网络安全与等保等保测评服务方案

等保测评等保测评技术方案 等级保护测评定级与备案调研信息系统名称数据使用者或管理者及其访问权限业务解决信息类别数据安全性规定保密性S数据泄露将造成的影响完整性S数据篡改或丢失将造成的影响可用性A系统中断将造成的影响XX系统系统开发人员、系统运维人员、系统使用人员管理数据、业务数据、鉴别信息等高中低数据泄露与否会引发法律纠纷和造成财产损失高中低数据篡改或丢失与否会引发法律纠纷和造成财产损失高中低描述系统中断对工作职能和业务能力的影响通过调研初步拟定各信息系统的名称和级别。定级报告和备案表信息安全等级保护工作的第一种环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其它组织的正当权益的危害程度等因素拟定。定级工作流程是拟定定级对象、拟定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级后来，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和备案信息管理等。1）协助定级对系统状况进行分析，通过分析系统所属类型、所属信息类别、服务范畴，理解系统的可用性、完整性、保密性需求，清晰拟定保护对象，拟定受侵害的客体、拟定客体受侵害的程度，最后拟定系统的系统服务保护等级和业务信息保护等级，协助顾客编制订级报告。2）协助备案协助顾客填写《信息系统安全等级保护备案表》，协助顾客到各地公安机关进行系统备案，获得系统备案证。等保测评概述项目介绍根据公安部出台的有关等级保护的政策，对信息系统的等级保护已经是国家的一项基本国策和信息安全的基本保障，同时等级保护工作的开展也是各行各业信息化建设的内在需求。随着信息化的不停发展，信息系统的应用为信息化的开展提供了重要的支撑平台，核心流程、重要数据的解决都依赖于信息系统，因而信息化建设、信息安全建设工作受到XXXX集团有限公司各级领导的高度重视。等级保护政策作为国家在信息系统信息安全上的一项重要决策，信息化建设工作和信息安全工作贯穿XXXX集团有限公司的核心业务中。等级保护工作受到了XXXX集团有限公司各级领导的高度重视，安全建设也逐步成为公司信息化建设的内在需求。整个测评项目的实施重要分为现场测评和复测评，其中现场测评分为四个阶段：一、测评准备活动阶段，二、方案编制活动阶段，三、现场测评活动阶段，四、分析和报告编制活动阶段；复测评分为三个阶段：一、安全整治活动阶段，二复测评活动阶段，三，分析和报告编制活动阶段。其测评目的在于对XXXX集团有限公司信息系统现在安全防护能力做出客观评价。通过对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理、渗入测试等方面的安全检查，以国家信息安全等级保护基本规定作为安全基线，进行客观符合性鉴定，进一步衡量现在系统的安全防护能力，以及系统所面临的威胁和风险所在，为将来的安全整治和安全建设提供有力根据。测评根据本项目的测评按照下列原则或规范进行：有关开展全国重要信息系统安全等级保护定级工作的告知（公信安[]861号）；有关印发《信息安全等级保护管理方法》的告知（公通字[]43号）；有关开展全省重要信息系统安全等级保护定级工作的告知（湘公通[]94号）；有关进一步推动全省信息安全等级保护工作的函（湘公函[]21号）；有关对全省重要信息系统开展信息安全等级保护专项检查工作的函（湘公函[]74号）；《信息系统安全等级保护定级指南》（GB/T22240—）；《信息系统安全等级保护测评过程指南》（国标报批稿）；《信息系统等级保护安全设计技术规定》（GB/T25070-）。重要测评根据：《信息安全技术信息系统安全等级保护基本规定》（GB/T22239-）；《信息安全技术信息系统安全等级保护测评规定》（GB/T28448-）。测评过程被测系统描述定级状况本次安全等级测评所涉及的信息系统定级状况列表以下：序号系统名称业务描述安全保护等级1XX系统普通性描述如为某某部门或某人群提供某种信息服务。SXAXGX2XX系统普通性描述如为某某部门或某人群提供某种信息服务。SXAXGX3XX系统普通性描述如为某某部门或某人群提供某种信息服务。SXAXGX网络构造下列网络架构承载着信息管理系统的运行，是信息化业务、应用系统运转的基础平台。其网络拓扑图如图2-1所示： 图2-SEQ图表\*ARABIC1信息管理系统网络拓扑图（示例）系统构成4.2.2.3.1业务应用软件序号软件名称重要功效重要程度1XX系统系统本身能够为服务者提供的业务功效和安全功效等。重要2XX系统系统本身能够为服务者提供的业务功效和安全功效等。重要3XX系统系统本身能够为服务者提供的业务功效和安全功效等。重要4.2.2.3.2核心数据类别序号数据类别所属业务应用主机/存储设备重要程度1管理数据被测评对象应用应用服务器/数据库服务器重要2业务数据被测评对象应用应用服务器/数据库服务器重要3鉴别信息被测评对象应用应用服务器/数据库服务器重要4.2.2.3.3主机/存储设备序号设备名称操作系统/数据库管理系统业务应用软件1应用服务器/数据库服务器举例：Windows/oracleXX系统2应用服务器/数据库服务器举例：Windows/oracleXX系统3应用服务器/数据库服务器举例：Windows/oracleXX系统4.2.2.3.4网络、安全设备序号设备名称设备类型重要程度1核心交换机核心交换机非常重要2汇聚交换机汇聚交换机重要3接入交换机接入交换机普通4防火墙防火墙重要5入侵防御设备入侵防御设备重要6Web应用防火墙Web应用防火墙重要4.2.2.3.4安全有关人员序号姓名岗位/角色联系方式1网络管理员网络管理员2安全建设管理员安全建设管理员3安全运维管理员安全运维管理员4安全制度管理员安全制度管理员5人员安全管理员人员安全管理员6机构安全管理员机构安全管理员7物理机房管理员物理机房管理员8应用软件管理员应用软件管理员4.2.2.3.5安全管理文档序号文档名称重要内容1制度类文档涉及网络安全管理、设备安全管理、系统安全管理、备份与恢复、安全事件处置和应急预案等管理制度。2统计类文档涉及机房出入登记统计（涉及第三方人员）、机房基础设施维护统计、各类会议纪要或统计、各类评审和修订统计、人员考核、审查、培训统计、离岗手续等统计。3证据类文档涉及资产清单、机构安全管理人员岗位名单、外联单位联系列表、人员保密合同、核心岗位安全合同、信息系统定级报告或定级建议书、系统备案材料等。测评对象与指标测评指标GB/T22239-中对不同等级信息系统的安全功效和方法提出了具体规定，等级测评应根据信息系统的安全保护等级从中选用对应等级的安全测评指标，并根据《信息系统安全等级保护基本规定》和《信息安全技术信息系统安全等级测评过程指南》对信息系统实施安全测评。本次测评的信息管理系统在实施时由建设方指定，涉及二级和三级系统的等级测评，安全测评指标应涉及《信息安全技术信息系统安全等级保护基本规定》中的二级和三级规定，分为通用指标类（GX），业务信息安全性指标类（SX）和系统服务确保类（AX）。1）二级测评所涉及的安全控制指标类型状况具体以下表：测评指标技术/管理安全分类安全子类数量S（2级）A（2级）G（2级）小计安全技术物理安全11810网络安全1056主机系统安全2136数据安全及备份恢复2103应用安全4217安全管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理0099系统运维管理001212累计662）三级测评所涉及的安全控制指标类型状况具体以下表：测评指标技术/管理安全分类安全子类数量S（3级）A（3级）G（3级）小计安全技术物理安全11810网络安全1067主机系统安全3137数据安全及备份恢复5229应用安全2103安全管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理001111系统运维管理001313累计73测评对象4.2.3.2.1机房序号机房名称物理位置1机房XXXX集团有限公司办公楼4.2.3.2.2业务软件序号软件名称重要功效1XX系统系统本身能够为服务者提供的业务功效和安全功效等。2XX系统系统本身能够为服务者提供的业务功效和安全功效等。3XX系统系统本身能够为服务者提供的业务功效和安全功效等。4.2.3.2.3主机序号设备名称业务应用软件1应用服务器XX系统2应用服务器XX系统3应用服务器XX系统4.2.3.2.4数据库序号设备名称业务应用软件1数据库服务器XX系统2数据库服务器XX系统3数据库服务器XX系统4.2.3.2.5网络、安全设备序号设备名称操作系统名称1核心交换机核心交换机2汇聚交换机汇聚交换机3接入交换机接入交换机4防火墙防火墙5入侵防御设备入侵防御设备6Web应用防火墙Web应用防火墙4.2.3.2.6安全管理文档序号文档名称重要内容1制度类文档涉及网络安全管理、设备安全管理、系统安全管理、备份与恢复、安全事件处置和应急预案等管理制度。2统计类文档涉及机房出入登记统计（涉及第三方人员）、机房基础设施维护统计、各类会议纪要或统计、各类评审和修订统计、人员考核、审查、培训统计、离岗手续等统计。3证据类文档涉及资产清单、机构安全管理人员岗位名单、外联单位联系列表、人员保密合同、核心岗位安全合同、信息系统定级报告或定级建议书、系统备案材料等。测评办法与工具4.2.3.3.1测评办法测评办法涉及：访谈、检查、测试等。访谈是指测评人员通过引导信息系统有关人员进行有目的的（有针对性的）交流以协助测评人员理解、澄清或获得证据的过程。检查是指测评人员通过对测评对象（如制度文档、各类设备、安全配备等）进行观察、查验、分析以协助测评人员理解、澄清或获得证据的过程。4.2.3.3.2重要测评工具本次安全测评采用的测试工具重要涉及：序号工具名称工具描述1铱迅漏洞扫描系统设备型号：NVS--L；系统版本：3.0.03.5792；漏洞规则库版本：1.0.0.2842，涉及操作系统，网络设备和数据库等多个设备的扫描规则库，漏洞库遵照CVE，CAN和MS等国际原则。2渗入测试工具涉及SQLmap，Burpsuite，RouterScan，ApacheTomcatScan等。测评内容与实施把测评指标和测评方式结合到信息系统的具体测评对象上，就构成了能够具体测评的安全子类。具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等几个方面。物理安全物理安全测评将通过访谈和检查的方式评测信息系统的物理安全保障状况。重要涉及对象为机房。在内容上，物理安全层面测评实施过程涉及10个安全子类，具体以下表：4.2.4.1.1测评内容序号安全子类测评指标描述1物理位置的选择通过访谈物理安全负责人，检查机房，测评机房物理场合在位置上与否含有防震、防风和防雨等多方面的安全防备能力。2物理访问控制通过访谈物理安全负责人，检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防备能力。3防盗窃和防破坏通过访谈物理安全负责人，检查机房内的重要设备、介质和防盗报警设施等过程，测评信息系统与否采用必要的方法防止设备、介质等丢失和被破坏。4防雷击通过访谈物理安全负责人，检查机房设计/验收文档，测评信息系统与否采用对应的方法防止雷击。5防火通过访谈物理安全负责人，检查机房防火方面的安全管理制度，检查机房防火设备等过程，测评信息系统与否采用必要的方法避免火灾的发生。6防水和防潮通过访谈物理安全负责人，检查机房及其除潮设备等过程，测评信息系统与否采用必要方法来避免水灾和机房潮湿。7防静电通过访谈物理安全负责人，检查机房等过程，测评信息系统与否采用必要方法避免静电的产生。8温湿度控制通过访谈物理安全负责人，检查机房的温湿度自动调节系统，测评信息系统与否采用必要方法对机房内的温湿度进行控制。9电力供应通过访谈物理安全负责人，检查机房供电线路、设备等过程，测评与否含有为信息系统提供一定电力供应的能力。10电磁防护通过访谈物理安全负责人，检查重要设备等过程，测评信息系统与否含有一定的电磁防护能力。4.2.4.1.2测评实施访谈物理安全负责人、机房维护人员和机房值守人员，询问机房与否有防盗报警系统、避雷装置、自动消防系统和温湿度自动调节设施等有关机房安全方法，检查机房位置、有关制度、统计文档、系统（或设备）的运行状况等。4.2.4.1.3配合需求配合项目需求阐明物理位置的选择对应的房屋建筑资料。物理访问控制机房出入登记统计、审批统计、电子门禁统计等。防盗窃和防破坏防盗报警运行维护状况及有关统计。防雷击建筑物防雷技术检测报告。防火防火系统的检查和维护统计、机房验收文档。防水和防潮建筑施工图、建筑验收文档。防静电展示防静电接地方法。温湿度控制机房温湿度变化的统计和温湿度调节设备的维护统计。电力供应供电线路的稳压器、供电线路的UPS、备用电源设备和过电压防护设备的维护和维修统计。电磁防护1．物理安全负责人介绍设备外壳接地的实施状况；2．物理安全负责人介绍线路铺设中将电源线和通信线路隔离的实施状况；3．物理安全负责人介绍重要设备和磁介质实施电磁屏蔽的状况。网络安全网络安全测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障状况。重要涉及对象机房的网络设备、安全设备以及网络拓扑构造等三大类对象。在内容上，网络安全层面测评过程涉及6个工作单元。4.2.4.2.1测评内容序号安全子类测评指标描述1构造安全通过访谈网络管理员，检查网络拓扑状况、核查核心交换机、路由器，测评分析网络架构与网段划分、隔离等状况的合理性和有效性。2访问控制通过访谈安全员，检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞状况等，测评分析信息系统对网络区域边界有关的网络隔离与访问控制能力。3安全审计通过访谈审计员，检查核心交换机、路由器等网络互联设备的安全审计状况等，测评分析信息系统审计配备和审计统计保护状况。4边界完整性检查通过访谈安全员，检查边界完整性检查设备,接入边界完整性检查设备进行测试等过程，测评分析信息系统私自联到外部网络的行为。5入侵防备通过访谈安全员，测评分析信息系统对攻击行为的识别和解决状况。6网络设备防护通过访谈网络管理员，检查交换机、路由器等网络互联设备以及防火墙等网络安全设备，查看它们的安全配备状况，涉及身份鉴别、登录失败解决、限制非法登录和登录连接超时等，考察网络设备本身的安全防备状况。4.2.4.2.2测评实施网络层面测评实施重要分为三部分，第一部分为网络全局测评，重要通过访谈网络管理员，针对构造安全、边界完整性、入侵防备、恶意代码防备四个控制点，理解构造安全、业务高峰期设备解决能力和链路带宽运行状况、非法内外联，以及网络边界的入侵防备方法，恶意代码防备状况等内容。第二部分为网络设备防护测评，重要通过对网络管理员进行访谈、由管理员进行操作查看安全配备，针对访问控制、安全审计、网络设备防护三个控制点，理解网络设备上重要的访问控制方略、设备日志统计状况、口令复杂度、双因子身份鉴别、管理员权限分离等内容。第三部分为工具测试，针对网络设备、服务器的系统漏洞进行扫描，以及对网络设备的访问控制方略进行验证等。4.2.4.2.3配合需求配合项目需求阐明构造安全网络拓扑构造图、不同的子网或网段的设计或描述、带宽的配备方略。边界完整性检查系统管理员介绍采用的手段以避免非授权接入和非法外联行为。入侵防备网络管理员或者安全管理员介绍防网络攻击方法。访问控制针对重要服务器的访问控制方略。安全审计访谈网络管理员以及需要网络管理员上机操作。网络设备防护网络管理员上机操作。主机安全主机系统安全测评将通过访谈、检查和测试的方式评测信息系统的管理终端和管理支撑服务器（涉及：审计服务器、防病毒服务器、补丁升级服务器等）安全保障状况。在内容上，主机系统安全层面测评实施过程涉及7个安全子类。4.2.4.3.1测评内容序号安全子类测评指标描述1身份鉴别检查服务器的身份标记与鉴别和顾客登录的配备状况。2访问控制检查服务器的访问控制设立状况，涉及安全方略覆盖、控制粒度以及权限设立状况等。3安全审计检查服务器的安全审计的配备状况，如覆盖范畴、统计的项目和内容等；检查安全审计进程和统计的保护状况。4剩余信息保护检查服务器鉴别信息的存储空间，被释放或再分派给其它顾客前得到完全去除。5入侵防备检查服务器在运行过程中的入侵防备方法，如关闭不需要的端口和服务、最小化安装、布署入侵防备产品等。6恶意代码防备检查服务器的恶意代码防备状况。7资源控制检查服务器对单个顾客的登录方式、网络地址范畴、会话数量等的限制状况。4.2.4.3.2测评实施主机层面测评实施重要通过访谈和查看，理解服务器的安全防护方法和有关安全配备，涉及到的控制点有：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防备、恶意代码防备和资源控制等。4.2.4.3.3配合需求配合项目需求阐明身份鉴别系统管理员配合主机测评师上机查看本地安全方略等配备。访问控制系统管理员配合主机测评师上机查看账户使用状况和重要文献属性等。安全审计系统管理员配合主机测评师上机查看审核方略配备状况。剩余信息保护系统管理员配合主机测评师上机查看安全方略配备状况。入侵防备系统管理员配合主机测评师上机查看系统补丁、软件安装和防火墙配备等。恶意代码防备系统管理员配合主机测评师上机查看与否安装防病毒软件等。资源控制主机测评师访谈系统管理员与否有系统资源监控平台。应用安全4.2.4.4.1测评内容应用安全测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障状况。在内容上，应用安全层面测评实施过程涉及7个工作单元，具体以下表：序号安全子类测评指标描述1身份鉴别检查应用系统的身份标记与鉴别功效设立和使用配备状况；检查应用系统对顾客登录多个状况的解决，如登录失败解决、登录连接超时等。2访问控制检查应用系统的访问控制功效设立状况，如访问控制的方略、访问控制粒度、权限设立状况等。3安全审计检查应用系统的安全审计配备状况，如覆盖范畴、统计的项目和内容等；检查应用系统安全审计进程和统计的保护状况。4通信完整性检查应用系统客户端和服务器端之间的通信完整性保护状况。5通信保密性检查应用系统客户端和服务器端之间的通信保密性保护状况。6软件容错检查应用系统的软件容错能力，如输入输出格式检查、自我状态监控、自我保护、回退等能力。7资源控制检查应用系统的资源控制状况，如会话限定、顾客登录限制、最大并发连接以及服务优先级设立等。4.2.4.4.2测评实施应用层面测评实施重要通过访谈和查看，理解应用系统的安全防护方法和有关安全配备，涉及到的控制点有：身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制。4.2.4.4.3配合需求配合项目需求阐明身份鉴别系统管理员配合应用测评师上机查看软件与否含有鉴别信息复杂度检查功效、登录失败解决功效等。访问控制系统管理员配合应用测评师上机查看软件与否含有访问控制功效。安全审计系统管理员配合应用测评师上机查看软件与否含有安全审计功效。通信完整性系统管理员配合应用测评师，查看软件在数据通信过程中，与否含有完整性检查功效。通信保密性系统管理员配合应用测评师，查看软件在数据通信过程中，与否含有加密功效。软件容错系统管理员给应用测评师提供系统访问地址。资源控制系统管理员配合应用测评师，查看软件与否含有资源控制功效。数据安全及备份恢复4.2.4.5.1测评内容在内容上，数据安全层面测评实施过程涉及3个工作单元，具体以下表：序号安全子类测评指标描述1数据完整性检查网络设备的管理数据、鉴别信息和重要业务数据在传输和保存过程中的完整性保护状况。2数据保密性检查网络设备的管理数据、鉴别信息和重要业务数据在传输和保存过程中的保密性保护状况。3安全备份和恢复检查网络设备中配备文献的安全备份状况，以及硬件和线路的冗余等。4.2.4.5.2测评实施数据安全及备份恢复测评将通过访谈和检查的方式评测信息系统的数据安全保障状况。本次测评重点检查系统的数据在采集、传输、解决和存储过程中的安全。4.2.4.5.3配合需求配合项目需求阐明数据完整性给应用测评师提供软件开发设计方案。数据保密性提供系统访问办法，给应用测评师出示中间件配备文献。安全备份和恢复数据备份管理员，需要出示业务数据备份文献给应用测评师查看。安全管理制度4.2.4.6.1测评内容安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制订、公布、评审和修订等状况。重要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文献等对象。在内容上，安全管理制度测评实施过程涉及3个工作单元，具体以下表：序号安全子类测评指标描述1管理制度通过访谈安全主管，检查有关管理制度文档和重要操作规程等过程，测评信息系统管理制度在内容覆盖上与否全方面、完善。2制订与公布通过访谈安全主管，检查有关制度制订规定文档等过程，测评信息系统管理制度的制订和公布过程与否遵照一定的流程。3评审和修订通过访谈安全主管，检查管理制度评审统计等过程，测评信息系统管理制度定时评审和修订状况。4.2.4.6.2测评实施访谈安全主管，理解机构安全管理制度体系的构成、安全管理制度制订和公布的流程、对制订的安全管理制度进行论证和审定的状况和对安全管理制度文献体系和安全管理制度定时进行评审修订的状况。收集并查看信息安全管理文档，查看制度文档的格式与否统一、与否含有编号、查看内容与否覆盖了信息安全工作的总体目的、方针和方略和信息系统生命周期中的重要管理活动，与否有对重要服务器、网络设备、安全设备操作的操作规程。检查安全管理制度的收发登记统计与否符合规定的收发程序和公布范畴控制等规定，与否有安全管理制度制订的评审统计和定时修订的统计。4.2.4.6.3配合需求配合项目需求阐明管理制度配合访谈进行安全管理制度体系状况的理解；提供信息安全总体方针政策的文献、与信息安全有关的管理制度和操作规程；提供安全管理制度认证和评审的统计。制订与公布配合访谈进行制度制订与公布状况的理解；提供安全管理制度收发文统计。评审和修订配合访谈进行安全管理制度体系、制度制订与公布、评审和修订有关内容的理解；提供安全管理制度定时评审修订的统计。安全管理机构4.2.4.7.1测评内容序号安全子类测评指标描述1岗位设立通过访谈安全主管，检查部门/岗位职责文献，测评信息系统安全主管部门设立状况以及各岗位设立和岗位职责状况。2人员配备通过访谈安全主管，检查人员名单等文档，测评信息系统各个岗位人员配备状况。3授权和审批通过访谈安全主管，检查有关文档，测评信息系统对核心活动的授权和审批状况。4沟通和合作通过访谈安全主管，检查有关文档，测评信息系统内部部门间、与外部单位间的沟通与合作状况。5审核和检查通过访谈安全主管，检查统计文档等过程，测评信息系统安全工作的审核和检查状况。4.2.4.7.2测评实施访谈安全主管，理解安全管理职能部门的人员岗位设立状况：与否设立系统管理员、网络管理员、安全管理员等岗位，与否成立信息安全工作委员会或领导小组。理解各个安全管理岗位的人员和核心岗位人员的配备状况。理解授权与审批制度设立状况和单位内部各部门之间和单位与其它兄弟单位、公安机关、电信公司、供应商、业界专家、专业安全公司或安全组织的互相沟通与协调的机制，机构与否聘任信息安全专家作为机构的安全顾问。理解信息系统日常安全检查状况和系统定时进行全方面安全检查的状况。查看部门、岗位职责等有关文献与否明拟定义了机构及各岗位人员的职责范畴，岗位人员名单中核心岗位与否配备了多人共同管理。查看检查授权与审批制度文档，查看文档与否明确各审批事项的审批部门、同意人及审批流程等，检查对应审批统计与否按照审批程序执行审批过程对重要活动进行逐级审批。检查与否有信息安全管理委员会或领导小组执行日常管理工作的文献或工作统计、与否有外联单位列表、与否有信息安全专家的聘任文献。4.2.4.7.3配合需求配合项目需求阐明岗位设立配合访谈进行机构岗位设立状况的理解；提供组织构造图、岗位职责文献。人员配备配合访谈进行机构人员配备状况的理解。授权和审批配合访谈进行机构授权和审批状况的理解；提供授权和审批文档和统计。沟通和合作配合访谈进行机构内部和外部沟通合作状况的理解；提供外联单位列表、各类会议纪要或统计（部门内、部门间协调会、领导小组）。审核和检查配合访谈进行机构审核和检查状况的理解；提供内部和外部安全检查统计。人员安全管理4.2.4.8.1测评内容序号安全子类测评指标描述1人员录用通过访谈人事负责人，检查人员录用文档等过程，测评信息系统录用人员时与否对人员提出规定以及与否对其进行多个审查和考核。2人员离岗通过访谈人事负责人，检查人员离岗安全解决统计等过程，测评信息系统人员离岗时与否按照一定的手续办理。3人员考核通过访谈安全主管，检查有关考核统计等过程，测评与否对人员进行日常的业务考核和工作审查。4安全意识教育和培训通过访谈安全主管，检查培训计划和执行统计等文档，测评与否对人员进行安全方面的教育和培训。5外部人员访问管理通过访谈安全主管，检查有关文档等过程，测评对第三方人员访问（物理、逻辑）系统与否采用必要控制方法。4.2.4.8.2测评实施访谈安全主管或人事负责人，理解人员录用流程、核心岗位工作人员的选拔流程、人员离岗流程、信息安全培训考核状况和外来人员访问控制方法，涉及人员录用时与否对被录用人的身份、背景、专业资格和资质进行审查，与否签订了保密合同，离岗时与否终止离岗人员的全部访问权限、收回离岗人员的设备和物品和离岗审查、承诺保密责任等状况，安全教育和培训计划制订实施状况、对各个岗位人员进行安全技能及安全知识考核的状况和对核心岗位人员进行安全审查、安全技能及安全知识的考核状况。理解对外部人员的访问管理方法。检查与否有录用人员技术技能的考核统计、保密合同、核心岗位人员的岗位安全合同书、离岗手续统计、安全意识教育和培训计划和统计、考核统计和外部人员访问的申请审批和登记备案的统计。4.2.4.8.3配合需求配合项目需求阐明人员录用配合访谈进行人员录用流程状况的理解；提供录用人员技术技能的考核统计、保密合同、核心岗位人员的岗位安全合同书。人员离岗配合访谈进行人员离岗流程状况的理解；提供离岗手续统计。人员考核配合访谈进行人员信息安全考核状况的理解；提供安全认知和安全技能考核统计。安全意识教育和培训配合访谈进行人员信息安全和技能培训状况的理解；提供安全意识教育的培训计划和统计。外部人员访问管理配合访谈进行外部人员访问控制状况的理解；提供外部人员访问的申请审批和登记备案的统计。系统建设管理4.2.4.9.1测评内容序号安全子类测评指标描述1系统定级通过访谈安全主管，检查系统定级有关文档等过程，测评与否按照一定规定拟定系统的安全等级。2安全方案设计通过访谈系统建设负责人，检查系统安全建设方案等文档，测评系统整体的安全规划设计与否按照一定流程进行。3产品采购和使用通过访谈安全主管、系统建设负责人和安全产品等过程，测评与否按照一定的规定进行系统的产品采购。4自行软件开发通过访谈系统建设负责人，检查有关软件开发文档等，测评自行开发的软件与否采用必要的方法确保开发过程的安全性。5外包软件开发通过访谈系统建设负责人，检查有关文档，测评外包开发的软件与否采用必要的方法确保开发过程的安全性和后来的维护工作能够正常开展。6工程实施通过访谈系统建设负责人，检查有关文档，测评系统建设的实施过程与否采用必要的方法使其在机构可控的范畴内进行。7测实验收通过访谈系统建设负责人，检查测实验收等有关文档，测评系统运行前与否对其进行测实验收工作。8系统交付通过访谈系统运维负责人，检查系统交付清单等过程，测评与否采用必要的方法对系统交付过程进行有效控制。9安全服务商选择通过访谈系统运维负责人，测评与否选择符合国家有关规定的安全服务单位进行有关的安全服务工作。4.2.4.9.2测评实施访谈安全主管，理解信息系统的整个定级过程和信息系统的报批过程。理解安全方案的整个设计过程和安全建设总体规划状况、产品采购流程、确保系统自主开发软件和外包开发软件安全的有关状况。理解负责工程实施过程、测实验收、系统交付的管理人员或管理部门，对工程实施、测实验收、系统交付过程的进度和质量控制的办法和方法、测实验收方案的制订状况、对系统进行安全测试的机构、验收成果的审定状况，与否根据交付清单对所交接的设备、文档、软件等进行清点，系统建设实施方对运维技术人员进行了哪些培训。理解系统备案的状况和为其提供服务的信息系统安全服务商的有关状况。收集并查看产品采购、软件开发、工程实施、测实验收和系统交付过程的管理制度，查看系统定级文档与否有信息系统划分的办法和理由、定级办法和理由的描述、专家对定级成果的论证意见和有有关部门或主管部门的同意意见。查看安全方案内容与否涉及总体安全方略、安全技术框架、安全管理方略、具体设计内容等方面。检查与否有安全建设的工作计划书、代码编写规范、开发文档、软件设计文档、使用指南、软件测实验收文档、软件需求分析阐明书、软件设计阐明书、软件操作手册、工程实施方案、安全测试报告、测实验收方案、测实验收报告、系统交付清单、安全服务商的有关服务合同或合同。4.2.4.9.3配合需求配合项目需求阐明系统定级配合访谈进行系统定级状况的理解；提供系统定级文档。安全方案设计配合访谈进行安全方案设计状况的理解；提供系统建设的总体安全方略、安全技术框架、安全管理方略、总体建设规划和具体设计方案。产品采购和使用配合访谈进行产品采购状况的理解；提供产品采购有关的管理制度。自行软件开发配合访谈进行自主软件开发状况的理解；提供软件开发过程的管理制度；提供代码编写规范、开发文档、软件需求分析阐明书、软件设计阐明书、软件测实验收文档、软件操作手册。外包软件开发配合访谈进行外包软件开发状况的理解；提供外包软件开发过程的管理制度；提供开发文档、软件需求分析阐明书、软件设计阐明书、软件测实验收文档、软件操作手册、外包开发商的有关服务合同或合同。工程实施配合访谈进行工程实施状况的理解；提供工程实施方案、工程控制文档。测实验收配合访谈进行测实验收状况的理解；提供安全测试报告、测实验收方案、测实验收报告。系统交付配合访谈进行系统交付状况的理解；提供系统交付清单、建设方对运维人员的培训统计。安全服务商选择配合访谈进行安全服务商状况的理解；提供安全服务商的有关服务合同或合同。系统运维管理4.2.4.10.1测评内容序号安全子类测评指标描述1环境管理通过访谈物理安全负责人，检查机房安全管理制度，机房和办公环境等过程，测评与否采用必要的方法对机房的出入控制以及办公环境的人员行为等方面进行安全管理。2资产管理通过访谈资产管理员，检查资产清单，检查系统、网络设备等过程，测评与否采用必要的方法对系统的资产进行分类标记管理。3介质管理通过访谈资产管理员，检查介质管理统计和各类介质等过程，测评与否采用必要的方法对介质寄存环境、使用、维护和销毁等方面进行管理。4设备管理通过访谈资产管理员、系统管理员，检查设备使用管理文档和设备操作规程等过程，测评与否采用必要的方法确保设备在使用、维护和销毁等过程安全。5网络安全管理通过访谈安全主管、系统管理员，检查系统安全管理制度、系统审计日志和系统漏洞扫描报告等过程，测评与否采用必要的方法对系统的安全配备、系统账户、漏洞扫描和审计日志等方面进行有效的管理。6系统安全管理通过访谈安全主管、网络管理员，检查网络安全管理制度、网络审计日志和网络漏洞扫描报告等过程，测评与否采用必要的方法对网络的安全配备、网络顾客权限和审计日志等方面进行有效的管理，确保网络安全运行。7恶意代码防备管理通过访谈系统运维负责人，检查恶意代码防备管理文档和恶意代码检测统计等过程，测评与否采用必要的方法对恶意代码进行有效管理，确保系统含有恶意代码防备能力。8密码管理通过访谈安全员，测评与否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。9变更管理通过访谈系统运维负责人，检查变更方案和变更管理制度等过程，测评与否采用必要的方法对系统发生的变更进行有效管理。10备份与恢复管理通过访谈系统管理员、网络管理员，检查系统备份管理文档和统计等过程，测评与否采用必要的方法对重要业务信息，系统数据和系统软件进行备份，并确保必要时能够对这些数据有效地恢复。11安全事件处置通过访谈系统运维负责人，检查安全事件统计分析文档、安全事件报告和处置管理制度等过程，测评与否采用必要的方法对安全事件进行等级划分和对安全事件的报告、解决过程进行有效的管理。12应急预案管理通过访谈系统运维负责人，检查应急响应预案文档等过程，测评与否针对不同安全事件制订对应的应急预案，与否对应急预案展开培训、演习和审查等。4.2.4.10.2测评实施访谈安全主管或有关安全负责人理解机房管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防备管理、密码管理、变更管理、备份和恢复管理、安全事件处置和应急预案管理的有关状况。收集并查看机房管理制度、资产管理制度、介质管理制度、基于申报审批和专人负责的设备安全管理制度、配套设施和软硬件维护方面的管理制度、网络安全管理制度、系统安全管理制度、恶意代码防备管理制度、密码管理制度、变更管理制度、备份与恢复有关管理制度、安全事件报告和处置管理制度与否对有关事项进行了明确。查看监控系统理解设备运行、网络流量、应用程序的监控状况，安全管理中心集中管理状况。检查与否有不同事件应急预案，与否有介质归档、查询等的登记统计、信息解决设备带离机房或办公地点的审批统计、主机系统、网络、安全设备等的操作日志和维护统计、网络接入和外联授权审批统计、定时检查违反规定行为的统计、机房日常巡检统计、对主机、网络设备和应用软件等的监控统计和日志的分析报告、恶意代码检测、升级统计和分析报告、备份过程统计、变更方案评审统计和变更过程统计、安全事件解决过程统计、应急预案培训、演习、审查统计。4.2.4.10.3配合需求配合项目需求阐明环境管理配合访谈进行机房管理状况的理解；提供机房管理制度；提供机房基础设备维护统计、服务器开关机统计、机房审批和出入登记、机房日常巡检统计。资产管理配合访谈进行资产管理状况的理解；提供资产管理制度；提供资产清单。介质管理配合访谈进行介质管理状况的理解；提供介质管理制度；提供存档介质目录清单；提供介质归档查询等的登记统计；配合检查介质寄存环境、加密存储介质中数据加密状况。设备管理配合访谈进行设备管理状况的理解；提供基于申报审批和专人负责的设备安全管理制度、配套设施和软硬件维护方面的管理制度；提供设备开关机操作规程；提供信息解决设备带离机房或办公地点的审批统计、主机系统、网络、安全设备的操作日志和维护统计。网络安全管理配合访谈进行网络管理状况的理解；提供网络安全管理制度；提供网络接入和外联授权审批统计、定时检查违反规定行为的统计；配合检查网络设备版本、网络设备备份配备文献、网络准入控制机制。系统安全管理配合访谈进行系统管理状况的理解；提供系统安全管理制度；提供系统访问控制方略文档；提供主机系统、网络、安全设备的操作日志；配合检查操作系统版本和补丁升级状况。恶意代码防备管理配合访谈进行恶意代码防备管理状况的理解；提供恶意代码防备管理制度；提供恶意代码检测、升级统计和分析报告；配合检查终端防病毒、网络防病毒状况、恶意代码库升级状况。密码管理配合访谈进行密码管理状况的理解；提供密码管理制度。变更管理配合访谈进行变更管理状况的理解；提供变更管理制度；提供变更方案、变更方案评审统计和变更过程统计。备份与恢复管理配合访谈进行备份和恢复管理状况的理解；提供备份与恢复有关管理制度；提供备份方略和恢复方略；提供备份过程统计、备份数据可用性检查统计。安全事件处置配合访谈进行安全事件处置状况的理解；提供安全事件报告和处置管理制度；提供安全事件解决过程统计。应急预案管理配合访谈进行应急预案管理的状况的理解；提供不同事件的应急预案；提供应急预案培训、演习、审查统计。工具测试测试工具本次安全测评采用的测试工具重要涉及：序号工具名称工具描述1铱迅漏洞扫描系统涉及操作系统，网络设备和数据库等多个设备的扫描规则库，漏洞库遵照CVE，CAN和MS等国际原则。2渗入测试工具涉及SQLmap，Burpsuite，RouterScan，ApacheTomcatScan等。漏洞扫描4.2.5.2.1测试接入点选用本次测试选择A、B、C共3个测试接入点，以下图5-1所示。图5-1工具接入点示意图4.2.5.2.2工具接入点阐明为了发挥测评工具的作用，达成测评的目的，多个测评工具需要接入到被测评的信息系统网络中，并需要配备恰当的网络IP地址。因此，本节重点就测试工具的接入状况进行阐明。测试接入点–A点测评目的：在接入点A接入渗入测试工具，对信息系统的中间件、服务器渗入测试。接入阐明：需提前对重要数据备份。测试接入点–B、C点测评目的：在接入点B、C接入漏扫工具，对信息系统的服务器扫描。接入阐明：需提前对重要数据备份。整体测评信息系统的安全控制集成到信息系统后，会在层面内、层面间和区域间产生连接、交互、依赖、协同等互有关联关系，使信息系统的整体安全功效与信息系统的构造亲密有关，在整体上呈现出一种集成特性。这些集成特性在安全控制的工作单元中是没有完全体现。因此，在安全控制测评的基础上，有必要对集成系统和运行环境进行整体测评。安全控制间测评安全控制间的安全测评重要考虑同一层面上的不同安全控制间存在的功效增强、补充或削弱等关联作用。例如，主机层面的身份鉴别与访问控制之间关系亲密，应关注他们之间的关联互补作用。层面间安全测评层面间的安全测评重要考虑同一区域内的不同层面之间存在的功效增强、补充和削弱等关联作用。例如，网络层面、主机系统层面与安全管理的系统运维管理之间关系亲密，应关注他们之间的关联互补作用。区域间安全测评区域间的安全测评重要考虑互连互通（涉及物理上和逻辑上的互连互通等）的不同区域之间存在的安全功效增强、补充和削弱等关联作用，特别是有数据交换的两个不同区域。系统构造安全测评系统构造安全测评重要考虑信息系统整体构造的安全性和整体安全防备的合理性。整体构造的安全性测评应从信息系统的物理布局、网络拓扑、业务逻辑（业务数据流）、系统实现和集成方式等入手，结合不同位置上可能面临的威胁、可能暴露的脆弱性等，综合鉴定信息系统的整体布局与否合理、整体与否安全有效等。在检查信息系统安全保护方法的具体实现方式和布署状况后，结合其业务数据流分析不同区域和不同边界与安全保护方法的关系、重要业务和核心信息与安全保护方法的关系等，参考纵深防御的规定，识别信息系统的安全防备与否突出重点、层层进一步，综合鉴定信息系统的整体安全防备与否恰当合理。安全方略网络安全方略网管系统能够对设备（网络设备、服务器和安全设备等）性能（CPU、内存）和线路流量进行监测。数据中心和核心区域布署访问控制设备（如防火墙）。数据中心和核心区域前端，在三层交换机上配备ACL规则。不同系统的服务器进行逻辑隔离。网络拓扑图中各区域进行了网段划分、VLAN隔离。主机安全方略服务器操作系统中应不存在冗余的测试账户。服务器的登录终端操作超时锁定时间为20分钟。有日志服务器对中间件和操作系统日志进行收集。杀毒云平台，支持对恶意代码库统一升级和查杀统一管理。杀毒云平台，支持对PC端进行防恶意代码统一管理。布署补丁升级服务器，并对windows操作系统服务器进行补丁修复。布署补丁升级服务器，并且能对PC端进行系统补丁管理。应用安全方略登录控制模块启用身份鉴别信息复杂度功效，设立含大、小写字母+数字+特殊字符的8位复杂密码。应提供登录失败解决功效，设立登录失败5次后锁定账户。应用系统对单个帐户的多重并发会话进行限制，不允许单个账户重复登录。安全管理方略制订了内部安全管理制度和操作规程。拟定了网络安全负责人及内设管理机构。贯彻了网络安全保护责任。项目组织与实施计划项目组织构造项目组织涉及评定中心在测评准备活动中组建的测评项目组与测评委托单位组建的配合项目组。测评项目组根据具体任务分工不同，划分为项目负责人、管理核查组、技术测评组、质量管理组、评审组和监督检查组。项目组织构造图以下所示：人员构成和职责4.2.8.2.1人员构成针对本次项目，成立等级测评项目组。本次项目组人员由6人构成。下列为参加人员构成：分类人员姓名职务资质负责事项工作年限项目实施组测评主管高级测评师负责项目审批工作质量主管中级测评师负责项目评审工作项目经理中级测评师负责项目管理工作项目组员初级测评师负责物理、管理测评工作项目组员初级测评师负责网络、主机测评工作项目组员初级测评师负责应用、数据测评工作4.2.8.2.2职责分工在项目组织构造中，项目负责人的任务是对项目活动实施全方面的管理，对项目目的有一种全局的把握，并组织会议制订计划和报告项目的进度，并在不拟定的环境下对不拟定的问题组织集体讨论决策，在必要的时候进行谈判及解决冲突。管理核查构组员负责分析和评审测评委托单位提交的各类技术、管理文档；基于《基本规定》和《测评规定》，针对测评系统的物理环境、安全管理等方面的规定，准备安全检查统计表、制订安全检查计划、实施现场物理安全和安全管理状态核查，完毕登记测评报告中的管理部分内容，配合技术测评组的工作。技术测评组负责测评系统的网络安全测评、主机安全测评、应用安全和数据安全测评，涉及调查理解网络、系统和应用现状，准备工具、搭建模拟环境、制订测试计划和测试方案，实施安全功效验证、安全配备检查测评，完毕等测评报告中的技术部分，配合管理测评组的工作。技术测评组又将根据实际需要细分为网络安全测评组、主机安全测评组、应用安全测评组和工具测试组。质量管理组负责跟踪项目进度，监督项目计划执行状况，监督检查各过程文档与否符合程序规定，提交项目控制报告和质量监督报告。评审组负责对项目实施过程中产生的各类阶段性成果进行评审。监督检查组负责对项目实施各活动进行监督，及时发现实施过程中存在的问题，并在必要时采用纠正方法。委托单位测评配合组负责对测评项目组的支持工作，涉及提供测评所需资料文献，配备配合人员，测评实施授权的支撑等。XXXX集团有限公司等级测评项目组评定中心测评项目组负责人XXXX集团有限公司测评配合组负责人项目负责人配合组负责人安全主管管理核查组管理测评配合组安全管理员技术测评组网络安全测评组网络安全测评配合组网络管理员主机安全测评组主机安全测评配合组主机管理员应用安全测评组应用安全测评配合组系统管理员数据安全测评组数据安全测评配合组数据备份员质量管理组评审组监督检查组项目实施计划本项目在一年内实施完毕，分三个阶段实施。第一阶段：前期准备阶段,成立项目领导小组和实施小组，召开项目启动会议，对XXXX集团有限公司信息系统进行具体的调研，讨论拟定具体的项目实施计划，建立项目管理制度。第二阶段：项目实施阶段，对服务进行实施。服务项时间/周期实施内容等级保护测评1年/次按照《信息安全等级保护管理方法》和XXXX集团有限公司的有关规定，对XXXX集团有限公司指定的信息系统进行等级保护测评，并出具公安部门承认的信息安全等级测评报告。第三阶段：项目结项阶段。由XXXX集团有限公司组织验收，将整顿过的实施文档、验收资料提交给XXXX集团有限公司。项目分工界面项目实施阶段XX工作XXXX集团有限公司工作测评准备阶段组建信息系统安全测评工作组。提出XXXX集团有限公司应提供信息系统基本资料。编制准备被测系统基本状况调查表格，并提交给XXXX集团有限公司。向XXXX集团有限公司有关人员介绍安全等级测评工作流程和办法。向XXXX集团有限公司有关人员阐明安全测评工作可能带来的风险和规避办法。理解XXXX集团有限公司信息化建设状况与发展，以及被测系统的基本状况。编写信息系统的访谈问卷调查表，交给XXXX集团有限公司填写。初步分析XXXX集团有限公司信息系统的信息安全状况。准备等级测评工具和文档。向本次安全测评项目组介绍本单位的信息化建设状况与发展状况。准备并提供等级测评需要的资料。为测评人员的信息收集提供支持和协调。填写信息系统调查表格。填写信息系统访谈问卷调查表格。根据被测系统的具体状况，如业务运行高峰期、网络布置状况等，为测评时间安排提供适宜的建议。方案编制阶段具体分析被测系统的整体构造、边界、网络区域、重要节点等。初步判断被测系统的安全单薄点。分析拟定测评对象、测评指标和测试工具接入点，拟定测评内容及办法。编制安全测评方案文本，并内部评审。获得XXXX集团有限公司对方案全部内容确实认。对安全测评方案提供审查建议并进行承认。现场测评阶段运用访谈调查、当面访谈、文档审查、配备检查、工具检查和实地检查的办法测评被测系统的安全保护方法状况，获取有关证据并进行成果统计。为测评项目组提供必要的基础保障，涉及现场办公环境，内网接入环境。拟定一名项目联系人，负责等级测评过程中的联系、协调、安排和贯彻工作，配合等级测评项目组工作的开展。测评前备份有关系统和数据，并确认被测系统和设备状态完好。提前安排访谈对象，建议下列人员参加：网络管理员、系统管理员、安全管理员，第三方服务及开发人员2－2人，有关人员主动配合回答测评人员的询问。有关人员负责提供测评所需的有关管理和技术类文档，最佳是电子版文档，方便测评人员进行文档审查。有关人员对某些需要查看和验证的内容上机进行操作，测评人员负责统计。有关人员在测试前协助测评人员实施工具测试并提供有效建议，减少安全测评对系统运行的影响。有关人员拟定工具测试的现场接入点及测试时间；对工具测试的全过程进行监控；拟定漏洞扫描时间。有关人员协助测评人员完毕业务有关内容的询问、验证和测试。有关人员对现场测评成果进行确认。有关人员确认测试过程中即测试完毕后被测系统和设备状态完好。分析与报告编制阶段分析并鉴定单项测评成果、单元测评成果和整体测评成果。分析评价被测系统存在的风险状况，进行合理性、符合性分析。根据测评成果形成等级测评结论。编制等级测评报告阐明系统存在的安全隐患和缺点，并给出改善建议。评审等级测评报告，并将评审过的等级测评报告按照分发范畴进行分发。签收等级测评报告。项目管理与控制质量控制管理质量控制管理涉及各工作活动的质量管理和控制方法，重要有安全检查中的保护客户的机密性；检查办法的拟定及检查方案的评审；现场检查活动中检查工作的规范化、检查人员的能力确认、保障检查设备的有效运行及检查过程的统计精确、完备；报告编制中检查成果和报告的规范化、安全检查报告的评审等。保护客户的机密性测评办法的拟定测评方案的评审测评工作的规范化测评人员的能力确认保障测评设备的有效运行测评过程的统计精确、完备测评成果和报告的规范化测评报告的评审项目风险管理安全检查项目的风险管理涉及识别风险、实施风险分析、以及规划应对方法。重要涉及进度风险管理、协作与沟通风险的管理、检查工作引入