等保评测项目技术方案Word文档格式.docx
《等保评测项目技术方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《等保评测项目技术方案Word文档格式.docx(50页珍藏版)》请在冰豆网上搜索。
信息系统安全等级保护测评服务工作应尽可能小的影响系统和网络的正常运行,不能对网络的运行和业务的正常提供产生显著影响。
a)不可避免的影响:
目标网络的安全控制设备,如防火墙、IDS等系统会在扫描过程中发现并报告部分非法扫描。
b)可避免的影响:
破坏目标系统的数据
破坏目标系统的服务
影响目标系统的网络使用
降低目标系统和网络的性能
目标系统数据泄露
目标应用数据泄露
安全评估过程与同时间网络入侵行为的重叠
⏹可控性原则:
制定信息系统等级保护测评实施方案和进度计划,项目实施小组必须严格按照实施方案和进度计划开展现场的实施工作,保证整个项目的可控性。
⏹保密性原则:
信息系统安全等级保护测评服务工作全部由我公司人员独立完成,信息系统安全等级保护测评服务工作结束后数据和资料除必备用以维护的以外,均交还甲方,且根据整体方案的保密原则,签定保密协议。
2项目实施方案
信息系统等级保护测评服务,根据我们对招标文件理解,将本次项目服务内容分解为系统定级与备案、等级保护测评、协助系统整改服务。
各项服务实施方案如下:
2.1系统定级与备案服务
协助确定最终的信息系统等级保护级别,完成系统定级和备案工作。
2.1.1系统定级与备案工作流程
2.1.2系统定级依据
2.1.2.1系统定级等级描述
根据《GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》标准,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.1.2.2系统定级要素
信息系统的安全保护等级由两个定级要素决定:
等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
(1)受侵害的客体
等级保护对象受到破坏时所侵害的客体包括三个方面:
公民、法人和其他组织的合法权益;
社会秩序、公共利益;
国家安全。
(2)对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为三种:
造成一般损害;
造成严重损害;
造成特别严重损害。
2.1.2.3定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如下表所示:
受侵害的客体
对客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
社会秩序、公共利益
第三级
第四级
国家安全
第五级
(定级要素与安全保护等级的关系表)
2.1.3系统定级方法
2.1.3.1定级工作流程
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
(1)确定作为定级对象的信息系统;
(2)确定业务信息安全受到破坏时所侵害的客体;
(3)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
(4)确定业务信息安全保护等级;
(5)确定系统服务安全受到破坏时所侵害的客体;
(6)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
(7)确定系统服务安全保护等级;
(8)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
2.1.3.2确定定级对象
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征:
(1)具有唯一确定的安全责任单位。
作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;
如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
(2)具有信息系统的基本要素。
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
(3)承载单一或相对独立的业务应用。
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
通过全面分析、调研,对现有信息系统依据《等级保护定级指南》等相关规范进行科学定级。
2.1.3.3确定受侵害客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项:
影响国家政权稳固和国防实力;
影响国家统一、民族团结和社会安定;
影响国家对外活动中的政治、经济利益;
影响国家重要的安全保卫工作;
影响国家经济竞争力和科技实力;
其他影响国家安全的事项。
侵害社会秩序的事项:
影响国家机关社会管理和公共服务的工作秩序;
影响各种类型的经济活动秩序;
影响各行业的科研、生产秩序;
影响公众在法律约束和道德规范下的正常生活秩序等;
其他影响社会秩序的事项。
影响公共利益的事项:
影响社会成员使用公共设施;
影响社会成员获取公开信息资源;
影响社会成员接受公共服务等方面;
其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
根据客户的行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定各类信息和各类信息系统受到破坏时所侵害的客体。
2.1.3.4确定对客体侵害程度
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。
由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:
影响行使工作职能;
导致业务能力下降;
引起法律纠纷;
导致财产损失;
造成社会不良影响;
对其他组织和个人造成损失;
其他影响。
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。
对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
⏹如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
⏹如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:
一般损害:
工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:
工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:
工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。
由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
2.1.3.5确定定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表《业务信息安全保护等级矩阵表》,即可得到业务信息安全保护等级。
业务信息安全被破坏时所侵害的客体
对相应客体的侵害程度
(业务信息安全保护等级矩阵表)
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据《系统服务安全保护等级矩阵表》,即可得到系统服务安全保护等级。
系统服务安全被破坏时所侵害的客体
(系统服务安全保护等级矩阵表)
业务信息安全保护等级和系统服务安全保护等级的较高者即为定级对象的信息系统的安全保护等级。
值得注意的是,同一个安全等级根据业务信息安全(S)和系统服务安全(A)的安全保护等级不同,最终等级也有区别。
以下是安全等级的细分:
安全等级
信息系统保护要求的组合
S1A1G1
S1A2G2,S2A2G2,S2A1G2
S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4
S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5
2.1.4定级报告编制
项目实施小组对定级工作进行汇总分析,递交信息系统等级设定的书面建议,由进行评审,最终确定各业务系统保护等级。
我公司分别按业务系统出具一份定级报告,如《门户网站安全等级保护定级报告》、《一张图综合业务信息平台安全等级保护定级报告》等。
2.1.5协助系统备案
公安部网站下载《信息系统安全等级保护备案表》,持填写的备案表纸质版及其电子版(刻录光盘,要求为word表格),到公安机关办理备案手续,提交有关备案材料。
我公司将协助客户填写《信息系统安全等级保护备案表》,协助完成备案工作。
公安机关受理备案后,对定级完整性和准确性进行审核,对定级合格的颁发证明,收到公安机关颁发的信息系统安全保护等级备案证明,备案工作完成和系统定级生效。
2.2等保测评服务
信息系统等级保护测评服务包括4个业务系统定级备案工作,一个等级保护三级系统(“门户网站”)、三个等级保护二级系统(“电子政务”、“一张图综合业务信息平台”、“耕保基金”),现场实施阶段与进行紧密沟通,按照《GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》的要求确定各业务系统最终保护等级,并按相应保护等级实施等级保护测评服务。
依据相关信息系统安全等级保护的标准要求,本次信息安全等级保护测评涵盖安全技术:
物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理:
安全管理制度、安全理机构、人员安全管理、系统建设安全管理和系统运维安全管理十个方面,依据相关的测评准则,结合系统的构成特点,确定具体的测评对象,制定测评方案。
通过访谈、检查、测评和系统分析等方式判断其安全技术和安全管理的各方面是否达到了相应等级的国家信息系统等级保护要求,找出信息系统中存在的安全隐患,对安全性进行整体评估,制定相关的信息安全整体安全策略和中长期的安全规划,以便对被测系统进行安全方面的调整和改进,确保其安全防护水平达到信息系统安全等级保护相应能力的要求。
2.2.1测评服务总体介绍
2.2.1.1测评依据
我公司提供的服务均满足国家标准、行业标准和国家相关政策文件要求,所用的标准均最新版本,如果这些标准的内容有矛盾时,按照最高标准的条款执行或按双方协商同意的标准或条款执行。
主要测评服务依据如下:
⏹公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
⏹国土资源部《关于国土资源信息安全等级保护工作的指导意见》(国土资信办发[2012]6号)
⏹《计算机信息系统安全保护等级划分准则》(GB17859-1999)
⏹《信息安全等级保护管理办法》(公通字[2007]43号)
⏹《信息系统安全等级测评报告模板(试行)》(公信安[2009]1487号)
⏹GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
⏹GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》
⏹GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》
⏹GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》
⏹GB/T28449-2012《信息安全技术信息系统安全等级保护测评过程指南》
⏹《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
⏹《信息安全技术网络基础安全技术要求》(GB/T20270-2006)
⏹《信息安全技术操作系统安全技术要求》(
GB/T20272-2006
)
⏹《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
⏹《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)
⏹《信息安全技术服务器技术要求》
2.2.1.2测评对象
信息系统测评对象如下:
信息系统等级保护基本情况表
系统编号
系统名称
系统等级
1.
门户网站
三级
2.
电子政务
二级
3.
一张图综合业务信息平台
4.
耕保基金
2.2.1.3测评指标
4个业务系统,其中二级系统测评指标如下:
测评内容
测评点数量
S2类
A2类
G2类
小计
合计
技术部分
物理安全
1
2
16
19
79
网络安全
17
18
主机安全
9
3
7
应用安全
11
5
数据安全
4
管理部分
安全管理制度
96
安全管理机构
人员安全管理
系统建设管理
28
系统运维管理
41
测评点合计
175
三级系统测评指标如下:
S3类
A3类
G3类
8
20
32
136
33
6
10
31
154
47
45
70
62
290
注:
测评项数量为信息系统信息安全测评中的类别数量,其中S类为保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求;
A类为保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求;
G类为通用安全保护类要求。
2.2.1.4测评方式
安全测评的主要方式有:
访谈、检查、测试和系统测评。
访谈是测评人员通过与信息系统有关人员进行交流、讨论等活动以获取证据的一种方法;
访谈使用到的工具主要是访谈列表。
测评人员针对访谈列表上的问题,逐项与信息系统有关人员进行交流、讨论,根据被访谈人员的回答了解和确认信息系统的安全保护情况;
本次测评,在访谈的广度上,应访谈覆盖不同类型的系统运维人员,不同类型的系统运维人员应都访谈到;
在访谈的深度上,应访谈包含通用和高级的问题以及一些有难度和探索性的问题。
检查是测评人员通过对测评对象进行观察、查验、分析等活动以获取证据的一种方法;
检查使用到的工具主要是核查列表。
测评人员针对核查列表上的问题,通过观察、查验、分析等活动,逐项核实。
根据检查对象的不同,检查可以进一步分为文档审查、现场观测和配置核查等方式;
本次测评,在检查的广度上,数量上采取抽样的形式,基本覆盖系统包含的不同类型对象;
在检查的深度上,应详细、彻底分析、观察和研究,除了功能上的文档、机制和活动外,还需要总体/概要和一些详细设计以及实现上的相关信息。
测评是指测评人员对测评对象按照预定的方法/工具使其产生特定的响应等活动,然后通过查看、分析响应输出结果来获取证据的一种方法。
本次测评,主要涉及对网络设备、主机设备、应用软件的安全功能/策略的验证性测试。
在检查的广度上,应基本覆盖不同类型的机制,在数量、范围上可以抽样;
在测试的深度上,应进行功能测试,功能测试涉及到功能规范、高级设计和操作规程等文档。
2.2.1.5测评流程
信息系统等级保护测评包括以下主要流程:
(1)确定测评范围:
明确本次被测评系统的范围,包括每个信息系统的范围、各个等级信息系统的范围,信息系统的边界等。
(2)获得信息系统的信息:
通过调查或查阅资料的方式,了解被测评信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。
(3)确定具体的测评对象:
初步确定每个等级信息系统的被测评对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。
(4)确定测评工作的方法:
根据信息系统安全等级情况、系统规模大小等,明确本次评估的方法。
(5)制定测评工作计划:
制定测评工作计划或方案,说明评估范围、评估对象、工作方法、人员组成、角色职责、时间计划等。
(6)现场系统测评:
根据前期编制的测评实施方案及工作计划,开展访谈、检查、测试和系统测评等工作,形成详细的过程记录文件。
(7)编制系统测评报告及整改建议:
对过程记录文件进行安全差距分析,编制系统测评报告。
(详细的等级保护测评服务流程)
2.2.2现场测评实施方案
2.2.2.1单元测评
(1)物理安全
物理安全测评将通过访谈和检查的方式测评信息系统的物理安全保障情况。
主要涉及对象为信息系统。
在内容上,物理安全测评实施过程涉及10个工作单元,具体描述方法如下表所示:
序号
工作单元名称
工作单位描述
物理位置的选择
通过访谈物理安全负责人,检查机房,测评物理场所所在物理位置是否具有防震、防风和防雨等多方面的安全防范能力。
物理访问控制
通过访谈物理安全负责人,检查机房的出入口情况等过程,测评信息系统在物理访问控制方面的安全防范能力。
防盗窃和防破坏
通过访谈物理安全负责人,检查机房的主要设备、介质和防盗报警系统等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。
防雷击
通过访谈物理安全负责人