等级测评方案三级.docx

1、等级测评方案三级1 测 评 方 案1.1 测评流程依照GBT28448-2012 信息安全技术 信息系统安全等级保护测评要求 ，我们以信息安全技术 信息系统安全等级保护测评过程指南（ GBT 28449-2012）为测评输入，采纳相应的（包含：访谈、检查、测试）测评方法，依照相应的测评规程对测评对象 （包含：制度文档、各种设备、安全配置、有关人员）进行相应力度（包含：广度、深度）的单元测评、整体测评，对测评发现的风险项进行剖析评估，提出合理化整顿建议，最后获取相应的信息系统等级测评报告。信息系统等级测评工作共分为四项活动，即测评准备活动、方案编制活动、现场测评活动、结果剖析与报告编制活动，基本

2、工作流程图以下：图表 1 等级测评工作流程图1.2 测评力度信息系统安全保护等级测评力度 二级系统 三级系统测评对象在种类和数目上抽样， 种类 测评对象在数目上抽样，在种类上基本覆访 广度和数目都许多 盖谈深度 充足 较全面测评对象在种类和数目上抽样， 种类 测评对象在数目上抽样，在种类上基本覆检 广度和数目都许多 盖查深度 充足 较全面测评对象在种类和数目、范围上抽 测评对象在数目和范围上抽样，在种类上广度测样，种类和数目都许多，范围大 基本覆盖试深度 功能测试 / 性能测试 功能测试 / 性能测试，浸透测试1.3 测评对象我们一般的测评对象包含： 整体对象，如机房、办公环境、网络等，也包含

3、详细对象，如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。但此次测评为云环境下的测评，因为机房和网络环境的安全责任不归属该单位，故此次测评对象为：主机、应用系统和安全管理制度三个层面有关的对象。在详细测评对象选择工作过程中，依照以下原则：完好性原则，选择的设备、举措等应能知足相应等级的测评力度要求；重要性原则，应抽查重要的服务器、数据库和网络设备等；安全性原则，应抽核对外裸露的网络界限；共享性原则，应抽查共享设备和数据互换平台 / 设备；代表性原则，抽查应尽量覆盖系统各样设备种类、操作系统种类、数据库系统种类和应用系统的种类。1.4 测评依照信息安全测评与其余测评同样，

4、是依照有关的需求、设计、标准和规范，对待测对象进行测试、评估（评论），所以有必需梳理出测评对象、以及采纳的标准规范。测评使用的主要指标依照以下：系统定级 使用的主要指标依照有：计算机信息系统安全保护等级区分准则 （GB 17859-1999）信息安全技术 信息系统安全等级保护定级指南 （GB/T 22240-2008 ）等级保护测评 使用的主要指标依照有：信息安全技术 信息系统安全等级保护基本要求 （GB/T 22239-2008 ）信息安全技术 信息系统安全等级保护测评要求 （ GBT 28448-2012）信息安全技术 信息系统安全等级保护测评过程指南 （GBT 28449-2012）信息

5、安全技术 信息安全风险评估规范 （GB/T 20984-2007 ）现状测评 使用的主要指标依照有：制度检查：以 GB/T22239等级保护基本要求、ISO27000/ISO17799、ITIL 的有关要求作为增补检查要求，检查能否拥有相应的制度、记录。破绽扫描检查：使用工具自带的库和基线。整体网络架构剖析：以鉴于安全域的区分结果进行剖析，主要参照信息系统等级保护安全设计技术要求 （GB/T 25070-2010 ）。浸透测试：没有标准的定义。经过模拟歹意黑客的攻击的方法，来评估信息系统安全防守依照预期计划正常运转。系统信息安全加固、安全建设整顿建议 的主要依照有：信息安全技术 信息系统安全等

6、级保护实行指南 （GB/T 25058-2010 ）Gartner 公司信息安全系统架构OSA（开放安全架构）安全架构SABSA公司安全架构信息安全风险评估规范 （ GB/T 20984-2007）信息技术安全性评估准则 （GB/T 18336.1-2008 ）有关依照 还有：公安部、国家保密局、国际密码管理局、国务院信息化工作办公室结合转发的对于信息安全等级保护工作的实行建议 （公通字 200466 ）、公安部、国家保密局、国家密码管理局、国务院信息化工作办公室拟订的信息安全等级保护管理方法 （公通字200743 号）、政府网络信息系统安全检测方法 （国办发 200928 号）、信息安全技术

7、网络信息系统安全检测与等保测评要求 、信息安全技术网络信息系统安全检测与等保测评过程指南、信息安全技术信息系统通用安全技术要求 （ GB/T20271-2006）、信息安全技术网络基础安全技术要求 （GB/T 20270-2006 ）、信息安全技术操作系统安全技术要求（ GB/T 20272-2006 ）、信息安全技术数据库管理系统安全技术要求 （ GB/T 20273-2006）、信息安全技术服务器技术要求 （ GB/T 21028-2007 ）、信息安全技术信息系统安全管理要求（ GB/T20269-2006）、信息安全技术信息系统安全工程管理要求 （GB/T 20282-2006）、中华

8、人民共和国计算机信息系统安全保护条例 （国务院 147 命令）、国家书息化领导小组对于增强信息安全保障工作的建议（中办发200327号）、信息系统安全保障评估框架（ GB/T 202742006）、信息安全管理适用规则（ GB/T 197162005）。1.5 测评方法1.5.1 访谈依照测评技术方案（访谈问题）列表对有关人员进行访谈，获取与安全管理有关的评估凭证用于判断特定的安全管理举措能否切合国家有关标准以及拜托方的实质需求。1.5.2 检查在物理测评中，测评人员采纳文档查阅与剖析和现场察看等检查操作来获取测评凭证，用于判断目标系统在机房安全方面采纳的特定安全技术举措能否切合国家有关标准以

9、及拜托方的实质需求。在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等方面的测评活动中，测评人员综合采纳文档查阅与剖析、安全配置核查和网络监听与剖析等检查操作来获取测评凭证，用于判断目标系统在主机、网络和应用层面采纳的特定安全技术举措能否切合国家有关标准以及拜托方的实质需求，对有关设备进行检查的过程中，我方不直接操作设备，甲方安排有关配合人员依据我方的检查要求对设备进行操作，并将结果反应给我方。在安全管理测评中，测评人员主要采纳文档查阅与剖析来获取测评凭证，用于判断特定的安全管理举措能否切合国家、行业有关标准的要求以及拜托方的实质需求。1.5.3 测试在网络安全、主机安全和应用安

10、全等方面的测评活动中，测评人员能够采纳手工考证和工具测试等测试操作对特定安全技术举措的有效性进行测试，测试结果用于判断目标系统在网络、主机或应用层面采纳的特定技术举措能否切合国家有关标准以及拜托方的实质需求，并进一步应用于对目标系统进行安全性整体剖析。1.6 测评指标因为国家对不一样级其余信息系统有不一样的安全保护能力要求，国家标准信息安全技术 信息系统安全等级保护基本要求描绘了不一样级别信息系统应当实现的各种安全控制举措，信息系统的安全保护等级确立以后， 对被测系统进行测评的测评指标的提取和形成，是等级测评工作的基础。第三级信息系统的测评指标散布状况以下：第三级信息系统测评指标测评指标技术

11、/安全子类数目安全分类管理S3A3G3小计物理安全11810网络安全1067技术要求主机安全3137应用安全5229数据安全2103安全管理制度0033安全管理机构0055管理要求人员安全管理0055系统建设管理001111系统运维管理001313合计732测评内容测评的内容主要包含技术和管理两个方面的内容，技术方面主要波及主机安全、应用安全与数据安全等方面的内容；管理方面主要波及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理共 10 个层面。2.1 主机安全2.1.1 测评方案和内容序结果切合类型测评要求号记录状况a) 对付登录操作系统和数据库系统的用户进行身份表记和鉴

12、识；b) 操作系统和数据库系统管理用户身份表记应拥有不易被冒用的特色，口令应有复杂度要求并按期改换；c) 应启用登录失败办理功能，可采纳结束会话、限制非身份鉴识法登录次数和自动退出等举措；1（ S3）d) 当对服务器进行远程管理时，应采纳必需举措，防备鉴识信息在网络传输过程中被窃听；e) 应为操作系统和数据库系统的不一样用户分派不一样的用户名，保证用户名拥有独一性。f) 应采纳两种或两种以上组合的鉴识技术对管理用户进行身份鉴识。a) 应启用接见控制功能，依照安全策略控制用户对资源的接见；b) 应依据管理用户的角色分派权限，实现管理用户的权限分别，仅授与管理用户所需的最小权限；接见控制2 c)

13、应实现操作系统和数据库系统特权用户的权限分别；（S3）d)应严格限制默认帐户的接见权限，重命名系统默认帐户，改正这些帐户的默认口令；e)应实时删除剩余的、过期的帐户，防止共享帐户的存在。序类型号安全审计3（G3）节余信息4保护（ S3）结果 切合测评要求记录 状况f)对付重要信息资源设置敏感标志；g)应依照安全策略严格控制用户对有敏感标志重要信息资源的操作；a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；b)审计内容应包含重要用户行为、系统资源的异样使用和重要系统命令的使用等系统内重要的安全有关事件；c)审计记录应包含事件的日期、时间、种类、主体表记、客体表记和结果等；

14、d)应能够依据记录数据进行剖析，并生成审计报表；e)应保护审计进度，防止遇到未预期的中断；f)应保护审计记录，防止遇到未预期的删除、改正或覆盖等。a)应保证操作系统和数据库系统用户的鉴识信息所在的储存空间，被开释或再分派给其余用户前获取完好除去，不论这些信息是寄存在硬盘上仍是在内存中；b)应保证系统内的文件、目录和数据库记录等资源所在的储存空间， 被开释或从头分派给其余用户前获取完好除去。a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源 IP、攻击的种类、攻击的目的、攻击的时间，并在发生严重入侵事件时供给报警；入侵防备b) 应能够对重要程序的完好性进行检测，并在检测到完5整性遇到损

15、坏后拥有恢复的举措；（ G3）c) 操作系统应依照最小安装的原则，仅安装需要的组件和应用程序， 并经过设置升级服务器等方式保持系统补丁实时获取更新。序号67序号类型测评要求结果切合记录状况a) 应安装防歹意代码软件，并实时更新防歹意代码软件版本和歹意代码库；歹意代码防范b) 主机防歹意代码产品应拥有与网络防歹意代码产品不（ G3）同的歹意代码库；c) 应支持防歹意代码的一致管理。a) 应经过设定终端接入方式、网络地址范围等条件限制终端登录；b) 应依据安全策略设置登录终端的操作超时锁定；资源控制c) 对付重要服务器进行监督，包含监督服务器的CPU、（ A3）硬盘、内存、网络等资源的使用状况；d

16、) 应限制单个用户对系统资源的最大或最小使用限度；e) 应能够对系统的服务水平降低到早先规定的最小值进行检测和报警。结果 切合类型 测评要求记录 状况a) 对付登录操作系统和数据库系统的用户进行身份表记和鉴识；b) 操作系统和数据库系统管理用户身份表记应拥有不易被冒用的特色，口令应有复杂度要求并按期改换；身份鉴识c) 应启用登录失败办理功能，可采纳结束会话、限制非法1登录次数和自动退出等举措；（ S2）d) 当对服务器进行远程管理时， 应采纳必需举措， 防备鉴识信息在网络传输过程中被窃听；e) 应为操作系统和数据库系统的不一样用户分派不一样的用户名，保证用户名拥有独一性。序结果切合类型测评要求

17、号记录状况a) 应启用接见控制功能， 依照安全策略控制用户对资源的接见；接见控制b) 应实现操作系统和数据库系统特权用户的权限分别；2（ S2）c) 应限制默认帐户的接见权限，重命名系统默认帐户，修改这些帐户的默认口令；d) 应实时删除剩余的、 过期的帐户， 防止共享帐户的存在。a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；b) 审计内容应包含重要用户行为、 系统资源的异样使用和安全审计重要系统命令的使用等系统内重要的安全有关事件；3（ G2）c) 审计记录应包含事件的日期、时间、种类、主体表记、客体表记和结果等；d) 应保护审计记录， 防止遇到未预期的删除、 改正或覆盖等。入

18、侵防备操作系统应依照最小安装的原则，仅安装需要的组件和应4用程序，并经过设置升级服务器等方式保持系统补丁实时（ G2）获取更新。a) 应安装防歹意代码软件， 并实时更新防歹意代码软件版歹意代码本和歹意代码库；5防备（ G2）b) 应支持防歹意代码软件的一致管理。a) 应经过设定终端接入方式、 网络地址范围等条件限制终端登录；资源控制6b) 应依据安全策略设置登录终端的操作超时锁定；（ A2）c)应限制单个用户对系统资源的最大或最小使用限度。2.1.2 配合需求配合项目 需求说明访谈 访谈系统管理员查察资料 供给有关备份记录文件、审计记录等实地检查 查察运维系统、检查设备配置、工具接入配合2.2

19、 应用安全2.2.1 测评方案和内容序结果切合类型测评要求记录状况号a) 应供给专用的登录控制模块对登录取户进行身份表记和鉴识；b) 对付同一用户采纳两种或两种以上组合的鉴识技术实现用户身份鉴识；c) 应供给用户身份表记独一和鉴识信息复杂度检查功能，保身 份 鉴证应用系统中不存在重复用户身份表记，身份鉴识信息不易1被冒用；别（ S3）2d)应供给登录失败办理功能， 可采纳结束会话、 限制非法登录次数和自动退出等举措；e)应启用身份鉴识、 用户身份表记独一性检查、 用户身份鉴别信息复杂度检查以及登录失败办理功能， 并依据安全策略配置有关参数。a)应供给接见控制功能， 依照安全策略控制用户对文件、

20、 数访 问 控 据库表等客体的接见；制（ S3）b) 接见控制的覆盖范围应包含与资源接见有关的主体、 客体及它们之间的操作；序结果切合类型测评要求号记录状况c) 应由受权主体配置接见控制策略，并严格限制默认帐户的接见权限；d) 应授与不一样帐户为达成各自肩负任务所需的最小权限，并在它们之间形成互相限制的关系。e) 应拥有对重要信息资源设置敏感标志的功能；f) 应依照安全策略严格控制用户对有敏感标志重要信息资源的操作；a) 应供给覆盖到每个用户的安全审计功能， 对应用系统重要安全事件进行审计；b)应保证没法独自中断审计进度， 没法删除、 改正或覆盖审安全审计记录；3计（ G3）c)审计记录的内容

21、起码应包含事件的日期、 时间、倡始者信息、种类、描绘和结果等；d)应供给对审计记录数据进行统计、 查问、剖析及生成审计报表的功能。a)应保证用户鉴识信息所在的储存空间被开释或再分派给剩 余 信 其余用户前获取完好除去， 不论这些信息是寄存在硬盘上还4息 保 护 是在内存中；（S3）b)应保证系统内的文件、 目录和数据库记录等资源所在的储存空间被开释或从头分派给其余用户前获取完好除去。通 信 完5 整 性 应采纳密码技术保证通信过程中数据的完好性。（S3）a) 在通信两方成立连结从前，应用系统应利用密码技术进行通 信 保会话初始化考证；6密性（ S3）b) 对付通信过程中的整个报文或会话过程进行

22、加密。序 结果 切合类型 测评要求号 记录 状况a)应拥有在恳求的状况下为数据原发者或接收者供给数据原发凭证的功能；抗 抵 赖7（G3）b)应拥有在恳求的状况下为数据原发者或接收者供给数据接收凭证的功能。软 件 容8错（ A3）资 源 控9制（ A3）a)应供给数占有效性查验功能， 保证经过人机接口输入或经过通信接口输入的数据格式或长度切合系统设定要求；b)应供给自动保护功能， 当故障发生时自动保护目前所有状态，保证系统能够进行恢复。a)当应用系统的通信两方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；b)应能够对系统的最大并发会话连结数进行限制；c)应能够对单个帐户的多重并发会

23、话进行限制；d)应能够对一个时间段内可能的并发会话连结数进行限制；e)应能够对一个接见帐户或一个恳求进度占用的资源分派最大限额和最小限额；f)应能够对系统服务水平降低到早先规定的最小值进行检测和报警；g) 应供给服务优先级设定功能， 并在安装后依据安全策略设定接见帐户或恳求进度的优先级，依据优先级分派系统资源。序结果切合类型测评要求号记录状况身份鉴识a) 应供给专用的登录控制模块对登录取户进行身份表记1和鉴识；（ S2）序类型号接见控制2（S2）结果 切合测评要求记录 状况b)应供给用户身份表记独一和鉴识信息复杂度检查功能，保证应用系统中不存在重复用户身份表记，身份鉴识信息不易被冒用；c)应供

24、给登录失败办理功能，可采纳结束会话、限制非法登录次数和自动退出等举措；d)应启用身份鉴识、用户身份表记独一性检查、用户身份鉴识信息复杂度检查以及登录失败办理功能，并依据安全策略配置有关参数。a)应供给接见控制功能，依照安全策略控制用户对文件、数据库表等客体的接见；b)接见控制的覆盖范围应包含与资源接见有关的主体、 客体及它们之间的操作；c)应由受权主体配置接见控制策略，并严格限制默认帐户的接见权限；d)应授与不一样帐户为达成各自肩负任务所需的最小权限，并在它们之间形成互相限制的关系。a) 应供给覆盖到每个用户的安全审计功能， 对应用系统重要安全事件进行审计；安全审计3 b) 应保证没法删除、改

25、正或覆盖审计记录；（G2）c)审计记录的内容起码应包含事件日期、时间、倡始者信息、种类、描绘和结果等。通信完好4 应采纳校验码技术保证通信过程中数据的完好性。性（ S2）a)在通信两方成立连结从前， 应用系统应利用密码技术进行会话初始化考证；通信保密5性（ S2）b)对付通信过程中的敏感信息字段进行加密。序号类型测评要求结果记录切合状况a) 应供给数占有效性查验功能， 保证经过人机接口输入或经过通信接口输入的数据格式或长度切合系统设定要求；软件容错6（A2）b)在故障发生时，应用系统应能够持续供给一部分功能，保证能够实行必需的举措。a) 当应用系统的通信两方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；资源控制7b) 应能够对应用系统的最大并发会话连结数进行限制；（ A2）c)应能够对单个帐户的多重并发会话进行限制。2.2.2 配合需求配合项目