一、项目背景

受陕西省地方税务局委托，测评中心于2012年9月至2013年2月，对省地税局及其所辖11个地市局的重要应用系统及整体信息安全工作进行了为期6个月的安全测评工作。测评内容主要包括安全管理（安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理5个部分）和技术防范（物理安全、网络安全、主机及应用安全、终端安全4个部分）两方面的内容。 

通过本次信息系统安全测评，旨在查找全省地税信息系统安全隐患，加强各信息系统的安全管理，有效防范税收业务系统，特别是网上涉税业务系统的风险，提高税务干部信息安全意识，提升自身信息安全保障能力，确保“秦税工程”二期建设的顺利进行。 

二、安全需求

陕西省地方税务局为保障全省地税核心业务信息化建设健康发展，全面落实国家总局信息安全要求， 陕西省地方税务局在下述方面开展信息安全风险评估工作： 

（1）通过对陕西省地方税务局全省核心网络设备、安全设备、主机、数据库等资产的风险评估，发现了其中潜在的信息安全隐患及信息化建设的不足。 

（2）通过风险评估，明确信息安全要求及国家总局对陕西省地方税务局自身信息安全建设与管理模式的适应性，明确信息安全水平的违规情况，针对性提出适用于陕西省地方税务局发展及运维特点安全补足措施。 

（3）通过风险评估，为形成事前监控预警、事中防御控制、事后审查追溯的防护策略及持续改进的安全措施提供各阶段性风险评估辅助。 

三、方案设计

‍ ‍

测评中心依据参考GB/T 20984-2007《信息安全技术信息安全风险评估规范》、ISO27001《信息安全风险评估指南》、GB/T 22239-2008《信息系统安全等级保护基本要求》等标准，通过专业工具和分析手段，从资产评估、脆弱性评估、安全措施有效性评估以及综合评估，识别出系统所存在的风险并提出针对性的风险控制规划措施，陕西省地方税务局在如下方面完成风险评估： 

（1）网络安全技术架构评估针对陕西省地方税务局核心网络进行评估，了解系统业务状况，分析网络架构设计中存在的问题，提出相应的改进建议。

（2）安全设备性能及策略评估根据陕西省地方税务局网络结构、业务流程、安全策略等情况，评估安全策略配置与业务发展的符合性，发现安全设备配置问题，提出相应的改进建议。

（3）主机系统及数据库安全策略评估针对陕西省地方税务局各主机系统，检测和分析安全策略配置与业务发展的符合性，发现安全设备配置符合性，提出相应的改进建议。

（4）信息系统安全机制及策略评估针对陕西省地方税务局核心业务系统和各地市核心业务系统，从身份鉴别、信息传输保密性完整性以及抵赖性方面分析系统安全防护能力，并提出可行的改进建议。

（5）安全管理制度评估针对陕西省地方税务局信息安全管理制度，分析评估安全策略方针、安全管理制度是否符合其业务策略、安全记录文件完整性及落实情况，并提出改进建议。

四、项目意义

陕西省地方税务局通过基于以上风险评估服务，为自身业务系统安全持续稳定运行、满足国家政策法规提供了额外的附加价值，包括： 

（1）基于税务行业风险知识库，评估的风险更加充分并具有针对性。 

（2）基于核心业务风险评估，为陕西省地方税务局全面识别IT组织规划、业务流程、信息系统及信息资产面的IT风险提供了参考。 

（3）结合IT运维管理与技术评估结果，使陕西省地方税务局更加有效地识别安全隐患，通过建立针对于技术评估发现的技术风险的控制措施，真正将风险处理落到实处； 

（4）通过全面IT服务能力，帮助陕西省地方税务局解决涵盖IT治理、IT服务管理及信息安全保护建设过程中各阶段性方面的问题。