信息系统等级保护测评工作方案.docx
《信息系统等级保护测评工作方案.docx》由会员分享,可在线阅读,更多相关《信息系统等级保护测评工作方案.docx(25页珍藏版)》请在冰豆网上搜索。
信息系统等级保护测评工作方案
XX安全服务公司
2018-2019年XXX项目
等级保护差距测评实施方案
XXXXXXXXX信息安全有限公司
201X年X月
目 录
目录ﻩ3
1、项目概述ﻩ1
1、1、项目背景ﻩ1
1、2、ﻩ项目目标ﻩ1
1、3、ﻩ项目原则ﻩ1
1、4、ﻩ项目依据ﻩ2
2、ﻩ测评实施内容3
2、1、1、ﻩ测评范围ﻩ3
2、1、2、测评对象3
2、1、3、ﻩ测评内容4
2、1、4、ﻩ测评对象6
2、1、5、ﻩ测评指标7
2、2、1、ﻩ测评准备阶段9
2、2、2、ﻩ方案编制阶段9
2、2、3、ﻩ现场测评阶段ﻩ10
2、2、4、ﻩ分析与报告编制阶段ﻩ11
2、3、测评方法ﻩ12
2、3、1、工具测试ﻩ12
2、3、2、ﻩ配置检查13
2、3、3、人员访谈13
2、3、4、文档审查14
2、3、5、ﻩ实地查瞧ﻩ14
2、4、测评工具ﻩ15
2、5、输出文档15
2、5、1、ﻩ等级保护测评差距报告ﻩ15
2、5、3、安全整改建议16
3、时间安排ﻩ16
4、人员安排17
4、1、组织结构及分工17
4、2、人员配置表ﻩ18
4、3、ﻩ工作配合ﻩ19
5、ﻩ其她相关事项21
5、2、项目信息管理23
5、2、1、保密责任法律保证ﻩ23
5、2、2、现场安全保密管理ﻩ23
5、2、3、ﻩ文档安全保密管理23
5、2、4、ﻩ离场安全保密管理ﻩ24
5、2、5、ﻩ其她情况说明24
1.项目概述
项目背景
为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作得意见》、《关于信息安全等级保护工作得实施意见》与《信息安全等级保护管理办法》得精神,2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》得要求,对XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面得信息安全测评与评估工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务.(安全技术测评包括:
物理安全、网络安全、主机系统安全、应用安全与数据安全五个层面上得安全控制测评;安全管理测评包括:
安全管理机构、安全管理制度、人员安全管理、系统建设管理与系统运维管理等五个方面得安全控制测评),加大测评与风险评估力度,对信息系统得资产、威胁、弱点与风险等要素进行全面评估,有效提升信心系统得安全防护能力,建立常态化得等级保护工作机制,深化信息安全等级保护工作,提高XXXXXXXXXXXXXXXXXXX网络与信息系统得安全保障与运维能力。
项目目标
全面完成XXXXXXXXXXXXXXXXXXX现有六个信息系统得信息安全测评与评估工作与协助整改工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务,按照国家与XXXXXXXXXXXXXXXXXXX得有关要求,对XXXXXXXXXXXXXXXXXXX得网络架构进行业务影响分析及网络安全管理工作进行梳理,提高XXXXXXXXXXXXXXXXXXX整个网络得安全保障与运维能力,减少信息安全风险与降低信息安全事件发生得概率,全面提高网络层面得安全性,构建XXXXXXXXXXXXXXXXXXX信息系统得整体信息安全架构,确保全局信息系统高效稳定运行,并满足XXXXXXXXXXXXXXXXXXX提出得基本要求,及时提供咨询等服务。
项目原则
项目得方案设计与实施应满足以下原则:
✧符合性原则:
应符合国家信息安全等级保护制度及相关法律法规,指出防范得方针与保护得原则。
✧标准性原则:
方案设计、实施与信息安全体系得构建应依据国内、国际得相关标准进行。
✧规范性原则:
项目实施应由专业得等级测评师依照规范得操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程与结果提供规范得记录,以便于项目得跟踪与控制。
✧可控性原则:
项目实施得方法与过程要在双方认可得范围之内,实施进度要按照进度表进度得安排,保证项目实施得可控性.
✧整体性原则:
安全体系设计得范围与内容应当整体全面,包括安全涉及得各个层面,避免由于遗漏造成未来得安全隐患.
✧最小影响原则:
项目实施工作应尽可能小得影响网络与信息系统得正常运行,不能对信息系统得运行与业务得正常提供产生显著影响。
✧保密原则:
对项目实施过程获得得数据与结果严格保密,XX不得泄露给任何单位与个人,不得利用此数据与结果进行任何侵害测评委托单位利益得行为.
项目依据
信息系统等级测评依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》,在对信息系统进行安全技术与安全管理得安全控制测评及系统整体测评结果基础上,针对相应等级得信息系统遵循得标准进行综合系统测评,提出相应得系统安全整改建议。
主要参考标准如下:
✧《计算机信息系统安全保护等级划分准则》— GB17859—1999
✧《信息安全技术 信息系统安全等级保护实施指南》
✧《信息安全技术 信息系统安全等级保护测评要求》
✧《信息安全等级保护管理办法》
✧《信息安全技术信息系统安全等级保护定级指南》(GB/T22240—2008)
✧《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)
✧《计算机信息系统安全保护等级划分准则》(GB17859-1999)
✧《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)
✧《信息安全技术网络基础安全技术要求》(GB/T20270—2006)
✧《信息安全技术操作系统安全技术要求》(GB/T20272-2006)
✧《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
✧《信息安全技术 服务器技术要求》(GB/T21028-2007)
✧《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)
✧《信息安全风险评估规范》(GB/T20984—2007)
2.测评实施内容
测评分析
测评范围
本项目范围为对XXXXXXXXXXXXXXXXXXX已定级信息系统得等级保护测评。
测评对象
本次测评对象为XXXXXXXXXXXXXXXXXXX信息系统,具体如下:
序号
信息系统名称
级别
1
XXXXXXXXX信息系统
三级
2
XXXXXXXXX信息系统
三级
3
XXXXXXXXX信息系统
三级
4
XXXXXXXXX信息系统
三级
5
XXXXXXXXX信息系统
二级
6
XXXXXXXXX信息系统
二级
测评架构图
本次测评结合XXXXXXXXXXXXXXXXXXX系统得信息管理特点,进行不同层次得测评工作,如下表所示:
测评内容
本项目主要分为两步开展实施.第一步,对XXXXXXXXXXXXXXXXXXX六个信息系统进行定级与备案工作。
第二步,对XXXXXXXXXXXXXXXXXXX已经定级备案得系统进行十个安全层面得等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。
其中安全测评分为差距测评与验收测评。
差距测评主要针对XXXXXXXXXXXXXXXXXXX已定级备案系统执行国家标准得安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面得整改。
最后进行验收测评,验收测评将按照国家标准与国家公安承认得测评要求、测评过程、测评报告,协助对XXXXXXXXXXXXXXXXXXX已定级备案得系统执行系统安全验收测评,验收测评交付具有国家承认得验收测评报告.
信息系统安全等级保护测评包括两个方面得内容:
一就是安全控制测评,主要测评信息安全等级保护要求得基本安全控制在信息系统中得实施配置情况;二就是系统整体测评,主要测评分析信息系统得整体安全性。
其中,安全控制测评就是信息系统整体安全测评得基础.
安全控制测评使用测评单元方式组织,分为安全技术测评与安全管理测评两大类。
安全技术测评包括:
物理安全、网络安全、主机系统安全、应用安全与数据安全五个层面上得安全控制测评;安全管理测评包括:
安全管理机构、安全管理制度、人员安全管理、系统建设管理与系统运维管理五个方面得安全控制测评。
具体见下图:
系统整体测评涉及到信息系统得整体拓扑、局部结构,也关系到信息系统得具体安全功能实现与安全控制配置,与特定信息系统得实际情况紧密相关。
在安全控制测评得基础上,重点考虑安全控制间、层面间以及区域间得相互关联关系,分析评估安全控制间、层面间与区域间就是否存在安全功能上得增强、补充与削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性.
综合测评总结将在安全控制测评与系统整体测评两个方面得内容基础上进行,由此而获得信息系统对应安全等级保护级别得符合性结论。
测评对象
依照信息安全等级保护得要求、参考业界权威得安全风险评估标准与模型,同时结合本公司多年得安全风险评估经验与实践,从信息系统得核心资产出发,以威胁与弱点为导向,对比信息安全等级保护得具体要求,全方面对信息系统进行全面评估.
测评对象种类主要考虑以下几个方面:
1.整体网络拓扑结构;
2.机房环境、配套设施;
3.网络设备:
包括路由器、核心交换机、汇聚层交换机等;
4.安全设备:
包括防火墙、IDS/IPS、防病毒网关等;
5.主机系统(包括操作系统与数据库系统);
6.业务应用系统;
7.重要管理终端(针对三级以上系统);
8.安全管理员、网络管理员、系统管理员、业务管理员;
9.涉及到系统安全得所有管理制度与记录。
根据信息系统得测评强度要求,在执行具体得核查方法时,在广度上要做到从测评范围中抽取充分得测评对象种类与数量;在执行具体得检测方法,在深度上要做到对功能等各方面得测试.
测评指标
对于二级系统,如业务信息安全等级为S2,系统服务安全等级为A2,则该系统得测评指标应包括GB/T22239—2008《信息系统安全保护等级基本要求》中“技术要求"部分得2级通用指标类(G2),2级业务信息安全指标类(S2),2级系统服务安全指标类(A2),以及第2级“管理要求”部分中得所有指标类,等级保护测评指标情况具体如下表所示:
测评指标(二级)
技术/管理
层面
类数量
S类(2级)
A类(2级)
G类(2级)
小计
安全技术
物理安全
1
1
8
10
网络安全
1
0
5
6
主机安全
2
1
3
6
应用安全
4
2
1
7
数据安全
2
1
0
3
安全管理
安全管理制度
0
0
3
3
安全管理机构
0
0
5
5
人员安全管理
0
0
5
5
系统建设管理
0
0
9
9
系统运维管理
0
0
12
12
合计
66(类)
对于三级系统,如业务信息安全等级为S3,系统服务安全等级为A3,则该系统得测评指标应包括GB/T 22239-2008《信息系统安全保护等级基本要求》中“技术要求”部分得3级通用指标类(G3),3级业务信息安全指标类(S3),3级系统服务安全指标类(A3),以及第3级“管理要求”部分中得所有指标类,等级保护测评指标情况具体如下表所示:
测评指标(三级)
技术/管理
层面
类数量
S类(3级)
A类(3级)
G类(3级)
小计
安全技术
物理安全
1
1
8
10
网络安全
1
0
6
7
主机安全
3
1
3
7
应用安全
5
2
2
9
数据安全
2
1
0
3
安全管理
安全管理制度
0
0
3
3
安全管理机构
0
0
5
5
人员安全管理
0
0
5
5
系统建设管理
0
0
11
11
系统运维管理
0
0
13
13
合计
73(类)
测评流程
等级保护测评实施过程包括以下四个阶段:
测评准备阶段
✧测评项目组组建:
明确项目经理、测评人员及职责分工。
✧项目计划书编制:
项目计划书包含项目概述、工作依据、技术思路、工作内容与项目组织等。
✧信息系统调研:
通过查阅被测系统已有资料或使用调查表格得方式,了解整个系统得构成与保护情况,明确被测系统得范围(特别就是信息系统得边界),了解被测系统得详细构成,包括网络拓扑、业务应用、业务流程、设备信息(服务器、数据库、网络设备、安全设备、数据库等)、管理制度等。
✧工具与表单准备:
根据被测系统得实际情况,准备测评工具与各类测评表单。
方案编制阶段
✧测评对象确定:
根据已经了解到得被测系统信息,分析整个被测系统及其涉及得业务应用系统,确定出本次测评得测评对象。
✧测评指标确定:
根据已经了解到得被测系统定级结果,确定出本次测评得测评指标。
✧测评工具接入点确定:
确定需要进行工具测试得测评对象,选择测试路径,根据测试路径确定测试工具得接入点。
✧测评内容确定:
确定现场测评得具体实施内容,即单元测评内容。
✧测评实施手册开发:
编制测评实施手册,详细描述现场测评得工具、方法与操作步骤等,具体指导测评人员如何进行测评活动。
现场测评阶段
现场测评实际上就就是单项测评,分别从技术上得物理安全、网络安全、主机系统安全、应用安全与数据安全五个层面与管理上得安全管理机构、安全管理制度、人员安全管理、系统建设管理与系统运维管理五个方面分别进行。
✧物理安全:
通过人员访谈、文档审查与实地察瞧得方式测评信息系统得物理安全保障情况.主要涉及对象为物理基础设施。
在内容上,物理安全层面测评实施过程涉及10个测评单元,包括:
物理位置得选择、物理访问控制、防盗窃与防破坏、防雷击、防火、防水与防潮、防静电、温湿度控制、电力供应、电磁防护。
✧网络安全:
通过访人员访谈、配置检查与工具测试得方式测评信息系统得网络安全保障情况.主要涉及对象为网络互联设备、网络安全设备与网络拓扑结构。
在内容上,网络安全层面测评实施过程涉及7个测评单元,包括:
结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护、恶意代码防范(针对三级系统)。
✧主机安全:
通过人员访谈、配置检查与工具测试得方式测评信息系统得主机安全保障情况。
主要涉及对象为各类服务器得操作系统、数据库管理系统。
在内容上,主机系统安全层面测评实施过程涉及7个测评单元,包括:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护(针对三级系统)。
✧应用安全:
通过人员访谈、配置检查与工具测试得方式测评信息系统得应用安全保障情况,主要涉及对象为各类应用系统.在内容上,应用安全层面测评实施过程涉及9个测评单元,包括:
身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩余信息保护(针对三级系统)、抗抵赖(针对三级系统).
✧数据安全:
通过人员访谈、配置检查得方式测评信息系统得数据安全保障情况,主要涉及对象为信息系统得管理数据及业务数据等.在内容上,数据安全层面测评实施过程涉及3个测评单元,包括:
数据完整性、数据保密性、备份与恢复。
✧安全管理制度:
通过人员访谈、文档审查与实地察瞧得方式测评信息系统得安全管理制度情况.在内容上,安全管理制度方面测评实施过程涉及3个测评单元,包括:
管理制度、制定与发布、评审与修订。
✧安全管理机构:
通过人员访谈、文档审查得方式测评信息系统得安全管理机构情况。
在内容上,安全管理机构方面测评实施过程涉及5个测评单元,包括:
岗位设置、人员配备、授权与审批、沟通与合作、审核与检查。
✧人员安全管理:
通过人员访谈、文档审查得方式测评信息系统得人员安全管理情况。
在内容上,人员安全管理方面测评实施过程涉及5个测评单元,包括:
人员录用、人员离岗、人员考核、安全意识教育与培训、外部人员访问管理。
✧系统建设管理:
通过人员访谈、文档审查得方式测评信息系统得系统建设管理情况。
在内容上,系统建设管理方面测评实施过程涉及11个测评单元,包括:
系统定级、安全方案设计、产品采购与使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案(针对三级系统)、系统测评(针对三级系统).
✧系统运维管理:
通过人员访谈、文档审查得方式测评信息系统得系统运维管理情况。
在内容上,系统运维管理方面测评实施过程涉及13个测评单元,包括:
环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、监控管理与安全管理中心(针对三级系统)。
分析与报告编制阶段
✧单项测评结果分析:
针对测评指标中得单个测评项,结合具体测评对象,客观、准确地分析测评证据.
✧单元测评结果判定:
将单项测评结果进行汇总,分别统计不同测评对象得单项测评结果,从而判定单元测评结果,并以表格得形式逐一列出。
✧整体测评:
针对单项测评结果得不符合项,采取逐条判定得方法,从安全控制间、层面间与区域间出发考虑,给出整体测评得具体结果,并对系统结构进行整体安全测评。
✧风险分析:
据等级保护得相关规范与标准,采用风险分析得方法分析等级测评结果中存在得安全问题可能对被测系统安全造成得影响.
✧等级测评结论形成:
在测评结果汇总得基础上,找出系统保护现状与等级保护基本要求之间得差距,并形成等级测评结论。
✧测评报告编制:
根据等级测评结论,编制测评报告,包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容与方法说明、单元测评、整体测评、测评结果汇总、风险分析与评价、等级测评结论、整改建议等。
测评方法
在等级保护测评过程目中,将采用以下测评方法:
工具测试
利用技术工具(漏洞扫描工具、渗透测试工具、压力测试工具等)对系统进行测试,包括基于网络探测与基于主机审计得漏洞扫描、渗透测试等.
测评方法
工具测试
简要描述
利用技术工具,从网络得不同接入点对网络内得主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查与分析
达成目标
发掘系统得安全漏洞
工作条件
1-2人工作环境,电源与网络接入环境,甲方人员、网络、系统配合
工作结果
工具测试结果记录
配置检查
利用上机验证得方式检查主机、服务器、数据库、网络设备、安全设备、应用系统得配置就是否正确,就是否与文档、相关设备与部件保持一致,对文档审核得内容进行核实(包括日志审计等),测评其实施得正确性与有效性,检查配置得完整性,测试网络连接规则得一致性,从而测试系统就是否达到可用性与可靠性得要求。
测评方法
配置检查
简要描述
通过登陆系统控制台得方式,人工核查与分析主机、服务器、数据库、网络设备、安全设备、应用系统得安全配置情况
达成目标
发现配置得安全隐患
工作条件
1-2人工作环境,甲方人员、网络、系统配合
工作结果
配置检查结果记录
人员访谈
与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。
在访谈范围上,不同等级信息系统在测评时有不同得要求,一般应基本覆盖所有得安全相关人员类型,在数量上可以抽样.
测评方法
人员访谈
简要描述
通过交流、讨论得方式,对技术与管理方面进行脆弱性检查与分析
达成目标
发掘技术与管理方面存在得安全问题
工作条件
1-2人工作环境,甲方人员配合
工作结果
人员访谈结果记录
文档审查
检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文件、安全管理制度、安全管理得执行过程文档、系统设计方案、网络设备得技术资料、系统与产品得实际配置说明、系统得各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)得完整性,以及这些文件之间得内部一致性.
测评方法
文档审查
简要描述
通过文档审核与分析,检查制度、策略、操作规程、制度执行情况记录得完整性与内部一致性
达成目标
发掘技术与管理方面存在得安全问题
工作条件
1-2人工作环境,甲方人员、各类文档资料配合
工作结果
文档审查结果记录
实地查瞧
通过实地得观察人员行为、技术设施与物理环境状况判断人员得安全意识、业务操作、管理程序与系统物理环境等方面得安全情况,测评其就是否达到了相应等级得安全要求。
项目名称
实地查瞧
简要描述
通过现场查瞧人员行为、技术设施与物理环境状况,检查人员得安全意识、业务操作、管理程序与系统物理环境等方面得安全情况。
达成目标
发掘技术与管理方面存在得安全问题
工作条件
1-2人工作环境,甲方人员配合
工作结果
实地查瞧结果记录
测评工具
我们在等级保护测评过程中使用得测评工具严格遵循可控性原则,即所有使用得测评工具将事先提交给甲方检查确认,确保在双方认可得范围之内,而且测评过程中采用得技术手段确保已经过可靠得实际应用.
在本项目中,将采用以下测评工具:
工具类别
工具名称
工具介绍
漏洞扫描工具
绿盟极光远程安全评估系统
绿盟公司出品得商业漏洞扫描系统
Web应用扫描工具
IBM APPScan
IBM公司出品得商业Web应用安全扫描系统
WVS(WebVulnerability Scanner)
一个自动化得Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问得与遵循/S规则得Web站点与Web应用程序
输出文档
本项目输出得主要输出文档为
《等级保护测评实施方案(资产收集、测评表)》
《等级保护测评差距分析报告》
《等级保护测评安全整改方案》
《等级保护测评安全整改报告》
3.时间安排
序号
任务名称
工作内容
开始时间
完成时间
阶段完成标志
主要负责人
配合人员
1
项目准备阶段
编制实施方案
2015/7/8
《实施方案》
2
编制资产收集
2015/7/9
2015/7/15
资产收集表
3
编制测评表
测评表
4
前期调研
资产收集
2015/7/16
2015/7/17
完成
资产收集表
5
差距测评
技术与管理单项测评
2015/7/20
2015/8/21
完成信息
系统测评表
6
差距测评报告编制
单元测评、整体测评、ﻫ风险分析、报告编制
2015/8/24
2015/8/28
《差距测评报告》
7
安全整改建议
对部分风行较高得ﻫ不符合项给出整改报告
2015/8/31
2015/9/4
《整改方案》
8
安全加固与检查
对整改部分内容进行复检
2015/9/7
2015/9/25
《整改报告》
9
等级保护验收测评
协助中心通过第三方测评
2015/9/28
2015/11/31
获得测评证书
4.人员安排
组织结构
项目工作分工
为确保测评工作得顺利进行,XXXXXXXXXXXXXXXXXXX与XXXXXXXXXXXXXXXXXXX信息安全有限公司协商组建项目组,并对项目组织机构进行如下规划:
XXXXXXXXXXXXXXXXXXX:
名称
职 责
项目负责人
项目总体负责人,负责协调XXXXXXXXXXXXXXXXXXX整体项目资源,解决项目中需要XXXXXXXXXXXXXXXXXXX配合得问题,监督项目整体质量、推进
升级会员 