(完整版)XXXX等級保護測評工作方案

1、廣州市XXXXXX2015-2016 年 XXXXXXXXXXXX 項目等級保護差距測評實施方案XXXXXXXXX 信息安全有限公司201X年X月4. 人員安排 19目 錄11. 項目概述 21.1. 項目背景 21.2. 項目目標 31.3. 項目原則 31.4. 項目依據(jù) 42. 測評實施內(nèi)容 42.1. 測評分析 52.1.1. 測評范圍 52.1.2. 測評對象 52.1.3. 測評內(nèi)容 52.1.4. 測評對象 82.1.5. 測評指標 92.2. 測評流程 102.2.1. 測評準備階段 112.2.2. 方案編制階段 122.2.3. 現(xiàn)場測評階段 122.2.4. 分析與報告編

2、制階段142.3. 測評方法 142.3.1. 工具測試 142.3.2. 配置檢查 152.3.3. 人員訪談 152.3.4. 文檔審查 162.3.5. 實地查看 162.4. 測評工具 172.5. 輸出文檔 18錯誤!未定義書簽。錯誤!未定義書簽。錯誤!未定義書簽。2.5.1. 等級保護測評差距報告2.5.2. 等級測評報告2.5.3. 安全整改建議4.1. 組織結構及分工 194.2. 人員配置表204.3. 工作配合 215. 其他相關事項225.1. 風險規(guī)避 225.2. 項目信息管理245.2.1. 保密責任法律保證 245.2.2. 現(xiàn)場安全保密管理 245.2.3. 文

3、檔安全保密管理 255.2.4. 離場安全保密管理 255.2.5. 其他情況說明 251. 項目概述1.1. 項目背景為了貫徹落實國家信息化領導小組關于加強信息安全保障工作的意見、關于信息安全等級保護工作的實施意見和信息安全等級保護管理辦法的精神，201就XXXXXXXXXXXXXXXXXXXe照國家信息安全技術信息 系統(tǒng)安全等級保護定級指南、計算機信息系統(tǒng)安全保護等級劃分準則、信息系統(tǒng)安全等級保護基本要求、信息系統(tǒng)安全等級保護測評準則的要求，對xxxxxxxxxxxxxxxXKXX；個信息系統(tǒng)進行全面的信息安全測評與評 估工作，并且為xxxxxxxxxxxxxxxXXX®點咨詢、

4、實施等服務。（安全技術測 評包括：物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安全五個層面上的安全控制測評；安全管理測評包括：安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的安全控制測評），加大測評與風險評估力度，對信息系統(tǒng)的資產(chǎn)、威脅、弱點和風險等要素進行全面評估，有效提升信心系統(tǒng)的安全防護能力，建立常態(tài)化的等級保護工作機制，深化信息安全等級保護工作，提高 xxxxxxxxxxxxxxxXXXXi信息系統(tǒng)的安全 保障與運維能力。1.4.項目依據(jù)全面完成XXXXXXXXXXXXXXXXXXX；個信息系統(tǒng)的信息安全測評與評估工 作和協(xié)助整改工作，并且為XXXX

5、XXXXXXXXXXXJXXXXi點咨詢、實施等服務， 按照國家和 xxxxxxxxxxxxxxxXXXXI要求，對 xxxxxxxxxxxxxxxXXXX& 架構進行業(yè)務影響分析及網(wǎng)絡安全管理工作進行梳理，提高 xxxxxxxxxxxxxxxXXXXg絡的安全保障與運維能力，減少信息安全風險和降 低信息安全事件發(fā)生的概率，全面提高網(wǎng)絡層面的安全性，構建 xxxxxxxxxxxxxxxXXXXC統(tǒng)的整體信息安全架構，確保全局信息系統(tǒng)高效穩(wěn) 定運行，并滿足xxxxxxxxxxxxxxxXXXX勺基本要求，及時提供咨詢等月艮務。1.3. 項目原則項目的方案設計與實施應滿足以下原則：符合性原

6、則：應符合國家信息安全等級保護制度及相關法律法規(guī)，指出 防范的方針和保護的原則。標準性原則：方案設計、實施與信息安全體系的構建應依據(jù)國內(nèi)、國際 的相關標準進行。規(guī)范性原則：項目實施應由專業(yè)的等級測評師依照規(guī)范的操作流程進 行，在實施之前將詳細量化出每項測評內(nèi)容，對操作過程和結果提供規(guī)范的記 錄，以便于項目的跟蹤和控制?？煽匦栽瓌t：項目實施的方法和過程要在雙方認可的范圍之內(nèi)，實施進 度要按照進度表進度的安排，保證項目實施的可控性。整體性原則：安全體系設計的范圍和內(nèi)容應當整體全面，包括安全涉及 的各個層面，避免由于遺漏造成未來的安全隱患。最小影響原則：項目實施工作應盡可能小的影響網(wǎng)絡和信息系統(tǒng)的正

7、常 運行，不能對信息系統(tǒng)的運行和業(yè)務的正常提供產(chǎn)生顯著影響。保密原則：對項目實施過程獲得的數(shù)據(jù)和結果嚴格保密，未經(jīng)授權不得 泄露給任何單位和個人，不得利用此數(shù)據(jù)和結果進行任何侵害測評委托單位利 益的行為。信息系統(tǒng)等級測評依據(jù)信息系統(tǒng)安全等級保護基本要求、信息系統(tǒng) 安全等級保護測評要求，在對信息系統(tǒng)進行安全技術和安全管理的安全控制 測評及系統(tǒng)整體測評結果基礎上，針對相應等級的信息系統(tǒng)遵循的標準進行綜 合系統(tǒng)測評，提出相應的系統(tǒng)安全整改建議。主要參考標準如下：計算機信息系統(tǒng)安全保護等級劃分準則-GB17859-1999信息安全技術信息系統(tǒng)安全等級保護實施指南信息安全技術信息系統(tǒng)安全等級保護測評要求

8、信息安全等級保護管理辦法信息安全技術信息系統(tǒng)安全等級保護定級指南( GB/T 222402008)信息安全技術信息系統(tǒng)安全等級保護基本要求( GB/T 222392008)計算機信息系統(tǒng)安全保護等級劃分準則(GB17859-1999信息安全技術信息系統(tǒng)通用安全技術要求(GB/T20271-2006)信息安全技術網(wǎng)絡基礎安全技術要求(GB/T20270-2006)信息安全技術操作系統(tǒng)安全技術要求(GB/T20272-2006)信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求(GB/T20273-2006)信息安全技術服務器技術要求(GB/T21028-2007)信息安全技術終端計算機系統(tǒng)安全等級技術要求(

9、GA/T671-2006)信息安全風險評估規(guī)范(GB/T 20984-2007)2.測評實施內(nèi)容第4頁共24頁2.1.測評分析2.1.1. 測評范圍本項目范圍為對xxxxxxxxxxxxxxx)0X激信息系統(tǒng)的等級保護測評。2.1.2. 測評對象本次測評對象為xxxxxxxxxxxxxxxXXXX(統(tǒng)，具體如下:在舁 廳P信息系統(tǒng)名稱級別1xxxxxxxxX息系統(tǒng)三級2xxxxxxxxX息系統(tǒng)三級3xxxxxxxxX息系統(tǒng)三級4xxxxxxxxX息系統(tǒng)三級5xxxxxxxxX息系統(tǒng)二級6xxxxxxxxX息系統(tǒng)二級2.1.3. 測評架構圖本次測評結合xxxxxxxxxxxxxxxxXXX勺信息

10、管理特點，進行不同層次的 測評工作，如下表所示：安至管理層次安生技術人員安全管理等保二皺要求泰蛻建設管理等保二皴要求系統(tǒng)運維堂瑁等保二級要求安全管理機梅2.1.4.測評內(nèi)容第5頁共24頁本項目主要分為兩步開展實施。第一步，對 XXXXXXXXXXXXXXXXXXX® 息系統(tǒng)進行定級和備案工作。第二步，對 XXXXXXXXXXXXXXXXXXXS級備案 的系統(tǒng)進行十個安全層面的等級保護安全測評（物理安全、網(wǎng)絡安全、主機安 全、應用安全、數(shù)據(jù)安全及備份恢復、安全管理制度、安全管理機構、人員安 全管理、系統(tǒng)建設管理、系統(tǒng)運維管理）。其中安全測評分為差距測評和驗收測評。差距測評主要針對 XX

11、XXXXXXXXXXXXXXXX備案系統(tǒng)執(zhí)行國家標準的安全測評，差距測評交付 差距測評報告以及差距測評整改方案；差距整改完畢后協(xié)助完成系統(tǒng)配置方面 的整改。最后進行驗收測評，驗收測評將按照國家標準和國家公安承認的測評 要求、測評過程、測評報告，協(xié)助對 XXXXXXXXXXXXXXXXXX備案的系統(tǒng)執(zhí) 行系統(tǒng)安全驗收測評，驗收測評交付具有國家承認的驗收測評報告。信息系統(tǒng)安全等級保護測評包括兩個方面的內(nèi)容：一是安全控制測評，主 要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況； 二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測 評是信息系統(tǒng)整體安全測評的基礎。

12、安全控制測評使用測評單元方式組織，分為安全技術測評和安全管理測評 兩大類。安全技術測評包括：物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全 和數(shù)據(jù)安全五個層面上的安全控制測評；安全管理測評包括：安全管理機構、 安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理五個方面的安全 控制測評。具體見下圖：第26頁共24頁解息系統(tǒng)等級保護測評安全控禍測評系統(tǒng)整體測評安全管理測評安全管理機曲 安全管理制度人員安全管理 系統(tǒng)建設管理系統(tǒng)運嫡管理安全控制間層面間區(qū)域間整體結構安全不同信息系統(tǒng)同整體安全性整體架構/局部架構系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓撲、局部結構，也關系到信息系統(tǒng) 的具體安全功能實現(xiàn)和安全

13、控制配置，與特定信息系統(tǒng)的實際情況緊密相關。 在安全控制測評的基礎上，重點考慮安全控制問、層面間以及區(qū)域間的相互關 聯(lián)關系，分析評估安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、 補充和削弱作用以及信息系統(tǒng)整體結構安全性、不同信息系統(tǒng)之間整體安全 性。系統(tǒng)和系統(tǒng)間區(qū)域間層面間間制 全制 控 安控主機系統(tǒng)與 運維管理間物理與 網(wǎng)絡間應用與 人員安全間統(tǒng)維理系運管員全理人安管機統(tǒng)全主系安網(wǎng)絡安全物理安全應急預案管理安全事件處置設備管理教育和培訓人員離崗自主訪問控制身份鑒別網(wǎng)絡入侵防范網(wǎng)絡訪問控制防盜竊物理訪問控制綜合測評總結將在安全控制測評和系統(tǒng)整體測評兩個方面的內(nèi)容基礎上進 行，由此而獲得

14、信息系統(tǒng)對應安全等級保護級別的符合性結論。2.1.5. 測評對象依照信息安全等級保護的要求、參考業(yè)界權威的安全風險評估標準與模 型，同時結合本公司多年的安全風險評估經(jīng)驗與實踐，從信息系統(tǒng)的核心資產(chǎn) 出發(fā)，以威脅和弱點為導向，對比信息安全等級保護的具體要求，全方面對信 息系統(tǒng)進行全面評估。測評對象種類主要考慮以下幾個方面：1 .整體網(wǎng)絡拓撲結構；2 .機房環(huán)境、配套設施；3 .網(wǎng)絡設備：包括路由器、核心交換機、匯聚層交換機等；4 .安全設備：包括防火墻、IDS/IPS、防病毒網(wǎng)關等；5 .主機系統(tǒng)（包括操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）；6 .業(yè)務應用系統(tǒng)；7 .重要管理終端（針對三級以上系統(tǒng)）；8 .安全

15、管理員、網(wǎng)絡管理員、系統(tǒng)管理員、業(yè)務管理員；9 .涉及到系統(tǒng)安全的所有管理制度和記錄。根據(jù)信息系統(tǒng)的測評強度要求，在執(zhí)行具體的核查方法時，在廣度上要做 到從測評范圍中抽取充分的測評對象種類和數(shù)量；在執(zhí)行具體的檢測方法，在 深度上要做到對功能等各方面的測試。2.1.6. 測評指標對于二級系統(tǒng)，如業(yè)務信息安全等級為 S2,系統(tǒng)服務安全等級為A2,則該 系統(tǒng)的測評指標應包括GB/T 22239-2008信息系統(tǒng)安全保護等級基本要求中 “技術要求”部分的2級通用指標類（G2 , 2級業(yè)務信息安全指標類（S2） , 2 級系統(tǒng)服務安全指標類（A2）,以及第2級“管理要求”部分中的所有指標類， 等級保護測

16、評指標情況具體如下表所示：測評指標（二級）技術/管理層:向類數(shù)量S類（2級）A類（2級）談（2級）小計安全技術物理安全11810網(wǎng)絡安全1056主機安全2136應用安全4217數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機構0055人員安全管理0055系統(tǒng)建設管理0099系統(tǒng)運維管理001212合計66 （類）對于三級系統(tǒng)，如業(yè)務信息安全等級為 S3,系統(tǒng)服務安全等級為A3,則該 系統(tǒng)的測評指標應包括GB/T 22239-2008信息系統(tǒng)安全保護等級基本要求中 “技術要求”部分的3級通用指標類（G3» , 3級業(yè)務信息安全指標類（S3） , 3 級系統(tǒng)服務安全指標類（A3）,

17、以及第3級“管理要求”部分中的所有指標類， 等級保護測評指標情況具體如下表所示：測評指標（三級）技術/管理層面類數(shù)量S類（3級）A類（3級）G類（3級）小計安全技術物理安全11810網(wǎng)絡安全1067主機安全3137應用安全5229數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機構0055人員安全管理0055系統(tǒng)建設管理001111系統(tǒng)運維管理001313合計73 （類）2.2.測評流程等級保護測評實施過程包括以下四個階段:I1物理安全人員訪談 文檔審查 實地察看方 式物理基礎設 施對象網(wǎng)絡安全人員訪談 配置檢查 工具測試方 式互聯(lián)設備 安全設備 網(wǎng)絡拓撲對象主機安全人員訪談 配置檢查 工

18、具測試方 式操作系統(tǒng) 數(shù)據(jù)庫系 統(tǒng)對象應用安全人員訪談 配置檢查 工具測試方 式應用系統(tǒng)對象數(shù)據(jù)安全人員訪談 配置檢查方 式管理數(shù)據(jù) 業(yè)務數(shù)據(jù)對象安全管理制度人員訪談 文檔審查 實地察看方 式安全管理機構人員訪談 文檔審查方 式人員安全管理人員訪談 文檔審查方 式系統(tǒng)建設管理人員訪談 文檔審查方 式系統(tǒng)運維管理人員訪談 文檔審查方 式黑黑|山翼| |整體測評| |風險分析| | 三 | I 1 ! 結果分析結果判定結論形成編制分析與報告編制階段2.2.1. 測評準備階段測評項目組組建：明確項目經(jīng)理、測評人員及職責分工項目計劃書編制：項目計劃書包含項目概述、工作依據(jù)、技術思路、 工作內(nèi)容和項目組

19、織等。信息系統(tǒng)調(diào)研：通過查閱被測系統(tǒng)已有資料或使用調(diào)查表格的方式， 了解整個系統(tǒng)的構成和保護情況，明確被測系統(tǒng)的范圍（特別是信息 系統(tǒng)的邊界），了解被測系統(tǒng)的詳細構成，包括網(wǎng)絡拓撲、業(yè)務應 用、業(yè)務流程、設備信息（服務器、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、 數(shù)據(jù)庫等）、管理制度等。工具和表單準備：根據(jù)被測系統(tǒng)的實際情況，準備測評工具和各類測 評表單。2.2.2. 方案編制階段測評對象確定：根據(jù)已經(jīng)了解到的被測系統(tǒng)信息，分析整個被測系統(tǒng) 及其涉及的業(yè)務應用系統(tǒng)，確定出本次測評的測評對象。測評指標確定：根據(jù)已經(jīng)了解到的被測系統(tǒng)定級結果，確定出本次測 評的測評指標。測評工具接入點確定：確定需要進行工具測試

20、的測評對象，選擇測試 路徑，根據(jù)測試路徑確定測試工具的接入點。測評內(nèi)容確定：確定現(xiàn)場測評的具體實施內(nèi)容，即單元測評內(nèi)容。測評實施手冊開發(fā)：編制測評實施手冊，詳細描述現(xiàn)場測評的工具、 方法和操作步驟等，具體指導測評人員如何進行測評活動。2.2.3. 現(xiàn)場測評階段現(xiàn)場測評實際上就是單項測評，分別從技術上的物理安全、網(wǎng)絡安全、主 機系統(tǒng)安全、應用安全和數(shù)據(jù)安全五個層面和管理上的安全管理機構、安全管 理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理五個方面分別進行。物理安全：通過人員訪談、文檔審查和實地察看的方式測評信息系統(tǒng) 的物理安全保障情況。主要涉及對象為物理基礎設施。在內(nèi)容上，物 理安全層面測評

21、實施過程涉及 10個測評單元，包括：物理位置的選 擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、 防靜電、溫濕度控制、電力供應、電磁防護。網(wǎng)絡安全：通過訪人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng)的網(wǎng)絡安全保障情況。主要涉及對象為網(wǎng)絡互聯(lián)設備、網(wǎng)絡安全設 備和網(wǎng)絡拓撲結構。在內(nèi)容上，網(wǎng)絡安全層面測評實施過程涉及7個測評單元，包括：結構安全、訪問控制、安全審計、邊界完整性檢 查、入侵防范、網(wǎng)絡設備防護、惡意代碼防范（針對三級系統(tǒng)）。主機安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng) 的主機安全保障情況。主要涉及對象為各類服務器的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)。在內(nèi)容上，主機

22、系統(tǒng)安全層面測評實施過程涉及7個測評單元，包括：身份鑒別、訪問控制、安全審計、入侵防范、惡意代 碼防范、資源控制、剩余信息保護（針對三級系統(tǒng)）。應用安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng) 的應用安全保障情況，主要涉及對象為各類應用系統(tǒng)。在內(nèi)容上，應用安全層面測評實施過程涉及 9個測評單元，包括：身份鑒別、訪問 控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制、 剩余信息保護（針對三級系統(tǒng)）、抗抵賴（針對三級系統(tǒng)）。數(shù)據(jù)安全：通過人員訪談、配置檢查的方式測評信息系統(tǒng)的數(shù)據(jù)安全 保障情況，主要涉及對象為信息系統(tǒng)的管理數(shù)據(jù)及業(yè)務數(shù)據(jù)等。在內(nèi) 容上，數(shù)據(jù)安全層面測評實施過程

23、涉及3個測評單元，包括：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復。安全管理制度：通過人員訪談、文檔審查和實地察看的方式測評信息 系統(tǒng)的安全管理制度情況。在內(nèi)容上，安全管理制度方面測評實施過 程涉及3個測評單元，包括：管理制度、制定和發(fā)布、評審和修訂。安全管理機構：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的安全管理機構情況。在內(nèi)容上，安全管理機構方面測評實施過程涉及5個測評單元，包括：崗位設置、人員配備、授權和審批、溝通和合作、 審核和檢查。人員安全管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的人員安全管理情況。在內(nèi)容上，人員安全管理方面測評實施過程涉及5個測評單元，包括：人員錄用、人員離崗、人員考

24、核、安全意識教育和 培訓、外部人員訪問管理。系統(tǒng)建設管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的系統(tǒng)建設管理情況。在內(nèi)容上，系統(tǒng)建設管理方面測評實施過程涉及11個測評單元，包括：系統(tǒng)定級、安全方案設計、產(chǎn)品采購和使用、自行 軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、安全服 務商選擇、系統(tǒng)備案（針對三級系統(tǒng)）、系統(tǒng)測評（針對三級系統(tǒng)）。系統(tǒng)運維管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的系統(tǒng)運維管理情況。在內(nèi)容上，系統(tǒng)運維管理方面測評實施過程涉及13個測評單元，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備管理、網(wǎng)絡 安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備

25、份與恢復管理、安全事件處置、應急預案管理、監(jiān)控管理和安 全管理中心（針對三級系統(tǒng)）。2.2.4. 分析與報告編制階段單項測評結果分析：針對測評指標中的單個測評項，結合具體測評對 象，客觀、準確地分析測評證據(jù)。單元測評結果判定：將單項測評結果進行匯總，分別統(tǒng)計不同測評對 象的單項測評結果，從而判定單元測評結果，并以表格的形式逐一列 出。整體測評：針對單項測評結果的不符合項，采取逐條判定的方法，從 安全控制問、層面間和區(qū)域間出發(fā)考慮，給出整體測評的具體結果， 并對系統(tǒng)結構進行整體安全測評。風險分析：據(jù)等級保護的相關規(guī)范和標準，采用風險分析的方法分析 等級測評結果中存在的安全問題可能對被測系統(tǒng)安全造

26、成的影響。等級測評結論形成：在測評結果匯總的基礎上，找出系統(tǒng)保護現(xiàn)狀與 等級保護基本要求之間的差距，并形成等級測評結論。測評報告編制：根據(jù)等級測評結論，編制測評報告，包括概述、被測 系統(tǒng)描述、測評對象說明、測評指標說明、測評內(nèi)容和方法說明、單 元測評、整體測評、測評結果匯總、風險分析和評價、等級測評結 論、整改建議等。2.3.測評方法在等級保護測評過程目中，將采用以下測評方法：2.3.1.工具測試利用技術工具（漏洞掃描工具、滲透測試工具、壓力測試工具等）對系統(tǒng)進 行測試，包括基于網(wǎng)絡探測和基于主機審計的漏洞掃描、滲透測試等。測評方法工具測試簡要描述利用技術工具，從網(wǎng)絡的不同接入點對網(wǎng)絡內(nèi)的主機

27、、服務器、數(shù) 據(jù)庫、網(wǎng)絡設備、安全設備等進行脆弱性檢查和分析達成目標發(fā)掘系統(tǒng)的安全漏洞工作條件1-2人工作環(huán)境，電源和網(wǎng)絡接入環(huán)境，甲方人員、網(wǎng)絡、系統(tǒng)配 合工作結果工具測試結果記錄2.3.2.配置檢查利用上機驗證的方式檢查主機、服務器、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、 應用系統(tǒng)的配置是否正確，是否與文檔、相關設備和部件保持一致，對文檔審 核的內(nèi)容進行核實（包括日志審計等），測評其實施的正確性和有效性，檢查 配置的完整性，測試網(wǎng)絡連接規(guī)則的一致性，從而測試系統(tǒng)是否達到可用性和 可靠性的要求。測評方法配置檢查簡要描述通過登陸系統(tǒng)控制臺的方式，人工核查和分析主機、服務器、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、應

28、用系統(tǒng)的安全配置情況達成目標發(fā)現(xiàn)配置的安全隱患工作條件1-2人工作環(huán)境，甲方人員、網(wǎng)絡、系統(tǒng)配合工作結果配置檢查結果記錄2.3.3.人員訪談與被測系統(tǒng)有關人員（個人/群體）進行交流、討論等活動，獲取相關證 據(jù)，了解有關信息。在訪談范圍上，不同等級信息系統(tǒng)在測評時有不同的要 求，一般應基本覆蓋所有的安全相關人員類型，在數(shù)量上可以抽樣。測評方法人員訪談簡要描述通過交流、討論的方式，對技術和管理方面進行脆弱性檢查和分析達成目標發(fā)掘技術和管理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員配合工作結果人員訪談結果記錄2.3.4.文檔審查檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄等文檔（包括安全方針

29、文 件、安全管理制度、安全管理的執(zhí)行過程文檔、系統(tǒng)設計方案、網(wǎng)絡設備的技 術資料、系統(tǒng)和產(chǎn)品的實際配置說明、系統(tǒng)的各種運行記錄文檔、機房建設相 關資料、機房出入記錄等過程記錄文檔）的完整性，以及這些文件之間的內(nèi)部致性。測評方法文檔審查簡要描述通過文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行情況 記錄的完整性和內(nèi)部一致性達成目標發(fā)掘技術和管理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員、各類文檔資料配合工作結果文檔審查結果記錄2.3.5.實地查看通過實地的觀察人員行為、技術設施和物理環(huán)境狀況判斷人員的安全意 識、業(yè)務操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是否達到 了相

30、應等級的安全要求。項目名稱實地查看簡要描述通過現(xiàn)場查看人員行為、技術設施和物理環(huán)境狀況，檢查人員的安 全意識、業(yè)務操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況。達成目標發(fā)掘技術和管理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員配合工作結果實地查看結果記錄2.4.測評工具我們在等級保護測評過程中使用的測評工具嚴格遵循可控性原則，即所有 使用的測評工具將事先提交給甲方檢查確認，確保在雙方認可的范圍之內(nèi)，而 且測評過程中采用的技術手段確保已經(jīng)過可靠的實際應用。在本項目中，將采用以下測評工具:工具類別工具名稱工具介紹漏洞掃描工具綠盟極光遠程安全評估系統(tǒng)綠盟公司出品的商業(yè)漏洞掃描系統(tǒng)Wetfi

31、用掃描，具IBM APPScan舊M公司出品的商業(yè) Web應用安全掃描系統(tǒng)WVS(Web VulnerabilityScanner)一個自動化的 WetS用程序安全測試工 具，它口以掃描任何口通過WebM覽器 訪問的和遵循HTTP/HIIP覦則的We位占工具類別工具名稱工具介紹點和WetS用程序2.5.輸出文檔本項目輸出的主要輸出文檔為等級保護測評實施方案（資產(chǎn)收集、測評表）等級保護測評差距分析報告等級保護測評安全整改方案等級保護測評安全整改報告3.時間安排序號任務名 稱工作內(nèi)容開始時間完成時間階段完成標志主要負 責人配合人員1項目準備階段編制實施方 案2015/7/8實施方案2編制資產(chǎn)收 集

32、2015/7/92015/7/15資產(chǎn)收集表3編制測評表測評表4前期調(diào)研資產(chǎn)收集2015/7/162015/7/17完成資產(chǎn)收集表5差距測評技術和管理 單項測評2015/7/202015/8/21完成信息 系統(tǒng)測評表6差距測 評報告 編制單元測評、 整體測評、 風險分析、報告編制2015/8/242015/8/28差距測評報 告7安全整改建議對部分風行較高的不符合項給 出整改報告2015/8/312015/9/4整改方案8安全加 固與檢對整改部分 內(nèi)容進行復2015/9/72015/9/25整改報告查檢9等級保 護驗收 測評協(xié)助中心通過第三方測評2015/9/282015/11/31獲得測評證

33、書4.人員安排4.1. 組織結構4.2. 項目工作分工為確保測評工作的順利進行,XXXXXXXXXXXXXXXXX以XXXXXXXXXXXXXXXX槐安全有限公司協(xié)商組建項目組，并對項目組織機構 進行如下規(guī)劃：XXXXXXXXXXXXXXXXXXX名稱職 責項目負責項目總體廷人，廷協(xié)調(diào) XXXXXXXXXXXXXXXXXXX®目資源，人解決項目中需要XXXXXXXXXXXXXXXXXXX勺問題，監(jiān)督項目整體質(zhì)量、推進項目整體進度XXXXXXXXXXXXXXXXXXXe 全有限公司:名稱職 責項目負責人項目總體負責人，負責組織等級保護測評和評估實施隊伍，做好 整體日常資源管理、分配與協(xié)

34、調(diào)工作，并直接控制整體項目管理的各個要素，具體包括：項目方案設計項目計劃與組織項目協(xié)調(diào)與溝通（含召集項目周例會） 項目進度管理（含編寫項目周報） 項目質(zhì)量控制項目技術人員項目技術人員，包括項目分組組長和實施人員，在項目經(jīng)理的帶 領、分工和控制下，負責按照項目技術方案和項目計劃實施測評 和評估工作，需要提交：每天工作日報單項測評結果記錄單項安全整改建議4.3.人員配置表名稱職 責人員項目負責人項目總體負責人，負責組織等級保護測評和評 估實施隊伍，做好整體日常資源管理、分配與 協(xié)調(diào)工作，并直接控制整體項目管理的各個要素，具體包括：項目方案設計項目計劃與組織項目協(xié)調(diào)與溝通（含召集項目周例會） 項目進

35、度管理（含編寫項目周報） 項目質(zhì)量控制項目技術人員負責按照項目技術方案和項目計劃實施測評 工作，需要提交：每天工作日報單項測評結果記錄單項安全整改建議4.4.工作配合為保證本項目的順利實施，對現(xiàn)場測評階段的各項工作點提出雙方工作配八.口.在舁 廳P工作點甲方配合乙方配合1現(xiàn)場工具 測評1、人員要求系統(tǒng)管理員* 前期提供系統(tǒng)軟硬件配置，相關 系統(tǒng)檢收文檔。* 現(xiàn)場登錄設備運行檢查腳本工具* 登錄設備查看安全配置2、環(huán)境要求*提供可以訪問網(wǎng)絡設備及測評系 統(tǒng)的2個IP地址*關閉測評IP與系統(tǒng)之間的防火 墻。1、準備測評工具及接入方案2、測評技術人員2現(xiàn)場配置 檢查1、人員要求網(wǎng)絡管理員* 前期提供

36、網(wǎng)絡拓樸圖。* 登錄網(wǎng)絡設備，配合測評人員檢 查設備配置。系統(tǒng)管理員*登錄網(wǎng)絡設備，配合測評人員檢 查設備配置。2、環(huán)境要求可登錄系統(tǒng)及網(wǎng)絡設備1、準備配合檢查 力殺2、測評技術人員3人員訪談1、訪談對象要求 信息部管理人員* 配合調(diào)查表的訪談系統(tǒng)開發(fā)&管理人員* 配合測評回答應用系統(tǒng)操作相關 問題網(wǎng)絡管理人員* 配合測評回答網(wǎng)絡架構，及設備 配置操作的相關問題2、環(huán)境要求 提供會議室1、準備訪談安排 及訪談大綱2、測評技術人員4文檔審查1、人員要求信息部管理人員* 提供等保相關的管理制度系統(tǒng)開發(fā)&管理人員* 提供相應系統(tǒng)建設方案及驗收文檔網(wǎng)絡管理人員*提供網(wǎng)絡系統(tǒng)建設方案及驗

37、收文 檔*IP規(guī)劃文檔等2、環(huán)境要求提供辦公場所1、準備測評表2、二位測評技術 人員5實地查看1、人員要求 機房管理員* 配合測評人員檢查機房物理環(huán) 境。2、環(huán)境要求* 可訪問機房、辦公等物理區(qū)域1、準備測評表2、測評技術人員5.其他相關事項5.1. 風險規(guī)避在測評過程中，可能會對被測系統(tǒng)造成影響，相應地會造成各種損失。這 些影響包括信息泄漏、業(yè)務停頓或處理能力受損等。因此，必須充分考慮各種 可能的影響及其危害并準備好相應的應對措施，盡可能減小對目標系統(tǒng)正常運 行的干擾，從而減小損失。下表給出了測評過程中可能存在的風險與控制措施。內(nèi)容可能存在的風險等級控制措施信息資產(chǎn)調(diào)研資產(chǎn)信息泄漏高協(xié)議、規(guī)

38、章、制度、法律、法規(guī)安全管理測評安全管理信息泄漏高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)網(wǎng)絡設備測評/安全設備測評誤操作引起設備崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計流程；嚴格選擇測評師；甲方進行全程監(jiān)控；制定可能的恢復計劃網(wǎng)絡/安全設備資源占用低避開業(yè)務高峰；控制掃摧i策略（線程數(shù)量、強度）漏洞掃描網(wǎng)絡流量低避開業(yè)務高峰；控制掃摧i策略（線程數(shù)量、強度）主機資源占用低避開業(yè)務高峰；控制掃摧i策略（線程數(shù)量、強度）控制臺審計誤操作引起系統(tǒng)崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計流程；嚴格選擇測評師；甲方進行全程監(jiān)控；制定可能的恢復計劃；網(wǎng)絡流量和主機資源 占用低避開業(yè)務高峰應用測評產(chǎn)生非法數(shù)據(jù)，致使 系統(tǒng)/、能正常工作中做好系統(tǒng)備份和恢復措施異常輸入（畸形數(shù) 據(jù)、極限測試）導致系統(tǒng)崩潰高做好系統(tǒng)備份和恢復措施5.2.項目信息管理為了保障 XXXXXXXXXXXXXXX機海統(tǒng)的安全，XXXXXXXXXXXXXXX澈XX 息安全有限公司將嚴格遵守xxxxxxxxxxxxxxxXXW密方面的規(guī)定，自覺保 守 XXXXXXXXXXXXXXXXXX® 密。XXXXXXXXXXXXXXXXXW 項目實施所提 供給投標人的工作流程、管理模式、規(guī)程、程序等相關資料文檔以及實施過程 中所產(chǎn)生的資料、文檔、數(shù)據(jù)均屬于