《等级保护测评保障方案.docx》由会员分享,可在线阅读,更多相关《等级保护测评保障方案.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、等级保护测评保证方案根据公安部出台的有关等级保护的政策,对信息系统的等级保护已经是国 家的一项根本国策和信息平安的根本保证,同时等级保护工 作的开展也是 各行 各业信息化建设的内在需求.等级保护测评的目的在于对当前建设的信息系统的平安防护能 力做出客 观评价.通过对平安物理环境、平安通信网络、平安区域边界、平安计算环境、 平安治理中央、平安治理制度、平安治理机构、平安治理人员、平安建设治理、 平安运维治理20个方面的平安检查,以国家信息平安等级保护根本 要求作为平 安基线,进行客观符合性判 定,进一步衡量当前系统的平安防护 水平,以及系统 所面临的威胁和风险所在,为将来的平安整改和平安建设提供
2、有力依据.我公司在本次工程开始实施前,严格根据等级保护2.0测评标准在工程 实 施阶段、测评阶段提供完善的测评文档和技术文档,并协助用户在整个测评过 程中提供任何所需的技术支持效劳.保证顺利通过等级保护2.0三级测评.测评流程整个测评工程的实施主要分为现场测评和复测评,具体流程参见以下图所 示.报苗力秦rr格本 合其中现场测评分为四个阶段:一、测评准备活动阶段;二、方案编制活动阶段;三、现场测评活动阶段;四、分析和报告编制活动阶段.复测评分为三个阶段:一、平安整改活动阶段;二、复测评活动阶段;三、分析和报告编制活动阶段.12 现场测评根据?信息平安技术网络平安等级保护测评要求?(GB/T844
3、8-2021),具体测评内容具体分为平安物理环境、平安通信网络、平安区域边界、平安计算环境、平安治理中央、平安治理制度、平安治理机 构、平安治理人员、平安建设治理、平安运维治理10个方面的内容. 其中涉及与技术层面相关的平安物理环境、平安通信网络、平安区域边 界、平 安计算环境、平安治理中央5个方面的内容,由我公司协助提供相应的技术文 档和现场测评的技术支持.涉及与治理层面相关的平安治理制度、平安治理机 构、平安治理人员、平安建设治理、平安运维治理5个方面的内 容,由我公司 配合用户,提供指导建议,并协助完成相关内容建设.1平安物理环境主要通过访谈和检查的方式评测信息系统的物理平安保证情况.主
4、要涉及对象为机房.在内容上,测评实施过程涉及以下几个平安子 类:序号平安子类测评指标描述1物理位置的选择检查机房,测评机房物理场所在位置上是否具有防震、防风和 防雨等多方面的平安防范水平.2物理访问控制检查机房出入口等过程限制,测评信息系统在物理访问控 制 方面的平安防范水平.3防盗窃和防破坏检查机房内的主要设备、介质和防盗报警设施等过程,测评信 息系统是否采取必要的举措预防设备、介质等丧失和被破坏.4防雷击检查机房设计/验收文档,测评信息系统是否采取相应的措施 预防雷击.5防火检查机房防火方面的平安治理制度,检查机房防火设备等过程,测评信息系统是否采取必要的举措预防火灾的L2 1 2需求配合
5、发生.6防水和防潮检查机房及其除潮设备等过程,测评信息系统是否采取必要 举措来预防水灾和机房潮湿.7防静电检查机房等过程,测评信息系统是否采取必要举措预防静电 的产生.8温湿度限制检查机房的温湿度自动调节系统,测评信息系统是否采取必 要举措对机房内的温湿度进行限制.9电力供给检查机房供电线路、设备等过程,测评是否具备为信息系统提 供一定电力供给的水平.10电磁防护检查主要设备等过程,测评信息系统是否具备一定的电磁防 护水平.配合工程配合内容物理位置的选择提供相应的房屋建筑资料.物理访问限制提供机房出入登记记录、审批记录、电子门禁记录等.防盗窃和防破坏提供防盗报警运行维护情况及相关记录.防雷击提
6、供建筑物防雷技术检测报告.防火提供防火系统的检查和维护记录、机房验收文档.防水和防潮提供建筑施工图、建筑验收文档.防静电展示防静电接地举措温湿度限制提供机房温湿度变化的记录和温湿度调节设备的建设记录.电力供给提供供电线路的稳压器、供电线路的UPS、备用电源设备 和过电压防护设备的建设和维护记录.电磁防护1 .介绍设备外壳接地的实施情况;2 .介绍线路铺设中将电源线和通信线路隔离的实施情况;R 介织串英语义和磁介话直:旃由磁屁筋的情用1. 2. 2.1. 2. 2.平安通信网络1. 2. 2. 1 .测评内容主要涉及对象为网络设备以及网络拓扑结构等二大类对象.在内容测评指标描述上,测评过程涉及以
7、下几个平安子类.序号平安子类1网络架构1网络架构检查网络拓扑情况、核查核心交换机、测评分析网络架构与网段划分、设备冗余等情况的合理性和有效性.通信传输检查通信过程中数据的完整性.可信验证 蛤杏辛摊苗疔林节M初太TTT住跆;不1. 2. 2. 2.配合工程配合内容网络架构提供系统网络结构拓扑图.通信传输提供核心交换机配置策略、IP地址规划和边界访问策略.可信验证提供核心交换机和接入层交换机端口绑定和IP地址绑定略c123平安区域边界1.2. 3.1.测评内容主要涉及对象为网络平安设备,包含防火墙、入侵检测、平安审 计等产品.在内容上,测评过程涉及以下几个平安子类.序号平安子类测评指标描述1边界防
8、护检查边界完整性,检查设备接入边界完整性,检查设备 进 行测试等过程,测评分析信息系统私自联到外部网络1.2. 3. 2.需求配合的行为.2访问限制检查防火墙等网络访问限制设备,测试系统对外暴露平安漏 洞情况等,测评分析信息系统对网络区域边界相关的网 络隔 离与访问限制水平.3入侵防范测评分析信息系统对攻击行为的识别和处理情况.4恶意代码防检查网络恶意代码防范情况.5平安审计检查网络平安审计的配置情况,如覆盖范围、记录的工程和 内容等;检查平安审计进程和记录的保护情况.配合工程配合内容边界防护提供防火墙边界防护限制策略,介绍采用的手段以预防非授 权接入和非法外联行为.访问限制提供防火墙访问限制
9、策略.入侵防范提供入侵检测配置策略以及防火墙端口、协议治理策 略.介 绍预防网络入侵攻击防范举措.恶意代码防范提供防毒墙限制策略,介绍防毒墙病毒特征加更新策略.平安审计提供日志审计、网络审计平安配置策略.4平安计算环境1. 2. 4. 1.测评内容主要涉及对象为网络平安设备和平安治理系统,包含身份鉴别系统、平安审计、入侵检测、防病毒软件、数据备份软件等产品.在内容上,测评过程涉及以下几个平安子类.序号平安子类测评指标描述1身份鉴别检查登陆用户信息鉴别情况,检查身份鉴别举措及鉴别有效 性、准确性.2访问限制检查访问限制设置情况,包括平安策略覆盖、限制粒度以及 权限设置情况等.3平安审计检查平安审
10、计的配置情况,如覆盖范围、记录的工程和内容 等;检查平安审计进程和记录的保护情况.4入侵防范检查网络系统运行过程中的入侵防范举措,如关闭不需要的 端口和效劳、最小化安装、部署入侵防范产品等.5恶意代码防范检查效劳器和终端设备的恶意代码防范情况.6数据备份与恢检查效劳器和终端设备重要数据平安备份情况,检查网络设 备中配置文件的平安备份情况.1.2. 4. 2.需求配合2 5平安治理中央配合工程配合内容身份鉴别演示用户身份登陆情况,查看身份鉴别策略.访问限制提供效劳器和交换机、防火墙访问限制策略.平安审计提供日志审计、数据库审计、主机审计等设备和系统安全策 略.入侵防范提供效劳器、终端设备端口 I
11、P+MAC地址绑定策略.恶意代码防范提供网络版防病毒软件限制策略,查看防病毒特征库更新策 略.数据备份与恢复提供数据备份策略,查看数据备份内容.演示数据备份 与恢 复流程.1. 2. 5. 1.测评内容主要涉及对象为网络综合治理平台和审计治理等产品.在内容上,测评过程涉及以下几个平安子类.序号平安子类测评指标描述1系统治理检查是否采取必要的举措对网络的平安配置、网络用户权 限和审计日志等方面进行有效的治理.2审计治理检查平安审计记录,检查对审计记录内容的存储和管理.3平安治理检查是否采取必要的举措对系统的平安配置、系统账户、 漏洞扫描和审计日志等方面进行有效的治理.4集中治理检查系统集中治理方
12、式、治理范围、治理内容.配合工程配合内容系统治理查看平安治理系统的系统治理策略和治理范围.审计治理提供各类审计治理系统的审计治理策略.平安治理提供系统访问限制策略文档;提供主机系统、网络、安全设备的操作日志;集中治理提供平安治理系统的治理范围,治理策略和治理内容.差距分析人1.2. 5. 2.需求配合通过现场测评提供的信息,并对这些信息进行分析,形成定级信 息系 统 的弱点评估报告、风险评估报告等文档.通过差距分析,了解信息系统的现 状,确定当前系统与相应保护等级要求之间的差距,确定不符合平安项,明确 后续整改内容.1- 31.4平安整改依据差距分析报告,对需要整改的内容项形成整改实施方案.落实各项 整改内容的责任主体.涉及实施原因的整改内容由我公司安排人员在限定时 间内完成整改;涉及平安策略配置原因的整改内容由我公司技术人员与客户 进行共同商定确定具体策略后,由我公司安排技术人员进行整改;涉及治理 制度、治理人员、治理流程的整改内容配合客户相关部门负责完成整改.