《2022年信息系统等级保护测评工作方案 .pdf》由会员分享,可在线阅读,更多相关《2022年信息系统等级保护测评工作方案 .pdf(26页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精品文档. XX 安全服务公司2018-2019 年 XXX 项目等级保护差距测评实施方案XXXXXXXXX信息安全有限公司201X 年 X 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 26 页 - - - - - - - - - 精品文档. 目录目录. 11.项目概述 . 21.1.项目背景 . 21.2.项目目标 . 31.3.项目原则 . 31.4.项目依据 . 42.测评实施内容 . 42.1.测评分析 . 52.1.1.测评范围 . 52.1.2.测评对象
2、 . 52.1.3.测评内容 . 52.1.4.测评对象 . 82.1.5.测评指标 . 92.2.测评流程 . 102.2.1.测评准备阶段 . 112.2.2.方案编制阶段 . 122.2.3.现场测评阶段 . 122.2.4.分析与报告编制阶段. 142.3.测评方法 . 142.3.1.工具测试 . 142.3.2.配置检查 . 152.3.3.人员访谈 . 152.3.4.文档审查 . 162.3.5.实地查看 . 162.4.测评工具 . 172.5.输出文档 . 182.5.1.等级保护测评差距报告. 错误! 未定义书签。2.5.2.等级测评报告 . 错误! 未定义书签。2.5.
3、3.安全整改建议 . 错误! 未定义书签。3.时间安排 . 18名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 26 页 - - - - - - - - - 精品文档. 4.人员安排 . 194.1.组织结构及分工 . 194.2.人员配置表 . 204.3.工作配合 . 215.其他相关事项 . 225.1.风险规避 . 225.2.项目信息管理 . 245.2.1.保密责任法律保证. 245.2.2.现场安全保密管理. 245.2.3.文档安全保密管理. 255.2.
4、4.离场安全保密管理. 255.2.5.其他情况说明 . 251. 项目概述1.1. 项目背景为了贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见、关于信息安全等级保护工作的实施意见和信息安全等级保护管理办法的精神, 2015年XXXXXXXXXXXXXXXXXXX需要按照国家信息安全技术信息系统安全等级保护定级指南、计算机信息系统安全保护等级划分准则、信息系统安全等级保护基本要求、信息系统安全等级保护测评准则的要求,对 XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评估工作 , 并且为 XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。(
5、 安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评),加大测评与风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进行全面评估,有效提升信心系统的安全防护能力,建立常态化的等级保护工作机制,深化信息安全等级保护工作,提高XXXXXXXXXXXXXXXXXXX网络与信息系统的安全保障与运维能力。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - -
6、- - - 第 3 页,共 26 页 - - - - - - - - - 精品文档. 1.2.项目目标全面完成 XXXXXXXXXXXXXXXXXXX现有六个信息系统的信息安全测评与评估工作和协助整改工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务,按照国家和 XXXXXXXXXXXXXXXXXXX的有关要求,对 XXXXXXXXXXXXXXXXXXX的网络架构进行业务影响分析及网络安全管理工作进行梳理,提高XXXXXXXXXXXXXXXXXXX整个网络的安全保障与运维能力,减少信息安全风险和降低信息安全事件发生的概率,全面提高网络层面的安全性,构建XXXXXXXXX
7、XXXXXXXXXX信息系统的整体信息安全架构,确保全局信息系统高效稳定运行,并满足 XXXXXXXXXXXXXXXXXXX提出的基本要求,及时提供咨询等服务。1.3.项目原则项目的方案设计与实施应满足以下原则:符合性原则: 应符合国家信息安全等级保护制度及相关法律法规,指出防范的方针和保护的原则。标准性原则: 方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。规范性原则:项目实施应由专业的等级测评师依照规范的操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。可控性原则: 项目实施的方法和过程要在双方认可的范围之内,实施进
8、度要按照进度表进度的安排,保证项目实施的可控性。整体性原则: 安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。最小影响原则: 项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。保密原则: 对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害测评委托单位利益的行为。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 26 页
9、- - - - - - - - - 精品文档. 1.4.项目依据信息系统等级测评依据信息系统安全等级保护基本要求、信息系统安全等级保护测评要求,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对相应等级的信息系统遵循的标准进行综合系统测评,提出相应的系统安全整改建议。主要参考标准如下:计算机信息系统安全保护等级划分准则- GB17859-1999 信息安全技术信息系统安全等级保护实施指南信息安全技术信息系统安全等级保护测评要求信息安全等级保护管理办法信息安全技术信息系统安全等级保护定级指南(GB/T 22240-2008)信息安全技术信息系统安全等级保护基本要求(G
10、B/T 22239-2008)计算机信息系统安全保护等级划分准则(GB17859-1999 )信息安全技术信息系统通用安全技术要求(GB/T20271-2006)信息安全技术网络基础安全技术要求(GB/T20270-2006)信息安全技术操作系统安全技术要求(GB/T20272-2006)信息安全技术数据库管理系统安全技术要求(GB/T20273-2006)信息安全技术服务器技术要求( GB/T21028-2007)信息安全技术终端计算机系统安全等级技术要求(GA/T671-2006)信息安全风险评估规范(GB/T 20984-2007)2. 测评实施内容名师资料总结 - - -精品资料欢迎下
11、载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 26 页 - - - - - - - - - 精品文档. 2.1. 测评分析2.1.1.测评范围本项目范围为对 XXXXXXXXXXXXXXXXXXX已定级信息系统的等级保护测评。2.1.2.测评对象本次测评对象为 XXXXXXXXXXXXXXXXXXX信息系统,具体如下:序号信息系统名称级别1 XXXXXXXXX信息系统三级2 XXXXXXXXX信息系统三级3 XXXXXXXXX信息系统三级4 XXXXXXXXX信息系统三级5 XXXXXXXXX信息系统二级6
12、 XXXXXXXXX信息系统二级2.1.3.测评架构图本次测评结合 XXXXXXXXXXXXXXXXXXX系统的信息管理特点,进行不同层次的测评工作,如下表所示:2.1.4.测评内容名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 26 页 - - - - - - - - - 精品文档. 本项目主要分为两步开展实施。第一步,对XXXXXXXXXXXXXXXXXXX六个信息系统进行定级和备案工作。第二步,对XXXXXXXXXXXXXXXXXXX已经定级备案的系统进行十个安全层
13、面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。其中安全测评分为差距测评和验收测评。差距测评主要针对XXXXXXXXXXXXXXXXXXX已定级备案系统执行国家标准的安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面的整改。最后进行验收测评,验收测评将按照国家标准和国家公安承认的测评要求、测评过程、测评报告,协助对XXXXXXXXXXXXXXXXXXX已定级备案的系统执行系统安全验收测评,验收测评交付具有国家承认的验收测评报告。信息系统安全等级保护测
14、评包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。具体见下图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -
15、 - - - 名师精心整理 - - - - - - - 第 7 页,共 26 页 - - - - - - - - - 精品文档. 系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 -
16、- - - - - - 第 8 页,共 26 页 - - - - - - - - - 精品文档. 外部与边界间物理与网络间层面间区域间系统和系统间控制间安全控制物理安全物理访问控制防盗窃网络访问控制网络入侵防范身份鉴别自主访问控制人员安全管理系统运维管理边界与内部区域间系统结构网络安全主机系统安全教育和培训设备管理人员离岗安全事件处置主机系统与运维管理间应用与人员安全间系统结构系统间应急预案管理综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行,由此而获得信息系统对应安全等级保护级别的符合性结论。2.1.5.测评对象依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模
17、型,同时结合本公司多年的安全风险评估经验与实践,从信息系统的核心资产出发,以威胁和弱点为导向,对比信息安全等级保护的具体要求,全方面对信息系统进行全面评估。测评对象种类主要考虑以下几个方面:1整体网络拓扑结构;2机房环境、配套设施;3网络设备:包括路由器、核心交换机、汇聚层交换机等;4安全设备:包括防火墙、IDS/IPS 、防病毒网关等;5主机系统(包括操作系统和数据库系统);6业务应用系统;7重要管理终端(针对三级以上系统);名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,
18、共 26 页 - - - - - - - - - 精品文档. 8安全管理员、网络管理员、系统管理员、业务管理员;9涉及到系统安全的所有管理制度和记录。根据信息系统的测评强度要求,在执行具体的核查方法时,在广度上要做到从测评范围中抽取充分的测评对象种类和数量;在执行具体的检测方法,在深度上要做到对功能等各方面的测试。2.1.6.测评指标对于二级系统,如业务信息安全等级为S2,系统服务安全等级为 A2,则该系统的测评指标应包括 GB/T 22239-2008信息系统安全保护等级基本要求中“技术要求”部分的 2级通用指标类( G2 ),2级业务信息安全指标类( S2),2级系统服务安全指标类(A2)
19、,以及第 2级“管理要求”部分中的所有指标类,等级保护测评指标情况具体如下表所示:测评指标(二级)技术/ 管理层面类数量S类(2 级) A类(2 级) G 类(2 级) 小计安全技术物理安全1 1 8 10 网络安全1 0 5 6 主机安全2 1 3 6 应用安全4 2 1 7 数据安全2 1 0 3 安全管理安全管理制度0 0 3 3 安全管理机构0 0 5 5 人员安全管理0 0 5 5 系统建设管理0 0 9 9 系统运维管理0 0 12 12 合计66(类)名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 -
20、 - - - - - - 第 10 页,共 26 页 - - - - - - - - - 精品文档. 对于三级系统,如业务信息安全等级为S3,系统服务安全等级为 A3,则该系统的测评指标应包括 GB/T 22239-2008信息系统安全保护等级基本要求中“技术要求”部分的 3级通用指标类( G3 ),3级业务信息安全指标类( S3),3级系统服务安全指标类(A3),以及第 3级“管理要求”部分中的所有指标类,等级保护测评指标情况具体如下表所示:测评指标(三级)技术/ 管理层面类数量S类(3 级) A类(3 级) G类(3 级) 小计安全技术物理安全1 1 8 10 网络安全1 0 6 7 主机
21、安全3 1 3 7 应用安全5 2 2 9 数据安全2 1 0 3 安全管理安全管理制度0 0 3 3 安全管理机构0 0 5 5 人员安全管理0 0 5 5 系统建设管理0 0 11 11 系统运维管理0 0 13 13 合计73(类)2.2. 测评流程等级保护测评实施过程包括以下四个阶段:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 26 页 - - - - - - - - - 精品文档. 测评项目组组建项目计划书编制信息系统调研工具和表单准备测评对象确定测评指标
22、确定测评工具接入点确定测评内容确定测评实施手册开发物理安全人员访谈文档审查实地察看方式物理基础设施对象网络安全人员访谈配置检查工具测试方式互联设备安全设备网络拓扑对象主机安全人员访谈配置检查工具测试方式操作系统数据库系统对象应用安全人员访谈配置检查工具测试方式应用系统对象数据安全人员访谈配置检查方式管理数据业务数据对象安全管理制度人员访谈文档审查实地察看方式安全管理机构人员访谈文档审查方式人员安全管理人员访谈文档审查方式系统建设管理人员访谈文档审查方式系统运维管理人员访谈文档审查方式单项测评结果分析单元测评结果判定整体测评风险分析等级测评结论形成测评准备阶段方案编制阶段现场测评阶段分析与报告编
23、制阶段测评报告编制2.2.1.测评准备阶段测评项目组组建:明确项目经理、测评人员及职责分工。项目计划书编制:项目计划书包含项目概述、工作依据、技术思路、工作内容和项目组织等。信息系统调研:通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,明确被测系统的范围(特别是信息系统的边界),了解被测系统的详细构成,包括网络拓扑、业务应用、业务流程、设备信息(服务器、数据库、网络设备、安全设备、数据库等)、管理制度等。工具和表单准备:根据被测系统的实际情况,准备测评工具和各类测名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - -
24、 - - 名师精心整理 - - - - - - - 第 12 页,共 26 页 - - - - - - - - - 精品文档. 评表单。2.2.2.方案编制阶段测评对象确定:根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。测评指标确定:根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。测评工具接入点确定:确定需要进行工具测试的测评对象,选择测试路径,根据测试路径确定测试工具的接入点。测评内容确定:确定现场测评的具体实施内容,即单元测评内容。测评实施手册开发:编制测评实施手册,详细描述现场测评的工具、方法和操作步骤等,具体指导测评人员如何
25、进行测评活动。2.2.3.现场测评阶段现场测评实际上就是单项测评,分别从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。物理安全:通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为物理基础设施。在内容上,物理安全层面测评实施过程涉及10 个测评单元,包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。网络安全:通过访人员访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。
26、主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。在内容上,网络安全层面测评实施过程涉及7 个测评单元,包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护、恶意代码防范(针对三级系统)。主机安全:通过人员访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。主要涉及对象为各类服务器的操作系统、数据名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 26 页 - - - - - - - - - 精品文档. 库管理系统。在内容上,主机系统安
27、全层面测评实施过程涉及7 个测评单元,包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护(针对三级系统)。应用安全:通过人员访谈、配置检查和工具测试的方式测评信息系统的应用安全保障情况,主要涉及对象为各类应用系统。在内容上,应用安全层面测评实施过程涉及9 个测评单元,包括:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩余信息保护(针对三级系统)、抗抵赖(针对三级系统)。数据安全:通过人员访谈、配置检查的方式测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等。在内容上,数据安全层面测评实施过程涉及3 个测评单
28、元,包括:数据完整性、数据保密性、备份和恢复。安全管理制度:通过人员访谈、文档审查和实地察看的方式测评信息系统的安全管理制度情况。在内容上,安全管理制度方面测评实施过程涉及 3个测评单元,包括:管理制度、制定和发布、评审和修订。安全管理机构:通过人员访谈、文档审查的方式测评信息系统的安全管理机构情况。在内容上,安全管理机构方面测评实施过程涉及5 个测评单元,包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。人员安全管理:通过人员访谈、文档审查的方式测评信息系统的人员安全管理情况。在内容上,人员安全管理方面测评实施过程涉及5 个测评单元,包括:人员录用、人员离岗、人员考核、安全意识教
29、育和培训、外部人员访问管理。系统建设管理:通过人员访谈、文档审查的方式测评信息系统的系统建设管理情况。在内容上,系统建设管理方面测评实施过程涉及11 个测评单元,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案(针对三级系统)、系统测评(针对三级系名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 26 页 - - - - - - - - - 精品文档. 统)。系统运维管理:通过人员访谈、文档审
30、查的方式测评信息系统的系统运维管理情况。在内容上,系统运维管理方面测评实施过程涉及13 个测评单元,包括:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、监控管理和安全管理中心(针对三级系统)。2.2.4.分析与报告编制阶段单项测评结果分析:针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据。单元测评结果判定:将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。整体测评:针对单项测评结果的不符合项,采取逐条判定的方法,从
31、安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。风险分析:据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。等级测评结论形成:在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。测评报告编制:根据等级测评结论,编制测评报告,包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。2.3. 测评方法在等级保护测评过程目中,将采用以下测评方法:2.3.1.工具测试名师资料
32、总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 26 页 - - - - - - - - - 精品文档. 利用技术工具(漏洞扫描工具、渗透测试工具、压力测试工具等)对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透测试等。测评方法工具测试简要描述利用技术工具,从网络的不同接入点对网络内的主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查和分析达成目标发掘系统的安全漏洞工作条件1-2 人工作环境,电源和网络接入环境,甲方人员、网络、系统配合工作结果工具测试结果记
33、录2.3.2.配置检查利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,从而测试系统是否达到可用性和可靠性的要求。测评方法配置检查简要描述通过登陆系统控制台的方式,人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统的安全配置情况达成目标发现配置的安全隐患工作条件1-2 人工作环境,甲方人员、网络、系统配合工作结果配置检查结果记录2.3.3.人员访谈名师资料总结 - - -精品资料欢迎下载 -
34、- - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 26 页 - - - - - - - - - 精品文档. 与被测系统有关人员(个人/ 群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。测评方法人员访谈简要描述通过交流、讨论的方式,对技术和管理方面进行脆弱性检查和分析达成目标发掘技术和管理方面存在的安全问题工作条件1-2 人工作环境,甲方人员配合工作结果人员访谈结果记录2.3.4.文档审查检查制度、策略、
35、操作规程、制度执行情况记录等文档(包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内部一致性。测评方法文档审查简要描述通过文档审核与分析,检查制度、策略、操作规程、制度执行情况记录的完整性和内部一致性达成目标发掘技术和管理方面存在的安全问题工作条件1-2 人工作环境,甲方人员、各类文档资料配合工作结果文档审查结果记录2.3.5.实地查看名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -
36、 - - - - 名师精心整理 - - - - - - - 第 17 页,共 26 页 - - - - - - - - - 精品文档. 通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。项目名称实地查看简要描述通过现场查看人员行为、技术设施和物理环境状况,检查人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况。达成目标发掘技术和管理方面存在的安全问题工作条件1-2 人工作环境,甲方人员配合工作结果实地查看结果记录2.4. 测评工具我们在等级保护测评过程中使用的测评工具严格遵循可控
37、性原则,即所有使用的测评工具将事先提交给甲方检查确认,确保在双方认可的范围之内,而且测评过程中采用的技术手段确保已经过可靠的实际应用。在本项目中,将采用以下测评工具:工具类别工具名称工具介绍漏洞扫描工具绿盟极光远程安全评估系统绿盟公司出品的商业漏洞扫描系统Web应用扫描工具IBM APPScan IBM公司出品的商业 Web应用安全扫描系统WVS(Web Vulnerability Scanner) 一个自动化的 Web 应用程序安全测试工具,它可以扫描任何可通过Web 浏览器访问的和遵循 HTTP/HTTPS 规则的 Web 站名师资料总结 - - -精品资料欢迎下载 - - - - - -
38、 - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 26 页 - - - - - - - - - 精品文档. 工具类别工具名称工具介绍点和 Web 应用程序2.5. 输出文档本项目输出的主要输出文档为等级保护测评实施方案(资产收集、测评表)等级保护测评差距分析报告等级保护测评安全整改方案等级保护测评安全整改报告3. 时间安排序号任务名称工作内容开始时间完成时间阶段完成标志主要负责人配合人员1 项目准备阶段编制实施方案2015/7/8 实施方案2 编制资产收集2015/7/9 2015/7/15 资产收集表3 编制测评表测评表4 前期调研
39、资产收集2015/7/16 2015/7/17 完成资产收集表5 差距测评技术和管理单项测评2015/7/20 2015/8/21 完成信息系统测评表6 差距测评报告编制单元测评、整体测评、风险分析、报告编制2015/8/24 2015/8/28 差距测评报告 7 安全整改建议对部分风行较高的不符合项给出整改报告2015/8/31 2015/9/4 整改方案8 安全加固与检对整改部分内容进行复2015/9/7 2015/9/25 整改报告名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第
40、 19 页,共 26 页 - - - - - - - - - 精品文档. 查检9 等级保护验收测评协助中心通过第三方测评2015/9/28 2015/11/31 获得测评证书4. 人员安排4.1.组织结构4.2.项目工作分工为 确 保 测 评 工 作 的 顺 利 进 行 , XXXXXXXXXXXXXXXXXXX与XXXXXXXXXXXXXXXXXXX信息安全有限公司协商组建项目组,并对项目组织机构进行如下规划:XXXXXXXXXXXXXXXXXXX:名称职责项目负责人项目总体负责人,负责协调XXXXXXXXXXXXXXXXXXX整体项目资源,解决项目中需要 XXXXXXXXXXXXXXXXX
41、XX配合的问题,监督项目整体质量、推进项目整体进度XXXXXXXXXXXXXXXXXXX信息安全有限公司:名称职责项目负责人项目总体负责人,负责组织等级保护测评和评估实施队伍,做好整体日常资源管理、分配与协调工作,并直接控制整体项目管理的各个要素,具体包括:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页,共 26 页 - - - - - - - - - 精品文档. 项目方案设计项目计划与组织项目协调与沟通(含召集项目周例会)项目进度管理(含编写项目周报)项目质量控制项目技术
42、人员项目技术人员,包括项目分组组长和实施人员,在项目经理的带领、分工和控制下,负责按照项目技术方案和项目计划实施测评和评估工作,需要提交:每天工作日报单项测评结果记录单项安全整改建议4.3.人员配置表名称职责人员项目负责人项目总体负责人,负责组织等级保护测评和评估实施队伍,做好整体日常资源管理、分配与协调工作,并直接控制整体项目管理的各个要素,具体包括:项目方案设计项目计划与组织项目协调与沟通(含召集项目周例会)项目进度管理(含编写项目周报)项目质量控制项目技术人员负责按照项目技术方案和项目计划实施测评工作,需要提交:每天工作日报单项测评结果记录单项安全整改建议名师资料总结 - - -精品资料
43、欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页,共 26 页 - - - - - - - - - 精品文档. 4.4. 工作配合为保证本项目的顺利实施,对现场测评阶段的各项工作点提出双方工作配合:序号工作点甲方配合乙方配合1 现场工具测评1、人员要求系统管理员* 前期提供系统软硬件配置,相关系统检收文档。* 现场登录设备运行检查脚本工具*登录设备查看安全配置2、环境要求 * 提供可以访问网络设备及测评系统的2个IP地址 * 关闭测评 IP与系统之间的防火墙。1、准备测评工具及接入方案2、测评技术人员2 现
44、场配置检查1、人员要求网络管理员 * 前期提供网络拓朴图。 * 登录网络设备,配合测评人员检查设备配置。系统管理员* 登录网络设备,配合测评人员检查设备配置。2、环境要求可登录系统及网络设备1、准备配合检查方案2、测评技术人员3 人员访谈1、访谈对象要求信息部管理人员 * 配合调查表的访谈系统开发 &管理人员 * 配合测评回答应用系统操作相关问题网络管理人员 * 配合测评回答网络架构,及设备配置操作的相关问题2、环境要求提供会议室1、准备访谈安排及访谈大纲2、测评技术人员名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整
45、理 - - - - - - - 第 22 页,共 26 页 - - - - - - - - - 精品文档. 4 文档审查1、人员要求信息部管理人员 * 提供等保相关的管理制度系统开发 &管理人员 * 提供相应系统建设方案及验收文档网络管理人员* 提供网络系统建设方案及验收文档*IP 规划文档等2、环境要求提供办公场所1、准备测评表2、二位测评技术人员5 实地查看1、人员要求机房管理员 * 配合测评人员检查机房物理环境。2、环境要求 * 可访问机房、办公等物理区域1、准备测评表2、测评技术人员5.其他相关事项5.1.风险规避在测评过程中,可能会对被测系统造成影响,相应地会造成各种损失。这些影响包
46、括信息泄漏、业务停顿或处理能力受损等。因此,必须充分考虑各种可能的影响及其危害并准备好相应的应对措施,尽可能减小对目标系统正常运行的干扰,从而减小损失。下表给出了测评过程中可能存在的风险与控制措施。内容可能存在的风险等级控制措施信息资产调研资产信息泄漏高协议、规章、制度、法律、法规名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 23 页,共 26 页 - - - - - - - - - 精品文档. 安全管理测评安全管理信息泄漏高合同、协议、规章、制度、法律、法规网络设备测评/ 安全设
47、备测评误操作引起设备崩溃或数据丢失、损坏高规范审计流程;严格选择测评师;甲方进行全程监控;制定可能的恢复计划网络/ 安全设备资源占用低避开业务高峰;控制扫描策略(线程数量、强度)漏洞扫描网络流量低避开业务高峰;控制扫描策略(线程数量、强度)主机资源占用低避开业务高峰;控制扫描策略(线程数量、强度)控制台审计误操作引起系统崩溃或数据丢失、损坏高规范审计流程;严格选择测评师;甲方进行全程监控;制定可能的恢复计划;网络流量和主机资源占用低避开业务高峰名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - -
48、- 第 24 页,共 26 页 - - - - - - - - - 精品文档. 应用测评产生非法数据,致使系统不能正常工作中做好系统备份和恢复措施异常输入(畸形数据、极限测试)导致系统崩溃高做好系统备份和恢复措施5.2. 项目信息管理为了保障 XXXXXXXXXXXXXXXXXXX信息系统的安全, XXXXXXXXXXXXXXXXXXX信息安全有限公司将严格遵守XXXXXXXXXXXXXXXXXXX关于保密方面的规定,自觉保守XXXXXXXXXXXXXXXXXXX商业秘密。 XXXXXXXXXXXXXXXXXXX为方便项目实施所提供给投标人的工作流程、管理模式、规程、程序等相关资料文档以及实施
49、过程中所产生的资料、文档、数据均属于XXXXXXXXXXXXXXXXXXX知识产权,未经XXXXXXXXXXXXXXXXXXX授权同意, XXXXXXXXXXXXXXXXXXX信息安全有限公司不得另作他用, XXXXXXXXXXXXXXXXXXX信息安全有限公司采用管理和技术措施保证信息的机密性。如因 XXXXXXXXXXXXXXXXXXX信息安全有限公司员工的原因导致上述资料、文档、数据或 XXXXXXXXXXXXXXXXXXX商业秘密泄露的,XXXXXXXXXXXXXXXXXXX有权要求 XXXXXXXXXXXXXXXXXXX信息安全有限公司采取措施消除影响,赔偿损失。加强安全保密工作具体
50、的控制措施如下:5.2.1. 保密责任法律保证XXXXXXXXXXXXXXXXXXX信息安全有限公司和 XXXXXXXXXXXXXXXXXXX签订保密责任协议,对项目实施保密相关事宜予以法律保证。同时,XXXXXXXXXXXXXXXXXXX信息安全有限公司保证所有参与项目的技术人员均具备等级测评技术资质,且均与XXXXXXXXXXXXXXXXXXX信息安全有限公司已签订保密责任书。5.2.2. 现场安全保密管理名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 25 页,共 26 页 -