1、信息安全等级保护项目计划书doc文 档 编 号 : z z z z z zxxxxxxxxxx信息系统等级保护测评项目项目计划书授 权 方: xxxxxxxxxx被授权方: rrrrrr编制日期: 2016 年 2 月 29 日1.概述1.1 项目背景根据中华人民共和国计算机信息系统安全保护条例 、信息安全技术 信息系统安全等级保护测评要求 、信息安全技术 信息系统安全等级保护基本要求 、信息安全技术 信息安全等级保护管理规定等一系列国家及信息安全技术 针对信息系统等级保护颁布的政策法规及文件要求,定级为等级保护二级的信息系统应该每年至少进行一次等级测评。目前 xxxxxxxxxx 信息系统尚
2、未进行过等级保护专业测评。为进一步加强 xxxxxxxxxx 信息系统等级保护工作,按照信息安全技术 信息安全等级保护管理规定 相关规定,计划对 xxxxxxxxxx 重要的信息系统进行等级保护专业测评。依据信息安全等级保护管理办法 (公通字 200743 号)的相关要求,也为了持续有效提高信息系统的安全防护能力,受 xxxxxxxxxx 委托我中心计划与 2016年 2 月 29 日起对 xxxxxxxxxx 信息系统实施信息安全等级测评工作,以期通过此次测评发现系统现有安全防护措施的薄弱环节,为下一步的信息系统安全建设整改提供可靠依据,以有效提高 xxxxxxxxxx 信息系统的安全运行能
3、力。1.2 项目目的通过对 xxxxxxxxxx 开展安全测评工作, 可以全面、完整地了解当前 xxxxxxxxxx 的安全状况,分析系统所面临的各种风险。 根据测评结果发现系统存在的安全问题,并对严重的问题提出相应的风险控制策略,并为下一步进行整个系统的信息系统安全建设做前期准备。对信息系统进行安全等级测评是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。 通过对 xxxxxxxxxx 实施等级测评可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,可以在技术和管理方面进行有针对性的加强和完善,使 xxxxxxxxxx 安全工作有的放矢。xxxxx
4、xxxxx可依据等级测评结果,并结合单位的实际情况,区分轻重缓急,制定针对性的安全整改建议,通过安全整改不断提高信息系统的整体安全保护水平。1.3 工作依据计算机信息系统安全保护等级划分准则( GB17859-1999)信息安全技术 信息系统安全等级保护定级指南( GB/T 22240-2008 )信息安全技术 信息系统安全等级保护基本要求( GB/T 22239-2008 )信息安全技术 信息系统安全等级保护基本要求信息安全技术 信息系统安全等级保护测评要求( GB/T 28448-2012 )信息安全技术 信息系统安全等级保护测评过程指南( GB/T 28449-2012 )信息安全技术
5、信息系统安全等级保护实施指南( GB/T 25058-2010 )信息安全技术 ?信息系统通用安全技术要求( GB/T20271-2006)信息安全技术 ?网络基础安全技术要求( GB/T20270-2006)信息安全技术 ?操作系统安全技术要求( GB/T20272-2006)信息安全技术 ?数据库管理系统安全技术要求( GB/T20273-2006)信息安全技术 ?服务器技术要求( GB/T21028-2007)信息安全技术 ?终端计算机系统安全等级技术要求( GA/T671-2006)信息安全风险评估规范( GB/T?20984-2007)2.技术思路和工作内容2.1 技术思路2.1.1
6、 测评指标测评指标暂定选取 信息安全技术 信息系统安全等级保护基本要求 中 2 级系统基本要求指标,包括信息安全技术 信息系统安全等级保护基本要求节“技术要求”中的 2 级通用指标类 (G2) ,2 级业务信息安全性指标类 (S2) ,和 2 级业务服务保证类 (A2) ,以及节“管理要求”中的所有要求,安全控制指标如下表:安全分类安全子类测评项数备注物理位置1测评物理机房所在的外部环境安全性。的选择物理访问2测评进出机房的审批控制手段以及机房出入口的安控制全控制情况。防盗窃和5测评机房内设备和通信线缆的安全性以及监控报警防破坏系统建设情况。防雷击2测评建筑防雷和防感应雷的建设情况。物理安全防
7、火1+测评自动监控防火系统设置情况以及机房材料防火情况。防水和防3测评机房内水管设置情况、防止结露所采取的措施以潮及监控报警系统建设情况。防静电1测评机房防静电所采取的措施。温湿度控1+测评机房温湿度控制措施。制电力供应2测评电力线路、备用电源以及发电机的配备情况。电磁防护1测评线缆电磁防护手段和设备电磁防护手段。主要核查:主要网络设备的处理能力、业务高峰期需结构安全4+求带宽、路由控制、网络拓扑结构图是否一致、子网划分、技术隔离手段和带宽分配策略。访问控制4+主要核查:访问控制功能、协议深层检测、网络连接超时、流量限制和并发连接数限制等等。安全审计2主要核查:网络设备日志收集、分析和统计以及
8、保护等等。网络安全主要核查:是否能够对非授权设备私自联到内部网络边界完整1的行为进行检查并准确定位和阻断;是否能够对内部性检查网络用户私自联到外部网络的行为进行检查并准确定位和阻断。入侵防范1主要核查:部署 IDS、 IPS 系统以及使用情况。网络设备主要核查:用户身份鉴别、管理员登录地址限制、用6户标识唯一性、 组合鉴别技术、 口令策略、 登录策略、防护远程管理和权限分离。主要核查:用户身份鉴别方式、账号与用户对应关系身份鉴别5和密码安全强度,包括账户和口令长度设置情况,口主机安全令更改周期等;登录失败处理功能设置情况。主要核查:特权用户的权限分离情况;默认账户的访访问控制4问权限;多余和过
9、期的账户的处理情况;管理用户最小授权原则落实情况。安全分类安全子类测评项数备注安全审计4主要核查:安全审计的覆盖范围;记录内容完整性;审计记录的分析能力;审计记录的保护情况。主要核查:重要服务器入侵行为的检测/ 报警情况;入侵防范1+重要程序的完整性保护情况;主机资源的使用情况;操作系统组件安装和补丁升级情况。恶意代码主要核查:系统补丁安装情况;防病毒和恶意代码产2品的使用情况及升级情况;核查系统是否有木马程防范序。资源控制3主要核查:终端登录限制方式;重要服务器资源的监视情况;系统服务水平的核查和报警能力。主要核查:用户身份鉴别方式、账号与用户对应关系身份鉴别4和密码安全强度,包括账户和口令
10、长度设置情况,口令更改周期等;登录失败处理功能设置情况。主要核查:特权用户的权限分离情况;默认账户的访访问控制4问权限;多余和过期的账户的处理情况;管理用户最小授权原则落实情况。安全审计3主要核查:安全审计的覆盖范围;记录内容完整性;应用安全审计记录的分析能力;审计记录的保护情况。通信完整1+主要核查:密码在传输过程中所采用的技术是否能保性证通信过程中数据的完整性。通信保密2主要核查:通信过程中信息的传递是否加密。性软件容错2主要核查:数据的校验功能以及恢复能力。资源控制3主要核查:终端登录限制方式;重要服务器资源的监视情况;系统服务水平的核查和报警能力。数据完整1+主要核查:系统管理数据、鉴
11、别信息和重要业务数据性在传输过程中的完整性和恢复措施。数据安全数据保密1主要核查:系统管理数据、鉴别信息和重要业务数据性的传输保密性和存储保密性。备份和恢2主要核查:备份策略、介质存放和数据恢复等。复管理制度3+主要核查:总体安全策略建设情况;各类安全管理制度建设情况以及各类系统操作规范建设情况。安全管理制定和发3主要核查:安全管理制度制定的责任部门设立情况;制度布安全管理制度的制定过程以及发布方式。评审和修1主要核查:安全管理制度评审修订时机以及目前安全订管理制度修订情况。安全分类安全子类测评项数备注岗位设置2主要核查:安全管理岗位设立及职责明确情况。人员配备2主要核查:安全管理岗位人员配备
12、情况。授权和审2主要核查:针对重大系统操作的授权和审批情况。安全管理批机构沟通和合2主要核查:与系统内部以及外部相关部门、单位的日作常沟通机制。审核和检1主要核查:系统安全检查工作规范化程度和落实情查况。人员录用3+主要核查:人员录用过程规范化管理;对录用人员保密责任的约束方式以及对关键岗位职责约束的方式。人员离岗3主要核查:人员离岗过程控制;人员离岗的保密承诺控制。安全人员人员考核1主要核查:人员日常技能考核情况以及针对关键岗位的信用审查情况。管理安全意识教育和培3+主要核查:安全培训计划的制定情况和实施情况。训外部人员1+主要核查:对外部人员进入重要区域的审批、控制管访问管理理。系统定级3
13、主要核查:信息系统是否明确其安全保护等级,系统定级的相关情况。安全方案4主要核查:系统的信息安全工作的总体规划设计情设计况。产品采购3主要核查:系统中信息安全产品的采购和使用管理措和使用施。系统建设自行软件3主要核查:系统内自行软件开发工作的管理和控制措开发施。管理外包软件主要核查:外包开发的软件质量,保证外包软件安全4开发可用。工程实施2主要核查:信息系统工程的实施情况。测试验收3主要核查:信息系统工程的验收情况。系统交付3主要核查:信息系统工程的交付情况。安全服务3主要核查:对系统中相关的安全服务商选择以及服务商选择管理措施。系统运维环境管理4主要核查:对机房基础设施日常管理情况以及办公环
14、管理境的管理。安全分类安全子类测评项数备注资产管理4主要核查:对系统资产管理的制度建设情况以及标识管理。介质管理4主要核查:对各类介质的传输、使用、存储和销毁等环节的管理。设备管理4主要核查:对各类设备日常的使用、操作和维护维修的管理。网络安全6主要核查:安全管理制度建设情况以及违规联网检查管理情况。系统安全6主要核查:对系统的访问权限控制、补丁、日常漏洞管理扫描以及审计的管理。恶意代码3主要核查:对恶意代码的检测、分析等防范工作的管防范管理理。密码管理1主要核查:密码使用的制度化建设及落实情况。变更管理2主要核查:变更活动制度化建设情况以及变更前、变更中和变更后的规范化管理情况。备份与恢3主
15、要核查:系统数据的日常备份管理以及系统恢复管复管理理。安全事件4主要核查:安全事件报告和处置的制度建设情况以及处置不同安全事件处理过程的规范化管理情况。应急预案主要核查:应急预案制定情况、人力、设备、技术、2财务和外部协作等方面的资源保障情况以及对应急管理预案的培训和日常演练情况。2.1.2 测评对象选择方法测评对象的确定采用抽查的方法,即:抽查信息系统中具有代表性的组件作为测评对象。并且,在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。第二级信息系统的等级测评,测评对象种类上基本覆盖,数量进行抽样,重点抽查主要的设备、设施、人员和文档等。抽查的测评对象种类主要考虑以下几个方面:1
16、)主机房(包括其环境、设备和设施等) 和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;2)存储被测系统重要数据的介质的存放环境;3)办公场地;4)整个系统的网络拓扑结构;5)安全设备,包括防火墙、入侵检测设备和防病毒网关等;6)边界网络设备(可能会包含安全设备) ,包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;7)对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;8)承载被测系统主要业务或数据的服务器(包括其操作系统和数据库);9)管理终端和主要业
17、务应用系统终端;10)业务备份系统;11)信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;12)涉及到信息系统安全的所有管理制度和记录。在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份终端,每类应至少抽查一台作为测评对象。2.1.3 测评方法现场测评一般包括访谈、 文档审查、配置检查、工具测试和实地察看五个方面。访谈是指测评人员与被测系统有关人员(个人 / 群体)进行交流、讨论等活动,获取相关证据,了解有关信息。文档审查是指检查 GB/T 22239-2008 中规定的必须具有的制度、策略、操作规程等文档是否齐备,是
18、否有完整的制度执行情况记录以及文件的完整性和这些文件之间的内部一致性。实地察看是指根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。配置检查是根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等) 。2.2 工作范围内容最终内容将通过现场需求调研、项目会议等方式与用户方最终确认,预计对xxxxxxxxxx进行信息安全现状
19、与标准对照的符合性检查和检测。这些系统既相互独立,又存在着一定的业务关联。重点测试和评估的区域是位于中心机房的主要设备和其所支撑的网络和应用环境。等级测评具体测评对测评对象内容预抽样数量象xxxx 研究院9 楼机房、xxxx研究物理安全测评对象院 B0201 机房、 xxxx 研究院 6 楼机房被测评信息系统的网络拓扑结构安全设备,包括防火墙、入侵检测设备边界网络设备(可能会包含安全设备),包括路由器、防火墙、认网络安全测评对象证网关和边界接入设备(如楼层交换机)等对整个被测信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等。承载被测系统主要业务或数据的服务器(
20、包括其操作系统和数据主机安全测评对象库);管理终端和主要业务应用系统终端。能够完成被测系统不同业务使命应用安全测评对象的业务应用系统。信息安全主管人员、各方面的负责人员、具体负责安全管理的当管理安全测评对象 事人、业务负责人;涉及到信息系统安全的 所有管 理制度和 记录。3.项目实施方案3.1 项目实施过程项目实施过程共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动,基本工作流程图如下:3.2 阶段工作产品1)测评准备活动阶段任务输出文档文档内容项目启动项目计划书项目概述、工作依据、技术思路、工作内容和项目组织等说明被测系统的范围、安全保护等级、业务情况、信息收集
21、和分析 被测系统基本情况分析报告 保护情况、被测系统的管理模式和相关部门及角色等选用的测评工具清单;现场测评授权、交接的文工具和表单准备 打印的各类表单:现场测评档名称授权书、文档交接单2)方案编制活动阶段任务输出文档文档内容被测系统的整体结构、 边测评对象确定测评方案的测评对象部分界、网络区域、重要节点、测评对象等被测系统定级结果、测评测评指标确定测评方案的测评指标部分指标测评方案的单项测评实施和单项测评实施内容及系测评内容确定系统测评实施部分统测评实施内容测评方案的测评实施手册部各测评对象的测评内容测评实施手册开发分及方法测评方案编制测评方案文本项目概述、测评对象、测评指标、测试工具接入点
22、、单项测评实施和系统测评实施内容、测评实施手册等3)现场测评活动阶段任务输出文档文档内容会议记录、确认的授权委托工作计划和内容安排, 双现场测评准备书、更新后的测评计划和测方人员的协调,被测单位评程序应提供的配合技术安全和管理安全测评的访谈访谈结果测评结果记录或录音管理安全测评的测评结果记管理制度和管理执行过文档审查录程文档的符合情况技术安全测评的网络、 主机、配置检查检查内容的结果应用测评结果记录表格技术安全测评的物理安全和实地察看检查内容的结果管理安全测评结果记录测评活动中发现的问题、现场核查中发现的问题汇问题的证据和证据源、 每测评结果确认总、证据和证据源记录、被项检查活动中被测单位测单
23、位的书面认可文件配合人员的书面认可4)分析与报告编制活动阶段任务输出文档文档内容分析被测系统的安全现状(各个层面的基本安等级测评报告的单项测评结全状况)与标准中相应单项测评结果判定果部分等级的基本要求的符合情况,给出单项测评结果单项测评结果汇总等级测评报告的单项测评结汇总统计分析单项测评分析果汇总分析部分结果分析系统整体安全状况等级测评报告的系统整体测系统整体测评分析及对单项测评结果的修评分析部分订情况等级测评报告的等级测评结对各项结果进行分析,综合测评结论形成论部分形成测评结论单项测评记录和结果,单项测评结果汇总分测评报告编制等级测评报告析,系统整体测评结果及分析,等级测评结论,改进建议等4
24、.项目组织方案组别 分工 姓名 职责 对方配合人员4.1 项目组织结构质量管理组项目管理组管理测评组 技术测评组业务专项配合组项目管理组: 负责人为双方项目负责人,负责整个项目的工作进展、时间、人员的安排及双方的协调工作。管理测评组 :负责管理方面的测评工作,包括:机构管理、人员管理、制度管理、建设管理、运维管理。技术测评组 :对物理、网络安全方面的进行测评,并做好现场记录,负责测评报告的编写等。质量监督组: 负责对整个项目的质量监督,包括方案、计划、报告等评审工作,针对测评工作中的异议问题进行核查解决。业务专项配合组: 由被测评单位组织,针对被测系统情况给予说明和配合。4.2 人员构成和职责项目经理项目管理组 商务经理项目助理组长组员质量管理组组员组员组长管理测评组组员组长组员组员技术测评组 组员组员组员组员业务专项配 组长 待 定合组 组员 待 定4.3 项目实施计划阶段 工作内容 时间计划 对方配合内容 阶段输出项目准备系统调查测评准备现场测评方案编制起草项目计划评审论证项目计划分解评审论证准备调查表收集调查结果调查材料分析整理制定核查方案评审
