XXX信息安全技術(shù)有限公司XX省工信廳安全檢查實(shí)施方案XXXX信息安全技術(shù)有限公司2014年11月

XXX信息安全技術(shù)有限公司目錄TOC\o"1-5"\h\z.概述 3項(xiàng)目概述 3實(shí)施范圍 41.3.實(shí)施標(biāo)準(zhǔn)1.3.實(shí)施標(biāo)準(zhǔn) 錯(cuò)誤!未定義書簽。.實(shí)施細(xì)則 62.1.系統(tǒng)差異分析2.1.系統(tǒng)差異分析 錯(cuò)誤!未定義書簽。TOC\o"1-5"\h\z\o"CurrentDocument"安全基線檢查 6\o"CurrentDocument"容災(zāi)測試 7\o"CurrentDocument".實(shí)施計(jì)劃 .7\o"CurrentDocument"整體計(jì)劃 7\o"CurrentDocument"具體流程 11\o"CurrentDocument"測評方法 12\o"CurrentDocument".人員組織 13\o"CurrentDocument"項(xiàng)目組織結(jié)構(gòu) 15\o"CurrentDocument"人員組成和職責(zé) 15.項(xiàng)目相關(guān)文檔 16項(xiàng)目準(zhǔn)備階段文檔 16\o"CurrentDocument"項(xiàng)目方案階段文檔 17\o"CurrentDocument"項(xiàng)目實(shí)施階段文檔 17\o"CurrentDocument"項(xiàng)目報(bào)告階段文檔 18XXX信息安全技術(shù)有限公司項(xiàng)目管理類文檔 18.階段性文件及負(fù)責(zé)人 19.項(xiàng)目預(yù)算 錯(cuò)誤!未定義書簽。1.概述項(xiàng)目概述本項(xiàng)目旨在通過安全檢查來提高XX省各省轄市、省直管縣（市）、省直各工信部門的政務(wù)信息系統(tǒng)的信息安全風(fēng)險(xiǎn)管理能力，為工信系統(tǒng)信息安全防護(hù)體系建設(shè)和持續(xù)改進(jìn)奠定基礎(chǔ)，提高信息安全保障工作水平。依據(jù)XX省工信廳的要求，對XX省各地市工信部門的政務(wù)系統(tǒng)通過遠(yuǎn)程監(jiān)測和現(xiàn)場檢查的方式，開展信息安全檢查工作。檢查內(nèi)容XX省工信廳此次開展的信息安全檢查工作，包括了管理和技術(shù)兩個(gè)方面。檢查不僅包括信息安全管理制度的制定、落實(shí)情況，而且對整個(gè)部門的信息安全意識、信息安全技術(shù)的實(shí)施和落實(shí)情況進(jìn)行深入的檢查測試。通過此次安全檢查，及時(shí)發(fā)現(xiàn)安全隱患、排除安全隱患。下列是本次安全檢查的具體內(nèi)容：1）安全制度落實(shí)情況。重點(diǎn)檢查信息安全主管領(lǐng)導(dǎo)、管理機(jī)構(gòu)和管理人員的落實(shí)情況，信息安全責(zé)任制和保密管理、密碼管理、等級保護(hù)、重要部門（部位）人員管理等制度的建立和落實(shí)情況，信息安全經(jīng)費(fèi)保障情況。2）安全防范措施落實(shí)情況。重點(diǎn)檢查身份認(rèn)證、訪問控制、數(shù)據(jù)加密、安全審計(jì)、責(zé)任認(rèn)定以及防篡改、防病毒、防攻擊、訪癱瘓、防泄密XXX信息安全技術(shù)有限公司等技術(shù)措施的有效性，以及計(jì)算機(jī)、移動(dòng)存儲設(shè)備、電子文檔安全防護(hù)措施的落實(shí)情況。3）應(yīng)急響應(yīng)機(jī)制建設(shè)情況。重點(diǎn)檢查應(yīng)急預(yù)案制定、演練、落實(shí)情況，應(yīng)急技術(shù)志愿隊(duì)伍建設(shè)情況，信息安全事故處置情況，以及重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的備份情況。4）信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況。重點(diǎn)檢查終端計(jì)算機(jī)、公文處理軟件、信息安全產(chǎn)品等實(shí)用國產(chǎn)品牌的情況，信息安全服務(wù)外包情況，以及對因特殊原因選用國外信息技術(shù)產(chǎn)品和信息安全服務(wù)的安全審查情況。5）安全教育培訓(xùn)情況。重點(diǎn)檢查工作人員參加信息安全教育培訓(xùn)掌握信息安全常識和技能、重點(diǎn)崗位持證上崗等情況。6）安全隱患排查及整改情況。重點(diǎn)檢查對安全制度、防范措施、設(shè)備設(shè)施等方面存在的漏洞和薄弱環(huán)節(jié)的排查情況，以及分析產(chǎn)生問題和隱患的原因，研究制定和落實(shí)整改措施等情況。1.3.實(shí)施標(biāo)準(zhǔn)本次信息安全檢查過程以《信息安全等級保護(hù)基本要求》為準(zhǔn)則，根據(jù)XX省工信廳的具體要求，結(jié)合各地市的實(shí)際情況開展地市信息安全檢查。由于整個(gè)信息安全檢查工作采取遠(yuǎn)程信息安全滲透測試與現(xiàn)場信息安全檢查相結(jié)合的方式。針對滲透測試，目前國內(nèi)外并沒有一個(gè)標(biāo)準(zhǔn)的文件進(jìn)行規(guī)范。因此，具體的安全檢查中的技術(shù)要求就非常重要。XXX信息安全技術(shù)有限公司本次安全檢查整體分為安全技術(shù)類和安全管理類。針對安全技術(shù)類的整改具體參考國家相關(guān)信息安全標(biāo)準(zhǔn)中針對物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、稅務(wù)應(yīng)用軟件系統(tǒng)安全、數(shù)據(jù)安全、密碼技術(shù)、安全集中管控技術(shù)的相關(guān)要求進(jìn)行。針對安全管理類的評估具體參考國家相關(guān)信息安全管理規(guī)定以及《信息安全等級保護(hù)基本要求》ISO27001的相關(guān)規(guī)定。1）《信息技術(shù)安全性評估準(zhǔn)則》2）《信息安全風(fēng)險(xiǎn)評估規(guī)范》3）《信息系統(tǒng)安全等級保護(hù)基本配置》4）《信息系統(tǒng)安全管理要求》5）《信息安全事件管理指南》6）《信息安全事件分類分級指南》7）《信息系統(tǒng)安全管理測評》8）IS027001信息安全管理體系9）《信息系統(tǒng)物理安全技術(shù)要求》10）《服務(wù)器安全技術(shù)要求》11）《操作系統(tǒng)安全技術(shù)要求》12）《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》13）《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》本次安全檢查須嚴(yán)格執(zhí)行國家標(biāo)準(zhǔn)和XX省工信廳的具體要求，保證檢查質(zhì)量，提供完整、準(zhǔn)確、詳細(xì)、且符合規(guī)范的文檔資料，遵循現(xiàn)行的相關(guān)國家法律法規(guī)。XXX信息安全技術(shù)有限公司.實(shí)施細(xì)則測試工具安全基線檢查安全基線是對配置和管理計(jì)算機(jī)安全的詳細(xì)描述，也是對測評標(biāo)準(zhǔn)的補(bǔ)充和細(xì)化。XXXX信息安全技術(shù)有限公司將根據(jù)地市的實(shí)際情況，結(jié)合國家稅務(wù)部門和中國移動(dòng)等相關(guān)部門的安全基線，綜合制定針對地市稅務(wù)部門的安全基線。2-2安全基線檢查內(nèi)容序號類別內(nèi)容1網(wǎng)絡(luò)安全基線網(wǎng)絡(luò)設(shè)備和安全設(shè)備配置細(xì)則、拓?fù)湟?guī)劃要求細(xì)則2主機(jī)安全基線服務(wù)、應(yīng)用、操作系統(tǒng)組件配置、權(quán)限權(quán)利分配、管理規(guī)程、端口開放配置、協(xié)議配置、日志配置等，詳細(xì)配置則參考具體的操作系統(tǒng)和數(shù)據(jù)庫進(jìn)行細(xì)則規(guī)范整個(gè)安全基線檢查分為網(wǎng)絡(luò)安全基線和主機(jī)安全基線。針對網(wǎng)絡(luò)安全基線又分為設(shè)備和拓?fù)鋬蓚€(gè)部分，主機(jī)安全基線則針對不同的操作系統(tǒng)和數(shù)據(jù)庫分別制定詳細(xì)的配置規(guī)程。具體的配置規(guī)程，包含服務(wù)、應(yīng)用、操作系統(tǒng)組件配置、權(quán)限權(quán)利分配、管理規(guī)程、端口開放配置、協(xié)議配置、日志配置等。XXX信息安全技術(shù)有限公司XXXX信息安全技術(shù)有限公司的安全基線檢查采取工具與手工相結(jié)合的方式。安全基線檢查的結(jié)果與安全測評的標(biāo)準(zhǔn)相重合的地方或有所不同的地方，以安全基線檢查為準(zhǔn)。安全基線檢查作為安全測評工作現(xiàn)場信息采集工作的一部分，檢查結(jié)果融合到安全測評報(bào)告和整改方案中。容災(zāi)測試容災(zāi)測試考驗(yàn)一個(gè)信息系統(tǒng)備份完整性、可用性，以及整個(gè)信息系統(tǒng)管理人員的應(yīng)急處理能力。因?yàn)槿轂?zāi)測試本身對信息系統(tǒng)的影響非常大，所以在進(jìn)行容災(zāi)測試之前，首先要確定整個(gè)信息系統(tǒng)的備份及應(yīng)急處理能力是否準(zhǔn)備充分。在切換到備用系統(tǒng)及設(shè)備之前，要確保整個(gè)信息系統(tǒng)的連續(xù)性及穩(wěn)定性不受影響。XXXX信息安全技術(shù)有限公司綜合考慮容災(zāi)測試的特點(diǎn)，采取先進(jìn)行數(shù)據(jù)備份及容災(zāi)的檢查，然后進(jìn)行開會討論。確保信息系統(tǒng)的備份及應(yīng)急處理完全到位以后，再進(jìn)行容災(zāi)測試。另一種情況就是采用模擬場景的方式，通過模擬，來提高員工對緊急情況的處理能力和應(yīng)變能力，也對整個(gè)信息系統(tǒng)的容災(zāi)備份工作做一個(gè)全面的測試。.實(shí)施計(jì)劃整體計(jì)劃由于項(xiàng)目涉及XX省整個(gè)稅務(wù)系統(tǒng)，而各地市稅務(wù)系統(tǒng)有其相似性和差異性，所以整體先按照地市的情況進(jìn)行分類，然后3個(gè)項(xiàng)目組同時(shí)開展。公司專家組隨時(shí)分析各項(xiàng)目組的情況，遠(yuǎn)程及現(xiàn)場進(jìn)行總結(jié)和指導(dǎo)。實(shí)施過程擬包括四個(gè)階段，XXX信息安全技術(shù)有限公司如表3-1所示：第一階段（部署動(dòng)員階段）：為了保證測評項(xiàng)目的順利開展，各項(xiàng)目組需要先期對各地地稅信息系統(tǒng)進(jìn)行了解，然后同省地稅部分對項(xiàng)目的開展制定周密計(jì)劃，同時(shí)需要保證各地地稅部門、各項(xiàng)目組了解所要開展的測評整改工作的工作目標(biāo)、工作部署、實(shí)施步驟等內(nèi)容。該階段耗時(shí)約5個(gè)工作日。第二階段（現(xiàn)場測評階段）：該階段各項(xiàng)目組按照預(yù)定計(jì)劃開展測評工作，測評工作完成后向省地稅匯報(bào)測評階段工作情況。該階段每個(gè)地市現(xiàn)場耗時(shí)約5個(gè)工作日，匯報(bào)總結(jié)約需要2個(gè)工作日。第三階段（測評整改階段）：該階段各項(xiàng)目組根據(jù)前期的測評工作向各地地稅部門提交整改報(bào)告，并協(xié)助各地地稅部門開展整改工作，及時(shí)向省地稅、公司匯報(bào)整改工作進(jìn)展。該階段每個(gè)地址耗時(shí)不少于3個(gè)工作日，具體整改情況結(jié)合各地地稅部門實(shí)際情況確定。第四階段（總結(jié)階段）：該階段各項(xiàng)目組根據(jù)各地測評、整改情況向公司匯報(bào)，由公司完成《XX省稅務(wù)系統(tǒng)信息安全現(xiàn)狀分析及整改》，然后向省地稅匯報(bào)。該階段每個(gè)地址耗時(shí)不少于5個(gè)工作日，具體情況結(jié)合各地地稅部門實(shí)際情況確定。表3-1整體實(shí)施計(jì)劃表階段步驟對象所需時(shí)間

XXX信息安全技術(shù)有限公司第一階段（部署動(dòng)員階段）1.信息調(diào)研，對各個(gè)地市的情況進(jìn)行大致的了解，制定項(xiàng)目的詳細(xì)實(shí)施流程及滲透方案；.對地市進(jìn)行分類（如區(qū)域等），選定各地市下述的縣市，溝通協(xié)調(diào)后，部署項(xiàng)目任務(wù)；.項(xiàng)目組按計(jì)劃開展現(xiàn)場測評工作。5個(gè)工作日第二階段（現(xiàn)場測評階段）1.項(xiàng)目組與地稅部分協(xié)商確定各地市評估整改工作的具體時(shí)間；.項(xiàng)目組通過訪談、檢查、測試等方式，完成物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)備份及恢復(fù)和管理部分的現(xiàn)場評估與確認(rèn)工作；.項(xiàng)目組根據(jù)現(xiàn)場情況，依據(jù)滲透測試方案，選取數(shù)據(jù)包抓取、漏洞掃描、滲透測試接入點(diǎn)；.項(xiàng)目組與管理員溝通，開展工具測試和滲透測試；5個(gè)工作日2.將項(xiàng)目現(xiàn)場測試獲取的文檔、數(shù)據(jù)等資料整理后通過可靠方式分發(fā)至相關(guān)人員以及公司專家組；.項(xiàng)目組出具《XXX地市安全評估報(bào)告》；.項(xiàng)目組長向公司專家組匯報(bào)工作。.公司向省地稅匯報(bào)當(dāng)?shù)卦u估情況與進(jìn)展。2個(gè)工作日

XXX信息安全技術(shù)有限公司第三階段（測評整改階段）1.專家組對各地市的評估報(bào)告進(jìn)行審核，對可疑問題交由項(xiàng)目組進(jìn)行復(fù)查；.項(xiàng)目組制定《XXX地市信息安全建設(shè)整改方案》；.項(xiàng)目組協(xié)助地市開展可及時(shí)進(jìn)行的安全加固工作。.向省地稅匯報(bào)當(dāng)?shù)卣那闆r與進(jìn)展。4個(gè)工作日21.后續(xù)持續(xù)整改工作，由各項(xiàng)目組跟進(jìn)。待定第四階段（總結(jié)階段）11、公司開會總結(jié)工作，解決遺留問題，總結(jié)項(xiàng)目經(jīng)驗(yàn)；2、技術(shù)總監(jiān)組織統(tǒng)一開會討論整改工作，皿術(shù)總監(jiān)統(tǒng)一對問題進(jìn)行分析，撰寫《XX省稅務(wù)系統(tǒng)信息安全現(xiàn)狀分析及整改》；3、向省地稅匯報(bào)各地整改情況以及遺留問題處理。5個(gè)工作日21、各項(xiàng)驗(yàn)收工作、持續(xù)整改問題等，繼續(xù)跟蹤。待定工期預(yù)估共計(jì)3個(gè)項(xiàng)目組，21個(gè)地市。每個(gè)項(xiàng)目組需完成7個(gè)地市，每個(gè)地市現(xiàn)場需要5天+匯報(bào)總結(jié)2天+整改加固3天，故整個(gè)項(xiàng)目周期為：5+10*7+5=80工作日。時(shí)間工作分配合理，整個(gè)項(xiàng)目工期可以控制在四個(gè)月之內(nèi)。注：以上時(shí)間均可進(jìn)行靈活調(diào)整。而整個(gè)項(xiàng)目后期的整改工作，配置方面的可以及時(shí)整改，但是各地市需要增加的設(shè)備及情況不同，整改的周期尚不能完全10XXX信息安全技術(shù)有限公司預(yù)估。由于本項(xiàng)目實(shí)施階段由多個(gè)項(xiàng)目組同時(shí)展開，很多問題可能暫時(shí)引而不發(fā)。為了避免后續(xù)發(fā)現(xiàn)問題措手不及，導(dǎo)致項(xiàng)目周期延長等情況，XXXX信息安全技術(shù)設(shè)立有質(zhì)量監(jiān)控進(jìn)行統(tǒng)一的巡檢和評估質(zhì)量檢查，最大程度避免問題，且保證發(fā)現(xiàn)問題及時(shí)解決，及時(shí)通報(bào)。具體流程整個(gè)安全評估的流程分為：信息調(diào)研、現(xiàn)場數(shù)據(jù)采集、分項(xiàng)判定、整體分析、報(bào)告撰寫、整改方案、后期跟蹤。圖2-1項(xiàng)目流程圖信息調(diào)研：是開展整個(gè)工作的前提和基礎(chǔ)，是整個(gè)安全評估過程有效性的保11XXX信息安全技術(shù)有限公司證。本活動(dòng)的主要任務(wù)是掌握被測系統(tǒng)的詳細(xì)情況，為實(shí)施測評做好文檔等方面的準(zhǔn)備。現(xiàn)場數(shù)據(jù)采集：主要通過訪談、檢查、測試等方式，完成物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)備份及恢復(fù)和管理部分的現(xiàn)場簽字記錄文件。另外，采用抓包工具、漏掃原件、抓屏、滲透測試等工具獲取的第一手資料也要整理完成。分項(xiàng)判定:將現(xiàn)場采集的數(shù)據(jù)按照《稅務(wù)系統(tǒng)信息安全等級保護(hù)基本要求（試行）》中針對物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、稅務(wù)應(yīng)用軟件系統(tǒng)安全、數(shù)據(jù)安全、密碼技術(shù)、安全集中管控技術(shù)的相關(guān)要求進(jìn)行逐項(xiàng)比對判定。整體分析：綜合分析所有分項(xiàng)信息，從整體角度進(jìn)行互補(bǔ)分析，綜合判定信息系統(tǒng)的風(fēng)險(xiǎn)。進(jìn)一步挖掘信息系統(tǒng)的安全隱患，全面深入的分析信息系統(tǒng)安全風(fēng)險(xiǎn)值。報(bào)告撰寫：項(xiàng)目經(jīng)理撰寫安全測評報(bào)告，具體模板按照稅務(wù)部門要求。整改方案：根據(jù)整個(gè)安全問題及風(fēng)險(xiǎn)值分析，結(jié)合各地市的實(shí)際情況，撰寫《整改方案》協(xié)助地市進(jìn)行可立即整改工作的進(jìn)行。后期跟蹤：部分整改工作是需要持續(xù)跟進(jìn)和購買設(shè)備的，我方根據(jù)地市的整改進(jìn)度，進(jìn)行持續(xù)跟進(jìn)。測評方法安全測評的主要方法有：訪談、檢查和測試。1）訪談12XXX信息安全技術(shù)有限公司訪談是指測評人員通過與信息系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效落實(shí)的一種方法。在訪談范圍上，應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。2）檢查檢查是指測評人員通過對測評對象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取相關(guān)證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效實(shí)施的一種方法。在檢查范圍上，應(yīng)基本覆蓋所有的對象種類（設(shè)備、文檔、機(jī)制等），數(shù)量上可以抽樣。3）測試測試是指測評人員針對測評對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)，通過查看和分析響應(yīng)的輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法。在測試范圍上，應(yīng)基本覆蓋不同類型的機(jī)制，在數(shù)量上可以抽樣。.人員組織區(qū)域劃分按照項(xiàng)目的整體計(jì)劃，每個(gè)項(xiàng)目組的區(qū)域按照地理分布區(qū)域進(jìn)行大致的劃分。下表中將鄭州地區(qū)及其周邊的開封、洛陽、新鄉(xiāng)統(tǒng)一列為項(xiàng)目一組，這樣分配的目的是，項(xiàng)目一組本著就近原則承擔(dān)擔(dān)匯總分析和總結(jié)匯報(bào)的責(zé)任。另外，項(xiàng)目一組也負(fù)責(zé)協(xié)調(diào)其它項(xiàng)目組的工作，及時(shí)向省直屬地稅局匯報(bào)項(xiàng)目組工作進(jìn)展。項(xiàng)目二組和三組根據(jù)各地市的情況，會有所調(diào)整，在人員上也會有所增加，13XXX信息安全技術(shù)有限公司公司根據(jù)地市的情況將人員進(jìn)行調(diào)整。由于每個(gè)地市至少要選擇其中一個(gè)縣局進(jìn)行測評，因此在項(xiàng)目前期與省局和市局的溝通協(xié)調(diào)就非常重要。另外，項(xiàng)目管理組不僅需要隨時(shí)指導(dǎo)聽取個(gè)項(xiàng)目組的工作匯報(bào)，而且要跟隨項(xiàng)目組去地市進(jìn)行實(shí)地查看，確認(rèn)評估工作客觀真實(shí)，評估結(jié)果有理有據(jù)。質(zhì)檢組主要從項(xiàng)目組提交的文檔進(jìn)行審核，確認(rèn)文檔的完整性、描述的準(zhǔn)確性、證據(jù)的確鑿性、整改建議的可行性。質(zhì)檢組發(fā)現(xiàn)問題，要及時(shí)糾正，現(xiàn)場數(shù)據(jù)不完善的要督促項(xiàng)目組重新進(jìn)行實(shí)際情況確認(rèn)及系統(tǒng)情況測試。4-1項(xiàng)目組區(qū)域分配項(xiàng)目組區(qū)域分配項(xiàng)目組一關(guān)B州、鄭州新區(qū)地方稅務(wù)局、省直屬稅務(wù)分局、地方稅務(wù)干部管理學(xué)校、開封、洛陽、新鄉(xiāng)項(xiàng)目組二安陽、鶴壁、濮陽、焦作、濟(jì)源、小浪底、許昌項(xiàng)目組三平頂山、漯河、周口、三門峽、駐馬店、信陽、南陽項(xiàng)目管理部隨機(jī)抽取地市，每個(gè)項(xiàng)目組至少抽取兩個(gè)質(zhì)量監(jiān)控工作地點(diǎn)主要為鄭州。14XXX信息安全技術(shù)有限公司項(xiàng)目組織結(jié)構(gòu)項(xiàng)目經(jīng)理配備與下圖完全一樣項(xiàng)目組織結(jié)構(gòu)，根據(jù)系統(tǒng)規(guī)模和測評范圍的大小，以及測評系統(tǒng)的復(fù)雜程序，項(xiàng)目經(jīng)理會及時(shí)對人員數(shù)量和專業(yè)方向進(jìn)行調(diào)整。圖3-1項(xiàng)目組織結(jié)構(gòu)圖人員組成和職責(zé)項(xiàng)目管理部項(xiàng)目管理部包括技術(shù)總監(jiān)、公司專家技術(shù)顧問、項(xiàng)目經(jīng)理共同組成，主要對項(xiàng)目經(jīng)理及項(xiàng)目組遇到的問題進(jìn)行及時(shí)的匯總處理，對項(xiàng)目組解決不了的問題，專家組進(jìn)行開會研究。項(xiàng)目經(jīng)理項(xiàng)目經(jīng)理的任務(wù)就是要對項(xiàng)目過程實(shí)行全面的管理，具體體現(xiàn)在對項(xiàng)目目標(biāo)有一個(gè)全局的觀點(diǎn)，并組織會議制定計(jì)劃和報(bào)告項(xiàng)目的進(jìn)展，并對不確定環(huán)境下15XXX信息安全技術(shù)有限公司不確定問題組織集體討論決策，在必要的時(shí)候進(jìn)行談判及解決沖突。項(xiàng)目經(jīng)理對服務(wù)客戶所應(yīng)承擔(dān)責(zé)任，主要有：保證項(xiàng)目的目標(biāo)在實(shí)施中前后一致，實(shí)現(xiàn)客戶的目標(biāo)；對各種項(xiàng)目資源進(jìn)行適當(dāng)?shù)墓芾砗统浞钟行У氖褂茫粚蛻暨M(jìn)行及時(shí)有效的溝通，及時(shí)商討項(xiàng)目進(jìn)展?fàn)顩r，以及對可能發(fā)生的問題的預(yù)測。系統(tǒng)測評組系統(tǒng)測評組的任務(wù)是負(fù)責(zé)項(xiàng)目實(shí)施過程中的主機(jī)系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件的測評工作。網(wǎng)絡(luò)組測評網(wǎng)絡(luò)測評組的任務(wù)是負(fù)責(zé)項(xiàng)目實(shí)施過程中的物理機(jī)房、網(wǎng)絡(luò)設(shè)備及安全設(shè)備的測評工作。管理測評組管理測評組的任務(wù)是負(fù)責(zé)項(xiàng)目實(shí)施過程中的用戶組織架構(gòu)、管理體系及具體的管理制度的安全符合性測評工作。.項(xiàng)目相關(guān)文檔項(xiàng)目準(zhǔn)備階段文檔01-項(xiàng)目計(jì)劃書02-現(xiàn)場測試授權(quán)書03-現(xiàn)場接收歸還文檔清單16XXX信息安全技術(shù)有限公司04-項(xiàng)目組成人員聯(lián)系單05-會議通知06-項(xiàng)目會議簽到表07-項(xiàng)目會議報(bào)告08-會議記錄09-管理調(diào)研表10-系統(tǒng)調(diào)研表11-網(wǎng)絡(luò)調(diào)研表項(xiàng)目方案階段文檔01-測評方案02-工具測試指導(dǎo)書項(xiàng)目實(shí)施階段文檔01-應(yīng)用系統(tǒng)測評結(jié)果記錄表02-數(shù)據(jù)庫測評結(jié)果記錄表03-操作系統(tǒng)測評結(jié)果記錄表04-軟件系統(tǒng)測評結(jié)果記錄表05-管理測評結(jié)果記錄表06-物理安全測評結(jié)果記錄表07-網(wǎng)絡(luò)全局測評結(jié)果記錄表17XXX信息安全技術(shù)有限公司08-網(wǎng)絡(luò)設(shè)備核查結(jié)果記錄表09-測評現(xiàn)場發(fā)現(xiàn)問題匯總報(bào)告10-工具測試操作規(guī)章11-漏洞掃描結(jié)果原始報(bào)告12-滲透測試過程抓屏及分析項(xiàng)目報(bào)告階段文檔01-XXX地市安全評估報(bào)告02-漏洞掃描分析報(bào)告03-滲透測試報(bào)告04-XXX地市信息系統(tǒng)安全建設(shè)整改方案項(xiàng)目管理類文檔01-調(diào)研時(shí)間安排02-現(xiàn)場數(shù)據(jù)采集時(shí)間安排03-工作任務(wù)安排04-項(xiàng)目進(jìn)度日報(bào)05-任務(wù)追蹤06-項(xiàng)目工作聯(lián)系單07-文檔管理08-文件編寫要求18XXX信息安全技術(shù)有限公司09-變更控制單10-子項(xiàng)目確認(rèn)單11-待辦事宜工作表12-項(xiàng)目問題反饋記錄13-項(xiàng)目遺留問題14-驗(yàn)收報(bào)告.階段性文件及負(fù)責(zé)人表6-1項(xiàng)目階段性文檔及負(fù)責(zé)人文檔名稱負(fù)責(zé)人審核檢查完成時(shí)間項(xiàng)目計(jì)劃書項(xiàng)目總監(jiān)項(xiàng)目管理部整體方案項(xiàng)目總監(jiān)項(xiàng)目管理部安全評估報(bào)告項(xiàng)目經(jīng)理項(xiàng)目總監(jiān)滲透測試報(bào)告項(xiàng)目經(jīng)理項(xiàng)目總監(jiān)信息系統(tǒng)安全建設(shè)整改方案項(xiàng)目經(jīng)理項(xiàng)目總監(jiān)后續(xù)跟蹤計(jì)劃項(xiàng)目經(jīng)理項(xiàng)目總監(jiān).滲透測試方案滲透測試概述滲透測試過程主要依據(jù)XXXX信息安全技術(shù)有限公司安全專家已經(jīng)掌握的安全漏洞信息，模擬黑客的真實(shí)攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測19XXX信息安全技術(shù)有限公司試。這里，所有的滲透測試行為將在客戶的書面明確授權(quán)和監(jiān)督下進(jìn)行。XXXX信息安全技術(shù)有限公司一般在現(xiàn)場信息采集及訪談工作結(jié)束以后，會使用工具對被測單位的網(wǎng)絡(luò)、主機(jī)與數(shù)據(jù)庫、應(yīng)用系統(tǒng)等對象進(jìn)行可行、可控的漏洞掃描，然后再根據(jù)漏掃的結(jié)果對整個(gè)系統(tǒng)進(jìn)行有針對性的滲透測試。滲透測試流程方案制定XXXX信息安全技術(shù)有限公司獲取到貴單位的書面授權(quán)許可后，才進(jìn)行滲透測試的實(shí)施。并且將實(shí)施范圍、方法、時(shí)間、人員等具體的方案與被測試單位的項(xiàng)目人員進(jìn)行交流，并得到被測試單位的認(rèn)同。在測試實(shí)施之前，XXXX信息安全技術(shù)有限公司會做到讓被測試單位的相關(guān)項(xiàng)目人員對滲透測試過程和風(fēng)險(xiǎn)的知曉，使隨后的正式測試流程都在被測試單位相關(guān)項(xiàng)目人員的控制下。信息收集這包括：操作系統(tǒng)類型指紋收集；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析；端口掃描和目標(biāo)系統(tǒng)提供的服務(wù)識別等?？梢圆捎靡恍┥虡I(yè)安全評估系統(tǒng)（如：極光等）；免費(fèi)的檢測工具（NESSUS、Nmap等）進(jìn)行收集。測試實(shí)施在規(guī)避防火墻、入侵檢測、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進(jìn)行：操作系統(tǒng)可檢測到的漏洞測試、應(yīng)用系統(tǒng)檢測到的漏洞測試（如：Web應(yīng)用），此階段如果成功的話，可能獲得普通權(quán)限。20XXX信息安全技術(shù)有限公司滲透測試人員可能用到的測試手段有：掃描分析、溢出測試、口令爆破、社會工程學(xué)、客戶端攻擊、中間人攻擊等，用于測試人員順利完成工程。在獲取到普通權(quán)限后，嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對系統(tǒng)的完全控制權(quán)。一旦成功控制一臺或多臺服務(wù)器后，測試人員將利用這些被控制的服務(wù)器作為跳板，繞過防火墻或其他安全設(shè)備的防護(hù)，從而對內(nèi)網(wǎng)其他服務(wù)器和客戶端進(jìn)行進(jìn)一步的滲透。此過程將循環(huán)進(jìn)行，直到測試完成。最后由滲透測試人員清除中間數(shù)據(jù)。報(bào)告輸出滲透測試人員根據(jù)測試的過程結(jié)果編寫直觀的滲透測試服務(wù)報(bào)告。內(nèi)容包括:具體的操作步驟描述；響應(yīng)分析以及最后的安全修復(fù)建議。安全復(fù)查滲透測試完成后，XXXX信息安全技術(shù)有限公司協(xié)助貴單位對已發(fā)現(xiàn)的安全隱患進(jìn)行修復(fù)。修復(fù)完成后，XXXX信息安全技術(shù)有限公司滲透測試工程師對修復(fù)的成果再次進(jìn)行遠(yuǎn)程測試復(fù)查，對修復(fù)的結(jié)果進(jìn)行檢驗(yàn)，確保修復(fù)結(jié)果的有效性。下圖是更為詳細(xì)的步驟拆分示意圖：21XXX信息安全技術(shù)有限公司妒過劉y改潛威則優(yōu)方案（數(shù)I&i隹份與風(fēng)陛規(guī)妒過劉y改潛威則優(yōu)方案（數(shù)I&i隹份與風(fēng)陛規(guī)匹》十準(zhǔn)@階段《漆透朝試萬景; 《漆透朝試萬景; ,（授權(quán)梅設(shè)書7 * 獲得滲透測試攫板港透階國《港達(dá)現(xiàn)試記錄3際始數(shù)據(jù)比目結(jié)耒港透階國《港達(dá)現(xiàn)試記錄3際始數(shù)據(jù)比目結(jié)耒滲透測試流程圖22XXX信息安全技術(shù)有限公司滲透測試的風(fēng)險(xiǎn)規(guī)避在滲透測試過程中，雖然我們會盡量避免做影響正常業(yè)務(wù)運(yùn)行的操作，也會實(shí)施風(fēng)險(xiǎn)規(guī)避的計(jì)策，但是由于測試過程變化多端，滲透測試服務(wù)仍然有可能對網(wǎng)絡(luò)、系統(tǒng)運(yùn)行造成一定不同程度的影響，嚴(yán)重的后果是可能造成服務(wù)停止，甚至是宕機(jī)。比如滲透人員實(shí)施系統(tǒng)權(quán)限提升操作時(shí)，突遇系統(tǒng)停電，再次重啟時(shí)可能會出現(xiàn)系統(tǒng)無法啟動(dòng)的故障等。因此，我們會在滲透測試前與貴單位的相關(guān)項(xiàng)目人員詳細(xì)討論滲透方案，并采取如下多條策略來規(guī)避滲透測試帶來的風(fēng)險(xiǎn)：時(shí)間策略：為減輕滲透測試造成的壓力和預(yù)備風(fēng)險(xiǎn)排除時(shí)間，一般的安排測試時(shí)間在業(yè)務(wù)量不高的時(shí)間段。測試策略：為了防范測試導(dǎo)致業(yè)務(wù)的中斷，可以不做一些拒絕服務(wù)類的測試。非常重要的系統(tǒng)不建議做深入的測試，避免意外崩潰而造成不可挽回的損失；具體測試過程中，最終結(jié)果可以由測試人員做推測，而不實(shí)施危險(xiǎn)的操作步驟加以驗(yàn)證等。備份策略：為防范滲透過程中的異常問題，測試的目標(biāo)系統(tǒng)需要事先做一個(gè)完整的數(shù)據(jù)備份，以便在問題發(fā)生后能及時(shí)恢復(fù)工作。對于核心業(yè)務(wù)系統(tǒng)等不可接受可能風(fēng)險(xiǎn)的系統(tǒng)的測試，可以采取對目標(biāo)副本進(jìn)行滲透的方式加以實(shí)施。這樣就需要完整的復(fù)制目標(biāo)系統(tǒng)的環(huán)境：硬件平臺、操作系統(tǒng)、應(yīng)用服務(wù)、程序軟件、業(yè)務(wù)訪問等；然后對該副本再進(jìn)行滲透測試。23XXX信息安全技術(shù)有限公司應(yīng)急策略：測試過程中，如果目標(biāo)系統(tǒng)出現(xiàn)無響應(yīng)、中斷或者崩潰等情況，我們會立即中止?jié)B透測試，并配合被測試單位相關(guān)技術(shù)人員進(jìn)行修復(fù)處理等。在確認(rèn)問題、修復(fù)系統(tǒng)、防范此故障再重演后，經(jīng)被測試單位相關(guān)項(xiàng)目人員同意才能繼續(xù)進(jìn)行其余的測試。溝通策略：測試過程中，確定測試人員和被測試單位配合人員的聯(lián)系方式，便于及時(shí)溝通并解決工程中的難點(diǎn)。.整改建設(shè)方案方案概述整改建設(shè)方案是在安全評估工作完成以后，根據(jù)各地市的情況進(jìn)行規(guī)劃的。具體的細(xì)則要參考每個(gè)地市的情況進(jìn)行。總體方案將依照《信息安全等級保護(hù)安全建設(shè)整改工作指導(dǎo)意見》（公信安[2009]1429號），嚴(yán)格遵循《信息安全等級保護(hù)安全建設(shè)整改工作指南》各項(xiàng)要求。通過對被測評單位總體信息安全管理和技術(shù)方面現(xiàn)狀進(jìn)行全面的分析，制訂信息安全建設(shè)整改方案。單位信息安全背景為進(jìn)一步貫徹落實(shí)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》和公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》、《信息安全等級保護(hù)管理辦法》精神，提高稅務(wù)24XXX信息安全技術(shù)有限公司信息系統(tǒng)的信息安全保護(hù)能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)稅收信息化建設(shè)，各地市稅務(wù)部門不僅要完成信息安全測評工作，更要通過信息安全測評工作了解信息安全的基本政策和技術(shù)，讓信息安全測評工作為稅務(wù)部門的信息化建設(shè)保駕護(hù)航。政策與技術(shù)標(biāo)準(zhǔn)依據(jù)整改建設(shè)依據(jù)以下標(biāo)準(zhǔn)但不限于以下標(biāo)準(zhǔn)：《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）《信息安全等級保護(hù)管理辦法》（工通字[2007]43號）GB17859—1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》（國標(biāo)報(bào)批稿）《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》（國標(biāo)報(bào)批稿）《信息系統(tǒng)安全等級測評報(bào)告模板（試行）》（公信安[2009]1487號）《信息安全等級保護(hù)安全建設(shè)整改工作指導(dǎo)意見》（公信安[2009]429號）當(dāng)前風(fēng)險(xiǎn)分析信息系統(tǒng)的風(fēng)險(xiǎn)是指由于系統(tǒng)存在的脆弱性，認(rèn)為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的影響。當(dāng)前信息系統(tǒng)風(fēng)險(xiǎn)主要表現(xiàn)在設(shè)備風(fēng)險(xiǎn)、人員風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)和服務(wù)風(fēng)險(xiǎn)等6各方面。信息系統(tǒng)安全風(fēng)險(xiǎn)形成主要來自于外部環(huán)境和組織內(nèi)部的威脅，不同風(fēng)險(xiǎn)各有不同的威脅源，即威脅主體。要建立有效地信息系統(tǒng)風(fēng)險(xiǎn)管理構(gòu)架，就需要對各方面風(fēng)險(xiǎn)進(jìn)行辨識和分析，從信息系統(tǒng)脆弱性表現(xiàn)以及影響、威脅等因素尋找25XXX信息安全技術(shù)有限公司信息系統(tǒng)各類安全風(fēng)險(xiǎn)的形成原因。在測評工作結(jié)束以后，我們根據(jù)信息系統(tǒng)的特點(diǎn)，結(jié)合《信息安全技術(shù)信息安全等級保護(hù)基本要求》，用專業(yè)的風(fēng)險(xiǎn)評估方法，對系統(tǒng)的各個(gè)層次進(jìn)行有針對性的風(fēng)險(xiǎn)分析與評估。26安全需求分析通過對的風(fēng)險(xiǎn)分析，找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準(zhǔn)確的按需防御的安全需求，明確各層次安全域相應(yīng)等級的安全差距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)進(jìn)行安全分析的前提是認(rèn)清信息系統(tǒng)的特點(diǎn)；隨著信息化建設(shè)的不斷加強(qiáng)，信息系統(tǒng)從整體上也逐漸分為三個(gè)部分：一是用于日常信息交換其他架構(gòu)交換數(shù)據(jù)的業(yè)務(wù)應(yīng)用系統(tǒng)，；二是承載著自己的Web門戶服務(wù)應(yīng)用；三是間數(shù)據(jù)傳輸與網(wǎng)絡(luò)共享的外聯(lián)網(wǎng)絡(luò)。針對地稅部門本次測評的范圍也是圍繞著門戶網(wǎng)站和內(nèi)網(wǎng)辦公系統(tǒng)，因此，在針對各地市的整改建設(shè)方案中，我們也會針對系統(tǒng)，結(jié)合測評結(jié)果進(jìn)行安全需求分析。業(yè)務(wù)辦公系統(tǒng)首先對于業(yè)務(wù)應(yīng)用信息系統(tǒng)，其最終目標(biāo)是保障業(yè)務(wù)系統(tǒng)的安全正常運(yùn)行。因此我們要考慮的問題是：＞病毒擴(kuò)散：嚴(yán)重威脅著廣大終端和HIS業(yè)務(wù)系統(tǒng)的運(yùn)行安全。＞終端運(yùn)維：因網(wǎng)絡(luò)規(guī)模較大，日常的管理維護(hù)工作量繁重。＞終端管理：終端系統(tǒng)管理、防病毒軟件檢查、外設(shè)接口控制、移動(dòng)存儲介質(zhì)管理等，防止終端用戶的誤操作、非法拷貝、系統(tǒng)漏洞、非法程序等行為導(dǎo)致終端自身和應(yīng)用系統(tǒng)的非正常運(yùn)行。XXX信息安全技術(shù)有限公司>數(shù)據(jù)保密：如何能保障數(shù)據(jù)共享的同時(shí)，實(shí)現(xiàn)信息保密是現(xiàn)在普遍面臨的問題。業(yè)務(wù)監(jiān)控：實(shí)時(shí)監(jiān)控業(yè)務(wù)系統(tǒng)的CPU利用率、磁盤容量、數(shù)據(jù)庫性能等健康狀態(tài)，及時(shí)發(fā)現(xiàn)問題并報(bào)警提示，實(shí)現(xiàn)7*24小時(shí)的無人值守，同時(shí)為改善系統(tǒng)的能力提供依據(jù)。邊界訪問控制：對辦公網(wǎng)安全域進(jìn)行獨(dú)立防護(hù)，對辦公網(wǎng)與互聯(lián)網(wǎng)的訪問進(jìn)行雙向控制、對常見攻擊行為進(jìn)行防御。帶寬管理：合理規(guī)劃帶寬，實(shí)現(xiàn)網(wǎng)關(guān)式產(chǎn)品的P2P下載和即時(shí)聊天等應(yīng)用控制，保證正常業(yè)務(wù)的帶寬應(yīng)用。安全管理：管理所有安全設(shè)備；對安全設(shè)備進(jìn)行統(tǒng)一管理、狀態(tài)監(jiān)控、策略下發(fā)、集中審計(jì)。門戶網(wǎng)站由于門戶網(wǎng)站屬于開放式的服務(wù)，部分單位的門戶網(wǎng)站與內(nèi)網(wǎng)辦公又有著物理聯(lián)系，因此，針對門戶網(wǎng)站，面臨的威脅又比業(yè)務(wù)辦公系統(tǒng)更加繁雜，所以我們在考慮到業(yè)務(wù)辦公系統(tǒng)的安全問題之外，還要更加注意以下問題：>攻擊防護(hù)：辦公網(wǎng)提供對外門戶服務(wù)，對于門戶網(wǎng)站最大的威脅來自于惡意流量攻擊，日益嚴(yán)重的分布式拒絕服務(wù)攻擊(DDoS)，是目前Web網(wǎng)站面臨的首要問題。安全接入：對于網(wǎng)上應(yīng)用業(yè)務(wù)，提供用戶認(rèn)證，保證業(yè)務(wù)數(shù)據(jù)在互聯(lián)網(wǎng)傳播的安全性與完整性，確保數(shù)據(jù)在傳輸過程中不被改變。28XXX信息安全技術(shù)有限公司＞非法接入：應(yīng)用自身信息的敏感性，使得如何外來人員的非法接入顯得非常重要。需通過嚴(yán)格的接入身份認(rèn)證，防止來自外部的安全威脅。＞數(shù)據(jù)完整性：如何能保障數(shù)據(jù)公開的同時(shí)，實(shí)現(xiàn)信息完整、不被篡改是目前網(wǎng)站面臨的普遍問題。安全保障總體框架根據(jù)安全需求，進(jìn)行整體分析，此處我們以信息安全保障總體框架模型PMOT體系為例說明。Policy策略1 Managementj?SI!OperationPolicy策略1 Managementj?SI!Operation運(yùn)到上Tcehriokigy技術(shù)圖信息安全PMOT體系模型根據(jù)建議方案的設(shè)計(jì)原則，協(xié)助客戶制定總體安全保障體系架構(gòu)，包括制定安全策略，結(jié)合等級保護(hù)基本要求和安全保護(hù)特殊要求，來構(gòu)建客戶信息系統(tǒng)的安全技術(shù)體系、安全管理體系及安全運(yùn)維體系，具體內(nèi)容包括：建立和完善安全策略:最高層次的安全策略文件，闡明安全工作的使命和意愿，定義信息安全工作的總體目標(biāo)。安全技術(shù)體系：安全技術(shù)的保障包括網(wǎng)絡(luò)邊界防御、安全通信網(wǎng)絡(luò)、主機(jī)和應(yīng)用系統(tǒng)安全、檢測響應(yīng)體系、冗余與備份以及安全管理中心。安全管理體系：包括建立安全管理制度，建立和完善信息安全組織架構(gòu)，規(guī)范29XXX信息安全技術(shù)有限公司人員管理和系統(tǒng)建設(shè)管理。?安全運(yùn)維體系：機(jī)房安全，資產(chǎn)及設(shè)備安全，網(wǎng)絡(luò)與系統(tǒng)安全管理、監(jiān)控和安全管理等。展開后的等級保護(hù)整改與安全建設(shè)總體框架如下圖所示，從信息安全整體策略Policy、安全管理體系Management、安全技術(shù)體系Technology、安全運(yùn)維Operation四個(gè)層面落實(shí)信息安全工作?？傮w安全策略信息安全策略是最高管理層對信息安全的期望和承諾的表達(dá)，位于整個(gè)PMOT信息安全體系的頂層，也是安全管理體系的最高指導(dǎo)方針，明確了信息安全工作總體目標(biāo)，對技術(shù)和管理各方面的安全工作具有通用指導(dǎo)性。信息安全的核心目標(biāo)包括：保密性、完整性、可用性、可控性、不可否認(rèn)性、可審計(jì)性、可鑒別性七個(gè)方面。確定信息系統(tǒng)的總體安全目標(biāo)，我們根據(jù)被測單位的安全目標(biāo)，結(jié)合等級保護(hù)的特點(diǎn)確定出總體的安全策略。安全策略包含了整個(gè)系統(tǒng)建設(shè)的方方面面，整體包括：物理設(shè)備安全策略、口令安全策略、傳輸安全策略、網(wǎng)絡(luò)通信安全（防火墻、IDS、VLAN劃分、等）、病毒及惡意代碼防護(hù)策略、數(shù)據(jù)存儲及備份策略、管理安全策略等。物理安全策略物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防30XXX信息安全技術(shù)有限公司止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。抑制和防止電磁泄露是物理安全策略的一個(gè)主要問題?？诹畎踩呗钥诹畎踩呗缘哪康氖潜Ｗo(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等的用戶口令，保證口令的統(tǒng)一分發(fā)、定期更改、復(fù)雜度達(dá)標(biāo)。通過對口令的保存、認(rèn)證傳輸?shù)冗^程的加密和保護(hù)，避免口令爆破、口令泄露等問題。安全建設(shè)整改技術(shù)方案設(shè)計(jì)根據(jù)整改目標(biāo)和安全策略提出整改技術(shù)方案，將保障體系框架中要求實(shí)現(xiàn)的網(wǎng)絡(luò)、主機(jī)和應(yīng)用安全落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)，主要內(nèi)容包括：網(wǎng)絡(luò)邊界護(hù)御、安全通信網(wǎng)絡(luò)、主機(jī)與應(yīng)用防護(hù)體系、檢測響應(yīng)體系、冗余與備份、信息安全管理中心。整個(gè)方案的設(shè)計(jì)首先根據(jù)系統(tǒng)目前的現(xiàn)狀，在現(xiàn)狀的基礎(chǔ)上進(jìn)行整體技術(shù)體系審計(jì)和信息安全產(chǎn)品的采購和使用計(jì)劃。表7-1安全建設(shè)整改技術(shù)方案需求對應(yīng)表安全策略/安全需求安全產(chǎn)品性能指標(biāo)產(chǎn)品咨詢備注網(wǎng)絡(luò)邊界防御防火墻防毒墻31XXX信息安全技術(shù)有限公司安全建設(shè)整改管理體系設(shè)計(jì)為滿足等?；疽?，應(yīng)建立和完善安全管理體系，包括：完善安全制度體系、完善安全組織、規(guī)范人員管理、規(guī)范系統(tǒng)建設(shè)管理。XXX安全制度管理辦法》《XXX安全方針》《XXX安全策略管理辦法》《XXX安全體系管理辦法》《XXX培訓(xùn)及教育管理辦法》《XXX安全單位人員安全管理辦法》《XXX安全外包廠商管理制度》《XXX安全第三方人員安全管理辦法》《XXX安全監(jiān)控及審計(jì)管理辦法》《XXX安全工程實(shí)施過程管理制度》《XXX安全配套設(shè)備維護(hù)制度》《XXX安全消防安全工作制度》《XXX安全機(jī)房安防系統(tǒng)工作制度》32

XXX信息安全技術(shù)有限公司《XXX安全機(jī)房出入管理制度》《XXX安全辦公環(huán)境安全管理制度》《XXX安全信息資產(chǎn)管理辦法》《XXX安全生產(chǎn)設(shè)備管理辦法》信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo)建議信息系統(tǒng)安全產(chǎn)品的選型需根據(jù)本身的系統(tǒng)特點(diǎn)進(jìn)行，下面是摘錄我們在給某的產(chǎn)品選型建議的部分內(nèi)容。具體的信息系統(tǒng)安全產(chǎn)品選型應(yīng)該根據(jù)各地市稅務(wù)部門的經(jīng)濟(jì)狀況和系統(tǒng)實(shí)際情況相結(jié)合。下列是給出一部分格式，以供參考。建議XXX中，采用主流成熟性的技術(shù)和產(chǎn)品，通過使用入侵檢測、入侵防御、安全審計(jì)、脆弱性掃描與管理、防火墻邊界訪問控制及安全管理平臺等安全措施，并運(yùn)用切實(shí)的安全控制策略和安全服務(wù)手段，為XX網(wǎng)絡(luò)的安全運(yùn)行、系統(tǒng)可靠性運(yùn)行和數(shù)據(jù)信息安全保密性提供一套安全保障防御體系。安全需求安全產(chǎn)品。。。安全需求安全產(chǎn)品。。。產(chǎn)品指標(biāo)備注33XXX信息安全技術(shù)有限公司安全建設(shè)整改項(xiàng)目實(shí)施計(jì)劃安全建設(shè)整改項(xiàng)目的實(shí)施必須要結(jié)合具體的系統(tǒng)和單位情況進(jìn)行。根據(jù)地稅項(xiàng)目的特點(diǎn)，及本次安全測評的要求，XXXX信息安全技術(shù)有限公司會在各地市測評結(jié)束后的三天將地市信息系統(tǒng)中出現(xiàn)的安全配置問題進(jìn)行統(tǒng)一的整改。后續(xù)會根據(jù)地市情況，提供詳細(xì)的安全建設(shè)整改實(shí)施計(jì)劃。項(xiàng)目預(yù)算XXXX信息安全技術(shù)有限公司的服務(wù)以客戶為上，在項(xiàng)目預(yù)算時(shí)，以客戶的標(biāo)準(zhǔn)為依據(jù)，具體預(yù)算以項(xiàng)目實(shí)際操作為準(zhǔn)。整改后可能存在的其他問題。信息系統(tǒng)整改后可能出現(xiàn)代碼遺留或者部分產(chǎn)品接口不合適等問題，我們堅(jiān)持以不影響業(yè)務(wù)的正常運(yùn)行為前提，為用戶進(jìn)行后期的代碼審查、惡意代碼檢查、安全巡檢等服務(wù)。具體仍要結(jié)合地市的情況進(jìn)行具體分析。9.整改技術(shù)方案等級化安全保障建議安全區(qū)域和等級劃分面對一個(gè)互聯(lián)、復(fù)雜的信息系統(tǒng)，確定好子系統(tǒng)的區(qū)域和邊界不僅便于管理，更是對大規(guī)模復(fù)雜信息系統(tǒng)實(shí)施安全保護(hù)的有效方法。區(qū)分邊界和系統(tǒng)，XXX信息安全技術(shù)有限公司首先便于明確防護(hù)需求；其次也是劃分安全域、設(shè)計(jì)防護(hù)機(jī)制的強(qiáng)度、保護(hù)等級，進(jìn)行持續(xù)需求分析的基礎(chǔ)。在實(shí)際工作中，對系統(tǒng)的安全域劃分堅(jiān)持（1）信息資產(chǎn)價(jià)值相近原則；（2）面臨的風(fēng)險(xiǎn)相似原則；（3）子系統(tǒng)安全是整體安全體系建設(shè)中的一環(huán)，系統(tǒng)的劃分應(yīng)滿足安全體系整體的要求；（4）系統(tǒng)的劃分必須有較強(qiáng)的可實(shí)施性，能夠與現(xiàn)有的系統(tǒng)業(yè)務(wù)保持平滑的過渡。通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍，了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊。根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》（GBT22240-2008）確定系統(tǒng)的等級，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。安全體系框架設(shè)計(jì)在進(jìn)行安全體系框架設(shè)計(jì)時(shí)應(yīng)充分考慮到各個(gè)層面的安全風(fēng)險(xiǎn)，構(gòu)建完整的安全防護(hù)體系，充分保證系統(tǒng)的安全性。同時(shí)，應(yīng)確保方案中使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計(jì)和實(shí)現(xiàn)的全過程中有具體的措施來充分保證其安全性。其次根據(jù)被評估單位的信息安全建設(shè)體系規(guī)模和影響對所需的各類安全產(chǎn)品提出具體的要求。必須認(rèn)真考慮各安全產(chǎn)品的技術(shù)水平、可行性、先進(jìn)性、安全性和穩(wěn)定性等特點(diǎn)，為信息系統(tǒng)的后續(xù)建設(shè)奠定良好的技術(shù)基礎(chǔ)。第三，單位的信息安全保障建設(shè)是一項(xiàng)長期的工程，并非一蹴而就解決所有安全問題。因此，在實(shí)際建設(shè)過程中要根據(jù)實(shí)際情況分輕重緩急，分期、分批的進(jìn)行部署。最后，要使得信息安全建設(shè)發(fā)揮最大的功效，除安全產(chǎn)品的部署外還應(yīng)提供XXX信息安全技術(shù)有限公司細(xì)致有效的安全服務(wù)。例如根據(jù)被評估單位的人員現(xiàn)狀，提供信息安全培訓(xùn)服務(wù)；根據(jù)被評估單位的系統(tǒng)現(xiàn)狀及所承載的業(yè)務(wù)類型，提供運(yùn)維及安全應(yīng)急響應(yīng)服務(wù)。通過系統(tǒng)全面的安全服務(wù)將安全服務(wù)商的專業(yè)經(jīng)驗(yàn)與行業(yè)經(jīng)驗(yàn)相結(jié)合，從而最終保障被評估單位信息系統(tǒng)安全穩(wěn)定的運(yùn)行。等級化安全指標(biāo)體系報(bào)告建議被評估單位網(wǎng)絡(luò)系統(tǒng)中，采用主流成熟性的技術(shù)和產(chǎn)品，通過使用入侵檢測、入侵防御、安全審計(jì)、脆弱性掃描與管理、防火墻邊界訪問控制及安全管理平臺等安全措施，并運(yùn)用切實(shí)的安全控制策略和安全服務(wù)手段，為被評估單位網(wǎng)絡(luò)的安全運(yùn)行、系統(tǒng)可靠性運(yùn)行和數(shù)據(jù)信息安全保密性提供一套安全保障防御體系。具體的產(chǎn)品選型等問題，則要根據(jù)不同的單位進(jìn)行選擇。安全體系建設(shè)通過對網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、機(jī)房環(huán)境與設(shè)備、數(shù)據(jù)等面臨的風(fēng)險(xiǎn)進(jìn)行深入的分析，針對各項(xiàng)提出具體的整改措施建議。由于信息安全的木桶原理，因此各項(xiàng)安全措施是互補(bǔ)和相互影響的，所以整體結(jié)合具體的測評結(jié)果，才能出具詳細(xì)的安全體系建設(shè)。信息系統(tǒng)安全管理制度根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》的要求，列出以下部分相關(guān)管理制度內(nèi)容，具體可根據(jù)被測單位實(shí)際安全管理情況進(jìn)行修改。1）《XXX安全制度管理辦法》XXX信息安全技術(shù)有限公司規(guī)定制度的管理機(jī)構(gòu)和職責(zé)，制度的分類與分級，制度的制定與版本管理，制度的格式標(biāo)準(zhǔn)和版本管理，制度的審定與發(fā)布，制度的執(zhí)行、監(jiān)督與評估，制度的修訂與廢止等。2）《XXX安全方針》主要包含總體信息安全目標(biāo)，信息安全使命，信息安全體系框架，文檔的版本控制等內(nèi)容。3）《XXX安全策略管理辦法》主要對信息安全策略制定的要求及權(quán)限以及策略的發(fā)布、修改廢止、監(jiān)督與檢查等做出規(guī)定。4）《XXX安全體系管理辦法》主要包括安全體系的建設(shè)，安全體系的實(shí)施，監(jiān)督和檢查，安全體系的維護(hù)和更新等。5）《XXX培訓(xùn)及教育管理辦法》主要對信息安全培訓(xùn)的培訓(xùn)內(nèi)容、培訓(xùn)要求、培訓(xùn)管理辦法做出規(guī)定。6）《XXX安全單位人員安全管理辦法》主要對單位人員錄用安全管理規(guī)范，單位人員工作調(diào)動(dòng)的安全管理規(guī)范，單位