《最新银行一级分行网络系统安全等级测评报告.docx》由会员分享,可在线阅读,更多相关《最新银行一级分行网络系统安全等级测评报告.docx(250页珍藏版)》请在三一文库上搜索。
1、该公司以航空地面服务为中心,以航空公司、货主和旅客为服务对象,提供客货两方面的过港服务:第三篇 IMAGE公司新产品V300彩超的营销策略分析25国家药品监督管理局规定药品只有一个零售价格,由此推断出厂商的利润PQ(P,)C(Q)-A,即厂商的利润为销售额减去总成本及广告费用。而广告的简单法则为:A/PQ=(EA/EP),即厂商的广告费用对销售额的比率应该等于负的需求的广告弹性和价格弹性的比率。各样本公司价值估算对于超额完成任务的代理商,可以给予奖励如价格上享受更大的折扣;行销的主要内容为4P,即商品、价格、铺货和促销,促销包含广告,因此广告为行销的一环,广告的主要内容为创意与媒体,创意为广告
2、讯息,媒体则为讯息载体。媒体为广告作业内容之一,是对消费者提供品牌讯息的主要手段,消费者为品牌的最终决定者,他决定对品牌的喜好,购买。也决定品牌的兴亡,在本品牌行销时,竞争品牌也同时在市场上以类似手法争取消费者。药品的媒体投放市场是一个竞争激烈的市场,也是一个高投入的市场,在广告投入最大的十类产品中,药品位居榜首,2000年的媒体投入总金额为220亿人民币,2001年为274亿人民币。(见图1-2)第四,要适当考虑社会效益。1.2.3 彩超市场状况我们先从产品P及替代产品的价格比较入手。(3)人员促销不利,例如铺货率不够,当消费者进药店买药时,不能买到自己预期想买的产品,所以转而买其他产品。
3、报告编号:( )信息系统安全等级测评报告系统名称:一级分行网络系统被测单位:xxx测评单位:xxx报告时间:20xx年x月xx日说明:一、每个备案信息系统单独出具测评报告。二、测评报告编号为四组数据,各组含义和编码规则如下。第一组为信息系统备案表编号,有11位数字组成,可以从公安机关颁发的信息系统备案证明(或备案回执)上获得,即证书编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号)。第二组为年份,由2位数字组成。例如09代表2009年。第三组为测评机构代码,由4位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11
4、为北京,12为某,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。90为国防科工局,91为电监会,92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。第四组为本年度信息系统测评次数,由两位构成。例如02表示该信息系统本年度测评2次。信息系统等级测评基本信息表信息系统
5、系统名称一级分行网络系统安全保护等级第三级备案证明编号测评结论基本符合被测单位单位名称xxx单位地址邮政编码联系人姓 名职务/职称所属部门办公电话移动电话电子邮件测评单位单位名称单位代码通信地址邮政编码联系人姓 名职务/职称所属部门办公电话移动电话电子邮件审核批准编制人编制日期审核人审核日期批准人批准日期注:单位代码由受理测评机构备案的公安机关给出。声 明本报告是某银行一级分行网络系统的等级测评报告。本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统
6、)都应重新进行等级测评,本报告不再适用。本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。目 录信息系统等级测评基本信息表I声 明I报告摘要1第1章 测评项目概述11.1测评目的11.2测评依据11.3测评过程11.4报告分发范围1第2章 被测信息系统情况12.1承载的业务情况12.2网络结构12.3系统构成12.3.1 业务应用软件12.3.2 关键数据类别12.3.3 主机/存储设备12.3.4 网络互联设备12.3.5 安全设备12.3
7、.6 安全相关人员12.3.7 安全管理文档12.4安全环境12.5前次测评情况1第3章 等级测评范围与方法13.1测评指标13.1.1基本指标13.1.2特殊指标13.2测评对象13.2.1 测评对象选择方法13.2.2 测评对象选择结果13.3测评方法1第4章 单元测评14.1 物理安全14.1.1 结果记录14.1.2结果汇总14.1.3 问题分析14.2网络安全14.2.1 结果记录14.2.2 结果汇总14.2.3 问题分析14.3主机安全14.4 应用安全14.5数据安全及备份恢复14.5.1 结果记录14.5.2 结果汇总14.5.3 问题分析14.6 安全管理制度14.6.1
8、结果记录14.6.2 结果汇总14.6.3 问题分析14.7 安全管理机构14.7.1 结果记录14.7.2 结果汇总14.7.3 问题分析14.8 人员安全管理14.8.1 结果记录14.8.2 结果汇总14.8.3 问题分析14.9 系统建设管理14.9.1 结果记录14.9.2 结果汇总14.9.3问题分析14.10 系统运维管理14.10.1 结果记录14.10.2 结果汇总14.10.3 问题分析1第5章 整体测评15.1安全控制间安全测评15.2层面间安全测评15.3区域间安全测评15.4系统结构安全测评1第6章 测评结果汇总1第7章 风险分析和评价1第8章 等级测评结论1第9章
9、安全建设整改建议1报告摘要一级分行网络系统业务信息安全等级为3级,系统服务安全等级为3级,通用安全保护等级为3级。一级分行网络系统主要是负责承载某分行所辖所有机构的业务数据、管理数据的传输,承载某分行与各外联单位的数据传输。本次测评范围为某银行一级分行网络系统,从技术与管理两方面测评该信息系统是否符合信息安全保护等级第3级的标准要求,技术方面包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复,管理方面包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。综合单元测评、整体测评和风险分析结果,得出某银行某市分行一级分行网络系统的等级测评结论为基本符合。一级分行网络
10、系统存在着一些安全问题,在技术方面,机房内未安装机房专用空调对温湿度进行控制,不能对温湿度进行精密控制;互联网区、外联区防火墙上没有开启深度检测功能,不能对进入网络的流量进行应用层的检测;网络系统由代理服务器中的软件对部分数据进行分析,不能生成审计报表;无法对内部人员使用其他途径的上网方式(如无线上网卡等)进行控制、阻断;互联网区域部署了飞塔(Fortinet)防病毒网关,可以对进入网络的内容进行恶意代码检测和清除,外联区只有启明星辰IDS进行检测,没有部署防病毒网关;分行在河北支行设置了同城数据备份中心,与其生产中心直线距离未达到30公里,河北支行只有介质库,无法接管所有核心业务的运行等;在
11、管理方面无问题。根据安全问题,建议信息系统做如下改进,在技术方面,建议机房使用专用的空调设备;建议通过配置防火墙策略对互联网区、外联区的数据内容进行检测;建议添加审计设备便于数据分析和生成审计报表;建议屏蔽终端通过无线上网卡跨接,来控制和阻断非法外联;建议在外联区设置防毒墙设备,来防止恶意代码入侵;建议完善同城数据中心的相关功能,保证大楼主机房发生故障时,同城数据中心接管所有核心业务的运行。第1章 测评项目概述1.1测评目的随着科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,信息化带动了工业化的发展,初步实现了互联互通、资源共享、跨越式发展的信息化发展目标
12、。基础信息网络与重要信息系统的基础性、全局性作用日益增强,已成为国家和社会发展新的重要战略资源。与此同时,随着社会信息化的依赖程度越来越高,网络和信息系统的安全问题愈加重要。保障基础网络和重要信息系统安全,更好地维护国家安全、保障社会稳定和经济命脉,是信息化发展中必须要解决的重大问题。但是从整体上看,我国的信息安全保障工作尚处于初级阶段,基础薄弱,水平不高,存在许多亟待解决的问题。应当看到,我国信息安全面临的形势非常严峻,互联网上影响国家安全和社会稳定的问题日益突出,网上斗争越来越尖锐复杂。作为非传统安全范畴的信息安全问题,已经成为当前最难控制、最难把握的问题之一,必须高度重视信息安全,维护网
13、络空间的国家安全和国家利益。信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。国务院法规和中央文件明确规定,要实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务。信息系统安全等级保护测评工作是指测评机构依据
14、国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级测评是标准符合性评判活动,即依据信息安全等级保护的国家标准或行业标准,按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。某银行是一家在中国市场处于领先地位的股份制商业银行,为客户提供全面的商业银行产品与服务。主要经营领域包括公司银行业务、个人银行业务和资金业务,多种产品和服务(如基本建设贷款、住房按揭贷款和银行卡业务等)在某银行业居于市场领先地位。在“2010年中国25家最受尊敬上市公司”排行榜中,位列第5位,公司董秘陈彩虹荣膺“中国上市公司最佳董秘”大奖。
15、 某银行拥有广泛的客户基础,与多个大型企业集团及中国经济战略性行业的主导企业保持银行业务联系,营销网络覆盖全国的主要地区,设有13600多家分支机构。某银行在大陆境外的中国香港、新加坡、德国法兰克福、南非约翰内斯堡、日本东京、韩国首尔、美国纽约、越南胡志明市和澳大利亚悉尼设有海外分行,在英国伦敦设有子银行,在中国台湾台北、俄罗斯莫斯科设有代表处。某银行的子公司包括某银行(亚洲)股份有限公司、建银国际(控股)有限公司、中德住房储蓄银行有限责任公司、建信基金管理有限责任公司和建信金融租赁股份有限公司。某银行已与世界上600家银行建立了代理行关系,其业务往来遍及五大洲的近80个国家。 某银行被巴菲特
16、杂志、世界企业竞争力实验室、世界经济学人周刊联合评为2010年(第七届)中国上市公司100强,排名第7位。 该金融品牌在世界品牌价值实验室(World Brand Value Lab)编制的2010年度中国品牌500强排行榜中排名第十,品牌价值876.32亿元。 在由中国企业联合会、中国企业家协会共同发布的2011中国企业500强名单中某银行位列第8。某测评公司是某市高新技术企业,以高新技术为导向,雄厚的技术实力为依托,凝聚了大量网络安全专业的优秀人才,以技术为核心竞争力的企业文化打造了强悍的公司团队,从而建立了良好的公司发展基础。作为公安部推荐的等级保护测评机构,xxxx为客户提供等级保护定
17、级咨询、等级保护测评、计算机安全检测、网络安全审计、网络与信息系统安全测评、信息安全产品检测、信息系统安全监控、信息安全应急响应、容灾备份及灾难恢复等相关技术、标准、实施指南的咨询与服务,并提供全面的网络安全解决方案和网络安全运维服务。某测评公司作为某银行某市分行信息系统测评单位,将从10个方面对某银行某市分行信息系统进行全面检查,其中包括物理安全、网络安全、主机安全、应用安全、数据安全、安全制度管理、安全机构管理、人员安全管理、系统建设管理和系统运维管理。通过本次测评项目,一是可以掌握某银行某市分行信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是衡量信息系统
18、的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。等级测评结果也是公安机关等安全监督部门进行监督、检查、指导的参照。1.2测评依据信息安全等级保护相关标准大致可以分为四类:政策基础类、应用类、产品类和其他类。政策基础类标准 政策类 中华人民共和国计算机信息系统安全保护条例(国务院147号令) 关于信息安全等级保护工作的实施意见(公通字200466号) 信息安全等级保护管理办法(公通字200743号) 国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号) 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号) 信息安全等
19、级保护备案实施细则(公信安20071360号) 公安机关信息安全等级保护检查工作规范(公信安2008736号) 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号) 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号) 信息系统安全等级测评报告模版(试行)(公信安20091487) 基础类 计算机信息系统安全保护等级划分准则(GB17859-1999) 信息系统安全等级保护基本要求(GB/T22239-2008)应用类标准 信息系统定级 信息系统安全保护等级定级指南(GB/T22240-2008) 等级保护实施 信息系统安全等级保护
20、实施指南(信安字200710号) 信息系统安全建设 信息系统通用安全技术要求(GB/T20271-2006) 信息系统等级保护安全设计技术要求(信安秘字2009059号) 信息系统安全管理要求(GB/T20269-2006) 信息系统安全工程管理要求(GB/T20282-2006) 信息系统物理安全技术要求(GB/T21052-2007) 网络基础安全技术要求(GB/T20270-2006) 信息系统安全等级保护体系框架(GA/T708-2007) 信息系统安全等级保护基本模型(GA/T709-2007) 信息系统安全等级保护基本配置(GA/T710-2007) 等级测评 信息系统安全等级保护
21、测评要求(报批稿) 信息系统安全等级保护测评过程指南(报批稿) 信息系统安全管理测评(GA/T713-2007)产品类标准 操作系统 操作系统安全技术要求(GB/T20272-2006) 操作系统安全评估准则(GB/T20008-2005) 数据库 数据库管理系统安全技术要求(GB/T20273-2006) 数据库管理系统安全评估准则(GB/T20009-2005) 网络 网络端设备隔离部件技术要求(GB/T20279-2006) 网络端设备隔离部件测试评价方法(GB/T20277-2006) 网络脆弱性扫描产品技术要求(GB/T20278-2006) 网络脆弱性扫描产品测试评价方法(GB/T
22、20280-2006) 网络交换机安全技术要求(GA/T684-2007) 虚拟专用网安全技术要求(GA/T686-2007) PKI 公钥基础设施安全技术要求(GA/T687-2007) PKI系统安全等级保护技术要求(GB/T 21053-2007) 网关 网关安全技术要求(GA/T681-2007) 服务器 服务器安全技术要求(GB/T21028-2007) 入侵检测 入侵检测系统技术要求和检测方法(GB/T20275-2006) 计算机网络入侵分级要求(GA/T700-2007) 防火墙 防火墙安全技术要求(GA/T683-2007) 防火墙技术测评方法(报批稿) 信息系统安全等级保护
23、防火墙安全配置指南(报批稿) 防火墙技术要求和测评方法(GB/T20281-2006) 包过滤防火墙评估准则(GB/T20010-2005) 路由器 路由器安全技术要求(GB/T 18018-2007) 路由器安全评估准则(GB/T 20011-2005) 路由器安全测评要求(GA/T 682-2007) 交换机 网络交换机安全技术要求(GB/T 21050-2007) 交换机安全测评要求(GA/T 685-2007) 其他产品 终端计算机系统安全等级技术要求(GA/T671-2006) 终端计算机系统测评方法(GA/T 671-2006) 审计产品技术要求和测评方法(GB/T 20945-2
24、006) 虹膜特征识别技术要求(GB/T 20979-2007) 虚拟专网安全技术要求(GA/T 686-2007) 应用软件系统安全等级保护通用技术指南(GA/T 711-2007) 应用软件系统安全等级保护通用测试指南(GA/T 712-2007) 网络和终端设备隔离部件测试评价方法(GB/T 20277-2006) 网络脆弱性扫描产品测评方法(GB/T 20280-2006)其他类标准 风险评估 信息安全风险评估规范(GB/T20984-2007) 事件管理 信息安全事件管理指南(GB/T20985-2007) 信息系统安全工程管理要求(GB/T20282-2007) 信息系统灾难恢复规
25、范(GB/T 20988-2007)其他相关参考标准 公钥基础设施 PKI组件最小互操作规范(GB/T 19771-2005) 在线证书状态协议(GB/T 19713-2005) 证书管理协议(GB/T 19714-2005) 数字证书格式(GB/T 20518-2006) 时间戳规范 (GB/T 20520-2006) 特定权限管理中心技术规范 (GB/T 20519-2006) PKI系统安全等级保护评估准则 (GB/T 21054-2006) 安全支撑平台技术框架 (GB/T 24851-2009) 签名生成应用程序的安全要求 (GB/T 24857-2009) XML数字签名语法与处理
26、规范 (GB/T 24855-2009) X.509数字证书应用接口规范(GB/T 24854-2009) 建议在线证书状态协议 (GB/T 24853-2009) 电子签名卡应用接口基本要求(GB/T 24852-2009) 安全管理 信息安全管理实用规则 (GB/T 19716-2005) 信息技术安全管理指南 第1部分:信息技术安全概念和模型 (GB/T 19715.1-2005) 信息技术安全管理指南 第2部分:管理和规划信息技术安全 (GB/T 19715.2-2005) 信息安全风险管理指南(GB/T 24364-2009) 信息安全管理使用规则(GB/T 22081-2008)
27、信息安全管理体系:要求(GB/T 22080-2008) 基于角色的访问控制模型与管理规范(GB/T 24848-2009) 其他安全技术标准 基于多用途互联网邮件扩展(MIME)的安全报文交换(GB/T 19717-2005) 实体鉴别 第1部分:概述(GB/T 15843.1-2008) 实体鉴别 第2部分:采用对称加密算法的机制(GB/T 15843.2-2008) 实体鉴别 第3部分:采用数字签名技术的机制(GB/T 15843.3-2008) 实体鉴别 第4部分:采用密码校验函数的机制(GB/T 15843.4-2008) 实体鉴别 第5部分:使用零知识技术的机制(GB/T 1584
28、3.5-2005) 带附录的数字签名 第2部分:基于身份的机制(GB/T 17902.2-2005) 带附录的数字签名 第3部分:基于证书的机制(GB/T 17902.3-2005) 信息系统安全保障评估框架 第1部分:简介和一般模型(GB/T 20274.1-2006) 信息系统安全保障评估框架 第2部分:技术保障(GB/T 20274.2-2008) 信息系统安全保障评估框架 第3部分:管理保障(GB/T 20274.3-2008) 信息系统安全保障评估框架 第4部分:工程保障(GB/T 20274.4-2008) 网上银行系统信息安全保障评估准则(GB/T 20983-2007) 网上证
29、券交易系统信息安全保障评估准则(GB/T 20987-2006) 智能卡嵌入式软件安全技术要求(EAL4增强级)(GB/T 20276-2006) 保护轮廓和安全目标的生产指南 (GB/T 20283-2006) 消息鉴别码 第1部分:采用分组密码的机制(GB/T 15852.1-2008) 信息技术安全性评估准则 第1部分:简介和一般模型(GB/T 18336.1-2008) 信息技术安全性评估准则 第2部分:安全功能要求(GB/T 18336.2-2008) 信息技术安全性评估准则 第3部分:安全保证要求(GB/T 18336.3-2008) 具有中央处理器的集成电路(IC)卡芯片安全技术
30、要求(评估保证级4增强)(GB/T 22186-2008) 信息安全事件分类分级(GB/T 20986-2007) 分组密码算法的工作模式(GB/T 17964-2008) 消息鉴别码 第1部分:采用分组密码的机制(GB/T 15852.1-2008) 抗抵赖 第1部分:概述(GB/T 17903.1-2008) 抗抵赖 第2部分:采用对称技术的机制(GB/T 17903.2-2008) 抗抵赖 第3部分:采用非对称技术的机制(GB/T 17903.3-2008) 基于互联网电子政务信息安全实施指南(GB/Z 24294-2009) 信息系统等级保护安全技术设计要求(GB/T 24856-20
31、09) 信息安全应急响应计划规范(GB/T 24363-2009) 术语(GB/T 24849-2009) 基于角色的访问控制模型与管理规范(GB/T 24848-2009) 证书认证系统密码及其相关安全技术规范(GB/T 24850-2009)本次测评依据的合同文件:某银行股份有限公司某市分行信息安全等级保护测评服务合同1.3测评过程等级测评过程可以分为四个活动:测评准备、方案编制、现场测评以及分析与报告编制,而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。具体流程如下图所示。等级测评项目启动信息收集与分析工具和表单准备测评对象确定测评指标确定测评工具接入点确定测试内容确定测评指导书开发测
32、评方案编制现场测评准备现场测评和结果记录结果确认和资料归还单项测评结果判定单元测评结果判定整体测评整体测评测评报告编制整体测评风险分析整体测评等级测评结论形成整体测评测评准备活动方案编制活动现场测评活动报告编制活动沟通与洽谈测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为顺利编制测评方案打下良好的基础。测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。具体工作内容如下表。阶段测评机构工作内容被测单位工作内容输入项输出项备注项目启动会项目启动会议组织开展项目启动会议/会议签到表单会议记录、填好的会议签到表:会议记录的内容包含:会议时间、地点、参加人员、会议内容
33、、会议达成的结果等。:会议签到表的内容包含:会议参加人员、时间、地点等。项目组组建根据行业和技术特点组建项目组/项目组成员表内容包括:项目组的成员名单,项目组组长,本项目组的职责、分工等。项目计划书编制编写项目计划书/委托测评协议书项目计划书内容包括:项目背景、目的、工作依据,主要的技术思路和工作内容,项目的组织结构和项目实施方案,项目质量管理和控制,项目风险管理,保密控制管理等。确定测评单位应提供的资料与被测单位协商并告知需要提供的相关文件,提供资料范围表单/被测单位应提供的资料的范围表单主要包括:被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全
34、总体方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。信息收集和分析资料收集收集相关资料提供测评单位告知的相关文件被测单位应提供的资料的范围表单收集到的被测系统的资料资料主要包括:测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。调查表内容调整根据被测单位具体情况,调整相关表单内容/收集到的被测系统的资料调整过的表格根据收集到的系统情况,调整调查表的内容。发放与回收表格发放和回收
35、发给被测单位相关人员的调查表格填写信息系统相关调查表格调整过的表格填写完毕的表格可以帮助被测系统填写调查表格。调查表格内容应包含被测系统的安全保护等级、业务情况、数据情况、软硬件情况、管理模式和相关部门及角色等。调查结果分析分析调查信息与现实的符合程度,如果不符合则协调相关人员进行现场调查/填写完毕的表格被测单位情况分析表内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评
36、报告中的可信结果。是否进行现场调查根据调查结果分析结果判断是否需要现场调查如需要调查,配合测评机构相关人员完成调查工作填写完毕的表格现场调查说明单根据表格填写的情况,如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,应安排现场调查。 若需要则出具调查单说明单,如果不需要,需说明理由。工具和表单准备调试测评工具根据信息系统的具体情况,选择合适的测评工具/各种与被测系统相关的技术资料选用的测评工具清单测评人员熟悉并调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。测评工具清单内容包括,工具的名称、编号、用途、使用人员、使用时间等。模拟被测系统
37、搭建测评环境搭建与被测单位尽可能相似的实验环境/收集的被测单位系统资料被测单位模拟测评环境说明单说明单中包含模拟环境需要使用的设备,场地,时间及其他相关事项。准备和打印表单准备和选取相关表单,制作项目过程中用到的特殊表单/准备打印的表单的电子版打印好的表单主要包括现场测评授权书、文档交接单、会议记录单、会议签到表单等。表单的内容包括现场测评授权、交接的文档名称、会议记录项目、会议签到项目、会议的时间、参与人员、会议内容等。方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料,为现场测评活动提供最基本的文档和指导方案。方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内
38、容确定、测评指导书开发及测评方案编制六项主要任务。阶段测评机构工作内容被测单位工作内容输入项输出项备注测评对象确定识别并描述被测系统的整体结构分析并描述信息系统的机构外联情况/填好的调查表格测评方案中的测评对象部分描述内容应包括被测系统的标识(名称),物理环境,网络拓扑结构和外部边界连接情况等,并给出网络拓扑图。识别并描述被测系统的边界了解信息系统边界的相关信息,如设备信息等/填好的调查表格测评方案中的测评对象部分描述内容应包括被测系统与其他网络进行外部连接的边界连接方式,如采用光纤、无线和专线等;描述各边界主要设备,如防火墙、路由器或服务器等。如果在被测系统边界连接处有共用设备,一般可以把该
39、设备划到等级较高的那个信息系统中。识别并描述被测系统的网络区域分析信息系统的各区域功能业务等情况,以及区域间的连接情况/填好的调查表格测评方案中的测评对象部分描述内容主要包括区域划分、每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。识别并描述被测系统的重要节点根据提供信息,找出各种类型设备的重要节点以及节点信息/填好的调查表格测评方案中的测评对象部分描述系统节点以区域为线索,具体描述各个区域内包括的计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)、网络硬件设备(包括交换机、路由器、各种适配器等)等,并说明各个节点之间的主要连接情况和节点上安装的应用
40、系统软件情况等。描述被测系统从外连、边界、区域及功能角度描述被测系统/填好的调查表格测评方案中的测评对象部分描述时先说明整体结构,然后描述外部边界连接情况和边界主要设备,最后介绍被测系统的网络区域组成、主要业务功能及相关的设备节点等。确定测评对象根据定级对象,找出测评对象/填好的调查表格测评方案中的测评对象部分分析各个作为定级对象的信息系统,包括信息系统的重要程度及其相关设备、组件,在此基础上,确定出各测评对象。描述测评对象针对各种类型的测评对象进行详细描述提供未被测评机构收集到的信息填好的调查表格测评方案中的测评对象部分描述测评对象时,针对每个定级对象分门别类加以描述,包括机房、业务应用软件
41、、主机操作系统、数据库管理系统、网络互联设备及其操作系统、安全设备及其操作系统、访谈人员及其安全管理文档等。在对每类测评对象进行描述时则一般采用列表的方式,包括测评对象所属区域、设备名称、用途、设备信息等内容。测评指标确定安全保护措施ASG组合情况确定根据业务信息和系统服务的等级情况确定ASG级别要求/填好的调查表格信息系统安全等级保护基本要求测评方案中的测评指标部分根据被测系统调查表格,得出被测系统的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施ASG组合情况。选择测评指标根据已经定出的ASG的级别选定测评指标/填好的调查表格信息系统安全等级保
42、护基本要求测评方案中的测评指标部分从GB/T 22239-2008 中选择相应等级的安全要求作为测评指标,包括对ASG三类安全要求的选择。描述每个定级对象描述每个定级对象的具体信息提供未被测评机构收集到的信息填好的调查表格信息系统安全等级保护基本要求测评方案中的测评指标部分描述的内容包括系统的定级结果、指标选择两部分。其中,指标选择以列表的形式给出。测试工具接入点确定确定需要进行工具测试的测评对象根据信息系统的具体情况,选择出那些对象需要工具测试/填好的调查表格测评方案的测评内容中关于测评工具接入点部分根据调查的被测系统的情况和分析结果,确定出需要进行工具测试的测评对象。测试路径选择由外到内的
43、原则选择测试路径/填好的调查表格测评方案的测评内容中关于测评工具接入点部分测试工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入。确定测试工具的接入点模拟各种网络环境,互联网、内网等情况连选择工具点,尽量覆盖所有情况提供未被测评机构收集到的信息填好的调查表格测评方案的测评内容中关于测评工具接入点部分结合网络拓扑图,采用图示的方式描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。测评内容确定识别每个测评对象对应的测评指标针对信息系统的定级情况确定每个测评对象的指标/填好的调查表格,测评方案测评方案的单元测评实施部分文档包含单元测评(现场测评)的实施内容。现场单元测评实施内容通常以表格的形式给出,表格包括测评对象、测评指标等内容。识别每个测评对象对应的每个测评指标的测评方法不同的测评对象和指标选择合适的方法/填好的调查表格,测评方案测评方案的单元测评实施部分现场单元测评实施内容通常以表格的形式给出,表格包括测评方法、测评实施描述、测评内容描述等内容。测评指导书开发描述单个测评对象给出单个测评对象的详细内容/测评方案测评指导书其内容包括测评对象的名称、IP地址、用途、管理人员等信息。确定测评活动明确测评操作步骤/测评方案的测试工具接入点、单元测
链接地址:https://www.31doc.com/p-1301611.html