1、_某单位 信息安全风险评估投标书技术部分_北京启明星辰信息安全技术有限公司注释:本文档所包含的信息在未事先得到北京启明星辰信息技术股份有限公司书面同意之前,本文档全部或部分内容不得用于其他任何用途或交与第三方。62目 录第1章项目概述51.1.项目背景51.2.项目目标51.3.项目范围61.4.项目内容6第2章项目需求理解7第3章项目方案设计73.1.设计目标73.2.设计原则83.3.设计依据83.3.1.政策依据83.3.2.标准依据93.4.方法模型103.4.1.风险关系模型103.4.2.风险分析方法模型113.5.工具方法123.5.1.风险评估采用方法123.5.2.风险评估使
2、用工具13第4章风险评估实施流程144.1.阶段1:项目启动阶段144.1.1.阶段目标144.1.2.阶段步骤154.1.3.阶段输出154.2.阶段2:资产评估阶段164.2.1.阶段目标164.2.2.阶段步骤164.2.3.阶段方法164.2.4.阶段输出174.3.阶段3:威胁评估174.3.1.阶段目标174.3.2.阶段步骤174.3.3.阶段方法184.3.4.阶段输出194.4.阶段4:脆弱性评估194.4.1.阶段目标194.4.2.实施步骤194.4.3.已有安全措施识别384.4.4.阶段输出394.5.阶段5:风险综合分析394.5.1.阶段目标394.5.2.阶段步
3、骤394.5.3.阶段输出424.6.阶段6:风险处置计划424.7.阶段7:风险评估验收434.7.1.成果交付434.7.2.成果验收44第5章应急预案修订与演练445.1.应急预案修订445.1.1.修订方法445.1.2.修订程序445.1.3.修订要点455.1.4.阶段输出455.2.应急预案演练455.2.1.应急演练目标:465.2.2.应急演练计划465.3.项目验收49第6章项目管理496.1.组织管理506.2.范围管理516.2.1.范围定义516.2.2.范围变更控制516.3.进度管理526.4.风险管理536.5.质量管理536.5.1.项目实施负责人质量控制53
4、6.5.2.项目经理质量控制536.5.3.质量管理质量控制536.6.沟通管理546.6.1.协调沟通机制基本准则546.6.2.沟通计划546.7.会议管理556.8.文档管理556.9.保密管理56第7章人员安排567.1.职责和分工567.2.人员简历57第8章项目计划688.1.总体计划688.2.项目计划时间表70第9章项目收益70第10章成果交付一览表70第11章成功案例7111.1.重点案例列表7111.2.重点案例简介7211.2.1.金融案例7211.2.2.电信案例7311.2.3.能源案例7311.2.4.政府案例74第12章公司优势7412.1.公司简介7412.2.
5、公司资质75第1章 项目概述1.1. 项目背景中国石油天然气股份有限公司管道分公司(简称某单位)隶属于中国石油天然气股份有限公司,主要负责长输油气管道的运营管理、建设和科研。公司下辖大庆、长春等26个输油(气)单位以及管道工程项目经理部、管道科技中心等单位,所属单位和人员分布在全国17个省(自治区、直辖市)。公司拥有集油气管道输送技术研发、服务、培训、检测和监测为一体的专业科研机构,科研力量雄厚,科研设施完备,拥有管道核心技术研发能力。在油气储运工艺、管道完整性管理、管道化学添加剂、管道规划、信息与经济等研究领域整体处于国内领先水平。随着 “十二五”计划的开局与发展,某单位将加快战略转型,深入
6、使用信息化科技手段提高生产效率。当企业经营数据、生产过程控制及信息交换完成信息化的大集中后,信息系统的安全一旦受到破坏将产生严重的、不可估量的后果。因此,某单位急需展开信息安全风险评估专项工作,加强信息安全建设和管理,本次项目根据某单位工作要求,结合国家相关政策要求,依据信息安全建设相关国际和国内标准,对石油管道公司重要信息系统进行完整的信息系统评估,为公司信息系统的安全运行提供有力的保障。1.2. 项目目标安全评估的目的通常包括以下几个方面:n 确定可能对信息系统造成危害的威胁n 通过历史资料和专家的经验确定威胁实施的可能性n 对可能受到威胁影响的信息资产确定其价值、敏感性和严重性n 对各类
7、信息资产,确定一旦威胁发生其潜在的损失或破坏针对本次的安全评估,主要包括以下目的:n 准确了解企业的网络和系统安全现状n 明晰企业的安全需求n 制定企业网络和系统的安全策略n 制定企业网络和系统的安全解决方案n 指导企业未来的安全建设和投入n 指导企业建立信息安全框架1.3. 项目范围此次信息安全评估服务范围涵盖由项目组双方沟通确认,推荐主管信息化部门、系统建设和运维部门、业务部门都参与本次项目。涉及的信息系统如下表所示:实施范围 范围类型 详细资产 技术评估范围物理环境评估设备系统所在机房 主机系统主机设备名称操作系统型号(IP地址) 数据库系统数据库(SqlServer、Oracle、In
8、formix、DB2等) 应用中间件信息系统中间件(WEBLOGIC、WEBSPHERE、APACHE、TOMCAT等) 网络设备核心层交换机 汇聚层交换机 接入层交换机 安全设备IPS、IDS、防火墙管理评估范围安全管理机构信息系统责任单位的安全管理机构设置情况 安全管理制度信息系统责任单位的安全管理制度建设情况 人员安全管理信息系统责任单位的人员安全管理情况 系统建设管理信息系统责任单位的系统建设管理情况 系统运维管理信息系统责任单位的系统运维管理情况 1.4. 项目内容本次安全评估的内容包括:n 通过技术性检测评估,获得网络层存在的网络安全漏洞报告;n 通过问卷调查和交流沟通,了解非技术
9、层面的安全漏洞;n 通过对上述技术和非技术漏洞的分析,得出安全状况报告;n 提出网络安全策略和网络安全解决方案,指导下一步的网络安全建设;n 根据某单位的要求,可以进行授权渗透测试,模拟黑客入侵的过程;第2章 项目需求理解风险评估的范围应全面,涉及到网络信息系统的各个方面,包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等;同时对管理风险、综合安全风险以及应用系统安全性进行评估。风险评估采用专业工具扫描、人工评估、渗透测试三种相结合的方式,对各种操作系统进行评估,包括:帐户与口令安全、网络服务安全、内核参数安全、文件系统安全
10、、日志安全等;从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁,根据应用系统所存在的威胁,来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁。第3章 项目方案设计3.1. 设计目标本次风险评估的安全服务项目主要目标是:n 通过风险评估,得到某单位的整体安全现状;n 通过资产评估,得到某单位的网络信息安全资产状况,并录入资产库,进行资产梳理;n 通过威胁评估,得到某单位存在的安全威胁情况;n 通过脆弱性评估,得到某单位当前业务系统存在的脆弱性;n 对各个业务系统进行综合风险分析,得到风险情况,提出分系统的安全解决方案;n 提出各个系统的风险处置解决方案。3.
11、2. 设计原则1.标准性原则遵循国家、行业和组织相关标准开展风险评估工作。2.可控性原则在项目建设与实施过程中,应保证参与实施的人员、使用的技术和工具、过程都是可控的。3.完整性原则项目方案要充分考虑项目所有环节,做到统筹兼顾,细节清楚。4.最小影响原则项目的所有阶段,保证项目实施过程工作对系统正常运行的可能影响降低到最低限度,不会对某单位目前的业务系统运行造成明显的影响。5.保密原则项目的所有阶段,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。并与某单位签订保密协议,承诺未经允许不向其他任何第三方泄露有关信息系统的信
12、息。3.3. 设计依据本方案设计主要参照以下政策和标准进行设计。3.3.1. 政策依据表格 1 相关策略时间相关政策文件2003年 国家信息化领导小组关于加强信息安全保障工作的意见(中办发27号文),提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估”。2004年 为贯彻落实27号文件精神,原国信办组织有关单位和专家编写了信息安全风险评估指南。2005年 国务院信息化工作办公室关于印发的通知(国信办【2005】5号),组织在北京、上海、黑龙江、云南等地方以及银行、税务、电力等重要行业开展信息安全风险评估试点工作。2006年 由国家网络与信息安全协
13、调小组讨论通过的关于开展信息安全风险评估工作的意见(国信办20065号),文件要求三年内在国家基础信息网络和重要行业信息系统中普遍推行信息安全风险评估工作。 中共中央办公厅国务院办公厅关于印发20062020年国家信息化发展战略的通知(中办200611号文)提出加强信息安全风险评估工作。 2007年 为保障十七大,在国家基础信息网络和重要信息系统范围内,全面展开了自评估工作。(中国移动、电力、税务、证券)2008年 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号),明确“加强和规范国家电子政务工程建设项目信息安全风险评估工作”。3.3.2. 标准依据表格
14、 2 相关标准标准类型参考标准国际标准v ISO15408 信息技术安全评估准则v ISO/IEC TR 13335信息和通信技术安全管理v ISO/TR 13569 银行和相关金融服务信息安全指南v ISO/IEC 27000 信息安全管理体系系列标准v AS/NZS 4360 风险管理v NIST SP 800-30 IT系统风险管理指南国内标准v GB17859计算机信息系统安全保护等级划分准则v GBT 20984信息安全风险评估规范v GBT 22239信息安全技术信息系统安全等级保护基本要求v GBZ 20985信息技术安全技术信息安全事件管理指南v GBZ 20986信息安全技术
15、信息安全事件分类分级指南v 各组织或行业内相关要求3.4. 方法模型本方案中提供的风险评估与管理模型参考了多个国际风险评估标准,建立安全风险关系模型和安全风险分析方法模型。3.4.1. 风险关系模型风险关系模型从安全风险的所有要素:资产、影响、威胁、弱点、安全控制、安全需求、安全风险等方面形象地描述的他们各自之间的关系和影响,风险关系模型如下图所示。图 1风险关系模型图在上述关系图中:资产指组织要保护的资产,是构成整个系统的各种元素的组合,它直接的表现了这个系统的业务或任务的重要性,这种重要性进而转化为资产应具有的保护价值。它包括计算机硬件、通信设备、物理线路、数据、软件、服务能力、人员及知识
16、等等。弱点是物理布局、组织、规程、人员、管理、硬件、软件或信息中存在的缺陷与不足,它们不直接对资产造成危害,但弱点可能被环境中的威胁所利用从而危害资产的安全。弱点也称为“脆弱性”或“漏洞”。威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对组织信息直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害;威胁也可能源于偶发的、或蓄意的事件。一般来说,威胁总是要利用组织网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲,威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。安全风险是环境中的威胁利用弱
17、点造成资产毁坏或损失的潜在可能性。风险的大小主要表现在两个方面:事故发生的可能性及事故造成影响的大小。资产、威胁、弱点及保护的任何变化都可能带来较大的风险,因此,为了降低安全风险,应对环境或系统的变化进行检测以便及时采取有效措施加以控制或防范。安防措施是阻止威胁、降低风险、控制事故影响、检测事故及实施恢复的一系列实践、程序或机制。安全措施主要体现在检测、阻止、防护、限制、修正、恢复和监视等多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和管理等四个领域。通常安防措施只是降低了安全风险而并未完全杜绝风险,而且风险降低得越多,所需的成本就越高。因此,在系统中就总是有残余风险(RR)的
18、存在,这样,系统安全需求的确定实际上也是对余留风险及其接受程度的确定。3.4.2. 风险分析方法模型在安全风险分析方法模型中提供了风险计算的方法,通过两个因素:威胁级别、威胁发生的概率,通过风险评估矩阵得出安全风险。图 2风险分析原理图风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:a) 对资产进行识别,并对资产的价值进行赋值;b) 对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;c) 对脆弱性进行识别,并对具体资产的脆弱性的严重程度
19、赋值;d) 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;e) 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;f) 根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。3.5. 工具方法3.5.1. 风险评估采用方法风险评估常用方法如下: 调查访谈物理安全访谈表、人员安全访谈表、网络安全访谈表、系统安全访谈表等等; 工具扫描网络安全扫描、应用安全扫描、系统安全扫描等等; 人工检查操作系统checklist、数据库checklist、网络设备checklist等等; 渗透测试由专业渗透测试工程师模拟黑客攻击方式对网
20、络与信息系统进行非破坏性漏泀验证性测试; 文档查阅管理制度查阅、管理策略查阅、安全指导方针查阅等等。3.5.2. 风险评估使用工具本次项目,用到的部分评估工具列出如下表:表格 3 评估工具列表工具类别工具名称工具说明网络漏洞扫描工具天镜网络漏洞扫描系统启明星辰公司自主产权的大规模网络漏洞扫描系统,可扫描端口服务信息、漏洞信息、用户信息,并可鉴别系统类型。Nessus世界范围内广泛使用的免费网络端口扫描、系统类型鉴别和漏洞扫描工具入侵检测工具天阗网络入侵检测系统入侵检测系统作为实时的检测工具,是安全威胁信息收集过程中的一种重要手段,分析网络的安全运行状况,发觉配置和运行中的隐患,其数据是网络整体
21、安全的重要参考依据本地控制台安全审计工具Solaris(TM)Security ToolkitSun公司官方提供的本地控制台审计工具包Linux Security Audit Tools(LSAT)Linux系统的本地控制台审计工具包Win 系统安全审计工具包启明星辰收集整理的多种针对性的Win 系统安全审计工具的集合Check Rootkits多种unix和类unix平台的后门检测工具路由-交换-防火墙安全审计工具包启明星辰整理定制的工具包,通过SNMP、Telnet、HTTP、CDP、RIP等协议对网络设备进行安全审计第4章 风险评估实施流程我们将整个项目的实施内容分为7个阶段。从项目启动
22、阶段到项目验收整个项目实施过程,我们用WBS图中完整地描述了整个项目实施过程的重要工作任务。图 3项目实施流程图4.1. 阶段1:项目启动阶段此阶段是项目的启动和计划阶段,是项目实施阶段的开始,对项目整个过程的实施工作与项目管理工作都非常重要。4.1.1. 阶段目标在此阶段的主要工作目标是召开评估项目启动会议,并就项目组的工作方式、日常流程、工作计划、交付件蓝图进行沟通和确认。4.1.2. 阶段步骤评估项目启动阶段,是整个项目过程中,对项目的有效性的一种保证。实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。步骤一:项目组织,确定双方项
23、目组织结构及人员分工。步骤二:召开项目启动会,包括项目中需要落实内容:a) 获得支持和配合;b) 确定项目的目标;c) 确定项目的内容;d) 组建项目服务团队;e) 对项目的对象、范围进行调研并确认;f) 宣贯风险评估方法和评估思想;g) 建立项目组的工作场所和环境;h) 确定项目组的工作流程,包括文档交付流程、项目更改流程等;i) 确定项目组的工作方式,包括指定接口人,保密方式,资料保管和备份方式等。步骤三:确定各个细节后,项目启动完成,进入项目实施阶段。4.1.3. 阶段输出本阶段完成后输出如下文件: 项目实施计划 项目启动会议纪要 项目蓝图 保密协议书 项目组织结构和人员职责 项目范围确
24、认书 培训计划(针对风险评估知识宣贯实施方法)4.2. 阶段2:资产评估阶段保护资产免受安全威胁是本项目实施的根本目标。要做好这项工作,首先需要详细了解资产分类与管理的详细情况。4.2.1. 阶段目标资产识别的目的就是要对系统的相关资产做潜在价值分析,了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次,从而使企业能够更合理的利用现有资产,更有效地进行资产管理,更有针对性的进行资产保护,最具策略性的进行新的资产投入。4.2.2. 阶段步骤阶段一:根据项目范围进行资产分类与识别,包括主机设备、网络设备、数据库系统、应用系统、文档资产、人员资产等等。阶段二:进行资产识别,分类
25、并赋值。4.2.3. 阶段方法表格 4资产评估方法项目名称资产分类调查简要描述采集资产信息,进行资产分类,划分资产重要级别及赋值;达成目标采集资产信息,进行资产分类,划分资产重要级别及赋值;进一步明确评估的范围和重点。主要内容 采集资产信息,获取资产清单; 进行资产分类划分; 确定资产的重要级别,对资产进行赋值。实现方式 调查。 填表式调查。 资产调查表,包含计算机设备、通讯设备、存储及保障设备、信息、软件等。 交流。 审阅已有的针对资产的安全管理规章、制度。 与高级主管、业务人员、网络管理员(系统管理员)等进行交流。工作条件2-3人工作环境,2台笔记本,电源和网络环境,某单位人员和资料配合。
26、工作结果资产类别、资产重要级别。参加人员依据现场状况,启明星辰全体评估人员在某单位业务系统相关技术和管理人员的配合下进行资产分类调查。4.2.4. 阶段输出本阶段完成后输出文档如下: 资产详细清单 资产赋值列表4.3. 阶段3:威胁评估威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统,它都存在。为全面、准确地了解系统所面临的各种威胁,需采用威胁分析方法。 4.3.1. 阶段目标通过威胁分析,找出系统目前存在的潜在风险因素,并进行统计,赋值,以便于列出风险。4.3.2. 阶段步骤威胁识别采用人工审计、安全策略文档审阅、人
27、员面谈、入侵检测系统收集的信息和人工分析。步骤一:把已经发现的威胁进行分类;步骤二:把发现的威胁事件进行分析。4.3.3. 阶段方法表格 3威胁调查评估项目名称威胁调查评估简要描述使用技术手段分析信息系统可能面临的所有安全威胁和风险。达成目标全面了解掌握信息系统可能面临的所有安全威胁和风险。对威胁进行赋值并确定威胁等级。主要内容 被动攻击威胁与风险:网络通信数据被监听、口令等敏感信息被截获等。 主动攻击威胁与风险:扫描目标主机、拒绝服务攻击、利用协议、软件、系统故障、漏洞插入或执行恶意代码(如:特洛依木马、病毒、后门等)、越权访问、篡改数据、伪装、重放所截获的数据等。 邻近攻击威胁与风险:毁坏
28、设备和线路、窃取存储介质、偷窥口令等。 分发攻击威胁与风险:在设备制造、安装、维护过程中,在设备上设置隐藏的后门或攻击途径、 内部攻击威胁与风险:恶意修改数据和安全机制配置参数、恶意建立未授权连接、恶意的物理损坏和破坏、无意的数据损坏和破坏。实现方式 调查交流 工具检测 人工检测工作条件2-3人工作环境,2台笔记本,电源和网络环境,某单位人员和资料配合工作结果根据分析结果列出系统所面临的威胁,对威胁赋值并确定威胁级别参加人员启明星辰评估小组,网络管理人员、系统管理人员4.3.4. 阶段输出本阶段完成主要输出文档如下: 威胁调查表 威胁赋值列表4.4. 阶段4:脆弱性评估脆弱性是对一个或多个资产弱点的总称,脆弱性评估是对技术脆弱性和管理脆性进行识别和赋值的过程。4.4.1. 阶段目标技术脆弱性主要是采用工具扫描、人工检查(checklist)、渗透测试、访谈等方式对物理环境、网络结构、应用软件
