XX 集团信息安全咨询评估服务方案建议书目录一需求分析 31.1 背景分析 31.2 项目目标 41。3 需求内容分析 41.3.1 技术风险评估需求分析 41。3.2 管理风险评估需求分析 51.4 时间进度需求 61。5 考核要求 61。6 服务支撑需求 6 二项目实施方案 62。1 技术安全风险评估 62.1.1 资产评估 62.1.2 操作系统平台安全评估 82。1.3 网络安全评估 102.1。4 渗透测试 122.2 管理风险评估 162。2。1 安全管理制度审计 162。2。2 业务流程管控安全评估 172.3 评估工具 182.4 形成报告 19需求分析1.1 背景分析XX 的信息化建设正在朝着集中化和云化的方向发展 ,通过云计算技术的应 用把原来分散于各医院和分支机构的业务系统进行整合,实现基于云平台的业务 系统和数据集中部署，从而解决了长期存在的大量信息孤岛问题，降低珍贵医疗 数据和商业数据的流失风险，也为未来的集团医疗大数据分析和精准医疗服务打 下扎实的基础。从原来分散式的信息孤岛到现在的云化集中部署，XX的信息化环境正在发 生根本性的变化，带来节约人力成本、提高工作效率、减少管理漏洞、提高数据 准确性等诸多的好处。当前,国内外数据安全事件层出不穷，网络信息安全环境 日趋复杂，信息化环境的变化也同时带来了新的信息安全风险，总体来说包括以 下几个方面：一、实现系统和数据的集中化部署后 ,等于把原来分散的信息安全风险 也进行了集中，一旦发生信息安全事故,其影响将是全局性的。比如 在原有的信息化环境下发生敏感数据泄漏，其泄漏范围只限于个别的 医院或分支机构。而现在一旦发生数据泄漏，泄漏范围会是全集团所 有医院和分支机构，直接和间接的损失不可同日而语。二、云计算是一种颠覆传统IT架构的前沿技术，它可以增强协作，提高 敏捷性、可扩展性以及可用性。还可以通过优化资源分配、提高计算 效率来降低成本。这也意味着基于传统IT架构的信息安全技术和产 品往往不能再为云端系统和数据提供足够的防护能力。三、系统和数据的集中部署、云计算技术应用都要求建立可靠的信息安全管理机制，改变原有的离散管理模型，从管理规范和工作流程上实 现与现有集中模式的对接，降低因管理不当导致的信息安全风险.1.2 项目目标对 XX 当前的信息化环境从管理和技术上进行充分的信息安全风险评估 ,并 依据风险评估结果制订相应的风险管控方案。具体建设内容包括：1. 技术风险评估：1）对现有的信息系统、机房及基础网络资产和网络拓扑、数据资产、特权 账号资产等进行安全风险评估；2）对核心业务系统进行WEB安全、数据安全、业务逻辑安全风险评估；3）对正在建设的云计算基础平台架构及承载的操作系统进行安全风险评估；4）渗透模拟黑客可能使用的攻击技术和漏洞发现技术,对业务系统进行授权 渗透测试，对目标系统进行深入的探测,以发现系统最脆弱的环节、可能被利用 的入侵点以及现网存在的安全隐患。2. 管理风险评估1）采用调查访谈并结合实地考察的形式，对数据中心和核心系统的安全管理制度进行疏理和安全风险评估；2）对业务管控制度和流程进行安全风险评估，采用阅读流程资料和相关人 员访谈的形式了解业务和系统内控制度和实现的业务流程，试用流程中涉及的软 件,察看各个业务控制点是否都得到有效的实施，各个接口的处理是否妥当，监 督检查办法是否健全;3. 信息安全风险管控方案其于上述风险评估结果，针对具体的安全漏洞和风险设计管控方案,包括但 不限于安全漏洞加固方案、信息安全管理规范优化提升方案、信息安全防护技术 解决方案等.1.3 需求内容分析1.3.1 技术风险评估需求分析本项目对技术风险评估的内容要求主要是:1、资产评估资产评估对象不仅包括设备设施等物理资产，同时也包括敏感数据、特权账 号等信息资产,其评估步骤如下：第一步：通过资产识别,对重要资产做潜在价值分析，了解其资产利用、维 护和管理现状,并提交资产清单;第二步：通过对资产的安全属性分析和风险评估，明确各类资产具备的保护 价值和需要的保护层次，从而使企业能够更合理的利用现有资产，更有效地进行 资产管理，更有针对性的进行资产保护，最具策略性的进行新的资产投入。2、操作系统平台安全评估针对资产清单中重要和核心的操作系统平台进行安全评估，完整、全面地发 现系统主机的漏洞和安全隐患。3、网络拓扑、网络设备安全评估针对资产清单中边界网络设备和部分核心网络设备,结合网络拓扑架构,分 析存在的网络安全隐患.4、应用系统安全评估（渗透测试）：通过模拟黑客可能使用的攻击技术和漏洞发现技术,对 XX 集团授权渗透测 试的目标系统进行深入的探测，以发现系统最脆弱的环节、可能被利用的入侵点 以及现网存在的安全隐患，并指导进行安全加固。1.3.2 管理风险评估需求分析1、安全管理制度审计：通过调研重要和核心资产管理、关键业务及数据、相关系统的基本信息、现 有的安全措施等情况，并了解目前XX集团所实施的安全管理流程、制度和策略, 分析目前XX集团在安全管理上存在的不合理制度或漏洞。2、业务管控安全评估：通过调研业务系统内控制度和实现的业务流程，试用流程中涉及的软件，察 看各个业务控制点是否都得到有效的实施,各个接口的处理是否妥当，监督检查 办法是否健全,从而改进内控制度和业务流程的合理性和数据流的安全性.1.4 时间进度需求项目的时间需按照整体时间要求完成全部工作，并且需提交阶段性工作成 果。1.5 考核要求XX 集团将对项目的交付成果和执行过程中的质量进行考核，考核结果将作 为最终结算的依据。考核办法将由XX集团和项目服务提供方共同协商制定。1.6 服务支撑需求本项目的服务供应方需与XX集团项目组成员组成项目团队，并且共同完成 该项目所有工作。项目团队采取紧密沟通的方式，分为每周例会定期沟通和重大问题共同讨论 的沟通方式。该项目的办公时间为 5天8 小时/周;值班电话须7天*24小时/周保持通话 畅通。交付成果需求本项目在开展过程中需进行日报、周报、月报等相关工作计划与总结的提交， 并根据实际工作内容及时提交相应工作成果及报告。二 项目实施方案2.1 技术安全风险评估2.1.1 资产评估保护资产免受安全威胁是安全工程实施的根本目标 .要做好这项工作，首先 需要详细了解资产分类与管理的详细情况。项目名称资产识别简要描述采集资产信息，进行资产分类，划分资产重要级别；达成目标采集资产信息，进行资产分类,划分资产重要级别；进步明确评估的范围和重点；主要内容米集资产信息，获取资产清单；进行资产分类划分；确定资产的重要级别；实现方式填表式调查资产调查表，包含计算机设备、通讯设备、存储及保障设备、 信息、软件等。交流审阅已有的针对资产的安全管理规章、制度；与高级主管、业务人员、网络管理员（系统管理员）等进 行交流。工作条件12人工作环境，2台Win2000PC，电源和网络环境，客户人员和资料配合工作结果资产类别、资产重要级别；参加人员依据现场状况，由XX集团提供现有资产清单，并由全体评估人员 在XX相关技术和管理人员的配合下进行资产分类调查.项目名称风险评估简要描述评估资产的安全等级和应给予的安全保护等级达成目标评估资产的安全等级；评估资产应给予的安全保护等级；主要内容确定资产的安全等级；对安全保障进行等级分类；确定资产的应给予的保护级别；实现方式填表式调查：资产调查表，包含计算机设备、通讯设备、存储及保障设备、 信息、软件等.交流审阅已有的针对资产的安全管理规章、制度；与高级主管、业务人员、网络管理员（系统管理员）等进行交流。工作条件2-3人工作环境，3台Win2000PC，电源和网络环境，客户人员和 资料配合工作结果资产安全级别；资产应给予的安全保障级别；资产安全保障建议参加人员依据现场状况，由全体评估人员在XX集团相关技术和管理人员的 配合下进行。2.1.2 操作系统平台安全评估2.1.2.1 工具扫描使用业界专业漏洞扫描软件,根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测主机操作系统存在的安全隐患和漏洞。1、主要检测内容：服务器主机操作系统内核、版本及补丁审计服务器主机操作系统通用/默认应用程序安全性审计 服务器主机后门检测 服务器主机漏洞检测 服务器主机安全配置审计 服务器主机用户权限审计 服务器主机口令审计 服务器主机文件系统安全性审计 操作系统内核的安全性 文件传输服务安全性2、扫描策略提供可定制扫描策略的策略编辑器。按照扫描强度，默认的扫描策略模板包 括: 高强度扫描 中强度扫描 低强度扫描按照扫描的漏洞类别，默认的扫描策略模板包括： NetBIOS 漏洞扫描 Web CGI 漏洞扫描 主机信息扫描 帐户扫描 端口扫描 数据库扫描在远程扫描过程中，将对远程扫描的目标按照操作系统类型和业务应用情况 进行分类，采用定制的安全的扫描策略。2.1.2.2 人工分析对于主要的操作系统，安全专家将主要从下面几个方面来获取系统的运行信 息：账号；资源； 系统； 网络； 审核、日志和监控； 这些信息主要包括:网络状况、网络配置情况、用户账号、服务配置情况、 安全策略配置情况、文件系统情况、日志配置和纪录情况等。在技术审计过程中,安全服务专家将采用多种技术来进行信息收集，这些技 术包括： 审计评估工具：开发了自己的审计评估脚本工具，通过执行该工具，就 可以获取系统的运行信息。 常见后门分析工具：通过使用专业工具，检查系统是否存在木马后门深层挖掘技术：通过安全专家的深层挖掘，检查系统是否被安装了Rootkit 等很难被发现的后门程序收集了系统信息之后，安全专家将对这些信息进行技术分析 ,审计的结果按 照评估对象和目标对结果从补丁管理、最小服务原则、最大安全性原则、用户管 理、口令管理、日志安全管理以及入侵管理七个方面进行归类处理并评分.评估目标评估内容补丁管理检查系统、应用的版本情况、补丁安装情况最小服务原则检查系统、应用的服务运行配置情况，察看是否遵循最小服务原则最大安全性原则检查系统是否进行了安全配置或者是否采用了恰当的安全 防护机制。帐户安全管理检查系统或应用中账号的配置情况，是否存在默认账号或者不必要账号口令安全管理检查系统的账号口令配置情况，是否有账号是弱口令。日志安全管理检查系统或应用的日志配置情况，是否有严格的日志配置 或者日志服务器。入侵管理检查系统的安全漏洞情况，以及是否被入侵等。这7 个方面将能够充分体现系统目前的运行和安全现状。通过数字分数的形 式,并结合资产的重要性,将能够很直观地表现出系统的情况。并且可以根据其中 存在的缺陷，制定相应的解决办法。2.1.3 网络安全评估2.1.3.1 网络拓扑分析对 XX 集团网络结构进行全面的分析，发现网络结构存在的风险和安全问题 以及对提供相应的调整建议。项目名称网络拓扑分析简要描述网络拓扑的风险评估是针对用户的网络结构进行分析，根据客户 的安全需求查找相应的安全脆弱性，最终提交详尽的报告和相应