银行等保方案模版2级.docVIP

银行等级保护（二级）测评项目 测评方案 （模版） 二〇一二年二月 本方案由 于 年 月 日编制。 审核： 年 月 日 批准： 年 月 日 目 录 TOC \o 1-3 \h \z \u 1 项目概述 2 1.1 项目简介 2 1.2 主要测评依据 2 2 测评对象 3 2.1 单位信息系统概述 3 2.2 被测系统 3 2.2.1 网络边界 3 2.2.2 抽查设备和业务子系统 3 2.3 测评内容 5 2.4 测评方式 5 2.5 测评工具 6 3 单元测评 6 3.1 技术测评 7 3.1.1 物理安全 7 3.1.2 网络安全 8 3.1.3 主机安全 10 3.1.4 应用安全 12 3.1.5 数据安全 13 3.2 管理测评 14 3.2.1 安全管理制度 14 3.2.2 安全管理机构 15 3.2.3 人员安全管理 17 3.2.4 系统建设管理 18 3.2.5 系统运维管理 21 4 系统整体测评 26 4.1 安全控制间安全测评 26 4.2 层面间安全测评 27 4.3 区域间安全测评 27 4.4 系统结构安全测评 27 6 工作成果 27 项目概述 项目简介 随着信息技术的快速发展，信息化程度不断提高，支撑银行多种业务的信息系统平台，已经成为对外服务的基础设施，这些系统组成了银行庞大的业务信息网络。其中XXX系统，在等级保护定级中定级为二级。 依据相关信息安全保护的标准要求，本次信息安全测评可涵盖安全技术：物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理：安全管理制度、安全管理机构、人员安全管理、系统建设安全管理和系统运维安全管理等各个方面，依据相关的测评准则，结合系统的构成特点，确定具体的测评对象，制定测评方案，通过访谈、检查、测评和系统分析等方式判断其安全技术和安全管理的各方面是否达到了国家要求的等级保护二级的保护要求，找出信息系统中存在的安全隐患，对安全性进行整体评估，制定相关的信息安全整体安全策略和中长期的安全规划，以便对被测系统进行安全方面的调整和改进，确保其安全防护水平达到信息系统安全等级保护相应能力的要求。 主要测评依据 主要依据： GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 GB/T 18336.1-2008信息技术 安全技术 信息技术安全性评估准则 第1部分：简介和一般模型 GB/T 18336.2-2008信息技术 安全技术 信息技术安全性评估准则 第2部分：安全功能要求 参考依据 GB/T 20008-2005　信息安全技术 操作系统安全评估准则 GB/T 20009-2005　信息安全技术 数据库管理系统安全评估准则 GB/T 20010-2005　信息安全技术 包过滤防火墙评估准则 GB/T 20011-2005　信息安全技术 路由器安全评估准则 GB/T 20269-2006 信息安全技术 信息系统安全管理要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 测评对象 单位信息系统概述 本次测评对象XXX系统，系统描述。网络拓扑图2.2.1所示： 被测系统 网络边界 图2.2.1银行现代化支付-沈阳分行前置系统网络示意图 抽查设备和业务子系统 根据被测系统的网络拓扑结构和业务情况，结合系统测评的特点，本次现场测评主要为安全技术测评（物理安全、主机安全、网络安全、应用安全、数据安全）和安全管理测评（安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理）。 网络设备和网络安全设备抽查列表 序号 功能区域 设备名称 用途 设备信息 抽样方式 1 网络边界 防火墙 互联的策略管理 TOPSEC4000U 抽查1台 2 网络边界 IPS 网络攻击检测和阻断 Packeteer 抽查1台 3 网络汇聚区 交换机 核心交换 CISCO6509 测试3台 4 网络汇聚区 交换机 汇聚接入 CISCO4507等 抽测3台 服务器及主机抽查列表 序号 功能区域 设备名称 用途 设备信息 抽样方式 1 服务器区 数据库服