等保测评方案
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.
2.1被测系统定级情况
1
系统名称
湖南省电子产品检测分析所门户网站信息系统
主管机构
湖南省电子产品检测分析所
系统承载 业务情况
业务类型
1生产作业2指挥调度3管理控制
4内部办公5公众服务
9其他
业务描述
信息集成门户,包括信息发布、工作平台综合管理等功 能实现
系统服务 情况
服务范围
10全国11跨省(区、市) 跨个
本次测评的目的是建立信息安全等级保护制度, 通过测试手段对安全技术和 安全管理上各个层面的安全控制进行整体性验证。 协助用户完成等级保护测评工 作
1.2
信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等 级测评。依据《信息系统安全等级保护基本要求》、 《信息系统安全等级保护测 评准则》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测 评结果基础上,针对不同等级的信息系统遵循的不同标准进行综合系统安全测评 评审后确定,由等级保护测评机构给予相应的系统安全等级评审意见。
符合性原则 测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。 测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。
1.5
等级测评实施过程中,被测系统可能面临以下风险。
验证测试影响系统正常运行 在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容 需要上机查看一些信息, 这就可能对系统的运行造成一定的影响, 甚至存在误操 作的可能。
分析所考勤管理信息系统的信息系统安全保护等级已定为二级(S2A2G2)湖南省网络与信息安全测评中心 (以下简称测评中心) 受湖南省电子检测分析所 的委托,对湖南省电子产品检测分析所考勤管理信息系统进行信息系统安全等级 保护测评, 现场测评项目组将分为技术核查小组及管理核查小组; 针对安全技术 及安全管理两大方向、十个层面进行测评与分析。
方案编制阶段 测评机构成立项目组后,工作人员到被测单位了解被测评系统的信息,编写 信息系统业务调查报告, 信息系统规划设计分析报告, 与被测单位共同讨论评测 方案,评测工作计划,达成共同认可的评测方案和评测工作计划。
现场测评阶段
在进入现场检测测试阶段时, 测评机构项目组成员在参照系统体系建设相关 资料(系统建设方案、技术资料、ຫໍສະໝຸດ Baidu理资料、日常维护资料)后,对测评单位进 行安全管理机构检查、 安全管理制度检查、 系统备案依据检查、技术要求落实情 况测评、定期评估执行情况检查、等级响应、处理检查、教育和培训检查,生成 管理检查记录、技术检查记录和核查报告。
分析与报告编制阶段
测评机构最后进行核查结果分析,等级符合性分析、专家评审,生成等级测 评报告和安全建议报告 具体流程如下图:
客观性和公正性原则
测评工作虽然不能完全摆脱个人主张或判断, 但测评人员应当在没有偏见和 最小主观判断情形下, 按照测评双方相互认可的测评方案, 基于明确定义的测评 方法和过程,实施测评活动。
湖南省电子产品检测分析所考勤
信息系统安全等级测评方案
编制:
审核: 批准:
日期:
日期: 日期:
1.
1.1
湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工 管理数据、 政工管理数据等企业内部信息, 是本单位的专有信息。 如果系统受到 破坏,将会严重影响电子分析所的正常工作和, 因此湖南省电子产品检测分析所 考勤管理信息系统在业务支撑上起着至关重要的作用。
20全省(区、市)21跨地(市、区) 跨个
30地(市、区)内
99其它
服务对象
1单位内部人员2社会公众人员3两者均包括
9其他
系统网络 平台
覆盖范围
1局域网2城域网3广域网
9其他
网络性质
1业务专网2互联网
9其它
系统互联 情况
1与其他行业系统连接2与本行业其他单位系统连接
3与本单位其他系统连接
9其它 未与单位其它业务系统互联
工具测试影响系统正常运行 在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至 抗渗透能力测试。 测试可能会对系统的负载造成一定的影响, 漏洞扫描测试和渗 透测试可能对服务器和网络通讯造成一定影响甚至伤害。
敏感信息泄漏 泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全 隐患和有关文档信息。
《信息安全技术 服务器技术要求》(GB/T21028-2007)
《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)
1.3
信息系统安全等级保护测评过程包括四个阶段。
测评准备阶段
被测单位向测评机构提出测评申请, 测评机构对被测单位的申请材料进行审 查,在双方达成共识的情况下,双方签订保密协议、委托书、合同。
经济性和可重用性原则
基于测评成本和工作复杂性考虑, 鼓励测评工作重用以前的测评结果,包 括商业安全产品测评结果和信息系统先前的安全测评结果。 所有重用的结果, 都 应基于这些结果还能适用于目前的系统, 能反映目前系统的安全状态。
可重复性和可再现性原则 无论谁执行测评,依照同样的要求,使用同样的方法, 对每个测评实施过 程的重复执行都应该得到同样的测评结果。 可再现性体现在不同测评者执行相同 测评的结果的一致性。 可重复性体现在同一测评者重复执行相同测评的结果的 一致性。
主要参考标准如下:
《信息安全等级保护管理办法》
《信息安全技术 信息系统安全等级保护定级指南》(GB/T22240-2008)
信息安全技术 信息系统安全等级保护基本要求》(GB/T22239-2008)
《信息系统安全等级保护测评要求》(报批稿)
《信息系统安全等级保护实施指南》(报批稿)
《信息系统安全等级保护测评过程指南》(报批稿)
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息安全技术 信息系统通用安全技术要求》 (GB/T20271-2006)
《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)
《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)
业务信息安全保护等级
二级
系统服务安全保护等级
二级
信息系统安全保护等级
二级
2.2
湖南省电子产品检测分析所考勤管理信息系统采用星型结构, 使用天融信防 火墙做为区域安全隔离防护过滤设备。区域分为DMZ区,内部局域网,IDC服 务器群、外联单位、 账务系统网络专区共5个区域,服务器群连接在两台冗余的IDC H3C 7506E上,通过IDC天融信防火墙安全连接到其他区域, 并连接着IDS提供安全检测; 各电厂通过两台H3C SR8808路由器冗余接入局域网;外联单位 通过CISCO3640和天融信防火墙连接到局域网交换H3C 7506E;外网需要经过入侵防御、两级天融信防火墙、网康流量控制网关、上网行为管理设备、局域网 交换H3C 7506E、服务器专区防火墙防御访问系统服务器;所有区域与区域之间 界限分明,部署合理,确保了网络的稳定性、安全性与可靠性。具体网络拓扑结 构图如下:
2.1被测系统定级情况
1
系统名称
湖南省电子产品检测分析所门户网站信息系统
主管机构
湖南省电子产品检测分析所
系统承载 业务情况
业务类型
1生产作业2指挥调度3管理控制
4内部办公5公众服务
9其他
业务描述
信息集成门户,包括信息发布、工作平台综合管理等功 能实现
系统服务 情况
服务范围
10全国11跨省(区、市) 跨个
本次测评的目的是建立信息安全等级保护制度, 通过测试手段对安全技术和 安全管理上各个层面的安全控制进行整体性验证。 协助用户完成等级保护测评工 作
1.2
信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等 级测评。依据《信息系统安全等级保护基本要求》、 《信息系统安全等级保护测 评准则》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测 评结果基础上,针对不同等级的信息系统遵循的不同标准进行综合系统安全测评 评审后确定,由等级保护测评机构给予相应的系统安全等级评审意见。
符合性原则 测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。 测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。
1.5
等级测评实施过程中,被测系统可能面临以下风险。
验证测试影响系统正常运行 在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容 需要上机查看一些信息, 这就可能对系统的运行造成一定的影响, 甚至存在误操 作的可能。
分析所考勤管理信息系统的信息系统安全保护等级已定为二级(S2A2G2)湖南省网络与信息安全测评中心 (以下简称测评中心) 受湖南省电子检测分析所 的委托,对湖南省电子产品检测分析所考勤管理信息系统进行信息系统安全等级 保护测评, 现场测评项目组将分为技术核查小组及管理核查小组; 针对安全技术 及安全管理两大方向、十个层面进行测评与分析。
方案编制阶段 测评机构成立项目组后,工作人员到被测单位了解被测评系统的信息,编写 信息系统业务调查报告, 信息系统规划设计分析报告, 与被测单位共同讨论评测 方案,评测工作计划,达成共同认可的评测方案和评测工作计划。
现场测评阶段
在进入现场检测测试阶段时, 测评机构项目组成员在参照系统体系建设相关 资料(系统建设方案、技术资料、ຫໍສະໝຸດ Baidu理资料、日常维护资料)后,对测评单位进 行安全管理机构检查、 安全管理制度检查、 系统备案依据检查、技术要求落实情 况测评、定期评估执行情况检查、等级响应、处理检查、教育和培训检查,生成 管理检查记录、技术检查记录和核查报告。
分析与报告编制阶段
测评机构最后进行核查结果分析,等级符合性分析、专家评审,生成等级测 评报告和安全建议报告 具体流程如下图:
客观性和公正性原则
测评工作虽然不能完全摆脱个人主张或判断, 但测评人员应当在没有偏见和 最小主观判断情形下, 按照测评双方相互认可的测评方案, 基于明确定义的测评 方法和过程,实施测评活动。
湖南省电子产品检测分析所考勤
信息系统安全等级测评方案
编制:
审核: 批准:
日期:
日期: 日期:
1.
1.1
湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工 管理数据、 政工管理数据等企业内部信息, 是本单位的专有信息。 如果系统受到 破坏,将会严重影响电子分析所的正常工作和, 因此湖南省电子产品检测分析所 考勤管理信息系统在业务支撑上起着至关重要的作用。
20全省(区、市)21跨地(市、区) 跨个
30地(市、区)内
99其它
服务对象
1单位内部人员2社会公众人员3两者均包括
9其他
系统网络 平台
覆盖范围
1局域网2城域网3广域网
9其他
网络性质
1业务专网2互联网
9其它
系统互联 情况
1与其他行业系统连接2与本行业其他单位系统连接
3与本单位其他系统连接
9其它 未与单位其它业务系统互联
工具测试影响系统正常运行 在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至 抗渗透能力测试。 测试可能会对系统的负载造成一定的影响, 漏洞扫描测试和渗 透测试可能对服务器和网络通讯造成一定影响甚至伤害。
敏感信息泄漏 泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全 隐患和有关文档信息。
《信息安全技术 服务器技术要求》(GB/T21028-2007)
《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)
1.3
信息系统安全等级保护测评过程包括四个阶段。
测评准备阶段
被测单位向测评机构提出测评申请, 测评机构对被测单位的申请材料进行审 查,在双方达成共识的情况下,双方签订保密协议、委托书、合同。
经济性和可重用性原则
基于测评成本和工作复杂性考虑, 鼓励测评工作重用以前的测评结果,包 括商业安全产品测评结果和信息系统先前的安全测评结果。 所有重用的结果, 都 应基于这些结果还能适用于目前的系统, 能反映目前系统的安全状态。
可重复性和可再现性原则 无论谁执行测评,依照同样的要求,使用同样的方法, 对每个测评实施过 程的重复执行都应该得到同样的测评结果。 可再现性体现在不同测评者执行相同 测评的结果的一致性。 可重复性体现在同一测评者重复执行相同测评的结果的 一致性。
主要参考标准如下:
《信息安全等级保护管理办法》
《信息安全技术 信息系统安全等级保护定级指南》(GB/T22240-2008)
信息安全技术 信息系统安全等级保护基本要求》(GB/T22239-2008)
《信息系统安全等级保护测评要求》(报批稿)
《信息系统安全等级保护实施指南》(报批稿)
《信息系统安全等级保护测评过程指南》(报批稿)
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息安全技术 信息系统通用安全技术要求》 (GB/T20271-2006)
《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)
《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)
业务信息安全保护等级
二级
系统服务安全保护等级
二级
信息系统安全保护等级
二级
2.2
湖南省电子产品检测分析所考勤管理信息系统采用星型结构, 使用天融信防 火墙做为区域安全隔离防护过滤设备。区域分为DMZ区,内部局域网,IDC服 务器群、外联单位、 账务系统网络专区共5个区域,服务器群连接在两台冗余的IDC H3C 7506E上,通过IDC天融信防火墙安全连接到其他区域, 并连接着IDS提供安全检测; 各电厂通过两台H3C SR8808路由器冗余接入局域网;外联单位 通过CISCO3640和天融信防火墙连接到局域网交换H3C 7506E;外网需要经过入侵防御、两级天融信防火墙、网康流量控制网关、上网行为管理设备、局域网 交换H3C 7506E、服务器专区防火墙防御访问系统服务器;所有区域与区域之间 界限分明,部署合理,确保了网络的稳定性、安全性与可靠性。具体网络拓扑结 构图如下: