信息安全咨询评估方案建议书.docxVIP

XX集团 信息平安咨询评估效劳 方案建议书 目录 TOC \o 1-3 \h \z \u 一 需求分析 3 1.1 背景分析 3 1.2 工程目标 4 1.3 需求内容分析 4 1.3.1 技术风险评估需求分析 4 1.3.2 管理风险评估需求分析 5 1.4 时间进度需求 6 1.5 考核要求 6 1.6 效劳支撑需求 6 二 工程实施方案 6 2.1 技术平安风险评估 6 2.1.1 资产评估 6 2.1.2 操作系统平台平安评估 8 2.1.3 网络平安评估 10 2.1.4 渗透测试 12 2.2 管理风险评估 16 2.2.1 平安管理制度审计 16 2.2.2 业务流程管控平安评估 17 2.3 评估工具 18 2.4 形成报告 19 需求分析 背景分析 XX的信息化建立正在朝着集中化和云化的方向开展，通过云计算技术的应用把原来分散于各医院和分支机构的业务系统进展整合，实现基于云平台的业务系统和数据集中部署，从而解决了长期存在的大量信息孤岛问题，降低珍贵医疗数据和商业数据的流失风险，也为未来的集团医疗大数据分析和精准医疗效劳打下扎实的根底。 从原来分散式的信息孤岛到现在的云化集中部署，XX的信息化环境正在发生根本性的变化，带来节约人力本钱、提高工作效率、减少管理漏洞、提高数据准确性等诸多的好处。当前，国内外数据平安事件层出不穷，网络信息平安环境日趋复杂，信息化环境的变化也同时带来了新的信息平安风险，总体来说包括以下几个方面： 实现系统和数据的集中化部署后，等于把原来分散的信息平安风险也进展了集中，一旦发生信息平安事故，其影响将是全局性的。比方在原有的信息化环境下发生敏感数据泄漏，其泄漏范围只限于个别的医院或分支机构。而现在一旦发生数据泄漏，泄漏范围会是全集团所有医院和分支机构，直接和间接的损失不可同日而语。 云计算是一种颠覆传统IT架构的前沿技术，它可以增强协作，提高敏捷性、可扩展性以及可用性。还可以通过优化资源分配、提高计算效率来降低本钱。这也意味着基于传统IT架构的信息平安技术和产品往往不能再为云端系统和数据提供足够的防护能力。 系统和数据的集中部署、云计算技术应用都要求建立可靠的信息平安管理机制，改变原有的离散管理模型，从管理标准和工作流程上实现与现有集中模式的对接，降低因管理不当导致的信息平安风险。 工程目标 对XX当前的信息化环境从管理和技术上进展充分的信息平安风险评估，并依据风险评估结果制订相应的风险管控方案。具体建立内容包括： 1. 技术风险评估： 1〕对现有的信息系统、机房及根底网络资产和网络拓扑、数据资产、特权账号资产等进展平安风险评估； 2〕对核心业务系统进展WEB平安、数据平安、业务逻辑平安风险评估； 3〕对正在建立的云计算根底平台架构及承载的操作系统进展平安风险评估； 4〕渗透模拟黑客可能使用的攻击技术和漏洞发现技术，对业务系统进展授权渗透测试，对目标系统进展深入的探测，以发现系统最脆弱的环节、可能被利用的入侵点以及现网存在的平安隐患。 2. 管理风险评估 1〕采用调查访谈并结合实地考察的形式，对数据中心和核心系统的平安管理制度进展疏理和平安风险评估； 2〕对业务管控制度和流程进展平安风险评估，采用阅读流程资料和相关人员访谈的形式了解业务和系统内控制度和实现的业务流程，试用流程中涉及的软件，观察各个业务控制点是否都得到有效的实施，各个接口的处理是否妥当，监视检查方法是否健全； 3. 信息平安风险管控方案 其于上述风险评估结果，针对具体的平安漏洞和风险设计管控方案，包括但不限于平安漏洞加固方案、信息平安管理标准优化提升方案、信息平安防护技术解决方案等。 需求内容分析 技术风险评估需求分析 本工程对技术风险评估的内容要求主要是： 资产评估 资产评估对象不仅包括设备设施等物理资产，同时也包括敏感数据、特权账号等信息资产，其评估步骤如下： 第一步：通过资产识别，对重要资产做潜在价值分析，了解其资产利用、维护和管理现状，并提交资产清单； 第二步：通过对资产的平安属性分析和风险评估，明确各类资产具备的保护价值和需要的保护层次，从而使企业能够更合理的利用现有资产，更有效地进展资产管理，更有针对性的进展资产保护，最具策略性的进展新的资产投入。 操作系统平台平安评估 针对资产清单中重要和核心的操作系统平台进展平安评估，完整、全面地发现系统主机的漏洞和平安隐患。 网络拓扑、网络设备平安评估 针对资产清单中边界网络设备和局部核心网络设备，结合网络拓扑架构，分析存在的网络平安隐患。 应用系统平安评估〔渗透测试〕： 通过模拟黑客可能使用的攻击技术和漏洞发现技术，对XX集团授权渗透测试的目标系统进