1、某市某单位信息安全等级保护评估服务规划方案(V1.0)目录第1章.项目概述21。1.项目背景21。2。项目依据21.3。项目建设内容3第2章.系统安全需求分析42.1。目前状况42。2。状况分析5第3章.等保评估63.1。测评基本内容63.2。评估对象现状73。2。1.系统定级73.2。2。系统列表73。3.等级保护评估实施规划73。3。1。评估方法73。3.2。评估工具83。3。3。评估流程93。4.等级保护评估内容规划103。4。1。安全控制评估103。4.2.安全管理评估443。4。3.系统整体评估803.4.4.综合评估分析803。5.等级保护评估安排803.5。1.现场评估准备803
2、.5。2。现场检查测试833。5。3.需要配合事项84第4章。安全管理体系建设854.1。总体安全体系建设854。2.安全管理层面854.2.1。安全管理制度864。2.2。安全管理机构864。2。3。人员安全管理874。2。4。系统建设管理874.2.5.系统运维管理88第5章。项目规划建设895。1。总体工作计划895.2。系统差距评估89第6章。安全建设清单及预算93第1章. 项目概述1.1. 项目背景2009年4月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文广东省深化信息安全等级保护工作方案(粤公通字200945号)中又再次指出,“通过深化信息安全等级保护,全面推动
3、重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。按照中华人民共和国计算机信息系统安全保护条例(国务院令第147号)、国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)、信息安全等级保护管理办法(公通字200743号)等文件要求,某市某单位积极响应等级保护要求,将开展等保定级、等保评估、等级保护整改、差距测评等评估工作,切实将信息发布系统建成“信息公开、在线
4、办事、公众参与”三位一体的业务体系,为企业和社会公众提供“一站式电子政务公共服务政务目标提供有力保障。目前,需要对现有的6个系统展开等级保护工作, 7个系统分别是:某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站。虽然系统各异,但是都在同一个物理地址,故此统一对6个系统进行等级保护安全建设,使之更加安全、稳定。某信息化公司信息安全技术有限公司(简称某信息化公司公司)通过多年来在信息安全咨询、服务、建设中的积累和发展,逐步形成的一套完善的信息安全工程体系,以专业理论和技术为支撑;以多种专业测试工具为手段;以国际和国家信息安全
5、标准为实施规范。某信息化公司信息安全技术股份有限公司为客户提供全面的,专业的安全支持。1.2. 项目依据(1) 国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)(2) 2004年9月四部委局联合签发的关于信息安全等级保护工作的实施意见(3) 信息安全等级保护管理办法(公通字200743号)(4) 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)(5) GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求(6) GB/T 222402008 信息安全技术 信息系统安全等级保护定级指南(7) GB/T 25058
6、2010 信息安全技术 信息系统安全等级保护实施指南(8) GB/T 197162005 信息技术 信息安全管理实用规则(9) GB/T 202702006信息安全技术 网络基础安全技术要求(10) GB/T 202712006信息安全技术 信息系统安全通用技术要求(11) GB/T 202722006信息安全技术 操作系统安全技术要求(12) GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求(13) GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求(14) GB/T 210522006 等级保护系列安全产品技术要求(15) 国家标准电子计算机机房
7、设计规范(GB5017493)(16) 国家标准计算站场地安全技术(GB9361-88)(17) 中国工程建设标准化协会标准建筑与建筑群综合布线系统工程设计规范(CECS72:95)1.3. 项目建设内容首先,本次项目以满足国家信息系统等级保护的相关要求为实施指导原则,某信息化公司公司对某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站这6个系统业务系统进行协助等保定级,并开展等保评估工作,对以后的人员组织结构调整、安全制度提供相应建议,并对其网络、应用和主机等方面进行整改规划实施,来使其具备良好的保密性、完整性、可用性。通
8、过对国家等级保护测评单位的测评;再次,某信息化公司公司可配合用户单位,完成第三方测评单位对全部6个系统进行验收测评.具体来讲,本项目的建设内容包括:(1) 依据国家信息系统等级保护要求,协助对某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站进行定级,并开展等保评估工作.(2) 落实对该系统网络的网络架构安全整改规划和安全设备部署,配合用户完善安全管理制度、安全管理机构、人员安全管理等.第2章. 系统安全需求分析2.1. 目前状况本次项目负责有6个系统,各系统的基本情况及建设内容如下表。系统名称物理地址级别所需等保工作某市某
9、单位OA系统中心机房二级定级、等保评估某市某单位档案系统中心机房二级定级、等保评估某市某单位大道班系统中心机房二级定级、等保评估某市某单位财务系统中心机房二级定级、等保评估某市某单位路政巡查系统中心机房二级定级、等保评估某市某单位网站中心机房二级定级、等保评估6个系统的网络拓扑现状大概如下:某市某单位的6个系统总共有16台服务器、 1台核心交换机和1台防火墙等网络设备.2.2. 状况分析根据调研,某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站皆在同一个物理机房,需要对其定级、等保评估.需要协助其进行定级,并对该系统的物理
10、安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理这10方面进行测评,检测,并提供相应报告.第3章. 等保评估3.1. 评估基本内容对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。对安全控制测评的描述,使用测评单元方式组织。测评单元分为安全技术测 评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统 安全
11、、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括: 安全管理机构、安全管理制度、 人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评.具体见下图:3.2. 评估对象现状3.2.1. 系统定级该系统定级对象有6个,皆暂定为二级。3.2.2. 系统列表信息系统名称安全保护等级(G)业务信息安全等级(S)系统服务安全等级(A)某市某单位OA系统二级二级二级某市某单位档案系统二级二级二级某市某单位大道班系统二级二级二级某市某单位财务系统二级二级二级某市某单位路政巡查系统二级二级二级某市某单位网站二级二级二级3.3. 等级保护评估实施规划3.3.1. 评估方法评估过程中将主
12、要采用访谈、检查、测试等方法进行等级保护评估.3.3.2. 评估工具在本次评估工程实施中,可能使用的工具包括:工具类别工具名称工具说明安全配置核查安全配置检查表由某信息化公司信息安全技术股份有限公司编制的等级保护评估主机操作系统配置检查表、网络设备配置检查表、数据库配置检查表,主要采用人工核查方式进行,系统进行脆弱性检查和分析。3.3.2.1. 人员访谈人员访谈是通过调查表、人员访谈、现场勘查、文档查看等手段了解管理弱点,对客户的信息安全管理体系、信息安全运维过程等方面,对比等级要求进行测试.评估专家通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全等级保护措
13、施是否有效,评估中使用各类调查问卷和访谈大纲.评估方法人员访谈简要描述根据系统定级,对安全管理制度的制定及执行情况进行检查达成目标了解某市某单位安全管理制度的制定情况、落实情况主要内容安全组织和管理全策略和程序、应用安全管理、数据安全管理、操作系统安全管理、网络安全管理、访问控制管理、物理安全、业务连续性管理(含备份)实现方式管理制度和程序文件的收集和分析 分析和现场检查管理过程记录问卷和现场访谈现场参观检查工作条件2-3人工作环境,某市某单位人员和资料(安全管理制度、记录文件等)配合工作结果某市某单位安全管理制度访谈结果参加人员某信息化公司评估专家小组、某市某单位信息系统安全主管、维护人员等
14、3.3.3. 评估流程3.4. 等级保护评估内容规划3.4.1. 安全控制评估3.4.1.1. 安全技术评估安全技术评估包括:物理安全、网络安全、主机系统安全、应用安全、数据安全等五个层面。l 物理安全检查评测项编号:P1评测项目: 物理位置的选择评测资产:评测指标: 1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内.评测方式: 专家访谈、现场查看、文档审核评测对象:物理安全负责人,机房,办公场地,机房场地设计/验收文档.评测方法:1) 访谈物理安全负责人,询问现有机房和放置终端计算机设备的办公场地的环境条件是否能够满足信息系统业务需求和安全管理需求,是否具有基本的防震、防风和防雨
15、等能力; 2) 评测机房和办公场地是否在具有防震、防风和防雨等能力的建筑内. 判定标准:如果2)为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。测试结果:(根据评测方法,应写明每种评测方法的评测结果,最后根据判定标准写明本评测项是否符合,如果有多个评测指标,每个指标都应当说明是否符合。如果根据信息系统实际情况,相关评测指标不适用,请注明“不适用”并说明原因.)评测项编号:P2评测项目: 物理访问控制评测资产:评测指标: 1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;2)应批准进入机房的来访人员,限制和监控其活动范围.评测方式:专家访谈、现
16、场查看、文档审核评测对象:物理安全负责人,机房值守人员,机房,机房安全管理制度,值守记录,进入机房的登记记录,来访人员进入机房的审批记录。评测方法:1) 访谈物理安全负责人,了解部署了哪些控制人员进出机房的保护措施; 2) 评测机房安全管理制度,查看是否有关于机房出入方面的规定; 3) 评测机房出入口是否有专人值守,是否有值守记录及人员进入机房的登记记录;评测机房是否不存在专人值守之外的其他出入口; 4) 评测是否有来访人员进入机房的审批记录,查看审批记录是否包括来访人员的访问范围. 判定标准: 如果2)-4)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估
17、指标要求。测试结果:评测项编号:P3评测项目: 防盗窃和防破环评测资产:评测指标: 1)将主要设备放置在机房内; 2)对设备或主要部件进行固定,并设置明显的无法除去的标记;3)将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;4)对介质分类标识,存储在介质库或档案室中;5)安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。评测方式: 专家访谈、现场查看、文档审核评测对象:物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测试/验收报告.评测方法:1) 访谈物理安全负责人,了解采取了哪些防止设备、介质等丢失的保护措施; 2) 访谈机房维护人员
18、,询问关键设备放置位置是否做到安全可控,设备或主要部件是否进行了固定和标记,通信线缆是否铺设在隐蔽处;是否对机房安装的防盗报警设施并定期进行维护评测; 3) 访谈资产管理员,介质是否进行了分类标识管理,介质是否存放在介质库或档案室内进行管理; 4) 评测关键设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内;评测关键设备或设备的主要部件的固定情况,查看其是否不易被移动或被搬走,是否设置明显的不易除去的标记; 5) 评测通信线缆铺设是否在隐蔽处; 6) 评测机房防盗报警设施是否正常运行,并查看是否有运行和报警记录; 7) 评测介质的管理情况,查看介质是否有正确的分类标识,是否存放在介质库或档
19、案室内. 判定标准: 如果4)-7)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求.测试结果:评测项编号:P4评测项目: 防雷击评测资产:评测指标: 1)机房建筑应设置避雷装置; 应设置交流电源地线。评测方式: 专家访谈、现场查看、文档审核评测对象:物理安全负责人,机房维护人员,机房设施(避雷装置,交流电源地线),建筑防雷设计/验收文档.评测方法:1) 访谈物理安全负责人,询问为防止雷击事件导致重要设备被破坏采取了哪些防护措施,机房建筑是否设置了避雷装置,是否通过验收或国家有关部门的技术检测;询问机房计算机供电系统是否有交流电源地线; 2) 评测机
20、房建筑是否有避雷装置,是否有交流地线; 判定标准: 如果2)为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。测试结果:评测项编号:P5评测项目: 防火评测资产:评测指标: 1)应设置灭火设备和火灾自动报警系统评测方式: 专家访谈、现场查看、文档审核评测对象:物理安全负责人,机房值守人员,机房设施,机房安全管理制度,机房防火设计/验收文档,火灾自动报警系统设计/验收文档。评测方法:1) 访谈物理安全负责人,询问机房是否设置了灭火设备,是否设置了火灾自动报警系统,是否有人负责维护该系统的运行,是否制定了有关机房消防的管理制度和消防预案,是否进行了消防培训
21、; 2) 访谈机房维护人员,询问是否对火灾自动报警系统定期进行评测和维护; 3) 评测机房是否设置了灭火设备,灭火设备摆放位置是否合理,其有效期是否合格;应评测机房火灾自动报警系统是否正常工作,查看是否有运行记录、报警记录、定期评测和维修记录。 判定标准: 如果1)-3)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。测试结果:评测项编号:P6评测项目:防水和防潮评测资产:评测指标: 1)水管安装,不得穿过机房屋顶和活动地板下; 2) 采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; 3)采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 评测方式
22、: 专家访谈、现场查看、文档审核评测对象:物理安全负责人,机房维护人员,机房设施(上下水装置,除湿装置),建筑防水和防潮设计/验收文档.评测方法:1) 访谈物理安全负责人,询问机房是否部署了防水防潮措施;如果机房内有上/下水管安装,是否避免穿过屋顶和活动地板下,穿过墙壁和楼板的水管是否采取了可靠的保护措施;在湿度较高的地区或季节是否有人负责机房防水防潮事宜,配备除湿装置; 2) 访谈机房维护人员,询问机房是否没有出现过漏水和返潮事件;如果机房内有上/下水管安装,是否经常评测其漏水情况;在湿度较高地区或季节是否有人负责机房防水防潮事宜,使用除湿装置除湿;如果出现机房水蒸气结露和地下积水的转移与渗
23、透现象是否及时采取防范措施; 3) 评测穿过主机房墙壁或楼板的管道是否配置套管,管道与套管之间是否采取可靠的密封措施; 4) 评测机房的窗户、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象,机房及其环境是否不存在明显的漏水和返潮的威胁;如果出现漏水、渗透和返潮现象,则查看是否能够及时修复解决; 5) 对湿度较高的地区,评测机房是否有湿度记录,是否有除湿装置并能够正常运行,是否有防止出现机房地下积水的转移与渗透的措施,是否有防水防潮处理记录。 判定标准: 如果3)-5)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。测试结果:评测项编号:P7评测项目:
24、防静电评测资产:评测指标: 1)关键设备应采用必要的接地防静电措施。 评测方式: 专家访谈、现场查看、文档审核评测对象:物理安全负责人,机房维护人员,机房设施,防静电设计/验收文档。评测方法:1) 访谈物理安全负责人,询问关键设备是否采取用必要的防静电措施,机房是否不存在静电问题或因静电引发的安全事件; 2) 评测关键设备是否有安全接地,查看机房是否不存在明显的静电现象. 判定标准: 如果2)为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求.测试结果:评测项编号:P8评测项目:温湿度控制评测资产:评测指标: 1)设置温、湿度自动调节设施,使机房温、湿度
25、的变化在设备运行所允许的范围之内.评测方式: 专家访谈、现场查看、文档审核评测对象:物理安全负责人,机房维护人员,机房设施,温湿度控制设计/验收文档,温湿度记录、运行记录和维护记录。评测方法:1) 访谈物理安全负责人,询问机房是否配备了温湿度自动调节设施,保证温湿度能满足计算机设备运行的要求,是否在机房管理制度中规定了温湿度控制的要求,是否有人负责此项工作,是否定期评测和维护机房的温湿度自动调节设施,询问是否没有出现过温湿度影响系统运行的事件; 2) 评测温湿度自动调节设施是否能够正常运行,查看是否有温湿度记录、运行记录和维护记录;查看机房温湿度是否满足计算站场地的技术条件要求. 判定标准:
26、如果2)为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。测试结果:评测项编号:P9评测项目:电力供应评测资产:评测指标: 1)在机房供电线路上配置稳压器和过电压防护设备; 2)提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。 评测方式: 专家访谈、现场查看、文档审核评测对象:物理安全负责人,机房维护人员,机房设施(供电线路,稳压器,过电压防护设备,短期备用电源设备),电力供应安全设计/验收文档,评测和维护记录。评测方法:1) 应访谈物理安全负责人,询问计算机系统供电线路上是否设置了稳压器和过电压防护设备;是否设置了短期备用电源设备
27、,供电时间是否满足系统关键设备最低电力供应需求; 2) 应评测机房,查看计算机系统供电线路上的稳压器、过电压防护设备和短期备用电源设备是否正常运行; 3) 应评测是否有稳压器、过电压防护设备以及短期备用电源设备等的评测和维护记录. 判定标准: 如果2)和3)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求.测试结果:评测项编号:P10评测项目:电磁防护评测资产:评测指标: 1)电源线和通信线缆应隔离铺设,避免互相干扰. 评测方式: 专家访谈、现场查看评测对象:物理安全负责人,机房维护人员,机房设施评测方法:1) 应访谈物理安全负责人,询问电源线和通信
28、线缆是否隔离铺设,是否没有出现过因电磁干扰等问题引发的故障; 2) 应评测机房布线,查看是否做到电源线和通信线缆隔离. 判定标准: 如果2)为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。测试结果:l 网络安全评测项编号:N1评测项目:结构安全评测资产:评测指标: n 1)保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; n 2)保证接入网络和核心网络的带宽满足业务高峰期需要; n 3)绘制与当前运行情况相符的网络拓扑结构图; n 4)根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制
29、的原则为各子网、网段分配地址段。 评测方式: 专家访谈、人工评测。评测对象:网络管理员,边界和重要网络设备,网络拓扑图,网络设计/验收文档。评测方法1)访谈网络管理员,询问关键网络设备的性能以及目前业务高峰流量情况; 2)访谈网络管理员,询问网段划分情况以及划分原则;询问重要的网段有哪些; 3)访谈网络管理员,询问网络中带宽控制情况以及带宽分配的原则; 4)评测网络拓扑结构图,查看其与当前运行的实际网络系统是否一致; 5)评测网络设计或验收文档,查看是否有关键网络设备业务处理能力、接入网络及核心网络的带宽满足业务高峰期需要的设计或说明; 6)评测网络设计或验收文档,查看是否有根据各部门的工作职
30、能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网和网段分配地址段的设计或描述。 判定标准:1) 如果4)6)缺少相应文档资料,则为否定; 2) 如果4)-6)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。 测试结果:(根据评测方法,应写明每种评测方法的评测结果,最后根据判定标准写明本评测项是否符合,如果有多个评测指标,每个指标都应当说明是否符合.如果根据信息系统实际情况,相关评测指标不适用,请注明“不适用并说明原因。)评测项编号:P2评测项目:访问控制评测资产:评测指标: 1)在网络边界部署访问控制
31、设备,启用访问控制功能; 2)能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 3)按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; 4)限制具有拨号访问权限的用户数量。 评测方式:专家访谈、人工评测、漏洞扫描。评测对象:安全员,边界网络设备(包括网络安全设备)。评测方法:1) 访谈安全管理员,询问网络访问控制措施有哪些;询问访问控制策略的设计原则是什么;询问网络访问控制设备具备哪些访问控制功能;询问是否允许拨号访问网络; 2) 评测边界网络设备,查看其是否根据会话状态信息对数据流进行控制,控制粒度是否为网段级; 3)
32、评测边界网络设备,查看其是否限制具有拨号访问权限的用户数量; 4)测试边界网络设备,可通过试图访问未授权的资源,验证访问控制措施是否能对未授权的访问行为进行控制,控制粒度是否至少为单个用户. 判定标准:如果2)4)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。测试结果:(根据评测方法,应写明每种评测方法的评测结果,最后根据判定标准写明本评测项是否符合,如果有多个评测指标,每个指标都应当说明是否符合。如果根据信息系统实际情况,相关评测指标不适用,请注明“不适用”并说明原因。)评测项编号:N3评测项目:安全审计评测资产:评测指标: 1)对网络系统中的
33、网络设备运行状况、网络流量、用户行为等事件进行日志 记录;2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类 型、事件是否成功,及其他与审计相关的信息.评测方式:专家访谈、人工评测.评测对象:审计员,边界和重要网络设备(包括安全设备)审计记录,审计策略。评测方法:1) 访谈安全审计员,询问边界和关键网络设备是否开启审计功能,审计内容包括哪些项;询问审计记录的主要内容有哪些; 2)应评测边界和关键网络设备,查看其审计策略是否包括网络设备运行状况、网络流量、用户行为等; 3)应评测边界和关键网络设备,查看其事件审计记录是否包括:事件的日期和时间、用户、事件类型、事件成功情况及其他
34、与审计相关的信息。 判定标准:如果2)和3)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。测试结果:(根据评测方法,应写明每种评测方法的评测结果,最后根据判定标准写明本评测项是否符合,如果有多个评测指标,每个指标都应当说明是否符合。如果根据信息系统实际情况,相关评测指标不适用,请注明“不适用”并说明原因.)评测项编号:N4评测项目:边界完整性评测评测资产:评测指标: 1)应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行评测。评测方式:专家访谈、人工评测、漏洞扫描、渗透测试。评测对象:边界设备评测方法:1)访谈安全管理员,询问是
35、否对内部用户私自连接到外部网络的行为; 2)查边界完整性评测设备,查看是否正确设置了对网络内部用户私自连接到外部网络的行为进行有效监控的配置; 3)测试边界完整性评测设备,验证其是否能够有效发现“非法外联”的行为。 判定标准:如果2)和3)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。测试结果:(根据评测方法,应写明每种评测方法的评测结果,最后根据判定标准写明本评测项是否符合,如果有多个评测指标,每个指标都应当说明是否符合。如果根据信息系统实际情况,相关评测指标不适用,请注明“不适用”并说明原因。)评测项编号:N5评测项目:入侵防范评测资产:评测
36、指标: 1)能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、 拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵事件的发生。评测方式:专家访谈、人工评测、漏洞扫描、渗透测试.评测对象:安全员,网络入侵防范设备。评测方法:1) 访谈安全管理员,询问网络入侵防范措施有哪些;询问是否有专门设备对网络入侵进行防范; 2) 评测网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等; 3) 评测网络入侵防范设备,查看其规则库是否为最新; 4) 测试网络入侵防范设备,验证其检测策略是否有效.
37、 判定标准:上述 2)4)均为肯定,则信息系统符合本单元评测项要求.超过半数为肯定, 则信息系统基本符合本单元评测项要求.测试结果:(根据评测方法,应写明每种评测方法的评测结果,最后根据判定标准写明本评测项是否符合,如果有多个评测指标,每个指标都应当说明是否符合。如果根据信息系统实际情况,相关评测指标不适用,请注明“不适用并说明原因.)评测项编号:N6评测项目:网络设备防护评测资产:评测指标: n 1)对登录网络设备的用户进行身份鉴别; n 2)对网络设备的管理员登录地址进行限制; n 3)络设备用户的标识应唯一; n 4)份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; n
38、5)具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施; n 6)对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听. 评测方式:专家访谈、人工评测、漏洞扫描、渗透测试评测对象:网络管理员,边界和重要网络设备(包括安全设备).评测方法1) 访谈网络管理员,询问边界和关键网络设备的防护措施有哪些;询问边界和关键网络设备的登录和验证方式做过何种配置;询问远程管理的设备是否采取措施防止鉴别信息被窃听; 2) 访谈网络管理员,询问网络设备的口令策略是什么; 3) 评测边界和关键网络设备,查看是否配置了对登录用户进行身份鉴别的功能,口令设置是
39、否有复杂度和定期修改要求; 4) 评测边界和关键网络设备,查看是否配置了鉴别失败处理功能; 5) 评测边界和关键网络设备,查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能; 6) 评测边界和关键网络设备,查看是否对网络设备管理员登录地址进行限制; 7) 对边界和关键网络设备进行渗透测试,通过使用各种渗透测试技术对网络设备进行渗透测试,验证网络设备防护能力是否符合要求. 判定标准:如果3)6)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。测试结果:(根据评测方法,应写明每种评测方法的评测结果,最后根据判定标准写明本评测项是否符合,如果有多
40、个评测指标,每个指标都应当说明是否符合。如果根据信息系统实际情况,相关评测指标不适用,请注明“不适用”并说明原因。)l 主机安全评估项编号:H1评估项目:身份鉴别评估资产:评估指标: n 1)对登录操作系统和数据库系统的用户进行身份标识和鉴别; n 2)作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; n 3)启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; n 4)对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; n 5)为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性。 评估方式:
41、专家访谈、人工评估、漏洞扫描。评估对象:系统管理员,数据库管理员,重要服务器操作系统,重要数据库管理系统,服务器操作系统文档,数据库管理系统文档.评估方法1) 访谈系统管理员和数据库管理员,询问操作系统和数据库管理系统的身份标识与鉴别机制采取何种措施实现; 2) 访谈系统管理员和数据库管理员, 询问对操作系统和数据库管理系统是否采用了远程管理,如果采用了远程管理,查看是否采用了防止鉴别信息在网络传输过程中被窃听的措施; 3) 评估关键服务器操作系统和关键数据库管理系统帐户列表,查看管理员用户名分配是否唯一; 4) 评估关键服务器操作系统和关键数据库管理系统,查看是否提供了身份鉴别措施,其身份鉴
42、别信息是否具有不易被冒用的特点,如对用户登录口令的最小长度、复杂度和更换周期进行要求和限制; 5) 评估关键服务器操作系统和关键数据库管理系统,查看是否已配置了鉴别失败处理功能,设置了非法登录次数的限制值;查看是否设置登录连接超时处理功能,如自动退出。 判定标准:如果2)-5)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求.测试结果:(根据评估方法,应写明每种评估方法的评估结果,最后根据判定标准写明本评估项是否符合,如果有多个评估指标,每个指标都应当说明是否符合。如果根据信息系统实际情况,相关评估指标不适用,请注明“不适用并说明原因。)评估项编号:
43、H2评估项目:访问控制评估资产:(写明被评估资产的信息,机房应写明机房名称,设备应写明设备编号,应用系统应写明系统名称,对外服务系统应写明域名及IP地址)评估指标: n 1)启用访问控制功能,依据安全策略控制用户对资源的访问; n 2)实现操作系统和数据库系统特权用户的权限分离; n 3)限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令; n 4)及时删除多余的、过期的帐户,避免共享帐户的存在。 评估方式:专家访谈、人工评估。评估对象:重要服务器操作系统,重要数据库管理系统,安全策略。评估方法:1) 评估关键服务器操作系统的安全策略,查看是否对重要文件的访问权限进行了限制,对
44、系统不需要的服务、共享路径等进行了禁用或删除; 2) 评估关键数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任; 3) 评估关键服务器操作系统和关键数据库管理系统,查看匿名/默认用户的访问权限是否已被禁用或者严格限制,是否删除了系统中多余的、过期的以及共享的帐户; 4) 评估关键服务器操作系统和关键数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制。 判定标准:如果1)-4)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。测试结果:(根据评估方法,应写明每种评估方法的评估结果,最后根据判定标准写明本评估项是否符合,
45、如果有多个评估指标,每个指标都应当说明是否符合。如果根据信息系统实际情况,相关评估指标不适用,请注明“不适用并说明原因。)评估项编号:H3评估项目:安全审计评估资产:评估指标: n 1)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户; n 2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; n 3)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; n 4)保护审计记录,避免受到未预期的删除、修改或覆盖等。 评估方式:专家访谈、人工评估、漏洞扫描。评估对象:安全审计员,重要服务器操作系统,重要数据库管理系统。评估方法:1)
46、 访谈安全审计员,询问主机系统的安全审计策略是否包括系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安全相关事件; 2) 评估关键服务器操作系统和关键数据库管理系统,查看安全审计配置是否符合安全审计策略的要求; 3) 评估关键服务器操作系统和关键数据库管理系统,查看审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容; 4) 评估关键服务器操作系统和关键数据库管理系统,查看是否对审计记录实施了保护措施,使其避免受到未预期的删除、修改或覆盖等; 判定标准:如果2)4)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求.测试结果:(根据评估方法,应写明每种评估方法的评估结果,最后根据
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100