信息系统等级保护测评工作方案.docx

1、信息系统等级保护测评工作方案XX安全服务公司201201年XXX项目等级保护差距测评实施方案XXXXXXX信息安全有限公司20X年X月目 录目 录1、 项目概述11、 项目背景1、2、项目目标1、3、项目原则1、4、项目依据22、测评实施内容 3、测评范围、1、2、 测评对象 32、1、测评内容 42、1、测评对象 6、1、测评指标 2、2、1、测评准备阶段 92、2、2、方案编制阶段 9、2、现场测评阶段12、2、4、分析与报告编制阶段1、 测评方法12、3、1、 工具测试122、2、配置检查 12、3、 人员访谈 132、3、4、 文档审查 142、实地查瞧14、4、 测评工具152、 输

2、出文档 52、5、等级保护测评差距报告152、5、3、 安全整改建议 16、 时间安排164、 人员安排 17、 组织结构及分工 174、2、 人员配置表184、3、工作配合19、其她相关事项 2、2、 项目信息管理 25、2、 保密责任法律保证25、2、2、 现场安全保密管理25、2、3、文档安全保密管理 35、4、离场安全保密管理24、2、5、其她情况说明 241.项目概述项目背景为了贯彻落实国家信息化领导小组关于加强信息安全保障工作得意见、关于信息安全等级保护工作得实施意见与信息安全等级保护管理办法得精神，205年XXXXXXXXXXXXXXX需要按照国家信息安全技术信息系统安全等级保护

3、定级指南、计算机信息系统安全保护等级划分准则、信息系统安全等级保护基本要求、信息系统安全等级保护测评 准则得要求，对XXXXXXXXXXXX现有六个信息系统进行全面得信息安全测评与评估工作，并且为XXXXXXXXXXXXX提供驻点咨询、实施等服务.(安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全与数据安全五个层面上得安全控制测评;安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理与系统运维管理等五个方面得安全控制测评）,加大测评与风险评估力度,对信息系统得资产、威胁、弱点与风险等要素进行全面评估，有效提升信心系统得安全防护能力，建立常态化得等级保护工作机制，

4、深化信息安全等级保护工作,提高XXXXXXXXXXXXXXXX网络与信息系统得安全保障与运维能力。项目目标全面完成XXXXXXXXXXXXXXXX现有六个信息系统得信息安全测评与评估工作与协助整改工作，并且为XXXXXXXXXXX提供驻点咨询、实施等服务，按照国家与XXXXXXXXXXXXXXX得有关要求，对XXXXXXXXXXXXXXX得网络架构进行业务影响分析及网络安全管理工作进行梳理,提高XXXXXXXXXXXXX整个网络得安全保障与运维能力,减少信息安全风险与降低信息安全事件发生得概率，全面提高网络层面得安全性,构建XXXXXXXXXXXXX信息系统得整体信息安全架构,确保全局信息系统

5、高效稳定运行,并满足XXXXXXXXXXXXXXXXXX提出得基本要求,及时提供咨询等服务。项目原则项目得方案设计与实施应满足以下原则：符合性原则:应符合国家信息安全等级保护制度及相关法律法规，指出防范得方针与保护得原则。标准性原则：方案设计、实施与信息安全体系得构建应依据国内、国际得相关标准进行。规范性原则：项目实施应由专业得等级测评师依照规范得操作流程进行，在实施之前将详细量化出每项测评内容，对操作过程与结果提供规范得记录,以便于项目得跟踪与控制。可控性原则:项目实施得方法与过程要在双方认可得范围之内,实施进度要按照进度表进度得安排，保证项目实施得可控性.整体性原则：安全体系设计得范围与内

6、容应当整体全面，包括安全涉及得各个层面，避免由于遗漏造成未来得安全隐患.最小影响原则:项目实施工作应尽可能小得影响网络与信息系统得正常运行,不能对信息系统得运行与业务得正常提供产生显著影响。保密原则：对项目实施过程获得得数据与结果严格保密,XX不得泄露给任何单位与个人，不得利用此数据与结果进行任何侵害测评委托单位利益得行为.项目依据信息系统等级测评依据信息系统安全等级保护基本要求、信息系统安全等级保护测评要求，在对信息系统进行安全技术与安全管理得安全控制测评及系统整体测评结果基础上，针对相应等级得信息系统遵循得标准进行综合系统测评,提出相应得系统安全整改建议。主要参考标准如下：计算机信息系统安

7、全保护等级划分准则GB17859199信息安全技术 信息系统安全等级保护实施指南信息安全技术信息系统安全等级保护测评要求信息安全等级保护管理办法信息安全技术 信息系统安全等级保护定级指南(GBT 22402008）信息安全技术 信息系统安全等级保护基本要求(G/ 22239-08）计算机信息系统安全保护等级划分准则（GB7859199)信息安全技术信息系统通用安全技术要求（GB/T271-2006)信息安全技术 网络基础安全技术要求(GB/270006)信息安全技术 操作系统安全技术要求(GBT20272-2006）信息安全技术 数据库管理系统安全技术要求（GBT20232006）信息安全技术

8、服务器技术要求(G/T0282007）信息安全技术 终端计算机系统安全等级技术要求（A/T61200）信息安全风险评估规范(GBT 2094200）2.测评实施内容测评分析测评范围本项目范围为对XXXXXXXXXXXXXXXX已定级信息系统得等级保护测评。测评对象本次测评对象为XXXXXXXXXXXXXX信息系统,具体如下:序号信息系统名称级别1XXXXXXX信息系统三级2XXXXXX信息系统三级3XXXXXXX信息系统三级4XXXXX信息系统三级5XXXXXXXXX信息系统二级6XXXXXX信息系统二级测评架构图本次测评结合XXXXXXXXXXXXXX系统得信息管理特点，进行不同层次得测评工

9、作，如下表所示:测评内容本项目主要分为两步开展实施.第一步,对XXXXXXXXXXX六个信息系统进行定级与备案工作。第二步，对XXXXXXXXXXXXXX已经定级备案得系统进行十个安全层面得等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。其中安全测评分为差距测评与验收测评。差距测评主要针对XXXXXXXXXXXXXXX已定级备案系统执行国家标准得安全测评，差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面得整改。最后进行验收测评，验收测评将按照国家标准与国家公安承

10、认得测评要求、测评过程、测评报告，协助对XXXXXXXXXXXXX已定级备案得系统执行系统安全验收测评,验收测评交付具有国家承认得验收测评报告.信息系统安全等级保护测评包括两个方面得内容：一就是安全控制测评，主要测评信息安全等级保护要求得基本安全控制在信息系统中得实施配置情况;二就是系统整体测评，主要测评分析信息系统得整体安全性。其中，安全控制测评就是信息系统整体安全测评得基础.安全控制测评使用测评单元方式组织，分为安全技术测评与安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全与数据安全五个层面上得安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员

11、安全管理、系统建设管理与系统运维管理五个方面得安全控制测评。具体见下图：系统整体测评涉及到信息系统得整体拓扑、局部结构,也关系到信息系统得具体安全功能实现与安全控制配置,与特定信息系统得实际情况紧密相关。在安全控制测评得基础上,重点考虑安全控制间、层面间以及区域间得相互关联关系,分析评估安全控制间、层面间与区域间就是否存在安全功能上得增强、补充与削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性.综合测评总结将在安全控制测评与系统整体测评两个方面得内容基础上进行，由此而获得信息系统对应安全等级保护级别得符合性结论。测评对象依照信息安全等级保护得要求、参考业界权威得安全风险评估标准与

12、模型，同时结合本公司多年得安全风险评估经验与实践,从信息系统得核心资产出发，以威胁与弱点为导向,对比信息安全等级保护得具体要求，全方面对信息系统进行全面评估.测评对象种类主要考虑以下几个方面：1整体网络拓扑结构；2机房环境、配套设施；3网络设备：包括路由器、核心交换机、汇聚层交换机等；4安全设备:包括防火墙、ID/IS、防病毒网关等；5主机系统(包括操作系统与数据库系统）；6业务应用系统;7重要管理终端（针对三级以上系统)； 8安全管理员、网络管理员、系统管理员、业务管理员；9涉及到系统安全得所有管理制度与记录。根据信息系统得测评强度要求，在执行具体得核查方法时，在广度上要做到从测评范围中抽取

13、充分得测评对象种类与数量;在执行具体得检测方法，在深度上要做到对功能等各方面得测试.测评指标对于二级系统，如业务信息安全等级为S2，系统服务安全等级为A2,则该系统得测评指标应包括/T 2292008信息系统安全保护等级基本要求中“技术要求部分得2级通用指标类（G），级业务信息安全指标类（S2）,2级系统服务安全指标类（A2）,以及第2级“管理要求”部分中得所有指标类，等级保护测评指标情况具体如下表所示:测评指标(二级）技术管理层面类数量类（级）A类(2级）G类(2级）小计安全技术物理安全11810网络安全06主机安全2136应用安全4217数据安全210安全管理安全管理制度033安全管理机构

14、00人员安全管理0055系统建设管理09系统运维管理022合计6(类）对于三级系统，如业务信息安全等级为S3,系统服务安全等级为A3，则该系统得测评指标应包括GBT22239-008信息系统安全保护等级基本要求中“技术要求”部分得3级通用指标类(G3），3级业务信息安全指标类（S3）,级系统服务安全指标类(A3）,以及第3级“管理要求”部分中得所有指标类，等级保护测评指标情况具体如下表所示： 测评指标(三级)技术管理层面类数量S类（3级）类(3级)类（级）小计安全技术物理安全11810网络安全1067主机安全37应用安全529数据安全2103安全管理安全管理制度0033安全管理机构05人员安全

15、管理05系统建设管理0111系统运维管理133合计3（类）测评流程等级保护测评实施过程包括以下四个阶段:测评准备阶段测评项目组组建:明确项目经理、测评人员及职责分工。项目计划书编制：项目计划书包含项目概述、工作依据、技术思路、工作内容与项目组织等。信息系统调研：通过查阅被测系统已有资料或使用调查表格得方式,了解整个系统得构成与保护情况,明确被测系统得范围(特别就是信息系统得边界）,了解被测系统得详细构成,包括网络拓扑、业务应用、业务流程、设备信息(服务器、数据库、网络设备、安全设备、数据库等）、管理制度等。工具与表单准备：根据被测系统得实际情况,准备测评工具与各类测评表单。方案编制阶段测评对象

16、确定:根据已经了解到得被测系统信息，分析整个被测系统及其涉及得业务应用系统，确定出本次测评得测评对象。测评指标确定：根据已经了解到得被测系统定级结果，确定出本次测评得测评指标。测评工具接入点确定:确定需要进行工具测试得测评对象,选择测试路径,根据测试路径确定测试工具得接入点。测评内容确定:确定现场测评得具体实施内容，即单元测评内容。测评实施手册开发:编制测评实施手册,详细描述现场测评得工具、方法与操作步骤等,具体指导测评人员如何进行测评活动。现场测评阶段现场测评实际上就就是单项测评,分别从技术上得物理安全、网络安全、主机系统安全、应用安全与数据安全五个层面与管理上得安全管理机构、安全管理制度、

17、人员安全管理、系统建设管理与系统运维管理五个方面分别进行。物理安全：通过人员访谈、文档审查与实地察瞧得方式测评信息系统得物理安全保障情况.主要涉及对象为物理基础设施。在内容上，物理安全层面测评实施过程涉及个测评单元，包括：物理位置得选择、物理访问控制、防盗窃与防破坏、防雷击、防火、防水与防潮、防静电、温湿度控制、电力供应、电磁防护。网络安全:通过访人员访谈、配置检查与工具测试得方式测评信息系统得网络安全保障情况.主要涉及对象为网络互联设备、网络安全设备与网络拓扑结构。在内容上，网络安全层面测评实施过程涉及个测评单元，包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护、恶

18、意代码防范（针对三级系统）。主机安全：通过人员访谈、配置检查与工具测试得方式测评信息系统得主机安全保障情况。主要涉及对象为各类服务器得操作系统、数据库管理系统。在内容上，主机系统安全层面测评实施过程涉及7个测评单元，包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护（针对三级系统）。应用安全：通过人员访谈、配置检查与工具测试得方式测评信息系统得应用安全保障情况，主要涉及对象为各类应用系统.在内容上,应用安全层面测评实施过程涉及9个测评单元,包括:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩余信息保护(针对三级系统)、抗抵赖(针对三

19、级系统).数据安全：通过人员访谈、配置检查得方式测评信息系统得数据安全保障情况，主要涉及对象为信息系统得管理数据及业务数据等.在内容上，数据安全层面测评实施过程涉及个测评单元，包括:数据完整性、数据保密性、备份与恢复。安全管理制度：通过人员访谈、文档审查与实地察瞧得方式测评信息系统得安全管理制度情况.在内容上,安全管理制度方面测评实施过程涉及3个测评单元,包括：管理制度、制定与发布、评审与修订。安全管理机构:通过人员访谈、文档审查得方式测评信息系统得安全管理机构情况。在内容上,安全管理机构方面测评实施过程涉及5个测评单元，包括:岗位设置、人员配备、授权与审批、沟通与合作、审核与检查。人员安全管

20、理:通过人员访谈、文档审查得方式测评信息系统得人员安全管理情况。在内容上，人员安全管理方面测评实施过程涉及5个测评单元，包括：人员录用、人员离岗、人员考核、安全意识教育与培训、外部人员访问管理。系统建设管理:通过人员访谈、文档审查得方式测评信息系统得系统建设管理情况。在内容上,系统建设管理方面测评实施过程涉及11个测评单元，包括：系统定级、安全方案设计、产品采购与使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案(针对三级系统）、系统测评（针对三级系统）.系统运维管理：通过人员访谈、文档审查得方式测评信息系统得系统运维管理情况。在内容上，系统运维管理方面测

21、评实施过程涉及3个测评单元，包括：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、监控管理与安全管理中心（针对三级系统）。分析与报告编制阶段单项测评结果分析:针对测评指标中得单个测评项,结合具体测评对象，客观、准确地分析测评证据.单元测评结果判定:将单项测评结果进行汇总,分别统计不同测评对象得单项测评结果，从而判定单元测评结果,并以表格得形式逐一列出。整体测评：针对单项测评结果得不符合项，采取逐条判定得方法,从安全控制间、层面间与区域间出发考虑,给出整体测评得具体结果，并对系统结构进行整体安全

22、测评。风险分析:据等级保护得相关规范与标准,采用风险分析得方法分析等级测评结果中存在得安全问题可能对被测系统安全造成得影响.等级测评结论形成:在测评结果汇总得基础上，找出系统保护现状与等级保护基本要求之间得差距,并形成等级测评结论。测评报告编制:根据等级测评结论，编制测评报告,包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容与方法说明、单元测评、整体测评、测评结果汇总、风险分析与评价、等级测评结论、整改建议等。测评方法在等级保护测评过程目中，将采用以下测评方法：工具测试利用技术工具（漏洞扫描工具、渗透测试工具、压力测试工具等）对系统进行测试，包括基于网络探测与基于主机审计得漏洞扫描

23、、渗透测试等.测评方法工具测试简要描述利用技术工具,从网络得不同接入点对网络内得主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查与分析达成目标发掘系统得安全漏洞工作条件1-2人工作环境,电源与网络接入环境，甲方人员、网络、系统配合工作结果工具测试结果记录配置检查利用上机验证得方式检查主机、服务器、数据库、网络设备、安全设备、应用系统得配置就是否正确，就是否与文档、相关设备与部件保持一致，对文档审核得内容进行核实(包括日志审计等),测评其实施得正确性与有效性，检查配置得完整性,测试网络连接规则得一致性,从而测试系统就是否达到可用性与可靠性得要求。测评方法配置检查简要描述通过登陆系统控制台

24、得方式，人工核查与分析主机、服务器、数据库、网络设备、安全设备、应用系统得安全配置情况达成目标发现配置得安全隐患工作条件1-人工作环境,甲方人员、网络、系统配合工作结果配置检查结果记录人员访谈与被测系统有关人员(个人/群体)进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级信息系统在测评时有不同得要求,一般应基本覆盖所有得安全相关人员类型，在数量上可以抽样.测评方法人员访谈简要描述通过交流、讨论得方式，对技术与管理方面进行脆弱性检查与分析达成目标发掘技术与管理方面存在得安全问题工作条件-2人工作环境，甲方人员配合工作结果人员访谈结果记录文档审查检查制度、策略、操作规程、制

25、度执行情况记录等文档（包括安全方针文件、安全管理制度、安全管理得执行过程文档、系统设计方案、网络设备得技术资料、系统与产品得实际配置说明、系统得各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档）得完整性，以及这些文件之间得内部一致性.测评方法文档审查简要描述通过文档审核与分析，检查制度、策略、操作规程、制度执行情况记录得完整性与内部一致性达成目标发掘技术与管理方面存在得安全问题工作条件1-人工作环境,甲方人员、各类文档资料配合工作结果文档审查结果记录实地查瞧通过实地得观察人员行为、技术设施与物理环境状况判断人员得安全意识、业务操作、管理程序与系统物理环境等方面得安全情况,测评其就

26、是否达到了相应等级得安全要求。项目名称实地查瞧简要描述通过现场查瞧人员行为、技术设施与物理环境状况，检查人员得安全意识、业务操作、管理程序与系统物理环境等方面得安全情况。达成目标发掘技术与管理方面存在得安全问题工作条件1-人工作环境，甲方人员配合工作结果实地查瞧结果记录测评工具我们在等级保护测评过程中使用得测评工具严格遵循可控性原则,即所有使用得测评工具将事先提交给甲方检查确认,确保在双方认可得范围之内,而且测评过程中采用得技术手段确保已经过可靠得实际应用.在本项目中,将采用以下测评工具：工具类别工具名称工具介绍漏洞扫描工具绿盟极光远程安全评估系统绿盟公司出品得商业漏洞扫描系统Web应用扫描工

27、具IBMPPScnBM公司出品得商业Web应用安全扫描系统（Web VulneabiityScaner)一个自动化得eb应用程序安全测试工具,它可以扫描任何可通过Wb浏览器访问得与遵循规则得Web站点与e应用程序输出文档本项目输出得主要输出文档为等级保护测评实施方案（资产收集、测评表)等级保护测评差距分析报告等级保护测评安全整改方案等级保护测评安全整改报告3.时间安排序号任务名称工作内容开始时间完成时间阶段完成标志主要负责人配合人员1项目准备阶段 编制实施方案215/7/实施方案2编制资产收集21/7/9205/7/1资产收集表编制测评表 测评表4前期调研资产收集201/7/16201/17完

28、成资产收集表5差距测评 技术与管理单项测评015/7/201/821完成信息系统测评表差距测评报告编制 单元测评、整体测评、风险分析、报告编制 015/42015/8/28差距测评报告 7安全整改建议 对部分风行较高得不符合项给出整改报告 2015/8/31215/9/4整改方案 8安全加固与检查对整改部分内容进行复检 015/9215/92整改报告9等级保护验收测评 协助中心通过第三方测评215/9/282015/131获得测评证书4.人员安排组织结构项目工作分工为确保测评工作得顺利进行,XXXXXXXXXXXXXXX与XXXXXXXXXXXXX信息安全有限公司协商组建项目组，并对项目组织机构进行如下规划：XXXXXXXXXXXXXXXX：名 称职 责项目负责人项目总体负责人，负责协调XXXXXXXXXXXXXXX整体项目资源,解决项目中需要XXXXXXXXXXXX配合得问题,监督项目整体质量、推进