信息安全等級(jí)保護(hù)安全整改設(shè)計(jì)方案模版

1、精選優(yōu)質(zhì)文檔-傾情為你奉上信息安全等級(jí)保護(hù)安全整改方案xxx公司20xx年x月專心-專注-專業(yè)工作項(xiàng)目清單序號(hào)工作項(xiàng)目數(shù)量（人天）單價(jià)總價(jià)備注1物理安全差距分析2主機(jī)安全差距分析3網(wǎng)絡(luò)安全差距分析4應(yīng)用安全差距分析5數(shù)據(jù)安全差距分析6安全管理機(jī)構(gòu)差距分析7人員安全管理差距分析8安全管理制度差距分析9系統(tǒng)建設(shè)管理差距分析10系統(tǒng)運(yùn)維管理差距分析11等級(jí)保護(hù)整改方案設(shè)計(jì)12安全管理組織及職責(zé)13人員安全管理14安全管理制度15系統(tǒng)建設(shè)管理16系統(tǒng)運(yùn)維管理17物理安全整改18主機(jī)安全整改19網(wǎng)絡(luò)安全整改20指導(dǎo)完成應(yīng)用安全整改21數(shù)據(jù)安全整改22安裝和部署各項(xiàng)新增安全設(shè)備23安全培訓(xùn)？人次等級(jí)保護(hù)測(cè)

2、評(píng)師（中級(jí)）合計(jì)(可根據(jù)實(shí)際情況完成該表.)信息安全等級(jí)保護(hù)安全服務(wù)方案目 錄概述項(xiàng)目背景信息安全等級(jí)保護(hù)是國(guó)家信息系統(tǒng)安全保障工作的基本制度和基本國(guó)策，是國(guó)家對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)實(shí)施重點(diǎn)保護(hù)的關(guān)鍵措施。按照國(guó)家有關(guān)主管部門的要求，某部委開展了等級(jí)保護(hù)相關(guān)工作。前期，某部委已對(duì)應(yīng)用系統(tǒng)進(jìn)行了定級(jí)，并邀請(qǐng)某評(píng)測(cè)機(jī)構(gòu)對(duì)相關(guān)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行了預(yù)測(cè)評(píng)，已形成預(yù)測(cè)評(píng)報(bào)告。為了解決所存在的問題，順利通過某評(píng)測(cè)機(jī)構(gòu)的等級(jí)保護(hù)測(cè)評(píng)，擬開展某部委部本級(jí)信息安全等級(jí)保護(hù)安全建設(shè)整改工作?，F(xiàn)狀描述某部委開展信息安全等級(jí)保護(hù)工作的網(wǎng)絡(luò)系統(tǒng)有兩個(gè)，一個(gè)是外網(wǎng)，一個(gè)是業(yè)務(wù)專網(wǎng)，兩個(gè)網(wǎng)絡(luò)彼此物理隔離，外網(wǎng)與互聯(lián)網(wǎng)

3、邏輯隔離。業(yè)務(wù)專網(wǎng)部機(jī)關(guān)局域網(wǎng)目前有用戶約500 個(gè)，橫向通過專線連接130 多個(gè)預(yù)算部門、代理銀行等?？v向通過專線連接35 個(gè)駐省市某專員辦和36 個(gè)省市某部委門。業(yè)務(wù)專網(wǎng)局域網(wǎng)部署的安全設(shè)備類型包括防火墻、網(wǎng)絡(luò)入侵檢測(cè)、漏洞掃描、網(wǎng)絡(luò)審計(jì)、防病毒系統(tǒng)、安全管理服務(wù)器等安全設(shè)備，制造廠商為國(guó)內(nèi)主流安全設(shè)備廠商。業(yè)務(wù)專網(wǎng)的服務(wù)器主要為IBM、HP 的PCserver和小型機(jī)，服務(wù)器操作系統(tǒng)包括WINDOWS 2003 server、WINDOWS 2008 server、LINUX、UNIX 等操作系統(tǒng)，數(shù)據(jù)庫(kù)有SQL SERVER、ORACLE等，中間件有JBOSS、WEB LOGIC、TO

4、MCAT 等。網(wǎng)絡(luò)設(shè)備為主流交換機(jī)和路由器。業(yè)務(wù)專網(wǎng)中有共有安全設(shè)備約11 臺(tái)、網(wǎng)絡(luò)設(shè)備約40 臺(tái)、服務(wù)器約70 臺(tái)。外網(wǎng)局域網(wǎng)目前有用戶約1000 個(gè)，通過租用3 條運(yùn)營(yíng)商專線接入互聯(lián)網(wǎng)，與互聯(lián)網(wǎng)邏輯隔離。外網(wǎng)局域網(wǎng)部署的安全設(shè)備主要包括防火墻、網(wǎng)絡(luò)入侵檢測(cè)、漏洞掃描、網(wǎng)絡(luò)審計(jì)、防病毒系統(tǒng)、防DDOS 攻擊設(shè)備、WEB 防纂改系統(tǒng)、安全管理服務(wù)器等安全設(shè)備，制造廠商為國(guó)內(nèi)主流安全設(shè)備廠商。外網(wǎng)服務(wù)器主要為IBM、HP 的PC-server 和小型機(jī)，服務(wù)器操作系統(tǒng)包括WINDOWS 2003 server、WINDOWS 2008 server、LINUX、UNIX 等操作系統(tǒng)，數(shù)據(jù)庫(kù)有SQ

5、L SERVER、ORACLE 等，中間件有JBOSS、WEB LOGIC、TOMCAT 等。網(wǎng)絡(luò)設(shè)備為主流交換機(jī)和路由器。某部委設(shè)備具體情況見下表:某部委設(shè)備情況說明表網(wǎng)絡(luò)設(shè)備類型用途廠商型號(hào)/操作系統(tǒng)數(shù)量業(yè)務(wù) 專網(wǎng)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器服務(wù)器服務(wù)器服務(wù)器數(shù)據(jù)庫(kù)網(wǎng)絡(luò)設(shè)備交換機(jī)交換機(jī)交換機(jī)交換機(jī)交換機(jī)交換機(jī)交換機(jī)交換機(jī)交換機(jī)交換機(jī)交換機(jī)路由器路由器路由器路由器交換機(jī)交換機(jī)交換機(jī)安全設(shè)備入侵檢測(cè)漏洞掃描審計(jì)系統(tǒng)萬(wàn)兆防火墻IDSVPN外網(wǎng)中有安全設(shè)備約10 臺(tái)、網(wǎng)絡(luò)設(shè)備約40 臺(tái)、服務(wù)器約60 臺(tái)。外網(wǎng)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器服務(wù)器服務(wù)器服務(wù)器服務(wù)器存儲(chǔ)其他數(shù)據(jù)庫(kù)網(wǎng)絡(luò)設(shè)備交換機(jī)交換機(jī)交換機(jī)交換機(jī)交換機(jī)路

6、由器交換機(jī)交換機(jī)交換機(jī)交換機(jī)路由器路由器交換機(jī)交換機(jī)交換機(jī)交換機(jī)安全設(shè)備防火墻防 d o（s 電信）防 d o（s 聯(lián)通）IDS漏掃審計(jì)防火墻防火墻防火墻IPS萬(wàn)兆防火墻應(yīng)用系統(tǒng)定級(jí)情況如下：某業(yè)務(wù)專網(wǎng)和外網(wǎng)整體定為三級(jí)。應(yīng)用系統(tǒng)已定為三級(jí)的系統(tǒng) 15 個(gè) ， 二級(jí)的系統(tǒng) 32 個(gè)，已進(jìn)行預(yù)測(cè)評(píng)的系統(tǒng) 37 個(gè)，在開發(fā)升級(jí)改造過程中而未 預(yù)測(cè)評(píng)的系統(tǒng) 10 個(gè)，具體情況見下表。序號(hào)系統(tǒng)名稱等級(jí)用戶數(shù)量使用頻度預(yù)測(cè)評(píng)情況1系統(tǒng) 1S3A2G3實(shí)時(shí)完成預(yù)測(cè)評(píng)2系統(tǒng) 2S2A2G2實(shí)時(shí)完成預(yù)測(cè)評(píng)3系統(tǒng) 3S2A1G2實(shí)時(shí)完成預(yù)測(cè)評(píng)4系統(tǒng) 4S2A2G2實(shí)時(shí)完成預(yù)測(cè)評(píng)5系統(tǒng) 5S3A3G3階段性頻繁完

7、成預(yù)測(cè)評(píng)6系統(tǒng) 6S3A3G3經(jīng)常完成預(yù)測(cè)評(píng)7系統(tǒng) 7S3A2G3階段性頻繁完成預(yù)測(cè)評(píng)8系統(tǒng) 8S3A3G3每月至少一次完成預(yù)測(cè)評(píng)9系統(tǒng) 9S3A3G3經(jīng)常完成預(yù)測(cè)評(píng)10系統(tǒng) 10S3A3G3經(jīng)常完成預(yù)測(cè)評(píng)11系統(tǒng) 11S3A3G3實(shí)時(shí)完成預(yù)測(cè)評(píng)12系統(tǒng) 12S3A3G3每天完成預(yù)測(cè)評(píng)13系統(tǒng) 13S2A3G3實(shí)時(shí)完成預(yù)測(cè)評(píng)14系統(tǒng) 14S3A3G3實(shí)時(shí)完成預(yù)測(cè)評(píng)15系統(tǒng) 15S2A2G2每天完成預(yù)測(cè)評(píng)16系統(tǒng) 16S2A1G2經(jīng)常完成預(yù)測(cè)評(píng)17系統(tǒng) 17S2A1G2實(shí)時(shí)完成預(yù)測(cè)評(píng)18系統(tǒng) 18S2A2G2每天完成預(yù)測(cè)評(píng)序號(hào)系統(tǒng)名稱等級(jí)用戶數(shù)量使用頻度預(yù)測(cè)評(píng)情況19系統(tǒng) 19S2A2G2季報(bào)完

8、成預(yù)測(cè)評(píng)20系統(tǒng) 20S2A2G2實(shí)時(shí)完成預(yù)測(cè)評(píng)21系統(tǒng) 21S2A2G2階段性頻繁完成預(yù)測(cè)評(píng)22系統(tǒng) 22S2A2G2季度報(bào)表完成預(yù)測(cè)評(píng)23系統(tǒng) 23S2A2G2實(shí)時(shí)完成預(yù)測(cè)評(píng)24系統(tǒng) 24S2A2G2實(shí)時(shí)完成預(yù)測(cè)評(píng)25系統(tǒng) 25S2A2G2實(shí)時(shí)完成預(yù)測(cè)評(píng)26系統(tǒng) 26S2A2G2實(shí)時(shí)完成預(yù)測(cè)評(píng)27系統(tǒng) 27S2A2G2階段性頻繁完成預(yù)測(cè)評(píng)28系統(tǒng) 28S2A2G2階段性頻繁完成預(yù)測(cè)評(píng)29系統(tǒng) 29S2A2G2經(jīng)常完成預(yù)測(cè)評(píng)30系統(tǒng) 30S2A2G2實(shí)時(shí)完成預(yù)測(cè)評(píng)31系統(tǒng) 31S2A2G2經(jīng)常完成預(yù)測(cè)評(píng)32系統(tǒng) 32S2A2G2經(jīng)常完成預(yù)測(cè)評(píng)33系統(tǒng) 33S2A2G2經(jīng)常完成預(yù)測(cè)評(píng)34系統(tǒng)

9、34S2A2G2經(jīng)常完成預(yù)測(cè)評(píng)35系統(tǒng) 35S2A2G2階段性頻繁完成預(yù)測(cè)評(píng)36系統(tǒng) 36S2A2G2經(jīng)常完成預(yù)測(cè)評(píng)37系統(tǒng) 37S2A2G2實(shí)時(shí)完成預(yù)測(cè)評(píng)38系統(tǒng) 38S3A3G3實(shí)時(shí)未完成39系統(tǒng) 39S3A3G3每天未完成40系統(tǒng) 40S3A3G3實(shí)時(shí)未完成41系統(tǒng) 41S3A3G3階段性頻繁未完成42系統(tǒng) 42S2A2G2實(shí)時(shí)未完成43系統(tǒng) 43S2A2G2實(shí)時(shí)未完成44系統(tǒng) 44S2A2G2經(jīng)常未完成45系統(tǒng) 45S2A2G2階段性頻繁未完成46系統(tǒng) 46S2A2G2經(jīng)常未完成47系統(tǒng) 47S2A2G2階段性頻繁未完成總體設(shè)計(jì)項(xiàng)目目標(biāo)根據(jù)某評(píng)測(cè)機(jī)構(gòu)提交的預(yù)測(cè)評(píng)報(bào)告，對(duì)某部委現(xiàn)有各網(wǎng)絡(luò)

10、和應(yīng)用系統(tǒng)進(jìn)行深入調(diào)研，了解包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維建設(shè)等安全管理建設(shè)情況，針對(duì)安全管理機(jī)構(gòu)方面存在的人員配備、授權(quán)和審批、審核和檢查等問題，安全管理制度存在的管理制度、評(píng)審和修訂等問題，人員安全管理方面存在的人員考核問題，在系統(tǒng)建設(shè)管理方面存在的安全方案設(shè)計(jì)、外包軟件開發(fā)等問題，在系統(tǒng)運(yùn)維建設(shè)方面存在的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、密碼管理、變更管理、備份與恢復(fù)管理、應(yīng)急預(yù)案管理等問題。了解包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等安全技術(shù)建設(shè)情況，針對(duì)在物理安全方面存在的物

11、理訪問控制問題，在網(wǎng)絡(luò)安全方面存在的訪問控制、網(wǎng)絡(luò)審計(jì)、邊界完整性、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等問題，在主機(jī)安全方面存在的身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制等問題，應(yīng)用安全方面存在的身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴、軟件容錯(cuò)和資源控制等問題，在數(shù)據(jù)安全方面存在的數(shù)據(jù)完整性和數(shù)據(jù)保密性等問題，根據(jù)某部委的實(shí)際情況，分析研判在安全管理建設(shè)和安全技術(shù)建設(shè)兩方面與等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范之間的差距和問題，提出各項(xiàng)整改建議，設(shè)計(jì)各項(xiàng)整改措施和手段，從技術(shù)和管理兩方面制定安全建設(shè)整改方案，提出包括產(chǎn)品類型、配置、數(shù)量、預(yù)計(jì)價(jià)格等在

12、內(nèi)的整改所需產(chǎn)品清單。項(xiàng)目原則為實(shí)現(xiàn)本項(xiàng)目的總體目標(biāo)，結(jié)合某部委現(xiàn)有各網(wǎng)絡(luò)與應(yīng)用系統(tǒng)和未來發(fā)展需求，總體應(yīng)貫徹以下項(xiàng)目原則。n 保密原則：國(guó)都興業(yè)公司在為某部委信息安全等級(jí)保護(hù)進(jìn)行整改實(shí)施的過程中，將嚴(yán)格遵循保密原則，服務(wù)過程中涉及到的任何用戶信息均屬保密信息，不得泄露給第三方單位或個(gè)人，不得利用這些信息損害用戶利益。并與某部委簽訂保密協(xié)議，承諾未經(jīng)允許不向其他任何第三方泄露有關(guān)某部委的信息。n 互動(dòng)原則：國(guó)都興業(yè)公司在整個(gè)信息安全等級(jí)保護(hù)整改實(shí)施過程之中，將強(qiáng)調(diào)客戶的互動(dòng)參與，不管是從準(zhǔn)備階段，還是差距分析階段。每個(gè)階段都能夠及時(shí)根據(jù)客戶的要求和實(shí)際情況對(duì)評(píng)估的內(nèi)容、方式作出相關(guān)調(diào)整，進(jìn)而更

13、好的進(jìn)行等級(jí)保護(hù)整改工作。n 最小影響原則：信息安全等級(jí)保護(hù)差距分析工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對(duì)業(yè)務(wù)的正常運(yùn)行產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等），如無(wú)法避免，則應(yīng)對(duì)風(fēng)險(xiǎn)進(jìn)行說明。n 規(guī)范性原則：信息安全等級(jí)保護(hù)整改的實(shí)施必須由專業(yè)的信息安全服務(wù)人員依照規(guī)范的操作流程進(jìn)行，對(duì)操作過程和結(jié)果要有相應(yīng)的記錄，提供完整的服務(wù)報(bào)告。n 質(zhì)量保障原則：國(guó)都興業(yè)公司在整個(gè)信息安全等級(jí)保護(hù)整改實(shí)施過程之中，將特別重視項(xiàng)目質(zhì)量管理。項(xiàng)目的實(shí)施將嚴(yán)格按照項(xiàng)目實(shí)施方案和流程進(jìn)行，并由項(xiàng)目協(xié)調(diào)小組從中監(jiān)督、控制項(xiàng)目的進(jìn)度和質(zhì)量。項(xiàng)目依據(jù)本項(xiàng)目方案編制依據(jù)和參考下列政策法規(guī)和

14、標(biāo)準(zhǔn)規(guī)范。 政策法規(guī)n 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（1994國(guó)務(wù)院147號(hào)令）n 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB178591999）n 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號(hào)）n 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字200466號(hào)）n 信息安全等級(jí)保護(hù)管理辦法公通字200743號(hào)n 關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安2007861號(hào)）n 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號(hào)）標(biāo)準(zhǔn)規(guī)范n 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB/T17859-1999）n GBT22239-2

15、008信息安全技術(shù)_信息系統(tǒng)安全等級(jí)保護(hù)基本要求n GBT22240-2008信息安全技術(shù)_信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南n 信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求n 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南n 信息安全技術(shù)信息安全等級(jí)保護(hù)整改規(guī)范（GB/T20984-2007）n 信息系統(tǒng)安全等級(jí)保護(hù)整改實(shí)施指南n 信息技術(shù)安全技術(shù)信息安全管理體系要求（GB/T22080-2008）n 信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則（GB/T22081-2008）n 信息技術(shù)安全技術(shù)信息技術(shù)安全管理指南（ISO/IECTR13335）n 信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則(GB/T18336-

16、2001)n 信息安全等級(jí)保護(hù)整改指南n 信息安全風(fēng)險(xiǎn)管理指南實(shí)施策略此次等級(jí)保護(hù)整改將采取如下策略，來滿足某部委信息安全等級(jí)保護(hù)整改的需求。 技術(shù)體系分析技術(shù)體系結(jié)構(gòu)分析主要針對(duì)某部委網(wǎng)絡(luò)和信息系統(tǒng)的總體安全架構(gòu)進(jìn)行靜態(tài)分析，通過分析某部委的整個(gè)網(wǎng)絡(luò)拓?fù)浼軜?gòu)，并深入了解各系統(tǒng)的業(yè)務(wù)狀況，從而發(fā)現(xiàn)某部委信息安全建設(shè)中存在的問題，并提出相應(yīng)的改進(jìn)建議。 管理體系分析管理體系分析通過現(xiàn)場(chǎng)安全管理調(diào)查問卷表等形式進(jìn)行靜態(tài)分析，從安全策略、安全管理制度、安全管理組織、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面，對(duì)某部委信息系統(tǒng)的現(xiàn)有安全管理措施進(jìn)行識(shí)別和分析，提出管理規(guī)章制度和系統(tǒng)操作規(guī)程等方面的

17、不足，并針對(duì)業(yè)務(wù)系統(tǒng)管理體系的建設(shè)提出完善的建議。管理體系分析將結(jié)合某部委信息安全建設(shè)的具體情況，主要涵蓋如下內(nèi)容：n 物理安全策略：如機(jī)房環(huán)境、門禁系統(tǒng)、設(shè)備鎖、數(shù)據(jù)備份、CMOS安全設(shè)置等。n 訪問控制策略：內(nèi)部網(wǎng)絡(luò)和外界網(wǎng)絡(luò)之間、內(nèi)部不同安全域之間的訪問控制策略。n 安全配置及更新策略：對(duì)操作系統(tǒng)、應(yīng)用系統(tǒng)、安全產(chǎn)品等進(jìn)行升級(jí)更新、設(shè)置用戶訪問權(quán)限及信任關(guān)系等。n 管理員和用戶策略：制定機(jī)房出入管理制度、實(shí)行安全責(zé)任制等。n 安全管理策略：安全規(guī)則設(shè)置、安全審計(jì)、日志分析、漏洞檢測(cè)及修補(bǔ)等。n 密碼安全策略：密碼復(fù)雜度、密碼更改周期、密碼有效期等。n 緊急事件策略：針對(duì)攻擊和入侵可能導(dǎo)致

18、的結(jié)果制定應(yīng)急處理流程和災(zāi)難恢復(fù)計(jì)劃。 業(yè)務(wù)系統(tǒng)分析業(yè)務(wù)系統(tǒng)分析主要是分析信息系統(tǒng)承載的數(shù)據(jù)和業(yè)務(wù)流程，只有圍繞著信息系統(tǒng)所承載的數(shù)據(jù)和業(yè)務(wù)進(jìn)行詳盡的分析，才能夠準(zhǔn)確地識(shí)別關(guān)鍵資產(chǎn)，才能明確要保護(hù)的對(duì)象，從而做到有的放矢。在對(duì)關(guān)鍵資產(chǎn)進(jìn)行識(shí)別時(shí)，不應(yīng)將資產(chǎn)的實(shí)際價(jià)格作為考慮重點(diǎn)，更為重要的是要考慮資產(chǎn)對(duì)于業(yè)務(wù)的重要性，也就是說根據(jù)資產(chǎn)損失所引發(fā)的潛在業(yè)務(wù)影響來決定關(guān)鍵資產(chǎn)。因此所識(shí)別的關(guān)鍵資產(chǎn)不會(huì)是孤立的服務(wù)器、數(shù)據(jù)庫(kù)，而應(yīng)是這些設(shè)備所承載和保護(hù)的業(yè)務(wù)數(shù)據(jù)和對(duì)內(nèi)、對(duì)外提供的服務(wù)。以上提到的設(shè)備作為信息系統(tǒng)業(yè)務(wù)流程分析中的關(guān)鍵系統(tǒng)單元，它們?cè)谛畔⑾到y(tǒng)中的作用是承載業(yè)務(wù)數(shù)據(jù)，保護(hù)系統(tǒng)提供的業(yè)務(wù)服務(wù)

19、能夠安全、順利進(jìn)行。通過對(duì)某部委業(yè)務(wù)系統(tǒng)進(jìn)行詳盡的分析，才能了解應(yīng)用系統(tǒng)的部署模式、用戶認(rèn)證及訪問控制策略、權(quán)限的授權(quán)方式及流程、系統(tǒng)間的接口發(fā)布與調(diào)用模式，并分析其中的安全風(fēng)險(xiǎn)，從而提出相應(yīng)的修改建議。 充分全面的培訓(xùn)在此次等級(jí)保護(hù)整改實(shí)施過程中，將結(jié)合某部委安全管理方面的具體情況，對(duì)某部委信息部門相關(guān)人員進(jìn)行多次、全面的等級(jí)保護(hù)整改培訓(xùn)，為今后實(shí)施等級(jí)保護(hù)自查工作奠定良好的基礎(chǔ)。項(xiàng)目?jī)?nèi)容為實(shí)現(xiàn)項(xiàng)目目標(biāo)，在本次等級(jí)保護(hù)咨詢項(xiàng)目中，將包括系統(tǒng)定級(jí)、差距分析、等級(jí)保護(hù)整改、體系設(shè)計(jì)、等級(jí)保護(hù)管理制度建設(shè)、安全優(yōu)化與調(diào)整以及信息安全服務(wù)七項(xiàng)工作內(nèi)容。差距分析差距分析工作內(nèi)容就是根據(jù)網(wǎng)絡(luò)和信息系統(tǒng)的

20、安全保護(hù)等級(jí)，根據(jù)國(guó)家等級(jí)保護(hù)相應(yīng)等級(jí)的技術(shù)和管理要求，分析評(píng)價(jià)網(wǎng)絡(luò)和信息系統(tǒng)當(dāng)前的安全防護(hù)水平和措施與相應(yīng)等級(jí)要求之間的差距。整改方案設(shè)計(jì)整改方案設(shè)計(jì)工作內(nèi)容是根據(jù)信息系統(tǒng)差距分析結(jié)果，結(jié)合業(yè)務(wù)系統(tǒng)的使命、目標(biāo)和行業(yè)要求，按照信息系統(tǒng)的不同安全等級(jí)，設(shè)計(jì)合理的技術(shù)措施和管理措施，構(gòu)建結(jié)構(gòu)化的信息安全保障體系。安全優(yōu)化與調(diào)整安全優(yōu)化與調(diào)整是根據(jù)信息系統(tǒng)差距分析結(jié)果，對(duì)信息系統(tǒng)所依賴的服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)及安全設(shè)備進(jìn)行配置安全加固，安裝和實(shí)施各項(xiàng)新增安全設(shè)備，保障信息系統(tǒng)的安全穩(wěn)定性。等級(jí)保護(hù)管理制度建設(shè)等級(jí)保護(hù)管理制度建設(shè)是根據(jù)信息安全等級(jí)保護(hù)安全管理的要求，編寫符合等級(jí)保護(hù)要求的信息

21、安全管理規(guī)范和制度，通過安全管理的加強(qiáng)來規(guī)避管理風(fēng)險(xiǎn)。差距分析根據(jù)國(guó)家等級(jí)保護(hù)政策法規(guī)和標(biāo)準(zhǔn)規(guī)范，確定安全保護(hù)等級(jí)的信息系統(tǒng)應(yīng)該具有相應(yīng)級(jí)別的安全防護(hù)能力，其中主要是根據(jù)GBT22239-2008信息安全技術(shù)_信息系統(tǒng)安全等級(jí)保護(hù)基本要求來分析某部委各信息系統(tǒng)目前的安全防護(hù)能力與基本要求中相應(yīng)級(jí)別之間的差距。工作目的根據(jù)國(guó)家等級(jí)保護(hù)要求，對(duì)于確定了安全保護(hù)等級(jí)的信息系統(tǒng)規(guī)定了基本的安全保護(hù)要求，規(guī)定了應(yīng)該具有的防護(hù)措施，以確保信息系統(tǒng)具有相當(dāng)水平的安全防護(hù)能力。差距分析就是根據(jù)GBT22239-2008信息安全技術(shù)_信息系統(tǒng)安全等級(jí)保護(hù)基本要求，結(jié)合某部委的業(yè)務(wù)情況和行業(yè)要求，從安全技術(shù)和安全

22、管理兩個(gè)方面，全面分析信息系統(tǒng)現(xiàn)有防護(hù)措施和能力與相應(yīng)等級(jí)基本要求之間存在的差距，用以為等級(jí)保護(hù)建設(shè)提供客觀依據(jù)并指導(dǎo)信息系統(tǒng)等級(jí)保護(hù)體系設(shè)計(jì)。工作方式某部委的業(yè)務(wù)系統(tǒng)差距分析工作主要通過以下方式進(jìn)行。n 訪談訪談是指評(píng)估人員與某部委的有關(guān)人員就差距分析所關(guān)注的問題進(jìn)行有針對(duì)性的詢問和交流的過程，該過程可以幫助評(píng)估者了解現(xiàn)狀、澄清疑問或獲得證據(jù)。訪談深度（即訪談內(nèi)容的詳細(xì)程度）以及訪談的廣度（即對(duì)被評(píng)估組織中員工角色類型以及每種類型中人數(shù)的覆蓋程度）由評(píng)估人員依據(jù)不同的評(píng)估需要進(jìn)行選擇和判斷。n 檢查檢查是指對(duì)評(píng)估對(duì)象（如規(guī)范、機(jī)制或行為）進(jìn)行觀察、調(diào)查、評(píng)審、分析或核查的過程。與訪談?lì)愃?，?/p>

23、過程可以幫助評(píng)估者了解現(xiàn)狀、澄清疑問或獲得證據(jù)。比較典型的檢查行為包括：對(duì)安全配置的核查、對(duì)安全策略的分析和評(píng)審等。 n 測(cè)試測(cè)試是指在特定環(huán)境中運(yùn)行一個(gè)或多個(gè)評(píng)估對(duì)象（限于機(jī)制或行為）并將實(shí)際結(jié)果與預(yù)期結(jié)果進(jìn)行比較的過程。測(cè)試的目標(biāo)是判定對(duì)象是否符合預(yù)定的一組規(guī)格。測(cè)試過程可以幫助評(píng)估者獲得證據(jù)。n 調(diào)查表根據(jù)某部委業(yè)務(wù)情況和系統(tǒng)現(xiàn)狀，制定詳細(xì)的調(diào)查表，并由某部委相關(guān)人員進(jìn)行填寫，以獲得業(yè)務(wù)系統(tǒng)基礎(chǔ)數(shù)據(jù)。具體包括應(yīng)用信息系統(tǒng)調(diào)查表、物理資產(chǎn)調(diào)查表、軟件資產(chǎn)調(diào)查表、各相關(guān)設(shè)備資產(chǎn)調(diào)查表。33工作內(nèi)容按照等級(jí)保護(hù)實(shí)施要求，不同安全等級(jí)的信息系統(tǒng)應(yīng)該具備相應(yīng)等級(jí)的安全防護(hù)能力，部署相應(yīng)的安全設(shè)備，

24、制定相應(yīng)的安全管理機(jī)構(gòu)、制度、崗位等。差距分析就是依據(jù)等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)和管理規(guī)范，比較分析信息系統(tǒng)安全防護(hù)能力與等級(jí)要求之間的差距，為等級(jí)化體系設(shè)計(jì)提供依據(jù)。差距分析將對(duì)每個(gè)定級(jí)對(duì)象按照其確定的安全保護(hù)等級(jí)，從以下方面進(jìn)行評(píng)估分析。序號(hào)測(cè)評(píng)類測(cè)評(píng)項(xiàng)1技術(shù)要求物理安全2網(wǎng)絡(luò)安全3主機(jī)安全4應(yīng)用安全5數(shù)據(jù)安全6管理要求安全管理制度7安全管理機(jī)構(gòu)8人員安全管理9系統(tǒng)建設(shè)管理10系統(tǒng)運(yùn)維管理在這一階段，針對(duì)每個(gè)信息系統(tǒng)所定的安全等級(jí)，國(guó)都興業(yè)對(duì)信息系統(tǒng)進(jìn)行相應(yīng)級(jí)別要求的差距分析工作，按照信息系統(tǒng)測(cè)評(píng)的要求，進(jìn)行信息系統(tǒng)等級(jí)差距分析，對(duì)每個(gè)信息系統(tǒng)安全等級(jí)要求項(xiàng)進(jìn)行判定，判定是否符合要求。在進(jìn)行符合性判

25、定時(shí)，依據(jù)現(xiàn)場(chǎng)調(diào)查和測(cè)試所獲得的基本信息進(jìn)行判斷。在評(píng)估中，國(guó)都興業(yè)將從物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理10個(gè)方面進(jìn)行等級(jí)保護(hù)差距分析。物理安全分析內(nèi)容物理環(huán)境安全調(diào)查主要是針對(duì)信息系統(tǒng)所處的物理環(huán)境即機(jī)房、線路、客戶端的支撐設(shè)施等進(jìn)行符合性識(shí)別，為后續(xù)物理環(huán)境安全符合性分析提供參考數(shù)據(jù)。分析工具物理環(huán)境符合性檢查主要是檢查機(jī)房、線路、客戶端的支撐設(shè)施，列表如下：序號(hào)保護(hù)措施1門禁系統(tǒng)2報(bào)警系統(tǒng)3監(jiān)控系統(tǒng)4防雷擊接地5防靜電6UPS7消防系統(tǒng)8防電磁泄露9弱電系統(tǒng)、防塵、溫濕控制和機(jī)房容災(zāi)備份分析結(jié)果物理安全

26、調(diào)查表主機(jī)安全分析內(nèi)容主機(jī)安全主要從以下9個(gè)方面調(diào)查測(cè)試被評(píng)估信息系統(tǒng)的服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)安全等級(jí)符合性：身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計(jì)、系統(tǒng)保護(hù)、剩余信息保護(hù)、入侵防護(hù)、惡意代碼防護(hù)、資源控制。為后續(xù)主機(jī)安全等級(jí)保護(hù)差距分析及主機(jī)安全防護(hù)設(shè)計(jì)提供參考數(shù)據(jù)。分析工具問卷調(diào)查(部分)測(cè)試類別等級(jí)測(cè)評(píng)（三級(jí)）測(cè)試對(duì)象Windows主機(jī)系統(tǒng)測(cè)試類主機(jī)系統(tǒng)安全測(cè)試項(xiàng)身份鑒別測(cè)試要求：操作系統(tǒng)用戶的身份標(biāo)識(shí)應(yīng)具有唯一性；應(yīng)對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；操作系統(tǒng)的身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，例如口令長(zhǎng)度、復(fù)雜性和定期更新等；應(yīng)具有登錄失敗處理功能，如結(jié)束會(huì)話、限制非法

27、登錄次數(shù)，當(dāng)?shù)卿涍B接超時(shí)，自動(dòng)退出。應(yīng)具有警示功能；重要的主機(jī)系統(tǒng)應(yīng)與之相連的服務(wù)器或中斷設(shè)備進(jìn)行身份標(biāo)識(shí)和鑒別。測(cè)試方法：“開始”“運(yùn)行”輸入“cmd”輸入“netlocalgroupadministrators”。查看其輸出結(jié)果在administrators組里面是否只具有唯一的用戶名。登錄操作系統(tǒng)，在登錄的過程中查看是否需要輸入用戶名和密碼等，來檢驗(yàn)是否對(duì)用戶的身份進(jìn)行標(biāo)示和鑒別。“開始”|“程序”|“管理工具”|“本地安全設(shè)置”|“安全設(shè)置”|“帳戶策略”|“密碼策略”：密碼必須符合復(fù)雜性要求；“開始”|“程序”|“管理工具”|“本地安全設(shè)置”|“安全設(shè)置”|“帳戶策略”|“密碼策略”

28、：密碼長(zhǎng)度最小值；“開始”|“程序”|“管理工具”|“本地安全設(shè)置”|“安全設(shè)置”|“帳戶策略”|“密碼策略”。打開“控制面板”“管理工具”“本地安全設(shè)置”“賬戶策略”單擊“賬戶鎖定策略”：賬戶鎖定閥值、賬戶鎖定時(shí)間等；在此基礎(chǔ)上，打開“本地策略”單擊“安全選項(xiàng)夾”：查看是否具有登錄超時(shí)時(shí)間和自動(dòng)退出等登錄失敗處理功能?！伴_始”|“程序”|“管理工具”|事件查看器應(yīng)用程序，查看其是否具有警示信息。測(cè)試windows操作系統(tǒng)，可通過使用未進(jìn)行身份標(biāo)識(shí)和鑒別的主機(jī)連接該服務(wù)器，驗(yàn)證主機(jī)系統(tǒng)能否正確地對(duì)與之相連的服務(wù)器或終端設(shè)備進(jìn)行身份標(biāo)識(shí)和鑒別。測(cè)試記錄：Administrators組里面有：唯一

29、的一個(gè)用戶。操作系統(tǒng)的身份標(biāo)示具有唯一性。二個(gè)或者二個(gè)以上的用戶。操作系統(tǒng)身份標(biāo)示不具有唯一性。登錄操作系統(tǒng)，在登錄的過程中查看是否需要輸入用戶名和密碼等：否是(1)密碼必須符合復(fù)雜性要求是否啟用：否是，用戶身份不易被冒用(2)密碼長(zhǎng)度最少值(3)密碼最長(zhǎng)存留期(4)強(qiáng)制密碼歷史(1)復(fù)位帳戶鎖定計(jì)數(shù)器：?jiǎn)⒂梅昼娡Ｓ?2)是否設(shè)定了賬戶鎖定閥值：是否(3)是否設(shè)定了賬戶鎖定時(shí)間：是否(4)是否啟用了登錄超時(shí)時(shí)間：是否(5)是否啟用了登錄超時(shí)自動(dòng)退出功能：是否(6)強(qiáng)制密碼歷史：個(gè)(7)用可還原的加密來儲(chǔ)存密碼：?jiǎn)⒂猛Ｓ檬欠裼芯拘畔ⅲ菏欠駵y(cè)試結(jié)果：主機(jī)系統(tǒng)能否正確地對(duì)與之相連的服務(wù)器或終端設(shè)備

30、進(jìn)行身份標(biāo)識(shí)和鑒別：是否備注：分析結(jié)果信息系統(tǒng)等級(jí)保護(hù)*級(jí)windows/Linux類操作系統(tǒng)主機(jī)安全檢查表網(wǎng)絡(luò)安全分析內(nèi)容采用安全掃描、手工檢查、問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)進(jìn)行網(wǎng)絡(luò)安全符合性調(diào)查。主要包含：結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)7個(gè)方面的符合性。同時(shí)為后續(xù)網(wǎng)絡(luò)安全符合性分析及網(wǎng)絡(luò)安全設(shè)計(jì)提供參考數(shù)據(jù)。分析工具網(wǎng)絡(luò)安全符合性檢查包括手工登陸網(wǎng)絡(luò)設(shè)備進(jìn)行檢查，同時(shí)設(shè)計(jì)問卷對(duì)網(wǎng)絡(luò)管理員進(jìn)行訪談，并采用工具對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描。問卷調(diào)查（部分）測(cè)試類別等級(jí)測(cè)評(píng)（三級(jí)）測(cè)試對(duì)象測(cè)試類網(wǎng)路安

31、全-總體測(cè)試項(xiàng)結(jié)構(gòu)安全測(cè)試要求：應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。測(cè)試方法：訪談網(wǎng)絡(luò)管理員，詢問是否保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；訪談網(wǎng)絡(luò)管理員，詢問是否保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；訪談網(wǎng)絡(luò)管理員，詢問是否在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由

32、控制建立安全的訪問路徑；訪談網(wǎng)絡(luò)管理員，詢問是否繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；訪談網(wǎng)絡(luò)管理員，詢問是否根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；測(cè)試記錄：是否保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要是否2、是否保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要是否3、是否在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑是否4、是否繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否5、是否根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控

33、制的原則為各子網(wǎng)、網(wǎng)段分配地址段是否備注：測(cè)試類別等級(jí)測(cè)評(píng)（三級(jí)）測(cè)試對(duì)象測(cè)試類網(wǎng)路安全-總體測(cè)試項(xiàng)結(jié)構(gòu)安全-續(xù)測(cè)試要求：應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。測(cè)試方法：訪談網(wǎng)絡(luò)管理員，詢問是否避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；訪談網(wǎng)絡(luò)管理員，詢問是否按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)；測(cè)試記錄：6、是否避免將重要網(wǎng)段部署

34、在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段是否7、是否按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)是否備注：分析結(jié)果網(wǎng)絡(luò)安全調(diào)查表應(yīng)用安全分析內(nèi)容采用手工檢查、問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行應(yīng)用安全符合性調(diào)查。主要包含：身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制、代碼安全10個(gè)方面的符合性。同時(shí)為后續(xù)應(yīng)用安全符合性分析及應(yīng)用安全設(shè)計(jì)提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測(cè)試類別等級(jí)測(cè)評(píng)（三級(jí)）測(cè)試對(duì)象應(yīng)用系統(tǒng)測(cè)試類應(yīng)用安全測(cè)試項(xiàng)身份鑒別測(cè)

35、試要求：系統(tǒng)用戶的身份標(biāo)識(shí)應(yīng)具有唯一性；應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；系統(tǒng)用戶的身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，例如口令長(zhǎng)度、復(fù)雜性和定期的更新等；應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；應(yīng)具有登錄失敗處理功能，如結(jié)束會(huì)話、限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時(shí)，自動(dòng)退出；應(yīng)具有鑒別警示功能；應(yīng)用系統(tǒng)應(yīng)及時(shí)清除存儲(chǔ)空間中動(dòng)態(tài)使用的鑒別信息。測(cè)試方法：訪談系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)是否采取身份標(biāo)識(shí)和鑒別措施，具體措施有哪些。訪談系統(tǒng)管理員，檢查總體規(guī)劃、設(shè)計(jì)文檔和檢查重要應(yīng)用系統(tǒng)。訪談系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)對(duì)用戶標(biāo)識(shí)是否具有唯一性，檢查總體規(guī)劃/設(shè)計(jì)文檔，查看其是否對(duì)系統(tǒng)

36、采取了唯一標(biāo)識(shí)；檢查重要應(yīng)用系統(tǒng)，查看其是否配備身份標(biāo)識(shí)（如建立賬號(hào)）和鑒別（如口令等）功能；查看其身份鑒別信息是否具有不易被冒用的特點(diǎn)，例如復(fù)雜性（如規(guī)定字符應(yīng)混有大、小寫字母、數(shù)字和特殊字符）或?yàn)榱吮阌谟洃浭褂昧肆钆?。檢查重要應(yīng)用系統(tǒng)，查看其是否配備并使用登錄失敗處理功能；檢查和測(cè)試主要應(yīng)用系統(tǒng)，查看其是否采用了兩個(gè)及兩個(gè)以上身份鑒別技術(shù)的組合來進(jìn)行身份鑒別；對(duì)有抗抵賴要求的系統(tǒng)，查看其是否采用數(shù)字證書方式的身份鑒別技術(shù)；檢查主要應(yīng)用系統(tǒng)，查看其是否配備并使用登錄失敗處理功能。測(cè)試主要應(yīng)用系統(tǒng)，驗(yàn)證其是否及時(shí)清除存儲(chǔ)空間中動(dòng)態(tài)使用的鑒別信息（如登錄系統(tǒng)，退出系統(tǒng)后重新登錄系統(tǒng)，查看上次登錄

37、的鑒別信息是否存在）；測(cè)試重要應(yīng)用系統(tǒng)，驗(yàn)證其登錄失敗處理，非法登錄次數(shù)限制，登錄連接超時(shí)自動(dòng)退出等功能是否有效。測(cè)試主要應(yīng)用系統(tǒng)，驗(yàn)證其是否及時(shí)清除存儲(chǔ)空間中動(dòng)態(tài)使用的鑒別信息（如登錄系統(tǒng)，退出系統(tǒng)后重新登錄系統(tǒng)，查看上次登錄的鑒別信息是否存在）；測(cè)試記錄：應(yīng)用系統(tǒng)是否采用身份標(biāo)示和鑒別措施？否是口令證書生物是否提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能？否是帳號(hào)唯一性檢查口令復(fù)雜度要求2.1應(yīng)用系統(tǒng)是否提供對(duì)鑒別信息強(qiáng)度檢查功能：是具體內(nèi)容：（1）應(yīng)用系統(tǒng)中是否有相應(yīng)的功能模塊保證管理賬號(hào)口令、普通賬號(hào)口令長(zhǎng)度：是管理賬號(hào)：；普通賬號(hào)：；否（2）應(yīng)用系統(tǒng)中是否有相應(yīng)的功能模塊保證口令復(fù)雜

38、度：是具體內(nèi)容：否否2.2（1）是否有多人公用賬號(hào)情況：是否（2）應(yīng)用系統(tǒng)用戶口令是否具有缺省值：否是具體內(nèi)容：（3）應(yīng)用系統(tǒng)是否強(qiáng)制用戶修改默認(rèn)口令：否是具體實(shí)現(xiàn)：是否配備登錄失敗處理功能：否是結(jié)束會(huì)話限制登錄次數(shù)自動(dòng)退出其他（1）測(cè)試系統(tǒng)的登錄成功和登錄失敗處理功能的有效性：登錄成功，身份識(shí)別和鑒別功能有效登錄成功，但身份識(shí)別和鑒別功能無(wú)效登錄失敗，設(shè)置了非法登錄的次數(shù)限制登錄失敗，登錄連接超時(shí)自動(dòng)退出其他（2）應(yīng)用系統(tǒng)登錄失敗處理功能：應(yīng)用系統(tǒng)在鑒別失敗過程中，返回給用戶的信息：允許重復(fù)登錄次數(shù)：；賬號(hào)登錄次數(shù)超過閾值后的措施：；（）（）(3)能否根據(jù)安全策略配置失敗處理參數(shù)：是具體內(nèi)容

39、：否(4)主要應(yīng)用系統(tǒng)是否有鑒別警示功能:是具體內(nèi)容：否5、同一用戶是否采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別：否是有：6、是否及時(shí)清除存儲(chǔ)空間中動(dòng)態(tài)使用的鑒別信息：否是備注：分析結(jié)果信息系統(tǒng)應(yīng)用安全調(diào)查表數(shù)據(jù)安全及備份恢復(fù)分析內(nèi)容采用手工檢查、問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行數(shù)據(jù)安全符合性調(diào)查。主要包含：數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份和恢復(fù)3個(gè)方面的符合性。同時(shí)為后續(xù)數(shù)據(jù)安全符合性分析及數(shù)據(jù)安全設(shè)計(jì)提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測(cè)試類別等級(jí)測(cè)評(píng)（三級(jí)）測(cè)試對(duì)象應(yīng)用系統(tǒng)測(cè)試類應(yīng)用安全測(cè)試項(xiàng)身份鑒別測(cè)試要求：應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在

40、傳輸過程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在存儲(chǔ)過程中完整性受到破，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；應(yīng)能夠檢測(cè)到重要系統(tǒng)的完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必復(fù)措施。測(cè)試方法：可訪談安全員，詢問業(yè)務(wù)系統(tǒng)數(shù)據(jù)在存儲(chǔ)、傳輸過程中是否有完整性保證措施，具體措施有哪些；在檢測(cè)到完整性錯(cuò)誤時(shí)是否能恢復(fù)，恢復(fù)措施有哪些；檢查操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)管理系統(tǒng)的設(shè)計(jì)/驗(yàn)收文檔或相關(guān)證明性材料（如證書、檢驗(yàn)報(bào)告等）等，查看其是否有能檢測(cè)/驗(yàn)證到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，能檢測(cè)到系統(tǒng)管理數(shù)據(jù)

41、、身份鑒別信息和用戶數(shù)據(jù)，在存儲(chǔ)過程中完整性受到破壞，能檢測(cè)到重要系統(tǒng)完整性受到破壞，在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施的描述；如果有相關(guān)信息，查看其配置是否正確；檢查主要應(yīng)用系統(tǒng)，查看其是否配備檢測(cè)/驗(yàn)證系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞的功能；是否配備檢測(cè)/驗(yàn)證重要系統(tǒng)/模塊完整性受到破壞的功能；在檢測(cè)/驗(yàn)證到完整性錯(cuò)誤時(shí)能采取必要的恢復(fù)措施；應(yīng)檢查主要應(yīng)用系統(tǒng)，查看其是否配備檢測(cè)系統(tǒng)完整性受到破壞的功能；并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。測(cè)試記錄：業(yè)務(wù)數(shù)據(jù)系統(tǒng)數(shù)據(jù)在儲(chǔ)存、傳輸過程中是否有完整性保證措施：是具體措施是：否檢測(cè)到完整性錯(cuò)誤時(shí)是否能恢復(fù)：是恢

42、復(fù)措施是：否操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)管理系統(tǒng)的設(shè)計(jì)/驗(yàn)收文檔或相關(guān)證明性材料（如證書、檢驗(yàn)報(bào)告等）等，是否有能檢測(cè)/驗(yàn)證到系統(tǒng)管理數(shù)據(jù)（如WINDOWS域管理、目錄管理數(shù)據(jù)）、鑒別信息（如用戶名和口令）和用戶數(shù)據(jù)（如用戶數(shù)據(jù)文件）在傳輸過程中完整性受到破壞，能檢測(cè)到系統(tǒng)管理數(shù)據(jù)、身份鑒別信息和用戶數(shù)據(jù)（如防火墻的訪問控制規(guī)則）在存儲(chǔ)過程中完整性受到破壞，能檢測(cè)到重要系統(tǒng)完整性受到破壞，在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施的描述：有其配置是否正確：是否無(wú)主要應(yīng)用系統(tǒng)是否配備檢測(cè)/驗(yàn)證系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞的功能：是否是否配備檢測(cè)/驗(yàn)證重要系統(tǒng)/模塊完整性受

43、到破壞的功能：是在檢測(cè)/驗(yàn)證到完整性錯(cuò)誤時(shí)能否采取必要的恢復(fù)措施：是否主要應(yīng)用系統(tǒng)是否配備檢測(cè)系統(tǒng)完整性受到破壞的功能：是在檢測(cè)到完整性錯(cuò)誤時(shí)能否采取必要的恢復(fù)措施：是否否備注：分析結(jié)果信息系統(tǒng)數(shù)據(jù)安全調(diào)查表安全管理制度分析內(nèi)容采用問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行安全管理制度符合性調(diào)查。主要包含：管理制度、制定和發(fā)布、評(píng)審和修訂3個(gè)方面的符合性。同時(shí)為后續(xù)安全管理制度符合性分析及安全管理制度設(shè)計(jì)提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測(cè)試類別等級(jí)測(cè)評(píng)（三級(jí)）測(cè)試對(duì)象測(cè)試類安全管理制度測(cè)試項(xiàng)管理制度測(cè)試要求：應(yīng)制定信息安全工作的總體方針、政策性文件和安全策略等，說明機(jī)構(gòu)安全工

44、作的總體目標(biāo)、范圍、方針、原則、責(zé)任等；應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度，以規(guī)范安全管理活動(dòng)，約束人員的行為方式；應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作，建立操作規(guī)程，以規(guī)范操作行為，防止操作失誤；應(yīng)形成由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系；應(yīng)由安全管理職能部門定期組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定。測(cè)試方法：應(yīng)訪談安全主管，詢問機(jī)構(gòu)的制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成，是否定期對(duì)安全管理制度體系進(jìn)行評(píng)審，評(píng)審周期多長(zhǎng)；應(yīng)檢查信息安全工作的總體方針、政策性文件和安全策略文件，查看文

45、件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等，是否明確信息系統(tǒng)的安全策略；應(yīng)檢查安全管理制度清單，查看是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等層面；應(yīng)檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程等；應(yīng)檢查是否具有安全管理制度體系的評(píng)審記錄，查看記錄日期與評(píng)審周期是否一致，是否記錄了相關(guān)人員的評(píng)審意見。測(cè)試記錄：機(jī)構(gòu)的制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成？否是是否定期對(duì)安全管理制度體系進(jìn)行評(píng)審？否是評(píng)審周期多長(zhǎng)？信息安全工作的總體方針、政策性文件和安全策略文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等？否是是否明確信息

46、系統(tǒng)的安全策略？否是安全管理制度清單是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等層面？否是是否具有重要管理操作的操作規(guī)程？（如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程等）否是是否具有安全管理制度體系的評(píng)審記錄？否是記錄日期與評(píng)審周期是否一致？否是是否記錄了相關(guān)人員的評(píng)審意見？否是備注：分析結(jié)果信息安全管理制度調(diào)查表安全管理機(jī)構(gòu)分析內(nèi)容采用問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行安全管理制度符合性調(diào)查。主要包含：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查5個(gè)方面的符合性。同時(shí)為后續(xù)安全管理機(jī)構(gòu)符合性分析及安全管理機(jī)構(gòu)設(shè)計(jì)提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測(cè)試類別等級(jí)測(cè)評(píng)（三級(jí)

47、）測(cè)試對(duì)象機(jī)構(gòu)安全測(cè)試類安全管理機(jī)構(gòu)測(cè)試項(xiàng)崗位設(shè)置測(cè)試要求：應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管人、安全管理各個(gè)方面的負(fù)責(zé)人，定義各負(fù)責(zé)人的職責(zé)；應(yīng)設(shè)立系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員崗位，定義各個(gè)工作崗位的職責(zé)；應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。測(cè)試方法：應(yīng)訪談安全主管，詢問是否設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任；應(yīng)訪談安全主管，詢問是否設(shè)立專職的安全管理機(jī)構(gòu)（即信息安全管理工作的職能部門）；機(jī)構(gòu)內(nèi)部

48、門設(shè)置情況如何，是否明確各部門職責(zé)分工；應(yīng)訪談安全主管，詢問是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人，設(shè)置了哪些工作崗位（如安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位），是否明確各個(gè)崗位的職責(zé)分工；應(yīng)訪談安全主管、安全管理某方面的負(fù)責(zé)人、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組日常管理工作的負(fù)責(zé)人、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全員，詢問其崗位職責(zé)包括哪些內(nèi)容；應(yīng)檢查部門、崗位職責(zé)文件，查看文件是否明確安全管理機(jī)構(gòu)的職責(zé)，是否明確機(jī)構(gòu)內(nèi)各部門的職責(zé)和分工，部門職責(zé)是否涵蓋物理、網(wǎng)絡(luò)和系統(tǒng)等各個(gè)方面；查看文件是否明確設(shè)置安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管

49、理員、網(wǎng)絡(luò)管理員、安全員等各個(gè)崗位，各個(gè)崗位的職責(zé)范圍是否清晰、明確；查看文件是否明確各個(gè)崗位人員應(yīng)具有的技能要求；應(yīng)檢查信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組是否具有單位主管領(lǐng)導(dǎo)對(duì)其最高領(lǐng)導(dǎo)的委任授權(quán)書；應(yīng)檢查信息安全管理委員會(huì)職責(zé)文件，查看是否明確描述委員會(huì)的職責(zé)和其最高領(lǐng)導(dǎo)崗位的職責(zé)；應(yīng)檢查安全管理各部門和信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組是否具有日常管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要和信息安全工作決策文檔等）。測(cè)試記錄：是否設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組？否是最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任？否是是否設(shè)立專職的安全管理機(jī)構(gòu)（即信息安全管理工作的職能部門）？否是機(jī)構(gòu)內(nèi)部門設(shè)置情況如何？是否明確各部門職責(zé)分工?否是是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人，設(shè)置了哪些工作崗位?安全主管安全管理各個(gè)方面的負(fù)責(zé)人機(jī)房管理員系統(tǒng)管理員網(wǎng)絡(luò)管理員安全員是否明確各個(gè)崗位的職責(zé)分工?否是檢查部門、崗位職責(zé)文件，查看文件是否明確安全管理機(jī)構(gòu)的職責(zé)？否是是否明確機(jī)構(gòu)內(nèi)各部門的職責(zé)和分工？否是部門職責(zé)是否涵蓋物理、網(wǎng)絡(luò)和系統(tǒng)等各個(gè)方面？否是查看文件是否明確設(shè)置安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等各個(gè)崗位？否是各個(gè)崗位的職責(zé)范圍是否清晰