集團化企業(yè)信息化風險評估方案

林*公司集團風險評估服務項目方案&&&&科技有限公司2013年12月25日

目錄第1章.項目需求分析3行業(yè)信息化背瑯3項13背景4安全風險與需求分析4第2章.整體方案設計5設計0標5設計原則5項目范圍6參考標準及資料82?4.1.國家信息安全標準、抬南84.2.國際信息安全標準9第3章.詳鈿方案設計9安全建設g標9安全規(guī)劃方法10信總安全現(xiàn)狀評估分析11制定***公司信息安全戰(zhàn)略和總體策略12設計***公司信息安全總體架構12

設訃⑽公司舖紀全管理體系架構12

設計料*公司信息安全技術體系架構13

制定料*公司信息安全建設實施計劃13安全服務體系框架14風險評佔服務設計157.1.風險評佔服務原則163.7.2.評佔范圍及內(nèi)容163.7.2.1.信息系統(tǒng)的安全性評估163.7.2.2.佶息系統(tǒng)的業(yè)務應用安全評佔項173.7.2.3.安全管理制度及策略評估項187.3.評估方式193.7.4.評佔技術手段193.7.1.1.專家分析192.工具掃描193.人工評佔213.7.4.4.｝參透測試223.7.5.風險評佔實施221.服務實施流程223.7.5.2.階段一：準備階段223.7.5.2.1.項13組織223.7.5.2.2.項B準備233.7.5.2.3.項自啟動253.7.5.3.階段二：識別階段253.7.5.3.1.資產(chǎn)識別與梳理263.7.5.3.2.威脅識別273.7.5.3.3.脆弱性識別313.7.5.3.4.技術脆弱性識別313.7.5.3.5.安全管理脆弱性識別35系統(tǒng)建設&理363.7.5.3.6.安全措施識別407.5.4.階段三：分析階段423.7.5.4.1.資產(chǎn)分析423.7.5.4.2.威脅分析443.7.5.4.3.脆弱性分析463.7.5.4.4.綜合風險分析483.7.5.4.5.階段四：風險處苴階段507.6.最終交付物51第4章.項目管理及人員組織52項3服務承諾52項13鈐理方法論53實施人員組織533.L項目組織架構S34.3.么組織架構說明S32.1.項目經(jīng)理532.質(zhì)蛍監(jiān)督組543.2.3.客戶經(jīng)理/客戶妃合人員554.3.2.4.項目實施組55人員配罝564.L項目經(jīng)理564.4. 風險評佔服務組S6人員簡歷56人員資質(zhì)錯誤!未定義書簽，4.6.1.CISP證書人員（3兒，錯誤!未定義書簽，6.么CISP人員社保證明錯讜未定義書簽.人員穩(wěn)定性和安全性承諾58服務使用設谷/T具淸單59第5章.項自驗收方案59項13驗收591.1.驗收方式591.1.1.驗收方法確認605.1.1.2.驗收方法的確認程序605.1.1.3.審視一般性原則60風險規(guī)避措施615?2.1.項B保密工作615.2.么安全評估風險規(guī)避措施625.2.2.1.系統(tǒng)格份與恢復措施622.2.風險應對措施625?2.3.淺透測試風險規(guī)避措施63第6章.公司介紹及甩務資質(zhì)63單位簡介63信息安全風險評佔服務資質(zhì)69議家信息安全測評信息安全服務資質(zhì)證書（安全T程類二級）69國家信息安全測評信息安全服務資質(zhì)證書（安全開發(fā)類一級）69

網(wǎng)絡安全應急服務支撐單位證書（國家級）69

信息安全應急處理服務資質(zhì)證書69國家信息安全測評授權培訓機構資質(zhì)誣書69

&&布信息安全服務能力等級證書69信息安全管理體系IS027001證書69

質(zhì)量呰理體系IS09000iA誣證書69

CMMI2證書69涉及國家秘密的汁算機信息系統(tǒng)集成資質(zhì)證書69計算機信息系統(tǒng)集成資質(zhì)證書69納稅信用等級證書69銀行信用等級證書69第7章.項目實施計劃70第8章.項目報價72第1章.項目需求分析行業(yè)信息化背景近年來，我國衛(wèi)生信息化建設步伐加快，按照衛(wèi)生部制定的標準和規(guī)范，以

醫(yī)藥企業(yè)管理為重點的醫(yī)藥信息化建設取得重要進展；以提卨公共衛(wèi)生服務能力

和衛(wèi)生應急管理水平為主耍目標的信息化建沒取得長足進步。但長期以來，衛(wèi)生

信息化建設缺乏頂層設計與規(guī)劃，標準和規(guī)范應用滯后，導致信息不能互聯(lián)互通，

信息資源共亨程度較低；醫(yī)藥企業(yè)數(shù)據(jù)資源庫建沒滯后，難以適應當前深化醫(yī)藥

衛(wèi)生體制改革的需要，不能有效滿足人民群眾的健康保障需求。II時，衛(wèi)生信息

化管理和專業(yè)人才缺乏，衛(wèi)生信息化對衛(wèi)生事業(yè)改革發(fā)展的技術支撐作用難以得

到充分發(fā)揮?！吨泄仓醒雵鴦赵宏P于深化醫(yī)藥衛(wèi)生體制改革的意見》要求把衛(wèi)生信息化建

設作為保障醫(yī)藥衛(wèi)生體系有效規(guī)范運轉(zhuǎn)的八項措施之一，建立實用共亨的醫(yī)藥衛(wèi)

生信息系統(tǒng)，大力推進醫(yī)藥衛(wèi)生信息化建設，以推進公共衛(wèi)生、醫(yī)療、醫(yī)保、藥

品、財務監(jiān)管信息化建設為著力點，整合資源，加強信息標準化和公共服務信息

平臺建設，逐步實現(xiàn)統(tǒng)一卨效、互聯(lián)互通。加快推進衛(wèi)生信息化建設，對于有效

落實醫(yī)改措施，提卨醫(yī)療衛(wèi)生服務質(zhì)景和效率，降低醫(yī)藥費用，促進人人亨有基

本醫(yī)療衛(wèi)生服務H標的實現(xiàn)具有重要的戰(zhàn)略意義。項目背景***公司集團公司將信息化建設作為企業(yè)戰(zhàn)略的重要組成部分，圍繞信息集

成、資源共亨和組織銜接式的集成化供應鏈管理模式的創(chuàng)新，以“信息化項目群”

為載體，全面落實供應鏈資源一體化整合的戰(zhàn)略目標。重點實施了“藥品質(zhì)量安

全追蹤溯源管理系統(tǒng)”、以集成化供應鏈為特征的藥事服務綜合管理系統(tǒng)及應用

示范項H、健康家園模式下的智能醫(yī)護綜合集成關鍵技術與平臺項H等“兩化”

融合項目等。通過信息化建沒和技術創(chuàng)新，培育了企業(yè)的自主創(chuàng)新能力，形成向

有知識產(chǎn)權，提升了公司的人力資源要素、設備耍素、信息耍素和組織要素等內(nèi)

生化知識存景.持續(xù)改善企業(yè)的價值創(chuàng)造功能，并不斷提高和優(yōu)化***公司和關

聯(lián)方之間在供應鏈體系上的運作效率。安全風險與需求分析對于***公司的應用系統(tǒng)，安全風險主要表現(xiàn)在以下兒個方面：

＞主機系統(tǒng)安全風險：信息系統(tǒng)采用的系統(tǒng)與網(wǎng)絡存在的一些安全隱患，

如操作系統(tǒng)漏制、數(shù)據(jù)庫系統(tǒng)不合理配置、病毒發(fā)作、M絡安全控制措

施缺陷、系統(tǒng)可用性缺陷等，這些系統(tǒng)與網(wǎng)絡的風險可能極大地影響信

息系統(tǒng)業(yè)務運行的穩(wěn)定性，致使冷項M站業(yè)務難以正常幵展。＞網(wǎng)絡架構安全風險:***公司計劃將城區(qū)的信息中心和子公司的信息機房

遷移到位于小行的新信息中心進行集中，小行信息中心機房的網(wǎng)絡健壯

性和安全性將影響到整個集團信息系統(tǒng)的平穩(wěn)有效運行。總部與外部節(jié)

點之前WMS系統(tǒng)的訪問也需要考慮各類安全風險，防止外部節(jié)點成為整

個信息中心的安全薄弱點。＞信息系統(tǒng)應用風險：指i殳計與開發(fā)信息系統(tǒng)業(yè)務應用時，存在的應用缺

陷，而導致業(yè)務出現(xiàn)中斷或者非正常業(yè)務應用操作造成的損失.這類風

險包括：應用邏輯錯誤、輸入輸出控制缺失、驗證失效、應用安全功能

缺陷等。＞內(nèi)部管理控制風險：指信息系統(tǒng)安全管理的基本框架、管理機制、策略

方法和工作流程還不完善，一些制度策略得不到認真執(zhí)行.導致內(nèi)部人員違規(guī)操作，給信息系統(tǒng)安全運行造成的風險。＞運維管理體系建設：運維管理體系建設涉及到整個集團的信息化安全運

行、安全管理。如何建立起有效的運維管理體系不僅涉及到信息化部門,

還涉及到各個和信息化相關的部門，冋時也涉及到總部與分子公司的安

全管理：不權包括技術方而的安全建設，也包括安全管理策略、制度文

檔的建設，形成一套統(tǒng)一的安全管理措施。第2章.整體方案設計設計目標本項H的設計H標為：通過構建一套全面的風險評估體系，覆蓋界類保障對

象，管埋和協(xié)調(diào)各類保障組織和隊伍，實現(xiàn)安全保陣工作的標準化、規(guī)范化.確

保安全保障工作正常、有序、卨效、協(xié)調(diào)地進行，提升***公司集團安全保障團

隊的信息化安全保陣能力，保障***公司信息系統(tǒng)健康、髙效運行。安全保障服務體系由評估、滲透、加固、檢查、監(jiān)控、響疢、保障服務以及

保障對象幾個部分組成，涉及制度、人、技術、對象四類因素。在本項目中，將

主要針對***公司集團指定的信息系統(tǒng)進行評估，井著重針對公司管理制度、管

理職能方而等安全管理方面的內(nèi)容進行評估。管理制度是規(guī)范安全保障工作的基

本保?，也是服務流程建立的基礎。安全保障服務組織中的扣關人員遵照制度要

求和標準化的服務流程，采用先進的安全保障管理手段對各類安全保障對象進行

規(guī)范化的管理和監(jiān)控。2.設計原則&&公司在服務整體方案和詳細方案設計時，遵循以下一些原則：■標準性原則評估方案的設計和具體實施都依據(jù)國內(nèi)和國外的相關標準進行及理論模型。

■規(guī)范性原則&&信息安全服務及相關安全產(chǎn)品遵守嚴格的質(zhì)景拽制，通過IS09001-2000

的質(zhì)景體系認證，冋時還獲得了國家、行業(yè)的多個信息安全資質(zhì)，可以為用戶提

供規(guī)范的服務。工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤

和控制?！隹煽匦栽瓌t評估過程和所使用的工具具有可控性。&&有著豐富的評估工程實踐.承擔過

多項國內(nèi)大規(guī)模的安全服務項目，對于項目管理有豐富的經(jīng)驗。項目所采用的工

具都經(jīng)過多次安全服務項目考驗，成者是根據(jù)具體要求和組織的具體網(wǎng)絡特點定

制的，具有很好的可控性?！稣w性原則安全服務從組織的實際需求出發(fā)，從業(yè)務角度進行評估，而不是W限絡、

主機等單個的安全層面，涉及到安全管理和業(yè)務運營，保障整體性和全面性。

■最小影響原則安全服務工作做到充分的計劃性，不對現(xiàn)網(wǎng)的運行和業(yè)務的正常提供產(chǎn)生顯

茗影響，盡可能小地影響系統(tǒng)和網(wǎng)絡的正常運行?！霰Ｃ苄栽瓌t從公司、人員、過程三個方面進行保密控制：?公司雙方簽署保密協(xié)議，不得利用安全服務中的任何數(shù)據(jù)進行其他有損甲方利益的

用途：?人員保密，公司內(nèi)部簽n?保密協(xié)議：?在安全服務過程中對相關數(shù)據(jù)嚴格保密：3.項目范圍本項H建設范圍主要包含但不限于以下：1、 應用系統(tǒng)安全評估：總部7個應用系統(tǒng)（硬件架構、操作系統(tǒng)、數(shù)據(jù)庫、

用戶連接方式、賬號管理、數(shù)據(jù)安全、中間件等）：2、 管理評估：總部管理職能與制度評估。具體服務范圍如下表所示:序號服務名稱服務范圍1.10A系統(tǒng)風險評估0A應用系統(tǒng)相關的硬件架構、操作系統(tǒng)、

數(shù)據(jù)庫、用戶連接方式、賬號管理、數(shù)據(jù)安全、

中間件等安全性評估，并提出針對性安全建

議。2.2郵件系統(tǒng)風險評估郵件系統(tǒng)相關的硬件架構、操作系統(tǒng)、數(shù)

據(jù)庫、用戶連接方式、賬號管理、數(shù)據(jù)安全、

中間件等安全性評估，并提出針對性安全建

議。3. 3新、老用犮應用系統(tǒng)評估新、老用犮應用相關的硬件架構、操作系

統(tǒng)、數(shù)據(jù)庫、用戶連接方式、賬號管理、數(shù)據(jù)

安全、中間件等安全性評估，并提出針對性安

全建議。4. 4財務系統(tǒng)風險評估財務系統(tǒng)相關的硬件架構、操作系統(tǒng)、數(shù)

據(jù)庫、用戶連接方式、賬號管理、數(shù)據(jù)安全、

中間件等安全性評估，并提出針對性安全建

議。5. 5藥事ERP應用風險評估藥事ERP應用系統(tǒng)相關的硬件架構、操作

系統(tǒng)、數(shù)據(jù)庫、用戶連接方式、賬號管理、數(shù)

據(jù)安全、中間件等安全性評估，并提出針對性

安全建議。6.藥業(yè)虛擬機ERP應用風險評估ERP應用系統(tǒng)相關的硬件架構、操作系統(tǒng)、

數(shù)據(jù)庫、用戶連接方式、賬號管理、數(shù)據(jù)安全、

中間件等安全性評估，并提出針對性安全建

議。7.國藥ERP（奧博克）風險評估遠程ERP使用的安全性一般較弱，對于國

藥ERP系統(tǒng)則需要對各個遠程接入點或訪問點

進行用戶連接方式、連接技術、安全賬號、數(shù)

據(jù)保密等方面的安全評估。序號服務名稱服務范圍8.基礎數(shù)據(jù)、數(shù)據(jù)倉庫應用風險評估基礎數(shù)據(jù)、數(shù)據(jù)倉庫應用相關的硬件架

構、操作系統(tǒng)、數(shù)據(jù)庫、用戶連接方式、賬號

管理、數(shù)據(jù)安全、中間件等安全性評估，并提

出針對性安全建議。9.人力資源系統(tǒng)風險評估人力資源系統(tǒng)系統(tǒng)相關的硬件架構、操作

系統(tǒng)、數(shù)據(jù)庫、用戶連接方式、賬號管理、數(shù)

據(jù)安全、中間件等安全性評估，并提出針對性

安全建議。10.公司信息化部門管理職能和管理制度評估公司已有的安全管理策略、管理制

度、角色分工、崗位職貴、日常工作流程等內(nèi)

容的合規(guī)合理性，并提出有針對性的改進意

見。4.參考標準及資料本方案在編制過程中，依據(jù)和參考了國內(nèi)外信息安全方而的相關標準、法規(guī)、

抱南以及行業(yè)的相關標準規(guī)范.主要包括：2.4.1.國家信息安全標準、指南0GB/T20984-2007信息安全技術信息安全風險評估規(guī)范GB/T20274-2006信息系統(tǒng)安全保障評估框?GB/T19715.1-2005信息技術一信息技術安全管理指南第1部分：信息技術安全概念

和模型GB/T19715.2—2005信息技術一信息技術安全管理指南第2部分：管理和規(guī)劃信息技術安全GB/T19716-2005信息技術一信息安全管理實用規(guī)則GB/T18336-2001信息技術一安全技術一信息技術安全性評估淮則電子政務信息安全等級保護實施指南（試行〉（國信辦［20051259）GB/T20988-2007信息系統(tǒng)災難恢g規(guī)范GB/Z20986-2007信息安全市件分類分級指南《信息系統(tǒng)安全等級保護定級指南》(GB/T22240-2008)《信息系統(tǒng)安全等級保護基本要求》(GB/T22239-200S)《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)《信息安全技術信息系統(tǒng)通用安全技術要求》(GB/T20271-2006)《信息安全技術網(wǎng)絡基礎安全技術要求》(GB/T20270-2006)《信息安全技術操作系統(tǒng)安全技術要求》(GB/T20272-2006)《信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求》＜GB/T20273-2006)《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統(tǒng)安全等級技術要求》

(GA/T671-2006)《信息系統(tǒng)安全等級保護實施指南》(報批稿)《信息系統(tǒng)安全等級保護測評指南》(報批稿)【關干印發(fā)《信息安全技術信息系統(tǒng)安全等級保護實施指南》國家標準報批鎬的通知】

(信安字(2007)10號)2.4.2.國際信息安全標準ISO/IEC27001:2005信息安全技術信息系統(tǒng)安全管理要求ISO/IEC13335-1:2001信息技術信息技術安全管理指南第1部分：信息技術安全概

念和模型ISO/IECTR15443-1:2005信息技術安全保障框架第一部分概述和框架ISO/IECTR15443-2:2005信息技術安全保陣框絮第二部分保障方法ISO/IECWD15443-3信息技術安全保障框架第三部分保障方法分析ISO/IECPDTR19791:2004信息技術安全技術運行系統(tǒng)安全評估第3章.詳細方案設計3.1.安全建設目標＞制定信息系統(tǒng)安全3年建設規(guī)劃根據(jù)公司5年規(guī)劃和n規(guī)劃，行業(yè)、公司業(yè)務發(fā)展特點編寫3年信息安全

建沒規(guī)劃。根據(jù)信息安全現(xiàn)狀評估階段的結果，科學地制定安全措施，有效地控制信息安全風險，保證生產(chǎn)運營環(huán)境的安全可靠。信息安全體系規(guī)劃將選擇安全

技術和管理措施，來解決發(fā)現(xiàn)的安全問題并分階段地設計實施步驟。安全措施的

選擇除將符合***公司短期內(nèi)信息安全管理需求之外，還要兼顧中長期業(yè)務發(fā)展

的要求，注重擴充性和應用平臺的延展性。>結合等保要求建立信息系統(tǒng)安全保護體系***公司信息系統(tǒng)等保建S的基本思路是：以保護信息系統(tǒng)為核心，嚴格參

考等級保護的思路和標準，從多個層面進行建設，滿足***公司信息系統(tǒng)在物理

層面、網(wǎng)絡層而、系統(tǒng)層而、應用層面和管理層面的安全需求，建成后的保障體

系能夠符合國家標準，可以為***公司業(yè)務的開展提供有力保障。信息安全管理體系建沒應符合“突出應用、突出創(chuàng)新、突出解決實際問題”

的總體耍求，有效提升企業(yè)信息安全基礎管理水平，滿足行業(yè)相關制度耍求。冋

時制度體系建設可以結合國內(nèi)、外先進管理經(jīng)驗，以等保、ISO27OOO、ITIL系

列標準以及國際、國內(nèi)最佳實踐為指導，對***公司內(nèi)部信息安全策略管理、信

息安全體系建設、系統(tǒng)安全建設與管理、系統(tǒng)運行和信息保護等進行信息安全管

理咨詢，進一步理清和規(guī)范相關工作職責、H標和內(nèi)容，明確開展相關工作的關

鍵標準、管理辦法以及技術手段，從而理順信息安全各要素之間的內(nèi)在關系，實

現(xiàn)***公司信息安全管理水平的整體提升。>建立日常信息安全保護和事件應急服務體系曰常信息安全保護體系包括：信息系統(tǒng)安全風險評估和安全加固，只有通過

有效的風險評估，才能發(fā)掘真正的安全需求，降低安全風險。確定信息安全基線，

滿足主機、網(wǎng)絡、數(shù)據(jù)庫、中間件、軟件開發(fā)等方面對安全的需求.對新的應用

系統(tǒng)進行上線前的安全驗收和代碼審計，確保新系統(tǒng)不僅僅在可用性上，在安全

性上也要達到安全需求，定期進行安全巡檢和安全審計.進行安全分析，對信息

系統(tǒng)進行開展應急響應和應急演練，確保信息系統(tǒng)在緊急情況下可靠有效運行。2.安全規(guī)劃方法&&根據(jù)多年來為各行各業(yè)客戶進行安全需求分析和信息安全建設規(guī)劃的經(jīng)驗，總結出一套企業(yè)使命驅(qū)動的EA（EnterpriseArchitecture.即“企業(yè)架構”

或“業(yè)務體系架構”）分析規(guī)劃方法。如下圖示，是&&企業(yè)使命驅(qū)動的EA分析、規(guī)劃框架圖。&&企業(yè)使命驅(qū)動的EA分析、規(guī)劃框架驗企業(yè)使命驅(qū)動的EA分析規(guī)劃方法，以企業(yè)使命為驅(qū)動，分析完成企業(yè)使

命所對應的IT戰(zhàn)略、架構等，從業(yè)務架構、信息架構、應用架構和技術架構四

個方面，從上往下，深入分祈企業(yè)的業(yè)務戰(zhàn)略、組織結構、角色定義和重耍的業(yè)

務流程等.深入分析支撐企業(yè)業(yè)務的數(shù)據(jù)和信息以及對應的應用系統(tǒng)，深入分析

支撐業(yè)務、數(shù)據(jù)、應用服務部署的基礎設施（包括中間件、網(wǎng)絡、通信等軟硬件〉，

全而透徹地分析企業(yè)IT架構在不同層面的脆弱性和所而臨的各種威脅與風險.

在此基礎上，根據(jù)不冋層面的安全防護需求和特點，為企業(yè)進行切合其實際要求

的信息安全建設方案設計和規(guī)劃。如下兩圖示，分別是&&基于EA的分析方法示意圖和&&苺于EA的分析、規(guī)劃

過程示意圖。紐基于EA的分析方法&&基于EA的分析、規(guī)劃過程3.信息安全現(xiàn)狀評估分析安全評估的H標是全而地分析和了解H前***公司在信息安全方面的現(xiàn)狀和

問題，幫助***公司相關人員.特別是企業(yè)的領導層了解和理解目前業(yè)務所面臨

的風險，以及未來企業(yè)發(fā)展對安全工作的需求，為***公司制定安全體系總體發(fā)

展規(guī)劃打下基礎。以國家等級保護建設耍求和國際安全標準為依據(jù)，結合***公司自身在信息

安全服務方面的經(jīng)驗，根據(jù)安全評估發(fā)現(xiàn)的問題.為***公司提供改進建議，以

提升整體信息安全水平。4.制定***公司信息安全戰(zhàn)略和總體策略此項工作任務是確定***公司信息安全的遠景目標、信息安全建設的原則和

總體信息安全戰(zhàn)略?？偨Y之前所作研宂，根據(jù)風險評估和需求分析的結構，結合行業(yè)信息安全最

佳實踐，制定***公司信息安全規(guī)劃的遠景目標。制定未來3-5年***公司信息安全建設的發(fā)展戰(zhàn)略。歸納總結***公司信息安全建沒總體方案的S計原則。制定總體信息安全政策，明確信息安全原則，目標和建設思路。與***公司信息安全管理人員和主要業(yè)務人員舉行研討會，以便就信息安全

建設工作的主要原則達成共識。3.5.設計***公司信息安全總體架構根據(jù)信息安全建設的遠景目標和設計原則，制定***公司整體信息安全體系

架構，使其能夠滿足***公司業(yè)務發(fā)展的戰(zhàn)略，能夠有效地規(guī)避信息安全風險。設計***公司信息安全管理體系架構信息安全管理體系架構的設計和規(guī)劃將依據(jù)國家信息安全等級保護關于管

理制度的內(nèi)容要求和IS027001標準，從11個方面規(guī)劃***公司的信息安全組織，

管理標準制度和n常運行機制，協(xié)助***公司安全管理制度的落地和執(zhí)行，確保建立完善的信息安全管理運行機制。信息安全管理體系規(guī)劃將關注以下兒個領域：安全組織體系框架安全策略、標準和流程體系框架曰常的安全運S機制風險管理安全監(jiān)控安全審計安全響應安全意識教育用戶管理設計**?公司信息安全技術體系架構有效的信息安全體系架構離不開先進的安全工具和產(chǎn)品的支持，將根據(jù)信息

安全防御，檢測和響應的需求，進行***公司信息系統(tǒng)的安全技術體系規(guī)劃。目

前***公司的安全防護技術主耍依賴防火墻，缺乏縱深防御，對應用層安全缺乏

檢測技術、檢測手段、防御措施，在信息系統(tǒng)屮，隨著攻擊技術的發(fā)展和M絡基

礎沒施的日益完善，攻擊理念從“技術炫耀”到謀取利益，針對網(wǎng)絡層的攻擊相

對減少，針對應用層的攻擊越來越多，從盜取用戶帳號信息用戶資料到竊取用戶

資金，獲取經(jīng)濟利益，攻擊的S的性和技術手段越來越明顯。信息安全技術涉及面非常廣，根據(jù)&&的企業(yè)安全架構設計方法論以及&&在冋

類企業(yè)的經(jīng)驗，安全技術措施的選擇和規(guī)劃將會包括以下兒個方而：■安全區(qū)域劃分■邊界安全（防火墻、VPN、無線網(wǎng)關、網(wǎng)絡設備等）■身份認證■用戶身份管理■訪問控制?入侵檢測?防病毒和惡意代碼■加密解密■安全事件收集與分析?安全審計制定***公司信息安全建設實施計劃分析***公司信息安全建沒現(xiàn)狀與遠景目標的差距，科學合理的制定***公司

未來3-5年信息安全建設項H并制定總體實施計劃和投資計劃。根據(jù)***公司信息安全建沒的遠景目標，分析與信息安全現(xiàn)狀之間存在的具

體差距。在保護***公司己有投資的前提下，綜合考慮成本、風險、實施對組織的影

響確定分階段實施內(nèi)容。提出未來3-5年***公司信息安全建設項H的具體清

單。針對信息安全建設項H清單上的項H，制定***公司總體的項H實施計劃。

針對信息安全建設項目清申上的項目，分析項目的總體經(jīng)濟投入和回報前景。

針對信息安全建設項H清單上的項H，分析項B的總體組織和人力資源投入

需求。3.6.安全服務體系框架A&安全服務體系框架圖M安全服務體系框架覆蓋了安全事件事前、事中、事后的整個過程，形成一

個完整、循環(huán)的安全服務體系，不斷地完善信息系統(tǒng)的安全性，并不斷地提升其

安全保障能力。各項安全服務覆蓋了安全事件事前、事中、事后的整個過程，他們之間的關

聯(lián)關系如下：1）事前階段：事前階段是一個防微杜漸的階段，這個階段服務的目的是尋找技術和管理方

面的脆弱性，檢查安全制度和策略的執(zhí)行情況，并根據(jù)檢査、評估結果進行相應

整改，減少安全事件發(fā)生的可能性，減輕安全事件發(fā)生造成的損失，冋時也減少

了事后階段應急響應服務的頻率。事前階段涉及的安全服務有：安全檢查服務、風險評估服務、安全加固服務。

這三項服務的產(chǎn)出物，能為事中、事后階段服務提供基礎的安全脆弱性現(xiàn)狀、安

全加固情況，便于事中、事后階段服務工作的開展。同時，這三項服務內(nèi)在也有

聯(lián)系，扣關產(chǎn)出物能相互利用：安全檢査服務涉及的漏洞掃描、安全基線核査、

漆透測試、安全策略檢測、安全制度核查是風險評估服務的重要方法，是風險評

估服務的重要輸入內(nèi)容；而安全檢査服務、風險評估服務，是安全加固服務的依

據(jù)，沒有經(jīng)過安全檢查、風險評估，安全加固不可能做到針對性和有效性。2）事中階段:事中階段的核心是“監(jiān)拽”，也就是說能夠第一時間發(fā)現(xiàn)安全事件的發(fā)生、

發(fā)展，做到動態(tài)監(jiān)控，并協(xié)助事后階段的安全服務進行威脅定位和相關分析。再

嚴密的事前防護措施都可能有弱點，所以，事中階段的服務十分必要，它和事前

階段服務緊密聯(lián)系，是構成整體服務防御體系的重要組成部分。事中階段涉及的安全服務有：現(xiàn)場職守監(jiān)控服務和外網(wǎng)網(wǎng)站遠程監(jiān)控服務。

這兩者的產(chǎn)出物是事后階段應急響應服務的重要依據(jù)，能夠協(xié)助應急響應服務進

行威脅的定位、事件分析和事后的動態(tài)監(jiān)控等。事中階段的這兩個服務，可以互

為補充，一個側重現(xiàn)場、一個側重遠程，一方面為事件監(jiān)控進行了雙重保障，保

障安全事件監(jiān)控無差漏，另一方而現(xiàn)場和遠程緊密配合，可以起到深度監(jiān)控的功

效，起到更好的效果。3）事后階段：事后階段安全服務的H的是對己經(jīng)發(fā)生、并被事中階段監(jiān)控到的安全事件進

行緊急處理，抑制事件的進一步發(fā)展，并盡快解決，隨后給出相悶的分析及補救

錯施建議。事后階段涉及的安全服務有：應急響應服務。應急響應的產(chǎn)出物會詳細分析

安全事件的前因后果，它是事前階段安全服務體系完善的重要依據(jù)，對事前階段

脆弱性的查漏補缺，起到重要的作用。這樣，事前、事中、事后形成一個完整、

循環(huán)的安全服務體系，不斷地完善信息系統(tǒng)的安全性，并不斷地提升其安全保障

能力。3.7.風險評估服務設計在多年的風險評估服務中，&&參照《GB/T20984-2007信息安全技術信息

安全風險評估規(guī)范》，根據(jù)向己的工程實踐，建立了自己的風險評估模型，描述

如下：&&風險評估服務框架圖在&&的風險評估模型中，主要包含信息資產(chǎn)，弱點/脆弱性、威脅和風險四

個要素。每個要素有芥自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，弱點的屬性是弱

點被威脅利用后對資產(chǎn)帶來的影響的嚴重程度，威脅的屬性是威脅發(fā)生的可能性，風險的屬性是風險發(fā)生的路徑。3.7.1.風險評估服務原則風險評估完全依據(jù)《GB/T20984-2007信息安全技術信息安全風險評估規(guī)范》

定義的流程、檢查項、檢查方法、計算方法和指標設計，并設置指標調(diào)整功能.

支持用戶按照實際行業(yè)和業(yè)務情況針對檢査項、指標、閾值等進行向定義，提供

單位內(nèi)部的風險分析功能。風險評估方法還將遵從***公司系統(tǒng)風險評估工作的相關要求，評估方案、評估方法經(jīng)用戶方同意后，方才執(zhí)行。3.7.2.評估范圍及內(nèi)容3.7.2.1.信息系統(tǒng)的安全性評估系統(tǒng)安全性評估項主要評估信息系統(tǒng)的基礎IT系統(tǒng)的安全性，突出對數(shù)裾

通訊安全、操作系統(tǒng)和應用系統(tǒng)安全的評估，包括是否采用了合適的加密技術、

合理設計和配置了服務器和防火墻.內(nèi)部運作系統(tǒng)和數(shù)據(jù)庫是否安全等，以及是

否制定了控制和管理修改信息系統(tǒng)的制度和控制程序，并能保證各種修改得到及

時測試和審核。具體評估內(nèi)容如下表所示：評估項評估內(nèi)容物理安全對信息系統(tǒng)相關的機房、環(huán)境等進行評估，重點

評估物理環(huán)境的安全保護、業(yè)務連續(xù)性保障設備與設

施、物理訪問的管理制度以及相關執(zhí)行情況。主機操作系統(tǒng)安全對信息系統(tǒng)的主機操作系統(tǒng)的安全性進行評估，

重點評估系統(tǒng)的冗余備份、用戶與權限管理、補丁安

裝、服務與安全配置情況，對重要服務器與相關的網(wǎng)

絡沒備實施安全檢查（兩周一次）；在檢查服務過程中

提供安全檢測服務，増強的內(nèi)容為：漏洞掃描、安全策略定制、系統(tǒng)加固。密鑰管理對信息系統(tǒng)的密碼技術進行評估，重點評估加密

算法體制的安全性、對密鑰的生成、存儲、保護、備

份、恢復、分配、裝入、使用、更換、銷毀、刪除、

歸檔和終止等過程的安全管理信息認證與保密對信息系統(tǒng)的認證與保密進行評估，重點評估認

證技術與手段、防釣魚措施、數(shù)字簽名與驗證（抗抵

賴）、實體身份鑒別技術、數(shù)據(jù)完整性驗證，防止篡改

和偽造數(shù)據(jù)等入侵監(jiān)測機制和報告反應機制對信息系統(tǒng)在入侵監(jiān)測機制和報告反應機制進行

評估，重點評估入侵監(jiān)測措施、入侵監(jiān)測策略制定與

管理規(guī)范的有效性、入侵監(jiān)測円志分析與報告、對可

疑事件或惡意事件的反應機制等信息系統(tǒng)安全評估項及評估內(nèi)容3.7.2.2.信息系統(tǒng)的業(yè)務應用安全評估項應用安全性評估項主耍評估信息系統(tǒng)的業(yè)務應用的安全性，評估設計與開發(fā)

信息系統(tǒng)業(yè)務應用的安全管理控制，應用的編碼安全性、基本業(yè)務邏輯控制以及

應用的安全功能、安全配置等。具體評估內(nèi)容如下表所示：評估項評估內(nèi)容應用安全規(guī)范信息系統(tǒng)的設計與開發(fā)、測試與驗收、運行與維

護的應用生命周期管理過程中的應用安全規(guī)范策略以

及執(zhí)行情況應用編碼安全性對信息系統(tǒng)的應用開發(fā)編碼的安全性進行評估，

包括輸入輸出拽制、跨站腳本漏洞、注入缺陷、錯誤

處理等。基本信息流邏輯的安全控制對信息系統(tǒng)的基本信息流邏輯的安全控制進行評

估，包括界端與信息系統(tǒng)訪問過程屮的用戶身份認證、會話管理業(yè)務系統(tǒng)之間的查詢、帳號管理等業(yè)務邏輯過程的關鍵安全控制措施應用的安全功能對信息系統(tǒng)應用的安全功能進行評估，包括用戶

標識與鑒別、錯誤凍結、各端口信息安全存儲、防刷

新、多重會話限制、密碼安全控件、抗抵賴、剰余信

息保護、時間戳、敏感信息加密、安全審計等安全功

能應用的安全配置對信息系統(tǒng)的WEB、數(shù)據(jù)庫、中間件等應用的安全

配置進行評估檢査3.7.2.3.安全管理制度及策略評估項安全管理策略評估項主要評估有關信息系統(tǒng)的安全?略、規(guī)章制度和程序是

否存在，這些制度是否得到貫徹執(zhí)行，是否及時更新，是否能全面覆蓋信息系統(tǒng)，具體評估內(nèi)容如下表所示：評估項評估內(nèi)容安全策略信息系統(tǒng)在設計與開發(fā)、測試與驗收、運行與維

護、備份與應急、信息安全等方面策略的制定與執(zhí)行

情況。內(nèi)控制度建設安全和風險管埋體系職責、安全監(jiān)控制度、內(nèi)部

審計制度等的建設與運行情況風險管理狀況信息系統(tǒng)安全風險管理政策、職責、規(guī)章制度，

管理人員配備與培訓，風險管理的規(guī)章制度與操作規(guī)

定、程序等的執(zhí)行情況，業(yè)務外包管理制度建設與管

理狀況，信息系統(tǒng)的主要風險及管理狀況系統(tǒng)運行連續(xù)性計劃保障系統(tǒng)連續(xù)運營的沒備和系統(tǒng)能力，以及保證

系統(tǒng)連續(xù)運營的制度安排和執(zhí)行情況系統(tǒng)運行應急計劃信息系統(tǒng)應急制度建設與執(zhí)行情況.信息系統(tǒng)應

急沒施設備配備情況，定期、持續(xù)性檢測與演練情況,

以及應對意外事故成外部攻擊的能力3-7.3.評估方式&&將安排安全工程師到***公司公司現(xiàn)場開展信息安全風險評估服務。由于***公司公司的被評估系統(tǒng)可能未統(tǒng)一集中在一處，所以&&將酌情分配

人員到現(xiàn)場進行評估。3-7.4.評估技術手段3.7.4.1.專家分析對于己有的安全管理制度和策略，由經(jīng)驗豐富的安全專家進行管理方面的風

險分析，結合***公司信息系統(tǒng)安全建S現(xiàn)狀，指出當前安全規(guī)劃和安全管理制

度存在的不足，并給出安全建議。為了更加深入地了解系統(tǒng)的安全狀況，需要從整體和業(yè)務上，采用&&根據(jù)多

年從事安全顧問的經(jīng)驗總結的安全評估檢測方法，針對***公司信息系統(tǒng)的體系

架構和流程進行多角度、客觀、全而和準確的分析，得到系統(tǒng)現(xiàn)有安全狀況和可

能存在的安全風險。3.7.4.2.工具掃描采用成熟的掃描工具，對于網(wǎng)絡中的服務器、數(shù)裾庫系統(tǒng)，WEB應用系統(tǒng)等

進行掃描評估：為了充分了解本項H屮各業(yè)務系統(tǒng)當前的M絡安全現(xiàn)狀及其安全威脅，因此

需要利用基于各種評估側面的評估工具對評估對象進行掃描評估，對象包括各類

主機系統(tǒng)、M絡設備等，掃描評估的結果將作為整個評估內(nèi)容的一個重要參考依

據(jù)?！龉ぞ邫z測評估的原理：掃描評估主耍是根據(jù)己有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測網(wǎng)

絡協(xié)議、網(wǎng)絡服務、網(wǎng)絡沒備、應用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏

洞。網(wǎng)絡掃描主要依靠帶有安全漏洞知識庫的M絡安全掃描工具對信息資產(chǎn)進行

基于網(wǎng)絡層面安全掃描，其特點是能對被評估目標進行覆蓋面廣泛的安全漏洞查

找，并且評估環(huán)境與被評估對象在線運行的環(huán)境完全一致，能較真實地反映主機

系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)所存在的網(wǎng)絡安全問題和面臨的網(wǎng)絡安全威脅?！鰭呙柙u估的必耍性：利用安全掃描評估工具掃描網(wǎng)絡中的核心服務器及重要的網(wǎng)絡設備.包括服

務器、交換機、防火墻等，以對網(wǎng)絡沒備進行安全漏洞檢測和分析，對識別出的

能被入侵者利用來非法進入網(wǎng)絡或者非法獲取信息資產(chǎn)的漏洞，提醒安全管理員，

及時完善安全策略，降低安全風險?，F(xiàn)代操作系統(tǒng)，應用系統(tǒng)，網(wǎng)絡設備代碼數(shù)量巨大，由成百上千工程師的共

冋沒計編制，很難避免產(chǎn)生安全漏洞。隨著及計算機技術的發(fā)展，這些系統(tǒng)的功

能越來越強大，但配置越來越復雜。面對橫跨多種平臺、不冋版本、不冋種類的

操作系統(tǒng)和應用系統(tǒng)，系統(tǒng)管理員顯得力不從心，經(jīng)常會造成配置上失誤，產(chǎn)生

安全問題。系統(tǒng)安全漏洞涉及口令設置、文件權限、賬戶管理、組管理、系統(tǒng)配

置等。基于主機和網(wǎng)絡的風險評估技術，主要檢査系統(tǒng)本身固有的安全漏洞和系

統(tǒng)文件的不安全配置，數(shù)據(jù)的授權，認證和完整性，并指示用戶如何修補漏洞以

使系統(tǒng)安全風險降到最小，也就增加了整個網(wǎng)絡系統(tǒng)的安全性。■制定確切的檢測評估方案保證：為將掃描評估對信息系統(tǒng)的影響減低到最小，并取得較好的評估效果，在檢

測之前制定符合實際需要的檢測評估方案顯得十分重要，方案將從工具選擇、評

估對象選擇、評估時間、評估人員、報告數(shù)裾形式、系統(tǒng)備份和風險規(guī)避和應對

等方而來保證掃描評估的可靠運行。■對現(xiàn)有信息系統(tǒng)資源的影響：網(wǎng)絡掃描評估以網(wǎng)絡為基礎進行，掃描控制臺通過網(wǎng)絡對被評估對象進行安

全評估，因此這種掃描方式主要消耗一定的M絡帶寬資源，并對被評估的對象消

耗很小一部分的網(wǎng)絡連接的資源，對于其他的資源沒有特殊的要求。實際的使用情況表明，網(wǎng)絡掃描對網(wǎng)絡資源和被評估系統(tǒng)的資源占用在3%-5%之間.并且可

以通過修改、配置一定的掃描策略來使這些資源消耗降低至最小。3.7.4.3.人工評估在雙方確定的情況下，對重耍的服務器和網(wǎng)絡設備采用人工評估，即安全服

務人員登錄設備進行相關配置的檢査和驗證；工具掃描因為其固定的模板，適用的范_，特定的運行環(huán)境，以及它的缺乏

智能性等諸多因素，因而有著很大的局限性：而人工評估與工具掃描相結合，可

以完成許多工具所無法完成的事情，從而得出全而的、客觀的評估結果。人工檢測評估在本項H中在芥服務項目中都會用到，主要是依靠&&公司具有

豐富經(jīng)驗的安全專家在各服務項目中通過針對不同的評估對象采用顧問訪談，業(yè)

務流程了解等方式，對評估對象進行全面的評估。人工檢測評估主要有兩方面的內(nèi)容：■例行項檢查：例行項檢査是根據(jù)&&最新的例行項檢查核對表內(nèi)容，逐項檢查系統(tǒng)的各項配

置和運行狀態(tài)。核對表內(nèi)容根據(jù)最新漏洞發(fā)現(xiàn)、客戶不同的系統(tǒng)和運行環(huán)境、以

及&&的經(jīng)驗知識庫而制定，它主要包括有以下兒個方面：/系統(tǒng)補丁/系統(tǒng)賬號/文件系統(tǒng)/網(wǎng)絡及服務/系統(tǒng)配置文件NFS成其它文件系統(tǒng)共享審計及曰志系統(tǒng)備份及恢復/應用系統(tǒng)其它■統(tǒng)計分析與風險預見：統(tǒng)計分析與風險預見是&&人工評估的另一項重耍內(nèi)容，是根據(jù)收集的各種資料和檢查結果.統(tǒng)計和關聯(lián)分析，描述當前系統(tǒng)的安全現(xiàn)狀，并根據(jù)這個現(xiàn)狀.

分析外在的和潛在的安全風險及威脅。通過對評估結果的統(tǒng)計分析，可以全面了

解整個系統(tǒng)的安全現(xiàn)狀，對將來采取適合身情況的安全解決方案具有指導性的3.7.4.4.滲透測試在整個風險評估的過程中，結合滲透測I式的方式發(fā)現(xiàn)網(wǎng)絡和系統(tǒng)中可能面臨

的安全威脅和己經(jīng)存在的系統(tǒng)脆弱性；3.7.5.風險評估實施3.7.5.1.服務實施流程驗安全風險評估實施流程如下框圖：風險評估流程圖3.7.5.2.階段一：準備階段3.7.5.2.1.項目組織風險評估實施團隊，由管理層、相關業(yè)務骨干、IT技術等人員組成風險評

估小組。必要時，可組建由評估方、被評估方領導和相關部門負責人參加的風險

評估領導小組，聘請相關專業(yè)的技術專家和技術骨干組成專家小組。評估實施a隊應做好評估前的表格、文檔、檢測工具等各項準備工作，進行

風險評估技術培訓和保密教育，制定風險評估過程管理相關規(guī)定?？筛鶕?jù)被評估

方要求，雙方簽署保密合冋，適情簽署個人保密協(xié)議。為了保證***公司信息安全風險評估項目的順利實施.確保項目質(zhì)量并達到

預期目標，加強管理和協(xié)調(diào)合作，使工作和責任更加清晰明確，特建立如下的項

目管理組織和實施團隊：項目實施組按照工作職貢劃分為以下職能小組:?項H協(xié)調(diào)小組：＞溝通協(xié)調(diào)參與各方的相關事宜。＞監(jiān)督、控制項目進度及質(zhì)景，及時發(fā)現(xiàn)項目實施過程中存在的問題，并

及時組織改進。＞對重大問題及時向領導小組匯報。＞組織項目驗收工作。?識別小組：＞負責各相關識別階段的各項實施工作。＞配合風險分析小組完成分析工作。＞向項H協(xié)調(diào)小組反饋問題。?＞風險分析小組：＞負責風險分析階段的各項實施工作。＞向項目協(xié)調(diào)小組反饋問題。?控制規(guī)劃小組:＞負責制定安全規(guī)劃方案。＞向項目協(xié)調(diào)小組反饋問題。＞負責對項目進行總結。＞負貴向項目協(xié)調(diào)小組及項目領導小組匯報評估結果。向項H協(xié)調(diào)小組反饋問題。3.7.5.2.2.項百準備風險評估準備是整個風險評估過程有效性的保證。組織實施風險評估是一種

戰(zhàn)略性的考慮.其結果將受到組織的業(yè)務戰(zhàn)略、業(yè)務流程、安全需求、系統(tǒng)規(guī)模

和結構等方面的影響。因此，在風險評估實施前需要：a） 確定風險評估的H標：b） 確定風險評估的范圍：c） 組建適當?shù)脑u估管理與實施團隊：d） 進行系統(tǒng)調(diào)研：e） 確定評估依據(jù)和方法；f） 制定風險評估方案；g） 獲得最卨管理者對風險評估工作的支持。?確定目標根據(jù)滿足組織業(yè)務持續(xù)發(fā)展在安全方而的需要、法律法規(guī)的規(guī)定等內(nèi)容，i只

別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風險大小。?確定范圍風險評估范圍可能是組織全部的信息及與信息處理相關的各類資產(chǎn)、管理機

構，也可能是某個獨立的信息系統(tǒng)、關鍵業(yè)務流程、與***公司知識產(chǎn)權相關的

系統(tǒng)或部門等。?系統(tǒng)調(diào)研系統(tǒng)調(diào)研是確定被評估對象的過程，風險評估小組應進行充分的系統(tǒng)調(diào)研.

為風險評估依據(jù)和方法的選擇、評估內(nèi)容的實施奠定基礎。調(diào)研內(nèi)容至少應包括:a） 業(yè)務戰(zhàn)略及管理制度：b） 主要的業(yè)務功能和要求；c） M絡結構與網(wǎng)絡環(huán)境，包括內(nèi)部連接和外部連接：d） 系統(tǒng)邊界：e） 主要的硬件、軟件；f） 數(shù)據(jù)和信息；g） 系統(tǒng)和數(shù)據(jù)的敏感性：h） 支持和使用系統(tǒng)的人員；i） 其他。系統(tǒng)調(diào)研可以采取問卷調(diào)查、現(xiàn)場面談相結合的方式進行。調(diào)査問卷是提供

一套關于管理或操作控制的問題表格，供系統(tǒng)技術或管理人員填寫：現(xiàn)場面談則

是由評估人員到現(xiàn)場觀察井收集系統(tǒng)在物理、環(huán)境和操作方面的信息。?確定依據(jù)根據(jù)系統(tǒng)調(diào)研結果，確定評估依據(jù)和評估方法。評估依據(jù)包括（但不僅限于）:a） 現(xiàn)有國際標準、國家標準、行業(yè)標準：b） 行業(yè)主管機關的業(yè)務系統(tǒng)的耍求和制度；C）系統(tǒng)安全保護等級要求；d） 系統(tǒng)互聯(lián)單位的安全要求：e） 系統(tǒng)本身的實時性或性能要求等。根據(jù)評估依據(jù)，應考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來

選擇具體的風險計算方法，并依據(jù)業(yè)務實施對系統(tǒng)安全運行的需求.確定相關的

判斷依據(jù).使之能夠與組織環(huán)境和安全要求扣適應。?制定方案風險評估方案的目的是為后面的風險評估實施活動提供一個總體計劃，用于

指導實施方開展后續(xù)工作。風險評估方案的內(nèi)容一般包括（但不僅限于）：a） 團隊組織：包括評估團隊成員、組織結構、角色、責任等內(nèi)容：b） 工作計劃：風險評估各階段的工作計劃，包括工作內(nèi)容、工作形式、工

作成果等內(nèi)容：c） 時間進度安排：項目實施的時間進度安排。上述所有內(nèi)容確定后，形成較為完整的《風險評估實施方案》，得到組織最

卨管理者的支持、批準；對管埋層和技術人員進行傳達，在組織范圍就風險評估相關內(nèi)容進行培訓，

以明確有關人員在風險評估中的任務。3.7.5.2.3.項目啟動雙方項目組人員召開項目啟動會，闡述此次項目的目標、內(nèi)容、過程、工具、

成果、需求配合、溝通方式等內(nèi)容，簽署項目保密協(xié)議，由***公司方項目負責

人作總結發(fā)言，宣布項目開始。3.7.5.3.階段二：識別階段在準備階段完成后，風險評估項目將進入識別階段即：資產(chǎn)識別、威脅I只別、脆弱性識別、安全措施識別。具體如下:3.7.5.3.1.資產(chǎn)識別與梳理風險評估在確認評估范圍后酋要的內(nèi)容就是對被評估信息系統(tǒng)及所涉及的

物理資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)進行識別。這些資產(chǎn)容易受到安全威脅的侵害,

給機構、組織或部門造成不冋程度的損害。因此正確地管理這些資產(chǎn)對于一個機

構或組織部門來說是非常重要的，它也是所有級別安全管理的責任所在。山此可

見，為了進行風險評估，就必須對信息系統(tǒng)評估范圍內(nèi)的相關資產(chǎn)進行識別，根

據(jù)資產(chǎn)在業(yè)務和應用流程屮的作用進行安全分析。工作內(nèi)容對被評估信息系統(tǒng)的關鍵資產(chǎn)進行i只別，并合理分類：在資產(chǎn)識別過程中.

需要詳細識別核心資產(chǎn)的安全屬性，重點識別出資產(chǎn)在遭受泄密、中斷、損害等

破壞時所遭受的影響，并報裾資產(chǎn)在遭受泄密、中斷、損害等破壞時所遭受的影

響，對資產(chǎn)的價值進行賦值。信息系統(tǒng)資可以分為硬件、軟件、數(shù)據(jù)、人員和服務5類資產(chǎn)，資產(chǎn)識別人

員在***公司方配合下，采用實地檢査和問詢的方式調(diào)査統(tǒng)計信息系統(tǒng)所涉及資

產(chǎn)，填寫相關資產(chǎn)調(diào)研表。資產(chǎn)分類方法如下表所示：為更富有成效的完成資產(chǎn)識別任務，&&制定了相關的調(diào)查表，從整體應用系

統(tǒng)、物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)各個方面進行詳細的資產(chǎn)識別。調(diào)査表內(nèi)

容如下：>參與人員參與人員主要包括被評估信息系統(tǒng)的網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理

員、安全管理員等相關運行維護人員；以及實施方相疢小組成員，具體如下：***公司方協(xié)調(diào)小組成員&&實施小組成員配合工作提供會議室及場地供協(xié)調(diào)小組、資產(chǎn)識別項目組進行資產(chǎn)識別工作協(xié)調(diào)小組成員需協(xié)調(diào)被評估信息系統(tǒng)各管理員填寫沌用信息系統(tǒng)調(diào)査表、物理資產(chǎn)

調(diào)查表、軟件資產(chǎn)調(diào)查表、數(shù)據(jù)資產(chǎn)調(diào)查表。協(xié)調(diào)小組成員需提供被評估信息系統(tǒng)相關的文檔（包含資產(chǎn)清犖等）。協(xié)調(diào)小組成員需對資產(chǎn)i只別小組在識別幣理過程中發(fā)現(xiàn)不清晰的問題進行確認。>工作方式資產(chǎn)識別會議：準備工作完成后應召集相關參與人員進行資產(chǎn)識別會議相吣調(diào)査表填寫：只體包括吣用信息系統(tǒng)調(diào)査表、物理資產(chǎn)調(diào)査表、軟件資產(chǎn)調(diào)査

表、數(shù)據(jù)資產(chǎn)調(diào)査表。相吣資料審査確認：相關調(diào)査表填寫完成后.識別小組成員將對相關資料進行審査

確認。>輸出成果輸入：沌用信息系統(tǒng)原始數(shù)據(jù)、物理資產(chǎn)原始數(shù)椐、軟件資產(chǎn)原始數(shù)椐.數(shù)據(jù)資產(chǎn)

原始數(shù)據(jù)。輸出：被評估信息系統(tǒng)資產(chǎn)識別列表，關鍵資產(chǎn)識別列表。3.7.5.3.2.威脅識別威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。作為風險評估的重要

因素，威脅是一個客觀存在的事物.無論對于多么安全的信息系統(tǒng)，它都存在。

在這一過程中，首先要對組織需要保護的每一項關鍵資產(chǎn)進行威脅識別。在

威脅識別過程中，應根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來

判斷，一項資產(chǎn)可能面臨著多個威脅，同樣一個威脅可能對不冋的資產(chǎn)造成影響。

識別出威脅由誰或什么事物引發(fā)以及威脅影響的資產(chǎn)是什么，即確認威脅的主體

和客體。威脅可能源于意外的，或有預謀的事件。用于威脅評估的信息能夠從信

息安全管理的有關人員，以及相關的商業(yè)過程中獲得.這些人可能是內(nèi)部的職員、

S備策劃和IT專家，也包括組織內(nèi)部負責安全的人員。威脅評估涉及管理、技術等多個方面。所采用的方法是問卷調(diào)查、問詢、數(shù)

據(jù)取樣、日志分析（操作系統(tǒng)，網(wǎng)絡沒備和防火墻的日志）。威脅問卷調(diào)查表如下所示:調(diào)査問卷編9:單位名稱：單位地址：省/市/區(qū) 地市/州/區(qū)聯(lián)系人：|聯(lián)系電話：電子郵箱：是否發(fā)生過M絡安全講件（感染

病毒/蠕蟲/特洛仍木馬程序、拒絕服務攻擊、端口ft描攻擊、數(shù)據(jù)竊取破壞數(shù)據(jù)或網(wǎng)絡、篡改網(wǎng)

頁、垃圾郵件、內(nèi)部人員有意破

壞、內(nèi)部人員濫用網(wǎng)絡端1丨、系統(tǒng)資源、被利用發(fā)送和ft播有害信息、網(wǎng)絡詐騙和盜竊）□沒有口1次/年口2次/年口3次以上/年□不清楚安全車件說明，（時問、影響）lx2、3、4、5、如何發(fā)現(xiàn)網(wǎng)絡安全車件（多選）□網(wǎng)絡（系統(tǒng)〉管理員工作監(jiān)測發(fā)現(xiàn)□通過節(jié)后分析

發(fā)現(xiàn)□通過安全產(chǎn)品發(fā)現(xiàn)□有關部門通知或意外發(fā)現(xiàn) □他人告知 □其他其他說明：網(wǎng)絡安全市件造成損失評估□非常嚴重□嚴重□一般□比較輕微□輕

微 □無法評估；4能的攻擊來源□內(nèi)部□外部□都有□病毒□其他原因口不清楚攻擊來源說明：導致發(fā)生網(wǎng)絡安全衷件的襯能原因□未修補或防范軟件漏洞□網(wǎng)絡或軟件配罝錯誤

□登錄密碼過于簡單或未修改□缺少?問控制□攻擊者

使用拒絕服務攻擊 □攻擊者利用軟件馱認設置□利用內(nèi)部用戶安全管理漏洞或內(nèi)部人員作案□內(nèi)部網(wǎng)絡違規(guī)連接互聯(lián)網(wǎng)□攻擊者使用欺詐方法 □不知原因□其他其它說明：S否發(fā)生過硬件故障有 （注明時間、造成的影響） 無1、2、3、足否發(fā)生過軟件故障有 （注明時問、造成的影響） 無lx2、3、S否發(fā)生過維護失誤有 無1、2、3、管理員花費精力最多的節(jié)件（如處理病毒、計算機故陣、人員技能指導等）1、2、3、管理員認為最有可能發(fā)生安全市件的地方lx2、3、S否發(fā)生過閃用戶操作失誤引起的安全?件有 無造成的影響是是否發(fā)生過物理沒施/i殳備披物理破壞有無遭受自然性破壞（如雷擊等）有 無有請注明吋間、壞件后果有無發(fā)生過莫名其妙的故障有 無有請注明吋問、巿件后果調(diào)査人吋問被調(diào)査人吋間＞工作內(nèi)容通過威脅調(diào)查、取樣等手段識別被評估信息系統(tǒng)的關鍵資產(chǎn)所面臨的威脅源，

及其威脅所常采用的威脅方法.對資產(chǎn)所產(chǎn)生的影響。并為后續(xù)威脅分析及綜合

風險分析提供參考數(shù)據(jù)。威脅識別要從威脅的主體、威脅途徑和威脅方式三個方面來進行：威脅主體：分為人為因素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為

惡意和非惡意兩種。環(huán)境因素包括自然災害和設施故障。威脅途徑：分為間接接觸和宜接接觸，間接接觸主要有網(wǎng)絡訪問、語音、視

頻訪問等形式，直接接觸指威脅主體可以直接物理接觸到信息資產(chǎn)。威脅方式：主要有傳播計算機病毒、傳播異常信息（垃圾郵件、反動、色情、

敏感信息）、掃描監(jiān)聽、M絡攻擊（后門、漏洞、口令、拒絕服務等）、越權或濫

用、行為抵賴、濫用網(wǎng)絡資源（P2P下載等）、人為災害（水、火等）、人為基礎設

施故障（電力、M絡等）、竊取、破壞硬件、軟件和數(shù)據(jù)等。威脅主體人為因素識別主要從分析信息系統(tǒng)網(wǎng)絡拓樸結構、觀察、詢問等方

式，得到哪些人可以通過網(wǎng)絡訪問、語ff、視頻訪問等間接接觸形式和直接物理

接觸的方式訪問到信息系統(tǒng)資產(chǎn)，一般的人為因素威脅主體主要有互聯(lián)網(wǎng)人員

（通過互聯(lián)網(wǎng)訪問）、內(nèi)部人員（通過內(nèi)網(wǎng)訪問和直接接觸）、第三方人員（通過

內(nèi)網(wǎng)訪問和直接接觸）等。威脅主體環(huán)境因素主要包括水災、地謖災害、地質(zhì)災害、氣象災害、6然火

災、電力故障、外圍網(wǎng)絡故障、其他外_保障沒施故障、軟件自身故障、硬件向

身故陣等。&&對威脅的分類:威脅主體威脅途徑威脅方式人外網(wǎng)人員間接接觸傳播計算機病毒、傳捕異常信息（垃圾郵件、反動、員色情、敏感信息〉、掃描監(jiān)聽、網(wǎng)絡攻擊（后門、漏洞、威脅主體威脅途徑威脅方式威脅丨1令、拒絕眼務等）內(nèi)部人員間接接觸，直接接觸傳播計算機病毒、傳播異常信息（垃圾郵件、反動、

色情、敏感信息）、掃描監(jiān)聽、網(wǎng)絡攻擊（后門、漏洞、

丨1令、拒絕服務等）、越權或濫用、行為抵賴、濫用

網(wǎng)絡資源（P2P下載等〉、人為災害（水、火等）、人為

基礎S施故障（電力、網(wǎng)絡等〉、竊取、破壞硬件、軟

件和數(shù)裾等第三方人員間接接觸.直接接觸傳播計算機病毒、傳檑異常信息（垃圾郵件、反動、

色情、敏感信息）、掃描監(jiān)聽、網(wǎng)絡攻擊（后門、漏洞、

口令、拒絕服務等）、溢用網(wǎng)絡資源（P2P下載等）、

人為災害（水、火等）、人為基礎設施故障（電力、網(wǎng)

絡等）、竊取、破壞硬件、軟件和數(shù)據(jù)等環(huán)境威脅自然災害直接作用水災、地震災害、地質(zhì)災害、奴象災害、自然火災設施故障直接作用電力故障、外_網(wǎng)絡故隖、其他外圍保障設施故障、軟件自身故障、硬件自身故障>參與人員參與人員主要包括被評估信息系統(tǒng)的網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理

員、安全管理員、用戶等相關運行維護人員：以及實施方相應小組成員，具體如

下：協(xié)調(diào)小組成員：&&實施方威脅識別小組成員：配合工作提供會議室及場地供協(xié)調(diào)小組、威脅識別項目組進行威脅識別工作協(xié)調(diào)小組成員需協(xié)調(diào)被評估信息系統(tǒng)各管理員及用戶填寫威脅調(diào)査表。協(xié)調(diào)小組成員需提供被評估信息系統(tǒng)相關的文檔（包含以前的琪件處理報吿等）。協(xié)調(diào)小組雌荒提供被評估信息系統(tǒng)相關的權限便于口志取樣和數(shù)據(jù)取樣。協(xié)調(diào)小組成員需對威脅識別小組在識別整理過程中發(fā)現(xiàn)不清晰的問題進行確認。

>工作方式威脅識別會議：召集被評估信息系統(tǒng)的管理員和用戶，以及威脅識別小組的成員,

召開威脅識別會議.填寫相關調(diào)査表。問卷調(diào)查：填寫威脅調(diào)查問卷。人工問詢：威脅識別小組成員對被評估信息系統(tǒng)的管理員和用戶進行訪談交流。數(shù)據(jù)取樣：威脅識別小組成員對被評估信息系統(tǒng)的運行數(shù)據(jù)進行取樣?！踔救樱和{識別小組成員對被評估信息系統(tǒng)的相關系統(tǒng)敁用□志進行取樣。輸出成果輸入：問卷調(diào)査、問詢、數(shù)據(jù)取樣、口志分析原始數(shù)據(jù)。輸出：被評估信息系統(tǒng)威脅i只別列表。3.7.5.3.3.脆弱性識別脆弱性是指資產(chǎn)成資產(chǎn)組中能被威脅所利用的弱點，它包括物理環(huán)境、組織

機構、業(yè)務流程、人員、管理、硬件、軟件及通訊設施等各個方面，這些都可能

被各種安全威脅利用來侵害一個組織機構內(nèi)的有關資產(chǎn)及這些資產(chǎn)所支持的業(yè)

務系統(tǒng)。這些表現(xiàn)出來的芥種安全薄弱環(huán)節(jié)自身并不會造成什么危害，它們只有

在被各種安全威脅利用后才可能造成相應的危害。那些沒有安全威脅的弱點可以

不需耍實施安全保護措施，但它們必須記錄下來以確保當環(huán)境、條件有所變化時

能隨之加以改變。需要注意的是不正確的、起不到應有作用的或沒有正確實施的

安全保護措施本身就可能是一個安全薄弱環(huán)節(jié)。在這一階段，&&將針對每一項需要保護的信息資產(chǎn)，找出每一種威脅所能利

用的脆弱性，并對脆弱性的嚴重程度進行評估，換句話說，就是對脆弱性被威脅

利用的可能性進行評估，最終為其賦相對等級值。在進行脆弱性評估吋，提供的

數(shù)據(jù)應該來自于這些資產(chǎn)的擁有者或使用者，來fi于相關業(yè)務領域的專家以及軟

硬件信息系統(tǒng)方而的專業(yè)人員。在評估中，&&將從技術脆弱性、安全管理脆弱性兩個方面進行脆弱性檢查。3.7.5.3.4.技術脆弱性識別>工作內(nèi)容采用安全掃描、手動檢查、問卷調(diào)查、人工問詢、滲透測試等方式對評估工

作范圍內(nèi)的物理環(huán)境、網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用屮間件系統(tǒng)進行

系統(tǒng)脆弱性評估，冋時為后續(xù)脆弱性分析及綜合風險分析提供參考數(shù)據(jù)。物理環(huán)境脆弱性主要是對信息系統(tǒng)所處的物理環(huán)境即機房、線路、***公司端的支撐設施等進行脆弱性識別，內(nèi)容主要有：序號保護措施1門禁系統(tǒng)2報鳘系統(tǒng)3監(jiān)控系統(tǒng)4防雷擊接地5防靜電6UPS7消防系統(tǒng)8防電磁泄蕋9弱電系統(tǒng)、防塵、溫室控制和機房容災格份??????????#?對網(wǎng)絡i殳備的脆弱性識別主耍使川&&依據(jù)扣關標準n主研發(fā)的安全檢查工具列表，對M絡設備系統(tǒng)配置及運行環(huán)境采集數(shù)據(jù)，檢查內(nèi)容主要有:編號名稱1.登錄信息2.備份和升級情況3.訪問控制情況4.網(wǎng)絡訪問情況5.路由協(xié)議情況6.口志審核情況7.M絡攻擊防護情況8.登錄標志參_參 會參??參? 參猶畚操作系統(tǒng)的脆弱性i只別主耍使用統(tǒng)依據(jù)相關標準向主研發(fā)的安全檢査工具列表，對操作系統(tǒng)配置及運行環(huán)境采集數(shù)據(jù)，檢查內(nèi)容主要有:Windows主機系統(tǒng)安全檢查編號名稱Windows-01001收集主機名、工作組/域信息Windows-01002獲得主機IP地址和子網(wǎng)掩碼Windows-01003服務器是否安裝多系統(tǒng)Windows-01004査看主機路由信息Windows-02001檢査系統(tǒng)安裝的補丁以及HotfixWindows-03001口令g雜度檢査Windows-03002是否有口令最短口令長度要求Windows-03003是否有密碼過期策略Windows-03004帳戶鎖定策略檢査Windows-03005檢査Guest帳號Windows-03006系統(tǒng)是否使用默認管理員帳號Windows-03007是否存在可疑帳號Windows-03008檢査系統(tǒng)中是否存在脆弱II令ffindows-04001査看網(wǎng)絡開放端口_魯參 ??*參?猶 參參參Linux主機系統(tǒng)安全檢查編號名稱Linux-01001檢査系統(tǒng)版本號及內(nèi)核信息Linux-01002收集系統(tǒng)在運行中的底層信息Linux-01003檢査硬盤信息Linux-01004檢査網(wǎng)絡信息Linux-01005內(nèi)存使用信息Linux-01006主機路由信息Linux-02001檢査主機補丁情況Linux-03001檢査口令策略Linux-03002檢査passwd加密策略Linux-03003檢査系統(tǒng)馱認帳戶情況Linux-03004檢査口令文件的域性Linux-01001檢査系統(tǒng)開發(fā)端口蠡參參 垂蠡曇??? 蠹蠡參數(shù)據(jù)庫系統(tǒng)的脆弱性識別主耍使用&&依據(jù)相關標準H主研發(fā)的安全檢查工

具列表，對數(shù)裾庫系統(tǒng)Qd置及運行環(huán)境采集數(shù)據(jù)，檢查內(nèi)容主要有：Oracle數(shù)據(jù)庫系統(tǒng)安全檢查編號名稱Oracle-01001獲取Oracle注冊的服務Oracle-01002獲取Oracle所監(jiān)聽端口和地址Oracle-01003獲取版本號與啟動策略Oracle-01001獲取Oracle服務運行權限Oracle-01005獲取Oracle安裝的組件信息Oracle-01006獲取數(shù)據(jù)庫配置報SOracle-02001獲取Oracle數(shù)據(jù)庫的用戶信息Oracle-02002獲取Oracle數(shù)據(jù)庫的DBA用戶Oracle-02003獲取口令策略Oracle-02001獲取OS數(shù)據(jù)庫管理員Oracle-03001獲取Public組權限Oracle-03002獲取程序包的權限參蠢參 ??蠹魯?? 蠹參參應用屮間件系統(tǒng)的脆弱性識別主耍使用&&依據(jù)相關標準自主研發(fā)的安全檢

査工具列表，對應用中間件系統(tǒng)配置及運行環(huán)境采集數(shù)據(jù)，檢査內(nèi)容主要有：IIS安全檢查編號名稱IIS-01001ns版本信息IIS-01002IIS基礎服務信息IIS-01003IIS主目錄權限IIS-01004Mime映射IIS-01005IIS服務開放端口IIS-02001IIS服務補丁狀況IIS-03001IIS賬兮和口令IIS-01001SslIIS-01002Ip地址與域名限制IIS-01003述接數(shù)與帶寬限制IIS-01004IIS服務信息IIS-01005應用程序配置IIS-01006溢出dos等檢測參參攀 番?參?嫌? 參蠹參＞參與人員參與人員主要包括被評估信息系統(tǒng)的M絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理

員、安全管理員、用戶等相關運行維護人員；以及實施方相應小組成員，具體如

下：協(xié)調(diào)小組成員&&實施方脆弱性識別小組成員＞配合工作提供會議室及場地供協(xié)調(diào)小組、脆弱性識別項目組進行脆弱性識別工作協(xié)調(diào)小組成員需提供被評估信息系統(tǒng)相關的文檔（包含配gf?冊等）。協(xié)調(diào)小組成員需提供被評估信息系統(tǒng)相關的網(wǎng)絡接入權限便于安全掃描工作。

■協(xié)調(diào)小組成員需提供被評估信息系統(tǒng)相關的權限便于手工檢查。協(xié)調(diào)小組成員耑對脆弱性識別小組在識別整理過程屮發(fā)現(xiàn)不清晰的問題進行確認。

＞工作方式安全掃描手動檢S問卷調(diào)S人工問詢＞輸出成果輸入：工具掃描信息、人工檢査信息■輸出：相疢技術脆弱性列表3.7.5.3.5.安全管理脆弱性識別＞工作內(nèi)容主要從以下兒方面分析被評估信息系統(tǒng)安全管理狀況:管理機構、管理制度、

人員管理、系統(tǒng)建設管理和系統(tǒng)運維管理，冋時為后續(xù)脆弱性分析及綜合風險分

析提供參考數(shù)裾。安全管理脆弱性檢查采用問詢、調(diào)查問卷和現(xiàn)場觀察等方式進行。調(diào)査問卷

的主要內(nèi)容如下：基本要求安全管理制度管理制度a) 應制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范闈、原則和安全框架等：b) 應對安全管理活動中重:要的管理內(nèi)容建立安全管理制度：c) 應對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程制定和發(fā)布a) 崎指定或授權專門的部門或人員負貴安全管理制度的剌定；b) 崎組織相關人員對制定的安全管理制度進行論證和審定；0) 崎將安全管理制度以某種方式發(fā)布到相關人員手中評審和修訂應定期對安全管理制度進行評審，對存在不足或耑要改進的安全管理制度進行修訂安全管理機構崗位設罝a) 應設立安全主管、安全管理各個方面的負貴人崗位，并定義科負K人的職貴；b) 應設立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位?并定義蔣個工作崗位的職?人員配備a) 應配備一定數(shù)星:的系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等：b) 安全管理員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等授權和審批a) 吣根椐冷個部門和崗位的職貴明確授權審批部門及批準人.對系統(tǒng)投入運行、網(wǎng)絡系統(tǒng)接入和重要資源的訪問等關鍵活動進行審批；b) 應針對關鍵活動建立審批流程，并由批準人簽字確認溝通和合作a) 成加強各類管理人員之間、組織內(nèi)部機構之問以及信息安全職能部門內(nèi)部的合作與溝通；b) 成加強與兄弟單位、公安機關、電信公司的合作與溝通審核和檢査安全管理員應負貴定期進行安全檢査，檢査內(nèi)容包括系統(tǒng)口常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況人員安全管理人員錄用a) 成指定或授權專門的部門或人員負資人員錄用：b) 成規(guī)范人員錄用過程，對被錄用人員的身份、背景和專業(yè)資格等進行審査，對其所fl有的技術技能進行考核；c) 應與從事關鍵崗位的人員簽署保密協(xié)議人員離崗a) 應規(guī)范人員離崗過程.及時終止離崗員工的所有訪問權限：b) 崎取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備：c) 應辦理嚴格的調(diào)離手續(xù)人員考核a)設定期對芥?zhèn)€崗位的人員進行安全技能及安全認知的考核安全意識教育和培訓a) 應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓；b) 崎告知人員相關的安全貴任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲戒；0) W制定安全教育和培訓計劃.對信息安全基礎知識、崗位操作規(guī)程等進行培訓外部人員訪問管理a)沌確保在外部人員訪問受控區(qū)域前得到授權或?qū)徟?批準后由專人全程陪同或監(jiān)督，并登記備案系統(tǒng)建設管理系統(tǒng)定級a) 砬明確信息系統(tǒng)的邊界和安全保護等級：b) 疢以書而的形式說明信息系統(tǒng)確定為某個安全保護等級的方法和理由；0) ^確保信息系統(tǒng)的定級結果經(jīng)過相關部門的批準安全方案設計a) 敁根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，依據(jù)風險分析的結果補充和調(diào)整安全措施：b) 砬以書面的形式描述對系統(tǒng)的安全保護要求和策略、安全措施等內(nèi)容，形成系統(tǒng)的安全方案：c) 應對安全方案進行細化，形成能指導安全系統(tǒng)建沒、安全產(chǎn)品采購和使用的詳細設計方案d)應組織相關部門和有關安全技術專家對安全設計方案

的合理性和正確性進行論證和審定，并且經(jīng)過批準后，才能正式

實施產(chǎn)品采購和使用a)應確保安全產(chǎn)品采購和使用符合國家的有關規(guī)定b) 吣確保密碼產(chǎn)品采購和使用符合M家密碼主管部門的要求：0) 府指定或授權專門的部門負貴產(chǎn)品的采購自行軟件開發(fā)a) 應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開：b) 崎確保提供軟件S計的相關文檔和使用指南，并由專人負貴保管0) W制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準則；外包軟件開發(fā)a) 疢根據(jù)開發(fā)要求檢測軟件質(zhì)量：b) 沌在軟件安裝之前檢測軟件包中吋能存在的惡意代碼：0) 成確保提供軟件沒計的相關文檔和使用指南d) 沌要求開發(fā)單位提供軟件源代碼，并審查軟件中W能存在的后門工程實施a)沌指定或授權專門的部門或人員負南工程實施過程的管理b) 制定詳細的T程實施方案.控制工程實施過程測試驗收a) 應對系統(tǒng)進行安全性測試驗收：b)在測試驗收前疢根據(jù)設計方案或合同要求等制訂測試

驗收方案，在測試驗收過程中沌詳細記錄測試驗收結果，并形成

測試驗收報告c) 應組織相關部門和相關人員對系統(tǒng)測試驗收報告進行審定，并簽字確認系統(tǒng)交付a) 應制定系統(tǒng)交付清單，并根據(jù)交付淸單對所交接的設備、軟件和文檔等進行淸點：b) 應對負貴系統(tǒng)運行維護的技術人員進行相應的技能培VII；e) 疢確保提供系統(tǒng)建沒過程中的文檔和指導用戶進行系統(tǒng)運行維護的文檔安全服務商選擇a) 疢確保安全服務商的選擇符合國家的有關規(guī)定：b) 應與選定的安全服務商簽訂與安全相關的協(xié)議，明確約定相關資任0) 崎確保選定的安全服務商提供技術支持和服務承諾，必要的與其簽訂服務合同系統(tǒng)運維管理環(huán)境管理a) 崎指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設施進行維護管理；b) 府配備機房安全管理人員，對機房的出入、服務器的開機或關機等工作進行管理；C) 應建立機房安全管理制度，對有關機房物理訪問.物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定d) 應加強對辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室成立即交還該辦公室鑰匙和不在辦公區(qū)接待來汸人員等資產(chǎn)管理a)應編制與信息系統(tǒng)相關的資產(chǎn)清單，包括資產(chǎn)?任部門、重要程度和所處位置等內(nèi)容b) 吣建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的貴任人員或貴任部門，并規(guī)范資產(chǎn)管理和使用的行為介質(zhì)管理b) 吣確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，井實行存儲環(huán)境專人管理：0) 崎對介質(zhì)歸鐺和S詢等過程進行記錄，并根椐存檔介質(zhì)的目錄清單定期盤點d) 成對需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防土信息的非法泄漏：f) 成根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標識管理i殳備管理3) 成對信息系統(tǒng)相關的各種沒備(包括備份和冗余沒備)、線路等指定專門的部門或人員定期進行維護管理：b) 應建立基于申報、審批和專人負貴的設備安全管理制度.對信息系統(tǒng)的各種軟硬件設備的選型、采購、發(fā)放和領用等過程進行規(guī)范化管理d)敁對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等i殳備

的操作和使用進行規(guī)范化管理，按操作規(guī)程實現(xiàn)關鍵?備(包括備份和冗余設備〉的啟動/停止、加電/斷電等操作；e) 崎確保信息處理設備必須經(jīng)過審批才能帶離機房或辦公地點網(wǎng)絡安全管理a) 應指定人員對網(wǎng)絡進行管理.負貴運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報瞥信息分析和處理工作：b) 成建立網(wǎng)絡安全管理制度，對網(wǎng)絡安全配置、口志保存時問、安全策略、升級與打補丁、11令更新周期等方面作出規(guī)定：c) 成根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設備進行更新，并在更新前對現(xiàn)有的重要文件進行備份；d) 沌定期進行網(wǎng)絡系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補e) 應對網(wǎng)絡沒備的配罝文件進行定期備份；f) 吣保證所有與外部系統(tǒng)的迮接均得到授權和批準系統(tǒng)安全管理3) 敁根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略：b) 應定期進行漏洞掃描.對發(fā)現(xiàn)的系統(tǒng)安全漏洞進行及吋的修補，e)應安裝系統(tǒng)的最新補丁程序.在安裝系統(tǒng)補丁前.應首

先在測試環(huán)境中測試通過，并對重要文件進行備份后，方4實施

系統(tǒng)補r程序的安裝；d) 敁建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、曰志管理和曰常操作流程等方面作出規(guī)定：f)應依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作口志.

包括重要的口常操作、運行維護記錄、參數(shù)的i殳置和修改等內(nèi)容，嚴禁進行未經(jīng)授權的操作；g) 沌定期對運行口志和審計數(shù)據(jù)進行分析，以便及吋發(fā)現(xiàn)異常行為惡意代碼防范管理a)應提高所有用戶的防病毒意識，告知及時升級防病毒軟件，在讀取移動存儲沒備上的數(shù)據(jù)以及網(wǎng)絡上接收文件或郵tt之前，

先進行病毒檢査，對外來計算機或存儲沒窬接入網(wǎng)絡系統(tǒng)之前也應進行病毒檢査b) 吣指定專人對網(wǎng)絡和主機進行惡意代碼檢測并保存檢測記錄；0) 吣對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定密碼管理應使用符合國家密碼管理規(guī)定的密碼技術和產(chǎn)品變更管理a) 應確認系統(tǒng)屮要發(fā)生的重要變更，并制定相應的變更方案：b) 系統(tǒng)發(fā)生重要變更前.應向主管領導申請.審批后方可實施變更，并在實施后向相關人員通告?zhèn)浞菖c恢S管理a) 成識別蒞要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)裾及軟件系統(tǒng)等;b) W規(guī)定備份ft息的備份方式、備份頻度、存儲介質(zhì)、保存期等0) 吣根據(jù)數(shù)椐的重要性及其對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢a策略，備份?略指明備份數(shù)據(jù)的放罝場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運輸方法安全衷件處置a) 吣報告所發(fā)現(xiàn)的安全弱點和4疑$件，但任何情況卜用戶均不應嘗試驗證弱點；b) W制定安全事件報告和處置管理制度，明確安全市件類型.規(guī)定安全巿件的現(xiàn)場處理、邡件報s和后期恢a的管理職資：0)崎根椐國家相關管理部門對計算機安全事件等級劃分

方法和安全節(jié)件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計算機安全簾件

進行等級劃分：e) 吣記錄并保存所有報S的安全弱點和"f疑s件，分析班件原因，監(jiān)督節(jié)態(tài)發(fā)展.采取措施避免安全審件發(fā)生庾急預案管理a) 吣在統(tǒng)一的應急預案框架下制定不同車件的應急預案.敁急預案框架成包括C動噸急預案的條件、應急處理流程、系統(tǒng)恢e流程、棗后教育和培訓等內(nèi)容：C) 應對系統(tǒng)相關的人員進行應急預案培訓，應急預案的培訓沌至少每年舉辦一次>參與人員參與人員主要包括被評估信息系統(tǒng)的領導小組、網(wǎng)絡管理員、系統(tǒng)管理員、

數(shù)據(jù)庫管理員、安全管理員、用戶等相關運行維護人員；以及實施方相應小組成

員，具體如下：協(xié)調(diào)小組成員&&實施方脆弱性識別小組成員>配合工作提供會議室及場地供協(xié)調(diào)小組、脆弱性識別項g組進行脆弱性識別工作■協(xié)調(diào)小組成員需協(xié)調(diào)被評估信息系統(tǒng)領導、各管理員及用戶填寫安全管理調(diào)2表。

■協(xié)調(diào)小組成員耑提供被評估信息系統(tǒng)相關的義檔(乜含各管理制度、沌急預案等)?！鰠f(xié)調(diào)小組成員耑對脆弱性識別小組在i只別整理過程屮發(fā)現(xiàn)不清晰的問題進行確認。>工作方式人工問詢調(diào)査問卷>輸出成果輸入：工只ft描信息、人工檢査信息輸出：相⑹管理脆弱性列表3.7.5.3.6.安全措施識別通過問卷調(diào)查、人工檢查等方式識別被評估信息系統(tǒng)的有效對抗風險的防護措施，同時為后續(xù)綜合風險分析提供參考數(shù)據(jù)。安全措施分析主耍對系統(tǒng)己采取的技術安全控制措施進行識別，通過對控制

措施有效性進行核査，將有效的安全控制措施繼續(xù)保持并進行優(yōu)化.以避免不必

耍的工作和費用，防止控制措施的重復實施，對于認為不適當?shù)目刂茟∠?，?/p>

者用更合適的控制代替。在風險評估過程中，對被測系統(tǒng)己采取的安全控制措施

進行識別，并對控制措施的有效性進行洋細的核査，是保障風險評估結果全而性、

準確性的基本條件。問卷調(diào)査主要內(nèi)容:分類安全措施型號/方法說明（位置、用途等〉防護資產(chǎn)分域防護□防火墻□內(nèi)外網(wǎng)絡迕掊物理隔離器□內(nèi)外網(wǎng)絡連接邏輯隔離器□VLAN□訪問控制設備□網(wǎng)關防病毒/ips??立體防□入侵檢測□漏洞掃描器御□信息內(nèi)容過濾□