(安全生產(chǎn))關(guān)于我局信息安全評(píng)估的整體方案

1、一、項(xiàng)目背景多年來，天津市財(cái)政局（地方稅務(wù)局）在加快信息化建設(shè)和防范措施，取得了較好的工作效果，但同新形勢、新任務(wù)的要求相比，還存在有許多不相適應(yīng)的地方。2009 年，國家稅務(wù)總局作提出了新的更高的要求。因此，天津市財(cái)政局（地方稅務(wù)局）在對(duì)現(xiàn)有信息安全資源進(jìn)行整合、整改的同時(shí)，按照國家稅務(wù)總局信息安全管理規(guī)定，應(yīng)急演練服務(wù)等工作內(nèi)容（以下簡稱“安全風(fēng)險(xiǎn)評(píng)估”），形成安全規(guī)劃、實(shí)施、檢查、處置二、項(xiàng)目目標(biāo)四位一體的長效機(jī)制。 完善安全管理機(jī)制；通過入挖掘網(wǎng)絡(luò)與信息系統(tǒng)存在的脆弱點(diǎn)，并以業(yè)務(wù)系統(tǒng)為關(guān)鍵要素，對(duì)現(xiàn)有的信息安全管理制度和技術(shù)措施的有效性進(jìn)行評(píng)估，安全專業(yè)人才，為財(cái)稅系統(tǒng)各項(xiàng)業(yè)務(wù)提供安全

2、可靠的支撐平臺(tái)。三、項(xiàng)目需求（一）服務(wù)要求1基本要求“安全風(fēng)險(xiǎn)評(píng)估服務(wù)”全過程要求有據(jù)可依，并在產(chǎn)品使用IT 設(shè)備及應(yīng)用軟件，需要有軟件產(chǎn)品識(shí)別所有設(shè)備及其安全配置，或以其他方式收集、保存設(shè)備明細(xì)及安全配置，進(jìn)行資產(chǎn)收發(fā)生時(shí)，提供應(yīng)急的安全分析、緊急響應(yīng)服務(wù)。2安全評(píng)估物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、服務(wù)器及網(wǎng)絡(luò)安全設(shè)評(píng)估；內(nèi)核參數(shù)安全、文件系統(tǒng)安全、日志安全等；從應(yīng)用系統(tǒng)相關(guān)硬包括以下幾方面： 安全評(píng)估服務(wù)范圍應(yīng)包括但不只限于協(xié)助用戶完成2010年度信息安全專項(xiàng)檢查工作。3安全加固每次對(duì)用戶單位網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行全面評(píng)估后應(yīng)立即制定全加固方案。安全加固方案應(yīng)覆蓋用戶單位 IT 系統(tǒng)中所有

3、服務(wù)器和網(wǎng)絡(luò)設(shè)備，以及不同類別的操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)。加固過程需要暫時(shí)中斷業(yè)務(wù)，須設(shè)計(jì)具體的解決方案。同時(shí)，隨著信息技術(shù)的發(fā)展，當(dāng)新的漏洞出現(xiàn)時(shí)，評(píng)估單位作；4緊急響應(yīng)均要求724小時(shí)提供。緊急響應(yīng)要求在響應(yīng)請(qǐng)求發(fā)出 2 小時(shí)內(nèi)由工程師到達(dá)事故現(xiàn)場，協(xié)助用戶進(jìn)行處理；至少包括事故原因分析、已造成的影響、處理辦法、處理結(jié)果、預(yù)防和改進(jìn)建議；5安全咨詢?cè)u(píng)估單位應(yīng)根據(jù) ISO17799 等多個(gè)標(biāo)準(zhǔn)的相關(guān)要求對(duì)安全策略、安全制度、安全流程進(jìn)行審計(jì)，提供改進(jìn)建議，建立信息安全的“統(tǒng)一”策略管理機(jī)制，并對(duì)用戶單位信息安全體系建設(shè)規(guī)劃、信息安全管理體系、信息安全管理制度建設(shè)、安全域劃分的解決方案。施、

4、測試驗(yàn)收等全周期提供技術(shù)咨詢支持。6 安全事件通告評(píng)估單位應(yīng)具備專門的安全研究人員以跟蹤最新安全技術(shù)發(fā)病毒碼的預(yù)先通知；安全組織發(fā)布緊急安全通告后評(píng)估單位應(yīng)在三天之內(nèi)提供給人保相關(guān)通告信息；的最新安全制度與法規(guī)。7安全巡檢包括不限于以人工方式檢查主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的日志信息、安全配置以及審計(jì)信息等，提出安全策略建議；如發(fā)現(xiàn)異常現(xiàn)象或安全問題，及時(shí)向用戶單位反饋，并提供后續(xù)技術(shù)支持，服務(wù)，并生成巡檢報(bào)告；每季度對(duì)所有主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)、安全產(chǎn)品進(jìn)行一次全面巡檢，并生成巡檢報(bào)告。8安全值守服務(wù)要求評(píng)估單位在重大節(jié)假日及特殊時(shí)期安排技術(shù)人員提供9安全培訓(xùn)服務(wù)10應(yīng)急演練服務(wù)安排一次信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)急演

5、練。（二）服務(wù)原則為保障安全風(fēng)險(xiǎn)評(píng)估工作的有序進(jìn)行，特提出以下原則：1.保密性原則或個(gè)人，不得利用這些信息損害用戶利益。2.最小影響原則程對(duì)我局現(xiàn)有信息系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行所可能的影響降到最低程度；要求制定風(fēng)險(xiǎn)評(píng)估過程中的風(fēng)險(xiǎn)規(guī)避方案及應(yīng)急措施。3.規(guī)范性原則要求評(píng)估機(jī)構(gòu)在充分總結(jié)多年開展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估質(zhì)量保障和時(shí)間進(jìn)度等方面進(jìn)行嚴(yán)格管控。4.標(biāo)準(zhǔn)化原則風(fēng)險(xiǎn)評(píng)估工作要求嚴(yán)格遵守國家和行業(yè)的相關(guān)法規(guī)、標(biāo)準(zhǔn)，并參考國際的標(biāo)準(zhǔn)來實(shí)施。5.完整性原則完整性原則包含以下兩個(gè)層次的內(nèi)容：所評(píng)估信息系統(tǒng)的技術(shù)措施、人員、業(yè)務(wù)及運(yùn)行維護(hù)等方面，含蓋信息安全風(fēng)險(xiǎn)評(píng)估合同要求。評(píng)估流程的完整性要求信息安全評(píng)

6、估過程應(yīng)遵循科學(xué)性、規(guī)范性、嚴(yán)謹(jǐn)性原則。6.互動(dòng)性原則參與，雙方共同組成項(xiàng)目實(shí)施部門，進(jìn)行項(xiàng)目實(shí)施，從而保證項(xiàng)目執(zhí)行的效果并提高受我局的整體安全技能和安全意識(shí)。（三）評(píng)估內(nèi)容1.信息系統(tǒng)安全管理狀況檢查評(píng)估各種安全制度的建立情況，包括：對(duì)終端計(jì)算機(jī)訪問互存儲(chǔ)介質(zhì)的制度；系統(tǒng)的業(yè)務(wù)應(yīng)用人員、系統(tǒng)的開發(fā)、維護(hù)、管理人員、系統(tǒng)開發(fā)、維護(hù)人員相關(guān)安全管理制度等。2.網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)安全設(shè)備評(píng)估范圍包括：業(yè)務(wù)辦公內(nèi)網(wǎng)、業(yè)務(wù)外網(wǎng)、辦公外網(wǎng)、外部絡(luò)的安全區(qū)域劃分以及訪問控制措施。3.對(duì)資產(chǎn)自身存在的脆弱性進(jìn)行收集和整理物理環(huán)境， 包括 UPS、變電設(shè)備、空調(diào)、門禁等。交換機(jī)，包括核心交換機(jī) 20 臺(tái)，接入交換

7、機(jī) 20 臺(tái)。檢查安全漏洞和補(bǔ)丁的升級(jí)情況，各 VLAN 間的訪問控制策略；口令設(shè)置和管理，口令文件的安全存儲(chǔ)形式；配置文件的備份。路由器，包括核心路由器5臺(tái)，接入路由器10臺(tái)。檢查操作系統(tǒng)是否存在安全漏洞；配置方面，檢測端口開放、管理員口令設(shè)置與管理、口令文件安全存儲(chǔ)形式、訪問控制表；是否能對(duì)配置文件進(jìn)行備份和導(dǎo)出；關(guān)鍵位置路由器是否有冗余配置。安全設(shè)備，包括防火墻、入侵檢測系統(tǒng)、網(wǎng)閘、防病毒、桌面管理、審計(jì)、加密機(jī)、身份鑒別等；共約 20 臺(tái)。查看安全設(shè)的有效性。4.重要服務(wù)器的安全配置小型機(jī)約60臺(tái)、服務(wù)器約200臺(tái)。登錄安全檢測；用戶及口令安全檢測；共享資源安全檢測；系統(tǒng)服務(wù)安全檢測；

8、系統(tǒng)安全補(bǔ)丁檢測；日志記錄審計(jì)檢測；木馬檢測。5.核心業(yè)務(wù)系統(tǒng)的安全性感文檔資料、服務(wù)器、用戶終端、數(shù)據(jù)庫等數(shù)據(jù)加密保護(hù)能力。（四）評(píng)估的應(yīng)用系統(tǒng)1.應(yīng)用系統(tǒng)應(yīng)用類型綜合辦公應(yīng)用公文系統(tǒng)部門預(yù)算系 遠(yuǎn)程電子報(bào)稅系 財(cái)政地稅政務(wù)票）會(huì)計(jì)無紙化 財(cái)稅內(nèi)部信息考試系統(tǒng)、 天津會(huì)計(jì) 固定資產(chǎn)管 稅代征代繳系統(tǒng)理系統(tǒng)2.數(shù)據(jù)庫（1）外網(wǎng)遠(yuǎn)程電子報(bào)稅系統(tǒng)數(shù)據(jù)庫（2）津稅系統(tǒng)數(shù)據(jù)庫（3）津稅系統(tǒng)查詢機(jī)（4）稅管員平臺(tái)數(shù)據(jù)庫（5）稅管員平臺(tái) ODS數(shù)據(jù)庫（6）非稅收入（7）會(huì)計(jì)無紙化考試數(shù)據(jù)庫（8）國庫集中支（9）部門預(yù)算（10）財(cái)稅政務(wù)網(wǎng)、天津會(huì)計(jì)網(wǎng)（11）固定資產(chǎn)管理3.外部數(shù)據(jù)交換（1）津稅系統(tǒng)人行數(shù)據(jù)

9、交換（2）津稅系統(tǒng)殘聯(lián)數(shù)據(jù)交換（3）國稅聯(lián)合辦證數(shù)據(jù)交換（4）國稅國地共享（5）施管站數(shù)據(jù)交換（6）車船稅數(shù)據(jù)交換（7）房管局契稅數(shù)據(jù)交換（8）非稅收入 MQ4.操作系統(tǒng)應(yīng)用系統(tǒng)和數(shù)據(jù)庫涉及到的主機(jī)操作系統(tǒng)。5.配電系統(tǒng)（1）供電系統(tǒng)（2）UPS（3）應(yīng)急供電系統(tǒng)6.機(jī)房環(huán)境系統(tǒng)（1）市局機(jī)房空調(diào)（2）市局機(jī)房空間及設(shè)備擺放（3）市局機(jī)房送回風(fēng)空調(diào)循環(huán)系統(tǒng)（4）市局機(jī)房防火系統(tǒng)（5）市局機(jī)房防雷系統(tǒng)、防靜電系統(tǒng)（6）市局機(jī)房空調(diào)上水水質(zhì)、管道及下水路由（五）質(zhì)量控制等方面嚴(yán)格相關(guān)標(biāo)準(zhǔn)。四、服務(wù)周期信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)自 2010年 9 月1日2011 年 8月31日。五、服務(wù)資質(zhì)要求1 安全工程類二級(jí)2 對(duì)評(píng)估單位的其他要求評(píng)估單位近 3 年內(nèi)具有 3 個(gè)以上金融行業(yè)或政府、企業(yè)（合同金額 100 萬元以上）同類項(xiàng)目經(jīng)驗(yàn)，并提供相關(guān)案例的