信息安全等级保护项目测评方案.docx

资源描述

信息安全等级保护项目测评方案.docx

《信息安全等级保护项目测评方案.docx》由会员分享，可在线阅读，更多相关《信息安全等级保护项目测评方案.docx（181页珍藏版）》请在冰点文库上搜索。

信息安全等级保护项目测评方案.docx

信息安全等级保护测评项目

测

评

方

案

广州华南信息安全测评中心

二〇一六年

第一章概述 3

第二章测评基本原则 4

一、客观性和公正性原则 4

二、经济性和可重用性原则 4

三、可重复性和可再现性原则 4

四、结果完善性原则 4

第三章测评安全目标（2级） 5

一、技术目标 5

二、管理目标 6

第四章测评内容 9

一、资料审查 10

二、核查测试 10

三、综合评估 10

第五章项目实施 12

一、实施流程 12

二、测评工具 13

2.1调查问卷 13

2.2系统安全性技术检查工具 13

2.3测评工具使用原则 13

三、测评方法 14

第六章项目管理 15

一、项目组织计划 15

二、项目成员组成与职责划分 15

三、项目沟通 16

3.1日常沟通，记录和备忘录 16

3.2报告 16

3.3正式会议 16

第七章附录：

等级保护评测准则 19

一、信息系统安全等级保护2级测评准则 19

1.1基本要求 19

1.2评估测评准则 31

二、信息系统安全等级保护3级测评准则 88

基本要求 88

评估测评准则 108

第一章概述

2003年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强

信息安全保障工作的意见》（中办发[2003]27号）以及2004年9月四部委局联

合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件

明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

”

2009年4月广东省公安厅、省保密局、密码管理局和省信息化工作领导小

组联合发文《广东省深化信息安全等级保护工作方案》（粤公通字[2009]45号）中

又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和

测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全

建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。

由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

第二章测评基本原则

一、客观性和公正性原则

虽然测评工作不能完全摆脱个人主张或判断，但测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。

二、经济性和可重用性原则

基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括

商业安全产品测评结果和信息系统先前的安全测评结果。

所有重用的结果，都应

基于结果适用于目前的系统，并且能够反映出目前系统的安全状态基础之上。

三、可重复性和可再现性原则

不论谁执行测评，依照同样的要求，使用同样的测评方式，对每个测评实施

过程的重复执行应该得到同样的结果。

可再现性和可重复性的区别在于，前者与

不同测评者测评结果的一致性有关，后者与同一测评者测评结果的一致性有关。

四、结果完善性原则

测评所产生的结果应当证明是良好的判断和对测评项的正确理解。

测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。

第三章测评安全目标（2级）

一、技术目标

O2-1. 应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力

O2-2. 应具有控制接触重要设备、介质的能力

O2-3. 应具有对通信线路进行物理保护的能力

O2-4. 应具有控制机房进出的能力

O2-5. 应具有防止设备、介质等丢失的能力

O2-6. 应具有控制机房内人员活动的能力

O2-7. 应具有防止雷击事件导致重要设备被破坏的能力

O2-8. 应具有灭火的能力

O2-9. 应具有检测火灾和报警的能力

O2-10.应具有防水和防潮的能力

O2-11.应具有防止静电导致重要设备被破坏的能力

O2-12.应具有温湿度自动检测和控制的能力

O2-13.应具有防止电压波动的能力

O2-14.应具有对抗短时间断电的能力

O2-15.具有基本的抗电磁干扰能力

O2-16.应具有限制网络、操作系统和应用系统资源使用的能力

O2-17.应具有能够检测对网络的各种攻击并记录其活动的能力

O2-18.应具有网络边界完整性检测能力

O2-19.应具有对传输和存储数据进行完整性检测的能力

O2-20.应具有对硬件故障产品进行替换的能力

O2-21.应具有系统软件、应用软件容错的能力

O2-22.应具有软件故障分析的能力

O2-23.应具有合理使用和控制系统资源的能力

O2-24.应具有记录用户操作行为的能力

O2-25.应具有对用户的误操作行为进行检测和报警的能力

O2-26.应具有对传输和存储中的信息进行保密性保护的能力

O2-27.应具有发现所有已知漏洞并及时修补的能力

O2-28.应具有对网络、系统和应用的访问进行控制的能力

O2-29.应具有对数据、文件或其他资源的访问进行控制的能力

O2-30.应具有对资源访问的行为进行记录的能力

O2-31.应具有对用户进行唯一标识的能力

O2-32.应具有对用户产生复杂鉴别信息并进行鉴别的能力

O2-33.应具有对恶意代码的检测、阻止和清除能力

O2-34.应具有防止恶意代码在网络中扩散的能力

O2-35.应具有对恶意代码库和搜索引擎及时更新的能力

O2-36.应具有保证鉴别数据传输和存储保密性的能力

O2-37.应具有对存储介质中的残余信息进行删除的能力

O2-38.应具有非活动状态一段时间后自动切断连接的能力

O2-39.应具有重要数据恢复的能力

二、管理目标

O2-40.应确保建立了安全职能部门，配备了安全管理人员，支持信息安全

管理工作

O2-41.应确保配备了足够数量的管理人员，对系统进行运行维护

O2-42.应确保对主要的管理活动进行了制度化管理

O2-43.应确保建立并不断完善、健全安全管理制度

O2-44.应确保能协调信息安全工作在各功能部门的实施

O2-45.应确保能控制信息安全相关事件的授权与审批

O2-46.应确保建立恰当可靠的联络渠道，以便安全事件发生时能得到支持

O2-47.应确保对人员的行为进行控制

O2-48.应确保对人员的管理活动进行了指导

O2-49.应确保安全策略的正确性和安全措施的合理性

O2-50.应确保对信息系统进行合理定级

O2-51.应确保安全产品的可信度和产品质量

O2-52.应确保自行开发过程和工程实施过程中的安全

O2-53.应确保能顺利地接管和维护信息系统

O2-54.应确保安全工程的实施质量和安全功能的准确实现

O2-55.应确保机房具有良好的运行环境

O2-56.应确保对信息资产进行标识管理

O2-57.应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制

O2-58.应确保各种网络设备、服务器正确使用和维护

O2-59.应确保对网络、操作系统、数据库管理系统和应用系统进行安全管

理

O2-60.应确保用户具有鉴别信息使用的安全意识

O2-61.应确保定期地对通信线路进行检查和维护

O2-62.应确保硬件设备、存储介质存放环境安全，并对其的使用进行控制

和保护

O2-63.应确保对支撑设施、硬件设备、存储介质进行日常维护和管理

O2-64.应确保系统中使用的硬件、软件产品的质量

O2-65.应确保各类人员具有与其岗位相适应的技术能力

O2-66.应确保对各类人员进行相关的技术培训

O2-67.应确保提供的足够的使用手册、维护指南等资料

O2-68.应确保内部人员具有安全方面的常识和意识

O2-69.应确保具有设计合理、安全网络结构的能力

O2-70.应确保密码算法和密钥的使用符合国家有关法律、法规的规定

O2-71.应确保任何变更控制和设备重用要申报和审批，并对其实行制度化的管理

O2-72.应确保在事件发生后能采取积极、有效的应急策略和措施

O2-73.应确保信息安全事件实行分等级响应、处置

第四章测评内容

当根据信息系统的业务重要性及其他相关因素对信息系统进行划分，确定了信息系统的安全保护等级后，需要了解不同级别的信息系统或子系统当前的安全保护与相应等级的安全保护基本要求之间存在的差距，这种差距是一种安全需求，是进行安全方案设计的基础。

传统的安全需求分析方法有很多，如风险分析法，但是作为了解信息系统或子系统当前的安全保护状况与相应等级的安全保护基本要求之间存在的差距的简便方法，莫过于等级评估测评法。

Ø活动目标：

本活动的目标是通过信息安全等级测评机构对已经完成等级保护建设的信

息系统定期进行等级测评，确保信息系统的安全保护措施符合相应等级的安全要

求。

Ø参与角色：

甲方\广州华南信息安全测评中心

Ø活动输入：

信息系统详细描述文件，信息系统安全保护等级定级报告，信息系统测评计

划，信息系统测评方案。

Ø活动描述：

参见有关信息系统安全保护等级测评的规范或标准。

Ø活动输出：

安全等级测评评估报告。

信息系统安全测评包括资料审查、核查测试、综合评估如下三个部分内容：

一、资料审查

a）测评机构接受用户提供的测评委托书和测评资料；

b）测评机构对用户提供的测评委托书和测评资料进行形式化审查，判断是否需要补充相关资料；

二、核查测试

a）测评机构依据用户提供的资料、评估机构实地调研资料及定级报告等，制定系统安全评估测评计划；

b）依据系统安全测评计划制定系统安全评估测评方案；

c）依据系统安全测评方案实施现场核查测试；

d）对核查测试结果进行数据整理记录，并形成核查测试报告。

三、综合评估

a）对用户资料，评估机构实地调研资料和测试报告进行综合分析，形成分析意见；

b）就分析意见与用户沟通确认，最终形成系统安全测评综合评估报告；

c）对系统安全测评综合评估报告进行审定；

d）出具最终《信息系统安全测评综合评估报告》

Ø测评数据处理

a）对信息系统现场核查记录进行汇总分析，完成信息系统现场核查报告；

b）对系统安全性测评过程得到的被测单位提供的申请资料、方案的形式化审查报告、信息系统现；

c）场核查记录、现场核查报告以及测试过程中所有的书面记录，经分析整理后，形成信息系统安全测评综合评估报告；

d）系统安全性测评过程所产生的全部数据、记录、资料应归档管理；

e）系统安全性测评过程所产生的全部数据、记录、资料不得以任何方式向第三方透露；

f）系统安全性测评过程所产生的全部数据、记录、资料的处置应符合相关法令法规的规定。

Ø测评结论

a）信息系统经测评机构安全测评后，向被测评单位出具信息系统安全测评综合评估报告；

b）信息系统安全测评综合评估报告是客观反映被测单位信息系统在管理方面及技术方面的安全状况，其中包括了信息系统在安全性方面存在的漏洞、潜在的风险以及相应的建议性改进意见。

第五章项目实施

一、实施流程

二、测评工具

2.1 调查问卷

调查问卷是现场核查的方法之一。

调查问卷根据本规范制定，其调查内容应

涵盖被测信息系统的各个方面，利用调查问卷对系统安全技术、安全管理措施等

进行逐项审核，将调查结果记录在相应的问卷上，供现场核查分析之用。

2.2 系统安全性技术检查工具

典型的系统安全性技术检查工具有以下几种：

a）Web应用安全扫描器：

主要扫描Web应用安全中存在的危险函数调用、软件陷门；

b）基于主机的扫描器：

检测主机操作系统中与系统密切相关的安装配置问题及其他系统目标的安全策略漏洞情况；

c）基于网络的扫描器：

通过网络扫描确定系统的状态及收集信息，判断网络中是否存在安全隐患。

例如操作系统类型、开放的端口及服务、安全漏洞及木马程序等。

检测范围

包括所有的信息系

设备：

服务器、防火墙、交换机、路由器等网络中所有设备；

d）网络协议分析仪：

分析信息系统传输数据流，检测信息系统异常现象；

e）入侵检测工具：

分析系统外部或内部的入侵行为及其行为特征（根据用户需求）；

f）其它检查工具。

2.3 测评工具使用原则

a）根据信息系统安全要求配置测评工具，选择适用的、针对性强的测评工具；

b）应优先选用性能较好，由国内开发的测评工具或经过测评认证确认安全的测评工具；

c）对已经投入运行的系统不得使用攻击性测试工具，防止系统崩溃造成不必要的损失；

d）使用攻击性测试工具要经过被测评用户授权。

三、测评方法

图6.1 测评流程

在整个项目过程中，我中心将在不同阶段派遣不同人员参与项目，主要包括以下几个角色：

管理人员，项目启动会、计划、监督、协调组织项目验收等管理性工作。

安全工程师，会议、座谈、现场走访、问卷调查、调查和收集现有单位相关材料。

咨询师，交流安全需求、安全策略分析、网络规划、安全建议。

攻防人员，使用专业工具进行技术类指标的评定，对指标验证后提出建议。

文档人员，整理文档、书写报告。

第六章项目管理

一、项目组织计划

根据我方在多个大型安全服务工程项目实施中总结的实践经验，为保证整个工程的顺利实施,建议将系统实施的组织机构进行如下划分：

Ø项目管理层

主要由我方和贵方高层管理人员组成，他们主要完成整个评估测评过程的规划，管理和控制整个测评项目的实施过程和进度；

Ø项目实施层

主要由本中心的中层技术管理人员（部门经理）和技术实施人员（技术文档编写部、项目实施部、风险评估部）完成评估计划，评估方案，现场测评等过程；用户应派技术人员参与项目实施。

二、项目成员组成与职责划分

部门

职位