中學(xué)測(cè)試驗(yàn)收管理制度

中學(xué)測(cè)試驗(yàn)收管理制度一總則目的。為進(jìn)一步加強(qiáng)江蘇省宿遷中學(xué)信息安全建設(shè)項(xiàng)目驗(yàn)收的管理，更好地規(guī)范項(xiàng)目驗(yàn)收工作，為項(xiàng)目驗(yàn)收工作提供依據(jù)，確保信息安全系統(tǒng)項(xiàng)目建設(shè)的質(zhì)量，依據(jù)《江蘇省宿遷中學(xué)信息安全管理辦法》制定本管理制度。對(duì)象及范圍。本制度規(guī)定了信息安全建設(shè)項(xiàng)目的驗(yàn)收流程和方法，適用于在信息安全建設(shè)項(xiàng)目實(shí)施完畢后的驗(yàn)收和交付工作。要求。江蘇省宿遷中學(xué)信息系統(tǒng)的測(cè)試驗(yàn)收安全管理要求統(tǒng)一遵循《GB/T22239-2019信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》。二驗(yàn)收組織1驗(yàn)收組組成系統(tǒng)負(fù)責(zé)人負(fù)責(zé)成立專門的系統(tǒng)驗(yàn)收委員會(huì)，作為系統(tǒng)驗(yàn)收的組織機(jī)構(gòu)。委員會(huì)設(shè)主任一人委員若干人，委員會(huì)成員由建設(shè)方人員、監(jiān)理方人員、特邀專家組人和承建方人員組成，其中特邀專家必須是行業(yè)信息領(lǐng)域的權(quán)威，熟悉國內(nèi)外該領(lǐng)域技術(shù)發(fā)展的狀況。2驗(yàn)收委員會(huì)的任務(wù)（1）資料審查工作資料評(píng)審工作主要對(duì)項(xiàng)目的相關(guān)資料進(jìn)行評(píng)審，檢查資料是否齊全、完整、正確。評(píng)審的資料包括以下內(nèi)容：項(xiàng)目施工資料：項(xiàng)目開工報(bào)告、項(xiàng)目實(shí)施報(bào)告、項(xiàng)目竣工報(bào)告、材料與設(shè)備清單、項(xiàng)目實(shí)施質(zhì)量與安全檢查記錄、項(xiàng)目竣工圖紙、售后服務(wù)保證文件、項(xiàng)目自檢報(bào)告；項(xiàng)目試運(yùn)行資料：用戶試用報(bào)告或用戶意見書；非信息應(yīng)用系統(tǒng)相關(guān)文檔：系統(tǒng)設(shè)計(jì)說明書、項(xiàng)目詳細(xì)實(shí)施方案、系統(tǒng)結(jié)構(gòu)圖、用戶手冊(cè)、用戶培訓(xùn)計(jì)劃、培訓(xùn)文檔；項(xiàng)目監(jiān)理報(bào)告。（2）項(xiàng)目評(píng)審項(xiàng)目評(píng)審的工作主要包括：聽取建設(shè)單位、承建單位、監(jiān)理單位對(duì)項(xiàng)目建設(shè)情況的介紹；組織現(xiàn)場(chǎng)驗(yàn)收和復(fù)查驗(yàn)收；聽取資料審查的情況匯報(bào)，用戶試運(yùn)行情況的匯報(bào)。評(píng)審的內(nèi)容包括：技術(shù)文檔是否齊全，是否符合國家或有關(guān)部門的技術(shù)要求；根據(jù)技術(shù)標(biāo)準(zhǔn)、建設(shè)規(guī)范，檢查各項(xiàng)技術(shù)指標(biāo)是否達(dá)到要求；建設(shè)項(xiàng)目的設(shè)計(jì)、施工是否符合國家或有關(guān)部門的標(biāo)準(zhǔn)和規(guī)范；運(yùn)行管理人員和操作使用人員的技術(shù)培訓(xùn)是否達(dá)到熟練操作的程度；相關(guān)管理規(guī)章制度是否建立和健全。三驗(yàn)收內(nèi)容1設(shè)備檢驗(yàn)（1）設(shè)備到貨檢查在開箱前，檢查設(shè)備的外包裝是否有明顯的包裝破損、野蠻裝卸、設(shè)備倒置等跡象；在開箱后，檢查設(shè)備是否有明顯的外觀問題，如劃痕、變形等；檢查到貨設(shè)備的廠商、型號(hào)、硬件配置、配件、數(shù)量是否與合同中的設(shè)備清單的參數(shù)相符（部分配置需要上電進(jìn)行檢查）；檢查設(shè)備的相關(guān)附件是否齊全，如網(wǎng)絡(luò)跳線、產(chǎn)品說明書、安裝光盤、保修卡、說明書、合格證等。（2）設(shè)備上電檢查將設(shè)備開機(jī)上電，檢查設(shè)備是否能夠正常開啟運(yùn)行；對(duì)于通過外觀檢查無法確定的相關(guān)硬件參數(shù)，通過上電檢查是否與合同設(shè)備清單的參數(shù)相符；以上檢查結(jié)果均滿足要求，則設(shè)備檢驗(yàn)通過，否則由承建方進(jìn)行糾正處理。2設(shè)備安裝檢驗(yàn)設(shè)備安裝到機(jī)柜的位置是否合理，是否考慮到后續(xù)其他設(shè)備的安裝；設(shè)備的上下位置與機(jī)柜單元（UNIT）標(biāo)識(shí)線是否齊平，是否安裝牢固；設(shè)備與設(shè)備之間是否留出相應(yīng)的空余位置以便于散熱；設(shè)備安裝完畢后是否通過標(biāo)簽標(biāo)識(shí)相應(yīng)的用途和類型；在具備冗余連接的環(huán)境下，設(shè)備的連接線纜是否連接正確；設(shè)備的連接線纜是否整理整齊并進(jìn)行相應(yīng)的標(biāo)識(shí)。以上檢查結(jié)果均滿足要求，則設(shè)備安裝檢驗(yàn)通過，否則由承建方進(jìn)行糾正處理。3系統(tǒng)功能測(cè)試（1）檢測(cè)說明網(wǎng)絡(luò)安全和管理平臺(tái)主要包括防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒、安全審計(jì)、身份認(rèn)證系統(tǒng)、安全網(wǎng)關(guān)、網(wǎng)絡(luò)隔離與交換系統(tǒng)、內(nèi)容過濾系統(tǒng)等網(wǎng)絡(luò)安全防護(hù)設(shè)備和網(wǎng)絡(luò)管理軟件等網(wǎng)管設(shè)備。網(wǎng)絡(luò)安全和管理平臺(tái)必須得到有效配置，網(wǎng)絡(luò)系統(tǒng)安全策略得到滿足，確保網(wǎng)絡(luò)信息系統(tǒng)安全、高效運(yùn)行。網(wǎng)絡(luò)安全和管理平臺(tái)的驗(yàn)收檢測(cè)：對(duì)系統(tǒng)中的網(wǎng)絡(luò)安全防護(hù)設(shè)備和網(wǎng)絡(luò)管理設(shè)備進(jìn)行功能復(fù)核測(cè)試，確保設(shè)備的安全策略配置滿足網(wǎng)絡(luò)安全和管理平臺(tái)設(shè)計(jì)要求，并可以有效運(yùn)行；檢測(cè)網(wǎng)絡(luò)安全防護(hù)設(shè)備、網(wǎng)絡(luò)管理設(shè)備本身是否弱點(diǎn)、漏洞或誤配置，得到有效管理，不會(huì)引入新的威脅點(diǎn)。測(cè)試所需要的文檔主要有：系統(tǒng)設(shè)計(jì)文檔，包含安全策略、安全技術(shù)方案等。按照網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)要求和安全策略，對(duì)網(wǎng)絡(luò)安全防護(hù)和管理功能復(fù)核測(cè)試，按照安全功能組件進(jìn)行測(cè)試。（2）檢測(cè)內(nèi)容和符合標(biāo)準(zhǔn)以下列舉了常見安全系統(tǒng)的檢測(cè)類別和符合標(biāo)準(zhǔn)，在實(shí)際驗(yàn)收工作中應(yīng)依據(jù)合同中具體的設(shè)備功能參數(shù)要求對(duì)相應(yīng)安全設(shè)備進(jìn)行檢測(cè)。檢測(cè)類別符合標(biāo)準(zhǔn)檢測(cè)單位產(chǎn)品要求信息系統(tǒng)安全專用產(chǎn)品必須具有“計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證”；密碼產(chǎn)品符合《商用密碼管理?xiàng)l例》的要求；特殊行業(yè)有其他規(guī)定時(shí)，還應(yīng)遵守行業(yè)的相關(guān)規(guī)定。承建單位防火墻測(cè)試防火墻系統(tǒng)應(yīng)具有根據(jù)不同身份或角色進(jìn)行訪問控制，支持網(wǎng)絡(luò)地址轉(zhuǎn)換、日志統(tǒng)計(jì)分析等功能，檢測(cè)防火墻設(shè)置是否符合安全設(shè)計(jì)要求，符合設(shè)計(jì)要求的判為合格。承建單位防病毒系統(tǒng)測(cè)試防病毒軟件應(yīng)具有實(shí)時(shí)掃描、立即掃描、病毒代碼更新、日志管理、集中管理等功能；檢測(cè)防病毒系統(tǒng)是否符合設(shè)計(jì)要求，符合設(shè)計(jì)要求判為合格。承建單位入侵檢測(cè)系統(tǒng)測(cè)試對(duì)入侵檢測(cè)系統(tǒng)，使用流行的攻擊手段進(jìn)行模擬攻擊（如DOS拒絕服務(wù)攻擊），這些攻擊應(yīng)被入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)和阻斷；符合設(shè)計(jì)要求判為合格。承建單位內(nèi)容過濾系統(tǒng)測(cè)試如果安裝了內(nèi)容過濾系統(tǒng)，則嘗試訪問若干受限網(wǎng)址或者訪問受限內(nèi)容，這些嘗試應(yīng)該被阻斷；然后，訪問若干未受限的網(wǎng)址或者內(nèi)容，應(yīng)該可以正常訪問；符合設(shè)計(jì)要求判為合格。承建單位審計(jì)系統(tǒng)測(cè)試對(duì)一些非法的侵入嘗試必須有記錄；模擬非法嘗試；符合設(shè)計(jì)要求判為合格。承建單位漏洞掃描系統(tǒng)測(cè)試檢測(cè)漏洞掃描系統(tǒng)漏洞信息數(shù)據(jù)庫是否更新及時(shí)，符合設(shè)計(jì)要求的判為合格。承建單位網(wǎng)絡(luò)管理系統(tǒng)測(cè)試檢測(cè)能夠?qū)W(wǎng)絡(luò)資源的情況進(jìn)行全面信息采集和自動(dòng)預(yù)警。符合設(shè)計(jì)要求判為合格。承建單位4系統(tǒng)安全測(cè)試在安全系統(tǒng)建設(shè)完畢后，應(yīng)根據(jù)項(xiàng)目建設(shè)的安全目標(biāo)對(duì)整體系統(tǒng)進(jìn)行安全測(cè)試，測(cè)試分為安全自檢測(cè)試和委托第三方進(jìn)行安全測(cè)試。安全自檢測(cè)試由承建方來完成，第三方安全測(cè)試由經(jīng)中國信息安全測(cè)評(píng)中心或公安部信息安全等級(jí)保護(hù)評(píng)估中心認(rèn)證的信息安全測(cè)評(píng)機(jī)構(gòu)來完成。測(cè)試內(nèi)容：安全分類安全子類檢測(cè)內(nèi)容檢測(cè)單位網(wǎng)絡(luò)安全結(jié)構(gòu)安全主要核查：主要網(wǎng)絡(luò)設(shè)備的處理能力、網(wǎng)絡(luò)帶寬是否滿足業(yè)務(wù)需求情況、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否一致、子網(wǎng)劃分和隔離情況、重要業(yè)務(wù)的帶寬優(yōu)先分配情況。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢訪問控制主要核查：邊界網(wǎng)絡(luò)設(shè)備訪問控制功能、系統(tǒng)及撥號(hào)訪問限制、進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容過濾、網(wǎng)絡(luò)最大流量數(shù)和連接數(shù)、防止地址欺騙措施。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢安全審計(jì)主要核查：網(wǎng)絡(luò)設(shè)備日志收集、審計(jì)記錄詳細(xì)記載情況、審計(jì)報(bào)表生成以及對(duì)審計(jì)記錄的保護(hù)措施。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢邊界完整性檢查主要核查：是否能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查、定位和阻斷；對(duì)內(nèi)部用戶私自外聯(lián)的行為進(jìn)行檢查、定位和阻斷。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢入侵防范主要核查：部署IDS以及使用情況。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢惡意代碼防范主要檢測(cè)：網(wǎng)絡(luò)邊界處對(duì)惡意代碼的檢測(cè)和清除情況。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢網(wǎng)絡(luò)設(shè)備防護(hù)主要核查：用戶身份鑒別、管理員登錄地址限制、用戶標(biāo)識(shí)唯一性、口令策略、登錄策略、遠(yuǎn)程管理策略以及用戶權(quán)限分離情況。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢主機(jī)安全身份鑒別主要核查：用戶身份認(rèn)證方式、賬號(hào)與用戶對(duì)應(yīng)關(guān)系，賬戶和口令長度設(shè)置情況，口令更改周期等；登錄失敗處理功能設(shè)置情況。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢安全標(biāo)記主要核查：主體和客體安全標(biāo)記設(shè)置情況承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢訪問控制主要核查：特權(quán)用戶的權(quán)限分離情況；默認(rèn)賬戶的訪問權(quán)限；多余和過期的賬戶的處理情況。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢可信路徑主要核查：系統(tǒng)與用戶之間安全路徑的建立情況。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢安全審計(jì)主要核查：安全審計(jì)的覆蓋范圍；記錄內(nèi)容完整性；防止審計(jì)記錄被刪除、覆蓋。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢剩余信息保護(hù)主要檢查：用戶鑒別信息、系統(tǒng)內(nèi)文件、目錄和數(shù)據(jù)在存儲(chǔ)空間的清除情況。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢入侵防范主要核查：操作系統(tǒng)組件安裝和補(bǔ)丁升級(jí)情況、入侵行為記錄和報(bào)警，以及受破壞后恢復(fù)措施。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢惡意代碼防范主要核查：防病毒和惡意代碼產(chǎn)品的使用情況及升級(jí)情況、支持防惡意代碼軟件的統(tǒng)一管理、與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢資源控制主要核查：終端登錄限制方式及安全策略、監(jiān)視服務(wù)器資源使用情況與達(dá)到最小值報(bào)警措施承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性主要核查：用戶賬戶信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完整性。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢數(shù)據(jù)保密性主要核查：采用加密或其它保護(hù)措施用戶賬戶信息和重要業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)保密性。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢備份和恢復(fù)主要核查：對(duì)重要信息備份和恢復(fù)；網(wǎng)絡(luò)設(shè)備硬件冗余情況。承建方自檢/第三方安全測(cè)評(píng)機(jī)構(gòu)復(fù)檢通過以上檢測(cè)不存在高、中等級(jí)風(fēng)險(xiǎn)，則安全測(cè)試通過，否則由承建方進(jìn)行糾正處理。5文檔交付序號(hào)文檔名稱檢查內(nèi)容項(xiàng)目開工報(bào)告應(yīng)包括實(shí)施的實(shí)施周期、人員和工作內(nèi)容、階段工作目標(biāo)設(shè)備到貨檢查表應(yīng)包括設(shè)備到貨情況，硬件配置檢查確認(rèn)結(jié)果項(xiàng)目實(shí)施報(bào)告應(yīng)包括項(xiàng)目實(shí)施的過程，包括實(shí)施日志、實(shí)施中出現(xiàn)的問題，解決問題的方法，產(chǎn)品相關(guān)配置信息、網(wǎng)絡(luò)拓?fù)鋱D等系統(tǒng)功能測(cè)試報(bào)告應(yīng)包括系統(tǒng)功能測(cè)試采取的方法和結(jié)果，以及與合同要求是否存在偏差系統(tǒng)安全測(cè)試報(bào)告應(yīng)包括系統(tǒng)的整體安全狀況，存在的漏洞和風(fēng)險(xiǎn)以及整改建議項(xiàng)目竣工報(bào)告應(yīng)包括對(duì)項(xiàng)目的實(shí)施、測(cè)試、試運(yùn)行、質(zhì)量控制情況進(jìn)行總結(jié)系統(tǒng)操作和維護(hù)手冊(cè)應(yīng)包括產(chǎn)品的操作說明書、產(chǎn)品配置簡明手冊(cè)、日常維護(hù)手冊(cè)產(chǎn)品質(zhì)保說明或服務(wù)承諾應(yīng)包括產(chǎn)品附帶的質(zhì)?？ā⑵渌C明保修期限的證明以及承建方提供其他服務(wù)的承諾以上檢查結(jié)果均滿足要求，則文檔驗(yàn)收通過，否則由承建方進(jìn)行糾正處理。四總結(jié)驗(yàn)收會(huì)1驗(yàn)收會(huì)準(zhǔn)備（1）承建單位按照合同或合同附件的要求，完成各種技術(shù)文檔；（2）各種設(shè)備經(jīng)加電試運(yùn)行，狀態(tài)正常，穩(wěn)定試運(yùn)行達(dá)到3個(gè)月，承建單位編制項(xiàng)目試運(yùn)行報(bào)告；（3）承建單位整理所有技術(shù)文檔和工程實(shí)施管理資料等項(xiàng)目文檔，提交給建設(shè)單位。2召開驗(yàn)收會(huì)驗(yàn)收會(huì)議的主要步驟包括：（1）建設(shè)單位作關(guān)于項(xiàng)目情況的報(bào)告；（2）承建單位作關(guān)于項(xiàng)目建設(shè)情況、自檢情況及竣工情況的報(bào)告；