信息系統(tǒng)等級保護測評工作實施方案

1.4.工程依據(jù)32.1.測評分析42.3.3.人員訪談122.3.4.文檔審查132.3.5.實地查看132.4.測評工具142.5.輸出文檔142.5.3.安全整改建議錯誤!未定義書3.時間安排154.人員安排154.1.組織構(gòu)造及分工154.2.人員配置表164.3.工作配合175.其他相關(guān)事項185.1.風(fēng)險躲避185.2.工程信息管理205.2.1.保密責(zé)任法律保證205.2.2.現(xiàn)場安全保密管理215.2.3.文檔安全保密管理215.2.4.離場安全保密管理215.2.5.其他情況說明211.1.工程背景為了貫徹落實?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強全等級保護基本要求?、?信息系統(tǒng)安全等級保護測評準(zhǔn)那么?的要求，對提供駐點咨詢、實施等服務(wù)。(安全技術(shù)測評包管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全控制測評),加大測評現(xiàn)有六個信息系統(tǒng)的信息安全測評與評估工整個網(wǎng)絡(luò)的安全保障與運維能力，減少信息安全風(fēng)險和降

符合性原那么:應(yīng)符合國家信息安全等級保護制度及相關(guān)法律法規(guī)，指

標(biāo)準(zhǔn)性原那么:方案設(shè)計、實施與信息安全體系的構(gòu)建應(yīng)依據(jù)國內(nèi)、國

標(biāo)準(zhǔn)性原那么:工程實施應(yīng)由專業(yè)的等級測評師依照標(biāo)準(zhǔn)的操作流程進展，在實施之前將詳細(xì)量化出每項測評內(nèi)容，對操作過程和結(jié)果提供標(biāo)準(zhǔn)的記

可控性原那么:工程實施的方法和過程要在雙方認(rèn)可的范圍之內(nèi)，實施

整體性原那么:安全體系設(shè)計的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉

最小影響原那么:工程實施工作應(yīng)盡可能小的影響網(wǎng)絡(luò)和信息系統(tǒng)的正

保密原那么:對工程實施過程獲得的數(shù)據(jù)和結(jié)果嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)和結(jié)果進展任何侵害測評委托單位全等級保護測評要求?,在對信息系統(tǒng)進展安全技術(shù)和安全管理的安全控制測評

?信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南?(GB/T22240-

?信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求?(GB/T22239-

?計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)那么?(GB17859-1999)

?信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求?〔GB/T20271-2006〕

?信息安全技術(shù)網(wǎng)絡(luò)根基安全技術(shù)要求?〔GB/T20270-2006〕

?信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求?(GB/T20272-2006)

?信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求?(GB/T20273-2006)

?信息安全技術(shù)服務(wù)器技術(shù)要求?〔GB/T21028-2007〕

?信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求?〔GA/T671-2006〕2.1.測評分析級別1三級2三級3三級4三級5二級6二級系統(tǒng)的信息管理特點，進展不同層次的況；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的(S2),2級系統(tǒng)服務(wù)安全指標(biāo)類(A2),以及第2級“管理要求”局部中的所測評指標(biāo)(二級)S類(2級)A類(2級)G類(2級)物理安全118網(wǎng)絡(luò)安全1056主機安全2136應(yīng)用安全4217數(shù)據(jù)安全2103安全管理制度0033安全管理機構(gòu)00550055系統(tǒng)建設(shè)管理0099系統(tǒng)運維管理0066〔類〕測評指標(biāo)(三級)S類(3級)A類(3級)G類(3級)安全技術(shù)物理安全l18網(wǎng)絡(luò)安全1067主機安全3137應(yīng)用安全5229數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機構(gòu)00550055系統(tǒng)建設(shè)管理00系統(tǒng)運維管理0073(類)2.2.測評流程2.2.1.測評準(zhǔn)備階段系統(tǒng)的邊界),了解被測系統(tǒng)的詳細(xì)構(gòu)成，包括網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)應(yīng)2.2.2.方案編制階段2.2.3.現(xiàn)場測評階段測評單元，包括：構(gòu)造安全、訪問控制、安全審計、邊界完整性檢剩余信息保護(針對三級系統(tǒng))、抗抵賴〔針對三級系統(tǒng))。務(wù)商選擇、系統(tǒng)備案(針對三級系統(tǒng))、系統(tǒng)測評(針對三級系安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管2.2.4.分析與報告編制階段2.3.測評方法2.3.1.工具測試開掘系統(tǒng)的安全漏洞1-2人工作環(huán)境，電源和網(wǎng)絡(luò)接入環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工具測試結(jié)果記錄核的內(nèi)容進展核實〔包括日志審計等〕,測評其實施的正確性和有效性，檢查通過登陸系統(tǒng)控制臺的方式，人工核查和分析主機、服務(wù)器、數(shù)據(jù)發(fā)現(xiàn)配置的安全隱患1-2人工作環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合與被測系統(tǒng)有關(guān)人員(個人/群體)進展交流、討論等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級信息系開掘技術(shù)和管理方面存在的安全問題1-2人工作環(huán)境，甲方人員配合人員訪談結(jié)果記錄檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄等文檔(包括安全方針文術(shù)資料、系統(tǒng)和產(chǎn)品的實際配置說明、系統(tǒng)的各關(guān)資料、機房出入記錄等過程記錄文檔)的完整性，以及這些文件之間的內(nèi)部通過文檔審核與分析，檢查制度、策略、操開掘技術(shù)和管理方面存在的安全問題1-2人工作環(huán)境，甲方人員、各類文檔資料配合文檔審查結(jié)果記錄通過實地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)1-2人工作環(huán)境，甲方人員配合實地查看結(jié)果記錄2.4.測評工具工具介紹漏洞掃描工具綠盟極光遠(yuǎn)程安全評估系統(tǒng)綠盟公司出品的商業(yè)漏洞掃描系統(tǒng)Web應(yīng)用掃描工具IBM公司出品的商業(yè)Web應(yīng)用安全掃描系統(tǒng)一個自動化的Web應(yīng)用程序安全測試工具，它可以掃描任何可通過Web瀏覽器訪問的和遵循HTTP/HTTPS規(guī)那么的Web站點和Web應(yīng)用程序2.5.輸出文檔序號任務(wù)名稱工作內(nèi)容開場時間完成時間階段完成標(biāo)志主要負(fù)責(zé)人配合人員1案?實施方案?2集資產(chǎn)收集表34前期調(diào)研資產(chǎn)收集資產(chǎn)收集表5差距測評完成信息系統(tǒng)測評表6差距測評報告編制單元測評、整體測評、風(fēng)險分析、報告編制告?7安全整改建議較高的出整改報告?整改方案?8安全加固與檢查內(nèi)容進展復(fù)檢?整改報告?9過第三方測評獲得測評證書4.人員安排■XXXXXXXXXXXXXXXXXXX信息安全：工程負(fù)責(zé)人工程總體負(fù)責(zé)人，負(fù)責(zé)組織等級保護測評和評估實施隊伍，做好

工程協(xié)調(diào)與溝通(含召集工程周例會)令工程進度管理〔含編寫工程周報〕技術(shù)人員工程技術(shù)人員，包括工程分組組長和實施人員，在工程經(jīng)理的帶人員協(xié)調(diào)工作，并直接控制整體工程管理的各個要

工程協(xié)調(diào)與溝通(含召集工程周例會)

工程進度管理〔含編寫工程周報〕技術(shù)人員負(fù)責(zé)按照工程技術(shù)方案和工程方案實施測評令單項安全整改建議為保證本工程的順利實施，對現(xiàn)場測評階段序號工作點甲方配合乙方配合1現(xiàn)場工具1、人員要求系統(tǒng)管理員*提供可以訪問網(wǎng)絡(luò)設(shè)備及測評系統(tǒng)的2個IP地址1、準(zhǔn)備測評工具2、測評技術(shù)人員2檢查1、人員要求網(wǎng)絡(luò)管理員*前期提供網(wǎng)絡(luò)拓樸圖。系統(tǒng)管理員1、準(zhǔn)備配合檢查方案2、測評技術(shù)人員可登錄系統(tǒng)及網(wǎng)絡(luò)設(shè)備31、訪談對象要求信息部管理人員系統(tǒng)開發(fā)&管理人員問題網(wǎng)絡(luò)管理人員配置操作的相關(guān)問題提供會議室1、準(zhǔn)備訪談安排及訪談大綱2、測評技術(shù)人員4文檔審查1、人員要求信息部管理人員系統(tǒng)開發(fā)&管理人員檔網(wǎng)絡(luò)管理人員檔1、準(zhǔn)備測評表人員5實地查看1、人員要求機房管理員1、準(zhǔn)備測評表2、測評技術(shù)人員在測評過程中，可能會對被測系統(tǒng)造成影響，相應(yīng)地會造成各種損失。這些影響包括信息泄漏、業(yè)務(wù)停頓或處理能力受損等。因此，必須充分考慮各種可能的影響及其危害并準(zhǔn)備好相應(yīng)的應(yīng)對措施，盡可能減小對目標(biāo)系統(tǒng)正常運內(nèi)容信息資產(chǎn)調(diào)研資產(chǎn)信息泄漏高規(guī)安全管理測評安全管理信息泄漏高網(wǎng)絡(luò)設(shè)備測誤操作引起設(shè)備崩潰或數(shù)據(jù)喪失、損壞高標(biāo)準(zhǔn)審計流程；嚴(yán)格選擇測評師；甲方進展全程監(jiān)控制定可能的恢復(fù)方案網(wǎng)絡(luò)/安全設(shè)備資源占用低避開業(yè)務(wù)頂峰；漏洞掃描網(wǎng)絡(luò)流量低避開業(yè)務(wù)頂峰；主