系统安全需求分析报告模板.docx

1、系统安全需求分析报告模板XX系统安全需求分析报告模板XX公司20xx年xx月1 概述1.1 背景1.2 目标1.3 依据序号类别名称1国家标准GB 178591999计算机信息系统安全保护等级划分准则2GB/T 20274-2006 信息系统安全保障评估框架3GB/T 20984-2007 信息安全风险评估规范4GB/T 18336-2008 信息技术安全性评估准则5GB/T 222392008信息系统安全等级保护基本要求）6GB/T 222402008信息系统安全等级保护定级指南7信息系统安全等级保护实施指南8信息系统安全等级保护测评要求9信息系统安全等级保护测评过程指南11税务标准/规范税

2、务系统信息安全等级保护基本要求（2011-09-23）12税务信息系统安全等级保护实施指南（2011-07-14）13税务系统信息安全等级保护测评准则（2011-07-14）14税务信息系统等级保护安全设计技术要求（2011-07-14）15税务系统网络与信息安全风险评估工作管理规定（试行稿）16网上办税系统安全保障要求（试行）17税务电子数据安全保护总体技术框架18税务系统网络与信息安全总体策略19税务系统网络与信息安全风险评估工作管理规定（试行稿）20税务系统电子数据处理管理办法（试行）21税务应用系统网络安全审核指南（试行）22税务系统网络与信息系统应急响应工作指南（试行）23税务系统网

3、络与信息安全事件分级分类指南（试行）1.4 原则1.5 2 安全保护现状2.1 物理环境2.2 网络安全2.2.1 业务内网2.2.2 业务外网2.3 安全管理3 风险分析3.1.1 资产识别与分析3.1.1.1 物理环境资产3.1.1.2 网络资产3.1.1.3 系统资产3.1.1.4 数据资产3.1.1.5 管理资产1. 管理制度：2. 服务单位：3. 人员角色：3.1.1.6 3.1.2 威胁识别与分析3.1.2.1 威胁来源分析威胁来源威胁来源描述环境因素、意外事故或故障由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害；意外事故或由于软件、硬件

4、、数据、通讯线路方面的故障。 无恶意内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致计算机系统威胁的内部人员；由于缺乏培训，专业技能不足,不具备岗位技能要求而导致计算机系统威胁的内部人员。 恶意内部人员不满的或有预谋的内部人员对计算机系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益。 敌对分子为了获得可用于政治目的资料或者以蓄意破坏网络或数据资源为目的。而税务机关是我国政府部门的重要组成，其目前的信息网络与国际互联网连接，必然会成为敌对国家的关注焦点。 黑客利用信息系统的脆弱性，对网络和系统进行攻击。其对网络的攻击带有很强的预谋性

5、，往往对系统的正常运行造成很大的破坏，或者造成机密信息的外泄。 专业犯罪通过攻击系统，达到非法套现的目的。 第三方第三方合作伙伴和供应商，包括电信、移动等业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商；包括第三方恶意的和无恶意的行为。 3.1.2.2 威胁种类分析威胁种类威胁描述软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务高效稳定运行的影响。 物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾害。 无作为或操作失误由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成影响。 管理不到位安

6、全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏计算机系统正常有序运行。 恶意代码和病毒具有自我复制、自我传播能力，对计算机系统构成破坏的程序代码。 越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏信息系统的行为。 黑客攻击技术利用黑客工具和技术，例如：侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对计算机系统进行攻击和入侵。 非授权访问非授权用户登录系统，访问未授权信息。 假冒用户身份被假冒，比如假冒税局端向第三方平台恶意推送伪中奖信息。 泄密机密泄漏，机密信息泄漏给他人比如：企业机密信息地

7、泄漏将给企业带来巨大的损失，更重要的是有损于政府形象，使用户在使用网上税务是有所顾虑，不利于执行上级的指导精神。 篡改抵赖3.1.3 脆弱性识别与分析3.1.4 4 安全需求分析4.1 业务自身信息安全需求4.1.1 XX业务连续性需求 4.1.2 4.1.3 4.2 数据安全需求4.2.1 数据分类4.2.2 数据分级4.2.3 数据授权4.2.4 数据流转4.2.5 4.3 配套改造安全需求4.4 远程及应急维护安全需求4.5 技术安全需求4.5.1 网络层面4.5.2 主机层面4.5.3 应用层面4.5.4 数据层面4.5.5 安全管理4.5.5.1 安全管理制度4.5.5.2 安全管理机构4.5.5.3 人员安全管理4.5.5.4 系统建设管理4.5.5.5 系统运维管理