網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)項(xiàng)目V2.1

1、XXX網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)服務(wù)項(xiàng)目網(wǎng)絡(luò)安全等級(jí)保護(hù)資質(zhì)公安部審核批準(zhǔn)國家等保辦推薦 DJCP2017340099基于信息系統(tǒng)全生命周期的安全服務(wù)培訓(xùn)服務(wù)規(guī)劃階段分析階段設(shè)計(jì)階段實(shí)施階段運(yùn)行維護(hù)階段等級(jí)保護(hù)咨詢服務(wù)等級(jí)保護(hù)技術(shù)體系設(shè)計(jì)咨詢等級(jí)保護(hù)管理體系設(shè)計(jì)咨詢管理體系咨詢服務(wù)（ISO/IEC 27001 、ISO/IEC 20000 、ISO22301、ITSS）專家評(píng)審（等級(jí)保護(hù)信息系統(tǒng)定級(jí)評(píng)審、項(xiàng)目設(shè)計(jì)方案、安全方案評(píng)審、項(xiàng)目驗(yàn)收評(píng)審）網(wǎng)絡(luò)安全規(guī)劃服務(wù)風(fēng)險(xiǎn)評(píng)估服務(wù)等級(jí)保護(hù)測評(píng)服務(wù)滲透測試安全運(yùn)維服務(wù)應(yīng)急體系建設(shè)漏洞掃描攻防演練應(yīng)急響應(yīng)等保云防軟件測評(píng)代碼審計(jì)移動(dòng)應(yīng)用安全密碼測評(píng)服務(wù)目錄01

2、. 項(xiàng)目背景02. 項(xiàng)目計(jì)劃03. 測評(píng)實(shí)施PART01項(xiàng)目背景大數(shù)據(jù)互聯(lián)網(wǎng)物聯(lián)網(wǎng)云計(jì)算移動(dòng)計(jì)算人工智能項(xiàng)目背景隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全已成為個(gè)人乃至國家安全的核心要素層次五 自我實(shí)現(xiàn)的需求（是指如何發(fā)揮潛能、實(shí)現(xiàn)理想的需要）層次四 尊重的需求（是指對威信、地位、自我尊重的需要）層次三 社會(huì)需求（是指對愛情、友誼、歸屬的需要）層次二 安全需求（是指對保護(hù)、秩序、穩(wěn)定的需要）層次一 生理需求（是指對食物、水、空氣、住房的需要）基礎(chǔ)性需求新型勒索病毒肆虐，造成全球互聯(lián)網(wǎng)災(zāi)難WannaCry，一種“蠕蟲式”的勒索病毒軟件，大小3.3MB，由不法分子利用NSA（美國國家安全局）泄露的危險(xiǎn)漏洞“Et

3、ernalBlue”（永恒之藍(lán)）進(jìn)行傳播。 WannaCry勒索病毒的全球大爆發(fā)，儼然是一場全球性互聯(lián)網(wǎng)災(zāi)難，至少150個(gè)國家、30萬名用戶中招，造成損失達(dá)80億美元，已經(jīng)影響到金融，能源，醫(yī)療等眾多行業(yè)，它是自熊貓燒香以來影響力最大的病毒之一。 中國部分Windows操作系統(tǒng)用戶遭受感染，校園網(wǎng)用用首當(dāng)其沖，受害嚴(yán)重，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密。部分大型企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密后，無法正常工作，影響巨大。2018年3月末，思科高危漏洞 CVE-2018-0171在清明小長假期間被黑客利用發(fā)動(dòng)攻擊，國內(nèi)多家機(jī)構(gòu)中招，配置文件被清空，安全設(shè)備形同虛設(shè)。此漏洞影響底層網(wǎng)絡(luò)設(shè)備，且漏

4、洞 PoC 已公開，很有可能構(gòu)成重大威脅思科3月28日發(fā)布安全公告指出，思科 IOS 和 IOS-XE 軟件 Smart Install Client （開啟了Cisco Smart Install管理協(xié)議，且模式為client模式）存在遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-0171，CVSS 評(píng)分高達(dá)9.8分（總分10分）。攻擊者可遠(yuǎn)程向 TCP 4786 端口發(fā)送惡意數(shù)據(jù)包，觸發(fā)目標(biāo)設(shè)備的棧溢出漏洞造成設(shè)備拒絕服務(wù)（DoS）或遠(yuǎn)程執(zhí)行任意代碼黑客利用思科高危漏洞攻擊國內(nèi)多家機(jī)構(gòu)網(wǎng)絡(luò)安全法黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法第二條 網(wǎng)絡(luò)安全工作事關(guān)國家安全、政權(quán)安全和經(jīng)濟(jì)社會(huì)發(fā)展。按照誰主管誰

5、負(fù)責(zé)、屬地管理的原則，各級(jí)黨委（黨組）對本地區(qū)本部門網(wǎng)絡(luò)安全工作負(fù)主體責(zé)任，領(lǐng)導(dǎo)班子主要負(fù)責(zé)人是第一責(zé)任人，主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)班子成員是直接責(zé)任人。第三條 各級(jí)黨委（黨組）主要承擔(dān)的網(wǎng)絡(luò)安全責(zé)任是：（一）認(rèn)真貫徹落實(shí)黨中央和習(xí)近平總書記關(guān)于網(wǎng)絡(luò)安全工作的重要指示精神和決策部署，貫徹落實(shí)網(wǎng)絡(luò)安全法律法規(guī)，明確本地區(qū)本部門網(wǎng)絡(luò)安全的主要目標(biāo)、基本要求、工作任務(wù)、保護(hù)措施；（二）建立和落實(shí)網(wǎng)絡(luò)安全責(zé)任制，把網(wǎng)絡(luò)安全工作納入重要議事日程，明確工作機(jī)構(gòu)，加大人力、財(cái)力、物力的支持和保障力度；（三）統(tǒng)一組織領(lǐng)導(dǎo)本地區(qū)本部門網(wǎng)絡(luò)安全保護(hù)和重大事件處置工作，研究解決重要問題；（四）采取有效措施，為公安機(jī)關(guān)、國

6、家安全機(jī)關(guān)依法維護(hù)國家安全、偵查犯罪以及防范、調(diào)查恐怖活動(dòng)提供支持和保障；（五）組織開展經(jīng)常性網(wǎng)絡(luò)安全宣傳教育，采取多種方式培養(yǎng)網(wǎng)絡(luò)安全人才，支持網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)發(fā)展。網(wǎng)絡(luò)安全是一把手工程等級(jí)保護(hù)重點(diǎn)等級(jí)保護(hù)是以法律形式確立的網(wǎng)絡(luò)空間安全基本制度，其核心是劃分等級(jí) 重點(diǎn)保護(hù)定級(jí)方法GB/T 222402008 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南等級(jí)對象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)公民、法人的合法權(quán)益損害自主保護(hù)第二級(jí)一般系統(tǒng)公民、法人的合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)保護(hù)社會(huì)秩序和公眾利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公眾利益嚴(yán)重?fù)p害監(jiān)督檢查國家安全損害第四級(jí)重要系統(tǒng)社會(huì)秩序和公眾利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)

7、督檢查國家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查等級(jí)保護(hù)制度體系定級(jí)、備案、建設(shè)、整改、監(jiān)督檢查信息安全等級(jí)保護(hù)工作定級(jí)備案安全建設(shè)整改等級(jí)測評(píng)檢查關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技【2008】）2071號(hào)信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則（公信安【2007】1360號(hào)）關(guān)于開展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公信安【2009】1429號(hào)）關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公通字20078816號(hào)）關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測評(píng)體系建設(shè)和開展等級(jí)測評(píng)工作的通知（公信安【2010】303號(hào)）公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢

8、查工作規(guī)范（試行）（公信安【2008】736號(hào)）信息安全等級(jí)保護(hù)管理辦法（公通字【2007】43號(hào)）關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字【2004】66號(hào)）中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國務(wù)院147號(hào)令）國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(中辦發(fā)【2003】27號(hào))關(guān)于印發(fā)信息系統(tǒng)安全等級(jí)測評(píng)報(bào)告模板（試行）的通知【2019】1487號(hào)）PART02項(xiàng)目計(jì)劃目標(biāo)范圍項(xiàng)目目標(biāo)：本項(xiàng)目主要以等級(jí)保護(hù)基本要求為依據(jù)，并參考國內(nèi)、國外信息安全相關(guān)標(biāo)準(zhǔn)和最佳實(shí)踐，根據(jù)鳳陽縣人民醫(yī)院HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)、電子病歷系統(tǒng)的安全現(xiàn)狀，提出具體的整改建議，降低系統(tǒng)安

9、全性風(fēng)險(xiǎn)，并順利通過2.0三級(jí)等保項(xiàng)目范圍：鳳陽縣人民醫(yī)院HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)、電子病歷系統(tǒng)所涉及的辦公環(huán)境、物理環(huán)境、網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備、應(yīng)用系統(tǒng)及相關(guān)管理制度指標(biāo)范圍：根據(jù)信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T 22239-2019）選取對應(yīng)系統(tǒng)級(jí)別的測評(píng)指標(biāo)。計(jì)劃安排測評(píng)工作分為測評(píng)準(zhǔn)備、方案編制、現(xiàn)場測評(píng)、報(bào)告編制四個(gè)階段，細(xì)化為以下幾個(gè)階段，計(jì)劃時(shí)間安排如下：項(xiàng)目啟動(dòng)測評(píng)準(zhǔn)備方案編制現(xiàn)場測評(píng)整改建設(shè)報(bào)告編制結(jié)項(xiàng)階段定級(jí)備案公安審核調(diào)研準(zhǔn)備基本情況表工具選用測評(píng)方案項(xiàng)目計(jì)劃書啟動(dòng)會(huì)PPT技術(shù)測評(píng)管理測評(píng)風(fēng)險(xiǎn)分析技術(shù)整改管理整改結(jié)果更新報(bào)告編

10、制報(bào)告審核項(xiàng)目驗(yàn)收已完成進(jìn)行中未開始2019-12-232019-12-232019-12-262019-12-302020-01-03入場材料驗(yàn)證測試入場材料2020-01-062020-01-15PART03測評(píng)實(shí)施實(shí)施依據(jù)信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T 22239-2019）信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求（GB/T 25070-2019）信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求（GB/T 28448-2019）信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)過程指南（GB/T 28449-2018）信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南（GB/T 25058）（修訂中）測評(píng)

11、指標(biāo)基本要求子類等保二級(jí)等保三級(jí)技術(shù)要求安全物理環(huán)境1522安全通信網(wǎng)絡(luò)48安全區(qū)域邊界1120安全計(jì)算環(huán)境2334安全管理中心412管理要求安全管理制度67安全管理機(jī)構(gòu)914安全管理人員712安全建設(shè)管理2534安全運(yùn)維管理3148要求項(xiàng)合計(jì)135211211個(gè)檢查項(xiàng)135個(gè)檢查項(xiàng)10大安全領(lǐng)域測評(píng)方法訪談測評(píng)人員通過與信息系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)以表明信息系統(tǒng)安全保護(hù)措施是否有效落實(shí)的一種方法。在訪談范圍上，應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。檢查測評(píng)人員通過對測評(píng)對象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取相關(guān)證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否

12、有效實(shí)施的一種方法。在檢查范圍上，應(yīng)基本覆蓋所有的對象種類（設(shè)備、文檔、機(jī)制等），數(shù)量上可以抽樣。測試測評(píng)人員針對測評(píng)對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)，通過查看和分析響應(yīng)的輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法。在測試范圍上，應(yīng)基本覆蓋不同類型的機(jī)制，在數(shù)量上可以抽樣。測評(píng)實(shí)施原則項(xiàng)目實(shí)施原則應(yīng)在沒有偏見和最小主觀判斷情形下，按照測評(píng)雙方相互認(rèn)可的測評(píng)方案，基于明確定義的測評(píng)方法和過程，實(shí)施測評(píng)活動(dòng)客觀性和公正性原則鼓勵(lì)測評(píng)工作重用以前的測評(píng)結(jié)果。所有重用的結(jié)果，都應(yīng)基于這些結(jié)果還能適用于目前的系統(tǒng)，能反映目前系統(tǒng)的安全狀態(tài)經(jīng)濟(jì)性和可重用性原則無論誰執(zhí)

13、行測評(píng)，依照同樣的要求，使用同樣的方法，對每個(gè)測評(píng)實(shí)施過程的重復(fù)執(zhí)行都應(yīng)該得到同樣的測評(píng)結(jié)果?？稍佻F(xiàn)性體現(xiàn)在不同測評(píng)者執(zhí)行相同測評(píng)的結(jié)果的一致性?？芍貜?fù)性體現(xiàn)在同一測評(píng)者重復(fù)執(zhí)行相同測評(píng)的結(jié)果的一致性可重復(fù)性和可再現(xiàn)性原則測評(píng)所產(chǎn)生的結(jié)果應(yīng)當(dāng)是在對測評(píng)指標(biāo)的正確理解下所取得的良好的判斷。測評(píng)實(shí)施過程應(yīng)當(dāng)使用正確的方法以確保其滿足了測評(píng)指標(biāo)的要求。整體性體現(xiàn)在等級(jí)測評(píng)的范圍和內(nèi)容應(yīng)當(dāng)系統(tǒng)、全面，覆蓋信息系統(tǒng)安全所涉及的各個(gè)層面，并考慮各個(gè)層面的相互關(guān)系符合性和整體性原則測評(píng)工作應(yīng)盡可能小地影響網(wǎng)絡(luò)和系統(tǒng)的正常運(yùn)行，不能對系統(tǒng)的業(yè)務(wù)產(chǎn)生顯著影響。保密性體現(xiàn)在對測評(píng)過程中所接觸到的被測系統(tǒng)運(yùn)營、使用

14、單位的所有敏感信息，測評(píng)人員應(yīng)遵循相關(guān)的保密承諾，不利用它們進(jìn)行任何侵害被測系統(tǒng)運(yùn)營、損害單位安全利益的行為符合性和整體性原則測評(píng)報(bào)告考量重點(diǎn)測評(píng)報(bào)告重點(diǎn)考量項(xiàng)通過漏洞掃描、滲透測試發(fā)現(xiàn)，存在中高危風(fēng)險(xiǎn)漏洞的信息系統(tǒng)必須整改完成方可出具測評(píng)報(bào)告，否則報(bào)告結(jié)論為“差”高危漏洞整改信息系統(tǒng)中網(wǎng)絡(luò)設(shè)備、主機(jī)（操作系統(tǒng)、數(shù)據(jù)庫）和應(yīng)用系統(tǒng)應(yīng)滿足基本的安全配置需求。如應(yīng)設(shè)置密碼復(fù)雜度、具備安全審計(jì)功能等系統(tǒng)安全配置網(wǎng)絡(luò)全局安全方面須部署邊界防護(hù)設(shè)備（如帶有安全防護(hù)功能的防火墻、IPS/IDS等），能夠基本抵御外網(wǎng)威脅，同時(shí)保證內(nèi)網(wǎng)安全網(wǎng)絡(luò)安全防護(hù)重要網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)服務(wù)器等應(yīng)采用冗余部署方式，保證系統(tǒng)

15、的高可用性系統(tǒng)高可用考察委托單位網(wǎng)絡(luò)安全職責(zé)落實(shí)情況，是否由各級(jí)黨委（黨組）領(lǐng)導(dǎo)班子主要負(fù)責(zé)人為第一責(zé)任人，或單位最高領(lǐng)導(dǎo)作為第一責(zé)任人網(wǎng)絡(luò)安全責(zé)任制安全物理環(huán)境測評(píng)內(nèi)容及安排序號(hào)測評(píng)項(xiàng)檢查方式/時(shí)間測評(píng)對象天帷人員配合人員1物理位置選擇訪談、檢查已完成機(jī)房內(nèi)部環(huán)境機(jī)房門禁機(jī)房視頻監(jiān)控機(jī)房消防系統(tǒng)機(jī)房空調(diào)機(jī)房UPS機(jī)房布線設(shè)備標(biāo)簽機(jī)房電力、建筑防火材料、防雷、抗震相關(guān)證明材料XXX機(jī)房管理員2物理訪問控制3防盜竊和放破壞4防雷擊5防火6防水和防潮7防靜電8溫濕度控制9電力供應(yīng)10電磁防護(hù)安全通信網(wǎng)絡(luò)測評(píng)內(nèi)容及安排序號(hào)測評(píng)項(xiàng)檢查方式測評(píng)對象天帷人員配合人員1網(wǎng)絡(luò)架構(gòu)訪談、檢查已完成網(wǎng)絡(luò)結(jié)構(gòu)XXX

16、網(wǎng)絡(luò)管理員2通信傳輸3可信驗(yàn)證安全區(qū)域邊界測評(píng)內(nèi)容及安排序號(hào)測評(píng)項(xiàng)檢查方式測評(píng)對象天帷人員配合人員1邊界防護(hù)訪談、檢查已完成網(wǎng)絡(luò)設(shè)備防火墻防病毒網(wǎng)關(guān)IPS其他XXX網(wǎng)絡(luò)管理員2訪問控制3入侵防范4惡意代碼和垃圾郵件防范5安全審計(jì)6可信驗(yàn)證7邊界防護(hù)安全計(jì)算環(huán)境測評(píng)內(nèi)容及安排序號(hào)測評(píng)項(xiàng)檢查方式測評(píng)對象天帷人員配合人員1身份鑒別訪談檢查測試網(wǎng)絡(luò)設(shè)備安全設(shè)備主機(jī)操作系統(tǒng)主機(jī)數(shù)據(jù)庫中間件應(yīng)用系統(tǒng)數(shù)據(jù)XXXXXX網(wǎng)絡(luò)管理員系統(tǒng)管理員2訪問控制3安全審計(jì)4入侵防范5惡意代碼防范6可信驗(yàn)證7數(shù)據(jù)完整性8數(shù)據(jù)保密性9數(shù)據(jù)備份和恢復(fù)10剩余信息保護(hù)11個(gè)人信息保護(hù)安全管理中心測評(píng)內(nèi)容及安排序號(hào)測評(píng)項(xiàng)檢查方式測評(píng)

17、對象天帷人員配合人員1系統(tǒng)管理訪談、檢查已完成SOC態(tài)勢感知設(shè)備堡壘機(jī)備份一體機(jī)日志審計(jì)設(shè)備其他XXX網(wǎng)絡(luò)管理員2審計(jì)管理3安全管理4集中管控管理領(lǐng)域測評(píng)內(nèi)容及安排序號(hào)測評(píng)域檢查方式測評(píng)對象天帷人員配合人員1安全管理制度訪談、檢查信息安全相關(guān)管理制度及制度執(zhí)行應(yīng)保留的記錄XXX系統(tǒng)運(yùn)維部門相關(guān)人員2安全管理機(jī)構(gòu)3安全管理人員4安全建設(shè)管理5安全運(yùn)維管理等級(jí)測評(píng)結(jié)論保2.0測評(píng)及格線提升、評(píng)價(jià)細(xì)化90分以上80-90分70-80分70分以下優(yōu)中良差測評(píng)風(fēng)險(xiǎn)規(guī)避一、工具測試的風(fēng)險(xiǎn)規(guī)避測評(píng)機(jī)構(gòu)使用的測試工具在使用前應(yīng)事先告知被測系統(tǒng)運(yùn)營、使用單位，并詳細(xì)介紹這些工具的用途以及可能對信息系統(tǒng)造成的影響，征得其同意；合理安排驗(yàn)證測試和工具測試的時(shí)間，盡量避開業(yè)務(wù)高峰期；在進(jìn)行驗(yàn)證測試和工具測試前，需要對關(guān)鍵數(shù)據(jù)做好備份工作；由被測系統(tǒng)運(yùn)營、使用單位對整個(gè)測試過程進(jìn)行監(jiān)督；上機(jī)驗(yàn)證測試時(shí)由被測系統(tǒng)運(yùn)營、使用單位相應(yīng)的技術(shù)人員進(jìn)行操作，測評(píng)人員根據(jù)情況提出需要查看和驗(yàn)證的內(nèi)容。二、敏感信息泄露的風(fēng)險(xiǎn)規(guī)避簽署保密協(xié)議。測評(píng)雙方應(yīng)簽署完善的、合乎法律規(guī)范的保密協(xié)議，以約束測評(píng)雙方現(xiàn)在及將來的行為。保密協(xié)議規(guī)定了測評(píng)雙方保密方面的權(quán)利與義務(wù)。及時(shí)清除數(shù)據(jù)。完成漏洞掃描和漏洞分析后，測評(píng)方將及時(shí)清除工具中的相關(guān)漏洞信息。測評(píng)紀(jì)律保護(hù)客戶系統(tǒng)信息等級(jí)測評(píng)工作會(huì)收集客戶信息系統(tǒng)信息，項(xiàng)目實(shí)施人員應(yīng)簽署保