博奥智源：企业信息系统风险评估有哪些？

服务类	技术类型	内容及要求
风险评估	资产识别	依据相关国家标准或国际标准，对招标方的信息资产进行全面梳理和识别，识别内容包含但不限于资产类型、IP地址、业务部门、责任人、用途、操作系统、数据库、中间件等 资产识别方式包含但不限于：自研工具扫描探测、人工访谈调研和实地核查等 资产类别应按照相关规范分类，包含但不限于以下几大类： 业务应用——业务信息系统，如OA系统、门户网站等 网络结构——网络拓扑结构图 文档和数据——业务信息系统相关文档、数据库数据、设计方案、操作手册、业务数据等 软硬件资产——服务器设备、安全设备、存储设备、应用软件、操作系统、中间件、数据库、网络设备等 物理环境——机房 组织管理——方针、规章制度等 人力资源资产——组织架构、岗位职责等 依据相关规范，投标方应根据资产识别结果，科学、合理的对资产进行重要性赋值，明确资产价值 投标方应针对资产识别情况及问题及时汇报
	脆弱性识别	依据相关国家标准或国际标准，根据资产识别结果，采用不同手段对资产进行全面的脆弱性识别，及时发现、处置脆弱性，避免或降低脆弱性被威胁利用的几率造成的影响 脆弱性分类应至少包括但不限于以下三类： 技术性弱点—系统、程序、设备存在的漏洞或缺陷，如网络结构设计问题和代码漏洞 操作性弱点—软件和系统配置、操作中存在的缺陷，包括人员在日常工作中的不良习惯，审计和备份的缺乏 管理性弱点--策略、程序、规章制度、人员意识、组织结构等方面的不足 脆弱性识别方式包含但不限于:自研工具自动探测、人工访谈调研、文档审阅和实地核查等 基线核查应按照以下要求实施： 基线核查服务流程： 投标方应对基线核查的资产进行全面梳理和识别，识别内容包含但不限于资产类型、IP地址、业务部门、责任人、用途、操作系统、数据库、中间件等 投标方应提交基线核查的标准，会同招标方各接口人进行沟通确认 依据相关标准或规范，投标方应结合招标方制定的基线核查标准、上级单位的基线核查标准、行业基线核查标准及行业最佳实践等，目标对象进行核查，目标对象包括但不限于：网络设备、操作系统、数据库及中间件等 投标方应组织相关人员对结果进行确认后，分析提交科学、合理的整改建议 基线核查应包含但不限于以下内容： 网络设备： OS安全、帐号和口令管理、认证和授权策略、网络与服务、访问控制策略、通讯协议、路由协议、日志审核策略、加密管理、设备其他安全配置等 操作系统：系统漏洞补丁管理、帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制、通讯协议、日志审核功能、剩余信息保护、其他安全配置等 数据库：漏洞补丁管理、帐号和口令管理、认证、授权策略、访问控制、通讯协议、日志审核功能、其他安全配置等 中间件：漏洞补丁管理、帐号和口令管理、认证、授权策略、通讯协议、日志审核功能、其他安全配置等 投标方应将发现的脆弱性及时向招标方反馈，并在后续提出可落地的整改建议或方案。
	威胁识别	依据相关国家标准或国际标准，对存在脆弱性的资产进行威胁的全面识别，及时发现潜在威胁的原因，避免或降低威胁发生的几率 威胁来源应至少包括但不限于以下四类： 人员威胁——包括故意破坏和无意失误 系统威胁——系统、网络或服务的故障 环境威胁——电源故障、污染、液体泄漏、火灾等 自然威胁——洪水、地震、台风、滑坡、雷电等 通过技术手段识别服务器中可能存在被植入的后门程序、潜伏未触发的病毒木马等安全威胁 投标方应对威胁利用率极高的风险提出整改建议，配合招标方及时处置
	防护能力评估	依据相关国家标准或国际标准，对招标方现有的防护能力进行评估，评估内容包含但不限于： 预防控制措施情况，如：已有安全策略和防护程序情况、软件版本和补丁管理、安全域和访问控制、管理体系建设及落实、安全意识培训等 检测控制措施情况，如：网络入侵检测能力、主机入侵检测能力、安全事件报告流程 响应控制措施，如：应急响应机制、系统备份与恢复机制、安全事件响应能力等 根据识别结果的现状，提出建设性意见，避免重复采购相关设备或服务。
	风险分析	投标方应组织专家团队，对存在和潜在的风险进行全面分析，保证风险分析的科学性、合理性及风险处置的可操作性 投标方应在风险分析完成后，组织召开相关会议，将风险评估实施过程全生命周期发现的情况或问题统一反馈，并提出可落地的建议或方案。
	可落地建设方案	根据资产识别、脆弱性评估、威胁评估、防护能力评估的输出结果进行风险分析之后，输出风险评估报告，风险评估报告中应符合业务需求的安全整改建议。
服务工具要求	脆弱性检测工具要求（投标方应提供脆弱性检测工具功能模块截图证明） 基线配置核查功能： 支持多种规范库，如：等保基线规范、行业基线规范等 支持主流网络、安全设备：CISCO、华为、Juniper等路由和交换设备，其他厂商设备：下一代防火墙、入侵检测设备、入侵防御设备等 支持主流操作系统：微软Windows系列操作系统，如Windows Server 2012 R2/2016/2019等；各类Linux系列操作系统，Redhat、Ubuntu、Debian等；各类Unix系列操作系统，Solaris、AIX、HP-UX、BSD等 支持主流数据库：微软MSSQL系列，SQL Sever 2012/2014/2016等；甲骨文Oracle系列，Oracle 12c/18c/19c等其他数据库，MySQL、DB2、Sybase、Informix等 常见中间件及网络服务应用：Web服务类，IIS10.0、Apache、Tomcat、Weblogic、Nginx、WebSphere等DNS服务类，MAIL、Proxy、POP3、SMTP等 弱口令扫描能力： 支持通用字典和行业专有字典，进行弱口令猜解 支持对多种服务协议弱口令猜解，如：FTP\RDP\SSH\TELNET\MYSQL\MSSQL等远程服务 服务平台要求： 1、为了保障风险评估整体交付过程中的标准化，遵循风险评估规范的流程。 2、该平台具有的功能模块包括： ★资产梳理：自带资产发现引擎，对招标方内部网络资产及发布在互联网上的资产进行探测识别，结合第三方工具进行异构交叉验证后，并通过平台进行自动去重，最终交付人员实地核查，保证资产台账真实有效，交付人员结合业务真实情况通过服务平台对资产进行赋值并自动生成资产识别表；(提供资产梳理功能模块的截图证明) ★弱点分析：通过脆弱性检测工具对资产实现漏洞扫描、WEB漏洞扫描、基线核查、弱口令检测及渗透测试等工作后，将检测结果同步至服务平台，自动生成脆弱性识别表，为风险分析提供数据；(提供弱点分析功能模块的截图证明) ★风险分析：根据相关标准和规范，服务平台集成威胁知识库、风险分值自动计算功能，对资产识别、弱点分析输出的结果进行综合分析；（提供风险分析功能模块的截图证明） ★报告生成：服务平台自动生成风险评估报告，风险评估报告全面展示各关键阶段的服务内容及存在的风险，并提供可落地的修复建议，指导后期安全规划建设，辅助招标方决策层决策整体安全建设；（提供报告生成功能模块的截图证明） 3、中标后采购方有权要求成交供应商提供演示平台对服务平台进行功能演示（提供演示平台登录界面截图证明），确保满足采购方安全需求。演示功能包含：资产梳理、弱点分析、风险分析、报告生成功能。发现虚假应标的行为将予以废标处理并保留对该投标方追究相关责任的权利
期限及频率	服务期内按需提供
服务范围	智慧教育相关应用平台
服务交付物	《风险评估报告》