信息系统等级保护测评工作方案.docx

信息系统等级保护测评工作方案.docx

《信息系统等级保护测评工作方案.docx》由会员分享，可在线阅读，更多相关《信息系统等级保护测评工作方案.docx（24页珍藏版）》请在冰豆网上搜索。

信息系统等级保护测评工作方案

XX安全服务公司

2018-2019年XXX项目

等级保护差距测评实施方案

XXXXXXXXX信息安全有限公司

201X年X月

1.项目概述

项目背景

为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的要求，对XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评估工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。

（安全技术测评包括：

物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评；安全管理测评包括：

安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评），加大测评与风险评估力度，对信息系统的资产、威胁、弱点和风险等要素进行全面评估，有效提升信心系统的安全防护能力，建立常态化的等级保护工作机制，深化信息安全等级保护工作，提高XXXXXXXXXXXXXXXXXXX网络与信息系统的安全保障与运维能力。

项目目标

全面完成XXXXXXXXXXXXXXXXXXX现有六个信息系统的信息安全测评与评估工作和协助整改工作，并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务，按照国家和XXXXXXXXXXXXXXXXXXX的有关要求，对XXXXXXXXXXXXXXXXXXX的网络架构进行业务影响分析及网络安全管理工作进行梳理，提高XXXXXXXXXXXXXXXXXXX整个网络的安全保障与运维能力，减少信息安全风险和降低信息安全事件发生的概率，全面提高网络层面的安全性，构建XXXXXXXXXXXXXXXXXXX信息系统的整体信息安全架构，确保全局信息系统高效稳定运行，并满足XXXXXXXXXXXXXXXXXXX提出的基本要求，及时提供咨询等服务。

项目原则

项目的方案设计与实施应满足以下原则：

✧符合性原则：

应符合国家信息安全等级保护制度及相关法律法规，指出防范的方针和保护的原则。

✧标准性原则：

方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。

✧规范性原则：

项目实施应由专业的等级测评师依照规范的操作流程进行，在实施之前将详细量化出每项测评内容，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。

✧可控性原则：

项目实施的方法和过程要在双方认可的范围之内，实施进度要按照进度表进度的安排，保证项目实施的可控性。

✧整体性原则：

安全体系设计的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患。

✧最小影响原则：

项目实施工作应尽可能小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务的正常提供产生显著影响。

✧保密原则：

对项目实施过程获得的数据和结果严格保密，XX不得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害测评委托单位利益的行为。

项目依据

信息系统等级测评依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》，在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上，针对相应等级的信息系统遵循的标准进行综合系统测评，提出相应的系统安全整改建议。

主要参考标准如下：

✧《计算机信息系统安全保护等级划分准则》-GB17859-1999

✧《信息安全技术信息系统安全等级保护实施指南》

✧《信息安全技术信息系统安全等级保护测评要求》

✧《信息安全等级保护管理办法》

✧《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）

✧《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）

✧《计算机信息系统安全保护等级划分准则》（GB17859-1999）

✧《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）

✧《信息安全技术网络基础安全技术要求》（GB/T20270-2006）

✧《信息安全技术操作系统安全技术要求》（GB/T20272-2006）

✧《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）

✧《信息安全技术服务器技术要求》（GB/T21028-2007）

✧《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）

✧《信息安全风险评估规范》（GB/T20984-2007）

2.测评实施内容

测评分析

测评范围

本项目范围为对XXXXXXXXXXXXXXXXXXX已定级信息系统的等级保护测评。

测评对象

本次测评对象为XXXXXXXXXXXXXXXXXXX信息系统，具体如下：

序号

信息系统名称

级别

1

XXXXXXXXX信息系统

三级

2

XXXXXXXXX信息系统

三级

3

XXXXXXXXX信息系统

三级

4

XXXXXXXXX信息系统

三级

5

XXXXXXXXX信息系统

二级

6

XXXXXXXXX信息系统

二级

测评架构图

本次测评结合XXXXXXXXXXXXXXXXXXX系统的信息管理特点，进行不同层次的测评工作，如下表所示：

测评内容

本项目主要分为两步开展实施。

第一步，对XXXXXXXXXXXXXXXXXXX六个信息系统进行定级和备案工作。

第二步，对XXXXXXXXXXXXXXXXXXX已经定级备案的系统进行十个安全层面的等级保护安全测评（物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理）。

其中安全测评分为差距测评和验收测评。

差距测评主要针对XXXXXXXXXXXXXXXXXXX已定级备案系统执行国家标准的安全测评，差距测评交付差距测评报告以及差距测评整改方案；差距整改完毕后协助完成系统配置方面的整改。

最后进行验收测评，验收测评将按照国家标准和国家公安承认的测评要求、测评过程、测评报告，协助对XXXXXXXXXXXXXXXXXXX已定级备案的系统执行系统安全验收测评，验收测评交付具有国家承认的验收测评报告。

信息系统安全等级保护测评包括两个方面的内容：

一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。

其中，安全控制测评是信息系统整体安全测评的基础。

安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。

安全技术测评包括：

物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评；安全管理测评包括：

安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。

具体见下图：

系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关。

在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。

综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行，由此而获得信息系统对应安全等级保护级别的符合性结论。

测评对象

依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模型，同时结合本公司多年的安全风险评估经验与实践，从信息系统的核心资产出发，以威胁和弱点为导向，对比信息安全等级保护的具体要求，全方面对信息系统进行全面评估。

测评对象种类主要考虑以下几个方面：

1．整体网络拓扑结构；

2．机房环境、配套设施；

3．网络设备：

包括路由器、核心交换机、汇聚层交换机等；

4．安全设备：

包括防火墙、IDS/IPS、防病毒网关等；

5．主机系统（包括操作系统和数据库系统）；

6．业务应用系统；

7．重要管理终端（针对三级以上系统）；

8．安全管理员、网络管理员、系统管理员、业务管理员；

9．涉及到系统安全的所有管理制度和记录。

根据信息系统的测评强度要求，在执行具体的核查方法时，在广度上要做到从测评范围中抽取充分的测评对象种类和数量；在执行具体的检测方法，在深度上要做到对功能等各方面的测试。

测评指标

对于二级系统，如业务信息安全等级为S2，系统服务安全等级为A2，则该系统的测评指标应包括GB/T22239-2008《信息系统安全保护等级基本要求》中“技术要求”部分的2级通用指标类（G2），2级业务信息安全指标类（S2），2级系统服务安全指标类（A2），以及第2级“管理要求”部分中的所有指标类，等级保护测评指标情况具体如下表所示：

测评指标（二级）

技术/管理

层面

类数量

S类（2级）

A类（2级）

G类（2级）

小计

安全技术

物理安全

1

1

8

10

网络安全

1

0

5

6

主机安全

2

1

3

6

应用安全

4

2

1

7

数据安全

2

1

0

3

安全管理

安全管理制度

0

0

3

3

安全管理机构

0

0

5

5

人员安全管理

0

0

5

5

系统建设管理

0

0

9

9

系统运维管理

0

0

12

12

合计

66（类）

对于三级系统，如业务信息安全等级为S3，系统服务安全等级为A3，则该系统的测评指标应包括GB/T22239-2008《信息系统安全保护等级基本要求》中“技术要求”部分的3级通用指标类（G3），3级业务信息安全指标类（S3），3级系统服务安全指标类（A3），以及第3级“管理要求”部分中的所有指标类，等级保护测评指标情况具体如下表所示：

测评指标（三级）

技术/管理

层面

类数量

S类（3级）

A类（3级）

G类（3级）

小计

安全技术

物理安全

1

1

8

10

网络安全

1

0

6

7

主机安全

3

1

3

7

应用安全

5

2

2

9

数据安全

2

1

0

3

安全管理

安全管理制度

0

0

3

3

安全管理机构

0

0

5

5

人员安全管理

0

0

5

5

系统建设管理

0

0

11

11

系统运维管理

0

0

13

13

合计

73（类）

测评流程

等级保护测评实施过程包括以下四个阶段：

测评准备阶段

✧测评项目组组建：

明确项目经理、测评人员及职责分工。

✧项目计划书编制：

项目计划书包含项目概述、工作依据、技术思路、工作内容和项目组织等。

✧信息系统调研：

通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，明确被测系统的范围（特别是信息系统的边界），了解被测系统的详细构成，包括网络拓扑、业务应用、业务流程、设备信息（服务器、数据库、网络设备、安全设备、数据库等）、管理制度等。

✧工具和表单准备：

根据被测系统的实际情况，准备测评工具和各类测评表单。

方案编制阶段

✧测评对象确定：

根据已经了解到的被测系统信息，分析整个被测系统及其涉及的业务应用系统，确定出本次测评的测评对象。

✧测评指标确定：

根据已经了解到的被测系统定级结果，确定出本次测评的测评指标。

✧测评工具接入点确定：

确定需要进行工具测试的测评对象，选择测试路径，根据测试路径确定测试工具的接入点。

✧测评内容确定：

确定现场测评的具体实施内容，即单元测评内容。

✧测评实施手册开发：

编制测评实施手册，详细描述现场测评的工具、方法和操作步骤等，具体指导测评人员如何进行测评活动。

现场测评阶段

现场测评实际上就是单项测评，分别从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。

✧物理安全：

通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。

主要涉及对象为物理基础设施。

在内容上，物理安全层面测评实施过程涉及10个测评单元，包括：

物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

✧网络安全：

通过访人员访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。

主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。

在内容上，网络安全层面测评实施过程涉及7个测评单元，包括：

结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护、恶意代码防范（针对三级系统）。

✧主机安全：

通过人员访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。

主要涉及对象为各类服务器的操作系统、数据库管理系统。

在内容上，主机系统安全层面测评实施过程涉及7个测评单元，包括：

身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护（针对三级系统）。

✧应用安全：

通过人员访谈、配置检查和工具测试的方式测评信息系统的应用安全保障情况，主要涉及对象为各类应用系统。

在内容上，应用安全层面测评实施过程涉及9个测评单元，包括：

身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩余信息保护（针对三级系统）、抗抵赖（针对三级系统）。

✧数据安全：

通过人员访谈、配置检查的方式测评信息系统的数据安全保障情况，主要涉及对象为信息系统的管理数据及业务数据等。

在内容上，数据安全层面测评实施过程涉及3个测评单元，包括：

数据完整性、数据保密性、备份和恢复。

✧安全管理制度：

通过人员访谈、文档审查和实地察看的方式测评信息系统的安全管理制度情况。

在内容上，安全管理制度方面测评实施过程涉及3个测评单元，包括：

管理制度、制定和发布、评审和修订。

✧安全管理机构：

通过人员访谈、文档审查的方式测评信息系统的安全管理机构情况。

在内容上，安全管理机构方面测评实施过程涉及5个测评单元，包括：

岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

✧人员安全管理：

通过人员访谈、文档审查的方式测评信息系统的人员安全管理情况。

在内容上，人员安全管理方面测评实施过程涉及5个测评单元，包括：

人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。

✧系统建设管理：

通过人员访谈、文档审查的方式测评信息系统的系统建设管理情况。

在内容上，系统建设管理方面测评实施过程涉及11个测评单元，包括：

系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案（针对三级系统）、系统测评（针对三级系统）。

✧系统运维管理：

通过人员访谈、文档审查的方式测评信息系统的系统运维管理情况。

在内容上，系统运维管理方面测评实施过程涉及13个测评单元，包括：

环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、监控管理和安全管理中心（针对三级系统）。

分析与报告编制阶段

✧单项测评结果分析：

针对测评指标中的单个测评项，结合具体测评对象，客观、准确地分析测评证据。

✧单元测评结果判定：

将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果，并以表格的形式逐一列出。

✧整体测评：

针对单项测评结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。

✧风险分析：

据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。

✧等级测评结论形成：

在测评结果汇总的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。

✧测评报告编制：

根据等级测评结论，编制测评报告，包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。

测评方法

在等级保护测评过程目中，将采用以下测评方法：

工具测试

利用技术工具（漏洞扫描工具、渗透测试工具、压力测试工具等）对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透测试等。

测评方法

工具测试

简要描述

利用技术工具，从网络的不同接入点对网络内的主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查和分析

达成目标

发掘系统的安全漏洞

工作条件

1-2人工作环境，电源和网络接入环境，甲方人员、网络、系统配合

工作结果

工具测试结果记录

配置检查

利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，从而测试系统是否达到可用性和可靠性的要求。

测评方法

配置检查

简要描述

通过登陆系统控制台的方式，人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统的安全配置情况

达成目标

发现配置的安全隐患

工作条件

1-2人工作环境，甲方人员、网络、系统配合

工作结果

配置检查结果记录

人员访谈

与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。

在访谈范围上，不同等级信息系统在测评时有不同的要求，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。

测评方法

人员访谈

简要描述

通过交流、讨论的方式，对技术和管理方面进行脆弱性检查和分析

达成目标

发掘技术和管理方面存在的安全问题

工作条件

1-2人工作环境，甲方人员配合

工作结果

人员访谈结果记录

文档审查

检查制度、策略、操作规程、制度执行情况记录等文档（包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档）的完整性，以及这些文件之间的内部一致性。

测评方法

文档审查

简要描述

通过文档审核与分析，检查制度、策略、操作规程、制度执行情况记录的完整性和内部一致性

达成目标

发掘技术和管理方面存在的安全问题

工作条件

1-2人工作环境，甲方人员、各类文档资料配合

工作结果

文档审查结果记录

实地查看

通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。

项目名称

实地查看

简要描述

通过现场查看人员行为、技术设施和物理环境状况，检查人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况。

达成目标

发掘技术和管理方面存在的安全问题

工作条件

1-2人工作环境，甲方人员配合

工作结果

实地查看结果记录

测评工具

我们在等级保护测评过程中使用的测评工具严格遵循可控性原则，即所有使用的测评工具将事先提交给甲方检查确认，确保在双方认可的范围之内，而且测评过程中采用的技术手段确保已经过可靠的实际应用。

在本项目中，将采用以下测评工具：

工具类别

工具名称

工具介绍

漏洞扫描工具

绿盟极光远程安全评估系统

绿盟公司出品的商业漏洞扫描系统

Web应用扫描工具

IBMAPPScan

IBM公司出品的商业Web应用安全扫描系统

WVS（WebVulnerabilityScanner）

一个自动化的Web应用程序安全测试工具，它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序

输出文档

本项目输出的主要输出文档为

《等级保护测评实施方案（资产收集、测评表）》

《等级保护测评差距分析报告》

《等级保护测评安全整改方案》

《等级保护测评安全整改报告》

3.时间安排

序号

任务名称

工作内容

开始时间

完成时间

阶段完成标志

主要负责人

配合人员

1

项目准备阶段

编制实施方案

2015/7/8

《实施方案》

2

编制资产收集

2015/7/9

2015/7/15

资产收集表

3

编制测评表

测评表

4

前期调研

资产收集

2015/7/16

2015/7/17

完成

资产收集表

5

差距测评

技术和管理单项测评

2015/7/20

2015/8/21

完成信息

系统测评表

6

差距测评报告编制

单元测评、整体测评、

风险分析、报告编制

2015/8/24

2015/8/28

《差距测评报告》

7

安全整改建议

对部分风行较高的

不符合项给出整改报告

2015/8/31

2015/9/4

《整改方案》

8

安全加固与检查

对整改部分内容进行复检

2015/9/7

2015/9/25

《整改报告》

9

等级保护验收测评

协助中心通过第三方测评

2015/9/28

2015/11/31

获得测评证书

4.人员安排

组织结构

项目工作分工

为确保测评工作的顺利进行，XXXXXXXXXXXXXXXXXXX与XXXXXXXXXXXXXXXXXXX信息安全有限公司协商组建项目组，并对项目组织机构进行如下规划：

XXXXXXXXXXXXXXXXXXX：

名称

职责

项目负责人

项目总体负责人，负责协调XXXXXXXXXXXXXXXXXXX整体项目资源，解决项目中需要XXXXXXXXXXXXXXXXXXX配合的问题，监督项目整体质量、推进项目整体进度

XXXXXXXXXXXXXXXXXXX信息安全有限公司：

名称

职责

项目负责人

项目总体负责人，负责组织等级保护测评和评估实施队伍，做好整体日常资源管理、分配与协调工作，并直接控制整体项目管理的各个要素，具体包括：

✧项目方案设计

✧项目计划与组织

✧项目协调与沟通（含召集项目周例会）

✧项目进度管理（含编写项目周报）

✧项目质量控制

项目

技术人员

项目技术人员，包括项目分组组长和实施人员，在项目经理的带领、分工和控制下，负责按照项目技术方案和项目计划实施测评和评估工作，需要提交：

✧每天工作日报

✧单项测评结果记录

✧单项安全整改建议

人员配置表

名称

职责

人员

项目

负责人

项目总体负责人，负责组织等级保护测评和评估实施队伍，做好整体日常资源管理、分配与协调工作，并直接控制整体项目管理的各个要素，具体包括：

✧项目方案设计

✧项目计划与组织

✧项目协调与沟通（含召集项目周例会）

✧项目进度管理（含编写项目周报）

✧项目质量控制

项目

技术人员

负责按照项目技术方案和项目计划实施测评工作，需要提交：

✧每天工作日报