張升銳-廣州公共資源交易中心

花都區(qū)電子政務(wù)信息系統(tǒng)等級保護測評建設(shè)需求詳細(xì)需求描述（一）項目概述花都區(qū)人民政府政務(wù)管理辦公室是花都區(qū)政務(wù)云平臺的建設(shè)和管理單位，該平臺承載我區(qū)所有電子政務(wù)的業(yè)務(wù)系統(tǒng)（含原有電子政務(wù)以及今后三年智慧花都項目的系統(tǒng)）。現(xiàn)政務(wù)云平臺運行的各類應(yīng)用與網(wǎng)站包括花都區(qū)政府門戶網(wǎng)站、農(nóng)村財務(wù)平臺、僑聯(lián)信息系統(tǒng)等，這些網(wǎng)站和系統(tǒng)是政府部門履行職能、面向社會提供服務(wù)的窗口，是實現(xiàn)政務(wù)信息公開、服務(wù)企業(yè)和社會公眾、方便公眾參與的重要渠道，同時也是對外宣傳政府形象、發(fā)布行業(yè)信息、開展電子政務(wù)的主要平臺，是國家重要信息系統(tǒng)。花都區(qū)政務(wù)云平臺作為各區(qū)政府職能部門應(yīng)用與門戶網(wǎng)站的載體，作為社會公眾獲取政府信息和服務(wù)的主要接入渠道和信息發(fā)布平臺，自然成為信息安全防護體系中重要組成部分，受到公安等相關(guān)部門的高度重視。然而在云平臺的實際運行過程中，常規(guī)的物理安全防護手段無法對虛擬化平臺進(jìn)行有效保護，需要根據(jù)網(wǎng)絡(luò)安全法，需針對虛擬化平臺要求進(jìn)行安全等級保護測評與整改。（二）花都區(qū)信息系統(tǒng)現(xiàn)狀當(dāng)前廣州市花都區(qū)人民政府政務(wù)管理辦公室管理了各區(qū)大量的應(yīng)用系統(tǒng)與政府網(wǎng)站，大部分應(yīng)用已經(jīng)進(jìn)行虛擬化并遷移到區(qū)政務(wù)云平臺上，另外還有一部分應(yīng)用尚未完成遷移，預(yù)計2017年下半年完成全部應(yīng)用的虛擬化遷移。當(dāng)前政務(wù)云平臺中對外提供服務(wù)的服務(wù)器數(shù)量有26臺，已經(jīng)全部完成了虛擬化遷移，也部署了虛擬化WAF進(jìn)行應(yīng)用防護，目前缺少網(wǎng)頁防篡改系統(tǒng)保護，網(wǎng)站系統(tǒng)與服務(wù)器現(xiàn)狀如下表：序號應(yīng)用名稱服務(wù)器型號系統(tǒng)1主DNSHyper-VWindows20082從DNSHyper-VCentOS6.33FTP二級網(wǎng)站服務(wù)器Hyper-VWindows20124政府郵件服務(wù)器Hyper-VWindows20125外網(wǎng)WSUSHyper-VWindows20126社會組織信息網(wǎng)hyper-VWindows20127人大信訪網(wǎng)站服務(wù)器(政府網(wǎng)站后臺備)hyper-VWindows20128慈善會網(wǎng)站服務(wù)器Hyper-VWindows20129外網(wǎng)科技項目系統(tǒng)Hyper-VWindows201210汽車城信息化平臺應(yīng)用Hyper-VRHEL6.311百企千鋪/空港物流Hyper-VWindows200312區(qū)政府網(wǎng)站W(wǎng)EB服務(wù)器Hyper-VWindows201213智慧花都文史門戶網(wǎng)站Hyper-VWindows201214安監(jiān)局危險化學(xué)品管理平臺NGINXHyper-VRHEL6.315農(nóng)業(yè)局資產(chǎn)平臺Hyper-VWindows200816數(shù)字花都公眾版Hyper-VWINDOWS201217城市應(yīng)急管理系統(tǒng)Hyper-VWindows200818監(jiān)察局行政執(zhí)法電子監(jiān)察業(yè)務(wù)填報系統(tǒng)Hyper-VWindows200319農(nóng)村財務(wù)平臺（農(nóng)財）Hyper-VWindows200320質(zhì)監(jiān)所網(wǎng)站Hyper-VWindows201221法院門戶網(wǎng)站服務(wù)器hyper-VWindows201222出租車管理平臺Hyper-VWindows201223中軸線拆遷安置系統(tǒng)Hyper-VWindows201224微信公眾號服務(wù)器Hyper-VWindows201225地基基礎(chǔ)檢測信息管理系統(tǒng)Hyper-VWindows201226快速維權(quán)綜合系統(tǒng)Hyper-VWindows2012對內(nèi)提供服務(wù)的服務(wù)器總數(shù)量為50臺，其中部分完成了虛擬化遷移，部分還以物理機方式運行，其服務(wù)器情況如下表：序號應(yīng)用名稱服務(wù)器型號系統(tǒng)1區(qū)政府OA系統(tǒng)IBMPower740AIX2紀(jì)委整治慵懶散系統(tǒng)Hyper-VWindows20033內(nèi)網(wǎng)WSUSHyper-VWindows20124前置機數(shù)據(jù)交換系統(tǒng)Hyper-VWindows20125紀(jì)委三資交換系統(tǒng)Hyper-VWindows20126電子證照系統(tǒng)曙光天闊A620-RCentos6.57出租屋服務(wù)器IBMFlexSystemx240redhat58出租屋服務(wù)器IBMFlexSystemx240redhat59區(qū)智慧黨建平臺Hyper-VWindows201210僑聯(lián)信息系統(tǒng)Hyper-VWindows201211財局評審系統(tǒng)Hyper-VWindows200312中軸線系統(tǒng)Hyper-VWindows201213勞動力普查管理系統(tǒng)Hyper-VWindows201214紀(jì)委評估系統(tǒng)應(yīng)用服務(wù)器Hyper-VWindows201215中國商標(biāo)查詢監(jiān)測系統(tǒng)Hyper-VWindows201216編辦信息系統(tǒng)Hyper-VWindows200317計生應(yīng)用系統(tǒng)曙光天闊1220Windows200018計生數(shù)據(jù)庫浪潮英信NF420RWindows200019流動人員和出租屋服務(wù)管理系統(tǒng)Hyper-VWindows201220國土局網(wǎng)站Hyper-VWindows200321民政局大社保系統(tǒng)Hyper-VWindows201222國土地名調(diào)查服務(wù)器Hyper-VWindows201223區(qū)財政支付系統(tǒng)IBMPOWER550AIX24干部管理系統(tǒng)IBMSystemx3500Windows200325紀(jì)委黨廉系統(tǒng)Hyper-VWindows201226花都區(qū)行政事業(yè)資產(chǎn)管理系統(tǒng)Hyper-VWindows200327花都信訪網(wǎng)站DellPowerEDGER710Windows200828政務(wù)辦排隊叫號服務(wù)系統(tǒng)Hyper-VWindows200829巡回監(jiān)察電子監(jiān)察系統(tǒng)Hyper-VWindows200830區(qū)出租屋管理應(yīng)用IBMX346redhat531區(qū)出租屋管理數(shù)據(jù)庫IBMX365Windows200332出租屋服務(wù)器IBMFlexsystemX240Windows200833出租屋服務(wù)器IBMFlexsystemX240Windows200834綜合治稅Hyper-VWindows201235農(nóng)村財務(wù)平臺（農(nóng)財）Hyper-VWindows201236交通局電子站牌Hyper-VWindows201237行政審批系統(tǒng)Hyper-VWindows201238區(qū)人社局?jǐn)?shù)據(jù)備份IBMX3630M4Windows200339區(qū)工商局查無系統(tǒng)服務(wù)器Hyper-VWindows200840招商引資工作管理系統(tǒng)數(shù)據(jù)庫（經(jīng)貿(mào)局）聯(lián)想萬全R520G7Windows200841百合社區(qū)網(wǎng)格化系統(tǒng)Hyper-VWindows201242五個一系統(tǒng)Hyper-VWindows201243應(yīng)急指揮中心系統(tǒng)Hyper-VWindows200844數(shù)字花都地理空間框架政務(wù)版Hyper-VWindows200845數(shù)字花都內(nèi)網(wǎng)應(yīng)用服務(wù)器Hyper-VWindows200846GIS地圖服務(wù)器Hyper-VWindows201247呼叫中心應(yīng)用服務(wù)器1IBMX3550M2Windows200848呼叫中心應(yīng)用服務(wù)器2IBMX3850M4Windows200849呼叫中心文件服務(wù)器Hyper-VWindows200850呼叫中心數(shù)據(jù)庫服務(wù)Hyper-VWindows2008（三）項目建設(shè)方案依據(jù)國務(wù)院辦公廳2011年4月21日頒布的《國務(wù)院辦公廳關(guān)于進(jìn)一步加強政府網(wǎng)站管理工作的通知》中，強調(diào)要不斷完善政府網(wǎng)站防攻擊、防篡改、防病毒等安全防護措施，做好日常巡檢和監(jiān)測，發(fā)現(xiàn)問題或出現(xiàn)突發(fā)情況要及時妥善處理。政府網(wǎng)站運行維護單位要按照信息安全等級保護的要求，定期對網(wǎng)站進(jìn)行安全檢查，及時消除隱患。2009年4月廣東省公安廳、省保密局、密碼管理局和省信息化工作領(lǐng)導(dǎo)小組聯(lián)合發(fā)文《廣東省深化信息安全等級保護工作方案》(粵公通字[2009]45號)中指出，“通過深化信息安全等級保護，全面推動重要信息系統(tǒng)安全整改和測評工作，增強信息系統(tǒng)安全保護的整體性、針對性和實效性，使信息系統(tǒng)安全建設(shè)更加突出重點、統(tǒng)一規(guī)范、科學(xué)合理，提高信息安全保障能力，維護國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)”。由此可見，等級保護一直是國家重視推動的項目。在實行等保工作，需要對單位其系統(tǒng)進(jìn)行定期掃描、加固、滲透測試等安全服務(wù)，為信息系統(tǒng)構(gòu)建“等級化的安全體系”為等級保護工作的服務(wù)理念，旨在等級保護的框架下構(gòu)建一個安全、可靠、靈活、可持續(xù)改進(jìn)的信息安全體系。近來，四部委發(fā)布“關(guān)于印發(fā)《黨政機關(guān)、事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項整治行動方案》的通知”，希望對各省黨政機關(guān)、事業(yè)單位、國有企業(yè)完成互聯(lián)網(wǎng)站安全防護。（四）項目建設(shè)目標(biāo)本項目是對花都區(qū)政府政務(wù)云平臺的42個政務(wù)網(wǎng)系統(tǒng)、24個互聯(lián)網(wǎng)網(wǎng)站系統(tǒng)進(jìn)行等級保護安全測評，其中花都區(qū)政府門戶網(wǎng)站按照三級等保要求測評，其余網(wǎng)站與應(yīng)用系統(tǒng)按照二級等保要求進(jìn)行測評；同時對花都區(qū)政府門戶網(wǎng)站進(jìn)行虛擬化網(wǎng)頁防篡改系統(tǒng)保護，防止黑客惡意篡改網(wǎng)頁頁面內(nèi)容。（五）項目建設(shè)內(nèi)容本項目規(guī)劃主要進(jìn)行等級保護測評與整改。其中測評對象包括政務(wù)平臺42個政務(wù)外網(wǎng)系統(tǒng)、24個互聯(lián)網(wǎng)網(wǎng)站系統(tǒng)，共計66個系統(tǒng)；整改對象包括花都區(qū)政府門戶網(wǎng)站系統(tǒng)的網(wǎng)頁防篡改系統(tǒng)部署。具體來講，本項目的建設(shè)內(nèi)容包括：對政務(wù)云平臺的66個系統(tǒng)，共計76臺服務(wù)器主機進(jìn)行信息系統(tǒng)等級保護測評對花都區(qū)政府門戶網(wǎng)站系統(tǒng)進(jìn)行網(wǎng)站防篡改安全監(jiān)測，采用多種檢測技術(shù)對網(wǎng)站掛馬進(jìn)行監(jiān)測，發(fā)現(xiàn)網(wǎng)站被非法篡改后及時通知客戶，減少風(fēng)險；對頁面變化進(jìn)行監(jiān)測，發(fā)現(xiàn)疑似篡改情況，及時告警。（六）經(jīng)濟及社會效益。政府門戶網(wǎng)站是電子政務(wù)績效水平的展示窗口，是提高執(zhí)政能力的重要體現(xiàn)。在門戶網(wǎng)站建設(shè)中，安全是一個至關(guān)重要的問題。電子政務(wù)網(wǎng)絡(luò)承載政府內(nèi)部辦公業(yè)務(wù)系統(tǒng)，涉及黨和國家秘密，同時電子政務(wù)作為政府對廣大企業(yè)和公民的一項公共服務(wù)，一旦出現(xiàn)事故將會造成較大的負(fù)面效應(yīng)，影響政府的威信。因此建設(shè)好政務(wù)云平臺應(yīng)用系統(tǒng)等級測評與網(wǎng)站整改工作，可以為花都區(qū)政府各類應(yīng)用與政府網(wǎng)站提供安全高效運行的網(wǎng)絡(luò)保障，具有非常重要的社會意義。（七）現(xiàn)狀、必要性和需求分析（1）現(xiàn)狀及存在的問題。1、花都區(qū)政府政務(wù)云平臺應(yīng)用系統(tǒng)種類較多，系統(tǒng)重要性高，但是目前信息系統(tǒng)安全防護存在短板，需要通過信息系統(tǒng)等級保護測評來發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)存在的問題和漏洞，為信息系統(tǒng)安全整改規(guī)劃提供依據(jù)。2、花都區(qū)政府門戶網(wǎng)站進(jìn)行了虛擬化防護，但是缺少網(wǎng)頁防篡改系統(tǒng)進(jìn)行防護，不滿足信息系統(tǒng)等級保護三級要求，需要部署網(wǎng)頁防篡改系統(tǒng)進(jìn)行保護。（2）項目建設(shè)的必要性。

政府機構(gòu)從事的行業(yè)性質(zhì)跟國家緊密聯(lián)系，所涉及的眾多信息都帶有保密性，所以信息安全問題尤其重要。例如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計算機病毒等，都將對電子政務(wù)系統(tǒng)的正常運行構(gòu)成威脅。為保證電子政務(wù)的信息安全，有必要對其信息和網(wǎng)絡(luò)系統(tǒng)進(jìn)行專門的安全設(shè)計。電子政務(wù)信息系統(tǒng)建設(shè)過程中，雖然采取了一定的信息安全措施，但是隨著各個應(yīng)用系統(tǒng)的實施，逐漸暴露了一些存在的問題：1、缺乏整體規(guī)劃和統(tǒng)一部署。2、缺乏對于系統(tǒng)出現(xiàn)嚴(yán)重問題時的相應(yīng)機制。為解決信息系統(tǒng)與門戶網(wǎng)站存在的信息安全問題，保障電子政務(wù)管理和服務(wù)職能的有效實現(xiàn)，必須建立完善的信息安全體系，選擇符合國家信息安全主管部門認(rèn)證的安全技術(shù)和產(chǎn)品，在電子政務(wù)系統(tǒng)的建設(shè)中實施信息安全工程，從而建設(shè)一個先進(jìn)、完備、的信息安全平臺。（3）需求分析。本期項目的建設(shè)目標(biāo)是對花都區(qū)政府政務(wù)云信息系統(tǒng)等級保護測評與整改，包括政務(wù)平臺42個內(nèi)網(wǎng)系統(tǒng)、24個互聯(lián)網(wǎng)網(wǎng)站系統(tǒng)，共計66個系統(tǒng)76臺服務(wù)器進(jìn)行等級保護安全測評，同時根據(jù)等保三級要求對花都區(qū)政府門戶網(wǎng)站系統(tǒng)進(jìn)行信息系統(tǒng)安全整改，確保網(wǎng)站系統(tǒng)的整體安全性和穩(wěn)定性。三、可行性分析當(dāng)前政務(wù)云平臺的建設(shè)給傳統(tǒng)網(wǎng)絡(luò)安全帶來了挑戰(zhàn)，隨著勒索病毒等安全事件的頻繁發(fā)生，如何對虛擬化環(huán)境下的應(yīng)用系統(tǒng)進(jìn)行安全防護成了當(dāng)前熱門的安全問題；隨著國家網(wǎng)絡(luò)安全法的出臺，等級保護2.0版本的發(fā)布，對虛擬化云平臺的安全保護要求已經(jīng)確定，如何利用虛擬化安全產(chǎn)品來滿足新時代等保要求有了明確的目標(biāo)和方法，這些都為本項目的信息安全等級保護測評與整改提供了依據(jù)。（八）項目建設(shè)目標(biāo)與任務(wù)（1）建設(shè)目標(biāo)與思路。目前，政務(wù)云平臺在逐步進(jìn)行虛擬化遷移改造，大部分應(yīng)用系統(tǒng)與網(wǎng)站系統(tǒng)已經(jīng)部署在IDC機房虛擬機上，機房已經(jīng)按照等保規(guī)范進(jìn)行整改。本次項目需要對所有應(yīng)用系統(tǒng)與網(wǎng)站系統(tǒng)進(jìn)行信息安全等級保護測評，其中花都區(qū)政府門戶網(wǎng)站按照三級等保要求進(jìn)行測評和整改所有應(yīng)用系統(tǒng)均按照二級等保要求進(jìn)行測評。（2）項目建設(shè)主要任務(wù)。1、本項目建設(shè)任務(wù)主要是通過信息系統(tǒng)等級保護測評發(fā)現(xiàn)目前存在的信息安全問題，為后續(xù)政務(wù)云平臺應(yīng)用系統(tǒng)與網(wǎng)站系統(tǒng)的安全整改提供依據(jù)。2、對網(wǎng)站系統(tǒng)部署網(wǎng)頁防篡改系統(tǒng)。五、項目本期的建設(shè)原則和技術(shù)路線（一）根據(jù)信息安全目標(biāo)與應(yīng)用需求，信息安全建設(shè)是一個系統(tǒng)工程，系統(tǒng)安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排，統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則進(jìn)行，采用先進(jìn)的“平臺化”建設(shè)思想，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益，堅持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。在進(jìn)行信息系統(tǒng)安全方案設(shè)計、規(guī)劃時，遵循以下原則：A.整體安全原則一個由許多信息安全設(shè)備組成的信息安全防御系統(tǒng)，其信息安全防御水平取決于針對某種信息安全風(fēng)險性能最低的信息安全設(shè)備。應(yīng)用該觀點，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專業(yè)措施（識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等）。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機網(wǎng)絡(luò)，包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機信息安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的信息安全體系結(jié)構(gòu)。積極防御原則隨著黑客技術(shù)的提高，對信息安全也提出更高的要求。防御黑客除了傳統(tǒng)的邊界防御設(shè)備外，還需具備智能化、高度自動化、響應(yīng)速度快的信息安全產(chǎn)品，配備技術(shù)力量雄厚、響應(yīng)及時的本地化服務(wù)隊伍，才能做好各種預(yù)防檢測工作，達(dá)到防患于未然。C.多重保護原則任何安全防御措施都不是絕對安全的，都可能被攻破。但是建立一個多重安全保護系統(tǒng)，各層保護相互補充，當(dāng)一層保護被攻破時，其它層保護仍可保護信息的安全，才能夠有效抵御各種安全風(fēng)險。D.一致性原則一致性原則主要是指信息安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計（包括初步或詳細(xì)設(shè)計）及實施計劃、網(wǎng)絡(luò)驗證、驗收、運行等，都要有安全的內(nèi)容及措施，實際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮信息安全對策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費也小得多。E.易操作性原則安全措施需要人去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。不能夠違背信息化建設(shè)必須以應(yīng)用系統(tǒng)為基礎(chǔ)，滿足業(yè)務(wù)高效、易操作的原則。F.可擴展性原則由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。一勞永逸地解決信息安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當(dāng)?shù)馁M用支出。因此充分考慮系統(tǒng)的可擴展性，根據(jù)資金情況分步實施，既可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。G.標(biāo)準(zhǔn)化原則在軟件、硬件、網(wǎng)絡(luò)、安全和制度建設(shè)等方面都必須遵守國家和行業(yè)的相關(guān)法規(guī)、標(biāo)準(zhǔn)和規(guī)范。充分考慮工作特點，補充和完善符合實際的組織業(yè)務(wù)信息標(biāo)準(zhǔn)。（九）整個項目的技術(shù)實現(xiàn)方法和路線。信息系統(tǒng)等級保護測評方案綜合分析系統(tǒng)現(xiàn)狀、行業(yè)相關(guān)要求及花都區(qū)政務(wù)云平臺信息系統(tǒng)安全現(xiàn)狀，需要：信息系統(tǒng)定級：按照國家《定級指南》，通過對重要信息系統(tǒng)的定級，明確信息系統(tǒng)的重要程度，做到重點投資、重點保護。等級保護差距分析：按照等級保護的基線，對信息系統(tǒng)進(jìn)行等級保護差距分析，同時為后期的規(guī)劃與整改做好調(diào)研工作。整改與規(guī)劃方案設(shè)計：根據(jù)定級和等級差距分析評估的結(jié)果，進(jìn)行總體分析，分析花都區(qū)政府政務(wù)管理辦公室的安全需求，然后根據(jù)等級保護基本要求，以及《信息安全等級保護安全建設(shè)整改工作指南》以及《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》等標(biāo)準(zhǔn)，在滿足花都區(qū)人民政府政務(wù)管理辦公室信息系統(tǒng)在技術(shù)和管理層面的安全需求的前提下，進(jìn)行安全規(guī)劃和設(shè)計。整改的落實：根據(jù)整改設(shè)計方案，進(jìn)行技術(shù)整改（安全集成、安全加固）以及管理整改，從而滿足等級保護要求。協(xié)助測評：除了協(xié)助提供等保測評所需資料，藍(lán)盾安全顧問還將配合測評機構(gòu)的現(xiàn)場測評工作。藍(lán)盾安全顧問將陪同花都區(qū)政府政務(wù)管理辦公室有關(guān)人員配合現(xiàn)場測評工作，協(xié)助回答測評人員問題，協(xié)助花都區(qū)政府政務(wù)管理辦公室完成主要信息系統(tǒng)通過國家等級保護的相應(yīng)測評。應(yīng)用系統(tǒng)與網(wǎng)站系統(tǒng)等級保護測評評估（1）測評流程等級保護測評實施過程包括以下四個階段：（A）測評準(zhǔn)備階段測評項目組組建：明確項目經(jīng)理、測評人員及職責(zé)分工。項目計劃書編制：項目計劃書包含項目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項目組織等。信息系統(tǒng)調(diào)研：通過查閱被測系統(tǒng)已有資料或使用調(diào)查表格的方式，了解整個系統(tǒng)的構(gòu)成和保護情況，明確被測系統(tǒng)的范圍（特別是信息系統(tǒng)的邊界），了解被測系統(tǒng)的詳細(xì)構(gòu)成，包括網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息（服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等）、管理制度等。工具和表單準(zhǔn)備：根據(jù)被測系統(tǒng)的實際情況，準(zhǔn)備測評工具和各類測評表單。（B）方案編制階段測評對象確定：根據(jù)已經(jīng)了解到的被測系統(tǒng)信息，分析整個被測系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測評的測評對象。測評指標(biāo)確定：根據(jù)已經(jīng)了解到的被測系統(tǒng)定級結(jié)果，確定出本次測評的測評指標(biāo)。測評工具接入點確定：確定需要進(jìn)行工具測試的測評對象，選擇測試路徑，根據(jù)測試路徑確定測試工具的接入點。測評內(nèi)容確定：確定現(xiàn)場測評的具體實施內(nèi)容，即單元測評內(nèi)容。測評實施手冊開發(fā)：編制測評實施手冊，詳細(xì)描述現(xiàn)場測評的工具、方法和操作步驟等，具體指導(dǎo)測評人員如何進(jìn)行測評活動。（C）現(xiàn)場測評階段現(xiàn)場測評實際上就是單項測評，分別從技術(shù)上的物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個層面和管理上的安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理五個方面分別進(jìn)行。物理安全：通過人員訪談、文檔審查和實地察看的方式測評信息系統(tǒng)的物理安全保障情況。主要涉及對象為物理基礎(chǔ)設(shè)施。在內(nèi)容上，物理安全層面測評實施過程涉及10個測評單元，包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護。網(wǎng)絡(luò)安全：通過訪人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng)的網(wǎng)絡(luò)安全保障情況。主要涉及對象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在內(nèi)容上，網(wǎng)絡(luò)安全層面測評實施過程涉及7個測評單元，包括：結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、網(wǎng)絡(luò)設(shè)備防護。主機安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng)的主機安全保障情況。主要涉及對象為各類服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)。在內(nèi)容上，主機系統(tǒng)安全層面測評實施過程涉及7個測評單元，包括：身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制。應(yīng)用安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng)的應(yīng)用安全保障情況，主要涉及對象為各類應(yīng)用系統(tǒng)。在內(nèi)容上，應(yīng)用安全層面測評實施過程涉及9個測評單元，包括：身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制。數(shù)據(jù)安全：通過人員訪談、配置檢查的方式測評信息系統(tǒng)的數(shù)據(jù)安全保障情況，主要涉及對象為信息系統(tǒng)的管理數(shù)據(jù)及業(yè)務(wù)數(shù)據(jù)等。在內(nèi)容上，數(shù)據(jù)安全層面測評實施過程涉及3個測評單元，包括：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)。安全管理制度：通過人員訪談、文檔審查和實地察看的方式測評信息系統(tǒng)的安全管理制度情況。在內(nèi)容上，安全管理制度方面測評實施過程涉及3個測評單元，包括：管理制度、制定和發(fā)布、評審和修訂。安全管理機構(gòu)：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的安全管理機構(gòu)情況。在內(nèi)容上，安全管理機構(gòu)方面測評實施過程涉及5個測評單元，包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查。人員安全管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的人員安全管理情況。在內(nèi)容上，人員安全管理方面測評實施過程涉及5個測評單元，包括：人員錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)、外部人員訪問管理。系統(tǒng)建設(shè)管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的系統(tǒng)建設(shè)管理情況。在內(nèi)容上，系統(tǒng)建設(shè)管理方面測評實施過程涉及11個測評單元，包括：系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、安全服務(wù)商選擇。系統(tǒng)運維管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的系統(tǒng)運維管理情況。在內(nèi)容上，系統(tǒng)運維管理方面測評實施過程涉及13個測評單元，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理。（D）分析與報告編制階段單項測評結(jié)果分析：針對測評指標(biāo)中的單個測評項，結(jié)合具體測評對象，客觀、準(zhǔn)確地分析測評證據(jù)。單元測評結(jié)果判定：將單項測評結(jié)果進(jìn)行匯總，分別統(tǒng)計不同測評對象的單項測評結(jié)果，從而判定單元測評結(jié)果，并以表格的形式逐一列出。整體測評：針對單項測評結(jié)果的不符合項，采取逐條判定的方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測評的具體結(jié)果，并對系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測評。風(fēng)險分析：據(jù)等級保護的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險分析的方法分析等級測評結(jié)果中存在的安全問題可能對被測系統(tǒng)安全造成的影響。等級測評結(jié)論形成：在測評結(jié)果匯總的基礎(chǔ)上，找出系統(tǒng)保護現(xiàn)狀與等級保護基本要求之間的差距，并形成等級測評結(jié)論。測評報告編制：根據(jù)等級測評結(jié)論，編制測評報告，包括概述、被測系統(tǒng)描述、測評對象說明、測評指標(biāo)說明、測評內(nèi)容和方法說明、單元測評、整體測評、測評結(jié)果匯總、風(fēng)險分析和評價、等級測評結(jié)論、整改建議等。（十一）測評方法在等級保護測評過程目中，將采用以下測評方法：（1）工具測試測評方法工具測試簡要描述利用技術(shù)工具，從網(wǎng)絡(luò)的不同接入點對網(wǎng)絡(luò)內(nèi)的主機、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行脆弱性檢查和分析達(dá)成目標(biāo)發(fā)掘系統(tǒng)的安全漏洞工作條件1-2人工作環(huán)境，電源和網(wǎng)絡(luò)接入環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工作結(jié)果工具測試結(jié)果記錄（2）配置檢查測評方法配置檢查簡要描述通過登陸系統(tǒng)控制臺的方式，人工核查和分析主機、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的安全配置情況達(dá)成目標(biāo)發(fā)現(xiàn)配置的安全隱患工作條件1-2人工作環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工作結(jié)果配置檢查結(jié)果記錄（3）人員訪談測評方法人員訪談簡要描述通過交流、討論的方式，對技術(shù)和管理方面進(jìn)行脆弱性檢查和分析達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員配合工作結(jié)果人員訪談結(jié)果記錄（4）文檔審查測評方法文檔審查簡要描述通過文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄的完整性和內(nèi)部一致性達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員、各類文檔資料配合工作結(jié)果文檔審查結(jié)果記錄（5）實地查看項目名稱實地查看簡要描述通過現(xiàn)場查看人員行為、技術(shù)設(shè)施和物理環(huán)境狀況，檢查人員的安全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況。達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員配合工作結(jié)果實地查看結(jié)果記錄（十二）測評工具我們在等級保護測評過程中使用的測評工具嚴(yán)格遵循可控性原則，即所有使用的測評工具將事先提交給甲方檢查確認(rèn)，確保在雙方認(rèn)可的范圍之內(nèi)，而且測評過程中采用的技術(shù)手段確保已經(jīng)過可靠的實際應(yīng)用。在本項目中，將會采用以下測評工具（根據(jù)實際情況有所變化）：工具類別工具名稱工具介紹漏洞掃描工具Nessus廣泛使用的開源掃描和系統(tǒng)類型鑒別工具Web應(yīng)用掃描工具IBMAPPScanIBM公司出品的商業(yè)Web應(yīng)用安全掃描系統(tǒng)安全配置核查工具Solaris（TM）SecurityToolkitSun公司官方提供的本地控制臺審計工具包SystemsChecklist多種系統(tǒng)ChecklistDatabaseChecklist多種數(shù)據(jù)庫ChecklistLinuxSecurityAuditTools（LSAT）Linux系統(tǒng)的本地控制臺審計工具包Win系統(tǒng)安全審計工具包自行收集整理的多種針對性的Win系統(tǒng)安全審計工具的集合MicrosoftBaselineSecurityAnalyzerVersionMicrosoft公司官方提供的基線安全分析審計工具M(jìn)icrosoftNetworkSecurityHotfixCheckerVersionMicrosoft公司官方提供的審計工具，可分析Hotfix的安裝情況CheckRootkits多種Unix和類Unix平臺的后門檢測工具路由-交換-防火墻安全審計工具包自行整理定制的工具包，通過SNMP、Telnet、HTTP、CDP、RIP等協(xié)議對網(wǎng)絡(luò)設(shè)備進(jìn)行安全審計滲透測試工具M(jìn)etasploitframework廣泛使用的滲透測試工具軟件集合包（十三）輸出文檔（1）等級保護測評報告項目名稱等級保護測評報告簡要描述分析測評結(jié)果，判斷信息系統(tǒng)是否達(dá)到了對應(yīng)安全等級保護級別的要求達(dá)成目標(biāo)列出每項測評指標(biāo)和分析過程、分析結(jié)果，獲得符合性分析結(jié)論主要內(nèi)容技術(shù)測評指標(biāo)檢測和分析、管理測評指標(biāo)檢查和分析實現(xiàn)方式匯總分析、報告編寫工作結(jié)果等級保護測評報告參加人員乙方項目組（2）安全整改建議項目名稱安全整改建議（針對差距測評）簡要描述根據(jù)等級保護測評結(jié)果，結(jié)合業(yè)務(wù)與應(yīng)用實際情況，提出安全整改建議達(dá)成目標(biāo)列出未達(dá)標(biāo)項，結(jié)合實際提出安全整改建議主要內(nèi)容技術(shù)安全整改建議、管理安全整改建議實現(xiàn)方式匯總分析、報告編寫工作結(jié)果安全整改建議參加人員乙方項目組

（十四）門戶網(wǎng)站防篡改系統(tǒng)等級保護整改（1）總體架構(gòu)網(wǎng)頁防篡改保護系統(tǒng)架構(gòu)圖示網(wǎng)頁防篡改保護系統(tǒng)設(shè)計理念圖示整個系統(tǒng)的三部分管理中心、監(jiān)控端、備份端相互獨立又不可分割。通過以太網(wǎng)連接，通過BDCOM通訊組件靈活實現(xiàn)分布式部署，集中管理。（2）系統(tǒng)組成系統(tǒng)由管理中心、監(jiān)控端、備份端三部分組成。監(jiān)控端：部署在用戶web應(yīng)用服務(wù)器上實時監(jiān)視網(wǎng)站目錄文件等的變化情況，當(dāng)發(fā)現(xiàn)非法篡改時恢復(fù)用戶數(shù)據(jù)；備份端：部署在閑置機