信息安全风险评估需求方案

1、.：.；信息平安风险评价需求方案一、工程背景多年来，天津市财政局地方税务局在加快信息化建立和信息系统开发运用的同时，高度注重信息平安任务，采取了很多防备措施，获得了较好的任务效果，但同新情势、新义务的要求相比，还存在有许多不相顺应的地方。2021年，国家税务总局和市政府分别对我局信息系统平安情况进展了抽查，在充分一定成果的同时，也指出了我局在信息平安方面存在的问题。经过抽查所暴露的这些问题，给我们敲响了警钟，也对我局信息平安任务提出了新的更高的要求。因此，天津市财政局地方税务局在对现有信息平安资源进展整合、整改的同时，按照国家税务总局信息平安管理规定，结合本单位实践情况确定实施信息平安评价、平

2、安加固、应急呼应、平安咨询、平安事件通告、平安巡检、平安值守、平安培训、应急演练效力等任务内容以下简称“平安风险评价，构成平安规划、实施、检查、处置四位一体的长效机制。 二、工程目的经过开展信息“平安风险评价, 完善平安管理机制；经过平安效力的引入，进一步建立健全财税系统平安管理战略，实现平安风险的可知、可控和可管理；经过建立财税系统信息平安风险评价机制，实现财税系统信息平安风险的动态跟踪分析，为财税系统信息平安整体规划提供科学的决策根据，进一步加强财税内部网络的整体平安防护才干，全面提升我局信息系统整体平安防备才干，极大提高财税系统网络与信息平安管理程度；经过深化发掘网络与信息系统存在的脆弱

3、点，并以业务系统为关键要素，对现有的信息平安管理制度和技术措施的有效性进展评价，不断加强系统的网络和信息系统抵御风险平安风险才干，促进我局平安管理程度的提高，加强信息平安风险管理认识，培育信息平安专业人才，为财税系统各项业务提供平安可靠的支撑平台。三、工程需求一效力要求1根本要求 “平安风险评价效力全过程要求有据可依，并在产品运用有据可查，并坚持工程之后的继续改良。针对用户单位网络中的IT设备及运用软件，需求有软件产品识别一切设备及其平安配置，或以其他方式搜集、保管设备明细及平安配置，进展资产搜集作为建立信息平安体系的根底。平安评价的过程及结果要求经过软件或其他方式进展展现。对于风险的处置包括

4、：协助用户制定平安加固方案、在工程建立及日常运维中提供平安值守、咨询及支持效力，经过平安产品处理知的平安风险。在日常平安管理方面提供平安支持效力，并根据国家及行业规范制定信息平安管理体系，针对平安管理员提供平安培训，遇有能够的平安事件发生时，提供应急的平安分析、紧急呼应效力。2平安评价评价的范围应全面，涉及到网络信息系统的各个方面，包括物理环境、网络构造、运用系统、数据库、效力器及网络平安设备的平安性、平安产品和技术的运用情况以及管理体系能否完善等等；同时对管理风险、综合平安风险以及运用系统平安性进展评价；评价采用专业工具扫描破绽扫描、数据库扫描采用产品必需为商业化产品、人工评价、浸透测试三种

5、相结合的方式，对各种操作系统进展评价，包括：帐户与口令平安、网络效力平安、内核参数平安、文件系统平安、日志平安等；从运用系统相关硬件、软件和数据等方面来审核运用所处环境下存在哪些要挟，根据运用系统所存在的要挟，来确定需求到达哪些系统平安目的才干保证运用系统可以抵挡预期的平安要挟。其他评价内容应至少包括以下几方面：信息探测类网络设备与防火墙RPC效力Web效力CGI问题文件效力域名效力Mail效力Windows远程访问数据库问题SQL 注入跨站脚本攻击后门程序其他效力网络回绝效力(DOS)其他问题平安评价效力范围应包括但不只限于协助用户完成2021年度信息平安专项检查任务。 3平安加固每次对用户

6、单位网络信息系统进展全面评价后应立刻制定平安加固方案，另外如用户单位有紧急需求时可随时安排制定平安加固方案。平安加固方案应覆盖用户单位IT系统中一切效力器和网络设备，以及不同类别的操作系统、数据库和运用系统。平安加固方案不能影响用户单位各项业务的正常进展，假设加固过程需求暂时中断业务，须设计详细的处理方案。同时，随着信息技术的开展，当新的破绽出现时，评价单位有责任和义务告知用户，并配合用户断定能否进展相应的加固任务；4紧急呼应 当用户单位信息系统出现平安事件后，用户可立刻启动紧急呼应效力，效力应包括远程紧急呼应和现场紧急呼应；紧急呼应均要求724小时提供。 紧急呼应要求在呼应恳求发出2小时内由

7、工程师到达事故现场，协助用户进展处置； 呼应效力完成后评价单位需整理详细的事故处置报告，内容至少包括事故缘由分析、已呵斥的影响、处置方法、处置结果、预防和改良建议；5平安咨询评价单位应根据ISO17799等多个规范的相关要求对平安战略、平安制度、平安流程进展审计，提供改良建议，建立信息平安的“一致战略管理机制，并对用户单位信息平安体系建立规划、信息平安管理体系、信息平安管理制度建立、平安域划分等相关内容提出符合国家及行业规范的合理化建议，并制定完好的处理方案。对于新建信息化工程应从业务需求分析、系统设计、部署实施、测实验收等全周期提供技术咨询支持。6 平安事件通告 评价单位应具备专门的平安研讨

8、人员以跟踪最新平安技术开展、搜集业界发布的最新平安信息及时通告用户单位最新的平安动态、平安技术的开展趋势，以及时效性很强的破绽、攻击手法、病毒码的预先通知； 评价单位至少每月提供一次汇总的平安通告信息，当厂商或平安组织发布紧急平安通告后评价单位应在三天之内提供应人保相关通告信息； 及时提供最新的设备补丁，随时根据用户需求，提供相应平安破绽与呼应的平安系统晋级代码；及时向招标人提供国家颁发的最新平安制度与法规。7平安巡检包括不限于以人工方式检查主机系统和网络设备的日志信息、平安配置以及审计信息等，提出平安战略建议；如发现异常景象或平安问题，及时向用户单位反响，并提供后续技术支持，配合问题的查处和

9、处理。要求每月对平安防护产品进展一次巡检效力，并生成巡检报告；每季度对一切主机、数据库、网络、平安产品进展一次全面巡检，并生成巡检报告。8平安值守效力要求评价单位在艰苦节假日及特殊时期安排技术人员提供平安值守效力包含在用户单位值守及远程值守。9平安培训效力要求每年安排两次信息平安管理及技术培训培训只担任提供师资及培训教材，培训教材可为电子版，同时，要求提供四人次专业技术认证培训含食宿。10应急演练效力要求配合用户制定信息系统风险应急呼应方案，并每年至少安排一次信息系统风险应急演练。二效力原那么 为保证平安风险评价任务的有序进展，特提出以下原那么：1.严密性原那么要求评价单位与用户签署严密协议，

10、在进展信息平安风险评价的过程中，严厉遵照严密原那么，评价过程中采取严厉的管理措施，确保所涉及到的任何用户严密信息，不会泄露给第三方单位或个人，不得利用这些信息损害用户利益。2.最小影响原那么要求从工程管理和技术运用的层面，在风险评价任务实施过程对我局现有信息系统和网络的正常运转所能够的影响降到最低程度；要求制定风险评价过程中的风险躲避方案及应急措施。3.规范性原那么要求评价机构在充分总结多年开展信息系统平安风险评价实际阅历的根底上，确定规范的方案；在此次信息平安风险评价义务执行过程中，经过规范的工程管理，在人员、工程实施环节、质量保证和时间进度等方面进展严厉管控。4.规范化原那么风险评价任务要

11、求严厉遵守国家和行业的相关法规、规范，并参考国际的规范来实施。5.完好性原那么完好性原那么包含以下两个层次的内容：评价内容的完好性要求在风险评价任务中，要综合思索所评价信息系统的技术措施、人员、业务及运转维护等方面，含盖信息平安风险评价合同要求。评价流程的完好性要求信息平安评价过程应遵照科学性、规范性、严谨性原那么。6.互动性原那么在进展信息平安风险评价过程中，要求必需有用户单位人员参与，双方共同组成工程实施部门，进展工程实施，从而保证工程执行的效果并提高受我局的整体平安技艺和平安认识。三评价内容1.信息系统平安管理情况检查 评价各种平安制度的建立情况，包括：对终端计算机访问互联网的相关制度；

12、对终端计算机接入内网的相关制度；运用挪动存储介质的制度；系统的业务运用人员、系统的开发、维护、管理人员、系统开发、维护人员相关平安管理制度等。2.网络架构、网络平安设备评价范围包括：业务办公内网、业务外网、办公外网、外部单位联网等；分析网络拓扑构造能否明晰划分网络边境；评价网络的平安区域划分以及访问控制措施。3.对资产本身存在的脆弱性进展搜集和整理物理环境， 包括 UPS、变电设备、空调、门禁等。交换机，包括中心交换机20台，接入交换机20台。检查平安破绽和补丁的晋级情况，各VLAN间的访问控制战略；口令设置和管理，口令文件的平安存储方式；配置文件的备份。路由器，包括中心路由器5台，接入路由器

13、10台。检查操作系统能否存在平安破绽；配置方面，检测端口开放、管理员口令设置与管理、口令文件平安存储方式、访问控制表；能否能对配置文件进展备份和导出；关键位置路由器能否有冗余配置。平安设备，包括防火墙、入侵检测系统、网闸、防病毒、桌面管理、审计、加密机、身份鉴别等；共约20台。查看平安设备的部署情况。查看平安设备的配置战略；查看平安的日志记录；经过破绽扫描系统对平安进展扫描。经过浸透性测试检平安配置的有效性。4.重要效力器的平安配置小型机约60台、效力器约200台。登录平安检测；用户及口令平安检测；共享资源平安检测；系统效力平安检测；系统平安补丁检测；日志记录审计检测；木马检测。5.中心业务系

14、统的平安性对我局中心业务信息系统，在需求分析和设计阶段能否充分识别平安需求；能否能确保系统文件的平安；能否能采取措施维护运用系统开发和维护过程中的信息平安。核对“津税系统“非税收入“税管员平台等重要业务系统数据访问控制情况，敏感文档资料、效力器、用户终端、数据库等数据加密维护才干。对门户网站进展浸透性测试；对网上报税等中心业务系统进展浸透性测试；对网络边境进展浸透性测试；对内网进展浸透性测试。四评价的运用系统1.运用系统运用类型财政运用地税运用综合办公运用应用项目非税系统津税系统公文系统国库集中系统税收管理员平台邮件系统部门预算系统远程电子报税系统含建安网上开票财政地税政务网会计无纸化考试系统

15、、天津会计网、固定资产管理系统外网发票查询、十二万申报、建安工程预登记、建安房产税控开票、车船税代征代缴系统财税内部信息网站2.数据库1外网远程电子报税系统数据库2津税系统数据库3津税系统查询机4税管员平台数据库5税管员平台ODS数据库6非税收入7会计无纸化考试数据库8国库集中支9部门预算10财税政务网、天津会计网11固定资产管理3.外部数据交换1津税系统人行数据交换2津税系统残联数据交换3国税结合办证数据交换4国税国地共享5施管站数据交换6车船税数据交换7房管局契税数据交换8非税收入MQ4.操作系统运用系统和数据库涉及到的主机操作系统。5.配电系统1供电系统2UPS3应急供电系统6.机房环境系统1市局机房空调2市局机房空间及设备摆放3市局机房送回风空调循环系统4市局机房防火系统5市局机房防雷系统、防静电系统6市局机房空调上水水质、管道及下水路由五质量控制为保证信息平安风险评价工程质量，要求在风险评价过程中就风险评价过程控制、风险评价过程监视、风险评价结果的验证等方面严厉相关规范。四、效力周期信息平安风险评价效力自2021年9月1日2021年8月31日。五、效力资质要求1 评价机构应具备以下资质提供证明资料：资质类别最高认证级别ISCCC信息平安风险评价效力资质认证一级国家信息平安认证信息平安效力资质证书平安工程类二级2 对评价单位