安全检查培训教材.ppt

渗透性测试 对门户网站进行渗透性测试 对网上报税系统进行渗透性测试 对网络边界进行渗透性测试 对内网进行渗透性测试 检查方式 现场检查 边界脆弱性 网络和安全设备检查 服务器设备检查 脆弱性扫描 渗透性测试 管理脆弱性检查 办税大厅检查 保障条件 提供网站、网上办税等互联网业务系统的域名和地址信息； 提供内外网的详细网络拓扑图； 在测试期间，按照实际需求为测试设备分配相应的IP地址； 提供IP地址分配情况表； 提交本单位防火墙、IDS、网络准入控制、桌面安全防护系统、防病毒系统的配置信息或策略设置信息。 谢谢！ 税务系统信息安全检查培训教材 目录 检查依据 工作流程 2 检查内容 3 检查方式 4 保障条件 5 1 检查依据 《国务院办公厅关于印发政府信息系统安全检查办法的通知》（国办发[2009]28号） “国务院办公厅关于加强政府信息系统安全和必威体育官网网址管理工作的通知” 《互联网安全保护技术措施规定》（公安部令第82号） GB/T 20984-2007《信息安全技术 信息安全风险评估规范》 GB/T 20274-2006 《信息安全技术 信息系统安全保障评估框架 第一部分：简介和一般模型》 GB/T 20274-2008《信息安全技术 信息系统安全保障评估框架 第二部分：技术保障》 GB/T 20274-2008《信息安全技术 信息系统安全保障评估框架 第三部分：管理保障》 GB/T 20274-2008《信息安全技术 信息系统安全保障评估框架 第四部分：工程保障》 …… 工作流程 安全检查的工作流程划分为准备、检查和总结三个阶段。 检查对象选取的原则 管理访谈主要选取信息中心负责人、信息中心技术人员以及从事信息安全相关工作人员针对规章制度、安全组织等项目的访谈。 对网络边界接入点的检查，选取重点是边界防火墙、IDS等安全设备，查看其部署及配置策略。 对网络架构中的核心交换机进行配置检查。 终端检查选取业务处室和办税大厅终端计算机。 漏洞扫描选取内网服务器网段、互联网服务区网段。 检查内容 安全检查内容依据总局统一制定的检查内容开展 检查的对象包括各省级国税局和地税局两个单位的网络与信息系统 检查分为管理安全检查和技术安全检查两大部分 管理安全检查内容 ◆规章制度 ●安全策略 ●安全制度 检查内容： 对总局下发有关信息安全政策、法规、规章制度的落实情况的检查；本身制定有哪些适当自己的安全政策、规章制度及其落实情况。 1、管理安全检查内容 管理安全检查内容 ◆安全组织 ●信息安全组织机构 检查内容： 为确保税务系统安全运行而建立的安全管理组织体系，例如设置安全管理领导机构，安全管理技术部门或小组等，安全管理职责划分是否合理，是否具有安全审计机构。 管理安全检查内容 ◆ 资产分类与控制 ● 资产责任 ●信息分类 ●关键设备和服务的采购 检查内容： 在招收阶段要指出安全职责，要包含在合同中并在个人聘用期间予以监视。要对可能的新成员进行充分的筛选，特别对敏感性工作的成员。资产信息分类情况。采购单据等。 管理安全检查内容 ◆工作职责和人员考察 ●工作职责和人员考察 ●人员培训 ●第三方访问 ●信息安全责任追究情况 检查内容： 在招收阶段要指出安全职责，要包含在合同中并在个人聘用期间予以监视。要对可能的新成员进行充分的筛选，特别对敏感性工作的成员。 为了使可能的安全风险减到最小，用户应接受安全规程和正确使用信息处理设施方面的培训，包括专业技能培训。 若有一种业务需要第三方访问，要对第三方的进行风险评估，以确定风险和控制要求。 要使所有人员知道应对有影响的不同类型事故（安全违规、威胁、弱点或故障）的规程，应要求他们尽可能快地把任何观察到的或推测到的事故报告给指明的联系点。 管理安全检查内容 ◆物理和环境安全 ●安全区域 ●设备安全 ●通用控制 检查内容： 1、关键和敏感的业务信息处理设施要放置在安全区域内，并受到一种已定义的安全周边和适合的安全屏障和入口控制的保护。 2、对设备的保护（包括离场使用）是减少未授权访问数据的风险和防止丢失或损坏所必需的。 3信息和信息处理设施应予以保护，以防止泄露给由未授权人员，或被修改和盗窃。 管理安全检查内容 ◆运行管理