信息安全等级保护项目测评方案(DOC 181页)

信息安全等级保护测评项目

测

评

方

案

广州华南信息安全测评中心

二〇一六年

目录

第一章概述 (3)

第二章测评基本原则 (4)

一、客观性和公正性原则 (4)

二、经济性和可重用性原则 (4)

三、可重复性和可再现性原则 (4)

四、结果完善性原则 (4)

第三章测评安全目标（2级） (5)

一、技术目标 (5)

二、管理目标 (6)

第四章测评内容 (9)

一、资料审查 (10)

二、核查测试 (10)

三、综合评估 (10)

第五章项目实施 (12)

一、实施流程 (12)

二、测评工具 (13)

2.1 调查问卷 (13)

2.2 系统安全性技术检查工具 (13)

2.3 测评工具使用原则 (13)

三、测评方法 (14)

第六章项目管理 (15)

一、项目组织计划 (15)

二、项目成员组成与职责划分 (15)

三、项目沟通 (16)

3.1 日常沟通，记录和备忘录 (16)

3.2 报告 (16)

3.3 正式会议 (16)

第七章附录：等级保护评测准则 (19)

一、信息系统安全等级保护 2 级测评准则 (19)

1.1 基本要求 (19)

1.2 评估测评准则 (31)

二、信息系统安全等级保护 3 级测评准则 (88)

基本要求 (88)

评估测评准则 (108)

第一章概述

2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件

明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。”

2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全

建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

第二章测评基本原则

一、客观性和公正性原则

虽然测评工作不能完全摆脱个人主张或判断，但测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。

二、经济性和可重用性原则

基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应

基于结果适用于目前的系统，并且能够反映出目前系统的安全状态基础之上。

三、可重复性和可再现性原则

不论谁执行测评，依照同样的要求，使用同样的测评方式，对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与

不同测评者测评结果的一致性有关，后者与同一测评者测评结果的一致性有关。

四、结果完善性原则

测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。

第三章测评安全目标（2 级）一、技术目标

O2-1.应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力

O2-2.应具有控制接触重要设备、介质的能力

O2-3.应具有对通信线路进行物理保护的能力

O2-4.应具有控制机房进出的能力

O2-5.应具有防止设备、介质等丢失的能力

O2-6.应具有控制机房内人员活动的能力

O2-7.应具有防止雷击事件导致重要设备被破坏的能力

O2-8.应具有灭火的能力

O2-9.应具有检测火灾和报警的能力

O2-10. 应具有防水和防潮的能力

O2-11. 应具有防止静电导致重要设备被破坏的能力

O2-12. 应具有温湿度自动检测和控制的能力

O2-13. 应具有防止电压波动的能力

O2-14. 应具有对抗短时间断电的能力

O2-15. 具有基本的抗电磁干扰能力

O2-16. 应具有限制网络、操作系统和应用系统资源使用的能力

O2-17. 应具有能够检测对网络的各种攻击并记录其活动的能力

O2-18. 应具有网络边界完整性检测能力

O2-19. 应具有对传输和存储数据进行完整性检测的能力

O2-20. 应具有对硬件故障产品进行替换的能力

O2-21. 应具有系统软件、应用软件容错的能力

O2-22. 应具有软件故障分析的能力

O2-23. 应具有合理使用和控制系统资源的能力

O2-24. 应具有记录用户操作行为的能力

O2-25. 应具有对用户的误操作行为进行检测和报警的能力

O2-26. 应具有对传输和存储中的信息进行保密性保护的能力

O2-27. 应具有发现所有已知漏洞并及时修补的能力

O2-28. 应具有对网络、系统和应用的访问进行控制的能力

O2-29. 应具有对数据、文件或其他资源的访问进行控制的能力

O2-30. 应具有对资源访问的行为进行记录的能力

O2-31. 应具有对用户进行唯一标识的能力

O2-32. 应具有对用户产生复杂鉴别信息并进行鉴别的能力

O2-33. 应具有对恶意代码的检测、阻止和清除能力

O2-34. 应具有防止恶意代码在网络中扩散的能力

O2-35. 应具有对恶意代码库和搜索引擎及时更新的能力

O2-36. 应具有保证鉴别数据传输和存储保密性的能力

O2-37. 应具有对存储介质中的残余信息进行删除的能力

O2-38. 应具有非活动状态一段时间后自动切断连接的能力

O2-39. 应具有重要数据恢复的能力

二、管理目标

O2-40. 应确保建立了安全职能部门，配备了安全管理人员，支持信息安全管理工作