精选-信息安全-等保测评服务方案

1.1.1定级报告和备案表信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和备案信息管理等。1）协助定级对系统情况进行分析，通过分析系统所属类型、所属信息类别、服务范围，了解系统的可用性、完整性、保密性需求，清晰确定保护对象，确定受侵害的客体、确定客体受侵害的程度，最终确定系统的系统服务保护等级和业务信息保护等级，协助用户编制定级报告。2）协助备案协助用户填写《信息系统安全等级保护备案表》，协助用户到各地公安机关进行系统备案，获得系统备案证。1.2等保测评1.2.1概述1.2.1.1项目简介根据公安部出台的有关等级保护的政策，对信息系统的等级保护已经是国家的一项基本国策和信息安全的基本保障，同时等级保护工作的开展也是各行各业信息化建设的内在需求。随着信息化的不断发展，信息系统的应用为信息化的开展提供了重要的支撑平台，关键流程、重要数据的处理都依赖于信息系统，因而信息化建设、信息安全建设工作受到XXXX集团有限公司各级领导的高度重视。等级保护政策作为国家在信息系统信息安全上的一项重要决策，信息化建设工作和信息安全工作贯穿XXXX集团有限公司的关键业务中。等级保护工作受到了XXXX集团有限公司各级领导的高度重视，安全建设也逐渐成为公司信息化建设的内在需求。整个测评项目的实施主要分为现场测评和复测评，其中现场测评分为四个阶段：一、测评准备活动阶段，二、方案编制活动阶段，三、现场测评活动阶段，四、分析和报告编制活动阶段；复测评分为三个阶段：一、安全整改活动阶段，二复测评活动阶段，三，分析和报告编制活动阶段。其测评目的在于对XXXX集团有限公司信息系统当前安全防护能力做出客观评价。通过对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理、渗透测试等方面的安全检查，以国家信息安全等级保护基本要求作为安全基线，进行客观符合性判定，进一步衡量当前系统的安全防护能力，以及系统所面临的威胁和风险所在，为将来的安全整改和安全建设提供有力依据。1.2.1.2测评依据本项目的测评按照以下标准或规范进行：关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）；关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号）；关于开展全省重要信息系统安全等级保护定级工作的通知（湘公通[2007]94号）；关于进一步推进全省信息安全等级保护工作的函（湘公函[2011]21号）；关于对全省重要信息系统开展信息安全等级保护专项检查工作的函（湘公函[2011]74号）；《信息系统安全等级保护定级指南》（GB/T22240—2008）；《信息系统安全等级保护测评过程指南》（国标报批稿）；《信息系统等级保护安全设计技术要求》（GB/T25070-2010）。主要测评依据：《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）；《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）。1.2.1.3测评过程1.2.2被测系统描述1.2.2.1定级情况本次安全等级测评所涉及的信息系统定级情况列表如下：序号系统名称业务描述安全保护等级1XX系统一般性描述如为某某部门或某人群提供某种信息服务。SXAXGX2XX系统一般性描述如为某某部门或某人群提供某种信息服务。SXAXGX3XX系统一般性描述如为某某部门或某人群提供某种信息服务。SXAXGX1.2.2.2网络结构以下网络架构承载着信息管理系统的运行，是信息化业务、应用系统运转的基础平台。其网络拓扑图如图2-1所示：图2-1信息管理系统网络拓扑图（示例）1.2.2.3系统构成4.2.2.3.1业务应用软件序号软件名称主要功能重要程度1XX系统系统本身能够为服务者提供的业务功能和安全功能等。重要2XX系统系统本身能够为服务者提供的业务功能和安全功能等。重要3XX系统系统本身能够为服务者提供的业务功能和安全功能等。重要4.2.2.3.2关键数据类别序号数据类别所属业务应用主机/存储设备重要程度1管理数据被测评对象应用应用服务器/数据库服务器重要2业务数据被测评对象应用应用服务器/数据库服务器重要3鉴别信息被测评对象应用应用服务器/数据库服务器重要4.2.2.3.3主机/存储设备序号设备名称操作系统/数据库管理系统业务应用软件1应用服务器/数据库服务器举例：Windows/oracleXX系统2应用服务器/数据库服务器举例：Windows/oracleXX系统3应用服务器/数据库服务器举例：Windows/oracleXX系统4.2.2.3.4网络、安全设备序号设备名称设备类型重要程度1核心交换机核心交换机非常重要2汇聚交换机汇聚交换机重要3接入交换机接入交换机一般4防火墙防火墙重要5入侵防御设备入侵防御设备重要6Web应用防火墙Web应用防火墙重要4.2.2.3.4安全相关人员序号姓名岗位/角色联系方式1网络管理员网络管理员123456789012安全建设管理员安全建设管理员123456789013安全运维管理员安全运维管理员123456789014安全制度管理员安全制度管理员123456789015人员安全管理员人员安全管理员123456789016机构安全管理员机构安全管理员123456789017物理机房管理员物理机房管理员123456789018应用软件管理员应用软件管理员123456789014.2.2.3.5安全管理文档序号文档名称主要内容1制度类文档包括网络安全管理、设备安全管理、系统安全管理、备份与恢复、安全事件处置和应急预案等管理制度。2记录类文档包括机房出入登记记录（包括第三方人员）、机房基础设施维护记录、各类会议纪要或记录、各类评审和修订记录、人员考核、审查、培训记录、离岗手续等记录。3证据类文档包括资产清单、机构安全管理人员岗位名单、外联单位联系列表、人员保密协议、关键岗位安全协议、信息系统定级报告或定级建议书、系统备案材料等。1.2.3测评对象与指标1.2.3.1测评指标GB/T22239-2008中对不同等级信息系统的安全功能和措施提出了具体要求，等级测评应根据信息系统的安全保护等级从中选取相应等级的安全测评指标，并依据《信息系统安全等级保护基本要求》和《信息安全技术信息系统安全等级测评过程指南》对信息系统实施安全测评。本次测评的信息管理系统在实施时由建设方指定，包括二级和三级系统的等级测评，安全测评指标应包括《信息安全技术信息系统安全等级保护基本要求》中的二级和三级要求，分为通用指标类（GX），业务信息安全性指标类（SX）和系统服务保证类（AX）。1）二级测评所包括的安全控制指标类型情况具体如下表：测评指标技术/管理安全分类安全子类数量S（2级）A（2级）G（2级）小计安全技术物理安全11810网络安全1056主机系统安全2136测评指标技术/管理安全分类安全子类数量S（2级）A（2级）G（2级）小计数据安全及备份恢复2103应用安全4217安全管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理0099系统运维管理001212合计662）三级测评所包括的安全控制指标类型情况具体如下表：测评指标技术/管理安全分类安全子类数量S（3级）A（3级）G（3级）小计安全技术物理安全11810网络安全1067主机系统安全3137数据安全及备份恢复5229应用安全2103安全管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理001111系统运维管理001313合计731.2.3.2测评对象4.2.3.2.1机房序号机房名称物理位置1机房XXXX集团有限公司办公楼4.2.3.2.2业务软件序号软件名称主要功能1XX系统系统本身能够为服务者提供的业务功能和安全功能等。2XX系统系统本身能够为服务者提供的业务功能和安全功能等。3XX系统系统本身能够为服务者提供的业务功能和安全功能等。4.2.3.2.3主机序号设备名称业务应用软件1应用服务器XX系统2应用服务器XX系统3应用服务器XX系统4.2.3.2.4数据库序号设备名称业务应用软件1数据库服务器XX系统2数据库服务器XX系统3数据库服务器XX系统4.2.3.2.5网络、安全设备序号设备名称操作系统名称1核心交换机核心交换机2汇聚交换机汇聚交换机3接入交换机接入交换机4防火墙防火墙5入侵防御设备入侵防御设备6Web应用防火墙Web应用防火墙4.2.3.2.6安全管理文档序号文档名称主要内容1制度类文档包括网络安全管理、设备安全管理、系统安全管理、备份与恢复、安全事件处置和应急预案等管理制度。2记录类文档包括机房出入登记记录（包括第三方人员）、机房基础设施维护记录、各类会议纪要或记录、各类评审和修订记录、人员考核、审查、培训记录、离岗手续等记录。3证据类文档包括资产清单、机构安全管理人员岗位名单、外联单位联系列表、人员保密协议、关键岗位安全协议、信息系统定级报告或定级建议书、系统备案材料等。1.2.3.3测评方法与工具4.2.3.3.1测评方法测评方法包括：访谈、检查、测试等。访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、澄清或取得证据的过程。检查是指测评人员通过对测评对象（如制度文档、各类设备、安全配置等）进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。4.2.3.3.2主要测评工具本次安全测评采用的测试工具主要包括：序号工具名称工具描述1铱迅漏洞扫描系统设备型号：NVS-2000-L；系统版本：3.0.03.5792；漏洞规则库版本：1.0.0.2842，包括操作系统，网络设备和数据库等多种设备的扫描规则库，漏洞库遵循CVE，CAN和MS等国际标准。2渗透测试工具包括SQLmap，Burpsuite，RouterScan，ApacheTomcatScan等。1.2.4测评内容与实施把测评指标和测评方式结合到信息系统的具体测评对象上，就构成了可以具体测评的安全子类。具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等几个方面。1.2.4.1物理安全物理安全测评将通过访谈和检查的方式评测信息系统的物理安全保障情况。主要涉及对象为机房。在内容上，物理安全层面测评实施过程涉及10个安全子类，具体如下表：4.2.4.1.1测评内容序号安全子类测评指标描述1物理位置的选择通过访谈物理安全负责人，检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。2物理访问控制通过访谈物理安全负责人，检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。3防盗窃和防破坏通过访谈物理安全负责人，检查机房内的主要设备、介质和防盗报警设施等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。4防雷击通过访谈物理安全负责人，检查机房设计/验收文档，测评信息系统是否采取相应的措施预防雷击。5防火通过访谈物理安全负责人，检查机房防火方面的安全管理制度，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。6防水和防潮通过访谈物理安全负责人，检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。7防静电通过访谈物理安全负责人，检查机房等过程，测评信息系统是否采取必要措施防止静电的产生。8温湿度控制通过访谈物理安全负责人，检查机房的温湿