集团化企业信息化风险评估方案.docx

集团安全评估服务项目方案*公司集团风险评估服务项目方案&&&&科技有限公司2013年12月25日目 录第1章.项目需求分析51.1.行业信息化背景51.2.项目背景51.3.安全风险与需求分析6第2章.整体方案设计72.1.设计目标72.2.设计原则72.3.项目范围82.4.参考标准及资料102.4.1.国家信息安全标准、指南102.4.2.国际信息安全标准11第3章.详细方案设计113.1.安全建设目标113.2.安全规划方法123.3.信息安全现状评估分析143.4.制定*公司信息安全战略和总体策略153.5.设计*公司信息安全总体架构15设计*公司信息安全管理体系架构15设计*公司信息安全技术体系架构16制定*公司信息安全建设实施计划163.6.安全服务体系框架173.7.风险评估服务设计193.7.1.风险评估服务原则193.7.2.评估范围及内容203.7.2.1.信息系统的安全性评估203.7.2.2.信息系统的业务应用安全评估项213.7.2.3.安全管理制度及策略评估项223.7.3.评估方式223.7.4.评估技术手段233.7.4.1.专家分析233.7.4.2.工具扫描233.7.4.3.人工评估243.7.4.4.渗透测试253.7.5.风险评估实施263.7.5.1.服务实施流程263.7.5.2.阶段一：准备阶段263.7.5.2.1.项目组织263.7.5.2.2.项目准备283.7.5.2.3.项目启动303.7.5.3.阶段二：识别阶段303.7.5.3.1.资产识别与梳理303.7.5.3.2.威胁识别333.7.5.3.3.脆弱性识别363.7.5.3.4.技术脆弱性识别373.7.5.3.5.安全管理脆弱性识别41系统建设管理433.7.5.3.6.安全措施识别463.7.5.4.阶段三：分析阶段483.7.5.4.1.资产分析483.7.5.4.2.威胁分析503.7.5.4.3.脆弱性分析523.7.5.4.4.综合风险分析543.7.5.4.5.阶段四：风险处置阶段563.7.6.最终交付物58第4章.项目管理及人员组织584.1.项目服务承诺584.2.项目管理方法论594.3.实施人员组织614.3.1.项目组织架构614.3.2.组织架构说明614.3.2.1.项目经理614.3.2.2.质量监督组624.3.2.3.客户经理/客户配合人员624.3.2.4.项目实施组634.4.人员配置644.4.1.项目经理644.4.2.风险评估服务组644.5.人员简历644.6.人员资质684.6.1.CISP证书人员(3人)684.6.2.CISP人员社保证明694.7.人员稳定性和安全性承诺714.8.服务使用设备/工具清单72第5章.项目验收方案725.1.项目验收725.1.1.验收方式725.1.1.1.验收方法确认735.1.1.2.验收方法的确认程序735.1.1.3.审视一般性原则745.2.风险规避措施755.2.1.项目保密工作755.2.2.安全评估风险规避措施755.2.2.1.系统备份与恢复措施755.2.2.2.风险应对措施765.2.3.渗透测试风险规避措施76第6章.公司介绍及服务资质76单位简介76信息安全风险评估服务资质84国家信息安全测评信息安全服务资质证书（安全工程类二级）85国家信息安全测评信息安全服务资质证书（安全开发类一级）86网络安全应急服务支撑单位证书（国家级）87信息安全应急处理服务资质证书88国家信息安全测评授权培训机构资质证书89&&市信息安全服务能力等级证书90信息安全管理体系ISO27001证书91质量管理体系ISO9000认证证书92CMMI2证书93涉及国家秘密的计算机信息系统集成资质证书94计算机信息系统集成资质证书966.1.纳税信用等级证书976.2.银行信用等级证书98第7章.项目实施计划98第8章.项目报价100第1章. 项目需求分析1.1. 行业信息化背景近年来，我国卫生信息化建设步伐加快，按照卫生部制定的标准和规范，以医药企业管理为重点的医药信息化建设取得重要进展；以提高公共卫生服务能力和卫生应急管理水平为主要目标的信息化建设取得长足进步。但长期以来，卫生信息化建设缺乏顶层设计与规划，标准和规范应用滞后，导致信息不能互联互通，信息资源共享程度较低；医药企业数据资源库建设滞后，难以适应当前深化医药卫生体制改革的需要，不能有效满足人民群众的健康保障需求。同时，卫生信息化管理和专业人才缺乏，卫生信息化对卫生事业改革发展的技术支撑作用难以得到充分发挥。中共中央国务院关于深化医药卫生体制改革的意见要求把卫生信息化建设作为保障医药卫生体系有效规范运转的八项措施之一，建立实用共享的医药卫生信息系统，大力推进医药卫生信息化建设，以推进公共卫生、医疗、医保、药品、财务监管信息化建设为着力点，整合资源，加强信息标准化和公共服务信息平台建设，逐步实现统一高效、互联互通。加快推进卫生信息化建设，对于有效落实医改措施，提高医疗卫生服务质量和效率，降低医药费用，促进人人享有基本医疗卫生服务目标的实现具有重要的战略意义。1.2. 项目背景*公司集团公司将信息化建设作为企业战略的重要组成部分，围绕信息集成、资源共享和组织衔接式的集成化供应链管理模式的创新，以“信息化项目群”为载体，全面落实供应链资源一体化整合的战略目标。重点实施了“药品质量安全追踪溯源管理系统”、 以集成化供应链为特征的药事服务综合管理系统及应用示范项目、健康家园模式下的智能医护综合集成关键技术与平台项目等“两化”融合项目等。通过信息化建设和技术创新，培育了企业的自主创新能力，形成自有知识产权，提升了公司的人力资源要素、设备要素、信息要素和组织要素等内生化知识存量，持续改善企业的价值创造功能，并不断提高和优化*公司和关联方之间在供应链体系上的运作效率。1.3. 安全风险与需求分析对于*公司的应用系统，安全风险主要表现在以下几个方面：Ø 主机系统安全风险：信息系统采用的系统与网络存在的一些安全隐患，如操作系统漏洞、数据库系统不合理配置、病毒发作、网络安全控制措施缺陷、系统可用性缺陷等，这些系统与网络的风险可能极大地影响信息系统业务运行的稳定性，致使各项网站业务难以正常开展。Ø 网络架构安全风险：*公司计划将城区的信息中心和子公司的信息机房迁移到位于小行的新信息中心进行集中，小行信息中心机房的网络健壮性和安全性将影响到整个集团信息系统的平稳有效运行。总部与外部节点之前WMS系统的访问也需要考虑各类安全风险，防止外部节点成为整个信息中心的安全薄弱点。Ø 信息系统应用风险：指设计与开发信息系统业务应用时，存在的应用缺陷，而导致业务出现中断或者非正常业务应用操作造成的损失，这类风险包括：应用逻辑错误、输入输出控制缺失、验证失效、应用安全功能缺陷等。Ø 内部管理控制风险：指信息系统安全管理的基本框架、管理机制、策略方法和工作流程还不完善，一些制度策略得不到认真执行，导致内部人员违规操作，给信息系统安全运行造成的风险。Ø 运维管理体系建设：运维管理体系建设涉及到整个集团的信息化安全运行、安全管理。如何建立起有效的运维管理体系不仅涉及到信息化部门，还涉及到各个和信息化相关的部门，同时也涉及到总部与分子公司的安全管理；不权包括技术方面的安全建设，也包括安全管理策略、制度文档的建设，形成一套统一的安全管理措施。第2章. 整体方案设计2.1. 设计目标本项目的设计目标为：通过构建一套全面的风险评估体系，覆盖各类保障对象，管理和协调各类保障组织和队伍，实现安全保障工作的标准化、规范化，确保安全保障工作正常、有序、高效、协调地进行，提升*公司集团安全保障团队的信息化安全保障能力，保障*公司信息系统健康、高效运行。安全保障服务体系由评估、渗透、加固、检查、监控、响应、保障服务以及保障对象几个部分组成，涉及制度、人、技术、对象四类因素。在本项目中，将主要针对*公司集团指定的信息系统进行评估，并着重针对公司管理制度、管理职能方面等安全管理方面的内容进行评估。管理制度是规范安全保障工作的基本保障，也是服务流程建立的基础。安全保障服务组织中的相关人员遵照制度要求和标准化的服务流程，采用先进的安全保障管理手段对各类安全保障对象进行规范化的管理和监控。2.2. 设计原则&&公司在服务整体方案和详细方案设计时，遵循以下一些原则：n 标准性原则评估方案的设计和具体实施都依据国内和国外的相关标准进行及理论模型。n 规范性原则&&信息安全服务及相关安全产品遵守严格的质量控制，通过ISO9001-2000的质量体系认证，同时还获得了国家、行业的多个信息安全资质，可以为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。n 可控性原则评估过程和所使用的工具具有可控性。&&有着丰富的评估工程实践，承担过多项国内大规模的安全服务项目，对于项目管理有丰富的经验。项目所采用的工具都经过多次安全服务项目考验，或者是根据具体要求和组织的具体网络特点定制的，具有很好的可控性。n 整体性原则安全服务从组织的实际需求出发，从业务角度进行评估，而不是局限于网络、主机等单个的安全层面，涉及到安全管理和业务运营，保障整体性和全面性。n 最小影响原则安全服务工作做到充分的计划性，不对现网的运行和业务的正常提供产生显著影响，尽可能小地影响系统和网络的正常运行。n 保密性原则从公司、人员、过程三个方面进行保密控制：l 公司双方签署保密协议，不得利用安全服务中的任何数据进行其他有损甲方利益的用途；l 人员保密，公司内部签订保密协议；l 在安全服务过程中对相关数据严格保密；2.3. 项目范围本项目建设范围主要包含但不限于以下：1、应用系统安全评估：总部7个应用系统（硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等）；2、管理评估：总部管理职能与制度评估。具体服务范围如下表所示：序号服务名称服务范围1. 1OA系统风险评估OA应用系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。2. 2邮件系统风险评估邮件系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。3. 3新、老用友应用系统评估新、老用友应用相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。4. 4财务系统风险评估财务系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。5. 5药事ERP应用风险评估药事ERP应用系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。6.药业虚拟机ERP应用风险评估ERP应用系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。7.国药ERP（奥博克）风险评估远程ERP使用的安全性一般较弱，对于国药ERP系统则需要对各个远程接入点或访问点进行用户连接方式、连接技术、安全账号、数据保密等方面的安全评估。8.基础数据、数据仓库应用风险评估基础数据、数据仓库应用相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。9.人力资源系统风险评估人力资源系统系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。10.公司信息化部门管理职能和管理制度评估公司已有的安全管理策略、管理制度、角色分工、岗位职责、日常工作流程等内容的合规合理性，并提出有针对性的改进意见。 2.4. 参考标准及资料本方案在编制过程中，依据和参考了国内外信息安全方面的相关标准、法规、指南以及行业的相关标准规范，主要包括：2.4.1. 国家信息安全标准、指南n GB/T 209842007信息安全技术 信息安全风险评估规范n GB/T 202742006 信息系统安全保障评估框架n GB/T 19715.12005 信息技术信息技术安全管理指南第1部分：信息技术安全概念和模型n GB/T 19715.22005 信息技术信息技术安全管理指南第2部分：管理和规划信息技术安全n GB/T 197162005 信息技术信息安全管理实用规则n GB/T 183362001 信息技术安全技术信息技术安全性评估准则n 电子政务信息安全等级保护实施指南(试行)（国信办200525号）n GB/T 209882007信息系统灾难恢复规范n GB/Z 209862007信息安全事件分类分级指南n 信息系统安全等级保护定级指南（GB/T 22240-2008）n 信息系统安全等级保护基本要求（GB/T 22239-2008）n 计算机信息系统安全保护等级划分准则（GB 17859-1999）n 信息安全技术信息系统通用安全技术要求（GB/T 20271-2006）n 信息安全技术网络基础安全技术要求（GB/T 20270-2006）n 信息安全技术操作系统安全技术要求（GB/T 20272-2006）n 信息安全技术数据库管理系统安全技术要求（GB/T 20273-2006）n 信息安全技术服务器技术要求、信息安全技术终端计算机系统安全等级技术要求（GA/T 671-2006）n 信息系统安全等级保护实施指南（报批稿）n 信息系统安全等级保护测评指南（报批稿）n 【关于印发信息安全技术信息系统安全等级保护实施指南国家标准报批稿的通知】（信安字200710号）2.4.2. 国际信息安全标准n ISO/IEC 27001:2005信息安全技术 信息系统安全管理要求n ISO/IEC 133351: 2004 信息技术 信息技术安全管理指南 第1部分：信息技术安全概念和模型n ISO/IEC TR 154431: 2005 信息技术安全保障框架 第一部分 概述和框架n ISO/IEC TR 154432: 2005信息技术安全保障框架 第二部分 保障方法n ISO/IEC WD 154433 信息技术安全保障框架 第三部分 保障方法分析n ISO/IEC PDTR 19791: 2004 信息技术 安全技术 运行系统安全评估第3章. 详细方案设计3.1. 安全建设目标Ø 制定信息系统安全3年建设规划根据公司5年规划和IT规划，行业、公司业务发展特点编写3年信息安全建设规划。根据信息安全现状评估阶段的结果，科学地制定安全措施，有效地控制信息安全风险，保证生产运营环境的安全可靠。信息安全体系规划将选择安全技术和管理措施，来解决发现的安全问题并分阶段地设计实施步骤。安全措施的选择除将符合*公司短期内信息安全管理需求之外，还要兼顾中长期业务发展的要求，注重扩充性和应用平台的延展性。Ø 结合等保要求建立信息系统安全保护体系*公司信息系统等保建设的基本思路是：以保护信息系统为核心，严格参考等级保护的思路和标准，从多个层面进行建设，满足*公司信息系统在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求，建成后的保障体系能够符合国家标准，可以为*公司业务的开展提供有力保障。信息安全管理体系建设应符合“突出应用、突出创新、突出解决实际问题”的总体要求，有效提升企业信息安全基础管理水平，满足行业相关制度要求。同时制度体系建设可以结合国内、外先进管理经验，以等保、ISO27000、ITIL系列标准以及国际、国内最佳实践为指导，对*公司内部信息安全策略管理、信息安全体系建设、系统安全建设与管理、系统运行和信息保护等进行信息安全管理咨询，进一步理清和规范相关工作职责、目标和内容，明确开展相关工作的关键标准、管理办法以及技术手段，从而理顺信息安全各要素之间的内在关系，实现*公司信息安全管理水平的整体提升。Ø 建立日常信息安全保护和事件应急服务体系日常信息安全保护体系包括：信息系统安全风险评估和安全加固，只有通过有效的风险评估，才能发掘真正的安全需求，降低安全风险。确定信息安全基线，满足主机、网络、数据库、中间件、软件开发等方面对安全的需求，对新的应用系统进行上线前的安全验收和代码审计，确保新系统不仅仅在可用性上，在安全性上也要达到安全需求，定期进行安全巡检和安全审计，进行安全分析，对信息系统进行开展应急响应和应急演练，确保信息系统在紧急情况下可靠有效运行。3.2. 安全规划方法&&根据多年来为各行各业客户进行安全需求分析和信息安全建设规划的经验，总结出一套企业使命驱动的EA（Enterprise Architecture，即“企业架构”或“业务体系架构”）分析规划方法。如下图示，是&&企业使命驱动的EA分析、规划框架图。&&企业使命驱动的EA分析、规划框架&&企业使命驱动的EA分析规划方法，以企业使命为驱动，分析完成企业使命所对应的IT战略、架构等，从业务架构、信息架构、应用架构和技术架构四个方面，从上往下，深入分析企业的业务战略、组织结构、角色定义和重要的业务流程等，深入分析支撑企业业务的数据和信息以及对应的应用系统，深入分析支撑业务、数据、应用服务部署的基础设施（包括中间件、网络、通信等软硬件），全面透彻地分析企业IT架构在不同层面的脆弱性和所面临的各种威胁与风险，在此基础上，根据不同层面的安全防护需求和特点，为企业进行切合其实际要求的信息安全建设方案设计和规划。如下两图示，分别是&&基于EA的分析方法示意图和&&基于EA的分析、规划过程示意图。&&基于EA的分析方法&&基于EA的分析、规划过程3.3. 信息安全现状评估分析安全评估的目标是全面地分析和了解目前*公司在信息安全方面的现状和问题，帮助*公司相关人员，特别是企业的领导层了解和理解目前业务所面临的风险，以及未来企业发展对安全工作的需求，为*公司制定安全体系总体发展规划打下基础。以国家等级保护建设要求和国际安全标准为依据，结合*公司自身在信息安全服务方面的经验，根据安全评估发现的问题，为*公司提供改进建议，以提升整体信息安全水平。3.4. 制定*公司信息安全战略和总体策略此项工作任务是确定*公司信息安全的远景目标、信息安全建设的原则和总体信息安全战略。总结之前所作研究，根据风险评估和需求分析的结构，结合行业信息安全最佳实践，制定*公司信息安全规划的远景目标。制定未来35 年*公司信息安全建设的发展战略。归纳总结*公司信息安全建设总体方案的设计原则。制定总体信息安全政策，明确信息安全原则，目标和建设思路。与*公司信息安全管理人员和主要业务人员举行研讨会，以便就信息安全建设工作的主要原则达成共识。3.5. 设计*公司信息安全总体架构根据信息安全建设的远景目标和设计原则，制定*公司整体信息安全体系架构，使其能够满足*公司业务发展的战略，能够有效地规避信息安全风险。设计*公司信息安全管理体系架构信息安全管理体系架构的设计和规划将依据国家信息安全等级保护关于管理制度的内容要求和ISO27001 标准，从11 个方面规划*公司的信息安全组织，管理标准制度和日常运行机制，协助*公司安全管理制度的落地和执行，确保建立完善的信息安全管理运行机制。信息安全管理体系规划将关注以下几个领域：安全组织体系框架安全策略、标准和流程体系框架日常的安全运营机制风险管理安全监控安全审计安全响应安全意识教育用户管理设计*公司信息安全技术体系架构有效的信息安全体系架构离不开先进的安全工具和产品的支持，将根据信息安全防御，检测和响应的需求，进行*公司信息系统的安全技术体系规划。目前*公司的安全防护技术主要依赖防火墙，缺乏纵深防御，对应用层安全缺乏检测技术、检测手段、防御措施，在信息系统中，随着攻击技术的发展和网络基础设施的日益完善，攻击理念从“技术炫耀”到谋取利益，针对网络层的攻击相对减少，针对应用层的攻击越来越多，从盗取用户帐号信息用户资料到窃取用户资金，获取经济利益，攻击的目的性和技术手段越来越明显。信息安全技术涉及面非常广，根据&&的企业安全架构设计方法论以及&&在同类企业的经验，安全技术措施的选择和规划将会包括以下几个方面：§ 安全区域划分§ 边界安全（防火墙、VPN、无线网关、网络设备等）§ 身份认证§ 用户身份管理§ 访问控制§ 入侵检测§ 防病毒和恶意代码§ 加密解密§ 安全事件收集与分析§ 安全审计制定*公司信息安全建设实施计划分析*公司信息安全建设现状与远景目标的差距，科学合理的制定*公司未来35 年信息安全建设项目并制定总体实施计划和投资计划。根据*公司信息安全建设的远景目标，分析与信息安全现状之间存在的具体差距。在保护*公司已有投资的前提下，综合考虑成本、风险、实施对组织的影响确定分阶段实施内容。提出未来35 年*公司信息安全建设项目的具体清单。针对信息安全建设项目清单上的项目，制定*公司总体的项目实施计划。针对信息安全建设项目清单上的项目，分析项目的总体经济投入和回报前景。针对信息安全建设项目清单上的项目，分析项目的总体组织和人力资源投入需求。3.6. 安全服务体系框架&&安全服务体系框架图&&安全服务体系框架覆盖了安全事件事前、事中、事后的整个过程，形成一个完整、循环的安全服务体系，不断地完善信息系统的安全性，并不断地提升其安全保障能力。各项安全服务覆盖了安全事件事前、事中、事后的整个过程，他们之间的关联关系如下：1) 事前阶段：事前阶段是一个防微杜渐的阶段，这个阶段服务的目的是寻找技术和管理方面的脆弱性，检查安全制度和策略的执行情况，并根据检查、评估结果进行相应整改，减少安全事件发生的可能性，减轻安全事件发生造成的损失，同时也减少了事后阶段应急响应服务的频率。事前阶段涉及的安全服务有：安全检查服务、风险评估服务、安全加固服务。这三项服务的产出物，能为事中、事后阶段服务提供基础的安全脆弱性现状、安全加固情况，便于事中、事后阶段服务工作的开展。同时，这三项服务内在也有联系，相关产出物能相互利用：安全检查服务涉及的漏洞扫描、安全基线核查、渗透测试、安全策略检测、安全制度核查是风险评估服务的重要方法，是风险评估服务的重要输入内容；而安全检查服务、风险评估服务，是安全加固服务的依据，没有经过安全检查、风险评估，安全加固不可能做到针对性和有效性。2）事中阶段：事中阶段的核心是“监控”，也就是说能够第一时间发现安全事件的发生、发展，做到动态监控，并协助事后阶段的安全服务进行威胁定位和相关分析。再严密的事前防护措施都可能有弱点，所以，事中阶段的服务十分必要，它和事前阶段服务紧密联系，是构成整体服务防御体系的重要组成部分。事中阶段涉及的安全服务有：现场职守监控服务和外网网站远程监控服务。这两者的产出物是事后阶段应急响应服务的重要依据，能够协助应急响应服务进行威胁的定位、事件分析和事后的动态监控等。事中阶段的这两个服务，可以互为补充，一个侧重现场、一个侧重远程，一方面为事件监控进行了双重保障，保障安全事件监控无差漏，另一方面现场和远程紧密配合，可以起到深度监控的功效，起到更好的效果。3）事后阶段：事后阶段安全服务的目的是对已经发生、并被事中阶段监控到的安全事件进行紧急处理，抑制事件的进一步发展，并尽快解决，随后给出相应的分析及补救措施建议。事后阶段涉及的安全服务有：应急响应服务。应急响应的产出物会详细分析安全事件的前因后果，它是事前阶段安全服务体系完善的重要依据，对事前阶段脆弱性的查漏补缺，起到重要的作用。这样，事前、事中、事后形成一个完整、循环的安全服务体系，不断地完善信息系统的安全性，并不断地提升其安全保障能力。3.7. 风险评估服务设计在多年的风险评估服务中，&&参照GB/T 209842007信息安全技术 信息安全风险评估规范，根据自己的工程实践，建立了自己的风险评估模型，描述如下：&&风险评估服务框架图在&&的风险评估模型中，主要包含信息资产，弱点/脆弱性、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性，风险的属性是风险发生的路径。3.7.1. 风险评估服务原则风险评估完全依据GB/T 20984-2007信息安全技术信息安全风险评估规范定义的流程、检查项、检查方法、计算方法和指标设计，并设置指标调整功能，支持用户按照实际行业和业务情况针对检查项、指标、阈值等进行自定义，提供单位内部的风险分析功能。风险评估方法还将遵从*公司系统风险评估工作的相关要求，评估方案、评估方法经用户方同意后，方才执行。3.7.2. 评估范围及内容3.7.2.1. 信息系统的安全性评估系统安全性评估项主要评估信息系统的基础IT系统的安全性，突出对数据通讯安全、操作系统和应用系统安全的评估，包括是否采用了合适的加密技术、合理设计和配置了服务器和防火墙，内部运作系统和数据库是否安全等，以及是否制定了控制和管理修改信息系统的制度和控制程序，并能保证各种修改得到及时测试和审核。具体评估内容如下表所示：评估项评估内容物理安全对信息系统相关的机房、环境等进行评估，重点评估物理环境的安全保护、业务连续性保障设备与设施、物理访问的管理制度以及相关执行情况。主机操作系统安全对信息系统的主机操作系统的安全性进行评估，重点评估系统的冗余备份、用户与权限管理、补丁安装、服务与安全配置情况，对重要服务器与相关的网络设备实施安全检查（两周一次）；在检查服务过程中提供安全检测服务，增强的内容为：漏洞扫描、安全策略定制、系统加固。密钥管理对信息系统的密码技术进行评估，重点评估加密算法体制的安全性、对密钥的生成、存储、保护、备份、恢复、分配、装入、使用、更换、销毁、删除、归档和终止等过程的安全管理信息认证与保密对信息系统的认证与保密进行评估，重点评估认证技术与手段、防钓鱼措施、数字签名与验证（抗抵赖）、实体身份鉴别技术、数据完整性验证，防止篡改和伪造数据等入侵监测机制和报告反应机制对信息系统在入侵监测机制和报告反应机制进行评估，重点评估入侵监测措施、入侵监测策略制定与管理规范的有效性、入侵监测日志分析与报告、对可疑事件或恶意事件的反应机制等信息系统安全评估项及评估内容3.7.2.2. 信息系统的业务应用安全评估项应用安全性评估项主要评估信息系统的业务应用的安全性，评估设计与开发信息系统业务应用的安全管理控制，应用的编码安全性、基本业务逻辑控制以及应用的安全功能、安全配置等。具体评估内容如下表所示：评估项评估内容应用安全规范信息系统的设计与开发、测试与验收、运行与维护的应用生命周期管理过程中的应用安全规范策略以及执行情况应用编码安全性对信息系统的应用开发编码的安全性进行评估，包括输入输出控制、跨站脚本漏洞、注入缺陷、错误处理等。基本信息流逻辑的安全控制对信息系统的基本信息流逻辑的安全控制进行评估，包括各端与信息系统访问过程中的用户身份认证、会话管理业务系统之间的查询、帐号管理等业务逻辑过程的关键安全控制措施应用的安全功能对信息系统应用的安全功能进行评估，包括用户标识与鉴别、错误冻结、各端口信息安全存储、防刷新、多重会话限制、密码安全控件、抗抵赖、剩余信息保护、时间戳、敏感信息加密、安全审计等安全功能应用的安全配置对信息系统的WEB、数据库、中间件等应用的安全配置进行评估检查3.7.2.3. 安全管理制度及策略评估项安全管理策略评估项主要评估有关信息系统的安全策略、规章制度和程序是否存在，这些制度是否得到贯彻执行，是否及时更新，是否能全面覆盖信息系统，具体评估内容如下表所示：评估项评估内容安全策略信息系统在设计与开发、测试与验收、运行与维护、备份与应急、信息安全等方面策略的制定与执行情况。内控制度建设安全和风险管理体系职责、安全监控制度、内部审计制度等的建设与运行情况风险管理状况信息系统安全风险管理政策、职责、规章制度，管理人员配备与培训，风险管理的规章制度与操作规定、程序等的执行情况，业务外包管理制度建设与管理状况，信息系统的主要风险及管理状况系统运行连续性计划保障系统连续运营的设备和系统能力，以及保证系统连续运营的制度安排和执行情况系统运行应急计划信息系统应急制度建设与执行情况，信息系统应急设施设备配备情况，定期、持续性检测与演练情况，以及应对意外事故或外部攻击的能力3.7.3. 评估方式&&将安排安全工程师到*公司公司现场开展信息安全风险评估服务。由于*公司公司的被评估系统可能未统一集中在一处，所以&&将酌情分配人员到现场进行评估。3.7.4. 评估技术手段3.7.4.1. 专家分析对于已有的安全管理制度和策略，由经验丰富的安全专家进行管理方面的风险分析，结合*公司信息系统安全建设现状，指出当前安全规划和安全管理制度存在的不足，并给出安全建议。为了更加深入地了解系统的安全状况，需要从整体和业务上，采用&&根据多年从事安全顾问的经验总结的安全评估检测方法，针对*公司信息系统的体系架构和流程进行多角度、客观、全面和准确的分析，得到系统现有安全状况和可能存在的安全风险。3.7.4.2. 工具扫描采用成熟的扫描工具，对于网络中的服务器、数据库系统，WEB应用系统等进行扫描评估；为了充分了解本项目中各业务系统当前的网络安全现状及其安全威胁，因此需要利用基于各种评估侧面的评估工具对评估对象进行扫描评估，对象包括各类主机系统、网络设备等，扫描评估的结果将作为整个评估内容的一个重要参考依据。n 工具检测评估的原理：扫描评估主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。网络扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描，其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找，并且评估环境与被评估对象在线运行的环境完全一致，能较真实地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁。n 扫描评估的必要性：利用安全扫描评估工具扫描网络中的核心服务器及重要的网络设备，包括服务器、交换机、防火墙等，以对网络设备进行安全漏洞检测和分析，对识别出的能被入侵者利用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险。现代操作系统，应用系统，网络设备代码数量巨大，由成百上千工程师的共同设计编制，很难避免产生安全漏洞。随着及计算机技术的发展，这些系统的功能越来越强大，但配置越来越复杂。面对横跨多种平台、不同版本、不同种类的操作系统和应用系统，系统管理员显得力不从心，经常会造成配置上失误，产生安全问题。系统安全漏洞涉及口令设置、文件权限、账户管理、组管理、系统配置等。基于主机和网络的风险评估技术，主要检查系统本身固有的安全漏洞和系统文件的不安全配置，数据的授权，认证和完整性，并指示用户如何修补漏洞以使系统安全风险降到最小，也就增加了整个网络系统的安全性。n 制定确切的检测评估方案保证：为将扫描评估对信息系统的影响减低到最小，并取得较好的评估效果，在检测之前制定符合实际需要的检测评估方案显得十分重要，方案将从工具选择、评估对象选择、评估时间、评估人员、报告数据形式、系统备份和风险规避和应对等方面来保证扫描评估的可靠运行。n 对现有信息系统资源的影响：网络扫描评估以网络为基础进行，扫描控制台通过网络对被评估对象进行安全评估，因此这种扫描方式主要消耗一定的网络带宽资源，并对被评估的对象消耗很小一部分的网络连接的资源，对于其他的资源没有特殊的要求。实际的使用情况表明，网络扫描对网络资源和被评估系统的资源占用在3%-5%之间，并且可以通过修改、配置一定的扫描策略来使这些资源消耗降低至最小。3.7.4.3. 人工评估在双方确定的情况下，对重要的服务器和网络设备采用人工评估，即安全服务人员登录设备进行相关配置的检查和验证；工具扫描因为其固定的模板，适用的范围，特定的运行环境，以及它的缺乏智能性等诸多因素，因而有着很大的局限性；而人工评估与工具扫描相结合，可以完成许多工具所无法完成的事情，从而得出全面的、客观的评估结果。人工检测评估在本项目中在各服务项目中都会用到，主要是依靠&&公司具有丰富经验的安全专家在各服务项目中通过针对不同的评估对象采用顾问访谈，业务流程了解等方式，对评估对象进行全面的评估。人工检测评估主要有两方面的内容：n 例行项检查：例行项检查是根据&&最新的例行项检查核对表内容，逐项检查系统的各项配置和运行状态。核对表内容根据最新漏洞发现、客户不同的系统和运行环境、以及&&的经验知识库而制定，它主要包括有以下几个方面：ü 系统补丁ü 系统账号ü 文件系统ü 网络及服务ü 系统配置文件ü NFS或其它文件系统共享ü 审计及日志ü 系统备份及恢复ü 应用系统ü 其它n 统计分析与风险预见：统计分析与风险预见是&&人工评估的另一项重要内容，是根据收集的各种资料和检查结果，统计和关联分析，描述当前系统的安全现状，并根据这个现状，分析外在的和潜在的安全风险及威胁。通过对评估结果的统计分析，可以全面了解整个系统的安全现状，对将来采取适合自身情况的安全解决方案具有指导性的意义。3.7.4.4. 渗透测试在整个风险评估的过程中，结合渗透测试的方式发现网络和系统中可能面临的安全威胁和已经存在的系统脆弱性；3.7.5. 风险评估实