中国联通业务信息安全评估基本规范V
QB/CU
中国联通公司企业标准
QB/CU A32-073(2015)
中国联通业务信息安全评估基本规范The General Specification for Service System’s Risk Assessment On
Information Security of Chinaunicom
(V1.0)
2015-03-30发布2015-03-30实施
目次
前言.................................................................................................................................................. I V
1 范围 (1)
2 规范性引用文件 (1)
3 安全评估框架 (3)
3.1 概述 (3)
3.2 安全评估框架 (3)
3.3 安全评估框架简介 (3)
3.3.1 设备安全 (3)
3.3.2 平台及软件安全 (4)
3.3.3 业务流程安全 (4)
3.3.3.1 计费安全 (4)
3.3.3.2接口安全 (4)
3.3.3.3 用户信息安全 (4)
3.3.3.4 业务逻辑安全 (4)
3.3.3.5 传播安全 (5)
3.3.5 安全管控 (5)
3.3.5.1 系统安全 (5)
3.3.5.2 人员安全 (6)
3.3.5.3 第三方管理安全 (6)
3.4 应用指导原则 (6)
4 安全评估实施要点和要求 (6)
4.1 设备安全 (6)
4.2 平台及软件安全 (28)
4.3 业务流程安全 (33)
4.3.1 计费安全 (33)
4.3.2 接口安全 (35)
4.3.3 用户信息安全 (36)
4.3.4 业务逻辑安全 (41)
4.3.5 传播安全 (45)
4.4.1 引入机制 (49)
4.4.2 提供流程 (50)
4.4.3 发布机制 (51)
4.4.4 操作记录 (53)
4.5 安全管控 (54)
4.5.1 系统安全 (54)
4.5.2 人员安全 (56)
4.5.3 第三方安全管理 (58)
前言
为了加强中国联通业务信息安全管理,保证业务发展与信息安全措施同步规划、同步建设、同步运行,提升业务信息安全整体水平,降低业务安全风险,特制定本信息安全评估规范。
本评估规范针对各业务类型的信息安全水平进行客观、综合的信息安全评价,促进业务安全评估工作的开展,为业务发展提供良好支撑。
本规范解释权归总部信息安全部。
本规范由中国联通公司信息安全部提出。
本规范由中国联通公司技术部归口。
本规范主要起草单位:中国联通公司信息安全部、中国联通研究院
本规范主要起草人:李楠、张勇气、徐亮、毕强、杨静
本规范修改和解释权属中国联合网络通信有限公司
中国联通业务信息安全评估基本规范
1 范围
本规范规定了中国联通业务在进行信息安全评估的基本要求。
本规范所指业务是指本标准在公司范围内发布后,提供的具有新功能或新使用价值的业务及存量业务的新增功能。
本规范适用于对中国联通业务上线前进行信息安全评估,也适用于当存量业务增减功能或当使用用户规模发生较大增长时进行信息安全评估。
本规范是对业务进行信息安全评估的基本要求,对于不同类型的业务,可根据业务特点和使用环境在评估项上进行补充完善。
2 规范性引用文件
本规范编制依据下列文件:
YD/T 2692-2014 电信和互联网用户个人电子信息保护通用技术要求和管理要求
YD/T 2694-2014 移动互联网联网应用安全防护要求
YD/T 2698-2014 电信网和互联网安全防护基线配置要求及检测要求网络设备
YD/T 2699-2014 电信网和互联网安全防护基线配置要求及检测要求安全设备
YD/T 2700-2014 电信网和互联网安全防护基线配置要求及检测要求数据库YD/T 2701-2014 电信网和互联网安全防护基线配置要求及检测要求操作系统
YD/T 2702-2014 电信网和互联网安全防护基线配置要求及检测要求中间件YD/T 2703-2014 电信网和互联网安全防护基线配置要求及检测要求web应用系统
中国联通IT系统BSS系统域业务支撑网管系统业务技术规范安全管理分册v1.0
中国联通增值业务平台系统安全防护总体规范v1.0
中国联通商用产品业务平台安全防护系统技术规范V1.0
中国联通创新业务系统安全监测平台技术规范V1.0
中国联通门户类增值业务平台安全防护规范V1.0
中国联通云计算通用安全技术规范V1.0
中国联通应用数据安全管理技术规范V1.0
中国联通聚合类业务平台安全防护规范V1.0
中国联通IT系统企业内部网安全管理系统技术规范v1.0
中国联通电子渠道安全技术规范v1.0
中国联通双栈(IPv4IPv6)防火墙设备技术要求V1.0
中国联通信息系统PaaS平台数据库即服务技术规范V1.0
中国联通IT系统ORACLE数据库软件管理实施细则v1.0
3 安全评估框架
3.1 概述
中国联通业务信息安全评估依据科学的安全风险评估方法,并结合中国联通的实际情况,从业务所涉及的各类软硬件资产(设备、平台及软件、业务流程、业务内容)及安全管控出发,依据不同类型资产耦合度,划分为五个层次。根据不同层次常见的安全风险,分别对不同风险进行信息安全评估。
本信息安全评估规范重点对与业务流程相关的内容、用户信息、业务逻辑及安全管控等方面进行信息安全风险评估,旨在尝试深层次探索中国联通业务信息安全评估体系,相关评估结果亦可指导相关业务的建设和运维。
3.2 安全评估框架
图1安全评估框架图
3.3 安全评估框架简介
3.3.1 设备安全
设备安全从网络设备、安全设备、主机操作系统三个方面进行安全评估。重点评估中国联通业务所涉及设备在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。
3.3.2 平台及软件安全
业务平台及软件安全从数据库、中间件两个方面进行安全评估。重点评估中国联通业务平台所涉及平台软件在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。
3.3.3 业务流程安全
3.3.3.1 计费安全
计费安全从计费流程方面进行安全评估。重点评估中国联通业务在计费流程、计费防盗链、计费审核等方面的信息安全管控措施的落实及实施效果。
3.3.3.2 接口安全
接口安全对系统平台与外部平台之间接口与协议安全方面进行安全评估。重点评估中国联通业务在接口与协议安全设计、实施、测试等方面的信息安全管控措施的落实及实施效果。
3.3.3.3 用户信息安全
用户信息安全从用户基本信息(包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等信息)存储、用户数据信息(包括用户使用服务的时间、地点、通信内容等)保护两个方面进行安全评估。重点评估中国联通业务在用户信息保存、访问、保护等方面的信息安全管控措施的落实及实施效果。
3.3.3.4 业务逻辑安全
业务逻辑安全从业务订购、业务认证和业务使用三个方面进行安全评估。重点评估中国联通业务在业务订购流程、认证逻辑等方面的信息安全管控措施的落实及
3.3.3.5 传播安全
传播安全从业务传播方式方面进行安全评估。重点评估中国联通业务在业务传播范围、业务传播方式等方面的信息安全管控措施的落实及实施效果。
3.3.3.6 营销安全
营销安全从营销渠道、营销防盗链两个方面进行安全评估。重点评估中国联通业务在业务营销渠道管控、营销方式审核等方面的信息安全管控措施的落实及实施效果。
3.3.3.7 应急预案
应急预案主要从是否有应急预案、预案的可操作性及预案的有效性进行评估。重点评估中国联通的业务上线后,因灾难或故障导致业务系统部分瘫痪时,将整个业务系统恢复到正常运行状态或部分正常运行状态、并将其支持的业务从灾难造成的不正常状态恢复到可接受状态,而需要采取的应对预案和措施备及实施效果。
3.3.4 业务内容安全
业务内容安全从内容审核、内容源引入机制、内容发布机制、内容提供流程和内容操作记录保护五个方面进行安全评估。重点评估中国联通业务在内容安全、内容源引进、发布、审核、记录保存管控制度等方面信息安全管控措施的落实及实施效果。
3.3.5 安全管控
3.3.5.1 系统安全
系统安全对业务相关的应用软件系统的访问控制措施进行安全评估。重点评估
控措施的落实及实施效果。
3.3.5.2 人员安全
人员安全从人员管理方面进行安全评估。重点评估中国联通业务相关人员在雇佣、入职、安全考核等方面的信息安全管控措施的落实及实施效果。
3.3.5.3 第三方管理安全
第三方安全管理从人员安全、物理安全两个方面进行安全评估。重点评估中国联通业务有关的第三方合作伙伴在人员管理、接入管理、物理区域访问管理等方面的信息安全管控措施的落实及实施效果。
3.4 应用指导原则
本信息安全评估规范旨在建立基本的、体系化的中国联通业务安全风险评估基本要求,不同需求驱动的业务安全评估可在该框架的不同评估场景下具体细化和补充以突出不同的重点。
4 安全评估实施要点
4.1 设备安全
互联网新技术新业务安全系统评估规章制度
互联网新技术新业务安全评估制度文本 目录 1 围 (2) 2术语、定义和缩略语 (2) 3概述 (3) 4安全评估工作要求 (4) 5安全评估总体思路 (6) 6业务安全风险评估 (7) 7企业安全保障能力评估 (13)
1 围 本制度适用于****科技(以下简称“我司”) ************互联网新技术新业务安全评估的工作要求、组织流程、评估容和方法进行了描述和规,本制度涉及的互联网不包括专用网,仅指公众互联网(含移动互联网)。 本制度适用于在通信行业中组织开展的互联网新技术新业务安全评估工作。 2术语、定义和缩略语 2.1术语和定义 下列术语和定义适用于本文件。
2.1.1 信息安全security 信息安全是指互联网技术、业务、应用制作、复制、发布、传播的公共信息容应该满足《互联网信息服务管理办法》等相关法律法规要求。 2.1.2 信息安全事件security incident 由于互联网技术、业务、应用自身的特性和功能,或被恶意使用,导致互联网技术、业务、应用被利用制作、复制、发布、传播信息,组织非法串联等,对信息安全危害情况。 2.1.3 信息安全风险security risk 互联网技术、业务、应用被利用导致安全事件的发生及其对经济正常运行、社会稳定、国家安全造成的影响 2.2缩略语 下列缩略语适用于本文件。 IP Internel Protocol 互联网协议
3概述 我司************的互联网新技术新业务安全评估(以下简称“安全评估”)是指运用科学的方法和手段,系统地识别和分析互联网技术、业务、应用可能引发的信息安全风险。评估信息安全事件一旦发生可能造成的危害程度,评估我司配套的信息安全保障能力是否能够将风险控制在可接受的水平,提出有针对性的预防信息安全事件发生的管理对策和安全措施,为最大限度地保障互联网技术、业务、应用的信息安全提供科学依据。 互联网新技术新业务安全评估的目标是为了进一步加强对互联网技术、业务、应用的管理,帮助我司提早防潜在安全风险,提早部署安全保障措施,促进互联网创新健康发展。 4安全评估工作要求 4.1安全评估对象 安全评估的对象是基础电信企业及增值电信企业(含三网融合涉及的广电企业)运营的互联网技术、业务或应用。 4.2安全评估启动条件 互联网技术、业务或应用满足下列情形之一的,应及时
信息安全风险评估方法
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知,以风险驱动的方法去管理信息安全已经被大部分人所共知和接受,这几年国内等级保护的如火如荼的开展,风险评估工作是水涨船高,加之国内信息安全咨询和服务厂商和机构不遗余力的推动,风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准,一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》,其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象,在参照当前流行的国际国内标准如ISO2700 2,COBIT,信息系统等级保护,识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点,最后从可能性和影响程度这两个方面来评价信息资产的风险,综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上,在实践中摸索和开发出类似与流程风险评估等方法,补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法,银行业业务风险管理的方法已经发展到相当成熟的地步,并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是,风险评估作为信息安全领域的新生事物,或者说舶来之物,尽管信息安全本身在国内开展也不过是10来年,风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤,没有基础的、统计数据做支撑,定量风险评估寸步难移;而定性的风险评估其方法的本质是定性,所谓定性,则意味着估计、大概,不准确,其本质的缺陷给实践带来无穷的问题,重要问题之一就是投资回报问题,由于不能从财务的角度去评价一个/组风险所带来的可能损失,因此,也就没有办法得到投资回报率,尽管这是个问题,但是实践当中,一般大的企业都会有个基本的年度预算,IT/安全占企业年度预算的百分之多少,然后就是反正就这么些钱,按照风险从高到低或者再结合其他比如企业现有管理和技术水平,项目实施的难易度等情况综合考虑得到风险处理优先级,从高到低依次排序,钱到哪花完,风险处理今年就处理到哪。这方法到也比较具有实际价值,操作起来也容易,预算多的企业也不怕钱花不完,预算少的企业也有其对付办法,你领导就给这么些钱,哪些不能处理的风险反正我已经告诉你啦,要是万一出了事情你也怪不得我,没有出事情,等明年有钱了再接着处理。
信息安全风险评估报告
1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期
报告编写人: 日期: 批准人:日期: 版本号:第一版本日期 第二版本日期 终板
目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)
5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A:脆弱性编号规则.. (17)
中国联通业务发展与服务管理办法
中国联通业务发展与服务管理办法 1
<中国联通海南分公司集团业务发展与服务管理办法> 第一章总则 (2) 第二章集团业务概述 (2) 第三章发展集团业务的渠道及相关要求 (2) 第四章集团客户分级标准 (4) 第五章集团业务工作流程 (4) 第六章集团业务考核办法 (8) 附件一:各渠道集团直销客户经理及服务助理配备数量要求 (12) 附件二:大客户部任务分解表 (13) 附件三:集团业务发展与服务考评表 (19) .. 中国联通海南分公司
集团业务发展与服务管理办法 中国联通海南分公司大客户部门承担集团业务发展与服务的职能。为进一步加强集团业务的发展,规范集团业务服务行为,理顺集团业务拓展渠道的规范性和协调性,特制定此管理办法。 第一章总则 第一条制定依据:根据中国联通海南分公司关于大客户部工作职责及工作任务划分,制定集团业务发展与服务的相关指标和标准。 第二条适用对象:本管理办法适用中国联通海南分公司从事集团业务工作的各分公司大客户部、客户经理、服务经理(助理)、网络服务商、特许营业厅发展集团业务、特约服务商。 第二章集团业务概述 第三条相关概念: 1、集团业务定义:在海南省范围内的各类单位(含国营企事业、私营或个体经济的单位), A:使用海南联通提供的单项业务,达到如下标准的:使用移动业务的人数达到10人及以上,或使用数据专线业务的、或使用语音专线业务的,可定义为集团业务。 B:使用海南联通提供的综合业务的,可定义为集团业务。 2、综合业务的定义:只要某单位使用两项或两项以上联通业务的,即可称之为综合业务。
第四条集团工作的含义:发展集团业务的渠道,以单位客户为发展对象,以海南联通提供的各项业务为切入点,以发展海南联通综合业务为实施目标,针对单位客户开展的一系列的营销发展、服务挽留工作,均称之为集团工作。 第三章发展集团业务的渠道及相关要求第五条集团业务发展渠道有: 1)各市县分公司招聘管理的自有客户经理/业务经理、区域大客户经理、兼职客户经理/业务经理。 2)网络服务商的直销人员 3)特许营业厅从事集团业务的直销人员 4)特约服务商的直销人员 第六条集团业务发展的渠道的人员配置标准: 1)直销客户经理:根据发展的集团数量配备,按照不低于10:1的比例配备客户经理,即10个集团必须配备一员直销客户经理。 2)服务助理:根据渠道辖内的集团内客户总数量,按照不低于4000:1的比例配备服务助理,即4000个集团客户必须配务一员专职服务助理。 各渠道人员配备情况见附件一。 第七条省分公司与地市分公司的界面分工 1)营销发展方面:
信息安全风险评估方案教程文件
信息安全风险评估方 案
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部
中国联通集团业务合作方案
中国联通集团业务合作方案 中国联合网络通信有限公司镇江市分公司 2010年10月
目录 一、概述 (1) 二、联通3G优势介绍 (2) 三、集团入网方案 (4) 1、固话部分 (4) 2、手机部分 (4) 3、企业宽带 (7) 4、商务总机 (7) 5、基于WCDMA手机组网后可开展的应用 (8) 四、售后服务保障 (11) 附: iPhone介绍 (12)
一、概述 中国联合网络通信有限公司(以下简称“中国联通”),成立于2008年10月15日,是由原中国联合通信有限公司与中国网络通信集团公司合并而成,合并重组后的中国联通,整体规模和实力得到了较大提升,拥有覆盖全国、通达世界、结构合理、技术先进、功能强大的现代通信网络,主要经营移动通信业务,国内、国际固定电话网络与设施(含本地无线环路),语音、数据、图像及多媒体通信与信息服务,电信增值业务,IP电话业务等国家批准的其它业务,以及与通信及信息业务相关的系统集成等业务。 根据国家关于电信企业重组及全面开展3G网络建设的要求,中国联通已经开始正式运营世界上最先进的3G移动通信网络-WCDMA网络。全球移动设备供应商协会(GSA)公布的最新市场数据显示,截止到2009年8月13日,全球WCDMA用户数已经突破4.17亿,共290家运营商在120个国家部署了WCDMA网络,占全球3G商用网络72.8%的份额。 目前,江苏联通WCDMA网络已覆盖全省13个地市城区、所有发达乡镇、县城以及绝大多数乡村,并已推出无线上网、手机电视等3G优势业务,同时针对政府、企业、农村信息化提供高速的无线宽带解决方案。在电子政务应用中,建设全省信息网络系统,并提供“一站式”政务服务,实现办公自动化、公文交换无纸化、管理决策网络化、公共服务电子化;在公安系统、交通系统、城市建设管理系统等方面,镇江联通已经提供了公安巡逻、道路交通、建设工地等视频监控应用系统,全面构建平安城市、平安镇江; 作为综合业务运营商,镇江联通愿意为用户提供一体化业务解决方案,综合利用既有资源,提升效益。镇江联通将进一步加大固网宽带建设力度,加快完善现有移动通信网络及未来3G网络建设步伐,积极推进固定和移动网络的宽带化,为贵公司提供全方位宽带通信服务。
信息安全评估报告
信息安全评估报告(管理信息系统) 二零一六年一月
1目标 ××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3评估方法 采用自评估方法。
3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。 4安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1规章制度与组织管理评估 5.1.1组织机构 5.1.1.1评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2现状描述 本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
信息安全风险评估报告DOC
XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表
一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服
务的企业。 3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。 4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期: 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组; 2、通过咨询公司对风险评估小组进行相关培训; 3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方 法; 4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产 清单; 5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级; 6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施; 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作
从2017年9月10日开始进入风险评估阶段,到2017年9月15日止基本工作告一段落。主要工作过程如下: 1.2017-9-10 ~ 2017-9-10,风险评估培训; 2.2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法; 3.2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为 物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类; 4.2017-9-13 ~ 2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在 风险,并在ISMS工作组内审核; 5.2017-9-14 ~ 2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表; 6. 2017-9-15 ~ 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS工作 组组织审核,并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风险115个,不可接受风险42个. 表1 资产面临的威胁和脆弱性汇总表
互联网新业务安全评估管理办法
互联网新业务安全评估管理办法 为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,工业和信息化部研究形成了《互联网新业务安全评估管理办法(征求意见稿)》,现向社会公开征求意见,请于2017年7月9日前反馈意见。下面是小编提供的互联网新业务安全评估管理办法,欢迎阅读。 互联网新业务安全评估管理办法 (征求意见稿) 第一条立法目的为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,根据《全国人民代表大会常务委员会关于加强网络信息保护的决
定》《中华人民共和国电信条例》《互联网信息服务管理办法》等法律、行政法规,制定本办法。 第二条适用范围中华人民共和国境内的电信业务经营者开展互联网新业务安全评估活动,适用本办法。 第三条定义本办法所称互联网新业务,是指电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务。 本办法所称安全评估,是指电信业务经营者对其互联网新业务可能引发的网络信息安全风险进行评估并采取必要的安全措施的活动。 第四条工作原则电信业务经营者开展互联网新业务安全评估,应当遵循及时、真实、有效的原则。 第五条管理职责工业和信息化部负责对全国范围内的互联网新业务安全评估工作实施监督管理。 各省、自治区、直辖市通信管理局
负责对本行政区域内的互联网新业务安全评估工作实施监督管理。 工业和信息化部和各省、自治区、直辖市通信管理局统称电信管理机构。 第六条鼓励创新国家鼓励电信业务经营者进行互联网技术和业务创新,依法开展互联网新业务,提升互联网行业发展水平。 第七条行业自律国家鼓励互联网行业组织建立健全互联网新业务安全评估自律性管理制度,指导电信业务经营者依法开展安全评估,提高安全评估的能力和水平。 第八条评估标准工业和信息化部依法制定互联网新业务安全评估标准。 第九条评估要求电信业务经营者应当按照电信管理机构有关规定和互联网新业务安全评估标准,从用户个人信息保护、网络安全防护、网络信息安全、建立健全相关管理制度等方面,开展互联网新业务安全评估。 第十条评估启动有下列情形之一
中国联通WVPDN业务介绍
中国联通移动虚拟拨号专用网----WVP DN业务介绍 中国联通大客户部 2020-7-16
一、需求分析 随着中国联通CDMA 1X网络用户的发展和各项增值业务的顺利推广,市场对无线VPDN业务的需求越来越强烈。VPDN是虚拟拨号专用网络(Virtual Private Dialup Network)的缩写,与普通的VPDN不同之处在于,CDMA 1X分组网的VPDN 业务,体现的是无线上网的概念,是利用中国联通CDMA 1X高速分组数据网络为无线移动用户构建虚拟专用网络,从而使集团用户在任何地点都能够通过CDMA 1X 网络,实现为职员和商业伙伴提供无缝和安全的连接,真正做到“无限联通”到集团网。CDMA 1X分组域根据网络自身的特点和集团的不同需求,为集团VPDN用户提供有差异化的、安全可靠的解决技术方案。 主要应用在如下方面: 1、移动办公。 2、数据传输等领域。 二、集团网接入方式 集团VPDN接入CDMA 1X分组网的方式有三种,分别是:互联网接入、专线接入、MPLS VPN的接入。 1、互联网接入:对于一般集团VPDN用户,采用通过Internet建立L2TP隧道的方式,为集团网构建虚拟专用拨号网络,在隧道端点进行认证及加密,此种方式可降低集团投资成本,利用CDMA 1X网络的全国性覆盖,大大增强集团网络的可扩展性,为集团的无线移动和远程应用提供经济的解决技术方案。 2、专线接入:对于实时性、安全性要求较高的集团,如银行和公安的集团用户,既要考虑CDMA 1X分组域到集团网的带宽需求,又要考虑传输数据的安全保密性,因此采用专网接入的方式是最安全的选择,既可以保证流量带宽又可以保证数据的安全,此种接入方式需要集团提供专线的租用费用,与第一种方式相比集团
信息安全评估报告精编版
xxx有限公司 信息安全评估报告(管理信息系统) x年x月
1目标 xxxxxxxxx公司信息安全检查工作的主要目标是通过自评估工作,发现本公司电子设备当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 《信息安全技术信息安全风险评估规范》(GB/T 20984-2007) 《信息技术信息技术安全管理指南》 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。 4安全事件 对公司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记 录,形成本公司的安全事件列表。 本公司至今没有发生较大安全事故。 5安全检查项目评估 5.1 规章制度与组织管理评估 规章制度详见《计算机信息系统及设备管理办法》 5.1.1组织机构
5.1.1.1 评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2 现状描述 本公司已成立了信息安全领导机构,但尚未成立信息安全工作机构。 5.1.1.3 评估结论 完善信息安全组织机构,成立信息安全工作机构。 5.1.2岗位职责 5.1.2.1 评估标准 岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。 5.1.2.2 现状描述 我公司没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。 5.1.2.3 评估结论 我公司已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
信息安全风险评估方案
第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
企业网络与信息安全风险评估规范
企业网络与信息安全风险评估规范
目录 第一章总则 (3) 第二章风险评估原则 (5) 第三章风险评估模型 (5) 第四章风险评估策略 (9) 第五章风险评估过程框架 (11) 第六章风险评估手段 (15) 第七章文档要求 (16) 第八章项目管理 (17)
第一章总则 第一条网络与信息安全风险评估是网络与信息安全管理的基础性工作,是实现网络与信息系统安全水平持续改进的重要手段。为了指导、规范和促进各单位开展网络与信息安全风险评估工作,加强网络与信息安全的全过程动态管理,进一步提高网络与信息安全保障水平,特制定本规范。 第二条网络与信息安全风险评估是对企业现有的网络、信息系统、业务流程、安全策略等进行风险分析,并根据风险分析结论提出安全建议的过程。 第三条通过对网络与信息系统(以下简称信息系统)进行安全评估,至少应该达到以下目标: (一)掌握信息系统的安全现状和面临的安全风险; (二)明确信息系统面对的主要风险以及这些风险产生的原因; (三)为信息系统的建设、运行、维护、使用和改进提供安全性建议。 (四)改进与完善企业现有安全策略,实施有效的信息系统风险管理,加强重要信息系统的安全保障。 第四条本规范适用于国家电网公司系统各单位,用于指导各单位信息安全评估项目的开展和实施。 第五条名词解释
使命:一个组织通过信息化实现的工作任务。 信息资产:在信息化建设过程中积累起来的信息系统、信息数据、生产或服务能力、人员能力和应得的信誉。 价值:指信息资产对信息系统的重要程度,以及对信息系统为完成组织使命的重要程度。 威胁:信息资产可能受到的来自内部和来自外部的安全侵害。 脆弱性:信息资产及其防护措施在安全方面的不足,通常也称为漏洞。 风险:是指人为或自然的威胁利用信息系统存在的脆弱性,从而导致信息安全事件发生的可能性及其影响。 残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。 安全措施:为对付威胁,减少脆弱点,保护资产,限制意外事件的影响,检测和响应意外事件,促进灾难恢复和打击信息犯罪而采取的各种实践、规程和机制统称为安全措施。 安全防护需求:指为保证信息系统能够正常使用,在信息安全防护措施方面的要求。
信息安全评估报告
中国移动互联网新技术新业务信息安全评估报告 业务名称:XXXXX 中国移动通信集团XX有限公司 XXXX年X月
目录 1业务基本情况介绍 (1) 1.1业务名称 (1) 1.2业务功能介绍 (1) 1.3技术实现方式介绍 (1) 1.4(预期)用户规模 (1) 1.5市场发展情况 (2) 2安全评估情况 (2) 2.1安全评估情况概述 (2) 2.2评估人员组成 (2) 2.3评估实施流程 (3) 2.4评估结果(包括安全风险评估结果和安全保障能力评估结果) (3) 3整改落实情况 (8) 4安全管理措施 (9) 4.1日常安全管理介绍 (9) 4.2应急管理措施介绍 (9) 4.3同类业务的监管建议 (9) 5安全评估结论及签字确认表 (9)
1业务基本情况介绍 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxx。 1.1业务名称 1.2业务功能介绍 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxx。 1.3技术实现方式介绍 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxx。 1.4(预期)用户规模 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
企业信息安全风险评估方案
企业信息安全风险评估方案
知识域:信息安全风险评估 ?:?知识子域:风险评估流程和方法 ■掌握国家对开展风险评估工作的政策要求 ■理解风险评估、检查评估和等级保护测评之间的关系 掌握风险评估的实施流程:风险评估准备、资产识别、威胁评 估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档 记录 -理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点 ■掌握典型风险计算方法:年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具:风险评估与管理工具、系统基础平台风险评 估工具、风险评估辅助工具
1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号)中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理〃
国家对开展风险评估工作的政 2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》(国信办[2006 】5号文)中明确规定了风险评估工作的相关要求: 风险评估的基本内容和原则开展风险评估工作的有 关安排 风险评估工作的基本要求 K信息安全风险评估工作应当贯穿信息系统全生命周 期。在信息系统规划设计阶段,通过信息安全风险评 估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施”从而避免产生欠保 护或过保护的情况。
2、在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。 3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化,会不断出现新的信息安全风险,因此,在信息系统的运行阶段,应当定期逬行信息安全风险评估,以检验安全措施的有效性以及对安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时,应及时逬行信息安全风险评估。 4. 信息安全风险评估也是落实等级保护制度的重要 手段,应通过信息安全风险评估为信息系统确定安全
新技术新业务信息安全评估报告模板
互联网新技术新业务信息安全评估报告 产品名称:XXXXX 评估单位:XXXX XXXX年X月
目录 1.评估启动原因概述 (3) 2.产品基本情况 (3) 2.1产品简介 (3) 2.2产品功能 (3) 2.3技术原理 (3) 2.4实现方式 (4) 2.5(潜在)用户规模 (4) 2.6市场情况 (4) 3.安全评估情况 (4) 3.1评估人员组成 (4) 3.2评估实施过程概述 (5) 3.3产品信息安全风险 (5) 3.3.1不良信息传播 (5) 3.3.2用户信息安全 (6) 3.3.3网络技术风险 (6) 3.3.4第三方应用(服务)相关风险 (6) 3.3.5其他潜在信息安全风险 (7) 4.解决方案或整改情况 (7) 4.1配套安全管理措施 (7) 4.2信息控制能力 (7) 4.3信息溯源能力 (8) 4.4网络与信息安全管控建设 (8) 4.5同类产品管理建议 (8) 5.安全评估结论 (8) 6.评估人员签字表 (9)
1.评估启动原因概述 (产品预上线、用户或功能发生重大变化、日常工作或检查发现问题、电信主管机构或上级主管部门要求、其他原因等)XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXX 2.产品基本情况 2.1产品简介XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXX 2.2产品功能XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXX 2.3技术原理XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
术公司信息安全风险评估管理办法
**信息安全风险评估管理办法 目录 总则 为确保**网络及信息系统安全、高效、可控的运行,提高业务系统安全运行能力,全面降低信息安全风险,特制定本管理办法。 组织与责任 信息安全管理组负责信息安全风险评估的具体实施。 技术支撑部门协助信息安全管理执行组的信息安全风险评估工作,并且实施信息安全管理执行组通过风险评估后提供的解决方案与建议。 其他部门协助信息安全管理执行组开展信息安全风险评估工作。 信息安全风险评估规定
弱点分析 概述 弱点评估是安全风险评估中最主要的内容。弱点是信息资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的弱点。 弱点检查 信息安全管理组应定期对集团IT系统进行全面的信息安全弱点检查,了解各IT系统的信息安全现状。 IT系统安全检查的范围包括:主机系统、网络设备、安全设备、数据库系统、应用系统、邮件系统以及其它在用系统。 IT系统安全检查的工具与方法如下: 1. 工具检查:针对IT设备建议采用专用的脆弱性评估工具进行检查,如Nessus、 BurpSuite等工具,针对应用系统及代码安全检查,建议采用商业专用软件进行检查, 如IBM AppScan。 2. 手工检查:由信息安全专员或技术支撑部门相关人员参照相关的指导文档上机进行手 工检查。 信息安全检查工作开展前,信息安全管理组需制定安全检查计划,对于部分可用性要求高的业务系统或设备,计划中要明确执行的时间,并且该计划要通知相关部门与系统维护人员,明确相关人员的及部门的职责与注意事项。 信息安全管理组与外服公司针对信息安全检查须制定《安全检查方案》,方案中,针对工具扫描部分需明确扫描策略,同时方案必须提供规避操作风险的措施与方法。并且该方案必须获得技术支撑部领导批准。 信息安全管理组应对IT系统安全检查的结果进行汇总,并进行详细分析,提供具体的安全解决建议,如安全加固、安全技术引进等。 当发生重大的信息安全事件,信息安全管理组应在事后进行一次全面的安全检查,并通过安全检查结果对重要的安全问题进行及时解决。 常见的弱点种类分为: 1. 技术性弱点:系统,程序,设备中存在的漏洞或缺陷,比如结构设计问题或编程 漏洞;
中国联通互联网新业务信息安全评估管理办法--发布版
中国联通互联网新业务信息安全评估管理办法 (二级制度) 第一章总则 第一条为了保障互联网业务的安全运营,规范公司互联网新业务信息安全评估工作,推动安全评估规范化、流程化,依据《互联网信息服务管理办法》、工业和信息化部《互联网新业务安全评估管理办法(征求意见稿)》、《互联网新技术新业务信息安全评估指南》(YD/T 3169-2016)等文件制定本办法。 第二条中国联通各单位开展互联网新业务信息安全评估工作,适用本办法。 第三条本办法所称互联网新业务,是指各单位通过互联网新开展的电信业务,也包括工业和信息化部、省通信管理局要求开展信息安全评估的电信业务。 本办法所称信息安全评估是指运用科学的方法和手段,系统地识别和分析新业务可能引发的信息安全风险,评估相应的安全保障措施是否能够将风险控制在可接受水平的过程。以下简称评估。 第四条评估工作遵循“谁主管谁评估、谁运营谁评估”、
“逢新必评”和“及时、真实、有效”的原则。 第五条各单位要将互联网新业务评估工作纳入新业务上线的审批流程,确保互联网新业务上线前完成评估。 第六条评估分初评和复审两个阶段进行,初评由业务主管或运营单位(以下统称“业务单位”)组织,复审由信息安全部门组织。 第二章组织体系 第七条集团信息安全部门为全国互联网新业务评估工作归口管理部门,负责对评估工作实施指导、监督和管理。具体职责包括: (一)负责指导、协调全国开展评估工作,并对外接口电信管理部门; (二)制定管理办法和评估流程,组织总部业务部门、子公司和省级分公司部署落实工业和信息化部的评估要求; (三)对全国评估工作进行监督检查; (四)组织建立总部第三方评估机构资格目录; (五)指导和组织评估人员培训; (六)建立完善总部评估专家库和总部评估复审小组;
信息安全风险评估方案.doc
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而