网络安全测评整改项目整体服务设想.doc

PAGE1

网络安全测评整改项目整体服务设想

目录

TOC\h\z\u第一节项目整体服务设想 2

一、服务目标 2

二、服务内容 3

三、服务要求 4

第二节项目服务计划 6

一、设计依据 6

二、设计原则 6

三、同步原则 7

四、设计思路 7

第三节测评服务基本工作 9

一、基本工作 9

二、测评标准依据 9

三、测评工作规范 11

四、测评工作内容 12

第四节测评工作流程 12

一、基本工作流程 12

二、基本工作方法 14

三、测评实施准备工作 15

第五节风险控制方案 20

一、常见风险 20

二、风险规避 22

第六节合理化建议 24

一、影响网络安全的因素 24

二、网络安全的防范措施 26

第一节项目整体服务设想

一、服务目标

网络安全测评又名网络安全等级测评，网络安全等级保护是网络安全建设工作的核心和落脚点。等级保护测评的目标是在网络定级工作基础上深入开展网络安全等级保护安全建设整改工作，使网络系统可以按照保护等级的要求进行设计、规划和实施，并且达到相应等级的基本保护水平和保护能力。

依据网络安全等级保护相关标准和指导规范，对XXXX单位XXXX系统按照“整体保护、综合防控”的原则进行安全建设方案的设计，按照等级保护三级的要求进行安全建设规划，对安全建设进行统一规划和设备选型，实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。

依据网络安全等级保护三级标准，按照“统一规划、重点明确、合理建设”的基本原则，在安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面进行安全规划与建设，确保“网络建设合规、安全防护到位”。

最终使XXXXX系统达到安全等级保护第三级要求。经过建设后，使整个网络形成一套完善的安全防护体系，提升整体网络安全防护能力。

对于三级网络，经过安全建设整改，网络在统一的安全保护策略下要具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，以及防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警及记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的网络，应该能够快速恢复正常运行状态；具有对网络资源、用户、安全机制等进行集中控管的能力。

二、服务内容

本项目以XXX单位XXXXX系统等级保护建设为主线，以让相关信息系统达到安全等级保护第三级要求。借助网络产品、安全产品、安全服务、管理制度等手段，建立全网的安全防控管理服务体系，从而全面提高XXXX单位的安全防护能力。

我方公司依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-XXX）、《信息安全技术网络安全等级保护测评要求》（GB/T28448-XXX）、《信息安全技术网络安全等级保护测评过程指南》（GB/T28449-XXXX）和《信息安全技术网络安全等级保护定级指南》（GA/T1389-XXXX）等国家等级保护相关标准对待测系统进行等级保护测评工作，

内容包括：

1.定级备案

指导协助完成采购人的定级备案工作，并取得网安部门颁发的《备案证明》；

2.安全技术测评

包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评；

3.安全管理测评

包括安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评；

4.工具测试

针对重要信息系统进行定期的漏洞扫描、渗透测试等安全服务工作；

5.整改建议

中标人应根据现场测评中发现的问题，按照网络安全等级保护标准要求提出安全整改建议；

6.编制测评报告

完成上述测评工作，采购人整改加固实施后，投标人最后出具符合公安机关要求的网络安全等级保护测评报告。

7.信息安全培训

为提高信息化人才队伍的安全意识和专业技能，投标人需对采购任提供信息安全培训，确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度，信息安全管理制度和相关流程等。

三、服务要求

1.客观性和公正性要求在最小主观判断情形下，按照双方相互认可的方案，基于明确定义的测评方式和解释，实施评估活动。

2.保密要求在测评过程中，需严格遵循保密原则，对服务过程中涉及到的任何用户信息政府采购招标文件范本——服务类未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购人利益。

3.最小影响要求测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免