2025年信息安全咨询评估方案建议书.doc

XX集团

信息安全征询评估服务

方案提议書

目录

TOC\o1-3\h\z\u一 需求分析 3

1.1背景分析 3

1.2项目目的 4

1.3需求内容分析 4

1.3.1技术風险评估需求分析 4

1.3.2管理風险评估需求分析 5

1.4時间進度需求 6

1.5考核规定 6

1.6服务支撑需求 6

二 项目实行方案 6

2.1技术安全風险评估 6

2.1.1资产评估 6

2.1.2操作系统平台安全评估 8

2.1.3网络安全评估 10

2.1.4渗透测试 12

2.2管理風险评估 16

2.2.1安全管理制度审计 16

2.2.2业务流程管控安全评估 17

2.3评估工具 18

2.4形成汇报 19

需求分析

背景分析

XX的信息化建设正在朝著集中化和雲化的方向发展，通過雲计算技术的应用把本来分散于各醫院和分支机构的业务系统進行整合，实現基于雲平台的业务系统和数据集中布署，從而处理了長期存在的大量信息孤岛問題，減少宝贵醫疗数据和商业数据的流失風险，也為未来的集团醫疗大数据分析和精确醫疗服务打下扎实的基础。

從本来分散式的信息孤岛到目前的雲化集中布署，XX的信息化环境正在发生主线性的变化，带来节省人力成本、提高工作效率、減少管理漏洞、提高数据精确性等诸多的好处。目前，国内外数据安全事件层出不穷，网络信息安全环境曰趋复杂，信息化环境的变化也同步带来了新的信息安全風险，总体来說包括如下几种方面：

实現系统和数据的集中化布署後，等于把本来分散的信息安全風险也進行了集中，一旦发生信息安全事故，其影响将是全局性的。例如在原有的信息化环境下发生敏感数据泄漏，其泄漏范围只限于個别的醫院或分支机构。而目前一旦发生数据泄漏，泄漏范围會是全集团所有醫院和分支机构，直接和间接的损失不可同曰而語。

雲计算是一种颠覆老式IT架构的前沿技术，它可以增强协作，提高敏捷性、可扩展性以及可用性。還可以通過优化资源分派、提高计算效率来減少成本。這也意味著基于老式IT架构的信息安全技术和产品往往不能再為雲端系统和数据提供足够的防护能力。

系统和数据的集中布署、雲计算技术应用都规定建立可靠的信息安全管理机制，变化原有的离散管理模型，從管理规范和工作流程上实現与既有集中模式的對接，減少因管理不妥导致的信息安全風险。

项目目的

對XX目前的信息化环境從管理和技术上進行充足的信息安全風险评估，并根据風险评估成果制定對应的風险管控方案。详细建设内容包括：

1. 技术風险评估：

1）對既有的信息系统、机房及基础网络资产和网络拓扑、数据资产、特权账号资产等進行安全風险评估；

2）對关键业务系统進行WEB安全、数据安全、业务逻辑安全風险评估；

3）對正在建设的雲计算基础平台架构及承载的操作系统進行安全風险评估；

4）渗透模拟黑客也許使用的袭击技术和漏洞发現技术，對业务系统進行授权渗透测试，對目的系统進行深入的探测，以发現系统最脆弱的环节、也許被运用的入侵點以及現网存在的安全隐患。

2. 管理風险评估

1）采用调查访談并結合实地考察的形式，對数据中心和关键系统的安全管理制度進行疏理和安全風险评估；

2）對业务管控制度和流程進行安全風险评估，采用阅讀流程资料和有关人员访談的形式理解业务和系统内控制度和实現的业务流程，试用流程中波及的软件，察看各個业务控制點与否都得到有效的实行，各個接口的处理与否妥當，监督检查措施与否健全；

3.信息安全風险管控方案

其于上述風险评估成果，针對详细的安全漏洞和風险设计管控方案，包括但不限于安全漏洞加固方案、信息安全管理规范优化提高方案、信息安全防护技术处理方案等。

需求内容分析

技术風险评估需求分析

本项目對技术風险评估的内容规定重要是：

资产评估

资产评估對象不仅包括设备设施等物理资产，同步也包括敏感数据、特权账号等信息资产，其评估环节如下：

第一步：通過资产识别，對重要资产做潜在价值分析，理解其资产运用、维护和管理現实状况，并提交资产清單；

第二步：通過對资产的安全属性分析和風险评估，明确各类资产具有的保护价值和需要的保护层次，從而使企业可以更合理的运用既有资产，更有效地進行资产管理，更有针對性的進行资产保护，最具方略性的進行新的资产投入。

操作系统平台安全评估

针對资产清單中重要和关键的操作系统平台進行安全评估，完整、全面地发現系统主机的漏洞和安全隐患。

网络拓扑、网络设备安全评估

针對资产清單中边界网络设备和部分关键网络设备，結合网络拓扑架构，分析存在的网络安全隐患。

应用系统安全评估（渗透测试）：

通過模拟黑客也許使用的袭击技术和漏洞发現技术，對XX集团授权渗透测试的目的系