安全检测方案.doc

附件 联网区域重要ETC业务节点系统安全运行抽查测评案 交通运输部路网监测与应急处置中心 2016年10月1 测试概述 1 2 测评对象及范围 1 3 测评遵循原则及依据 1 3.1 遵循原则 1 3.1.1 符合性原则 1 3.1.2 标准性原则 1 3.1.3 规范性原则 2 3.1.4 整体性原则 2 3.1.5 最小影响原则 2 3.2 测试依据 2 4 测试过程 3 4.1 测试准备 3 4.2 测试方法 4 4.2.1 访谈 4 4.2.2 检查 4 4.2.3 测试 5 4.3 安全测评内容与实施 5 4.3.1 物理安全测评 5 测评指标 5 测评实施 6 配合需求 7 4.3.2 网络安全测评 7 测评指标 7 测评实施 8 配合需求 8 4.3.3 主机安全测评 8 测评指标 8 测评实施 9 配合需求 10 4.3.4 应用安全测评 10 测评指标 10 测评实施 11 配合需求 11 4.3.5 数据安全及备份恢复测评 12 4.3.6 安全管理制度测评 12 测评指标 13 测评实施 13 配合需求 13 4.3.7 安全管理机构测评 14 4.3.8 人员安全管理测评 14 4.3.9 系统建设管理测评 15 4.3.10 系统运维管理测评 16 4.4 漏洞扫描及渗透测试 17 4.4.1 测试目的 17 4.4.2 测评实施 19 4.4.3 配合需求 20 4.5 存在风险与规避方法 20 4.5.1 操作系统和常见应用漏洞扫描 20 4.5.2 WEB应用漏洞扫描 21 5 综合测评方法 21 5.1 符合性（达标）测评情况 21 5.2 风险评估情况 21 5.3 用户个人电子信息保护情况 21 5.4 应急保障措施 21 6 系统操作与记录说明 22 7 实施进度安排 22 附表1 测评对象资料收集（注：根据实际情况填写） 23 附表2 安全管理文档（参考等保三级） 25 附表3 业务系统安全测评表 31 附表4 测评工作配合说明表 36 测试概述 本次抽查主要是针对和测评、及范围，：ETC业务节点系统（）ETC业务节点系统软件收费系统系统客户服务系统及依据 原则符合性原则 传达的各项精神，紧密配合文件中明确的：“各重要信息系统的安全建设和管理，按照谁主管谁负责、谁运营谁负责的要求，由各主管部门和运营单位负责”的原则测评。工作将综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，相应等级的安全建设和管理规划。坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进TC业务发展，保护利益，维护国家安全。 依据国际国内标准开展工作是本次评估工作的指导原则。积极遵循国内外的有关安全标准开展安全服务，在本次安全服务中，将依据以下安全标准和规范： 信息安全管理标准 BS7799 （ISO/IEC 17799）信息安全管理体系标准 ISO/IEC 13335信息安全管理标准 ISO 7498 技术与工程标准 SSE-CMM 安全系统工程能力成熟度模型 ISO/IEC 15408（GB/T18336）信息产品通用测评准则 事实标准 SSL传输层加密标准 CVE通用脆弱性描述标准 PMI项目管理方法 在提供本次评估服务中，除了依据相关的国内和国际标准之外，还根据本项目的需要，遵循自身的一些规范和要求 安全体系架构模型 安全工程过程 安全服务规范 软件开发规范 工程文档规范 将按照项目范围进行全面的评估、规划和方案设计，从范围、深度上满足的要求。项目实施包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；保证脆弱性评估的全面性，既要包括技术方面的又要包括管理和策略方面的内容。 实施小组会从项目管理和技术应用的层面，将安全服务对系统和网络的正常运行所可能的影响降到最低程度，不对当前运行的网络和业务系统产生显著影响（包括系统性能明显下降、网络拥塞、服务中断），同时在评估前做好备份和应急措施。 测试依据 《信息安全等级保护管理办法》（公通字[2007]43号） GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》（简称《基本要求》） GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》（简称《定级指南》） GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》（简称《实施指南》） GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》（简称《测评要求》） GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》（简称《测评过程指南