等级测评实施方案(三级)-zx11170001.docxVIP

1 测评方案 测评流程 依据《 GBT 28448-2012 信息安全技术 信息系统安全等级保护测评要求》， 我们以《信息安全技术 信息系统安全等级保护测评过程指南》 （ GBT28449-2012 ） 为测评输入，采取相应的（包括：访谈、检查、测试）测评方法，按照相应的测 评规程对测评对象（包括：制度文档、各类设备、安全配置、相关人员）进行相 应力度（包括：广度、深度）的单元测评、整体测评，对测评发现的风险项进行 分析评估，提出合理化整改建议，最终得到相应的信息系统等级测评报告。 信息系统等级测评工作共分为四项活动，即测评准备活动、方案编制活动、 现场测评活动、结果分析与报告编制活动，基本工作流程图如下： PAGE PAGE # PAGE PAGE # 1.2测评力度 测评力度 信息系统安全保护等级 一级系统 三级系统 访 广度 测评对象在种类和数量上抽样， 和数量都较多 种类 测评对象在数量上抽样，在种类上基本覆 盖 rm 谈 深度 充分 较全面 检 广度 测评对象在种类和数量上抽样， 和数量都较多 种类 测评对象在数量上抽样，在种类上基本覆 盖 rm 查 深度 充分 较全面 测 广度 测评对象在种类和数量、范围上抽 样，种类和数量都较多，范围大 测评对象在数量和范围上抽样，在种类上 基本覆盖 试 深度 功能测试/性能测试 功能测试/性能测试，渗透测试 1.3测评对象 我们一般的测评对象包括：整体对象，如机房、办公环境、网络等，也包括 具体对象，如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和 应用系统等。但此次测评为云环境下的测评， 由于机房和网络环境的安全责任不 归属该单位，故此次测评对象为： 主机、应用系统和安全管理制度三个层面相关 的对象。 在具体测评对象选择工作过程中，遵循以下原则： 完整性原则，选择的设备、措施等应能满足相应等级的测评力度要求； 重要性原则，应抽查重要的服务器、数据库和网络设备等； 安全性原则，应抽查对外暴露的网络边界； 共享性原则，应抽查共享设备和数据交换平台 /设备; 代表性原则，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据 库系统类型和应用系统的类型。 测评依据 信息安全测评与其他测评一样，是依据相关的需求、设计、标准和规范，对 待测对象进行测试、评估(评价) ，因此有必要梳理出测评对象、以及采用的标 准规范。 测评使用的主要指标依据如下： 系统定级 使用的主要指标依据有： 《计算机信息系统安全保护等级划分准则》 (GB 17859-1999 ) 《信息安全技术 信息系统安全等级保护定级指南》 ( GB/T 22240-2008 ) 等级保护测评 使用的主要指标依据有： 《信息安全技术 信息系统安全等级保护基本要求》 ( GB/T 22239-2008 ) 《信息安全技术 信息系统安全等级保护测评要求》 ( GBT 28448-2012 ) 信 息 安 全 技 术 信息 系 统 安 全 等 级 保 护 测 评 过 程 指 南 》 ( GBT 28449-2012 ) 《信息安全技术 信息安全风险评估规范》 (GB/T 20984-2007 ) 现状测评 使用的主要指标依据有： 制度检查：以 GB/T22239 《等级保护基本要求》 、 ISO27000/ISO17799 、 ITIL 的相关要求作为补充检查要求，检查是否具有相应的制度、记录。 漏洞扫描检查：使用工具自带的库和基线。 整体网络架构分析：以基于安全域的划分结果进行分析，主要参考《信 息系统等级保护安全设计技术要求》 (GB/T 25070-2010 )。 渗透测试：没有标准的定义。通过模拟恶意黑客的攻击的方法，来评估 信息系统安全防御按照预期计划正常运行 系统信息安全加固、安全建设整改建议 的主要依据有： 《信息安全技术 信息系统安全等级保护实施指南》 ( GB/T 25058-2010 ) Gartner 企业信息安全体系架构 OSA (开放安全架构)安全架构 SABSA 企业安全架构 《信息安全风险评估规范》 (GB/T 20984-2007 ) 《信息技术安全性评估准则》 ( GB/T 18336.1-2008 ) 相关依据 还有：公安部、国家保密局、国际密码管理局、国务院信息化工作办公 室联合转发的 《关于信息安全等级保护工作的实施意见》 (公通字 [2004]66 )、公 安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安 全等级保护管理办法》(公通字 [2007]43 号)、《政府网络信息系统安全检测办法》 (国办发 [2009]28 号)、《信息安全技术网络信息系统安全检测与等保测评要求》 、 《信息安全技术网络信息系统安全检测与等保测评过程指南》 、《信