信息系統(tǒng)安全等級保護測評自查教學內容

1、信息系統(tǒng)安全等級保護測評自查（二級）單位全稱：XXX項目聯系人：XX X電話： XXX郵箱： XXX1 被測信息系統(tǒng)情況1.1 承 載的業(yè)務情況深圳市XXX統(tǒng)，XX年投入使用，包括X臺服務器、X臺網絡設 備和X臺安全設備。深圳市XXX系統(tǒng)是為深圳市XXX保統(tǒng)簡介）。1.2 網 絡結構給出被測信息系統(tǒng)的拓撲結構示意圖，并基于示意圖說明被測信息系統(tǒng)的網絡結構基本情況，包括功能/安全區(qū)域劃分、隔離與防護情況、 關鍵網絡和主機設備的部署情況和功能簡介、與其他信息系統(tǒng)的互聯情況和邊界設備以及本地備份和災備中心的情況。深圳市XXXg統(tǒng)由邊界安全域、核心安全域和服務器安全域等三 個功能區(qū)域組成，主要 有XX

2、X能。各功能區(qū)都位于XX機房。具體 拓撲如下：圖2-1深圳市XXX系統(tǒng)拓撲圖備注：需注明網絡出口（電信，電子資源政務中心、XXX亨）1.3 系統(tǒng)備案情況深圳市XX。統(tǒng)備案為X級，系統(tǒng)備案編號為X,備案軟件顯示系統(tǒng)防護為SXAXGX2系統(tǒng)構成2.1 機房序號機房名稱物理位置1XXX機房XX 小 XX2.2 網絡設備以列表形式給出被測信息系統(tǒng)中的網絡設備序 號設備名稱操作系統(tǒng)品牌設備信息用途數量（臺/套）重要程 度1華為交換 機OS華為S9700IP:192.168.1.1接入交換機2高2華為路由 器OS2.3 安全設備以列表形式給出被測信息系統(tǒng)中的安全設備序 號設備名稱操作系統(tǒng)品牌設備信息用途數

3、量 （臺/ 套）重要程 度序 號設備名稱操作系統(tǒng)品牌設備信息用途數量 （臺/ 套）重要程 度1華為信防 火墻防火墻OS華為型號：XXXIP : 192,168.1.1策略限制、 訪問控制3高2NIP綠盟型號：XXXIP : 192,168.1.1入侵檢測1高3SSLVPN深信服型號：XXXIP : 192,168.1.1VPN1高4負載均衡深信服型號：XXXIP : 192,168.1.1負載均衡1中2.4 服務器/存儲設備以列表形式給出被測信息系統(tǒng)中的服務器和存儲設備，描述服務器和存儲設備的項目包括設備名稱、操作系統(tǒng)、數據庫管理系統(tǒng)以及承載的業(yè)務應用軟件系 統(tǒng)。序 號設備名稱1操作系統(tǒng)/數據

4、庫管理系統(tǒng)版本業(yè)務應用軟件數量（臺/套）重要 程度1服務器名稱windowsIP ： 192,168.1.12008業(yè)務系統(tǒng)應用2高2.5 終端以列表形式給出被測信息系統(tǒng)中的終端， 包括業(yè)務管理終端、業(yè)務終端和運 維終端等。序 號設備名稱操作系統(tǒng)用途數量（臺/套）重要程度1W-PCwindows業(yè)務管理終端2高1設備名稱在本報告中應唯一，如xx業(yè)務主數據庫服務器或xx-svr-db-12.6業(yè)務應用軟件以列表的形式給出被測信息系統(tǒng)中的業(yè)務應用軟件 （包括含中間件等應用平 臺軟件），描述項目包括軟件名稱、主要功能簡介。序號軟件名稱主要功能開發(fā)1商重要程度1XXX系統(tǒng)XXX系統(tǒng)該系統(tǒng)（系統(tǒng)簡 介）

5、永泰高2Tomcat3Weblogic2.7關鍵數據類別以列表形式描述具有相近業(yè)務屬性和安全需求的數據集合。序號數據類別2所屬業(yè)務應用安全防護需求3重要程度1業(yè)務數據XX系統(tǒng)保密性、完整性高如鑒別數據、管理信息和業(yè)務數據等，而業(yè)務數據可從安全防護需求（保密、完整等）的角度進一步細分保密性，完整性等2.8安全相關人員序號姓名崗位/角色聯系方式1XXX安全主管136XXXXX2XXX網絡管理員139XXXXX.2.9安全管理文檔2如鑒別數據、管理信息和業(yè)務數據等， 而業(yè)務數據可從安全防護需求（保密、完整等）的角度進一步細分3保密性，完整性等。序 號文檔名稱主要內容1深圳市XXX局計算機網絡保密管理

6、辦法內網計算機維修、報廢、軟硬件、IP管理2關于成立深圳市 XXX局信息安全管理領導小組的決定明確小組成員及成員工作職責3深圳市XXX局信息公開保密審查制度公開保密審查流程，防止保密信息泄露4市XXX局中心機房管理制度機房日常、設備、系統(tǒng)軟件、計算機病毒防 范管理，數據保密及數據備份，管理員職責， 計算機使用和管理制度5深圳市XXX局信息安全、網絡安全突發(fā)事件的應急處置預案組織指揮體系及職責、預防和預警機制、應急響應，宣傳、培訓、審查、監(jiān)控6深圳市XXX局網站管理暫行辦法網站日常維護和管理， 網站安全、監(jiān)督與考核2.10安全服務序號安全服務名稱4安全服務商一1安全運維XXXX3掃描3.1主機掃

7、描采用綠盟極光對服務器、網絡設備、數據庫等進行主機掃描，發(fā)現服務器操作系統(tǒng)、數據庫版本漏洞、系統(tǒng)補丁、弱口令等安全漏4安全服務包括系統(tǒng)集成、安全集成、安全運維、安全測評、應急響應、安全監(jiān)測等所有相關安全服務。原始報告可另附。3.2應用層掃描采用 舊M Rational Appscan 對系統(tǒng)進行應用層掃描，發(fā)現系統(tǒng)由于編碼習慣，插件版本等存在的漏洞，可發(fā)現各種 CGI漏洞、SQL注入，跨站腳本，敏感信息泄漏。原始報告可另附。4安全管理核查4.1安全管理制度安全子類測評指標自查記錄備注管理制度應制定信息安全工作的總體方針和安全策略， 說明機構安全工作的總體目標、范圍、原則和 安全框架等；應對安全

8、管理活動中的各類管理內容建立安全 管理制度；應對要求管理人員或操作人員執(zhí)行的日常管理 操作建立操作規(guī)程；制定和發(fā)布應指定或授權專門的部門或人員負責安全管理 制度的制定；應組織相關人員對制定的安全管理制度進行論 證和審定；應將安全管理制度以某種方式發(fā)布到相關人員 手；評審和修 訂應定期對安全管理制度進行評審，對存在不足 或需要改進的安全管理制度進行修訂；4.2安全管理機構安全子類測評指標自查記錄備注安全子類測評指標自查記錄備注崗位設置應設立安全主管、安全管理各個方面的負責人 崗位，并定義各負責人的職責；應設立系統(tǒng)管理員、網絡管理員、安全管理員 等崗位，并定義各個工作崗位的職責；人員配備應配備一定

9、數量的系統(tǒng)管理員、網絡管理員、 安全管理員等；安全管理員不能兼任網絡管理員、系統(tǒng)管理 員、數據庫管理員等；授權和審批應根據各個部門和崗位的職責明確授權審批 部門及批準人，對系統(tǒng)投入運行、網絡系統(tǒng)接 入和重要資源的訪問等關鍵活動進行審批；應針對關鍵活動建立審批流程，并由批準人簽 字確認；溝通和合作應加強各類管理人員之間、組織內部機構之間 以及信息安全職能部門內部的合作與溝通；應加強與兄弟單位、公安機關、電信公司的合 作與溝通；審核和檢查安全管理員應負責定期進行安全檢查，檢查內 容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數據備份等 情況；4.3人員安全管理安全子類測評指標自查記錄備注人員錄用應指定或授權專門的

10、部門或人員負責人 員錄用；應規(guī)范人員錄用過程，對被錄用人的身 份、背景、專業(yè)資格和資質等進行審查， 對其所具有的技術技能進行考核；應與從事關鍵崗位的人員簽署保密協(xié)議；人員離崗應嚴格規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權限；應取回各種身份證件、鑰匙、徽章等以及 機構提供的軟硬件設備；應辦理嚴格的調離手續(xù)；人員考核應定期對各個崗位的人員進行安全技能 及安全認知的考核；安全意識應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓；安全子類測評指標自查記錄備注教育和培訓應告知人員相關的安全責任和懲戒措施， 并對違反違背安全策略和規(guī)定的人員進 行懲戒；應制定安全教育和培訓計劃，對信息安全

11、 基礎知識、崗位操作規(guī)程等進行培訓；外部人員訪問管理應確保在外部人員訪問受控區(qū)域前得到 授權或審批，批準后曲專人全程陪同或監(jiān) 督，并登記備案；4.4系統(tǒng)建設管理安全子類測評指標自查記錄備注系統(tǒng)定級應明確信息系統(tǒng)的邊界和安全保護等級；應以書面的形式說明確定信息系統(tǒng)為某 個安全保護等級的方法和理由；應確保信息系統(tǒng)的定級結果經過相關部 門的批準；安全方案 設計應根據系統(tǒng)的安全保護等級選擇基本安 全措施，依據風險分析的結果補充和調整 安全措施；應以書面形式描述對系統(tǒng)的安全保護要求、策略和措施等內容，形成系統(tǒng)的安全 力殺；應對安全方案進行細化，形成能指導安全 系統(tǒng)建設、安全產品采購和使用的詳細設 計力殺

12、；應組織相關部門和有美安全技術專家對 安全設計方案的合理性和正確性進行論 證和審定，并且經過批準后，才能正式實 施；產品采購 和使用應確保安全產品采購和使用符合國家的 有關規(guī)定；應確保密碼產品米購和使用符合國家密 碼主管部門的要求；應指定或授權專門的部門負責產品的米 購；自行軟件開發(fā)應確保開發(fā)環(huán)境與實際運行環(huán)境物理分 開；應制定軟件開發(fā)管理制度，明確說明開發(fā) 過程的控制方法和人員行為準則；安全子類測評指標自查記錄備注應確保提供軟件設計的相關文檔和使用 指南，并由專人負責保管；外包軟件開發(fā)應根據開發(fā)需求檢測軟件質量；應確保提供軟件設計的相關文檔和使用 指南；應在軟件安裝之前檢測軟件包中可能存 在

13、的惡意代碼；應要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門；工程實施應指定或授權專門的部門或人員負責工 程實施過程的管理；應制定詳細的工程實施方案，控制工程實 施過程；測試驗收應對系統(tǒng)進行安全性測試驗收；在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案，在測試驗收過程 中應詳細記錄測試驗收結果，并形成測試 驗收報告；應組織相關部門和相關人員對系統(tǒng)測試 驗收報告進行審定，并簽字確認；系統(tǒng)交付應制定系統(tǒng)交付清單，并根據交付清單對 所交接的設備、軟件和文檔等進行清點；應對負責系統(tǒng)運行維護的技術人員進行 相應的技能培訓；應確保提供系統(tǒng)建設過程中的文檔和指 導用戶進行系統(tǒng)運行維護的文檔；

14、安全服務商選擇應確保安全服務商的選擇符合國家的有 關規(guī)定；應與選定的安全服務商簽訂與安全相關 的協(xié)議，明確約定相關責任；應確保選定的安全服務商提供技術培訓 和服務承諾，必要的與其簽訂服務合同；4.5系統(tǒng)運維管理安全子類測評指標自查記錄備注環(huán)境管理應指定專門的部門或人員定期對機房 供配電、空調、溫濕度控制等設施進行 維護管理；應配備機房安全管理人員，對機房的出 入、服務器的開機或關機等工作進行管 理；應建立機房安全管理制度，對有關機房 物理訪問，物品帶進、帶出機房和機房 環(huán)境安全等方面的管理作出規(guī)定；應加強對辦公環(huán)境的保密性管理，包括 工作人員調離辦公室應立即交還該辦 公室鑰匙和不在辦公區(qū)接待來

15、訪人員 等；資產管理應編制與信息系統(tǒng)相關的資產清單，包 括資產責任部門、重要程度和所處位置 等內容；應建立資產安全管理制度，規(guī)定信息系 統(tǒng)資產管理的責任人員或責任部門，并 規(guī)范資產管理和使用的行為；介質管理應確保介質存放在安全的環(huán)境中，對各 類介質進行控制和保護，并實行存儲環(huán) 境專人管理；應對介質歸檔和查詢等過程進行記錄， 并根據存檔介質的目錄清單定期盤點；應對需要送出維修或銷毀的介質，首先 清除其中的敏感數據，防止信息的非法 泄漏；應根據所承載數據和軟件的重要程度 對介質進行分類和標識管理；設備管理應對信息系統(tǒng)相關的各種設備（包括備 份和冗余設備）、線路等指定專門的部 門或人員定期進行維護管

16、理；應建立基于申報、審批和專人負責的設 備安全管理制度，對信息系統(tǒng)的各種軟 硬件設備的選型、采購、發(fā)放和領用等 過程進行規(guī)范化管理；應對終端計算機、工作站、便攜機、系 統(tǒng)和網絡等設備的操作和使用進行規(guī) 范化管理，按操作規(guī)程實現主要設備（包括備份和冗余設備）的啟動 /停止、 加電/斷電等操作；安全子類測評指標自查記錄備注應確保信息處理設備必須經過審批才 能帶離機房或辦公地點；網絡安全管理應指定專人對網絡進行管理，負責運行 日志、網絡監(jiān)控記錄的日常維護和報警 信息分析和處理工作；應建立網絡安全管理制度，對網絡安全 配置、日志保存時間、安全策略、升級 與打補丁、 口令更新周期等方面作出規(guī) 定；應根據

17、廠家提供的軟件升級版本對網 絡設備進行更新，并在更新前對現有的 重要文件進行備份；應定期對網絡系統(tǒng)進行漏洞掃描，對發(fā) 現的網絡系統(tǒng)安全漏洞進行及時的修 補；應對網絡設備的配置文件進行定期備 份；應保證所有與外部系統(tǒng)的連接均得到 授權和批準；系統(tǒng)安全管理應根據業(yè)務需求和系統(tǒng)安全分析確定 系統(tǒng)的訪問控制策略；應定期進行漏洞掃描，對發(fā)現的系統(tǒng)安 全漏洞及時進行修補；應安裝系統(tǒng)的最新補丁程序，在安裝系 統(tǒng)補.前，應首先在測試環(huán)境中測試通 過，并對重要文件進行備份后，方可實 施系統(tǒng)補丁程序的安裝；應建立系統(tǒng)安全管理制度，對系統(tǒng)安全 策略、安全配置、日志管理和日常操作 流程等方面作出具體規(guī)定；應依據操作手

18、冊對系統(tǒng)進行維護，詳細 記錄操作日志，包括重要的日常操作、 運行維護記錄、參數的設置和修改等內 容，嚴禁進行未經授權的操作；應定期對運行日志和審計數據進行分 析，以便及時發(fā)現異常行為；惡意代碼防范管理應提高所有用戶的防病毒意識，告知及 時升級防病毒軟件，在讀取移動存儲設 備上的數據以及網絡上接收文件或郵 件之前，先進行病毒檢查，對外來計算 機或存儲設備接入網絡系統(tǒng)之前也應 進行病毒檢查；安全子類測評指標自查記錄備注應指定專人對網絡和主機進行惡意代 碼檢測并保存檢測記錄；應對防惡意代碼軟件的授權使用、惡意 代碼庫升級、定期匯報等作出明確規(guī) 定；密碼管理應使用符合國家密碼管理規(guī)定的密碼 技術和廣品；變更營埋應確認系統(tǒng)中要發(fā)生的變更，并制定變 更方柔；系統(tǒng)發(fā)生重要變更前，應向主管領導申 請，審批后方可實施變更，并在實施后 向相關人員通告；備份與恢復管理應識別需要定期備份的重要業(yè)務信息、 系統(tǒng)數據及軟件系統(tǒng)等；應規(guī)定備份信息的備份方式、備份頻 度、存儲介質、保存期等；應根據數據的重要性和數據對系統(tǒng)運 行的影響，制定數據的備份策略和恢復 策略，備份策略須指明備份數據的放置 場所、文件命名規(guī)則、介質替換頻率和 將數據離站運輸的方法；安全事件處置應報告所發(fā)現的安全弱點和可疑事件， 但任何情況下用戶均不應嘗試驗證弱 點