中國(guó)農(nóng)業(yè)銀行計(jì)算機(jī)安全體系解決方案咨詢(xún)服務(wù)項(xiàng)目方案

目錄1項(xiàng)目的目的和意義 91.1項(xiàng)目的必要性及意義 91.2國(guó)內(nèi)外的現(xiàn)實(shí)狀況及趨勢(shì) 安全管理類(lèi) 安全模型類(lèi) 項(xiàng)目成果的應(yīng)用前景 2項(xiàng)目目的 項(xiàng)目總體目的 項(xiàng)目的環(huán)節(jié)和階段目的 20農(nóng)行計(jì)算機(jī)安全體系的準(zhǔn)備 農(nóng)行計(jì)算機(jī)安全現(xiàn)實(shí)狀況調(diào)查和風(fēng)險(xiǎn)評(píng)估 22農(nóng)行計(jì)算機(jī)安全體系方略文獻(xiàn)的編寫(xiě) 24農(nóng)行計(jì)算機(jī)安全體系實(shí)行方案的設(shè)計(jì) 252.2重要指標(biāo) 3設(shè)計(jì)思緒與技術(shù)路線 3.1設(shè)計(jì)思緒 293.2技術(shù)路線 研究設(shè)計(jì)技術(shù)路線的選定 研究設(shè)計(jì)技術(shù)處理方案 32處理關(guān)鍵技術(shù)的途徑 保護(hù)對(duì)象框架的建立 安全控制的選擇和設(shè)計(jì) 3.3工程化 4項(xiàng)目?jī)?nèi)容 總體理念 安全體系 安全框架模型 保護(hù)對(duì)象框架 安全等級(jí)指標(biāo)體系 項(xiàng)目總體流程綜述 安全保護(hù)對(duì)象框架 風(fēng)險(xiǎn)評(píng)估 54安全需求 安全方針 安全保護(hù)需求框架 安全對(duì)策 安全對(duì)策框架 安全體系設(shè)計(jì) 安全方略設(shè)計(jì) 安全處理方案 4.2風(fēng)險(xiǎn)評(píng)估 實(shí)行過(guò)程中雙方分工 70XXXX安全風(fēng)險(xiǎn)評(píng)估措施論 資產(chǎn)評(píng)估 威脅評(píng)估 弱點(diǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估方案 設(shè)備安全評(píng)估措施 方略文檔評(píng)估措施 網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)流程評(píng)估措施概述 風(fēng)險(xiǎn)評(píng)估過(guò)程描述 信息資產(chǎn)的識(shí)別 安全威脅的評(píng)估 安全弱點(diǎn)的評(píng)估 既有安全措施評(píng)估 綜合風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)評(píng)估過(guò)程的雙方分工 4.3安全方略制定 安全方略概述 信息安全方略框架設(shè)計(jì) 4.4設(shè)計(jì)處理方案 安全需求分析 安全處理方案設(shè)計(jì) 安全規(guī)劃 體系的推廣 維持體系運(yùn)行 內(nèi)部審核 5.1項(xiàng)目的組織 項(xiàng)目角色和責(zé)任 項(xiàng)目經(jīng)理 首席顧問(wèn) 高級(jí)安全顧問(wèn) 安全顧問(wèn) QA質(zhì)量保證師 客戶(hù)經(jīng)理 金融顧問(wèn) 大型主機(jī)顧問(wèn) 5.2項(xiàng)目的管理 概述 XXXX工程項(xiàng)目管理措施 XXXX項(xiàng)目管理遵照的原則 項(xiàng)目溝通 平常溝通、記錄和備忘錄 匯報(bào) 項(xiàng)目有關(guān)培訓(xùn) 評(píng)估前培訓(xùn) 評(píng)估后培訓(xùn) 項(xiàng)目實(shí)行質(zhì)量保證 項(xiàng)目執(zhí)行人員的質(zhì)量職責(zé) XXXX安全服務(wù)質(zhì)量保證體系嚴(yán)格貫徹如下過(guò)程 項(xiàng)目驗(yàn)收方式 驗(yàn)收措施確認(rèn) 驗(yàn)收程序 版本控制 交付件歸檔措施 6承擔(dān)能力闡明 6.1單位基本狀況 XXXX控股有限企業(yè)基本狀況 近兩年的財(cái)務(wù)狀況(單位：萬(wàn)元) 單位負(fù)責(zé)人基本狀況 承擔(dān)同類(lèi)研究設(shè)計(jì)項(xiàng)目及完畢狀況 6.2承擔(dān)能力闡明 與投標(biāo)項(xiàng)目有關(guān)的技術(shù)資源、業(yè)務(wù)背景等狀況 項(xiàng)目負(fù)責(zé)人及構(gòu)成人員狀況 項(xiàng)目經(jīng)理基本狀況 技術(shù)負(fù)責(zé)人基本狀況 200項(xiàng)目人員狀況 XXXX信息安全業(yè)務(wù)關(guān)鍵能力 202具有長(zhǎng)期履行承諾的能力 202具有持續(xù)發(fā)展信息安全技術(shù)的能力 203具有協(xié)助客戶(hù)規(guī)避安全風(fēng)險(xiǎn)的能力 203提供實(shí)時(shí)響應(yīng)的專(zhuān)家服務(wù)模式 203具有覆蓋全國(guó)的售后服務(wù)體系 204完善的服務(wù)質(zhì)量管理能力 204XXXX安全項(xiàng)目成功案例簡(jiǎn)介 204國(guó)稅總局安全征詢(xún)項(xiàng)目 2047項(xiàng)目進(jìn)度安排 8項(xiàng)目經(jīng)費(fèi)預(yù)算及安排 2079風(fēng)險(xiǎn)分析及規(guī)避措施 2089.1系統(tǒng)備份與恢復(fù)措施 9.2掃描風(fēng)險(xiǎn)應(yīng)對(duì)措施 2089.3風(fēng)險(xiǎn)評(píng)估階段項(xiàng)目一致性的管理及規(guī)避措施 10成果列表 20910.1評(píng)估階段交付件 210評(píng)估階段總行交付件 評(píng)估階段各分行交付件 21010.2方略階段交付件 10.3方案階段交付件 21111波及安全保密、技術(shù)秘密的保護(hù)承諾 212 12.1項(xiàng)目負(fù)責(zé)人簡(jiǎn)歷表 21312.2計(jì)劃從事本項(xiàng)目的重要人員狀況表 21512.3與本項(xiàng)目有關(guān)的技術(shù)資源優(yōu)勢(shì) 22012.4XXXX提供的證明材料 1項(xiàng)目的目的和意義1.1項(xiàng)目的必要性及意義的信譽(yù)，被《財(cái)富》評(píng)為世界500強(qiáng)企業(yè)之一。其信息化建設(shè)發(fā)展迅速，全行計(jì)算機(jī)網(wǎng)點(diǎn)達(dá)4.5萬(wàn)多種，聯(lián)機(jī)網(wǎng)點(diǎn)達(dá)3.5萬(wàn)余個(gè)，各項(xiàng)業(yè)務(wù)計(jì)算機(jī)處理覆蓋率達(dá)93%,金額達(dá)98%。>伴隨電子銀行和中間業(yè)務(wù)的廣泛開(kāi)展，銀行的網(wǎng)絡(luò)與Internet和其>伴隨銀行業(yè)務(wù)集中化的趨勢(shì)，銀行業(yè)務(wù)系統(tǒng)>信息安全問(wèn)題不是靜態(tài)的，它總是伴隨銀行方略1.2國(guó)內(nèi)外的現(xiàn)實(shí)狀況及趨勢(shì)則和近來(lái)國(guó)際原則化組織提出的ISO/IEC15408信息技術(shù)安全評(píng)估準(zhǔn)則。許多通過(guò)“信息系統(tǒng)安全指導(dǎo)方針”。1993年，英國(guó)工業(yè)與貿(mào)易部(DTI)頒布“信全管理事務(wù)準(zhǔn)則”,并提交國(guó)際原則組織(ISO),成為IS0DIS14980。1996年，BS7799第一部分提交ISO審議的成果，于1996年2月24日結(jié)束6個(gè)月的審議后，參與投票的組員國(guó)未超過(guò)三分之二。1997年，OECD于3月27日公1998年，英國(guó)公布BS7799第二部分“信息安全管理規(guī)范”并成為信息安全管年10月25日起正式生效，規(guī)定以合適原則保護(hù)個(gè)人資料”。1999年，修訂后27在日本東京10月21日通過(guò)BS7799-1,成為ISODIS17799-1,2000年12月1日正式公布?，F(xiàn)已經(jīng)有30多家機(jī)構(gòu)通過(guò)了信息安全管理體系認(rèn)證，范的問(wèn)題。這些管理規(guī)定一般的單位都可以制定，但要卻沒(méi)有這種認(rèn)識(shí)。它的4.1.3部分講到，顧客應(yīng)當(dāng)簽訂保密(不泄密)協(xié)定，但卻沒(méi)有說(shuō)制止非法顧客截取(察看)信息。原則中的另一種問(wèn)題是有關(guān)網(wǎng)絡(luò)綜上所述，BS7799在某些方面也許不全面，不過(guò)它仍是目前可以用來(lái)到ISO/IEC15408-1999“信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則”(簡(jiǎn)稱(chēng)CC),是國(guó)際原則化組織統(tǒng)一既有多種評(píng)估準(zhǔn)則的努力成果，是在美國(guó)和歐●1985年，美國(guó)國(guó)防部公布《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》(TCSEC)即●1996年，六國(guó)七方(英國(guó)、加拿大、法國(guó)、德國(guó)、荷蘭、美國(guó)國(guó)家安●1999年12月，ISO接受CC2.0版為ISO15408原則，并正式頒布發(fā)行CC定義了作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則，提出了目前評(píng)估準(zhǔn)則(TCSEC)等更側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評(píng)估；系統(tǒng)安全工程過(guò)程的管理。在對(duì)信息系統(tǒng)平常安全管理方面，BS7799的地位是其他原則無(wú)既有的信息安全保障體系與否能充足滿(mǎn)足我國(guó)金融行業(yè)的安全目的還需要深作和安全保障規(guī)定，但各類(lèi)安全設(shè)備都構(gòu)建于國(guó)外的硬件平臺(tái)和操作系統(tǒng)之通過(guò)實(shí)行本處理方案，可以充足理解農(nóng)行信息2項(xiàng)目目的2.1目的本項(xiàng)目的總體目的是通過(guò)對(duì)農(nóng)行計(jì)算機(jī)安全問(wèn)題的研究，參照國(guó)際國(guó)內(nèi)3、安全體系必須參照國(guó)際和國(guó)內(nèi)的安全原則和規(guī)范，充足運(yùn)用成熟的信息一系列有關(guān)安全體系方面的原則，包括BS7799,IATF,CC,SSE-CMM,計(jì)算機(jī)在目前，最著名的安全體系是BS7799的ISMS(信息安全管理體系),國(guó)內(nèi)外有諸多企業(yè)已經(jīng)開(kāi)展BS7799的認(rèn)證征詢(xún)服務(wù)，該服務(wù)重要內(nèi)容就是協(xié)助除了BS7799之外，許多政府提供的指南性文獻(xiàn)，例如加拿大政府提出的>安全體系應(yīng)具有一定的前瞻性，即規(guī)定安全體系考慮到農(nóng)行此后比較的設(shè)計(jì)重要圍繞農(nóng)行計(jì)算機(jī)安全的實(shí)際狀況開(kāi)展，同步參照有關(guān)國(guó)際國(guó)內(nèi)原安全體系準(zhǔn)備安全體系準(zhǔn)備體系實(shí)施方案的設(shè)計(jì)安全現(xiàn)狀調(diào)查和風(fēng)險(xiǎn)評(píng)估體系策略文件的■項(xiàng)目所有組員對(duì)與安全體系有關(guān)的理論知識(shí)(包括安全原則)的理況調(diào)查和風(fēng)險(xiǎn)評(píng)估的深度直接影響安全體系能否與農(nóng)行實(shí)際狀況相一致且具現(xiàn)實(shí)狀況調(diào)查和風(fēng)險(xiǎn)評(píng)估的重要目的包括對(duì)農(nóng)行計(jì)算機(jī)系統(tǒng)進(jìn)行全面的在本項(xiàng)目中，安全體系的設(shè)計(jì)思緒既采用了“最佳實(shí)行”或“安全控制”列表，也采用了安全模型。(參見(jiàn)節(jié)3.1)保護(hù)對(duì)象框架是設(shè)計(jì)過(guò)程中采用的最過(guò)程。對(duì)策框架由一系列安全控制(或者最佳實(shí)行)構(gòu)成，安全控制由方略、方略文獻(xiàn)編寫(xiě)階段的重要目的包括設(shè)計(jì)農(nóng)行計(jì)算機(jī)安全對(duì)策框架和編制對(duì)策框架是指根據(jù)保護(hù)對(duì)象框架中的安全需求選擇安全控制(最佳實(shí)行),■根據(jù)保護(hù)對(duì)象框架中安全需求選擇或設(shè)計(jì)多條安全控制(最佳實(shí)行);通過(guò)安全體系方略文獻(xiàn)編制階段后來(lái)，農(nóng)行計(jì)算機(jī)安全體系設(shè)計(jì)已經(jīng)完而安全體系實(shí)行方案設(shè)計(jì)階段是對(duì)安全體系設(shè)計(jì)階段和工程階段起到承上啟需要考慮和處理的安全需求(安全需求斷言),綜合形成安全需求。2.2重要指標(biāo)作為服務(wù)項(xiàng)目的成果，農(nóng)行計(jì)算機(jī)安全體系總體上需要符合如下指標(biāo)：盡量參照國(guó)際國(guó)內(nèi)原則開(kāi)展工作是本次安全服務(wù)工作的指導(dǎo)原則，并保持對(duì)這些原則的兼容，是本次項(xiàng)目重要規(guī)定之一。本項(xiàng)目將根據(jù)的國(guó)內(nèi)和國(guó)際原則包括：>計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則>加拿大信息技術(shù)安全手冊(cè)本項(xiàng)目實(shí)行過(guò)程除了根據(jù)有關(guān)的國(guó)內(nèi)和國(guó)際原則之外，還要參照某些沒(méi)有成為國(guó)際和國(guó)內(nèi)原則，不過(guò)已經(jīng)成為業(yè)界實(shí)際上原則的某些規(guī)范和約定。這些>CVE公共漏洞和暴露>PMI項(xiàng)目管理措施學(xué)在本項(xiàng)目中將通過(guò)對(duì)農(nóng)行物理層、平臺(tái)層、應(yīng)用層和業(yè)務(wù)層的全面調(diào)研，構(gòu)建農(nóng)行的保護(hù)對(duì)象框架，框架是保證獲得農(nóng)行計(jì)算機(jī)系統(tǒng)安全輪廓整體性的化的安全控制(或最佳實(shí)行)構(gòu)成，而每條安全控制都由方略、組織、技術(shù)和擇可操作的安全控制(最佳實(shí)行);一是設(shè)計(jì)對(duì)應(yīng)的工程化方案，保證安全體系證，例如BS7799,計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則等。另一就是保證規(guī)范的3設(shè)計(jì)思緒與技術(shù)路線3.1設(shè)計(jì)思緒安全市場(chǎng)也非常巨大，產(chǎn)生了大量從事安全產(chǎn)品研制的IT企業(yè)，基本形成了“信息安全的本質(zhì)是什么?”“信息安全應(yīng)當(dāng)包括哪些范圍?”兩種思緒加以綜合，首先借鑒IATF的信息安全保障體系模型構(gòu)建農(nóng)行的計(jì)算機(jī)安全保護(hù)對(duì)象框架(保護(hù)輪廓),然后根據(jù)保護(hù)對(duì)象框架選擇或設(shè)計(jì)所有可行的安全控制，然后進(jìn)行縱向梳理，產(chǎn)生技術(shù)體系和管理體系(方略、組織和運(yùn)作體系),這些體系構(gòu)成本次項(xiàng)目所需的安全體系。3.2技術(shù)路線>直接將原則化的安全體系應(yīng)用到農(nóng)行?？芍苯討?yīng)用的安全體系包括象框架。在建立農(nóng)行的計(jì)算機(jī)安全保護(hù)對(duì)象框架時(shí)，重要采用IATF的建模措>充足研究BS7799,加拿大信息技術(shù)安全手冊(cè)，銀行和有關(guān)金融服務(wù)信術(shù)(例如入侵檢測(cè))的專(zhuān)家一起就某些專(zhuān)題進(jìn)行討論。技術(shù)實(shí)行方案把體系中的硬件建設(shè)部分單獨(dú)計(jì)方案，包括技術(shù)的選擇，產(chǎn)品選型，布署方為農(nóng)行提供審核指南，包括對(duì)應(yīng)的checklist,文檔藍(lán)圖等審核工具，以4項(xiàng)目?jī)?nèi)容4.1總則外安全保障理論也在不停的發(fā)展之中，美國(guó)國(guó)家安全局從1998年以來(lái)開(kāi)展了信息安全保障技術(shù)框架(IATF)的研究工作，并在2023年10月公布了IATF3.1版本，在IATF中提出信息安全保障的深度防御戰(zhàn)略模型，將防御體系分為方的實(shí)現(xiàn)應(yīng)具有如下相對(duì)固定的模式，即“組織(或人)在安全方略下借助于一完善安全管理組織機(jī)構(gòu)和人員配置，提高安全管理人員的安全意識(shí)和技術(shù)水高對(duì)安全事件的反應(yīng)處理能力，并在計(jì)算機(jī)安全事件發(fā)生時(shí)盡量減少事件導(dǎo)致另一方面，為了使計(jì)算機(jī)安全體系更有針對(duì)性，在構(gòu)建時(shí)還必須考慮信息安全自身的特點(diǎn)：動(dòng)態(tài)性、相對(duì)性和整體性。信息安全的動(dòng)態(tài)性指的是信息系統(tǒng)中存在的多種安全風(fēng)險(xiǎn)處在不停的變化之中，從內(nèi)因看，信息系統(tǒng)自身就在變化和發(fā)展之中，信息系統(tǒng)中設(shè)備的更新、操作系統(tǒng)或者應(yīng)用系統(tǒng)的升級(jí)、系統(tǒng)設(shè)置的變化、業(yè)務(wù)的變化等要素都也許導(dǎo)致新的安全風(fēng)險(xiǎn)的出現(xiàn)。從外因看，多種軟硬件系統(tǒng)的安全漏洞不停的被發(fā)現(xiàn)、多種襲擊手段在不停在發(fā)展，這些都也許使得今天還處在相對(duì)安全狀態(tài)的信息系統(tǒng)在明天就出現(xiàn)了新的安全風(fēng)險(xiǎn)。信息系統(tǒng)安全的相對(duì)性指的是信息安全的目的實(shí)現(xiàn)總是相對(duì)的，由于成本以及實(shí)際業(yè)務(wù)需求的約束，任何的安全處理方案都不也許處理所有的安全問(wèn)題，百分之百安全的信息系統(tǒng)是不存在的，不管安全管理和安全技術(shù)實(shí)行多完善，安全問(wèn)題總會(huì)在某個(gè)狀況下發(fā)生。信息安全的這個(gè)屬性表明安全應(yīng)急計(jì)劃、安全檢測(cè)、應(yīng)急響應(yīng)和劫難恢復(fù)等都應(yīng)當(dāng)是安全保障體系中的重要環(huán)節(jié)。信息安全的整體性指的是信息安全是一種整體的目的，正如木桶的裝水容量取決于最短的木塊同樣，一種信息系統(tǒng)的安全水平也取決于防御最微弱的環(huán)節(jié)。因此，均衡應(yīng)當(dāng)是信息安全保障體系的一種重要原則，這包括體系中安全管理和安全技術(shù)實(shí)行、體系中各個(gè)安全環(huán)節(jié)、各個(gè)保護(hù)對(duì)象的防御措施等方面>充足覆蓋>互不重疊>不可再細(xì)分當(dāng)一種問(wèn)題通過(guò)框架分析后，所有不可再細(xì)分的子問(wèn)題構(gòu)成了一種“框4.1.1.2.2安全框架“安全框架”是根據(jù)框架概念，處理組織信息安全問(wèn)題的思想措施。它包括如下幾方面的含義：安全>界定安全問(wèn)題的范圍正如前面所提，信息安全問(wèn)題波及的范圍很廣，有時(shí)甚至和老式安全問(wèn)題牽扯在一起。這給處理安全問(wèn)題帶來(lái)了很大的難度。因此要科學(xué)地看待信息安全問(wèn)題，首先必須明確定義信息安全問(wèn)題的范圍。>對(duì)安全問(wèn)題進(jìn)行構(gòu)造化分析當(dāng)信息安全問(wèn)題的范圍已經(jīng)被明確后，它必須按照構(gòu)造化原理被不停地細(xì)分。這時(shí)整個(gè)安全問(wèn)題已經(jīng)被構(gòu)造化為“保護(hù)對(duì)象框架”。保護(hù)對(duì)象框架可以看作是由一組“安全需求”構(gòu)成，通過(guò)將安全問(wèn)題不停細(xì)分為保護(hù)對(duì)象，“安全需求”也就越明確、越詳細(xì)。>對(duì)保護(hù)框架中的每一項(xiàng)設(shè)計(jì)和選擇對(duì)應(yīng)的對(duì)策對(duì)保護(hù)對(duì)象框架中的每一項(xiàng)安全需求都設(shè)計(jì)或選擇若干安全控制，這些安全控制的集合構(gòu)成了“安全對(duì)策框架”,保護(hù)對(duì)象框架和安全對(duì)策框架之間是 組織體系技術(shù)體系運(yùn)作體系全對(duì)策 銀臺(tái)階的最低部是信息資產(chǎn)邏輯圖，為了保證農(nóng)行計(jì)算機(jī)安全體系的整體性，我們必須保證對(duì)農(nóng)行的計(jì)算機(jī)系統(tǒng)有著全內(nèi)容將在節(jié)4.2中簡(jiǎn)介。保護(hù)對(duì)象提成計(jì)算區(qū)域、區(qū)域邊界、通信網(wǎng)絡(luò)和基礎(chǔ)設(shè)施(指PKI/PMI/KMI中心和應(yīng)急響應(yīng)中心)等。計(jì)算區(qū)域內(nèi)部可以深入細(xì)分為子區(qū)域，邊界和通信網(wǎng)抽象層抽象層業(yè)務(wù)層應(yīng)用層>柜員系統(tǒng)>會(huì)計(jì)業(yè)務(wù)>零售業(yè)務(wù)計(jì)算區(qū)域的數(shù)據(jù)資產(chǎn)是指計(jì)算區(qū)域處理信息過(guò)程中輸入、輸出和存儲(chǔ)的數(shù)計(jì)算區(qū)域的軟件資產(chǎn)是指計(jì)算區(qū)域賴(lài)以進(jìn)行信息處理的應(yīng)用系統(tǒng)及其軟件要安全需求是可用性。某些特殊的硬件設(shè)備(例如加密機(jī)),尚有對(duì)機(jī)密性的規(guī)網(wǎng)絡(luò)的數(shù)據(jù)資產(chǎn)是指其所傳播的信息。其安全需求重要包括完整性和機(jī)密邊界是抽象的信息資產(chǎn)，它重要為計(jì)算區(qū)域之間提供不一樣程度的隔離功>訪問(wèn)控制>入侵檢測(cè)根據(jù)確定的分級(jí)分類(lèi)原則，農(nóng)業(yè)銀行安全保護(hù)對(duì)象(信息資產(chǎn))可以劃分息、數(shù)據(jù))、應(yīng)用、對(duì)系統(tǒng)依賴(lài)程度展開(kāi)，分級(jí)包括信息敏感程度、對(duì)全局的統(tǒng)共同構(gòu)成該級(jí)別的信息安全域，即按照安全防護(hù)強(qiáng)度自高到低劃分為關(guān)鍵此原則重要合用于單個(gè)計(jì)算機(jī)系統(tǒng)或安全產(chǎn)品，不合用于復(fù)雜計(jì)算機(jī)系統(tǒng)，它規(guī)定了過(guò)程控制的安全保障級(jí)別，共分7級(jí)：設(shè)計(jì)管理體系指標(biāo)。強(qiáng)健程度等級(jí)規(guī)定了3個(gè)等級(jí)：>SML1:基本強(qiáng)度，商業(yè)級(jí)，可以抵御T1-T3威脅級(jí)別SSE-CMM(SystemsSecurity系統(tǒng)安全工程-能力成熟度模型)是一種安全工程原則，它在工程實(shí)行過(guò)程>能力級(jí)別1-非正式實(shí)行-執(zhí)行基本實(shí)行>能力級(jí)別2-計(jì)劃和跟蹤-計(jì)劃執(zhí)行-規(guī)范化執(zhí)行-驗(yàn)證執(zhí)行>能力級(jí)別3-充足定義-定義原則過(guò)程>能力級(jí)別4-定量控制-建立可測(cè)的質(zhì)量目的-客觀地管理執(zhí)行>能力級(jí)別5-持續(xù)改善全方略設(shè)計(jì)、安全處理方案設(shè)計(jì)(安全體系建設(shè))三個(gè)重要的階段，每部分完系，并最終貫徹到等級(jí)化的安全管理體系(安全方略文檔)和等級(jí)化的安全技術(shù)體系(安全處理方案)。項(xiàng)目總體流程邏輯圖項(xiàng)目總體流程邏輯圖可能性嚴(yán)重性等吸化風(fēng)險(xiǎn)評(píng)估等級(jí)化92嚴(yán)重性解決方案設(shè)計(jì)安全策略設(shè)計(jì)安全體系設(shè)計(jì)安金對(duì)策可能性3下面按照項(xiàng)目流程邏輯圖來(lái)描述上圖所示的十個(gè)項(xiàng)目環(huán)節(jié)，同步描述安全等級(jí)指標(biāo)的演變過(guò)程。十個(gè)項(xiàng)目環(huán)節(jié)分別為：環(huán)節(jié)編號(hào)項(xiàng)目環(huán)節(jié)描述1安全保護(hù)對(duì)象框架2風(fēng)險(xiǎn)評(píng)估資產(chǎn)價(jià)值等級(jí)化弱點(diǎn)現(xiàn)實(shí)狀況等級(jí)化安全現(xiàn)實(shí)狀況等級(jí)化3安全需求等級(jí)化的安全需求體4安全方針等級(jí)化的安全目的5安全保護(hù)需求框架安全需求等級(jí)化6安全對(duì)策等級(jí)化的安全對(duì)策7安全對(duì)策框架安全等級(jí)指標(biāo)體系8安全體系設(shè)計(jì)等級(jí)化的安全體系9安全方略設(shè)計(jì)等級(jí)化的安全管理方案安全處理方案等級(jí)化的安全技術(shù)方案模塊)由一定數(shù)量的信息資產(chǎn)構(gòu)成，這些資產(chǎn)之間會(huì)擁有一定的共性，擁有諸>信用卡業(yè)務(wù)系統(tǒng)金量等原因來(lái)確定安全等級(jí)。同步根據(jù)保護(hù)對(duì)象框架下的信息資產(chǎn)識(shí)別和估標(biāo)識(shí)定義4關(guān)鍵價(jià)值非常關(guān)鍵，損害或破壞會(huì)影響農(nóng)行的全局，對(duì)農(nóng)行導(dǎo)致重大的或無(wú)法接受、尤其不愿接受的影響，對(duì)業(yè)務(wù)沖擊重大，并也許導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷，難以彌3重要對(duì)業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)；2中等價(jià)值中等，損害或破壞會(huì)對(duì)農(nóng)行導(dǎo)致影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)；1次要價(jià)值較低，損害或破壞會(huì)對(duì)農(nóng)行導(dǎo)致輕微影響，可以忍受，對(duì)業(yè)務(wù)沖擊輕微，輕易彌補(bǔ)0一般價(jià)值非常低，屬于一般資產(chǎn)，損害或破壞會(huì)對(duì)農(nóng)行導(dǎo)致的影響可以忽視，對(duì)業(yè)務(wù)沖擊可以忽視；手段(掃描，人工分析，訪談和審計(jì)等)識(shí)別信息資產(chǎn)所擁有的多種技術(shù)類(lèi)和管理類(lèi)的弱點(diǎn)，并根據(jù)保護(hù)對(duì)象框架模塊分類(lèi)而形成的資產(chǎn)組進(jìn)行記錄和綜威脅強(qiáng)度(嚴(yán)重性)賦值原則簡(jiǎn)稱(chēng)對(duì)手等級(jí)影響程度闡明4占有中等資源，有組織的，技能純熟，樂(lè)意冒較大風(fēng)險(xiǎn)的對(duì)手，一般為有組織的內(nèi)部人員，純熟相對(duì)農(nóng)行整體資產(chǎn)，還包括占有豐富程度資源的純熟的對(duì)手，樂(lè)雜、有強(qiáng)大資金支持的敵對(duì)國(guó)家可以導(dǎo)致資產(chǎn)所有損失或不可用，持續(xù)的業(yè)務(wù)中斷，巨大的財(cái)務(wù)損失等非常嚴(yán)重的影響3高Ⅱ占有中等資源，有組織的，技能純熟，樂(lè)意冒較小風(fēng)險(xiǎn)的對(duì)手，一般為權(quán)限很大的或內(nèi)外勾結(jié)的內(nèi)部人員，純熟的黑客組織和犯罪組織可以導(dǎo)致資產(chǎn)重大損失，業(yè)務(wù)中斷，較大的財(cái)務(wù)損失等嚴(yán)重影響；2占有少許資源，無(wú)組織的，技能純熟，但樂(lè)意冒較大風(fēng)險(xiǎn)的對(duì)手，一般為權(quán)限較小的內(nèi)部人員，純熟的黑客和犯罪份子可以導(dǎo)致資產(chǎn)損失，業(yè)務(wù)受到損害，中等的財(cái)務(wù)損失等影響1低L可以導(dǎo)致資產(chǎn)較小損失，較小的財(cái)務(wù)損失等影響；0無(wú)意的或意外的事件資產(chǎn)損失可以忽視、對(duì)業(yè)闡明4該弱點(diǎn)若被威脅運(yùn)用，可以導(dǎo)致資產(chǎn)所有損失或不可用，持續(xù)的業(yè)務(wù)中斷，巨大的財(cái)務(wù)損失等非常嚴(yán)重的影3該弱點(diǎn)若被威脅運(yùn)用，可以導(dǎo)致資產(chǎn)重大損失，業(yè)務(wù)中2該弱點(diǎn)若被威脅運(yùn)用，可以導(dǎo)致資產(chǎn)損失，業(yè)務(wù)受到損害，中等的財(cái)務(wù)損失等影響該弱點(diǎn)若被威脅運(yùn)用，可以導(dǎo)致資產(chǎn)較小損失，并且立即可以受到控制，較小的財(cái)務(wù)損失等影響；0該弱點(diǎn)也許導(dǎo)致資產(chǎn)損失可以忽視、對(duì)業(yè)務(wù)無(wú)損害，輕覆蓋哪些業(yè)務(wù)安全需求；(業(yè)務(wù)B分析)>理解各個(gè)需求體之間的層次關(guān)系，明確需求體的安全覆蓋層次。(層次H分析)屬部分。(框架F分析)>理解各個(gè)需求體之間的有關(guān)關(guān)系，如互相依賴(lài)關(guān)系，支持關(guān)確其有關(guān)性。(有關(guān)性C分析)最終確認(rèn)的需求體和對(duì)應(yīng)等級(jí)會(huì)反應(yīng)在此環(huán)節(jié)的成果《安全需求分析匯而產(chǎn)生一種基本的對(duì)應(yīng)的需求體等級(jí)。我們可以分為5類(lèi)，分別為極高、高、在安全保護(hù)對(duì)象框架等級(jí)化后，我們可以根據(jù)不一樣保護(hù)對(duì)象的資產(chǎn)性表格:計(jì)算區(qū)域關(guān)鍵資產(chǎn)安全需求數(shù)據(jù)軟件總行數(shù)據(jù)中心極高極高高高總行前置系統(tǒng)極高極高高高總行辦公系統(tǒng)很高高高電子銀行極高極高高高分行服務(wù)器極高極高高高分行辦公系統(tǒng)很高高高分行終端很高極高高高支行終端很高極高高高表格:網(wǎng)絡(luò)關(guān)鍵資產(chǎn)安全需求數(shù)據(jù)服務(wù)軟件與總行數(shù)據(jù)中心相連的網(wǎng)絡(luò)極高極高高高前置系統(tǒng)的內(nèi)聯(lián)網(wǎng)絡(luò)高高高高前置系統(tǒng)的外聯(lián)網(wǎng)絡(luò)很高高高高電子銀行的外聯(lián)網(wǎng)絡(luò)極高很高高高總行和分行辦公系統(tǒng)之間的網(wǎng)絡(luò)很高很高高高總/分行辦公系統(tǒng)的外聯(lián)網(wǎng)絡(luò)高高高高遠(yuǎn)程顧客與辦公系統(tǒng)之間的網(wǎng)絡(luò)很高高高高分行服務(wù)器的外聯(lián)網(wǎng)絡(luò)很高很高高高分行服務(wù)器與終端的網(wǎng)絡(luò)高高高高鑒別與認(rèn)證訪問(wèn)控制檢測(cè)內(nèi)容安全總行數(shù)據(jù)中心與其他區(qū)域的邊界極高極高極高高高前置系統(tǒng)的內(nèi)聯(lián)邊界高高高高高前置系統(tǒng)的外聯(lián)邊界極高極高極高很高高電子銀行的外聯(lián)邊界極高極高極高極高高總行和分行辦公系統(tǒng)之間的邊界高高高高高總/分行辦公系統(tǒng)的外聯(lián)邊界很高很高高高高高高高高高分行服務(wù)器的外聯(lián)的邊界極高極高極高很高高分行服務(wù)器與終端的邊界高高高高高4.1.2.7安全對(duì)策框架技術(shù)對(duì)策根據(jù)ISO7498-2的安全服務(wù)分類(lèi)，可以分為如下7類(lèi)：-安全領(lǐng)導(dǎo)小組-安全組織建設(shè)-安全顧問(wèn)組-第三方安全管理-安全考核>安全建設(shè)規(guī)劃>事件響應(yīng)對(duì)于技術(shù)指標(biāo)，參照IATF3.1中的強(qiáng)健性(SM人機(jī)鑒別唯一不采用選用其中種與此等級(jí)的應(yīng)鑰，81位以上的度物原則效長(zhǎng)度定期更新與此等級(jí)的應(yīng)密鑰1024位以上的公最小字符長(zhǎng)度，最小距離別效長(zhǎng)度與此等級(jí)的應(yīng)設(shè)計(jì)安全管理類(lèi)對(duì)策可以參照IS017799中127個(gè)Control的選擇來(lái)確定安全4.1.2.8安全體系設(shè)計(jì)“安全體系”是根據(jù)框架概念，處理組織信息安全問(wèn)題的思想措施。它包括如下幾方面的含義：●安全保護(hù)對(duì)象框架正如前面所提，信息安全問(wèn)題波及的范圍很廣，有時(shí)甚至和老式安全問(wèn)題牽扯在一起。這給處理安全問(wèn)題帶來(lái)了很大的難度。因此要科學(xué)地看待信息安全問(wèn)題，首先必須明確定義信息安全問(wèn)題的范圍，也就是確定安全保護(hù)對(duì)象框●安全保護(hù)需求框架當(dāng)信息安全問(wèn)題的范圍已經(jīng)被明確后，它必須按照構(gòu)造化原理被不停地細(xì)分。細(xì)分后的安全問(wèn)題稱(chēng)之為“安全需求”。這時(shí)整個(gè)安全問(wèn)題已經(jīng)被構(gòu)造化為“安全需求框架”了。對(duì)安全需求框架中的每一項(xiàng)提出對(duì)應(yīng)的對(duì)策。安全需求框架中的每一項(xiàng)安全需求都對(duì)應(yīng)多條對(duì)策，這些對(duì)策以構(gòu)造化的方式構(gòu)成了“安全對(duì)策框架”,“安全對(duì)策框架”是組織需要的安全框架最終止果。它對(duì)于指導(dǎo)組織進(jìn)行風(fēng)險(xiǎn)管理，起著重要的作用。組織體系技術(shù)體系運(yùn)作體系在進(jìn)行安全架構(gòu)征詢(xún)參照如圖所示的安全框架模型中，在該模型中描述網(wǎng)絡(luò)和基礎(chǔ)設(shè)施以及保護(hù)支持性基礎(chǔ)實(shí)行等四個(gè)方面，并在這四個(gè)方面深入細(xì)即任何安全對(duì)策，都可以描述為“根據(jù)某某方略(也許是手冊(cè)或指南),由某某組織(或人員),運(yùn)用某某技術(shù)，進(jìn)行某某操作”。安全方略設(shè)計(jì)重要包括下面3項(xiàng)工作：在農(nóng)行的管理體系中，設(shè)計(jì)專(zhuān)門(mén)進(jìn)行信息安全建設(shè)和管理的組織管理體建設(shè)和平常管理和維護(hù)的規(guī)范。原則和規(guī)范將作為信息系統(tǒng)和安全系統(tǒng)的安《信息安全制度和管理措施系列文檔》,內(nèi)容重要包括各類(lèi)管理制度、管理規(guī)提出2-3年的規(guī)劃。在本項(xiàng)目中設(shè)計(jì)的安全體系，應(yīng)是一種合用于整個(gè)市行、支行、營(yíng)業(yè)部和其他分支機(jī)構(gòu))的安全體系，而體系的設(shè)計(jì)過(guò)程只是根4.維持體系運(yùn)行內(nèi)部審核方案，保證農(nóng)行總行對(duì)下級(jí)分支機(jī)構(gòu)進(jìn)行計(jì)算機(jī)安全狀況評(píng)估和審4.2風(fēng)險(xiǎn)評(píng)估重要評(píng)估措施農(nóng)行方工作XXXX方工作資產(chǎn)識(shí)別與估價(jià)信息雙方共同完畢雙方共同完畢由農(nóng)行來(lái)做網(wǎng)絡(luò)層和系統(tǒng)層人工評(píng)估和入侵痕跡檢查系統(tǒng)級(jí)和應(yīng)用級(jí)模擬黑客滲透測(cè)試(可選)搭試驗(yàn)網(wǎng)環(huán)境系統(tǒng)級(jí)和應(yīng)用級(jí)安全方略文檔分析提供和搜集文檔安全管理安全管理審計(jì)回答問(wèn)題安全管理應(yīng)用軟件和業(yè)務(wù)流程評(píng)估應(yīng)用級(jí)和業(yè)務(wù)級(jí)自己完畢網(wǎng)絡(luò)架構(gòu)評(píng)估提供網(wǎng)絡(luò)拓?fù)錁?gòu)造網(wǎng)絡(luò)層4.2.2XXXX安全風(fēng)險(xiǎn)評(píng)估措施論理過(guò)程(RiskManagementProcess)是指系統(tǒng)地將管理方針、程序和實(shí)行應(yīng)一般來(lái)說(shuō)，安全風(fēng)險(xiǎn)的減少(即安全水平的提高)和對(duì)應(yīng)的開(kāi)銷(xiāo)不是線性利用利用寨露引出在國(guó)際原則IS015408中，安全模型如下圖所示，其特點(diǎn)是強(qiáng)調(diào)了模型的對(duì)抗性和動(dòng)態(tài)性。maybeawareof可以看出，這兩個(gè)安全模型非常類(lèi)似，關(guān)鍵要素都是資產(chǎn)、弱點(diǎn)、威脅、風(fēng)險(xiǎn)、安全措施等，各要素之間的關(guān)系也基本類(lèi)似，只是描述和關(guān)注的角度不一樣。在澳大利亞和新西蘭國(guó)標(biāo)《風(fēng)險(xiǎn)管理RiskManagement》(AS/NZS4360:1999)中描述了風(fēng)險(xiǎn)管理過(guò)程，如下圖所示：信息交流與咨詢(xún)監(jiān)資產(chǎn)擁有者資產(chǎn)擁有者洄后果弱點(diǎn)威脅威脅難易程度可能性嚴(yán)重性威脅來(lái)源信息資產(chǎn)可能性?xún)r(jià)值信息資產(chǎn)威脅A信息資產(chǎn)威脅A來(lái)源A1來(lái)源A1來(lái)源A24.2.2.1.3風(fēng)險(xiǎn)評(píng)估基本流程根據(jù)XXXX的風(fēng)險(xiǎn)評(píng)估模型和實(shí)際的工程實(shí)踐，通用的風(fēng)險(xiǎn)評(píng)估基本流程并且在同一組織內(nèi)，也也許針對(duì)不一樣層次的風(fēng)險(xiǎn)采用不一樣的風(fēng)險(xiǎn)分析措別和估價(jià)的原則措施論，作為XXXX安全征詢(xún)服務(wù)的規(guī)范。以此可以在所有安則化和規(guī)范化，增強(qiáng)XXXX安全風(fēng)險(xiǎn)評(píng)估服務(wù)的可反復(fù)性，從而提高服務(wù)的質(zhì)資產(chǎn)是企業(yè)、機(jī)構(gòu)直接賦予了價(jià)值因而需要保護(hù)的東西。它也許是以多生變化，因此應(yīng)當(dāng)根據(jù)時(shí)間變化的頻度制定資產(chǎn)有關(guān)的評(píng)估和安全方略的頻度。例如，某企業(yè)重要的市場(chǎng)活動(dòng)籌劃方案(數(shù)據(jù)資產(chǎn)),在活動(dòng)開(kāi)始之前，參照BS7799對(duì)信息資產(chǎn)的描述和定義，將信息有關(guān)資產(chǎn)按照下面的分類(lèi)類(lèi)別簡(jiǎn)稱(chēng)解釋/示例數(shù)據(jù)存在于電子媒介的多種數(shù)據(jù)和資料，包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、客戶(hù)數(shù)據(jù)、多種數(shù)據(jù)資料、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、匯報(bào)、顧客手冊(cè)等外部對(duì)客戶(hù)提供的服務(wù)，如網(wǎng)絡(luò)接入，電力，IT產(chǎn)品售后軟件業(yè)務(wù)應(yīng)用軟件、通用應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備和主機(jī)的操作系統(tǒng)軟件、開(kāi)發(fā)工具和資源庫(kù)等軟件，包括正在運(yùn)行中的軟計(jì)算機(jī)硬件、路由器、互換機(jī)、硬件防火墻、程控互換機(jī)、文檔等設(shè)備電源、空調(diào)、保險(xiǎn)柜、文獻(xiàn)柜、門(mén)禁、消防設(shè)施等人員包括人員和組織，包括各級(jí)安全組織，安全人員、各級(jí)管理人員，網(wǎng)管員，系統(tǒng)管理員，業(yè)務(wù)操作人員，第三方人員等企業(yè)形象，客戶(hù)關(guān)系等在一般的項(xiàng)目中，評(píng)估工作大多集中在IT領(lǐng)域，因此評(píng)估重點(diǎn)一般放在軟件、類(lèi)別簡(jiǎn)稱(chēng)解釋/示例一般為一臺(tái)主機(jī)，包括本臺(tái)主機(jī)中的硬件，OS,應(yīng)用軟網(wǎng)絡(luò)設(shè)備一般為一臺(tái)網(wǎng)絡(luò)設(shè)備，包括本臺(tái)網(wǎng)絡(luò)設(shè)備中的硬件，I0S,配置文獻(xiàn)數(shù)據(jù)，網(wǎng)絡(luò)服務(wù)。包括路由器、互換機(jī)、硬件防數(shù)據(jù)庫(kù)一般為一種數(shù)據(jù)庫(kù)，包括數(shù)據(jù)庫(kù)軟件，庫(kù)中數(shù)據(jù)，配置文獻(xiàn)等資產(chǎn)組描述資產(chǎn)組，可以靈活分組，可以分為每個(gè)絡(luò)隔離保護(hù)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全保障等IT服務(wù)；也包括外部對(duì)客戶(hù)提供的服務(wù)，如網(wǎng)絡(luò)接入，電力，IT產(chǎn)品售后服務(wù)和IT系統(tǒng)維護(hù)等服務(wù)。簡(jiǎn)稱(chēng)解釋/舉例通用服務(wù)文獻(xiàn)服務(wù)等，它們一般使用通用軟件產(chǎn)品(off-the-shelf)實(shí)現(xiàn)重要是已經(jīng)應(yīng)用或運(yùn)行的定制開(kāi)發(fā)或購(gòu)置的大指企業(yè)的一種信息業(yè)務(wù)處理能力和業(yè)務(wù)流程運(yùn)行能力，即輸入所需輸入信息后，中間過(guò)程中人員、原則和其他資產(chǎn)發(fā)生作用，能生成企業(yè)所需的輸出信息，完畢企業(yè)的業(yè)務(wù)處理功能。此處的程能力自身，不包括流程中所用到的其他資產(chǎn)。網(wǎng)絡(luò)服務(wù)多種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)安全服務(wù)例如防火墻訪問(wèn)控制服務(wù)、入侵檢測(cè)服務(wù)、認(rèn)證、審計(jì)、顧問(wèn)等。外部服務(wù)外部對(duì)客戶(hù)提供的服務(wù)，如網(wǎng)絡(luò)接入，電力，IT企業(yè)內(nèi)部對(duì)于數(shù)據(jù)類(lèi)資產(chǎn)的分類(lèi)措施一般根據(jù)數(shù)據(jù)的敏感性(Sensitivity)來(lái)進(jìn)行，與機(jī)密性非常類(lèi)似。例如，下表是常用的一種數(shù)據(jù)解釋/舉例公開(kāi)不需要任何保密機(jī)制和措施，可以公開(kāi)使用(例如產(chǎn)品刊登新聞等)。內(nèi)部企業(yè)內(nèi)部員工或文檔所屬部門(mén)使用，或文檔波及的企業(yè)使用(例如協(xié)議等)秘密由和顧問(wèn)服務(wù)項(xiàng)目有關(guān)的XXXX企業(yè)和客戶(hù)企業(yè)組員使用機(jī)密只有在文檔中指定的人員可使用，文檔的保管要在規(guī)定的時(shí)間內(nèi)受到控制絕密非文檔的擬訂者或文檔的所有者及管理者，其他指定人員在使用文檔后迅速的按規(guī)定銷(xiāo)毀簡(jiǎn)稱(chēng)解釋/舉例重要是已經(jīng)應(yīng)用或運(yùn)行的定制開(kāi)發(fā)或購(gòu)置的大型業(yè)務(wù)軟件和管理軟件(如MIS、ERP、CRM、微軟的操作系統(tǒng)各個(gè)版本，提供公眾計(jì)算環(huán)境和應(yīng)用運(yùn)行平臺(tái)包括多種Unix版本，例如Solaris,AIX,HP-UX,Linux,FreeBSD等，提供公眾計(jì)算環(huán)境和應(yīng)用運(yùn)行平臺(tái)：數(shù)據(jù)庫(kù)包括多種商業(yè)數(shù)據(jù)庫(kù)產(chǎn)品，例如Oracle,Sybase,SQLServer等，為其他應(yīng)用提供開(kāi)發(fā)和運(yùn)行平LotusDominoNotes系統(tǒng)是Domino郵件軟件、Domino軟件、Domino名字軟件、以及在Domino之上開(kāi)發(fā)的其他應(yīng)用軟件。財(cái)務(wù)軟件，數(shù)據(jù)庫(kù)軟件等非重要業(yè)務(wù)系統(tǒng)軟件和非定制開(kāi)發(fā)軟件。開(kāi)發(fā)環(huán)境多種開(kāi)發(fā)環(huán)境類(lèi)軟件，例如MSDN,JAVA開(kāi)發(fā)環(huán)境、Delphi等數(shù)據(jù)庫(kù)多種數(shù)據(jù)庫(kù)類(lèi)軟件，例如Oracle,DB2,Sybase等工具類(lèi)多種工具軟件，例如Winzip,Ghost等重要指企業(yè)的非IT類(lèi)的設(shè)備，重要包括電源、空調(diào)、保險(xiǎn)柜、文獻(xiàn)柜、確定信息系統(tǒng)的重要性的措施為首先把每個(gè)信息系統(tǒng)識(shí)別為一種信息系統(tǒng)整體資產(chǎn)組，然后對(duì)每個(gè)資產(chǎn)組計(jì)算資產(chǎn)價(jià)值(計(jì)算措施參見(jiàn)下面章節(jié)中的信息資產(chǎn)估價(jià)措施),并綜合考慮每個(gè)信息系統(tǒng)的“生產(chǎn)力”,來(lái)確定不一樣信一般為一臺(tái)主機(jī)，包括本臺(tái)主機(jī)中的硬件，0S,應(yīng)用軟件，網(wǎng)絡(luò)一般為一臺(tái)網(wǎng)絡(luò)設(shè)備，包括本臺(tái)網(wǎng)絡(luò)設(shè)備中的硬件，I0S,配置文獻(xiàn)數(shù)據(jù)，網(wǎng)絡(luò)服務(wù)。包括路由器、互換機(jī)、硬件防數(shù)據(jù)庫(kù)一般為一種數(shù)據(jù)庫(kù)，包括數(shù)據(jù)庫(kù)軟件，庫(kù)中數(shù)據(jù)，配置文獻(xiàn)等資產(chǎn)組描述資產(chǎn)組，可以靈活分組，可以分為每個(gè)>服務(wù)(重要業(yè)務(wù)應(yīng)用服務(wù)和業(yè)務(wù)流程等)>數(shù)據(jù)(重要的數(shù)據(jù)，如源代碼、數(shù)據(jù)文獻(xiàn)、數(shù)據(jù)庫(kù)數(shù)據(jù)、數(shù)據(jù)倉(cāng)庫(kù)等)>人員(各類(lèi)人員，安全組織和人員)組織商務(wù)或業(yè)務(wù)的重要性，即資產(chǎn)損失所引起潛在的商務(wù)或業(yè)務(wù)的影響來(lái)決>可用性：保證通過(guò)授權(quán)的顧客在需要時(shí)可內(nèi)的所有信息資產(chǎn)。評(píng)估體也許是本次評(píng)估范圍內(nèi)的所有信息資產(chǎn)構(gòu)成的系根據(jù)資產(chǎn)機(jī)密性屬性的不一樣，將它分為5個(gè)不標(biāo)識(shí)定義絕密(Secret)指組織最重要的機(jī)密，關(guān)系組織未來(lái)發(fā)展的前途命對(duì)組織主線利益有著決定性影響，假如泄漏會(huì)導(dǎo)致劫難性的影響；3機(jī)密是指包括組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受?chē)?yán)重?fù)p害；2秘密(Private)是指包括組織一般性秘密，其泄露會(huì)使組織的安全和利益受到損害；1內(nèi)部公開(kāi)指僅在組織內(nèi)部或在組織某一部門(mén)內(nèi)部公開(kāi)，向外擴(kuò)散有也許對(duì)組織的利益導(dǎo)致?lián)p害；0公開(kāi)(Public)等信息資產(chǎn)根據(jù)資產(chǎn)完整性屬性的不一樣，將它分為5個(gè)不標(biāo)識(shí)定義4非常高對(duì)業(yè)務(wù)沖擊重大，并也許導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷，難以3高(High)完整性?xún)r(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體導(dǎo)致重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)；2完整性?xún)r(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體導(dǎo)致影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)；1低(Low)完整性?xún)r(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體導(dǎo)致輕微影響，可以忍受，對(duì)業(yè)務(wù)沖擊輕微，輕易彌0完整性?xún)r(jià)值非常低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體導(dǎo)致的影響可以忽視，對(duì)業(yè)務(wù)沖擊可以忽視；根據(jù)資產(chǎn)可用性屬性的不一樣，將它分為5個(gè)不產(chǎn)在可用性方面的價(jià)值或者在可用性方面受到損失時(shí)標(biāo)識(shí)定義4非常高完整性?xún)r(jià)值非常關(guān)鍵，合法使用者對(duì)信息系統(tǒng)及資源的可用度到達(dá)年度99.9%以上3高(High)完整性?xún)r(jià)值較高，合法使用者對(duì)信息系統(tǒng)及資源的可用度到達(dá)每天99%以上；2中等(Medium)完整性?xún)r(jià)值中等，合法使用者對(duì)信息系統(tǒng)及資源的可用度在正常上班時(shí)間到達(dá)90%以上；1低(Low)完整性?xún)r(jià)值較低，合法使用者對(duì)信息系統(tǒng)及資源的可用度在正常上班時(shí)間到達(dá)25%以上；0完整性?xún)r(jià)值或潛在影響可以忽視，完整性?xún)r(jià)值較低，合法使用者對(duì)信息系統(tǒng)及資源的可用度在正常上班時(shí)間低于25%AssetValue=Round1{Log?|(2Conf+2Int+2Avail)AssetValue=Round1{Log?[(A×2m+B×21n+C×2~ail)/3]}B、C是三個(gè)0到3之間的常數(shù)，且A+B+C=3。>電信運(yùn)行商(最關(guān)注可用性):A=0.7,B=0.7,C=1.6;>金融行業(yè)(最關(guān)注完整性):A=0.7,B=1.6,C=0.7;>政府涉密部門(mén)(最關(guān)注機(jī)密性):A=1.6,B=0.7,C=0.7;么性質(zhì)的?威脅來(lái)源(對(duì)手)怎樣產(chǎn)生?我們最重要的對(duì)手是誰(shuí)?對(duì)手的動(dòng)機(jī)是什么?他們是什么背景，擁有多大的資源和能力?每個(gè)對(duì)手使用何種(或多種)襲擊措施?他們有多大的決心?他們樂(lè)意為此冒法律的風(fēng)險(xiǎn)嗎?這些是我威脅和對(duì)手是什么,也就是說(shuō)重要防備的對(duì)手是誰(shuí)。確定的重要威脅和對(duì)手一般不要太多(推薦2-3個(gè)以?xún)?nèi)),然后再根據(jù)重要威脅和對(duì)手來(lái)重點(diǎn)評(píng)估其也威脅是對(duì)組織的資產(chǎn)引起不期望事件而導(dǎo)致的損害的潛在也許性。威脅也許源于對(duì)企業(yè)/組織的信息直接或間接的襲擊，例如非授權(quán)的泄露、篡改、弱點(diǎn)(弱點(diǎn)的定義參見(jiàn)弱點(diǎn)一章)才也許成功地對(duì)資產(chǎn)導(dǎo)致傷害。表3-1給出了個(gè)人和組織兩種性質(zhì)(惡意和非惡意)的襲擊類(lèi)別和舉例。表3-1威脅來(lái)源(潛在對(duì)手)舉例國(guó)家國(guó)家經(jīng)營(yíng)，組織精良并得到很好的財(cái)政資助。使用國(guó)外的服務(wù)代理，從敵對(duì)國(guó)家或它認(rèn)為具有經(jīng)濟(jì)、軍事或政治優(yōu)勢(shì)的國(guó)家搜集機(jī)密或關(guān)鍵信息黑客襲擊網(wǎng)絡(luò)和系統(tǒng)，企圖探求操作系統(tǒng)的脆弱性或其他缺陷的恐怖分子/計(jì)算機(jī)恐怖分子國(guó)內(nèi)外代表多種恐怖分子或極端勢(shì)力的個(gè)人或團(tuán)體。以強(qiáng)迫或恐嚇政府或社會(huì)以滿(mǎn)足其需要為目的，他們采用暴力或暴力威脅方式制造恐慌有組織犯罪一種協(xié)同犯罪行為，包括賭博、敲詐、非法經(jīng)營(yíng)麻醉劑及諸多其他犯罪行為。是有組織和財(cái)政資助的犯罪組織。非組織犯罪組員犯罪群體的其他部分，他們一般沒(méi)有很好的加入組織和接受不滿(mǎn)的雇員有潛力對(duì)當(dāng)?shù)鼐W(wǎng)絡(luò)和系統(tǒng)施加破壞的憤怒和不滿(mǎn)的人們?；谄淠壳氨还蛡蚝蛯?duì)系統(tǒng)具有訪問(wèn)權(quán)的條件，他們可以對(duì)系統(tǒng)實(shí)行內(nèi)部威脅。國(guó)際新聞社社和娛樂(lè)媒體的組織。其行為包括在任何指定期間搜集有關(guān)任何人和事的情報(bào)。競(jìng)爭(zhēng)對(duì)手的形式，從競(jìng)爭(zhēng)對(duì)手或外國(guó)政府那里非法搜集情非惡意粗心或未受到良好訓(xùn)練的雇員由于缺乏訓(xùn)練，或者由于不關(guān)懷和不專(zhuān)注而導(dǎo)致信息系統(tǒng)威脅的顧客。這是內(nèi)部威脅或內(nèi)部對(duì)手的另一種例子。系統(tǒng)的訪問(wèn)權(quán)(而非破壞),以便他們后來(lái)可以使用計(jì)算機(jī)或網(wǎng)絡(luò)做試驗(yàn)。通過(guò)在計(jì)算機(jī)系統(tǒng)中挖掘漏洞或“后門(mén)”,黑客們常常相信他們實(shí)際上正在協(xié)助組織關(guān)閉這一漏洞，從而給Internet帶來(lái)實(shí)際利潤(rùn)及提供所需資源。其他黑>獲取機(jī)密或敏感數(shù)據(jù)的訪問(wèn)權(quán)(注意：那些對(duì)某些人或組織有很高價(jià)>跟蹤或監(jiān)視目的系統(tǒng)的運(yùn)行(跟蹤分析);>免費(fèi)使用資源(例如，計(jì)算機(jī)資源或免費(fèi)使用網(wǎng)絡(luò));一定風(fēng)險(xiǎn)。風(fēng)險(xiǎn)可以是時(shí)間依賴(lài)的(timedependent)。對(duì)手面臨的風(fēng)險(xiǎn)損失>遭受懲罰(如罰款、入獄和處在窘境等);和資源并樂(lè)意拿這些資源和他們自己去冒險(xiǎn)，那么剩不也許減弱一種對(duì)手的能力，但卻也許減少對(duì)手的(襲擊)機(jī)會(huì)。此類(lèi)襲擊包括被動(dòng)監(jiān)視公共媒體(如無(wú)線電、衛(wèi)星、微波和公共互換網(wǎng))上的信息傳送。抵御此類(lèi)襲擊的對(duì)策包括使用虛擬專(zhuān)用網(wǎng)VPN,加密被保護(hù)網(wǎng)絡(luò)以及使用加保護(hù)的分布式網(wǎng)絡(luò)(例如物理上受保護(hù)的網(wǎng)絡(luò)/安全的在線分布式網(wǎng)絡(luò))。表4-2給出了被動(dòng)襲擊特有的襲擊實(shí)例。監(jiān)視明文數(shù)據(jù)。解密加密不善的通信數(shù)據(jù)公共域中已出現(xiàn)了密碼分析能力。1997年，S6比特的DES算法在協(xié)同工作下被攻破。由于機(jī)器的時(shí)間的限制，短期內(nèi)對(duì)大容量通信流的威脅尚成問(wèn)題，但單次事務(wù)確已顯示出了脆弱性?？诹钚崽酱祟?lèi)襲擊包括使用協(xié)議分析工具捕捉用于未獲授權(quán)使用的口令。雖然不解密下層信息，外部通信模式的觀測(cè)也能給對(duì)手提供關(guān)鍵信息。例如，通信模式的變化可以暗示緊急行動(dòng)。積極襲擊包括企圖避開(kāi)或打破安全防護(hù)、引入惡意代碼(如計(jì)算機(jī)病毒)以及破壞數(shù)據(jù)或系統(tǒng)的完整性。經(jīng)典對(duì)策包括增強(qiáng)的飛地邊界護(hù)衛(wèi))、基于身份認(rèn)證的訪問(wèn)控制、受保修改傳播中的數(shù)據(jù)在金融領(lǐng)域，假如電子交易可以被修改，從而變化交易的數(shù)量或者將交易轉(zhuǎn)移到別的帳戶(hù)，其后果將是劫難性重放(插入數(shù)據(jù))舊消息的重新插入將耽誤及時(shí)的行動(dòng)。Bellovin顯示了將消息結(jié)合起來(lái)用于變化傳播中的信息，并且產(chǎn)生想要的成果的狀況。會(huì)話(huà)攔截(hijack)這種襲擊包括未授權(quán)而使用一種已經(jīng)建立的會(huì)話(huà)。偽裝成授權(quán)的顧客或此類(lèi)襲擊包括襲擊者將自己偽裝成他人，因而得以未授顧客登陸。此類(lèi)襲擊也包括用于獲取敏感數(shù)據(jù)的欺騙服務(wù)器，通過(guò)與未產(chǎn)生懷疑的顧客建立信任服務(wù)關(guān)系來(lái)實(shí)行該襲擊。獲取系統(tǒng)應(yīng)用和操作系統(tǒng)軟件襲擊者探求以系統(tǒng)權(quán)限運(yùn)行的軟件中存在的脆弱性。著名的襲擊有針對(duì)sendmail和X—Windows服務(wù)器缺陷的襲擊。近來(lái)，有關(guān)Windows95和WindowsNT脆弱性的警告越來(lái)越多。幾乎每天都能發(fā)現(xiàn)軟件和硬件平臺(tái)中的新的脆弱性。襲擊、脆弱性和補(bǔ)丁通過(guò)多種計(jì)算機(jī)應(yīng)急用傳遞的信任。著名的襲擊有rhost和rlogin,它們促使工作站在整個(gè)企業(yè)網(wǎng)共享文獻(xiàn)和服務(wù)。運(yùn)用數(shù)據(jù)執(zhí)行襲擊者將惡意代碼植入看起來(lái)無(wú)害的供下載的軟件或電子郵件中，從而使顧客去執(zhí)行該惡意代碼。惡意代碼可用于破壞或修改文獻(xiàn)，尤其是包括權(quán)限參數(shù)值的文著名的襲擊者有PostScript、Active-X和微軟WORD宏病毒。病毒，蠕蟲(chóng))弱性并使用該訪問(wèn)來(lái)到達(dá)其襲擊目的。這包括植入某些基于未來(lái)事件而發(fā)作的軟件。黑客工具如Rootkit具有總控鑰匙(TURNKEY)能力，包括插入腳本、獲取根權(quán)限、運(yùn)用協(xié)議或基礎(chǔ)設(shè)施襲擊者運(yùn)用協(xié)議中的缺陷來(lái)欺騙顧客或重定向通信著名的此類(lèi)襲擊有哄騙域名服務(wù)器以進(jìn)行未授權(quán)遠(yuǎn)程登陸，使用ICMP炸彈使某個(gè)機(jī)器離線。其他有名的襲擊尚有源路由偽裝成信任主機(jī)源；TCP序列號(hào)猜測(cè)獲得訪問(wèn)權(quán)；為截獲合法連接而進(jìn)行TCP組合等。惡意代碼在VPN中可以通過(guò)更低級(jí)隧道來(lái)滲出信息。至少一篇論文指出了圍繞使用IPSec默認(rèn)安全機(jī)制的安全模式的DES整函數(shù)可以被規(guī)避。襲擊者有諸多實(shí)行拒絕服務(wù)的襲擊措施，包括有效的將一種路由器從網(wǎng)絡(luò)中脫離的ICMP炸彈，在網(wǎng)絡(luò)中擴(kuò)散垃圾包以及向郵件中心擴(kuò)散垃圾郵件等。修改數(shù)據(jù)或搜集信息竊取信息，如IP地址、登陸的顧客名和口令系統(tǒng)干涉這種襲擊來(lái)自鄰近的襲擊者訪問(wèn)并干涉系統(tǒng)(如竊聽(tīng)，降級(jí)等)。物理破壞該襲擊來(lái)自獲得對(duì)系統(tǒng)的物理訪問(wèn)的鄰近者，導(dǎo)致對(duì)當(dāng)?shù)叵到y(tǒng)的物理破壞。范圍內(nèi)，要么對(duì)信息安全處理系統(tǒng)具有直接訪問(wèn)權(quán)。有兩種內(nèi)部人員襲擊：惡意的和非惡意的(不小心或無(wú)知的顧客)。由于非惡意顧客也會(huì)導(dǎo)致安全事件，故非惡意狀況也被認(rèn)為是一種襲擊。惡意內(nèi)部人員襲擊一聯(lián)邦調(diào)查局(FBI)的評(píng)估顯示80%的襲擊和入侵來(lái)自組織內(nèi)部。內(nèi)部人員懂得系統(tǒng)的布局、有價(jià)值的數(shù)據(jù)在何處以及何種安全防備系統(tǒng)在工作。因內(nèi)部人員襲擊來(lái)自區(qū)域內(nèi)部，常常最難于檢測(cè)和防備。內(nèi)部人員襲擊的來(lái)源包括授權(quán)的(容許登錄的)系統(tǒng)顧客和惡意的系統(tǒng)管理員，提供集成、開(kāi)發(fā)或維護(hù)支持的第三方人員等。一般，制止系統(tǒng)合法訪問(wèn)者越界進(jìn)入他們未被授權(quán)的更秘密的區(qū)域是比較困難的。內(nèi)部人員襲擊可以集中去破壞數(shù)據(jù)或訪問(wèn)，包括修改系統(tǒng)保護(hù)措施。惡意內(nèi)部人員襲擊者可以使用隱秘通道將機(jī)密數(shù)據(jù)發(fā)送到其他受保護(hù)的網(wǎng)絡(luò)中。并且，一種內(nèi)部人員襲擊者還可以通過(guò)其他諸多途徑來(lái)破壞信息系統(tǒng)。非惡意內(nèi)部人員襲擊一此類(lèi)襲擊由授權(quán)的人們引起，他們并非故意破壞信息或信息處理系統(tǒng)，而是由于其特殊行為而對(duì)系統(tǒng)無(wú)意的產(chǎn)生了破壞。這些破壞也許由于缺乏知識(shí)或不小心所致。經(jīng)典對(duì)策包括：安全意識(shí)和訓(xùn)練；審計(jì)和入侵檢測(cè)；安全方略及強(qiáng)制實(shí)行；關(guān)鍵數(shù)據(jù)、服務(wù)和局域網(wǎng)的特殊的訪問(wèn)控制等等；計(jì)算機(jī)和網(wǎng)絡(luò)組件中的信息技術(shù)；或者一種強(qiáng)的身份標(biāo)識(shí)與鑒別(I&A)能力。表4-5給出了此類(lèi)襲擊特有的表3-5內(nèi)部人員襲擊舉例惡意修改數(shù)據(jù)或安全機(jī)制內(nèi)部人員由于是共享網(wǎng)絡(luò)的使用者因而常常對(duì)信息具有訪問(wèn)權(quán)。這種訪問(wèn)使內(nèi)部人員襲擊者能未授權(quán)操作或建立未授權(quán)網(wǎng)絡(luò)連接對(duì)涉密網(wǎng)絡(luò)具有物理訪問(wèn)能力的顧客未授權(quán)連接到一種低密級(jí)別或敏感網(wǎng)絡(luò)中。經(jīng)典的，這違反了涉密網(wǎng)絡(luò)隱通道隱通道是未授權(quán)的通信途徑，用于從當(dāng)?shù)仫w地向遠(yuǎn)程站物理?yè)p壞或破壞這是一種對(duì)當(dāng)?shù)叵到y(tǒng)的故意破壞或損壞，源于對(duì)襲擊者非惡意修改數(shù)據(jù)內(nèi)部人員襲擊者由于缺乏訓(xùn)練，不關(guān)懷或不專(zhuān)注而修改物理?yè)p壞或破壞此類(lèi)襲擊也可列入惡意襲擊疇。作為非惡意襲擊，它是由于內(nèi)部人員不小心所致。例如，由于未遵守所公布的檢查和簽名軟件和訪問(wèn)控制可以消除分發(fā)威脅。表4-6表3-6分發(fā)襲擊舉例軟/硬件當(dāng)軟件和硬件在生產(chǎn)線上流通時(shí)，可以通過(guò)修改軟硬件配置來(lái)實(shí)行此類(lèi)襲擊。這一階段威脅的對(duì)策包括嚴(yán)格的完整性控制和在測(cè)試軟件產(chǎn)品中的加密簽名，前者又包括高可靠性配置控制。這些襲擊可以通過(guò)在產(chǎn)品分發(fā)期內(nèi)(如在裝船時(shí)安裝竊聽(tīng)設(shè)備)修改軟件和硬件配置來(lái)實(shí)行。這一階段威脅的對(duì)策包括在包裝階段使用篡改檢測(cè)技術(shù)，使用授權(quán)和同意的傳遞者及使用盲目買(mǎi)(blind-buy)技術(shù)。重性(ThreatSeverity,又名影響的嚴(yán)重性),也許性也就是指威脅發(fā)生的概在評(píng)估體實(shí)際環(huán)境中，通過(guò)IDS系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的記錄過(guò)去一年或兩年來(lái)國(guó)際機(jī)構(gòu)(如FBI)公布的對(duì)于整個(gè)社會(huì)或特定行業(yè)安表3-7:威脅也許性賦值原則賦值描述闡明4幾乎肯定預(yù)期在大多數(shù)狀況下發(fā)生，不可防止(>90%)3很也許在大多數(shù)狀況下，很有也許會(huì)發(fā)生(50%～90%)2也許在某種狀況下或某個(gè)時(shí)間，也許會(huì)發(fā)生(20%~1不太也許發(fā)生的也許性很小，不太也許(<20%)0罕見(jiàn)也許(0%~1%)作用的也許性。威脅要實(shí)際產(chǎn)生影響還要考慮弱點(diǎn)被運(yùn)用的難易程度這個(gè)原為5個(gè)等級(jí)，分別是很高(VH)、高(H)、中等(M)、低(L)、可忽視表5-1:威脅嚴(yán)重性賦值原則賦值對(duì)手等級(jí)影響程度闡明4占有中等資源，有組織的，技能純熟織的內(nèi)部人員，純熟的黑客組織和犯罪組織。相對(duì)農(nóng)行整體資產(chǎn)，還包括占有豐富金支持的敵對(duì)國(guó)家組織和恐怖組織。可以導(dǎo)致資產(chǎn)所有損失或不可用，持續(xù)的業(yè)務(wù)中斷，巨大的財(cái)務(wù)損失等非常嚴(yán)重的影響；3高H占有中等資源，有組織的，技能純熟很大的或內(nèi)外勾結(jié)的內(nèi)部人員，純熟的黑客組織和犯罪組織可以導(dǎo)致資產(chǎn)重大損失，業(yè)務(wù)中斷，較大的財(cái)務(wù)損失等嚴(yán)重2可以導(dǎo)致資產(chǎn)損失，業(yè)務(wù)受到限較小的內(nèi)部人員，純熟的黑客和犯罪份子損害，中等的財(cái)務(wù)損失等影響1低L占有很少資源的非純熟技能的，并且的黑客和犯罪份子可以導(dǎo)致資產(chǎn)較小損失，并且立即可以受到控制，較小的財(cái)務(wù)損失等影響；0無(wú)意的或意外的事件資產(chǎn)損失可以忽視、對(duì)業(yè)務(wù)無(wú)損害，輕微或可忽視的財(cái)務(wù)損弱點(diǎn)是資產(chǎn)自身存在的，它可以被威脅運(yùn)用、引起資產(chǎn)或商業(yè)目的的損重性，因此與影響親密有關(guān)。在CVE和業(yè)界大多數(shù)的掃描器>低等級(jí)：也許會(huì)導(dǎo)致某些非機(jī)密信息泄漏，非嚴(yán)重濫用和誤用等不嚴(yán)低(L)、可忽視(N),并且從高到低分別賦值4-0。賦值原則參照下表。闡明4該弱點(diǎn)若被威脅運(yùn)用，可以導(dǎo)致資產(chǎn)所有損失或不可用，持續(xù)的業(yè)務(wù)中斷，巨大的財(cái)務(wù)損失等非常嚴(yán)重的影3該弱點(diǎn)若被威脅運(yùn)用，可以導(dǎo)致資產(chǎn)重大損失，業(yè)務(wù)中斷，較大的財(cái)務(wù)損失等嚴(yán)重影響2該弱點(diǎn)若被威脅運(yùn)用，可以導(dǎo)致資產(chǎn)損失，業(yè)務(wù)受到損害，中等的財(cái)務(wù)損失等影響1該弱點(diǎn)若被威脅運(yùn)用，可以導(dǎo)致資產(chǎn)較小損失，并且立即可以受到控制，較小的財(cái)務(wù)損失等影響；0該弱點(diǎn)也許導(dǎo)致資產(chǎn)損失可以忽視、對(duì)業(yè)務(wù)無(wú)損害，輕在實(shí)際安全服務(wù)工作中，技術(shù)類(lèi)弱點(diǎn)的嚴(yán)重性值一般參照掃描器或CVE威脅來(lái)源可以分為內(nèi)部和外部，因此弱點(diǎn)的獲取措施也 數(shù)值符號(hào)含義提議處置措施備注E極度風(fēng)險(xiǎn)規(guī)定立即采用措施：防措施H高風(fēng)險(xiǎn)需要高級(jí)管理部門(mén)的注小?需要詳細(xì)資產(chǎn)信息M中等風(fēng)險(xiǎn)必須規(guī)定管理責(zé)任：防小?需要詳細(xì)資產(chǎn)信息L用平常程序處理：防小?需要詳細(xì)資產(chǎn)信息后果/影響。這和“減少風(fēng)險(xiǎn)也許性”一起，可以到達(dá)減小風(fēng)險(xiǎn)的目的，也成網(wǎng)絡(luò)掃描重要依托帶有安全漏洞知識(shí)庫(kù)的網(wǎng)絡(luò)安全掃描工具對(duì)信息資產(chǎn)為將掃描評(píng)估對(duì)信息系統(tǒng)的影響減低到最小，并獲得很好的掃描評(píng)估效必要的防止措施(例如調(diào)整掃描方略等)后，才可以繼續(xù)進(jìn)行。>其他果來(lái)反應(yīng)出系統(tǒng)的安全現(xiàn)實(shí)狀況。該手段也越來(lái)越受到國(guó)際/國(guó)內(nèi)信息安全業(yè)滲透測(cè)試運(yùn)用安全掃描器和富有經(jīng)驗(yàn)的安全工程師的人工經(jīng)驗(yàn)對(duì)指定的需要投入的人力資源較大、對(duì)測(cè)試者的專(zhuān)業(yè)技能規(guī)定很高(滲透測(cè)試匯報(bào)的價(jià)值直接依賴(lài)于測(cè)試者的專(zhuān)業(yè)機(jī)能),不過(guò)非常精確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更黑客的襲擊入侵需要運(yùn)用目的網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測(cè)試也是同樣的道客戶(hù)簽定委托客戶(hù)簽定委托整體安全客戶(hù)委托客戶(hù)委托是XXXX進(jìn)行滲透測(cè)試的必要條件。XXXX將盡最大努力做到使客戶(hù)對(duì)滲透測(cè)試所有細(xì)節(jié)和風(fēng)險(xiǎn)的知曉、所有過(guò)程都在客戶(hù)的控制下進(jìn)行。這也是XXXX的專(zhuān)業(yè)服務(wù)與黑客襲擊入侵的本質(zhì)不一樣。信息搜集信息搜集分析幾乎是所有入侵襲擊的前提/前奏/基礎(chǔ)。“知己知彼，百戰(zhàn)不殆”,信息搜集分析就是完畢的這個(gè)任務(wù)。通過(guò)信息搜集分析，襲擊者(測(cè)試者)可以對(duì)應(yīng)地、有針對(duì)性地制定入侵襲擊的計(jì)劃，提高入侵的成功率、減小暴露或被發(fā)現(xiàn)的幾率。Scanner等，有時(shí)，操作系統(tǒng)中內(nèi)置的許多工具(例如telnet)也可以成為非以獲得遠(yuǎn)程一般權(quán)限，這時(shí)測(cè)試者可以通過(guò)該一般權(quán)限深入搜集目的系統(tǒng)信中的配置文獻(xiàn)以及其他具有重要系統(tǒng)配置信息和顧客信息的目錄和>滲透測(cè)試時(shí)間盡量安排在業(yè)務(wù)量不大的時(shí)段或者晚上的恢復(fù)系統(tǒng)，采用必要的防止措施(例如調(diào)整測(cè)試方略等)之后，才搜集——農(nóng)行將負(fù)責(zé)方略文檔的搜集。搜集的范圍包括網(wǎng)絡(luò)安全有關(guān)的規(guī)>文檔復(fù)評(píng)——可以由與文檔評(píng)估不一樣的人來(lái)進(jìn)行復(fù)評(píng)。此工作可再有，由于IT技術(shù)和安全技術(shù)發(fā)展速度非常的快，因此技術(shù)有關(guān)的安全參照ISO17799和業(yè)界通用的安全方略規(guī)范，將既有文檔體系和>資產(chǎn)——對(duì)資產(chǎn)進(jìn)行分類(lèi)、標(biāo)識(shí)、價(jià)值等級(jí)和機(jī)密等級(jí)劃分和維護(hù)、>技術(shù)框架——圍繞IAARC模型技術(shù)層面進(jìn)行描述，包括鑒別和認(rèn)證審計(jì)和跟蹤(Audit&Trail),響應(yīng)和恢復(fù)(Response&Recovery),內(nèi)容為了愈加深入地評(píng)估農(nóng)行系統(tǒng)的安全狀況，需要從整體和業(yè)務(wù)上，采用2.路由協(xié)議3.接入方式4.協(xié)議選擇針對(duì)網(wǎng)絡(luò)架構(gòu)中也許出現(xiàn)的安全問(wèn)題，以及其中與否被對(duì)的執(zhí)行審計(jì)狀8.密碼和身份認(rèn)證手段調(diào)查和評(píng)估10.訪問(wèn)控制狀況調(diào)查11.漏洞評(píng)估和入侵檢測(cè)機(jī)制12.安全方略和安全制度分析13.安全配置均衡性分析(弱點(diǎn)分析)14.接入/連接方式的安全性業(yè)務(wù)系統(tǒng)采用的詳細(xì)的流程將直接影響到系統(tǒng)的安全性。與否采用的是有關(guān)系統(tǒng)的安全。假如在數(shù)據(jù)流途徑中有不該通過(guò)身的規(guī)定與否符合?數(shù)據(jù)備份方略怎樣，備份的時(shí)間，備份的方式，與否考慮5.業(yè)務(wù)間信任關(guān)系7.版本控制9.業(yè)務(wù)分發(fā)10.安全審計(jì)功能11.業(yè)務(wù)流和網(wǎng)絡(luò)拓樸的有關(guān)性分析設(shè)與否適應(yīng)了業(yè)務(wù)流程的需要?業(yè)務(wù)流程在既有網(wǎng)絡(luò)拓樸構(gòu)造狀況下，與否會(huì)12.業(yè)務(wù)軟件的安全設(shè)計(jì)評(píng)估 輸入過(guò)程描述弱點(diǎn)的評(píng)估4.2.4.1信息資產(chǎn)的識(shí)別過(guò)程描述 概述信息資產(chǎn)的識(shí)別和賦值可以確定評(píng)估的對(duì)象，是整個(gè)安全服務(wù)工作的基完畢一份完整和最新的信息資產(chǎn)清單，對(duì)農(nóng)行的信息資產(chǎn)管理工作會(huì)有所協(xié) 文檔等。根據(jù)不一樣的項(xiàng)目目的與項(xiàng)目特點(diǎn)，重 輸入服務(wù)內(nèi)容 輸出顧問(wèn)訪談和人工分析等，獲得每項(xiàng)信息資產(chǎn)具有的與威脅列表有關(guān)的安全弱 過(guò)程描述 輸出 (例如：互換機(jī)，路由器等)Internet接入，地理分布方式和網(wǎng)絡(luò)管理。輸出習(xí)環(huán)節(jié) 輸出 目的>與其他進(jìn)程的交互狀況，如Mail、Web等。 >對(duì)生成的匯報(bào)進(jìn)行分析，獲得最有針對(duì)性的匯報(bào) 環(huán)節(jié) 輸出 概述重要對(duì)農(nóng)行目前的信息安全方略文檔進(jìn)行分析，重要通過(guò)對(duì)文檔的分析來(lái) 輸入過(guò)程描述3.溝通和答疑會(huì)，重要對(duì)閱讀和分析的文檔中存在的某些疑問(wèn)進(jìn)行溝 輸出 概述 輸入 BS7799PD3000系列估加入到通過(guò)掃描、模擬滲透測(cè)試、IDS等手段得到的弱點(diǎn)和威脅加入整體的過(guò)程描述 輸出目的服務(wù)內(nèi)容描述么物理網(wǎng)絡(luò)構(gòu)成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對(duì)于保持網(wǎng)絡(luò)的安全是非常方案是很關(guān)鍵的。基本信息包括網(wǎng)絡(luò)帶寬，協(xié)議，硬件(例如：互換機(jī)，路由器等)Internet接入，地理分布方式和網(wǎng)絡(luò)管理。 輸入 輸入 輸出列出每項(xiàng)信息資產(chǎn)已經(jīng)具有的安全措施、有效的安全服務(wù)和安全控制手 輸出此匯報(bào)將對(duì)所評(píng)估得信息資產(chǎn)目前所采用的所有信息安全保護(hù)措施進(jìn)行評(píng)輸入過(guò)程描述 4.3安全方略制定安全方略的合用范圍是農(nóng)行信息系統(tǒng)擁有的、控制和管理的所有信息系-安全方略和制度體系的建設(shè)-安全組織體系的建設(shè)-安全運(yùn)作體系的建設(shè)>規(guī)范信息安全規(guī)劃、采購(gòu)、建設(shè)、維護(hù)和等級(jí)化安全標(biāo)準(zhǔn)組織機(jī)構(gòu)和人員職責(zé)管理制度和規(guī)定技術(shù)標(biāo)準(zhǔn)和規(guī)范操作流程用戶(hù)協(xié)議安全體系框架根據(jù)框架概念來(lái)分析和描述農(nóng)行信息安全問(wèn)題，以充足覆10.多種平臺(tái)的主機(jī)和網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件和應(yīng)用系統(tǒng)的安全技術(shù)配14.鑒別和認(rèn)證、訪問(wèn)控制、審計(jì)和跟蹤、響應(yīng)和恢復(fù)、內(nèi)容安16.業(yè)務(wù)持續(xù)性計(jì)劃的制定、測(cè)試和推行，備份和17.安全管理人員、網(wǎng)絡(luò)和系統(tǒng)管理員的安全責(zé)任書(shū)、保密協(xié)議、安全使18.第三方、顧客和合作伙伴的安全承諾書(shū)或安全責(zé)任書(shū)4.3.4信息安全方略服務(wù)流程描述 描述>信息安全原則系列文檔BS7799Part1—Cod服務(wù)的輸出 描述>簡(jiǎn)要闡明安全方略、原則、原則以及需要遵守的各項(xiàng)規(guī)定BS7799Part1—Codeof服務(wù)過(guò)程描述服務(wù)的輸出目的 在農(nóng)行的管理體系中，設(shè)計(jì)專(zhuān)門(mén)進(jìn)行信息安全建設(shè)和管理的組織管理體BS7799Part1—Codeofpracti參照安全方針中制定的企業(yè)發(fā)展和管理原則來(lái)指導(dǎo)信息安全組織管理體服務(wù)的輸出目的Guideline). 描述建設(shè)和平常管理和維護(hù)的規(guī)范。原則和規(guī)范將作為信息系統(tǒng)和安全系統(tǒng)的安BS7799Part1—Codeofpracticefo服務(wù)的輸出 目的為農(nóng)行開(kāi)發(fā)和制定合用的信息安全操作流程(Procedure)和執(zhí)行手冊(cè) 描述完畢各類(lèi)管理制度、管理規(guī)定、管理措施和暫行規(guī)定等詳細(xì)安全管理文檔，作為詳細(xì)安全管理的詳細(xì)規(guī)定。 信息安全制度和管理措施系列文檔重要包括各類(lèi)管理制度、管理規(guī)定、管理措施和暫行規(guī)定等。根據(jù)安全方針中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則措施和指導(dǎo)性方略，引出的詳細(xì)安全管理規(guī)定、管理措施和實(shí)行措施，這些文檔必須具有可操作性，并且必須得到有效推行和實(shí)行的。參照原則和服務(wù)規(guī)范服務(wù)的輸入《信息安全方針》《信息安全發(fā)展總體規(guī)劃》服務(wù)過(guò)程描述重要通過(guò)與農(nóng)行的管理人員和安全技術(shù)人員，通過(guò)會(huì)議和討論的形式，對(duì)XXXX提出的文檔模板進(jìn)行修改和討論，參照其他行業(yè)和機(jī)構(gòu)的類(lèi)似文檔，確定服務(wù)的重要成果體現(xiàn)為文檔。服務(wù)的輸出 目的描述BS7799Part1—Codeof服務(wù)的輸入服務(wù)的輸出4.4設(shè)計(jì)處理方案也包括技術(shù)層面(物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全等)。在貫徹和2.安全規(guī)劃出2-3年的規(guī)劃。在本項(xiàng)目中設(shè)計(jì)的安全體系，應(yīng)是一種合用于整個(gè)市行、支行、營(yíng)業(yè)部和其他分支機(jī)構(gòu))的安全體系，而體系的設(shè)計(jì)過(guò)程只是根內(nèi)部審核方案，保證農(nóng)行總行對(duì)下級(jí)分支機(jī)構(gòu)進(jìn)行計(jì)算機(jī)安全狀況評(píng)估和審于安全體系設(shè)計(jì)和風(fēng)險(xiǎn)評(píng)估。由于采用了框安全需求狀況進(jìn)行充足分析后，將提供一種《農(nóng)行計(jì)算機(jī)安全需求分析闡明方案》,方案重要描述每項(xiàng)技術(shù)控制方案的技術(shù)選型、產(chǎn)品選擇原則、產(chǎn)品選>項(xiàng)目組通過(guò)會(huì)議和討論的形式，對(duì)安全處理方案進(jìn)行論證；>顧客的意見(jiàn)全控制方案進(jìn)行論證后，提供《農(nóng)行計(jì)算機(jī)安全體系建設(shè)規(guī)劃闡明書(shū)》,該書(shū)>項(xiàng)目組通過(guò)會(huì)議和討論的形式，對(duì)需求分析的安全控制方案進(jìn)行論>對(duì)每個(gè)安全處理方案進(jìn)行實(shí)行難易程度分析體系推廣方案設(shè)計(jì)的重要目的是就設(shè)計(jì)的安全體系怎樣在整個(gè)農(nóng)行進(jìn)行4.4.5維持體系運(yùn)行5項(xiàng)目實(shí)行的組織、管理5.1項(xiàng)目的組織5.1.1XXXX項(xiàng)目組規(guī)劃東5.1.2.1項(xiàng)目經(jīng)理項(xiàng)目經(jīng)理PM的任務(wù)就是要對(duì)項(xiàng)目過(guò)程實(shí)行全面的管理，詳細(xì)體目前對(duì)項(xiàng)目目的有一種全局的觀點(diǎn)，并組織會(huì)議制定計(jì)劃和匯報(bào)項(xiàng)目的進(jìn)展，并對(duì)不確定環(huán)境下對(duì)不確定問(wèn)題組織集體討論決策，在必要的時(shí)候進(jìn)行談判及處理沖項(xiàng)目經(jīng)理對(duì)服務(wù)客戶(hù)所應(yīng)承擔(dān)責(zé)任，重要有：>保證項(xiàng)目的目的在實(shí)行中前后一致，實(shí)現(xiàn)客戶(hù)的目的>對(duì)多種項(xiàng)目資源進(jìn)行合適的管理和充足有效的使用>和服務(wù)客戶(hù)進(jìn)行及時(shí)有效的溝通，及時(shí)商討項(xiàng)目進(jìn)展?fàn)顩r，以及對(duì)也許發(fā)生的問(wèn)題的預(yù)測(cè)。項(xiàng)目經(jīng)理對(duì)項(xiàng)目所應(yīng)承擔(dān)責(zé)任，重要有：>保證項(xiàng)目的成功，保證項(xiàng)目準(zhǔn)時(shí)、在預(yù)期內(nèi)到達(dá)預(yù)期>保證項(xiàng)目的整體性，協(xié)調(diào)項(xiàng)目中的各>協(xié)助項(xiàng)目經(jīng)理和項(xiàng)目執(zhí)行經(jīng)理保證服務(wù)狀態(tài)與品質(zhì)保證>領(lǐng)導(dǎo)網(wǎng)絡(luò)與系統(tǒng)安全顧問(wèn)小組>全面理解既有安全控制過(guò)程，鑒定既有安全架構(gòu)的風(fēng)險(xiǎn)，設(shè)計(jì)符合>記錄安全服務(wù)的預(yù)期值與實(shí)際實(shí)現(xiàn)值之間的差異>協(xié)助項(xiàng)目經(jīng)理保證服務(wù)狀態(tài)與品質(zhì)保證>負(fù)責(zé)從技術(shù)角度對(duì)服務(wù)現(xiàn)場(chǎng)的安全顧問(wèn)對(duì)農(nóng)行的大型主機(jī)的評(píng)估工>協(xié)助項(xiàng)目經(jīng)理保證服務(wù)狀態(tài)與品質(zhì)保證5.2項(xiàng)目的管理對(duì)于農(nóng)行安全評(píng)估項(xiàng)目，通過(guò)建立工作細(xì)分構(gòu)造(WorkBreakdown為了保證本項(xiàng)目實(shí)行的質(zhì)量，本項(xiàng)目將參照某些國(guó)際上最新的信息安全原電子郵件5.2.2.2匯報(bào)多種匯報(bào)是項(xiàng)目各方互相溝通的最正式的渠道和證據(jù)。某些必備的項(xiàng)目匯項(xiàng)目計(jì)劃和進(jìn)展匯報(bào)項(xiàng)目總結(jié)匯報(bào)以及在各個(gè)階段輸出的項(xiàng)目成果文本等5.2.2.3會(huì)議會(huì)議是項(xiàng)目管理活動(dòng)的重要形式，是項(xiàng)目各方進(jìn)行正式溝通的渠道。 項(xiàng)目啟動(dòng)會(huì)議是項(xiàng)目正式啟動(dòng)和開(kāi)始的標(biāo)志，項(xiàng)目啟動(dòng)會(huì)議之后，項(xiàng)目正式開(kāi)始，項(xiàng)目組從此進(jìn)入了項(xiàng)目狀態(tài)。此會(huì)議的重要工作是宣布項(xiàng)目正式開(kāi)始，各方的領(lǐng)導(dǎo)闡明對(duì)項(xiàng)目的期望和支持，各方就項(xiàng)目組的組織架構(gòu)和工作計(jì)劃進(jìn)行溝通和確認(rèn)，此會(huì)議對(duì)項(xiàng)目的后期發(fā)展方向非常重要。參與人員●農(nóng)行領(lǐng)導(dǎo)和項(xiàng)目組組員 輸入會(huì)議可以是正式的面對(duì)面會(huì)議，也可以是會(huì)議、網(wǎng)絡(luò)會(huì)議等形式。此例會(huì) >對(duì)也許的配置管理和變更控制簽訂對(duì)應(yīng)的文獻(xiàn) 輸出5.2.3項(xiàng)目有關(guān)培訓(xùn)5.2.3.1評(píng)估前培訓(xùn)培訓(xùn)時(shí)間：3天5.2.3.2評(píng)估后培訓(xùn)理解本顧問(wèn)項(xiàng)目的重要過(guò)程和重要的輸出，并對(duì)未來(lái)的工作起到指導(dǎo)作培訓(xùn)時(shí)間：6天在工程計(jì)劃階段，我們對(duì)所有安全服務(wù)的基本實(shí)行正式交付件(項(xiàng)目輸出匯報(bào)),為有效管理這些交付件的制作、審核和歸檔，特2、建立一種原則的、構(gòu)造化的交付件審閱措施(程序)5.2.5.1驗(yàn)收措施確認(rèn)5.2.5.1.1驗(yàn)收措施確實(shí)認(rèn)程序否是1)準(zhǔn)備初步的驗(yàn)收措施由XXXX顧問(wèn)為每個(gè)交付件制定驗(yàn)收措施的第1稿(見(jiàn)輸出匯報(bào)重要目錄),并在項(xiàng)目的藍(lán)圖階段將對(duì)十個(gè)項(xiàng)目輸出報(bào)價(jià)進(jìn)行模板定制和討論，形成驗(yàn)收措2)審閱驗(yàn)收措施由雙方項(xiàng)目組內(nèi)與該交付件有關(guān)的人員或第三方專(zhuān)家審閱驗(yàn)收措施的第3)該驗(yàn)收措施與否滿(mǎn)足需求?收到各方面對(duì)驗(yàn)收措施的意見(jiàn)之后，顧問(wèn)、第三方專(zhuān)家和交付件農(nóng)行負(fù)責(zé)人評(píng)估滿(mǎn)足了項(xiàng)目的哪些規(guī)定。4)開(kāi)會(huì)處理原則中的問(wèn)題假如需要，原則第1稿中的問(wèn)題需要顧問(wèn)、第三5)簽定驗(yàn)收措施5.2.5.2驗(yàn)收程序求否是否求*求開(kāi)始否所有正式交付件在XXXX項(xiàng)目經(jīng)理簽字后，必須通過(guò)該流程提交給農(nóng)行項(xiàng)9、交付件與否滿(mǎn)足規(guī)定?根據(jù)雙方簽訂的驗(yàn)收措施對(duì)交付件的審閱，農(nóng)行項(xiàng)目驗(yàn)收小組評(píng)估并確定與否滿(mǎn)足驗(yàn)收措施，并對(duì)評(píng)審意見(jiàn)進(jìn)行溝通并確認(rèn)。農(nóng)行項(xiàng)目驗(yàn)收小組最終簽收和同意該交付件，并形成終審匯報(bào)。1)各類(lèi)交付件的內(nèi)容、復(fù)雜性、波及范圍、文獻(xiàn)大小等都不盡相似，這決定了每類(lèi)交付件的審閱均有較大的個(gè)別性，以上審閱程序是個(gè)原則程序，各農(nóng)行交付件負(fù)責(zé)人可以根據(jù)所負(fù)責(zé)的交付件特點(diǎn)，結(jié)合雙方確認(rèn)的驗(yàn)收措施進(jìn)2)審閱的角度●完畢狀況審閱——檢查：驗(yàn)收措施與否明確，交付件與否足夠充足以作審閱●完備性審閱——檢查：交付件的基本構(gòu)成部分與否都具有；各部分的內(nèi)容與否詳實(shí)●對(duì)的性審閱——檢查：文字和圖形內(nèi)容與否對(duì)的、精確，資料與否具有●集成性審閱——檢查：交付件各部分間的集成關(guān)系與否充足精確體現(xiàn)3)審閱的類(lèi)型——過(guò)程審閱(Draft版本的審閱)防止在成果審閱時(shí)發(fā)生大的返工(影響項(xiàng)目的完畢);——成果審閱(FinalV1.0接受前的審閱)4)集中審閱會(huì)議闡明內(nèi)部定稿版本，至少80%文檔內(nèi)容已基本確定定稿版本的修訂版內(nèi)部使用：顧問(wèn)正式交項(xiàng)目組統(tǒng)一控制版本號(hào)，如1.1、2.1正式定稿版本，正式簽收或確認(rèn)的文檔務(wù)部門(mén)使用和提交文FinalV1.0后來(lái)的版本不受本規(guī)范的控制(將在農(nóng)行其他管理規(guī)范中闡2、書(shū)面歸檔文字類(lèi)交付件以MSOffice格式歸檔(模板由顧問(wèn)提供)。6承擔(dān)能力闡明6.1單位基本狀況十一名科研人員和計(jì)算所投入的20萬(wàn)元資本起家，從中關(guān)村一間最一般的國(guó)拓進(jìn)取，營(yíng)業(yè)額從1985年的300萬(wàn)元人民幣，增長(zhǎng)到2023年的355億元人民第一，自1999年起至今持續(xù)獲得亞太市場(chǎng)份額第一名的佳績(jī)。通過(guò)長(zhǎng)期的積2023年4月以來(lái)，面對(duì)INTERNET大潮，企業(yè)積極應(yīng)變，積極實(shí)行了自成XXXXXXXX控股有限企神州數(shù)碼控股資有限企團(tuán)有限企總資產(chǎn)固定資產(chǎn)原值固定資產(chǎn)凈值凈資產(chǎn)資產(chǎn)負(fù)債率(%)總收入凈利潤(rùn)銀行信用等級(jí)1960年12月——1979年2月1979年2月——1983年2月1983年2月——1995年2月1988年9月——今中科院計(jì)算所中科院計(jì)算所中科院計(jì)算所研究室主任時(shí)間12023年1月-2023年6月遼寧省地方稅務(wù)局遼寧地稅網(wǎng)絡(luò)安全系統(tǒng)項(xiàng)目聯(lián)絡(luò)人：劉明山22023年12月中國(guó)人民解放軍總參謀部通信部總參通信部防火墻采購(gòu)項(xiàng)目32023年11月教育部基礎(chǔ)教育課程教材發(fā)展中心國(guó)家基礎(chǔ)教育資源網(wǎng)項(xiàng)目42023年12月民生人壽保險(xiǎn)防火墻采購(gòu)項(xiàng)目聯(lián)絡(luò)人：周奕鷺52023年12月中國(guó)電力財(cái)務(wù)中國(guó)電力財(cái)務(wù)有限企業(yè)2023防火墻等安全設(shè)備購(gòu)置項(xiàng)目轉(zhuǎn)150862023年1月國(guó)家稅務(wù)總局國(guó)家稅務(wù)總局機(jī)關(guān)網(wǎng)絡(luò)與信息安全服務(wù)項(xiàng)目聯(lián)絡(luò)人：陳劍72023年11月中國(guó)人壽中國(guó)人壽防火墻82023年12月中國(guó)人民保險(xiǎn)企業(yè)中國(guó)人民保險(xiǎn)防火墻項(xiàng)目聯(lián)絡(luò)人：姬海波6.2承擔(dān)能力闡明年投入研發(fā)費(fèi)用2023萬(wàn)元以上，設(shè)有專(zhuān)業(yè)研發(fā)人員100余人，現(xiàn)已經(jīng)形成五2023年更是全面擴(kuò)大投入，成立了以IT服務(wù)業(yè)務(wù)群組為支撐的基礎(chǔ)平臺(tái)XXXX信息安全業(yè)務(wù)致力于為客戶(hù)提供全面信息系統(tǒng)安全處理方案與服向玲性別女出生年月漢職務(wù)安全顧問(wèn)外語(yǔ)程度專(zhuān)業(yè)領(lǐng)域信息安全最高學(xué)歷碩士所受教育：中國(guó)科技大學(xué)碩士院2023年9月至今安全服務(wù)征詢(xún)顧問(wèn)2023年12月至2023年9月安氏互聯(lián)網(wǎng)安全系統(tǒng)(中國(guó))有限企業(yè)安全顧問(wèn)1999年6月至2023年11月中國(guó)科學(xué)院高能物理研究所網(wǎng)絡(luò)安全課題組軟件開(kāi)發(fā)小組1997年6月至1998年7月中國(guó)氣象局國(guó)家氣象中心通信臺(tái)軟件開(kāi)發(fā)工程師PMI項(xiàng)目管理培訓(xùn)中國(guó)氣象局全國(guó)衛(wèi)星業(yè)務(wù)自動(dòng)化工程國(guó)家氣象局大院網(wǎng)系統(tǒng)開(kāi)發(fā)歐洲氣象中心Bufer碼Grib碼解碼項(xiàng)目國(guó)家863計(jì)劃網(wǎng)絡(luò)安全掃描器研發(fā)子課題通成廣告企業(yè)安全服務(wù)項(xiàng)目人壽保險(xiǎn)企業(yè)安全評(píng)估項(xiàng)目天津電力企業(yè)安全方略制定項(xiàng)目深圳華為IT安全基礎(chǔ)設(shè)施建設(shè)顧問(wèn)項(xiàng)目實(shí)行中國(guó)電信IP網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目中國(guó)移動(dòng)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估顧問(wèn)項(xiàng)目實(shí)行精通C語(yǔ)言精通安全基礎(chǔ)理論和反黑客理論，包括：防火墻、資產(chǎn)風(fēng)險(xiǎn)、入侵監(jiān)測(cè)精通安全征詢(xún)理論，具有豐富的安全征詢(xún)服務(wù)經(jīng)驗(yàn)，包括：企業(yè)安具有豐富的專(zhuān)業(yè)安全服務(wù)和安全服務(wù)管理經(jīng)驗(yàn)，包括：安全處理方案設(shè)計(jì)、實(shí)行；為客戶(hù)提供安全培訓(xùn)、安全監(jiān)控、遠(yuǎn)端安全控制、緊急事故在信息系統(tǒng)整體安全面具有豐富經(jīng)驗(yàn)，從事過(guò)整體安全方案設(shè)計(jì)、實(shí)行精通ISS,CheckPoint,Symantec(Axent),NAI,RSA,CA,NetScreen等安全產(chǎn)品。田野男出生年月滿(mǎn)安全服務(wù)總監(jiān)外語(yǔ)程度六級(jí)網(wǎng)絡(luò)安全顧問(wèn)、服務(wù)最高學(xué)歷學(xué)士1992—1996上海交通大學(xué)信息控制工程2023.9-今XXXX集團(tuán)有限企業(yè)I職能：安全服務(wù)部門(mén)管理，安全顧問(wèn)服務(wù)隊(duì)伍建設(shè)和領(lǐng)導(dǎo)，安務(wù)項(xiàng)目管理，安全服務(wù)項(xiàng)目實(shí)行2023.10-2023.9安氏互聯(lián)網(wǎng)職能：顧問(wèn)服務(wù)項(xiàng)目管理，顧問(wèn)服務(wù)隊(duì)伍領(lǐng)導(dǎo)，為大客戶(hù)提供專(zhuān)業(yè)安全征詢(xún)項(xiàng)目實(shí)行及處理方案1999.5—2023.10IBSNetworkSystems(Shanghai)Ltd.