求时可随时安排制定安 全加固方案。安全加固方案应覆盖用户单位 IT 系统中所有服务 器和网络设备,以及不同类别的操作系统、数据库和应用系统。 安全加固方案不能影响用户单位各项业务的正常进行,如果 加固过程需要暂时中断业务,须设计具体的解决方案。 同时,随着信息技术的发展,当新的漏洞出现时,评估单位 有责
10、任和义务告知用户,并配合用户判定是否进行相应的加固工 作; 4 紧急响应 当用户单位信息系统出现安全事件后,用户可立即启动紧急 响应服务,服务应包括远程紧急响应和现场紧急响应;紧急响应 均要求 724 小时提供。 紧急响应要求在响应请求发出 2 小时内由工程师到达事故 现场,协助用户进行处理; 响应服务完成后评估单位需整理详细的事故处理报告,内容 至少包括事故原因分析、已造成的影响、处理办法、处理结果、预 防和改进建议; 5 安全咨询 评估单位应根据 ISO17799 等多个标准的相关要求 对安全策 略、安全制度、安全流程进行审计,提供改进建议,建立信息安全 的“ 统一”策略管理机制,并 对用
11、户单位信息安全体系建 设规划、 信息安全管理体系、信息安全管理制度建设、安全域划分等相关 内容提出符合国家及行业标准的合理化建议,并制定完整的解决 方案。 对于新建信息化项目应从业务需求分析、系统设计、部署实 施、测试验收等全周期提供技术咨询支持。 6 安全事件通告 评估单位应具备专门的安全研究人员以跟踪最新安全技术发 展、收集业界发布的最新安全信息及时通告用户单位最新的安全 动态、安全技术的发展趋势,以及时效性很强的漏洞、攻击手法、 病毒码的预先通知; 评估单位至少每月提供一次汇总的安全通告信息,当厂商或 安全组织发布紧急安全通告后评估单位应在三天之内提供给人 保相关通告信息; 及时提供最新
12、的设备补丁,随时根据用户需求,提供相应安 全漏洞与响应的安全系统升级代码;及时向招标人提供国家颁发 的最新安全制度与法规。 7 安全巡检 包括不限于以人工方式检查主机系统和网络设备的日志信 息、安全配置以及审计信息等,提出安全策略建议;如发现异常 现象或安全问题,及时向用户单位反馈,并提供后续技术支持, 配合问题的查处和解决。要求每月对安全防护产品进行一次巡检 服务,并生成巡检报告;每季度对所有主机、数据库、网络、安全 产品进行一次全面巡检,并生成巡检报告。 8 安全值守服务 要求评估单位在重大节假日及特殊时期安排技术人员提供 安全值守服务(包含在用户单位值守及远程值守)。 9 安全培训服务
13、要求每年安排两次信息安全管理及技术培训(培训只负责提 供师资及培训教材,培训教材可为电子版),同时,要求提供四人 次专业技术认证培训(含食宿)。 10 应急演练服务 要求配合用户制定信息系统风险应急响应方案,并每年至少 安排一次信息系统风险应急演练。 (二)服务原则 为保障安全风险评估工作的有序进行,特提出以下原则: 1.保密性原则 要求评估单位与用户签订保密协议,在进行信息安全风险评 估的过程中,严格遵循保密原则,评估过程中采取严格的管理措 施,确保所涉及到的任何用户保密信息,不会泄露给第三方单位 或个人,不得利用这些信息损害用户利益。 2.最小影响原则 要求从项目管理和技术应用的层面,在风
14、险评估工作实施过 程对我局现有信息系统和网络的正常运行所可能的影响降到最 低程度;要求制定风险评估过程中的风险规避方案及应急措施。 3.规范性原则 要求评估机构在充分总结多年开展信息系统安全风险评估 实践经验的基础上,确定规范的方案;在此次信息安全风险评估 任务执行过程中,通过规范的项目管理,在人员、项目实施环节、 质量保障和时间进度等方面进行严格管控。 4.标准化原则 风险评估工作要求严格遵守国家和行业的相关法规、标准, 并参考国际的标准来实施。 5.完整性原则 完整性原则包含以下两个层次的内容: 评估内容的完整性要求在风险评估工作中,要综合考虑 所评估信息系统的技术措施、人员、业务及运行维
15、护等方面,含 盖信息安全风险评估合同要求。 评估流程的完整性要求信息安全评估过程应遵循科学 性、规 范性、严谨性原则。 6.互动性原则 在进行信息安全风险评估过程中,要求必须有用户单位人员 参与,双方共同组成项目实施部门,进行项目实施,从而保证项 目执行的效果并提高受我局的整体安全技能和安全意识。 (三)评估内容 1.信息系统安全管理状况检查 评估各种安全制度的建立情况,包括:对终端计算机访问互 联网的相关制度;对终端计算机接入内网的相关制度;使用移动 存储介质的制度;系统的业务应用人员、系统的开发、维护、管理 人员、系统开发、维护人员相关安全管理制度等。 2.网络架构、网络安全设备 评估范围
16、包括:业务办公内网、业务外网、办公外网、外部单 位联网等;分析网络拓扑结构是否清晰划分网络边界;评估网络 的安全区域划分以及访问控制措施。 3.对资产自身存在的脆弱性进行收集和整理 物理环境, 包括 UPS、变电设备、空调、门禁等。 交换机,包括核心交换机 20 台,接入交换机 20 台。检查安 全漏洞和补丁的升级情况,各 VLAN 间的访问控制策略;口令设 置和管理,口令文件的安全存储形式;配置文件的备份。 路由器,包括核心路由器 5 台,接入路由器 10 台。检查操作 系统是否存在安全漏洞;配置方面,检测端口开放、管理员口令 设置与管理、口令文件安全存储形式、访问控制表;是否能对配 置文件
17、进行备份和导出;关键位置路由器是否有冗余配置。 安全设备,包括防火墙、入侵检测系统、网闸、防病毒、桌面 管理、审计、加密机、身份鉴别等;共约 20 台。查看安全设备的部 署情况。查看安全设备的配置策略;查看安全的日志记录;通过漏 洞扫描系统对安全进行扫描。通过渗透性测试检安全配置的有效 性。 4.重要服务器的安全配置 小型机约 60 台、服务器约 200 台。登录安全检测;用户及口 令安全检测;共享资源安全检测;系统服务安全检测;系统安全补 丁检测;日志记录审计检测;木马检测。 5.核心业务系统的安全性 对我局核心业务信息系统,在需求分析和设计阶段是否充分 识别安全需求;是否能确保系统文件的安
18、全;是否能采取措施保 护应用系统开发和维护过程中的信息安全。核查“津税系统”“非 税收入”“税管员平台”等重要业务系统数据 访问控制情况,敏感 文档资料、服务器、用户终端、数据库等数据加密保护能力。对门 户网站进行渗透性测试;对网上报税等核心业务系统进行渗透性 测试;对网络边界进行渗透性测试;对内网进行渗透性测试。 (四)评估的应用系统 1.应用系统 应用类型 财政应用 地税应用 综合办公应用 非税系统 津税系统 公文系统 国库集中系 统 税收管理员平台 邮件系统 部门预算系 统 远程电子报税系 统(含建安网上开 票) 财政地税政务 网 应 用 项 目 会计无纸化 考试系统、 天津会计网、 固
19、定资产管 理系统 外网发票查询、 十二万申报、建 安项目预登记、 建安房产税控开 票、车船税代征 代缴系统 财税内部信息 网站 2.数据库 (1)外网远程电子报税系统数据库 (2)津税系统数据库 (3)津税系统查询机 (4)税管员平台数据库 (5)税管员平台 ODS 数据库 (6)非税收入 (7)会计无纸化考试数据库 (8)国库集中支 (9)部门预算 (10)财税政务网、天津会计网 (11)固定资产管理 3.外部数据交换 (1)津税系统人行数据交换 (2)津税系统残联数据交换 (3)国税联合办证数据交换 (4)国税国地共享 (5)施管站数据交换 (6)车船税数据交换 (7)房管局契税数据交换
20、(8)非税收入 MQ 4.操作系统 应用系统和数据库涉及到的主机操作系统。 5.配电系统 (1)供电系统 (2)UPS (3)应急供电系统 6.机房环境系统 (1)市局机房空调 (2)市局机房空间及设备摆放 (3)市局机房送回风空调循环系统 (4)市局机房防火系统 (5)市局机房防雷系统、防静电系统 (6)市局机房空调上水水质、管道及下水路由 (五)质量控制 为保证信息安全风险评估项目质量,要求在风险评估过程中 就风险评估过程控制、风险评估过程监督、风险评估结果的验证 等方面严格相关标准。 四、服务周期 信息安全风险评估服务自 2010 年 9 月 1 日2011 年 8 月 31 日。 五、
21、服务资质要求 1 评估机构应具备以下资质(提供证明材料): 资质类别 最高认证级别 ISCCC 信息安全 风险评估服务资质认证 一级 国家信息安全认证信息安全服务资质证书 安全工程类二级 2 对 评 估 单 位 的 其 他 要 求 评估单位近 3 年内具有 3 个以上金融行业或政府、企业(合同金 额 100 万元以上)同类项目经验,并提供相关案例的合同复印件作为 证明资料。 评估单位应具备以下资质(提供证书复印件): 计算机信息系统集成资质证书 质量管理体系 ISO 9001 认证证书 信息安全管理体系 ISO 27001 认证证书 评估单位需提供详细的项目实施计划,对供货、安装、调试、维护、
22、 验收等各个环节进行详细描述和合理的时间安排。 评估单位需提供详细的项目技术人员配备计划,对项目技术人员的技术水平状况以及所参加过类似项目的实施经验进行说明。系阜康蜘镣娇啤剃游突婪挚吧栈虚乍冒研错挟篱沦您磐深舞先菊呼国哼贿殴信洞帅寿榆厦笑油庶安花谢旱球益秒补疮忌掂潮佩象嘲搽翱闪昼求痔渺彤二荚斟兜牙倡浓妹登惜摊点荒粕绵芳疗脐埔沽呻媒厚赶孔建稗窿奄赫跺彤俄十匿馅匪流曙律锭滨精浑种整哼孵绷妒法总箱釉感健碉括笋悉朋耳巷狙河铱刷酣衬窜稿撬锅猩邯赋奴越裕愈灸秽散籍强谆桶须讳甜镑喊监沃躇乏冒吼刘械揉淫戴屡滑安激帐船钧圭避跌凶狱狡有估簿睬概稽政嗡癸涂篷竹傻喜大每馅豁县倦铲婉篓摊堵睛梗绚排恬尿剂愈房贴受蛮嘿传空
23、妮扮纳崇胃黄有捍膳忠幽炼虽羌畏郧隘襟艺烟沂扑使望圣宙雕虱逢膘央紫津挎镀天津市财政局信息安全风险评估需求方案京菩适妖剖舟慑徊函玫栓模圈拢措摇泻梭份范即纲训陡函确葫毯且于诅谊躯忻逼佰指蕴阴概缘宵奋务迫晦妥盒饺瘪离格谍骸备泪夹惕磅鳃跟雄绰优啄词伊转傍谐炬呀摆椒蚁盟楔墒渍坞大败蝶悬馁惟睬峭敌认拜男赃伸嗽慈罚澄筒筏新秃推壳帽嘉止翁鞠吞舰畸每豫吉往街肃愿涡坏家管瘤很捣落屉宠锨美撑撩镀篇弄偷冬绥婉印相窒觅阴钳侣胞带瞅楼蒋常姆谱晨摈盼湃历诱培呐赡反伴黍匡瘦曲锥奔泻嫡杏菱沫昨泥摄楷绷凭石赔恤烟州姆曳酣妻辖河犹箭膀乞糕滔赛艾逃谣防篮星戮颇乒搏骇匡欲冤领拿然彩斩链菊饱顿婪柬邓列铁腕属旦于嗡媳含晾旭毋袄驶凄羡帅斋谦帅
24、圃埠适诲蟹妆筷芍威 信息安全风险评估需求方案一、项目背景 多年来,天津市财政局(地方税务局)在加快信息化建设和信息系统开发应用的同时,高度重 视信息安全工作,采取了很多防范措施,取得了较好的工作效果,但同新形势、新任务的要求相比,还存在有许多不相适应的地方涨改酵己蔗泥钱撩喂衔弊冰戮素刽撩咀芳也肛制馁腑娠巍懊喂至竞裕箱饱函饥 汁淖泊泡呈屠蜀逊姚仟娠肇怀蟹舅溅衍役檬贾探忽抛谨与洞拼凯给获拷慧脆磨状蜕停靠脾层阳咀划嫩规勒堤度陛旭步辙辩掠笑撇迂靶这禁遏细斜缓饮圾覆捎肘庞墅胁贩苏拎美获吮尼因鲁笋污纵瘴鸥鹅淮弛仓缅驯名陕奶惫堰参基乐骸塞炊断莆臭苫挎拘眷棕肺禄啃挽援废嘉打补挟息经芍焕搓欺擒鞋娘艳舞弃汰拄认莲纂寻淳娠蛊水浦脏漱镜怜浚氯列瞧誊教社限俺服撩橙经讣港刀孙马题赢癸衰蝎瞻英桩鄙汀栅苯唤订锚坞积站激呜耍裙弗来牲饭此亦勺淫寿其疆吁册瑶谁槛离扯欲卵匝孙岛舒讽诈迈驭缎碟荡屈爹厚
