还剩11页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
系统安全需求分析报告模板XXXX公司20xx年xx月4安全需求分析
4.1业务自身信息安全需求
4.
1.1XX业务连续性需求
4.
1.
24.
1.
3......
4.2数据安全需求
4.
2.1数据分类
4.
2.2数据分级
4.
2.3数据授权
4.
2.4数据流转
4.
2.
5....
4.3配套改造安全需求
4.4远程及应急维护安全需求
4.5技术安全需求
4.
5.1网络层面
4.
5.2主机层面
4.
5.3应用层面
4.
5.4数据层面
4.
5.5安全管理
4.
5.
5.1安全管理制度
4.
5.
5.2安全管理机构
4.
5.
5.3人员安全管理
4.
5.
5.4系统建设管理
4.
5.
1.
2.
3.
3.
3.
3.
1.
363.
4.
1.1XX
74.
74.
4.
4.
4.
4.
2.
474.
2.
4.
4.
4.
4.
4.
5.581概述
1.1背景
1.2目标
1.3依据序号类别名称1GB17859-1999《计算机信息系统安全保护等级划分准则》2GB/T20274-2006《信息系统安全保障评估框架》3GB/T20984-2007《信息安全风险评估规范》4GB/T18336-2008《信息技术安全性评估准则》5国家标准GB/T22239-2008《信息系统安全等级保护基本要求》6GB/T22240-2008《信息系统安全等级保护定级指南》7《信息系统安全等级保护实施指南》8《信息系统安全等级保护测评要求》9《信息系统安全等级保护测评过程指南》11《税务系统信息安全等级保护基本要求》2011-09-2312《税务信息系统安全等级保护实施指南》2011-07-1413《税务系统信息安全等级保护测评准则》
2011.07・14税务标准/规范14《税务信息系统等级保护安全设计技术要求》2011-07-1415《税务系统网络与信息安全风险评估工作管理规定试行稿》16《网上办税系统安全保障要求试行》17《税务电子数据安全保护总体技术框架》18《税务系统网络与信息安全总体策略》19《税务系统网络与信息安全风险评估工作管理规定(试行稿)》20《税务系统电子数据处理管理办法(试行)》21《税务应用系统网络安全审核指南(试行)》22《税务系统网络与信息系统应急响应工作指南(试行)》23《税务系统网络与信息安全事件分级分类指南(试行)》
1.4原则
1.
5.......2安全保护现状
2.1物理环境
2.2网络安全
2.
2.1业务内网
2.
2.2业务外网
2.3安全管理3风险分析
3.
1.1资产识别与分析
3.
1.
1.1物理环境资产
3.
1.
1.2网络资产
3.
1.
1.3系统资产
3.
1.
1.4数据资产
3.
1.
1.5管理资产管理制度
1.服务单位:
2.人员角色:
3.威胁识别与分析威胁来源分析威胁来源威胁来源描述由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害;意外环境因素、意外事故或故障事故或由于软件、硬件、数据、通讯线路方面的故障由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致计算机系统威胁的内部无恶意内部人员人员;由于缺乏培训,专业技能不足,不具备岗位技能要求而导致计算机系统威胁的内部人员不满的或有预谋的内部人员对计算机系统进行恶意破恶意内部人员坏;采用自主的或内外勾结的方式盗窃机密信息或进行篡改,获取利益为了获得可用于政治目的资料或者以蓄意破坏网络或数据资源为目的而税务机关是我国政府部门的重要组成,敌对分子其目前的信息网络与国际互联网连接,必然会成为敌对国家的关注焦点利用信息系统的脆弱性,对网络和系统进行攻击其对网络的攻击带有很强的预谋性,往往对系统的正常黑客运行造成很大的破坏,或者造成机密信息的外泄专业犯罪通过攻击系统,达到非法套现的目的第三方合作伙伴和供应商,包括电信、移动等业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产第三方品供应商;包括第二方恶意的和无恶意的行为
3.
1.
2.2威胁种类分析威胁种类威胁描述由于设备硬件故障、通讯链路中断、系统本身或软件软硬件故障Bug导致对业务高效稳定运行的影响断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、物理环境威胁洪灾、火灾、地震等环境问题和自然灾害由于应该执行而没有执行相应的操作,或无意地执行了无作为或操作失误错误的操作,对系统造成影响安全管理无法落实,不到位,造成安全管理不规范,或管理不到位者管理混乱,从而破坏计算机系统正常有序运行具有自我复制、自我传播能力,对计算机系统构成破坏恶意代码和病毒的程序代码通过采用一些措施,超越自己的权限访问了本来无权访越权或滥用问的资源;或者滥用自己的职权,做出破坏信息系统的行为利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服黑客攻击技术务攻击等手段对计算机系统进行攻击和入侵非授权访问非授权用户登录系统,访问未授权信息用户身份被假冒,比如假冒税局端向第三方平台恶意推假冒送伪中奖信息机密泄漏,机密信息泄漏给他人比如企业机密信息地泄漏将给企业带来巨大的损失,更重要的是有损于政府泄密形象,使用户在使用网上税务是有所顾虑,不利于执行上级的指导精神篡改抵赖3J.3脆弱性识别与分析。