等级测评实施方案(三级)-zx1117.docVIP

测评方案 测评流程 依据《 GBT 28448-2012 信息安全技术 信息系统安全等级保护测评要求》， 我们以《信息安全技术 信息系统安全等级保护测评过程指南》 （GBT28449-2012） 为测评输入，采取相应的（包括：访谈、检查、测试）测评方法，按照相应的测 评规程对测评对象（包括：制度文档、各类设备、安全配置、相关人员）进行相应力度（包括：广度、深度）的单元测评、整体测评，对测评发现的风险项进行分析评估，提出合理化整改建议，最终得到相应的信息系统等级测评报告。 信息系统等级测评工作共分为四项活动，即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动，基本工作流程图如下： 图表 1 等级测评工作流程图 信息系统安全保护等级测评力度 信息系统安全保护等级 测评力度 二级系统 三级系统 测评对象在种类和数量上抽样， 种类 测评对象在数量上抽样，在种类上基本覆 访 广度 和数量都较多 盖 谈 深度 充分 较全面 测评对象在种类和数量上抽样， 种类 测评对象在数量上抽样，在种类上基本覆 检 广度 和数量都较多 盖 查 深度 充分 较全面 测评对象在种类和数量、范围上抽 测评对象在数量和范围上抽样，在种类上 测 广度 样，种类和数量都较多，范围大 基本覆盖 试 深度 功能测试 / 性能测试 功能测试 / 性能测试，渗透测试 测评对象 我们一般的测评对象包括：整体对象，如机房、办公环境、网络等，也包括具体对象，如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和 应用系统等。 但此次测评为云环境下的测评， 由于机房和网络环境的安全责任不归属该单位， 故此次测评对象为： 主机、应用系统和安全管理制度三个层面相关的对象。 在具体测评对象选择工作过程中，遵循以下原则： 完整性原则，选择的设备、措施等应能满足相应等级的测评力度要求； 重要性原则，应抽查重要的服务器、数据库和网络设备等； 安全性原则，应抽查对外暴露的网络边界； 共享性原则，应抽查共享设备和数据交换平台 / 设备； 代表性原则，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。 测评依据 信息安全测评与其他测评一样，是依据相关的需求、设计、标准和规范，对待测对象进行测试、评估（评价） ，因此有必要梳理出测评对象、以及采用的标准规范。 测评使用的主要指标依据如下： 系统定级 使用的主要指标依据有： 《计算机信息系统安全保护等级划分准则》 （ GB 17859-1999） 《信息安全技术 信息系统安全等级保护定级指南》 （ GB/T 22240-2008 ） 等级保护测评 使用的主要指标依据有： 《信息安全技术 信息系统安全等级保护基本要求》 （ GB/T 22239-2008 ） 《信息安全技术 信息系统安全等级保护测评要求》 （ GBT 28448-2012） 《 信息 安全 技术 信息 系 统 安全等级 保护测 评 过 程指 南 》（ GBT 28449-2012） 《信息安全技术 信息安全风险评估规范》 （GB/T 20984-2007 ） 现状测评 使用的主要指标依据有： 制度检查：以 GB/T22239《等级保护基本要求》 、ISO27000/ISO17799、ITIL 的相关要求作为补充检查要求，检查是否具有相应的制度、记录。 漏洞扫描检查：使用工具自带的库和基线。 整体网络架构分析：以基于安全域的划分结果进行分析，主要参考《信息系统等级保护安全设计技术要求》 （GB/T 25070-2010 ）。 渗透测试：没有标准的定义。通过模拟恶意黑客的攻击的方法，来评估信息系统安全防御按照预期计划正常运行。 系统信息安全加固、安全建设整改建议 的主要依据有： 《信息安全技术 信息系统安全等级保护实施指南》 （ GB/T 25058-2010 ） Gartner 企业信息安全体系架构 OSA（开放安全架构）安全架构 SABSA企业安全架构 《信息安全风险评估规范》 （GB/T 20984-2007 ） 《信息技术安全性评估准则》 （ GB/T ） 相关依据 还有：公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的 《关于信息安全等级保护工作的实施意见》 （公通字 [2004]66 ）、公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安 全等级保护管理办法》（公通字 [2007]43 号）、《政府网络信息系统安全检测办法》 （国办发 [2009]28 号）、《信息安全技术网络信息系统安全检测与等保测评要求》 、 《信息安全技术网络信息系统安全检测与等保测评过程指南》 、《信息安全技术信息系统通用安全技术要求》 （ GB/T20271-2006）、《信息安全技术网络基础安全技 术要求》（