信息安全風險評估需求方案一、項目背景(放進建議)二、項目目標通過開展信息“安全風險評估”, 完善安全管理機制；通過安全服務的引入，進一步建立健全安全管理策略，實現安全風險的可知、可控和可管理；通過建立信息安全風險評估機制，實現信息安全風險的動態跟蹤分析，為信息安全整體規劃提供科學的決策依據，進一步加強網絡的整體安全防護能力，全面提升我信息系統整體安全防范能力，極大提高網絡與信息安全管理水平；通過深入挖掘網絡與信息系統存在的脆弱點，并以業務系統為關鍵要素，對現有的信息安全管理制度和技術措施的有效性進行評估，不斷增強系統的網絡和信息系統抵御風險安全風險能力，促進安全管理水平的提高，增強信息安全風險管理意識，培養信息安全專業人才，為各項業務提供安全可靠的支撐平臺。三、項目需求（一）服務要求1基本要求 “安全風險評估服務”全過程要求有據可依，并在產品使用有據可查，并保持項目之后的持續改進。針對用戶單位網絡中的IT設備及應用軟件，需要有軟件產品識別所有設備及其安全配置，或以其他方式收集、保存設備明細及安全配置，進行資產收集作為建立信息安全體系的基礎。安全評估的過程及結果要求通過軟件或其他形式進行展示。對于風險的處理包括：協助用戶制定安全加固方案、在工程建設及日常運維中提供安全值守、咨詢及支持服務，通過安全產品解決已知的安全風險。在日常安全管理方面提供安全支持服務，并根據國家及行業標準制定信息安全管理體系，針對安全管理員提供安全培訓，遇有可能的安全事件發生時，提供應急的安全分析、緊急響應服務。2安全評估評估的范圍應全面，涉及到網絡信息系統的各個方面，包括物理環境、網絡結構、應用系統、數據庫、服務器及網絡安全設備的安全性、安全產品和技術的應用狀況以及管理體系是否完善等等；同時對管理風險、綜合安全風險以及應用系統安全性進行評估；評估采用專業工具掃描（漏洞掃描、數據庫掃描采用產品必須為商業化產品）、人工評估、滲透測試三種相結合的方式，對各種操作系統進行評估，包括：帳戶與口令安全、網絡服務安全、內核參數安全、文件系統安全、日志安全等；從應用系統相關硬件、軟件和數據等方面來審核應用所處環境下存在哪些威脅，根據應用系統所存在的威脅，來確定需要達到哪些系統安全目標才能保證應用系統能夠抵擋預期的安全威脅。其他評估內容應至少包括以下幾方面：l 信息探測類l 網絡設備與防火墻l RPC服務l Web服務l CGI問題l 文件服務l 域名服務l Mail服務l Windows遠程訪問l 數據庫問題l SQL 注入l 跨站腳本攻擊l 后門程序l 其他服務l 網絡拒絕服務(DOS)l 其他問題安全評估服務范圍應包括但不只限于協助用戶完成2010年度信息安全專項檢查工作。 3安全加固每次對用戶單位網絡信息系統進行全面評估后應立即制定安全加固方案，另外如用戶單位有緊急需求時可隨時安排制定安全加固方案。安全加固方案應覆蓋用戶單位IT系統中所有服務器和網絡設備，以及不同類別的操作系統、數據庫和應用系統。安全加固方案不能影響用戶單位各項業務的正常進行，如果加固過程需要暫時中斷業務，須設計具體的解決方案。同時，隨著信息技術的發展，當新的漏洞出現時，評估單位有責任和義務告知用戶，并配合用戶判定是否進行相應的加固工作；4緊急響應 當用戶單位信息系統出現安全事件后，用戶可立即啟動緊急響應服務，服務應包括遠程緊急響應和現場緊急響應；緊急響應均要求724小時提供。 緊急響應要求在響應請求發出2小時內由工程師到達事故現場，協助用戶進行處理； 響應服務完成后評估單位需整理詳細的事故處理報告，內容至少包括事故原因分析、已造成的影響、處理辦法、處理結果、預防和改進建議；5安全咨詢評估單位應根據ISO17799等多個標準的相關要求對安全策略、安全制度、安全流程進行審計，提供改進建議，建立信息安全的“統一”策略管理機制，并對用戶單位信息安全體系建設規劃、信息安全管理體系、信息安全管理制度建設、安全域劃分等相關內容提出符合國家及行業標準的合理化建議，并制定完整的解決方案。對于新建信息化項目應從業務需求分析、系統設計、部署實施、測試驗收等全周期提供技術咨詢支持。6 安全事件通告 評估單位應具備專門的安全研究人員以跟蹤最新安全技術發展、收集業界發布的最新安全信息及時通告用戶單位最新的安全動態、安全技術的發展趨勢，以及時效性很強的漏洞、攻擊手法、病毒碼的預先通知； 評估單位至少每月提供一次匯總的安全通告信息，當廠商或安全組織發布緊急安全通告后評估單位應在三天之內提供給人保相關通告信息； 及時提供最新的設備補丁，隨時根據用戶需求，提供相應安全漏洞與響應的安全系統升級代碼；及時向招標人提供國家頒發的最新安全制度與法規。7安全巡檢包括不限于以人工方式檢查主機系統和網絡設備的日志信息、安全配置以及審計信息等，提出安全策略建議；如發現異常現象或安全問題，及時向用戶單位反饋，并提供后續技術支持，配合問題的查處和解決。要求每月對安全防護產品進行一次巡檢服務，并生成巡檢報告；每季度對所有主機、數據庫、網絡、安全產品進行一次全面巡檢，并生成巡檢報告。8安全值守服務要求評估單位在重大節假日及特殊時期安排技術人員提供安全值守服務（包含在用戶單位值守及遠程值守）。9安全培訓服務要求每年安排兩次信息安全管理及技術培訓（培訓只負責提供師資及培訓教材，培訓教材可為電子版），同時，要求提供四人次專業技術認證培訓（含食宿）。10應急演練服務要求配合用戶制定信息系統風險應急響應方案，并每年至少安排一次信息系統風險應急演練。（二）服務原則 為保障安全風險評估工作的有序進行，特提出以下原則：1.保密性原則要求評估單位與用戶簽訂保密協議，在進行信息安全風險評估的過程中，嚴格遵循保密原則，評估過程中采取嚴格的管理措施，確保所涉及到的任何用戶保密信息，不會泄露給第三方單位或個人，不得利用這些信息損害用戶利益。2.最小影響原則要求從項目管理和技術應用的層面，在風險評估工作實施過程對現有信息系統和網絡的正常運行所可能的影響降到最低程度；要求制定風險評估過程中的風險規避方案及應急措施。3.規范性原則要求評估機構在充分總結多年開展信息系統安全風險評估實踐經驗的基礎上，確定規范的方案；在此次信息安全風險評估任務執行過程中，通過規范的項目管理，在人員、項目實施環節、質量保障和時間進度等方面進行嚴格管控。4.標準化原則風險評估工作要求嚴格遵守國家和行業的相關法規、標準，并參考國際的標準來實施。5.完整性原則完整性原則包含以下兩個層次的內容：評估內容的完整性要求在風險評估工作中，要綜合考慮所評估信息系統的技術措施、人員、業務及運行維護等方面，含蓋信息安全風險評估合同要求。評估流程的完整性要求信息安全評估過程應遵循科學性、規范性、嚴謹性原則。6.互動性原則在進行信息安全風險評估過程中，要求必須有用戶單位人員參與，雙方共同組成項目實施部門，進行項目實施，從而保證項目執行的效果并提高受的整體安全技能和安全意識。（三）評估內容1.信息系統安全管理狀況檢查 評估各種安全制度的建立情況，包括：對終端計算機訪問互聯網的相關制度；對終端計算機接入內網的相關制度；使用移動存儲介質的制度；系統的業務應用人員、系統的開發、維護、管理人員、系統開發、維護人員相關安全管理制度等。2.網絡架構、網絡安全設備評估范圍包括：業務辦公內網、業務外網、辦公外網、外部單位聯網等；分析網絡拓撲結構是否清晰劃分網絡邊界；評估網絡的安全區域劃分以及訪問控制措施。3.對資產自身存在的脆弱性進行收集和整理物理環境， 包括 UPS、變電設備、空調、門禁等。交換機，包括核心交換機20臺，接入交換機20臺。檢查安全漏洞和補丁的升級情況，各VLAN間的訪問控制策略；口令設置和管理，口令文件的安全存儲形式；配置文件的備份。路由器，包括核心路由器5臺，接入路由器10臺。檢查操作系統是否存在安全漏洞；配置方面，檢測端口開放、管理員口令設置與管理、口令文件安全存儲形式、訪問控制表；是否能對配置文件進行備份和導出；關鍵位置路由器是否有冗余配置。安全設備，包括防火墻、入侵檢測系統、網閘、防病毒、桌面管理、審計、加密機、身份鑒別等；共約20臺。查看安全設備的部署情況。查看安全設備的配置策略；查看安全的日志記錄；通過漏洞掃描系統對安全進行掃描。通過滲透性測試檢安全配置的有效性。4.重要服務器的安全配置小型機約60臺、服務器約200臺。登錄安全檢測；用戶及口令安全檢測；共享資源安全檢測；系統服務安全檢測；系統安全補丁檢測；日志記錄審計檢測；木馬檢測。5.核心業務系統的安全性對核心業務信息系統，在需求分析和設計階段是否充分識別安全需求；是否能確保系統文件的安全；是否能采取措施保護應用系統開發和維護過程中的信息安全。核查重要業務系統數據訪問控制情況，敏感文檔資料、服務器、用戶終端、數據庫等數據加密保護能力。對門戶網站進行滲透性測試；對網上報稅等核心業務系統進行滲透性測試；對網絡邊界進行滲透性測試；對內網進行滲透性測試。（四）評估的應用系統1.應用系統2.數據庫3.外部數據交換4.操作系統應用系統和數據庫涉及到的主機操作系統。5.配電系統（1）供電系統（2）UPS（3）應急供電系統6.機房環境系統（五）質量控制為保證信息安全風險評估項目質量，要求在風險評估過程中就風險評估過程控制、風險評估過程監督、風險評估結果的驗證等方面嚴格相關標準。四、服務周期信息安全風險評估服務自2010年9月1日2011年8月31日。信息安全風險評估是從風險管理角度，運用定性、定量的科學分析方法和手段，依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評估的過程。風險評估的基本要素包括：需保護的信息資產、信息資產的脆弱性、信息資產面臨的威脅、存在的可能風險、安全防護措施等。風險評估通過識別資產相關要素的關系，從而判斷資產面臨的風險大小，主要內容有：一是對資產進行識別并對資產的價值進行賦值；二是對威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦值；三是對資產的脆弱性進行識別并對具體資產脆弱性的嚴重程度賦值；四是根據威脅及威脅利用弱點的難易程度判斷安全事件發生的可能性；五是根據脆弱性的嚴重程度及安全事件所作用資產的價值計算安全事件的損失；六是根據安全事件發生的可能性以及安全事件的損失，計算安全事件一旦發生對組織的影響，即風險值。電子政務終端安全護理實施方案信息安全問題是所有國家在電子政務發展中都十分關心和重視的問題。隨著政府信息化進程的加速，電子政務網絡環境日益復雜，安全形勢也日趨嚴峻。敏感信息被泄露、政府門戶網站被篡改，非法用戶入侵、惡意軟件攻擊等安全事件屢見不鮮。傳統的安全網關、防火墻、VPN等技術已經不能徹底有效地保障政務網絡的安全。據有關資料統計，網絡的安全事件有80%源自個人終端。終端已經成為新的安全問題，是電子政務安全管理所面臨新的挑戰。目前國家機關中網絡都具有相當的規模，網絡中大量使用計算機終端設備，這些設備帶來高效應用的同時，自身確實存在著安全風險和隱患，因此應該加強終端安全防護以保障整個電子政務網絡的安全運行。由國家信息中心指導設計，中國信息安全測評中心，微軟中國有限公司、北信源自動化技術有限公司、北京瑞星信息技術有限公司等眾多行業優勢部門和領先企業開發的政務終端安全護理整體解決方案，是面向各級政府部門的計算機終端，提供全面，強大易于管理的安全護理功能。政務終端安全護理整體解決方案采用分布式體系結構，由全國級聯部署的終端安全護理平臺、系統補丁驗證測試實驗室、終端安全護理軟件和殺毒軟件構成，可為全國各級政府部門提供全方位的安全護理服務。終端使用者不再需要任何安全方面的操作就可以確保自己的計算機始終處于安全狀態。一、電子政務終端安全管理的重要性和功能要求（一）政務終端安全管理的重要性我們強調終端安全管理的重要性，一是終端安全是安全管理工作中最薄弱的環節，因為終端的使用一直是個人行為，每一個人的安全觀念、知識水平和法規意識不同，決定著終端的安全狀態，使用單位對于大量終端的安全又難于全面掌控；二是終端已成為進行網絡攻擊的工具，攻擊者借助終端攻擊政府部門的信息系統，竊取國家的敏感信息，傳播黑客和木馬病毒，給整個信息系統造成危害。終端安全安全配置管理是關鍵。終端是信息加工、處理和存儲的重要基礎設備，其安全性會嚴重影響整個網絡的安全，而安全漏洞的大量存在是終端脆弱性的主要原因。因此通過限制用戶權限、關閉部分服務功能等安全配置管理可有效減少系統漏洞，提高終端防護能力。（二）政務終端安全管理的必要性2009年中國網民網絡信息安全狀況調查系列報告顯示52%的網絡終端曾遭遇過網絡安全事件。安全事件造成的損失主要是時間成本，平均每人需要花費約10個小時處理安全事故。其次是經濟方面的損失，2009年終端用戶在處理網絡系統、操作系統癱瘓、數據、文件等丟失或損壞等安全事件所支出的服務相關費用共計153億元人民幣。實行終端安全配置統一化和標準化，不僅有利于降低系統風險、方便信息安全防范措施的統一部署和實施效率，還可有效降低終端安全管理的復雜性和維護成本。因此，推動終端安全護理的實施。對于降低政府信息化安全成本有著重要作用。可實現終端安全配置和管理的自主化，有利于推動系統軟件的升級改造和自主創新，也是利用政府應用推動國產化的一個契機。（三）政務終端安全管理的要求在終端安全管理上實際工作中存在許多困難，一方面由于多數終端用戶缺乏必要的計算機安全管理知識，不能及時下載終端操作系統補丁，并對補丁進行必要的安全測試。用戶對病毒等惡意軟件不能及時有效地查殺和清除，而過多地依賴殺毒軟件影響了終端系統的使用效率。另一方面信息系統管理者，不能及時了解計算機終端的安全狀態，無法配置計算機終端的安全策略，也缺乏對終端上網行為、移動設備使用、終端訪問權限控制等諸多影響整個信息系統安全行為的有效管理。上述問題的存在也就產生了對計算機終端安全的功能要求。目前，我國電子政務將網絡按其功能區分為：政務內網、政務專網、政務外網三個架構。其不同的電子政務網絡系統，對于信息安全要求是不同的，但是對政務終端的基本安全要求卻是一致的，主要集中在以下幾個方面：身份認證、訪問控制、特權管理、安全審計、免疫機制、文件保護、安全傳輸、軟件管理、設備管理。（三）政務終端安全管理的功能政務終端安全管理主要針對個人計算機的操作系統、瀏覽器、辦公軟件、郵件系統和其他常用軟件制定相關的安全配置，對終端進行安全和性能雙層加固。其功能主要表現在以下幾個方面：加強系統安全（口令管理、身份認證、系統審核）；杜絕安全隱患（禁用高危服務端口、非法程序腳本執行、非授權程序安裝）；限制非法操作（用戶權限管理、進程內存配額管理）；啟用安全保護（數字簽名、進程保護）；減低資源浪費（系統資源占用管理）。二、政務終端安全標準框架內容政務終端安全核心配置標準框架從總體上可分為三大類：（一）總體標準主要根據安全需求制定終端所有達到的要求。1、政務終端安全核心配置規范。賬戶管理配置。此類安全配置用于保護用戶的登錄信息，增加賬戶信息被竊取的復雜度。主要包括賬戶策略和密碼策略；系統安全配置。此類配置有利于加固操作系統自身的安全性，降低由于權限、漏洞、監控等問題帶來的風險。配置內容主要包括審核策略、安全選項、用戶權限分配和事件日志；終端組件配置。主要加強用戶安裝的軟硬件管理，對可能造成危害的情況實施控制或限制使用范圍。主要包括IE管理、附件管理、電源管理、顯示管理、聊天工具、會話管理、終端服務管理、網絡會議等配置內容；另外還有域配置和用戶等配置等規范。2、政務終端等級保護安全配置要求。依據計算機信息系統安全保護等級劃分準則和信息系統安全等級保護基本模型，針對自主保護級、指導保護級、監督保護級、強制保護級和專控保護級五種安全保護等級，從物理安全、系統安全、網絡安全和應用安全四個層面，專門對政務終端安全核心配置提出等級保護要求。（二）技術指標類主要為各配置項設定具體內容，通過不同的策略值滿足不同的層次要求。1、操作系統安全基線。根據網絡和信息系統等級保護的要求，要達到的安全配置，保證即安全又有良好的使用性。包括賬戶策略、本地策略、系統策略、網絡策略和操作系統組件。其分為五個級別：用戶自主保護、系統審計保護、安全標記保護、機構化保護和訪問驗證保護。2、瀏覽器安全基線。包括更新管理、站點管理、腳本控制、開發語言權限、瀏覽器進程管理和控件管理等內容。主要配置為：權限管理、歷史記錄、控制面板、高級頁面、互聯網安全頁和限制站點管理。3、辦公軟件安全基線。為了減少辦公軟件使用時給終端帶來的危險，規定其安全配置要求。主要包括文字處理、表格處理、圖片處理和閱讀器等辦公軟件的加密處理、打開或存儲文件格式管理、信任模式控制管理、超級鏈接管理、不可信文件處理、升級管理和宏控制等方面的配置限定。4、郵件系統安全基線。規定了郵件系統安全配置的最低要求，降低對終端所造成的安全風險。內容包括附件管理、自動下載附件、可信郵件查收、設定信任等級、密碼管理、郵件許可僅變更、內容連接控制、郵件加密、上載附件管理和圖片下載管理等。5、常用軟件安全基線。加強終端常用軟件的安全管理，減少安全威脅。規定了網絡下載、媒體播放和即時通信等應用軟件在使用權限、流量控制、自動啟動、自動下載和升級管理等方面的內容。（三）應用支撐類主要為了增強標準的實用性和可用性，制定了相關的要求規范。1、政務終端安全核心配置目錄。包括配置標識、配置名稱、配置值、策略路徑和策略描述等。2、政務終端安全配置格式規范。用來規定描述安全配置格式，以XML語言的樹形結構來描述數據，主要包括安全配置版本信息、基線配置分組、標準配置值檢查和有關配置解釋。3、政務終端安全配置實施指南。從標準的研制、驗證、管理、分發、部署、檢測六個方面，系統地描述政務終端安全核心配置標準的實施過程。主要包括策略制定、策略管理、策略分發、策略配置和策略檢查。三、政務終端安全建設實施計劃（一）政務終端安全部署計劃依托國家政務外網（省公務外網）基礎設施，建設省、市、縣三級，覆蓋全省11個設區市和140個縣（市）的政務終端安全核心配置標準應用支撐平臺。在國家信息中心建設的政務終端標準應用平臺中心節點的支撐下，在省政府辦公廳公務外網中心機房建設省級節點。根據平臺技術要求配備必要的服務器和存儲設備，首先在省政府辦公廳和部分省直部門部署政務終端安全護理。（二）組織政務終端安全護理平臺技術推廣隊伍政務終端安全護理平臺的推廣將采取市場化運作的方式進行，選擇省內具有豐富信息安全實施經驗，并得到國家權威部門認可的專業信息技術公司，做為專業技術維護隊伍，進行技術支持與應用推廣工作。（三）組織市級節點應用試點和驗證工作擴大應用范圍，完成全省所有市級節點的部署工作，選擇一個設區市展開政務終端安全核心配置標準示范應用，進行試點單位終端護理平臺統一的安全配置策略部署。省政府辦公廳依托指定的政務終端安全護理應用推廣技術支持公司，會同省保密局和省安全測評中心，對全省的政府采購終端設備強制執行配置預裝方式。（四）政務終端安全護理培訓政務終端安全護理技術推廣將組織一系列的應用培訓工作。1、標準培訓。針對機關工作人員，主要介紹政務終端安全配置的基礎內容和框架，增強培訓