等保测评服务方案.docx
《等保测评服务方案.docx》由会员分享,可在线阅读,更多相关《等保测评服务方案.docx(53页珍藏版)》请在冰点文库上搜索。
等保测评服务方案
等保测评
技术方案
2018年7月
1等级保护测评
1.1定级与备案
1.1.1调研
信息系统名称
数据使用者或管理者及其访问权限
业务处理信息类别
数据安全性要求
保密性S
数据泄露将造成的影响
完整性S
数据篡改或丢失将造成的影响
可用性A
系统中断将造成的影响
XX系统
系统开发人员、系统运维人员、系统使用人员
管理数据、业务数据、鉴别信息等
高中低
数据泄露是否会引起法律纠纷和导致财产损失
高中低
数据篡改或丢失是否会引起法律纠纷和导致财产损失
高中低
描述系统中断对工作职能和业务能力的影响
通过调研初步确定各信息系统的名称和级别。
1.1.2定级报告和备案表
信息安全等级保护工作的第一个环节是系统定级。
对信息系统进行定级是等级保护工作的基础,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。
信息系统定级以后,应到所在地区地市级上公安机关办理备案手续,备案工作的流程是信息系统备案、受理、审核和备案信息管理等。
1)协助定级
对系统情况进行分析,通过分析系统所属类型、所属信息类别、服务范围,了解系统的可用性、完整性、保密性需求,清晰确定保护对象,确定受侵害的客体、确定客体受侵害的程度,最终确定系统的系统服务保护等级和业务信息保护等级,协助用户编制定级报告。
2)协助备案
协助用户填写《信息系统安全等级保护备案表》,协助用户到各地公安机关进行系统备案,获得系统备案证。
1.2等保测评
1.2.1概述
1.2.1.1项目简介
根据公安部出台的有关等级保护的政策,对信息系统的等级保护已经是国家的一项基本国策和信息安全的基本保障,同时等级保护工作的开展也是各行各业信息化建设的内在需求。
随着信息化的不断发展,信息系统的应用为信息化的开展提供了重要的支撑平台,关键流程、重要数据的处理都依赖于信息系统,因而信息化建设、信息安全建设工作受到XXXX集团有限公司各级领导的高度重视。
等级保护政策作为国家在信息系统信息安全上的一项重要决策,信息化建设工作和信息安全工作贯穿XXXX集团有限公司的关键业务中。
等级保护工作受到了XXXX集团有限公司各级领导的高度重视,安全建设也逐渐成为公司信息化建设的内在需求。
整个测评项目的实施主要分为现场测评和复测评,其中现场测评分为四个阶段:
一、测评准备活动阶段,二、方案编制活动阶段,三、现场测评活动阶段,四、分析和报告编制活动阶段;复测评分为三个阶段:
一、安全整改活动阶段,二复测评活动阶段,三,分析和报告编制活动阶段。
其测评目的在于对XXXX集团有限公司信息系统当前安全防护能力做出客观评价。
通过对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理、渗透测试等方面的安全检查,以国家信息安全等级保护基本要求作为安全基线,进行客观符合性判定,进一步衡量当前系统的安全防护能力,以及系统所面临的威胁和风险所在,为将来的安全整改和安全建设提供有力依据。
1.2.1.2测评依据
本项目的测评按照以下标准或规范进行:
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号);
关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号);
关于开展全省重要信息系统安全等级保护定级工作的通知(湘公通[2007]94号);
关于进一步推进全省信息安全等级保护工作的函(湘公函[2011]21号);
关于对全省重要信息系统开展信息安全等级保护专项检查工作的函(湘公函[2011]74号);
《信息系统安全等级保护定级指南》(GB/T22240—2008);
《信息系统安全等级保护测评过程指南》(国标报批稿);
《信息系统等级保护安全设计技术要求》(GB/T25070-2010)。
主要测评依据:
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008);
《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)。
1.2.1.3测评过程
1.2.2被测系统描述
1.2.2.1定级情况
本次安全等级测评所涉及的信息系统定级情况列表如下:
序号
系统名称
业务描述
安全保护等级
1
XX系统
一般性描述如为某某部门或某人群提供某种信息服务。
SXAXGX
2
XX系统
一般性描述如为某某部门或某人群提供某种信息服务。
SXAXGX
3
XX系统
一般性描述如为某某部门或某人群提供某种信息服务。
SXAXGX
1.2.2.2网络结构
以下网络架构承载着信息管理系统的运行,是信息化业务、应用系统运转的基础平台。
其网络拓扑图如图2-1所示:
图2-1信息管理系统网络拓扑图(示例)
1.2.2.3系统构成
4.2.2.3.1业务应用软件
序号
软件名称
主要功能
重要程度
1
XX系统
系统本身能够为服务者提供的业务功能和安全功能等。
重要
2
XX系统
系统本身能够为服务者提供的业务功能和安全功能等。
重要
3
XX系统
系统本身能够为服务者提供的业务功能和安全功能等。
重要
4.2.2.3.2关键数据类别
序号
数据类别
所属业务应用
主机/存储设备
重要程度
1
管理数据
被测评对象应用
应用服务器/数据库服务器
重要
2
业务数据
被测评对象应用
应用服务器/数据库服务器
重要
3
鉴别信息
被测评对象应用
应用服务器/数据库服务器
重要
4.2.2.3.3主机/存储设备
序号
设备名称
操作系统/数据库管理系统
业务应用软件
1
应用服务器/数据库服务器
举例:
Windows/oracle
XX系统
2
应用服务器/数据库服务器
举例:
Windows/oracle
XX系统
3
应用服务器/数据库服务器
举例:
Windows/oracle
XX系统
4.2.2.3.4网络、安全设备
序号
设备名称
设备类型
重要程度
1
核心交换机
核心交换机
非常重要
2
汇聚交换机
汇聚交换机
重要
3
接入交换机
接入交换机
一般
4
防火墙
防火墙
重要
5
入侵防御设备
入侵防御设备
重要
6
Web应用防火墙
Web应用防火墙
重要
4.2.2.3.4安全相关人员
序号
姓名
岗位/角色
联系方式
1
网络管理员
网络管理员
12345678901
2
安全建设管理员
安全建设管理员
12345678901
3
安全运维管理员
安全运维管理员
12345678901
4
安全制度管理员
安全制度管理员
12345678901
5
人员安全管理员
人员安全管理员
12345678901
6
机构安全管理员
机构安全管理员
12345678901
7
物理机房管理员
物理机房管理员
12345678901
8
应用软件管理员
应用软件管理员
12345678901
4.2.2.3.5安全管理文档
序号
文档名称
主要内容
1
制度类文档
包括网络安全管理、设备安全管理、系统安全管理、备份与恢复、安全事件处置和应急预案等管理制度。
2
记录类文档
包括机房出入登记记录(包括第三方人员)、机房基础设施维护记录、各类会议纪要或记录、各类评审和修订记录、人员考核、审查、培训记录、离岗手续等记录。
3
证据类文档
包括资产清单、机构安全管理人员岗位名单、外联单位联系列表、人员保密协议、关键岗位安全协议、信息系统定级报告或定级建议书、系统备案材料等。
1.2.3测评对象与指标
1.2.3.1测评指标
GB/T22239-2008中对不同等级信息系统的安全功能和措施提出了具体要求,等级测评应根据信息系统的安全保护等级从中选取相应等级的安全测评指标,并依据《信息系统安全等级保护基本要求》和《信息安全技术信息系统安全等级测评过程指南》对信息系统实施安全测评。
本次测评的信息管理系统在实施时由建设方指定,包括二级和三级系统的等级测评,安全测评指标应包括《信息安全技术信息系统安全等级保护基本要求》中的二级和三级要求,分为通用指标类(GX),业务信息安全性指标类(SX)和系统服务保证类(AX)。
1)二级测评所包括的安全控制指标类型情况具体如下表:
测评指标
技术/管理
安全分类
安全子类数量
S(2级)
A(2级)
G(2级)
小计
安全技术
物理安全
1
1
8
10
网络安全
1
0
5
6
主机系统安全
2
1
3
6
数据安全及备份恢复
2
1
0
3
应用安全
4
2
1
7
安全管理
安全管理制度
0
0
3
3
安全管理机构
0
0
5
5
人员安全管理
0
0
5
5
系统建设管理
0
0
9
9
系统运维管理
0
0
12
12
合计
66
2)三级测评所包括的安全控制指标类型情况具体如下表:
测评指标
技术/管理
安全分类
安全子类数量
S(3级)
A(3级)
G(3级)
小计
安全技术
物理安全
1
1
8
10
网络安全
1
0
6
7
主机系统安全
3
1
3
7
数据安全及备份恢复
5
2
2
9
应用安全
2
1
0
3
安全管理
安全管理制度
0
0
3
3
安全管理机构
0
0
5
5
人员安全管理
0
0
5
5
系统建设管理
0
0
11
11
系统运维管理
0
0
13
13
合计
73
1.2.3.2测评对象
4.2.3.2.1机房
序号
机房名称
物理位置
1
机房
XXXX集团有限公司办公楼
4.2.3.2.2业务软件
序号
软件名称
主要功能
1
XX系统
系统本身能够为服务者提供的业务功能和安全功能等。
2
XX系统
系统本身能够为服务者提供的业务功能和安全功能等。
3
XX系统
系统本身能够为服务者提供的业务功能和安全功能等。
4.2.3.2.3主机
序号
设备名称
业务应用软件
1
应用服务器
XX系统
2
应用服务器
XX系统
3
应用服务器
XX系统
4.2.3.2.4数据库
序号
设备名称
业务应用软件
1
数据库服务器
XX系统
2
数据库服务器
XX系统
3
数据库服务器
XX系统
4.2.3.2.5网络、安全设备
序号
设备名称
操作系统名称
1
核心交换机
核心交换机
2
汇聚交换机
汇聚交换机
3
接入交换机
接入交换机
4
防火墙
防火墙
5
入侵防御设备
入侵防御设备
6
Web应用防火墙
Web应用防火墙
4.2.3.2.6安全管理文档
序号
文档名称
主要内容
1
制度类文档
包括网络安全管理、设备安全管理、系统安全管理、备份与恢复、安全事件处置和应急预案等管理制度。
2
记录类文档
包括机房出入登记记录(包括第三方人员)、机房基础设施维护记录、各类会议纪要或记录、各类评审和修订记录、人员考核、审查、培训记录、离岗手续等记录。
3
证据类文档
包括资产清单、机构安全管理人员岗位名单、外联单位联系列表、人员保密协议、关键岗位安全协议、信息系统定级报告或定级建议书、系统备案材料等。
1.2.3.3测评方法与工具
4.2.3.3.1测评方法
测评方法包括:
访谈、检查、测试等。
访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。
检查是指测评人员通过对测评对象(如制度文档、各类设备、安全配置等)进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。
4.2.3.3.2主要测评工具
本次安全测评采用的测试工具主要包括:
序号
工具名称
工具描述
1
铱迅漏洞扫描系统
设备型号:
NVS-2000-L;系统版本:
3.0.03.5792;漏洞规则库版本:
1.0.0.2842,包括操作系统,网络设备和数据库等多种设备的扫描规则库,漏洞库遵循CVE,CAN和MS等国际标准。
2
渗透测试工具
包括SQLmap,Burpsuite,RouterScan,ApacheTomcatScan等。
1.2.4测评内容与实施
把测评指标和测评方式结合到信息系统的具体测评对象上,就构成了可以具体测评的安全子类。
具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等几个方面。
1.2.4.1物理安全
物理安全测评将通过访谈和检查的方式评测信息系统的物理安全保障情况。
主要涉及对象为机房。
在内容上,物理安全层面测评实施过程涉及10个安全子类,具体如下表:
4.2.4.1.1测评内容
序号
安全子类
测评指标描述
1
物理位置的选择
通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
2
物理访问控制
通过访谈物理安全负责人,检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。
3
防盗窃和防破坏
通过访谈物理安全负责人,检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。
4
防雷击
通过访谈物理安全负责人,检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。
5
防火
通过访谈物理安全负责人,检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。
6
防水和防潮
通过访谈物理安全负责人,检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。
7
防静电
通过访谈物理安全负责人,检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。
8
温湿度控制
通过访谈物理安全负责人,检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。
9
电力供应
通过访谈物理安全负责人,检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。
10
电磁防护
通过访谈物理安全负责人,检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。
4.2.4.1.2测评实施
访谈物理安全负责人、机房维护人员和机房值守人员,询问机房是否有防盗报警系统、避雷装置、自动消防系统和温湿度自动调节设施等相关机房安全措施,检查机房位置、相关制度、记录文档、系统(或设备)的运行情况等。
4.2.4.1.3配合需求
配合项目
需求说明
物理位置的选择
相应的房屋建筑资料。
物理访问控制
机房出入登记记录、审批记录、电子门禁记录等。
防盗窃和防破坏
防盗报警运行维护情况及相关记录。
防雷击
建筑物防雷技术检测报告。
防火
防火系统的检查和维护记录、机房验收文档。
防水和防潮
建筑施工图、建筑验收文档。
防静电
展示防静电接地措施。
温湿度控制
机房温湿度变化的记录和温湿度调节设备的维护记录。
电力供应
供电线路的稳压器、供电线路的UPS、备用电源设备和过电压防护设备的维护和维修记录。
电磁防护
1.物理安全负责人介绍设备外壳接地的实施情况;
2.物理安全负责人介绍线路铺设中将电源线和通信线路隔离的实施情况;
3.物理安全负责人介绍重要设备和磁介质实施电磁屏蔽的情况。
1.2.4.2网络安全
网络安全测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。
主要涉及对象机房的网络设备、安全设备以及网络拓扑结构等三大类对象。
在内容上,网络安全层面测评过程涉及6个工作单元。
4.2.4.2.1测评内容
序号
安全子类
测评指标描述
1
结构安全
通过访谈网络管理员,检查网络拓扑情况、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。
2
访问控制
通过访谈安全员,检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。
3
安全审计
通过访谈审计员,检查核心交换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。
4
边界完整性检查
通过访谈安全员,检查边界完整性检查设备,接入边界完整性检查设备进行测试等过程,测评分析信息系统私自联到外部网络的行为。
5
入侵防范
通过访谈安全员,测评分析信息系统对攻击行为的识别和处理情况。
6
网络设备防护
通过访谈网络管理员,检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。
4.2.4.2.2测评实施
网络层面测评实施主要分为三部分,第一部分为网络全局测评,主要通过访谈网络管理员,针对结构安全、边界完整性、入侵防范、恶意代码防范四个控制点,了解结构安全、业务高峰期设备处理能力和链路带宽运行情况、非法内外联,以及网络边界的入侵防范措施,恶意代码防范情况等内容。
第二部分为网络设备防护测评,主要通过对网络管理员进行访谈、由管理员进行操作查看安全配置,针对访问控制、安全审计、网络设备防护三个控制点,了解网络设备上主要的访问控制策略、设备日志记录情况、口令复杂度、双因子身份鉴别、管理员权限分离等内容。
第三部分为工具测试,针对网络设备、服务器的系统漏洞进行扫描,以及对网络设备的访问控制策略进行验证等。
4.2.4.2.3配合需求
配合项目
需求说明
结构安全
网络拓扑结构图、不同的子网或网段的设计或描述、带宽的配置策略。
边界完整性检查
系统管理员介绍采用的手段以防止非授权接入和非法外联行为。
入侵防范
网络管理员或者安全管理员介绍防网络攻击措施。
访问控制
针对主要服务器的访问控制策略。
安全审计
访谈网络管理员以及需要网络管理员上机操作。
网络设备防护
网络管理员上机操作。
1.2.4.3主机安全
主机系统安全测评将通过访谈、检查和测试的方式评测信息系统的管理终端和管理支撑服务器(包括:
审计服务器、防病毒服务器、补丁升级服务器等)安全保障情况。
在内容上,主机系统安全层面测评实施过程涉及7个安全子类。
4.2.4.3.1测评内容
序号
安全子类
测评指标描述
1
身份鉴别
检查服务器的身份标识与鉴别和用户登录的配置情况。
2
访问控制
检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。
3
安全审计
检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。
4
剩余信息保护
检查服务器鉴别信息的存储空间,被释放或再分配给其他用户前得到完全清除。
5
入侵防范
检查服务器在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。
6
恶意代码防范
检查服务器的恶意代码防范情况。
7
资源控制
检查服务器对单个用户的登录方式、网络地址范围、会话数量等的限制情况。
4.2.4.3.2测评实施
主机层面测评实施主要通过访谈和查看,了解服务器的安全防护措施和相关安全配置,涉及到的控制点有:
身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等。
4.2.4.3.3配合需求
配合项目
需求说明
身份鉴别
系统管理员配合主机测评师上机查看本地安全策略等配置。
访问控制
系统管理员配合主机测评师上机查看账户使用情况和重要文件属性等。
安全审计
系统管理员配合主机测评师上机查看审核策略配置情况。
剩余信息保护
系统管理员配合主机测评师上机查看安全策略配置情况。
入侵防范
系统管理员配合主机测评师上机查看系统补丁、软件安装和防火墙配置等。
恶意代码防范
系统管理员配合主机测评师上机查看是否安装防病毒软件等。
资源控制
主机测评师访谈系统管理员是否有系统资源监控平台。
1.2.4.4应用安全
4.2.4.4.1测评内容
应用安全测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。
在内容上,应用安全层面测评实施过程涉及7个工作单元,具体如下表:
序号
安全子类
测评指标描述
1
身份鉴别
检查应用系统的身份标识与鉴别功能设置和使用配置情况;
检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。
2
访问控制
检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。
3
安全审计
检查应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等;
检查应用系统安全审计进程和记录的保护情况。
4
通信完整性
检查应用系统客户端和服务器端之间的通信完整性保护情况。
5
通信保密性
检查应用系统客户端和服务器端之间的通信保密性保护情况。
6
软件容错
检查应用系统的软件容错能力,如输入输出格式检查、自我状态监控、自我保护、回退等能力。
7
资源控制
检查应用系统的资源控制情况,如会话限定、用户登录限制、最大并发连接以及服务优先级设置等。
4.2.4.4.2测评实施
应用层面测评实施主要通过访谈和查看,了解应用系统的安全防护措施和相关安全配置,涉及到的控制点有:
身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制。
4.2.4.4.3配合需求
配合项目
需求说明
身份鉴别
系统管理员配合应用测评师上机查看软件是否具备鉴别信息复杂度检验功能、登录失败处理功能等。
访问控制
系统管理员配合应用测评师上机查看软件是否具备访问控制功能。
安全审计
系统管理员配合应用测评师上机查看软件是否具备安全审计功能。
通信完整性
系统管理员配合应用测评师,查看软件在数据通信过程中,是否具备完整性检验功能。
通信保密性
系统管理员配合应用测评师,查看软件在数据通信过程中,是否具备加密功能。
软件容错
系统管理员给应用测评师提供系统访问地址。
资源控制
系统管理员配合应用测评师,查看软件是否具备资源控制功能。
1.2.4.5数据安全及备份恢复
4.2.4.5.1测评内容
在内容上,数据安全层面测评实施过程涉及3个工作单元,具体如下表:
序号
安全子类
测评指标描述
1
数据完整性
检查网络设备的管理数据、鉴别信息和重要业务数据在传输和保存过程中的完整性保