等级测评方案

1、项目编号：xxxxxxxxxxxxx等级测评方案系统名称： XXXXXXXXXXX 被测单位：XXXXXXXXXXXX测评单位：xxxxxxxxxxxxxxxxx 目录1概述31.1项目简介31.2测评依据32被测系统描述42.1定级情况42.2网络结构42.3系统够成52.3.1业务应用软件52.3.2关键数据类别52.3.3主机/存储设备52.3.4网络互联设备62.3.5安全设备62.3.6终端设备62.3.7安全相关人员62.3.8安全管理文档72.4安全服务73测评对象与指标73.1测评指标73.2测评对象83.2.1机房93.2.2网络互联设备操作系统93.2.3主机（存储）操作系

2、统93.2.4业务应用软件93.2.5数据库管理系统103.2.6安全设备操作系统104测评方法与工具104.1测评方法104.1.1.工具测试104.1.2.配置检查114.1.3.人员访谈114.1.4.文档审查114.1.5.实地查看124.2主要测评工具125测评内容与实施135.1物理安全测评145.1.1测评实施155.1.2配合需求155.2网络安全测评165.2.1测评指标165.2.2测评实施175.2.3配合需求175.3主机安全测评185.3.1测评指标185.3.2测评实施185.3.3配合需求195.4应用安全测评195.4.1测评指标195.4.2测评实施205.4

3、.3配合需求205.5数据安全及备份恢复测评215.5.1测评指标215.5.2测评实施215.5.3配合需求215.6安全管理制度测评225.6.1测评指标225.6.2测评实施225.6.3配合需求235.7安全管理机构测评235.7.1测评指标235.7.2测评实施245.7.3配合需求245.8人员安全管理测评255.8.1测评指标255.8.2测评实施255.8.3配合需求265.9系统建设管理测评265.9.1测评指标265.9.2测评实施275.9.3配合需求285.10系统运维管理测评295.10.1测评指标295.10.2测评实施305.10.3配合需求315.11工具测试3

4、35.12整体测评341 概述1.1 项目简介为准确掌握信息系统的安全保护能力现状，有效提升信息系统安全建设的整体水平，XX单位委托XXXXX对其OA办公系统和Winmail 邮件系统实施信息安全等级测评，希望通过测评工作发现系统现有安全防护措施的薄弱环节，为下一步的信息系统安全建设整改提供可靠依据，以有效提高信息系统的安全运行能力。OA办公系统和Winmail 邮件系统由XXXX负责运行维护。OA办公系统主要实现企业各部门日常业务工作的规范化、电子化、标准化，增强档案部门文书档案、人事档案、科技档案、 财务档案等档案的可管理性，实现办公流程的网上处理，以及信息的在线查询、借阅，最终实现无纸办

5、公。Winmail 邮件系统主要实现POP3服务、IMAP服务、Webmail服务、公用地址簿、IMAP 公共邮件夹、网络磁盘、网络行事历与记事本、邮件签核、邮件杀毒等服务。项目完成后将出具等级测评报告，XX单位可依据等级测评报告，并结合单位的实际情况，区分轻重缓急，通过安全整改不断提高信息系统的整体安全保护水平。1.2 测评依据 信息安全技术 信息系统安全保护等级定级指南（GB/T 22240-2008） 信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008） 信息安全技术 信息系统安全等级保护测评要求（GB/T 28448-2012） 信息安全技术 信息系统安全等级保

6、护测评过程指南（GB/T 28449-2012） 信息安全技术 信息系统安全等级保护实施指南（GB/T 25058-2010） 信息安全技术 信息安全风险评估规范（GB/T 20984-2007） 信息安全等级保护测评与风险评估合同2 被测系统描述被测系统为承载XX单位OA办公系统和Winmail 邮件系统，是XX单位的重要信息系统，其安全等级定为三级。OA办公系统目前覆盖单位各部门，系统主要是实现各部门日常业务工作的规范化、电子化、标准化，提供电子化管理文书档案、人事档案、科技档案、 财务档案等功能。目前系统主要包括主服务器、交换机、路由器和防火墙等设备，具备了信息系统的基本要素，系统的边界

7、用防火墙区分，边界设备是防火墙。Winmail邮件系统目前覆盖单位各部门，系统主要是实现POP3服务、IMAP服务、Webmail服务、公用地址簿、IMAP 公共邮件夹、网络磁盘、网络行事历与记事本、邮件签核、邮件杀毒等服务。目前系统主要包括主服务器、交换机、路由器和防火墙等设备，具备了信息系统的基本要素，系统的边界用防火墙区分，边界设备是防火墙。XX单位负责Winmail邮件系统的运行维护。XX单位负责OA办公系统和Winmail 邮件系统的运行维护。2.1 定级情况XX单位为该信息系统的定级责任单位。该信息系统于XXXX年X月上线。经过对该信息系统的业务信息安全等级和系统服务安全等级的综合

8、判断，最终确定信息系统安全保护等级为三级（S3A3G3）。2.2 网络结构 信息系统的拓扑结构示意图: 2.3 系统够成2.3.1 业务应用软件序号软件名称主要功能重要程度1OA办公系统网络办公重要2Winmail邮件系统邮件系统重要2.3.2 关键数据类别序号数据类别所属业务应用重要程度1OA办公系统OA办公系统重要2Winmail邮件系统Winmail邮件系统重要2.3.3 主机/存储设备序号设备名称操作系统/数据库管理系统业务应用软件1应用服务器Win2008 R2OA办公系统、Winmail邮件系统2应用服务器MS SQL Server 2008 R2OA办公系统、Winmail邮件系

9、统2.3.4 网络互联设备序号设备名称用途重要程度1TP-LINK TL-ER5110G网络互联一般2Quidway S 3500交换机接入层数据交换一般2.3.5 安全设备序号设备名称用途重要程度1防火墙 天融信TOPGate300边界访问控制重要2.3.6 终端设备 序号设备名称操作系统用途重要程度1管理终端Win7业务管理 业务维护一般2业务终端Win7业务一般2.3.7 安全相关人员序号姓名岗位/角色联系方式1XXX系统管理员2XXX网络管理员3XXX业务操作员2.3.8安全管理文档序号文档名称主要内容1安全管理类制度信息系统相关安全岗位制度相关文件记录2安全管理机构累制度信息管理机构

10、及运行工作、职责范围制度3人员管理类制度信息系统相关人员录用、培训、离职等制度文件4系统建设类制度系统建设定级、设计、软件外包、软件自主开发、工程实施、测试验收、代码安全性等各过程规范制度5系统运维类制度系统运维期间中所涉及物理主机、网络安全、恶意代码检测、备份存储介质、物理机房等各涉及岗位的相关制度2.4 安全服务序号安全服务名称安全服务商1设备售后/技术支持XXXXXXX2软件售后/技术支持XXXXXXX3 测评对象与指标3.1 测评指标对于三级系统，如业务信息安全等级为S3，系统服务安全等级为A3，则该系统的测评指标应包括GB/T 22239-2008信息系统安全保护等级基本要求中“技术

11、要求”部分的3级通用指标类（G3），3级业务信息安全指标类（S3），3级系统服务安全指标类（A3），以及第3级“管理要求”部分中的所有指标类，等级保护测评指标情况具体如下表所示：测评指标（三级）技术/管理安全分类安全子类数量S类A类G类小计技术物理安全11810网络安全1067主机安全3136应用安全5229数据安全及备份恢复2103管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理001111系统运维管理001313合计：723.2 测评对象依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模型，同时结合本XX多年的安全风险评估经验与实践，从信息系统的核心

12、资产出发，以威胁和弱点为导向，对比信息安全等级保护的具体要求，全方面对信息系统进行全面评估。测评对象种类主要考虑以下几个方面：1整体网络拓扑结构；2机房环境、配套设施；3网络设备：包括路由器、核心交换机、汇聚层交换机等； 4安全设备：包括防火墙、IDS/IPS、防病毒网关等； 5主机系统（包括操作系统和数据库系统）； 6业务应用系统；7重要管理终端（针对三级以上系统）；8安全管理员、网络管理员、系统管理员、业务管理员； 9涉及到系统安全的所有管理制度和记录。根据信息系统的测评强度要求，在执行具体的核查方法时，在广度上要做到从测评范围中抽取充分的测评对象种类和数量；在执行具体的检测方法，在深度上

13、要做到对功能等各方面的测试。3.2.1 机房序号机房名称物理位置1计算机管理中心钜星科技楼八楼3.2.2 网络互联设备操作系统序号软件名称主要功能1路由器网络互连3.2.3 主机（存储）操作系统序号设备名称操作系统/数据库管理系统1联想systemX 3650 M5Windows server 2008 R22联想扬天S4150-00Windows7 SP13.2.4 业务应用软件序号软件名称操作系统/数据库管理系统1OA办公自动化我的资讯/我的邮件/工作任务/工作流程/我的日程/我的公文/沟通与分享/我的工具2Winmail邮件系统发件人/收件人/主题/开始时间/完成时间/状态/结果信息/发

14、件人摘要/收件人摘要/邮件大小/IP地址3.2.5 数据库管理系统序号数据库名称数据库管理系统1SQL数据库MS SQL Server 2008 R23.2.6 安全设备操作系统序号操作系统名称设备名称1TOS_3.3.010.042.1 K天融信 TOP Gate 3004 测评方法与工具4.1 测评方法在等级保护测评过程目中，将采用以下测评方法：1.2.3.4.4.1.1. 工具测试利用技术工具（漏洞扫描工具、渗透测试工具、压力测试工具等）对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透测试等。测评方法工具测试简要描述利用技术工具，从网络的不同接入点对网络内的主机、服务器、数

15、据库、网络设备、安全设备等进行脆弱性检查和分析达成目标发掘系统的安全漏洞工作条件1-2人工作环境，电源和网络接入环境，甲方人员、网络、系统配合工作结果工具测试结果记录4.1.2. 配置检查利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，从而测试系统是否达到可用性和可靠性的要求。测评方法配置检查简要描述通过登陆系统控制台的方式，人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统的安全配置情况达成目标发现配置的安全隐患工作条件1-2人工作环境，甲方人员、网络、系统配合工作结果配置检查结果记录4.1.3. 人员访谈与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级信息系统在测评时有不同的要求，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。测评方法人员访谈简要描述通过交流、讨论的方式，对技术和管理方面进行脆弱性