XXX工信厅信息安全服务项目实施技术方案

XX省工信厅安全检查实施方案

XXXX信息安全技术有限公司

2014年11月

XXX信息安全技术有限公司

目录

1. 概述.................................................................................................................. 3

1.1. 项目概述 ............................................................................................... 3 1.2. 实施范围 ............................................................................................... 4 1.3. 实施标准 ............................................................... 错误!未定义书签。 2. 实施细则.......................................................................................................... 6

2.1. 系统差异分析 ....................................................... 错误!未定义书签。 2.2. 安全基线检查 ....................................................................................... 6 2.3. 容灾测试 ............................................................................................... 7 3. 实施计划.......................................................................................................... 7

3.1. 整体计划 ............................................................................................... 7 3.2. 具体流程 ............................................................................................. 11 3.3. 测评方法 ............................................................................................. 12 4. 人员组织........................................................................................................ 13

4.1. 项目组织结构 ..................................................................................... 15 4.2. 人员组成和职责 ................................................................................. 15 5. 项目相关文档................................................................................................ 16

5.1. 项目准备阶段文档 ............................................................................. 16 5.2. 项目方案阶段文档 ............................................................................. 17 5.3. 项目实施阶段文档 ............................................................................. 17 5.4. 项目报告阶段文档 ............................................................................. 18

1

XXX信息安全技术有限公司

5.5. 项目管理类文档 ................................................................................. 18 6. 阶段性文件及负责人.................................................................................... 19 7. 项目预算.......................................................................... 错误!未定义书签。

2

1. 概述 1.1. 项目概述

本项目旨在通过安全检查来提高XX省各省辖市、省直管县（市）、省直各工信部门的政务信息系统的信息安全风险管理能力，为工信系统信息安全防护体系建设和持续改进奠定基础，提高信息安全保障工作水平。依据XX省工信厅的要求，对XX省各地市工信部门的政务系统通过远程监测和现场检查的方式，开展信息安全检查工作。

1.2. 检查内容

XX省工信厅此次开展的信息安全检查工作，包括了管理和技术两个方面。检查不仅包括信息安全管理制度的制定、落实情况，而且对整个部门的信息安全意识、信息安全技术的实施和落实情况进行深入的检查测试。通过此次安全检查，及时发现安全隐患、排除安全隐患。下列是本次安全检查的具体内容：

1) 安全制度落实情况。重点检查信息安全主管领导、管理机构和管理人

员的落实情况，信息安全责任制和保密管理、密码管理、等级保护、重要部门（部位）人员管理等制度的建立和落实情况，信息安全经费保障情况。

2) 安全防范措施落实情况。重点检查身份认证、访问控制、数据加密、

安全审计、责任认定以及防篡改、防病毒、防攻击、访瘫痪、防泄密

XXX信息安全技术有限公司

等技术措施的有效性，以及计算机、移动存储设备、电子文档安全防护措施的落实情况。

3) 应急响应机制建设情况。重点检查应急预案制定、演练、落实情况，

应急技术志愿队伍建设情况，信息安全事故处置情况，以及重要数据和业务系统的备份情况。

4) 信息技术产品和服务国产化情况。重点检查终端计算机、公文处理软

件、信息安全产品等实用国产品牌的情况，信息安全服务外包情况，以及对因特殊原因选用国外信息技术产品和信息安全服务的安全审查情况。

5) 安全教育培训情况。重点检查工作人员参加信息安全教育培训掌握

信息安全常识和技能、重点岗位持证上岗等情况。

6) 安全隐患排查及整改情况。重点检查对安全制度、防范措施、设备设

施等方面存在的漏洞和薄弱环节的排查情况，以及分析产生问题和隐患的原因，研究制定和落实整改措施等情况。

1.3. 实施标准

本次信息安全检查过程以《信息安全等级保护基本要求》为准则，根据XX省工信厅的具体要求，结合各地市的实际情况开展地市信息安全检查。由于整个信息安全检查工作采取远程信息安全渗透测试与现场信息安全检查相结合的方式。针对渗透测试，目前国内外并没有一个标准的文件进行规范。因此，具体的安全检查中的技术要求就非常重要。

4

XXX信息安全技术有限公司

本次安全检查整体分为安全技术类和安全管理类。针对安全技术类的整改具体参考国家相关信息安全标准中针对物理安全、网络安全、主机安全、税务应用软件系统安全、数据安全、密码技术、安全集中管控技术的相关要求进行。针对安全管理类的评估具体参考国家相关信息安全管理规定以及《信息安全等级保护基本要求》ISO27001的相关规定。

1) 《信息技术安全性评估准则》 2) 《信息安全风险评估规范》

3) 《信息系统安全等级保护基本配置》 4) 《信息系统安全管理要求》 5) 《信息安全事件管理指南》 6) 《信息安全事件分类分级指南》 7) 《信息系统安全管理测评》 8) IS027001信息安全管理体系 9) 《信息系统物理安全技术要求》 10) 《服务器安全技术要求》 11) 《操作系统安全技术要求》 12) 《数据库管理系统安全技术要求》 13) 《网络基础安全技术要求》

本次安全检查须严格执行国家标准和XX省工信厅的具体要求，保证检查质量，提供完整、准确、详细、且符合规范的文档资料，遵循现行的相关国家法律法规。

5

XXX信息安全技术有限公司

2. 实施细则 2.1. 测试工具

2.2. 安全基线检查

安全基线是对配置和管理计算机安全的详细描述，也是对测评标准的补充和细化。XXXX信息安全技术有限公司将根据地市的实际情况，结合国家税务部门和中国移动等相关部门的安全基线，综合制定针对地市税务部门的安全基线。

2-2安全基线检查内容

序号 1 类别 网络安全基线 内容 网络设备和安全设备配置细则、拓扑规划要求细则 2 主机安全基线 服务、应用、操作系统组件配置、权限权利分配、管理规程、端口开放配置、协议配置、日志配置等，详细配置则参考具体的操作系统和数据库进行细则规范 整个安全基线检查分为网络安全基线和主机安全基线。针对网络安全基线又分为设备和拓扑两个部分，主机安全基线则针对不同的操作系统和数据库分别制定详细的配置规程。具体的配置规程，包含服务、应用、操作系统组件配置、权限权利分配、管理规程、端口开放配置、协议配置、日志配置等。

6

XXX信息安全技术有限公司

XXXX信息安全技术有限公司的安全基线检查采取工具与手工相结合的方式。安全基线检查的结果与安全测评的标准相重合的地方或有所不同的地方，以安全基线检查为准。安全基线检查作为安全测评工作现场信息采集工作的一部分，检查结果融合到安全测评报告和整改方案中。

2.3. 容灾测试

容灾测试考验一个信息系统备份完整性、可用性，以及整个信息系统管理人员的应急处理能力。因为容灾测试本身对信息系统的影响非常大，所以在进行容灾测试之前，首先要确定整个信息系统的备份及应急处理能力是否准备充分。在切换到备用系统及设备之前，要确保整个信息系统的连续性及稳定性不受影响。

XXXX信息安全技术有限公司综合考虑容灾测试的特点，采取先进行数据备份及容灾的检查，然后进行开会讨论。确保信息系统的备份及应急处理完全到位以后，再进行容灾测试。另一种情况就是采用模拟场景的方式，通过模拟，来提高员工对紧急情况的处理能力和应变能力，也对整个信息系统的容灾备份工作做一个全面的测试。

3. 实施计划 3.1. 整体计划

由于项目涉及XX省整个税务系统，而各地市税务系统有其相似性和差异性，所以整体先按照地市的情况进行分类，然后3个项目组同时开展。公司专家组随时分析各项目组的情况，远程及现场进行总结和指导。实施过程拟包括四个阶段，

7

XXX信息安全技术有限公司

如表3-1所示：

第一阶段（部署动员阶段）：为了保证测评项目的顺利开展，各项目组需要先期对各地地税信息系统进行了解，然后同省地税部分对项目的开展制定周密计划，同时需要保证各地地税部门、各项目组了解所要开展的测评整改工作的工作目标、工作部署、实施步骤等内容。该阶段耗时约5个工作日。

第二阶段（现场测评阶段）：该阶段各项目组按照预定计划开展测评工作，测评工作完成后向省地税汇报测评阶段工作情况。该阶段每个地市现场耗时约5个工作日，汇报总结约需要2个工作日。

第三阶段（测评整改阶段）：该阶段各项目组根据前期的测评工作向各地地税部门提交整改报告，并协助各地地税部门开展整改工作，及时向省地税、公司汇报整改工作进展。该阶段每个地址耗时不少于3个工作日，具体整改情况结合各地地税部门实际情况确定。

第四阶段（总结阶段）：该阶段各项目组根据各地测评、整改情况向公司汇报，由公司完成《XX省税务系统信息安全现状分析及整改》，然后向省地税汇报。该阶段每个地址耗时不少于5个工作日，具体情况结合各地地税部门实际情况确定。

表3-1整体实施计划表

所需时阶段 步骤 对象 间 8

XXX信息安全技术有限公司

1. 信息调研，对各个地市的情况进行大致的了第一阶段 （部署动员阶段） 1 解，制定项目的详细实施流程及渗透方案； 5个工作2. 对地市进行分类（如区域等），选定各地市下日 述的县市，沟通协调后，部署项目任务； 3. 项目组按计划开展现场测评工作。 1. 项目组与地税部分协商确定各地市评估整改工作的具体时间； 2. 项目组通过访谈、检查、测试等方式，完成物理、网络、主机、应用、数据备份及恢复和管5个工作1 理部分的现场评估与确认工作； 日 3. 项目组根据现场情况，依据渗透测试方案，选第二阶段 （现场测评阶段） 取数据包抓取、漏洞扫描、渗透测试接入点； 4. 项目组与管理员沟通，开展工具测试和渗透测试； 1. 将项目现场测试获取的文档、数据等资料整理后通过可靠方式分发至相关人员以及公司专家组； 2 2. 项目组出具《XXX地市安全评估报告》； 3. 项目组长向公司专家组汇报工作。 4. 公司向省地税汇报当地评估情况与进展。 日 2个工作9

XXX信息安全技术有限公司

1. 专家组对各地市的评估报告进行审核，对可疑问题交由项目组进行复查； 2. 项目组制定《XXX地市信息安全建设整改方案》； 4个工作1 3. 项目组协助地市开展可及时进行的安全加固工作。 4. 向省地税汇报当地整改情况与进展。 日 第三阶段 （测评整改阶段） 2 1. 后续持续整改工作，由各项目组跟进。 待定 1、公司开会总结工作，解决遗留问题，总结项目经验； 第四阶段1 （总结阶段） 监统一对问题进行分析，撰写《XX省税务系统信息安全现状分析及整改》； 3、向省地税汇报各地整改情况以及遗留问题处理。 2 1、各项验收工作、持续整改问题等，继续跟踪。 待定 日 2、技术总监组织统一开会讨论整改工作，由技术总5个工作工期预估 共计3个项目组，21个地市。每个项目组需完成7个地市，每个地市现场需要5天+汇报总结2天+整改加固3天，故整 个项目周期为：5+10*7+5=80工作日。 时间工作分配合理，整个项目工期可以控制在四个月之内。 注：以上时间均可进行灵活调整。而整个项目后期的整改工作，配置方面的可以及时整改，但是各地市需要增加的设备及情况不同，整改的周期尚不能完全

10

XXX信息安全技术有限公司

预估。

由于本项目实施阶段由多个项目组同时展开，很多问题可能暂时引而不发。为了避免后续发现问题措手不及，导致项目周期延长等情况，XXXX信息安全技术设立有质量监控进行统一的巡检和评估质量检查，最大程度避免问题，且保证发现问题及时解决，及时通报。

3.2. 具体流程

整个安全评估的流程分为：信息调研、现场数据采集、分项判定、整体分析、报告撰写、整改方案、后期跟踪。

图2-1项目流程图

信息调研：是开展整个工作的前提和基础，是整个安全评估过程有效性的保

11

XXX信息安全技术有限公司

证。本活动的主要任务是掌握被测系统的详细情况，为实施测评做好文档等方面的准备。

现场数据采集：主要通过访谈、检查、测试等方式，完成物理、网络、主机、应用、数据备份及恢复和管理部分的现场签字记录文件。另外，采用抓包工具、漏扫原件、抓屏、渗透测试等工具获取的第一手资料也要整理完成。

分项判定：将现场采集的数据按照《税务系统信息安全等级保护基本要求（试行）》中针对物理安全、网络安全、主机安全、税务应用软件系统安全、数据安全、密码技术、安全集中管控技术的相关要求进行逐项比对判定。

整体分析：综合分析所有分项信息，从整体角度进行互补分析，综合判定信息系统的风险。进一步挖掘信息系统的安全隐患，全面深入的分析信息系统安全风险值。

报告撰写：项目经理撰写安全测评报告，具体模板按照税务部门要求。 整改方案：根据整个安全问题及风险值分析，结合各地市的实际情况，撰写《整改方案》协助地市进行可立即整改工作的进行。

后期跟踪：部分整改工作是需要持续跟进和购买设备的，我方根据地市的整改进度，进行持续跟进。

3.3. 测评方法

安全测评的主要方法有：访谈、检查和测试。 1) 访谈

12

XXX信息安全技术有限公司

访谈是指测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据以证明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样。

2) 检查

检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上，应基本覆盖所有的对象种类（设备、文档、机制等），数量上可以抽样。

3) 测试

测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应，通过查看和分析响应的输出结果，获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上，应基本覆盖不同类型的机制，在数量上可以抽样。

4. 人员组织 4.1. 区域划分

按照项目的整体计划，每个项目组的区域按照地理分布区域进行大致的划分。 下表中将郑州地区及其周边的开封、洛阳、新乡统一列为项目一组，这样分配的目的是，项目一组本着就近原则承担担汇总分析和总结汇报的责任。另外，项目一组也负责协调其它项目组的工作，及时向省直属地税局汇报项目组工作进展。

项目二组和三组根据各地市的情况，会有所调整，在人员上也会有所增加，

13

XXX信息安全技术有限公司

公司根据地市的情况将人员进行调整。由于每个地市至少要选择其中一个县局进行测评，因此在项目前期与省局和市局的沟通协调就非常重要。

另外，项目管理组不仅需要随时指导听取个项目组的工作汇报，而且要跟随项目组去地市进行实地查看，确认评估工作客观真实，评估结果有理有据。质检组主要从项目组提交的文档进行审核，确认文档的完整性、描述的准确性、证据的确凿性、整改建议的可行性。质检组发现问题，要及时纠正，现场数据不完善的要督促项目组重新进行实际情况确认及系统情况测试。

4-1项目组区域分配

项目组 项目组一 区域分配 郑州、郑州新区地方税务局、省直属税务分局、地方税务干部管理学校、开封、洛阳、新乡 项目组二 项目组三 项目管理部 质量监控

安阳、鹤壁、濮阳、焦作、济源、小浪底、许昌 平顶山、漯河、周口、三门峡、驻马店、信阳、南阳 随机抽取地市，每个项目组至少抽取两个 工作地点主要为郑州。 14

XXX信息安全技术有限公司

4.2. 项目组织结构

项目经理配备与下图完全一样项目组织结构，根据系统规模和测评范围的大小，以及测评系统的复杂程序，项目经理会及时对人员数量和专业方向进行调整。

项目管理部 项目经理 质量监控 管理测评组 系统测评组 网络测评组

图3-1 项目组织结构图

4.3. 人员组成和职责

 项目管理部

项目管理部包括技术总监、公司专家技术顾问、项目经理共同组成，主要对项目经理及项目组遇到的问题进行及时的汇总处理，对项目组解决不了的问题，专家组进行开会研究。  项目经理

项目经理的任务就是要对项目过程实行全面的管理，具体体现在对项目目标有一个全局的观点，并组织会议制定计划和报告项目的进展，并对不确定环境下

15

XXX信息安全技术有限公司

不确定问题组织集体讨论决策，在必要的时候进行谈判及解决冲突。

项目经理对服务客户所应承担责任，主要有： 保证项目的目标在实施中前后一致，实现客户的目标； 对各种项目资源进行适当的管理和充分有效的使用；

对客户进行及时有效的沟通，及时商讨项目进展状况，以及对可能发生的问题的预测。  系统测评组

系统测评组的任务是负责项目实施过程中的主机系统、数据库、应用软件的测评工作。  网络组测评

网络测评组的任务是负责项目实施过程中的物理机房、网络设备及安全设备的测评工作。  管理测评组

管理测评组的任务是负责项目实施过程中的用户组织架构、管理体系及具体的管理制度的安全符合性测评工作。

5. 项目相关文档 5.1. 项目准备阶段文档

01- 项目计划书 02- 现场测试授权书 03- 现场接收归还文档清单

16

XXX信息安全技术有限公司

04- 项目组成人员联系单 05- 会议通知 06- 项目会议签到表 07- 项目会议报告 08- 会议记录 09- 管理调研表 10- 系统调研表 11- 网络调研表

5.2. 项目方案阶段文档01- 测评方案 02- 工具测试指导书

5.3. 项目实施阶段文档01- 应用系统测评结果记录表 02- 数据库测评结果记录表 03- 操作系统测评结果记录表 04- 软件系统测评结果记录表 05- 管理测评结果记录表 06- 物理安全测评结果记录表 07- 网络全局测评结果记录表

17

XXX信息安全技术有限公司

08- 网络设备核查结果记录表 09- 测评现场发现问题汇总报告 10- 工具测试操作规章 11- 漏洞扫描结果原始报告 12- 渗透测试过程抓屏及分析

5.4. 项目报告阶段文档

01- XXX地市安全评估报告 02- 漏洞扫描分析报告 03- 渗透测试报告

04- XXX地市信息系统安全建设整改方案

5.5. 项目管理类文档

01- 调研时间安排 02- 现场数据采集时间安排 03- 工作任务安排 04- 项目进度日报 05- 任务追踪 06- 项目工作联系单 07- 文档管理 08- 文件编写要求

18

XXX信息安全技术有限公司

09- 变更控制单 10- 子项目确认单 11- 待办事宜工作表 12- 项目问题反馈记录 13- 项目遗留问题 14- 验收报告

6. 阶段性文件及负责人

表6-1 项目阶段性文档及负责人

文档名称 项目计划书 整体方案 安全评估报告 渗透测试报告 信息系统安全建设整改方案 后续跟踪计划 负责人 项目总监 项目总监 项目经理 项目经理 项目经理 项目经理 审核检查 项目管理部 项目管理部 项目总监 项目总监 项目总监 项目总监 完成时间 7. 渗透测试方案 7.1. 渗透测试概述

渗透测试过程主要依据XXXX信息安全技术有限公司安全专家已经掌握的安全漏洞信息，模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测

19

XXX信息安全技术有限公司

试。这里，所有的渗透测试行为将在客户的书面明确授权和监督下进行。

XXXX信息安全技术有限公司一般在现场信息采集及访谈工作结束以后，会使用工具对被测单位的网络、主机与数据库、应用系统等对象进行可行、可控的漏洞扫描，然后再根据漏扫的结果对整个系统进行有针对性的渗透测试。

7.2. 渗透测试流程

方案制定

XXXX信息安全技术有限公司获取到贵单位的书面授权许可后，才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与被测试单位的项目人员进行交流，并得到被测试单位的认同。

在测试实施之前，XXXX信息安全技术有限公司会做到让被测试单位的相关项目人员对渗透测试过程和风险的知晓，使随后的正式测试流程都在被测试单位相关项目人员的控制下。 信息收集

这包括：操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。可以采用一些商业安全评估系统（如：极光等）；免费的检测工具（NESSUS、Nmap等）进行收集。 测试实施

在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试（如：Web应用），此阶段如果成功的话，可能获得普通权限。

20

XXX信息安全技术有限公司

渗透测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺利完成工程。在获取到普通权限后，尝试由普通权限提升为管理员权限，获得对系统的完全控制权。一旦成功控制一台或多台服务器后，测试人员将利用这些被控制的服务器作为跳板，绕过防火墙或其他安全设备的防护，从而对内网其他服务器和客户端进行进一步的渗透。此过程将循环进行，直到测试完成。最后由渗透测试人员清除中间数据。 报告输出

渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。内容包括：具体的操作步骤描述；响应分析以及最后的安全修复建议。 安全复查

渗透测试完成后，XXXX信息安全技术有限公司协助贵单位对已发现的安全隐患进行修复。修复完成后，XXXX信息安全技术有限公司渗透测试工程师对修复的成果再次进行远程测试复查，对修复的结果进行检验，确保修复结果的有效性。

下图是更为详细的步骤拆分示意图：

21

XXX信息安全技术有限公司

渗透测试流程图

22

XXX信息安全技术有限公司

7.3. 渗透测试的风险规避

在渗透测试过程中，虽然我们会尽量避免做影响正常业务运行的操作，也会实施风险规避的计策，但是由于测试过程变化多端，渗透测试服务仍然有可能对网络、系统运行造成一定不同程度的影响，严重的后果是可能造成服务停止，甚至是宕机。比如渗透人员实施系统权限提升操作时，突遇系统停电，再次重启时可能会出现系统无法启动的故障等。

因此，我们会在渗透测试前与贵单位的相关项目人员详细讨论渗透方案，并采取如下多条策略来规避渗透测试带来的风险： 时间策略：

为减轻渗透测试造成的压力和预备风险排除时间，一般的安排测试时间在业务量不高的时间段。 测试策略：

为了防范测试导致业务的中断，可以不做一些拒绝服务类的测试。非常重要的系统不建议做深入的测试，避免意外崩溃而造成不可挽回的损失；具体测试过程中，最终结果可以由测试人员做推测，而不实施危险的操作步骤加以验证等。 备份策略：

为防范渗透过程中的异常问题，测试的目标系统需要事先做一个完整的数据备份，以便在问题发生后能及时恢复工作。

对于核心业务系统等不可接受可能风险的系统的测试，可以采取对目标副本进行渗透的方式加以实施。这样就需要完整的复制目标系统的环境：硬件平台、操作系统、应用服务、程序软件、业务访问等；然后对该副本再进行渗透测试。

23

XXX信息安全技术有限公司

应急策略：

测试过程中，如果目标系统出现无响应、中断或者崩溃等情况，我们会立即中止渗透测试，并配合被测试单位相关技术人员进行修复处理等。在确认问题、修复系统、防范此故障再重演后，经被测试单位相关项目人员同意才能继续进行其余的测试。 沟通策略：

测试过程中，确定测试人员和被测试单位配合人员的联系方式，便于及时沟通并解决工程中的难点。

8. 整改建设方案 8.1. 方案概述

整改建设方案是在安全评估工作完成以后，根据各地市的情况进行规划的。具体的细则要参考每个地市的情况进行。总体方案将依照《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号)，严格遵循《信息安全等级保护安全建设整改工作指南》各项要求。通过对被测评单位总体信息安全管理和技术方面现状进行全面的分析，制订信息安全建设整改方案。

8.2. 单位信息安全背景

为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和、国家保密局、国家密码管理局、信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》精神，提高税务

24

XXX信息安全技术有限公司

信息系统的信息安全保护能力和水平，维护、社会稳定和公共利益，保障和促进税收信息化建设，各地市税务部门不仅要完成信息安全测评工作，更要通过信息安全测评工作了解信息安全的基本和技术，让信息安全测评工作为税务部门的信息化建设保驾护航。

8.3. 与技术标准依据

整改建设依据以下标准但不限于以下标准： ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢

《中华人民共和国计算机信息系统安全保护条例》（147号令） 《信息安全等级保护管理办法》（工通字[2007]43号） GB 17859—1999《计算机信息系统安全保护等级划分准则》

GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》 《信息安全技术 信息系统安全等级保护测评要求》（国标报批稿） 《信息安全技术 信息系统安全等级保护测评过程指南》（国标报批稿） 《信息系统安全等级测评报告模板（试行）》（公信安[2009]1487号） 《信息安全等级保护安全建设整改工作指导意见》（公信安[2009]429号）

8.4. 当前风险分析

信息系统的风险是指由于系统存在的脆弱性，认为或自然的威胁导致安全事件发生所造成的影响。当前信息系统风险主要表现在设备风险、人员风险、系统风险、数据风险、网络风险和服务风险等6各方面。

信息系统安全风险形成主要来自于外部环境和组织内部的威胁，不同风险各有不同的威胁源，即威胁主体。要建立有效地信息系统风险管理构架，就需要对各方面风险进行辨识和分析，从信息系统脆弱性表现以及影响、威胁等因素寻找

25

XXX信息安全技术有限公司

信息系统各类安全风险的形成原因。

在测评工作结束以后，我们根据信息系统的特点，结合《信息安全技术 信息安全等级保护基本要求》，用专业的风险评估方法，对系统的各个层次进行有针对性的风险分析与评估。

26

8.5. 安全需求分析

通过对的风险分析，找出系统安全现状与等级要求的差距，形成完整准确的按需防御的安全需求，明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据

进行安全分析的前提是认清信息系统的特点；随着信息化建设的不断加强，信息系统从整体上也逐渐分为三个部分：一是用于日常信息交换其他架构交换数据的业务应用系统，；二是承载着自己的Web门户服务应用；三是间数据传输与网络共享的外联网络。针对地税部门本次测评的范围也是围绕着门户网站和内网办公系统，因此，在针对各地市的整改建设方案中，我们也会针对系统，结合测评结果进行安全需求分析。

业务办公系统

首先对于业务应用信息系统，其最终目标是保障业务系统的安全正常运行。因此我们要考虑的问题是：

➢ 病毒扩散：严重威胁着广大终端和HIS业务系统的运行安全。 ➢ 终端运维：因网络规模较大，日常的管理维护工作量繁重。

➢ 终端管理：终端系统管理、防病毒软件检查、外设接口控制、移动存储介

质管理等，防止终端用户的误操作、非法拷贝、系统漏洞、非法程序等行为导致终端自身和应用系统的非正常运行。

XXX信息安全技术有限公司

➢ 数据保密：如何能保障数据共享的同时，实现信息保密是现在普遍面临的

问题。

➢ 业务监控：实时监控业务系统的CPU利用率、磁盘容量、数据库性能等健

康状态，及时发现问题并报警提示，实现7*24小时的无人值守，同时为改善系统的能力提供依据。

➢ 边界访问控制：对办公网安全域进行防护，对办公网与互联网的访问

进行双向控制、对常见攻击行为进行防御。

➢ 带宽管理：合理规划带宽，实现网关式产品的P2P下载和即时聊天等应用

控制，保证正常业务的带宽应用。

➢ 安全管理：管理所有安全设备；对安全设备进行统一管理、状态监控、策

略下发、集中审计。

门户网站

由于门户网站属于开放式的服务，部分单位的门户网站与内网办公又有着物

理联系，因此，针对门户网站，面临的威胁又比业务办公系统更加繁杂，所以我们在考虑到业务办公系统的安全问题之外，还要更加注意以下问题：

➢ 攻击防护：办公网提供对外门户服务，对于门户网站最大的威胁来自于恶

意流量攻击，日益严重的分布式拒绝服务攻击(DDoS)，是目前Web网站面临的首要问题。

➢ 安全接入：对于网上应用业务，提供用户认证，保证业务数据在互联网传

播的安全性与完整性, 确保数据在传输过程中不被改变。

28

XXX信息安全技术有限公司

➢ 非法接入：应用自身信息的敏感性，使得如何外来人员的非法接入显得非

常重要。需通过严格的接入身份认证，防止来自外部的安全威胁。 ➢ 数据完整性：如何能保障数据公开的同时，实现信息完整、不被篡改是目

前网站面临的普遍问题。

8.6. 安全保障总体框架

根据安全需求，进行整体分析，此处我们以信息安全保障总体框架模型PMOT体系为例说明。

图 信息安全PMOT体系模型

根据建议方案的设计原则，协助客户制定总体安全保障体系架构，包括制定

安全策略，结合等级保护基本要求和安全保护特殊要求，来构建客户信息系统的安全技术体系、安全管理体系及安全运维体系，具体内容包括：

● 建立和完善安全策略：最高层次的安全策略文件，阐明安全工作的使命和意愿，定义信息安全工作的总体目标。

● 安全技术体系：安全技术的保障包括网络边界防御、安全通信网络、主机和应用系统安全、检测响应体系、冗余与备份以及安全管理中心。

● 安全管理体系：包括建立安全管理制度，建立和完善信息安全组织架构，规范

29

XXX信息安全技术有限公司

人员管理和系统建设管理。

● 安全运维体系：机房安全，资产及设备安全，网络与系统安全管理、监控和安全管理等。

展开后的等级保护整改与安全建设总体框架如下图所示，从信息安全整体策

略Policy、安全管理体系Management、安全技术体系Technology、安全运维Operation四个层面落实信息安全工作。

8.7. 总体安全策略

信息安全策略是最高管理层对信息安全的期望和承诺的表达，位于整个PMOT信息安全体系的顶层，也是安全管理体系的最高指导方针，明确了信息安全工作总体目标，对技术和管理各方面的安全工作具有通用指导性。信息安全的核心目标包括：保密性、完整性、可用性、可控性、不可否认性、可审计性、可鉴别性七个方面。

确定信息系统的总体安全目标，我们根据被测单位的安全目标，结合等级保

护的特点确定出总体的安全策略。安全策略包含了整个系统建设的方方面面，整体包括：物理设备安全策略、口令安全策略、传输安全策略、网络通信安全（防火墙、IDS、VLAN划分、等）、病毒及恶意代码防护策略、数据存储及备份策略、管理安全策略等。 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和

通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防

30

XXX信息安全技术有限公司

止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄露是物理安全策略的一个主要问题。 口令安全策略

口令安全策略的目的是保护计算机系统、网络服务器、网络设备、应用系统、

数据库等的用户口令，保证口令的统一分发、定期更改、复杂度达标。通过对口令的保存、认证传输等过程的加密和保护，避免口令爆破、口令泄露等问题。

8.8. 安全建设整改技术方案设计

根据整改目标和安全策略提出整改技术方案，将保障体系框架中要求实现的

网络、主机和应用安全落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据，主要内容包括：网络边界护御、安全通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信息安全管理中心。

整个方案的设计首先根据系统目前的现状，在现状的基础上进行整体技术体

系审计和信息安全产品的采购和使用计划。

表 7-1 安全建设整改技术方案需求对应表

安全策略/ 安全需求 网络边界防御 防火墙 防毒墙 31

安全产品 性能指标 产品咨询 备注 XXX信息安全技术有限公司

8.9. 安全建设整改管理体系设计

为满足等保基本要求，应建立和完善安全管理体系，包括：完善安全制度体系、完善安全组织、规范人员管理、规范系统建设管理。 《XXX安全制度管理办法》 《XXX安全方针》

《XXX安全策略管理办法》 《XXX安全体系管理办法》 《XXX培训及教育管理办法》 《XXX安全单位人员安全管理办法》 《XXX安全外包厂商管理制度》 《XXX安全第三方人员安全管理办法》 《XXX安全监控及审计管理办法》 《XXX安全工程实施过程管理制度》 《XXX安全配套设备维护制度》 《XXX安全消防安全工作制度》 《XXX安全机房安防系统工作制度》

32

XXX信息安全技术有限公司

《XXX安全机房出入管理制度》 《XXX安全办公环境安全管理制度》 《XXX安全信息资产管理办法》 《XXX安全生产设备管理办法》 ………

8.10. 信息系统安全产品选型及技术指标建议

信息系统安全产品的选型需根据本身的系统特点进行，下面是摘录我们在给某的产品选型建议的部分内容。具体的信息系统安全产品选型应该根据各地市税务部门的经济状况和系统实际情况相结合。下列是给出一部分格式，以供参考。

建议XXX中，采用主流成熟性的技术和产品，通过使用入侵检测、入侵防御、

安全审计、脆弱性扫描与管理、防火墙边界访问控制及安全管理平台等安全措施，并运用切实的安全控制策略和安全服务手段，为XX网络的安全运行、系统可靠性运行和数据信息安全保密性提供一套安全保障防御体系。 安全需求 。。。 安全产品 产品指标 备注 33

XXX信息安全技术有限公司

8.11. 安全建设整改项目实施计划

安全建设整改项目的实施必须要结合具体的系统和单位情况进行。根据地税项目的特点，及本次安全测评的要求，XXXX信息安全技术有限公司会在各地市测评结束后的三天将地市信息系统中出现的安全配置问题进行统一的整改。后续会根据地市情况，提供详细的安全建设整改实施计划。

8.12. 项目预算

XXXX信息安全技术有限公司的服务以客户为上，在项目预算时，以客户的标准为依据，具体预算以项目实际操作为准。

8.13. 整改后可能存在的其他问题。

信息系统整改后可能出现代码遗留或者部分产品接口不合适等问题，我们坚持以不影响业务的正常运行为前提，为用户进行后期的代码审查、恶意代码检查、安全巡检等服务。具体仍要结合地市的情况进行具体分析。

9. 整改技术方案 9.1 等级化安全保障建议

安全区域和等级划分

面对一个互联、复杂的信息系统，确定好子系统的区域和边界不仅便于管

理，更是对大规模复杂信息系统实施安全保护的有效方法。区分边界和系统，

1

XXX信息安全技术有限公司

首先便于明确防护需求；其次也是划分安全域、设计防护机制的强度、保护等级，进行持续需求分析的基础。

在实际工作中，对系统的安全域划分坚持（1）信息资产价值相近原则；（2）面临的风险相似原则；（3）子系统安全是整体安全体系建设中的一环，系统的划分应满足安全体系整体的要求；（4）系统的划分必须有较强的可实施性，能够与现有的系统业务保持平滑的过渡。

通过分析系统所属类型、所属信息类别、服务范围，了解系统状况，包括系统业务流程和功能模块。 根据《信息系统安全等级保护定级指南》（GBT 22240-2008）确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。

安全体系框架设计

在进行安全体系框架设计时应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统的安全性。同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。

其次根据被评估单位的信息安全建设体系规模和影响对所需的各类安全产品提出具体的要求。必须认真考虑各安全产品的技术水平、可行性、先进性、安全性和稳定性等特点，为信息系统的后续建设奠定良好的技术基础。

第三，单位的信息安全保障建设是一项长期的工程，并非一蹴而就解决所有安全问题。因此，在实际建设过程中要根据实际情况分轻重缓急，分期、分批的进行部署。

最后，要使得信息安全建设发挥最大的功效，除安全产品的部署外还应提供

2

XXX信息安全技术有限公司

细致有效的安全服务。例如根据被评估单位的人员现状，提供信息安全培训服务；根据被评估单位的系统现状及所承载的业务类型，提供运维及安全应急响应服务。通过系统全面的安全服务将安全服务商的专业经验与行业经验相结合，从而最终保障被评估单位信息系统安全稳定的运行。

等级化安全指标体系报告

建议被评估单位网络系统中，采用主流成熟性的技术和产品，通过使用入侵检测、入侵防御、安全审计、脆弱性扫描与管理、防火墙边界访问控制及安全管理平台等安全措施，并运用切实的安全控制策略和安全服务手段，为被评估单位 网络的安全运行、系统可靠性运行和数据信息安全保密性提供一套安全保障防御体系。具体的产品选型等问题，则要根据不同的单位进行选择。

安全体系建设

通过对网络、应用系统、机房环境与设备、数据等面临的风险进行深入的分析，针对各项提出具体的整改措施建议。由于信息安全的木桶原理，因此各项安全措施是互补和相互影响的，所以整体结合具体的测评结果，才能出具详细的安全体系建设。

信息系统安全管理制度

根据《信息安全技术 信息系统安全等级保护基本要求》的要求，列出以下部分相关管理制度内容，具体可根据被测单位实际安全管理情况进行修改。

1) 《XXX安全制度管理办法》

3

XXX信息安全技术有限公司

规定制度的管理机构和职责，制度的分类与分级，制度的制定与版本管理，制度的格式标准和版本管理，制度的审定与发布，制度的执行、监督与评估，制度的修订与废止等。

2) 《XXX安全方针》

主要包含总体信息安全目标，信息安全使命，信息安全体系框架，文档的版本控制等内容。

3) 《XXX安全策略管理办法》

主要对信息安全策略制定的要求及权限以及策略的发布、修改废止、监督与检查等做出规定。

4) 《XXX安全体系管理办法》

主要包括安全体系的建设，安全体系的实施，监督和检查，安全体系的维护和更新等。

5) 《XXX培训及教育管理办法》

主要对信息安全培训的培训内容、培训要求、培训管理办法做出规定。

6) 《XXX安全单位人员安全管理办法》

主要对单位人员录用安全管理规范，单位人员工作调动的安全管理规范，单位人员离职的安全管理规范，对单位人员的安全审计，对单位人员的安全培训及教育，关于信息安全的奖励与考核等。

7) 《XXX安全外包厂商管理制度》

主要对外包厂商的进场、外包单位人员教育培训、施工计划及管理、安全生产管理及消防管理等内容作出规定。

8) 《XXX安全第三方人员安全管理办法》

4

XXX信息安全技术有限公司

主要对第三方人员做出明确定义，对可能存在的风险作出预测，对第三方人员短期访问安全管理和长期访问安全管理作出规定（物理安全、网络访问）。

9) 《XXX安全监控及审计管理办法》

主要包括安全监控及审计管理（工作办法及职责），安全监控的内容（网络监控、主机监控、数据库监控应用系统监控），安全审计与分析的内容（网络安全审计、主机安全审计、数据库安全审计、应用系统安全审计）等。

10) 《XXX安全工程实施过程管理制度》

对工程实施过程的保密要求、工程进度控制、工程质量保证以及工程实施过程中了能出现的风险以及应对措施等做出规定。

11) 《XXX安全配套设备维护制度》

对安全配套设备的分类、维护责任、维护职责等做出规定。 12) 《XXX安全消防安全工作制度》

对有关防火的安全教育培训、安全防火演练，消防器材及设备的管理及维护，定期组织安全检查等做出规定。 13) 《XXX安全机房安防系统工作制度》

确定机房管理的总则、职责分工、机房设备管理、机机房环境管理、机房防火管理等规定。

14) 《XXX安全机房出入管理制度》

确定机房门禁系统管理、机房人员管理等规定。 15) 《XXX安全办公环境安全管理制度》

主要对办公室公共区域，个人办公桌面，计算机使用及管理规定，奖惩等管理制度。

5

XXX信息安全技术有限公司

16) 《XXX安全信息资产管理办法》

对信息资产的分类，信息资产的安全赋值，信息资产信息的维护，信息资产信息的检查，信息资产保护管理，信息资产保护内容等做出规范。 17) 《XXX安全生产设备管理办法》

主要内容有组织和职责，安全要求，报告和处理，监督和检查等。 18) 《XXX安全介质安全管理制度》

对数据介质和可移动存储介质的存放环境、使用过程、送出维修以及销毁过程管理做出规定。

19) 《XXX安全软硬件维护管理制度》

主要包括网络设备、空调和电源的维护，办公设备的维护，业务系统的维护，操作系统的维护等。

20) 《XXX安全系统安全管理办法》

规定了安全审计管理内容和安全防护人员培训管理内容，对各安全设备和网络设备的日志进行规定，并对人员培训的内容、时间等方面做出规定。 21) 《XXX安全网络安全管理制度》

对网络安全日常管理和网络与第三方的互联管理做出规定。 22) 《XXX安全系统与网络访问控制管理制度》

对访问控制策略的制定与管理做出规定。 23) 《XXX安全系统漏洞扫描管理制度》

主要包括人员职责，用户管理和设备管理等内容。 24) 《XXX安全病毒防护管理办法》

对组织和职责、安全要求、病毒相应时限、监督和检查方法等做出规定。

6

XXX信息安全技术有限公司

25) 《XXX安全系统变更管理办法》

主要对系统变更所负责部门的职责分工及工作程序流程等做出规定。 26) 《XXX安全帐号、口令及权限管理办法》

主要对账号权限申请，账号使用规则，账号权限变更，账号权限消除，口令保护策略等做出规定。

27) 《XXX安全备份恢复测试管理办法 》

主要对备份与恢复的策略，备份与恢复的原则，备份的方法，恢复方法等做出指示。

28) 《XXX安全系统问题管理办法》

主要对各类可能发生的事故，各类设备故障，外部入侵问题，各种检测、监控、记录信息等问题管理办法。 29) 《XXX安全应急响应管理办法 》

主要对网络异常流量、网络病毒、网络攻击等事件发生后如何作出应急响应的管理办法。

30) 《XXX安全预警管理办法》

主要包括安全预警的内容，安全预警的管理（病毒类安全预警管理、安全漏洞类预警管理、安全威胁-事件类管理），安全预警后管理（预警后处理、事件发生处理）等。

31) 《XXX安全事件管理办法》

对安全事件给出具体的定义，明确安全职责和安全需求。 32) 《XXX安全制度检查及考核管理办法》

对单位以及各业务系统的安全检查和考核、安全检查和考核的内容及检查范

7

XXX信息安全技术有限公司

围等方面作出规定。

信息系统整改加固方案

把公司之前的加上就可以

8