安全物理环境现场测评

重庆医科大学附属第一医院信息系统等级保护测评的招标技术参数2020年5月13日重庆医科大学附属第一医院按照国家相关法律法规要求，对我单位“HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统”等级保护2.0测评服务项目进行询价采购。

一、招标采购内容HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统按等级保护三级开展等级保护测评服务，按需完成系统等级保护备案工作。

二、项目情况（一）项目简介网络安全等级保护测评（简称等级测评）是在《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《信息安全等级保护管理办法》（公通字[2007]43号）等法规要求的等级保护制度——定级、备案、建设整改、等级测评、监督检查五个规定动作中的重要一环，依据国家法律、法规和技术标准对被测系统进行技术和管理两个方面进行全面测试、检查和测评，真实反映系统的安全保护能力，寻找问题和差距，为信息系统建设整改提供建议和依据。

网络安全等级保护测评就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，测评安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地为保障信息安全提供科学依据。

使用工具针对关键的设备、重要的网段和高危的漏洞进行渗透测试，形成相应的实施及分析报告。

随着业务系统顺应开放和互连的趋势，信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统信息安全。

必须在一个日趋开放的系统平台上重新审视信息安全问题。

我院“HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统”涉及资金数额大，对社会影响广泛，是国家政策要求实施安全等级保护的重点系统。

因此，如何建立一个高效的现代信息安全体系，日益成为突出的问题。

“HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统”网络安全等级保护评测项目即在此种背景下，通过对业务系统进行的一次全面的等级测评，及时、准确的了解当前系统的安全现状，对系统当前存在的风险进行有效的处理，对网络系统当前的某些安全问题（如普遍存在的问题、突出的问题、需要解决问题等）进行实际的解决。

一、等级保护测评方案（一）测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求，信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标，并根据《测评要求》的要求，对信息系统实施安全现状测评。

因此，本次测评将根据信息系统的等级选取相应级别的测评指标。

1.测评指标三级基本指标依据定级结果，甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类（G3），3级业务信息安全性指标类（S3）和3级业务服务保证类（A3）。

所包括的安全控制指标类型情况具体如下表：系统测评指标统计列表二级基本指标依据定级结果，甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类（G2），2级业务信息安全性指标类（S2）和2级业务服务保证类（A2）。

所包括的安全控制指标类型情况具体如下表特殊指标无。

（二）测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。

选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素，并兼顾了工作投入与结果产出两者的平衡关系。

2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表（三）测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。

1.访谈访谈是指测评人员通过与被测系统有关人员（个人/群体）进行交流、询问等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。

《GB∕T 28448-2019信息安全技术网络安全等级保护测评要求》试卷姓名：分数：一、填空题（每空3分，共30分）1.安全测评通用要求中安全物理环境的测评对象是__________和__________。

2.机房__________设在地下室。

3.二级测评通用要求对机房设置防盗报警系统或有专人值守的视频监控系统__________（有或没有）作要求。

4.三级测评通用要求机房电力供应设置__________电力电缆线路。

5.三级测评通用要求网络设备的业务处理能力满足业务高峰期的要求，可通过查看网络设备的__________使用率和__________使用率。

6.边界防护中，__________级测评要求内外网的非法互联进行检测和限制。

7.云计算安全测评扩展要求云计算基础设施位于__________。

8.工业控制系统与企业其他系统之间应划分为__________个区域。

二、不定项选择（每题5分，共30分）1.三级测评通用要求机房出入口应__________。

A．安排专人值守B．放置灭火器C．安装玻璃门D．配置电子门禁系统2.三级测评通用要求防雷击除了将各类机柜、设施和设备等通过接地系统安全接地，还要求设置__________。

A．照明灯具B．过压保护器C．防雷保安器D．空气清新剂3.身份鉴别要求采用__________等两种或两种以上的鉴别技术。

A．动态口令B．数字证书C．生物技术D．设备指纹4.三级测评通用要求安全计算环境中，访问控制的粒度应达到主体为__________。

A．端口级B．用户级C．进程级D．应用级5.安全管理中心是《GB∕T 28448-2019信息安全技术网络安全等级保护测评要求》新增加的内容，三级测评通用要求安全管理中心内容包括__________。

A．系统管理B．审计管理C．安全管理D．集中管控6.工业控制系统内使用广域网进行进行控制指令或相关数据交换的应采用加密认证技术手段实现__________加密传输。

等保测评技术要求一、服务内容依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对互联网医院环境进行三级等保测评服务，并出具《测评报告》。

二、服务要求（一）等保测评依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对互联网医院环境进行三级等保测评服务，并出具《测评报告》。

若首次测评后被测信息系统需要进行整改，在约定的整改期限内提供复测服务。

服务时间：7*24服务方式：现场和远程交付成果：测评报告。

（二）定级备案协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料，组织开展专家评审会，完成定级备案等相关服务工作。

服务时间：7*24服务方式：现场交付成果：备案证明。

（三）测评服务范围依据《信息安全技术网络安全等级保护基本要求》，测评内容包括但不限于：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个层面开展测评工作。

(1)安全物理环境测评内容：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

(2)安全通信网络测评内容：网络架构、通信传输、可信验证。

(3)安全区域边界测评内容：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

(4)安全计算环境测评内容：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

(5)安全管理中心测评内容：系统管理、审计管理、安全管理、集中管控。

(6)安全管理制度测评内容：安全策略、管理制度、制定和发布、评审和修订。

(7)安全管理机构测评内容：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（8）安全管理人员测评内容：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（9）安全建设管理测评内容：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。