《等级保护测评保障方案.docx》由会员分享,可在线阅读,更多相关《等级保护测评保障方案.docx(9页珍藏版)》请在第壹文秘上搜索。
1、等级保护测评保障方案根据公安部出台的有关等级保护的政策,对信息系统的等级保护已经是国家的一项基本国策和信息安全的基本保障,同时等级保护工作的开展也是各行各业信息化建设的内在需求。等级保护测评的目的在于对当前建设的信息系统的安全防护能力做出客观评价。通过对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理10个方面的安全检查,以国家信息安全等级保护基本要求作为安全基线,进行客观符合性判定,进一步衡量当前系统的安全防护能力,以及系统所面临的威胁和风险所在,为将来的安全整改和安全建设提供有力依据。我公司在本次项目
2、开始实施前,严格按照等级保护2.0测评标准在项目实施阶段、测评阶段提供完善的测评文档和技术文档,并协助用户在整个测评过程中提供任何所需的技术支持服务。保证顺利通过等级保护2.0(三级)测评。1.l,测评流程整个测评项目的实施主要分为现场测评和复测评,具体流程参见下图所示。现场测W其中现场测评分为四个阶段:一、测评准备活动阶段;二、方案编制活动阶段;三、现场测评活动阶段;四、分析和报告编制活动阶段。复测评分为三个阶段:一、安全整改活动阶段;二、复测评活动阶段;三、分析和报告编制活动阶段。12现场测评根据信息安全技术网络安全等级保护测评要求(GB/T8448-2019),具体测评内容具体分为安全物
3、理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理10个方面的内容。其中涉及与技术层面相关的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心5个方面的内容,由我公司协助提供相应的技术文档和现场测评的技术支持。涉及与管理层面相关的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理5个方面的内容,由我公司配合用户,提供指导建议,并协助完成相关内容建设。1.2.1.安全物理环境1.2.1.1. 测评内容主要通过访谈和检查的方式评测信息系统的物理安全保障情况。主要涉及对象为机房。在内
4、容上,测评实施过程涉及以下几个安全子类:序号安全子类测评指标描述1物理位置的选择检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。2物理访问控制检查机房出入口等过程控制,测评信息系统在物理访问控制方面的安全防范能力。3防盗窃和防破坏检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。4防雷击检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。5防火检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。6防水和防潮检查机房及其除潮设备等过程,测评信息
5、系统是否采取必要措施来防止水灾和机房潮湿。7防静电检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。8温湿度控制检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。9电力供应检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。10电磁防护检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。1.2.1.2. 需求配合配合项目配合内容物理位置的选择提供相应的房屋建筑资料。物理访问控制提供机房出入登记记录、审批记录、电子门禁记录等。防盗窃和防破坏提供防盗报警运行维护情况及相关记录。防雷击提供建筑物防雷技术检测报告。防火提供防火
6、系统的检查和维护记录、机房验收文档。防水和防潮提供建筑施工图、建筑验收文档。防静电展示防静电接地措施温湿度控制提供机房温湿度变化的记录和温湿度调节设备的建设记录。电力供应提供供电线路的稳压器、供电线路的UPS、备用电源设备和过电压防护设备的建设和维护记录。电磁防护1 .介绍设备外壳接地的实施情况;2 .介绍线路铺设中将电源线和通信线路隔离的实施情况;3 .介绍重要设备和磁介质实施电磁屏蔽的情况。1.2.2.安全通信网络1.2.2.1. 测评内容主要涉及对象为网络设备以及网络拓扑结构等二大类对象。在内容上,测评过程涉及以下几个安全子类。序号安全子类测评指标描述1网络架构检查网络拓扑情况、核查核心
7、交换机、测评分析网络架构与网段划分、设备冗余等情况的合理性和有效性。2通信传输检查通信过程中数据的完整性。3可信验证检查关键执行环节的动态可信验证。1.2.2.2. 需求配合配合项目配合内容网络架构提供系统网络结构拓扑图。通信传输提供核心交换机配置策略、IP地址规划和边界访问策略。可信验证提供核心交换机和接入层交换机端口绑定和IP地址绑定策略。1.2.3. 安全区域边界1.23.1.测评内容主要涉及对象为网络安全设备,包含防火墙、入侵检测、安全审计等产品。在内容上,测评过程涉及以下几个安全子类。序号安全子类测评指标描述1边界防护检查边界完整性,检查设备接入边界完整性,检查设备进行测试等过程,测
8、评分析信息系统私自联到外部网络的行为。2访问控制检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。3入侵防范测评分析信息系统对攻击行为的识别和处理情况。4恶意代码防范检查网络恶意代码防范情况。5安全审计检查网络安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。1.2.3.2.需求配合配合项目配合内容边界防护提供防火墙边界防护控制策略,介绍采用的手段以防止非授权接入和非法外联行为。访问控制提供防火墙访问控制策略。入侵防范提供入侵检测配置策略以及防火墙端口、协议管理策略。介绍防止网络入侵攻击
9、防范措施。恶意代码防范提供防毒墙控制策略,介绍防毒墙病毒特征加更新策略。安全审计提供日志审计、网络审计安全配置策略。1.2.4. 安全计算环境1.2.4.1. 测评内容主要涉及对象为网络安全设备和安全管理系统,包含身份鉴别系统、安全审计、入侵检测、防病毒软件、数据备份软件等产品。在内容上,测评过程涉及以下几个安全子类。序号安全子类测评指标描述1身份鉴别检查登陆用户信息鉴别情况,检查身份鉴别措施及鉴别有效性、准确性。2访问控制检查访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。3安全审计检查安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。4入
10、侵防范检查网络系统运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。5恶意代码防范检查服务器和终端设备的恶意代码防范情况。6数据备份与恢复检查服务器和终端设备重要数据安全备份情况,检查网络设备中配置文件的安全备份情况。1.2.4.2. 需求配合配合项目配合内容身份鉴别演示用户身份登陆情况,查看身份鉴别策略。访问控制提供服务器和交换机、防火墙访问控制策略。安全审计提供日志审计、数据库审计、主机审计等设备和系统安全策略。入侵防范提供服务器、终端设备端口IP+MAC地址绑定策略。恶意代码防范提供网络版防病毒软件控制策略,查看防病毒特征库更新策略。数据备份与恢复提供数
11、据备份策略,查看数据备份内容。演示数据备份与恢复流程。1.2.5.安全管理中心1.2.5.1.测评内容主要涉及对象为网络综合管理平台和审计管理等产品。在内容上,测评过程涉及以下几个安全子类。序号安全子类测评指标描述1系统管理检查是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理。2审计管理检查安全审计记录,检查对审计记录内容的存储和管理。3安全管理检查是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。4集中管理检查系统集中管理方式、管理范围、管理内容。1.2.5.2.需求配合配合项目配合内容系统管理查看安全管理系统的系统管理策略和
12、管理范围。审计管理提供各类审计管理系统的审计管理策略。安全管理提供系统访问控制策略文档;提供主机系统、网络、安全设备的操作日志;集中管理提供安全管理系统的管理范围,管理策略和管理内容。1.3 .差距分析通过现场测评收集的信息,并对这些信息进行分析,形成定级信息系统的弱点评估报告、风险评估报告等文档。通过差距分析,了解信息系统的现状,确定当前系统与相应保护等级要求之间的差距,确定不符合安全项,明确后续整改内容。1.4 .安全整改依据差距分析报告,对需要整改的内容项形成整改实施方案。落实各项整改内容的责任主体。涉及实施原因的整改内容由我公司安排人员在限定时间内完成整改;涉及安全策略配置原因的整改内容由我公司技术人员与客户进行共同商定确定具体策略后,由我公司安排技术人员进行整改;涉及管理制度、管理人员、管理流程的整改内容配合客户相关部门负责完成整改。