安全风险评价服务-全国重点文物保护单位.DOC

中国文物信息咨询中心应急运维 服务项目技术需求书 2017年11月 项目概况 近年来国家文物局业务不断发展，系统和用户规模不断扩大，网络安全的重要性越来越突出，国家文物局对网络及业务系统的安全性、可靠性提出了更高的要求。因此，需要开展相关运维安全服务工作，进一步提高业务系统的网络安全水平，提升安全事件应急处理能力，从技术和管理方面全面保障业务系统安全、高效的运行，提高业务的服务质量，保障业务的稳定运行。 为贯彻落实国家文物局网络安全工作的要求，加快推进网络安全建设，进一步做好网络安全保障工作，全面提高自身网络安全保障水平。依据国家网络安全相关标准的要求，开展本次运维服务项目。 项目目标 对照国际和国内标准查找安全隐患和漏洞进行修补和加固，引入先进的管理理念，构建国家文物局信息系统安全体系。制定相应的风险控制策略，应急响应机制和应急演练，使信息系统安全逐步走上符合国际国内标准、管理规范、制度健全、措施有力的管理状态，使信息系统管理水平和安全防范能力都有明显的提升。通过本项目，主要达到以下目的： 符合等保要求 按照国家等级保护规定和要求，制定相应的技术和管理规范；并查找与等级保护基本要求的差距，进行差距分析，给出相应风险对策。对存在的安全漏洞和薄弱环节提出修补、加固的措施和方案等；制定信息系统危机处理应急响应机制，切实提高重要系统的安全防范能力。 接轨国际标准 对照国际信息安全标准（主要参考ISO27001），摆脱信息系统安全单纯是技术层面的认识，树立信息系统安全必须与单位整体安全整合和衔接的“大安全观”，构建信息系统安全体系，推动管理水平提升，开展相关制度建设。 根据安全需求以及当前系统状况，评估信息资产的价值，制定、实施安全策略、安全标准、安全方针、安全措施来保证信息资产的完整性、机密性、可用性。 通过全面、系统实用的网络安全专业课程， 提高信息化成熟度 通过本次信息安全服务项目，在坚持科学、客观、公正原则的基础上，全面、完整地了解系统当前的安全状况，分析系统所面临的各种风险，根据本次信息安全服务项目结果发现系统存在的安全问题，健全和完善信息安全相关工作，并对严重的问题提出相应的风险控制策略。提高国家文物局核心信息系统的信息安全保障程度的同时使整体信息系统管理水平再上一个新台级。 项目内容 此次项目协助国家文物局对所涉及的信息系统依照国家、国际相关标准及，通过现场查看、顾问访谈、搜集资料、检查记录、检查配置、漏洞扫描、安全配置核查、源代码审计、渗透测试、安全培训、应急服务等方式，从技术和管理层面开展分析评估工作，并根据评估结果全程主导业务系统的整改加固。具体的项目工作内容包括下述七大部分： （1）安全风险评估服务； （2）安全加固服务； （3）源代码审计服务； （4）渗透测试服务； （5）安全培训服务； （6）应急响应服务； （7）应急演练服务。 标准依据 从标准化的角度，本项目所涉系统的工作应参考如下的政策和标准： 《信息系统安全等级保护基本要求》GBT 22239-2008 《信息系统安全等级保护测评要求》GBT 28448-2012 《信息安全管理体系要求ISO27001:2013 项目计划 本项目于2017年6月启动实施，并要求中标厂商在合同签订后进场开展工作，在2018年06月30日前完成所有工作。 项目范围 本项目涉及的信息系统主要包括国家文物局的10余个核心业务系统（国家文物局政府门户网站、国家文物局网报网审平台、国家文物局考古审批系统、国家文物局文物进出境管理审批系统、国家文物局文博网络学院、国家文物局项目经费管理系统等）、100余个资产，涉及范围广、数据敏感性强。 本次项目涉及的软硬件资产主要包括以下对象： 网络设备 网络设备类型 交换机 路由器 其他 网络设备数量 12 3 服务器设备 主机操作系统 Window Linux 其他 主机数量 52 13 数据库 数据库类型 SqlServer Oracle 其他 数据库数量 10 3 安全设备 设备类型 防火墙 WAF 其他 设备数量 7 4 11 应用系统 应用类型 网站类 业务类 其他 数量 8 21 业务需求 安全风险评估服务 风险评估目的是分析信息系统的安全状况，全面了解和掌握该系统面临的信息安全威胁和风险，明确采取何种有效措施，降低威胁事件发生的可能性或者其所造成的影响，减少信息系统的脆弱性，从而将风险降低到可接受的水平；可以定期了解信息系统的安全防护水平并为以后安全规划建设的提出提供依据和参考，综合平衡考虑安全风险与成本代价，为网络与信息系统进行风险管理奠定基石，帮助客户在降低风险、承受风险、转移风险等方面做出正确的选择。 本次项目风险评估内容包括但不限于：资产识别、威胁识别、脆弱性识别，风险分析、风险