您的位置:360文档中心› 三级应用系统等级保护测评表——技术

三级应用系统等级保护测评表——技术

合集下载

等级保护测评表单(三级应用系统_安全管理)

等级保护测评表单(三级应用系统_安全管理)

本文由bookkid贡献 xls1。

信息系统安全等级保护基本要求 a) 应制定信息安全工作的总体方针和安全策略, 说明机构安全工作的总体目标、范围、原则和安全框 架等; b) 应对安全管理活动中的各类管理内容建立安全 管理制度; c) 应对要求管理人员或操作人员执行的日常管理 操作建立操作规程; d) 应形成由安全策略、管理制度、操作规程等构 成的全面的信息安全管理制度体系。

 a) 应指定或授权专门的部门或人员负责安全管理 制度的制定; b) 安全管理制度应具有统一的格式,并进行版本 控制; c) 应组织相关人员对制定的安全管理制度进行论 证和审定; d) 安全管理制度应通过正式、有效的方式发布; e) 安全管理制度应注明发布范围,并对收发文进 行登记。

 a) 信息安全领导小组应负责定期组织相关部门和 相关人员对安全管理制度体系的合理性和适用性进行 审定; b) 应定期或不定期对安全管理制度进行检查和审 定,对存在不足或需要改进的安全管理制度进行修订 。

 a) 应设立信息安全管理工作的职能部门,设立安 全主管、安全管理各个方面的负责人岗位,并定义各 负责人的职责; b) 应设立系统管理员、网络管理员、安全管理员 等岗位,并定义各个工作岗位的职责; c) 应成立指导和管理信息安全工作的委员会或领 导小组,其最高领导由单位主管领导委任或授权; d) 应制定文件明确安全管理机构各个部门和岗位 的职责、分工和技能要求。

 a) 应配备一定数量的系统管理员、网络管理员、 安全管理员等; b) 应配备专职安全管理员,不可兼任; c) 关键事务岗位应配备多人共同管理。

 a) 应根据各个部门和岗位的职责明确授权审批事 项、审批部门和批准人等; b) 应针对系统变更、重要操作、物理访问和系统 接入等事项建立审批程序,按照审批程序执行审批过 程,对重要活动建立逐级审批制度; c) 应定期审查审批事项,及时更新需授权和审批 的项目、审批部门和审批人等信息; d) 应记录审批过程并保存审批文档。

等保测评 3级测评项

等保测评 3级测评项

等保测评3级测评项
等保测评3级包含以下方面:
1. 安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。

2. 安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

3. 网络结构测评:包括网络结构安全、通讯全过程数据库安全、数据信息安全性、界限安全防护、访问控制、侵入防范、恶意程序防范、安全审计、确保通讯稳定性的设备和路线沉余等层面的测评。

4. 单项工程测评:包括设备和测算安全性、运用和网络信息安全等方面的测评。

5. 安全风险评估:包括安全风险分析、安全脆弱性评估、安全事故风险评估等方面的测评。

6. 应急预案和演练测评:包括应急预案、应急演练和演练评估等方面的测评。

7. 第三方服务满意度测评:包括第三方服务提供商的服务质量、服务态度、服务效率等方面的测评。

8. 其他测评:包括但不限于上述各项的补充测评、专项测评等。

希望以上内容对您有帮助,如果您有其他问题,欢迎向我提问,我会为您提供相应的服务。

等保三级测评项技术部分

等保三级测评项技术部分

等保三级测评项技术部分摘要:1.等保三级测评项技术部分概述2.等保三级测评项技术部分的具体内容3.等保三级测评项技术部分的重要性4.如何进行等保三级测评项技术部分的测评5.等保三级测评项技术部分的未来发展趋势正文:一、等保三级测评项技术部分概述等保三级测评项技术部分,是指对信息系统安全等级保护三级的测评过程中,涉及的技术方面的内容。

在我国,信息系统安全等级保护分为五级,其中三级适用于一般信息系统。

等保三级测评项技术部分主要从安全技术、安全管理和安全运维三个方面进行评估,以确保信息系统的安全性能和数据安全。

二、等保三级测评项技术部分的具体内容1.安全技术方面:包括物理安全、网络安全、主机安全、数据安全和应用安全等五个方面。

物理安全主要评估机房的环境、设施和设备等;网络安全主要评估网络设备的安全配置、网络拓扑结构和安全策略等;主机安全主要评估操作系统、数据库和应用程序的安全性;数据安全主要评估数据的完整性、机密性和可用性;应用安全主要评估应用程序的安全功能和安全策略。

2.安全管理方面:主要评估信息系统的安全管理制度、安全管理组织、安全管理流程和安全管理手段等。

安全管理制度的完善程度和执行情况,安全管理组织的设置和职责分工,安全管理流程的合理性和有效性,以及安全管理手段的先进性和适应性等方面都是评估的重点。

3.安全运维方面:主要评估信息系统的安全运维管理、安全运维过程和安全运维技术等。

安全运维管理的规范程度和执行情况,安全运维过程的合理性和有效性,以及安全运维技术的先进性和适应性等方面都是评估的重点。

三、等保三级测评项技术部分的重要性等保三级测评项技术部分的重要性在于,它是保障信息系统安全的重要手段。

通过等保三级测评,可以发现信息系统在安全技术、安全管理和安全运维方面的不足,并采取相应的措施进行整改,从而提高信息系统的安全性能和数据安全。

此外,等保三级测评也是信息系统运营单位履行安全责任的必要证明。

四、如何进行等保三级测评项技术部分的测评进行等保三级测评项技术部分的测评,需要委托具有国家认可的测评资质的第三方测评机构进行。

等级保护三级管理系统测评

等级保护三级管理系统测评
69.
应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理
70.
应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
岗位设置
1.
应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。安全主管,安全管理某方面的负责人,部门、岗位职责文件。
2.
应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责。
3.
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
4.
应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
人员配备
5.
应配备一定数量的系统管理员、网络管理员、安全管理员等。
访谈,检查。安全主管,人员配备要求的相关文档,管理人员名单。
79.
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
80.
应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
81.
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。

等保测评技术方案

等保测评技术方案

一、等级保护测评方案(一)测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求,信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标,并根据《测评要求》的要求,对信息系统实施安全现状测评。

因此,本次测评将根据信息系统的等级选取相应级别的测评指标。

1.测评指标三级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类(G3),3级业务信息安全性指标类(S3)和3级业务服务保证类(A3)。

所包括的安全控制指标类型情况具体如下表:系统测评指标统计列表二级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2)和2级业务服务保证类(A2)。

所包括的安全控制指标类型情况具体如下表特殊指标无。

(二)测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。

选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾了工作投入与结果产出两者的平衡关系。

2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表(三)测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。

1.访谈访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。

三级等保评测文件

三级等保评测文件

信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年月日测评单位名称报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。

(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作内容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。

二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。

三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。

公安部信息安全等级保护评估中心四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章内容的提炼和简要描述。

报告基本信息声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含但不限于以下内容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。

本报告中给出的结论不能作为对系统内相关产品的测评结论。

本报告结论的有效性建立在用户提供材料的真实性基础上。

在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。

测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发范围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评范围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (9)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评内容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (17)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附:信息系统安全等级保护备案表测评单位名称[2009版] 1测评项目概述1.1测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。

等保三级测评内容详解

等保三级测评内容详解

等保三级测评内容详解标题:等保三级测评内容详解简介:等保三级测评是指对信息系统等级保护实施的一种评价和测试,是在信息系统等级保护评估的基础上,对实施等级保护的信息系统进行综合评估和测试。

本文将深入探讨等保三级测评的内容,包括测评目标、评估要求、测评方法和总结回顾,以帮助您更全面、深刻地理解等保三级测评。

一、测评目标等保三级测评的目标是评价和测试信息系统在等级保护实施过程中的安全性、稳定性和合规性,以发现系统存在的安全漏洞和隐患,为进一步提升系统等级保护水平提供科学数据支持。

二、评估要求等保三级测评的评估要求主要包括以下几个方面:1. 安全管理要求:评估信息系统是否建立了完备的安全管理机制,包括安全策略、安全组织、安全人员、安全培训等。

2. 安全技术要求:评估信息系统是否采用了先进的安全技术手段,包括身份认证、访问控制、加密技术、漏洞管理等。

3. 安全保障要求:评估信息系统是否实施了全面的安全保障措施,包括物理环境保护、应急响应、安全审计、风险管理等。

三、测评方法等保三级测评的方法主要包括以下几个步骤:1. 需求分析:根据等级保护要求,确定测评对象和测评范围。

2. 数据收集:收集与测评对象相关的信息和数据,包括系统配置信息、安全策略文件、日志记录等。

3. 风险评估:通过风险评估方法,对系统风险进行评估和分类。

4. 安全测试:根据评估要求,进行系统漏洞扫描、渗透测试、密码破解等安全测试活动。

5. 安全评估:评估系统的安全性、稳定性和合规性,分析系统中存在的安全漏洞和隐患。

6. 结果报告:撰写测评结果报告,包括系统安全现状、存在的问题和建议的改进建议。

总结回顾:通过等保三级测评,可以全面评估信息系统的安全性、稳定性和合规性,为进一步提升系统等级保护水平提供科学数据支持。

在评估过程中,需要关注安全管理要求、安全技术要求和安全保障要求,并运用需求分析、数据收集、风险评估、安全测试和安全评估等方法。

通过测评结果报告,可以了解系统的安全现状、存在的问题和改进方案,为系统的持续改进提供指导。

信息系统等级保护测评指标(二级与三级)

信息系统等级保护测评指标(二级与三级)

分类 应用安全
子类 安全审计(G2) 入侵防范(G2) 恶意代码防范
(G2) 资源控制(A2)
身份鉴别(S2)
访问控制(S2)
安全审计(G2)
基本要求 些帐户的默认口令 应及时删除多余的、过期的帐户、避免共享帐户的存在 审计范围应覆盖到服务器上的每个操作系统用户和数据库 用户 审计内容应包括重要用户行为、系统资源的异常使用和重要 系统命令的使用等系统内重要的安全相关事件 审计记录应包括事件的日期、时间、类型、主体标识、客体 标识和结果等 应保护审计记录,避免受到未预期的删除、修改或覆盖等 操作系统应遵循最小安装的原则,仅安装需要的组件和应用 程序,并通过设置升级服务器等方式保持系统补丁及时得到 更新 应安装防恶意代码软件,并及时更新防恶意代码软件版本和 恶意代码库 应支持防恶意代码软件的统一管理 应通过设定终端接入方式、网络地址范围等条件限制终端登 录 应根据安全策略设置登录终端的操作超时锁定 应限制单个用户对系统资源的最大或最小使用限度 应提供专用的登录控制模块对登录用户进行身份标识和鉴 别 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证 应用系统中不存在重复用户身份标识,身份鉴别信息不易被 冒用 应提供登录失败处理功能,可采取结束会话、限制非法登录 次数和自动退出等措施 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别 信息复杂度检查以及登录失败处理功能,并根据安全策略配 置相关参数 应提供访问控制功能,依据安全策略控制用户对文件、数据 库表等客体的访问 访问控制的覆盖范围应包括与资源访问相关的主体、客体及 它们之间的操作 应由授权主体配置访问控制策略,并严格限制默认帐户的访 问权限 应授予不同帐户为完成各自承担任务所需的最小权限,并在 它们之间形成相互制约的关系 应提供覆盖到每个用户的安全审计功能,对应用系统重要安 全事件进行审计 应保证无法删除、修改或覆盖审计记录 审计记录的内容至少应包括事件日期、时间、发起者信息、 类型、描述和结果等
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

22
够记录入侵的源IP、攻击的类型、攻击的目的、 攻击的时间,并在发生严重入侵事件时提供报
23
入侵 防范
警; 应能够对重要程序的完整性进行检测,并在检测 到完整性受到破坏后具有恢复的措施;
操作系统应遵循最小安装的原则,仅安装需要的
24
组件和应用程序,并通过设置升级服务器等方式
保持系统补丁及时得到更新;
5
应为操作系统和数据库系统的不同用户分配不同 的用户名,确保用户名具有唯一性;
6
应采用两种或两种以上组合的鉴别技术对管理用 户进行身份鉴别;
7
应启用访问控制功能,依据安全策略控制用户对 资源的访问;
8
应根据管理用户的角色分配权限,实现管理用户 的权限分离,仅授予管理用户所需的最小权限;
9 10
访问 控制
是否满 足要求
是 是 是 是 是 否 是 是
是 是 是 是 否 否 否 否 否 否



是 是




查windows配置

巡检记录

配置用户的使用权限

审计内容应包括重要用户行为、系统资源的异常
15
使用和重要系统命令的使用等系统内重要的安全
相关事件;
16
安全 审计记录应包括事件的日期、时间、类型、主体 审计 标识、客体标识和结果等;
17 系统 安全
应能够根据记录数据进行分析,并生成审计报 表;
18
应保护审计进程,避免受到未预期的中断;
19
应保护审计记录,避免受到未预期的删除、修改 或覆盖等;
资源 应对重要服务器进行监视,包括监视服务器的 控制 CPU、硬盘、内存、网络等资源的使用情况;
31
应限制单个用户对系统资源的最大或最小使用限 度;
32
应能够对系统的服务水平降低到预先规定的最小 值进行检测和报警;
用系统等级保护要求--系统
检查结果 需要进行账号设置
ca服务器 需要进行账号设置
体现在制度上 体现在制度上
信息安全三级应用系统等级保护要求--系统
序 检查 检查 号 项 子项
基本要求
1
应对登录操作系统和数据库系统的用户进行身份 标识和鉴别;
操作系统和数据库系统管理用户身份标识应具有
2
不易被冒用的特点,口令应有复杂度要求并定期
更换;3 4ຫໍສະໝຸດ 身份 鉴别应启用登录失败处理功能,可采取结束会话、限 制非法登录次数和自动退出等措施; 当对服务器进行远程管理时,应采取必要措施, 防止鉴别信息在网络传输过程中被窃听;
25
应安装防恶意代码软件,并及时更新防恶意代码 恶意 软件版本和恶意代码库;
26
代码 主机防恶意代码产品应具有与网络防恶意代码产 防范 品不同的恶意代码库;
27
应支持防恶意代码的统一管理;
28
应通过设定终端接入方式、网络地址范围等条件 限制终端登录;
29
应根据安全策略设置登录终端的操作超时锁定;
30
应实现操作系统和数据库系统特权用户的权限分 离; 应严格限制默认帐户的访问权限,重命名系统默 认帐户,修改这些帐户的默认口令;
11
应及时删除多余的、过期的帐户,避免共享帐户 的存在;
12
应对重要信息资源设置敏感标记;
13
应依据安全策略严格控制用户对有敏感标记重要 信息资源的操作;
14
审计范围应覆盖到服务器和重要客户端上的每个 操作系统用户和数据库用户;
应保证操作系统和数据库系统用户的鉴别信息所
20
在的存储空间,被释放或再分配给其他用户前得 剩余 到完全清除,无论这些信息是存放在硬盘上还是
信息 在内存中;
保护 应确保系统内的文件、目录和数据库记录等资源
21
所在的存储空间,被释放或重新分配给其他用户
前得到完全清除;
应能够检测到对重要服务器进行入侵的行为,能
相关文档
最新文档