網(wǎng)絡(luò)安全監(jiān)測(cè)2課件

1、Chapter 2信息安全測(cè)評(píng)方法信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估2022/9/30主要內(nèi)容為何測(cè)評(píng) Why?怎樣測(cè)評(píng) How?測(cè)評(píng)什么 Which?測(cè)評(píng)準(zhǔn)備 What?何時(shí)測(cè)評(píng) When?誰(shuí)來(lái)測(cè)評(píng) Who?2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估為何測(cè)評(píng)對(duì)信息系統(tǒng)進(jìn)行安全測(cè)評(píng)是對(duì)信息系統(tǒng)的建設(shè)質(zhì)量進(jìn)行評(píng)判的必要環(huán)節(jié)。測(cè)評(píng)原因：因?yàn)橐瀼貒?guó)家標(biāo)準(zhǔn)規(guī)范，保證在規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維和退役等不同階段的信息系統(tǒng)滿(mǎn)足統(tǒng)一、可靠的安全質(zhì)量要求。 2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估等級(jí)保護(hù)標(biāo)準(zhǔn)系統(tǒng)定級(jí)(System Classification)：根據(jù)一個(gè)信息系統(tǒng)受到破壞后可能給個(gè)人、機(jī)構(gòu)、社會(huì)以及國(guó)家安全帶

2、來(lái)的不同影響來(lái)確定的該信息系統(tǒng)的安全級(jí)別。 TCSEC (Trusted Computer System Evaluation Criteria)：可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則利用所謂的可信計(jì)算基(Trusted Computing Base, TCB)作為建筑安全可靠的計(jì)算機(jī)系統(tǒng)的“基石”，將計(jì)算機(jī)信息系統(tǒng)的安全劃分為4個(gè)等級(jí)、7個(gè)級(jí)別。 2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估TCSEC安全級(jí)別安全等級(jí)詳細(xì)描述典型系統(tǒng)示例D級(jí)D1D類(lèi)安全等級(jí)是TCSEC標(biāo)準(zhǔn)中安全等級(jí)最低的一級(jí)。未設(shè)置用戶(hù)登錄口令的終端；早期的操作系統(tǒng)如MS-DOS等C級(jí)C1C1系統(tǒng)要求軟硬件具有一定的訪(fǎng)問(wèn)控制能力。C1系統(tǒng)不足

3、之處在于用戶(hù)可直接訪(fǎng)問(wèn)操作系統(tǒng)的根目錄，因此用戶(hù)可以將數(shù)據(jù)任意移走。機(jī)箱加鎖用戶(hù)登錄口令；系統(tǒng)管理員可對(duì)程序和數(shù)據(jù)設(shè)置訪(fǎng)問(wèn)權(quán)限C2在保留了C1系統(tǒng)安全機(jī)制的情況下，C2系統(tǒng)加強(qiáng)了安全控制控制。管理員可設(shè)置用戶(hù)權(quán)限和訪(fǎng)問(wèn)級(jí)別企事業(yè)機(jī)構(gòu)的門(mén)戶(hù)網(wǎng)站B級(jí)B1略開(kāi)始具有強(qiáng)制審計(jì)功能企事業(yè)單位的辦公內(nèi)網(wǎng)（Intranet）B2略給設(shè)備分配安全級(jí)別，例如用戶(hù)可以訪(fǎng)問(wèn)一個(gè)工作站，但不允許訪(fǎng)問(wèn)裝有人事檔案信息或工資的磁盤(pán)子系統(tǒng)B3略采用硬件來(lái)保護(hù)安全系統(tǒng)的存儲(chǔ)區(qū)用數(shù)字證書(shū)來(lái)驗(yàn)證用戶(hù)身份以及使用權(quán)限A級(jí)A1A系統(tǒng)的安全級(jí)別最高。目前，A類(lèi)安全等級(jí)只包含A1一個(gè)安全類(lèi)別。A1類(lèi)與B3類(lèi)相似，對(duì)系統(tǒng)的結(jié)構(gòu)和策略不作特

4、別要求。可以進(jìn)行形式化安全驗(yàn)證的系統(tǒng)產(chǎn)、銷(xiāo)、用一條龍的安全跟蹤，如一個(gè)芯片或磁盤(pán)儲(chǔ)存子系統(tǒng)從生產(chǎn)、銷(xiāo)售到使用都被嚴(yán)密的跟蹤連美國(guó)人自己恐怕都不敢相信它有多少A級(jí)系統(tǒng)2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估國(guó)內(nèi)等級(jí)保護(hù)標(biāo)準(zhǔn)第一級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。 第三級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。 第四級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益

5、造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。 第五級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)安全等級(jí)保護(hù)基本要求涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求 BMB17涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范 BMB202022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估國(guó)內(nèi)等級(jí)保護(hù)標(biāo)準(zhǔn)個(gè)人機(jī)構(gòu)社會(huì)秩序公共利益國(guó)家安全安全等級(jí)信息系統(tǒng)安全等級(jí)影響示意圖2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估安全域按照相似性劃分安全域的優(yōu)點(diǎn)同一套安全防護(hù)設(shè)備可以保護(hù)安全域中的各個(gè)子系統(tǒng)，從而節(jié)約安全投入的成本。同一個(gè)安全域內(nèi)的各個(gè)子系統(tǒng)可以充分的發(fā)揮互

6、聯(lián)互通、信息資源共享的優(yōu)點(diǎn)。不同的安全域之間可以形成多層次配置、縱深防御的安全體系，等等。人們劃分安全域的最主要、也是最常見(jiàn)的方式是將具有相同安全級(jí)別的子系統(tǒng)放置于同一個(gè)安全域中。2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估信息安全測(cè)評(píng)定義：指測(cè)評(píng)人員在系統(tǒng)工程思想的指導(dǎo)下，遵照國(guó)家有關(guān)標(biāo)準(zhǔn)、規(guī)范和流程，通過(guò)設(shè)計(jì)各種測(cè)評(píng)案例，對(duì)一個(gè)信息系統(tǒng)的安全性能和功能進(jìn)行“標(biāo)準(zhǔn)符合性”論證的過(guò)程。測(cè)評(píng)過(guò)程中我們主要關(guān)心的問(wèn)題系統(tǒng)設(shè)計(jì)方案是否遵循國(guó)家有關(guān)標(biāo)準(zhǔn)；系統(tǒng)設(shè)計(jì)方案是否得到嚴(yán)格的執(zhí)行；系統(tǒng)建成后是否達(dá)到設(shè)計(jì)方案的要求；系統(tǒng)是否出現(xiàn)方案中未指明的錯(cuò)誤；2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估主要內(nèi)容為何測(cè)評(píng)

7、怎樣測(cè)評(píng)測(cè)評(píng)什么測(cè)評(píng)準(zhǔn)備何時(shí)測(cè)評(píng)誰(shuí)來(lái)測(cè)評(píng)2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估何時(shí)測(cè)評(píng)設(shè)計(jì)階段：當(dāng)規(guī)劃、設(shè)計(jì)一個(gè)信息系統(tǒng)的時(shí)候，安全測(cè)評(píng)工程師應(yīng)當(dāng)根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)，特別是根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)對(duì)這個(gè)信息系統(tǒng)的重要性提出安全評(píng)估意見(jiàn)來(lái)事先確定它的安全等級(jí)。 建設(shè)階段：當(dāng)設(shè)計(jì)藍(lán)圖通過(guò)有關(guān)部門(mén)的評(píng)審之后，安全測(cè)評(píng)工程師應(yīng)當(dāng)監(jiān)督該系統(tǒng)的建設(shè)過(guò)程是否滿(mǎn)足國(guó)家有關(guān)標(biāo)準(zhǔn)。更為重要的是，在系統(tǒng)建設(shè)完成之后，應(yīng)當(dāng)根據(jù)國(guó)家標(biāo)準(zhǔn)對(duì)其是否達(dá)到建設(shè)目標(biāo)進(jìn)行測(cè)評(píng)驗(yàn)收。 2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估何時(shí)測(cè)評(píng)運(yùn)行維護(hù)階段：經(jīng)過(guò)測(cè)評(píng)驗(yàn)收之后，系統(tǒng)進(jìn)入正式運(yùn)行維護(hù)階段。安全測(cè)評(píng)工程師將定期或不定期地對(duì)系統(tǒng)進(jìn)行

8、例行測(cè)評(píng)。廢棄階段：當(dāng)該系統(tǒng)確實(shí)不堪所用的時(shí)候，安全測(cè)評(píng)工程師需要對(duì)它進(jìn)行最后的測(cè)評(píng)。2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)什么信息系統(tǒng)：指那些具有專(zhuān)業(yè)用途的網(wǎng)絡(luò)，主要是指我國(guó)各企事業(yè)單位的專(zhuān)用網(wǎng)絡(luò)，如政府、金融、銀行、交通、醫(yī)療、能源、學(xué)校、企業(yè)等等開(kāi)展業(yè)務(wù)工作時(shí)所使用的網(wǎng)絡(luò)。 內(nèi)網(wǎng)：指那些與Internet之間采取了“可靠的技術(shù)隔離手段”(通常指物理隔離)的企事業(yè)機(jī)構(gòu)專(zhuān)用網(wǎng)絡(luò)。外網(wǎng)：指那些與Internet相連并向外提供服務(wù)的企事業(yè)機(jī)構(gòu)的專(zhuān)用網(wǎng)絡(luò)。2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估外網(wǎng)測(cè)評(píng)外網(wǎng)安全模型測(cè)評(píng)對(duì)內(nèi)保護(hù)：測(cè)評(píng)外網(wǎng)(或者其子系統(tǒng))抵御Internet上各種安全攻擊的能力

9、和水平。對(duì)外服務(wù)：測(cè)評(píng)如何保證自身提供服務(wù)的連續(xù)性。外網(wǎng)安全技術(shù)測(cè)評(píng)對(duì)外網(wǎng)中各種型號(hào)的安全設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備和終端進(jìn)行技術(shù)測(cè)評(píng)。 外網(wǎng)安全管理測(cè)評(píng)對(duì)外網(wǎng)的各種管理制度、管理人員和管理機(jī)構(gòu)進(jìn)行測(cè)評(píng)。 2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估內(nèi)網(wǎng)測(cè)評(píng)內(nèi)網(wǎng)安全模型測(cè)評(píng)測(cè)評(píng)各個(gè)子系統(tǒng)或安全域的等級(jí)劃分是否符合國(guó)家有關(guān)標(biāo)準(zhǔn)要求和設(shè)計(jì)要求。內(nèi)網(wǎng)安全技術(shù)測(cè)評(píng)對(duì)內(nèi)網(wǎng)中各種型號(hào)的安全設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備和終端進(jìn)行技術(shù)測(cè)評(píng)。內(nèi)網(wǎng)安全管理測(cè)評(píng)對(duì)內(nèi)網(wǎng)的各種管理制度、管理人員和管理機(jī)構(gòu)進(jìn)行測(cè)評(píng)。2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估主要內(nèi)容為何測(cè)評(píng)怎樣測(cè)評(píng)測(cè)評(píng)什么測(cè)評(píng)準(zhǔn)備何時(shí)測(cè)評(píng)誰(shuí)來(lái)測(cè)評(píng)2022/9/30信息安

10、全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估誰(shuí)來(lái)測(cè)評(píng)測(cè)評(píng)形式委托測(cè)評(píng)：由專(zhuān)業(yè)的信息安全測(cè)評(píng)人員組成。自測(cè)評(píng)：主要人員由本單位的技術(shù)人員組成。目前，我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作的形式是委托測(cè)評(píng)。2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估誰(shuí)來(lái)測(cè)評(píng)委托測(cè)評(píng)：我國(guó)負(fù)責(zé)有關(guān)資質(zhì)審核的權(quán)威機(jī)構(gòu)是“中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)” 中國(guó)信息安全測(cè)評(píng)機(jī)構(gòu) 架構(gòu)圖2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估主要內(nèi)容為何測(cè)評(píng)怎樣測(cè)評(píng)測(cè)評(píng)什么測(cè)評(píng)準(zhǔn)備何時(shí)測(cè)評(píng)誰(shuí)來(lái)測(cè)評(píng)2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)準(zhǔn)備向測(cè)評(píng)機(jī)構(gòu)提交測(cè)評(píng)申請(qǐng)測(cè)評(píng)機(jī)構(gòu)進(jìn)行初步審核雙方簽署安全服務(wù)協(xié)議/保密協(xié)議測(cè)評(píng)機(jī)構(gòu)向用戶(hù)提交工作計(jì)劃信息安全測(cè)評(píng)工作流程 2022/9/30

11、信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)準(zhǔn)備測(cè)評(píng)機(jī)構(gòu)對(duì)用戶(hù)提交的資料進(jìn)行初步審核;測(cè)評(píng)機(jī)構(gòu)進(jìn)行必要的資料審核之后，與用戶(hù)簽署安全服務(wù)協(xié)議書(shū)(合同); 服務(wù)協(xié)議(Service Level Agreement, SLA)：指申請(qǐng)測(cè)評(píng)的用戶(hù)(甲方)與測(cè)評(píng)機(jī)構(gòu)(乙方)簽署的具有法律效益的文件。SLA規(guī)定了甲乙雙方在此次測(cè)評(píng)活動(dòng)中的責(zé)任、權(quán)利和義務(wù)。 2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)準(zhǔn)備XX信息系統(tǒng)安全服務(wù)協(xié)議書(shū)簽約方 甲方：XX機(jī)構(gòu)（被測(cè)單位名稱(chēng)） 乙方：XX信息安全測(cè)評(píng)機(jī)構(gòu)協(xié)議書(shū)內(nèi)容一條 項(xiàng)目名稱(chēng)二條 項(xiàng)目目標(biāo)三條 項(xiàng)目?jī)?nèi)容四條 甲方義務(wù)五條 乙方義務(wù)六條 違約責(zé)任七條 爭(zhēng)議解決辦法八條 甲方代表簽

12、字（章） 乙方代表簽字（章） 年 月 日 年 月 日2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)準(zhǔn)備與用戶(hù)簽署保密協(xié)議書(shū)。 保密協(xié)議(Confidential Agreement)：指申請(qǐng)測(cè)評(píng)的用戶(hù)(甲方)與測(cè)評(píng)機(jī)構(gòu)(乙方)簽署的具有法律效益的文件。保密協(xié)議規(guī)定了甲乙雙方在此次測(cè)評(píng)活動(dòng)中保守對(duì)方業(yè)務(wù)、技術(shù)和工作等秘密的承諾。 2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)準(zhǔn)備XX信息系統(tǒng)安全服務(wù)保密協(xié)議甲方：XX機(jī)構(gòu)（被測(cè)單位名稱(chēng)）乙方：XX信息安全測(cè)評(píng)機(jī)構(gòu) 甲乙雙方根據(jù)國(guó)家和地方有關(guān)規(guī)定，就本次安全服務(wù)工作所涉及的核心業(yè)務(wù)機(jī)密達(dá)成如下安全服務(wù)保密協(xié)議合同內(nèi)容一條 保密內(nèi)容和范圍二條 雙方的權(quán)利

13、和義務(wù)三條 協(xié)議有效期四條 免責(zé)條款五條 違約責(zé)任及解決辦法六條 甲方代表簽字（章） 乙方代表簽字（章） 年 月 日 年 月 日2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)準(zhǔn)備向用戶(hù)提交測(cè)評(píng)工作計(jì)劃。 XX信息安全測(cè)評(píng)機(jī)構(gòu)XX信息系統(tǒng)安全服務(wù)工作計(jì)劃一章 工作目標(biāo)二章 工作范圍三章 工作重點(diǎn)四章 進(jìn)度安排五章 保障措施六章 約束條件七章 計(jì)劃審批八章 附錄 A 測(cè)評(píng)依據(jù)1 國(guó)家標(biāo)準(zhǔn)一2 國(guó)家標(biāo)準(zhǔn)二3 附錄B 被測(cè)單位與測(cè)評(píng)單位簡(jiǎn)介附錄C 術(shù)語(yǔ)及名詞縮寫(xiě)2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估主要內(nèi)容為何測(cè)評(píng)怎樣測(cè)評(píng)測(cè)評(píng)什么測(cè)評(píng)準(zhǔn)備何時(shí)測(cè)評(píng)誰(shuí)來(lái)測(cè)評(píng)2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例

14、 “天網(wǎng)”工程背景：巴山市電子政務(wù)信息系統(tǒng) - “天網(wǎng)”集政府內(nèi)部辦公和政府部門(mén)之間協(xié)同辦公(G2G)、政府面向企業(yè)服務(wù)(G2E)以及政府面向社會(huì)公眾服務(wù)(G2P)等功能于一身。G2G：滿(mǎn)足政府內(nèi)部辦公和政府部門(mén)之間協(xié)同辦公業(yè)務(wù)需要。例：為解決巴山市中低等收入居民住房困難情況，該市市長(zhǎng)簽發(fā)了一份關(guān)于本市居民“舊房改造工程”的電子公文，這份公文將通過(guò)“天網(wǎng)”系統(tǒng)下達(dá)到市財(cái)政局(政府撥款)、市國(guó)土資源局(房屋用地審批)、市社會(huì)與勞動(dòng)保障局(享受此項(xiàng)福利的市民資格審批)、市建設(shè)委員會(huì)(建設(shè)規(guī)劃審批)、市林業(yè)局(住宅小區(qū)綠化工程主管部門(mén))等等該市政府下屬各部門(mén)。在本書(shū)中，“天網(wǎng)”的G2G子系統(tǒng)屬于內(nèi)網(wǎng)

15、。2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例 “天網(wǎng)”工程背景G2E：滿(mǎn)足政府面向企業(yè)服務(wù)的需要。例子：假設(shè)一家國(guó)際著名IT企業(yè)要入駐該市高新技術(shù)開(kāi)發(fā)區(qū)。那么該企業(yè)將通過(guò)“天網(wǎng)”系統(tǒng)辦理相關(guān)手續(xù)或咨詢(xún)相關(guān)問(wèn)題，涉及的政府部門(mén)可能包括：市工商管理局(辦理營(yíng)業(yè)執(zhí)照)、市地方稅務(wù)局(辦理稅收手續(xù)并咨詢(xún)相關(guān)的優(yōu)惠政策)、市信息產(chǎn)業(yè)局(主管高新技術(shù))、市公安局(外籍高層管理人士出入境管理)、市教育局(咨詢(xún)本地大學(xué)相關(guān)專(zhuān)業(yè)學(xué)生情況、外籍員工子女入學(xué)情況)、海關(guān)總署駐本市分支機(jī)構(gòu)(進(jìn)入口主管部門(mén))等等。 在本書(shū)中，“天網(wǎng)”的G2E子系統(tǒng)屬于外網(wǎng)。2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例 “天網(wǎng)

16、”工程背景G2P：滿(mǎn)足政府面向社會(huì)公眾服務(wù)的需要。例子：假設(shè)讀者向“市長(zhǎng)公開(kāi)信箱”反映“神農(nóng)半仙”醫(yī)院醫(yī)療就診收費(fèi)所存在的體制問(wèn)題。那您可以通過(guò)“天網(wǎng)”系統(tǒng)所屬的政府門(mén)戶(hù)網(wǎng)站直接給市長(zhǎng)公開(kāi)信箱發(fā)送郵件。而這個(gè)郵件經(jīng)市長(zhǎng)批閱之后，可能又會(huì)通過(guò)“天網(wǎng)”系統(tǒng)轉(zhuǎn)發(fā)給以下相關(guān)部門(mén)：市人大(請(qǐng)示地方立法機(jī)構(gòu)進(jìn)行調(diào)研)、市衛(wèi)生局(醫(yī)療衛(wèi)生主管部門(mén))、市勞動(dòng)與社會(huì)保障局(主管您的醫(yī)療保險(xiǎn)費(fèi)用)、市政府新聞辦(負(fù)責(zé)在政府門(mén)戶(hù)網(wǎng)站上答復(fù)您的提問(wèn)，如果您的提問(wèn)具有普遍性和代表性的話(huà))等等。 在本書(shū)中，“天網(wǎng)”的G2P子系統(tǒng)屬于外網(wǎng)。2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例 “天網(wǎng)”工程背景“天網(wǎng)”的安全等級(jí)

17、被定為第三級(jí)。按照國(guó)家有關(guān)規(guī)定“天網(wǎng)”將進(jìn)行委托式安全測(cè)評(píng)。受委托的專(zhuān)業(yè)測(cè)評(píng)機(jī)構(gòu)：“深?！毙畔踩珳y(cè)評(píng)中心。2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例 “天網(wǎng)”工程“天網(wǎng)”系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例 “天網(wǎng)”工程啟動(dòng)“天網(wǎng)”測(cè)評(píng)“天網(wǎng)”信息安全測(cè)評(píng)服務(wù)工作計(jì)劃客戶(hù)名稱(chēng)：巴山市政府信息中心計(jì)劃編制：“深?！毙畔踩珳y(cè)評(píng)中心文檔編號(hào)：TW-GZJH-001更新日期：2008年10月1日2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例 “天網(wǎng)”工程第一章 工作目標(biāo)、根據(jù)巴山市政府信息中心申請(qǐng)，此次測(cè)評(píng)工作將對(duì)巴山市電子政務(wù)網(wǎng)絡(luò)進(jìn)行測(cè)評(píng)（起因）。、此次測(cè)評(píng)工作

18、的是巴山市全面開(kāi)展重要信息系統(tǒng)安全等級(jí)保護(hù)工作的有機(jī)組成部分（背景）。、巴山市政府組織有關(guān)單位和專(zhuān)家組對(duì)該市“天網(wǎng)”系統(tǒng)進(jìn)行定級(jí)評(píng)審，確定“天網(wǎng)”系統(tǒng)安全等級(jí)為第三級(jí)。、此次測(cè)評(píng)工作的目標(biāo)將根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)，按照第三級(jí)信息系統(tǒng)的要求進(jìn)行測(cè)評(píng)（目的）。2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例 “天網(wǎng)”工程第二章 工作范圍、“天網(wǎng)”系統(tǒng)邏輯結(jié)構(gòu)分為網(wǎng)絡(luò)層、數(shù)據(jù)層和應(yīng)用層。、“天網(wǎng)”系統(tǒng)由G2G、G2E和G2P三大分系統(tǒng)組成。、G2G是政府辦公內(nèi)網(wǎng)，與外網(wǎng)進(jìn)行了物理隔離。G2G分系統(tǒng)包括以下10個(gè)子系統(tǒng)（略）。、G2E是政府對(duì)企業(yè)服務(wù)系統(tǒng)，G2P是政府對(duì)公眾服務(wù)系統(tǒng)，屬于“天網(wǎng)”系統(tǒng)的外網(wǎng)。

19、G2E分系統(tǒng)包括22個(gè)子系統(tǒng)（略），G2P分系統(tǒng)包括14個(gè)子系統(tǒng)（略）。、“天網(wǎng)”系統(tǒng)各個(gè)子系統(tǒng)安全等級(jí)及安全域分級(jí)保護(hù)列表如下（略）。2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例 “天網(wǎng)”工程第三章 工作重點(diǎn)根據(jù)“天網(wǎng)”系統(tǒng)分級(jí)保護(hù)列表，此次測(cè)評(píng)工作優(yōu)先級(jí)如下：測(cè)評(píng)對(duì)象G2GG2EG2P資源分配測(cè)評(píng)分工A組B組C組2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例 “天網(wǎng)”工程第四章 進(jìn)度安排測(cè)評(píng)流程第一周第N周準(zhǔn)備階段現(xiàn)場(chǎng)測(cè)評(píng)數(shù)據(jù)分析報(bào)告撰寫(xiě)結(jié)果確認(rèn)2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例 “天網(wǎng)”工程第五章 保障措施組織保障、“深?！睖y(cè)評(píng)中心“天網(wǎng)”測(cè)評(píng)項(xiàng)目組織機(jī)構(gòu)圖（略）、巴

20、山市政府信息化領(lǐng)導(dǎo)小組以及信息中心組織機(jī)構(gòu)圖（略）技術(shù)保障、“深海”測(cè)評(píng)中心下屬技術(shù)隊(duì)伍（略）、巴山市政府信息中心下屬技術(shù)隊(duì)伍（略）、“天網(wǎng)”項(xiàng)目雙方溝通渠道聯(lián)系方式（略）資金保障2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例 “天網(wǎng)”工程第六章 約束條件項(xiàng)目風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)因素A分析及其解決辦法、風(fēng)險(xiǎn)因素B分析及其解決辦法、不可預(yù)測(cè)條件第N章 計(jì)劃審批甲方：（授權(quán)代表簽字） 乙方：（授權(quán)代表簽字）2008年X月X日2022/9/30信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)案例 “天網(wǎng)”工程附錄A 測(cè)評(píng)依據(jù)信息安全等級(jí)保護(hù)實(shí)施指南（GB XXXX）信息系統(tǒng)安全等級(jí)定級(jí)指南（GB XXXX）信息系統(tǒng)安全等級(jí)技術(shù)要求（GB XX