等级测评方案.doc
《等级测评方案.doc》由会员分享,可在线阅读,更多相关《等级测评方案.doc(40页珍藏版)》请在咨信网上搜索。
1、项目编号:xxxxxxxxxxxxx等级测评方案系统名称: XXXXXXXXXXX 被测单位:XXXXXXXXXXXX测评单位:xxxxxxxxxxxxxxxxx 目录1概述31.1项目简介31.2测评依据32被测系统描述42.1定级情况42.2网络结构42.3系统够成52.3.1业务应用软件52.3.2关键数据类别52.3.3主机/存储设备52.3.4网络互联设备62.3.5安全设备62.3.6终端设备62.3.7安全相关人员62.3.8安全管理文档72.4安全服务73测评对象与指标73.1测评指标73.2测评对象83.2.1机房93.2.2网络互联设备操作系统93.2.3主机(存储)操作系
2、统93.2.4业务应用软件93.2.5数据库管理系统103.2.6安全设备操作系统104测评方法与工具104.1测评方法104.1.1.工具测试104.1.2.配置检查114.1.3.人员访谈114.1.4.文档审查114.1.5.实地查看124.2重要测评工具125测评内容与实行135.1物理安全测评145.1.1测评实行155.1.2配合需求155.2网络安全测评165.2.1测评指标165.2.2测评实行175.2.3配合需求175.3主机安全测评185.3.1测评指标185.3.2测评实行185.3.3配合需求195.4应用安全测评195.4.1测评指标195.4.2测评实行205.4
3、.3配合需求205.5数据安全及备份恢复测评215.5.1测评指标215.5.2测评实行215.5.3配合需求215.6安全管理制度测评225.6.1测评指标225.6.2测评实行225.6.3配合需求235.7安全管理机构测评235.7.1测评指标235.7.2测评实行245.7.3配合需求245.8人员安全管理测评255.8.1测评指标255.8.2测评实行255.8.3配合需求265.9系统建设管理测评265.9.1测评指标265.9.2测评实行275.9.3配合需求285.10系统运维管理测评295.10.1测评指标295.10.2测评实行305.10.3配合需求315.11工具测试3
4、35.12整体测评341 概述1.1 项目简介为准确掌握信息系统的安全保护能力现状,有效提高信息系统安全建设的整体水平,XX单位委托XXXXX对其OA办公系统和Winmail 邮件系统实行信息安全等级测评,希望通过测评工作发现系统现有安全防护措施的薄弱环节,为下一步的信息系统安全建设整改提供可靠依据,以有效提高信息系统的安全运营能力。OA办公系统和Winmail 邮件系统由XXXX负责运营维护。OA办公系统重要实现公司各部门平常业务工作的规范化、电子化、标准化,增强档案部门文书档案、人事档案、科技档案、 财务档案等档案的可管理性,实现办公流程的网上解决,以及信息的在线查询、借阅,最终实现无纸办
5、公。Winmail 邮件系统重要实现POP3服务、IMAP服务、Webmail服务、公用地址簿、IMAP 公共邮件夹、网络磁盘、网络行事历与记事本、邮件签核、邮件杀毒等服务。项目完毕后将出具等级测评报告,XX单位可依据等级测评报告,并结合单位的实际情况,区分轻重缓急,通过安全整改不断提高信息系统的整体安全保护水平。1.2 测评依据 信息安全技术 信息系统安全保护等级定级指南(GB/T 22240-2023) 信息安全技术 信息系统安全等级保护基本规定(GB/T 22239-2023) 信息安全技术 信息系统安全等级保护测评规定(GB/T 28448-2023) 信息安全技术 信息系统安全等级保
6、护测评过程指南(GB/T 28449-2023) 信息安全技术 信息系统安全等级保护实行指南(GB/T 25058-2023) 信息安全技术 信息安全风险评估规范(GB/T 20984-2023) 信息安全等级保护测评与风险评估协议2 被测系统描述被测系统为承载XX单位OA办公系统和Winmail 邮件系统,是XX单位的重要信息系统,其安全等级定为三级。OA办公系统目前覆盖单位各部门,系统重要是实现各部门平常业务工作的规范化、电子化、标准化,提供电子化管理文书档案、人事档案、科技档案、 财务档案等功能。目前系统重要涉及主服务器、互换机、路由器和防火墙等设备,具有了信息系统的基本要素,系统的边界
7、用防火墙区分,边界设备是防火墙。Winmail邮件系统目前覆盖单位各部门,系统重要是实现POP3服务、IMAP服务、Webmail服务、公用地址簿、IMAP 公共邮件夹、网络磁盘、网络行事历与记事本、邮件签核、邮件杀毒等服务。目前系统重要涉及主服务器、互换机、路由器和防火墙等设备,具有了信息系统的基本要素,系统的边界用防火墙区分,边界设备是防火墙。XX单位负责Winmail邮件系统的运营维护。XX单位负责OA办公系统和Winmail 邮件系统的运营维护。2.1 定级情况XX单位为该信息系统的定级责任单位。该信息系统于XXXX年X月上线。通过对该信息系统的业务信息安全等级和系统服务安全等级的综合
8、判断,最终拟定信息系统安全保护等级为三级(S3A3G3)。2.2 网络结构 信息系统的拓扑结构示意图: 2.3 系统够成2.3.1 业务应用软件序号软件名称重要功能重要限度1OA办公系统网络办公重要2Winmail邮件系统邮件系统重要2.3.2 关键数据类别序号数据类别所属业务应用重要限度1OA办公系统OA办公系统重要2Winmail邮件系统Winmail邮件系统重要2.3.3 主机/存储设备序号设备名称操作系统/数据库管理系统业务应用软件1应用服务器Win2023 R2OA办公系统、Winmail邮件系统2应用服务器MS SQL Server 2023 R2OA办公系统、Winmail邮件系
9、统2.3.4 网络互联设备序号设备名称用途重要限度1TP-LINK TL-ER5110G网络互联一般2Quidway S 3500互换机接入层数据互换一般2.3.5 安全设备序号设备名称用途重要限度1防火墙 天融信TOPGate300边界访问控制重要2.3.6 终端设备 序号设备名称操作系统用途重要限度1管理终端Win7业务管理 业务维护一般2业务终端Win7业务一般2.3.7 安全相关人员序号姓名岗位/角色联系方式1XXX系统管理员2XXX网络管理员3XXX业务操作员2.3.8安全管理文档序号文档名称重要内容1安全管理类制度信息系统相关安全岗位制度相关文献记录2安全管理机构累制度信息管理机构
10、及运营工作、职责范围制度3人员管理类制度信息系统相关人员录用、培训、离职等制度文献4系统建设类制度系统建设定级、设计、软件外包、软件自主开发、工程实行、测实验收、代码安全性等各过程规范制度5系统运维类制度系统运维期间中所涉及物理主机、网络安全、恶意代码检测、备份存储介质、物理机房等各涉及岗位的相关制度2.4 安全服务序号安全服务名称安全服务商1设备售后/技术支持XXXXXXX2软件售后/技术支持XXXXXXX3 测评对象与指标3.1 测评指标对于三级系统,如业务信息安全等级为S3,系统服务安全等级为A3,则该系统的测评指标应涉及GB/T 22239-2023信息系统安全保护等级基本规定中“技术
11、规定”部分的3级通用指标类(G3),3级业务信息安全指标类(S3),3级系统服务安全指标类(A3),以及第3级“管理规定”部分中的所有指标类,等级保护测评指标情况具体如下表所示:测评指标(三级)技术/管理安全分类安全子类数量S类A类G类小计技术物理安全11810网络安全1067主机安全3136应用安全5229数据安全及备份恢复2103管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理001111系统运维管理001313合计:723.2 测评对象依照信息安全等级保护的规定、参考业界权威的安全风险评估标准与模型,同时结合本XX数年的安全风险评估经验与实践,从信息系统的核心
12、资产出发,以威胁和弱点为导向,对比信息安全等级保护的具体规定,全面对信息系统进行全面评估。测评对象种类重要考虑以下几个方面:1整体网络拓扑结构;2机房环境、配套设施;3网络设备:涉及路由器、核心互换机、汇聚层互换机等; 4安全设备:涉及防火墙、IDS/IPS、防病毒网关等; 5主机系统(涉及操作系统和数据库系统); 6业务应用系统;7重要管理终端(针对三级以上系统);8安全管理员、网络管理员、系统管理员、业务管理员; 9涉及到系统安全的所有管理制度和记录。根据信息系统的测评强度规定,在执行具体的核查方法时,在广度上要做到从测评范围中抽取充足的测评对象种类和数量;在执行具体的检测方法,在深度上要
13、做到对功能等各方面的测试。3.2.1 机房序号机房名称物理位置1计算机管理中心钜星科技楼八楼3.2.2 网络互联设备操作系统序号软件名称重要功能1路由器网络互连3.2.3 主机(存储)操作系统序号设备名称操作系统/数据库管理系统1联想systemX 3650 M5Windows server 2023 R22联想扬天S4150-00Windows7 SP13.2.4 业务应用软件序号软件名称操作系统/数据库管理系统1OA办公自动化我的资讯/我的邮件/工作任务/工作流程/我的日程/我的公文/沟通与分享/我的工具2Winmail邮件系统发件人/收件人/主题/开始时间/完毕时间/状态/结果信息/发件
14、人摘要/收件人摘要/邮件大小/IP地址3.2.5 数据库管理系统序号数据库名称数据库管理系统1SQL数据库MS SQL Server 2023 R23.2.6 安全设备操作系统序号操作系统名称设备名称1TOS_3.3.010.042.1 K天融信 TOP Gate 3004 测评方法与工具4.1 测评方法在等级保护测评过程目中,将采用以下测评方法:1.2.3.4.4.1.1. 工具测试运用技术工具(漏洞扫描工具、渗透测试工具、压力测试工具等)对系统进行测试,涉及基于网络探测和基于主机审计的漏洞扫描、渗透测试等。测评方法工具测试简要描述运用技术工具,从网络的不同接入点对网络内的主机、服务器、数据
15、库、网络设备、安全设备等进行脆弱性检查和分析达成目的发掘系统的安全漏洞工作条件1-2人工作环境,电源和网络接入环境,甲方人员、网络、系统配合工作结果工具测试结果记录4.1.2. 配置检查运用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否对的,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核算(涉及日记审计等),测评其实行的对的性和有效性,检查配置的完整性,测试网络连接规则的一致性,从而测试系统是否达成可用性和可靠性的规定。测评方法配置检查简要描述通过登陆系统控制台的方式,人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统的安全配置情况达成
16、目的发现配置的安全隐患工作条件1-2人工作环境,甲方人员、网络、系统配合工作结果配置检查结果记录4.1.3. 人员访谈与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的规定,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。测评方法人员访谈简要描述通过交流、讨论的方式,对技术和管理方面进行脆弱性检查和分析达成目的发掘技术和管理方面存在的安全问题工作条件1-2人工作环境,甲方人员配合工作结果人员访谈结果记录4.1.4. 文档审查检查制度、策略、操作规程、制度执行情况记录等文档(涉及安全方针文献、安全管理制度、安全
17、管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运营记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文献之间的内部一致性。测评方法文档审查简要描述通过文档审核与分析,检查制度、策略、操作规程、制度执行情况记录的完整性和内部一致性达成目的发掘技术和管理方面存在的安全问题工作条件1-2人工作环境,甲方人员、各类文档资料配合工作结果文档审查结果记录4.1.5. 实地查看通过实地的观测人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达成了相应等级的安全规定。测评方法实地查
18、看简要描述通过现场查看人员行为、技术设施和物理环境状况,检查人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况。达成目的发掘技术和管理方面存在的安全问题工作条件1-2人工作环境,甲方人员配合工作结果实地查看结果记录4.2 重要测评工具我们在等级保护测评过程中使用的测评工具严格遵循可控性原则,即所有使用的测评工具将事先提交给甲方检查确认,保证在双方认可的范围之内,并且测评过程中采用的技术手段保证已通过可靠的实际应用。在本项目中,将采用以下测评工具:工具类别工具名称工具介绍漏洞扫描工具绿盟极光远程安全评估系统XXXX出品的商业漏洞扫描系统5 测评内容与实行 本项目重要分为两步开展实行
19、。第一步,对XXXXXXXXXXXXXXXXXXX两个信息系统进行定级和备案工作。第二步,对XXXXXXXXXXXXXXXXXXX已经定级备案的系统进行十个安全层面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。其中安全测评分为差距测评和验收测评。差距测评重要针对XXXXXXXXXXXXXXX已定级备案系统执行国家标准的安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完毕系统配置方面的整改。最后进行验收测评,验收测评将按照国家标准和国家公安认可的测评规定、测评过程、
20、测评报告,协助对XXXXXXXXXXXXXXXXXXX已定级备案的系统执行系统安全验收测评,验收测评交付具有国家认可的验收测评报告。信息系统安全等级保护测评涉及两个方面的内容:一是安全控制测评,重要测评信息安全等级保护规定的基本安全控制在信息系统中的实行配置情况;二是系统整体测评,重要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评涉及:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评涉及:安全管理机构、安全管理制度、人员安全管理、系统建设
21、管理和系统运维管理五个方面的安全控制测评。具体见下图:5.1 物理安全测评物理安全测评将通过访谈和检查的方式评测信息系统的物理安全保障情况。重要涉及对象为机房。在内容上,物理安全层面测评实行过程涉及 10 个安全子类,具体如下表:序号安全子类测评指标描述1物理位置的选择通过访谈物理安全负责人,检查机房,测评机房物理场合在位置上是否具有防震、防风和防雨等多方面的安全防范能力。2物理访问控制通过访谈物理安全负责人,检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。3防盗窃和防破坏通过访谈物理安全负责人,检查机房内的重要设备、介质和防盗报警设施等过程,测评信息系统是否采用必要的措施
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 测评 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。