(完整版)XXXX等級保護(hù)測評工作方案

1、廣州市XXXXXX2015-2016 年 XXXXXXXXXXXX 項目等級保護(hù)差距測評實施方案XXXXXXXXX 信息安全有限公司201X年X月4. 人員安排 19目 錄11. 項目概述 21.1. 項目背景 21.2. 項目目標(biāo) 31.3. 項目原則 31.4. 項目依據(jù) 42. 測評實施內(nèi)容 42.1. 測評分析 52.1.1. 測評范圍 52.1.2. 測評對象 52.1.3. 測評內(nèi)容 52.1.4. 測評對象 82.1.5. 測評指標(biāo) 92.2. 測評流程 102.2.1. 測評準(zhǔn)備階段 112.2.2. 方案編制階段 122.2.3. 現(xiàn)場測評階段 122.2.4. 分析與報告編

2、制階段142.3. 測評方法 142.3.1. 工具測試 142.3.2. 配置檢查 152.3.3. 人員訪談 152.3.4. 文檔審查 162.3.5. 實地查看 162.4. 測評工具 172.5. 輸出文檔 18錯誤!未定義書簽。錯誤!未定義書簽。錯誤!未定義書簽。2.5.1. 等級保護(hù)測評差距報告2.5.2. 等級測評報告2.5.3. 安全整改建議4.1. 組織結(jié)構(gòu)及分工 194.2. 人員配置表204.3. 工作配合 215. 其他相關(guān)事項225.1. 風(fēng)險規(guī)避 225.2. 項目信息管理245.2.1. 保密責(zé)任法律保證 245.2.2. 現(xiàn)場安全保密管理 245.2.3. 文

3、檔安全保密管理 255.2.4. 離場安全保密管理 255.2.5. 其他情況說明 251. 項目概述1.1. 項目背景為了貫徹落實國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見、關(guān)于信息安全等級保護(hù)工作的實施意見和信息安全等級保護(hù)管理辦法的精神，201就XXXXXXXXXXXXXXXXXXXe照國家信息安全技術(shù)信息 系統(tǒng)安全等級保護(hù)定級指南、計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則、信息系統(tǒng)安全等級保護(hù)基本要求、信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則的要求，對xxxxxxxxxxxxxxxXKXX；個信息系統(tǒng)進(jìn)行全面的信息安全測評與評 估工作，并且為xxxxxxxxxxxxxxxXXX®點咨詢、

4、實施等服務(wù)。（安全技術(shù)測 評包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個層面上的安全控制測評；安全管理測評包括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全控制測評），加大測評與風(fēng)險評估力度，對信息系統(tǒng)的資產(chǎn)、威脅、弱點和風(fēng)險等要素進(jìn)行全面評估，有效提升信心系統(tǒng)的安全防護(hù)能力，建立常態(tài)化的等級保護(hù)工作機(jī)制，深化信息安全等級保護(hù)工作，提高 xxxxxxxxxxxxxxxXXXXi信息系統(tǒng)的安全 保障與運維能力。1.4.項目依據(jù)全面完成XXXXXXXXXXXXXXXXXXX；個信息系統(tǒng)的信息安全測評與評估工 作和協(xié)助整改工作，并且為XXXX

5、XXXXXXXXXXXJXXXXi點咨詢、實施等服務(wù)， 按照國家和 xxxxxxxxxxxxxxxXXXXI要求，對 xxxxxxxxxxxxxxxXXXX& 架構(gòu)進(jìn)行業(yè)務(wù)影響分析及網(wǎng)絡(luò)安全管理工作進(jìn)行梳理，提高 xxxxxxxxxxxxxxxXXXXg絡(luò)的安全保障與運維能力，減少信息安全風(fēng)險和降 低信息安全事件發(fā)生的概率，全面提高網(wǎng)絡(luò)層面的安全性，構(gòu)建 xxxxxxxxxxxxxxxXXXXC統(tǒng)的整體信息安全架構(gòu)，確保全局信息系統(tǒng)高效穩(wěn) 定運行，并滿足xxxxxxxxxxxxxxxXXXX勺基本要求，及時提供咨詢等月艮務(wù)。1.3. 項目原則項目的方案設(shè)計與實施應(yīng)滿足以下原則：符合性原

6、則：應(yīng)符合國家信息安全等級保護(hù)制度及相關(guān)法律法規(guī)，指出 防范的方針和保護(hù)的原則。標(biāo)準(zhǔn)性原則：方案設(shè)計、實施與信息安全體系的構(gòu)建應(yīng)依據(jù)國內(nèi)、國際 的相關(guān)標(biāo)準(zhǔn)進(jìn)行。規(guī)范性原則：項目實施應(yīng)由專業(yè)的等級測評師依照規(guī)范的操作流程進(jìn) 行，在實施之前將詳細(xì)量化出每項測評內(nèi)容，對操作過程和結(jié)果提供規(guī)范的記 錄，以便于項目的跟蹤和控制?？煽匦栽瓌t：項目實施的方法和過程要在雙方認(rèn)可的范圍之內(nèi)，實施進(jìn) 度要按照進(jìn)度表進(jìn)度的安排，保證項目實施的可控性。整體性原則：安全體系設(shè)計的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及 的各個層面，避免由于遺漏造成未來的安全隱患。最小影響原則：項目實施工作應(yīng)盡可能小的影響網(wǎng)絡(luò)和信息系統(tǒng)的正

7、常 運行，不能對信息系統(tǒng)的運行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響。保密原則：對項目實施過程獲得的數(shù)據(jù)和結(jié)果嚴(yán)格保密，未經(jīng)授權(quán)不得 泄露給任何單位和個人，不得利用此數(shù)據(jù)和結(jié)果進(jìn)行任何侵害測評委托單位利 益的行為。信息系統(tǒng)等級測評依據(jù)信息系統(tǒng)安全等級保護(hù)基本要求、信息系統(tǒng) 安全等級保護(hù)測評要求，在對信息系統(tǒng)進(jìn)行安全技術(shù)和安全管理的安全控制 測評及系統(tǒng)整體測評結(jié)果基礎(chǔ)上，針對相應(yīng)等級的信息系統(tǒng)遵循的標(biāo)準(zhǔn)進(jìn)行綜 合系統(tǒng)測評，提出相應(yīng)的系統(tǒng)安全整改建議。主要參考標(biāo)準(zhǔn)如下：計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則-GB17859-1999信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求

8、信息安全等級保護(hù)管理辦法信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南( GB/T 222402008)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求( GB/T 222392008)計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB17859-1999信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006)信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T20270-2006)信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求(GB/T20272-2006)信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GB/T20273-2006)信息安全技術(shù)服務(wù)器技術(shù)要求(GB/T21028-2007)信息安全技術(shù)終端計算機(jī)系統(tǒng)安全等級技術(shù)要求(

9、GA/T671-2006)信息安全風(fēng)險評估規(guī)范(GB/T 20984-2007)2.測評實施內(nèi)容第4頁共24頁2.1.測評分析2.1.1. 測評范圍本項目范圍為對xxxxxxxxxxxxxxx)0X激信息系統(tǒng)的等級保護(hù)測評。2.1.2. 測評對象本次測評對象為xxxxxxxxxxxxxxxXXXX(統(tǒng)，具體如下:在舁 廳P信息系統(tǒng)名稱級別1xxxxxxxxX息系統(tǒng)三級2xxxxxxxxX息系統(tǒng)三級3xxxxxxxxX息系統(tǒng)三級4xxxxxxxxX息系統(tǒng)三級5xxxxxxxxX息系統(tǒng)二級6xxxxxxxxX息系統(tǒng)二級2.1.3. 測評架構(gòu)圖本次測評結(jié)合xxxxxxxxxxxxxxxxXXX勺信息

10、管理特點，進(jìn)行不同層次的 測評工作，如下表所示：安至管理層次安生技術(shù)人員安全管理等保二皺要求泰蛻建設(shè)管理等保二皴要求系統(tǒng)運維堂瑁等保二級要求安全管理機(jī)梅2.1.4.測評內(nèi)容第5頁共24頁本項目主要分為兩步開展實施。第一步，對 XXXXXXXXXXXXXXXXXXX® 息系統(tǒng)進(jìn)行定級和備案工作。第二步，對 XXXXXXXXXXXXXXXXXXXS級備案 的系統(tǒng)進(jìn)行十個安全層面的等級保護(hù)安全測評（物理安全、網(wǎng)絡(luò)安全、主機(jī)安 全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安 全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理）。其中安全測評分為差距測評和驗收測評。差距測評主要針對 XX

11、XXXXXXXXXXXXXXXX備案系統(tǒng)執(zhí)行國家標(biāo)準(zhǔn)的安全測評，差距測評交付 差距測評報告以及差距測評整改方案；差距整改完畢后協(xié)助完成系統(tǒng)配置方面 的整改。最后進(jìn)行驗收測評，驗收測評將按照國家標(biāo)準(zhǔn)和國家公安承認(rèn)的測評 要求、測評過程、測評報告，協(xié)助對 XXXXXXXXXXXXXXXXXX備案的系統(tǒng)執(zhí) 行系統(tǒng)安全驗收測評，驗收測評交付具有國家承認(rèn)的驗收測評報告。信息系統(tǒng)安全等級保護(hù)測評包括兩個方面的內(nèi)容：一是安全控制測評，主 要測評信息安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實施配置情況； 二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測 評是信息系統(tǒng)整體安全測評的基礎(chǔ)。

12、安全控制測評使用測評單元方式組織，分為安全技術(shù)測評和安全管理測評 兩大類。安全技術(shù)測評包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全 和數(shù)據(jù)安全五個層面上的安全控制測評；安全管理測評包括：安全管理機(jī)構(gòu)、 安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理五個方面的安全 控制測評。具體見下圖：第26頁共24頁解息系統(tǒng)等級保護(hù)測評安全控禍測評系統(tǒng)整體測評安全管理測評安全管理機(jī)曲 安全管理制度人員安全管理 系統(tǒng)建設(shè)管理系統(tǒng)運嫡管理安全控制間層面間區(qū)域間整體結(jié)構(gòu)安全不同信息系統(tǒng)同整體安全性整體架構(gòu)/局部架構(gòu)系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓?fù)?、局部結(jié)構(gòu)，也關(guān)系到信息系統(tǒng) 的具體安全功能實現(xiàn)和安全

13、控制配置，與特定信息系統(tǒng)的實際情況緊密相關(guān)。 在安全控制測評的基礎(chǔ)上，重點考慮安全控制問、層面間以及區(qū)域間的相互關(guān) 聯(lián)關(guān)系，分析評估安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、 補充和削弱作用以及信息系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全 性。系統(tǒng)和系統(tǒng)間區(qū)域間層面間間制 全制 控 安控主機(jī)系統(tǒng)與 運維管理間物理與 網(wǎng)絡(luò)間應(yīng)用與 人員安全間統(tǒng)維理系運管員全理人安管機(jī)統(tǒng)全主系安網(wǎng)絡(luò)安全物理安全應(yīng)急預(yù)案管理安全事件處置設(shè)備管理教育和培訓(xùn)人員離崗自主訪問控制身份鑒別網(wǎng)絡(luò)入侵防范網(wǎng)絡(luò)訪問控制防盜竊物理訪問控制綜合測評總結(jié)將在安全控制測評和系統(tǒng)整體測評兩個方面的內(nèi)容基礎(chǔ)上進(jìn) 行，由此而獲得

14、信息系統(tǒng)對應(yīng)安全等級保護(hù)級別的符合性結(jié)論。2.1.5. 測評對象依照信息安全等級保護(hù)的要求、參考業(yè)界權(quán)威的安全風(fēng)險評估標(biāo)準(zhǔn)與模 型，同時結(jié)合本公司多年的安全風(fēng)險評估經(jīng)驗與實踐，從信息系統(tǒng)的核心資產(chǎn) 出發(fā)，以威脅和弱點為導(dǎo)向，對比信息安全等級保護(hù)的具體要求，全方面對信 息系統(tǒng)進(jìn)行全面評估。測評對象種類主要考慮以下幾個方面：1 .整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；2 .機(jī)房環(huán)境、配套設(shè)施；3 .網(wǎng)絡(luò)設(shè)備：包括路由器、核心交換機(jī)、匯聚層交換機(jī)等；4 .安全設(shè)備：包括防火墻、IDS/IPS、防病毒網(wǎng)關(guān)等；5 .主機(jī)系統(tǒng)（包括操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）；6 .業(yè)務(wù)應(yīng)用系統(tǒng)；7 .重要管理終端（針對三級以上系統(tǒng)）；8 .安全

15、管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)管理員；9 .涉及到系統(tǒng)安全的所有管理制度和記錄。根據(jù)信息系統(tǒng)的測評強度要求，在執(zhí)行具體的核查方法時，在廣度上要做 到從測評范圍中抽取充分的測評對象種類和數(shù)量；在執(zhí)行具體的檢測方法，在 深度上要做到對功能等各方面的測試。2.1.6. 測評指標(biāo)對于二級系統(tǒng)，如業(yè)務(wù)信息安全等級為 S2,系統(tǒng)服務(wù)安全等級為A2,則該 系統(tǒng)的測評指標(biāo)應(yīng)包括GB/T 22239-2008信息系統(tǒng)安全保護(hù)等級基本要求中 “技術(shù)要求”部分的2級通用指標(biāo)類（G2 , 2級業(yè)務(wù)信息安全指標(biāo)類（S2） , 2 級系統(tǒng)服務(wù)安全指標(biāo)類（A2）,以及第2級“管理要求”部分中的所有指標(biāo)類， 等級保護(hù)測

16、評指標(biāo)情況具體如下表所示：測評指標(biāo)（二級）技術(shù)/管理層:向類數(shù)量S類（2級）A類（2級）談（2級）小計安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1056主機(jī)安全2136應(yīng)用安全4217數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理0099系統(tǒng)運維管理001212合計66 （類）對于三級系統(tǒng)，如業(yè)務(wù)信息安全等級為 S3,系統(tǒng)服務(wù)安全等級為A3,則該 系統(tǒng)的測評指標(biāo)應(yīng)包括GB/T 22239-2008信息系統(tǒng)安全保護(hù)等級基本要求中 “技術(shù)要求”部分的3級通用指標(biāo)類（G3» , 3級業(yè)務(wù)信息安全指標(biāo)類（S3） , 3 級系統(tǒng)服務(wù)安全指標(biāo)類（A3）,

17、以及第3級“管理要求”部分中的所有指標(biāo)類， 等級保護(hù)測評指標(biāo)情況具體如下表所示：測評指標(biāo)（三級）技術(shù)/管理層面類數(shù)量S類（3級）A類（3級）G類（3級）小計安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1067主機(jī)安全3137應(yīng)用安全5229數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理001111系統(tǒng)運維管理001313合計73 （類）2.2.測評流程等級保護(hù)測評實施過程包括以下四個階段:I1物理安全人員訪談 文檔審查 實地察看方 式物理基礎(chǔ)設(shè) 施對象網(wǎng)絡(luò)安全人員訪談 配置檢查 工具測試方 式互聯(lián)設(shè)備 安全設(shè)備 網(wǎng)絡(luò)拓?fù)鋵ο笾鳈C(jī)安全人員訪談 配置檢查 工

18、具測試方 式操作系統(tǒng) 數(shù)據(jù)庫系 統(tǒng)對象應(yīng)用安全人員訪談 配置檢查 工具測試方 式應(yīng)用系統(tǒng)對象數(shù)據(jù)安全人員訪談 配置檢查方 式管理數(shù)據(jù) 業(yè)務(wù)數(shù)據(jù)對象安全管理制度人員訪談 文檔審查 實地察看方 式安全管理機(jī)構(gòu)人員訪談 文檔審查方 式人員安全管理人員訪談 文檔審查方 式系統(tǒng)建設(shè)管理人員訪談 文檔審查方 式系統(tǒng)運維管理人員訪談 文檔審查方 式黑黑|山翼| |整體測評| |風(fēng)險分析| | 三 | I 1 ! 結(jié)果分析結(jié)果判定結(jié)論形成編制分析與報告編制階段2.2.1. 測評準(zhǔn)備階段測評項目組組建：明確項目經(jīng)理、測評人員及職責(zé)分工項目計劃書編制：項目計劃書包含項目概述、工作依據(jù)、技術(shù)思路、 工作內(nèi)容和項目組

19、織等。信息系統(tǒng)調(diào)研：通過查閱被測系統(tǒng)已有資料或使用調(diào)查表格的方式， 了解整個系統(tǒng)的構(gòu)成和保護(hù)情況，明確被測系統(tǒng)的范圍（特別是信息 系統(tǒng)的邊界），了解被測系統(tǒng)的詳細(xì)構(gòu)成，包括網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)應(yīng) 用、業(yè)務(wù)流程、設(shè)備信息（服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、 數(shù)據(jù)庫等）、管理制度等。工具和表單準(zhǔn)備：根據(jù)被測系統(tǒng)的實際情況，準(zhǔn)備測評工具和各類測 評表單。2.2.2. 方案編制階段測評對象確定：根據(jù)已經(jīng)了解到的被測系統(tǒng)信息，分析整個被測系統(tǒng) 及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測評的測評對象。測評指標(biāo)確定：根據(jù)已經(jīng)了解到的被測系統(tǒng)定級結(jié)果，確定出本次測 評的測評指標(biāo)。測評工具接入點確定：確定需要進(jìn)行工具測試

20、的測評對象，選擇測試 路徑，根據(jù)測試路徑確定測試工具的接入點。測評內(nèi)容確定：確定現(xiàn)場測評的具體實施內(nèi)容，即單元測評內(nèi)容。測評實施手冊開發(fā)：編制測評實施手冊，詳細(xì)描述現(xiàn)場測評的工具、 方法和操作步驟等，具體指導(dǎo)測評人員如何進(jìn)行測評活動。2.2.3. 現(xiàn)場測評階段現(xiàn)場測評實際上就是單項測評，分別從技術(shù)上的物理安全、網(wǎng)絡(luò)安全、主 機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個層面和管理上的安全管理機(jī)構(gòu)、安全管 理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理五個方面分別進(jìn)行。物理安全：通過人員訪談、文檔審查和實地察看的方式測評信息系統(tǒng) 的物理安全保障情況。主要涉及對象為物理基礎(chǔ)設(shè)施。在內(nèi)容上，物 理安全層面測評

21、實施過程涉及 10個測評單元，包括：物理位置的選 擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、 防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。網(wǎng)絡(luò)安全：通過訪人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng)的網(wǎng)絡(luò)安全保障情況。主要涉及對象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè) 備和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在內(nèi)容上，網(wǎng)絡(luò)安全層面測評實施過程涉及7個測評單元，包括：結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢 查、入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)、惡意代碼防范（針對三級系統(tǒng)）。主機(jī)安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng) 的主機(jī)安全保障情況。主要涉及對象為各類服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)。在內(nèi)容上，主機(jī)

22、系統(tǒng)安全層面測評實施過程涉及7個測評單元，包括：身份鑒別、訪問控制、安全審計、入侵防范、惡意代 碼防范、資源控制、剩余信息保護(hù)（針對三級系統(tǒng)）。應(yīng)用安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng) 的應(yīng)用安全保障情況，主要涉及對象為各類應(yīng)用系統(tǒng)。在內(nèi)容上，應(yīng)用安全層面測評實施過程涉及 9個測評單元，包括：身份鑒別、訪問 控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制、 剩余信息保護(hù)（針對三級系統(tǒng)）、抗抵賴（針對三級系統(tǒng)）。數(shù)據(jù)安全：通過人員訪談、配置檢查的方式測評信息系統(tǒng)的數(shù)據(jù)安全 保障情況，主要涉及對象為信息系統(tǒng)的管理數(shù)據(jù)及業(yè)務(wù)數(shù)據(jù)等。在內(nèi) 容上，數(shù)據(jù)安全層面測評實施過程

23、涉及3個測評單元，包括：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)。安全管理制度：通過人員訪談、文檔審查和實地察看的方式測評信息 系統(tǒng)的安全管理制度情況。在內(nèi)容上，安全管理制度方面測評實施過 程涉及3個測評單元，包括：管理制度、制定和發(fā)布、評審和修訂。安全管理機(jī)構(gòu)：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的安全管理機(jī)構(gòu)情況。在內(nèi)容上，安全管理機(jī)構(gòu)方面測評實施過程涉及5個測評單元，包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、 審核和檢查。人員安全管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的人員安全管理情況。在內(nèi)容上，人員安全管理方面測評實施過程涉及5個測評單元，包括：人員錄用、人員離崗、人員考

24、核、安全意識教育和 培訓(xùn)、外部人員訪問管理。系統(tǒng)建設(shè)管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的系統(tǒng)建設(shè)管理情況。在內(nèi)容上，系統(tǒng)建設(shè)管理方面測評實施過程涉及11個測評單元，包括：系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購和使用、自行 軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、安全服 務(wù)商選擇、系統(tǒng)備案（針對三級系統(tǒng)）、系統(tǒng)測評（針對三級系統(tǒng)）。系統(tǒng)運維管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的系統(tǒng)運維管理情況。在內(nèi)容上，系統(tǒng)運維管理方面測評實施過程涉及13個測評單元，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò) 安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備

25、份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、監(jiān)控管理和安 全管理中心（針對三級系統(tǒng)）。2.2.4. 分析與報告編制階段單項測評結(jié)果分析：針對測評指標(biāo)中的單個測評項，結(jié)合具體測評對 象，客觀、準(zhǔn)確地分析測評證據(jù)。單元測評結(jié)果判定：將單項測評結(jié)果進(jìn)行匯總，分別統(tǒng)計不同測評對 象的單項測評結(jié)果，從而判定單元測評結(jié)果，并以表格的形式逐一列 出。整體測評：針對單項測評結(jié)果的不符合項，采取逐條判定的方法，從 安全控制問、層面間和區(qū)域間出發(fā)考慮，給出整體測評的具體結(jié)果， 并對系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測評。風(fēng)險分析：據(jù)等級保護(hù)的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險分析的方法分析 等級測評結(jié)果中存在的安全問題可能對被測系統(tǒng)安全造

26、成的影響。等級測評結(jié)論形成：在測評結(jié)果匯總的基礎(chǔ)上，找出系統(tǒng)保護(hù)現(xiàn)狀與 等級保護(hù)基本要求之間的差距，并形成等級測評結(jié)論。測評報告編制：根據(jù)等級測評結(jié)論，編制測評報告，包括概述、被測 系統(tǒng)描述、測評對象說明、測評指標(biāo)說明、測評內(nèi)容和方法說明、單 元測評、整體測評、測評結(jié)果匯總、風(fēng)險分析和評價、等級測評結(jié) 論、整改建議等。2.3.測評方法在等級保護(hù)測評過程目中，將采用以下測評方法：2.3.1.工具測試?yán)眉夹g(shù)工具（漏洞掃描工具、滲透測試工具、壓力測試工具等）對系統(tǒng)進(jìn) 行測試，包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計的漏洞掃描、滲透測試等。測評方法工具測試簡要描述利用技術(shù)工具，從網(wǎng)絡(luò)的不同接入點對網(wǎng)絡(luò)內(nèi)的主機(jī)

27、、服務(wù)器、數(shù) 據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行脆弱性檢查和分析達(dá)成目標(biāo)發(fā)掘系統(tǒng)的安全漏洞工作條件1-2人工作環(huán)境，電源和網(wǎng)絡(luò)接入環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配 合工作結(jié)果工具測試結(jié)果記錄2.3.2.配置檢查利用上機(jī)驗證的方式檢查主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、 應(yīng)用系統(tǒng)的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對文檔審 核的內(nèi)容進(jìn)行核實（包括日志審計等），測評其實施的正確性和有效性，檢查 配置的完整性，測試網(wǎng)絡(luò)連接規(guī)則的一致性，從而測試系統(tǒng)是否達(dá)到可用性和 可靠性的要求。測評方法配置檢查簡要描述通過登陸系統(tǒng)控制臺的方式，人工核查和分析主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)

28、用系統(tǒng)的安全配置情況達(dá)成目標(biāo)發(fā)現(xiàn)配置的安全隱患工作條件1-2人工作環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工作結(jié)果配置檢查結(jié)果記錄2.3.3.人員訪談與被測系統(tǒng)有關(guān)人員（個人/群體）進(jìn)行交流、討論等活動，獲取相關(guān)證 據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級信息系統(tǒng)在測評時有不同的要 求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。測評方法人員訪談簡要描述通過交流、討論的方式，對技術(shù)和管理方面進(jìn)行脆弱性檢查和分析達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員配合工作結(jié)果人員訪談結(jié)果記錄2.3.4.文檔審查檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄等文檔（包括安全方針

29、文 件、安全管理制度、安全管理的執(zhí)行過程文檔、系統(tǒng)設(shè)計方案、網(wǎng)絡(luò)設(shè)備的技 術(shù)資料、系統(tǒng)和產(chǎn)品的實際配置說明、系統(tǒng)的各種運行記錄文檔、機(jī)房建設(shè)相 關(guān)資料、機(jī)房出入記錄等過程記錄文檔）的完整性，以及這些文件之間的內(nèi)部致性。測評方法文檔審查簡要描述通過文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行情況 記錄的完整性和內(nèi)部一致性達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員、各類文檔資料配合工作結(jié)果文檔審查結(jié)果記錄2.3.5.實地查看通過實地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意 識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是否達(dá)到 了相

30、應(yīng)等級的安全要求。項目名稱實地查看簡要描述通過現(xiàn)場查看人員行為、技術(shù)設(shè)施和物理環(huán)境狀況，檢查人員的安 全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況。達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員配合工作結(jié)果實地查看結(jié)果記錄2.4.測評工具我們在等級保護(hù)測評過程中使用的測評工具嚴(yán)格遵循可控性原則，即所有 使用的測評工具將事先提交給甲方檢查確認(rèn)，確保在雙方認(rèn)可的范圍之內(nèi)，而 且測評過程中采用的技術(shù)手段確保已經(jīng)過可靠的實際應(yīng)用。在本項目中，將采用以下測評工具:工具類別工具名稱工具介紹漏洞掃描工具綠盟極光遠(yuǎn)程安全評估系統(tǒng)綠盟公司出品的商業(yè)漏洞掃描系統(tǒng)Wetfi

31、用掃描，具IBM APPScan舊M公司出品的商業(yè) Web應(yīng)用安全掃描系統(tǒng)WVS(Web VulnerabilityScanner)一個自動化的 WetS用程序安全測試工 具，它口以掃描任何口通過WebM覽器 訪問的和遵循HTTP/HIIP覦則的We位占工具類別工具名稱工具介紹點和WetS用程序2.5.輸出文檔本項目輸出的主要輸出文檔為等級保護(hù)測評實施方案（資產(chǎn)收集、測評表）等級保護(hù)測評差距分析報告等級保護(hù)測評安全整改方案等級保護(hù)測評安全整改報告3.時間安排序號任務(wù)名 稱工作內(nèi)容開始時間完成時間階段完成標(biāo)志主要負(fù) 責(zé)人配合人員1項目準(zhǔn)備階段編制實施方 案2015/7/8實施方案2編制資產(chǎn)收 集

32、2015/7/92015/7/15資產(chǎn)收集表3編制測評表測評表4前期調(diào)研資產(chǎn)收集2015/7/162015/7/17完成資產(chǎn)收集表5差距測評技術(shù)和管理 單項測評2015/7/202015/8/21完成信息 系統(tǒng)測評表6差距測 評報告 編制單元測評、 整體測評、 風(fēng)險分析、報告編制2015/8/242015/8/28差距測評報 告7安全整改建議對部分風(fēng)行較高的不符合項給 出整改報告2015/8/312015/9/4整改方案8安全加 固與檢對整改部分 內(nèi)容進(jìn)行復(fù)2015/9/72015/9/25整改報告查檢9等級保 護(hù)驗收 測評協(xié)助中心通過第三方測評2015/9/282015/11/31獲得測評證

33、書4.人員安排4.1. 組織結(jié)構(gòu)4.2. 項目工作分工為確保測評工作的順利進(jìn)行,XXXXXXXXXXXXXXXXX以XXXXXXXXXXXXXXXX槐安全有限公司協(xié)商組建項目組，并對項目組織機(jī)構(gòu) 進(jìn)行如下規(guī)劃：XXXXXXXXXXXXXXXXXXX名稱職 責(zé)項目負(fù)責(zé)項目總體廷人，廷協(xié)調(diào) XXXXXXXXXXXXXXXXXXX®目資源，人解決項目中需要XXXXXXXXXXXXXXXXXXX勺問題，監(jiān)督項目整體質(zhì)量、推進(jìn)項目整體進(jìn)度XXXXXXXXXXXXXXXXXXXe 全有限公司:名稱職 責(zé)項目負(fù)責(zé)人項目總體負(fù)責(zé)人，負(fù)責(zé)組織等級保護(hù)測評和評估實施隊伍，做好 整體日常資源管理、分配與協(xié)

34、調(diào)工作，并直接控制整體項目管理的各個要素，具體包括：項目方案設(shè)計項目計劃與組織項目協(xié)調(diào)與溝通（含召集項目周例會） 項目進(jìn)度管理（含編寫項目周報） 項目質(zhì)量控制項目技術(shù)人員項目技術(shù)人員，包括項目分組組長和實施人員，在項目經(jīng)理的帶 領(lǐng)、分工和控制下，負(fù)責(zé)按照項目技術(shù)方案和項目計劃實施測評 和評估工作，需要提交：每天工作日報單項測評結(jié)果記錄單項安全整改建議4.3.人員配置表名稱職 責(zé)人員項目負(fù)責(zé)人項目總體負(fù)責(zé)人，負(fù)責(zé)組織等級保護(hù)測評和評 估實施隊伍，做好整體日常資源管理、分配與 協(xié)調(diào)工作，并直接控制整體項目管理的各個要素，具體包括：項目方案設(shè)計項目計劃與組織項目協(xié)調(diào)與溝通（含召集項目周例會） 項目進(jìn)

35、度管理（含編寫項目周報） 項目質(zhì)量控制項目技術(shù)人員負(fù)責(zé)按照項目技術(shù)方案和項目計劃實施測評 工作，需要提交：每天工作日報單項測評結(jié)果記錄單項安全整改建議4.4.工作配合為保證本項目的順利實施，對現(xiàn)場測評階段的各項工作點提出雙方工作配八.口.在舁 廳P工作點甲方配合乙方配合1現(xiàn)場工具 測評1、人員要求系統(tǒng)管理員* 前期提供系統(tǒng)軟硬件配置，相關(guān) 系統(tǒng)檢收文檔。* 現(xiàn)場登錄設(shè)備運行檢查腳本工具* 登錄設(shè)備查看安全配置2、環(huán)境要求*提供可以訪問網(wǎng)絡(luò)設(shè)備及測評系 統(tǒng)的2個IP地址*關(guān)閉測評IP與系統(tǒng)之間的防火 墻。1、準(zhǔn)備測評工具及接入方案2、測評技術(shù)人員2現(xiàn)場配置 檢查1、人員要求網(wǎng)絡(luò)管理員* 前期提供

36、網(wǎng)絡(luò)拓樸圖。* 登錄網(wǎng)絡(luò)設(shè)備，配合測評人員檢 查設(shè)備配置。系統(tǒng)管理員*登錄網(wǎng)絡(luò)設(shè)備，配合測評人員檢 查設(shè)備配置。2、環(huán)境要求可登錄系統(tǒng)及網(wǎng)絡(luò)設(shè)備1、準(zhǔn)備配合檢查 力殺2、測評技術(shù)人員3人員訪談1、訪談對象要求 信息部管理人員* 配合調(diào)查表的訪談系統(tǒng)開發(fā)&管理人員* 配合測評回答應(yīng)用系統(tǒng)操作相關(guān) 問題網(wǎng)絡(luò)管理人員* 配合測評回答網(wǎng)絡(luò)架構(gòu)，及設(shè)備 配置操作的相關(guān)問題2、環(huán)境要求 提供會議室1、準(zhǔn)備訪談安排 及訪談大綱2、測評技術(shù)人員4文檔審查1、人員要求信息部管理人員* 提供等保相關(guān)的管理制度系統(tǒng)開發(fā)&管理人員* 提供相應(yīng)系統(tǒng)建設(shè)方案及驗收文檔網(wǎng)絡(luò)管理人員*提供網(wǎng)絡(luò)系統(tǒng)建設(shè)方案及驗

37、收文 檔*IP規(guī)劃文檔等2、環(huán)境要求提供辦公場所1、準(zhǔn)備測評表2、二位測評技術(shù) 人員5實地查看1、人員要求 機(jī)房管理員* 配合測評人員檢查機(jī)房物理環(huán) 境。2、環(huán)境要求* 可訪問機(jī)房、辦公等物理區(qū)域1、準(zhǔn)備測評表2、測評技術(shù)人員5.其他相關(guān)事項5.1. 風(fēng)險規(guī)避在測評過程中，可能會對被測系統(tǒng)造成影響，相應(yīng)地會造成各種損失。這 些影響包括信息泄漏、業(yè)務(wù)停頓或處理能力受損等。因此，必須充分考慮各種 可能的影響及其危害并準(zhǔn)備好相應(yīng)的應(yīng)對措施，盡可能減小對目標(biāo)系統(tǒng)正常運 行的干擾，從而減小損失。下表給出了測評過程中可能存在的風(fēng)險與控制措施。內(nèi)容可能存在的風(fēng)險等級控制措施信息資產(chǎn)調(diào)研資產(chǎn)信息泄漏高協(xié)議、規(guī)

38、章、制度、法律、法規(guī)安全管理測評安全管理信息泄漏高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)網(wǎng)絡(luò)設(shè)備測評/安全設(shè)備測評誤操作引起設(shè)備崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計流程；嚴(yán)格選擇測評師；甲方進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計劃網(wǎng)絡(luò)/安全設(shè)備資源占用低避開業(yè)務(wù)高峰；控制掃摧i策略（線程數(shù)量、強度）漏洞掃描網(wǎng)絡(luò)流量低避開業(yè)務(wù)高峰；控制掃摧i策略（線程數(shù)量、強度）主機(jī)資源占用低避開業(yè)務(wù)高峰；控制掃摧i策略（線程數(shù)量、強度）控制臺審計誤操作引起系統(tǒng)崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計流程；嚴(yán)格選擇測評師；甲方進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計劃；網(wǎng)絡(luò)流量和主機(jī)資源 占用低避開業(yè)務(wù)高峰應(yīng)用測評產(chǎn)生非法數(shù)據(jù)，致使 系統(tǒng)/、能正常工作中做好系統(tǒng)備份和恢復(fù)措施異常輸入（畸形數(shù) 據(jù)、極限測試）導(dǎo)致系統(tǒng)崩潰高做好系統(tǒng)備份和恢復(fù)措施5.2.項目信息管理為了保障 XXXXXXXXXXXXXXX機(jī)海統(tǒng)的安全，XXXXXXXXXXXXXXX澈XX 息安全有限公司將嚴(yán)格遵守xxxxxxxxxxxxxxxXXW密方面的規(guī)定，自覺保 守 XXXXXXXXXXXXXXXXXX® 密。XXXXXXXXXXXXXXXXXW 項目實施所提 供給投標(biāo)人的工作流程、管理模式、規(guī)程、程序等相關(guān)資料文檔以及實施過程 中所產(chǎn)生的資料、文檔、數(shù)據(jù)均屬于