網(wǎng)絡(luò)安全與等保等保測評服務(wù)方案_第1頁
網(wǎng)絡(luò)安全與等保等保測評服務(wù)方案_第2頁
網(wǎng)絡(luò)安全與等保等保測評服務(wù)方案_第3頁
網(wǎng)絡(luò)安全與等保等保測評服務(wù)方案_第4頁
網(wǎng)絡(luò)安全與等保等保測評服務(wù)方案_第5頁
已閱讀5頁,還剩36頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

等保測評等保測評技術(shù)方案 等級保護測評定級與備案調(diào)研信息系統(tǒng)名稱數(shù)據(jù)使用者或管理者及其訪問權(quán)限業(yè)務(wù)解決信息類別數(shù)據(jù)安全性規(guī)定保密性S數(shù)據(jù)泄露將造成的影響完整性S數(shù)據(jù)篡改或丟失將造成的影響可用性A系統(tǒng)中斷將造成的影響XX系統(tǒng)系統(tǒng)開發(fā)人員、系統(tǒng)運維人員、系統(tǒng)使用人員管理數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、鑒別信息等高中低數(shù)據(jù)泄露與否會引發(fā)法律糾紛和造成財產(chǎn)損失高中低數(shù)據(jù)篡改或丟失與否會引發(fā)法律糾紛和造成財產(chǎn)損失高中低描述系統(tǒng)中斷對工作職能和業(yè)務(wù)能力的影響通過調(diào)研初步擬定各信息系統(tǒng)的名稱和級別。定級報告和備案表信息安全等級保護工作的第一種環(huán)節(jié)是系統(tǒng)定級。對信息系統(tǒng)進行定級是等級保護工作的基礎(chǔ),信息系統(tǒng)的安全保護等級應(yīng)當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其它組織的正當權(quán)益的危害程度等因素擬定。定級工作流程是擬定定級對象、擬定信息系統(tǒng)安全等級保護等級、組織專家評審、主管部門審批、公安機關(guān)審核。信息系統(tǒng)定級后來,應(yīng)到所在地區(qū)地市級上公安機關(guān)辦理備案手續(xù),備案工作的流程是信息系統(tǒng)備案、受理、審核和備案信息管理等。1)協(xié)助定級對系統(tǒng)狀況進行分析,通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范疇,理解系統(tǒng)的可用性、完整性、保密性需求,清晰擬定保護對象,擬定受侵害的客體、擬定客體受侵害的程度,最后擬定系統(tǒng)的系統(tǒng)服務(wù)保護等級和業(yè)務(wù)信息保護等級,協(xié)助顧客編制訂級報告。2)協(xié)助備案協(xié)助顧客填寫《信息系統(tǒng)安全等級保護備案表》,協(xié)助顧客到各地公安機關(guān)進行系統(tǒng)備案,獲得系統(tǒng)備案證。等保測評概述項目介紹根據(jù)公安部出臺的有關(guān)等級保護的政策,對信息系統(tǒng)的等級保護已經(jīng)是國家的一項基本國策和信息安全的基本保障,同時等級保護工作的開展也是各行各業(yè)信息化建設(shè)的內(nèi)在需求。隨著信息化的不停發(fā)展,信息系統(tǒng)的應(yīng)用為信息化的開展提供了重要的支撐平臺,核心流程、重要數(shù)據(jù)的解決都依賴于信息系統(tǒng),因而信息化建設(shè)、信息安全建設(shè)工作受到XXXX集團有限公司各級領(lǐng)導(dǎo)的高度重視。等級保護政策作為國家在信息系統(tǒng)信息安全上的一項重要決策,信息化建設(shè)工作和信息安全工作貫穿XXXX集團有限公司的核心業(yè)務(wù)中。等級保護工作受到了XXXX集團有限公司各級領(lǐng)導(dǎo)的高度重視,安全建設(shè)也逐步成為公司信息化建設(shè)的內(nèi)在需求。整個測評項目的實施重要分為現(xiàn)場測評和復(fù)測評,其中現(xiàn)場測評分為四個階段:一、測評準備活動階段,二、方案編制活動階段,三、現(xiàn)場測評活動階段,四、分析和報告編制活動階段;復(fù)測評分為三個階段:一、安全整治活動階段,二復(fù)測評活動階段,三,分析和報告編制活動階段。其測評目的在于對XXXX集團有限公司信息系統(tǒng)現(xiàn)在安全防護能力做出客觀評價。通過對物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理、滲入測試等方面的安全檢查,以國家信息安全等級保護基本規(guī)定作為安全基線,進行客觀符合性鑒定,進一步衡量現(xiàn)在系統(tǒng)的安全防護能力,以及系統(tǒng)所面臨的威脅和風(fēng)險所在,為將來的安全整治和安全建設(shè)提供有力根據(jù)。測評根據(jù)本項目的測評按照下列原則或規(guī)范進行:有關(guān)開展全國重要信息系統(tǒng)安全等級保護定級工作的告知(公信安[]861號);有關(guān)印發(fā)《信息安全等級保護管理方法》的告知(公通字[]43號);有關(guān)開展全省重要信息系統(tǒng)安全等級保護定級工作的告知(湘公通[]94號);有關(guān)進一步推動全省信息安全等級保護工作的函(湘公函[]21號);有關(guān)對全省重要信息系統(tǒng)開展信息安全等級保護專項檢查工作的函(湘公函[]74號);《信息系統(tǒng)安全等級保護定級指南》(GB/T22240—);《信息系統(tǒng)安全等級保護測評過程指南》(國標報批稿);《信息系統(tǒng)等級保護安全設(shè)計技術(shù)規(guī)定》(GB/T25070-)。重要測評根據(jù):《信息安全技術(shù)信息系統(tǒng)安全等級保護基本規(guī)定》(GB/T22239-);《信息安全技術(shù)信息系統(tǒng)安全等級保護測評規(guī)定》(GB/T28448-)。測評過程被測系統(tǒng)描述定級狀況本次安全等級測評所涉及的信息系統(tǒng)定級狀況列表以下:序號系統(tǒng)名稱業(yè)務(wù)描述安全保護等級1XX系統(tǒng)普通性描述如為某某部門或某人群提供某種信息服務(wù)。SXAXGX2XX系統(tǒng)普通性描述如為某某部門或某人群提供某種信息服務(wù)。SXAXGX3XX系統(tǒng)普通性描述如為某某部門或某人群提供某種信息服務(wù)。SXAXGX網(wǎng)絡(luò)構(gòu)造下列網(wǎng)絡(luò)架構(gòu)承載著信息管理系統(tǒng)的運行,是信息化業(yè)務(wù)、應(yīng)用系統(tǒng)運轉(zhuǎn)的基礎(chǔ)平臺。其網(wǎng)絡(luò)拓撲圖如圖2-1所示: 圖2-SEQ圖表\*ARABIC1信息管理系統(tǒng)網(wǎng)絡(luò)拓撲圖(示例)系統(tǒng)構(gòu)成4.2.2.3.1業(yè)務(wù)應(yīng)用軟件序號軟件名稱重要功效重要程度1XX系統(tǒng)系統(tǒng)本身能夠為服務(wù)者提供的業(yè)務(wù)功效和安全功效等。重要2XX系統(tǒng)系統(tǒng)本身能夠為服務(wù)者提供的業(yè)務(wù)功效和安全功效等。重要3XX系統(tǒng)系統(tǒng)本身能夠為服務(wù)者提供的業(yè)務(wù)功效和安全功效等。重要4.2.2.3.2核心數(shù)據(jù)類別序號數(shù)據(jù)類別所屬業(yè)務(wù)應(yīng)用主機/存儲設(shè)備重要程度1管理數(shù)據(jù)被測評對象應(yīng)用應(yīng)用服務(wù)器/數(shù)據(jù)庫服務(wù)器重要2業(yè)務(wù)數(shù)據(jù)被測評對象應(yīng)用應(yīng)用服務(wù)器/數(shù)據(jù)庫服務(wù)器重要3鑒別信息被測評對象應(yīng)用應(yīng)用服務(wù)器/數(shù)據(jù)庫服務(wù)器重要4.2.2.3.3主機/存儲設(shè)備序號設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件1應(yīng)用服務(wù)器/數(shù)據(jù)庫服務(wù)器舉例:Windows/oracleXX系統(tǒng)2應(yīng)用服務(wù)器/數(shù)據(jù)庫服務(wù)器舉例:Windows/oracleXX系統(tǒng)3應(yīng)用服務(wù)器/數(shù)據(jù)庫服務(wù)器舉例:Windows/oracleXX系統(tǒng)4.2.2.3.4網(wǎng)絡(luò)、安全設(shè)備序號設(shè)備名稱設(shè)備類型重要程度1核心交換機核心交換機非常重要2匯聚交換機匯聚交換機重要3接入交換機接入交換機普通4防火墻防火墻重要5入侵防御設(shè)備入侵防御設(shè)備重要6Web應(yīng)用防火墻Web應(yīng)用防火墻重要4.2.2.3.4安全有關(guān)人員序號姓名崗位/角色聯(lián)系方式1網(wǎng)絡(luò)管理員網(wǎng)絡(luò)管理員2安全建設(shè)管理員安全建設(shè)管理員3安全運維管理員安全運維管理員4安全制度管理員安全制度管理員5人員安全管理員人員安全管理員6機構(gòu)安全管理員機構(gòu)安全管理員7物理機房管理員物理機房管理員8應(yīng)用軟件管理員應(yīng)用軟件管理員4.2.2.3.5安全管理文檔序號文檔名稱重要內(nèi)容1制度類文檔涉及網(wǎng)絡(luò)安全管理、設(shè)備安全管理、系統(tǒng)安全管理、備份與恢復(fù)、安全事件處置和應(yīng)急預(yù)案等管理制度。2統(tǒng)計類文檔涉及機房出入登記統(tǒng)計(涉及第三方人員)、機房基礎(chǔ)設(shè)施維護統(tǒng)計、各類會議紀要或統(tǒng)計、各類評審和修訂統(tǒng)計、人員考核、審查、培訓(xùn)統(tǒng)計、離崗手續(xù)等統(tǒng)計。3證據(jù)類文檔涉及資產(chǎn)清單、機構(gòu)安全管理人員崗位名單、外聯(lián)單位聯(lián)系列表、人員保密合同、核心崗位安全合同、信息系統(tǒng)定級報告或定級建議書、系統(tǒng)備案材料等。測評對象與指標測評指標GB/T22239-中對不同等級信息系統(tǒng)的安全功效和方法提出了具體規(guī)定,等級測評應(yīng)根據(jù)信息系統(tǒng)的安全保護等級從中選用對應(yīng)等級的安全測評指標,并根據(jù)《信息系統(tǒng)安全等級保護基本規(guī)定》和《信息安全技術(shù)信息系統(tǒng)安全等級測評過程指南》對信息系統(tǒng)實施安全測評。本次測評的信息管理系統(tǒng)在實施時由建設(shè)方指定,涉及二級和三級系統(tǒng)的等級測評,安全測評指標應(yīng)涉及《信息安全技術(shù)信息系統(tǒng)安全等級保護基本規(guī)定》中的二級和三級規(guī)定,分為通用指標類(GX),業(yè)務(wù)信息安全性指標類(SX)和系統(tǒng)服務(wù)確保類(AX)。1)二級測評所涉及的安全控制指標類型狀況具體以下表:測評指標技術(shù)/管理安全分類安全子類數(shù)量S(2級)A(2級)G(2級)小計安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1056主機系統(tǒng)安全2136數(shù)據(jù)安全及備份恢復(fù)2103應(yīng)用安全4217安全管理安全管理制度0033安全管理機構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理0099系統(tǒng)運維管理001212累計662)三級測評所涉及的安全控制指標類型狀況具體以下表:測評指標技術(shù)/管理安全分類安全子類數(shù)量S(3級)A(3級)G(3級)小計安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1067主機系統(tǒng)安全3137數(shù)據(jù)安全及備份恢復(fù)5229應(yīng)用安全2103安全管理安全管理制度0033安全管理機構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理001111系統(tǒng)運維管理001313累計73測評對象4.2.3.2.1機房序號機房名稱物理位置1機房XXXX集團有限公司辦公樓4.2.3.2.2業(yè)務(wù)軟件序號軟件名稱重要功效1XX系統(tǒng)系統(tǒng)本身能夠為服務(wù)者提供的業(yè)務(wù)功效和安全功效等。2XX系統(tǒng)系統(tǒng)本身能夠為服務(wù)者提供的業(yè)務(wù)功效和安全功效等。3XX系統(tǒng)系統(tǒng)本身能夠為服務(wù)者提供的業(yè)務(wù)功效和安全功效等。4.2.3.2.3主機序號設(shè)備名稱業(yè)務(wù)應(yīng)用軟件1應(yīng)用服務(wù)器XX系統(tǒng)2應(yīng)用服務(wù)器XX系統(tǒng)3應(yīng)用服務(wù)器XX系統(tǒng)4.2.3.2.4數(shù)據(jù)庫序號設(shè)備名稱業(yè)務(wù)應(yīng)用軟件1數(shù)據(jù)庫服務(wù)器XX系統(tǒng)2數(shù)據(jù)庫服務(wù)器XX系統(tǒng)3數(shù)據(jù)庫服務(wù)器XX系統(tǒng)4.2.3.2.5網(wǎng)絡(luò)、安全設(shè)備序號設(shè)備名稱操作系統(tǒng)名稱1核心交換機核心交換機2匯聚交換機匯聚交換機3接入交換機接入交換機4防火墻防火墻5入侵防御設(shè)備入侵防御設(shè)備6Web應(yīng)用防火墻Web應(yīng)用防火墻4.2.3.2.6安全管理文檔序號文檔名稱重要內(nèi)容1制度類文檔涉及網(wǎng)絡(luò)安全管理、設(shè)備安全管理、系統(tǒng)安全管理、備份與恢復(fù)、安全事件處置和應(yīng)急預(yù)案等管理制度。2統(tǒng)計類文檔涉及機房出入登記統(tǒng)計(涉及第三方人員)、機房基礎(chǔ)設(shè)施維護統(tǒng)計、各類會議紀要或統(tǒng)計、各類評審和修訂統(tǒng)計、人員考核、審查、培訓(xùn)統(tǒng)計、離崗手續(xù)等統(tǒng)計。3證據(jù)類文檔涉及資產(chǎn)清單、機構(gòu)安全管理人員崗位名單、外聯(lián)單位聯(lián)系列表、人員保密合同、核心崗位安全合同、信息系統(tǒng)定級報告或定級建議書、系統(tǒng)備案材料等。測評辦法與工具4.2.3.3.1測評辦法測評辦法涉及:訪談、檢查、測試等。訪談是指測評人員通過引導(dǎo)信息系統(tǒng)有關(guān)人員進行有目的的(有針對性的)交流以協(xié)助測評人員理解、澄清或獲得證據(jù)的過程。檢查是指測評人員通過對測評對象(如制度文檔、各類設(shè)備、安全配備等)進行觀察、查驗、分析以協(xié)助測評人員理解、澄清或獲得證據(jù)的過程。4.2.3.3.2重要測評工具本次安全測評采用的測試工具重要涉及:序號工具名稱工具描述1銥迅漏洞掃描系統(tǒng)設(shè)備型號:NVS--L;系統(tǒng)版本:3.0.03.5792;漏洞規(guī)則庫版本:1.0.0.2842,涉及操作系統(tǒng),網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫等多個設(shè)備的掃描規(guī)則庫,漏洞庫遵照CVE,CAN和MS等國際原則。2滲入測試工具涉及SQLmap,Burpsuite,RouterScan,ApacheTomcatScan等。測評內(nèi)容與實施把測評指標和測評方式結(jié)合到信息系統(tǒng)的具體測評對象上,就構(gòu)成了能夠具體測評的安全子類。具體分為物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等幾個方面。物理安全物理安全測評將通過訪談和檢查的方式評測信息系統(tǒng)的物理安全保障狀況。重要涉及對象為機房。在內(nèi)容上,物理安全層面測評實施過程涉及10個安全子類,具體以下表:4.2.4.1.1測評內(nèi)容序號安全子類測評指標描述1物理位置的選擇通過訪談物理安全負責(zé)人,檢查機房,測評機房物理場合在位置上與否含有防震、防風(fēng)和防雨等多方面的安全防備能力。2物理訪問控制通過訪談物理安全負責(zé)人,檢查機房出入口等過程,測評信息系統(tǒng)在物理訪問控制方面的安全防備能力。3防盜竊和防破壞通過訪談物理安全負責(zé)人,檢查機房內(nèi)的重要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程,測評信息系統(tǒng)與否采用必要的方法防止設(shè)備、介質(zhì)等丟失和被破壞。4防雷擊通過訪談物理安全負責(zé)人,檢查機房設(shè)計/驗收文檔,測評信息系統(tǒng)與否采用對應(yīng)的方法防止雷擊。5防火通過訪談物理安全負責(zé)人,檢查機房防火方面的安全管理制度,檢查機房防火設(shè)備等過程,測評信息系統(tǒng)與否采用必要的方法避免火災(zāi)的發(fā)生。6防水和防潮通過訪談物理安全負責(zé)人,檢查機房及其除潮設(shè)備等過程,測評信息系統(tǒng)與否采用必要方法來避免水災(zāi)和機房潮濕。7防靜電通過訪談物理安全負責(zé)人,檢查機房等過程,測評信息系統(tǒng)與否采用必要方法避免靜電的產(chǎn)生。8溫濕度控制通過訪談物理安全負責(zé)人,檢查機房的溫濕度自動調(diào)節(jié)系統(tǒng),測評信息系統(tǒng)與否采用必要方法對機房內(nèi)的溫濕度進行控制。9電力供應(yīng)通過訪談物理安全負責(zé)人,檢查機房供電線路、設(shè)備等過程,測評與否含有為信息系統(tǒng)提供一定電力供應(yīng)的能力。10電磁防護通過訪談物理安全負責(zé)人,檢查重要設(shè)備等過程,測評信息系統(tǒng)與否含有一定的電磁防護能力。4.2.4.1.2測評實施訪談物理安全負責(zé)人、機房維護人員和機房值守人員,詢問機房與否有防盜報警系統(tǒng)、避雷裝置、自動消防系統(tǒng)和溫濕度自動調(diào)節(jié)設(shè)施等有關(guān)機房安全方法,檢查機房位置、有關(guān)制度、統(tǒng)計文檔、系統(tǒng)(或設(shè)備)的運行狀況等。4.2.4.1.3配合需求配合項目需求闡明物理位置的選擇對應(yīng)的房屋建筑資料。物理訪問控制機房出入登記統(tǒng)計、審批統(tǒng)計、電子門禁統(tǒng)計等。防盜竊和防破壞防盜報警運行維護狀況及有關(guān)統(tǒng)計。防雷擊建筑物防雷技術(shù)檢測報告。防火防火系統(tǒng)的檢查和維護統(tǒng)計、機房驗收文檔。防水和防潮建筑施工圖、建筑驗收文檔。防靜電展示防靜電接地方法。溫濕度控制機房溫濕度變化的統(tǒng)計和溫濕度調(diào)節(jié)設(shè)備的維護統(tǒng)計。電力供應(yīng)供電線路的穩(wěn)壓器、供電線路的UPS、備用電源設(shè)備和過電壓防護設(shè)備的維護和維修統(tǒng)計。電磁防護1.物理安全負責(zé)人介紹設(shè)備外殼接地的實施狀況;2.物理安全負責(zé)人介紹線路鋪設(shè)中將電源線和通信線路隔離的實施狀況;3.物理安全負責(zé)人介紹重要設(shè)備和磁介質(zhì)實施電磁屏蔽的狀況。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全測評將通過訪談、檢查和測試的方式評測信息系統(tǒng)的網(wǎng)絡(luò)安全保障狀況。重要涉及對象機房的網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及網(wǎng)絡(luò)拓撲構(gòu)造等三大類對象。在內(nèi)容上,網(wǎng)絡(luò)安全層面測評過程涉及6個工作單元。4.2.4.2.1測評內(nèi)容序號安全子類測評指標描述1構(gòu)造安全通過訪談網(wǎng)絡(luò)管理員,檢查網(wǎng)絡(luò)拓撲狀況、核查核心交換機、路由器,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等狀況的合理性和有效性。2訪問控制通過訪談安全員,檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞狀況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界有關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力。3安全審計通過訪談審計員,檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計狀況等,測評分析信息系統(tǒng)審計配備和審計統(tǒng)計保護狀況。4邊界完整性檢查通過訪談安全員,檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進行測試等過程,測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡(luò)的行為。5入侵防備通過訪談安全員,測評分析信息系統(tǒng)對攻擊行為的識別和解決狀況。6網(wǎng)絡(luò)設(shè)備防護通過訪談網(wǎng)絡(luò)管理員,檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配備狀況,涉及身份鑒別、登錄失敗解決、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備本身的安全防備狀況。4.2.4.2.2測評實施網(wǎng)絡(luò)層面測評實施重要分為三部分,第一部分為網(wǎng)絡(luò)全局測評,重要通過訪談網(wǎng)絡(luò)管理員,針對構(gòu)造安全、邊界完整性、入侵防備、惡意代碼防備四個控制點,理解構(gòu)造安全、業(yè)務(wù)高峰期設(shè)備解決能力和鏈路帶寬運行狀況、非法內(nèi)外聯(lián),以及網(wǎng)絡(luò)邊界的入侵防備方法,惡意代碼防備狀況等內(nèi)容。第二部分為網(wǎng)絡(luò)設(shè)備防護測評,重要通過對網(wǎng)絡(luò)管理員進行訪談、由管理員進行操作查看安全配備,針對訪問控制、安全審計、網(wǎng)絡(luò)設(shè)備防護三個控制點,理解網(wǎng)絡(luò)設(shè)備上重要的訪問控制方略、設(shè)備日志統(tǒng)計狀況、口令復(fù)雜度、雙因子身份鑒別、管理員權(quán)限分離等內(nèi)容。第三部分為工具測試,針對網(wǎng)絡(luò)設(shè)備、服務(wù)器的系統(tǒng)漏洞進行掃描,以及對網(wǎng)絡(luò)設(shè)備的訪問控制方略進行驗證等。4.2.4.2.3配合需求配合項目需求闡明構(gòu)造安全網(wǎng)絡(luò)拓撲構(gòu)造圖、不同的子網(wǎng)或網(wǎng)段的設(shè)計或描述、帶寬的配備方略。邊界完整性檢查系統(tǒng)管理員介紹采用的手段以避免非授權(quán)接入和非法外聯(lián)行為。入侵防備網(wǎng)絡(luò)管理員或者安全管理員介紹防網(wǎng)絡(luò)攻擊方法。訪問控制針對重要服務(wù)器的訪問控制方略。安全審計訪談網(wǎng)絡(luò)管理員以及需要網(wǎng)絡(luò)管理員上機操作。網(wǎng)絡(luò)設(shè)備防護網(wǎng)絡(luò)管理員上機操作。主機安全主機系統(tǒng)安全測評將通過訪談、檢查和測試的方式評測信息系統(tǒng)的管理終端和管理支撐服務(wù)器(涉及:審計服務(wù)器、防病毒服務(wù)器、補丁升級服務(wù)器等)安全保障狀況。在內(nèi)容上,主機系統(tǒng)安全層面測評實施過程涉及7個安全子類。4.2.4.3.1測評內(nèi)容序號安全子類測評指標描述1身份鑒別檢查服務(wù)器的身份標記與鑒別和顧客登錄的配備狀況。2訪問控制檢查服務(wù)器的訪問控制設(shè)立狀況,涉及安全方略覆蓋、控制粒度以及權(quán)限設(shè)立狀況等。3安全審計檢查服務(wù)器的安全審計的配備狀況,如覆蓋范疇、統(tǒng)計的項目和內(nèi)容等;檢查安全審計進程和統(tǒng)計的保護狀況。4剩余信息保護檢查服務(wù)器鑒別信息的存儲空間,被釋放或再分派給其它顧客前得到完全去除。5入侵防備檢查服務(wù)器在運行過程中的入侵防備方法,如關(guān)閉不需要的端口和服務(wù)、最小化安裝、布署入侵防備產(chǎn)品等。6惡意代碼防備檢查服務(wù)器的惡意代碼防備狀況。7資源控制檢查服務(wù)器對單個顧客的登錄方式、網(wǎng)絡(luò)地址范疇、會話數(shù)量等的限制狀況。4.2.4.3.2測評實施主機層面測評實施重要通過訪談和查看,理解服務(wù)器的安全防護方法和有關(guān)安全配備,涉及到的控制點有:身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防備、惡意代碼防備和資源控制等。4.2.4.3.3配合需求配合項目需求闡明身份鑒別系統(tǒng)管理員配合主機測評師上機查看本地安全方略等配備。訪問控制系統(tǒng)管理員配合主機測評師上機查看賬戶使用狀況和重要文獻屬性等。安全審計系統(tǒng)管理員配合主機測評師上機查看審核方略配備狀況。剩余信息保護系統(tǒng)管理員配合主機測評師上機查看安全方略配備狀況。入侵防備系統(tǒng)管理員配合主機測評師上機查看系統(tǒng)補丁、軟件安裝和防火墻配備等。惡意代碼防備系統(tǒng)管理員配合主機測評師上機查看與否安裝防病毒軟件等。資源控制主機測評師訪談系統(tǒng)管理員與否有系統(tǒng)資源監(jiān)控平臺。應(yīng)用安全4.2.4.4.1測評內(nèi)容應(yīng)用安全測評將通過訪談、檢查和測試的方式評測信息系統(tǒng)的應(yīng)用安全保障狀況。在內(nèi)容上,應(yīng)用安全層面測評實施過程涉及7個工作單元,具體以下表:序號安全子類測評指標描述1身份鑒別檢查應(yīng)用系統(tǒng)的身份標記與鑒別功效設(shè)立和使用配備狀況;檢查應(yīng)用系統(tǒng)對顧客登錄多個狀況的解決,如登錄失敗解決、登錄連接超時等。2訪問控制檢查應(yīng)用系統(tǒng)的訪問控制功效設(shè)立狀況,如訪問控制的方略、訪問控制粒度、權(quán)限設(shè)立狀況等。3安全審計檢查應(yīng)用系統(tǒng)的安全審計配備狀況,如覆蓋范疇、統(tǒng)計的項目和內(nèi)容等;檢查應(yīng)用系統(tǒng)安全審計進程和統(tǒng)計的保護狀況。4通信完整性檢查應(yīng)用系統(tǒng)客戶端和服務(wù)器端之間的通信完整性保護狀況。5通信保密性檢查應(yīng)用系統(tǒng)客戶端和服務(wù)器端之間的通信保密性保護狀況。6軟件容錯檢查應(yīng)用系統(tǒng)的軟件容錯能力,如輸入輸出格式檢查、自我狀態(tài)監(jiān)控、自我保護、回退等能力。7資源控制檢查應(yīng)用系統(tǒng)的資源控制狀況,如會話限定、顧客登錄限制、最大并發(fā)連接以及服務(wù)優(yōu)先級設(shè)立等。4.2.4.4.2測評實施應(yīng)用層面測評實施重要通過訪談和查看,理解應(yīng)用系統(tǒng)的安全防護方法和有關(guān)安全配備,涉及到的控制點有:身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制。4.2.4.4.3配合需求配合項目需求闡明身份鑒別系統(tǒng)管理員配合應(yīng)用測評師上機查看軟件與否含有鑒別信息復(fù)雜度檢查功效、登錄失敗解決功效等。訪問控制系統(tǒng)管理員配合應(yīng)用測評師上機查看軟件與否含有訪問控制功效。安全審計系統(tǒng)管理員配合應(yīng)用測評師上機查看軟件與否含有安全審計功效。通信完整性系統(tǒng)管理員配合應(yīng)用測評師,查看軟件在數(shù)據(jù)通信過程中,與否含有完整性檢查功效。通信保密性系統(tǒng)管理員配合應(yīng)用測評師,查看軟件在數(shù)據(jù)通信過程中,與否含有加密功效。軟件容錯系統(tǒng)管理員給應(yīng)用測評師提供系統(tǒng)訪問地址。資源控制系統(tǒng)管理員配合應(yīng)用測評師,查看軟件與否含有資源控制功效。數(shù)據(jù)安全及備份恢復(fù)4.2.4.5.1測評內(nèi)容在內(nèi)容上,數(shù)據(jù)安全層面測評實施過程涉及3個工作單元,具體以下表:序號安全子類測評指標描述1數(shù)據(jù)完整性檢查網(wǎng)絡(luò)設(shè)備的管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和保存過程中的完整性保護狀況。2數(shù)據(jù)保密性檢查網(wǎng)絡(luò)設(shè)備的管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和保存過程中的保密性保護狀況。3安全備份和恢復(fù)檢查網(wǎng)絡(luò)設(shè)備中配備文獻的安全備份狀況,以及硬件和線路的冗余等。4.2.4.5.2測評實施數(shù)據(jù)安全及備份恢復(fù)測評將通過訪談和檢查的方式評測信息系統(tǒng)的數(shù)據(jù)安全保障狀況。本次測評重點檢查系統(tǒng)的數(shù)據(jù)在采集、傳輸、解決和存儲過程中的安全。4.2.4.5.3配合需求配合項目需求闡明數(shù)據(jù)完整性給應(yīng)用測評師提供軟件開發(fā)設(shè)計方案。數(shù)據(jù)保密性提供系統(tǒng)訪問辦法,給應(yīng)用測評師出示中間件配備文獻。安全備份和恢復(fù)數(shù)據(jù)備份管理員,需要出示業(yè)務(wù)數(shù)據(jù)備份文獻給應(yīng)用測評師查看。安全管理制度4.2.4.6.1測評內(nèi)容安全管理制度測評將通過訪談和檢查的形式評測安全管理制度的制訂、公布、評審和修訂等狀況。重要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規(guī)程文獻等對象。在內(nèi)容上,安全管理制度測評實施過程涉及3個工作單元,具體以下表:序號安全子類測評指標描述1管理制度通過訪談安全主管,檢查有關(guān)管理制度文檔和重要操作規(guī)程等過程,測評信息系統(tǒng)管理制度在內(nèi)容覆蓋上與否全方面、完善。2制訂與公布通過訪談安全主管,檢查有關(guān)制度制訂規(guī)定文檔等過程,測評信息系統(tǒng)管理制度的制訂和公布過程與否遵照一定的流程。3評審和修訂通過訪談安全主管,檢查管理制度評審統(tǒng)計等過程,測評信息系統(tǒng)管理制度定時評審和修訂狀況。4.2.4.6.2測評實施訪談安全主管,理解機構(gòu)安全管理制度體系的構(gòu)成、安全管理制度制訂和公布的流程、對制訂的安全管理制度進行論證和審定的狀況和對安全管理制度文獻體系和安全管理制度定時進行評審修訂的狀況。收集并查看信息安全管理文檔,查看制度文檔的格式與否統(tǒng)一、與否含有編號、查看內(nèi)容與否覆蓋了信息安全工作的總體目的、方針和方略和信息系統(tǒng)生命周期中的重要管理活動,與否有對重要服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備操作的操作規(guī)程。檢查安全管理制度的收發(fā)登記統(tǒng)計與否符合規(guī)定的收發(fā)程序和公布范疇控制等規(guī)定,與否有安全管理制度制訂的評審統(tǒng)計和定時修訂的統(tǒng)計。4.2.4.6.3配合需求配合項目需求闡明管理制度配合訪談進行安全管理制度體系狀況的理解;提供信息安全總體方針政策的文獻、與信息安全有關(guān)的管理制度和操作規(guī)程;提供安全管理制度認證和評審的統(tǒng)計。制訂與公布配合訪談進行制度制訂與公布狀況的理解;提供安全管理制度收發(fā)文統(tǒng)計。評審和修訂配合訪談進行安全管理制度體系、制度制訂與公布、評審和修訂有關(guān)內(nèi)容的理解;提供安全管理制度定時評審修訂的統(tǒng)計。安全管理機構(gòu)4.2.4.7.1測評內(nèi)容序號安全子類測評指標描述1崗位設(shè)立通過訪談安全主管,檢查部門/崗位職責(zé)文獻,測評信息系統(tǒng)安全主管部門設(shè)立狀況以及各崗位設(shè)立和崗位職責(zé)狀況。2人員配備通過訪談安全主管,檢查人員名單等文檔,測評信息系統(tǒng)各個崗位人員配備狀況。3授權(quán)和審批通過訪談安全主管,檢查有關(guān)文檔,測評信息系統(tǒng)對核心活動的授權(quán)和審批狀況。4溝通和合作通過訪談安全主管,檢查有關(guān)文檔,測評信息系統(tǒng)內(nèi)部部門間、與外部單位間的溝通與合作狀況。5審核和檢查通過訪談安全主管,檢查統(tǒng)計文檔等過程,測評信息系統(tǒng)安全工作的審核和檢查狀況。4.2.4.7.2測評實施訪談安全主管,理解安全管理職能部門的人員崗位設(shè)立狀況:與否設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,與否成立信息安全工作委員會或領(lǐng)導(dǎo)小組。理解各個安全管理崗位的人員和核心崗位人員的配備狀況。理解授權(quán)與審批制度設(shè)立狀況和單位內(nèi)部各部門之間和單位與其它兄弟單位、公安機關(guān)、電信公司、供應(yīng)商、業(yè)界專家、專業(yè)安全公司或安全組織的互相溝通與協(xié)調(diào)的機制,機構(gòu)與否聘任信息安全專家作為機構(gòu)的安全顧問。理解信息系統(tǒng)日常安全檢查狀況和系統(tǒng)定時進行全方面安全檢查的狀況。查看部門、崗位職責(zé)等有關(guān)文獻與否明擬定義了機構(gòu)及各崗位人員的職責(zé)范疇,崗位人員名單中核心崗位與否配備了多人共同管理。查看檢查授權(quán)與審批制度文檔,查看文檔與否明確各審批事項的審批部門、同意人及審批流程等,檢查對應(yīng)審批統(tǒng)計與否按照審批程序執(zhí)行審批過程對重要活動進行逐級審批。檢查與否有信息安全管理委員會或領(lǐng)導(dǎo)小組執(zhí)行日常管理工作的文獻或工作統(tǒng)計、與否有外聯(lián)單位列表、與否有信息安全專家的聘任文獻。4.2.4.7.3配合需求配合項目需求闡明崗位設(shè)立配合訪談進行機構(gòu)崗位設(shè)立狀況的理解;提供組織構(gòu)造圖、崗位職責(zé)文獻。人員配備配合訪談進行機構(gòu)人員配備狀況的理解。授權(quán)和審批配合訪談進行機構(gòu)授權(quán)和審批狀況的理解;提供授權(quán)和審批文檔和統(tǒng)計。溝通和合作配合訪談進行機構(gòu)內(nèi)部和外部溝通合作狀況的理解;提供外聯(lián)單位列表、各類會議紀要或統(tǒng)計(部門內(nèi)、部門間協(xié)調(diào)會、領(lǐng)導(dǎo)小組)。審核和檢查配合訪談進行機構(gòu)審核和檢查狀況的理解;提供內(nèi)部和外部安全檢查統(tǒng)計。人員安全管理4.2.4.8.1測評內(nèi)容序號安全子類測評指標描述1人員錄用通過訪談人事負責(zé)人,檢查人員錄用文檔等過程,測評信息系統(tǒng)錄用人員時與否對人員提出規(guī)定以及與否對其進行多個審查和考核。2人員離崗?fù)ㄟ^訪談人事負責(zé)人,檢查人員離崗安全解決統(tǒng)計等過程,測評信息系統(tǒng)人員離崗時與否按照一定的手續(xù)辦理。3人員考核通過訪談安全主管,檢查有關(guān)考核統(tǒng)計等過程,測評與否對人員進行日常的業(yè)務(wù)考核和工作審查。4安全意識教育和培訓(xùn)通過訪談安全主管,檢查培訓(xùn)計劃和執(zhí)行統(tǒng)計等文檔,測評與否對人員進行安全方面的教育和培訓(xùn)。5外部人員訪問管理通過訪談安全主管,檢查有關(guān)文檔等過程,測評對第三方人員訪問(物理、邏輯)系統(tǒng)與否采用必要控制方法。4.2.4.8.2測評實施訪談安全主管或人事負責(zé)人,理解人員錄用流程、核心崗位工作人員的選拔流程、人員離崗流程、信息安全培訓(xùn)考核狀況和外來人員訪問控制方法,涉及人員錄用時與否對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查,與否簽訂了保密合同,離崗時與否終止離崗人員的全部訪問權(quán)限、收回離崗人員的設(shè)備和物品和離崗審查、承諾保密責(zé)任等狀況,安全教育和培訓(xùn)計劃制訂實施狀況、對各個崗位人員進行安全技能及安全知識考核的狀況和對核心崗位人員進行安全審查、安全技能及安全知識的考核狀況。理解對外部人員的訪問管理方法。檢查與否有錄用人員技術(shù)技能的考核統(tǒng)計、保密合同、核心崗位人員的崗位安全合同書、離崗手續(xù)統(tǒng)計、安全意識教育和培訓(xùn)計劃和統(tǒng)計、考核統(tǒng)計和外部人員訪問的申請審批和登記備案的統(tǒng)計。4.2.4.8.3配合需求配合項目需求闡明人員錄用配合訪談進行人員錄用流程狀況的理解;提供錄用人員技術(shù)技能的考核統(tǒng)計、保密合同、核心崗位人員的崗位安全合同書。人員離崗配合訪談進行人員離崗流程狀況的理解;提供離崗手續(xù)統(tǒng)計。人員考核配合訪談進行人員信息安全考核狀況的理解;提供安全認知和安全技能考核統(tǒng)計。安全意識教育和培訓(xùn)配合訪談進行人員信息安全和技能培訓(xùn)狀況的理解;提供安全意識教育的培訓(xùn)計劃和統(tǒng)計。外部人員訪問管理配合訪談進行外部人員訪問控制狀況的理解;提供外部人員訪問的申請審批和登記備案的統(tǒng)計。系統(tǒng)建設(shè)管理4.2.4.9.1測評內(nèi)容序號安全子類測評指標描述1系統(tǒng)定級通過訪談安全主管,檢查系統(tǒng)定級有關(guān)文檔等過程,測評與否按照一定規(guī)定擬定系統(tǒng)的安全等級。2安全方案設(shè)計通過訪談系統(tǒng)建設(shè)負責(zé)人,檢查系統(tǒng)安全建設(shè)方案等文檔,測評系統(tǒng)整體的安全規(guī)劃設(shè)計與否按照一定流程進行。3產(chǎn)品采購和使用通過訪談安全主管、系統(tǒng)建設(shè)負責(zé)人和安全產(chǎn)品等過程,測評與否按照一定的規(guī)定進行系統(tǒng)的產(chǎn)品采購。4自行軟件開發(fā)通過訪談系統(tǒng)建設(shè)負責(zé)人,檢查有關(guān)軟件開發(fā)文檔等,測評自行開發(fā)的軟件與否采用必要的方法確保開發(fā)過程的安全性。5外包軟件開發(fā)通過訪談系統(tǒng)建設(shè)負責(zé)人,檢查有關(guān)文檔,測評外包開發(fā)的軟件與否采用必要的方法確保開發(fā)過程的安全性和后來的維護工作能夠正常開展。6工程實施通過訪談系統(tǒng)建設(shè)負責(zé)人,檢查有關(guān)文檔,測評系統(tǒng)建設(shè)的實施過程與否采用必要的方法使其在機構(gòu)可控的范疇內(nèi)進行。7測實驗收通過訪談系統(tǒng)建設(shè)負責(zé)人,檢查測實驗收等有關(guān)文檔,測評系統(tǒng)運行前與否對其進行測實驗收工作。8系統(tǒng)交付通過訪談系統(tǒng)運維負責(zé)人,檢查系統(tǒng)交付清單等過程,測評與否采用必要的方法對系統(tǒng)交付過程進行有效控制。9安全服務(wù)商選擇通過訪談系統(tǒng)運維負責(zé)人,測評與否選擇符合國家有關(guān)規(guī)定的安全服務(wù)單位進行有關(guān)的安全服務(wù)工作。4.2.4.9.2測評實施訪談安全主管,理解信息系統(tǒng)的整個定級過程和信息系統(tǒng)的報批過程。理解安全方案的整個設(shè)計過程和安全建設(shè)總體規(guī)劃狀況、產(chǎn)品采購流程、確保系統(tǒng)自主開發(fā)軟件和外包開發(fā)軟件安全的有關(guān)狀況。理解負責(zé)工程實施過程、測實驗收、系統(tǒng)交付的管理人員或管理部門,對工程實施、測實驗收、系統(tǒng)交付過程的進度和質(zhì)量控制的辦法和方法、測實驗收方案的制訂狀況、對系統(tǒng)進行安全測試的機構(gòu)、驗收成果的審定狀況,與否根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點,系統(tǒng)建設(shè)實施方對運維技術(shù)人員進行了哪些培訓(xùn)。理解系統(tǒng)備案的狀況和為其提供服務(wù)的信息系統(tǒng)安全服務(wù)商的有關(guān)狀況。收集并查看產(chǎn)品采購、軟件開發(fā)、工程實施、測實驗收和系統(tǒng)交付過程的管理制度,查看系統(tǒng)定級文檔與否有信息系統(tǒng)劃分的辦法和理由、定級辦法和理由的描述、專家對定級成果的論證意見和有有關(guān)部門或主管部門的同意意見。查看安全方案內(nèi)容與否涉及總體安全方略、安全技術(shù)框架、安全管理方略、具體設(shè)計內(nèi)容等方面。檢查與否有安全建設(shè)的工作計劃書、代碼編寫規(guī)范、開發(fā)文檔、軟件設(shè)計文檔、使用指南、軟件測實驗收文檔、軟件需求分析闡明書、軟件設(shè)計闡明書、軟件操作手冊、工程實施方案、安全測試報告、測實驗收方案、測實驗收報告、系統(tǒng)交付清單、安全服務(wù)商的有關(guān)服務(wù)合同或合同。4.2.4.9.3配合需求配合項目需求闡明系統(tǒng)定級配合訪談進行系統(tǒng)定級狀況的理解;提供系統(tǒng)定級文檔。安全方案設(shè)計配合訪談進行安全方案設(shè)計狀況的理解;提供系統(tǒng)建設(shè)的總體安全方略、安全技術(shù)框架、安全管理方略、總體建設(shè)規(guī)劃和具體設(shè)計方案。產(chǎn)品采購和使用配合訪談進行產(chǎn)品采購狀況的理解;提供產(chǎn)品采購有關(guān)的管理制度。自行軟件開發(fā)配合訪談進行自主軟件開發(fā)狀況的理解;提供軟件開發(fā)過程的管理制度;提供代碼編寫規(guī)范、開發(fā)文檔、軟件需求分析闡明書、軟件設(shè)計闡明書、軟件測實驗收文檔、軟件操作手冊。外包軟件開發(fā)配合訪談進行外包軟件開發(fā)狀況的理解;提供外包軟件開發(fā)過程的管理制度;提供開發(fā)文檔、軟件需求分析闡明書、軟件設(shè)計闡明書、軟件測實驗收文檔、軟件操作手冊、外包開發(fā)商的有關(guān)服務(wù)合同或合同。工程實施配合訪談進行工程實施狀況的理解;提供工程實施方案、工程控制文檔。測實驗收配合訪談進行測實驗收狀況的理解;提供安全測試報告、測實驗收方案、測實驗收報告。系統(tǒng)交付配合訪談進行系統(tǒng)交付狀況的理解;提供系統(tǒng)交付清單、建設(shè)方對運維人員的培訓(xùn)統(tǒng)計。安全服務(wù)商選擇配合訪談進行安全服務(wù)商狀況的理解;提供安全服務(wù)商的有關(guān)服務(wù)合同或合同。系統(tǒng)運維管理4.2.4.10.1測評內(nèi)容序號安全子類測評指標描述1環(huán)境管理通過訪談物理安全負責(zé)人,檢查機房安全管理制度,機房和辦公環(huán)境等過程,測評與否采用必要的方法對機房的出入控制以及辦公環(huán)境的人員行為等方面進行安全管理。2資產(chǎn)管理通過訪談資產(chǎn)管理員,檢查資產(chǎn)清單,檢查系統(tǒng)、網(wǎng)絡(luò)設(shè)備等過程,測評與否采用必要的方法對系統(tǒng)的資產(chǎn)進行分類標記管理。3介質(zhì)管理通過訪談資產(chǎn)管理員,檢查介質(zhì)管理統(tǒng)計和各類介質(zhì)等過程,測評與否采用必要的方法對介質(zhì)寄存環(huán)境、使用、維護和銷毀等方面進行管理。4設(shè)備管理通過訪談資產(chǎn)管理員、系統(tǒng)管理員,檢查設(shè)備使用管理文檔和設(shè)備操作規(guī)程等過程,測評與否采用必要的方法確保設(shè)備在使用、維護和銷毀等過程安全。5網(wǎng)絡(luò)安全管理通過訪談安全主管、系統(tǒng)管理員,檢查系統(tǒng)安全管理制度、系統(tǒng)審計日志和系統(tǒng)漏洞掃描報告等過程,測評與否采用必要的方法對系統(tǒng)的安全配備、系統(tǒng)賬戶、漏洞掃描和審計日志等方面進行有效的管理。6系統(tǒng)安全管理通過訪談安全主管、網(wǎng)絡(luò)管理員,檢查網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)審計日志和網(wǎng)絡(luò)漏洞掃描報告等過程,測評與否采用必要的方法對網(wǎng)絡(luò)的安全配備、網(wǎng)絡(luò)顧客權(quán)限和審計日志等方面進行有效的管理,確保網(wǎng)絡(luò)安全運行。7惡意代碼防備管理通過訪談系統(tǒng)運維負責(zé)人,檢查惡意代碼防備管理文檔和惡意代碼檢測統(tǒng)計等過程,測評與否采用必要的方法對惡意代碼進行有效管理,確保系統(tǒng)含有惡意代碼防備能力。8密碼管理通過訪談安全員,測評與否能夠確保信息系統(tǒng)中密碼算法和密鑰的使用符合國家密碼管理規(guī)定。9變更管理通過訪談系統(tǒng)運維負責(zé)人,檢查變更方案和變更管理制度等過程,測評與否采用必要的方法對系統(tǒng)發(fā)生的變更進行有效管理。10備份與恢復(fù)管理通過訪談系統(tǒng)管理員、網(wǎng)絡(luò)管理員,檢查系統(tǒng)備份管理文檔和統(tǒng)計等過程,測評與否采用必要的方法對重要業(yè)務(wù)信息,系統(tǒng)數(shù)據(jù)和系統(tǒng)軟件進行備份,并確保必要時能夠?qū)@些數(shù)據(jù)有效地恢復(fù)。11安全事件處置通過訪談系統(tǒng)運維負責(zé)人,檢查安全事件統(tǒng)計分析文檔、安全事件報告和處置管理制度等過程,測評與否采用必要的方法對安全事件進行等級劃分和對安全事件的報告、解決過程進行有效的管理。12應(yīng)急預(yù)案管理通過訪談系統(tǒng)運維負責(zé)人,檢查應(yīng)急響應(yīng)預(yù)案文檔等過程,測評與否針對不同安全事件制訂對應(yīng)的應(yīng)急預(yù)案,與否對應(yīng)急預(yù)案展開培訓(xùn)、演習(xí)和審查等。4.2.4.10.2測評實施訪談安全主管或有關(guān)安全負責(zé)人理解機房管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防備管理、密碼管理、變更管理、備份和恢復(fù)管理、安全事件處置和應(yīng)急預(yù)案管理的有關(guān)狀況。收集并查看機房管理制度、資產(chǎn)管理制度、介質(zhì)管理制度、基于申報審批和專人負責(zé)的設(shè)備安全管理制度、配套設(shè)施和軟硬件維護方面的管理制度、網(wǎng)絡(luò)安全管理制度、系統(tǒng)安全管理制度、惡意代碼防備管理制度、密碼管理制度、變更管理制度、備份與恢復(fù)有關(guān)管理制度、安全事件報告和處置管理制度與否對有關(guān)事項進行了明確。查看監(jiān)控系統(tǒng)理解設(shè)備運行、網(wǎng)絡(luò)流量、應(yīng)用程序的監(jiān)控狀況,安全管理中心集中管理狀況。檢查與否有不同事件應(yīng)急預(yù)案,與否有介質(zhì)歸檔、查詢等的登記統(tǒng)計、信息解決設(shè)備帶離機房或辦公地點的審批統(tǒng)計、主機系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備等的操作日志和維護統(tǒng)計、網(wǎng)絡(luò)接入和外聯(lián)授權(quán)審批統(tǒng)計、定時檢查違反規(guī)定行為的統(tǒng)計、機房日常巡檢統(tǒng)計、對主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件等的監(jiān)控統(tǒng)計和日志的分析報告、惡意代碼檢測、升級統(tǒng)計和分析報告、備份過程統(tǒng)計、變更方案評審統(tǒng)計和變更過程統(tǒng)計、安全事件解決過程統(tǒng)計、應(yīng)急預(yù)案培訓(xùn)、演習(xí)、審查統(tǒng)計。4.2.4.10.3配合需求配合項目需求闡明環(huán)境管理配合訪談進行機房管理狀況的理解;提供機房管理制度;提供機房基礎(chǔ)設(shè)備維護統(tǒng)計、服務(wù)器開關(guān)機統(tǒng)計、機房審批和出入登記、機房日常巡檢統(tǒng)計。資產(chǎn)管理配合訪談進行資產(chǎn)管理狀況的理解;提供資產(chǎn)管理制度;提供資產(chǎn)清單。介質(zhì)管理配合訪談進行介質(zhì)管理狀況的理解;提供介質(zhì)管理制度;提供存檔介質(zhì)目錄清單;提供介質(zhì)歸檔查詢等的登記統(tǒng)計;配合檢查介質(zhì)寄存環(huán)境、加密存儲介質(zhì)中數(shù)據(jù)加密狀況。設(shè)備管理配合訪談進行設(shè)備管理狀況的理解;提供基于申報審批和專人負責(zé)的設(shè)備安全管理制度、配套設(shè)施和軟硬件維護方面的管理制度;提供設(shè)備開關(guān)機操作規(guī)程;提供信息解決設(shè)備帶離機房或辦公地點的審批統(tǒng)計、主機系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備的操作日志和維護統(tǒng)計。網(wǎng)絡(luò)安全管理配合訪談進行網(wǎng)絡(luò)管理狀況的理解;提供網(wǎng)絡(luò)安全管理制度;提供網(wǎng)絡(luò)接入和外聯(lián)授權(quán)審批統(tǒng)計、定時檢查違反規(guī)定行為的統(tǒng)計;配合檢查網(wǎng)絡(luò)設(shè)備版本、網(wǎng)絡(luò)設(shè)備備份配備文獻、網(wǎng)絡(luò)準入控制機制。系統(tǒng)安全管理配合訪談進行系統(tǒng)管理狀況的理解;提供系統(tǒng)安全管理制度;提供系統(tǒng)訪問控制方略文檔;提供主機系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備的操作日志;配合檢查操作系統(tǒng)版本和補丁升級狀況。惡意代碼防備管理配合訪談進行惡意代碼防備管理狀況的理解;提供惡意代碼防備管理制度;提供惡意代碼檢測、升級統(tǒng)計和分析報告;配合檢查終端防病毒、網(wǎng)絡(luò)防病毒狀況、惡意代碼庫升級狀況。密碼管理配合訪談進行密碼管理狀況的理解;提供密碼管理制度。變更管理配合訪談進行變更管理狀況的理解;提供變更管理制度;提供變更方案、變更方案評審統(tǒng)計和變更過程統(tǒng)計。備份與恢復(fù)管理配合訪談進行備份和恢復(fù)管理狀況的理解;提供備份與恢復(fù)有關(guān)管理制度;提供備份方略和恢復(fù)方略;提供備份過程統(tǒng)計、備份數(shù)據(jù)可用性檢查統(tǒng)計。安全事件處置配合訪談進行安全事件處置狀況的理解;提供安全事件報告和處置管理制度;提供安全事件解決過程統(tǒng)計。應(yīng)急預(yù)案管理配合訪談進行應(yīng)急預(yù)案管理的狀況的理解;提供不同事件的應(yīng)急預(yù)案;提供應(yīng)急預(yù)案培訓(xùn)、演習(xí)、審查統(tǒng)計。工具測試測試工具本次安全測評采用的測試工具重要涉及:序號工具名稱工具描述1銥迅漏洞掃描系統(tǒng)涉及操作系統(tǒng),網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫等多個設(shè)備的掃描規(guī)則庫,漏洞庫遵照CVE,CAN和MS等國際原則。2滲入測試工具涉及SQLmap,Burpsuite,RouterScan,ApacheTomcatScan等。漏洞掃描4.2.5.2.1測試接入點選用本次測試選擇A、B、C共3個測試接入點,以下圖5-1所示。圖5-1工具接入點示意圖4.2.5.2.2工具接入點闡明為了發(fā)揮測評工具的作用,達成測評的目的,多個測評工具需要接入到被測評的信息系統(tǒng)網(wǎng)絡(luò)中,并需要配備恰當?shù)木W(wǎng)絡(luò)IP地址。因此,本節(jié)重點就測試工具的接入狀況進行闡明。測試接入點–A點測評目的:在接入點A接入滲入測試工具,對信息系統(tǒng)的中間件、服務(wù)器滲入測試。接入闡明:需提前對重要數(shù)據(jù)備份。測試接入點–B、C點測評目的:在接入點B、C接入漏掃工具,對信息系統(tǒng)的服務(wù)器掃描。接入闡明:需提前對重要數(shù)據(jù)備份。整體測評信息系統(tǒng)的安全控制集成到信息系統(tǒng)后,會在層面內(nèi)、層面間和區(qū)域間產(chǎn)生連接、交互、依賴、協(xié)同等互有關(guān)聯(lián)關(guān)系,使信息系統(tǒng)的整體安全功效與信息系統(tǒng)的構(gòu)造親密有關(guān),在整體上呈現(xiàn)出一種集成特性。這些集成特性在安全控制的工作單元中是沒有完全體現(xiàn)。因此,在安全控制測評的基礎(chǔ)上,有必要對集成系統(tǒng)和運行環(huán)境進行整體測評。安全控制間測評安全控制間的安全測評重要考慮同一層面上的不同安全控制間存在的功效增強、補充或削弱等關(guān)聯(lián)作用。例如,主機層面的身份鑒別與訪問控制之間關(guān)系親密,應(yīng)關(guān)注他們之間的關(guān)聯(lián)互補作用。層面間安全測評層面間的安全測評重要考慮同一區(qū)域內(nèi)的不同層面之間存在的功效增強、補充和削弱等關(guān)聯(lián)作用。例如,網(wǎng)絡(luò)層面、主機系統(tǒng)層面與安全管理的系統(tǒng)運維管理之間關(guān)系親密,應(yīng)關(guān)注他們之間的關(guān)聯(lián)互補作用。區(qū)域間安全測評區(qū)域間的安全測評重要考慮互連互通(涉及物理上和邏輯上的互連互通等)的不同區(qū)域之間存在的安全功效增強、補充和削弱等關(guān)聯(lián)作用,特別是有數(shù)據(jù)交換的兩個不同區(qū)域。系統(tǒng)構(gòu)造安全測評系統(tǒng)構(gòu)造安全測評重要考慮信息系統(tǒng)整體構(gòu)造的安全性和整體安全防備的合理性。整體構(gòu)造的安全性測評應(yīng)從信息系統(tǒng)的物理布局、網(wǎng)絡(luò)拓撲、業(yè)務(wù)邏輯(業(yè)務(wù)數(shù)據(jù)流)、系統(tǒng)實現(xiàn)和集成方式等入手,結(jié)合不同位置上可能面臨的威脅、可能暴露的脆弱性等,綜合鑒定信息系統(tǒng)的整體布局與否合理、整體與否安全有效等。在檢查信息系統(tǒng)安全保護方法的具體實現(xiàn)方式和布署狀況后,結(jié)合其業(yè)務(wù)數(shù)據(jù)流分析不同區(qū)域和不同邊界與安全保護方法的關(guān)系、重要業(yè)務(wù)和核心信息與安全保護方法的關(guān)系等,參考縱深防御的規(guī)定,識別信息系統(tǒng)的安全防備與否突出重點、層層進一步,綜合鑒定信息系統(tǒng)的整體安全防備與否恰當合理。安全方略網(wǎng)絡(luò)安全方略網(wǎng)管系統(tǒng)能夠?qū)υO(shè)備(網(wǎng)絡(luò)設(shè)備、服務(wù)器和安全設(shè)備等)性能(CPU、內(nèi)存)和線路流量進行監(jiān)測。數(shù)據(jù)中心和核心區(qū)域布署訪問控制設(shè)備(如防火墻)。數(shù)據(jù)中心和核心區(qū)域前端,在三層交換機上配備ACL規(guī)則。不同系統(tǒng)的服務(wù)器進行邏輯隔離。網(wǎng)絡(luò)拓撲圖中各區(qū)域進行了網(wǎng)段劃分、VLAN隔離。主機安全方略服務(wù)器操作系統(tǒng)中應(yīng)不存在冗余的測試賬戶。服務(wù)器的登錄終端操作超時鎖定時間為20分鐘。有日志服務(wù)器對中間件和操作系統(tǒng)日志進行收集。殺毒云平臺,支持對惡意代碼庫統(tǒng)一升級和查殺統(tǒng)一管理。殺毒云平臺,支持對PC端進行防惡意代碼統(tǒng)一管理。布署補丁升級服務(wù)器,并對windows操作系統(tǒng)服務(wù)器進行補丁修復(fù)。布署補丁升級服務(wù)器,并且能對PC端進行系統(tǒng)補丁管理。應(yīng)用安全方略登錄控制模塊啟用身份鑒別信息復(fù)雜度功效,設(shè)立含大、小寫字母+數(shù)字+特殊字符的8位復(fù)雜密碼。應(yīng)提供登錄失敗解決功效,設(shè)立登錄失敗5次后鎖定賬戶。應(yīng)用系統(tǒng)對單個帳戶的多重并發(fā)會話進行限制,不允許單個賬戶重復(fù)登錄。安全管理方略制訂了內(nèi)部安全管理制度和操作規(guī)程。擬定了網(wǎng)絡(luò)安全負責(zé)人及內(nèi)設(shè)管理機構(gòu)。貫徹了網(wǎng)絡(luò)安全保護責(zé)任。項目組織與實施計劃項目組織構(gòu)造項目組織涉及評定中心在測評準備活動中組建的測評項目組與測評委托單位組建的配合項目組。測評項目組根據(jù)具體任務(wù)分工不同,劃分為項目負責(zé)人、管理核查組、技術(shù)測評組、質(zhì)量管理組、評審組和監(jiān)督檢查組。項目組織構(gòu)造圖以下所示:人員構(gòu)成和職責(zé)4.2.8.2.1人員構(gòu)成針對本次項目,成立等級測評項目組。本次項目組人員由6人構(gòu)成。下列為參加人員構(gòu)成:分類人員姓名職務(wù)資質(zhì)負責(zé)事項工作年限項目實施組測評主管高級測評師負責(zé)項目審批工作質(zhì)量主管中級測評師負責(zé)項目評審工作項目經(jīng)理中級測評師負責(zé)項目管理工作項目組員初級測評師負責(zé)物理、管理測評工作項目組員初級測評師負責(zé)網(wǎng)絡(luò)、主機測評工作項目組員初級測評師負責(zé)應(yīng)用、數(shù)據(jù)測評工作4.2.8.2.2職責(zé)分工在項目組織構(gòu)造中,項目負責(zé)人的任務(wù)是對項目活動實施全方面的管理,對項目目的有一種全局的把握,并組織會議制訂計劃和報告項目的進度,并在不擬定的環(huán)境下對不擬定的問題組織集體討論決策,在必要的時候進行談判及解決沖突。管理核查構(gòu)組員負責(zé)分析和評審測評委托單位提交的各類技術(shù)、管理文檔;基于《基本規(guī)定》和《測評規(guī)定》,針對測評系統(tǒng)的物理環(huán)境、安全管理等方面的規(guī)定,準備安全檢查統(tǒng)計表、制訂安全檢查計劃、實施現(xiàn)場物理安全和安全管理狀態(tài)核查,完畢登記測評報告中的管理部分內(nèi)容,配合技術(shù)測評組的工作。技術(shù)測評組負責(zé)測評系統(tǒng)的網(wǎng)絡(luò)安全測評、主機安全測評、應(yīng)用安全和數(shù)據(jù)安全測評,涉及調(diào)查理解網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用現(xiàn)狀,準備工具、搭建模擬環(huán)境、制訂測試計劃和測試方案,實施安全功效驗證、安全配備檢查測評,完畢等測評報告中的技術(shù)部分,配合管理測評組的工作。技術(shù)測評組又將根據(jù)實際需要細分為網(wǎng)絡(luò)安全測評組、主機安全測評組、應(yīng)用安全測評組和工具測試組。質(zhì)量管理組負責(zé)跟蹤項目進度,監(jiān)督項目計劃執(zhí)行狀況,監(jiān)督檢查各過程文檔與否符合程序規(guī)定,提交項目控制報告和質(zhì)量監(jiān)督報告。評審組負責(zé)對項目實施過程中產(chǎn)生的各類階段性成果進行評審。監(jiān)督檢查組負責(zé)對項目實施各活動進行監(jiān)督,及時發(fā)現(xiàn)實施過程中存在的問題,并在必要時采用糾正方法。委托單位測評配合組負責(zé)對測評項目組的支持工作,涉及提供測評所需資料文獻,配備配合人員,測評實施授權(quán)的支撐等。XXXX集團有限公司等級測評項目組評定中心測評項目組負責(zé)人XXXX集團有限公司測評配合組負責(zé)人項目負責(zé)人配合組負責(zé)人安全主管管理核查組管理測評配合組安全管理員技術(shù)測評組網(wǎng)絡(luò)安全測評組網(wǎng)絡(luò)安全測評配合組網(wǎng)絡(luò)管理員主機安全測評組主機安全測評配合組主機管理員應(yīng)用安全測評組應(yīng)用安全測評配合組系統(tǒng)管理員數(shù)據(jù)安全測評組數(shù)據(jù)安全測評配合組數(shù)據(jù)備份員質(zhì)量管理組評審組監(jiān)督檢查組項目實施計劃本項目在一年內(nèi)實施完畢,分三個階段實施。第一階段:前期準備階段,成立項目領(lǐng)導(dǎo)小組和實施小組,召開項目啟動會議,對XXXX集團有限公司信息系統(tǒng)進行具體的調(diào)研,討論擬定具體的項目實施計劃,建立項目管理制度。第二階段:項目實施階段,對服務(wù)進行實施。服務(wù)項時間/周期實施內(nèi)容等級保護測評1年/次按照《信息安全等級保護管理方法》和XXXX集團有限公司的有關(guān)規(guī)定,對XXXX集團有限公司指定的信息系統(tǒng)進行等級保護測評,并出具公安部門承認的信息安全等級測評報告。第三階段:項目結(jié)項階段。由XXXX集團有限公司組織驗收,將整頓過的實施文檔、驗收資料提交給XXXX集團有限公司。項目分工界面項目實施階段XX工作XXXX集團有限公司工作測評準備階段組建信息系統(tǒng)安全測評工作組。提出XXXX集團有限公司應(yīng)提供信息系統(tǒng)基本資料。編制準備被測系統(tǒng)基本狀況調(diào)查表格,并提交給XXXX集團有限公司。向XXXX集團有限公司有關(guān)人員介紹安全等級測評工作流程和辦法。向XXXX集團有限公司有關(guān)人員闡明安全測評工作可能帶來的風(fēng)險和規(guī)避辦法。理解XXXX集團有限公司信息化建設(shè)狀況與發(fā)展,以及被測系統(tǒng)的基本狀況。編寫信息系統(tǒng)的訪談問卷調(diào)查表,交給XXXX集團有限公司填寫。初步分析XXXX集團有限公司信息系統(tǒng)的信息安全狀況。準備等級測評工具和文檔。向本次安全測評項目組介紹本單位的信息化建設(shè)狀況與發(fā)展狀況。準備并提供等級測評需要的資料。為測評人員的信息收集提供支持和協(xié)調(diào)。填寫信息系統(tǒng)調(diào)查表格。填寫信息系統(tǒng)訪談問卷調(diào)查表格。根據(jù)被測系統(tǒng)的具體狀況,如業(yè)務(wù)運行高峰期、網(wǎng)絡(luò)布置狀況等,為測評時間安排提供適宜的建議。方案編制階段具體分析被測系統(tǒng)的整體構(gòu)造、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點等。初步判斷被測系統(tǒng)的安全單薄點。分析擬定測評對象、測評指標和測試工具接入點,擬定測評內(nèi)容及辦法。編制安全測評方案文本,并內(nèi)部評審。獲得XXXX集團有限公司對方案全部內(nèi)容確實認。對安全測評方案提供審查建議并進行承認。現(xiàn)場測評階段運用訪談?wù){(diào)查、當面訪談、文檔審查、配備檢查、工具檢查和實地檢查的辦法測評被測系統(tǒng)的安全保護方法狀況,獲取有關(guān)證據(jù)并進行成果統(tǒng)計。為測評項目組提供必要的基礎(chǔ)保障,涉及現(xiàn)場辦公環(huán)境,內(nèi)網(wǎng)接入環(huán)境。擬定一名項目聯(lián)系人,負責(zé)等級測評過程中的聯(lián)系、協(xié)調(diào)、安排和貫徹工作,配合等級測評項目組工作的開展。測評前備份有關(guān)系統(tǒng)和數(shù)據(jù),并確認被測系統(tǒng)和設(shè)備狀態(tài)完好。提前安排訪談對象,建議下列人員參加:網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員,第三方服務(wù)及開發(fā)人員2-2人,有關(guān)人員主動配合回答測評人員的詢問。有關(guān)人員負責(zé)提供測評所需的有關(guān)管理和技術(shù)類文檔,最佳是電子版文檔,方便測評人員進行文檔審查。有關(guān)人員對某些需要查看和驗證的內(nèi)容上機進行操作,測評人員負責(zé)統(tǒng)計。有關(guān)人員在測試前協(xié)助測評人員實施工具測試并提供有效建議,減少安全測評對系統(tǒng)運行的影響。有關(guān)人員擬定工具測試的現(xiàn)場接入點及測試時間;對工具測試的全過程進行監(jiān)控;擬定漏洞掃描時間。有關(guān)人員協(xié)助測評人員完畢業(yè)務(wù)有關(guān)內(nèi)容的詢問、驗證和測試。有關(guān)人員對現(xiàn)場測評成果進行確認。有關(guān)人員確認測試過程中即測試完畢后被測系統(tǒng)和設(shè)備狀態(tài)完好。分析與報告編制階段分析并鑒定單項測評成果、單元測評成果和整體測評成果。分析評價被測系統(tǒng)存在的風(fēng)險狀況,進行合理性、符合性分析。根據(jù)測評成果形成等級測評結(jié)論。編制等級測評報告闡明系統(tǒng)存在的安全隱患和缺點,并給出改善建議。評審等級測評報告,并將評審過的等級測評報告按照分發(fā)范疇進行分發(fā)。簽收等級測評報告。項目管理與控制質(zhì)量控制管理質(zhì)量控制管理涉及各工作活動的質(zhì)量管理和控制方法,重要有安全檢查中的保護客戶的機密性;檢查辦法的擬定及檢查方案的評審;現(xiàn)場檢查活動中檢查工作的規(guī)范化、檢查人員的能力確認、保障檢查設(shè)備的有效運行及檢查過程的統(tǒng)計精確、完備;報告編制中檢查成果和報告的規(guī)范化、安全檢查報告的評審等。保護客戶的機密性測評辦法的擬定測評方案的評審測評工作的規(guī)范化測評人員的能力確認保障測評設(shè)備的有效運行測評過程的統(tǒng)計精確、完備測評成果和報告的規(guī)范化測評報告的評審項目風(fēng)險管理安全檢查項目的風(fēng)險管理涉及識別風(fēng)險、實施風(fēng)險分析、以及規(guī)劃應(yīng)對方法。重要涉及進度風(fēng)險管理、協(xié)作與溝通風(fēng)險的管理、檢查工作引入

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論