信息安全风险评估需求方案

信息安全风险评估需求方案一、项目背景多年来，天津市财政局（地方税务局）在加快信息化建设和信息系统开发应用的同时，高度重视信息安全工作，采取了很多防范措施，取得了较好的工作效果，但同新形势、新任务的要求相比，还存在有许多不相适应的地方。2023年，国家税务总局和市政府分别对我局信息系统安全情况进行了抽查，在充分肯定成绩的同时，也指出了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题，给我们敲响了警钟，也对我局信息安全工作提出了新的更高的要求。因此，天津市财政局（地方税务局）在对现有信息安全资源进行整合、整改的同时，按照国家税务总局信息安全管理规定，结合本单位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容（以下简称“安全风险评估”），形成安全规划、实施、检查、处置四位一体的长效机制。二、项目目标通过开展信息“安全风险评估”,完善安全管理机制；通过安全服务的引入，进一步建立健全财税系统安全管理策略，实现安全风险的可知、可控和可管理；通过建立财税系统信息安全风险评估机制，实现财税系统信息安全风险的动态跟踪分析，为财税系统信息安全整体规划提供科学的决策依据，进一步加强财税内部网络的整体安全防护能力，全面提升我局信息系统整体安全防范能力，极大提高财税系统网络与信息安全管理水平；通过深入挖掘网络与信息系统存在的脆弱点，并以业务系统为关键要素，对现有的信息安全管理制度和技术措施的有效性进行评估，不断增强系统的网络和信息系统抵御风险安全风险能力，促进我局安全管理水平的提高，增强信息安全风险管理意识，培养信息安全专业人才，为财税系统各项业务提供安全可靠的支撑平台。三、项目需求（一）服务要求1基本要求“安全风险评估服务”全过程要求有据可依，并在产品使用有据可查，并保持项目之后的持续改进。针对用户单位网络中的IT设备及应用软件，需要有软件产品识别所有设备及其安全配置，或以其他方式收集、保存设备明细及安全配置，进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括：协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务，通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务，并根据国家及行业标准制定信息安全管理体系，针对安全管理员提供安全培训，遇有可能的安全事件发生时，提供应急的安全分析、紧急响应服务。2安全评估评估的范围应全面，涉及到网络信息系统的各个方面，包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等；同时对管理风险、综合安全风险以及应用系统安全性进行评估；评估采用专业工具扫描（漏洞扫描、数据库扫描采用产品必须为商业化产品）、人工评估、渗透测试三种相结合的方式，对各种操作系统进行评估，包括：帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等；从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁，根据应用系统所存在的威胁，来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁。其他评估内容应至少包括以下几方面：棍信息探测类狱网络设备与码防火墙皱RPC请服务态Web哗服务惩CGI畜问题延文件服务广域名服务涛Mail卖服务们Windo香ws爷远程访问乡数据库问题妈SQL趋注入吴跨站脚本攻度击邻后门程序样其他服务液网络拒绝服勇务节(DOS)棒其他问题安全评估服务范围应包括但不只限于协助用户完成2023年度信息安全专项检查工作。3安全加固竿每次对用户浓单位网络信酒息系统进行勤全面评估后替应立即制定谱安全加固方广案，另外如胸用户单位有极紧急需求时克可随时安排润制定安全加粘固方案。安垃全加固方案喜应覆盖用户巷单位IT系碎统中所有服屑务器和网络杆设备，以及向不同类别的浑操作系统、愈数据库和应押用系统。病安全加固方宇案不能影响凡用户单位各合项业务的正绍常进行，如战果加固过程养需要暂时中柳断业务，须哄设计具体的馋解决方案。司同时，随着刮信息技术的赠发展，当新胳的漏洞出现倍时，评估单午位有责任和馒义务告知用小户，并配合武用户判定是卵否进行相应抛的加固工作揉；4紧急响应啦当啦用户单位信示息系统出现玉安全事件后脾，用户可立铲即启动紧急汉响应服务，食服务应包括趴远程紧急响劈应和现场紧柏急响应；紧俱急响应均要仿求7哨×达24小时提慨供。镇紧久急响应要求错在响应请求闪发出2小时灰内由工程师婚到达事故现冶场，协助用终户进行处理红；妙响应服务完颗成后评估单顶位需整理详饿细的事故处笼理报告，内耳容至少包括络事故原因分夫析、已造成丽的影响、处脱理办法、处凡理结果、预口防和改进建青议；5安全咨询倾评估单位应煌根据棉ISO17念799等多艰个标准的相顷关要求副对安全策略刚、安全制度田、安全流程肝进行审计，情提供改进建镇议，建立信茧息安全的阻“红统一破”利策略管理机商制，嘴并特对用户单位菠信息安全体阳系建设规划诚、信息安全若管理体系、把信息安全管嫩理制度建设吧、安全域划荐分等相关内逃容提出符合谊国家及行业西标准的合理铜化建议，并什制定完整的患解决方案筒。末对于新建信示息化项目应脉从业务需求盾分析、系统抚设计、部署劈实施、测试屈验收等全周悠期提供技术捏咨询支持。剂6安全事棕件通告狠评估单誉位应具备专惯门的安全研味究人员以跟哥踪最新安全蒸技术发展、僻收集业界发申布的最新安体全信息及时狭通告用户单市位最新的安取全动态、安巧全技术的发数展趋势，以剪及时效性很将强的漏洞、雷攻击手法、猾病毒码的预奥先通知；朋评步估单位至少械每月提供一失次汇总的安父全通告信息塔，当厂商或屋安全组织发腾布紧急安全扣通告后评估耽单位应在三疮天之内提供袄给人保相关富通告信息；症及纽时提供最新必的设备补丁喇，随时根据药用户需求，拣提供相应安洗全漏洞与响圆应的安全系妄统升级代码闲；及时向招兵标人提供国巷家颁发的最齿新安全制度负与法规。7安全巡检锋包括不限于竖以人工方式得检查主机系仙统和网络设帝备的日志信膨息、安全配译置以及审计载信息等，提厉出安全策略取建议；如发泥现异常现象租或安全问题嫌，及时向用鉴户单位反馈岔，并提供后泪续技术支持盯，配合问题王的查处和解过决许。要求每月徐对安全防护深产品进行一呀次巡检服务尾，并生成巡魂检报告；每撕季度对所有孩主机、数据件库、网络、随安全产品进吸行一次全面躬巡检，并生记成巡检报告栏。代8安全值守针服务济要求评估单夕位在重大节岁假日及特殊俗时期苍安排技术人湾员叶提供安全值熄守服务（包漏含在用户单录位值守及远烫程值守）。怕9安全培训怠服务刷要求每年安损排两次信息禁安全管理及忙技术培训（卡培训只负责灾提供师资及戚培训教材，隙培训教材可猛为电子版）赴，同时，要愉求提供四人周次专业技术批认证培训词（含食宿）炎。欺10挨应急演练服绪务继要求内配合用户守制定信息系竖统风险应急改响应方案，党并每年至少盼安排一次市信息系统风委险应急演练滴。作（二）奴服务原则块为保障安都全风险评估稠工作的有序么进行，特提洲出以下原则拣：直1.保密性路原则法要求评估单烛位酸与用户摧签订保密爽协议，裹在进行信息纺安全风险评池估的过程中桌，豆严格遵循保埋密原则，评率估过程中采铸取严格的管佣理措施，确扮保所涉及到惜的任何用户榆保密信息，朴不会泄露给蝴第三方单位吴或个人，不阀得利用这些钓信息损害用狸户利益。廊2.最小影凤响原则偏要求从项目挂管理和技术览应用的层面饶，在风险评蓝估工作实施隙过程对我局捉现有信息系早统和网络的旷正常运行所辞可能的影响如降到最低程霸度；要求制衡定争风险评估过恨程中的风险器规避方案及挂应急措施。揉3.规范性薯原则低要求评估机步构在充分总捐结多年开展势信息系统安先全风险评估疫实践经验的胞基础上，确削定规范的方稻案；在此次澡信息安全风怕险评估任务膝执行过程中姜，通过规范竞的项目管理捏，在人员、猴项目实施环演节、质量保田障和时间进掘度等方面进侦行严格管控暖。摆4.标准化峰原则显风险评估工严作要求严格诚遵守国家和荣行业的相关丧法规、标准云，并参考国白际的标准来坡实施。验5.完整性收原则惧完整性原则鸣包含以下两庆个层次的内脑容：边评估内容的现完整性攀——非要求在风险依评估工作中租，要综合考华虑所评估信曾息系统的技酿术措施、人陪员、业务及畅运行维护等法方面，含盖非信息安全风鸭险评估合同触要求。贴评估流程的暮完整性臂——鸣要求信息安疮全评估过程含应遵循科学怨性、规范性猛、严谨性原吃则。把6.互动性丝原则段在进行信息精安全风险评疑估过程中，福要求必须有滑用户单位人志员参与，双斜方共同组成佣项目实施部揭门，进行项因目实施，从灾而保证项目其执行的效果阿并提高受我贡局的整体安选全技能和安社全意识。泼（三）评估膜内容境1.刷信息系统安汁全管理状况篇检查赚兔评估各种斗安全制度的块建立情况，羽包括：对终由端计算机访间问互联网的蓝相关制度；笔对终端计算限机接入内网征的相关制度压；使用移动沃存储介质的楼制度；系统教的业务应用溜人员、系统昏的开发、维窝护、管理人静员、系统开丝发、维护人播员相关安全欠管理制度等固。杰2.网络架钻构、网络安数全设备径评估范围包努括：业务办贪公内网、业抚务外网、办国公外网、外后部单位联网在等；采分析网络拓喂扑结构是否尸清晰划分网阀络边界；评俊估网络的安双全区域划分赖以及访问控桂制措施。诱3.对资产忠自身存在的气脆弱性进行呼收集和整理朴物理环境，本包括罩UPS、变脉电设备、空除调、门禁等搁。瓣交换机，包若括核心交换狂机20台，事接入交换机妄20台。检慨查安全漏洞美和补丁的升估级情况，各盐VLAN间狮的访问控制乌策略；口令场设置和管理潜，口令文件鹊的安全存储奸形式；配置溜文件的备份罪。什路由器，自包括核心路美由器5台，蚊接入路由器召10台。检部查凭操作系统是翼否存在安全戴漏洞；配置布方面，检测棕端口开放、滑管理员口令斩设置与管理泰、口令文件虎安全存储形械式、访问控谣制表；是否意能对配置文爽件进行备份厉和导出；关侵键位置路由革器是否有冗证余配置。关安全设备，棚包括通防火墙、入堂侵检测系统骄、网闸、防债病毒、桌面伪管理、审计味、加密机、上身份鉴别等决；共约20户台。匪查看安全设练备的部署情抄况。查看安勇全设备的配挡置策略；查饭看安全的日刃志记录；通塘过漏洞扫描姿系统对安全携进行扫描。月通过渗透性筑测试检安全盛配置的有效附性。锅4.重要服嫂务器的安全觉配置备小型机约6石0台、服祝务器约20复0台。负登录安全检赢测；用户及隔口令安全检签测；共享资供源安全检测收；系统服务泡安全检测；过系统安全补竖丁检测；日象志记录审计伏检测；副木马检测。院5.核心业蓝务系统的安芳全性毙对我局核心膜业务信息系真统，在需求记分析和设计咱阶段是否充乌分识别安全豆需求；是否钩能确保系统弦文件的安全蹈；是否能采拦取措施保护贺应用系统开间发和维护过胸程中的信息义安全。核查考“糠津税系统钓”“优非税收入补”“掀税管员平台和”夫等重要业务叼系统数据访叹问控制情况梨，敏感文档矛资料、服务拐器、用户终欠端、数据库弱等数据加密环保护能力。楼对门户网站区进行渗透性扎测试；对网蚊上报税等核蚂心业务系统诱进行渗透性咏测试；对网吨络边界进行礼渗透性测试研；对内网进拣行渗透性测刷试。蒜（四）评估轰的应用系统娱1.应用系壁统的应用类型里财政应用案地税应用累综合办公应推用姿应逗用姑项头目盯非税系统尖津税系统幕公文系统泡国库集中系什统揪税收管理员凝平台碗邮件系统震部门预算系毒统暖远程电子报钩税系统（含版建安网上开趟票）恢财政地税政序务网吹会计无纸化寇考试系统、饼天津会计网盗、政固定资产管屠理系统陆外网发票查趴询、十二万乒申报、建安闸项目预登记潮、建安房产盛税控开票、鼠车船税代征写代缴系统书财税内部信舒息网站2.数据库踏（1）外网劫远程电子报指税系统数据信库师（2）津税验系统数据库洪（3）津税搂系统查询机舟（4）税管桨员平台数据方库委（5）税管罩员平台OD撤S数据库牵（6）非税陕收入尝（7）会计断无纸化考试颠数据库招（8）国库恒集中支绘（9）部门困预算材（10）财打税政务网、兄天津会计网俊（11）固邀定资产管理握3.外部数斥据交换壮（1）津税型系统人行板数据交换难（2）津税缸系统残联菌数据交换峰（3）国税陵联合办证厦数据交换孩（4）国税怪国地共享鼓（5）施管佳站枯数据交换晕（6）车船半税甘数据交换厚（7）房管乔局契税望数据交换贼（8）非税息收入MQ挑4.操作系肺统贞应用系统和稠数据库涉及帐到的主机操顷作系统。挣5.配电系腥统肚（1）供电自系统库（2）UP挂S够（3）应急词供电系统守6.机房环援境系统悼（1）市局锣机房空调夺（2）市局即机房空间及绣设备摆放路（3）市局龄机房送回风霜空调循环系心统篇（4）市局己机房防火系晚统胸（5）市局轰机房防雷系歼统、防静电脏系统码（6）市局馅机房空调上勾水水质、管猛道及下水路岂由紫（五）质量丽控制泄为保证信息塘安全风险评治估项目质量若，要求在风或险评估过程盈中就风险评他估过程控制女、风险评估弃过程监督、吹风险评估结优果的验证等棋方面严格相粉关标准。势四、服务周棚期筝信息安全风魄险评估服务场自庆2023年佩9月1日胃－柳2023年抬8月31日览。蜡五、服务资舞质要求仆1评估机预构应具备以顽下资质（提芝供证明材料短）：清资质类别缓最高认证级服别讯ISCCC任信息安全风叠险评估服务路资质认证位一级唤国家信息安留全认证信息偿安全服务资保质证书泊安全工程类遗二级蝶羞屡察评估单位