《中海信托信息安全风险评估及整改项目技术方案》由会员分享,可在线阅读,更多相关《中海信托信息安全风险评估及整改项目技术方案(118页珍藏版)》请在金锄头文库上搜索。
1、目 录1概述351.1项目背景351.2项目目标351.3项目内容361.4项目设计原则371.5项目范围381.6文件和法律法规382天融信对本项目的理解392.1对项目目标的理解392.2对项目特点的理解393项目总体方法与流程413.1概述413.2天融信风险评估方法443.3本项目采用的安全风险评估方法453.4技术难点和关键突破484信息资产调查和赋值504.1信息资产概述504.2信息资产分类504.3保护对象框架564.4资产识别过程584.5信息资产赋值594.6赋值工作操作方法指南645IT设备评估665.1评估的过程665.2评估的方法685.3评估的内容705.4评估的风
2、险和应对726网络设备安全风险评估736.1评估过程描述746.2评估的方法776.3评估的内容786.4评估的风险和应对817应用系统和管理安全风险评估817.1评估过程描述847.2评估方法467.3评估内容477.4风险及应对措施608安全增强与加固618.1安全加固内容628.2安全加固流程649应急响应服务659.1服务目标:659.2服务特点:669.3一般实施流程:669.4流程说明:6610安全解决方案6810.1解决方案设计概述6810.2安全需求分析6810.3安全解决方案设计6911项目组织结构7111.1现场实施阶段,项目组织结构7111.2项目角色和责任7112项目进
3、度计划7412.1项目主要过程时间安排7413项目启动和准备阶段7513.1概述7513.2参加人员7513.3过程描述7513.4需要中海信托配合的工作7513.5输出7614现场实施阶段7614.1资产调查7614.2安全评估(包括漏洞扫描、人工检查等)7714.3渗透测试7914.4安全加固8014.5应急响应服务8115数据分析及报告阶段8315.1概述8315.2过程描述8315.3需要中海信托配合的工作8415.4输出8416项目收尾阶段8416.1概述8416.2过程描述8516.3需要中海信托配合的工作8516.4输出8517售后服务8517.1安全服务技术支持服务8517.2
4、安全服务跟踪服务8517.3天融信安全服务业务关键能力8618项目管理及沟通办法8718.1天融信工程项目管理方法8718.2天融信项目管理遵循的标准8818.3项目沟通办法8819项目风险管理及保密控制9219.1项目风险分析及规避措施9219.2项目的保密控制9420天融信信息安全服务业务介绍9520.1安全服务组织结构图9520.2安全服务业务范围9621项目实施质量保证9821.1项目执行人员的质量职责9821.2天融信安全服务质量保证体系严格贯彻以下过程9822项目验收方式10122.1验收方法确认10222.2验收程序10322.3版本控制10522.4交付件归档办法10623项目
5、分项报价表1071 概述1.1 项目背景近年来,随着信息化技术越来越深入和广泛的应用,信息安全的风险日益加大,国家和各行业主管机构都对防范信息安全风险非常重视。国家信息化领导小组颁发的信息安全等级化保障体系系列标准文件对我国信息安全保障工作做出原则性战略性的规定,要求坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,经过五年左右的努力,基本形成国家信息安全保障体系。2006年起,银监会发布了商业银行内部控制指引,并进一步发出了关于信托投资公司加强内部控制和风险控制的要求。2008年7月,国家财政部和证监会、银监会、保监会等联合发布了企业内部控制基本
6、规范,对企业的内部控制提出了较为具体的要求。为进一步保障银联网络的边界安全,降低信息安全风险,中海信托投资有限公司拟于2009年在业界知名互联网安全服务公司的协助下,对中海信托信息系统实施安全风险管理服务( 包括安全技术和管理评估、互联网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务 ),为中海信托的核心业务系统稳定运行提供安全保障。1.2 项目目标通过实施整体信息安全风险评估服务(包括安全技术和管理评估、互联网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务)提高中海信托信息系统的安全性和可靠性,并在紧急情况下对提供紧急安全事件响应支持,控制并降低来
7、自于互联网的安全风险。通过本次对中海信托网络安全服务项目,可以达到以下主要目标:n 通过安全风险评估,得到中海信托的整体安全现状;n 通过渗透测试和安全技术评估,分析中海信托信息系统存在的各类技术性安全缺陷,并进行整改;n 通过管理体系评估,发现中海信托在风险管理、安全策略和内部控制等方面存在的问题并加以改进;n 通过安全加固和策略体系改进,全方位的提升中海信托的信息安全管理水平。1.3 项目内容本次整体信息安全风险评估项目的内容可以分为几个部分:1.3.1 信息安全风险评估1. 信息资产调查调查和统计中海信托信息系统所包含的信息资产(包含物理环境、终端、网络设备、主机、应用软件、业务系统、数
8、据、人员、标准流程等),明确其现有状况、配置情况和管理情况。如主机系统,需要明确其平台、版本、补丁等基本情况外,还需明确开放端口、服务和进程等配置管理信息。并对所有信息资产按照一定标准进行资产赋值。现有安全系统调查工作包括明确现有安全设备(包括防火墙、防病毒系统、入侵检测系统、安全扫描系统、帐号口令集中管理系统、域控制服务器等)的部署情况和使用情况;同时了解在建网络与信息安全建设项目,使之服从统一部署原则。2. 安全风险评估根据中海信托现有的安全标准规范和业务对安全的要求,分析主机、网络及安全设备面临的威胁,评估现有系统的存在的弱点,明确所有信息系统面临的安全风险和隐患。1.3.2 应用系统渗
9、透测试通过黑客或白客方式对指定的Internet业务系统进行渗透攻击,发现该系统存在的安全隐患,并提出解决措施。1.3.3 信息系统安全加固安全加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在中海信托信息系统的网络层、主机层和应用层等层次建立符合中海信托安全需求的安全状态,并以此作为保证中海信托信息系统安全的起点。1.3.4 安全策略体系整改通过对现有安全体系策略制度的审阅、解读和差距性分析,对现有安全管理制度和内控制度进行改善,使之能够完全符合当前国内相关控制标准的要求,并向相关的国际化标准看齐。1.4 项目设计原则n 符合性原则:符合国家等级化保护体系指出的积极防御、
10、综合防范的方针和等级保护的原则。n 标准性原则:服务方案的设计与实施应依据国内或国际的相关标准进行;n 规范性原则:服务工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;n 可控性原则:方法和过程在双方认可的范围之内,安全服务的进度要按照进度表进度的安排,保证甲方对于服务工作的可控性;n 整体性原则:安全服务的范围和内容整体全面,包括安全涉及的各个层面(应用、系统、网络、管理制度、人员等),避免由于遗漏造成未来的安全隐患;n 最小影响原则:安全服务中的工作尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响;n 保密性原则:对过程数据和结果数据严格保密
11、,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害甲方的行为,否则甲方有权追究乙方的责任。甲方有权要求乙方在服务结束之后销毁所有和本项目有关的数据和文档。1.5 项目范围本项目选择中海信托的核心业务系统作为服务对象。1.6 文件和法律法规国内政策与标准:n 国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号);n 关于开展信息安全风险评估工作的意见2006年1月国家网络与信息安全协调小组;n 关于印发信息安全风险评估指南的通知2006年2月国信办(国信办综20069号);n 商业银行内部控制指引 2006年12月 银监会n 企业内部控制基本规范 2008年7月
12、财政部、证监会、审计署、银监会、保监会国际政策与标准:n ISO/IEC 27001信息安全管理体系标准n COSO/COBIT 内控和信息技术控制框架n ISO/IEC TR 13335 Series, Guidelines for the management of IT Security (CMITS),1996-2001n NIST SP800 Series, Computer Security Special Publications,1991-20052 天融信对本项目的理解2.1 对项目目标的理解安全风险评估工作是中海信托信息安全体系运作体系中风险管理的重要组成部分,通过周期性的
13、安全风险评估工作发现公司的安全现状,为公司安全建设和安全加固提供数据基础。综上所述,本期项目的目标是:通过安全评估的技术手段,尽可能发现和定位中海信托各信息系统存在的安全风险,为安全加固、系统整改及应急响应提供依据和技术指导,降低中海信托整体的安全风险。2.2 对项目特点的理解通过上面对本项目目标的分析,本期深度安全风险评估工作存在如下特点:n 要求高:l 由于中海信托业务的快速增长,对信息安全的要求越来越高,所以要比以前采用更加规范的项目管理要求;l 本次评估的技术深度和广度,都要强于以前的项目及同行业的要求(多个系统的应用分析);l 采用的技术标准,是当前最新、最及时的,相比历史评估工作和
14、同行业类似工作的技术要求是最高的;n 技术与管理并重:l 由于面临的外部威胁的压力和影响力比以往要大很多,所以本次项目更加侧重于通过外部渗透测试的方法,发现从外部的威胁和影响(尤其是从外部Internet进行渗透测试);l 本次项目渗透测试涉及的系统范围更广,而且更深地分析通过“信任关系”发生的渗透,从而发现“木桶原理”中的“最短那块板”;n 更加侧重于应用系统自身特点的安全评估:l 综合分析业务和管理层(数据流,角色权限);应用层(数据库,中间件);系统层(主机操作系统);网络层(网络架构,网络设备),提出的安全风险更加有针对性;l 中海信托各应用系统有不同的特点,在本次项目中要结合不同部门、不同系统特点进行相应的应用系统安全评估;n 更加考虑安全加固和应急响应体系建设的可行性:l 本次项目在实施过程中安排了时间,对发现的问题进行及时地讲解和答疑;l 对发现的问题提出的解决方案,和系统管理员及时沟通,并协助进行讲解和培训,对不能直接解决的,提出综合解决、降低风险的方案。3 项目总体方法与流程3.1 概述风险管理(Risk Management)旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。风险管理是良好管理的一个组成部分,它用一种将损失减小
