网络安全等级保护测评项目V2.1

1、XXX网络安全等级保护测评服务项目网络安全等级保护资质公安部审核批准国家等保办推荐 DJCP2017340099基于信息系统全生命周期的安全服务培训服务规划阶段分析阶段设计阶段实施阶段运行维护阶段等级保护咨询服务等级保护技术体系设计咨询等级保护管理体系设计咨询管理体系咨询服务（ISO/IEC 27001 、ISO/IEC 20000 、ISO22301、ITSS）专家评审（等级保护信息系统定级评审、项目设计方案、安全方案评审、项目验收评审）网络安全规划服务风险评估服务等级保护测评服务渗透测试安全运维服务应急体系建设漏洞扫描攻防演练应急响应等保云防软件测评代码审计移动应用安全密码测评服务目录01

2、. 项目背景02. 项目计划03. 测评实施PART01项目背景大数据互联网物联网云计算移动计算人工智能项目背景随着信息技术的发展，网络安全已成为个人乃至国家安全的核心要素层次五 自我实现的需求（是指如何发挥潜能、实现理想的需要）层次四 尊重的需求（是指对威信、地位、自我尊重的需要）层次三 社会需求（是指对爱情、友谊、归属的需要）层次二 安全需求（是指对保护、秩序、稳定的需要）层次一 生理需求（是指对食物、水、空气、住房的需要）基础性需求新型勒索病毒肆虐，造成全球互联网灾难WannaCry，一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（美国国家安全局）泄露的危险漏洞“Et

3、ernalBlue”（永恒之蓝）进行传播。 WannaCry勒索病毒的全球大爆发，俨然是一场全球性互联网灾难，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，它是自熊猫烧香以来影响力最大的病毒之一。 中国部分Windows操作系统用户遭受感染，校园网用用首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。2018年3月末，思科高危漏洞 CVE-2018-0171在清明小长假期间被黑客利用发动攻击，国内多家机构中招，配置文件被清空，安全设备形同虚设。此漏洞影响底层网络设备，且漏

4、洞 PoC 已公开，很有可能构成重大威胁思科3月28日发布安全公告指出，思科 IOS 和 IOS-XE 软件 Smart Install Client （开启了Cisco Smart Install管理协议，且模式为client模式）存在远程代码执行漏洞CVE-2018-0171，CVSS 评分高达9.8分（总分10分）。攻击者可远程向 TCP 4786 端口发送恶意数据包，触发目标设备的栈溢出漏洞造成设备拒绝服务（DoS）或远程执行任意代码黑客利用思科高危漏洞攻击国内多家机构网络安全法党委（党组）网络安全工作责任制实施办法第二条 网络安全工作事关国家安全、政权安全和经济社会发展。按照谁主管谁

5、负责、属地管理的原则，各级党委（党组）对本地区本部门网络安全工作负主体责任，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人。第三条 各级党委（党组）主要承担的网络安全责任是：（一）认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署，贯彻落实网络安全法律法规，明确本地区本部门网络安全的主要目标、基本要求、工作任务、保护措施；（二）建立和落实网络安全责任制，把网络安全工作纳入重要议事日程，明确工作机构，加大人力、财力、物力的支持和保障力度；（三）统一组织领导本地区本部门网络安全保护和重大事件处置工作，研究解决重要问题；（四）采取有效措施，为公安机关、国

6、家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动提供支持和保障；（五）组织开展经常性网络安全宣传教育，采取多种方式培养网络安全人才，支持网络安全技术产业发展。网络安全是一把手工程等级保护重点等级保护是以法律形式确立的网络空间安全基本制度，其核心是划分等级 重点保护定级方法GB/T 222402008 信息系统安全等级保护定级指南等级对象侵害客体侵害程度监管强度第一级一般系统公民、法人的合法权益损害自主保护第二级一般系统公民、法人的合法权益严重损害指导保护社会秩序和公众利益损害第三级重要系统社会秩序和公众利益严重损害监督检查国家安全损害第四级重要系统社会秩序和公众利益特别严重损害强制监

7、督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查等级保护制度体系定级、备案、建设、整改、监督检查信息安全等级保护工作定级备案安全建设整改等级测评检查关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技【2008】）2071号信息安全等级保护备案实施细则（公信安【2007】1360号）关于开展信息系统等级保护安全建设整改工作的指导意见（公信安【2009】1429号）关于开展全国重要信息系统安全等级保护定级工作的通知（公通字20078816号）关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安【2010】303号）公安机关信息安全等级保护检

8、查工作规范（试行）（公信安【2008】736号）信息安全等级保护管理办法（公通字【2007】43号）关于信息安全等级保护工作的实施意见（公通字【2004】66号）中华人民共和国计算机信息系统安全保护条例（国务院147号令）国家信息化领导小组关于加强信息安全保障工作的意见(中办发【2003】27号)关于印发信息系统安全等级测评报告模板（试行）的通知【2019】1487号）PART02项目计划目标范围项目目标：本项目主要以等级保护基本要求为依据，并参考国内、国外信息安全相关标准和最佳实践，根据凤阳县人民医院HIS系统、LIS系统、PACS系统、电子病历系统的安全现状，提出具体的整改建议，降低系统安

9、全性风险，并顺利通过2.0三级等保项目范围：凤阳县人民医院HIS系统、LIS系统、PACS系统、电子病历系统所涉及的办公环境、物理环境、网络环境、网络设备、安全设备、主机设备、应用系统及相关管理制度指标范围：根据信息安全技术 网络安全等级保护基本要求（GB/T 22239-2019）选取对应系统级别的测评指标。计划安排测评工作分为测评准备、方案编制、现场测评、报告编制四个阶段，细化为以下几个阶段，计划时间安排如下：项目启动测评准备方案编制现场测评整改建设报告编制结项阶段定级备案公安审核调研准备基本情况表工具选用测评方案项目计划书启动会PPT技术测评管理测评风险分析技术整改管理整改结果更新报告编

10、制报告审核项目验收已完成进行中未开始2019-12-232019-12-232019-12-262019-12-302020-01-03入场材料验证测试入场材料2020-01-062020-01-15PART03测评实施实施依据信息安全技术 网络安全等级保护基本要求（GB/T 22239-2019）信息安全技术 网络安全等级保护设计技术要求（GB/T 25070-2019）信息安全技术 网络安全等级保护测评要求（GB/T 28448-2019）信息安全技术 网络安全等级保护测评过程指南（GB/T 28449-2018）信息安全技术 网络安全等级保护实施指南（GB/T 25058）（修订中）测评

11、指标基本要求子类等保二级等保三级技术要求安全物理环境1522安全通信网络48安全区域边界1120安全计算环境2334安全管理中心412管理要求安全管理制度67安全管理机构914安全管理人员712安全建设管理2534安全运维管理3148要求项合计135211211个检查项135个检查项10大安全领域测评方法访谈测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样。检查测评人员通过对测评对象进行观察、查验、分析等活动，获取相关证据以证明信息系统安全保护措施是否

12、有效实施的一种方法。在检查范围上，应基本覆盖所有的对象种类（设备、文档、机制等），数量上可以抽样。测试测评人员针对测评对象按照预定的方法/工具使其产生特定的响应，通过查看和分析响应的输出结果，获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上，应基本覆盖不同类型的机制，在数量上可以抽样。测评实施原则项目实施原则应在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动客观性和公正性原则鼓励测评工作重用以前的测评结果。所有重用的结果，都应基于这些结果还能适用于目前的系统，能反映目前系统的安全状态经济性和可重用性原则无论谁执

13、行测评，依照同样的要求，使用同样的方法，对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性可重复性和可再现性原则测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。整体性体现在等级测评的范围和内容应当系统、全面，覆盖信息系统安全所涉及的各个层面，并考虑各个层面的相互关系符合性和整体性原则测评工作应尽可能小地影响网络和系统的正常运行，不能对系统的业务产生显著影响。保密性体现在对测评过程中所接触到的被测系统运营、使用

14、单位的所有敏感信息，测评人员应遵循相关的保密承诺，不利用它们进行任何侵害被测系统运营、损害单位安全利益的行为符合性和整体性原则测评报告考量重点测评报告重点考量项通过漏洞扫描、渗透测试发现，存在中高危风险漏洞的信息系统必须整改完成方可出具测评报告，否则报告结论为“差”高危漏洞整改信息系统中网络设备、主机（操作系统、数据库）和应用系统应满足基本的安全配置需求。如应设置密码复杂度、具备安全审计功能等系统安全配置网络全局安全方面须部署边界防护设备（如带有安全防护功能的防火墙、IPS/IDS等），能够基本抵御外网威胁，同时保证内网安全网络安全防护重要网络设备、应用系统服务器等应采用冗余部署方式，保证系统

15、的高可用性系统高可用考察委托单位网络安全职责落实情况，是否由各级党委（党组）领导班子主要负责人为第一责任人，或单位最高领导作为第一责任人网络安全责任制安全物理环境测评内容及安排序号测评项检查方式/时间测评对象天帷人员配合人员1物理位置选择访谈、检查已完成机房内部环境机房门禁机房视频监控机房消防系统机房空调机房UPS机房布线设备标签机房电力、建筑防火材料、防雷、抗震相关证明材料XXX机房管理员2物理访问控制3防盗窃和放破坏4防雷击5防火6防水和防潮7防静电8温湿度控制9电力供应10电磁防护安全通信网络测评内容及安排序号测评项检查方式测评对象天帷人员配合人员1网络架构访谈、检查已完成网络结构XXX

16、网络管理员2通信传输3可信验证安全区域边界测评内容及安排序号测评项检查方式测评对象天帷人员配合人员1边界防护访谈、检查已完成网络设备防火墙防病毒网关IPS其他XXX网络管理员2访问控制3入侵防范4恶意代码和垃圾邮件防范5安全审计6可信验证7边界防护安全计算环境测评内容及安排序号测评项检查方式测评对象天帷人员配合人员1身份鉴别访谈检查测试网络设备安全设备主机操作系统主机数据库中间件应用系统数据XXXXXX网络管理员系统管理员2访问控制3安全审计4入侵防范5恶意代码防范6可信验证7数据完整性8数据保密性9数据备份和恢复10剩余信息保护11个人信息保护安全管理中心测评内容及安排序号测评项检查方式测评

17、对象天帷人员配合人员1系统管理访谈、检查已完成SOC态势感知设备堡垒机备份一体机日志审计设备其他XXX网络管理员2审计管理3安全管理4集中管控管理领域测评内容及安排序号测评域检查方式测评对象天帷人员配合人员1安全管理制度访谈、检查信息安全相关管理制度及制度执行应保留的记录XXX系统运维部门相关人员2安全管理机构3安全管理人员4安全建设管理5安全运维管理等级测评结论保2.0测评及格线提升、评价细化90分以上80-90分70-80分70分以下优中良差测评风险规避一、工具测试的风险规避测评机构使用的测试工具在使用前应事先告知被测系统运营、使用单位，并详细介绍这些工具的用途以及可能对信息系统造成的影响，征得其同意；合理安排验证测试和工具测试的时间，尽量避开业务高峰期；在进行验证测试和工具测试前，需要对关键数据做好备份工作；由被测系统运营、使用单位对整个测试过程进行监督；上机验证测试时由被测系统运营、使用单位相应的技术人员进行操作，测评人员根据情况提出需要查看和验证的内容。二、敏感信息泄露的风险规避签署保密协议。测评双方应签署完善的、合乎法律规范的保密协议，以约束测评双方现在及将来的行为。保密协议规定了测评双方保密方面的权利与义务。及时清除数据。完成漏洞扫描和漏洞分析后，测评方将及时清除工具中的相关漏洞信息。测评纪律保护客户系统信息等级测评工作会收集客户信息系统信息，项目实施人员应签署保