4.1安全风险评估服务-全国重点文物保护单位

1、1中国文物信息咨询中心应急运维服务项目技术需求书2017 年 11 月1 项目概况近年来国家文物局业务不断发展，系统和用户规模不断扩 大，网络安全的重要性越来越突出， 国家文物局对网络及业务系 统的安全性、可靠性提出了更高的要求。因此，需要开展相关运 维安全服务工2作， 进一步提高业务系统的网络安全水平， 提升安 全事件应急处理能力，从技术和管理方面全面保障业务系统安 全、高效的运行，提高业务的服务质量，保障业务的稳定运行。为贯彻落实国家文物局网络安全工作的要求， 加快推进网络 安全建设， 进一步做好网络安全保障工作， 全面提高自身网络安 全保障水平。依据国家网络安全相关标准的要求， 开展本次

2、运维 服务项目。1.1项目目标 对照国际和国内标准查找安全隐患和漏洞进行修补和加固，引入先进的管理理念， 构建国家文物局信息系统安全体系。 制定 相应的风险控制策略， 应急响应机制和应急演练， 使信息系统安 全逐步走上符合国际国内标准、管理规范、制度健全、措施有力 的管理状态， 使信息系统管理水平和安全防范能力都有明显的提 升。通过本项目，主要达到以下目的：1.1.1符合等保要求按照国家等级保护规定和要求，制定相应的技术和管理规 范；并查找与等级保护基本要求的差距，进行差距分析，给出相 应风险对策。 对存在的安全漏洞和薄弱环节提出修补、 加固的措 施和方案等； 制定信息系统危机处理应急响应机制

3、， 切实提高重 要系统的安全防范能力。1.1.2接 轨国际标准对照国际信息安全标准（主要参考IS027001）,摆脱信息系统安全单纯是技术层面的认识， 树立信息系统安全必须与单位整 体安全整合和衔接的“大安全观” ，构建信息系统安全体系，推 动管理水平提升，开展相关制度建设。根据安全需求以及当前系统状况， 评估信息资产的价值， 制 定、实施安全策略、安全标准、安全方针、安全措施来保证我中 心信息资产的完整性、机密性、可用性。1.1.3建设安全队伍通过全面、系统、实用的网络安全专业课程，培养内部技术 和管理人员， 带动安全队伍建设， 促使更多的员工掌握信3息系统 安全相关的标准和知识、 具备相关

4、的管理和维护能力， 从而落实到日常工作中。1.1.4提高信息化成熟度通过本次信息安全服务项目，在坚持科学、客观、公正原则 的基础上，全面、完整地了解系统当前的安全状况，分析系统所 面临的各种风险， 根据本次信息安全服务项目结果发现系统存在 的安全问题， 健全和完善信息安全相关工作， 并对严重的问题提 出相应的风险控制策略。 提高国家文物局核心信息系统的信息安 全保障程度的同时使整体信息系统管理水平再上一个新台级。1.2项目内容此次项目协助国家文物局对所涉及的信息系统依照国家、 国 际相关标准及， 通过现场查看、 顾问访谈、 搜集资料、 检查记录、 检查配置、漏洞扫描、安全配置核查、源代码审计、

5、渗透测试、 安全培训、 应急服务等方式， 从技术和管理层面开展分析评估工 作，并根据评估结果全程主导业务系统的整改加固。 具体的项目 工作内容包括下述七大部分：（1）安全风险评估服务；（2）安全加固服务；（3）源代码审计服务；(4)渗透测试服务;(5)安全培训服务; 应急响应服务;(7)应急演练服务。1.3标准依据从标准化的角度，本项目所涉系统的工作应参考如下的政策 和标准：信息系统安全等级保护基本要求GBT 22239-2008信息系统安全等级保护测评要求GBT 28448-2012信息安全管理体系要求IS027001:201342 项目计划本项目于2017年6月启动实施，并要求中标厂商在合

6、同签 订后进场开展工作，在2018年06月30日前完成所有工作。3 项目范围本项目涉及的信息系统主要包括国家文物局的10余个核心业务系统(国家文物局政府门户网站、 国家文物局网报网审平台、 国家文物局考古审批系统、国家文物局文物进出境管理审批系 统、国家文物局文博网络学院、国家文物局项目经费管理系统 等)、100余个资产，涉及范围广、数据敏感性强。本次项目涉及的软硬件资产主要包括以下对象:网络设备网络设备类型交换机路由器其他网络设备数量123服务器设备主机操作系统Win dowLi nux其他主机数量5213数据库数据库类型SqIServerOracle其他数据库数量103安全设备设备类型防火

7、墙WAF其他设备数量7411应用系统应用类型网站类业务类其他数量8214 业务需求4.1安全风险评估服务风险评估目的是分析信息系统的安全状况，全面了解和掌握该系统面临的信息安全威胁和风险，明确采取何种有效措施，降低威胁事件发生的可能性或者其所造成的影响，减少信息系统的脆弱性，从而将风险降低到可接受的水平； 可以定期了解信息系 统的安全防护水平并为以后安全规划建设的提出提供依据和参 考，综合平衡考虑安全风险与成本代价，为网络与信息系统进行5风险管理奠定基石，帮助客户在降低风险、承受风险、转移风险 等方面做出正确的选择。本次项目风险评估内容包括但不限于： 资产识别、威胁识别、 脆弱性识别，风险分析

8、、风险处置计划等，并撰写安全风险评估 报告。1、资产识别资产识别的目的就是要系统的相关资产做潜在价值分析，了解其资产利用、维护和管理现状。明确各类资产具备的保护价值 和需要的保护层次，从而使企业能够更合理的利用现有资产，更有效地进行资产管理，更有针对性的进行资产保护， 最具策略性 的进行新的资产投入。进行资产识别，获取基础设施的设备列表，包含IP地址、主机名、OS类型、服务类型、管理人员；资产评估，给评估范围内资产进行分类评估并赋值。2、威胁识别通过威胁分析，找出系统目前存在的潜在风险因素，并进行统计，赋值，以便于列出风险。把已经发现的威胁进行分类； 把发现的威胁事件进行分析； 把发现的威胁事

9、件进行影响分析。3、脆弱性识别 脆弱性识别主要从技术和管理两个方面进行， 技术脆弱性涉 及物理层、网络层、系统层、应用层等各个层面的安全问题；管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。 脆 弱性识别以资产为核心， 针对每个资产分别识别其可能被威胁利 用的脆弱性，并对脆弱性的严重程度进行评估。脆弱性识别方式：安全扫描、系统配置检查、操作系统配置 检查、网络配置检查、应用配置检查、应用系统脆弱性测试。4、风险分析对目前存在的安全风险进行分析， 包括风险的计算、 风险的 处置和风险的安全控制措施选择。 根据计算出的风险值， 对风险 进行排序，并与客户共同选择风险的处置方式和风险的安全控

10、制 措施。5、风险处置计划6对于不可接受的风险， 应根据导致该风险的脆弱性和威胁制 定风险处理计划。风险处理计划中明确应采取的弥补其脆弱性、 降低安全事件造成的损失或减少安全事件发生可能性的新的安 全措施、预期效果、实施条件、进度安排、责任部门等。安全措 施的选择应充分考虑到组织、资金、环境、人员、时间、法律、技术和企业文化等多方面的可能限制因素，从管理与技术两个方 面考虑， 管理措施可以作为技术措施的补充。 安全措施的选择与 实施应参照国家和行业的相关标准。本项目中可采取漏洞扫描和安全配置核查方法辅助风险评 估。4.2安全加固服务根据风险评估测评结果，针对国家文物局目前所存在的问 题，需提出

11、明确的整改方案及整改计划， 并主导实施信息安全整 改加固的全流程，包括但不限于： 制定可落地执行安全加固整改 方案、制定风险规避/恢复方案、与各信息系统负责人确认整改 方案及整改计划、全程参与实施各信息系统整改加固工作。4.3源代码审计服务源代码审计服务， 可以全面深入地从源代码层面对web应用 系统进行检测和分析， 找到并修复程序在编码阶段存在的漏洞或 编码缺陷，避免Web应用自身的漏洞被非法利用， 带来更大的风 险。代码审计是检查源代码中的错误和缺陷， 分析这些问题引发 的安全漏洞， 并提供代码修订措施和建议的过程。 代码审计是一 种专业、可控、保密的安全服务，通过代码审计可以提高应用系

12、统自身的安全。代码安全审计的主要关注代码是否遵守安全编码规范， 其审 计内容与安全编码规范一致。 重点关注是否存在或可能导致以下 问题：字符串异常错误、资源注入、整数溢出、文件访问竞争条 件、未释放资源、未检测返回值、未初始化变量、双重释放、释 放后使用、日志伪造、认证误用、缺少XML验证、内存泄露、 路径操纵误用、跨站脚本、进程控制、缓冲区溢出、格式化字符 串、不安全随机数、不安全的临时文件、不安全的反射、不安全 的JNI、SQL注入、缺少错误处理、会话id长度不足、残留的Debug代码。7本项目中源代码审计服务可以通自动或手动的方式执行， 自 动方式主要通过代码扫描工具执行。 手动一般依据

13、编码规范定义 检查表，通过人工对代码的阅读来发现问题：依据前期风险分析、受攻击面分析、威胁建模结果，定义本 次项目中重点关注的安全问题针对上述安全问题， 以安全编码规范为基础， 定义本次审计 的内容，既安全审计检查项，包括对输入输出的检查和校验、对 异常的处理、调用、数据传输、变量的申明、信息记录和存储、 代码权限、资源管理等定义代码审计通过的标准， 如哪些检查项必需达成或检查项 的通过率等以检查表为基础对代码进行检查，并对结果进行跟踪4.4渗透测试服务渗透测试主要利用信息系统的安全漏洞， 模拟入侵者的攻击 方法对信息系统进行非破坏性质的攻击性测试。 模拟黑客可能使 用的攻击模式和漏洞发现技术

14、， 对目标系统作深入的探测， 发现 系统最脆弱的环节和可能被利用的风险点，提出安全整改建议， 并对整改实施过程中遇到的问题提供技术支撑。本项目渗透测试部分包括外网渗透测试和内容渗透测试， 针 对渗透测试内容应包括但不限于：端口扫描、溢出测试、检测页 面隐藏字段、Cookie利用、后门程序检查、Web服务器安全漏 洞、Web服务器错误配置、SQL注入、XSS（跨站脚本）、CRLF注 入、代码执行、目录遍历、文件包含、输入验证、认证、逻辑错 误、密码保护区域猜测、字典攻击、特定的错误页面检测、脆弱 权限的目录、危险的HTTP方法（如：PUT DELETE、Web登录 界面安全性、其他测试。4.5安

15、全培训服务信息安全的保障是靠人、 技术和管理共同来实现的， 人员的 安全意识和安全技术水平将直接影响到整个信息安全体系建设 的实施和有效8利用。 组织内信息安全的保障工作不仅和系统管理 员、网络管理员的安全知识有关，而且和组织内全体员工，特别是组织的领导者都有关系。 投标方需根据项目中可能涉及的信息 安全问题，组织信息安全培训， 达到提升全员用户信息安全意识， 提升组织内相关人员信息安全专业的技术能力， 提升领导的信息 安全管理能力的目标。4.6应急响应服务 提供日常、 重大节假日及敏感时期的信息安全应急响应服 务，对于突发的安全事件在最短时间内做到应急响应， 了解安全 事件的基本现象， 判断安全事件的原因， 进行故障和事件的处理， 并针对安全事件形成的破坏做出灾难恢复。4.7应急演练服务提供应急演练服务， 协助国家文物局相关人员选择合适的应 急演练类别， 编制应急演练方案与计划， 配合业务方进行应急演 练的准备、实施、总结和汇报。5 项目风险控制业务方：业务方需要全程参与并推动本次安全运维服务；项目经理： 通过严格的项目管理， 合理安排业务与项目实施 时间等方法控制在项目过程中可能产生的风险， 如：漏洞扫描造 成业务系统综合运行效能下降而影响业务的风险， 安全服务实施 过程中导致业务系统中