银行计算机安全体系解决方案

1、文档编号：文档编号： 银行计算机安全体系解决方案银行计算机安全体系解决方案 ver 1.0.0.0 目录目录 1项目的目的和意义项目的目的和意义.6 1.1项目的必要性及意义.6 1.2国内外的现状及趋势.7 1.2.1安全管理类.8 1.2.2安全模型类.9 1.2.3项目成果的应用前景.11 2项目目标项目目标.12 2.1目标.12 2.1.1项目总体目标.12 2.1.2项目的步骤和阶段目标.14 2.1.2.1农行计算机安全体系的准备.15 2.1.2.2农行计算机安全现状调查和风险评估.16 2.1.2.3农行计算机安全体系策略文件的编写.17 2.1.2.4农行计算机安全体系实施

2、方案的设计.18 2.2主要指标.20 3设计思路与技术路线设计思路与技术路线.21 3.1设计思路.21 3.2技术路线.22 3.2.1研究设计技术路线的选定.22 3.2.2研究设计技术解决方案.23 3.2.3解决关键技术的途径.23 3.2.3.1保护对象框架的建立.24 3.2.3.2安全控制的选择和设计.24 3.3工程化.24 4项目内容项目内容.25 4.1总则.25 4.1.1总体理念.25 4.1.1.1安全体系.25 4.1.1.2安全框架模型.26 4.1.1.3保护对象框架.30 4.1.1.4安全等级指标体系.35 4.1.2项目总体流程综述.37 4.1.2.1

3、安全保护对象框架.39 4.1.2.2风险评估.41 4.1.2.3安全需求.42 4.1.2.4安全方针.43 4.1.2.5安全保护需求框架.44 4.1.2.6安全对策.46 4.1.2.7安全对策框架.47 4.1.2.8安全体系设计.49 4.1.2.9安全策略设计.50 4.1.2.10安全解决方案.52 4.2风险评估.53 4.2.1实施过程中双方分工.53 4.2.2xxxx安全风险评估方法论.54 4.2.2.1概述.54 4.2.2.2资产评估.60 4.2.2.3威胁评估.72 4.2.2.4弱点评估.81 4.2.2.5风险评估.83 4.2.3风险评估方案.85 4

4、.2.3.1设备安全评估方法.85 4.2.3.2策略文档评估方法.92 4.2.3.3网络架构、业务流程评估方法概述.98 4.2.4风险评估过程描述.102 4.2.4.1信息资产的识别.103 4.2.4.2安全威胁的评估.104 4.2.4.3安全弱点的评估.105 4.2.4.4现有安全措施评估.112 4.2.4.5综合风险分析.113 4.2.5风险评估过程的双方分工.114 4.3安全策略制定.114 4.3.1安全策略概述.114 4.3.2信息安全策略框架设计.115 4.3.2.1农行策略结构描述.115 4.3.3可能需要制定的策略文档清单.118 4.3.4信息安全策

5、略服务流程描述.119 4.3.4.1信息安全方针制定.120 4.3.4.2安全组织管理体系和职责设计.121 4.3.4.3信息安全标准文档制定.122 4.3.4.4信息安全操作流程系列文档制定.123 4.3.4.5信息安全制度和管理办法系列文档制定.124 4.3.4.6信息安全用户协议系列文档制定.125 4.4设计解决方案.126 4.4.1安全需求分析.127 4.4.2安全解决方案设计.128 4.4.3安全规划.129 4.4.4体系的推广.130 4.4.5维持体系运行.130 4.4.6内部审核.131 5项目实施的组织、管理项目实施的组织、管理.132 5.1项目的组

6、织.132 5.1.1xxxx项目组规划.132 5.1.2项目角色和责任.132 5.1.2.1项目经理.132 5.1.2.2首席顾问.133 5.1.2.3高级安全顾问.133 5.1.2.4安全顾问.133 5.1.2.5qa 质量保证师.134 5.1.2.6客户经理.134 5.1.2.7金融顾问.134 5.1.2.8大型主机顾问.134 5.2项目的管理.135 5.2.1概述.135 5.2.1.1xxxx 工程项目管理方法.135 5.2.1.2xxxx 项目管理遵循的标准.136 5.2.2项目沟通.136 5.2.2.1日常沟通、记录和备忘录.136 5.2.2.2报告

7、.136 5.2.2.3会议.137 5.2.3项目相关培训.140 5.2.3.1评估前培训.140 5.2.3.2评估后培训.140 5.2.4项目实施质量保证.141 5.2.4.1概述.141 5.2.4.2项目执行人员的质量职责.141 5.2.4.3xxxx 安全服务质量保证体系严格贯彻以下过程.142 5.2.5项目验收方式.144 5.2.5.1验收方法确认.145 5.2.5.2验收程序.146 5.2.5.3版本控制.148 5.2.5.4交付件归档办法.149 6承担能力说明承担能力说明.149 6.1单位基本情况.149 6.1.1xxxx控股有限公司基本情况.149

8、6.1.2近两年的财务状况（单位：万元）.150 6.1.3单位负责人基本情况.151 6.1.4承担同类研究设计项目及完成情况.151 6.2承担能力说明.152 6.2.1与投标项目相关的技术资源、业务背景等情况.152 6.2.2项目负责人及组成人员情况.153 6.2.2.1项目经理基本情况.153 6.2.2.2技术负责人基本情况.155 6.2.2.3项目人员情况.157 6.2.3xxxx信息安全业务关键能力.157 6.2.3.1具备长期履行承诺的能力.157 6.2.3.2具备持续发展信息安全技术的能力.157 6.2.3.3具备帮助客户规避安全风险的能力.157 6.2.3

9、.4提供实时响应的专家服务模式.157 6.2.3.5具备覆盖全国的售后服务体系.158 6.2.3.6完善的服务质量管理能力.158 6.2.4xxxx安全项目成功案例介绍.158 6.2.4.1国税总局安全咨询项目.158 7项目进度安排项目进度安排.159 8项目经费预算及安排项目经费预算及安排.161 9风险分析及规避措施风险分析及规避措施.162 9.1系统备份与恢复措施.162 9.2扫描风险应对措施.162 9.3风险评估阶段项目一致性的管理及规避措施.163 10成果列表成果列表.163 10.1评估阶段交付件.163 10.1.1评估阶段总行交付件.163 10.1.2评估阶

10、段各分行交付件.164 10.2策略阶段交付件.164 10.3方案阶段交付件.165 11涉及安全保密、技术秘密的保护承诺涉及安全保密、技术秘密的保护承诺.166 12附件附件.166 12.1项目负责人简历表.166 12.2计划从事本项目的主要人员情况表.169 12.3与本项目相关的技术资源优势.174 12.4xxxx 提供的证明材料.174 1 项目的目的和意义项目的目的和意义 1.11.1 项目的必要性及意义项目的必要性及意义 中国农业银行是四大国有独资商业银行之一，是中国金融体系的重要组 成部分。在国内，中国农业银行网点遍布城乡，资金实力雄厚，服务功能齐 全，不仅为广大的百姓和

11、客户所信赖，而且与他们一道取得了长足的共同进 步,已成为中国最大的银行之一。在海外，农业银行同样通过自己的努力赢得 了良好的信誉，被财富评为世界 500 强企业之一。其信息化建设发展迅 速，全行计算机网点达 4.5 万多个，联机网点达 3.5 万余个，各项业务计算 机处理覆盖率达 93，金额达 98。 随着农行金融信息化的发展，信息系统已经成为银行赖以生存和发展的 基本条件。相应地，银行信息系统的安全问题也越来越突出，银行信息系统 的安全问题主要包括两个方面：一是来自外界对银行系统的非法侵入，对信 息系统的蓄意破坏和盗窃、篡改信息行为；二是来自银行内部员工故意或无 意的对信息系统管理的违反。银

12、行信息系统正在面临着严峻的挑战。 银行进行安全建设、加强安全管理已经成为当务之急，其必要性正在随 着银行业务和信息系统如下的发展趋势而更加凸出： 银行的关键业务系统层次丰富，操作环节多，风险也相对比较明显； 随着电子银行和中间业务的广泛开展，银行的网络与 internet 和其 他组织机构的网络互联程度越来越高，使原本相对封闭的网络越来 越开放，从而将外部网络的风险引入到银行内部网络； 随着银行业务集中化的趋势，银行业务系统对可靠性和无间断运行 的要求也越来越高； 随着 wto 的到来和外资银行的进入，银行业竞争日益激烈，新的金 融产品不断推出，从而使银行的应用系统处于快速的变化过程中， 对银

13、行的安全管理提出了更高的要求。 中国国内各家银行也已经开始进行信息安体系建设，其中最主要的措施 就是采购了大量安全产品，包括防火墙、入侵检测系统、防病毒和身份认证 系统等。这些安全产品在很大程度上提高了银行信息系统的安全水平，对保 护银行信息安全起到了一定作用。但是它们并没有从根本上降低安全风险， 缓解安全问题，这主要是因为： 信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒 感染理解为信息安全问题的全部是片面的。安全产品的功能相对比 较狭窄，往往用于解决一类安全问题，因此仅仅通过部署安全产品 很难完全覆盖银行信息安全问题； 信息安全问题不是静态的，它总是随着银行策略、组织架构、信息

14、 系统和操作流程的改变而改变。部署安全产品是一种静态的解决办 法。一般来说，在产品安装和配置后较长一段时间内，它们都无法 动态调整以适应安全问题的变化。 所以，银行界的有识之士都意识到应从根本上改变应对信息安全问题的 思路，建立更加全面的安全保障体系，在安全产品的辅助下，通过管理手段 体系化地保障信息系统安全。 1.21.2 国内外的现状及趋势国内外的现状及趋势 目前，国际上权威的评估标准是美国国防部发布的“可信计算机系统评 估准则 tcsec”彩虹系列标准和欧洲、美国等国家制订的 itsec 准则、cc 标准和最近国际标准化组织提出的 iso/iec 15408 信息技术安全评估准则。 许多

15、国家都将信息安全定位在国家战略级别。相关标准和文档包括： 美国国家安全战略 美国的保护网络空间的国家战略 美国银行于金融关键基础设施保护战略 俄罗斯联邦信息安全学说 欧洲信息与网络安全政策 bs7799/iso17799 iso15408/cc iatf 这些标准大致可以分为两种类型。 1.2.1 安全管理类安全管理类 安全管理类型的标准主要是通过制订制度和规章来降低安全风险， bs7799 是典型的安全管理类标准。 1990 年，世界经济合作开发组织(oecd)下辖的信息、计算机与通信政策 组织开始起草 “信息系统安全指导方针” 。1992 年，oecd 于 11 月 26 日正式 通过“信

16、息系统安全指导方针” 。1993 年，英国工业与贸易部(dti)颁布“信 息安全管理事务准则” 。1995 年，英国制定国家标准 bs 7799 第一部分：“信 息安全管理事务准则” ，并提交国际标准组织(iso)，成为 iso dis 14980。1996 年，bs 7799 第一部分提交 iso 审议的结果，于 1996 年 2 月 24 日结束 6 个月的审议后，参与投票的成员国未超过三分之二。1997 年，oecd 于 3 月 27 日公布密码模块指导原则；同年，英国正式开始推动信息安全管理 认证先导计划。1998 年，英国公布 bs 7799 第二部分“信息安全管理规范” 并成为信息

17、安全管理认证的依据；同年，欧盟于 1995 年 10 月公布之“个人 资料保护指令，自 1998 年 10 月 25 日起正式生效，要求以适当标准保护个人 资料” 。1999 年，修订后的 bs 7799:1999 版再度提交 iso 审议。2000 年，国 际标准组织 iso/iec jtc sc 27 在日本东京 10 月 21 日通过 bs 7799-1，成 为 iso dis 17799-1，2000 年 12 月 1 日正式发布。现已有 30 多家机构通过 了信息安全管理体系认证，范围包括：政府机构、银行、保险公司、电信企 业、网络公司及许多跨国公司。目前除英国之外，国际上已有荷兰、

18、丹麦、 挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用 bs 7799；日 本、瑞士、卢森堡表示对 bs 7799 感兴趣；我国的台湾、香港地区也在推广 该标准。值得一提的是：该标准也是目前英国最畅销的标准。 bs 7799 完全从管理角度制定，并不涉及具体的安全技术，实施不复杂， 主要是告诉管理者一些安全管理的注意事项和安全制度，例如磁盘文件交换 和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易 理解的问题。这些管理规定一般的单位都可以制定，但要想达到 bs 7799 的 全面性则需要一番努力。bs7799 涵盖了安全管理所应涉及的方方面面，全面 而不失可操作性，

19、提供了一个可持续提高的信息安全管理环境。推广信息安 全管理标准的关键在重视程度和制度落实方面。 应该说该标准中也还存在一些问题。它认为未经批准查看敏感信息是种 威胁，而且是对保密性的违反。但是明确阐述保密性的文件中唯一指明的控 制中却没有这种认识。它的 4.1.3 部分讲到，用户应该签署保密（不泄密） 协定，但却没有说阻止非法用户截取（察看）信息。标准中的另一个问题是 有关网络存取控制的部分没有提到密码技术。标准中简单讨论了密码技术， 但只在有关开发和维护系统应用部分，作为维护高度敏感的数据的一部分。 另外，它混淆了知道信息和占有信息的概念。 总而言之，bs7799 在某些方面可能不全面，但是

20、它仍是目前可以用来达 到一定预防标准的最好的指导标准。 1.2.2 安全模型类安全模型类 安全模型类标准着重建立信息安全技术体系模型，iso15408/cc 是此类 标准的代表。 iso/iec 15408-1999“信息技术 安全技术 信息技术安全性评估准则” （简称 cc） ，是国际标准化组织统一现有多种评估准则的努力结果，是在美国 和欧洲等国分别自行推出并实践测评准则及标准的基础上，通过相互间的总 结和互补发展起来的。主要阶段为： 1985 年，美国国防部公布可信计算机系统评估准则 （tcsec）即 桔皮书 1989 年，加拿大公布可信计算机产品评估准则 （ctcpec） 1991 年，

21、欧洲公布信息技术安全评估准则 （itsec） 1993 年，美国公布美国信息技术安全联邦准则 （fc） 1996 年，六国七方（英国、加拿大、法国、德国、荷兰、美国国家 安全局和美国标准技术研究所）公布信息技术安全性通用评估准则 （cc 1.0 版） 1998 年，六国七方公布信息技术安全性通用评估准则 （cc 2.0 版） 1999 年 12 月，iso 接受 cc 2.0 版为 iso 15408 标准，并正式颁布发 行 从上面发展可以看出，cc 源于 tcsec，但已经完全改进了 tcsec。tcsec 主要是针对操作系统的评估，提出的是安全功能要求，目前仍然可以用于对 操作系统的评估。

22、随着信息技术的发展，cc 全面地考虑了与信息技术安全性 有关的所有因素，以“安全功能要求”和“安全保证要求”的形式提出了这 些因素，这些要求也可以用来构建 tcsec 的各级要求。 cc 定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前 国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系 统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。 功能和保证要求又以“类子类组件”的结构表述，组件作为安全要 求的最小构件块，可以用于“保护轮廓” 、 “安全目标”和“包”的构建，例 如由保证组件构成典型的包“评估保证级” 。另外，功能组件还是连接 cc 与传统安

23、全机制和服务的桥梁，以及解决 cc 同已有准则如 tcsec、itsec 的 协调关系，如功能组件构成 tcsec 的各级要求。 同 bs 7799 相比，信息技术安全性评估准则(cc)和美国国防部可信计算 机评估准则(tcsec)等更侧重于对系统和产品的技术指标的评估；系统安全工 程能力成熟模型(sse-cmm)更侧重于对安全产品开发、安全系统集成等安全工 程过程的管理。在对信息系统日常安全管理方面，bs 7799 的地位是其他标准 无法取代的。 这两类标准各有利弊。管理类标准，虽然比较容易实施，但比较滞后。 在信息技术飞速发展的今天，不能涵盖最新的技术和应用，需要不断的增加 新的内容来不断

24、完善。安全模型类方案能够为我们建立完整的信息安全保障 体系提供参考，由于其指出是一种理想化的模型，只能在实践中起到指导和 参考作用，不可能直接引用。 我们认为，建立信息安全保障体系不能只参考任何一类的标准，而应该 根据用户的网络现状和用户提出的安全需求，综合使用两类标准，从技术和 管理两个维度来考虑，以安全评估为基础，制订安全策略，提出解决方案， 来满足用户的安全需求。 1.2.3 项目成果的应用前景项目成果的应用前景 我国金融系统的信息安全保障体系的建设已经取得了阶段性的成果，但 其现有的信息安全保障体系是否能充分满足我国金融行业的安全目标还需要 进一步论证。构建我国金融系统信息基础平台设施

25、大量采用了国外的技术和 产品，按照这种方式构筑的信息传输、交换和处理平台存在相当的安全漏洞 和隐患，在这样的平台上发展金融业务存在比较严重的安全问题。现有的信 息安全基础设施和系统安全解决方案大多是通过传统方式如防火墙、入侵检 测、漏洞扫描、网络隔离等技术和设备来保障系统的安全。虽然在一定程度 上可以满足日常工作和安全保障要求，但各类安全设备都构建于国外的硬件 平台和操作系统之上，摆脱不了受限、受制、受控于人的被动局面，这对于 我国金融业务信息化的正常发展是非常不利的。究其原因是没有形成针对金 融行业的信息安全保障体系架构。 xxxx 根据本次招标的要求，设计了包括安全评估、安全策略以及解决方

26、 案三个主要部分的中国农业银行计算机安全体系解决方案 。本方案通过对 农行计算机安全问题的研究，参照国际国内安全标准，提出适用于农行实际 情况且具有可操作性的整体安全体系。 本安全体系着重体系性、整体性、针对性、可操作性，参照国际和国内 的安全标准和规范，充分利用成熟的信息安全理论成果。同时具有可审核、 等级化的特点，强调本安全体系的前瞻性。 为整个安全体系的建设制订了详尽的步骤和阶段目标，在本项目中，农 行计算机安全体系的设计过程将经过以下四个基本步骤： 农行计算机安全体系的准备 农行计算机安全现状调查和风险评估 农行计算机安全体系策略文件的编写 农行计算机安全体系建设方案的设计 每一个步骤

27、又进一步细分，并实施严格的项目管理制度。实现从中国农 业银行实际情况出发，依据国家有关法律法规，结合信息系统安全出现的新 情况和新问题，为设计农行计算机系统完整的安全解决方案，从安全组织、 安全管理和安全技术三个方面全面建设计算机安全体系，达到中国农业银行 提出“中国农业银行计算机安全体系解决方案”项目的目标。 通过实施本解决方案，可以充分了解农行信息系统的现状、现有信息安 全保障系统的作用、发现潜在的信息安全技术隐患和管理漏洞，依据安全评 估的结果，制订完善的信息安全策略、提供切实可行的信息安全解决方案， 帮助农行建成一个适用于农行，金融行业中一流的信息安全保障体系。 2 项目目标项目目标

28、2.12.1 目标目标 2.1.1 项目总体目标项目总体目标 本项目的总体目标是通过对农行计算机安全问题的研究，参照国际国内本项目的总体目标是通过对农行计算机安全问题的研究，参照国际国内 安全标准，设计出适用于农行实际情况且具有可操作性的整体安全体系。安全标准，设计出适用于农行实际情况且具有可操作性的整体安全体系。 该总体目标包含以下几方面内容： 1、 项目的成果体现为一套安全体系项目的成果体现为一套安全体系 实践证明，单纯通过购买安全产品，对提高组织的计算机安全水平是很 有限的。这是因为一方面安全产品作为一种技术工具，其作用被片面放大； 另一方面许多安全技术仍没有完全成熟。在这种情况下，对待

29、计算机安全问 题地科学态度必定是充分利用产品的前提下加强管理，建立一套融制度，流 程，组织运作和安全技术的安全体系。 中国农业银行总行设立本项目的目的正在于建立一套安全体系，以更有 效地提高农行整体计算机安全水平。 2、 安全体系必须是整体的安全体系必须是整体的 计算机安全问题是一个十分复杂的问题，它涵盖了物理安全，平台安全， 应用安全和业务安全等。在解决计算机安全问题时，必须整体地加以解决， 在任一方面遗漏都可能导致在其他方面的安全措施失效。 因此，本项目要求设计的安全体系，必须涉及到计算机安全各个层面的， 是一个完整的安全体系。 3、 安全体系必须参照国际和国内的安全标准和规范，充分利用成

30、熟的信息安全体系必须参照国际和国内的安全标准和规范，充分利用成熟的信息 安全理论成果安全理论成果 目前，国际国内许多安全理论界都作了大量安全体系方面的研究，产生 了一系列有关安全体系方面的标准，包括 bs7799，iatf，cc，sse-cmm，计算 机信息系统安全等级划分准则等。这些安全体系由于强调其通用性，在实际 应用中针对性和全面性不够，无法直接用于农行。但是这些安全理论在一定 范围内经过大量实践证明，有很强的生命力。 本项目要求设计的安全体系，应在结合农行现实情况的基础上，尽可能 利用这些成熟的理论成果，与这些安全标准保持兼容。在上述提到的安全标 准中，有一部分提供了认证和测评的方法。

31、因此本项目要求设计的安全体系， 应以能够通过这些安全标准为目标。 4、 安全体系必须适用于农行安全体系必须适用于农行 本项目要求设计的安全体系，必须针对农行的实际情况设计。 一方面，该安全体系应是农行专用的安全体系，能够体现出农行的计算 机安全问题不同于其他组织甚至同类银行的特点； 另一方面，安全体系又应具有一定的弹性以适应农行众多的分支机构。 5、 安全体系必须是可操作的安全体系必须是可操作的 本项目要求设计的安全体系，必须具有很强的可操作性，这种可操作性 要求安全体系具有非常详尽的描述，并具备很强的可工程化能力，具体地说， 在描述安全对策时，不应是原则性的。 在目前，最著名的安全体系是 b

32、s7799 的 isms（信息安全管理体系） ，国 内外有很多公司已经开展 bs7799 的认证咨询服务，该服务主要内容就是帮助 企业建立 isms。但是 isms 侧重于安全管理，在其安全控制列表中，全部是对 于企业如何通过管理改善信息安全的指导，而对安全技术的应用过于薄弱。 除了 bs7799 之外，许多政府提供的指南性文件，例如加拿大政府提出的 加拿大信息技术安全手册 ，给组织建立安全体系提供一定的参考。 国内外的 it 服务提供商和专业安全厂商已经开始根据客户的需要开展体 系设计这一咨询业务，其中比较著名的是 ibm 等。 与这些安全服务不同的是，本项目要求设计的安全体系具有以下特点：

33、 可审核、等级化的安全体系。农行分支机构众多，计算机应用水平 不一，因此农行要求其安全体系是等级化的，以适应不同的应用环 境。农行还要求安全体系是可审核的，以便对其分支机构是否达到 相应等级进行评判。 安全体系应具有一定的前瞻性，即要求安全体系考虑到农行今后比 较长一段时间内的计算机技术和信息安全技术的发展趋势。 2.1.2 项目的步骤和阶段目标项目的步骤和阶段目标 与通用安全体系不同的是，农行计算机安全体系在其设计过程中非常强 调与农行计算机系统的特点和具体情况的一致性和可操作性。因此，安全体 系的设计主要围绕农行计算机安全的实际状况开展，同时参照有关国际国内 标准。 总体来说，在本项目中，

34、农行计算机安全体系的设计过程将经过以下四 个基本步骤，如图所示： （1） 农行计算机安全体系的准备； （2） 农行计算机安全现状调查和风险评估； （3） 农行计算机安全体系策略文件的编写； （4） 农行计算机安全体系建设方案的设计。 2.1.2.12.1.2.1农行计算机安全体系的准备农行计算机安全体系的准备 准备阶段主要目标是指做好体系设计和建立之前的各种前期工作。具体 包括前期培训、确定适用范围、拟制项目计划与蓝图。 前期培训前期培训 本项目要求安全体系的设计过程以农行为主，服务商为辅。因此为了使 农行参与项目成员了解安全体系的基本原理，掌握安全体系设计过程中各个 环节的具有过程，必须在项

35、目前期进行培训。 前期培训的具体目标包括： 项目所有成员对与安全体系相关的理论知识（包括安全标准）的了 解。 项目所有成员对安全体系设计过程的理解。 确定项目范围确定项目范围 在本项目中，安全体系的范围总体上涵盖物理环境、网络、系统平台、 应用软件和业务等多个层次，为了提高项目实施的质量，必须在项目开始时 充分定义项目范围。另外，在项目实施过程中，由于对所有计算机系统进行 评估是不现实的，因此必须采用抽样的方式，抽样的具体方案在本阶段明确。 确定项目范围的具体目标包括： 明确项目实施的层次范围； 确定抽样的方案，确保抽样样本的典型性。 拟制项目计划和蓝图拟制项目计划和蓝图 在准备阶段，还必须拟

36、制项目的详细计划和蓝图，尽可能详尽地描述项 目的过程和成果形式，充分保证项目的可控性。 拟制项目计划和蓝图的具体目标包括： 拟制项目计划，并通过项目领导小组的审核； 拟制蓝图，并通过项目领导小组的审核。 2.1.2.22.1.2.2农行计算机安全现状调查和风险评估农行计算机安全现状调查和风险评估 现状调查和风险评估是建立安全农行计算机安全体系的基础和关键，在 整个项目过程中，现状调查和风险评估的工作量占了很大比例，现状调查和 风险评估的深度直接影响安全体系能否与农行实际情况相一致且具有可操作 性。 现状调查和风险评估的主要目标包括对农行计算机系统进行全面的现状 调查、建立保护对象框架和根据保护

37、对象框架进行风险评估。 全面的现状调查全面的现状调查 全面现状调查是本项目十分关键的步骤，现状调查的广度和深度将对保 护对象框架的建立和风险评估带来非常十分重要的作用。在全面现状调查中， 农行的计算机系统的场所、环境、网络、网络设备、主机、操作系统、数据 库、中间件、应用软件、业务流程、管理制度和组织机构将得到全面的调研。 全面的现状调查的具体目标包括： 获得对农行计算机系统的全面了解； 为建立农行计算机系统保护对象框架模型打下扎实的基础。 建立保护对象框架建立保护对象框架 在本项目中，安全体系的设计思路既采用了“最佳实施”或“安全控制” 列表，也采用了安全模型。 （参见节 3.1）保护对象框

38、架是设计过程中采用的 最主要的安全模型，它来源于 iatf。建立保护对象框架有助于形成对农行计 算机系统完整的视图。采用保护对象框架技术，有助于将风险评估和安全对 策框架联系起来，形成对比指纹。 建立保护对象框架的具体目标包括： 准确地获得农行计算机系统安全保护轮廓； 为风险评估和安全体系建立对比指纹。 风险评估风险评估 风险评估的目的是了解农行计算机系统的安全现状，以便在安全体系的 实施过程进行需求分析和解决方案设计。风险评估过程包括对农行计算机系 统的资产安全价值、弱点严重性、威胁可能性和现有安全措施等进行估值， 并通过这些因素计算风险值。 风险评估的具体目标包括： 准确地获得农行计算机系

39、统安全现状； 获得农行计算机系统风险现状，为安全对策框架设计提供依据。 2.1.2.32.1.2.3农行计算机安全体系策略文件的编写农行计算机安全体系策略文件的编写 安全体系的设计是指根据保护对象框架，设计农行计算机安全对策框架 的过程。对策框架由一系列安全控制（或者最佳实施）组成，安全控制由策 略、组织、技术手段和运作过程四部分组成，而策略是安全对策的核心部分， 因此安全体系策略文件是安全体系的具体反映。 策略文件编写阶段的主要目标包括设计农行计算机安全对策框架和编制 策略文件。 设计对策框架设计对策框架 对策框架是指根据保护对象框架中的安全需求选择安全控制（最佳实施） ， 在对策框架中，每

40、一条安全需求都对应着多条安全控制，这些安全控制使安 全体系实现等级化成为可能。 由于对策设计是建立在保护对象框架中，因此其整体性得到了保证。 设计对策框架的具体目标包括： 根据保护对象框架中安全需求选择或设计多条安全控制（最佳实施） ； 只选择适用于农行的安全控制，确保对策框架对农行的适用性。 编制策略文件编制策略文件 通过编制体系化的策略文件，描述对策框架中的安全控制，并据此制订 相应的管理制度、组织规程、使用指南和企业标准等。策略文件是农行安全 体系的表现形式。 编制策略文件的具体目标包括： 抽取对策框架中每条安全控制的策略要素，形成安全控制列表； 对安全控制列表进行相关性分析，并形成一整

41、套策略文件。 2.1.2.42.1.2.4农行计算机安全体系实施方案的设计农行计算机安全体系实施方案的设计 经过安全体系策略文件编制阶段以后，农行计算机安全体系设计已经完 成，但是要在农行建立该安全体系，还必须经过安全体系建立的工程化阶段。 而安全体系实施方案设计阶段是对安全体系设计阶段和工程阶段起到承上启 下的中间阶段。通过安全体系实施方案的设计，农行计算机安全体系才可能 被真正实施。 农行计算机安全体系实施方案设计阶段的具体目标包括需求分析、产生 总体规划、设计技术实施方案、设计推广过程、设计体系运行方案和设计内 部审核过程等。 需求分析需求分析 需求分析的主要依据是风险评估和对策框架的对

42、比，并结合农行提出其 他需要考虑和解决的安全需求（安全需求断言） ，综合形成安全需求。 需求分析帮助农行理解其安全现状与目标之间的差距，并清晰地看到实 现安全体系的某一级别还需要作什么。需求分析的结果为规划和安全解决方 案设计提供直接依据。 需求分析的具体目标包括： 通过对评估结果和对策框架地对比，获得差距； 为规划和解决方案设计提供依据。 产生总体规划产生总体规划 信息安全发展规划的制定以农行自身的业务发展规划和发展规划为基础， 就信息安全的发展趋势给出意见，使得信息安全发展规划能够符合信息安全 的发展方向，同时也能够与农行的整体发展规划相吻合。 总体规划的具体目标包括： 制定农行在信息安全

43、方面的长远发展规划。 通过对农行自有资源的分析，制定出切合实际的发展规划。 设计技术实施方案设计技术实施方案 技术实施方案的制订是以需求分析为基础，对加固、安全技术选型、部 署和配置等技术手段用工程化实施方案的形式进行描述，使得农行能够建立 其设计好的安全体系。 技术实施方案设计的具体目标包括： 设计工程化实施方案，保障农行实现安全体系的硬件环境； 设计推广过程设计推广过程 安全体系的推广以农行实际情况为依据，就安全体系从总行向省分行和 地市分行一直到支行和分理处推广提供指导性意见。 设计推广过程的具体目标包括： 提供推广的指导性意见，保证推广过程的有效性。 设计体系运行方案设计体系运行方案

44、在体系文件编制和技术实施方案设计完成后，本项目还应该设计有关体 系运行方案，尤其是包括试运行期中指导性意见。运行方案包括体系文件的 发布和宣贯、培训以及问题的收集和纠正。 设计体系运行方案的具体目标包括： 提供体系运行的指导性意见，保证农行计算机安全体系的可用性和 可操作性。 设计内部审核过程设计内部审核过程 由于本项目要求设计的安全体系是等级化的，所以为了评估农行的下属 分支机构是否达到制订的安全级别，安全体系还应该包括内部审核的过程。 审核过程包括审计，现场审核等内容。 设计内部审核过程的具体目标包括： 建立获得审核证据，对分支机构所运行的安全体系等级进行客户评 价的准则。 2.22.2

45、主要指标主要指标 作为服务项目的成果，农行计算机安全体系总体上需要符合以下指标： 1、标准性 尽量参照国际国内标准开展工作是本次安全服务工作的指导原则，并保 持对这些标准的兼容，是本次项目主要要求之一。 本项目将依据的国内和国际标准包括： iso 17799 / bs7799 iso15408/cc iso 13335 sse-cmm iatf3.1 计算机信息系统安全等级划分准则 加拿大信息技术安全手册 本项目实施过程除了依据相关的国内和国际标准之外，还要参考一些没 有成为国际和国内标准，但是已经成为业界事实上标准的一些规范和约定。 这些规范和约定包括： cve 公共漏洞和暴露 pmi 项目

46、管理方法学 2、整体性 在本项目中将通过对农行物理层、平台层、应用层和业务层的全面调研， 构建农行的保护对象框架，框架是保证获得农行计算机系统安全轮廓整体性 的重要基础。根据保护对象框架，项目还将产生农行对策框架，对策框架由 结构化的安全控制（或最佳实施）构成，而每条安全控制都由策略、组织、 技术和运作组成，通过这种方法，确保安全体系的整体性。 3、适用性 在本项目中安全体系要求对农行具有较高的适用性，这是反映安全体系 的指标之一。要求农行计算机安全体系能体现农行不同与其他组织，甚至包 括其他银行的特点，同时农行计算机安全体系又能适应于农行各级分支机构， 包括省行、地市行和支行等的计算机安全要

47、求。 4、可操作性 安全体系的可操作性也是本项目重要指标之一，主要反映两个方面，一是 选择可操作的安全控制（最佳实施） ；一是设计相应的工程化方案，确保安全体 系的推广和落实 5、规范性 规范性是衡量安全体系的成熟性和稳定性的重要依据，规范性主要通过以 下两个方面衡量：一是将设计的安全体系在某试点分行落实后通过有关标准的 认证，例如 bs7799，计算机信息系统安全等级划分准则等。另一就是保证规范 的项目管理和安全工程，并通过 sse-cmm 衡量其成熟度。 3 设计思路与技术路线设计思路与技术路线 3.13.1 设计思路设计思路 近年来，随着计算机技术的迅猛发展，安全的重要性越来越突出。计算

48、 机安全市场也非常巨大，产生了大量从事安全产品研制的 it 公司，基本形成 了防火墙、防病毒、入侵检测、漏洞扫描、vpn、审计、pki 等一系列安全产 品。这些产品的出现，极大地提高了组织改善信息安全状况地能力，提高了 组织的计算机安全水平，但是这些改善仍没有达到组织理想的目标，病毒、 黑客和计算机犯罪依然猖獗，更不幸的是，组织逐渐意识到来自内部的误操 作和越权行为给组织带来了更大的威胁，而安全产品在对付这些来自内部的 威胁时显得非常不足，这给信息安全的理论界、厂商和用户提出了一系列问 题： “信息安全的本质是什么？” “信息安全应该包含哪些范围？” 由于这些问题的存在，促使人们开始对安全体系

49、进行研究。一般地，对 安全体系的研究主要采用两种思路，一是模型化，它通过将要保护的对象通 过模型的方式表达，获取其安全需求；一是“最佳实施” ，它通过列举安全控 制来构造理想的安去体系。这两种模型都存在着一定的缺陷，模型化思路的 主要难点在于完整地表达一个信息系统，尤其是与信息系统相关的管理过程； 而最佳实施的主要缺陷是安全控制的不可枚举性，尤其是随着安全技术日益 发展，安全控制的更新也是非常快的。 鉴于这样一种情况，在本项目设计农行计算机安全体系的过程中，我们 将两种思路加以综合，首先借鉴 iatf 的信息安全保障体系模型构建农行的计 算机安全保护对象框架（保护轮廓） ，然后根据保护对象框架

50、选择或设计所有 可行的安全控制，然后进行纵向梳理，产生技术体系和管理体系（策略、组 织和运作体系） ，这些体系构成本次项目所需的安全体系。 3.23.2 技术路线技术路线 3.2.1 研究设计技术路线的选定研究设计技术路线的选定 就目前国际范围安全理论的发展水平，设计农行计算机安全体系的主要 技术路线包括： 直接将标准化的安全体系应用到农行。可直接应用的安全体系包括 bs7799 的 isms 和 iatf 等。采用这种技术路线存在的主要问题是安 全体系的整体性较差，例如 bs7799 是纯粹的管理体系，而 iatf 是 一个技术路线。另外这些标准化安全体系对农行的适用性较差，这 也会带来推广

51、和落实的障碍。 直接借鉴其他银行的安全体系。就目前而言，国内银行都尚未开始 企业安全体系的设计，而国外银行的计算机系统、组织状况都与农 行存在着很大的区别，因此借鉴的意义并不明显。 综合标准化的安全体系，通过对农行计算机系统、组织、管理等各 方面完整的调研，设计出适用农行实际情况的安全体系。该技术路 线需要相对较长的时间和较大的工作量。 通过对各种技术路线的对比，我们选择采取第三种技术路线，尽可能保 证设计出来的安全体系具有很高的整体性，规范性，适用性和可操作性。 3.2.2 研究设计技术解决方案研究设计技术解决方案 为了实现既定的目标，项目将分为三个步骤，首先是对农行的计算机系 统及其物理环

52、境，管理过程等进行全面的调查，并建立农行的计算机安全保 护对象框架。在建立农行的计算机安全保护对象框架时，主要采用 iatf 的建 模方法，将农行的计算机系统分成计算区域、边界和通信网络三部分，并分 别提取相应的安全需求。 接下来，对农行的计算机系统进行风险评估，在风险评估过程中，根据 以上设计的保护对象框架，分别进行资产价值、威胁、弱点和现有安全措施 的估值，并以此计算出风险的数值。 风险评估后，将根据保护对象框架和风险因素进行对策框架设计，为保 护对象框架中的每项安全需求选择或设计多条安全控制，并分别指出这些安 全控制的策略、组织、技术和操作四要素。然后将安全控制的策略部分形成 文档，描述

53、安全体系。 由于农行的分支机构众多，现状有很大差距，因此不可能一视同仁地要 求所有分支机构建立一套完全相同地分支机构，因此在形成安全体系时，我 们将根据安全控制地强弱程度和数量，将安全体系分成若干等级。 至此农行地计算机安全体系设计已经完成，但为了使安全体系便于落实， 还应相应地进行规划、解决方案、推广计划等工程化设计。工程化设计是整 个项目的最后一个环节。 3.2.3 解决关键技术的途径解决关键技术的途径 在农行计算机安全体系的设计方法中，存在两个核心的关键环节，他们对 整个体系的成败起着更大的作用： 3.2.3.13.2.3.1保护对象框架的建立保护对象框架的建立 保护对象框架是风险评估和

54、体系设计的重要基础，它完整与否牵系着整个 体系的整体性。 为了保证这一点，在体系设计过程中，我们采用了以下方法： 在深入对抽样计算机系统进行调研之前，将对农行的计算机系统概 貌进行了解，获得农行计算机系统的总体轮廓，该轮廓应包括从总 行到省分行、地市分行、支行一直到营业所和分理处。 将农行计算机系统用“区域、边界和通信网络”模型建模时，对于 比较重要的部分，例如业务系统，尽可能多细分。 在选取样本时，必须覆盖到整个模型中每个不同意义的部分。而不 集中在某一部分。 3.2.3.23.2.3.2安全控制的选择和设计安全控制的选择和设计 安全控制的选择和设计也是整个项目设计的重要环节之一，它对体系的

55、 适用性和可操作性起着很重要的作用。 我们在设计过程中采用以下手段加以保障： 充分研究 bs7799，加拿大信息技术安全手册，银行和相关金融服务 信息安全指南 iso13569tr 等最佳实施列表； 客观分析安全控制的效果和局限性，必要时在项目中邀请有关安全 技术（例如入侵检测）的专家一起就某些专项进行讨论。 3.33.3 工程化工程化 为了确保本项目设计的安全体系能够在整个农行进行推广和落实，我们将 在项目中进行如下工程化设计。 技术实施方案 技术实施方案把体系中的硬件建设部分单独抽取出来，以工程的方式设 计方案，包括技术的选择，产品选型，部署方案，配置方案和管理过程 等。 推广计划 为农行

56、建立一套比较完整的安全体系推广计划，包括建立分发，宣贯， 培训，评估等一系列程序。 维持体系运行 为农行建立一套完整的体系运行计划，包括试运行，问题收集，调整等 一系列程序，并提供相应的售后服务。 内部审核 为农行提供审核指南，包括相应的 checklist，文档蓝图等审核工具，方 便农行在内部开展审核工作，验证体系的落实情况。 4 项目内容项目内容 4.14.1 总则总则 本部分将描述 xxxx 在农行咨询项目中的总体安全理念，和本项目的总体 流程设计，给出一个总体概念和描述。 4.1.1 总体理念总体理念 4.1.1.14.1.1.1安全体系安全体系 一个完整的信息安全体系应该是安全管理和

57、安全技术实施的结合，两者 缺一不可。为了实现对信息系统的多层保护，真正达到信息安全保障的目标， 国外安全保障理论也在不断的发展之中，美国国家安全局从 1998 年以来开展 了信息安全保障技术框架（iatf）的研究工作，并在 2000 年 10 月发布了 iatf 3.1 版本，在 iatf 中提出信息安全保障的深度防御战略模型，将防御体 系分为策略、组织、技术和操作四个要素，强调在安全体系中进行多层保护。 安全机制的实现应具有以下相对固定的模式，即“组织（或人）在安全策略 下借助于一定的安全技术手段进行持续的运作” 。 因此农行计算机安全体系从横向看，主要包含安全管理和安全技术两个 方面的要素

58、，在采用各种安全技术控制措施的同时，必须制订层次化的安全 策略，完善安全管理组织机构和人员配备，提高安 全管理人员的安全意识和技术水平，完善各种安全 策略和安全机制，利用多种安全技术实施和安全管 理实现对计算机系统的多层保护，减小它受到攻击 的可能性，防范安全事件的发生，提高对安全事件 的反应处理能力，并在计算机安全事件发生时尽量 减少事件造成的损失。 其次，为了使计算机安全体系更有针对性，在构建时还必须考虑信息安 全本身的特点：动态性、相对性和整体性。 信息安全的动态性指的是信息系统中存在的各种安全风险处于不断的变 化之中，从内因看，信息系统本身就在变化和发展之中，信息系统中设备的 更新、操

59、作系统或者应用系统的升级、系统设置的变化、业务的变化等要素 都可能导致新的安全风险的出现。从外因看，各种软硬件系统的安全漏洞不 断的被发现、各种攻击手段在不断在发展，这些都可能使得今天还处于相对 安全状态的信息系统在明天就出现了新的安全风险。 信息系统安全的相对性指的是信息安全的目标实现总是相对的，由于成 本以及实际业务需求的约束，任何的安全解决方案都不可能解决所有的安全 问题，百分之百安全的信息系统是不存在的，不管安全管理和安全技术实施 多完善，安全问题总会在某个情况下发生。信息安全的这个属性表明安全应 急计划、安全检测、应急响应和灾难恢复等都应该是安全保障体系中的重要 环节。 信息安全的整

60、体性指的是信息安全是一个整体的目标，正如木桶的装水 容量取决于最短的木块一样，一个信息系统的安全水平也取决于防御最薄弱 的环节。因此，均衡应该是信息安全保障体系的一个重要原则，这包括体系 中安全管理和安全技术实施、体系中各个安全环节、各个保护对象的防御措 施等方面的均衡，以实现整体的信息安全目标。 4.1.1.24.1.1.2安全框架模型安全框架模型 在本项目设计过程中，整体性一直是最核心的问题，因此为了保障安全 体系具有一定的完整性，避免对农行计算机安全问题的遗漏，因此在方法论 中引入了安全框架模型。 4.1.1.2.14.1.1.2.1 框架和结构化原理框架和结构化原理 所谓“框架”概念是