信息安全咨询评估方案建议书

XX集团信息安全咨询评估服务方案建议书目录一需求分析......................................................................................................31.1背景分析.................................................................................................31.2项目目标.................................................................................................41.3需求内容分析.........................................................................................41.3.1技术风险评估需求分析..............................................................41.3.2管理风险评估需求分析..............................................................51.4时间进度需求.........................................................................................61.5考核要求.................................................................................................61.6服务支撑需求.........................................................................................6二项目实施方案..............................................................................................62.1技术安全风险评估.................................................................................62.1.1资产评估......................................................................................62.1.2操作系统平台安全评估..............................................................82.1.3网络安全评估............................................................................102.1.4渗透测试....................................................................................122.2管理风险评估.......................................................................................162.2.1安全管理制度审计....................................................................162.2.2业务流程管控安全评估............................................................172.3评估工具...............................................................................................182.4形成报告...............................................................................................19一需求分析1.1背景分析XX的信息化建设正在朝着集中化和云化的方向发展，通过云计算技术的应用把原来分散于各医院和分支机构的业务系统进行整合，实现基于云平台的业务系统和数据集中部署，从而解决了长期存在的大量信息孤岛问题，降低珍贵医疗数据和商业数据的流失风险，也为未来的集团医疗大数据分析和精准医疗服务打下扎实的基础。从原来分散式的信息孤岛到现在的云化集中部署，XX的信息化环境正在发生根本性的变化，带来节约人力成本、提高工作效率、减少管理漏洞、提高数据准确性等诸多的好处。当前，国内外数据安全事件层出不穷，网络信息安全环境日趋复杂，信息化环境的变化也同时带来了新的信息安全风险，总体来说包括以下几个方面：一、实现系统和数据的集中化部署后，等于把原来分散的信息安全风险也进行了集中，一旦发生信息安全事故，其影响将是全局性的。比如在原有的信息化环境下发生敏感数据泄漏，其泄漏范围只限于个别的医院或分支机构。而现在一旦发生数据泄漏，泄漏范围会是全集团所有医院和分支机构，直接和间接的损失不可同日而语。二、云计算是一种颠覆传统IT架构的前沿技术，它可以增强协作，提高敏捷性、可扩展性以及可用性。还可以通过优化资源分配、提高计算效率来降低成本。这也意味着基于传统IT架构的信息安全技术和产品往往不能再为云端系统和数据提供足够的防护能力。三、系统和数据的集中部署、云计算技术应用都要求建立可靠的信息安全管理机制，改变原有的离散管理模型，从管理规范和工作流程上实现与现有集中模式的对接，降低因管理不当导致的信息安全风险。1.2项目目标对XX当前的信息化环境从管理和技术上进行充分的信息安全风险评估，并依据风险评估结果制订相应的风险管控方案。具体建设内容包括：1.技术风险评估：1）对现有的信息系统、机房及基础网络资产和网络拓扑、数据资产、特权账号资产等进行安全风险评估；2）对核心业务系统进行WEB安全、数据安全、业务逻辑安全风险评估；3）对正在建设的云计算基础平台架构及承载的操作系统进行安全风险评估；4）渗透模拟黑客可能使用的攻击技术和漏洞发现技术，对业务系统进行授权渗透测试，对目标系统进行深入的探测，以发现系统最脆弱的环节、可能被利用的入侵点以及现网存在的安全隐患。2.管理风险评估1）采用调查访谈并结合实地考察的形式，对数据中心和核心系统的安全管理制度进行疏理和安全风险评估；2）对业务管控制度和流程进行安全风险评估，采用阅读流程资料和相关人员访谈的形式了解业务和系统内控制度和实现的业务流程，试用流程中涉及的软件，察看各个业务控制点是否都得到有效的实施，各个接口的处理是否妥当，监督检查办法是否健全；3.信息安全风险管控方案其于上述风险评估结果，针对具体的安全漏洞和风险设计管控方案，包括但不限于安全漏洞加固方案、信息安全管理规范优化提升方案、信息安全防护技术解决方案等。1.3需求内容分析1.3.1技术风险评估需求分析本项目对技术风险评估的内容要求主要是：1、资产评估资产评估对象不仅包括设备设施等物理资产，同时也包括敏感数据、特权账号等信息资产，其评估步骤如下：第一步：通过资产识别，对重要资产做潜在价值分析，了解其资产利用、维护和管理现状，并提交资产清单；第二步：通过对资产的安全属性分析和风险评估，明确各类资产具备的保护价值和需要的保护层次，从而使企业能够更合理的利用现有资产，更有效地进行资产管理，更有针对性的进行资产保护，最具策略性的进行新的资产投入。2、操作系统平台安全评估针对资产清单中重要和核心的操作系统平台进行安全评估，完整、全面地发现系统主机的漏洞和安全隐患。3、网络拓扑、网络设备安全评估针对资产清单中边界网络设备和部分核心网络设备，结合网络拓扑架构，分析存在的网络安全隐患。4、应用系统安全评估（渗透测试）：通过模拟黑客可能使用的攻击技术和漏洞发现技术，对XX集团授权渗透测试的目标系统进行深入的探测，以发现系统最脆弱的环节、可能被利用的入侵点以及现网存在的安全隐患，并指导进行安全加固。1.3.2管理风险评估需求分析1、安全管理制度审计：通过调研重要和核心资产管理、关键业务及数据、相关系统的基本信息、现有的安全措施等情况，并了解目前XX集团所实施的安全管理流程、制度和策略，分析目前XX集团在安全管理上存在的不合理制度或漏洞。2、业务管控安全评估：通过调研业务系统内控制度和实现的业务流程，试用流程中涉及的软件，察看各个业务控制点是否都得到有效的实施，各个接口的处理是否妥当，监督检查办法是否健全，从而改进内控制度和业务流程的合理性和数据流的安全性。1.4时间进度需求项目的时间需按照整体时间要求完成全部工作，并且需提交阶段性工作成果。1.5考核要求XX集团将对项目的交付成果和执行过程中的质量进行考核，考核结果将作为最终结算的依据。考核办法将由XX集团和项目服务提供方共同协商制定。1.6服务支撑需求本项目的服务供应方需与XX集团项目组成员组成项目团队，并且共同完成该项目所有工作。项目团队采取紧密沟通的方式，分为每周例会定期沟通和重大问题共同讨论的沟通方式。该项目的办公时间为5天*8小时/周；值班电话须7天*24小时/周保持通话畅通。交付成果需求本项目在开展过程中需进行日报、周报、月报等相关工作计划与总结的提交，并根据实际工作内容及时提交相应工作成果及报告。二项目实施方案2.1技术安全风险评估2.1.1资产评估保护资产免受安全威胁是安全工程实施的根本目标。要做好这项工作，首先需要详细了解资产分类与管理的详细情况。项目名称资产识别简要描述采集资产信息，进行资产分类，划分资产重要级别；达成目标采集资产信息，进行资产分类，划分资产重要级别；进一步明确评估的范围和重点；主要内容采集资产信息，获取资产清单；进行资产分类划分；确定资产的重要级别；实现方式填表式调查《资产调查表》，包含计算机设备、通讯设备、存储及保障设备、信息、软件等。交流审阅已有的针对资产的安全管理规章、制度；与高级主管、业务人员、网络管理员（系统管理员）等进行交流。工作条件1-2人工作环境，2台Win2000PC，电源和网络环境，客户人员和资料配合工作结果资产类别、资产重要级别；参加人员依据现场状况，由XX集团提供现有资产清单，并由全体评估人员在XX相关技术和管理人员的配合下进行资产分类调查。项目名称风险评估简要描述评估资产的安全等级和应给予的安全保护等级达成目标评估资产的安全等级；评估资产应给予的安全保护等级；主要内容确定资产的安全等级；对安全保障进行等级分类；确定资产的应给予的保护级别；实现方式填表式调查：《资产调查表》，包含计算机设备、通讯设备、存储及保障设备、信息、软件等。交流审阅已有的针对资产的安全管理规章、制度；与高级主管、业务人员、网络管理员（系统管理员）等进行交流。工作条件2-3人工作环境，3台Win2000PC，电源和网络环境，客户人员和资料配合工作结果资产安全级别；资产应给予的安全保障级别；资产安全保障建议参加人员依据现场状况，由全体评估人员在XX集团相关技术和管理人员的配合下进行。2.1.2操作系统平台安全评估2.1.2.1工具扫描使用业界专业漏洞扫描软件，根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测主机操作系统存在的安全隐患和漏洞。1、主要检测内容：服务器主机操作系统内核、版本及补丁审计服务器主机操作系统通用/默认应用程序安全性审计服务器主机后门检测服务器主机漏洞