国家网络与信息安全协调小组“关于开展信息安全风险评估工作的意见”

信息安全风险评估指南1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了无锡新世纪信息科技有限公司的大力支持。

1.1政策法规：✧《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）✧《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）1.2国际标准：✧ISO/IEC 17799：2005《信息安全管理实施指南》✧ISO/IEC 27001：2005《信息安全管理体系要求》✧ISO/IEC TR 13335《信息技术安全管理指南》1.3国内标准：✧《信息安全风险评估指南》（国信办综[2006]9号）✧《重要信息系统灾难恢复指南》（国务院信息化工作办公室2005年4月）✧GB 17859—1999《计算机信息系统安全保护等级划分准则》✧GB/T 18336 1-3：2001《信息技术安全性评估准则》✧GB/T 5271.8--2001 《信息技术词汇第8部分：安全》✧GB/T 19715.1—2005 《信息技术安全管理指南第1部分：信息技术安全概念和模型》✧GB/T 19716—2005 《信息安全管理实用规则》1.4其它✧《信息安全风险评估方法与应用》（国家863高技术研究发展计划资助项目(2004AA147070)）2、风险评估2.1、风险评估要素关系模型风险评估的出发点是对与风险有关的各因素的确认和分析。

下图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。

风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。

如下模型表示了各因素的关系：业务战略资产资产价值安全需求残余风险安全事件脆弱性威胁风险安全措施依赖具有导出降低抵御未控制可能诱发演变利用暴露未被满足增加增加图中这些要素之间存在着以下关系：业务战略依赖于资产去完成；资产拥有价值，单位的业务战略越重要，对资产的依赖度越高，资产的价值则就越大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险，—部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。

国家信息化领导小组关于加强信息安全保障工作的意见文章属性•【制定机关】国家信息化领导小组•【公布日期】•【文号】中办发[2003]27号•【施行日期】•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】公共信息网络安全监察正文国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）随着世界科学技术的迅猛发展和信息技术的广泛应用，特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息安全已经成为国家安全的重要组成部分。

近年来，在党中央国务院的领导下，我国信息安全保障工作取得了明显成效，建设了一批信息安全基础设施，加强了互联网信息内容安全管理，为维护国家安全与社会稳定、保障和促进信息化建设健康发展发挥了重要作用。

但是必须看到，我国信息安全保障工作仍存在一些亟待解决的问题：网络与信息系统的防护水平不高，应急处理能力不强；信息安全管理和技术人才缺乏，关键技术整体上还比较落盾，产业缺乏核心竞争力；信息安全法律法规和标准不完善；全社会的信息安全意识不强，信息安全管理薄弱。

与此同时，网上有害信息传播、病毒入侵和网络攻击日趋严重，网络失泄密事件屡有发生，网络犯罪呈快速上升趋势，境内外敌对势力针对广播电视卫星、有线电视和地面网络的攻击破坏活动和利用信息网络进行的反动宣传活动日益猖撅，严重危害公众利益和国家安全，影响了我国信息化建设的健康发展。

随着我国信息化的逐步推进，特别是互联网的广泛应用，信息安全还将面临更多新的挑战。

为进一步提高信息安全保障工作的能力和水平，维护公众利益和国家安全，促进信息化建设健康发展，现提出以下意见。

一、加强信息安全保障工作的总体要求和主要原则加强信息安全保障工作的总体要求是：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。

企业信息安全风险评估方案知识域：信息安全风险评估•:•知识子域：风险评估流程和方法■掌握国家对开展风险评估工作的政策要求■理解风险评估、检查评估和等级保护测评之间的关系掌握风险评估的实施流程：风险评估准备、资产识别、威胁评估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记录-理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点■掌握典型风险计算方法：年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具：风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号）中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理〃国家对开展风险评估工作的政2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》（国信办［2006 】5号文）中明确规定了风险评估工作的相关要求：风险评估的基本内容和原则开展风险评估工作的有关安排风险评估工作的基本要求K信息安全风险评估工作应当贯穿信息系统全生命周期。

在信息系统规划设计阶段，通过信息安全风险评估工作，可以明确信息系统的安全需求及其安全目标，有针对性地制定和部署安全措施”从而避免产生欠保护或过保护的情况。

2、在信息系统建设完成验收时，通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。

3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化，会不断出现新的信息安全风险，因此，在信息系统的运行阶段，应当定期逬行信息安全风险评估，以检验安全措施的有效性以及对安全环境的适应性。

当安全形势发生重大变化或信息系统使命有重大变更时，应及时逬行信息安全风险评估。

信息安全风险评估计划篇一：信息安全风险评估实施细则XXX公司信息安全风险评估实施细则二〇〇八年五月编制说明根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》（试行），近年来公司组织开展了风险评估常态化推广，通过多年对实施细则的应用、实践与总结，需要进一步对实施细则的内容进行调整和完善。

另一方面，随着国家对信息系统安全等级保护等相关政策、标准和基本要求，和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求，也需要进一步对实施细则内容进行修订。

本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。

主要包括：1、在原有基础上，增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。

为保持本实施细则的可操作性，针对新增的具体要求，按原细则格式添加了标准分值、评分标准和与资产的安全属性（C、I、A）的对应关系。

目前，调整后总分值从原先的3000分调整至5000分，其中，管理占1800分、运行维护占1400分、技术占1800分。

2、为了与公司等级保护评估相结合并对应，框架结构方面，将信息安全运行维护评估（第 4.2节）中的“物理环境安全”部分调整至信息安全技术评估（第4.3.1小节），在信息安全技术评估中新增了“数据安全及备份恢复”（第4.3.8小节）；具体内容方面，在每项具体要求新增了等级保护对应列。

目录1.2. 前言.................................................................................................... .............................. 1 资产评估.................................................................................................... . (2)2.1. 资产识别.................................................................................................... (2)2.2. 资产赋值.................................................................................................... (3)3. 威胁评估.................................................................................................... . (6)4. 脆弱性评估.................................................................................................... . (10)4.1. 信息安全管理评估.................................................................................................114.1.1. 安全方针.................................................................................................... .. (11)4.1.2. 信息安全机构.................................................................................................134.1.3. 人员安全管理.................................................................................................174.1.4. 信(本文来自： 千叶帆文摘:信息安全风险评估计划)息安全制度文件管理 (19)4.1.5. 信息化建设中的安全管理 (23)4.1.6. 信息安全等级保护 (29)4.1.7. 信息安全评估管理 (32)4.1.8. 信息安全的宣传与培训 (32)4.1.9. 信息安全监督与考核 (34)4.1.10. 符合性管理...................................................................................................364.2. 信息安全运行维护评估 (37)4.2.1. 信息系统运行管理 (37)4.2.2. 资产分类管理.................................................................................................414.2.3. 配置与变更管理 (42)4.2.4. 业务连续性管理 (43)4.2.5. 设备与介质安全 (46)4.3. 信息安全技术评估.................................................................................................504.3.1. 物理安全.................................................................................................... .. (50)4.3.2. 网络安全.................................................................................................... .. (53)4.3.3. 操作系统安全.................................................................................................604.3.4. 数据库安全.....................................................................................................724.3.5. 通用服务安全.................................................................................................814.3.6. 应用系统安全.................................................................................................854.3.7. 安全措施.................................................................................................... .. (90)4.3.8. 数据安全及备份恢复 (94)1. 前言1.1. 为了规范、深化XXX公司信息安全风险评估工作，依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX 公司信息安全风险评估实施指南》（以下简称《实施指南》），组织对《XXX公司信息安全风险评估实施细则》进行了完善。

关于加强信息安全风险评估的通知尊敬的各位员工：为了进一步加强公司的信息安全管理，保护公司的信息资产，提高公司的信息安全水平，我部决定全面推进信息安全风险评估工作。

现将有关事项通知如下：一、背景介绍随着人工智能、云计算、物联网等科技的快速发展，信息安全风险日益突出。

为了预防和应对信息安全漏洞、数据泄露、网络攻击等风险，加强对信息资产的保护，我们必须深入了解现有系统的安全状况，全面识别存在的风险，及时采取措施进行风险管控。

二、目标和意义1. 目标：通过信息安全风险评估，全面了解公司各类信息资产及其系统的安全状况，识别出潜在的安全风险，为下一步采取针对性的安全措施提供依据。

2. 意义：能够有效防范信息泄露、系统瘫痪、数据被篡改等风险，提高公司的信息资产价值，增强公司在市场竞争中的优势。

三、评估内容和方法1. 评估内容（1）信息系统安全评估：包括网络设备、服务器、数据库、操作系统等的安全性评估。

（2）安全策略评估：对公司的信息安全策略及制度、安全管理流程和操作规范进行评估。

（3）应用系统安全评估：对公司各类应用系统进行漏洞扫描、渗透测试等评估工作。

2. 评估方法（1）内部评估：由公司内部信息安全专家组成的评估小组，通过对系统、设备和策略的检查和分析，定期进行评估。

（2）外部评估：委托第三方信息安全机构进行评估，开展专业的渗透测试、漏洞评估等工作。

四、评估结果与报告1. 评估结果评估结果将根据风险等级划分为高、中、低三个级别，并详细列出相关风险的影响范围、可能引发的后果以及风险发生的可能性等。

2. 评估报告评估报告将以书面形式提交给信息安全管理部门，内容应包括系统现状分析、风险评估结果、风险处理建议等。

五、风险管控措施1. 根据评估报告中的风险等级，部门需制定相应的风险处理方案，并及时整改并优化相关系统。

2. 针对评估结果中的高风险问题，应设立专门的应急预案和安全应对措施，并组织演练和培训。

六、评估周期和责任划分1. 评估周期：信息安全风险评估工作将以年度为周期进行，并根据实际情况进行适当的调整与更新。

1．风险评估在27号文件中有，风险评估等级与安全等级之间的关系。

通常要比等级保护级低。

风险评估与等级保护的高低可以判断等级保护的超前滞后性。

标准在执行过程中都是弹性的。

2．评估承担单位：涉密：保密局。

非密：测评中心、国家信息技术安全研究中心、公安部信息安全等级保护中心。

3．一次测评工作，提交两个测评报告，即风险评估报告和等保测评报告4．识别：安全控制措施、资产、威胁、漏洞。

5．一个简化的风险评估流程：准备（Readiness）、识别（Realization）、计算（Calculation）[威胁概率、事件影响、风险定级]、报告（Report）6．威胁：威胁源、威胁目标、威胁方式。

威胁分为人为和自然两类7．风险衡量的方法？威胁的概率、脆弱性的概率、资产识别的概率。

计算时：脆弱性乘两次。

即风险值＝（资产值*脆弱性）*（脆弱性*威胁）资产*脆弱＝资产的损失值脆弱性*威胁＝每年发生损失的概率8．定量分析：制定资产价值。

单一预期损失ALE，13600 9．计算题要考。

10．安全投资收益：（实施控制前的ALE）－（实施控制后的ALE）-(安全投资成本)11．GB/T 20274-2006 信息系统安全保障评估框架12．GB/T 20984-2007 信息安全风险评估规范13．GB/T 18336-2001 信息技术安全性评估准则14．好的风险管理过程具有成本效益性，遵循PDCA15．正确的风险管理方法是前瞻性风险管理和风险管理的结合。

16．资产是对组织有价值的东西，重要性等级由资产所有者确定，存在多种形式。

17．安全风险的可能性是威胁利用脆弱造成后果的可能性。

是两个结合的结果。

18．信息安全风险是――信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。

19．风险管理包括四个阶段两个过程20．风险处置包括减低、转移、规避、接受风险。

21．《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》国信办[2006]5号，规定了风险评估工作的的相关要求。

CISE考试练习(习题卷3)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]根据《关于开展信息安全风险评估工作的意见》的规定，错误的是（）。

A)信息安全风险评估分自评估、检查评估两形式。

应以检查评估为主，自评估和检查评估相互结合、互为补充B)信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展C)信息安全风险评估应贯穿于网络和信息系统建设运行的全过程D)开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导答案:A解析:2.[单选题]小张新购入了一台安装了Windows操作系统的笔记本电脑，为了提升操作系统的安全性，小张在Window系统中的“本地安全策略”中，配置了四类安全策略：账号策略、本地策略、公钥策略和IP安全策略。

那么该操作属于操作系统安全配置内容中的（）A)关闭不必要的服务B)制定操作系统安全策略C)关闭不必要的端口D)开启审核策略答案:B解析:3.[单选题]攻击者可以使用ping，或某一个系统命令获得目标网络的信息，攻击者利用此命令，能收集到目标之间经过的路由设备IP地址，选择其中存在安全防护相对薄弱的路由设备实施攻击，或者控制路由设备，对目标网络实现嗅探等其他攻击。

这个命令为（）A)ipconfigB)Ipconfig/allC)showD)tracert答案:D解析:4.[单选题]用户在访问应用系统时必须要能控制；访问者是谁，能访问哪些资源，这两项控制检查措施必须在用户进行应用系统时进行检查，其中，后一项-“能访问哪些资源”对应的是授权的权限问题，能够采用pmi特权（特权管理基础设施）解决，下列选项中，对pmi主要功能和体系结构理解错误的是：A)PMI首先进行身份认证，然后建立起对用户身份到应用授权的映射。

*B)PMI采用基于属性证书的授权模式C)SOA是pmi的信任源点，是整个授权系统最高的管理机构D)在pmi和pki一起建设时，可以直接使用PKI的LDAP作为PMI的证书/crl库答案:A解析:5.[单选题]为推动和规范我国信息安全等级保护工作，我国制定和发布了信息安全等级保护工作所需要的一系列标准，这些标准可以依照等级保护工作的工作阶段分级.下面四个标准中，（）规定了等级保护定级阶段的依据、对象、流程、方法及登记变更等内容：D)GB/T《信息系统安全管理要求》答案:B解析:6.[单选题]2003年以来，我国高度重视信息安全保障工作，先后制定并发布了多个文件，从政策层面为开展并推进信息安全保障工作进行了规划。

CISP考试(习题卷16)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]下面关于IIS报错信息含义的描述正确的是？A)401-找不到文件B)403-禁止访问C)404-权限问题D)500-系统错误答案:B解析:2.[单选题]CC标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC标准的先进性？A)实用性，将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中。

B)结构的开放性，即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展C)独立性，它强调将安全的功能和保证分离。

D)表达方式的通用性，即给出通用的表达方式答案:C解析:3.[单选题]小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小，假设单位 机房的总价值为200 万元人民币，暴露系数(ExposureFactor ，EF )是 25％，年度发生率 (Annualized Rate ofOccurrence，ARO)为0．1，那么小王计算的年度预期损失(Annualized Loss Expectancy，ALE )应该是？A)5 万元人民币B)50 万元人民币C)2．5 万元人民币D)25 万元人民币答案:A解析:4.[单选题]以下哪些不是可能存在的弱点问题？A)保安工作不得力B)应用系统存在BugC)内部人员故意泄密D)物理隔离不足答案:C解析:5.[单选题]为了达到组织灾难恢复的要求，备份时间间隔不能超过；A)服务水平目标（SLO）B)恢复时间目标(RTO)C)恢复点目标(RPO)D)停用的最大可接受程度(MAO)答案:C解析:6.[单选题]某单位在一次信息安全风险管理活动中，风险评估报告提出服务器A的FTP服务存在高风险漏洞。

随后该单位在风险处理时选择了关闭FTP服务的处理措施，请问该措施属于哪种风险处理方式A)风险规避B)风险转移C)风险接受D)风险降低答案:A解析:7.[单选题]随着时代的发展，有很多伟人都为通信事业的发展贡献出白己力量，根据常识可知以下哪项是正确的?( )A)19 世纪中叶以后，随着电磁技术的发展，诞生了笔记本电脑，通信领域产生了根本性的飞跃，开始了人类通信新时代B)1837 年，美国人费曼发明了电报机，可将信息转换成电脉冲传向目的地，再转换为原来的信息，从而实现了长途电报通信C)1875 年，贝尔(Bell)发明了电话机。

网络与信息安全管理员（信息安全管理员）理论（技师、高级技师）试题及答案一、单选题（共60题，每题1分，共60分）1、设置 FAST_START_MTTR_TARGET 为0 时，下列（）说法是正确的。

A、A．MTTR Advisor 将被禁用B、B．Redo Log Advisor 将被禁用C、C．自动调整检查点将被禁用D、D．Checkpoint 信息将不会被写入alert log 文件正确答案：C2、下列信息安全评估标准中，哪一个是我国信息安全评估的国家标准？A、TCSEC 标准B、CC 标准C、FC 标准D、ITSEC 标准正确答案：B3、网络蜜罐技术是一种主动防御技术，是入侵检测技术的一个重要发展方向，以下有关蜜罐说法不正确的是（）。

A、蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或者多个易受攻击的主机和服务，给攻击者提供一个容易攻击的目标B、使用蜜罐技术，可以使目标系统得以保护，便于研究入侵者的攻击行为C、如果没人攻击，蜜罐系统就变得毫无意义D、蜜罐系统会直接提高计算机网络安全等级，是其他安全策略不可替代的正确答案：D4、面向数据挖掘的隐私保护技术主要解高层应用中的隐私保护问题，致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护，从数据挖的角度,不属于隐私保护技术的是（）。

A、基于数据加密的隐私保护技术B、基于数据匿名化的隐私保护技术C、基于数据分析的隐私保护技术D、基于微据失真的隐私保护技术正确答案：C5、以下关于隧道技术说法不正确的是（）A、隧道技术可以用来解决TCP/IP协议的某些安全威胁问题B、隧道技术的本质是用一种协议来传输另一种协议C、IPSec协议中不会使用隧道技术D、虚拟专用网中可以采用隧道技术正确答案：C6、密码分析者针对加解密算法的数学基础和某些密码学特性，根据数学方法破译密码的攻击方式称为（）A、数学分析攻击B、穷举攻击C、差分分析攻击D、基于物理的攻击正确答案：A7、采用全双工通信方式，数据传输的方向性结构为（）。

网络与信息安全管理员理论（技师、高级技师）练习题库（含答案）一、单选题（共60题，每题1分，共60分）1、从风险管理的角度，以下哪种方法不可取？（）A、拖延风险B、接受风险C、转移风险D、分散风险正确答案：A2、有一种原则是对信息进行均衡、全面的防护，提高整个系统的“安全最低点”的安全性能，该原则成为（）。

A、木桶原则B、等级性原则C、动态化原则D、整体原则正确答案：A3、VMware Fault Tolerance 作用A、A．利用虚拟化管理程序的优势，提供虚拟机资源的清晰可见性B、B．通过份额和预留资源确保应用程序的可扩展性C、C．实现所有应用程序的零停机和零数据丢失D、D．提供快速、简单且经济高效的的备份正确答案：C4、有一种攻击是不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至雍痕。

这种攻击叫做（）。

A、服务攻击B、反射攻击C、重放攻击D、拒绝服务攻击正确答案：D5、UPS单机运行时负载量不宜长期超过其额定容量的（）。

A、0.9B、0.6C、0.7D、0.8正确答案：D6、以下哪一项安全目标在当前计算机系统安全建设中是最重要的？（）A、目标应该具体B、目标应该进行良好的定义C、目标应该清晰D、目标应该是可实现的正确答案：D7、按照密码系统对明文的处理方法，密码系统可以分为（）A、对称密码系统和非对称密码系统B、分组密码系统和序列密码系统C、数据加密系统和数字签名系统D、堆成密码系统和公钥密码系统正确答案：B8、以下对数据库索引优点描述正确的是( )。

A、节省存储空间B、便于管理C、建立各数据表之间的关系D、加快查询速度正确答案：D9、在安装Oracle软件的过程中，OUI需要我们配置一个inventory directory的路径并选择一个操作系统组。

下列那句话的描述是对的（）A、这说明我们没有设置ORACLE_BASE环境变量B、这说明我们当前使用root用户来安装数据库C、这步骤中需要指定的操作系统组需要包含root用户D、这步骤中需要制定的操作系统组需要对inventory directory的路径有写入权限正确答案：D10、检查网络连通性的命令是（）A、pingB、ARPC、BINDD、DNX正确答案：A11、以下不属于信息安全风险评估中需要识别的对象是（）。

等级保护安全设计方案■文档编号■密级商业机密■版本编号■日期目录一. 前言 (1)二. 概述 (1)2.1项目目标 (1)2.2设计原则 (2)2.3依据标准 (4)2.3.1 主要依据标准 (4)2.3.2 辅助参考标准 (5)三. 安全现状、风险与需求分析 (5)3.1安全现状分析 (5)3.2安全需求分析 (6)3.2.1 系统间互联安全需求分析 ........................................................................ 错误!未定义书签。

3.2.2 XX大厦信息系统安全需求分析 ................................................................ 错误!未定义书签。

3.2.3 投资广场信息系统安全需求分析 ............................................................ 错误!未定义书签。

3.2.4 XX大厦信息系统安全需求分析 ................................................................ 错误!未定义书签。

四. 方案总体设计 (10)4.1总体安全设计目标 (10)4.2总体安全技术框架 (11)4.2.1 分区分域建设原则 (11)4.2.2 一个中心三重防护的安全保障体系 (12)4.2.3 安全防护设计 (13)五. 等级保护详细安全建设方案 (14)5.1技术建设 (14)5.1.1 网络安全建设 ............................................................................................ 错误!未定义书签。

5.1.2 主机及应用系统安全建设 ........................................................................ 错误!未定义书签。

国信办在昆明召开《关于开展信息安全风险评估工作的意见》宣贯会2006-03-28 陕西省信息产业厅【关闭窗口】2006年3月16日，国务院信息化工作办公室在昆明召开了《关于开展信息安全风险评估工作的意见》宣贯会。

各省、市信息化主管部门、国信办专家组、解放军有关部门和部分信息安全企业的130余名代表出席了会议。

会议由国信办网络与信息安全组熊四皓处长主持，国信办网络与信息安全组王渝次司长发表了学习贯彻《国家网络与信息安全协调小组<关于开展信息安全风险评估工作的意见>》的重要讲话。

云南省、北京市、上海市、黑龙江省分别介绍了信息安全风险评估试点工作的过程和经验。

有关专家介绍了风险评估工作应遵循的标准和方法。

王渝次司长在讲话中指出，信息安全风险评估就是从风险管理的角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御的防护对策和整改措施，并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度的保障网络和信息安全提供科学依据。

信息安全风险评估的形式分为自评估和检查评估两种。

自评估是指网络与信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估，检查评估是指上级管理部门或国家有关职能部门依法开展的风险评估。

信息安全风险评估以自评估为主，自评估和检查评估相互结合、互为补充，风险评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。

信息安全风险评估是提高我国信息安全保障水平的一项重要举措，应当贯穿于网络与信息系统建设运行的全过程。

在网络与信息系统的设计、验收及维护阶段均应当进行信息安全风险评估；在规划设计阶段，应通过风险评估进一步明确安全需求和安全目标；在验收阶段，应通过信息安全风险评估验证已设计安装的安全措施能否实现安全目标；在运行维护阶段，应定期进行风险评估工作，检验安全措施的有效性及对安全环境变化的适应性，以保障安全目标的实现。

国家信息化领导小组关于加强信息安全保障工作的意见（2003年 8月 26 日）随着世界科学技术的迅猛发展和信息技术的广泛应用，特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息安全已经成为国家安全的重要组成部分。

近年来，在党中央国务院的领导下，我国信息安全保障工作取得了明显成效，建设了一批信息安全基础设施，加强了互联网信息内容安全管理，为维护国家安全与社会稳定、保障和促进信息化建设健康发展发挥了重要作用。

但是必须看到，我国信息安全保障工作仍存在一些亟待解决的问题：网络与信息系统的防护水平不高，应急处理能力不强；信息安全管理和技术人才缺乏，关键技术整体上还比较落盾，产业缺乏核心竞争力；信息安全法律法规和标准不完善；全社会的信息安全意识不强，信息安全管理薄弱。

与此同时，网上有害信息传播、病毒入侵和网络攻击日趋严重，网络失泄密事件屡有发生，网络犯罪呈快速上升趋势，境内外敌对势力针对广播电视卫星、有线电视和地面网络的攻击破坏活动和利用信息网络进行的反动宣传活动日益猖撅，严重危害公众利益和国家安全，影响了我国信息化建设的健康发展。

随着我国信息化的逐步推进，特别是互联网的广泛应用，信息安全还将面临更多新的挑战。

为进一步提高信息安全保障工作的能力和水平，维护公众利益和国家安全，促进信息化建设健康发展，现提出以下意见。

一、加强信息安全保障工作的总体要求和主要原则加强信息安全保障工作的总体要求是：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。

加强信息安全保障工作的主要原则是：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。

千里马招标网网络安全风险评估及系统加固招标需求书投标方不得以低于成本的报价竞标。

投标方报价低于本项目财政预算%时，评标委员会有权要求其对成本构成进行介绍，并要求投标方用书面的形式进行低价说明（在保证质量的前提下，能够大幅节省经费的手段或原因）；如投标人没有合理的理由或不按要求提供低价说明，可视为不被接受的有风险的报价，评标委员会则另行选择供应商。

1、评标方法、评标因素及权重分值采购需求一、项目概况、项目概况：为确保中级法院信息系统的稳定、安全运行，结合年深圳市党政机关信息安全联合检查和绩效评估工作要求，特对网络安全风险评估及系统加固项目进行公开招标。

项目服务内容包括：）服务器系统：深圳中院服务器设备数量≥台，其中SUN小型机≥台。

）存储系统：磁盘阵列存储设备包括惠普存储、华为存储、Netapp存储。

）法院内部专网：法院内部专网与INTERNET物理隔离，是法院内部办公网络，包括深圳中院内部局域网、中院局域网与上级法院联网、中院局域网与基层院联网、中院局域网与市政专网联网等，中院内部专网网络设备主要由HC、华为等网络设备组成，内网核心及大部分接入层网路设备为HC网络设备，网络设备数量≥台，内网应用系统包括诉讼服务中心系统、综合整合应用平台系统等，内网应用系统数量≥台。

）法院外部网：法院外部网与INTERNET相连，与法院内部专网物理隔离，外网网络设备数量≥台，外网应用系统包括外网网站、诉讼服务平台系统、多元化纠纷系统和法智云端系统，外网应用系统数量≥。

）网络安全设备：法院网络系统部署了防火墙、上网行为审计、入侵检测系统、内外网防病毒系统等网络安全产品，产品数量≥台。

）内外网终端情况：法院内网终端数量≥台，外网终端数量≥台。

、预算金额：本项目预算金额为人民币伍拾万圆整（￥,.）二、项目服务要求（一）实施要求对深圳市中级人民法院信息系统进行定期的安全检查。

（二）项目目标依据国家、深圳市信息安全相关政策法规和指引文件，针对深圳市中级人民法院信息系统进行信息安全风险评估、等级保护定级与测评、信息安全制度自查与优化、安全防护措施自查与优化、应急响应机制建设与演练、安全隐患排查与教育培训等安全服务，对安全服务过程中发现的脆弱点和问题进行修复加固，建立符合国家标准的信息安全管理体系，并根据修复加固的结果，建立符合深圳市中级人民法院实际情况的安全保障体系和规划设计方案，并在一年的服务期内，定期对信息系统进行安全检测和修复加固，使系统的安全状况得以长期保持。