(完整版)XXXX等級(jí)保護(hù)測(cè)評(píng)工作方案

1、廣州市XXXXXX2015-2016 年 XXXXXXXXXXXX 項(xiàng)目等級(jí)保護(hù)差距測(cè)評(píng)實(shí)施方案XXXXXXXXX 信息安全有限公司201X年X月4. 人員安排 19目 錄11. 項(xiàng)目概述 21.1. 項(xiàng)目背景 21.2. 項(xiàng)目目標(biāo) 31.3. 項(xiàng)目原則 31.4. 項(xiàng)目依據(jù) 42. 測(cè)評(píng)實(shí)施內(nèi)容 42.1. 測(cè)評(píng)分析 52.1.1. 測(cè)評(píng)范圍 52.1.2. 測(cè)評(píng)對(duì)象 52.1.3. 測(cè)評(píng)內(nèi)容 52.1.4. 測(cè)評(píng)對(duì)象 82.1.5. 測(cè)評(píng)指標(biāo) 92.2. 測(cè)評(píng)流程 102.2.1. 測(cè)評(píng)準(zhǔn)備階段 112.2.2. 方案編制階段 122.2.3. 現(xiàn)場(chǎng)測(cè)評(píng)階段 122.2.4. 分析與報(bào)告編

2、制階段142.3. 測(cè)評(píng)方法 142.3.1. 工具測(cè)試 142.3.2. 配置檢查 152.3.3. 人員訪談 152.3.4. 文檔審查 162.3.5. 實(shí)地查看 162.4. 測(cè)評(píng)工具 172.5. 輸出文檔 18錯(cuò)誤!未定義書(shū)簽。錯(cuò)誤!未定義書(shū)簽。錯(cuò)誤!未定義書(shū)簽。2.5.1. 等級(jí)保護(hù)測(cè)評(píng)差距報(bào)告2.5.2. 等級(jí)測(cè)評(píng)報(bào)告2.5.3. 安全整改建議4.1. 組織結(jié)構(gòu)及分工 194.2. 人員配置表204.3. 工作配合 215. 其他相關(guān)事項(xiàng)225.1. 風(fēng)險(xiǎn)規(guī)避 225.2. 項(xiàng)目信息管理245.2.1. 保密責(zé)任法律保證 245.2.2. 現(xiàn)場(chǎng)安全保密管理 245.2.3. 文

3、檔安全保密管理 255.2.4. 離場(chǎng)安全保密管理 255.2.5. 其他情況說(shuō)明 251. 項(xiàng)目概述1.1. 項(xiàng)目背景為了貫徹落實(shí)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)、關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)和信息安全等級(jí)保護(hù)管理辦法的精神，201就XXXXXXXXXXXXXXXXXXXe照國(guó)家信息安全技術(shù)信息 系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南、計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則、信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則的要求，對(duì)xxxxxxxxxxxxxxxXKXX；個(gè)信息系統(tǒng)進(jìn)行全面的信息安全測(cè)評(píng)與評(píng) 估工作，并且為xxxxxxxxxxxxxxxXXX®點(diǎn)咨詢、

4、實(shí)施等服務(wù)。（安全技術(shù)測(cè) 評(píng)包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面上的安全控制測(cè)評(píng)；安全管理測(cè)評(píng)包括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制測(cè)評(píng)），加大測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估力度，對(duì)信息系統(tǒng)的資產(chǎn)、威脅、弱點(diǎn)和風(fēng)險(xiǎn)等要素進(jìn)行全面評(píng)估，有效提升信心系統(tǒng)的安全防護(hù)能力，建立常態(tài)化的等級(jí)保護(hù)工作機(jī)制，深化信息安全等級(jí)保護(hù)工作，提高 xxxxxxxxxxxxxxxXXXXi信息系統(tǒng)的安全 保障與運(yùn)維能力。1.4.項(xiàng)目依據(jù)全面完成XXXXXXXXXXXXXXXXXXX；個(gè)信息系統(tǒng)的信息安全測(cè)評(píng)與評(píng)估工 作和協(xié)助整改工作，并且為XXXX

5、XXXXXXXXXXXJXXXXi點(diǎn)咨詢、實(shí)施等服務(wù)， 按照國(guó)家和 xxxxxxxxxxxxxxxXXXXI要求，對(duì) xxxxxxxxxxxxxxxXXXX& 架構(gòu)進(jìn)行業(yè)務(wù)影響分析及網(wǎng)絡(luò)安全管理工作進(jìn)行梳理，提高 xxxxxxxxxxxxxxxXXXXg絡(luò)的安全保障與運(yùn)維能力，減少信息安全風(fēng)險(xiǎn)和降 低信息安全事件發(fā)生的概率，全面提高網(wǎng)絡(luò)層面的安全性，構(gòu)建 xxxxxxxxxxxxxxxXXXXC統(tǒng)的整體信息安全架構(gòu)，確保全局信息系統(tǒng)高效穩(wěn) 定運(yùn)行，并滿足xxxxxxxxxxxxxxxXXXX勺基本要求，及時(shí)提供咨詢等月艮務(wù)。1.3. 項(xiàng)目原則項(xiàng)目的方案設(shè)計(jì)與實(shí)施應(yīng)滿足以下原則：符合性原

6、則：應(yīng)符合國(guó)家信息安全等級(jí)保護(hù)制度及相關(guān)法律法規(guī)，指出 防范的方針和保護(hù)的原則。標(biāo)準(zhǔn)性原則：方案設(shè)計(jì)、實(shí)施與信息安全體系的構(gòu)建應(yīng)依據(jù)國(guó)內(nèi)、國(guó)際 的相關(guān)標(biāo)準(zhǔn)進(jìn)行。規(guī)范性原則：項(xiàng)目實(shí)施應(yīng)由專業(yè)的等級(jí)測(cè)評(píng)師依照規(guī)范的操作流程進(jìn) 行，在實(shí)施之前將詳細(xì)量化出每項(xiàng)測(cè)評(píng)內(nèi)容，對(duì)操作過(guò)程和結(jié)果提供規(guī)范的記 錄，以便于項(xiàng)目的跟蹤和控制?？煽匦栽瓌t：項(xiàng)目實(shí)施的方法和過(guò)程要在雙方認(rèn)可的范圍之內(nèi)，實(shí)施進(jìn) 度要按照進(jìn)度表進(jìn)度的安排，保證項(xiàng)目實(shí)施的可控性。整體性原則：安全體系設(shè)計(jì)的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及 的各個(gè)層面，避免由于遺漏造成未來(lái)的安全隱患。最小影響原則：項(xiàng)目實(shí)施工作應(yīng)盡可能小的影響網(wǎng)絡(luò)和信息系統(tǒng)的正

7、常 運(yùn)行，不能對(duì)信息系統(tǒng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響。保密原則：對(duì)項(xiàng)目實(shí)施過(guò)程獲得的數(shù)據(jù)和結(jié)果嚴(yán)格保密，未經(jīng)授權(quán)不得 泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)和結(jié)果進(jìn)行任何侵害測(cè)評(píng)委托單位利 益的行為。信息系統(tǒng)等級(jí)測(cè)評(píng)依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息系統(tǒng) 安全等級(jí)保護(hù)測(cè)評(píng)要求，在對(duì)信息系統(tǒng)進(jìn)行安全技術(shù)和安全管理的安全控制 測(cè)評(píng)及系統(tǒng)整體測(cè)評(píng)結(jié)果基礎(chǔ)上，針對(duì)相應(yīng)等級(jí)的信息系統(tǒng)遵循的標(biāo)準(zhǔn)進(jìn)行綜 合系統(tǒng)測(cè)評(píng)，提出相應(yīng)的系統(tǒng)安全整改建議。主要參考標(biāo)準(zhǔn)如下：計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則-GB17859-1999信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求

8、信息安全等級(jí)保護(hù)管理辦法信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南( GB/T 222402008)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求( GB/T 222392008)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB17859-1999信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006)信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T20270-2006)信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求(GB/T20272-2006)信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求(GB/T20273-2006)信息安全技術(shù)服務(wù)器技術(shù)要求(GB/T21028-2007)信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求(

9、GA/T671-2006)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范(GB/T 20984-2007)2.測(cè)評(píng)實(shí)施內(nèi)容第4頁(yè)共24頁(yè)2.1.測(cè)評(píng)分析2.1.1. 測(cè)評(píng)范圍本項(xiàng)目范圍為對(duì)xxxxxxxxxxxxxxx)0X激信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)。2.1.2. 測(cè)評(píng)對(duì)象本次測(cè)評(píng)對(duì)象為xxxxxxxxxxxxxxxXXXX(統(tǒng)，具體如下:在舁 廳P信息系統(tǒng)名稱級(jí)別1xxxxxxxxX息系統(tǒng)三級(jí)2xxxxxxxxX息系統(tǒng)三級(jí)3xxxxxxxxX息系統(tǒng)三級(jí)4xxxxxxxxX息系統(tǒng)三級(jí)5xxxxxxxxX息系統(tǒng)二級(jí)6xxxxxxxxX息系統(tǒng)二級(jí)2.1.3. 測(cè)評(píng)架構(gòu)圖本次測(cè)評(píng)結(jié)合x(chóng)xxxxxxxxxxxxxxxXXX勺信息

10、管理特點(diǎn)，進(jìn)行不同層次的 測(cè)評(píng)工作，如下表所示：安至管理層次安生技術(shù)人員安全管理等保二皺要求泰蛻建設(shè)管理等保二皴要求系統(tǒng)運(yùn)維堂瑁等保二級(jí)要求安全管理機(jī)梅2.1.4.測(cè)評(píng)內(nèi)容第5頁(yè)共24頁(yè)本項(xiàng)目主要分為兩步開(kāi)展實(shí)施。第一步，對(duì) XXXXXXXXXXXXXXXXXXX® 息系統(tǒng)進(jìn)行定級(jí)和備案工作。第二步，對(duì) XXXXXXXXXXXXXXXXXXXS級(jí)備案 的系統(tǒng)進(jìn)行十個(gè)安全層面的等級(jí)保護(hù)安全測(cè)評(píng)（物理安全、網(wǎng)絡(luò)安全、主機(jī)安 全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安 全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理）。其中安全測(cè)評(píng)分為差距測(cè)評(píng)和驗(yàn)收測(cè)評(píng)。差距測(cè)評(píng)主要針對(duì) XX

11、XXXXXXXXXXXXXXXX備案系統(tǒng)執(zhí)行國(guó)家標(biāo)準(zhǔn)的安全測(cè)評(píng)，差距測(cè)評(píng)交付 差距測(cè)評(píng)報(bào)告以及差距測(cè)評(píng)整改方案；差距整改完畢后協(xié)助完成系統(tǒng)配置方面 的整改。最后進(jìn)行驗(yàn)收測(cè)評(píng)，驗(yàn)收測(cè)評(píng)將按照國(guó)家標(biāo)準(zhǔn)和國(guó)家公安承認(rèn)的測(cè)評(píng) 要求、測(cè)評(píng)過(guò)程、測(cè)評(píng)報(bào)告，協(xié)助對(duì) XXXXXXXXXXXXXXXXXX備案的系統(tǒng)執(zhí) 行系統(tǒng)安全驗(yàn)收測(cè)評(píng)，驗(yàn)收測(cè)評(píng)交付具有國(guó)家承認(rèn)的驗(yàn)收測(cè)評(píng)報(bào)告。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)包括兩個(gè)方面的內(nèi)容：一是安全控制測(cè)評(píng)，主 要測(cè)評(píng)信息安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況； 二是系統(tǒng)整體測(cè)評(píng)，主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性。其中，安全控制測(cè) 評(píng)是信息系統(tǒng)整體安全測(cè)評(píng)的基礎(chǔ)。

12、安全控制測(cè)評(píng)使用測(cè)評(píng)單元方式組織，分為安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng) 兩大類(lèi)。安全技術(shù)測(cè)評(píng)包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全 和數(shù)據(jù)安全五個(gè)層面上的安全控制測(cè)評(píng)；安全管理測(cè)評(píng)包括：安全管理機(jī)構(gòu)、 安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面的安全 控制測(cè)評(píng)。具體見(jiàn)下圖：第26頁(yè)共24頁(yè)解息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)安全控禍測(cè)評(píng)系統(tǒng)整體測(cè)評(píng)安全管理測(cè)評(píng)安全管理機(jī)曲 安全管理制度人員安全管理 系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)嫡管理安全控制間層面間區(qū)域間整體結(jié)構(gòu)安全不同信息系統(tǒng)同整體安全性整體架構(gòu)/局部架構(gòu)系統(tǒng)整體測(cè)評(píng)涉及到信息系統(tǒng)的整體拓?fù)?、局部結(jié)構(gòu)，也關(guān)系到信息系統(tǒng) 的具體安全功能實(shí)現(xiàn)和安全

13、控制配置，與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān)。 在安全控制測(cè)評(píng)的基礎(chǔ)上，重點(diǎn)考慮安全控制問(wèn)、層面間以及區(qū)域間的相互關(guān) 聯(lián)關(guān)系，分析評(píng)估安全控制間、層面間和區(qū)域間是否存在安全功能上的增強(qiáng)、 補(bǔ)充和削弱作用以及信息系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全 性。系統(tǒng)和系統(tǒng)間區(qū)域間層面間間制 全制 控 安控主機(jī)系統(tǒng)與 運(yùn)維管理間物理與 網(wǎng)絡(luò)間應(yīng)用與 人員安全間統(tǒng)維理系運(yùn)管員全理人安管機(jī)統(tǒng)全主系安網(wǎng)絡(luò)安全物理安全應(yīng)急預(yù)案管理安全事件處置設(shè)備管理教育和培訓(xùn)人員離崗自主訪問(wèn)控制身份鑒別網(wǎng)絡(luò)入侵防范網(wǎng)絡(luò)訪問(wèn)控制防盜竊物理訪問(wèn)控制綜合測(cè)評(píng)總結(jié)將在安全控制測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)兩個(gè)方面的內(nèi)容基礎(chǔ)上進(jìn) 行，由此而獲得

14、信息系統(tǒng)對(duì)應(yīng)安全等級(jí)保護(hù)級(jí)別的符合性結(jié)論。2.1.5. 測(cè)評(píng)對(duì)象依照信息安全等級(jí)保護(hù)的要求、參考業(yè)界權(quán)威的安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)與模 型，同時(shí)結(jié)合本公司多年的安全風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)與實(shí)踐，從信息系統(tǒng)的核心資產(chǎn) 出發(fā)，以威脅和弱點(diǎn)為導(dǎo)向，對(duì)比信息安全等級(jí)保護(hù)的具體要求，全方面對(duì)信 息系統(tǒng)進(jìn)行全面評(píng)估。測(cè)評(píng)對(duì)象種類(lèi)主要考慮以下幾個(gè)方面：1 .整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；2 .機(jī)房環(huán)境、配套設(shè)施；3 .網(wǎng)絡(luò)設(shè)備：包括路由器、核心交換機(jī)、匯聚層交換機(jī)等；4 .安全設(shè)備：包括防火墻、IDS/IPS、防病毒網(wǎng)關(guān)等；5 .主機(jī)系統(tǒng)（包括操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)）；6 .業(yè)務(wù)應(yīng)用系統(tǒng)；7 .重要管理終端（針對(duì)三級(jí)以上系統(tǒng)）；8 .安全

15、管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)管理員；9 .涉及到系統(tǒng)安全的所有管理制度和記錄。根據(jù)信息系統(tǒng)的測(cè)評(píng)強(qiáng)度要求，在執(zhí)行具體的核查方法時(shí)，在廣度上要做 到從測(cè)評(píng)范圍中抽取充分的測(cè)評(píng)對(duì)象種類(lèi)和數(shù)量；在執(zhí)行具體的檢測(cè)方法，在 深度上要做到對(duì)功能等各方面的測(cè)試。2.1.6. 測(cè)評(píng)指標(biāo)對(duì)于二級(jí)系統(tǒng)，如業(yè)務(wù)信息安全等級(jí)為 S2,系統(tǒng)服務(wù)安全等級(jí)為A2,則該 系統(tǒng)的測(cè)評(píng)指標(biāo)應(yīng)包括GB/T 22239-2008信息系統(tǒng)安全保護(hù)等級(jí)基本要求中 “技術(shù)要求”部分的2級(jí)通用指標(biāo)類(lèi)（G2 , 2級(jí)業(yè)務(wù)信息安全指標(biāo)類(lèi)（S2） , 2 級(jí)系統(tǒng)服務(wù)安全指標(biāo)類(lèi)（A2）,以及第2級(jí)“管理要求”部分中的所有指標(biāo)類(lèi)， 等級(jí)保護(hù)測(cè)

16、評(píng)指標(biāo)情況具體如下表所示：測(cè)評(píng)指標(biāo)（二級(jí)）技術(shù)/管理層:向類(lèi)數(shù)量S類(lèi)（2級(jí)）A類(lèi)（2級(jí)）談（2級(jí)）小計(jì)安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1056主機(jī)安全2136應(yīng)用安全4217數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理0099系統(tǒng)運(yùn)維管理001212合計(jì)66 （類(lèi)）對(duì)于三級(jí)系統(tǒng)，如業(yè)務(wù)信息安全等級(jí)為 S3,系統(tǒng)服務(wù)安全等級(jí)為A3,則該 系統(tǒng)的測(cè)評(píng)指標(biāo)應(yīng)包括GB/T 22239-2008信息系統(tǒng)安全保護(hù)等級(jí)基本要求中 “技術(shù)要求”部分的3級(jí)通用指標(biāo)類(lèi)（G3» , 3級(jí)業(yè)務(wù)信息安全指標(biāo)類(lèi)（S3） , 3 級(jí)系統(tǒng)服務(wù)安全指標(biāo)類(lèi)（A3）,

17、以及第3級(jí)“管理要求”部分中的所有指標(biāo)類(lèi)， 等級(jí)保護(hù)測(cè)評(píng)指標(biāo)情況具體如下表所示：測(cè)評(píng)指標(biāo)（三級(jí)）技術(shù)/管理層面類(lèi)數(shù)量S類(lèi)（3級(jí)）A類(lèi)（3級(jí)）G類(lèi)（3級(jí)）小計(jì)安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1067主機(jī)安全3137應(yīng)用安全5229數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理001111系統(tǒng)運(yùn)維管理001313合計(jì)73 （類(lèi)）2.2.測(cè)評(píng)流程等級(jí)保護(hù)測(cè)評(píng)實(shí)施過(guò)程包括以下四個(gè)階段:I1物理安全人員訪談 文檔審查 實(shí)地察看方 式物理基礎(chǔ)設(shè) 施對(duì)象網(wǎng)絡(luò)安全人員訪談 配置檢查 工具測(cè)試方 式互聯(lián)設(shè)備 安全設(shè)備 網(wǎng)絡(luò)拓?fù)鋵?duì)象主機(jī)安全人員訪談 配置檢查 工

18、具測(cè)試方 式操作系統(tǒng) 數(shù)據(jù)庫(kù)系 統(tǒng)對(duì)象應(yīng)用安全人員訪談 配置檢查 工具測(cè)試方 式應(yīng)用系統(tǒng)對(duì)象數(shù)據(jù)安全人員訪談 配置檢查方 式管理數(shù)據(jù) 業(yè)務(wù)數(shù)據(jù)對(duì)象安全管理制度人員訪談 文檔審查 實(shí)地察看方 式安全管理機(jī)構(gòu)人員訪談 文檔審查方 式人員安全管理人員訪談 文檔審查方 式系統(tǒng)建設(shè)管理人員訪談 文檔審查方 式系統(tǒng)運(yùn)維管理人員訪談 文檔審查方 式黑黑|山翼| |整體測(cè)評(píng)| |風(fēng)險(xiǎn)分析| | 三 | I 1 ! 結(jié)果分析結(jié)果判定結(jié)論形成編制分析與報(bào)告編制階段2.2.1. 測(cè)評(píng)準(zhǔn)備階段測(cè)評(píng)項(xiàng)目組組建：明確項(xiàng)目經(jīng)理、測(cè)評(píng)人員及職責(zé)分工項(xiàng)目計(jì)劃書(shū)編制：項(xiàng)目計(jì)劃書(shū)包含項(xiàng)目概述、工作依據(jù)、技術(shù)思路、 工作內(nèi)容和項(xiàng)目組

19、織等。信息系統(tǒng)調(diào)研：通過(guò)查閱被測(cè)系統(tǒng)已有資料或使用調(diào)查表格的方式， 了解整個(gè)系統(tǒng)的構(gòu)成和保護(hù)情況，明確被測(cè)系統(tǒng)的范圍（特別是信息 系統(tǒng)的邊界），了解被測(cè)系統(tǒng)的詳細(xì)構(gòu)成，包括網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)應(yīng) 用、業(yè)務(wù)流程、設(shè)備信息（服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、 數(shù)據(jù)庫(kù)等）、管理制度等。工具和表單準(zhǔn)備：根據(jù)被測(cè)系統(tǒng)的實(shí)際情況，準(zhǔn)備測(cè)評(píng)工具和各類(lèi)測(cè) 評(píng)表單。2.2.2. 方案編制階段測(cè)評(píng)對(duì)象確定：根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)信息，分析整個(gè)被測(cè)系統(tǒng) 及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測(cè)評(píng)的測(cè)評(píng)對(duì)象。測(cè)評(píng)指標(biāo)確定：根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)定級(jí)結(jié)果，確定出本次測(cè) 評(píng)的測(cè)評(píng)指標(biāo)。測(cè)評(píng)工具接入點(diǎn)確定：確定需要進(jìn)行工具測(cè)試

20、的測(cè)評(píng)對(duì)象，選擇測(cè)試 路徑，根據(jù)測(cè)試路徑確定測(cè)試工具的接入點(diǎn)。測(cè)評(píng)內(nèi)容確定：確定現(xiàn)場(chǎng)測(cè)評(píng)的具體實(shí)施內(nèi)容，即單元測(cè)評(píng)內(nèi)容。測(cè)評(píng)實(shí)施手冊(cè)開(kāi)發(fā)：編制測(cè)評(píng)實(shí)施手冊(cè)，詳細(xì)描述現(xiàn)場(chǎng)測(cè)評(píng)的工具、 方法和操作步驟等，具體指導(dǎo)測(cè)評(píng)人員如何進(jìn)行測(cè)評(píng)活動(dòng)。2.2.3. 現(xiàn)場(chǎng)測(cè)評(píng)階段現(xiàn)場(chǎng)測(cè)評(píng)實(shí)際上就是單項(xiàng)測(cè)評(píng)，分別從技術(shù)上的物理安全、網(wǎng)絡(luò)安全、主 機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面和管理上的安全管理機(jī)構(gòu)、安全管 理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面分別進(jìn)行。物理安全：通過(guò)人員訪談、文檔審查和實(shí)地察看的方式測(cè)評(píng)信息系統(tǒng) 的物理安全保障情況。主要涉及對(duì)象為物理基礎(chǔ)設(shè)施。在內(nèi)容上，物 理安全層面測(cè)評(píng)

21、實(shí)施過(guò)程涉及 10個(gè)測(cè)評(píng)單元，包括：物理位置的選 擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、 防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。網(wǎng)絡(luò)安全：通過(guò)訪人員訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系統(tǒng)的網(wǎng)絡(luò)安全保障情況。主要涉及對(duì)象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè) 備和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在內(nèi)容上，網(wǎng)絡(luò)安全層面測(cè)評(píng)實(shí)施過(guò)程涉及7個(gè)測(cè)評(píng)單元，包括：結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、邊界完整性檢 查、入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)、惡意代碼防范（針對(duì)三級(jí)系統(tǒng)）。主機(jī)安全：通過(guò)人員訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系統(tǒng) 的主機(jī)安全保障情況。主要涉及對(duì)象為各類(lèi)服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)。在內(nèi)容上，主機(jī)

22、系統(tǒng)安全層面測(cè)評(píng)實(shí)施過(guò)程涉及7個(gè)測(cè)評(píng)單元，包括：身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代 碼防范、資源控制、剩余信息保護(hù)（針對(duì)三級(jí)系統(tǒng)）。應(yīng)用安全：通過(guò)人員訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系統(tǒng) 的應(yīng)用安全保障情況，主要涉及對(duì)象為各類(lèi)應(yīng)用系統(tǒng)。在內(nèi)容上，應(yīng)用安全層面測(cè)評(píng)實(shí)施過(guò)程涉及 9個(gè)測(cè)評(píng)單元，包括：身份鑒別、訪問(wèn) 控制、安全審計(jì)、通信完整性、通信保密性、軟件容錯(cuò)、資源控制、 剩余信息保護(hù)（針對(duì)三級(jí)系統(tǒng)）、抗抵賴（針對(duì)三級(jí)系統(tǒng)）。數(shù)據(jù)安全：通過(guò)人員訪談、配置檢查的方式測(cè)評(píng)信息系統(tǒng)的數(shù)據(jù)安全 保障情況，主要涉及對(duì)象為信息系統(tǒng)的管理數(shù)據(jù)及業(yè)務(wù)數(shù)據(jù)等。在內(nèi) 容上，數(shù)據(jù)安全層面測(cè)評(píng)實(shí)施過(guò)程

23、涉及3個(gè)測(cè)評(píng)單元，包括：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)。安全管理制度：通過(guò)人員訪談、文檔審查和實(shí)地察看的方式測(cè)評(píng)信息 系統(tǒng)的安全管理制度情況。在內(nèi)容上，安全管理制度方面測(cè)評(píng)實(shí)施過(guò) 程涉及3個(gè)測(cè)評(píng)單元，包括：管理制度、制定和發(fā)布、評(píng)審和修訂。安全管理機(jī)構(gòu)：通過(guò)人員訪談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的安全管理機(jī)構(gòu)情況。在內(nèi)容上，安全管理機(jī)構(gòu)方面測(cè)評(píng)實(shí)施過(guò)程涉及5個(gè)測(cè)評(píng)單元，包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、 審核和檢查。人員安全管理：通過(guò)人員訪談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的人員安全管理情況。在內(nèi)容上，人員安全管理方面測(cè)評(píng)實(shí)施過(guò)程涉及5個(gè)測(cè)評(píng)單元，包括：人員錄用、人員離崗、人員考

24、核、安全意識(shí)教育和 培訓(xùn)、外部人員訪問(wèn)管理。系統(tǒng)建設(shè)管理：通過(guò)人員訪談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的系統(tǒng)建設(shè)管理情況。在內(nèi)容上，系統(tǒng)建設(shè)管理方面測(cè)評(píng)實(shí)施過(guò)程涉及11個(gè)測(cè)評(píng)單元，包括：系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行 軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、安全服 務(wù)商選擇、系統(tǒng)備案（針對(duì)三級(jí)系統(tǒng)）、系統(tǒng)測(cè)評(píng)（針對(duì)三級(jí)系統(tǒng)）。系統(tǒng)運(yùn)維管理：通過(guò)人員訪談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的系統(tǒng)運(yùn)維管理情況。在內(nèi)容上，系統(tǒng)運(yùn)維管理方面測(cè)評(píng)實(shí)施過(guò)程涉及13個(gè)測(cè)評(píng)單元，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò) 安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備

25、份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、監(jiān)控管理和安 全管理中心（針對(duì)三級(jí)系統(tǒng)）。2.2.4. 分析與報(bào)告編制階段單項(xiàng)測(cè)評(píng)結(jié)果分析：針對(duì)測(cè)評(píng)指標(biāo)中的單個(gè)測(cè)評(píng)項(xiàng)，結(jié)合具體測(cè)評(píng)對(duì) 象，客觀、準(zhǔn)確地分析測(cè)評(píng)證據(jù)。單元測(cè)評(píng)結(jié)果判定：將單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行匯總，分別統(tǒng)計(jì)不同測(cè)評(píng)對(duì) 象的單項(xiàng)測(cè)評(píng)結(jié)果，從而判定單元測(cè)評(píng)結(jié)果，并以表格的形式逐一列 出。整體測(cè)評(píng)：針對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的不符合項(xiàng)，采取逐條判定的方法，從 安全控制問(wèn)、層面間和區(qū)域間出發(fā)考慮，給出整體測(cè)評(píng)的具體結(jié)果， 并對(duì)系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測(cè)評(píng)。風(fēng)險(xiǎn)分析：據(jù)等級(jí)保護(hù)的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險(xiǎn)分析的方法分析 等級(jí)測(cè)評(píng)結(jié)果中存在的安全問(wèn)題可能對(duì)被測(cè)系統(tǒng)安全造

26、成的影響。等級(jí)測(cè)評(píng)結(jié)論形成：在測(cè)評(píng)結(jié)果匯總的基礎(chǔ)上，找出系統(tǒng)保護(hù)現(xiàn)狀與 等級(jí)保護(hù)基本要求之間的差距，并形成等級(jí)測(cè)評(píng)結(jié)論。測(cè)評(píng)報(bào)告編制：根據(jù)等級(jí)測(cè)評(píng)結(jié)論，編制測(cè)評(píng)報(bào)告，包括概述、被測(cè) 系統(tǒng)描述、測(cè)評(píng)對(duì)象說(shuō)明、測(cè)評(píng)指標(biāo)說(shuō)明、測(cè)評(píng)內(nèi)容和方法說(shuō)明、單 元測(cè)評(píng)、整體測(cè)評(píng)、測(cè)評(píng)結(jié)果匯總、風(fēng)險(xiǎn)分析和評(píng)價(jià)、等級(jí)測(cè)評(píng)結(jié) 論、整改建議等。2.3.測(cè)評(píng)方法在等級(jí)保護(hù)測(cè)評(píng)過(guò)程目中，將采用以下測(cè)評(píng)方法：2.3.1.工具測(cè)試?yán)眉夹g(shù)工具（漏洞掃描工具、滲透測(cè)試工具、壓力測(cè)試工具等）對(duì)系統(tǒng)進(jìn) 行測(cè)試，包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)的漏洞掃描、滲透測(cè)試等。測(cè)評(píng)方法工具測(cè)試簡(jiǎn)要描述利用技術(shù)工具，從網(wǎng)絡(luò)的不同接入點(diǎn)對(duì)網(wǎng)絡(luò)內(nèi)的主機(jī)

27、、服務(wù)器、數(shù) 據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行脆弱性檢查和分析達(dá)成目標(biāo)發(fā)掘系統(tǒng)的安全漏洞工作條件1-2人工作環(huán)境，電源和網(wǎng)絡(luò)接入環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配 合工作結(jié)果工具測(cè)試結(jié)果記錄2.3.2.配置檢查利用上機(jī)驗(yàn)證的方式檢查主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、 應(yīng)用系統(tǒng)的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對(duì)文檔審 核的內(nèi)容進(jìn)行核實(shí)（包括日志審計(jì)等），測(cè)評(píng)其實(shí)施的正確性和有效性，檢查 配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)則的一致性，從而測(cè)試系統(tǒng)是否達(dá)到可用性和 可靠性的要求。測(cè)評(píng)方法配置檢查簡(jiǎn)要描述通過(guò)登陸系統(tǒng)控制臺(tái)的方式，人工核查和分析主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)

28、用系統(tǒng)的安全配置情況達(dá)成目標(biāo)發(fā)現(xiàn)配置的安全隱患工作條件1-2人工作環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工作結(jié)果配置檢查結(jié)果記錄2.3.3.人員訪談與被測(cè)系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證 據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級(jí)信息系統(tǒng)在測(cè)評(píng)時(shí)有不同的要 求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類(lèi)型，在數(shù)量上可以抽樣。測(cè)評(píng)方法人員訪談簡(jiǎn)要描述通過(guò)交流、討論的方式，對(duì)技術(shù)和管理方面進(jìn)行脆弱性檢查和分析達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問(wèn)題工作條件1-2人工作環(huán)境，甲方人員配合工作結(jié)果人員訪談結(jié)果記錄2.3.4.文檔審查檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄等文檔（包括安全方針

29、文 件、安全管理制度、安全管理的執(zhí)行過(guò)程文檔、系統(tǒng)設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備的技 術(shù)資料、系統(tǒng)和產(chǎn)品的實(shí)際配置說(shuō)明、系統(tǒng)的各種運(yùn)行記錄文檔、機(jī)房建設(shè)相 關(guān)資料、機(jī)房出入記錄等過(guò)程記錄文檔）的完整性，以及這些文件之間的內(nèi)部致性。測(cè)評(píng)方法文檔審查簡(jiǎn)要描述通過(guò)文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行情況 記錄的完整性和內(nèi)部一致性達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問(wèn)題工作條件1-2人工作環(huán)境，甲方人員、各類(lèi)文檔資料配合工作結(jié)果文檔審查結(jié)果記錄2.3.5.實(shí)地查看通過(guò)實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意 識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測(cè)評(píng)其是否達(dá)到 了相

30、應(yīng)等級(jí)的安全要求。項(xiàng)目名稱實(shí)地查看簡(jiǎn)要描述通過(guò)現(xiàn)場(chǎng)查看人員行為、技術(shù)設(shè)施和物理環(huán)境狀況，檢查人員的安 全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況。達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問(wèn)題工作條件1-2人工作環(huán)境，甲方人員配合工作結(jié)果實(shí)地查看結(jié)果記錄2.4.測(cè)評(píng)工具我們?cè)诘燃?jí)保護(hù)測(cè)評(píng)過(guò)程中使用的測(cè)評(píng)工具嚴(yán)格遵循可控性原則，即所有 使用的測(cè)評(píng)工具將事先提交給甲方檢查確認(rèn)，確保在雙方認(rèn)可的范圍之內(nèi)，而 且測(cè)評(píng)過(guò)程中采用的技術(shù)手段確保已經(jīng)過(guò)可靠的實(shí)際應(yīng)用。在本項(xiàng)目中，將采用以下測(cè)評(píng)工具:工具類(lèi)別工具名稱工具介紹漏洞掃描工具綠盟極光遠(yuǎn)程安全評(píng)估系統(tǒng)綠盟公司出品的商業(yè)漏洞掃描系統(tǒng)Wetfi

31、用掃描，具IBM APPScan舊M公司出品的商業(yè) Web應(yīng)用安全掃描系統(tǒng)WVS(Web VulnerabilityScanner)一個(gè)自動(dòng)化的 WetS用程序安全測(cè)試工 具，它口以掃描任何口通過(guò)WebM覽器 訪問(wèn)的和遵循HTTP/HIIP覦則的We位占工具類(lèi)別工具名稱工具介紹點(diǎn)和WetS用程序2.5.輸出文檔本項(xiàng)目輸出的主要輸出文檔為等級(jí)保護(hù)測(cè)評(píng)實(shí)施方案（資產(chǎn)收集、測(cè)評(píng)表）等級(jí)保護(hù)測(cè)評(píng)差距分析報(bào)告等級(jí)保護(hù)測(cè)評(píng)安全整改方案等級(jí)保護(hù)測(cè)評(píng)安全整改報(bào)告3.時(shí)間安排序號(hào)任務(wù)名 稱工作內(nèi)容開(kāi)始時(shí)間完成時(shí)間階段完成標(biāo)志主要負(fù) 責(zé)人配合人員1項(xiàng)目準(zhǔn)備階段編制實(shí)施方 案2015/7/8實(shí)施方案2編制資產(chǎn)收 集

32、2015/7/92015/7/15資產(chǎn)收集表3編制測(cè)評(píng)表測(cè)評(píng)表4前期調(diào)研資產(chǎn)收集2015/7/162015/7/17完成資產(chǎn)收集表5差距測(cè)評(píng)技術(shù)和管理 單項(xiàng)測(cè)評(píng)2015/7/202015/8/21完成信息 系統(tǒng)測(cè)評(píng)表6差距測(cè) 評(píng)報(bào)告 編制單元測(cè)評(píng)、 整體測(cè)評(píng)、 風(fēng)險(xiǎn)分析、報(bào)告編制2015/8/242015/8/28差距測(cè)評(píng)報(bào) 告7安全整改建議對(duì)部分風(fēng)行較高的不符合項(xiàng)給 出整改報(bào)告2015/8/312015/9/4整改方案8安全加 固與檢對(duì)整改部分 內(nèi)容進(jìn)行復(fù)2015/9/72015/9/25整改報(bào)告查檢9等級(jí)保 護(hù)驗(yàn)收 測(cè)評(píng)協(xié)助中心通過(guò)第三方測(cè)評(píng)2015/9/282015/11/31獲得測(cè)評(píng)證

33、書(shū)4.人員安排4.1. 組織結(jié)構(gòu)4.2. 項(xiàng)目工作分工為確保測(cè)評(píng)工作的順利進(jìn)行,XXXXXXXXXXXXXXXXX以XXXXXXXXXXXXXXXX槐安全有限公司協(xié)商組建項(xiàng)目組，并對(duì)項(xiàng)目組織機(jī)構(gòu) 進(jìn)行如下規(guī)劃：XXXXXXXXXXXXXXXXXXX名稱職 責(zé)項(xiàng)目負(fù)責(zé)項(xiàng)目總體廷人，廷協(xié)調(diào) XXXXXXXXXXXXXXXXXXX®目資源，人解決項(xiàng)目中需要XXXXXXXXXXXXXXXXXXX勺問(wèn)題，監(jiān)督項(xiàng)目整體質(zhì)量、推進(jìn)項(xiàng)目整體進(jìn)度XXXXXXXXXXXXXXXXXXXe 全有限公司:名稱職 責(zé)項(xiàng)目負(fù)責(zé)人項(xiàng)目總體負(fù)責(zé)人，負(fù)責(zé)組織等級(jí)保護(hù)測(cè)評(píng)和評(píng)估實(shí)施隊(duì)伍，做好 整體日常資源管理、分配與協(xié)

34、調(diào)工作，并直接控制整體項(xiàng)目管理的各個(gè)要素，具體包括：項(xiàng)目方案設(shè)計(jì)項(xiàng)目計(jì)劃與組織項(xiàng)目協(xié)調(diào)與溝通（含召集項(xiàng)目周例會(huì)） 項(xiàng)目進(jìn)度管理（含編寫(xiě)項(xiàng)目周報(bào)） 項(xiàng)目質(zhì)量控制項(xiàng)目技術(shù)人員項(xiàng)目技術(shù)人員，包括項(xiàng)目分組組長(zhǎng)和實(shí)施人員，在項(xiàng)目經(jīng)理的帶 領(lǐng)、分工和控制下，負(fù)責(zé)按照項(xiàng)目技術(shù)方案和項(xiàng)目計(jì)劃實(shí)施測(cè)評(píng) 和評(píng)估工作，需要提交：每天工作日?qǐng)?bào)單項(xiàng)測(cè)評(píng)結(jié)果記錄單項(xiàng)安全整改建議4.3.人員配置表名稱職 責(zé)人員項(xiàng)目負(fù)責(zé)人項(xiàng)目總體負(fù)責(zé)人，負(fù)責(zé)組織等級(jí)保護(hù)測(cè)評(píng)和評(píng) 估實(shí)施隊(duì)伍，做好整體日常資源管理、分配與 協(xié)調(diào)工作，并直接控制整體項(xiàng)目管理的各個(gè)要素，具體包括：項(xiàng)目方案設(shè)計(jì)項(xiàng)目計(jì)劃與組織項(xiàng)目協(xié)調(diào)與溝通（含召集項(xiàng)目周例會(huì)） 項(xiàng)目進(jìn)

35、度管理（含編寫(xiě)項(xiàng)目周報(bào)） 項(xiàng)目質(zhì)量控制項(xiàng)目技術(shù)人員負(fù)責(zé)按照項(xiàng)目技術(shù)方案和項(xiàng)目計(jì)劃實(shí)施測(cè)評(píng) 工作，需要提交：每天工作日?qǐng)?bào)單項(xiàng)測(cè)評(píng)結(jié)果記錄單項(xiàng)安全整改建議4.4.工作配合為保證本項(xiàng)目的順利實(shí)施，對(duì)現(xiàn)場(chǎng)測(cè)評(píng)階段的各項(xiàng)工作點(diǎn)提出雙方工作配八.口.在舁 廳P工作點(diǎn)甲方配合乙方配合1現(xiàn)場(chǎng)工具 測(cè)評(píng)1、人員要求系統(tǒng)管理員* 前期提供系統(tǒng)軟硬件配置，相關(guān) 系統(tǒng)檢收文檔。* 現(xiàn)場(chǎng)登錄設(shè)備運(yùn)行檢查腳本工具* 登錄設(shè)備查看安全配置2、環(huán)境要求*提供可以訪問(wèn)網(wǎng)絡(luò)設(shè)備及測(cè)評(píng)系 統(tǒng)的2個(gè)IP地址*關(guān)閉測(cè)評(píng)IP與系統(tǒng)之間的防火 墻。1、準(zhǔn)備測(cè)評(píng)工具及接入方案2、測(cè)評(píng)技術(shù)人員2現(xiàn)場(chǎng)配置 檢查1、人員要求網(wǎng)絡(luò)管理員* 前期提供

36、網(wǎng)絡(luò)拓樸圖。* 登錄網(wǎng)絡(luò)設(shè)備，配合測(cè)評(píng)人員檢 查設(shè)備配置。系統(tǒng)管理員*登錄網(wǎng)絡(luò)設(shè)備，配合測(cè)評(píng)人員檢 查設(shè)備配置。2、環(huán)境要求可登錄系統(tǒng)及網(wǎng)絡(luò)設(shè)備1、準(zhǔn)備配合檢查 力殺2、測(cè)評(píng)技術(shù)人員3人員訪談1、訪談對(duì)象要求 信息部管理人員* 配合調(diào)查表的訪談系統(tǒng)開(kāi)發(fā)&管理人員* 配合測(cè)評(píng)回答應(yīng)用系統(tǒng)操作相關(guān) 問(wèn)題網(wǎng)絡(luò)管理人員* 配合測(cè)評(píng)回答網(wǎng)絡(luò)架構(gòu)，及設(shè)備 配置操作的相關(guān)問(wèn)題2、環(huán)境要求 提供會(huì)議室1、準(zhǔn)備訪談安排 及訪談大綱2、測(cè)評(píng)技術(shù)人員4文檔審查1、人員要求信息部管理人員* 提供等保相關(guān)的管理制度系統(tǒng)開(kāi)發(fā)&管理人員* 提供相應(yīng)系統(tǒng)建設(shè)方案及驗(yàn)收文檔網(wǎng)絡(luò)管理人員*提供網(wǎng)絡(luò)系統(tǒng)建設(shè)方案及驗(yàn)

37、收文 檔*IP規(guī)劃文檔等2、環(huán)境要求提供辦公場(chǎng)所1、準(zhǔn)備測(cè)評(píng)表2、二位測(cè)評(píng)技術(shù) 人員5實(shí)地查看1、人員要求 機(jī)房管理員* 配合測(cè)評(píng)人員檢查機(jī)房物理環(huán) 境。2、環(huán)境要求* 可訪問(wèn)機(jī)房、辦公等物理區(qū)域1、準(zhǔn)備測(cè)評(píng)表2、測(cè)評(píng)技術(shù)人員5.其他相關(guān)事項(xiàng)5.1. 風(fēng)險(xiǎn)規(guī)避在測(cè)評(píng)過(guò)程中，可能會(huì)對(duì)被測(cè)系統(tǒng)造成影響，相應(yīng)地會(huì)造成各種損失。這 些影響包括信息泄漏、業(yè)務(wù)停頓或處理能力受損等。因此，必須充分考慮各種 可能的影響及其危害并準(zhǔn)備好相應(yīng)的應(yīng)對(duì)措施，盡可能減小對(duì)目標(biāo)系統(tǒng)正常運(yùn) 行的干擾，從而減小損失。下表給出了測(cè)評(píng)過(guò)程中可能存在的風(fēng)險(xiǎn)與控制措施。內(nèi)容可能存在的風(fēng)險(xiǎn)等級(jí)控制措施信息資產(chǎn)調(diào)研資產(chǎn)信息泄漏高協(xié)議、規(guī)

38、章、制度、法律、法規(guī)安全管理測(cè)評(píng)安全管理信息泄漏高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)網(wǎng)絡(luò)設(shè)備測(cè)評(píng)/安全設(shè)備測(cè)評(píng)誤操作引起設(shè)備崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計(jì)流程；嚴(yán)格選擇測(cè)評(píng)師；甲方進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計(jì)劃網(wǎng)絡(luò)/安全設(shè)備資源占用低避開(kāi)業(yè)務(wù)高峰；控制掃摧i策略（線程數(shù)量、強(qiáng)度）漏洞掃描網(wǎng)絡(luò)流量低避開(kāi)業(yè)務(wù)高峰；控制掃摧i策略（線程數(shù)量、強(qiáng)度）主機(jī)資源占用低避開(kāi)業(yè)務(wù)高峰；控制掃摧i策略（線程數(shù)量、強(qiáng)度）控制臺(tái)審計(jì)誤操作引起系統(tǒng)崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計(jì)流程；嚴(yán)格選擇測(cè)評(píng)師；甲方進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計(jì)劃；網(wǎng)絡(luò)流量和主機(jī)資源 占用低避開(kāi)業(yè)務(wù)高峰應(yīng)用測(cè)評(píng)產(chǎn)生非法數(shù)據(jù)，致使 系統(tǒng)/、能正常工作中做好系統(tǒng)備份和恢復(fù)措施異常輸入（畸形數(shù) 據(jù)、極限測(cè)試）導(dǎo)致系統(tǒng)崩潰高做好系統(tǒng)備份和恢復(fù)措施5.2.項(xiàng)目信息管理為了保障 XXXXXXXXXXXXXXX機(jī)海統(tǒng)的安全，XXXXXXXXXXXXXXX澈XX 息安全有限公司將嚴(yán)格遵守xxxxxxxxxxxxxxxXXW密方面的規(guī)定，自覺(jué)保 守 XXXXXXXXXXXXXXXXXX® 密。XXXXXXXXXXXXXXXXXW 項(xiàng)目實(shí)施所提 供給投標(biāo)人的工作流程、管理模式、規(guī)程、程序等相關(guān)資料文檔以及實(shí)施過(guò)程 中所產(chǎn)生的資料、文檔、數(shù)據(jù)均屬于