信息安全等級保護培訓課件

信息安全等級保護培訓安全服務(wù)部陳堅城

等級保護基本要求

等級保護基本概念介紹

等級保護定級123

等級保護測評實施4等級保護基本概念介紹《信息安全等級保護管理辦法》指出

信息安全等級保護是以信息為核心。根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達到的基本的安全保護水平等因素，對最核心的信息和信息系統(tǒng)劃分為五個安全保護和監(jiān)管等級，實行分等級保護。什么是等級保護？為什么實行等級保護？

“一個提高，六個有利于”實施信息安全等級保護，可以有效地提高我國信息安全建設(shè)的整體水平。有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于加強對涉及國家安全、經(jīng)濟秩序、社會穩(wěn)定和公共利益的信息系統(tǒng)的安全保護和管理監(jiān)督；有利于明確國家、法人和其他組織、公民的安全責任，強化政府監(jiān)管職能，共同落實各項安全建設(shè)和安全管理措施；有利于提高安全保護的科學性、整體性、針對性，推動信息安全產(chǎn)業(yè)水平，逐步探索一條適應社會主義市場經(jīng)濟發(fā)展的信息安全發(fā)展模式。有利于明確國家、法人和其他組織、公民的安全責任，強化政府監(jiān)管職能，共同落實各項安全建設(shè)和安全管理措施；有利于提高安全保護的科學性、整體性、針對性，推動信息安全產(chǎn)業(yè)水平，逐步探索一條適應社會主義市場經(jīng)濟發(fā)展的信息安全發(fā)展模式。近期重大信息泄密事件2010年7月26日，Wikileaks（維基泄密）的網(wǎng)站在《紐約時報》《衛(wèi)報》和《鏡報》配合下，在網(wǎng)上公開了多達9.2萬份的駐阿美軍高度秘密文件，引起軒然大波。近期，一些同阿桑奇發(fā)生糾葛的組織和個人遭到在線攻擊，似乎是黑客為該網(wǎng)站進行報復而采取的行動。這一泄密行為很可能危及到目前在阿美軍士兵的安全。電腦戰(zhàn)爭爆發(fā)轟癱伊朗核電站伊朗2010年9月26日向外界證實，“震網(wǎng)”（Stuxnet）電腦病毒入侵伊朗布什爾核電站。導致伊朗核計劃延遲1年以上。為什么實行等級保護？銀行網(wǎng)站被“釣魚”者仿冒真正的中國工商銀行網(wǎng)站

假冒的中國工商銀行網(wǎng)站

為什么實行等級保護？揚州市城鄉(xiāng)建設(shè)局網(wǎng)站信息安全保護的必要性和緊迫性據(jù)近期全球信息安全調(diào)查報告顯示，中國內(nèi)地企業(yè)在信息安全管理方面存在滯后，信息安全與隱私保障方面已被印度趕超。數(shù)據(jù)顯示，內(nèi)地企業(yè)44％的信息安全事件與數(shù)據(jù)失竊有關(guān)，而全球的平均水平只有16％。42%的中國內(nèi)地受訪企業(yè)都經(jīng)歷了應用軟件、系統(tǒng)和網(wǎng)絡(luò)的安全事件。由此可以看出，泄密給中國企業(yè)造成了巨大的損失，中國的企業(yè)迫切的需要一種全新的數(shù)據(jù)安全產(chǎn)品改善這種不完善的信息安全機制，只有企業(yè)的核心數(shù)據(jù)得到有效的保護，企業(yè)的核心競爭力才能得到更大的提升。信息安全等級保護的標準體系基礎(chǔ)類《計算機信息系統(tǒng)安全保護等級劃分準則》GB17859-1999《信息系統(tǒng)安全等級保護實施指南》GB/T25058-2010應用類定級：《信息系統(tǒng)安全保護等級定級指南》GB/T22240-2008建設(shè)：《信息系統(tǒng)安全等級保護基本要求》GB/T22239-2008

《信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006

《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》GB/T25070-2010測評：《信息系統(tǒng)安全等級保護測評要求》《信息系統(tǒng)安全等級保護測評過程指南》管理：《信息系統(tǒng)安全管理要求》GB/T20269-2006

《信息系統(tǒng)安全工程管理要求》GB/T20282-2006信息安全等級保護的標準體系技術(shù)類GB/T21052-2007信息安全技術(shù)

信息系統(tǒng)物理安全技術(shù)要求GB/T20270-2006信息安全技術(shù)

網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)

信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)

操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)

數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他信息產(chǎn)品、信息安全產(chǎn)品等其它類GB/T20984-2007信息安全技術(shù)

信息安全風險評估規(guī)范GB/T20285-2007信息安全技術(shù)

信息安全事件管理指南GB/Z20986-2007信息安全技術(shù)

信息安全事件分類分級指南GB/T20988-2007信息安全技術(shù)

信息系統(tǒng)災難恢復規(guī)范等級保護標準與工作環(huán)節(jié)的關(guān)系信息安全等級保護安全建設(shè)整改工作安全等級現(xiàn)狀分析方法指導信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護測評要求安全要求信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求信息系統(tǒng)安全等級保護行業(yè)定級細則信息系統(tǒng)安全等級保護基本要求計算機信息系統(tǒng)安全保護等級劃分準則(GB17859)技術(shù)類管理類信息系統(tǒng)安全等級保護基本要求的行業(yè)細則產(chǎn)品類操作系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求其他產(chǎn)品類標準信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求其他技術(shù)類標準信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標準信息安全等級保護工作要求遵循以下基本原則：自主保護原則信息系統(tǒng)運營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標準，自主確定信息系統(tǒng)的安全保護等級，自行組織實施安全保護。重點保護原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點，通過劃分不同安全保護等級的信息系統(tǒng)，實現(xiàn)不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。同步建設(shè)原則信息系統(tǒng)在新建、改建、擴建時應當同步規(guī)劃和設(shè)計安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應。動態(tài)調(diào)整原則要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施。由于信息系統(tǒng)的應用類型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應當根據(jù)等級保護的管理規(guī)范和技術(shù)標準的要求，重新確定信息系統(tǒng)的安全保護等級，根據(jù)信息系統(tǒng)安全保護等級的調(diào)整情況，重新實施安全保護。信息安全等級保護要做什么？全面完成定級備案進一步清理本單位信息系統(tǒng)看是否有否未定級所定的級別是否準確定級偏低百害而無一利上級領(lǐng)導的重視程度自然減弱經(jīng)費保障也不到位出了安全問題承擔責任落實等保經(jīng)費保障國家發(fā)展和改革委員會、公安部、保密局聯(lián)合發(fā)出《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》省發(fā)改委、公安廳、保密局已轉(zhuǎn)發(fā)。組織實施安全整改自檢測評整改方案整改實施整改后的測評加強系統(tǒng)監(jiān)督檢查運營、使用單位對于第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評。第三級信息系統(tǒng)應當每年至少進行一次自查，第四級信息系統(tǒng)應當每半年至少進行一次自查。將安全測評納入自查環(huán)節(jié)，在自查結(jié)束后將自查報告連同測評報告報公安網(wǎng)監(jiān)部門。國家對等級保護測評的要求《信息安全等級保護管理辦法》“等級保護的實施與管理”第十四條指出：信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評單位，依據(jù)《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。廣東省安全保護條例對測評要求第十二條第二級以上計算機信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應當選擇符合國家規(guī)定的安全等級測評機構(gòu)，依據(jù)國家規(guī)定的技術(shù)標準，對計算機信息系統(tǒng)安全等級狀況開展等級測評，測評合格后方可投入使用。第十三條計算機信息系統(tǒng)的運營、使用單位及其主管部門應當按照國家規(guī)定定期對計算機信息系統(tǒng)開展安全等級測評，并對計算機信息系統(tǒng)安全狀況、安全管理制度及措施的落實情況進行自查。計算機信息系統(tǒng)安全狀況經(jīng)測評或者自查，未達到安全等級保護要求的，運營、使用單位應當進行整改。等級保護實施的基本流程系統(tǒng)備案公安網(wǎng)監(jiān)審核安全需求分析定級不準材料不齊頒發(fā)證書規(guī)劃等保整改方案檢查報告及整改方案提交網(wǎng)監(jiān)備案等保整改實施等保驗收測評測評報告提交網(wǎng)監(jiān)備案運營單位系統(tǒng)自運維材料齊、定級準合格不合格合格不合格已建運行系統(tǒng)在定級確定后，新建系統(tǒng)在通過立項申請后，30日內(nèi)由所屬公安機關(guān)辦理備案手續(xù)根據(jù)等保有關(guān)規(guī)定和標準，分析系統(tǒng)安全建設(shè)整改需求，可委托等保技術(shù)支持單位進行?？晌杏械缺Ｕ暮拖到y(tǒng)集成資質(zhì)的單位進行，采用集成項目實施方法進行。選擇第三方等級測評機構(gòu)進行測評，其中新建系統(tǒng)可以在試運行階段進行。三級系統(tǒng)每年一次，四級系統(tǒng)每半年一次，選擇第三方等級測評機構(gòu)進行測評系統(tǒng)定級系統(tǒng)運營單位按照《信息系統(tǒng)信息安全等級保護定級指南》自行申報。等級保護工作的實施過程定級備案安全需求分析（差距測評）安全整改驗收測評項目驗收定期檢查階段定級備案安全需求分析安全整改驗收測評項目驗收定期檢查主要負責系統(tǒng)運營使用單位網(wǎng)監(jiān)安全咨詢服務(wù)機構(gòu)系統(tǒng)運營使用單位等級測評機構(gòu)系統(tǒng)運營使用單位系統(tǒng)運營使用單位配合工作安全咨詢服務(wù)機構(gòu)系統(tǒng)運營使用單位系統(tǒng)運營使用單位安全咨詢服務(wù)機構(gòu)系統(tǒng)運營使用單位等級測評機構(gòu)等級測評機構(gòu)監(jiān)督檢查網(wǎng)監(jiān)/網(wǎng)監(jiān)網(wǎng)監(jiān)網(wǎng)監(jiān)網(wǎng)監(jiān)網(wǎng)監(jiān)廣東省等保驗收測評機構(gòu)等級保護定級關(guān)于定級范圍（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。（二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。

（三）市（地）級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)

標準定位《GB/T22240-2008信息系統(tǒng)安全等級保護定級指南》

※系統(tǒng)定級是開展信息系統(tǒng)安全等級保護工作的“基本出發(fā)點”。

※定級結(jié)果應當成為安全保護的總體安全需求。7、系統(tǒng)服務(wù)安全等級定級方法與流程26保護對象受到破壞時受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級保護定級方法保護對象對客體的侵害程度客體：社會關(guān)系受侵害的客體信息系統(tǒng)安全等級系統(tǒng)服務(wù)安全等級業(yè)務(wù)信息安全等級3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體4、業(yè)務(wù)信息安全等級8、定級對象的安全保護等級8＝MAX（4，7）1、確定定級對象（系統(tǒng)邊界）一般流程等級確定定級指南表1-定級要素與安全保護等級的關(guān)系等級保護基本要求

基本要求的作用基本要求監(jiān)管機構(gòu)檢查測評機構(gòu)測評使用單位自查集成廠商指導建設(shè)基本要求的定位是系統(tǒng)安全保護、等級測評的一個基本“標尺”，同樣級別的系統(tǒng)使用統(tǒng)一的“標尺”來衡量，保證權(quán)威性，是一個達標線；每個級別的信息系統(tǒng)按照基本要求進行保護后，信息系統(tǒng)具有相應等級的基本安全保護能力，達到一種基本的安全狀態(tài);是每個級別信息系統(tǒng)進行安全保護工作的一個基本出發(fā)點，更加貼切的保護可以通過需求分析對基本要求進行補充，參考其他有關(guān)等級保護或安全方面的標準來實現(xiàn)?；疽蟮亩ㄎ荒臣壪到y(tǒng)基本要求技術(shù)要求管理要求建立安全技術(shù)體系建立安全管理體系某級系統(tǒng)等級保護基本要求構(gòu)架基本要求技術(shù)要求物理安全網(wǎng)絡(luò)安全主機安全應用安全數(shù)據(jù)安全管理要求安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理某級系統(tǒng)基本要求標注方式信息系統(tǒng)安全等級保護基本要求技術(shù)要求管理要求要求標注業(yè)務(wù)信息安全類要求

（標記為S類）系統(tǒng)服務(wù)保證類要求

（標記為A類）通用安全保護類要求

（標記為G類）基本要求的選擇和使用一個3級系統(tǒng),定級結(jié)果為S3A2，安全保護類型應該是S3A2G3第1步:選擇標準中3級基本要求的技術(shù)要求和管理要求;第2步:要求中標注為S類和G類的不變;標注為A類的要求可以選用2級基本要求中的A類作為基本要求;安全保護和系統(tǒng)定級的關(guān)系34安全保護等級信息系統(tǒng)定級結(jié)果的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5基本保護要求（最低）保護能力對抗能力＋恢復能力技術(shù)要求＋管理要求物理、網(wǎng)絡(luò)、主機、應用、數(shù)據(jù)制度、機構(gòu)、人員、建設(shè)、運維縱深防御、互補關(guān)聯(lián)、強度一致、

平臺統(tǒng)一、集中安管業(yè)務(wù)信息安全類要求S系統(tǒng)服務(wù)保證類要求A通用安全保護類要求G整體安全保護能力關(guān)鍵控制點安全類具體要求項控制強度安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機安全4679應用安全47911數(shù)據(jù)安全及備份恢復2333管理要求安全管理制度2333安全管理機構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運維管理9121313合計/48667377級差//1874控制點各個級別的控制點35安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機安全6193236應用安全7193136數(shù)據(jù)安全及備份恢復24811管理要求安全管理制度371114安全管理機構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運維管理18416270合計/85175290318級差//9011528控制項36各個級別的具體控制項等級保護測評實施等級保護測評中的角色和職責關(guān)系系統(tǒng)承建單位主管\使用\運行單位測評機構(gòu)專家組支持測評提供技術(shù)、工程和質(zhì)量文檔實施的配合公安網(wǎng)監(jiān)部門對方案評審對評估結(jié)論進行評審測評工作

組織與監(jiān)管制定測評計劃和方案等相關(guān)文檔在相關(guān)單位支持下實施等級測評提交測評報告測評工作組織協(xié)調(diào)確保技術(shù)、工程和質(zhì)量文檔、提供運營相關(guān)文檔的提供評審實施方案等相關(guān)文檔配合等級測評實施測評過程中的風險管理和應急管理等級保護測評的實施方法等保評測資產(chǎn)對象調(diào)研技術(shù)類管理類物理安全核查網(wǎng)絡(luò)安全核查主機安全核查應用安全核查數(shù)據(jù)安全核查漏洞掃描安全管理機構(gòu)核查安全管理制度核查人員安全管理核查系統(tǒng)建設(shè)管理核查系統(tǒng)運維管理核查安全分析/整改設(shè)計技術(shù)類管理類物理安全合規(guī)性網(wǎng)絡(luò)安全合規(guī)性主機安全合規(guī)性應用安全合規(guī)性數(shù)據(jù)安全合規(guī)性安全管理機構(gòu)合規(guī)性安全管理制度合規(guī)性人員安全管理合規(guī)性系統(tǒng)建設(shè)管理合規(guī)性系統(tǒng)運維管理合規(guī)性項目

驗收資產(chǎn)調(diào)研表網(wǎng)絡(luò)拓撲圖等級保護安全整改方案等級保護測評報告驗收報告等級保護測評過程40等級測評過程方案編制測評準備分析與報告編制現(xiàn)場測評項目啟動、信息收集和分析、工具和表單準備文檔R&R測評對象確定、測評指標確定、

測試工具接入點確定、測評內(nèi)容確定、

測評實施手冊開發(fā)、測評方案編制現(xiàn)場測評方法確定（一般包括：訪談、檢查、工具測試等）、

現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風險分析、等級測評結(jié)論形成、測評報告編制等級保護測評方法（1/2）測評方法測評采用訪談、檢查和測試三種方法，測評對象是測評實施過程中涉及到的信息系統(tǒng)的構(gòu)成成份，包括人員、文檔、機制、軟件、設(shè)備。測評的層面涉及物理安全、網(wǎng)絡(luò)安全、主機安全、應用系統(tǒng)安全、數(shù)據(jù)安全以及安全管理。測評要求使用測評表進行具體檢查時，首先按詢問、查驗、檢測等工作方式將所有檢查項目分類。以訪談方式檢查的項目，在與有關(guān)人員的談話或會議上進行；以檢查方式檢查的項目，將需要的文檔清單在檢查現(xiàn)場提交給被檢查方，請被檢查方當前提供并進行查驗；以測試方式檢查的項目，按檢測部門或設(shè)備分類后，根據(jù)具體情況選擇檢測順序。等級保護測評方法（2/2）對技術(shù)要求“訪談”方法：目的是了解信息系統(tǒng)的全局性。范圍一般不覆蓋所有要求內(nèi)容?！皺z查”方法：目的是確認信息系統(tǒng)當前具體安全機制和運行的配置是否符合要求。范圍一般要覆蓋所有要求內(nèi)容。“測試”方法：目的是驗證信息系統(tǒng)安全機制有效性和安全強度。范圍不覆蓋所有要求內(nèi)容。對管理要求對人員方面的要求，重點通過“訪談”的方式來測評，檢查為輔；對過程方面的要求，通過“訪談”和“檢查”的方式來測評；對規(guī)范方面的要求，以“檢查”文檔為主，“訪談”為輔等級保護測評案例某公司（簡稱“AAA”）用電信息系統(tǒng)承載著該公司的電力營銷業(yè)務(wù)，由數(shù)據(jù)存儲、業(yè)務(wù)處理、接入、對外服務(wù)和外聯(lián)等五個功能區(qū)域組成，是一個安全等級為三級的信息系統(tǒng)?，F(xiàn)場測評小組分為管理組（2人）和技術(shù)組（4人）兩組，分別完成安全管理和安全技術(shù)方面的測評。

被測系統(tǒng)為承載著AAA公司電力營銷業(yè)務(wù)，是AAA公司的重要信息系統(tǒng)，其安全等級定為三級（S3A2G3）。

被測系統(tǒng)由數(shù)據(jù)存儲、業(yè)務(wù)處理、接入、對外服務(wù)和外聯(lián)等五個功能區(qū)域組成.對外有可以為大客戶單位、internet網(wǎng)、撥號用戶等提供電費數(shù)據(jù)查詢、交納、業(yè)務(wù)擴充、投訴等服務(wù)的功能模塊。數(shù)據(jù)存儲功能區(qū)位于屏蔽機房，其它功能區(qū)域位于中心機房。

測評對象（1/4）根據(jù)用信息系統(tǒng)的實際情況，分別確定物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應用安全等各層面的測評對象。物理方面主要是測評屏蔽機房和主機房。網(wǎng)絡(luò)方面主要測評的設(shè)備有：路由器、交換機、防火墻、IDS、外聯(lián)檢測、防病毒等。序號功能區(qū)域設(shè)備名稱用途設(shè)備信息抽查說明1外聯(lián)區(qū)DW3600（Internet）外部接入路由器（Internet）型號：CISCO3600IP:查1臺2DW36002、3、4（DDN）外部接入路由器（DDN）型號：CISCO3600IP:查1臺3DW36005、6（PSTN）外部接入路由器（PSTN撥號接入）型號：CISCO3600IP:查1臺4對外服務(wù)區(qū)DW208FWDW208FW防火墻，系統(tǒng)內(nèi)外隔離型號：Netscreen208

IP:192.168.32-33/24查1臺測評對象（2/4）主機方面主要測評的主機服務(wù)器（包括數(shù)據(jù)庫服務(wù)器）。序號設(shè)備名稱用途設(shè)備信息抽查說明1S1對外服務(wù)業(yè)務(wù)邏輯處理IBMPC服務(wù)器，WIN2003查1臺2S2對外服務(wù)網(wǎng)站IBMPC服務(wù)器，WIN2003查1臺31#業(yè)務(wù)用電業(yè)務(wù)處理中間件IBMPC服務(wù)器，LINUX查1臺4DB1(數(shù)據(jù)庫服務(wù)器1)用電數(shù)據(jù)存儲服務(wù)器IBM小型機，AIX，SYBASE查1臺5用電業(yè)務(wù)客服機運行用電業(yè)務(wù)客服端程序DELLPC,WIN2000查1臺6…………測評對象（3/4）應用方面主要測評的應用系統(tǒng)。序號系統(tǒng)名稱系統(tǒng)描述抽查說明1用電應用系統(tǒng)主要完成的功能包括業(yè)務(wù)擴充、電量計量、電費計算、查詢、統(tǒng)計等業(yè)務(wù)。涉及到的業(yè)務(wù)信息包括用戶登錄權(quán)限認證信息、用電業(yè)務(wù)數(shù)據(jù)等于電力公司服務(wù)業(yè)務(wù)相關(guān)的信息抽查2對外服務(wù)網(wǎng)站系統(tǒng)…3……測評對象（4/4）安全管理，主要測評對象為與信息安全管理有關(guān)的策略、制度、操作規(guī)程、運行記錄、管理人員、技術(shù)人員和相關(guān)設(shè)備設(shè)施等。測評指標選取被測系統(tǒng)的定級結(jié)果為：安全保護等級為3級，業(yè)務(wù)信息安全等級為S3，系統(tǒng)服務(wù)安全等級為A2；則該系統(tǒng)的測評指標應包括《基本要求》“技術(shù)要求”中的3級通用指標類（G3），3級業(yè)務(wù)信息安全指標類（S3），2級系統(tǒng)服務(wù)安全指標類（A2），以及第3級“管理要求”中的所有指標類。評測指標技術(shù)/管理層面類數(shù)量S類（3級）A類（2類）G類（3級）小計安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1067主機安全3137應用安全5229數(shù)據(jù)安全2103安全管理安全管理機構(gòu)0033安全管理制度0055人員安全管理0055系統(tǒng)建設(shè)管理001111系統(tǒng)運維管理001313合計73類測評工具和接入點根據(jù)3級信息系統(tǒng)的測評強度要求，在測試的廣度上，應基本覆蓋不同類型的機制，在數(shù)量、范圍上可以抽樣；在測試的深度上，應執(zhí)行功能測試和滲透測試，功能測試可能涉及機制的功能規(guī)范、高級設(shè)計和操作規(guī)程等文檔，滲透測試可能涉及機制的所有可用文檔，并試圖智取進入信息系統(tǒng)等。因此，對其進行測評，應涉及到漏洞掃描工具、滲透測評工具集等多種測試工具。使用的測試工具主要有：網(wǎng)絡(luò)漏洞掃描器、數(shù)據(jù)庫安全掃描器、滲透測試工具集等。測評內(nèi)容—物理安全物理安全測評將通過訪談、文檔審查和實地察看的方式測評信息系統(tǒng)的的物理安全保障情況。主要涉及對象為屏蔽機房和主機房。序號評測指標評測內(nèi)容描述1物理位置的選擇通過訪談物理安全負責人，檢查屏蔽機房和主機房等過程，測評屏蔽機房和主機房等信息系統(tǒng)物理場所在位置上是否具有防震、防風和防雨等多方面的安全防范能力。2物理訪問控制通過訪談物理安全負責人，檢查屏蔽機房和主機房出入口、機房分區(qū)域情況等過程，評測信息系統(tǒng)在物理訪問控制方面的安全防范能力?！瓬y評內(nèi)容—網(wǎng)絡(luò)安