(安全生产)关于我局信息安全评估的整体方案

1、一、项目背景多年来，天津市财政局（地方税务局）在加快信息化建设和防范措施，取得了较好的工作效果，但同新形势、新任务的要求相比，还存在有许多不相适应的地方。2009 年，国家税务总局作提出了新的更高的要求。因此，天津市财政局（地方税务局）在对现有信息安全资源进行整合、整改的同时，按照国家税务总局信息安全管理规定，应急演练服务等工作内容（以下简称“安全风险评估”），形成安全规划、实施、检查、处置二、项目目标四位一体的长效机制。 完善安全管理机制；通过入挖掘网络与信息系统存在的脆弱点，并以业务系统为关键要素，对现有的信息安全管理制度和技术措施的有效性进行评估，安全专业人才，为财税系统各项业务提供安全

2、可靠的支撑平台。三、项目需求（一）服务要求1基本要求“安全风险评估服务”全过程要求有据可依，并在产品使用IT 设备及应用软件，需要有软件产品识别所有设备及其安全配置，或以其他方式收集、保存设备明细及安全配置，进行资产收发生时，提供应急的安全分析、紧急响应服务。2安全评估物理环境、网络结构、应用系统、数据库、服务器及网络安全设评估；内核参数安全、文件系统安全、日志安全等；从应用系统相关硬包括以下几方面： 安全评估服务范围应包括但不只限于协助用户完成2010年度信息安全专项检查工作。3安全加固每次对用户单位网络信息系统进行全面评估后应立即制定全加固方案。安全加固方案应覆盖用户单位 IT 系统中所有

3、服务器和网络设备，以及不同类别的操作系统、数据库和应用系统。加固过程需要暂时中断业务，须设计具体的解决方案。同时，随着信息技术的发展，当新的漏洞出现时，评估单位作；4紧急响应均要求724小时提供。紧急响应要求在响应请求发出 2 小时内由工程师到达事故现场，协助用户进行处理；至少包括事故原因分析、已造成的影响、处理办法、处理结果、预防和改进建议；5安全咨询评估单位应根据 ISO17799 等多个标准的相关要求对安全策略、安全制度、安全流程进行审计，提供改进建议，建立信息安全的“统一”策略管理机制，并对用户单位信息安全体系建设规划、信息安全管理体系、信息安全管理制度建设、安全域划分的解决方案。施、

4、测试验收等全周期提供技术咨询支持。6 安全事件通告评估单位应具备专门的安全研究人员以跟踪最新安全技术发病毒码的预先通知；安全组织发布紧急安全通告后评估单位应在三天之内提供给人保相关通告信息；的最新安全制度与法规。7安全巡检包括不限于以人工方式检查主机系统和网络设备的日志信息、安全配置以及审计信息等，提出安全策略建议；如发现异常现象或安全问题，及时向用户单位反馈，并提供后续技术支持，服务，并生成巡检报告；每季度对所有主机、数据库、网络、安全产品进行一次全面巡检，并生成巡检报告。8安全值守服务要求评估单位在重大节假日及特殊时期安排技术人员提供9安全培训服务10应急演练服务安排一次信息系统风险应急演

5、练。（二）服务原则为保障安全风险评估工作的有序进行，特提出以下原则：1.保密性原则或个人，不得利用这些信息损害用户利益。2.最小影响原则程对我局现有信息系统和网络的正常运行所可能的影响降到最低程度；要求制定风险评估过程中的风险规避方案及应急措施。3.规范性原则要求评估机构在充分总结多年开展信息系统安全风险评估质量保障和时间进度等方面进行严格管控。4.标准化原则风险评估工作要求严格遵守国家和行业的相关法规、标准，并参考国际的标准来实施。5.完整性原则完整性原则包含以下两个层次的内容：所评估信息系统的技术措施、人员、业务及运行维护等方面，含盖信息安全风险评估合同要求。评估流程的完整性要求信息安全评

6、估过程应遵循科学性、规范性、严谨性原则。6.互动性原则参与，双方共同组成项目实施部门，进行项目实施，从而保证项目执行的效果并提高受我局的整体安全技能和安全意识。（三）评估内容1.信息系统安全管理状况检查评估各种安全制度的建立情况，包括：对终端计算机访问互存储介质的制度；系统的业务应用人员、系统的开发、维护、管理人员、系统开发、维护人员相关安全管理制度等。2.网络架构、网络安全设备评估范围包括：业务办公内网、业务外网、办公外网、外部络的安全区域划分以及访问控制措施。3.对资产自身存在的脆弱性进行收集和整理物理环境， 包括 UPS、变电设备、空调、门禁等。交换机，包括核心交换机 20 台，接入交换

7、机 20 台。检查安全漏洞和补丁的升级情况，各 VLAN 间的访问控制策略；口令设置和管理，口令文件的安全存储形式；配置文件的备份。路由器，包括核心路由器5台，接入路由器10台。检查操作系统是否存在安全漏洞；配置方面，检测端口开放、管理员口令设置与管理、口令文件安全存储形式、访问控制表；是否能对配置文件进行备份和导出；关键位置路由器是否有冗余配置。安全设备，包括防火墙、入侵检测系统、网闸、防病毒、桌面管理、审计、加密机、身份鉴别等；共约 20 台。查看安全设的有效性。4.重要服务器的安全配置小型机约60台、服务器约200台。登录安全检测；用户及口令安全检测；共享资源安全检测；系统服务安全检测；

8、系统安全补丁检测；日志记录审计检测；木马检测。5.核心业务系统的安全性感文档资料、服务器、用户终端、数据库等数据加密保护能力。（四）评估的应用系统1.应用系统应用类型综合办公应用公文系统部门预算系 远程电子报税系 财政地税政务票）会计无纸化 财税内部信息考试系统、 天津会计 固定资产管 税代征代缴系统理系统2.数据库（1）外网远程电子报税系统数据库（2）津税系统数据库（3）津税系统查询机（4）税管员平台数据库（5）税管员平台 ODS数据库（6）非税收入（7）会计无纸化考试数据库（8）国库集中支（9）部门预算（10）财税政务网、天津会计网（11）固定资产管理3.外部数据交换（1）津税系统人行数据

9、交换（2）津税系统残联数据交换（3）国税联合办证数据交换（4）国税国地共享（5）施管站数据交换（6）车船税数据交换（7）房管局契税数据交换（8）非税收入 MQ4.操作系统应用系统和数据库涉及到的主机操作系统。5.配电系统（1）供电系统（2）UPS（3）应急供电系统6.机房环境系统（1）市局机房空调（2）市局机房空间及设备摆放（3）市局机房送回风空调循环系统（4）市局机房防火系统（5）市局机房防雷系统、防静电系统（6）市局机房空调上水水质、管道及下水路由（五）质量控制等方面严格相关标准。四、服务周期信息安全风险评估服务自 2010年 9 月1日2011 年 8月31日。五、服务资质要求1 安全工程类二级2 对评估单位的其他要求评估单位近 3 年内具有 3 个以上金融行业或政府、企业（合同金额 100 万元以上）同类项目经验，并提供相关案例的