XX市社保局安全服务项目实施方案.doc

社保局2015年度信息安全服务项目
实施计划
目录
一、 项目概述 3
二、 项目服务内容 4
. 风险评估 4
. 设备安全加固 5
. 安全管理体系建设 6
. 等级保护测评 14
. 安全技术运维 17
. 安全咨询、宣传培训及安全专家服务 20
. 上级部门交办的安全自查与整改工作资金概算 20
. 通过部署安全配置审计、身份验证令牌等手段,加强系统安全基线审计 21
. 安全证书服务 21
. 建立安全运维体系 22
. 信息安全实时监控服务 23
. 网站和网办安全服务 24
三、 项目实施时间及成果文档 36
项目概述
经过多年建设XX社保中心已经初步建成完善的信息系统,为XX社保中心重要业务系统的有效开展提供了强有力的支撑。同时,信息系统的安全可靠运行是确保XX社保中心主营业务正常开展的必要条件。
在信息科技发展的同时,各种黑客手段、病毒技术、木马技术也在飞速发展,信息安全问题在信息化的过程中也日益突出,XX社保中心的信息系统建设必须面对日益严峻的信息安全问题。尽管XX社保中心近几年来通过持续的安全建设,形成了初步的单纯依靠安全设备的安全防护体系。但从目前的国内外安全环境以及法律法规的角度来看,仅是单单依靠安全设备,是无法解决XX社保中心的整体信息安全防护需求的。必须引入综合安全服务,结合专业的信息安全服务团队,解决诸多安全设备无法直接解决的安全问题,共同形成确保业务系统安全、稳定运营的综合安全保障措施。
因此,根据目前实际情况,XX社保中心需要引入以安全风险识别、安全风险控制、安全体系完善、日常安全运维、安全宣传、安全培训、网站安全监控、等级保护测评等主要内容的综合信息安全服务保障,切实提高XX社保中心的信息安全保障能力。
项目服务内容
综合安全服务要求包含风险评估、设备安全加固、安全管理体系建设、等级保护测评、安全技术运维、安全咨询及宣传培训、上级部门交办的安全自查和整改、通过部署安全配置审计身份验证令牌等技术手段加强技术控制、安全服务证书、建立安全运维体系、信息安全实时监控服务、网站和网办安全服务等内容,具体要求如下。
风险评估
针对社保的物理机房环境、网络结构、网络服务、主机系统、中间件、数据库系统、容灾系统及数据存储安全、应用系统、应用代码、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等对象进行评估,包括采用漏洞扫描、人工安全审计、渗透测试、代码安全审计、客户端测试等方法,深入且全面的掌握社保中心的安全现状,为后续的持续安全改进提供科学、详细的依据。主要内容包括:
建立安全风险模型:评估前建立安全风险模型,该模型必须包含但不限于以下要素:资产、影响、威胁、漏洞、安全控制、安全需求、安全风险,投标人应详细描述其风险模型的各个要素及之间的关系,并包括对威胁、漏洞、风险的等级划分标准。安全评估必须按照分层的原则,包括但不限于以下对象:物理环境、网络结构、网络服务、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等。
信息资产评估:收集社保中心所有信息资产,包括所有的有形资产和无形资产,如服务器、网络设备、存储设备、应用软件、数据、人员、管理等。并对所有资产根据关键安全要素进行赋值,为评估阶段的风险计算和安全优化阶段的风险控制提供依据。
安全审计:对社保中心的服务器和网络设备进行安全审计。其中,服务器的安全审计包括操作系统安全(WINDOWS、LINUX、Solaris、AIX)审计和应用软件(如数据库、IIS、APACHE、TOMCAT、WEBLOGIC)的安全审计。安全审计的每台被审计设备也必须体现CIA三要素包含的安全性、完整性、可用性。
漏洞扫描:漏洞扫描针社保中心的主要IT设备(服务器,网络设备,安全设备)得自身脆弱性进行安全评估。扫描内容包括端口扫描、系统扫描、漏洞扫描、数据库等应用软件扫描等,服务完成后应提供扫描报告,解决方案并对发现漏洞给予解决。
数据安全威胁分析:通过入侵检测系统对社保中心信息安全所面临的威胁进行细致分析,并给出报告。报告必须包括网络事件协议类型统计及对比饼图、事件危险级别统计及对比饼图、事件攻击类型统计及对比饼图、信息安全性综合分析等。
网络结构安全分析:为降低社保中心整体网络安全风险、增强IT内控的实效性、更清晰的评价和监控现有安全状况,需要对网络结构进行分析,并结合业务情况进行安全域的规划设计。安全域设计需要对社保中心现有网络按照等级分为域、区、单元三个级别,描述安全域划分步骤及边界防护原则,对现有网络结构的每项不足之处提出可执行的措施,并在安全优化阶段实施。
渗透测试服务:对所有业务