网络信息安全系统招标技术方案

网络信息安全系统招标技术方案内容摘要：

100 要达成的目标 100 实施范围 101 实施步骤 101 第二章 专业的安全评估服务 104 评估 .............................................................................................................................................104 评估模型 ....................................................................................................................................105 概述 105 资产评估 106 威胁评估 106 弱点评估 108 风险评估 111 本地安全评估过程 ..................................................................................................................111 科技 XXXX 产业立地 第 5 页 风险评估目标 111 ．风险评估过程 112 117 117 118 119 119 IT规范管理流程和制度 120 121 科技 XXXX 产业立地 第 6 页 第一部分 概述 第一章 项目背景概述 XXX 通过多年的网络建设，在网络信息建设方面已经取得了一些成果，然而当今网络环境越来越复杂，网络攻击的途径也趋于多样化和复杂，所以网络安全建设显得尤为重要，根据 XXXX 集团多年来为各政府部门和金融机构在系统集成和网络安全方面取得的 服务 经验和研究成果，此次为市 XXX 的网络安全系统的规划和设计提出建议，使 XXX 的网络安全系 统建设从一开始就走上统一规划，有序建设的道路。 XXXX 软件 采用公认的 ISO 1779 ISO 1333 SSECMM 安全标准进行风险评估的工作，针对资产重要程度分别提供不同频率和方式的安全评估，帮助网管了解网络安全情况，并解决可能存在的风险。 配合本地安全维护和远程安全监控服务，即使客户网络不断变化，也能很好的维持全网的安全基准线。 XXXX 软件 在几个重要行业均有典型成功案例，电信行业有广东电信研究院的广域网边界网络性能监测、数据采样、访问控制解决方案，深圳高新网 Tivoli 网管系统，包括主机和数据库 监控管理，网络拓扑和设备管理。 政府行业有社保网络安全整体解决方案，包括防火墙、防病毒、网络和主机入侵检测系统、网络协议分析等。 金融行业我们为深圳市金融结算中心提供年度安全评估、系统安全加固、紧急安全响应、安全认证培训服务，中集 安全评估和整天安全设计 项目实施，金元证券整体防病毒及 RSA 动态口令项目等。 XXXX 软件 的技术团队在重要项目的不断实施和服务中，积累了宝贵的经验和知识，并建立了自己的知识库和文档库，为以后的项目提供强有力的支持。 XXXX 软件 公司作为国内领先的网络安全服务提供商，凭借其在安全行业多年的服 务经验，以及通过对市 XXX 外联网网络安全工程的理解，在 XXX 网络安全方案初步设想的基础上，根据 XXX 网络安全的特点和需求，本着切合实际、保护投资、着眼未来的原则，提出了针对市 XXX 安 科技 XXXX 产业立地 第 7 页 全需求的解决方案、实施计划、支持与服务建议书。 XXXX 软件 充分利用其广泛的行业经验和技术实力，提供了一个包括防火墙、 入侵检测、 网络监控 、 网络隔离、多应用系统、 安全评估服务 等一揽子产品的整体解决方案，实现了主动防护与被动监控、全面防护与重点防护的完美结合。 第二章 信息安全理论和依据 北京 XXXX 软件有限公司 采用公认的 ISO 1779 ISO 1333 SSECMM安全标准进行风险评估的工作 ，以相关法律、法规为准绳。 信息安全标准 标准化能够保证信息安全产品、工程和服务质量，是提高企业管理水平的基础，能同时为用户单位和安全厂商提供设计和施工的指南。 与信息安全有关的标准有很多，对于一个信息系统安全项目来说， 保证项目成功实施可以依据的标准有：  信息安全系统工程标准  信息安全管理标准  信息安全测评认证标准 下面分别进行简单介绍。 信息安全系统工程标准 SSECMM 目前国际上最新，最权威也是最有代表性的标准是系 统安全工程能力成熟度模型，简称 SSECMM。 SSECMM描述了一个组织的安全工程过程务必包含的本质特征，这些特征是完善安全工程的保证，也是安全工程实施的度量标准，还是一个易于理解的评估安全工程实施的框架。 SSECMM 将安全工程划分为三个基本过程，即风险、工程和保证： 1) 风险 安全工程的主要目标是降低风险。 SSECMM 在风险过程中包含的过程区包括：评估威胁、评估脆弱性、评估影响和评估安全风险。 科技 XXXX 产业立地 第 8 页 2) 工程 工程过程是一个包括概念、设计、实现、测试、部署、运行、维护和终止的完整过程。 SSECMM 为安全工程过 程的规范和管理提供了指南性的框架。 3) 保证 保证是指安全需要得到满足的信任程度。 SSECMM 的信任程度来自于安全工程过程可重复性的结果质量。 SSECMM 及其评定方法可用于安全的工程组织（厂商）、采购组织（用户）和评估机构（第三方机构）。 对于厂商来说，按 SSECMM 标准规范组织工程实施可以提高信息安全系统质量，降低风险，获得真正工程能力的认可。 对于用户来说，可以用来判别一个供应商的安全工程能力，进一步判别该组织供应的产品和系统的可信任性，完成一个工程的可信任性，减少选择不合格投标者的风险。 信息安全管理标准 ISO17799 国际上目前最成熟也是最权威的信息安全管理标准是 ISO17799，它由英国制定的 BS7799 演化而来，是目前世界上应用最广泛与典型的信息安全管理标准。 组织按照先进的 ISO17799 信息安全管理标准建立组织完整的信息安全管理体系，并实施与保持，可以达到动态的、系统的、全员参与、制度化的，以预防为主的信息安全管理方式。 用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性。 信息安全测评认证标准 GB/T 18336和第三方权威机构 由于信息安全有着关系 到国家主权和国家安全的特殊性，信息安全测评认证系统也是不同于一般的民间第三方认证体系，而是政府授权的第三方测评认证体系，即国家信息安全测评认证体系。 我国信息安全测评认证体系建立在标准 ISO15408(即 CC)这种先进的国际通用准则上，在我国，与 CC 对应的国家标准就是 GB/T 18336。 科技 XXXX 产业立地 第 9 页 在中国，负责信息安全测评认证的最高权威机构，也是信息安全第三方认证机构，是： 中国信息安全测评认证中心 ， (中国信息安全产品测评认证中心，简称 CNITSEC，是经中央批准成立的、代表国家开展信息安全测评认证工作的职能机构，依 据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系 )。 该中心颁发的“中华人民共和国国家信息安全认证”是国家对信息安全技术、产品或系统安全质量的最高认可。 关于信息安全测评认证体系、政策法规、标准情况和中心的详细资料，可参见： 信息安全法律法规 信息系统安全建设需要依法进行，我国为了适应信息化的发展，国家及有关部门制定了一系列的相关法律法规。 法律 我国与信息安全相关的法律有：  《中华人民共和国宪法》  《中华人民共和国刑法》  《中华人民共和国保守国家秘密法》  《全国人民代表大会常务委员会关于维护互联网安全的决定》 信息安全行政法规  《中华人民共和国计算机信息系统安全保护条例》 国务院  《商用密码管理条例》 国务院 部分信息安全部门规章及规范性文件  《计算机信息网络国际联网安全保护管理办法》 公安部  《计算机病毒防治管理办法》。