【文章內(nèi)容簡介】 100 要達(dá)成的目標(biāo) 100 實(shí)施范圍 101 實(shí)施步驟 101 第二章 專業(yè)的安全評估服務(wù) 104 評估 .............................................................................................................................................104 評估模型 ....................................................................................................................................105 概述 105 資產(chǎn)評估 106 威脅評估 106 弱點(diǎn)評估 108 風(fēng)險(xiǎn)評估 111 本地安全評估過程 ..................................................................................................................111 科技 XXXX 產(chǎn)業(yè)立地 第 5 頁 風(fēng)險(xiǎn)評估目標(biāo) 111 ．風(fēng)險(xiǎn)評估過程 112 117 117 118 119 119 IT規(guī)范管理流程和制度 120 121 科技 XXXX 產(chǎn)業(yè)立地 第 6 頁 第一部分 概述 第一章 項(xiàng)目背景概述 XXX 通過多年的網(wǎng)絡(luò)建設(shè)，在網(wǎng)絡(luò)信息建設(shè)方面已經(jīng)取得了一些成果，然而當(dāng)今網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，網(wǎng)絡(luò)攻擊的途徑也趨于多樣化和復(fù)雜，所以網(wǎng)絡(luò)安全建設(shè)顯得尤為重要，根據(jù) XXXX 集團(tuán)多年來為各政府部門和金融機(jī)構(gòu)在系統(tǒng)集成和網(wǎng)絡(luò)安全方面取得的 服務(wù) 經(jīng)驗(yàn)和研究成果，此次為市 XXX 的網(wǎng)絡(luò)安全系統(tǒng)的規(guī)劃和設(shè)計(jì)提出建議，使 XXX 的網(wǎng)絡(luò)安全系 統(tǒng)建設(shè)從一開始就走上統(tǒng)一規(guī)劃，有序建設(shè)的道路。 XXXX 軟件 采用公認(rèn)的 ISO 1779 ISO 1333 SSECMM 安全標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評估的工作，針對資產(chǎn)重要程度分別提供不同頻率和方式的安全評估，幫助網(wǎng)管了解網(wǎng)絡(luò)安全情況，并解決可能存在的風(fēng)險(xiǎn)。配合本地安全維護(hù)和遠(yuǎn)程安全監(jiān)控服務(wù)，即使客戶網(wǎng)絡(luò)不斷變化，也能很好的維持全網(wǎng)的安全基準(zhǔn)線。 XXXX 軟件 在幾個(gè)重要行業(yè)均有典型成功案例，電信行業(yè)有廣東電信研究院的廣域網(wǎng)邊界網(wǎng)絡(luò)性能監(jiān)測、數(shù)據(jù)采樣、訪問控制解決方案，深圳高新網(wǎng) Tivoli 網(wǎng)管系統(tǒng)，包括主機(jī)和數(shù)據(jù)庫 監(jiān)控管理，網(wǎng)絡(luò)拓?fù)浜驮O(shè)備管理。政府行業(yè)有社保網(wǎng)絡(luò)安全整體解決方案，包括防火墻、防病毒、網(wǎng)絡(luò)和主機(jī)入侵檢測系統(tǒng)、網(wǎng)絡(luò)協(xié)議分析等。金融行業(yè)我們?yōu)樯钲谑薪鹑诮Y(jié)算中心提供年度安全評估、系統(tǒng)安全加固、緊急安全響應(yīng)、安全認(rèn)證培訓(xùn)服務(wù)，中集 安全評估和整天安全設(shè)計(jì) 項(xiàng)目實(shí)施，金元證券整體防病毒及 RSA 動(dòng)態(tài)口令項(xiàng)目等。 XXXX 軟件 的技術(shù)團(tuán)隊(duì)在重要項(xiàng)目的不斷實(shí)施和服務(wù)中，積累了寶貴的經(jīng)驗(yàn)和知識，并建立了自己的知識庫和文檔庫，為以后的項(xiàng)目提供強(qiáng)有力的支持。 XXXX 軟件 公司作為國內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全服務(wù)提供商，憑借其在安全行業(yè)多年的服 務(wù)經(jīng)驗(yàn)，以及通過對市 XXX 外聯(lián)網(wǎng)網(wǎng)絡(luò)安全工程的理解，在 XXX 網(wǎng)絡(luò)安全方案初步設(shè)想的基礎(chǔ)上，根據(jù) XXX 網(wǎng)絡(luò)安全的特點(diǎn)和需求，本著切合實(shí)際、保護(hù)投資、著眼未來的原則，提出了針對市 XXX 安 科技 XXXX 產(chǎn)業(yè)立地 第 7 頁 全需求的解決方案、實(shí)施計(jì)劃、支持與服務(wù)建議書。 XXXX 軟件 充分利用其廣泛的行業(yè)經(jīng)驗(yàn)和技術(shù)實(shí)力，提供了一個(gè)包括防火墻、 入侵檢測、 網(wǎng)絡(luò)監(jiān)控 、 網(wǎng)絡(luò)隔離、多應(yīng)用系統(tǒng)、 安全評估服務(wù) 等一攬子產(chǎn)品的整體解決方案，實(shí)現(xiàn)了主動(dòng)防護(hù)與被動(dòng)監(jiān)控、全面防護(hù)與重點(diǎn)防護(hù)的完美結(jié)合。 第二章 信息安全理論和依據(jù) 北京 XXXX 軟件有限公司 采用公認(rèn)的 ISO 1779 ISO 1333 SSECMM安全標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評估的工作 ，以相關(guān)法律、法規(guī)為準(zhǔn)繩。 信息安全標(biāo)準(zhǔn) 標(biāo)準(zhǔn)化能夠保證信息安全產(chǎn)品、工程和服務(wù)質(zhì)量，是提高企業(yè)管理水平的基礎(chǔ)，能同時(shí)為用戶單位和安全廠商提供設(shè)計(jì)和施工的指南。與信息安全有關(guān)的標(biāo)準(zhǔn)有很多，對于一個(gè)信息系統(tǒng)安全項(xiàng)目來說， 保證項(xiàng)目成功實(shí)施可以依據(jù)的標(biāo)準(zhǔn)有： ? 信息安全系統(tǒng)工程標(biāo)準(zhǔn) ? 信息安全管理標(biāo)準(zhǔn) ? 信息安全測評認(rèn)證標(biāo)準(zhǔn) 下面分別進(jìn)行簡單介紹。 信息安全系統(tǒng)工程標(biāo)準(zhǔn) SSECMM 目前國際上最新，最權(quán)威也是最有代表性的標(biāo)準(zhǔn)是系 統(tǒng)安全工程能力成熟度模型，簡稱 SSECMM。 SSECMM描述了一個(gè)組織的安全工程過程務(wù)必包含的本質(zhì)特征，這些特征是完善安全工程的保證，也是安全工程實(shí)施的度量標(biāo)準(zhǔn)，還是一個(gè)易于理解的評估安全工程實(shí)施的框架。 SSECMM 將安全工程劃分為三個(gè)基本過程，即風(fēng)險(xiǎn)、工程和保證： 1) 風(fēng)險(xiǎn) 安全工程的主要目標(biāo)是降低風(fēng)險(xiǎn)。 SSECMM 在風(fēng)險(xiǎn)過程中包含的過程區(qū)包括：評估威脅、評估脆弱性、評估影響和評估安全風(fēng)險(xiǎn)。 科技 XXXX 產(chǎn)業(yè)立地 第 8 頁 2) 工程 工程過程是一個(gè)包括概念、設(shè)計(jì)、實(shí)現(xiàn)、測試、部署、運(yùn)行、維護(hù)和終止的完整過程。 SSECMM 為安全工程過 程的規(guī)范和管理提供了指南性的框架。 3) 保證 保證是指安全需要得到滿足的信任程度。 SSECMM 的信任程度來自于安全工程過程可重復(fù)性的結(jié)果質(zhì)量。 SSECMM 及其評定方法可用于安全的工程組織（廠商）、采購組織（用戶）和評估機(jī)構(gòu)（第三方機(jī)構(gòu)）。 對于廠商來說，按 SSECMM 標(biāo)準(zhǔn)規(guī)范組織工程實(shí)施可以提高信息安全系統(tǒng)質(zhì)量，降低風(fēng)險(xiǎn)，獲得真正工程能力的認(rèn)可。 對于用戶來說，可以用來判別一個(gè)供應(yīng)商的安全工程能力，進(jìn)一步判別該組織供應(yīng)的產(chǎn)品和系統(tǒng)的可信任性，完成一個(gè)工程的可信任性，減少選擇不合格投標(biāo)者的風(fēng)險(xiǎn)。 信息安全管理標(biāo)準(zhǔn) ISO17799 國際上目前最成熟也是最權(quán)威的信息安全管理標(biāo)準(zhǔn)是 ISO17799，它由英國制定的 BS7799 演化而來，是目前世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。組織按照先進(jìn)的 ISO17799 信息安全管理標(biāo)準(zhǔn)建立組織完整的信息安全管理體系，并實(shí)施與保持，可以達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的，以預(yù)防為主的信息安全管理方式。用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的連續(xù)性。 信息安全測評認(rèn)證標(biāo)準(zhǔn) GB/T 18336和第三方權(quán)威機(jī)構(gòu) 由于信息安全有著關(guān)系 到國家主權(quán)和國家安全的特殊性，信息安全測評認(rèn)證系統(tǒng)也是不同于一般的民間第三方認(rèn)證體系，而是政府授權(quán)的第三方測評認(rèn)證體系，即國家信息安全測評認(rèn)證體系。 我國信息安全測評認(rèn)證體系建立在標(biāo)準(zhǔn) ISO15408(即 CC)這種先進(jìn)的國際通用準(zhǔn)則上，在我國，與 CC 對應(yīng)的國家標(biāo)準(zhǔn)就是 GB/T 18336。 科技 XXXX 產(chǎn)業(yè)立地 第 9 頁 在中國，負(fù)責(zé)信息安全測評認(rèn)證的最高權(quán)威機(jī)構(gòu)，也是信息安全第三方認(rèn)證機(jī)構(gòu)，是： 中國信息安全測評認(rèn)證中心 ， (中國信息安全產(chǎn)品測評認(rèn)證中心，簡稱 CNITSEC，是經(jīng)中央批準(zhǔn)成立的、代表國家開展信息安全測評認(rèn)證工作的職能機(jī)構(gòu)，依 據(jù)國家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息安全管理的法律法規(guī)管理和運(yùn)行國家信息安全測評認(rèn)證體系 )。該中心頒發(fā)的“中華人民共和國國家信息安全認(rèn)證”是國家對信息安全技術(shù)、產(chǎn)品或系統(tǒng)安全質(zhì)量的最高認(rèn)可。關(guān)于信息安全測評認(rèn)證體系、政策法規(guī)、標(biāo)準(zhǔn)情況和中心的詳細(xì)資料，可參見： 信息安全法律法規(guī) 信息系統(tǒng)安全建設(shè)需要依法進(jìn)行，我國為了適應(yīng)信息化的發(fā)展，國家及有關(guān)部門制定了一系列的相關(guān)法律法規(guī)。 法律 我國與信息安全相關(guān)的法律有： ? 《中華人民共和國憲法》 ? 《中華人民共和國刑法》 ? 《中華人民共和國保守國家秘密法》 ? 《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》 信息安全行政法規(guī) ? 《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 國務(wù)院 ? 《商用密碼管理?xiàng)l例》 國務(wù)院 部分信息安全部門規(guī)章及規(guī)范性文件 ? 《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》 公安部 ? 《計(jì)算機(jī)病毒防治管理辦法》