中

國某銀行計算機安全體系解決方案咨詢服務項目方

案V10

中國農業(yè)銀行計算機安全體系解決方案

Ver

目錄

1項目的目的與意義...................................................5

1.1項目的必要性及意義...........................................5

1.2國內外的現(xiàn)狀及趨勢...........................................6

1.2.1安全管理類................................................7

1.2.2安全模型類................................................8

1.2.3項目成果的應用前景.......................................1()

2項目目標.................................11

2.1目標..........................................................11

2.1.1項目總體目標.............................................11

2.1.2項目的步驟與階段目標.....................................13

2.1.2.1農行計算機安全體系的準備..............................14

農行計算機安全現(xiàn)狀調查與風險評估......................15

農行計算機安全體系策略文件的編寫......................16

農行計算機安全體系實施方案的沒計......................17

2.2要緊指標.....................................................19

3設計思路與技術路線...............................................20

3.1設計思路.....................................................20

3.2技術路線.....................................................21

3.2.1研究設計技術路線的選定...................................21

3.2.2研究設計技術解決方案.....................................22

3.2.3解決關鍵技術的途徑.......................................22

保護而象框架的建立....................................23

323.2安全操縱的選擇與設計...................................23

3.3工程化.......................................................23

4項目內容................................24

4.1總則.........................................................24

4.1.1總體理念................................................24

安全體系...............................................24

安全框架模型...........................................25

保護對象框架...........................................29

安全等級指標體系......................................34

4.1.2項目總體流程綜述.........................................36

安全保護對象框架......................................38

4.122風險評估...............................................39

安全需求...............................................41

安全方針...............................................42

安全保護需求框架......................................43

安全計策...............................................45

安全計策框架...........................................45

4.1,2.8安全體系設計...........................................48

安全策略設計..........................................49

0安全解決方案...........................................50

4.2風險評估.....................................................51

4.2.1實施過程中雙方分工......................................52

422XXXX安全風險評估方法論.................................53

概述......................................53

4.222資產評估...............................................59

威月辦評估..................................................71

弱點評估...............................................80

4.225風險評估...............................................82

4.2.3風險評估方案.............................................84

4.2.3.1設備安全評估方法......................................84

4.232策略文檔評估方法......................................90

4.2.33網絡架構、業(yè)務流程評估方法概述...........................96

4.2.4風險評估過程描述........................................100

信息資產的識別........................................101

安全威脅的評估........................................102

安全弱點的評估........................................103

現(xiàn)有安全措施評估......................................110

綜合風險分析..........................................111

4.2.5風險評估過程的雙方分工..................................112

4.3安全策略制定................................................112

4.3.1安全策略概述............................................112

4.3.2信息安全策略框架設”....................................113

農行策略結構描述......................................113

4.3.3可能需要制定的策略文檔清單..............................116

4.3.4信息安全策略服務流程描述................................117

信息安全方針制定......................................118

4.3A2安全組織管理體系與職責設計............................119

信息安全標準文檔制定..................................120

信息安全操作流程系列文檔制定.........................121

4.3A5信息安全制度與管理辦法系列文檔制定...................122

43.4.6信息安全用戶協(xié)議系列文檔制定.........................123

4.4設計解決方案...............................................124

4.4.1安全需求分析............................................125

4.4.2安全解決方案設計........................................126

4.4.3安全規(guī)劃.................................................127

4.4.4體系的推廣...............................................128

4.4.5維持體系運行............................................128

4.4.6內部審核.................................................129

5項目實施的組織、管理...........................................129

5.1項目的組織..................................................129

5.1.1XXXX項目組規(guī)劃.................................................................................130

5.1.2項目角色與責任....................................................................................130

項目經理..............................................130

首席顧問..............................................131

高級安全顧問..........................................131

安全顧問..............................................131

QA質量保證師........................................132

客戶經理..............................................132

金融顧問..............................................132

大型主機顧問..........................................132

5.2項目的管理..................................................132

5.2.1概述.........................................................................................................133

XXXX工程項目管理方法...............................133

XXXX項目管理遵循的標準.............................134

5.2.2項目溝通.................................................................................................134

5.2.2.1日常溝通、記錄與備忘錄...............................134

報告..................................................134

5.223會議..................................................134

5.2.3項目有關培訓........................................................................................138

評估前培訓............................................138

523.2評估后培訓............................................138

5.2.4項目實施質量保證................................................................................139

概述..................................................139

5.2A2項目執(zhí)行人員的質量職責...............................139

XXXX安全服務質量保證體系嚴格貫徹下列過程..........140

5.2.5項目驗收方式........................................................................................142

驗收方法確認..........................................143

驗收程序..............................................144

版本操縱..............................................146

5.254交付件歸檔辦法........................................147

6承擔能力說明....................................................147

6.1單位基本情況................................................147

6.1.1XXXX控股有限公司基本情況............................................................147

6.1.2近兩年的財務狀況（單位.：萬元）...................................................148

6.1.3單位負責人基本情況............................................................................149

6.1.4承擔同類研究設計項目及完成情況...................................................149

6.2承擔能力說明................................................150

6.2.1與投標項目有關的技術資源、業(yè)務背景等情況..............................150

6.2.2項目負責人及構成人員情況...............................................................151

6.221項目經理基本情況......................................151

技術負責人基本情況....................................153

6.2.23項目人員情況..........................................155

6.2.3XXXX信息安全業(yè)務關鍵能力.............................................................155

6.23.1具備長期履行承諾的能力...............................155

具備持續(xù)進展信息安全技術的能力........................155

具備幫助客戶規(guī)避安全風險的能力........................155

623.4提供實時響應的專家服務模式............................155

6.2.3.5具備覆蓋全國的售后服務體系...........................156

6.23.6完善的服務質量管理能力...............................156

6.2.4XXXX安全項目成功案例介紹..............................156

國稅總局安全咨詢項目.................................156

7項目進度安排....................................................157

8項目經費預算及安排..............................................159

9風險分析及規(guī)避措施..............................................160

9.1系統(tǒng)備份與恢復措施..........................................160

9.2掃描風險應對措施............................................160

9.3風險評估階段項目一致性的管理及規(guī)避措施.....................161

10成果列表...............................“161

10.1評估階段交付件..............................................161

10.1.1評估階段總行交付件......................................161

10.1.2評估階段各分行交付件....................................162

10.2策略階段交付件..............................................162

10.3方案階段交付件..............................................162

11涉及安全保密、技術秘密的保護承諾...............................163

12附件...........164

12.1項目負責人簡歷表............................................164

12.2計劃從事本項目的要緊人員情況表.............................166

12.3與本項目有關的技術資源優(yōu)勢.................................171

12.4XXXX提供的證明材料.......................................171

1項目的目的與意義

1.1項目的必要性及意義

中國農業(yè)銀行是四大國有獨資商業(yè)銀行之一，是中國金融體系的重要構成

部分。在國內，中國農業(yè)銀行網點遍布城鄉(xiāng)，資金實力雄厚，服務功能齊全，

不僅為廣大的百姓與客戶所信賴，而且與他們一道取得了長足的共同進步，己

成為中國最大的銀行之一。在海外，農業(yè)銀行同樣通過自己的努力贏得了良好

的信譽，被《財富》評為世界500強企業(yè)之一。其信息化建設進展迅速，全行

計算機網點達4.5萬多個，聯(lián)機網點達3.5萬余個，各項業(yè)務計算機處理覆蓋

率達93%,金額達93%。

隨著農行金融信息化的進展，信息系統(tǒng)已經成為銀行賴以生存與進展的基

本條件。相應地，銀行信息系統(tǒng)的安全問題也越來越突出，銀行信息系統(tǒng)治安

全問題要緊包含兩個方面：一是來自外界對銀行系統(tǒng)的非法侵入，對信息系統(tǒng)

的蓄意破壞與盜竊、篡改信息行為；二是來自銀行內部員工有意或者無意的對

信息系統(tǒng)管理的違反。銀行信息系統(tǒng)正在面臨著嚴峻的挑戰(zhàn)。

銀行進行安全建設、加強安全管理已經成為當務之急，其必要性正在隨著

銀行業(yè)務與信息系統(tǒng)如下的進展趨勢而更加凸出：

＞銀行的關鍵業(yè)務系統(tǒng)層次豐富，操作環(huán)節(jié)多，風險也相對比較明顯；

＞隨著電子銀行與中間業(yè)務的廣泛開展，銀行的網絡與Internet與其

他組織機構的網絡互聯(lián)程度越來越高，使原本相對封閉的網絡越來越

開放，從而將外部網絡的風險引入到銀行內部網絡；

＞隨著銀行業(yè)務集中化的趨勢，銀行業(yè)務系統(tǒng)對可靠性與無間斷運行的

要求也越來越高；

＞隨著WT0的到來與外資銀行的進入，銀行業(yè)競爭日益猛烈，新的金融

產品不斷推出，從而使銀行的應用系統(tǒng)處于快速的變化過程中，對銀

行的安全管理提出了更高的要求。

中國國內各家銀行也已經開始進行信息安為系建設，其中最要緊的措施就

是采購了大量安全產品，包含防火墻、入侵檢測系統(tǒng)、防病毒與身份認證系統(tǒng)

等。這些安全產品在很大程度上提高了銀行信息系統(tǒng)的安全水平，對保護銀行

信息安全起到了一定作用。但是它們并沒有從根本上降低安全風險，緩解安全

問題，這要緊是由于：

＞信息安全問題從來就不是單純的技術問題，把防范黑客入侵與病毒感

染懂得為信息安全問題的全部是片面的。安全產品的功能相對比較狹

窄，往往用于解決一類安全問題，因此僅僅通過部署安全產品很難完

全覆蓋銀行信息安全問題；

＞信息安全問題不是靜態(tài)的，它總是隨著銀行策略、組織架構、信息系

統(tǒng)與操作流程的改變而改變。部署安全產品是一種靜態(tài)的解決辦法。

通常來說，在產品安裝與配置后較長一段時間內，它們都無法動態(tài)調

整以習慣安全問題的變化。

因此，銀行界的有識之十都意識到應從根本上改變應對信息安全問題的思

路，建立更加全面的安全保障體系，在安全產品的輔助下，通過管理手段體系

化地保障信息系統(tǒng)安全。

L2國內外的現(xiàn)狀及趨勢

目前，國際上權威的評估標準是美國國防部公布的“可信計算機系統(tǒng)評估

準則TCSEC”——彩虹系列標準與歐洲、美國等國家制訂的TTSRC準則、CC標

準與最近國際標準化組織提出的ISO/IEC15408信息技術安全評估準則。許多

國家都將信息安全定位在國家戰(zhàn)略級別。有關標準與文檔包含：

?美國國家安全戰(zhàn)略

?美國的《保護網絡空間的國家戰(zhàn)略》

?美國銀行于金融關鍵基礎設施保護戰(zhàn)略

?俄羅斯聯(lián)邦信息安全學說

?歐洲信息與網絡安全政策

?BS7799/IS017799

?IS015408/CC

?IATF

這些標準大致能夠分為兩種類型。

1.2.1安全管理類

安全管理類型的標準要緊是通過制訂制度與規(guī)章來降低安全風險，BS7799

是典型的安全管理類標準。

1990年，世界經濟合作開發(fā)組織(OECD)下轄的信息、計算機與通信政策

組織開始起草“信息系統(tǒng)安全指導方針”。1992年，OECD于11月26日正式

通過“信息系統(tǒng)安全指導方針”。1993年，英國工業(yè)與貿易部(DT1)頒布“信

息安全管理事務準則”。1995年，英國制定國家標準BS7799第一部分：“信

息安全管理事務準則”，并提交國際標準組織(ISO),成為ISODTS14980o1996

年，BS7799第一部分提交TSO審議的結果，于1996年2月24日結束6個月

的審議后，參與投票的成員國未超過三分之二。1997年，OECD于3月27日公

布密碼模塊指導原則；同年，英國正式開始推動信息安全管理認證先導計劃。

1998年，英國公布BS7799第二部分“信息安全管理規(guī)范”并成為信息安全管

理認證的根據；同年，歐盟于1995年10月公布之“個人資料保護指令，自1998

年10月25日起正式生效，要求以適當標準保護個人資料”。1999年，修訂后

的BS7799:1999版再度提交ISO審議。2000年，國際標準組織TSO/TECJTCSC

27在日本東京10月21日通過BS7799-1,成為ISODIS17799-1,2003年

12月1日正式公布.現(xiàn)已有30多家機構通過了信息安全管理體系認證，范圍

包含：政府機構、銀行、保險公司、電信企業(yè)、網絡公司及許多跨國公司。目

前除英國之外，國際上己有荷蘭、丹麥、挪威、瑞典、芬蘭、澳大利亞、新西

蘭、南非、巴西已同意使用BS7799；日本、瑞士、盧森堡表示對BS77的感

興趣；我國的臺灣、香港地區(qū)也在推廣該標準。值得一提的是：該標準也是目

前英國最暢銷的標準。

BS7799完仝從管理角度制定，并不涉及具體的安仝技術，實施不復雜，

要緊是告訴管理者一些安全管理的注意事項與安全制度，比如磁盤文件交換與

處理的安全規(guī)定、設備的安全配置管理、工作區(qū)進出的操縱等一些很容易懂得

的問題。這些管理規(guī)定通常的單位都能夠制定，但要想達到BS7799的全面性

則需要一番努力。BS7799涵蓋了安全管理所應涉及的方方面面，全面而不失可

操作性，提供了一個可持續(xù)提高的信息安全管理環(huán)境。推廣信息安全管理標準

的關鍵在重視程度與制度落實方面。

應該說該標準中也還存在一些問題。它認為未經批準查看敏感信息是種威

脅，而且是對保密性的違反。但是明確闡述保密性的文件中唯一指明的操縱中

卻沒有這種認識。它的4.1.3部分講到，用戶應該簽署保密（不泄密）協(xié)定，

但卻沒有說阻止非法用戶截?。ú炜矗┬畔?。標準中的另一個問題是有關網絡

存取操縱的部分沒有提到密碼技術。標準中簡單討論了密碼技術，但只在有關

開發(fā)與保護系統(tǒng)應用部分，作為保護高度敏感的數(shù)據的一部分。另外，它混淆

了明白信息與占有信息的概念。

總而言之，BS7799在某些方面可能不全面，但是它仍是目前能夠用來達

到一定預防標準的最好的指導標準。

1.2.2安全模型類

安全模型類標準著重建立信息安全技術體系模型，1S015408/CC是此類標

準的代表。

ISO/IEC15408T999”信息技術安全技術信息技術安全性評估準則”（簡

稱CC）,是國際標準化組織統(tǒng)一現(xiàn)有多種評估準則的努力結果，是在美國與歐

洲等國分別自行推出并實踐測評準則及標準的基礎上，通過相互間的總結與互

補進展起來的。要緊階段為：

?1985年，美國國防部公布《可信計算機系統(tǒng)評估準則》（TCSEC）即

桔皮書

?1989年，加拿大公布《可信計算機產品評估準則》（CTCPEC）

?1991年，歐洲公布《信息技術安全評估準則》（ITSEC）

?1993年，美國公布《美國信息技術安全聯(lián)邦準則》（FC）

?1996年，六國七方（英國、加拿大、法國、德國、荷蘭、美國國家安

全局與美國標準技術研究所）公布《信息技術安全性通用評估準則》（CC1.0

版）

?1998年，六國七方公布《信息技術安全性通用評估準則》（CC2.0版）

?1999年12月，ISO同意CC2.0版為ISO15408標準，并正式頒布發(fā)

行

從上面進展能夠看出，CC源于TCSEC,但已經完全改進了TCSEC。TCSEC

要緊是針對操作系統(tǒng)的評估，提出的是安全功能要求，目前仍然能夠用于對操

作系統(tǒng)的評估。隨著信息技術的進展，CC全面地考慮了與信息技術安全性有關

的所有因素，以“安全功能要求”與“安全保證要求”的形式提出了這些因素,

這些要求也能夠用來構建TCSEC的各級要求。

CC定義了作為評估信息技術產品與系統(tǒng)安全性的基礎準則，提出了目前

國際上公認的表述信息技術安全性的結構，即把安全要求分為規(guī)范產品與系統(tǒng)

安全行為的功能要求與解決如何正確有效的實施這些功能的保證要求。功能與

保證要求又以“類一一子類一一組件”的結構表述，組件作為安全要求的最小

構件塊，能夠用于“保護輪廓”、“安全目標”與“包”的構建，比如由保證組

件構成典型的包一一“評估保證級”。另外，功能組件還是連接CC與傳統(tǒng)安全

機制與服務的橋梁，與解決CC同己有準則如TCSEC、ITSEC的協(xié)調關系，如功

能組件構成TCSEC的各級要求。

同BS7799相比，信息技術安全性評估準則(CC)與美國國防部可信計算機

評估準則(TCSEC)等更側重于對系統(tǒng)與產品的技術指標的評估；系統(tǒng)安全工程

能力成熟模型(SSE-QIM)更側重于對安全產品開發(fā)、安全系統(tǒng)集成等安全工程

過程的管理。在對信息系統(tǒng)日常安全管理方面，BS7799的地位是其他標準無

法取代的。

這兩類標準各有利弊。管理類標準，盡管比較容易實施，但比較滯后。在

信息技術飛速進展的今天，不能涵蓋最新的技術與應用，需要不斷的增加新的

內容來不斷完善。安全模型類方案能夠為我們建立完整的信息安全保障體系提

供參考?，由于其指出是一種理想化的模型，只能在實踐中起到指導與參考作用，

不可能直接引用。

我們認為，建立信息安全保障體系不能只參考任何類的標準，而應該根

據用戶的網絡現(xiàn)狀與用戶提出的安全需求，綜合使用兩類標準，從技術與管理

兩個維度來考慮，以安全評估為基礎，制訂安全策略，提出解決方案，來滿足

用戶的安全需求。

1.2.3項目成果的應用前景

我國金融系統(tǒng)的信息安全保障體系的建設已經取得了階段性的成果，但其

現(xiàn)有的信息安全保障體系是否能充分滿足我國金融行業(yè)的安全目標還需要進

一步論證。構建我國金融系統(tǒng)信息基礎平臺設施大量使用了國外的技術與產

品，按照這種方式構筑的信息傳輸、交換與處理平臺存在相當?shù)陌踩┒磁c隱

患，在這樣的平臺上進展金融業(yè)務存在比較嚴重的安全問題。現(xiàn)有的信息安全

基礎設施與系統(tǒng)安全解決方案大多是通過傳統(tǒng)方式如防火墻、入侵檢測、漏洞

掃描、網絡隔離等技術與設備來保障系統(tǒng)的安全。盡管在一定程度上能夠滿足

日常工作與安全保障要求，但各類安全設備都構建于國外的硬件平臺與操作系

統(tǒng)之上，擺脫不了受限、受制、受控于人的被動局面，這關于我國金融業(yè)務信

息化的正常進展是非常不利的。究其原因是沒有形成針對金融行業(yè)的信息安全

保障體系架構。

XXXX根據本次招標的要求，設計了包含安全評估、安全策略與解決方案

三個要緊部分的《中國農業(yè)銀行計算機安全體系解決方案》。本方案通過對農

行計算機安全問題的研究，參照國際國內安全標準，提出適用于農行實際情況

且具有可操作性的整體安全體系。

木安全體系著重體系件、整體件、針對性、可?操作性,參照國際與國內的

安全標準與規(guī)范，充分利用成熟的信息安全理論成果。同時具有可審核、等級

化的特點，強調本安全體系的前瞻性。

為整個安全體系的建設制訂了詳盡的步驟與階段目標，在本項目中，衣行

計算機安全體系的設計過程將通過下列四個基本步驟：

?農行計算機安全體系的準備

?農行計算機安仝現(xiàn)狀調查與風險評估

?農行計算機安全體系策略文件的編寫

?農行計算機安全體系建設方案的設計

每一個步驟又達一步細分，并實施嚴格的項目管理制度。實現(xiàn)從中國衣業(yè)

銀行實際情況出發(fā)，根據國家有關法律法規(guī)，結合信息系統(tǒng)安全出現(xiàn)的新情況

與新問題，為設計農行計算機系統(tǒng)完整的安全解決方案，從安全組織、安全管

理與安全技術三個方面全面建設計算機安全體系，達到中國農業(yè)銀行提出“中

國農業(yè)銀行計算機安全體系解決方案”項目的目標。

通過實施本解決方案，能夠充分熟悉農行信息系統(tǒng)的現(xiàn)狀、現(xiàn)有信息安

全保障系統(tǒng)的作用、發(fā)現(xiàn)潛在的信息安全技術隱患與管理漏洞，根據安全評估

的結果，制訂完善的信息安全策略、提供切實可行的信息安全解決方案，幫助

農行建成一個適用于農行，金融行業(yè)中一流的信息安全保障體系。

2項目目標

2.1目標

2.1.1項目總體目標

本項目的總體目標是通過對農行計算機安全問題的研究，參照國際國內

安全標準，設計出適用于農行實際情況且具有可操作性的整體安全體系。

該總體目標包含下列幾方面內容：

1、項目的成果表達為一套安全體系

實踐證明，單純通過購買安全產品，對提高組織的計算機安全水平是很有

限的。這是由于一方面安全產品作為一種技術工具，其作用被片面放大；另一

方面許多安全技術仍沒有完全成熟。在這種情況下，對待計算機安全問題地科

學態(tài)度必定是充分利用產品的前提下加強管理，建立一套融制度，流程，組織

運作與安全技術的安全體系。

中國農業(yè)銀行總行設立本項目的目的正在于建立一套安全體系，以更有效

地提高農行整體計算機安全水平。

2、安全體系務必是整體的

計算機安全問題是一個十分復雜的問題，它涵蓋了物理安全，平臺安全，

應用安全與業(yè)務安全等。在解決計算機安全問題時，務必整體地加以解決，在

任一方面遺漏都可能導致在其他方面的安全措施失效。

因此，本項目要求設計的安全體系，務必涉及到計算機安全各個層面的，

是一個完整的安全體系。

3、安全體系務必參照國際與國內的安全標準與規(guī)范，充分利用成熟的信息

安全理論成果

目前，國際國內許多安全理論界都作了大量安全體系方面的研究，產生了

一系列有關安全體系方面的標準,包含BS7799,IATF,CC,SSE-CMM,計算機

信息系統(tǒng)安全等級劃分準則等。這些安全體系由于強調其通用性，在實際應用

中針對性與全面性不夠，無法直接用于農行。但是這些安全理論在一定范圍內

通過大量實踐證明，有很強的生命力。

本項目要求設計的安全體系，應在結合農行現(xiàn)實情況的基礎上，盡可能利

用這些成熟的理論成果，與這些安全標準保持兼容。在上述提到的安全標準中，

有一部分提供了認證與測評的方法。因此本項目要求設計的安全體系，應以能

夠通過這些安全標準為目標。

4、安全體系務必適用于農行

本項目要求設計的安全體系，務必針對農行的實際情況設計。

一方面，該安全體系應是農行專用的安全體系，能夠表達出農行的計算機

安全問題不一致于其他組織甚至同類銀行的特點；

另一方面，安全體系又應具有一定的彈性以習慣農行眾多的分支機構。

5、安全體系務必是可操作的

本項目要求設計的安仝體系，務必具有很強的可操作性，這種可操作性要

求安全體系具有非常詳盡的描述，并具備很強的可工程化能力，具體地說，在

描述安全計策時，不應是原則性的。

在目前，最著名的安全體系是BS7799的ISMS（信息安全管理體系），國

內外有很多公司已經開展BS7799的認證咨詢服務，該服務要緊內容就是幫助

企業(yè)建立ISMS。但是ISMS側重于安全管理，在其安全操縱列表中，全部是關

丁企業(yè)如何通過管理改善信息安全的指導，而對安全技術的應用過丁薄弱。

除了BS7799之外，許多政府提供的指南性文件，比如加拿大政府提出的

《加拿大信息技術安全手冊》，給組織建立安全體系提供一定的參考。

國內外的IT服務提供商與專業(yè)安全廠商已經開始根據客戶的需要開展體

系設計這一咨詢業(yè)務，其中比較著名的是IBM等。

與這些安全服務不一致的是，本項目要求設計的安全體系具有下列特點:

＞可審核、等級化的安全體系。農行分支機構眾多，計算機應用水平不

一，因此農行要求其安全體系是等級化的，以習慣不一致的應用式境。

農行還要求安全體系是可審核的，以便對其分支機構是否達到相應等

級進行評判。

＞安全體系應具有一定的前瞻性，即要求安全體系考慮到農行今后比較

長一段時間內的計算機技術與信息安全技術的進展趨勢。

2.1.2項目的步驟與階段目標

與通用安全體系不一致的是，農行計算機安全體系在其設計過程中非常強

調與農行計算機系統(tǒng)的特點與具體情況的一致性與可操作性。因此，安全體系

的設計要緊圍繞農行計算機安全的實際狀況開展，同時參照有關國際國內標

準。

總體來說，在本項目中，農行計算機安全體系的設計過程將通過下列四個

基本步驟，如圖所示：

（1）農行計算機安全體系的準備；

（2）農行計算機安全現(xiàn)狀調查與風險評估；

（3）農行計算機安全體系策略文件的編寫；

（4）農行計算機安全體系建設方案的設計。

2.1.2.1農行計算機安全體系的準備

準備階段要緊目標是指做好體系設計與建立之前的各類前期工作。具體包

含前期培訓、確定適用范圍、擬制項目計劃與藍圖。

＞前期培訓

本項目要求安全體系的設計過程以農行為主，服務商為輔。因此為了使農

行參與項目成員熟悉安全體系的基本原理，掌握安全體系設計過程中各個環(huán)節(jié)

的具有過程，務必在項目前期進行培訓I。

前期培訓的具體目標包含：

■項目所有成員對與安全體系有關的理論知識（包含安全標準）的熟

悉。

■項目所有成員對安全體系設計過程的懂得。

＞確定項目范圍

在本項目中，安全體系的范圍總體上涵蓋物理環(huán)境、網絡、系統(tǒng)平臺、應

用軟件與業(yè)務等多個層次，為了提高項目實施的質量，務必在項目開始時充分

定義項目范圍。另外，在項目實施過程中，由于對所有計算機系統(tǒng)進行評估是

不現(xiàn)實的，因此務必使用抽樣的方式，抽樣的具體方案在本階段明確。

確定項目范圍的具體目標包含：

■明確項目實施的層次范圍；

■確定抽樣的方案，確保抽樣樣本的典型性。

＞擬制項目計劃與藍圖

在準備階段，還務必擬制項目的全面計劃與藍圖，盡可能詳盡地描述項目

的過程與成果形式，充分保證項目的可控性。

擬制項目計劃與藍圖的具體目標包含：

■擬制項目計劃，并通過項目領導小組的審核；

■擬制藍圖，并通過項目領導小組的審核。

2.1.2.2農行計算機安全現(xiàn)狀調查與風險評估

現(xiàn)狀調查與風險評估是建立安全農行計算機安全體系的基礎與關鍵，在整

個項目過程中，現(xiàn)狀調查與風險評估的工作量占了很大比例，現(xiàn)狀調查與風險

評估的深度直接影響安全體系能否與農行實際情況相一致且具有可操作性。

現(xiàn)狀調查與風險評估的要緊目標包含對農行計算機系統(tǒng)進行全面的現(xiàn)狀

調查、建立保護對象框架與根據保護對象框架進行風險評估。

＞全面的現(xiàn)狀調查

全面現(xiàn)狀調查是本項目十分關鍵的步驟，現(xiàn)狀調查的廣度與深度將對保護

對象框架的建立與風險評估帶來非常十分重要的作用。在全面現(xiàn)狀調查中，農

行的計算機系統(tǒng)的場所、環(huán)境、網絡、網絡設備、主機、操作系統(tǒng)、數(shù)據庫、

中間件、應用軟件、業(yè)務流程、管理制度與組織機構將得到全面的調研。

全面的現(xiàn)狀調查的具體目標包含：

■獲得對農行計算機系統(tǒng)的全面熟悉；

■為建立農行計算機系統(tǒng)保護對象框架模型打下扎實的基礎。

＞建立保護對象框架

在本項目中，安全體系的設計思路既使用了“最佳實施”或者“安全操縱”

列表，也使用了安全模型。（參見節(jié)3.1）保護對象框架是設計過程中使用的最

要緊的安全模型，它來源于IATF。建立保護對象框架有助于形成對農行計算機

系統(tǒng)完整的視圖。使用保護對象框架技術，有助于將風險評估與安全計策框架

聯(lián)系起來，形成對比指紋。

建立保護對象框架的具體目標包含：

■準確地獲得農行計算機系統(tǒng)安全保護輪廓；

■為風險評估與安全體系建立對比指紋。

＞風險評估

風險評估的目的是熟悉農行計算機系統(tǒng)的安全現(xiàn)狀，以便在安全體系的實

施過程進行需求分析與解決方案設計。風險評估過程包含對農行計算機系統(tǒng)的

資產安全價值、弱點嚴重性、威脅可能性與現(xiàn)有安全措施等進行估值，并通過

這些因素計算風險值。

風險評估的具體目標包含：

■準確地獲得農行計算機系統(tǒng)安仝現(xiàn)狀；

■獲得農行計算機系統(tǒng)風險現(xiàn)狀，為安全計策框架設計提供根據。

2.1.2.3農行計算機安全體系策略文件的編寫

安全體系的設計是指根據保護對象框架，設計農行計算機安全計策框架的

過程。計策框架由一系列安全操縱（或者者最佳實施）構成，安全操縱由策略、

組織、技術手段與運作過程四部分構成，而策略是安全計策的核心部分，因此

安全體系策略文件是安全體系的具體反映。

策略文件編寫階段的要緊目標包含設計農行計算機安全計策框架與編制

策略文件。

＞設計計策框架

計策框架是指根據保護對象框架中的安全需求選擇安全操縱（最佳實施）,

在計策框架中，每一條安全需求都對應著多條安全操縱，這些安全操縱使安全

體系實現(xiàn)等級化成為可能。

由于計策設計是建立在保護對象框架中，因此其整體性得到了保證。

設計計策框架的具體目標包含：

■根據保護對象框架中安全需求選擇或者設計多條安全操縱（最佳實

施）；

■只選擇適用于農行的安全操縱，確保計策框架對農行的適用性。

＞編制策略文件

通過編制體系化的策略文件，描述計策框架中的安全操縱，并據此制訂相

應的管理制度、組織規(guī)程、使用指南與企業(yè)標準等。策略文件是農行安全體系

的表現(xiàn)形式。

編制策略文件的具體目標包含：

■抽取計策框架中每條安全操縱的策略要素，形成安全操縱列表：

■對安全操縱列表進行有關性分析，并形成一整套策略文件。

2.1.2.4農行計算機安全體系實施方案的設計

通過安全體系策略文件編制階段以后，農行計算機安全體系設計已經完

成，但是要在農行建立該安全體系，還務必通過安全體系建立的工程化階段。

而安全體系實施方案設計階段是對安全體系設計階段與工程階段起到承上啟

下的中間階段。通過安全體系實施方案的設計，農行計算機安全體系才可能被

真正實施。

農行計算機安全體系實施方案設計階段的具體目標包含需求分析、產生總

體規(guī)劃、設計技術實施方案、設計推廣過程、設計體系運行方案與設計內部審

核過程等。

＞需求分析

需求分析的要緊根據是風險評估與計策框架的對比，并結合農行提出其他

需要考慮與解決的安全需求（安全需求斷言），綜合形成安全需求。

需求分析幫助農行懂得其安全現(xiàn)狀與目標之間的差距，并清晰地看到實現(xiàn)

安全體系的某一級別還需要作什么。需求分析的結果為規(guī)劃與安全解決方案設

計提供直接根據。

需求分析的具體目標包含:

■通過對評估結果與計策框架地對比，獲得差距；

■為規(guī)劃與解決方案設計提供根據。

＞產生總體規(guī)劃

信息安全進展規(guī)劃的制定以農行自身的業(yè)務進展規(guī)劃與進展規(guī)劃為基礎，

就信息安全的進展趨勢給出意見，使得信息安全進展規(guī)劃能夠符合信息安全的

進展方向，同時也能夠與農行的整體進展規(guī)劃相吻合。

總體規(guī)劃的具體目標包含：

■制定農行在信息安全方面的長遠進展規(guī)劃。

■通過對農行自有資源的分析，制定出切合實際的進展規(guī)劃。

＞設計技術實施方案

技術實施方案的制訂是以需求分析為基礎，對加固、安全技術選型、部署

與配置等技術手段用T程化實施方案的形式進行描述,使得農行能夠建立其設

計好的安全體系。

技術實施方案設計的具體目標包含：

■設計工程化實施方案，保障農行實現(xiàn)安全體系的硬件環(huán)境；

＞設計推廣過程

安全體系的推廣以農行實際情況為根據，就安全體系從總行向省分行與地

市分行一直到支行與分理處推廣提供指導性意見。

設計推廣過程的具體目標包含：

■提供推廣的指導性意見，保證推廣過程的有效性。

＞設計體系運行方案

在體系文件編制與技術實施方案設計完成后，本項目還應該設計有關體系

運行方案，特別是包含試運行期中指導性意見。運行方案包含體系文件的公布

與宣貫、培訓與問題的收集與糾正。

設計體系運行方案的具體目標包含：

■提供體系運行的指導性意見，保證農行計算機安全體系的可用性與

可操作性。

＞設計內部審核過程

由于本項目要求設計的安全體系是等級化的，因此為了評估農行的下屬分

支機構是否達到制訂的安全級別，安全體系還應該包含內部審核的過程。審核

過程包含審計，現(xiàn)場審核等內容。

設計內部審核過程的具體目標包含：

■建立獲得審核證據，對分支機構所運行的安全體系等級進行客戶評

價的準則。

2.2要緊指標

作為服務項目的成果，農行計算機安全體系總體上需要符合下列指標：

1、標準性

盡量參照國際國內標準開展工作是本次安全服務工作的指導原則，并保持

對這些標準的兼容，是本次項目要緊要求之一。

本項目將根據的國內與國際標準包含：

>ISOI7799/BS7799

>ISO15408/CC

>ISO13335

>SSE-CMM

AIATF3.1

>計算機信息系統(tǒng)安全等級劃分準則

>加拿大信息技術安全手冊

本項目實施過程除了根據有關的國內與國際標準之外，還要參考一些沒有

成為國際與國內標準，但是已經成為業(yè)界事實上標準的一些規(guī)范與約定。這些

規(guī)范與約定包含：

>CVE公共漏洞與暴露

>PMI項目管理方法學

2、整體性

在本項目中將通過對農行物理層、平臺層、應用層與業(yè)務層的全面調研，

構建農行的保護對象框架，框架是保證獲得農行計算機系統(tǒng)安全輪廓整體性的

重要基礎。根據保護對象框架，項目還將產生農行計策框架，計策框架由結構

化的安全操縱（或者最佳實施）構成，而每條安全操縱都由策略、組織、技術

與運作構成，通過這種方法，確保安全體系的整體性。

3、適用性

在本項目中安全體系要求對農行具有較高的適用性，這是反映安全體系的

指標之一。要求農行計算機安全體系能表達農行不一致與其他組織，甚至包含

其他銀行的特點，同對農行計算機安全體系乂能習慣于農行各級分支機構，包

含省行、地市行與支行等的計算機安全要求。

4、可操作性

安全體系的可操作性也是本項目重要指標之一，要緊反映兩個方面，一是選

擇可操作的安全操縱（最佳實施）；一是設計相應的工程化方案，確保安全體系

的推廣與落實

5、規(guī)范性

規(guī)范性是衡量安全體系的成熟性與穩(wěn)固性的直要根據,規(guī)范性要緊通過下列

兩個方面衡量：一是將設計的安全體系在某試點分行落實后通過有關標準的認

證，比如BS7799,計算機信息系統(tǒng)安全等級劃分準則等。另一就是保證規(guī)范的

項目管理與安全工程，并通過SSE-CMM衡量其成熟度。

3設計思路與技術路線

3.1設計思路

近年來，隨著計算機技術的迅猛進展，安全的重要性越來越突出。計算機

安全市場也非常巨大，產生了大量從事安全產品研制的IT公司，基本形成了

防火墻、防病毒、入侵檢測、漏洞掃描、VPN、審計、PKI等一系列安全產品。

這些產品的出現(xiàn)，極大地提高了組織改善信息安全狀況地能力，提高了組織的

計算機安全水平，但是這些改善仍沒有達到組織理想的目標，病毒、黑客與計

算機犯罪依然猖獗，更不幸的是，組織逐步意識到來自內部的誤操作與越權行

為給組織帶來了更大的威脅，而安全產品在應付這些來自內部的威脅時顯得非

常不足，這給信息安全的理論界、廠商與用戶提出了一系列問題：

“信息安全的本質是什么？”

“信息安全應該包含什么范圍？”

由于這些問題的存在，促使人們開始對安全體系進行研究。通常地，對安

全體系的研究要緊使用兩種思路，一是模型化，它通過將要保護的對象通過模

型的方式表達，獲取其安全需求；一是“最佳實施”，它通過列舉安全操縱來

構造理想的安去體系。這兩種模型都存在著一定的缺陷，模型化思路的要累難

點在于完整地表達一個信息系統(tǒng)，特別是與信息系統(tǒng)有關的管理過程；而最佳

實施的要緊缺陷是安全操縱的不可枚舉性，特別是隨著安全技術日益進展，安

全操縱的更新也是非?？斓摹?/p>

鑒于這樣一種情況，在本項目設計農行計算機安全體系的過程中，我們將

兩種思路加以綜合，首先借鑒IATF的信息安全保障體系模型構建農行的計算

機安全保護對象框架（保護輪廓），然后根據保護對象框架選擇或者設計所有

可行的安全操縱，然后進行縱向梳理，產生技術體系與管理體系（策略、組織

與運作體系），這些體系構成本次項目所需的安全體系。

3.2技術路線

3.2.1研究設計技術路線的選定

就目前國際范圍安全理論的進展水平，設計農行計算機安全體系的要素技

術路線包含：

＞直接將標準化的安全體系應用到農行。可直接應用的安全體系包含

BS7799的ISMS與IATF等。使用這種技術路線存在的要緊問題是安全

體系的整體性較差，比如BS7799是純粹的管理體系，而IATF是一個

技術路線。另外這些標準化安全體系對農行的適用性較差，這也會帶

來推廣與落實的障礙。

＞直接借鑒其他銀行的安全體系。就目前而言，國內銀行都尚未開始企

業(yè)安全體系的設計，而國外銀行的計算機系統(tǒng)、組織狀況都與農行存

在著很大的區(qū)別，因此借鑒的意義并不明顯。

＞綜合標準化的安全體系，通過對農行計算機系統(tǒng)、組織、管理等各方

面完整的調研，設計出適用農行實際情況的安全體系。該技術路線需

要相對較長的時間與較大的工作量。

通過對各類技術路線的對比，我們選擇采取第三種技術路線，盡可能保證

設計出來的安全體系具有很高的整體性，規(guī)范性，適用性與可操作性。

3.2.2研究設計技術解決方案

為了實現(xiàn)既定的目標，項目將分為三個步驟，首先是對農行的計算機系統(tǒng)

及其物理環(huán)境，管理過程等進行全面的調查，棄建立農行的計算機安全保護對

象框架。在建立農行的計算機安全保護對象框架時，要緊使用IATF的建模方

法，將農行的計算機系統(tǒng)分成計算區(qū)域、邊界與通信網絡三部分，并分別提取

相應的安全需求。

接下來，對農行的計算機系統(tǒng)進行風險評估，在風險評估過程中，根據以

上設計的保護對象框架，分別進行資產價值、威脅、弱點與現(xiàn)有安全措施的估

值，并以此計算出風險的數(shù)值。

風險評估后，將根據保護對象框架與風險因素進行計策框架設計，為保護

對象框架中的每項安全需求選擇或者設計多條安全操縱，并分別指出這些安全

操縱的策略、組織、技術與操作四要素。然后將安全操縱的策略部分形成文檔,

描述安全體系。

由于農行的分支機構眾多，現(xiàn)狀有很大差距，因此不可能一視同仁地要求

所有分支機構建立一套完全相同地分支機構，因此在形成安全體系時，我們將

根據安全操縱地強弱程度與數(shù)量，將安全體系分成若干等級。

至此農行地計算機安全體系設計已經完成，但為了使安全體系便于落實，

還應相應地進行規(guī)劃、解決方案、推廣計劃等工程化設計。工程化設計是整個

項目的最后一個環(huán)節(jié)。

3.2.3解決關鍵技術的途徑

在農行計算機安全體系的設計方法中，存在兩個核心的關鍵環(huán)節(jié)，他們對整

個體系的成敗起著更大的作用:

3.2.3.1保護對象框架的建立

保護對象框架是風險評估與體系設計的重要基礎，它完整與否牽系著整個體

系的整體性。

為了保證這一點，在體系設計過程中，我們使用了下列方法：

＞在深入對抽樣計算機系統(tǒng)進行調研之前，將對農行的計算機系統(tǒng)概貌

進行熟悉，獲得農行計算機系統(tǒng)的總體輪廓，該輪廓應包含從總行到

省分行、地市分行、支行一直到營業(yè)所與分理處。

＞將農行計算機系統(tǒng)用“區(qū)域、邊界與通信網絡”模型建模時，關于比

較重要的部分，比如業(yè)務系統(tǒng)，盡可能多細分。

＞在選取樣本時，務必覆蓋到整個模型中每個不一致意義的部分。而不

集中在某一部分。

3.2.3.2安全操縱的選擇與設計

安全操縱的選擇與設計也是整個項目設計的重要環(huán)節(jié)之一，它對體系的適

用性與可操作性起著很重要的作用。

我們在設計過程中使用下列手段加以保障：

＞充分研究BS7799,加拿大信息技術安全手冊，銀行與有關金融服務信

息安仝指南1S013569TR等最佳實施列表；

＞客觀分析安全操縱的效果與局限性，必要時在項目中邀請有關安全技