《2020(售后服务)中国农业银行计算机安全体系解决方案咨询服务项目方案(1)》由会员分享,可在线阅读,更多相关《2020(售后服务)中国农业银行计算机安全体系解决方案咨询服务项目方案(1)(221页珍藏版)》请在金锄头文库上搜索。
1、 售后服务 中国农业银 行计算机安全体系解决方 案咨询服务项目方案 文档编号 中国农业银行计算机安全体系解决方案 Ver 1 0 0 0 目录 1项目的目的和意义 6 1 1项目的必要性及意义 6 1 2国内外的现状及趋势 7 1 2 1安全管理类 8 1 2 2安全模型类 9 1 2 3项目成果的应用前景 11 2项目目标 12 2 1目标 12 2 1 1项目总体目标 12 2 1 2项目的步骤和阶段目标 14 2 1 2 1农行计算机安全体系的准备 15 2 1 2 2农行计算机安全现状调查和风险评估 16 2 1 2 3农行计算机安全体系策略文件的编写 17 2 1 2 4农行计算机安
2、全体系实施方案的设计 18 2 2主要指标 20 3设计思路与技术路线 21 3 1设计思路 21 3 2技术路线 22 3 2 1研究设计技术路线的选定 22 3 2 2研究设计技术解决方案 23 3 2 3解决关键技术的途径 23 3 2 3 1保护对象框架的建立 24 3 2 3 2安全控制的选择和设计 24 3 3工程化 24 4项目内容 25 4 1总则 25 4 1 1总体理念 25 4 1 1 1安全体系 25 4 1 1 2安全框架模型 26 4 1 1 3保护对象框架 30 4 1 1 4安全等级指标体系 35 4 1 2项目总体流程综述 37 4 1 2 1安全保护对象框架
3、 39 4 1 2 2风险评估 41 4 1 2 3安全需求 42 4 1 2 4安全方针 43 4 1 2 5安全保护需求框架 44 4 1 2 6安全对策 46 4 1 2 7安全对策框架 47 4 1 2 8安全体系设计 49 4 1 2 9安全策略设计 50 4 1 2 10安全解决方案 52 4 2风险评估 53 4 2 1实施过程中双方分工 53 4 2 2XXXX 安全风险评估方法论 54 4 2 2 1概述 54 4 2 2 2资产评估 60 4 2 2 3威胁评估 72 4 2 2 4弱点评估 81 4 2 2 5风险评估 83 4 2 3风险评估方案 85 4 2 3 1设
4、备安全评估方法 85 4 2 3 2策略文档评估方法 92 4 2 3 3网络架构 业务流程评估方法概述 98 4 2 4风险评估过程描述 102 4 2 4 1信息资产的识别 103 4 2 4 2安全威胁的评估 104 4 2 4 3安全弱点的评估 105 4 2 4 4现有安全措施评估 112 4 2 4 5综合风险分析 113 4 2 5风险评估过程的双方分工 114 4 3安全策略制定 114 4 3 1安全策略概述 114 4 3 2信息安全策略框架设计 115 4 3 2 1农行策略结构描述 115 4 3 3可能需要制定的策略文档清单 118 4 3 4信息安全策略服务流程描述
5、 119 4 3 4 1信息安全方针制定 120 4 3 4 2安全组织管理体系和职责设计 121 4 3 4 3信息安全标准文档制定 122 4 3 4 4信息安全操作流程系列文档制定 123 4 3 4 5信息安全制度和管理办法系列文档制定 124 4 3 4 6信息安全用户协议系列文档制定 125 4 4设计解决方案 126 4 4 1安全需求分析 127 4 4 2安全解决方案设计 128 4 4 3安全规划 129 4 4 4体系的推广 130 4 4 5维持体系运行 130 4 4 6内部审核 131 5项目实施的组织 管理 132 5 1项目的组织 132 5 1 1XXXX 项
6、目组规划 132 5 1 2项目角色和责任 132 5 1 2 1项目经理 132 5 1 2 2首席顾问 133 5 1 2 3高级安全顾问 133 5 1 2 4安全顾问 133 5 1 2 5QA 质量保证师 134 5 1 2 6客户经理 134 5 1 2 7金融顾问 134 5 1 2 8大型主机顾问 134 5 2项目的管理 135 5 2 1概述 135 5 2 1 1XXXX 工程项目管理方法 135 5 2 1 2XXXX 项目管理遵循的标准 136 5 2 2项目沟通 136 5 2 2 1日常沟通 记录和备忘录 136 5 2 2 2报告 136 5 2 2 3会议 1
7、37 5 2 3项目相关培训 140 5 2 3 1评估前培训 140 5 2 3 2评估后培训 140 5 2 4项目实施质量保证 141 5 2 4 1概述 141 5 2 4 2项目执行人员的质量职责 141 5 2 4 3XXXX 安全服务质量保证体系严格贯彻以下过程 142 5 2 5项目验收方式 144 5 2 5 1验收方法确认 145 5 2 5 2验收程序 146 5 2 5 3版本控制 148 5 2 5 4交付件归档办法 149 6承担能力说明 149 6 1单位基本情况 149 6 1 1XXXX 控股有限公司基本情况 149 6 1 2近两年的财务状况 单位 万元 1
8、50 6 1 3单位负责人基本情况 151 6 1 4承担同类研究设计项目及完成情况 151 6 2承担能力说明 152 6 2 1与投标项目相关的技术资源 业务背景等情况 152 6 2 2项目负责人及组成人员情况 153 6 2 2 1项目经理基本情况 153 6 2 2 2技术负责人基本情况 155 6 2 2 3项目人员情况 157 6 2 3XXXX 信息安全业务关键能力 157 6 2 3 1具备长期履行承诺的能力 157 6 2 3 2具备持续发展信息安全技术的能力 157 6 2 3 3具备帮助客户规避安全风险的能力 157 6 2 3 4提供实时响应的专家服务模式 157 6
9、 2 3 5具备覆盖全国的售后服务体系 158 6 2 3 6完善的服务质量管理能力 158 6 2 4XXXX 安全项目成功案例介绍 158 6 2 4 1国税总局安全咨询项目 158 7项目进度安排 159 8项目经费预算及安排 161 9风险分析及规避措施 162 9 1系统备份与恢复措施 162 9 2扫描风险应对措施 162 9 3风险评估阶段项目一致性的管理及规避措施 163 10成果列表 163 10 1评估阶段交付件 163 10 1 1评估阶段总行交付件 163 10 1 2评估阶段各分行交付件 164 10 2策略阶段交付件 164 10 3方案阶段交付件 165 11涉及
10、安全保密 技术秘密的保护承诺 166 12附件 166 12 1项目负责人简历表 166 12 2计划从事本项目的主要人员情况表 169 12 3与本项目相关的技术资源优势 174 12 4XXXX 提供的证明材料 174 1 项目的目的和意义 1 1 项目的必要性及意义 中国农业银行是四大国有独资商业银行之一 是中国金融体系的重要组 成部分 在国内 中国农业银行网点遍布城乡 资金实力雄厚 服务功能齐 全 不仅为广大的百姓和客户所信赖 而且与他们一道取得了长足的共同进 步 已成为中国最大的银行之一 在海外 农业银行同样通过自己的努力赢得 了良好的信誉 被 财富 评为世界 500 强企业之一 其
11、信息化建设发展迅 速 全行计算机网点达 4 5 万多个 联机网点达 3 5 万余个 各项业务计算机 处理覆盖率达 93 金额达 98 随着农行金融信息化的发展 信息系统已经成为银行赖以生存和发展的 基本条件 相应地 银行信息系统的安全问题也越来越突出 银行信息系统 的安全问题主要包括两个方面 一是来自外界对银行系统的非法侵入 对信 息系统的蓄意破坏和盗窃 篡改信息行为 二是来自银行内部员工故意或无 意的对信息系统管理的违反 银行信息系统正在面临着严峻的挑战 银行进行安全建设 加强安全管理已经成为当务之急 其必要性正在随 着银行业务和信息系统如下的发展趋势而更加凸出 银行的关键业务系统层次丰富
12、操作环节多 风险也相对比较明显 随着电子银行和中间业务的广泛开展 银行的网络与 Internet 和其 他组织机构的网络互联程度越来越高 使原本相对封闭的网络越来 越开放 从而将外部网络的风险引入到银行内部网络 随着银行业务集中化的趋势 银行业务系统对可靠性和无间断运行 的要求也越来越高 随着 WTO 的到来和外资银行的进入 银行业竞争日益激烈 新的 金融产品不断推出 从而使银行的应用系统处于快速的变化过程中 对银行的安全管理提出了更高的要求 中国国内各家银行也已经开始进行信息安体系建设 其中最主要的措施 就是采购了大量安全产品 包括防火墙 入侵检测系统 防病毒和身份认证 系统等 这些安全产品
13、在很大程度上提高了银行信息系统的安全水平 对保 护银行信息安全起到了一定作用 但是它们并没有从根本上降低安全风险 缓解安全问题 这主要是因为 信息安全问题从来就不是单纯的技术问题 把防范黑客入侵和病毒 感染理解为信息安全问题的全部是片面的 安全产品的功能相对比 较狭窄 往往用于解决一类安全问题 因此仅仅通过部署安全产品 很难完全覆盖银行信息安全问题 信息安全问题不是静态的 它总是随着银行策略 组织架构 信息 系统和操作流程的改变而改变 部署安全产品是一种静态的解决办 法 一般来说 在产品安装和配置后较长一段时间内 它们都无法 动态调整以适应安全问题的变化 所以 银行界的有识之士都意识到应从根本
14、上改变应对信息安全问题的 思路 建立更加全面的安全保障体系 在安全产品的辅助下 通过管理手段 体系化地保障信息系统安全 1 2 国内外的现状及趋势 目前 国际上权威的评估标准是美国国防部发布的 可信计算机系统评 估准则 TCSEC 彩虹系列标准和欧洲 美国等国家制订的 ITSEC 准则 CC 标准和最近国际标准化组织提出的 ISO IEC 15408 信息技术安全评估准则 许多国家都将信息安全定位在国家战略级别 相关标准和文档包括 美国国家安全战略 美国的 保护网络空间的国家战略 美国银行于金融关键基础设施保护战略 俄罗斯联邦信息安全学说 欧洲信息与网络安全政策 BS7799 ISO17799
15、 ISO15408 CC IATF 这些标准大致可以分为两种类型 1 2 1安全管理类 安全管理类型的标准主要是通过制订制度和规章来降低安全风险 BS7799 是典型的安全管理类标准 1990 年 世界经济合作开发组织 OECD 下辖的信息 计算机与通信政 策组织开始起草 信息系统安全指导方针 1992 年 OECD 于 11 月 26 日正式通过 信息系统安全指导方针 1993 年 英国工业与贸易部 DTI 颁 布 信息安全管理事务准则 1995 年 英国制定国家标准 BS 7799 第一部 分 信息安全管理事务准则 并提交国际标准组织 ISO 成为 ISO DIS 14980 1996 年
16、 BS 7799 第一部分提交 ISO 审议的结果 于 1996 年 2 月 24 日结束 6 个月的审议后 参与投票的成员国未超过三分之二 1997 年 OECD 于 3 月 27 日公布密码模块指导原则 同年 英国正式开始推动信息安 全管理认证先导计划 1998 年 英国公布 BS 7799 第二部分 信息安全管理 规范 并成为信息安全管理认证的依据 同年 欧盟于 1995 年 10 月公布之 个人资料保护指令 自 1998 年 10 月 25 日起正式生效 要求以适当标准 保护个人资料 1999 年 修订后的 BS 7799 1999 版再度提交 ISO 审议 2000 年 国际标准组织 ISO IEC JTC SC 27 在日本东京 10 月 21 日通过 BS 7799 1 成为 ISO DIS 17799 1 2000 年 12 月 1 日正式发布 现已有 30 多家机构通过了信息安全管理体系认证 范围包括 政府机构 银行 保 险公司 电信企业 网络公司及许多跨国公司 目前除英国之外 国际上已 有荷兰 丹麦 挪威 瑞典 芬兰 澳大利亚 新西兰 南非 巴西已同意 使用 BS
