银行计算机安全体系解决方案.doc

《银行计算机安全体系解决方案.doc》由会员分享，可在线阅读，更多相关《银行计算机安全体系解决方案.doc（172页珍藏版）》请在三一办公上搜索。

1、文档编号：银行计算机安全体系解决方案Ver 1.0.0.0目录1项目的目的和意义61.1项目的必要性及意义61.2国内外的现状及趋势71.2.1安全管理类81.2.2安全模型类91.2.3项目成果的应用前景112项目目标122.1目标122.1.1项目总体目标122.1.2项目的步骤和阶段目标142.1.2.1农行计算机安全体系的准备152.1.2.2农行计算机安全现状调查和风险评估162.1.2.3农行计算机安全体系策略文件的编写172.1.2.4农行计算机安全体系实施方案的设计182.2主要指标203设计思路与技术路线213.1设计思路213.2技术路线223.2.1研究设计技术路线的选定

2、223.2.2研究设计技术解决方案233.2.3解决关键技术的途径233.2.3.1保护对象框架的建立243.2.3.2安全控制的选择和设计243.3工程化244项目内容254.1总则254.1.1总体理念254.1.1.1安全体系254.1.1.2安全框架模型264.1.1.3保护对象框架304.1.1.4安全等级指标体系354.1.2项目总体流程综述374.1.2.1安全保护对象框架394.1.2.2风险评估414.1.2.3安全需求424.1.2.4安全方针434.1.2.5安全保护需求框架444.1.2.6安全对策464.1.2.7安全对策框架474.1.2.8安全体系设计494.1.

3、2.9安全策略设计504.1.2.10安全解决方案524.2风险评估534.2.1实施过程中双方分工534.2.2XXXX安全风险评估方法论544.2.2.1概述544.2.2.2资产评估604.2.2.3威胁评估724.2.2.4弱点评估814.2.2.5风险评估834.2.3风险评估方案854.2.3.1设备安全评估方法854.2.3.2策略文档评估方法924.2.3.3网络架构、业务流程评估方法概述984.2.4风险评估过程描述1024.2.4.1信息资产的识别1034.2.4.2安全威胁的评估1044.2.4.3安全弱点的评估1054.2.4.4现有安全措施评估1124.2.4.5综合

4、风险分析1134.2.5风险评估过程的双方分工1144.3安全策略制定1144.3.1安全策略概述1144.3.2信息安全策略框架设计1154.3.2.1农行策略结构描述1154.3.3可能需要制定的策略文档清单1184.3.4信息安全策略服务流程描述1194.3.4.1信息安全方针制定1204.3.4.2安全组织管理体系和职责设计1214.3.4.3信息安全标准文档制定1224.3.4.4信息安全操作流程系列文档制定1234.3.4.5信息安全制度和管理办法系列文档制定1244.3.4.6信息安全用户协议系列文档制定1254.4设计解决方案1264.4.1安全需求分析1274.4.2安全解决

5、方案设计1284.4.3安全规划1294.4.4体系的推广1304.4.5维持体系运行1304.4.6内部审核1315项目实施的组织、管理1325.1项目的组织1325.1.1XXXX项目组规划1325.1.2项目角色和责任1325.1.2.1项目经理1325.1.2.2首席顾问1335.1.2.3高级安全顾问1335.1.2.4安全顾问1335.1.2.5QA质量保证师1345.1.2.6客户经理1345.1.2.7金融顾问1345.1.2.8大型主机顾问1345.2项目的管理1355.2.1概述1355.2.1.1XXXX工程项目管理方法1355.2.1.2XXXX项目管理遵循的标准136

6、5.2.2项目沟通1365.2.2.1日常沟通、记录和备忘录1365.2.2.2报告1365.2.2.3会议1375.2.3项目相关培训1405.2.3.1评估前培训1405.2.3.2评估后培训1405.2.4项目实施质量保证1415.2.4.1概述1415.2.4.2项目执行人员的质量职责1415.2.4.3XXXX安全服务质量保证体系严格贯彻以下过程1425.2.5项目验收方式1445.2.5.1验收方法确认1455.2.5.2验收程序1465.2.5.3版本控制1485.2.5.4交付件归档办法1496承担能力说明1496.1单位基本情况1496.1.1XXXX控股有限公司基本情况14

7、96.1.2近两年的财务状况（单位：万元）1506.1.3单位负责人基本情况1516.1.4承担同类研究设计项目及完成情况1516.2承担能力说明1526.2.1与投标项目相关的技术资源、业务背景等情况1526.2.2项目负责人及组成人员情况1536.2.2.1项目经理基本情况1536.2.2.2技术负责人基本情况1556.2.2.3项目人员情况1576.2.3XXXX信息安全业务关键能力1576.2.3.1具备长期履行承诺的能力1576.2.3.2具备持续发展信息安全技术的能力1576.2.3.3具备帮助客户规避安全风险的能力1576.2.3.4提供实时响应的专家服务模式1576.2.3.5

8、具备覆盖全国的售后服务体系1586.2.3.6完善的服务质量管理能力1586.2.4XXXX安全项目成功案例介绍1586.2.4.1国税总局安全咨询项目1587项目进度安排1598项目经费预算及安排1619风险分析及规避措施1629.1系统备份与恢复措施1629.2扫描风险应对措施1629.3风险评估阶段项目一致性的管理及规避措施16310成果列表16310.1评估阶段交付件16310.1.1评估阶段总行交付件16310.1.2评估阶段各分行交付件16410.2策略阶段交付件16410.3方案阶段交付件16511涉及安全保密、技术秘密的保护承诺16612附件16612.1项目负责人简历表166

9、12.2计划从事本项目的主要人员情况表16912.3与本项目相关的技术资源优势17412.4XXXX提供的证明材料1741 项目的目的和意义1.1 项目的必要性及意义中国农业银行是四大国有独资商业银行之一，是中国金融体系的重要组成部分。在国内，中国农业银行网点遍布城乡，资金实力雄厚，服务功能齐全，不仅为广大的百姓和客户所信赖，而且与他们一道取得了长足的共同进步,已成为中国最大的银行之一。在海外，农业银行同样通过自己的努力赢得了良好的信誉，被财富评为世界500强企业之一。其信息化建设发展迅速，全行计算机网点达4.5万多个，联机网点达3.5万余个，各项业务计算机处理覆盖率达93，金额达98。随着农

10、行金融信息化的发展，信息系统已经成为银行赖以生存和发展的基本条件。相应地，银行信息系统的安全问题也越来越突出，银行信息系统的安全问题主要包括两个方面：一是来自外界对银行系统的非法侵入，对信息系统的蓄意破坏和盗窃、篡改信息行为；二是来自银行内部员工故意或无意的对信息系统管理的违反。银行信息系统正在面临着严峻的挑战。银行进行安全建设、加强安全管理已经成为当务之急，其必要性正在随着银行业务和信息系统如下的发展趋势而更加凸出： 银行的关键业务系统层次丰富，操作环节多，风险也相对比较明显； 随着电子银行和中间业务的广泛开展，银行的网络与Internet和其他组织机构的网络互联程度越来越高，使原本相对封闭

11、的网络越来越开放，从而将外部网络的风险引入到银行内部网络； 随着银行业务集中化的趋势，银行业务系统对可靠性和无间断运行的要求也越来越高； 随着WTO的到来和外资银行的进入，银行业竞争日益激烈，新的金融产品不断推出，从而使银行的应用系统处于快速的变化过程中，对银行的安全管理提出了更高的要求。中国国内各家银行也已经开始进行信息安体系建设，其中最主要的措施就是采购了大量安全产品，包括防火墙、入侵检测系统、防病毒和身份认证系统等。这些安全产品在很大程度上提高了银行信息系统的安全水平，对保护银行信息安全起到了一定作用。但是它们并没有从根本上降低安全风险，缓解安全问题，这主要是因为： 信息安全问题从来就不

12、是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的。安全产品的功能相对比较狭窄，往往用于解决一类安全问题，因此仅仅通过部署安全产品很难完全覆盖银行信息安全问题； 信息安全问题不是静态的，它总是随着银行策略、组织架构、信息系统和操作流程的改变而改变。部署安全产品是一种静态的解决办法。一般来说，在产品安装和配置后较长一段时间内，它们都无法动态调整以适应安全问题的变化。所以，银行界的有识之士都意识到应从根本上改变应对信息安全问题的思路，建立更加全面的安全保障体系，在安全产品的辅助下，通过管理手段体系化地保障信息系统安全。1.2 国内外的现状及趋势目前，国际上权威的评估标准是美

13、国国防部发布的“可信计算机系统评估准则TCSEC”彩虹系列标准和欧洲、美国等国家制订的ITSEC准则、CC标准和最近国际标准化组织提出的ISO/IEC 15408信息技术安全评估准则。许多国家都将信息安全定位在国家战略级别。相关标准和文档包括：l 美国国家安全战略l 美国的保护网络空间的国家战略l 美国银行于金融关键基础设施保护战略l 俄罗斯联邦信息安全学说l 欧洲信息与网络安全政策l BS7799/ISO17799l ISO15408/CCl IATF这些标准大致可以分为两种类型。1.2.1 安全管理类安全管理类型的标准主要是通过制订制度和规章来降低安全风险，BS7799是典型的安全管理类标

14、准。1990年，世界经济合作开发组织(OECD)下辖的信息、计算机与通信政策组织开始起草 “信息系统安全指导方针”。1992年，OECD于11月26日正式通过“信息系统安全指导方针”。1993年，英国工业与贸易部(DTI)颁布“信息安全管理事务准则”。1995年，英国制定国家标准BS 7799第一部分：“信息安全管理事务准则”，并提交国际标准组织(ISO)，成为ISO DIS 14980。1996年，BS 7799第一部分提交ISO审议的结果，于1996年2月24日结束6个月的审议后，参与投票的成员国未超过三分之二。1997年，OECD于3月27日公布密码模块指导原则；同年，英国正式开始推动信

15、息安全管理认证先导计划。1998年，英国公布BS 7799第二部分“信息安全管理规范”并成为信息安全管理认证的依据；同年，欧盟于1995年10月公布之“个人资料保护指令，自1998年10月25日起正式生效，要求以适当标准保护个人资料”。1999年，修订后的BS 7799:1999版再度提交ISO审议。2000年，国际标准组织 ISO/IEC JTC SC 27在日本东京 10月21 日通过BS 7799-1，成为 ISO DIS 17799-1，2000年12月1日正式发布。现已有30多家机构通过了信息安全管理体系认证，范围包括：政府机构、银行、保险公司、电信企业、网络公司及许多跨国公司。目前

16、除英国之外，国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS 7799；日本、瑞士、卢森堡表示对BS 7799感兴趣；我国的台湾、香港地区也在推广该标准。值得一提的是：该标准也是目前英国最畅销的标准。BS 7799完全从管理角度制定，并不涉及具体的安全技术，实施不复杂，主要是告诉管理者一些安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理规定一般的单位都可以制定，但要想达到BS 7799的全面性则需要一番努力。BS7799涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供

17、了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。应该说该标准中也还存在一些问题。它认为未经批准查看敏感信息是种威胁，而且是对保密性的违反。但是明确阐述保密性的文件中唯一指明的控制中却没有这种认识。它的4.1.3部分讲到，用户应该签署保密（不泄密）协定，但却没有说阻止非法用户截取（察看）信息。标准中的另一个问题是有关网络存取控制的部分没有提到密码技术。标准中简单讨论了密码技术，但只在有关开发和维护系统应用部分，作为维护高度敏感的数据的一部分。另外，它混淆了知道信息和占有信息的概念。总而言之，BS7799在某些方面可能不全面，但是它仍是目前可以用来达到一定预

18、防标准的最好的指导标准。1.2.2 安全模型类安全模型类标准着重建立信息安全技术体系模型，ISO15408/CC是此类标准的代表。ISO/IEC 15408-1999“信息技术 安全技术 信息技术安全性评估准则”（简称CC），是国际标准化组织统一现有多种评估准则的努力结果，是在美国和欧洲等国分别自行推出并实践测评准则及标准的基础上，通过相互间的总结和互补发展起来的。主要阶段为：l 1985年，美国国防部公布可信计算机系统评估准则（TCSEC）即桔皮书l 1989年，加拿大公布可信计算机产品评估准则（CTCPEC）l 1991年，欧洲公布信息技术安全评估准则（ITSEC）l 1993年，美国公布

19、美国信息技术安全联邦准则（FC）l 1996年，六国七方（英国、加拿大、法国、德国、荷兰、美国国家安全局和美国标准技术研究所）公布信息技术安全性通用评估准则（CC 1.0版）l 1998年，六国七方公布信息技术安全性通用评估准则（CC 2.0版）l 1999年12月，ISO接受CC 2.0版为ISO 15408标准，并正式颁布发行从上面发展可以看出，CC源于TCSEC，但已经完全改进了TCSEC。TCSEC主要是针对操作系统的评估，提出的是安全功能要求，目前仍然可以用于对操作系统的评估。随着信息技术的发展，CC全面地考虑了与信息技术安全性有关的所有因素，以“安全功能要求”和“安全保证要求”的形

20、式提出了这些因素，这些要求也可以用来构建TCSEC的各级要求。CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。功能和保证要求又以“类子类组件”的结构表述，组件作为安全要求的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”的构建，例如由保证组件构成典型的包“评估保证级”。另外，功能组件还是连接CC与传统安全机制和服务的桥梁，以及解决CC同已有准则如TCSEC、ITSEC的协调关系，如功能组件构成TCSEC的各级要求。同BS 7799相比，信息技

21、术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估；系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面，BS 7799的地位是其他标准无法取代的。这两类标准各有利弊。管理类标准，虽然比较容易实施，但比较滞后。在信息技术飞速发展的今天，不能涵盖最新的技术和应用，需要不断的增加新的内容来不断完善。安全模型类方案能够为我们建立完整的信息安全保障体系提供参考，由于其指出是一种理想化的模型，只能在实践中起到指导和参考作用，不可能直接引用。我们认为，建立信息安全保障体系不能

22、只参考任何一类的标准，而应该根据用户的网络现状和用户提出的安全需求，综合使用两类标准，从技术和管理两个维度来考虑，以安全评估为基础，制订安全策略，提出解决方案，来满足用户的安全需求。1.2.3 项目成果的应用前景我国金融系统的信息安全保障体系的建设已经取得了阶段性的成果，但其现有的信息安全保障体系是否能充分满足我国金融行业的安全目标还需要进一步论证。构建我国金融系统信息基础平台设施大量采用了国外的技术和产品，按照这种方式构筑的信息传输、交换和处理平台存在相当的安全漏洞和隐患，在这样的平台上发展金融业务存在比较严重的安全问题。现有的信息安全基础设施和系统安全解决方案大多是通过传统方式如防火墙、入

23、侵检测、漏洞扫描、网络隔离等技术和设备来保障系统的安全。虽然在一定程度上可以满足日常工作和安全保障要求，但各类安全设备都构建于国外的硬件平台和操作系统之上，摆脱不了受限、受制、受控于人的被动局面，这对于我国金融业务信息化的正常发展是非常不利的。究其原因是没有形成针对金融行业的信息安全保障体系架构。XXXX根据本次招标的要求，设计了包括安全评估、安全策略以及解决方案三个主要部分的中国农业银行计算机安全体系解决方案。本方案通过对农行计算机安全问题的研究，参照国际国内安全标准，提出适用于农行实际情况且具有可操作性的整体安全体系。本安全体系着重体系性、整体性、针对性、可操作性，参照国际和国内的安全标准

24、和规范，充分利用成熟的信息安全理论成果。同时具有可审核、等级化的特点，强调本安全体系的前瞻性。为整个安全体系的建设制订了详尽的步骤和阶段目标，在本项目中，农行计算机安全体系的设计过程将经过以下四个基本步骤：l 农行计算机安全体系的准备l 农行计算机安全现状调查和风险评估l 农行计算机安全体系策略文件的编写l 农行计算机安全体系建设方案的设计每一个步骤又进一步细分，并实施严格的项目管理制度。实现从中国农业银行实际情况出发，依据国家有关法律法规，结合信息系统安全出现的新情况和新问题，为设计农行计算机系统完整的安全解决方案，从安全组织、安全管理和安全技术三个方面全面建设计算机安全体系，达到中国农业银

25、行提出“中国农业银行计算机安全体系解决方案”项目的目标。 通过实施本解决方案，可以充分了解农行信息系统的现状、现有信息安全保障系统的作用、发现潜在的信息安全技术隐患和管理漏洞，依据安全评估的结果，制订完善的信息安全策略、提供切实可行的信息安全解决方案，帮助农行建成一个适用于农行，金融行业中一流的信息安全保障体系。2 项目目标2.1 目标2.1.1 项目总体目标本项目的总体目标是通过对农行计算机安全问题的研究，参照国际国内安全标准，设计出适用于农行实际情况且具有可操作性的整体安全体系。 该总体目标包含以下几方面内容：1、 项目的成果体现为一套安全体系实践证明，单纯通过购买安全产品，对提高组织的计

26、算机安全水平是很有限的。这是因为一方面安全产品作为一种技术工具，其作用被片面放大；另一方面许多安全技术仍没有完全成熟。在这种情况下，对待计算机安全问题地科学态度必定是充分利用产品的前提下加强管理，建立一套融制度，流程，组织运作和安全技术的安全体系。中国农业银行总行设立本项目的目的正在于建立一套安全体系，以更有效地提高农行整体计算机安全水平。2、 安全体系必须是整体的计算机安全问题是一个十分复杂的问题，它涵盖了物理安全，平台安全，应用安全和业务安全等。在解决计算机安全问题时，必须整体地加以解决，在任一方面遗漏都可能导致在其他方面的安全措施失效。因此，本项目要求设计的安全体系，必须涉及到计算机安全

27、各个层面的，是一个完整的安全体系。3、 安全体系必须参照国际和国内的安全标准和规范，充分利用成熟的信息安全理论成果目前，国际国内许多安全理论界都作了大量安全体系方面的研究，产生了一系列有关安全体系方面的标准，包括BS7799，IATF，CC，SSE-CMM，计算机信息系统安全等级划分准则等。这些安全体系由于强调其通用性，在实际应用中针对性和全面性不够，无法直接用于农行。但是这些安全理论在一定范围内经过大量实践证明，有很强的生命力。本项目要求设计的安全体系，应在结合农行现实情况的基础上，尽可能利用这些成熟的理论成果，与这些安全标准保持兼容。在上述提到的安全标准中，有一部分提供了认证和测评的方法。

28、因此本项目要求设计的安全体系，应以能够通过这些安全标准为目标。4、 安全体系必须适用于农行本项目要求设计的安全体系，必须针对农行的实际情况设计。一方面，该安全体系应是农行专用的安全体系，能够体现出农行的计算机安全问题不同于其他组织甚至同类银行的特点；另一方面，安全体系又应具有一定的弹性以适应农行众多的分支机构。5、 安全体系必须是可操作的本项目要求设计的安全体系，必须具有很强的可操作性，这种可操作性要求安全体系具有非常详尽的描述，并具备很强的可工程化能力，具体地说，在描述安全对策时，不应是原则性的。在目前，最著名的安全体系是BS7799的ISMS（信息安全管理体系），国内外有很多公司已经开展B

29、S7799的认证咨询服务，该服务主要内容就是帮助企业建立ISMS。但是ISMS侧重于安全管理，在其安全控制列表中，全部是对于企业如何通过管理改善信息安全的指导，而对安全技术的应用过于薄弱。除了BS7799之外，许多政府提供的指南性文件，例如加拿大政府提出的加拿大信息技术安全手册，给组织建立安全体系提供一定的参考。国内外的IT服务提供商和专业安全厂商已经开始根据客户的需要开展体系设计这一咨询业务，其中比较著名的是IBM等。与这些安全服务不同的是，本项目要求设计的安全体系具有以下特点： 可审核、等级化的安全体系。农行分支机构众多，计算机应用水平不一，因此农行要求其安全体系是等级化的，以适应不同的应

30、用环境。农行还要求安全体系是可审核的，以便对其分支机构是否达到相应等级进行评判。 安全体系应具有一定的前瞻性，即要求安全体系考虑到农行今后比较长一段时间内的计算机技术和信息安全技术的发展趋势。2.1.2 项目的步骤和阶段目标与通用安全体系不同的是，农行计算机安全体系在其设计过程中非常强调与农行计算机系统的特点和具体情况的一致性和可操作性。因此，安全体系的设计主要围绕农行计算机安全的实际状况开展，同时参照有关国际国内标准。总体来说，在本项目中，农行计算机安全体系的设计过程将经过以下四个基本步骤，如图所示：（1） 农行计算机安全体系的准备；（2） 农行计算机安全现状调查和风险评估；（3） 农行计算

31、机安全体系策略文件的编写；（4） 农行计算机安全体系建设方案的设计。2.1.2.1 农行计算机安全体系的准备准备阶段主要目标是指做好体系设计和建立之前的各种前期工作。具体包括前期培训、确定适用范围、拟制项目计划与蓝图。 前期培训本项目要求安全体系的设计过程以农行为主，服务商为辅。因此为了使农行参与项目成员了解安全体系的基本原理，掌握安全体系设计过程中各个环节的具有过程，必须在项目前期进行培训。前期培训的具体目标包括：n 项目所有成员对与安全体系相关的理论知识（包括安全标准）的了解。n 项目所有成员对安全体系设计过程的理解。 确定项目范围在本项目中，安全体系的范围总体上涵盖物理环境、网络、系统平

32、台、应用软件和业务等多个层次，为了提高项目实施的质量，必须在项目开始时充分定义项目范围。另外，在项目实施过程中，由于对所有计算机系统进行评估是不现实的，因此必须采用抽样的方式，抽样的具体方案在本阶段明确。确定项目范围的具体目标包括：n 明确项目实施的层次范围；n 确定抽样的方案，确保抽样样本的典型性。 拟制项目计划和蓝图在准备阶段，还必须拟制项目的详细计划和蓝图，尽可能详尽地描述项目的过程和成果形式，充分保证项目的可控性。拟制项目计划和蓝图的具体目标包括：n 拟制项目计划，并通过项目领导小组的审核；n 拟制蓝图，并通过项目领导小组的审核。2.1.2.2 农行计算机安全现状调查和风险评估现状调查

33、和风险评估是建立安全农行计算机安全体系的基础和关键，在整个项目过程中，现状调查和风险评估的工作量占了很大比例，现状调查和风险评估的深度直接影响安全体系能否与农行实际情况相一致且具有可操作性。现状调查和风险评估的主要目标包括对农行计算机系统进行全面的现状调查、建立保护对象框架和根据保护对象框架进行风险评估。 全面的现状调查全面现状调查是本项目十分关键的步骤，现状调查的广度和深度将对保护对象框架的建立和风险评估带来非常十分重要的作用。在全面现状调查中，农行的计算机系统的场所、环境、网络、网络设备、主机、操作系统、数据库、中间件、应用软件、业务流程、管理制度和组织机构将得到全面的调研。全面的现状调查

34、的具体目标包括：n 获得对农行计算机系统的全面了解；n 为建立农行计算机系统保护对象框架模型打下扎实的基础。 建立保护对象框架在本项目中，安全体系的设计思路既采用了“最佳实施”或“安全控制”列表，也采用了安全模型。（参见节3.1）保护对象框架是设计过程中采用的最主要的安全模型，它来源于IATF。建立保护对象框架有助于形成对农行计算机系统完整的视图。采用保护对象框架技术，有助于将风险评估和安全对策框架联系起来，形成对比指纹。建立保护对象框架的具体目标包括：n 准确地获得农行计算机系统安全保护轮廓；n 为风险评估和安全体系建立对比指纹。 风险评估风险评估的目的是了解农行计算机系统的安全现状，以便在

35、安全体系的实施过程进行需求分析和解决方案设计。风险评估过程包括对农行计算机系统的资产安全价值、弱点严重性、威胁可能性和现有安全措施等进行估值，并通过这些因素计算风险值。风险评估的具体目标包括：n 准确地获得农行计算机系统安全现状；n 获得农行计算机系统风险现状，为安全对策框架设计提供依据。2.1.2.3 农行计算机安全体系策略文件的编写安全体系的设计是指根据保护对象框架，设计农行计算机安全对策框架的过程。对策框架由一系列安全控制（或者最佳实施）组成，安全控制由策略、组织、技术手段和运作过程四部分组成，而策略是安全对策的核心部分，因此安全体系策略文件是安全体系的具体反映。策略文件编写阶段的主要目

36、标包括设计农行计算机安全对策框架和编制策略文件。 设计对策框架对策框架是指根据保护对象框架中的安全需求选择安全控制（最佳实施），在对策框架中，每一条安全需求都对应着多条安全控制，这些安全控制使安全体系实现等级化成为可能。由于对策设计是建立在保护对象框架中，因此其整体性得到了保证。设计对策框架的具体目标包括：n 根据保护对象框架中安全需求选择或设计多条安全控制（最佳实施）；n 只选择适用于农行的安全控制，确保对策框架对农行的适用性。 编制策略文件通过编制体系化的策略文件，描述对策框架中的安全控制，并据此制订相应的管理制度、组织规程、使用指南和企业标准等。策略文件是农行安全体系的表现形式。编制策略

37、文件的具体目标包括：n 抽取对策框架中每条安全控制的策略要素，形成安全控制列表；n 对安全控制列表进行相关性分析，并形成一整套策略文件。2.1.2.4 农行计算机安全体系实施方案的设计经过安全体系策略文件编制阶段以后，农行计算机安全体系设计已经完成，但是要在农行建立该安全体系，还必须经过安全体系建立的工程化阶段。而安全体系实施方案设计阶段是对安全体系设计阶段和工程阶段起到承上启下的中间阶段。通过安全体系实施方案的设计，农行计算机安全体系才可能被真正实施。农行计算机安全体系实施方案设计阶段的具体目标包括需求分析、产生总体规划、设计技术实施方案、设计推广过程、设计体系运行方案和设计内部审核过程等。

38、 需求分析需求分析的主要依据是风险评估和对策框架的对比，并结合农行提出其他需要考虑和解决的安全需求（安全需求断言），综合形成安全需求。需求分析帮助农行理解其安全现状与目标之间的差距，并清晰地看到实现安全体系的某一级别还需要作什么。需求分析的结果为规划和安全解决方案设计提供直接依据。需求分析的具体目标包括：n 通过对评估结果和对策框架地对比，获得差距；n 为规划和解决方案设计提供依据。 产生总体规划信息安全发展规划的制定以农行自身的业务发展规划和发展规划为基础，就信息安全的发展趋势给出意见，使得信息安全发展规划能够符合信息安全的发展方向，同时也能够与农行的整体发展规划相吻合。总体规划的具体目标包

39、括：n 制定农行在信息安全方面的长远发展规划。n 通过对农行自有资源的分析，制定出切合实际的发展规划。 设计技术实施方案技术实施方案的制订是以需求分析为基础，对加固、安全技术选型、部署和配置等技术手段用工程化实施方案的形式进行描述，使得农行能够建立其设计好的安全体系。技术实施方案设计的具体目标包括：n 设计工程化实施方案，保障农行实现安全体系的硬件环境； 设计推广过程安全体系的推广以农行实际情况为依据，就安全体系从总行向省分行和地市分行一直到支行和分理处推广提供指导性意见。设计推广过程的具体目标包括：n 提供推广的指导性意见，保证推广过程的有效性。 设计体系运行方案在体系文件编制和技术实施方案

40、设计完成后，本项目还应该设计有关体系运行方案，尤其是包括试运行期中指导性意见。运行方案包括体系文件的发布和宣贯、培训以及问题的收集和纠正。设计体系运行方案的具体目标包括：n 提供体系运行的指导性意见，保证农行计算机安全体系的可用性和可操作性。 设计内部审核过程由于本项目要求设计的安全体系是等级化的，所以为了评估农行的下属分支机构是否达到制订的安全级别，安全体系还应该包括内部审核的过程。审核过程包括审计，现场审核等内容。设计内部审核过程的具体目标包括：n 建立获得审核证据，对分支机构所运行的安全体系等级进行客户评价的准则。2.2 主要指标作为服务项目的成果，农行计算机安全体系总体上需要符合以下指

41、标：1、 标准性尽量参照国际国内标准开展工作是本次安全服务工作的指导原则，并保持对这些标准的兼容，是本次项目主要要求之一。本项目将依据的国内和国际标准包括： ISO 17799 / BS7799 ISO15408/CC ISO 13335 SSE-CMM IATF3.1 计算机信息系统安全等级划分准则 加拿大信息技术安全手册本项目实施过程除了依据相关的国内和国际标准之外，还要参考一些没有成为国际和国内标准，但是已经成为业界事实上标准的一些规范和约定。这些规范和约定包括： CVE公共漏洞和暴露 PMI项目管理方法学2、 整体性在本项目中将通过对农行物理层、平台层、应用层和业务层的全面调研，构建农

42、行的保护对象框架，框架是保证获得农行计算机系统安全轮廓整体性的重要基础。根据保护对象框架，项目还将产生农行对策框架，对策框架由结构化的安全控制（或最佳实施）构成，而每条安全控制都由策略、组织、技术和运作组成，通过这种方法，确保安全体系的整体性。3、 适用性在本项目中安全体系要求对农行具有较高的适用性，这是反映安全体系的指标之一。要求农行计算机安全体系能体现农行不同与其他组织，甚至包括其他银行的特点，同时农行计算机安全体系又能适应于农行各级分支机构，包括省行、地市行和支行等的计算机安全要求。4、 可操作性安全体系的可操作性也是本项目重要指标之一，主要反映两个方面，一是选择可操作的安全控制（最佳实

43、施）；一是设计相应的工程化方案，确保安全体系的推广和落实5、 规范性规范性是衡量安全体系的成熟性和稳定性的重要依据，规范性主要通过以下两个方面衡量：一是将设计的安全体系在某试点分行落实后通过有关标准的认证，例如BS7799，计算机信息系统安全等级划分准则等。另一就是保证规范的项目管理和安全工程，并通过SSE-CMM衡量其成熟度。3 设计思路与技术路线3.1 设计思路近年来，随着计算机技术的迅猛发展，安全的重要性越来越突出。计算机安全市场也非常巨大，产生了大量从事安全产品研制的IT公司，基本形成了防火墙、防病毒、入侵检测、漏洞扫描、VPN、审计、PKI等一系列安全产品。这些产品的出现，极大地提高

44、了组织改善信息安全状况地能力，提高了组织的计算机安全水平，但是这些改善仍没有达到组织理想的目标，病毒、黑客和计算机犯罪依然猖獗，更不幸的是，组织逐渐意识到来自内部的误操作和越权行为给组织带来了更大的威胁，而安全产品在对付这些来自内部的威胁时显得非常不足，这给信息安全的理论界、厂商和用户提出了一系列问题：“信息安全的本质是什么？”“信息安全应该包含哪些范围？”由于这些问题的存在，促使人们开始对安全体系进行研究。一般地，对安全体系的研究主要采用两种思路，一是模型化，它通过将要保护的对象通过模型的方式表达，获取其安全需求；一是“最佳实施”，它通过列举安全控制来构造理想的安去体系。这两种模型都存在着一

45、定的缺陷，模型化思路的主要难点在于完整地表达一个信息系统，尤其是与信息系统相关的管理过程；而最佳实施的主要缺陷是安全控制的不可枚举性，尤其是随着安全技术日益发展，安全控制的更新也是非常快的。鉴于这样一种情况，在本项目设计农行计算机安全体系的过程中，我们将两种思路加以综合，首先借鉴IATF的信息安全保障体系模型构建农行的计算机安全保护对象框架（保护轮廓），然后根据保护对象框架选择或设计所有可行的安全控制，然后进行纵向梳理，产生技术体系和管理体系（策略、组织和运作体系），这些体系构成本次项目所需的安全体系。3.2 技术路线3.2.1 研究设计技术路线的选定就目前国际范围安全理论的发展水平，设计农行

46、计算机安全体系的主要技术路线包括： 直接将标准化的安全体系应用到农行。可直接应用的安全体系包括BS7799的ISMS和IATF等。采用这种技术路线存在的主要问题是安全体系的整体性较差，例如BS7799是纯粹的管理体系，而IATF是一个技术路线。另外这些标准化安全体系对农行的适用性较差，这也会带来推广和落实的障碍。 直接借鉴其他银行的安全体系。就目前而言，国内银行都尚未开始企业安全体系的设计，而国外银行的计算机系统、组织状况都与农行存在着很大的区别，因此借鉴的意义并不明显。 综合标准化的安全体系，通过对农行计算机系统、组织、管理等各方面完整的调研，设计出适用农行实际情况的安全体系。该技术路线需要相对较长的时间和较大的工作量。通过对各种技术路线的对比，我们选择采取第三种技术路线，尽可能保证设计出来的安全体系具有很高的整体性，规范性，适用性和可操作性。