系统安全需求分析报告模板文档格式.docx
《系统安全需求分析报告模板文档格式.docx》由会员分享,可在线阅读,更多相关《系统安全需求分析报告模板文档格式.docx(8页珍藏版)》请在冰豆网上搜索。
GB17859-1999《计算机信息系统安全保护等级划分准则》
2
GB/T20274-2006《信息系统安全保障评估框架》
3
GB/T20984-2007《信息安全风险评估规范》
4
GB/T18336-2008《信息技术安全性评估准则》
5
GB/T22239-2008《信息系统安全等级保护基本要求》)
6
GB/T22240-2008《信息系统安全等级保护定级指南》
7
《信息系统安全等级保护实施指南》
8
《信息系统安全等级保护测评要求》
9
《信息系统安全等级保护测评过程指南》
11
税务标准/规范
《税务系统信息安全等级保护基本要求》(2011-09-23)
12
《税务信息系统安全等级保护实施指南》(2011-07-14)
13
《税务系统信息安全等级保护测评准则》(2011-07-14)
14
《税务信息系统等级保护安全设计技术要求》(2011-07-14)
15
《税务系统网络与信息安全风险评估工作管理规定(试行稿)》
16
《网上办税系统安全保障要求(试行)》
17
《税务电子数据安全保护总体技术框架》
18
《税务系统网络与信息安全总体策略》
19
20
《税务系统电子数据处理管理办法(试行)》
21
《税务应用系统网络安全审核指南(试行)》
22
《税务系统网络与信息系统应急响应工作指南(试行)》
23
《税务系统网络与信息安全事件分级分类指南(试行)》
1.4原则
1.5……
2安全保护现状
2.1物理环境
2.2网络安全
2.2.1业务内网
2.2.2业务外网
2.3安全管理
3风险分析
3.1.1资产识别与分析
3.1.1.1物理环境资产
3.1.1.2网络资产
3.1.1.3系统资产
3.1.1.4数据资产
3.1.1.5管理资产
1.管理制度:
2.服务单位:
3.人员角色:
3.1.1.6……
3.1.2威胁识别与分析
3.1.2.1威胁来源分析
威胁来源
威胁来源描述
环境因素、意外事故或故障
由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害;
意外事故或由于软件、硬件、数据、通讯线路方面的故障。
无恶意内部人员
由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致计算机系统威胁的内部人员;
由于缺乏培训,专业技能不足,不具备岗位技能要求而导致计算机系统威胁的内部人员。
恶意内部人员
不满的或有预谋的内部人员对计算机系统进行恶意破坏;
采用自主的或内外勾结的方式盗窃机密信息或进行篡改,获取利益。
敌对分子
为了获得可用于政治目的资料或者以蓄意破坏网络或数据资源为目的。
而税务机关是我国政府部门的重要组成,其目前的信息网络与国际互联网连接,必然会成为敌对国家的关注焦点。
黑客
利用信息系统的脆弱性,对网络和系统进行攻击。
其对网络的攻击带有很强的预谋性,往往对系统的正常运行造成很大的破坏,或者造成机密信息的外泄。
专业犯罪
通过攻击系统,达到非法套现的目的。
第三方
第三方合作伙伴和供应商,包括电信、移动等业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商;
包括第三方恶意的和无恶意的行为。
3.1.2.2威胁种类分析
威胁种类
威胁描述
软硬件故障
由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务高效稳定运行的影响。
物理环境威胁
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾害。
无作为或操作失误
由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成影响。
管理不到位
安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏计算机系统正常有序运行。
恶意代码和病毒
具有自我复制、自我传播能力,对计算机系统构成破坏的程序代码。
越权或滥用
通过采用一些措施,超越自己的权限访问了本来无权访问的资源;
或者滥用自己的职权,做出破坏信息系统的行为。
黑客攻击技术
利用黑客工具和技术,例如:
侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对计算机系统进行攻击和入侵。
非授权访问
非授权用户登录系统,访问未授权信息。
假冒
用户身份被假冒,比如假冒税局端向第三方平台恶意推送伪中奖信息。
泄密
机密泄漏,机密信息泄漏给他人比如:
企业机密信息地泄漏将给企业带来巨大的损失,更重要的是有损于政府形象,使用户在使用网上税务是有所顾虑,不利于执行上级的指导精神。
篡改
抵赖
3.1.3脆弱性识别与分析
3.1.4……
4安全需求分析
4.1业务自身信息安全需求
4.1.1XX业务连续性需求
…………
4.1.2……
4.1.3……
4.2数据安全需求
4.2.1数据分类
4.2.2数据分级
4.2.3数据授权
4.2.4数据流转
4.2.5……
4.3配套改造安全需求
4.4远程及应急维护安全需求
4.5技术安全需求
4.5.1网络层面
4.5.2主机层面
4.5.3应用层面
4.5.4数据层面
4.5.5安全管理
4.5.5.1安全管理制度
4.5.5.2安全管理机构
4.5.5.3人员安全管理
4.5.5.4系统建设管理
4.5.5.5系统运维管理