没有合适的资源?快使用搜索试试~ 我知道了~
信息安全风险评估需求方案 (2).pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 194 浏览量
2022-10-23
15:22:07
上传
评论
收藏 1.12MB PDF 举报
温馨提示
试读
12页
。。。
资源推荐
资源详情
资源评论
信息安全风险评估需求方案
一、项目背景
多年来,天津市财政局(地方税务局)在加快信息化建设和信息系统开发
应用的同时,高度重视信息安全工作,采取了很多防范措施,取得了较好的工
作效果,但同新形势、新任务的要求相比,还存在有许多不相适应的地方。2009
年,国家税务总局和市政府分别对我局信息系统安全情况进行了抽查,在充分
肯定成绩的同时,也指出了我局在信息安全方面存在的问题。通过抽查所暴露
的这些问题,给我们敲响了警钟,也对我局信息安全工作提出了新的更高的要
求。
因此,天津市财政局(地方税务局)在对现有信息安全资源进行整合、整
改的同时,按照国家税务总局信息安全管理规定,结合本单位实际情况确定实
施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、
安全值守、安全培训、应急演练服务等工作内容(以下简称“安全风险评估”),
形成安全
规划、实施、检查、处置
四位一体的长效机制。
二、项目目标
通过开展信息“安全风险评估”, 完善安全管理机制;通过安全服务的引入,
进一步建立健全财税系统安全管理策略,实现安全风险的可知、可控和可管理;
通过建立财税系统信息安全风险评估机制,实现财税系统信息安全风险的动态
跟踪分析,为财税系统信息安全整体规划提供科学的决策依据,进一步加强财
税内部网络的整体安全防护能力,全面提升我局信息系统整体安全防范能力,
极大提高财税系统网络与信息安全管理水平;通过深入挖掘网络与信息系统存
在的脆弱点,并以业务系统为关键要素,对现有的信息安全管理制度和技术措
施的有效性进行评估,不断增强系统的网络和信息系统抵御风险安全风险能力,
促进我局安全管理水平的提高,增强信息安全风险管理意识,培养信息安全专
业人才,为财税系统各项业务提供安全可靠的支撑平台。
三、项目需求
(一)服务要求
1 基本要求
“安全风险评估服务”全过程要求有据可依,并在产品使用有据可查,并保
持项目之后的持续改进。针对用户单位网络中的 IT 设备及应用软件,需要有软
件产品识别所有设备及其安全配置,或以其他方式收集、保存设备明细及安全
配置,进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要
求通过软件或其他形式进行展示。对于风险的处理包括:协助用户制定安全加
固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务,通过安全
产品解决已知的安全风险。在日常安全管理方面提供安全支持服务,并根据国
家及行业标准制定信息安全管理体系,针对安全管理员提供安全培训,遇有可
能的安全事件发生时,提供应急的安全分析、紧急响应服务。
2 安全评估
评估的范围应全面,涉及到网络信息系统的各个方面,包括物理环境、网
络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技
术的应用状况以及管理体系是否完善等等;同时对管理风险、综合安全风险以
及应用系统安全性进行评估;
评估采用专业工具扫描(漏洞扫描、数据库扫描采用产品必须为商业化产
品)、人工评估、渗透测试三种相结合的方式,对各种操作系统进行评估,包
括:帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安
全等;从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪
些威胁,根据应用系统所存在的威胁,来确定需要达到哪些系统安全目标才能
保证应用系统能够抵挡预期的安全威胁。其他评估内容应至少包括以下几方面:
信息探测类
RPC 服务
CGI 问题
域名服务
Windows 远程访问
SQL 注入
后门程序
网络拒绝服务(DOS)
网络设备与防火墙
Web 服务
文件服务
Mail 服务
数据库问题
跨站脚本攻击
其他服务
其他问题
安全评估服务范围应包括但不只限于协助用户完成 2010 年度信息安全专
项检查工作。
3 安全加固
每次对用户单位网络信息系统进行全面评估后应立即制定安全加固方案,
另外如用户单位有紧急需求时可随时安排制定安全加固方案。安全加固方案应
剩余11页未读,继续阅读
资源评论
xxpr_ybgg
- 粉丝: 6520
- 资源: 3万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功