风险评估试点项目实施方案(编辑修改稿)

风险评估试点项目实施方案(编辑修改稿)内容摘要：

第 6 页 共 93 页对现有网络的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述)。  保密原则：对评估的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害甲方网络的行为，否则甲方有权追究乙方的责任。 2 项目范围本次由 XX 省信息安全测评中心所承担的试点工作为 XX 市地税局征管系统：XX 市地税局征管信息系统，评估的信息资产范围如下：序号名称 厂牌型号 操作系统 用途1 小型机 IBM RS6000 AIX 征管业务系统数据库2 小型机 IBM RS6000 AIX 征管业务系统数据库3 服务器 IBM x440 Windows2020Server 征管业务系统服务器4 服务器 IBM x440 Windows2020Server 征管业务系统服务器5 服务器 IBM x440 Windows2020Server 征管业务系统服务器6 服务器 IBM x440 Windows2020Server 征管业务系统服务器7 服务器 IBM x440 Windows2020Server DC8 服务器 IBM x440 Windows2020Server DC9 服务器 IBM x440 Windows2020Server Exchange 邮件服务器10 服务器 IBM x366 Windows2020Server 税收管理员系统数据库11 服务器 IBM x366 Windows2020Server 税收管理员系统服务器12 服务器 IBM x366 Windows2020Server 税收管理员系统服务器13 服务器 HP D360 Windows2020Server 服务器14 服务器 HP D360 Windows2020Server 公文流转服务器15 服务器 HP D360 Windows2020Server 瑞星杀毒中心16 路由器 CISCO7513 IOS 核心路由器XX 市地税局风险评估试点项目项目实施方案 第 7 页 共 93 页17 交换机 CISCO4506 IOS 核心交换机18负载均衡器 F5专用 负载均衡器19 IPS 绿盟3 地税征管系统概述分析 征管系统的逻辑架构征管系统采用了三层架构，即表示层、应用逻辑层和数据层。 表示层是三层架构中用户访问应用系统的所使用设备的总称，它可以是计算机 IE 浏览器，也可以是 PDA、手机等。 表示层的主要功能是发送用户的请求信息给后端的应用逻辑，并接收应用逻辑层返回的数据，最终展现在客户端设备的界面上。 Framework 构建的智能客户端（smart client）。 智能客户端整合了 IE 浏览器和 Windows 控件。 由于表示层还是采用浏览器技术，表示层与应用逻辑层的连接协议是 HTTP。 负载均衡主要是在多台 WEB 服务器间进行客户端请求的分配调整，充分利用服务器资源，提高响应速度。 目前采用了一台 F5 的负载均衡器实现。 应用逻辑层负责处理用户认证和相关业务逻辑的实现，是征管系统的控制层。 它利用组件的形式提供用户权限控制，事务处理服务、安全控制服务、数据库访问服务等，同时征管系统的业务逻辑处理组件也在这一层部署。 数据层是支撑逻辑事务层的底层结构，为应用逻辑层提供数据库数据存取的服务。 在数据层中保存了征管系统的所有数据。 征管系统的物理架构征管系统的物理架构也由三层组成，客户端通过 XX 地税内网访问征管系统的应用服务器和数据库服务器。 征管应用服务器：采用 4 台 X440 PC Server，处理征管业务逻辑。 数据库服务器：采用两台 6M1 小型机，一台为主数据库服务器，另一台做热备。 当一台机器出故障时，另外一台会自动接管，保证应用系统的连续性。 两台服务器接同一个磁盘阵列。 XX 市地税局风险评估试点项目项目实施方案 第 8 页 共 93 页AD 服务器：两台 PC Server 作为 AD 服务器，互为集群，为征管系统提供用户认证管理。 客户端软件一般采用 WindowsXP，在客户端需要安装 Smart Client。 应用服务器采用 Windows2020 Advanced Server 操作系统。 6M1 小型机运行 操作系统。 网络架构XX 地税局征管系统网络拓朴图XX 地税征管系统通过一台 Cisco 交换机同内部服务器群进行互联，4506通过 Cisco 7513 同各基层税务局/所进行互联。 XX 市地税局风险评估试点项目项目实施方案 第 9 页 共 93 页4 总体设计方法安全保障体系设计原则如下：综合防范，重点防御。 按照我国信息安全保障工作“积极防御，综合防范”的基本方针，涉密系统建设应首先符合国家保密局制定的相关文件的要求；坚持管理与技术并重，加强以密码技术为基础的信息保护和网络信人体系建设，建立和完善信息安全监控系统，建立健全信息安全应急处理协调机制。 综合平衡，等级保护。 综合平衡安全成本和风险，合理优化信息安全资源的配置，实行信息安全等级保护，正确处理安全保密与开放互联之间的关系，做到技术上可实现，组织上可执行。 标准规范，完整适用。 安全体系的建设必须充分利用成熟的信息安全理论成果，参照国际和国内的安全标准和规范组织实施，具有较高的整体性、适用性和可扩展性。 最高防护，最小特权。 按照信息系统所承载信息的最高密级和信息系统的最薄弱环节进行防护，任何实体（用户、管理员、进程、应用和系统等）仅有该主体需要完成其被指定任务的所必须的特权，此外没有更多的特权。 纵深防御，全面防护。 安全体系设计不只依靠单一的安全机制和多种安全服务的堆砌，要通过多层机制互相提供必要的冗余和备份，建立完备体系，一旦系统运行出现差错或发生故障时必须拒绝侵袭者的访问。 安全体系设计的范围还应当整体全面，包括安全涉及的各个层面（应用、系统、网络、管理制度、人员等） ，避免由于遗漏造成未来的安全隐患。 从而我们在本项目方案设计中，针对试点项目等级化信息安全保障体系设计采用体系化设计方法来满足“综合防范，重点防御”以及“纵深防御，全面防护”的原则，采用等级化设计方法来满足“综合平衡，等级保护”以及“最高防护，最小特权”的原则，采用标准化设计方法来满足“标准规范，完整使用”的原则。 下面分别描述这三种设计方法。 XX 市地税局风险评估试点项目项目实施方案 第 10 页 共 93 页 体系化设计方法近年来，随着计算机技术的迅猛发展，安全的重要性越来越突出。 很多企业采用了防火墙、防病毒、入侵检测、漏洞扫描、VPN、审计、PKI 等一系列安全产品，提高了组织的计算机安全水平，但是这些改善仍没有达到组织理想的目标，病毒、黑客和计算机犯罪依然猖獗，更不幸的是，组织逐渐意识到来自内部的误操作和越权行为给组织带来了更大的威胁，而安全产品在对付这些来自内部的威胁时显得非常不足，这给信息安全的理论界、厂商和用户提出了一系列问题：“信息安全的本质是什么。 ”“信息安全应该包含哪些范围。 ”“信息安全工作到底应该作什么。 都做得什么程度。 ”由于这些问题的存在，促使人们开始对安全体系进行研究。 一般地，对安全体系的研究主要采用两种思路，一是模型化，它通过将要保护的对象通过模型的方式表达，获取其安全需求；一是“最佳实施” ，它通过列举安全控制来构造理想的安去体系。 这两种模型都存在着一定的缺陷，模型化思路的主要难点在于难以完整和准确地表达一个信息系统，因为信息安全是一个极为复杂的系统工程，和组织\企业的业务目标和业务特性紧密相关，又必须符合企业的管理模式和文化，在不同的企业中表现出极大的差异性。 而最佳实施的主要缺陷是安全控制的不可枚举性，尤其是随着安全技术日益发展，安全控制的更新也是非常快的。 鉴于 XX 地税征管系统庞大、应用复杂、数据敏感、建设周期长的技术特征，在其安全保障体系的设计过程中，我们将两种思路加以综合，首先借鉴IATF 的信息安全保障体系模型构建 XX 地税征管系统的计算机安全保护对象框架（保护轮廓） ，然后根据保护对象框架选择或设计所有可行的安全控制，然后进行纵向梳理，产生技术体系和管理体系（策略、组织和运作体系） ，这些体系构成本次项目所需的安全体系。 在技术体系和管理体系中的安全控制和对策的选择和定制中，采用“最佳实施”方法，通过列举满足实际需求，可实际应用和得到地税征管系统认可的安全控制来构造安全体系。 XX 市地税局风险评估试点项目项目实施方案 第 11 页 共 93 页 安全体系概述一个完整的信息安全体系应该是安全管理和安全技术实施的结合，两者缺一不可。 为了实现对信息系统的多层保护，真正达到信息安全保障的目标，国外安全保障理论也在不断的发展之中，美国国家安全局从 1998 年以来开展了信息安全保障技术框架（IATF）的研究工作，并在 2020 年 10 月发布了 IATF 版本，在 IATF 中提出信息安全保障的深度防御战略模型，将防御体系分为策略、组织、技术和操作四个要素，强调在安全体系中进行多层保护。 安全机制的实现应具有以下相对固定的模式，即“组织（或人）在安全策略下借助于一定的安全技术手段进行持续的运作”。 XX 地税征管系统等级化信息安全保障体系从横向看，主要包含安全管理和安全技术两个方面的要素，在采用各种安全技术控制措施的同时，必须制订层次化的安全策略，完善安全管理组织机构和人员配备，提高安全管理人员的安全意识和技术水平，完善各种安全策略和安全机制，利用多种安全技术实施和安全管理实现对计算机系统的多层保护，减小它受到攻击的可能性，防范安全事件的发生，提高对安全事件的反应处理能力，并在计算机安全事件发生时尽量减少事件造成的损失。 其次，为了使计算机安全体系更有针对性，在构建时还必须考虑信息安全本身的特点：动态性、相对性和整体性。 信息安全的动态性指的是信息系统中存在的各种安全风险处于不断的变化之中，从内因看，信息系统本身就在变化和发展之中，信息系统中设备的更新、操作系统或者应用系统的升级、系统设置的变化、业务的变化等要素都可能导致新的安全风险的出现。 从外因看，各种软硬件系统的安全漏洞不断的被发现、各种攻击手段在不断在发展，这些都可能使得今天还处于相对安全状态的信息系统在明天就出现了新的安全风险。 信息系统安全的相对性指的是信息安全的目标实现总是相对的，由于成本以及实际业务需求的约束，任何的安全解决方案都不可能解决所有的安全问题，百分之百安全的信息系统是不存在的，不管安全管理和安全技术实施多完善，安全问题总会在某个情况下发生。 信息安全的这个属性表明安全应急计划、安全检测、应急响应和灾难恢复等都应该是安全保障体系中的重要环节。 XX 市地税局风险评估试点项目项目实施方案 第 12 页 共 93 页信息安全的整体性指的是信息安全是一个整体的目标，正如木桶的装水容量取决于最短的木块一样，一个信息系统的安全水平也取决于防御最薄弱的环节。 因此，均衡应该是信息安全保障体系的一个重要原则，这包括体系中安全管理和安全技术实施、体系中各个安全环节、各个保护对象的防御措施等方面的均衡，以实现整体的信息安全目标。 安全框架模型在本项目设计过程中，整体性一直是最核心的问题，因此为了保障安全体系具有一定的完整性，避免对地税征管系统安全问题的遗漏，因此在方法论中引入了安全框架模型。 所谓“框架”概念是指用结构化原理解决问题的理论武器。 它早已被广泛地应用在管理咨询和战略咨询等方面。 所谓“结构化原理”是指通过特定的结构将问题拆分成子问题的迭代过程，例如“鱼刺图”。 结构化原理包括以下几条基本原则： 充分覆盖所有子问题的总和必须覆盖原问题。 如果不能充分覆盖，那么解决问题的方法就可能出现遗漏，严重影响方法的可行性。  互不重叠所有子问题都不允许出现重复，类似以下的情况不应出现在一个框架中： 两个不同的子问题其实是同一个子问题的两种表述； 某一个子问题其实是另外两个问题或多个问题的合并。  不可再细分所有子问题都必须细分到不能再被细分。 当一个问题经过框架分析后，所有不可再细分的子问题构成了一个“框架”。 XX 市地税局风险评估试点项目项目实施方案 第 13 页 共 93 页“安全框架”是依据框架概念，解决组织信息安全问题的思想方法。 它包括以下几方面的含义： 界定安全问题的范围正如前面所提，信息安全问题涉及的范围很广，有时甚至和传统安全问题牵扯在一起。 这给解决安全问题带来了很大的难度。 因此要科学地对待信息安全问题，首先必须明确定义信息安全问题的范围。  对安全问题进行结构化分析当信息安全问题的范围已经被明确后，它必须按照结构化原理被不断地细分。 这时整个安全问题已经被结构化为“保护对象框架”。 保护对象框架可以看作是由一组“。