![点击分享此内容可以赚币 分享](/master/images/share_but.png)
等级测评专项方案.doc
《等级测评专项方案.doc》由会员分享,可在线阅读,更多相关《等级测评专项方案.doc(37页珍藏版)》请在咨信网上搜索。
1、项目编号:xxxxxxxxxxxxx级别测评方案系统名称: XXXXXXXXXXX 被测单位:XXXXXXXXXXXX测评单位:xxxxxxxxxxxxxxxxx 目录1概述31.1项目简介31.2测评根据32被测系统描述42.1定级状况42.2网络构造42.3系统够成52.3.1业务应用软件52.3.2核心数据类别52.3.3主机/存储设备52.3.4网络互联设备62.3.5安全设备62.3.6终端设备62.3.7安全有关人员62.3.8安全管理文档72.4安全服务73测评对象与指标73.1测评指标73.2测评对象83.2.1机房93.2.2网络互联设备操作系统93.2.3主机(存储)操作系
2、统93.2.4业务应用软件93.2.5数据库管理系统103.2.6安全设备操作系统104测评办法与工具104.1测评办法104.1.1.工具测试104.1.2.配备检查114.1.3.人员访谈114.1.4.文档审查114.1.5.实地查看124.2重要测评工具125测评内容与实行135.1物理安全测评145.1.1测评实行155.1.2配合需求155.2网络安全测评165.2.1测评指标165.2.2测评实行175.2.3配合需求175.3主机安全测评185.3.1测评指标185.3.2测评实行185.3.3配合需求195.4应用安全测评195.4.1测评指标195.4.2测评实行205.4
3、.3配合需求205.5数据安全及备份恢复测评215.5.1测评指标215.5.2测评实行215.5.3配合需求215.6安全管理制度测评225.6.1测评指标225.6.2测评实行225.6.3配合需求235.7安全管理机构测评235.7.1测评指标235.7.2测评实行245.7.3配合需求245.8人员安全管理测评255.8.1测评指标255.8.2测评实行255.8.3配合需求265.9系统建设管理测评265.9.1测评指标265.9.2测评实行275.9.3配合需求285.10系统运维管理测评295.10.1测评指标295.10.2测评实行305.10.3配合需求315.11工具测试3
4、35.12整体测评341 概述1.1 项目简介为精确掌握信息系统安全保护能力现状,有效提高信息系统安全建设整体水平,XX单位委托XXXXX对其OA办公系统和Winmail 邮件系统实行信息安全级别测评,但愿通过测评工作发现系统既有安全防护办法薄弱环节,为下一步信息系统安全建设整治提供可靠根据,以有效提高信息系统安全运营能力。OA办公系统和Winmail 邮件系统由XXXX负责运营维护。OA办公系统重要实现公司各部门寻常业务工作规范化、电子化、原则化,增强档案部门文书档案、人事档案、科技档案、财务档案等档案可管理性,实现办公流程网上解决,以及信息在线查询、借阅,最后实现无纸办公。Winmail
5、邮件系统重要实现POP3服务、IMAP服务、Webmail服务、公用地址簿、IMAP 公共邮件夹、网络磁盘、网络行事历与记事本、邮件签核、邮件杀毒等服务。项目完毕后将出具级别测评报告,XX单位可根据级别测评报告,并结合单位实际状况,区别轻重缓急,通过安全整治不断提高信息系统整体安全保护水平。1.2 测评根据 信息安全技术 信息系统安全保护级别定级指南(GB/T 22240-) 信息安全技术 信息系统安全级别保护基本规定(GB/T 22239-) 信息安全技术 信息系统安全级别保护测评规定(GB/T 28448-) 信息安全技术 信息系统安全级别保护测评过程指南(GB/T 28449-) 信息安
6、全技术 信息系统安全级别保护实行指南(GB/T 25058-) 信息安全技术 信息安全风险评估规范(GB/T 20984-) 信息安全级别保护测评与风险评估合同2 被测系统描述被测系统为承载XX单位OA办公系统和Winmail 邮件系统,是XX单位重要信息系统,其安全级别定为三级。OA办公系统当前覆盖单位各部门,系统重要是实现各部门寻常业务工作规范化、电子化、原则化,提供电子化管理文书档案、人事档案、科技档案、财务档案等功能。当前系统重要涉及主服务器、互换机、路由器和防火墙等设备,具备了信息系统基本要素,系统边界用防火墙区别,边界设备是防火墙。Winmail邮件系统当前覆盖单位各部门,系统重要
7、是实现POP3服务、IMAP服务、Webmail服务、公用地址簿、IMAP 公共邮件夹、网络磁盘、网络行事历与记事本、邮件签核、邮件杀毒等服务。当前系统重要涉及主服务器、互换机、路由器和防火墙等设备,具备了信息系统基本要素,系统边界用防火墙区别,边界设备是防火墙。XX单位负责Winmail邮件系统运营维护。XX单位负责OA办公系统和Winmail 邮件系统运营维护。2.1 定级状况XX单位为该信息系统定级责任单位。该信息系统于XXXX年X月上线。通过对该信息系统业务信息安全级别和系统服务安全级别综合判断,最后拟定信息系统安全保护级别为三级(S3A3G3)。2.2 网络构造 信息系统拓扑构造示意
8、图: 2.3 系统够成2.3.1 业务应用软件序号软件名称重要功能重要限度1OA办公系统网络办公重要2Winmail邮件系统邮件系统重要2.3.2 核心数据类别序号数据类别所属业务应用重要限度1OA办公系统OA办公系统重要2Winmail邮件系统Winmail邮件系统重要2.3.3 主机/存储设备序号设备名称操作系统/数据库管理系统业务应用软件1应用服务器Win R2OA办公系统、Winmail邮件系统2应用服务器MS SQL Server R2OA办公系统、Winmail邮件系统2.3.4 网络互联设备序号设备名称用途重要限度1TP-LINK TL-ER5110G网络互联普通2Quidway
9、 S 3500互换机接入层数据互换普通2.3.5 安全设备序号设备名称用途重要限度1防火墙 天融信TOPGate300边界访问控制重要2.3.6 终端设备 序号设备名称操作系统用途重要限度1管理终端Win7业务管理 业务维护普通2业务终端Win7业务普通2.3.7 安全有关人员序号姓名岗位/角色联系方式1XXX系统管理员2XXX网络管理员3XXX业务操作员2.3.8安全管理文档序号文档名称重要内容1安全管理类制度信息系统有关安全岗位制度有关文献记录2安全管理机构累制度信息管理机构及运营工作、职责范畴制度3人员管理类制度信息系统有关人员录取、培训、离职等制度文献4系统建设类制度系统建设定级、设计
10、、软件外包、软件自主开发、工程实行、测实验收、代码安全性等各过程规范制度5系统运维类制度系统运维期间中所涉及物理主机、网络安全、恶意代码检测、备份存储介质、物理机房等各涉及岗位有关制度2.4 安全服务序号安全服务名称安全服务商1设备售后/技术支持XXXXXXX2软件售后/技术支持XXXXXXX3 测评对象与指标3.1 测评指标对于三级系统,如业务信息安全级别为S3,系统服务安全级别为A3,则该系统测评指标应涉及GB/T 22239-信息系统安全保护级别基本规定中“技术规定”某些3级通用指标类(G3),3级业务信息安全指标类(S3),3级系统服务安全指标类(A3),以及第3级“管理规定”某些中所
11、有指标类,级别保护测评指标状况详细如下表所示:测评指标(三级)技术/管理安全分类安全子类数量S类A类G类小计技术物理安全11810网络安全1067主机安全3136应用安全5229数据安全及备份恢复2103管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理001111系统运维管理001313共计:723.2 测评对象依照信息安全级别保护规定、参照业界权威安全风险评估原则与模型,同步结合本XX近年安全风险评估经验与实践,从信息系统核心资产出发,以威胁和弱点为导向,对比信息安全级别保护详细规定,全面对信息系统进行全面评估。测评对象种类重要考虑如下几种方面:1整体网络拓扑构造
12、;2机房环境、配套设施;3网络设备:涉及路由器、核心互换机、汇聚层互换机等; 4安全设备:涉及防火墙、IDS/IPS、防病毒网关等; 5主机系统(涉及操作系统和数据库系统); 6业务应用系统;7重要管理终端(针对三级以上系统);8安全管理员、网络管理员、系统管理员、业务管理员; 9涉及到系统安全所有管理制度和记录。依照信息系统测评强度规定,在执行详细核查办法时,在广度上要做到从测评范畴中抽取充分测评对象种类和数量;在执行详细检测办法,在深度上要做到对功能等各方面测试。3.2.1 机房序号机房名称物理位置1计算机管理中心钜星科技楼八楼3.2.2 网络互联设备操作系统序号软件名称重要功能1路由器网
13、络互连3.2.3 主机(存储)操作系统序号设备名称操作系统/数据库管理系统1联想systemX 3650 M5Windows server R22联想扬天S4150-00Windows7 SP13.2.4 业务应用软件序号软件名称操作系统/数据库管理系统1OA办公自动化我资讯/我邮件/工作任务/工作流程/我日程/我公文/沟通与分享/我工具2Winmail邮件系统发件人/收件人/主题/开始时间/完毕时间/状态/成果信息/发件人摘要/收件人摘要/邮件大小/IP地址3.2.5 数据库管理系统序号数据库名称数据库管理系统1SQL数据库MS SQL Server R23.2.6 安全设备操作系统序号操作
14、系统名称设备名称1TOS_3.3.010.042.1 K天融信 TOP Gate 3004 测评办法与工具4.1 测评办法在级别保护测评过程目中,将采用如下测评办法:1.2.3.4.4.1.1. 工具测试运用技术工具(漏洞扫描工具、渗入测试工具、压力测试工具等)对系统进行测试,涉及基于网络探测和基于主机审计漏洞扫描、渗入测试等。测评办法工具测试简要描述运用技术工具,从网络不同接入点对网络内主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查和分析达到目的发掘系统安全漏洞工作条件1-2人工作环境,电源和网络接入环境,甲方人员、网络、系统配合工作成果工具测试成果记录4.1.2. 配备检查运用上
15、机验证方式检查主机、服务器、数据库、网络设备、安全设备、应用系统配备与否对的,与否与文档、有关设备和部件保持一致,对文档审核内容进行核算(涉及日记审计等),测评其实行对的性和有效性,检查配备完整性,测试网络连接规则一致性,从而测试系统与否达到可用性和可靠性规定。测评办法配备检查简要描述通过登陆系统控制台方式,人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统安全配备状况达到目的发现配备安全隐患工作条件1-2人工作环境,甲方人员、网络、系统配合工作成果配备检查成果记录4.1.3. 人员访谈与被测系统关于人员(个人/群体)进行交流、讨论等活动,获取有关证据,理解关于信息。在访谈范畴上
16、,不同级别信息系统在测评时有不同规定,普通应基本覆盖所有安全有关人员类型,在数量上可以抽样。测评办法人员访谈简要描述通过交流、讨论方式,对技术和管理方面进行脆弱性检查和分析达到目的发掘技术和管理方面存在安全问题工作条件1-2人工作环境,甲方人员配合工作成果人员访谈成果记录4.1.4. 文档审查检查制度、方略、操作规程、制度执行状况记录等文档(涉及安全方针文献、安全管理制度、安全管理执行过程文档、系统设计方案、网络设备技术资料、系统和产品实际配备阐明、系统各种运营记录文档、机房建设有关资料、机房出入记录等过程记录文档)完整性,以及这些文献之间内部一致性。测评办法文档审查简要描述通过文档审核与分析
17、,检查制度、方略、操作规程、制度执行状况记录完整性和内部一致性达到目的发掘技术和管理方面存在安全问题工作条件1-2人工作环境,甲方人员、各类文档资料配合工作成果文档审查成果记录4.1.5. 实地查看通过实地观测人员行为、技术设施和物理环境状况判断人员安全意识、业务操作、管理程序和系统物理环境等方面安全状况,测评其与否达到了相应级别安全规定。测评办法实地查看简要描述通过现场查看人员行为、技术设施和物理环境状况,检查人员安全意识、业务操作、管理程序和系统物理环境等方面安全状况。达到目的发掘技术和管理方面存在安全问题工作条件1-2人工作环境,甲方人员配合工作成果实地查当作果记录4.2 重要测评工具咱
18、们在级别保护测评过程中使用测评工具严格遵循可控性原则,即所有使用测评工具将事先提交给甲方检查确认,保证在双方承认范畴之内,并且测评过程中采用技术手段保证已通过可靠实际应用。在本项目中,将采用如下测评工具:工具类别工具名称工具简介漏洞扫描工具绿盟极光远程安全评估系统XXXX出品商业漏洞扫描系统5 测评内容与实行 本项目重要分为两步开展实行。第一步,对XXXXXXXXXXXXXXXXXXX两个信息系统进行定级和备案工作。第二步,对XXXXXXXXXXXXXXXXXXX已经定级备案系统进行十个安全层面级别保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理
19、机构、人员安全管理、系统建设管理、系统运维管理)。其中安全测评分为差距测评和验收测评。差距测评重要针对XXXXXXXXXXXXXXX已定级备案系统执行国标安全测评,差距测评交付差距测评报告以及差距测评整治方案;差距整治完毕后协助完毕系统配备方面整治。最后进行验收测评,验收测评将按照国标和国家公安承认测评规定、测评过程、测评报告,协助对XXXXXXXXXXXXXXXXXXX已定级备案系统执行系统安全验收测评,验收测评交付具备国家承认验收测评报告。信息系统安全级别保护测评涉及两个方面内容:一是安全控制测评,重要测评信息安全级别保护规定基本安全控制在信息系统中实行配备状况;二是系统整体测评,重要测评
20、分析信息系统整体安全性。其中,安全控制测评是信息系统整体安全测评基本。安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评涉及:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上安全控制测评;安全管理测评涉及:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面安全控制测评。详细见下图:5.1 物理安全测评物理安全测评将通过访谈和检查方式评测信息系统物理安全保障状况。重要涉及对象为机房。在内容上,物理安全层面测评实行过程涉及 10 个安全子类,详细如下表:序号安全子类测评指标描述1物理位置选取通过访谈物理安全负责人,检查机房,
21、测评机房物理场合在位置上与否具备防震、防风和防雨等多方面安全防范能力。2物理访问控制通过访谈物理安全负责人,检查机房出入口等过程,测评信息系统在物理访问控制方面安全防范能力。3防盗窃和防破坏通过访谈物理安全负责人,检查机房内重要设备、介质和防盗报警设施等过程,测评信息系统与否采用必要办法防止设备、介质等丢失和被破坏。4防雷击通过访谈物理安全负责人,检查机房设计/验收文档,测评信息系统与否采用相应办法防止雷击。5防火通过访谈物理安全负责人,检查机房防火方面安全管理制度,检查机房防火设备等过程,测评信息系统与否采用必要办法防止火灾发生。6防水和防潮通过访谈物理安全负责人,检查机房及其除潮设备等过程
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 测评 专项 方案
![提示](https://www.zixin.com.cn/images/bang_tan.gif)
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。