TITLE****信息系統(tǒng)

安全風(fēng)險(xiǎn)評(píng)估服務(wù)方案■文檔編號(hào)DOCPROPERTY文檔編號(hào)NSF-XA-G-S-0801■密級(jí)DOCPROPERTY密級(jí)商業(yè)秘密■版本編號(hào)1.0■日期2008-8-7?DATE\@"yyyy"2009綠盟科技

■版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬DOCPROPERTYCompany綠盟科技所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)DOCPROPERTYCompany綠盟科技的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。■版本變更記錄時(shí)間版本說明修改人2008-08-71.0文檔創(chuàng)建張晟■適用性聲明本文檔是北京神州綠盟科技有限公司（以下簡稱：綠盟科技）為陜西省地方稅務(wù)局（以下簡稱：****）所撰寫的安全評(píng)估服務(wù)方案書，僅供****相關(guān)項(xiàng)目人員參考。 -商業(yè)秘密項(xiàng)目簡介為了更好的發(fā)現(xiàn)并了解******信息系統(tǒng)的安全現(xiàn)狀，為日后保障陜西省地方稅務(wù)局的稅務(wù)信息系統(tǒng)安全投資的有效性，陜西省地方稅務(wù)局準(zhǔn)備啟動(dòng)本項(xiàng)目。綠盟科技針對(duì)****本次項(xiàng)目的具體要求，特制定本安全評(píng)估方案，通過安全風(fēng)險(xiǎn)評(píng)估幫助****系統(tǒng)的了解稅務(wù)信息系統(tǒng)的安全技術(shù)現(xiàn)狀與安全管理現(xiàn)狀。項(xiàng)目范圍本次對(duì)******信息系統(tǒng)的安全評(píng)估范圍是涉及到陜西省地稅稅務(wù)信息系統(tǒng)的主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫以及管理運(yùn)行維護(hù)體系。本方案中，涉及的主要評(píng)估對(duì)象有：****省中心服務(wù)器主機(jī)系統(tǒng)****省中心服務(wù)器維護(hù)管理PC系統(tǒng)****省中心網(wǎng)絡(luò)設(shè)備****省中心信息安全設(shè)備****省中心信息系統(tǒng)的管理制度方案設(shè)計(jì)原則與依據(jù)在本方案中綠盟科技主要針對(duì)稅務(wù)信息系統(tǒng)的維護(hù)、管理方面進(jìn)行整體的評(píng)估方案的撰寫。方案設(shè)計(jì)原則綠盟科技安全評(píng)估服務(wù)將遵循以下相關(guān)原則，保障準(zhǔn)確的達(dá)到評(píng)估目的。標(biāo)準(zhǔn)性原則：綠盟科技安全評(píng)估服務(wù)的相關(guān)方案、文檔、內(nèi)容以及安全評(píng)估服務(wù)的實(shí)施將依據(jù)國內(nèi)或國際以及行業(yè)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。規(guī)范性原則：綠盟科技在項(xiàng)目實(shí)施過程中，將嚴(yán)格按照相關(guān)質(zhì)量控制體系的規(guī)范進(jìn)行安全評(píng)估實(shí)施。可控性原則：綠盟科技的評(píng)估的工具、方法和過程將采用雙方確定、雙方認(rèn)可的方式進(jìn)行評(píng)估，評(píng)估服務(wù)的進(jìn)度安排將依照計(jì)劃進(jìn)行相關(guān)安全評(píng)估，保證****與綠盟科技對(duì)于評(píng)估工作的可控性。整體性原則：綠盟科技的安全評(píng)估方案設(shè)計(jì)中，遵照整體性原則進(jìn)行設(shè)計(jì)，根據(jù)該方案所設(shè)計(jì)的評(píng)估流程與評(píng)估內(nèi)容所產(chǎn)生的風(fēng)險(xiǎn)評(píng)估結(jié)果，具備較好的覆蓋性。最小影響原則：綠盟科技的評(píng)估工作采取盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行的方式進(jìn)行，盡可能不對(duì)正在的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷，如無法避免出現(xiàn)這些情況會(huì)在風(fēng)險(xiǎn)提示報(bào)告上詳細(xì)描述）。保密原則：綠盟科技安全評(píng)估工作將進(jìn)行嚴(yán)格的信息保密制度，綠盟科技將對(duì)信息安全評(píng)估的內(nèi)容、評(píng)估的結(jié)果以及相關(guān)內(nèi)容進(jìn)行嚴(yán)格保密，并簽署相應(yīng)的保密協(xié)議。方案設(shè)計(jì)依據(jù)方案設(shè)計(jì)理論模型依照信息系統(tǒng)風(fēng)險(xiǎn)管理的具體要求，信息安全建設(shè)的過程必須從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等各個(gè)方面進(jìn)行全方位的保護(hù)。因此一個(gè)有效的安全評(píng)估過程也同樣需要對(duì)信息系統(tǒng)安全的各個(gè)方面全方位考慮。因此，綠盟科技在進(jìn)行安全評(píng)估的方案設(shè)計(jì)時(shí)，主要通過了以下的模型與思想，進(jìn)行安全評(píng)估的方案指導(dǎo)設(shè)計(jì)。安全需求安全目標(biāo)OTPAPTRAPDR機(jī)構(gòu)建設(shè)人員管理制度管理資產(chǎn)管理物理管理技術(shù)管理風(fēng)險(xiǎn)管理安全評(píng)估安全防護(hù)入侵檢測(cè)應(yīng)急恢復(fù)組織體系管理體系技術(shù)體系信息系統(tǒng)安全體系架構(gòu)InformationSystemSecurityFramework整體安全保障體系建設(shè)模型 綠盟科技在進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估方案設(shè)計(jì)時(shí)，嚴(yán)格遵循信息安全保障體系幾建設(shè)模型，從組織體系、管理體系、技術(shù)體系多方面來進(jìn)行信息系統(tǒng)現(xiàn)狀的調(diào)研、分析，根據(jù)稅務(wù)稅務(wù)信息系統(tǒng)的業(yè)務(wù)特點(diǎn)，安全特點(diǎn)進(jìn)行細(xì)致的分析。 另外，綠盟科技在進(jìn)行安全風(fēng)險(xiǎn)評(píng)估過程中，貫徹等級(jí)化思想，針對(duì)不同業(yè)務(wù)系統(tǒng)的安全需求等級(jí)，來確定某一安全區(qū)域的安全機(jī)制是否服務(wù)該安全等級(jí)的要求。通過等級(jí)化思想，可以良好的避免安全體系建設(shè)中投資的浪費(fèi)，提高安全投資的有效性。方案設(shè)計(jì)依據(jù)標(biāo)準(zhǔn)及規(guī)范任何信息系統(tǒng)的安全建設(shè)均需要符合所處行業(yè)的相關(guān)標(biāo)準(zhǔn)，因此，綠盟科技在設(shè)計(jì)本方案時(shí)，依照了目前國際、國內(nèi)對(duì)信息安全評(píng)估的主要要求，以及在行業(yè)內(nèi)部對(duì)信息安全的整體建設(shè)思路進(jìn)行安全評(píng)估方案的設(shè)計(jì)。 綠盟科技在本次安全評(píng)估方案設(shè)計(jì)時(shí)主要遵循了以下的一些標(biāo)準(zhǔn)： 信息安全管理標(biāo)準(zhǔn)ISO17799（GB/T19716）、ISO27001信息安全管理指南ISO13335（GB/T19715)信息安全通用準(zhǔn)則ISO15408（GB/T18336）系統(tǒng)安全工程能力成熟模型SSE-CMM國家信息中心《風(fēng)險(xiǎn)評(píng)估指南》國家信息中心《風(fēng)險(xiǎn)管理指南》計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則（GB17859）計(jì)算機(jī)信息系統(tǒng)等級(jí)保護(hù)相關(guān)規(guī)范（GB/T20269、GB/T20270、GB/T20271、GB/T20272、GB/T20273等）《國家稅務(wù)總局關(guān)于加強(qiáng)稅務(wù)信息系統(tǒng)安全風(fēng)險(xiǎn)管理工作的意見》（國稅函【2008】308號(hào)）其他相關(guān)標(biāo)準(zhǔn)（AS/NZS4360，GAO/AIMD-00-33，GAO/AIMD-98-68，BSIPD3000，GB/T17859，IATF）方案設(shè)計(jì)思路在本方案設(shè)計(jì)中，綠盟科技的主要設(shè)計(jì)思路是為了更好的發(fā)現(xiàn)****網(wǎng)絡(luò)信息系統(tǒng)所存在的安全問題，以及發(fā)現(xiàn)安全威脅的可能性。從標(biāo)準(zhǔn)化的安全管理要求中，滿足信息系統(tǒng)的安全風(fēng)險(xiǎn)的發(fā)現(xiàn)、定量、定性的評(píng)估。并最終根據(jù)通用的優(yōu)化標(biāo)準(zhǔn)，為****提出合理化的安全建議。本方案所選擇的安全評(píng)估服務(wù)模塊主要從物理網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理五個(gè)方面，對(duì)稅務(wù)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。物理上，主要了解目前****信息系統(tǒng)在防塵、防靜電、防火、防漏水等多個(gè)方面進(jìn)行評(píng)估，了解目前****稅務(wù)信息系統(tǒng)的具體安全狀況。網(wǎng)絡(luò)上，通過網(wǎng)絡(luò)設(shè)備的手工檢查了解目前網(wǎng)絡(luò)設(shè)備的信息、了解信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備在系統(tǒng)漏洞、系統(tǒng)配置上是否存在安全問題；另外通過網(wǎng)絡(luò)構(gòu)架分析了解網(wǎng)絡(luò)在業(yè)務(wù)連續(xù)性、數(shù)據(jù)存儲(chǔ)、傳輸?shù)陌踩赃M(jìn)行系統(tǒng)的安全評(píng)估。在系統(tǒng)方面，綠盟科技安全專家采用遠(yuǎn)程安全評(píng)估、人工安全檢查等多個(gè)方面進(jìn)行系統(tǒng)的安全評(píng)估，了解系統(tǒng)在配置、使用以及系統(tǒng)自身的脆弱性上進(jìn)行細(xì)致的安全評(píng)估。應(yīng)用上主要通過人工安全檢查了解應(yīng)用中各個(gè)信息系統(tǒng)的整體安全狀況，另外，根據(jù)信息系統(tǒng)的業(yè)務(wù)調(diào)研和訪談過程，了解應(yīng)用中所涉及到的各個(gè)安全狀況、安全解決方式方法。管理上，主要中ISO17799的11個(gè)方面對(duì)****的安全現(xiàn)狀進(jìn)行分析。通過對(duì)****的具體安全管理策略與安全措施的了解，分析出****在管理方面所存在的安全漏洞與潛在風(fēng)險(xiǎn)，管理上采用的主要方式為管理問卷調(diào)查、訪談、管理文檔分析。安全評(píng)估服務(wù)的范圍依照****目前的網(wǎng)絡(luò)狀況，建議****在進(jìn)行安全評(píng)估中，采用多期分網(wǎng)絡(luò)層次的安全評(píng)估服務(wù)，即在進(jìn)行安全評(píng)估服務(wù)時(shí)，采用分節(jié)點(diǎn)、分層次的進(jìn)行信息安全評(píng)估。依照目前****的網(wǎng)絡(luò)現(xiàn)狀，綠盟科技建議在一期階段，針對(duì)省中心進(jìn)行安全評(píng)估，而后續(xù)再分別正對(duì)地市中心以及縣中心進(jìn)行安全評(píng)估。省中心網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示：依照綠盟科技建議，本次評(píng)估將直接針對(duì)****的省中心網(wǎng)絡(luò)進(jìn)行安全評(píng)估，包括了省中心的Internet接入?yún)^(qū)、稅務(wù)內(nèi)網(wǎng)辦公網(wǎng)以及Intranet節(jié)點(diǎn)。內(nèi)部辦公網(wǎng)絡(luò)服務(wù)器區(qū)、小型機(jī)區(qū)。安全評(píng)估服務(wù)手段在安全評(píng)估中，所采取的評(píng)估方式針對(duì)不同的評(píng)估方式，將直接影響到評(píng)估結(jié)果，綠盟科技將采用以下的評(píng)估方式進(jìn)行安全評(píng)估，發(fā)現(xiàn)目前****稅務(wù)信息系統(tǒng)的安全狀況。遠(yuǎn)程安全評(píng)估為了充分了解****稅務(wù)信息系統(tǒng)當(dāng)前存在的安全隱患，保障進(jìn)一步提供****各個(gè)業(yè)務(wù)主機(jī)系統(tǒng)的具體安全漏洞情況，綠盟科技將采用“極光”遠(yuǎn)程安全評(píng)估系統(tǒng)對(duì)****相關(guān)設(shè)備、服務(wù)器系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行掃描，并檢查網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)和其上提供的服務(wù)的安全脆弱性，識(shí)別被攻擊者可能用來非法進(jìn)入網(wǎng)絡(luò)的漏洞，主動(dòng)發(fā)現(xiàn)安全問題。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費(fèi)低、效果好、見效快、與網(wǎng)絡(luò)的運(yùn)行相對(duì)獨(dú)立、安裝運(yùn)行簡單，可以大規(guī)模減少安全管理員的手工勞動(dòng)。安全掃描技術(shù)基本上也可分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機(jī)上的風(fēng)險(xiǎn)與漏洞，而后者則是通過網(wǎng)絡(luò)遠(yuǎn)程探測(cè)其他主機(jī)的安全風(fēng)險(xiǎn)與漏洞。在本項(xiàng)目中，安全掃描主要是通過評(píng)估工具以遠(yuǎn)程掃描的方式對(duì)評(píng)估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，來查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)和用戶賬號(hào)/口令等安全對(duì)象目標(biāo)存在的安全風(fēng)險(xiǎn)、漏洞和威脅。從網(wǎng)絡(luò)層次的角度來看，掃描涉及了如下三個(gè)層面的安全問題。1．系統(tǒng)層安全：該層的安全問題來自網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)：UNIX系列、Linux系列、WindowsNT系列以及專用操作系統(tǒng)等。安全性問題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等；二是操作系統(tǒng)的安全配置存在問題。身份認(rèn)證：通過telnet進(jìn)行口令猜測(cè)……訪問控制：注冊(cè)表HKEY_LOCAL_MACHINE普通用戶可寫，遠(yuǎn)程主機(jī)允許匿名FTP登錄，ftp服務(wù)器存在匿名可寫目錄……系統(tǒng)漏洞：SystemV系統(tǒng)Login遠(yuǎn)程緩沖區(qū)溢出漏洞，MicrosoftWindowsLocator服務(wù)遠(yuǎn)程緩沖區(qū)溢出漏洞……安全配置問題：部分SMB用戶存在薄弱口令，試圖使用rsh登錄進(jìn)入遠(yuǎn)程系統(tǒng)……2．網(wǎng)絡(luò)層安全：該層的安全問題主要指網(wǎng)絡(luò)信息的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入、域名系統(tǒng)、路由系統(tǒng)的安全，入侵檢測(cè)的手段等。域名系統(tǒng)：ISCBINDSIG資源記錄無效過期時(shí)間拒絕服務(wù)攻擊漏洞，MicrosoftWindowsNTDNS拒絕服務(wù)攻擊……路由器：CiscoIOSWeb配置接口安全認(rèn)證可被繞過，Nortel交換機(jī)/路由器缺省口令漏洞，華為網(wǎng)絡(luò)設(shè)備沒有設(shè)置口令……3．應(yīng)用層安全：該層的安全考慮網(wǎng)絡(luò)對(duì)用戶提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性，包括：數(shù)據(jù)庫軟件、Web服務(wù)、電子郵件系統(tǒng)、域名系統(tǒng)、交換與路由系統(tǒng)、防火墻及應(yīng)用網(wǎng)管系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等。數(shù)據(jù)庫軟件：Oracletnslsnr沒有設(shè)置口令，MicrosoftSQLServer2000Resolution服務(wù)多個(gè)安全漏洞……Web服務(wù)器：ApacheMod_SSL/Apache-SSL遠(yuǎn)程緩沖區(qū)溢出漏洞，MicrosoftIIS5.0.printerISAPI遠(yuǎn)程緩沖區(qū)溢出，SunONE/iPlanetWeb服務(wù)程序分塊編碼傳輸漏洞……電子郵件系統(tǒng)：Sendmail頭處理遠(yuǎn)程溢出漏洞，MicrosoftWindows2000SMTP服務(wù)認(rèn)證錯(cuò)誤漏洞……防火墻及應(yīng)用網(wǎng)管系統(tǒng)：AxentRaptor防火墻拒絕服務(wù)漏洞……其它網(wǎng)絡(luò)服務(wù)系統(tǒng)：WingatePOP3USER命令遠(yuǎn)程溢出漏洞，Linux系統(tǒng)LPRng遠(yuǎn)程格式化串漏洞……人工安全檢查僅僅通過掃描是不能夠及時(shí)的發(fā)現(xiàn)目前網(wǎng)絡(luò)中各個(gè)主機(jī)、網(wǎng)絡(luò)設(shè)備的具體安全狀況。因此需要通過其他的輔助手段對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備的安全狀況進(jìn)行更為細(xì)致的判斷。人工安全檢查采用人工方式對(duì)被評(píng)估主機(jī)、網(wǎng)絡(luò)設(shè)備以及安全產(chǎn)品進(jìn)行配置信息獲取，并對(duì)信息進(jìn)行詳細(xì)的分析，了解被評(píng)估系統(tǒng)的脆弱點(diǎn)與安全風(fēng)險(xiǎn)。人工安全檢查的主要內(nèi)容為：路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的配置是否最優(yōu)，是否配置了安全參數(shù)；主機(jī)系統(tǒng)的安全配置策略是否最優(yōu)，是否進(jìn)行了安全增強(qiáng)；終端設(shè)備的安全配置策略是否最優(yōu)，是否進(jìn)行了安全增強(qiáng);對(duì)防火墻、入侵檢測(cè)、SUS、SMS等安全產(chǎn)品安全策略及其日志進(jìn)行分析。網(wǎng)絡(luò)構(gòu)架分析網(wǎng)絡(luò)構(gòu)架分析是綠盟科技在進(jìn)行安全評(píng)估時(shí)，針對(duì)網(wǎng)絡(luò)構(gòu)架、網(wǎng)絡(luò)體系等進(jìn)行細(xì)致的分析，網(wǎng)絡(luò)構(gòu)架分析的目的是檢查網(wǎng)絡(luò)整體的構(gòu)架是否存在缺陷，是否存在導(dǎo)致信息安全事件發(fā)生的隱患。在網(wǎng)絡(luò)構(gòu)架分析中，所涉及的檢查項(xiàng)目為：網(wǎng)絡(luò)建設(shè)的規(guī)范性：網(wǎng)絡(luò)安全規(guī)劃、設(shè)備命名規(guī)范性、網(wǎng)絡(luò)架構(gòu)安全性。網(wǎng)絡(luò)的可靠性：網(wǎng)絡(luò)設(shè)備和鏈路冗余、設(shè)備選型及可擴(kuò)展性。網(wǎng)絡(luò)邊界安全：網(wǎng)絡(luò)設(shè)備的ACL、防火墻、隔離網(wǎng)閘、物理隔離、VLAN（二層ACL）等。網(wǎng)絡(luò)協(xié)議分析：路由、交換、組播、IGMP、CGMP、IPv4、IPv6等協(xié)議。網(wǎng)絡(luò)流量分析：帶寬流量分析、異常流量分析、QOS配置分析、抗拒絕服務(wù)能力。網(wǎng)絡(luò)通信安全：通信監(jiān)控、通信加密、VPN分析等。設(shè)備自身安全：SNMP、口令、設(shè)備版本、系統(tǒng)漏洞、服務(wù)、端口等。網(wǎng)絡(luò)安全管理：網(wǎng)管系統(tǒng)、客戶端遠(yuǎn)程登陸協(xié)議、日志審計(jì)、設(shè)備身份驗(yàn)證等。應(yīng)用系統(tǒng)調(diào)研針對(duì)稅務(wù)信息系統(tǒng)，綠盟科技將會(huì)針對(duì)稅務(wù)信息系統(tǒng)的開發(fā)與管理人員進(jìn)行人工訪談以及人工檢查。通過人工訪談，能夠從系統(tǒng)設(shè)計(jì)思路上做出信息系統(tǒng)安全的依據(jù)，了解設(shè)計(jì)思路是否存在安全隱患與缺陷。人工檢查的作用是通過人工安全檢查了解目前應(yīng)用系統(tǒng)本身的安全性內(nèi)容，了解設(shè)計(jì)中的安全思想是否能夠準(zhǔn)確的表達(dá)與使用。安全評(píng)估服務(wù)流程安全評(píng)估服務(wù)需要一個(gè)標(biāo)準(zhǔn)的服務(wù)流程才能充分保障服務(wù)的效果，本次****的主要目標(biāo)是依照國家稅務(wù)總局的要求，做好網(wǎng)上營業(yè)廳的信息安全風(fēng)險(xiǎn)管理工作。依照****本次評(píng)估的范圍和目標(biāo)，綠盟科技設(shè)計(jì)實(shí)施安全評(píng)估服務(wù)的主要流程如下：明確評(píng)估范圍在評(píng)估工作正式開始前，需要針對(duì)被評(píng)估的系統(tǒng)進(jìn)行準(zhǔn)確的范圍確定，其中，范圍不僅僅包括信息系統(tǒng)的邏輯范圍，還包含了信息系統(tǒng)維護(hù)、管理體系，規(guī)章制度等方面的內(nèi)容。為保障后續(xù)實(shí)施評(píng)估的可控性，綠盟科技在進(jìn)行安全評(píng)估過程之前，需要針對(duì)具體的安全評(píng)估范圍進(jìn)行明確的確定與劃分。評(píng)估前培訓(xùn)為了保障評(píng)估的質(zhì)量，以及提高各個(gè)管理維護(hù)人員對(duì)信息安全評(píng)估的理解，綠盟科技建議在評(píng)估前，對(duì)****的主要網(wǎng)管維護(hù)人員進(jìn)行評(píng)估前的培訓(xùn)，培訓(xùn)內(nèi)容包括了信息系統(tǒng)安全建設(shè)的基礎(chǔ)理論，信息安全評(píng)估的目的以及本次評(píng)估的主要作用與目的。由于信息安全評(píng)估工作的特殊性，在評(píng)估時(shí)，部分員工會(huì)認(rèn)為是進(jìn)行檢查工作，潛意識(shí)中對(duì)信息安全評(píng)估會(huì)產(chǎn)生一定的抵觸情緒，因此，在進(jìn)行信息安全評(píng)估之前，需要對(duì)主要參與人員以及配合人員將信息安全評(píng)估的重要性，信息安全評(píng)估的目的、內(nèi)容進(jìn)行明確。降低抵觸情緒。因此在明確完成評(píng)估范圍的確定后，對(duì)****相關(guān)項(xiàng)目參與、配合人員進(jìn)行安全評(píng)估前的培訓(xùn)，保障評(píng)估效果達(dá)到最佳。資產(chǎn)識(shí)別與估價(jià)信息安全建設(shè)的基礎(chǔ)是信息資產(chǎn)，因此通過對(duì)信息資產(chǎn)的識(shí)別與估價(jià)，能夠有準(zhǔn)確的了解被評(píng)估系統(tǒng)的基礎(chǔ)信息，并根據(jù)基礎(chǔ)信息，確定具體的安全評(píng)估的操作步驟。依照本次安全評(píng)估的目標(biāo)，綠盟科技將針對(duì)稅務(wù)信息系統(tǒng)的硬件、軟件資產(chǎn)進(jìn)行識(shí)別，根據(jù)識(shí)別結(jié)果，確定后續(xù)的安全評(píng)估的工作的具體開展方式。在評(píng)估過程中，綠盟科技針對(duì)具體的資產(chǎn)內(nèi)容，列出資產(chǎn)清單列表，在經(jīng)過業(yè)務(wù)訪談后，將根據(jù)資產(chǎn)的重要性，從完整性、可用性、機(jī)密性三個(gè)方面對(duì)其進(jìn)行賦值。系統(tǒng)業(yè)務(wù)流程調(diào)研在結(jié)束資產(chǎn)識(shí)別與估價(jià)后，綠盟科技針對(duì)****的稅務(wù)信息系統(tǒng)的具體業(yè)務(wù)流程進(jìn)行調(diào)研，通過調(diào)研了解業(yè)務(wù)數(shù)據(jù)的具體工作流程與內(nèi)容。系統(tǒng)業(yè)務(wù)流程調(diào)研的主要目的通過對(duì)業(yè)務(wù)流的梳理，了解各個(gè)業(yè)務(wù)流中各個(gè)信息安全關(guān)鍵點(diǎn)，并根據(jù)此內(nèi)容制定后期的評(píng)估重點(diǎn)，設(shè)計(jì)具體的評(píng)估技術(shù)手段。脆弱性評(píng)估脆弱性評(píng)估是了解信息系統(tǒng)的網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用的重要手段，通過脆弱性評(píng)估能夠細(xì)致的了解目前信息系統(tǒng)的具體內(nèi)容、安全模式。在進(jìn)行脆弱性評(píng)估時(shí)，綠盟科技主要采用遠(yuǎn)程安全評(píng)估、手工檢查、網(wǎng)絡(luò)構(gòu)架評(píng)估以及滲透測(cè)試的方式對(duì)****的稅務(wù)信息系統(tǒng)進(jìn)行評(píng)估。通過上述的評(píng)估手段，能夠了解到目前****稅務(wù)信息系統(tǒng)中，主機(jī)安全增強(qiáng)設(shè)置，帳戶口令策略，系統(tǒng)漏洞，配置漏