信息安全評估與實施項目–應用要求

信息安全評估與實施項目–應用要求本文件內(nèi)容范圍根據(jù)立項流程相關要求，本文件就《信息安全評估與實施項目》的應用要求進行詳細說明項目背景從外部環(huán)境來看，近年來，信息安全各方面威脅不斷增大；2014年2月27日，中央網(wǎng)絡安全和信息化領導小組成立，并在北京召開了第一次會議，習近平親自擔任組長，李克強、劉云山任副組長，網(wǎng)絡信息安全上升為國家戰(zhàn)略。從內(nèi)部安全環(huán)境來看，近年發(fā)生了如下的信息安全事件：1、電商部分會員收到詐騙短信事件；2、敏感崗位和敏感部門存在數(shù)據(jù)防泄密問題。根據(jù)公司要求，需要進一步健全信息安全體系，填補安全制度缺口和管理盲點，更好的滿足企業(yè)信息安全策略和管理要求，希望借助外部專業(yè)機構(gòu)協(xié)助公司啟動信息安全體系建設工作。項目階段與具體應用要求本此項目建設內(nèi)容主要分為如下三個階段：信息安全全面評估、信息安全體系規(guī)劃與方案制定、信息安全措施，詳細應用要求內(nèi)容如下：信息安全全面評估應用收益概述通過對信息安全的評估，根據(jù)所找到的風險點并結(jié)合華潤萬家的實際情況?？梢缘玫饺A潤萬家綜合性的安全評估報告。包括漏洞與風險類別、漏洞與風險名稱、嚴重程度排名、潛在業(yè)務影響風險、潛在聲譽影響風險、信息安全成熟度分析與國際國內(nèi)相關企業(yè)的差距、整改優(yōu)先級等。應用實現(xiàn)要求外包專業(yè)機構(gòu)應當依據(jù)國家信息安全等級保護制度，遵循相關標準規(guī)范，對華潤萬家進行信息安全管控現(xiàn)狀分析、風險評估，識別安全隱患，并提交風險評估報告。具體內(nèi)容如下：3.1.1．信息安全管理體系評估關注點信息安全管理體系內(nèi)容簡介通過訪談，了解受訪者對信息安全的理解，并通過對相關管理體系的政策的審查，了解當前在信息安全管理體系中制度建設與人員信息安全管理方面的問題與風險。具體步驟根據(jù)第三方咨詢公司的經(jīng)驗以及最佳實踐標準進行訪談內(nèi)容意見重點問題的提煉對管理層進行訪談對信息安全管理體系中重點崗位負責人進行訪談從三個方面即組織結(jié)構(gòu)中的決策、管理、執(zhí)行以及監(jiān)督策略(崗位、人員、授權、溝通、檢查)、人員安全中的意識、技能、職稱、培訓、考核標準（錄用、離崗、考核、教育）以及標準制度中的方針政策、制度規(guī)范、流程表單（制定、發(fā)布、評審、修訂）三個角度對現(xiàn)階段實行的信息安全管理體系政策、制度進行審查。此項審查將根據(jù)一套全面的標準進行，包括相關法律法規(guī)如國家標準，最佳實踐如ISO、ITIL，以及第三方咨詢公司內(nèi)部最佳實踐交付物訪談報告及其分析結(jié)果交付物內(nèi)容領導層以及關鍵崗位負責人對現(xiàn)階段信息安全管理體系的期望以及關注重點信息安全管理體系發(fā)現(xiàn)問題以及對應風險信息安全管理體系問題以及風險分類結(jié)合華潤實際情況以及針對華潤萬家的業(yè)務影響程度，確認信息安全管理體系問題嚴重程度信息安全管理體系整改方案訪談對象列表審查的信息管理體系相關政策、列表3.1.2．關鍵以及高風險的系統(tǒng)以及應用全方位的滲透測試關注點信息安全技術體系內(nèi)容簡介從數(shù)據(jù)、網(wǎng)絡、主機、應用、物理等五個維度，通過模擬黑客攻擊的高強度滲透測試，發(fā)現(xiàn)信息安全技術體系中的風險點具體步驟根據(jù)華潤萬家的內(nèi)部IT系統(tǒng)以及應用實施程度，并結(jié)合對華潤萬家業(yè)務的潛在威脅和影響，確認滲透測試的范圍和方式網(wǎng)頁應用滲透測試：該項工作將從該網(wǎng)頁出發(fā)，對該系統(tǒng)進行應用層面的掃描。掃描器將主要通過注入非法字符并提交給服務器等手段，以判斷網(wǎng)絡購物系統(tǒng)是否存在常見的網(wǎng)絡應用漏洞。在應用層面掃描的基礎上，需要進一步針對網(wǎng)絡購物系統(tǒng)的校驗和流程，進行手動的測試。測試內(nèi)容主要參考TheOpenWebApplicationSecurityProject(OWASP)中十項最嚴重的網(wǎng)絡應用程序安全風險（如注入、跨站腳本、未驗證的復位向和轉(zhuǎn)發(fā)、跨站請求偽造等）進行測試，并發(fā)現(xiàn)在重要應用邏輯上漏洞。移動應用滲透測試：此項工作應當首先安裝移動客戶端應用程序，并根據(jù)第三方咨詢公司對于安卓手機以及蘋果手機系統(tǒng)的了解，對移動客戶客戶端網(wǎng)絡購物應用進行滲透測試。并且建立面向移動應用客戶端的測試案例來針對性的尋找在關鍵流程以及賬戶管理上的潛在威脅。在此基礎上，應該進一步針對移動客戶端網(wǎng)絡購物應用程序的構(gòu)造，對移動客戶端本地密匙儲存，日志文件，臨時文件以及系統(tǒng)快照進行分析，并嘗試從中獲取敏感資料，可能包括用戶個人信息，賬戶密碼，以及信用卡資料等等。內(nèi)部網(wǎng)絡滲透測試：此項滲透測試將通過灰盒的方式進行，模擬普通內(nèi)部員工接入內(nèi)部網(wǎng)絡以及使用有限的權限，結(jié)合對華潤萬家內(nèi)部系統(tǒng)的部分認識，在通過使用一些黑客攻擊手段，如針對重點服務器的配置缺陷攻破主機防御、針對共享文件夾權限的配置失誤查看敏感信息、針對內(nèi)部應用會話的保護缺失進行會話劫持、竊聽攻擊等方式。確認在內(nèi)部網(wǎng)絡中存在的風險，并確定對華潤萬家的業(yè)務影響外部網(wǎng)絡滲透測試：此項滲透測試將通過黑盒的方式進行，模擬外部黑客進行網(wǎng)絡攻擊，尋找攻擊突破點，建立外部網(wǎng)絡連接內(nèi)部網(wǎng)絡的連接橋梁，并滲透到內(nèi)部網(wǎng)絡進行敏感資料竊取、客戶信息盜取等的攻擊。確認在外部網(wǎng)絡中存在的風險，并確定對華潤萬家的業(yè)務影響交付物滲透測試報告交付物內(nèi)容滲透測試范圍滲透測試方法滲透測試發(fā)現(xiàn)的問題以及對應的風險滲透測試發(fā)現(xiàn)的問題以及風險分類結(jié)合華潤實際情況以及針對華潤萬家的業(yè)務影響程度，確認滲透測試中發(fā)現(xiàn)的問題以及風險嚴重程度滲透測試發(fā)現(xiàn)問題的整改方案3.1.3．通過掃描工具漏洞掃描關注點信息安全技術體系內(nèi)容簡介通過漏洞掃描軟件，確認現(xiàn)階段在華潤萬家內(nèi)部IT基礎設施重要系統(tǒng)、應用中存在的漏洞（如配置失誤、過期補丁等）具體步驟根據(jù)華潤萬家系統(tǒng)特點，制定漏洞掃描范圍、掃描計劃以及掃描軟件配置通過內(nèi)部、外部漏洞掃描的方式該項工作將針對潤萬家內(nèi)部IT基礎設施重要系統(tǒng)、應用展開，我們將從內(nèi)部、外部網(wǎng)絡直接利用網(wǎng)絡安全掃描工具掃描相關的系統(tǒng)以及相關網(wǎng)絡設備，包括但不限于（網(wǎng)頁服務器、應用服務器、數(shù)據(jù)庫服務器、防火墻、路由器以及交換機等）交付物漏洞掃描報告交付物內(nèi)容漏洞掃描范圍漏洞掃描時間以及掃描工具數(shù)據(jù)庫版本漏洞掃描發(fā)現(xiàn)的問題以及對應的風險信息安全管理體系問題以及風險分類結(jié)合華潤實際情況以及針對華潤萬家的業(yè)務影響程度，確認漏洞掃描中發(fā)現(xiàn)的問題以及風險嚴重程度漏洞掃描發(fā)現(xiàn)問題以及風險點整改方案3.1.4．系統(tǒng)及其組件安全配置審閱關注點信息安全技術體系內(nèi)容簡介根據(jù)對關鍵或有代表行的系統(tǒng)及其組件進行安全配置審閱，發(fā)現(xiàn)問題以及風險點

具體步驟確認安全配置審閱范圍：根據(jù)原則選取關鍵或有代表性的系統(tǒng)及其相關組件的安全配置審查范圍（如，根據(jù)不同系統(tǒng)：Windows、Linux、AIX，根據(jù)不同設備：防火墻、路由器、交換機，根據(jù)不同業(yè)務需要：MSSQL、Oracle、DB2、Apache、Tomcat等）根據(jù)不同系統(tǒng)的特點，進行定制化的系統(tǒng)安全配置審閱，并主要關注如下方面：訪問控制、權限配置、日志管理、審計能力、數(shù)據(jù)保護、通信保護等交付物系統(tǒng)配置問題交付物內(nèi)容系統(tǒng)安全配置審閱范圍系統(tǒng)安全配置審閱發(fā)現(xiàn)的問題以及對應的風險系統(tǒng)安全配置審閱發(fā)現(xiàn)的問題以及風險分類結(jié)合華潤實際情況以及針對華潤萬家的業(yè)務影響程度，確認安全配置審閱中發(fā)現(xiàn)的問題以及風險嚴重程度安全配置審閱發(fā)現(xiàn)問題以及風險點整改方案3.1.5．物理安全審查關注點信息安全技術體系內(nèi)容簡介通過對相關物理安全控制的審查，尋找相關問題以及風險具體步驟通過對相關物理安全控制的全面審查，找到相關的控制薄弱點。具體審查范圍包括：數(shù)據(jù)中心：機房安全，災難備份，基礎設施安全，人員設備出入控制等辦公區(qū)域：物理區(qū)域分割，人員出入控制，門禁管控等交付物物理安全漏洞交付物內(nèi)容物理安全審閱范圍物理安全審閱發(fā)現(xiàn)的問題以及對應的風險物理安全審閱發(fā)現(xiàn)的問題以及風險分類結(jié)合華潤實際情況以及針對華潤萬家的業(yè)務影響程度，確認物理安全審閱中發(fā)現(xiàn)的問題以及風險嚴重程度物理安全審閱發(fā)現(xiàn)問題以及風險點整改方案3.1.6．信息安全行業(yè)標桿對標分析關注點信息安全運行體系內(nèi)容簡介對現(xiàn)階段的信息安全運行體系進行全方位審查，對比同行業(yè)或者同地域的企業(yè)標桿，發(fā)現(xiàn)信息安全的弱點以及痛點具體步驟針對信息安全運行體系，對現(xiàn)有信息安全流程文檔進行審閱，并通過對關鍵崗位負責人進行訪談了解不同流程落地情況以及效率，包括系統(tǒng)建設、系統(tǒng)運維以及應急響應等不同維度，對比同行業(yè)或者同地域的企業(yè)標桿，發(fā)現(xiàn)信息安全的弱點以及痛點。交付物信息安全行業(yè)標桿對標分析報告交付物內(nèi)容現(xiàn)階段華潤萬家情況，華潤萬家內(nèi)部期望，同行業(yè)同地域企業(yè)的標桿現(xiàn)階段華潤萬家信息安全現(xiàn)狀，以及華潤萬家內(nèi)部期望，并對比同行業(yè)同地域企業(yè)的標桿分析結(jié)果現(xiàn)階段信息安全弱點、痛點信息安全運行體系整改措施信息安全體系規(guī)劃與方案制定應用收益概述根據(jù)評估報告，并結(jié)合建議措施的細節(jié)進行成本效益分析，確定具體整改措施以及方案，并規(guī)劃出未來1至3年的路線圖與年度方案目標（如：易實施成效高的措施為短期目標年內(nèi)實施，難實施成效高以及易實施成效低的措施為中期目標等）。明確信息安全建設提高的不同階段目標，清晰相關措施的實施方案，為最終的實施階段做好充分準備。應用實現(xiàn)要求根據(jù)評估報告進行問題分析，制定華潤萬家信息安全建設進行短期和長期規(guī)劃，明確未來信息安全工作方向；根據(jù)華潤萬家現(xiàn)有安全薄弱環(huán)節(jié)進行有針對性的信息安全建設方案設計，提高華潤萬家安全水平。具體內(nèi)容如下：3.2.1．信息安全管理體系整改規(guī)劃方案關注點信息安全管理體系內(nèi)容簡介根據(jù)上一階段評估發(fā)現(xiàn)，并結(jié)合華潤萬家實際情況，規(guī)劃出整改方案細節(jié)具體步驟根據(jù)上一階段發(fā)現(xiàn)的問題以及風險點，結(jié)合華潤萬家的實際情況，進行可行性分析，并結(jié)合成本效益分析，得出相應整改路線圖：易實施、成效高為短期目標，難實施、成效高以及易實施、成效低為中期目標等。交付物信息安全管理體系整改規(guī)劃方案交付物內(nèi)容整改路線圖（1-3年）成本效益分析具體實施方案包括：項目負責人牽涉部門實施日期實施方法參考標準實施過程中關鍵里程碑實施工程中的風險控制實施驗收標準，等3.2.2．安全培訓計劃制定關注點信息安全管理體系內(nèi)容簡介根據(jù)上一階段對于人員安全發(fā)現(xiàn)的問題，并結(jié)合華潤萬家實際情況，規(guī)劃出整改方案細節(jié)具體步驟根據(jù)人員安全發(fā)現(xiàn)的問題，結(jié)合管理層以及關鍵崗位負責人對現(xiàn)階段信息安全的關注重點問題，規(guī)劃出下階段信息安全培訓的計劃具體細節(jié)交付物培訓計劃培訓大綱交付物內(nèi)容培訓具體計劃，包括培訓日程、參加方式、考核方式培訓大綱，包括所覆蓋內(nèi)容，重點關注點，重點考核范圍3.2.3．信息安全技術體系整改計劃制定關注點信息安全技術體系內(nèi)容簡介根據(jù)上一階段評估發(fā)現(xiàn)，并結(jié)合華潤萬家實際情況，規(guī)劃出整改方案細節(jié)具體步驟根據(jù)上一階段發(fā)現(xiàn)的問題以及風險點，結(jié)合華潤萬家的實際情況，進行可行性分析，并結(jié)合成本效益分析，得出相應整改路線圖：易實施、成效高為短期目標，難實施、成效高以及易實施、成效低為中期目標等。交付物漏洞修復時間表安全編碼標準開發(fā)標準監(jiān)控系統(tǒng)優(yōu)化方案信息安全技術檢查標準防黑、以及防泄密解決方案選型報告交付物內(nèi)容整改路線圖（1-3年）成本效益分析具體實施方案包括：解決方案選型報告（如有）項目負責人牽涉部門實施日期實施方法參考標準實施過程中關鍵里程碑實施工程中的風險控制實施驗收標準，等安全編碼標準以及開發(fā)標準應當考慮到在之前評估過程做發(fā)現(xiàn)問題原因分析，從根本減小評估階段發(fā)現(xiàn)問題的再發(fā)生的可能性3.2.4．信息安全運行體系流程優(yōu)化方案制定關注點信息安全運行體系內(nèi)容簡介根據(jù)上一階段評估發(fā)現(xiàn)，并結(jié)合華潤萬家實際情況，規(guī)劃出整改方案細節(jié)具體步驟根據(jù)上一階段發(fā)現(xiàn)的問題以及風險點，結(jié)合華潤萬家的實際情況，進行可行性分析，并結(jié)合成本效益分析，得出相應整改路線圖：易實施、成效高為短期目標，難實施、成效高以及易實施、成效低為中期目標等。交付物信息安全運行體系流程優(yōu)化方案交付物內(nèi)容1.整改路線圖（1-3年）2.成本效益分析3.具體實施方案包括：技術解決方案選型報告（如有）項目負責人牽涉部門實施日期實施方法參考標準實施過程中關鍵里程碑實施工程中的風險控制實施驗收標準，等3.2.5．信息安全運行體系流程審查標準關注點信息安全運行體系內(nèi)容簡介根據(jù)上一階段評估發(fā)現(xiàn)，并結(jié)和信息安全運行體系流程優(yōu)化方案，制定信息安全運行體系流程審查標準具體步驟根據(jù)上一階段評估發(fā)現(xiàn)，并結(jié)和信息安全運行體系流程優(yōu)化方案，提煉出相關流程審查標準，為日后的定期審查做好準備交付物信息安全運行體系流程審查標準交付物內(nèi)容審查范圍審查頻率審查方式審查負責人審查重點范圍審查通過條件審查發(fā)現(xiàn)問題后續(xù)跟進工作需求信息安全措施應用收益概述通過對安全實施路線圖中的短期目標的實施，快速聚焦信息安全高風險，如：降低系統(tǒng)攻擊風險、防止敏感信息泄露、降低信息安全事件對業(yè)務的影響、提高攻擊檢測能力、提高敏感信息保護能力，起到保護公司聲譽、部分完善華潤萬家的信息安全管理、技術、以及運行體系的作用。應用實現(xiàn)要求在年內(nèi)落實多項重點措施，包括：人員信息安全培訓；信息安全制度優(yōu)化；電商、會員系統(tǒng)的數(shù)據(jù)加固措施監(jiān)理；數(shù)據(jù)防泄密措施。3.3.1．員工培訓、考核關注點信息安全管理體系內(nèi)容簡介編寫員工培訓資料，制定考核標準具體步驟根據(jù)規(guī)劃和方案階段制定的培訓計劃進行相應的培訓，考核：員工培訓課件的編寫員工培訓考核標準的制定進行員工的培訓和考核安全宣傳手冊的起草交付物員工培訓課件員工培訓考核標準員工培訓、考核記錄安全宣傳手冊交付物內(nèi)容結(jié)合規(guī)劃和方案階段所指定方案的員工培訓課件、考核標準考核記錄的分析結(jié)合華潤萬家實際情況以及關注的信息安全點的安全宣傳手冊3.3.2．信息安全管理體系流程制度體系優(yōu)化關注點信息安全管理體系內(nèi)容簡介根據(jù)計劃和方案對信息安全管理體系流程制度進行優(yōu)化建設具體步驟按照計劃和方案階段制定的整改路線和實施方案細節(jié)，幫助華潤萬家或第三方