信息安全等級(jí)保護(hù)項(xiàng)目測(cè)評(píng)方案(DOC181頁(yè))

1、 / 181 / 181信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目測(cè)評(píng)方案廣州華南信息安全測(cè)評(píng)中心二。一六年 TOC o 1-5 h z 第一章概述 3第二章測(cè)評(píng)基本原則 4 HYPERLINK l bookmark0 o Current Document 客觀性和公正性原則 4 HYPERLINK l bookmark2 o Current Document 經(jīng)濟(jì)性和可重用性原則 4 HYPERLINK l bookmark4 o Current Document 可重復(fù)性和可再現(xiàn)性原則 4 HYPERLINK l bookmark6 o Current Document 結(jié)果完善性原則 4 HYPERLIN

2、K l bookmark8 o Current Document 第三章 測(cè)評(píng)安全目標(biāo)（ 2 級(jí)） 5技術(shù)目標(biāo) 5 HYPERLINK l bookmark12 o Current Document 管理目標(biāo) 6第四章測(cè)評(píng)內(nèi)容 9資料審查 10核查測(cè)試 10綜合評(píng)估 10第五章項(xiàng)目實(shí)施 12 HYPERLINK l bookmark38 o Current Document 實(shí)施流程 12測(cè)評(píng)工具 13調(diào)查問(wèn)卷 13 HYPERLINK l bookmark45 o Current Document 系統(tǒng)安全性技術(shù)檢查工具 13 HYPERLINK l bookmark47 o Current

3、 Document 測(cè)評(píng)工具使用原則 13 HYPERLINK l bookmark49 o Current Document 測(cè)評(píng)方法 14 HYPERLINK l bookmark51 o Current Document 第六章 項(xiàng)目管理 15 HYPERLINK l bookmark53 o Current Document 項(xiàng)目組織計(jì)劃 15 HYPERLINK l bookmark55 o Current Document 項(xiàng)目成員組成與職責(zé)劃分 15 HYPERLINK l bookmark57 o Current Document 項(xiàng)目溝通 16 HYPERLINK l boo

4、kmark59 o Current Document 日常溝通，記錄和備忘錄 16 HYPERLINK l bookmark61 o Current Document 報(bào)告 16 HYPERLINK l bookmark63 o Current Document 正式會(huì)議 16 HYPERLINK l bookmark65 o Current Document 第七章 附錄：等級(jí)保護(hù)評(píng)測(cè)準(zhǔn)則 19 HYPERLINK l bookmark67 o Current Document 一、 信息系統(tǒng)安全等級(jí)保護(hù)2 級(jí)測(cè)評(píng)準(zhǔn)則 19基本要求 19評(píng)估測(cè)評(píng)準(zhǔn)則 31 HYPERLINK l bookm

5、ark765 o Current Document 二、信息系統(tǒng)安全等級(jí)保護(hù)3 級(jí)測(cè)評(píng)準(zhǔn)則 88基本要求 88評(píng)估測(cè)評(píng)準(zhǔn)則 108第一章 概述2003年中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā) 200327 號(hào)）以及 2004 年 9 月四部委局聯(lián)合簽發(fā)的關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)等信息安全等級(jí)保護(hù)的文件明確指出， “要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南。 ”2009 年 4月廣東省公安廳、省保密局、密碼管理局和省信息化工作領(lǐng)導(dǎo)小

6、組聯(lián)合發(fā)文廣東省深化信息安全等級(jí)保護(hù)工作方案 （粵公通字 200945 號(hào) ）中又再次指出， “通過(guò)深化信息安全等級(jí)保護(hù)，全面推動(dòng)重要信息系統(tǒng)安全整改和測(cè)評(píng)工作，增強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對(duì)性和實(shí)效性，使信息系統(tǒng)安全建設(shè)更加突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理，提高信息安全保障能力，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)”。由此可見(jiàn)，等級(jí)保護(hù)測(cè)評(píng)和等級(jí)保護(hù)安全整改工作已經(jīng)迫在眉睫。第二章測(cè)評(píng)基本原則一、 客觀性和公正性原則雖然測(cè)評(píng)工作不能完全擺脫個(gè)人主張或判斷，但測(cè)評(píng)人員應(yīng)當(dāng)沒(méi)有偏見(jiàn)，在最小主觀判斷情形下，按照測(cè)評(píng)雙方相互認(rèn)可的測(cè)評(píng)方案，基于明確定義的 測(cè)評(píng)方式和解釋，實(shí)施測(cè)評(píng)活

7、動(dòng)。二、 經(jīng)濟(jì)性和可重用性原則基于測(cè)評(píng)成本和工作復(fù)雜性考慮，鼓勵(lì)測(cè)評(píng)工作重用以前的測(cè)評(píng)結(jié)果，包括商業(yè)安全產(chǎn)品測(cè)評(píng)結(jié)果和信息系統(tǒng)先前的安全測(cè)評(píng)結(jié)果。所有重用的結(jié)果，都應(yīng)基于結(jié)果適用于目前的系統(tǒng)，并且能夠反映出目前系統(tǒng)的安全狀態(tài)基礎(chǔ)之上。三、 可重復(fù)性和可再現(xiàn)性原則不論誰(shuí)執(zhí)行測(cè)評(píng)，依照同樣的要求，使用同樣的測(cè)評(píng)方式，對(duì)每個(gè)測(cè)評(píng)實(shí)施過(guò)程的重復(fù)執(zhí)行應(yīng)該得到同樣的結(jié)果。可再現(xiàn)性和可重復(fù)性的區(qū)別在于，前者與不同測(cè)評(píng)者測(cè)評(píng)結(jié)果的一致性有關(guān)，后者與同一測(cè)評(píng)者測(cè)評(píng)結(jié)果的一致性有關(guān)。四、 結(jié)果完善性原則測(cè)評(píng)所產(chǎn)生的結(jié)果應(yīng)當(dāng)證明是良好的判斷和對(duì)測(cè)評(píng)項(xiàng)的正確理解。測(cè)評(píng)過(guò)程和結(jié)果應(yīng)當(dāng)服從正確的測(cè)評(píng)方法以確保其滿足了測(cè)評(píng)

8、項(xiàng)的要求。測(cè)評(píng)安全目標(biāo)（ 2 級(jí)）技術(shù)目標(biāo)O2-1. 應(yīng)具有抵抗一般強(qiáng)度地震、臺(tái)風(fēng)等自然災(zāi)難造成破壞的能力O2-2. 應(yīng)具有控制接觸重要設(shè)備、介質(zhì)的能力O2-3. 應(yīng)具有對(duì)通信線路進(jìn)行物理保護(hù)的能力O2-4. 應(yīng)具有控制機(jī)房進(jìn)出的能力O2-5. 應(yīng)具有防止設(shè)備、介質(zhì)等丟失的能力O2-6. 應(yīng)具有控制機(jī)房?jī)?nèi)人員活動(dòng)的能力O2-7. 應(yīng)具有防止雷擊事件導(dǎo)致重要設(shè)備被破壞的能力O2-8. 應(yīng)具有滅火的能力O2-9. 應(yīng)具有檢測(cè)火災(zāi)和報(bào)警的能力O2-10. 應(yīng)具有防水和防潮的能力O2-11. 應(yīng)具有防止靜電導(dǎo)致重要設(shè)備被破壞的能力O2-12. 應(yīng)具有溫濕度自動(dòng)檢測(cè)和控制的能力O2-13. 應(yīng)具有防止電

9、壓波動(dòng)的能力O2-14. 應(yīng)具有對(duì)抗短時(shí)間斷電的能力O2-15. 具有基本的抗電磁干擾能力O2-16. 應(yīng)具有限制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源使用的能力O2-17. 應(yīng)具有能夠檢測(cè)對(duì)網(wǎng)絡(luò)的各種攻擊并記錄其活動(dòng)的能力O2-18. 應(yīng)具有網(wǎng)絡(luò)邊界完整性檢測(cè)能力O2-19. 應(yīng)具有對(duì)傳輸和存儲(chǔ)數(shù)據(jù)進(jìn)行完整性檢測(cè)的能力O2-20. 應(yīng)具有對(duì)硬件故障產(chǎn)品進(jìn)行替換的能力O2-21. 應(yīng)具有系統(tǒng)軟件、應(yīng)用軟件容錯(cuò)的能力O2-22. 應(yīng)具有軟件故障分析的能力O2-23. 應(yīng)具有合理使用和控制系統(tǒng)資源的能力O2-24. 應(yīng)具有記錄用戶操作行為的能力O2-25. 應(yīng)具有對(duì)用戶的誤操作行為進(jìn)行檢測(cè)和報(bào)警的能力O2-

10、26. 應(yīng)具有對(duì)傳輸和存儲(chǔ)中的信息進(jìn)行保密性保護(hù)的能力O2-27. 應(yīng)具有發(fā)現(xiàn)所有已知漏洞并及時(shí)修補(bǔ)的能力O2-28. 應(yīng)具有對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問(wèn)進(jìn)行控制的能力O2-29. 應(yīng)具有對(duì)數(shù)據(jù)、文件或其他資源的訪問(wèn)進(jìn)行控制的能力O2-30. 應(yīng)具有對(duì)資源訪問(wèn)的行為進(jìn)行記錄的能力O2-31. 應(yīng)具有對(duì)用戶進(jìn)行唯一標(biāo)識(shí)的能力O2-32. 應(yīng)具有對(duì)用戶產(chǎn)生復(fù)雜鑒別信息并進(jìn)行鑒別的能力O2-33. 應(yīng)具有對(duì)惡意代碼的檢測(cè)、阻止和清除能力O2-34. 應(yīng)具有防止惡意代碼在網(wǎng)絡(luò)中擴(kuò)散的能力O2-35. 應(yīng)具有對(duì)惡意代碼庫(kù)和搜索引擎及時(shí)更新的能力O2-36. 應(yīng)具有保證鑒別數(shù)據(jù)傳輸和存儲(chǔ)保密性的能力O2-37

11、. 應(yīng)具有對(duì)存儲(chǔ)介質(zhì)中的殘余信息進(jìn)行刪除的能力O2-38. 應(yīng)具有非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接的能力O2-39. 應(yīng)具有重要數(shù)據(jù)恢復(fù)的能力二、 管理目標(biāo)O2-40. 應(yīng)確保建立了安全職能部門(mén)，配備了安全管理人員，支持信息安全管理工作O2-41. 應(yīng)確保配備了足夠數(shù)量的管理人員，對(duì)系統(tǒng)進(jìn)行運(yùn)行維護(hù)O2-42. 應(yīng)確保對(duì)主要的管理活動(dòng)進(jìn)行了制度化管理O2-43. 應(yīng)確保建立并不斷完善、健全安全管理制度O2-44. 應(yīng)確保能協(xié)調(diào)信息安全工作在各功能部門(mén)的實(shí)施O2-45. 應(yīng)確保能控制信息安全相關(guān)事件的授權(quán)與審批O2-46. 應(yīng)確保建立恰當(dāng)可靠的聯(lián)絡(luò)渠道，以便安全事件發(fā)生時(shí)能得到支持O2-47.

12、應(yīng)確保對(duì)人員的行為進(jìn)行控制O2-48. 應(yīng)確保對(duì)人員的管理活動(dòng)進(jìn)行了指導(dǎo)O2-49. 應(yīng)確保安全策略的正確性和安全措施的合理性O(shè)2-50. 應(yīng)確保對(duì)信息系統(tǒng)進(jìn)行合理定級(jí)O2-51. 應(yīng)確保安全產(chǎn)品的可信度和產(chǎn)品質(zhì)量O2-52. 應(yīng)確保自行開(kāi)發(fā)過(guò)程和工程實(shí)施過(guò)程中的安全O2-53. 應(yīng)確保能順利地接管和維護(hù)信息系統(tǒng)O2-54. 應(yīng)確保安全工程的實(shí)施質(zhì)量和安全功能的準(zhǔn)確實(shí)現(xiàn)O2-55. 應(yīng)確保機(jī)房具有良好的運(yùn)行環(huán)境O2-56. 應(yīng)確保對(duì)信息資產(chǎn)進(jìn)行標(biāo)識(shí)管理O2-57. 應(yīng)確保對(duì)各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放、使用和保管等過(guò)程 進(jìn)行控制O2-58. 應(yīng)確保各種網(wǎng)絡(luò)設(shè)備、服務(wù)器正確使用和維護(hù)O2-5

13、9. 應(yīng)確保對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行安全管 理O2-60. 應(yīng)確保用戶具有鑒別信息使用的安全意識(shí)O2-61. 應(yīng)確保定期地對(duì)通信線路進(jìn)行檢查和維護(hù)O2-62. 應(yīng)確保硬件設(shè)備、存儲(chǔ)介質(zhì)存放環(huán)境安全，并對(duì)其的使用進(jìn)行控制和保護(hù)O2-63. 應(yīng)確保對(duì)支撐設(shè)施、硬件設(shè)備、存儲(chǔ)介質(zhì)進(jìn)行日常維護(hù)和管理O2-64. 應(yīng)確保系統(tǒng)中使用的硬件、軟件產(chǎn)品的質(zhì)量O2-65. 應(yīng)確保各類人員具有與其崗位相適應(yīng)的技術(shù)能力O2-66. 應(yīng)確保對(duì)各類人員進(jìn)行相關(guān)的技術(shù)培訓(xùn)O2-67. 應(yīng)確保提供的足夠的使用手冊(cè)、維護(hù)指南等資料O2-68. 應(yīng)確保內(nèi)部人員具有安全方面的常識(shí)和意識(shí)O2-69. 應(yīng)確保具

14、有設(shè)計(jì)合理、安全網(wǎng)絡(luò)結(jié)構(gòu)的能力O2-70. 應(yīng)確保密碼算法和密鑰的使用符合國(guó)家有關(guān)法律、法規(guī)的規(guī)定O2-71. 應(yīng)確保任何變更控制和設(shè)備重用要申報(bào)和審批，并對(duì)其實(shí)行制度化 的管理O2-72. 應(yīng)確保在事件發(fā)生后能采取積極、有效的應(yīng)急策略和措施O2-73. 應(yīng)確保信息安全事件實(shí)行分等級(jí)響應(yīng)、處置測(cè) 評(píng)內(nèi)容當(dāng)根據(jù)信息系統(tǒng)的業(yè)務(wù)重要性及其他相關(guān)因素對(duì)信息系統(tǒng)進(jìn)行劃分，確定了信息系統(tǒng)的安全保護(hù)等級(jí)后，需要了解不同級(jí)別的信息系統(tǒng)或子系統(tǒng)當(dāng)前的安全保護(hù)與相應(yīng)等級(jí)的安全保護(hù)基本要求之間存在的差距，這種差距是一種安全需求，是進(jìn)行安全方案設(shè)計(jì)的基礎(chǔ)。傳統(tǒng)的安全需求分析方法有很多，如風(fēng)險(xiǎn)分析法，但是作為了解信息系

15、統(tǒng)或子系統(tǒng)當(dāng)前的安全保護(hù)狀況與相應(yīng)等級(jí)的安全保護(hù)基本要求之間存在的差距的簡(jiǎn)便方法，莫過(guò)于等級(jí)評(píng)估測(cè)評(píng)法。?活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是通過(guò)信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)定期進(jìn)行等級(jí)測(cè)評(píng)，確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級(jí)的安全要求。?參與角色：甲方 廣州華南信息安全測(cè)評(píng)中心?活動(dòng)輸入：信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，信息系統(tǒng)測(cè)評(píng)計(jì)劃，信息系統(tǒng)測(cè)評(píng)方案。? 活動(dòng)描述：參見(jiàn)有關(guān)信息系統(tǒng)安全保護(hù)等級(jí)測(cè)評(píng)的規(guī)范或標(biāo)準(zhǔn)。?活動(dòng)輸出：安全等級(jí)測(cè)評(píng)評(píng)估報(bào)告。信息系統(tǒng)安全測(cè)評(píng)包括資料審查、核查測(cè)試、綜合評(píng)估如下三個(gè)部分內(nèi)容：資料審查測(cè)評(píng)機(jī)構(gòu)接受用戶提供的測(cè)評(píng)委托書(shū)和測(cè)

16、評(píng)資料；測(cè)評(píng)機(jī)構(gòu)對(duì)用戶提供的測(cè)評(píng)委托書(shū)和測(cè)評(píng)資料進(jìn)行形式化審查，判斷是 否需要補(bǔ)充相關(guān)資料；核查測(cè)試測(cè)評(píng)機(jī)構(gòu)依據(jù)用戶提供的資料、評(píng)估機(jī)構(gòu)實(shí)地調(diào)研資料及定級(jí)報(bào)告等， 制定系統(tǒng)安全評(píng)估測(cè)評(píng)計(jì)劃；依據(jù)系統(tǒng)安全測(cè)評(píng)計(jì)劃制定系統(tǒng)安全評(píng)估測(cè)評(píng)方案；依據(jù)系統(tǒng)安全測(cè)評(píng)方案實(shí)施現(xiàn)場(chǎng)核查測(cè)試；對(duì)核查測(cè)試結(jié)果進(jìn)行數(shù)據(jù)整理記錄，并形成核查測(cè)試報(bào)告。綜合評(píng)估對(duì)用戶資料，評(píng)估機(jī)構(gòu)實(shí)地調(diào)研資料和測(cè)試報(bào)告進(jìn)行綜合分析，形成 分析意見(jiàn)；就分析意見(jiàn)與用戶溝通確認(rèn)，最終形成系統(tǒng)安全測(cè)評(píng)綜合評(píng)估報(bào)告；對(duì)系統(tǒng)安全測(cè)評(píng)綜合評(píng)估報(bào)告進(jìn)行審定；出具最終信息系統(tǒng)安全測(cè)評(píng)綜合評(píng)估報(bào)告?測(cè)評(píng)數(shù)據(jù)處理對(duì)信息系統(tǒng)現(xiàn)場(chǎng)核查記錄進(jìn)行匯總分析，完成信息系統(tǒng)

17、現(xiàn)場(chǎng)核查報(bào)告；對(duì)系統(tǒng)安全性測(cè)評(píng)過(guò)程得到的被測(cè)單位提供的申請(qǐng)資料、方案的形式 化審查報(bào)告、信息系統(tǒng)現(xiàn)；場(chǎng)核查記錄、現(xiàn)場(chǎng)核查報(bào)告以及測(cè)試過(guò)程中所有的書(shū)面記錄，經(jīng)分析 整理后，形成信息系統(tǒng)安全測(cè)評(píng)綜合評(píng)估報(bào)告；系統(tǒng)安全性測(cè)評(píng)過(guò)程所產(chǎn)生的全部數(shù)據(jù)、記錄、資料應(yīng)歸檔管理；e) 系統(tǒng)安全性測(cè)評(píng)過(guò)程所產(chǎn)生的全部數(shù)據(jù)、記錄、資料不得以任何方式向第三方透露；f) 系統(tǒng)安全性測(cè)評(píng)過(guò)程所產(chǎn)生的全部數(shù)據(jù)、記錄、資料的處置應(yīng)符合相 關(guān)法令法規(guī)的規(guī)定。?測(cè)評(píng)結(jié)論信息系統(tǒng)經(jīng)測(cè)評(píng)機(jī)構(gòu)安全測(cè)評(píng)后，向被測(cè)評(píng)單位出具信息系統(tǒng)安全測(cè) 評(píng)綜合評(píng)估報(bào)告；信息系統(tǒng)安全測(cè)評(píng)綜合評(píng)估報(bào)告是客觀反映被測(cè)單位信息系統(tǒng)在管理 方面及技術(shù)方面的安全狀

18、況，其中包括了信息系統(tǒng)在安全性方面存在 的漏洞、潛在的風(fēng)險(xiǎn)以及相應(yīng)的建議性改進(jìn)意見(jiàn)。 /181 /181第五草,、實(shí)施流程項(xiàng)目實(shí)施笄為制評(píng)劉日啟即劉k中對(duì)象嫡定J: 方案；應(yīng)對(duì)安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方案；應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施。產(chǎn)品采購(gòu)和使用(G2)本項(xiàng)要求包括：應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定；應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門(mén)的要求；應(yīng)指定或授權(quán)專門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)。自行軟件開(kāi)發(fā)(G2)本項(xiàng)要求包括：應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)

19、；應(yīng)制定軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則；應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔 和使用指南 ，并由專人負(fù)責(zé)保管。外包軟件開(kāi)發(fā)(G2)本項(xiàng)要求包括：應(yīng)根據(jù)開(kāi)發(fā)要求檢測(cè)軟件質(zhì)量；應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén)。本項(xiàng)要求包括：應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理；應(yīng)制定詳細(xì)的工程實(shí)施方案，控制工程實(shí)施過(guò)程。測(cè)試驗(yàn)收(G2)本項(xiàng)要求包括：應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收；在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果

20、，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；應(yīng)組織相關(guān)部門(mén)和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)。系統(tǒng)交付(G2)本項(xiàng)要求包括：應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。安全服務(wù)商選擇(G2)本項(xiàng)要求包括：應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；應(yīng)確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾，必要的與其簽訂服務(wù)合同。 系統(tǒng)運(yùn)維管理環(huán)境管理(G2)本項(xiàng)要求包括：應(yīng)指定專門(mén)的部門(mén)或人員定期對(duì)機(jī)房供配電、空調(diào)、

21、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；應(yīng)配備機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理；應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定；應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來(lái)訪人員等。資產(chǎn)管理(G2)本項(xiàng)要求包括： / 181 / 181應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門(mén)、重要程度和所處位置等內(nèi)容；應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門(mén)，并規(guī)范資產(chǎn)管理和使用的行為。介質(zhì)管理(G2)本項(xiàng)要求包括：應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行

22、控制和保護(hù)， 并實(shí)行存儲(chǔ)環(huán)境專人管理 ；應(yīng)對(duì)介質(zhì)歸檔和查詢等過(guò)程進(jìn)行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤(pán)點(diǎn)；應(yīng)對(duì)需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏；應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理。設(shè)備管理(G2)本項(xiàng)要求包括：應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備 (包括備份和冗余設(shè)備) 、線路等指定專門(mén)的部門(mén)或人員定期進(jìn)行維護(hù)管理；應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理；應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè)備(包括備份和

23、冗余設(shè)備)的啟動(dòng)/ 停止、加電/ 斷電等操作；應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。網(wǎng)絡(luò)安全管理(G2)本項(xiàng)要求包括：應(yīng)指定人員對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份；f) 應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。系統(tǒng)安全管理(G2)本項(xiàng)要求包括

24、：應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)控制策略；應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前， 應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定；應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為。惡意代碼防范管理( G2)本項(xiàng)要求包括：應(yīng)提高所有用戶的防病毒意識(shí)，告知及時(shí)升級(jí)防病毒軟件

25、，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查；應(yīng)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄；應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定。密碼管理(G2)應(yīng)使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。變更管理(G2)本項(xiàng)要求包括：應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的重要變更，并制定相應(yīng)的變更方案；系統(tǒng)發(fā)生重要變更前，應(yīng)向主管領(lǐng)導(dǎo)申請(qǐng)，審批后方可實(shí)施變更，并在實(shí)施后向相關(guān)人員通告。備份與恢復(fù)管理(G2)本項(xiàng)要求包括：應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；應(yīng)規(guī)定備份信息的備份方式、備

26、份頻度、存儲(chǔ)介質(zhì)、保存期等；應(yīng)根據(jù)數(shù)據(jù)的重要性及其對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運(yùn)輸方法。安全事件處置(G2)本項(xiàng)要求包括：應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；應(yīng)制定安全事件報(bào)告和處置管理制度， 明確安全事件類型 ，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；應(yīng)根據(jù)國(guó)家相關(guān)管理部門(mén)對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響，對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分；應(yīng)記錄并保存所有報(bào)告的安全弱點(diǎn)和可疑事件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生

27、。應(yīng)急預(yù)案管理(G2)本項(xiàng)要求包括：應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。廣州華南信息安全測(cè)評(píng)中心 /181廣州華南信息安全測(cè)評(píng)中心 /1811.2 評(píng)估測(cè)評(píng)準(zhǔn)則安全技術(shù)測(cè)評(píng)物理安全物理位置的選擇測(cè)評(píng)項(xiàng)a） 機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。測(cè)評(píng)方式訪談，檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人，機(jī)房，辦公場(chǎng)地，機(jī)房場(chǎng)地設(shè)計(jì) /驗(yàn)收文檔。測(cè)評(píng)實(shí)施a）應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)現(xiàn)有機(jī)房和辦公場(chǎng)地（放置終端計(jì)算機(jī)設(shè)備）的

28、環(huán) 境條件是否能夠滿足信息系統(tǒng)業(yè)務(wù)需求和安全管理需求，是否具有基本的防震、 防風(fēng)和防雨等能力；b）應(yīng)檢查機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔，是否有機(jī)房和辦公場(chǎng)地所在建筑能夠具有防震、防風(fēng)和防雨等能力的說(shuō)明；c）應(yīng)檢查機(jī)房和辦公場(chǎng)地是否在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。結(jié)果判定a）測(cè)評(píng)實(shí)施a） -c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。物理訪問(wèn)控制測(cè)評(píng)項(xiàng)a） 機(jī)房出入口應(yīng)有專人值守，鑒別進(jìn)入的人員身份并登記在案；b）應(yīng)批準(zhǔn)進(jìn)入機(jī)房的來(lái)訪人員，限制和監(jiān)控其活動(dòng)范圍。測(cè)評(píng)方式訪談，檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人，機(jī)房值守人員，機(jī)房，機(jī)房安全管理制度，值守記錄，進(jìn)入機(jī)房的登記記錄，來(lái)訪人員進(jìn)入機(jī)房

29、的審批記錄。測(cè)評(píng)實(shí)施a） 應(yīng)訪談物理安全負(fù)責(zé)人，了解具有哪些控制機(jī)房進(jìn)出的能力；b）應(yīng)訪談機(jī)房值守人員，詢問(wèn)是否認(rèn)真執(zhí)行有關(guān)機(jī)房出入的管理制度，是否對(duì)進(jìn)入機(jī)房的人員記錄在案；第31頁(yè)共181頁(yè)c）應(yīng)檢查機(jī)房安全管理制度，查看是否有關(guān)于機(jī)房出入方面的規(guī)定；d）應(yīng)檢查機(jī)房出入口是否有專人值守，是否有值守記錄，以及進(jìn)出機(jī)房的人員登記 記錄；檢查機(jī)房是否不存在專人值守之外的出入口；應(yīng)檢查機(jī)房，是否有進(jìn)入機(jī)房的人員身份鑒別措施，如戴有可見(jiàn)的身份辨識(shí)標(biāo)識(shí)；應(yīng)檢查是否有來(lái)訪人員進(jìn)入機(jī)房的審批記錄。結(jié)果判定a）測(cè)評(píng)實(shí)施a ）至少應(yīng)包括制訂了機(jī)房出入的管理制度，指定了專人在機(jī)房出入口 值守，對(duì)進(jìn)入的人員登記在案

30、并進(jìn)行身份鑒別，對(duì)來(lái)訪人員須經(jīng)批準(zhǔn)、限制和監(jiān) 控其活動(dòng)范圍，則該項(xiàng)為肯定；b）測(cè)評(píng)實(shí)施c ）至少應(yīng)包括制訂了機(jī)房出入的管理制度，指定了專人在機(jī)房出入口 值守，對(duì)進(jìn)入的人員登記在案并進(jìn)行身份鑒別，對(duì)來(lái)訪人員須經(jīng)批準(zhǔn)、限制和監(jiān) 控其活動(dòng)范圍，則該項(xiàng)為肯定；測(cè)評(píng)實(shí)施a） -f ）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。.3防盜竊和防破環(huán)測(cè)評(píng)項(xiàng)a） 應(yīng)將主要設(shè)備放置在物理受限的范圍內(nèi)；b）應(yīng)對(duì)設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的無(wú)法除去的標(biāo)記；c）應(yīng)將通信線纜鋪設(shè)在隱蔽處，如鋪設(shè)在地下或管道中等；d）應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中；e）應(yīng)安裝必要的防盜報(bào)警設(shè)施，以防進(jìn)入機(jī)房的盜竊和破壞行為

31、。測(cè)評(píng)方式訪談，檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人，機(jī)房維護(hù)人員，資產(chǎn)管理員，機(jī)房設(shè)施，設(shè)備管理制度文檔，通信線路布線文檔，報(bào)警設(shè)施的安裝測(cè)試/驗(yàn)收?qǐng)?bào)告。測(cè)評(píng)實(shí)施a） 應(yīng)訪談物理安全負(fù)責(zé)人，采取了哪些防止設(shè)備、介質(zhì)等丟失的保護(hù)措施；b）應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)主要設(shè)備放置位置是否做到安全可控，設(shè)備或主要部件是否進(jìn)行了固定和標(biāo)記，通信線纜是否鋪設(shè)在隱蔽處；是否對(duì)機(jī)房安裝的防盜報(bào)警設(shè)施進(jìn)行定期維護(hù)檢查；c）應(yīng)訪談資產(chǎn)管理員，在介質(zhì)管理中，是否進(jìn)行了分類標(biāo)識(shí)，是否存放在介質(zhì)庫(kù)或檔案室中；第32頁(yè)共181頁(yè)d）應(yīng)檢查主要設(shè)備是否放置在機(jī)房?jī)?nèi)或其它不易被盜竊和破壞的可控范圍內(nèi)；檢查 主要設(shè)備或設(shè)備的主要部件的

32、固定情況，是否不易被移動(dòng)或被搬走，是否設(shè)置明 顯的無(wú)法除去的標(biāo)記；e）應(yīng)檢查通信線纜鋪設(shè)是否在隱蔽處（如鋪設(shè)在地下或管道中等）；f） 應(yīng)檢查機(jī)房防盜報(bào)警設(shè)施是否正常運(yùn)行，并查看運(yùn)行和報(bào)警記錄；g）應(yīng)檢查介質(zhì)的管理情況，查看介質(zhì)是否有正確的分類標(biāo)識(shí)，是否存放在介質(zhì)庫(kù)或 檔案室中；h）應(yīng)檢查是否有設(shè)備管理制度文檔，通信線路布線文檔，介質(zhì)管理制度文檔，介質(zhì) 清單和使用記錄，機(jī)房防盜報(bào)警設(shè)施的安裝測(cè)試/驗(yàn)收?qǐng)?bào)告。結(jié)果判定a） 測(cè)評(píng)實(shí)施a ）至少應(yīng)該包括制訂了設(shè)備管理制度，主要設(shè)備放置位置做到安全可控設(shè)備或主要部件進(jìn)行了固定和標(biāo)記，通信線纜鋪設(shè)在隱蔽處，介質(zhì)分類標(biāo)識(shí)并存 儲(chǔ)在介質(zhì)庫(kù)或檔案室，機(jī)房安裝了防

33、止進(jìn)入盜竊和破壞的防盜報(bào)警設(shè)施，則該項(xiàng) 為目7E；b）測(cè)評(píng)實(shí)施a） -h）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。防雷擊測(cè)評(píng)項(xiàng)機(jī)房建筑應(yīng)設(shè)置避雷裝置；b）應(yīng)設(shè)置交流電源地線。測(cè)評(píng)方式訪談，檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人，機(jī)房維護(hù)人員，機(jī)房設(shè)施（避雷裝置，交流電源地線），建筑防雷設(shè)計(jì)/驗(yàn)收文檔。測(cè)評(píng)實(shí)施a）應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)為防止雷擊事件導(dǎo)致重要設(shè)備被破壞采取了哪些防護(hù) 措施，機(jī)房建筑是否設(shè)置了避雷裝置，是否通過(guò)驗(yàn)收或國(guó)家有關(guān)部門(mén)的技術(shù)檢測(cè)； 詢問(wèn)機(jī)房計(jì)算機(jī)供電系統(tǒng)是否有交流電源地線；應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)機(jī)房建筑避雷裝置是否有人定期進(jìn)行檢查和維護(hù)；詢問(wèn)機(jī)房計(jì)算機(jī)系統(tǒng)接地（交流工作接地

34、、安全保護(hù)接地、防雷接地）是否符合GB50174-93電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范的要求；C）應(yīng)檢查機(jī)房是否有建筑防雷設(shè)計(jì)/驗(yàn)收文檔，查看是否有地線連接要求的描述。第33頁(yè)共181頁(yè)廣州華南信息安全測(cè)評(píng)中心 /181廣州華南信息安全測(cè)評(píng)中心 / 181結(jié)果判定a） 測(cè)評(píng)實(shí)施a）至少應(yīng)包括符合 GB 50057 1994建筑物防雷設(shè)計(jì)規(guī)范（GB157建筑防雷設(shè)計(jì)規(guī)范）中的計(jì)算機(jī)機(jī)房防雷要求，如果在雷電頻繁區(qū)域，是否裝設(shè)浪涌電壓吸收裝置等，則該項(xiàng)為肯定；b）測(cè)評(píng)實(shí)施b）要求地線的引線應(yīng)和大樓的鋼筋網(wǎng)及各種金屬管道絕緣，交流工作接地的接地電阻不應(yīng)大于 4Q,安全保護(hù)地的接地電阻不應(yīng)大于4Q;防雷保護(hù)地（處

35、在有防雷設(shè)施的建筑群中可不設(shè)此地）的接地電阻不應(yīng)大于10 a的要求，則該項(xiàng)為肯定；測(cè)評(píng)實(shí)施a） -c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。防火測(cè)評(píng)項(xiàng)a）應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)，并保持滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)的良 好狀態(tài)。測(cè)評(píng)方式訪談，檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人，機(jī)房值守人員，機(jī)房設(shè)施，機(jī)房安全管理制度，機(jī)房防火設(shè)計(jì)/驗(yàn)收文檔，火災(zāi)自動(dòng)報(bào)警系統(tǒng)設(shè)計(jì) /驗(yàn)收文檔。測(cè)評(píng)實(shí)施a）應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)機(jī)房是否設(shè)置了滅火設(shè)備，是否設(shè)置了火災(zāi)自動(dòng)報(bào) 警系統(tǒng)，是否有人負(fù)責(zé)維護(hù)該系統(tǒng)的運(yùn)行，是否制訂了有關(guān)機(jī)房消防的管理制度和 消防預(yù)案，是否進(jìn)行了消防培訓(xùn)；b）應(yīng)訪談機(jī)房值守人員，詢問(wèn)對(duì)

36、機(jī)房出現(xiàn)的消防安全隱患是否能夠及時(shí)報(bào)告并得到 排除；是否參加過(guò)機(jī)房滅火設(shè)備的使用培訓(xùn)，是否能夠正確使用滅火設(shè)備和火災(zāi) 自動(dòng)報(bào)警系統(tǒng)；c）應(yīng)檢查機(jī)房是否設(shè)置了滅火設(shè)備，擺放位置是否合理，有效期是否合格；應(yīng)檢查 機(jī)房火災(zāi)自動(dòng)報(bào)警系統(tǒng)是否正常工作，查看是否有運(yùn)行記錄、報(bào)警記錄、定期檢 查和維修記錄；d）應(yīng)檢查是否有有關(guān)機(jī)房消防的管理制度文檔，機(jī)房防火設(shè)計(jì)/驗(yàn)收文檔，火災(zāi)自動(dòng)報(bào)警系統(tǒng)的設(shè)計(jì)/驗(yàn)收文檔。結(jié)果判定a）測(cè)評(píng)實(shí)施a） -d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。第34頁(yè)共181頁(yè)防水和防潮測(cè)評(píng)項(xiàng)a） 水管安裝，不得穿過(guò)屋頂和活動(dòng)地板下；b）應(yīng)對(duì)穿過(guò)墻壁和樓板的水管增加必要的保護(hù)措施，如設(shè)置

37、套管；c） 應(yīng)采取措施防止雨水通過(guò)屋頂和墻壁滲透；d）應(yīng)采取措施防止室內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。測(cè)評(píng)方式訪談，檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人，機(jī)房維護(hù)人員，機(jī)房設(shè)施（上下水裝置，除濕裝置），建筑防水和防潮設(shè)計(jì)/驗(yàn)收文檔。測(cè)評(píng)實(shí)施a） 應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)機(jī)房建設(shè)是否有防水防潮措施；如果機(jī)房?jī)?nèi)有上下水管 安裝，是否穿過(guò)屋頂和活動(dòng)地板下，穿過(guò)墻壁和樓板的水管是否采取了可靠的保護(hù)措 施；在濕度較高地區(qū)或季節(jié)是否有人負(fù)責(zé)機(jī)房防水防潮事宜，配備除濕裝置；b）應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)機(jī)房是否出現(xiàn)過(guò)漏水和返潮事件；如果機(jī)房?jī)?nèi)有上下 水管安裝，是否經(jīng)常檢查是否有漏水情況；在濕度較高地區(qū)或季節(jié)是否

38、有人負(fù)責(zé) 機(jī)房防水防潮事宜，使用除濕裝置除濕；如果出現(xiàn)機(jī)房水蒸氣結(jié)露和地下積水的 轉(zhuǎn)移與滲透現(xiàn)象是否及時(shí)采取防范措施；c）應(yīng)檢查機(jī)房是否有建筑防水和防潮設(shè)計(jì)/驗(yàn)收文檔，是否能夠滿足機(jī)房防水和防潮的需求；d）如果有管道穿過(guò)主機(jī)房墻壁和樓板處，應(yīng)檢查是否置套管，管道與套管之間是否 采取可靠的密封措施；e）應(yīng)檢查機(jī)房是否不存在屋頂和墻壁等出現(xiàn)過(guò)漏水、滲透和返潮現(xiàn)象，機(jī)房及其環(huán) 境是否不存在明顯的漏水和返潮的威脅；如果出現(xiàn)漏水、滲透和返潮現(xiàn)是否能夠 及時(shí)修復(fù)解決；f） 如果在濕度較高地區(qū)或季節(jié)，應(yīng)檢查機(jī)房是否有濕度記錄，是否有除濕裝置并能 夠正常運(yùn)行，是否有防止出現(xiàn)機(jī)房地下積水的轉(zhuǎn)移與滲透的措施，是否

39、有防水防 潮處理記錄。結(jié)果判定a）如果測(cè)評(píng)實(shí)施d）、f）中如果”條件不成立，則該項(xiàng)為不適用；b）測(cè)評(píng)實(shí)施a） -f ）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。第35頁(yè)共181頁(yè)防靜電測(cè)評(píng)項(xiàng)a） 應(yīng)采用必要的接地等防靜電措施。測(cè)評(píng)方式訪談，檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人，機(jī)房維護(hù)人員，機(jī)房設(shè)施，防靜電設(shè)計(jì)/驗(yàn)收文檔。測(cè)評(píng)實(shí)施a）應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)機(jī)房是否采用必要的接地防靜電措施，是否有控制 機(jī)房濕度的措施；b）應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)是否經(jīng)常檢查機(jī)房濕度，并控制在GB2887中的規(guī)定的范圍內(nèi)；詢問(wèn)機(jī)房是否存在靜電問(wèn)題或因靜電引起的故障事件；c）應(yīng)檢查機(jī)房是否有防靜電設(shè)計(jì) /驗(yàn)收文檔；d）

40、應(yīng)檢查機(jī)房是否有安全接地，查看機(jī)房的相對(duì)濕度是否符合GB2887中的規(guī)定，查看機(jī)房是否明顯存在靜電現(xiàn)象。結(jié)果判定a）測(cè)評(píng)實(shí)施a） -d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。溫濕度控制測(cè)評(píng)項(xiàng)a）應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍 之內(nèi)。測(cè)評(píng)方式訪談，檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人，機(jī)房維護(hù)人員，機(jī)房設(shè)施，溫濕度控制設(shè)計(jì)/驗(yàn)收文檔，溫濕度記錄、運(yùn)行記錄和維護(hù)記錄。測(cè)評(píng)實(shí)施a）應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)機(jī)房是否配備了溫濕度自動(dòng)調(diào)節(jié)設(shè)施，保證溫濕度能 夠滿足計(jì)算機(jī)設(shè)備運(yùn)行的要求，是否在機(jī)房管理制度中規(guī)定了溫濕度控制的要求， 是否有人負(fù)責(zé)此項(xiàng)工作；b）應(yīng)訪談機(jī)房維

41、護(hù)人員，詢問(wèn)是否定期檢查和維護(hù)機(jī)房的溫濕度自動(dòng)調(diào)節(jié)設(shè)施，詢問(wèn)是否出現(xiàn)過(guò)溫濕度影響系統(tǒng)運(yùn)行的事件；第36頁(yè)共181頁(yè)廣州華南信息安全測(cè)評(píng)中心 # /181廣州華南信息安全測(cè)評(píng)中心 /181廣州華南信息安全測(cè)評(píng)中心 / 181c）應(yīng)檢查機(jī)房是否有溫濕度控制設(shè)計(jì)/驗(yàn)收文檔；d）應(yīng)檢查溫濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查看溫濕度記錄、運(yùn)行記錄和維護(hù)記錄；查看機(jī)房溫濕度是否滿足GB 2887-89計(jì)算站場(chǎng)地技術(shù)條件的要求。結(jié)果判定a）測(cè)評(píng)實(shí)施a） -d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。電力供應(yīng)測(cè)評(píng)項(xiàng)a） 計(jì)算機(jī)系統(tǒng)供電應(yīng)與其他供電分開(kāi)；b）應(yīng)設(shè)置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；c）應(yīng)提供短期的備用電

42、力供應(yīng)（如UPS設(shè)備）。測(cè)評(píng)方式訪談，檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人，機(jī)房維護(hù)人員，機(jī)房設(shè)施（供電線路，穩(wěn)壓器，過(guò)電壓防護(hù)設(shè)備，短期備用電源設(shè)備），電力供應(yīng)安全設(shè)計(jì)/驗(yàn)收文檔，檢查和維護(hù)記錄。測(cè)評(píng)實(shí)施a）應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)計(jì)算機(jī)系統(tǒng)供電線路是否與其他供電分開(kāi)；詢問(wèn)計(jì) 算機(jī)系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；是否設(shè)置了短期備用電源設(shè)備（如ups ,供電時(shí)間是否滿足系統(tǒng)最低電力供應(yīng)需求；b）應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)是否對(duì)在計(jì)算機(jī)系統(tǒng)供電線路上的穩(wěn)壓器、過(guò)電壓防 護(hù)設(shè)備、短期備用電源設(shè)備等進(jìn)行定期檢查和維護(hù)；是否能夠控制電源穩(wěn)壓范圍 滿足計(jì)算機(jī)系統(tǒng)運(yùn)行正常；c）應(yīng)檢查機(jī)房是否有電力

43、供應(yīng)安全設(shè)計(jì)/驗(yàn)收文檔，查看文檔中是否標(biāo)明單獨(dú)為計(jì)算機(jī)系統(tǒng)供電，配備穩(wěn)壓器、過(guò)電壓防護(hù)設(shè)備以及短期備用電源設(shè)備等要求；d）應(yīng)檢查計(jì)算機(jī)供電線路，查看計(jì)算機(jī)系統(tǒng)供電是否與其他供電分開(kāi)；e）應(yīng)檢查機(jī)房，查看計(jì)算機(jī)系統(tǒng)供電線路上的穩(wěn)壓器、過(guò)電壓防護(hù)設(shè)備和短期備用電源設(shè)備是否正常運(yùn)行；f） 應(yīng)檢查是否有穩(wěn)壓器、過(guò)電壓防護(hù)設(shè)備以及短期備用電源設(shè)備等電源設(shè)備的檢查 和維護(hù)記錄。結(jié)果判定a）測(cè)評(píng)實(shí)施a） -g）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。電磁防護(hù)第37頁(yè)共181頁(yè)測(cè)評(píng)項(xiàng)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；b）電源線和通信線纜應(yīng)隔離，避免互相干擾。測(cè)評(píng)方式訪談，檢查。測(cè)評(píng)對(duì)象物理安

44、全負(fù)責(zé)人，機(jī)房維護(hù)人員，機(jī)房設(shè)施，電磁防護(hù)設(shè)計(jì) /驗(yàn)收文檔。測(cè)評(píng)實(shí)施a）應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)是否有防止外界電磁干擾和設(shè)備寄生耦合干擾的措 施（包括設(shè)備外殼有良好的接地、電源線和通信線纜隔離等）；b）應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)是否對(duì)設(shè)備外殼做了良好的接地；是否做到電源線和 通信線纜隔離；是否出現(xiàn)過(guò)因外界電磁干擾等問(wèn)題引發(fā)的故障；c）應(yīng)檢查機(jī)房是否有電磁防護(hù)設(shè)計(jì) /驗(yàn)收文檔；d）應(yīng)檢查機(jī)房設(shè)備外殼是否有安全接地；e）應(yīng)檢查機(jī)房布線，查看是否做到電源線和通信線纜隔離。結(jié)果判定a）測(cè)評(píng)實(shí)施a） -e）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。網(wǎng)絡(luò)安全結(jié)構(gòu)安全與網(wǎng)段劃分測(cè)評(píng)項(xiàng)a） 網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理

45、能力應(yīng)具備冗余空間，要求滿足業(yè)務(wù)高峰期需要；b）應(yīng)設(shè)計(jì)和繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；c）應(yīng)根據(jù)機(jī)構(gòu)業(yè)務(wù)的特點(diǎn)，在滿足業(yè)務(wù)高峰期需要的基礎(chǔ)上，合理設(shè)計(jì)網(wǎng)絡(luò)帶寬；d）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；e）應(yīng)根據(jù)各部門(mén)的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的 子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；f）重要網(wǎng)段應(yīng)采取網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定措施，防止地址欺騙。測(cè)評(píng)方式訪談，檢查，測(cè)試。測(cè)評(píng)對(duì)象網(wǎng)絡(luò)管理員，邊界和重要網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)設(shè)計(jì) /驗(yàn)收文檔。測(cè)評(píng)實(shí)施第38頁(yè)共181頁(yè)廣州華南信息安全測(cè)評(píng)中心第 頁(yè)共

46、181頁(yè)39 /181廣州華南信息安全測(cè)評(píng)中心 / 181a）可訪談網(wǎng)絡(luò)管理員，詢問(wèn)信息系統(tǒng)中的邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備的性能以及目前業(yè)務(wù) 高峰流量情況；可訪談網(wǎng)絡(luò)管理員，詢問(wèn)網(wǎng)段劃分情況以及劃分的原則；詢問(wèn)重要的網(wǎng)段有哪些， 對(duì)重要網(wǎng)段的保護(hù)措施有哪些；可訪談網(wǎng)絡(luò)管理員，詢問(wèn)網(wǎng)絡(luò)的帶寬情況；詢問(wèn)網(wǎng)絡(luò)中帶寬控制情況以及帶寬分 配的原則；可訪談網(wǎng)絡(luò)管理員，詢問(wèn)網(wǎng)絡(luò)設(shè)備上的路由控制策略措施有哪些，這些策略設(shè)計(jì) 的目的是什么；e）應(yīng)檢查網(wǎng)絡(luò)拓?fù)鋱D，查看與當(dāng)前運(yùn)行情況是否一致；f）應(yīng)檢查網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔，查看是否有邊界和重要網(wǎng)絡(luò)設(shè)備能滿足基本業(yè)務(wù)需求,網(wǎng)絡(luò)接入及核心網(wǎng)絡(luò)的帶寬能否滿足業(yè)務(wù)高峰期的需要等方面

47、的設(shè)計(jì)或說(shuō)明；g）應(yīng)檢查網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔，查看是否有根據(jù)各部門(mén)的工作職能、重要性和所涉及 信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則 為各子網(wǎng)和網(wǎng)段分配地址段的設(shè)計(jì)或描述；h）應(yīng)檢查邊界和重要網(wǎng)絡(luò)設(shè)備，查看是否配置路由控制策略（如使用靜態(tài)路由等） 建立安全的訪問(wèn)路徑；應(yīng)檢查邊界和重要網(wǎng)絡(luò)設(shè)備，查看對(duì)重要網(wǎng)段是否采取了網(wǎng)絡(luò)地址與數(shù)據(jù)鏈路地址綁定的措施（如對(duì)重要服務(wù)器采用IP地址和MAC地址綁定措施）；應(yīng)測(cè)試網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，可通過(guò)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)自動(dòng)發(fā)現(xiàn)、繪制工具，驗(yàn)證實(shí)際的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否一致；k）應(yīng)測(cè)試業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪問(wèn)路徑，可通過(guò)使用路由跟

48、蹤工具（如 tracert等工具），驗(yàn)證業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪問(wèn)路徑的是否安全（如訪問(wèn)路徑是否固定等）；1）應(yīng)測(cè)試重要網(wǎng)段，驗(yàn)證其采取的網(wǎng)絡(luò)地址與數(shù)據(jù)鏈路地址綁定措施是否有效（如試圖使用非綁定地址，查看是否能正常訪問(wèn)等）。結(jié)果判定a）如果測(cè)評(píng)實(shí)施f ） -g）中缺少相應(yīng)的文檔，則該項(xiàng)為否定；b）測(cè)評(píng)實(shí)施e） -l ）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。網(wǎng)絡(luò)訪問(wèn)控制測(cè)評(píng)項(xiàng)a）應(yīng)能根據(jù)會(huì)話狀態(tài)信息（包括數(shù)據(jù)包的源地址、目的地址、源端口號(hào)、目的端口號(hào)、 協(xié)議、出入的接口、會(huì)話序列號(hào)、發(fā)出信息的主機(jī)名等信息，并應(yīng)支持地址通配符 的使用），為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力。測(cè)評(píng)方式訪談

49、，檢查，測(cè)試。測(cè)評(píng)對(duì)象安全員，邊界網(wǎng)絡(luò)設(shè)備（包括網(wǎng)絡(luò)安全設(shè)備）。測(cè)評(píng)實(shí)施a） 可訪談安全員，詢問(wèn)采取的網(wǎng)絡(luò)訪問(wèn)控制措施有哪些；詢問(wèn)訪問(wèn)控制策略的設(shè)計(jì) 原則是什么；詢問(wèn)網(wǎng)絡(luò)訪問(wèn)控制設(shè)備具備的訪問(wèn)控制功能（如是基于狀態(tài)的，還 是基吁二包過(guò)濾等）；b）應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備，查看其是否根據(jù)會(huì)話狀態(tài)信息（如包括數(shù)據(jù)包的源地址、 目的地址、源端口號(hào)、目的端口號(hào)、協(xié)議、出入的接口、會(huì)話序列號(hào)、發(fā)出信息 的主機(jī)名等信息，并應(yīng)支持地址通配符的使用）對(duì)數(shù)據(jù)流進(jìn)行控制；c）應(yīng)測(cè)試邊界網(wǎng)絡(luò)設(shè)備，可通過(guò)試圖訪問(wèn)未授權(quán)的資源，驗(yàn)證訪問(wèn)控制措施是否能 對(duì)未授權(quán)的訪問(wèn)行為的控制（如可以使用掃描工具探測(cè)等）。結(jié)果判定a）測(cè)評(píng)實(shí)施

50、b） -c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。撥號(hào)訪問(wèn)控制測(cè)評(píng)項(xiàng)a）應(yīng)在基于安全屬性的允許遠(yuǎn)程用戶對(duì)系統(tǒng)訪問(wèn)的規(guī)則的基礎(chǔ)上，對(duì)系統(tǒng)所有資源 允許或拒絕用戶進(jìn)行訪問(wèn)，控制粒度為單個(gè)用戶；b）應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。測(cè)評(píng)方式訪談，檢查，測(cè)試。測(cè)評(píng)對(duì)象安全員，邊界網(wǎng)絡(luò)設(shè)備。測(cè)評(píng)實(shí)施a）可訪談安全員，詢問(wèn)網(wǎng)絡(luò)是否允許撥號(hào)訪問(wèn)網(wǎng)絡(luò)；詢問(wèn)對(duì)撥號(hào)訪問(wèn)控制的策略是 什么，采取何種技術(shù)手段實(shí)現(xiàn)（如使用防火墻還是路由器實(shí)現(xiàn)），采取的撥號(hào)訪 問(wèn)用戶的權(quán)限分配原則是什么；b）應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備（如路由器，防火墻，認(rèn)證網(wǎng)關(guān)），查看是否配置了正確的撥第40頁(yè)共181頁(yè)號(hào)訪問(wèn)控制列表（對(duì)系統(tǒng)資源實(shí)現(xiàn)允許或

51、拒絕用戶訪問(wèn)），控制粒度是否為單個(gè)用戶；查看其能否限制撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量；c）應(yīng)測(cè)試邊界網(wǎng)絡(luò)設(shè)備，可通過(guò)試圖非授權(quán)的訪問(wèn)，驗(yàn)證撥號(hào)訪問(wèn)措施能否有效對(duì) 系統(tǒng)資源實(shí)現(xiàn)允許或拒絕用戶訪問(wèn)的控制；d）應(yīng)測(cè)試邊界網(wǎng)絡(luò)設(shè)備，可使用測(cè)試網(wǎng)絡(luò)連接數(shù)工具，驗(yàn)證其限制具有撥號(hào)訪問(wèn)權(quán) 限的用戶數(shù)量的功能是否有效。結(jié)果判定a）測(cè)評(píng)實(shí)施b） -d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。網(wǎng)絡(luò)安全審計(jì)測(cè)評(píng)項(xiàng)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等事件進(jìn)行日志記錄；b）對(duì)于每一個(gè)事件，其審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事 件是否成功，及其他與審計(jì)相關(guān)的信息。測(cè)評(píng)方式訪談，檢查，測(cè)試。測(cè)

52、評(píng)對(duì)象審計(jì)員，邊界和重要網(wǎng)絡(luò)設(shè)備（包括安全設(shè)備）審計(jì)記錄，審計(jì)策略。測(cè)評(píng)實(shí)施a）可訪談審計(jì)員，詢問(wèn)是否對(duì)網(wǎng)絡(luò)系統(tǒng)中的邊界和重要網(wǎng)絡(luò)設(shè)備進(jìn)行審計(jì)，審計(jì)包 括哪些項(xiàng)；詢問(wèn)審計(jì)記錄的主要內(nèi)容有哪些；詢問(wèn)對(duì)審計(jì)記錄的處理方式；b）應(yīng)檢查邊界和重要網(wǎng)絡(luò)設(shè)備的審計(jì)記錄，查看是否有網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行 狀況、網(wǎng)絡(luò)流量、用戶行為等事件的記錄；c）應(yīng)檢查邊界和重要網(wǎng)絡(luò)設(shè)備的事件審計(jì)策略，查看是否包括：事件的日期和時(shí)間、 用戶、事件類型、事件成功情況，及其他與審計(jì)相關(guān)的信息。d）應(yīng)測(cè)試邊界和重要網(wǎng)絡(luò)設(shè)備的事件審計(jì)記錄是否包括：事件的日期和時(shí)間、用戶、 事件類型、事件成功情況，及其他與審計(jì)相關(guān)的信息（如產(chǎn)生相應(yīng)

53、的事件，觀察審 計(jì)的記錄看是否對(duì)這些事件的準(zhǔn)確記錄）。結(jié)果判定a）測(cè)評(píng)實(shí)施b） -d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。邊界完整性檢查測(cè)評(píng)項(xiàng)廣州華南信息安全測(cè)評(píng)中心 / 181廣州華南信息安全測(cè)評(píng)中心 / 181廣州華南信息安全測(cè)評(píng)中心 /181a）應(yīng)能夠檢測(cè)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為（即非法外聯(lián)”行為）。測(cè)評(píng)方式訪談，檢查，測(cè)試。測(cè)評(píng)對(duì)象安全員，邊界完整性檢查設(shè)備 /工具，邊界完整性檢查工具運(yùn)行日志。測(cè)評(píng)實(shí)施a）可訪談安全員，詢問(wèn)是否有對(duì)內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行監(jiān)控的措施，具體是什么措施；詢問(wèn)網(wǎng)絡(luò)內(nèi)是否使用邊界完整性檢查設(shè)備/工具對(duì)網(wǎng)

54、絡(luò)進(jìn)行監(jiān)控；詢問(wèn)網(wǎng)絡(luò)內(nèi) 非法外聯(lián)”的情況；b）應(yīng)檢查邊界完整性檢查工具運(yùn)行日志，查看運(yùn)行是否正常（查看是否持續(xù)對(duì)網(wǎng)絡(luò) 進(jìn)行監(jiān)控）；c）應(yīng)檢查邊界完整性檢查設(shè)備 /工具的配置，查看是否正確配置對(duì)網(wǎng)絡(luò)的內(nèi)部用戶未 通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行有效監(jiān)控；d）應(yīng)測(cè)試邊界完整性檢查工具，是否能有效的發(fā)現(xiàn)非法外聯(lián)”的行為（如產(chǎn)生非法外聯(lián)的動(dòng)作，查看邊界完整性檢查工具是否能夠及時(shí)發(fā)現(xiàn)該行為）。結(jié)果判定a）測(cè)評(píng)實(shí)施b） -d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。網(wǎng)絡(luò)入侵防范測(cè)評(píng)項(xiàng)a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕 服務(wù)攻擊、緩沖區(qū)溢出攻擊、 IP碎片攻擊、網(wǎng)

55、絡(luò)蠕蟲(chóng)攻擊等入侵事件的發(fā)生。測(cè)評(píng)方式訪談，檢查，測(cè)試。測(cè)評(píng)對(duì)象安全員，網(wǎng)絡(luò)入侵防范設(shè)備。測(cè)評(píng)實(shí)施a）可訪談安全員，詢問(wèn)網(wǎng)絡(luò)入侵防范措施有哪些；詢問(wèn)是否有專門(mén)的設(shè)備對(duì)網(wǎng)絡(luò)入 侵進(jìn)行防范；詢問(wèn)采取什么方式進(jìn)行網(wǎng)絡(luò)入侵防范規(guī)則庫(kù)升級(jí)；應(yīng)檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看是否能檢測(cè)以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；應(yīng)檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看其生產(chǎn)廠商是否為正規(guī)廠商，規(guī)則庫(kù)是否為最新；第42頁(yè)共181頁(yè)d）應(yīng)測(cè)試網(wǎng)絡(luò)入侵防范設(shè)備，驗(yàn)證其監(jiān)控策略是否有效（如模擬產(chǎn)生攻擊動(dòng)作，查 看網(wǎng)絡(luò)入侵防范設(shè)備的反應(yīng)）。結(jié)果判定a） 測(cè)評(píng)實(shí)施b ） -

56、d ）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。惡意代碼防范測(cè)評(píng)項(xiàng)a） 應(yīng)在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；b）應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新；c）應(yīng)支持惡意代碼防范的統(tǒng)一管理。測(cè)評(píng)方式訪談，檢查。測(cè)評(píng)對(duì)象安全員，防惡意代碼產(chǎn)品，網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔，惡意代碼產(chǎn)品運(yùn)行日志。測(cè)評(píng)實(shí)施a）可訪談安全員，詢問(wèn)系統(tǒng)中的網(wǎng)絡(luò)防惡意代碼防范措施是什么；詢問(wèn)惡意代碼庫(kù) 的更新策略，詢問(wèn)防惡意代碼產(chǎn)品的有哪些主要功能；詢問(wèn)系統(tǒng)是否發(fā)生過(guò)惡意 代碼入侵的安全事件；b）應(yīng)檢查網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔，查看其是否有在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處是否有對(duì) 惡意代碼采取相關(guān)措施（如是否有防病毒網(wǎng)關(guān)）；檢查

57、防惡意代碼產(chǎn)品是否有實(shí) 時(shí)更新的功能的描述；c）應(yīng)檢查惡意代碼產(chǎn)品運(yùn)行日志，查看是否持續(xù)運(yùn)行；d）應(yīng)檢查在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處是否有相應(yīng)的防惡意代碼的措施；e）應(yīng)檢查防惡意代碼產(chǎn)品，查看是否為正規(guī)廠商生產(chǎn)，運(yùn)行是否正常，惡意代碼庫(kù) 是否為最新版本；f） 應(yīng)檢查防惡意代碼產(chǎn)品的配置策略，查看是否支持惡意代碼防范的統(tǒng)一管理（如 查看是否為分布式部署，集中管理等）。結(jié)果判定a）如果測(cè)評(píng)實(shí)施b）中缺少相應(yīng)的文檔，則該項(xiàng)為否定；b）測(cè)評(píng)實(shí)施b） -f ）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。網(wǎng)絡(luò)設(shè)備防護(hù)測(cè)評(píng)項(xiàng)a） 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；第43頁(yè)共181頁(yè)b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄

58、地址進(jìn)行限制；c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；d）身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，例如口令長(zhǎng)度、復(fù)雜性和定期的更新等；e）應(yīng)具有登錄失敗處理功能，如結(jié)束會(huì)話、限制非法登錄次數(shù)，當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)， 自動(dòng)退出。測(cè)評(píng)方式訪談，檢查，測(cè)試。測(cè)評(píng)對(duì)象網(wǎng)絡(luò)管理員，邊界和重要網(wǎng)絡(luò)設(shè)備（包括安全設(shè)備）。測(cè)評(píng)實(shí)施a） 可訪談網(wǎng)絡(luò)管理員，詢問(wèn)對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備的防護(hù)措施有哪些；詢問(wèn)對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè) 備的登錄和驗(yàn)證方式做過(guò)何種特定配置；b）應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)網(wǎng)絡(luò)設(shè)備的口令策略是什么；c） 應(yīng)檢查邊界和重要網(wǎng)絡(luò)設(shè)備上的安全設(shè)置，查看其是否有對(duì)鑒別失敗采取相應(yīng)的 措施的設(shè)置；查看其是否有限制非法登錄次數(shù)的功能；d）應(yīng)檢

59、查邊界和重要網(wǎng)絡(luò)設(shè)備上的安全設(shè)置，查看是否對(duì)主要網(wǎng)絡(luò)設(shè)備的管理員登 錄地址進(jìn)行限制；查看是否設(shè)置網(wǎng)絡(luò)登錄連接超時(shí)，并自動(dòng)退出；查看是否實(shí)現(xiàn) 設(shè)備特權(quán)用戶的權(quán)限分離；查看是否對(duì)網(wǎng)絡(luò)上的對(duì)等實(shí)體進(jìn)行身份鑒別；查看是 否對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；e）應(yīng)測(cè)試邊界和重要網(wǎng)絡(luò)設(shè)備的安全設(shè)置，驗(yàn)證鑒別失敗處理措施（如模擬失敗登錄， 觀察網(wǎng)絡(luò)設(shè)備的動(dòng)作等），限制非法登錄次數(shù)（如模擬非法登錄，觀察網(wǎng)絡(luò)設(shè)備的 動(dòng)作等），對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制（如使用任意地址登錄，觀察網(wǎng) 絡(luò)設(shè)備的動(dòng)作等）等功能是否有效；f） 應(yīng)測(cè)試邊界和重要網(wǎng)絡(luò)設(shè)備的安全設(shè)置，驗(yàn)證其網(wǎng)絡(luò)登錄連接超自動(dòng)退

60、出的設(shè)置 是否有效（如長(zhǎng)時(shí)間連接無(wú)任何操作，觀察觀察網(wǎng)絡(luò)設(shè)備的動(dòng)作等）；g）應(yīng)對(duì)邊界和重要網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試，通過(guò)使用各種滲透測(cè)試技術(shù)（如口令猜 解等）對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試，驗(yàn)證網(wǎng)絡(luò)設(shè)備防護(hù)能力是否符合要求。結(jié)果判定a）如網(wǎng)絡(luò)設(shè)備的口令策略為口令長(zhǎng)度6位以上，口令復(fù)雜（如規(guī)定字符應(yīng)混有大、小寫(xiě)字母、數(shù)字和特殊字符），口令生命周期，新舊口令的替換要求（規(guī)定替換 的字符數(shù)量）或?yàn)榱吮阌谟洃浭褂昧肆钆?；則測(cè)評(píng)實(shí)施b ）滿足測(cè)評(píng)要求；b）測(cè)評(píng)實(shí)施b） -f ）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。第44頁(yè)共181頁(yè)主機(jī)系統(tǒng)安全身份鑒別測(cè)評(píng)項(xiàng)a） 操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)用戶的身份標(biāo)識(shí)應(yīng)具有唯一