信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作方案及對(duì)策

-可修編--可修編--可修編--可修編-XX安全服務(wù)公司2018-2019年2018-2019年XXX項(xiàng)目等級(jí)保護(hù)差距測(cè)評(píng)實(shí)施方案XXXXXXXXX信息安全201X年X月目錄01?項(xiàng)目^述2.150背景2.?0目標(biāo)2?頂目原則31.4.10依據(jù)42?測(cè)評(píng)實(shí)施容5?測(cè)評(píng)分析5ill評(píng)田5測(cè)評(píng)對(duì)象5測(cè)評(píng)容62.1.4.2.1.4.測(cè)評(píng)對(duì)象8-可修編--可修編-2.1.4.2.1.4.測(cè)評(píng)對(duì)象8-可修編--可修編-J|評(píng)荷標(biāo)922測(cè)評(píng)流程11J!評(píng)準(zhǔn)備階段11.方案編斟階段12.現(xiàn)場(chǎng)測(cè)評(píng)階段12橋與報(bào)告編制階段14?測(cè)評(píng)方法15工具測(cè)試15K置檢查16人員訴談16文檔審S17實(shí)地查看17?測(cè)評(píng)工具18.?出文檔19等級(jí)保護(hù)測(cè)評(píng)差距報(bào)告金者娛!未定義書簽。等級(jí)測(cè)評(píng)報(bào)告錯(cuò)娛!未定義書簽。安全整改建議霜澳!未定義節(jié)簽。3?時(shí)間安排194?人員安排194.1.31級(jí)結(jié)溝員分工20人員配置表21工作配合225.其他相關(guān)事頂23風(fēng)險(xiǎn)規(guī)避2352項(xiàng)目信息管325責(zé)任法律保證26-可修編--可修編--可修編?-可修編?現(xiàn)場(chǎng)安全管理26文檔安全管理26離場(chǎng)安全管理27其他悄猊說(shuō)明27.項(xiàng)目棣述1?1?項(xiàng)目背景為了貫iffl落實(shí)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全SBI作的意見(jiàn)》、《關(guān)干信息安全等級(jí)保護(hù)工作的實(shí)施直見(jiàn)》和《信息安全等級(jí)保護(hù)管理亦法》的席神，2015年XXXXXXXXXXXXXXXXXXX需要按朋國(guó)家《信息安全技術(shù)信息系貌安全等級(jí)保護(hù)定級(jí)指南》、《計(jì)算機(jī)信息系貌安全保護(hù)等級(jí)則分準(zhǔn)則》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》的要求，對(duì)XXXXXXXXXXXXXXXXXXX現(xiàn)有穴個(gè)信息系貌進(jìn)行全面的信息安全測(cè)評(píng)與評(píng)估工作,并目為XXXXXXXXXXXXXXXXXXX提哄駐直咨jhj、實(shí)施等服務(wù)。（安全枝術(shù)測(cè)評(píng)色括：物理安全、啊絡(luò)安全、主HI系統(tǒng)安全、應(yīng)用安全和數(shù)搖安全五個(gè)層面上的安全腔制測(cè)評(píng)；安全管理測(cè)評(píng)色括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管J!、系統(tǒng)建設(shè)管理和系貌運(yùn)絨管理等五個(gè)方面的安全腔制測(cè)評(píng)），加大測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估力度，對(duì)信息系統(tǒng)的資產(chǎn)、威肚、弱直和風(fēng)險(xiǎn)等要素進(jìn)行全面評(píng)估，有效提升信心系貌的安全航護(hù)能力，建立常態(tài)化的等級(jí)保護(hù)工作機(jī)制，深化信息安全等級(jí)保護(hù)工作，提高XXXXXXXXXXXXXXXXXXXM絡(luò)與信息系貌的安全保障與運(yùn)絨能力。項(xiàng)目目標(biāo)全面完成XXXXXXXXXXXXXXXXXXX現(xiàn)有穴門信息系筑的信息安全測(cè)評(píng)與評(píng)估工作和協(xié)助整改工作，并目為XXXXXXXXXXXXXXXXXXX提哄驗(yàn)點(diǎn)咨溝、實(shí)施等服務(wù)，按照國(guó)家和XXXXXXXXXXXXXXXXXXX的有關(guān)要求，對(duì)XXXXXXXXXXXXXXXXXXX的啊絡(luò)架構(gòu)進(jìn)行業(yè)務(wù)影響分析及啊絡(luò)安全管理工作進(jìn)行梳理，提高XXXXXXXXXXXXXXXXXXX整個(gè)啊絡(luò)的安全保障與運(yùn)維能力，減少信息安全風(fēng)險(xiǎn)和降低信息安全事件發(fā)生的率，全面提高網(wǎng)絡(luò)層面的安全性，溝建XXXXXXXXXXXXXXXXXXX信息系貌的整體信息安全架構(gòu)，晞保全局信息系筑高效穩(wěn)定運(yùn)行，并滿足XXXXXXXXXXXXXXXXXXX提出的基本要求，及時(shí)提哄咨詢等服務(wù)。項(xiàng)目原劇頂目的方案設(shè)廿與實(shí)施應(yīng)滿足以下原則：符合性康則：應(yīng)符合國(guó)家信息安全等級(jí)保護(hù)制度及相關(guān)法律法規(guī)，指出肪的方ft和保護(hù)的原則。標(biāo)準(zhǔn)性原劇：方案設(shè)廿、實(shí)施與信息安全體系的構(gòu)建應(yīng)依據(jù)國(guó)、國(guó)際的相關(guān)標(biāo)準(zhǔn)aho?規(guī)牲原Ih頂目實(shí)施應(yīng)由專業(yè)的等級(jí)測(cè)評(píng)帥依照規(guī)的操作流程進(jìn)行，在實(shí)施之前將i豐細(xì)量化出每頂測(cè)評(píng)容，對(duì)操作過(guò)程和結(jié)果提供規(guī)的記錄，以便于頂目的跟蹤和腔制?？煽匦匀?jiǎng)t:頂目實(shí)施的方法和過(guò)程要在雙方認(rèn)可的圍之，實(shí)施aiti按照進(jìn)度表進(jìn)度的安排，保認(rèn)頂目實(shí)施的可腔性。整體牲原劃：安全體系設(shè)廿的圍和容應(yīng)當(dāng)整it全面，包括安全步及的各個(gè)層面，避免由于遺漏造成未來(lái)的安全隱患。最小影響原3頂目實(shí)施工作應(yīng)盡可能小的影晌啊絡(luò)和信息系貌的正常運(yùn)行，不能對(duì)信息系貌的運(yùn)行和業(yè)務(wù)的正常提佻產(chǎn)生顯普影響。fM：對(duì)頂目實(shí)施11程獲得的數(shù)據(jù)和箱果嚴(yán)怡，未經(jīng)授權(quán)不得泄需給任fl單位和個(gè)人,不得利用此數(shù)據(jù)和結(jié)果進(jìn)葉任fl侵害1評(píng)委托單位利益的行為。項(xiàng)目依據(jù)信息系統(tǒng)等級(jí)測(cè)評(píng)依據(jù)《信息系貌安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》，在對(duì)信息系統(tǒng)進(jìn)行安全技術(shù)和安全管〕!的安全腔制測(cè)評(píng)及系貌整體測(cè)評(píng)結(jié)果基礎(chǔ)上，針對(duì)相應(yīng)等級(jí)的信息系貌遵循的標(biāo)準(zhǔn)進(jìn)行綜合系貌測(cè)評(píng)，提出相應(yīng)的系貌安全整改建汶。主要參考標(biāo)準(zhǔn)血下：《廿算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》-GB17859-1999《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)埒要求》《信息安全等級(jí)保護(hù)管理亦法》?《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2008)?《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)《廿算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)《信息安全技術(shù)信息系貌通用安全技術(shù)要求》(GB/T20271-2006)《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)《信息安全技術(shù)操作系貌安全技術(shù)要求》(GB/T20272-2006)《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)《信息安全技術(shù)服務(wù)器技術(shù)要求》(GB/T21028-2007)?《信息安全技術(shù)終常計(jì)算機(jī)系筑安全等級(jí)枝術(shù)要求》(GA/T671-2006)?《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)》(GB/T20984-2007)2.渡評(píng)實(shí)施容-可修編--可修編--可修編--可修編-滇埒分析??圍本頊目圍為對(duì)XXXXXXXXXXXXXXXXXXX已定級(jí)信息系貌的等級(jí)保護(hù)測(cè)評(píng)。?ff對(duì)象本次測(cè)評(píng)對(duì)象為XXXXXXXXXXXXXXXXXXX信息系筑，具休如下：序號(hào)信息系竦名稱級(jí)別1XXXXXXXXX信息系貌、八八八八八八八八，t-1—t-X"*K.A三級(jí)2XXXXXXXXX信息系貌\7\7\7\7\7\7\7\7^， /I三級(jí)3XXXXXXXXX彳信息^系辦貌三級(jí)4XXXXXXXXX信息系貌、八八八八八八八八， t-1—t-X"*/.一^三級(jí)5XXXXXXXXX信息系統(tǒng)二級(jí)6XXXXXXXXX信息系統(tǒng)二級(jí)2/1-3?割坪架構(gòu)圖本次測(cè)評(píng)結(jié)合XXXXXXXXXXXXXXXXXXX系統(tǒng)的信息管理特點(diǎn)，進(jìn)行不同層次的測(cè)評(píng)工作，如下表所示：層次網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理制度安全管理機(jī)構(gòu)人員安全管理支全技術(shù)安全管理善保三級(jí)要求層次網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理制度安全管理機(jī)構(gòu)人員安全管理支全技術(shù)安全管理善保三級(jí)要求等保二級(jí)要求系統(tǒng)建設(shè)管理2.1.4.系統(tǒng)運(yùn)維管理容善保三級(jí)要求｛呆二級(jí)要求本頂目主要分為兩步開展實(shí)施。第一步，湘XXXXXXXXXXXXXXXXXXX穴個(gè)信息系sail定級(jí)和備案工作。第二步，對(duì)XXXXXXXXXXXXXXXXXXX已經(jīng)定級(jí)備案的系sail十個(gè)安全層面的等級(jí)保護(hù)安全測(cè)評(píng)（物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全員備價(jià)恢夏、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系貌運(yùn)細(xì)管理）0其中安全測(cè)評(píng)分為差距測(cè)評(píng)和用奇收測(cè)評(píng)。差距測(cè)評(píng)主要針對(duì)XXXXXXXXXXXXXXXXXXX已定級(jí)備案系貌執(zhí)行國(guó)家標(biāo)準(zhǔn)的安全測(cè)評(píng)，差距測(cè)評(píng)交付差距測(cè)評(píng)報(bào)告以及差距測(cè)評(píng)整改方案；差距整改完畢后協(xié)DJ完成系貌配置方面的整改。最后進(jìn)行^收測(cè)評(píng)，醴收測(cè)評(píng)將按照國(guó)家標(biāo)準(zhǔn)和國(guó)家公安承認(rèn)的測(cè)評(píng)要求、測(cè)評(píng)il程、測(cè)評(píng)報(bào)告，協(xié)助對(duì)XXXXXXXXXXXXXXXXXXX已定級(jí)備案的系貌執(zhí)行系貌安全醴收測(cè)評(píng)，再奇收測(cè)評(píng)交付具有國(guó)家承認(rèn)的驗(yàn)收測(cè)評(píng)報(bào)告。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)色括兩個(gè)方面的容：一是安全腔制測(cè)評(píng)，主要測(cè)評(píng)信息安全等級(jí)保護(hù)要求的基本安全腔制在信息系貌中的實(shí)施配置悄況；二是系貌整體測(cè)評(píng)，主要測(cè)評(píng)分折信息系貌的整體安全性。其中，安全腔制測(cè)評(píng)是信息系貌整體安全測(cè)評(píng)的基礎(chǔ)。

安全腔制測(cè)評(píng)使用測(cè)評(píng)單元方式組織,分為安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)兩大類。安全技術(shù)測(cè)iffilS：W3安全、網(wǎng)絡(luò)安全、主機(jī)系貌安全、應(yīng)用安全和數(shù)播安全五個(gè)層面上的安全腔制測(cè)評(píng)；安全管理測(cè)評(píng)色括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系貌運(yùn)細(xì)管理五個(gè)方面的安全腔制測(cè)評(píng)。具體見(jiàn)下圖： 信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng) 安全控制測(cè)評(píng)安全技術(shù)測(cè)評(píng)物理安全J [? 主機(jī)安全1■安全控制測(cè)評(píng)安全技術(shù)測(cè)評(píng)物理安全J [? 主機(jī)安全1■I網(wǎng)絡(luò)安全11應(yīng)用安全安全管理測(cè)評(píng)安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理 1 安全控制間 層面間區(qū)域間 整體結(jié)構(gòu)安全不同信息系統(tǒng)間整體安全性整體架構(gòu)/局部架構(gòu)—1 —1 數(shù)據(jù)安全系統(tǒng)運(yùn)維管理系統(tǒng)整It測(cè)評(píng)涉及到信息系躲的整It拓?fù)?局部結(jié)構(gòu)，也關(guān)系到信息系統(tǒng)的具休安全功能實(shí)現(xiàn)和安全控制配置，與特罡信息系統(tǒng)的實(shí)際悄況緊密相關(guān)。在安全腔制測(cè)評(píng)的基礎(chǔ)上，重點(diǎn)考慮安全腔制間、層面間WKEM間的相互關(guān)朕關(guān)系，分折評(píng)估安全腔制間、層面間和區(qū)域間是否存在安全功能上的增弓氨補(bǔ)充和潮弱作用以及信息系貌整休結(jié)購(gòu)安全性、不同信息系貌之間整休安全性。

邊界與邊界同主機(jī)恭境與運(yùn)埴管理間應(yīng)用與人員安全問(wèn)系統(tǒng)和系統(tǒng)問(wèn)區(qū)域間層面同網(wǎng)絡(luò)安全機(jī)統(tǒng)全

主系安網(wǎng)絡(luò)訪問(wèn)控制物理訪問(wèn)控制網(wǎng)絡(luò)入侵防?59份照別教育和培訓(xùn)邊界與邊界同主機(jī)恭境與運(yùn)埴管理間應(yīng)用與人員安全問(wèn)系統(tǒng)和系統(tǒng)問(wèn)區(qū)域間層面同網(wǎng)絡(luò)安全機(jī)統(tǒng)全

主系安網(wǎng)絡(luò)訪問(wèn)控制物理訪問(wèn)控制網(wǎng)絡(luò)入侵防?59份照別教育和培訓(xùn)人員離崗自主訪向控制綜合測(cè)評(píng)總結(jié)將在安全腔制測(cè)評(píng)和系貌整體測(cè)評(píng)兩個(gè)方面的容基礎(chǔ)上進(jìn)行，由Kt而獲得信息系筑對(duì)應(yīng)安全等級(jí)保護(hù)級(jí)別的符合性結(jié)論。2/1?5?需坪對(duì)象依照信息安全等級(jí)保護(hù)的要求、參考業(yè)界權(quán)威的安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)與模型，同時(shí)結(jié)合本公司名年的安全風(fēng)險(xiǎn)評(píng)估經(jīng)用奇與實(shí)踐，從信息系貌的核心資產(chǎn)出發(fā)，以威耳心和弱點(diǎn)為導(dǎo)向，對(duì)比信息安全等級(jí)保護(hù)的具休要求，全方面對(duì)信息系筑進(jìn)行全面評(píng)估。測(cè)評(píng)對(duì)象種類主要考慮以下幾個(gè)方面：整依網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；機(jī)房壞境、配套設(shè)施；網(wǎng)絡(luò)設(shè)備：包牯路由器、核心交換機(jī)、匯聚層交換機(jī)等；安全設(shè)備：0I8I?火墻、IDS/IPS.肪病毒網(wǎng)關(guān)等；主機(jī)系纜（作系纜和數(shù)據(jù)庫(kù)系纜）;業(yè)務(wù)應(yīng)用系貌;重要管理終端（it對(duì)三級(jí)以上系統(tǒng)）；&安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)管理員；澇及到系貌安全的所有管理榭度和記錄。根據(jù)信息系貌的測(cè)評(píng)弓余度要求,在執(zhí)折具體的核查方法時(shí),在廣度上要做到從測(cè)評(píng)圍中抽取充分的測(cè)評(píng)湘象種類和數(shù)量；在執(zhí)折具體的檢測(cè)方法，在深B!上要做到對(duì)助能等各方面的測(cè)試。2.1.6.HJF指標(biāo)對(duì)干二級(jí)系貌，如業(yè)務(wù)信息安全等級(jí)為S2,系貌服務(wù)安全等級(jí)為A2,則該系貌的測(cè)評(píng)指標(biāo)應(yīng)0tSGB/T22239-2008《信息系筑安全保護(hù)等級(jí)基本要求》中“技術(shù)要求”部分的2級(jí)通用指標(biāo)類（G2）,2級(jí)業(yè)務(wù)信息安全指標(biāo)類（S2）,2級(jí)系統(tǒng)服務(wù)安全指標(biāo)類（A2）,以及第2級(jí)“管理要求”部分中的所有指標(biāo)類，等級(jí)保護(hù)測(cè)評(píng)指標(biāo)悄況具體如下表所示：劇坪指標(biāo)（二級(jí)）技術(shù)/管理層面類數(shù)量S類（2級(jí)）A類（2級(jí)）G類（2級(jí)）安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1056主機(jī)安全2136應(yīng)用安全4217數(shù)據(jù)安全2103安全管理安全管理制廈0033安全管理機(jī)構(gòu)0055

人員安全管理0055系統(tǒng)建設(shè)管理0099系統(tǒng)運(yùn)維管理001212合廿66（類）對(duì)于三級(jí)系貌，如業(yè)務(wù)信息安全等級(jí)為S3,系貌服務(wù)安全等級(jí)為A3,則該系統(tǒng)的測(cè)評(píng)指標(biāo)應(yīng)0KGB/T22239-2008《信息系筑安全保護(hù)等級(jí)基本要求》中“技術(shù)要求”部分的3級(jí)通用指標(biāo)類（G3）,3級(jí)業(yè)務(wù)信息安全指標(biāo)類（S3）,3級(jí)系統(tǒng)服務(wù)安全指標(biāo)類（A3），以及第3級(jí)“管理要求”部分中的所有指標(biāo)類，等級(jí)保護(hù)測(cè)評(píng)指標(biāo)悄況具It如下表所示：劇坪指標(biāo)（三級(jí)）技術(shù)/管理@8類數(shù)量S類（3級(jí)）A類（3級(jí)）G類（3級(jí)）爪廿安全技術(shù)物理安全11810網(wǎng)絡(luò)安全106 7 主機(jī)安全3137應(yīng)用安全5229數(shù)搖安全210 3 安全菅理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理00 5 5

系統(tǒng)建設(shè)管理1111系統(tǒng)運(yùn)維管理1313合廿73（類）22滇評(píng)流程等級(jí)保護(hù)測(cè)評(píng)實(shí)施ii程色括以下四個(gè)階段:測(cè)評(píng)準(zhǔn)■4階段方案褊制/階

段物理安全網(wǎng)絡(luò)安全人員訪談文檔審杳實(shí)地察看方人員訪談配登檢查工具泓試方式物理基礎(chǔ)設(shè)施對(duì)象系統(tǒng)建設(shè)管理1111系統(tǒng)運(yùn)維管理1313合廿73（類）22滇評(píng)流程等級(jí)保護(hù)測(cè)評(píng)實(shí)施ii程色括以下四個(gè)階段:測(cè)評(píng)準(zhǔn)■4階段方案褊制/階

段物理安全網(wǎng)絡(luò)安全人員訪談文檔審杳實(shí)地察看方人員訪談配登檢查工具泓試方式物理基礎(chǔ)設(shè)施對(duì)象互聯(lián)設(shè)備安全設(shè)備網(wǎng)絡(luò)拓拎對(duì)人員訪談配、登檢查工具方測(cè)試式主機(jī)安全應(yīng)用安全人員訪談配登檢查工具測(cè)試方式應(yīng)用系統(tǒng)對(duì)象攥作系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)對(duì)象數(shù)據(jù)安全人員訪談配方置檢查式管理數(shù)據(jù)對(duì)業(yè)務(wù)數(shù)據(jù)恕安全管理胡度人員訪談文檔審杏實(shí)地察看方式安全管理機(jī)構(gòu)人員訪談文檔申查方式人員安全管3B人員訪談文檔申查方式系統(tǒng)建設(shè)借理人員訪談文檔審杳方式系統(tǒng)運(yùn)維管理人員訪談文檔審杳力式?ff準(zhǔn)備階段?測(cè)評(píng)項(xiàng)目組組建：明確項(xiàng)目經(jīng)理、測(cè)評(píng)人員及職責(zé)分工。項(xiàng)目it劃書編制：頂目計(jì)劃書包含項(xiàng)目側(cè)述、工作依搖、技術(shù)思路、工作容和項(xiàng)目組織等。信息系統(tǒng)調(diào)研：通過(guò)查閱被測(cè)系貌已有資料或使用調(diào)查表格的方武，了解整個(gè)系貌的構(gòu)成和保護(hù)悄況，明確被測(cè)系統(tǒng)的圍（特別是信息系統(tǒng)的邊界），了解被測(cè)系統(tǒng)的洋細(xì)構(gòu)成，包括網(wǎng)絡(luò)柘撲、業(yè)務(wù)應(yīng)用、業(yè)務(wù)渣程、設(shè)備信息（服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等）、管理制度等。工具和表單準(zhǔn)備：根據(jù)被測(cè)系統(tǒng)的實(shí)際悄猊，準(zhǔn)備測(cè)評(píng)工具和各類測(cè)評(píng)表單。方案絹制階段測(cè)評(píng)對(duì)象確定：根搖已經(jīng)了解到的被測(cè)系統(tǒng)信息，分析整個(gè)被測(cè)系貌及其濾及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測(cè)評(píng)的測(cè)評(píng)對(duì)象。測(cè)評(píng)荷標(biāo)確定：根搖已經(jīng)了解到的被測(cè)系統(tǒng)定級(jí)結(jié)果，確定出本次測(cè)評(píng)的測(cè)評(píng)荷標(biāo)。測(cè)評(píng)工具接人自確定：晞定需114（11具測(cè)試的測(cè)評(píng)對(duì)象，選擇測(cè)試路徑，根據(jù)測(cè)試路徑確定測(cè)試工具的接人點(diǎn)。測(cè)評(píng)容確定：確定現(xiàn)場(chǎng)測(cè)評(píng)的具體實(shí)施容，即單元測(cè)評(píng)容。測(cè)評(píng)實(shí)施手IB開發(fā)：編制測(cè)評(píng)實(shí)施手冊(cè)，詳細(xì)描述現(xiàn)場(chǎng)測(cè)評(píng)的工具、方法和操作步驟等，具體指導(dǎo)測(cè)評(píng)人員如何進(jìn)行測(cè)評(píng)活動(dòng)。?場(chǎng)劇坪階段現(xiàn)場(chǎng)測(cè)評(píng)實(shí)際上就是單頂測(cè)評(píng)，分別從技術(shù)上的物〕!安全、網(wǎng)絡(luò)安全、主機(jī)系貌安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面和管理上的安全管理機(jī)溝、安全管理制度、人員安全管理、系貌建設(shè)管理和系貌運(yùn)絨管理五個(gè)方面分別aiio物理安全：通il人員前談、文檔審查和實(shí)地察看的方式測(cè)評(píng)信息系貌的物理安全保障悄況。主要涉及對(duì)象為物理基SU殳隨。在容上，物理安全層面測(cè)評(píng)實(shí)施過(guò)程鴻及10個(gè)測(cè)評(píng)單元，色括：物理位置的選擇、物理訴間控制、肪謐竊和肪破壞、肪密擊、防火、肪水和肪潮、肪靜電、溫濕度控制、電力供應(yīng)、電磁肪護(hù)。啊絡(luò)安全：通過(guò)前人員前談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系貌的網(wǎng)絡(luò)安全保障悄猊。主要澇員對(duì)象為例）絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè)備和啊絡(luò)揚(yáng)撲結(jié)構(gòu)。在容上，啊絡(luò)安全層面測(cè)評(píng)實(shí)施過(guò)程步及7f測(cè)評(píng)單元，018：給構(gòu)安全、萌回腔制、安全審廿、ill界完整性檢查、入侵肪、網(wǎng)絡(luò)設(shè)備肪護(hù)、惡惠代侶肪（it對(duì)三級(jí)系統(tǒng)）。壬機(jī)安全：通過(guò)人員前談、配置檢查和工具測(cè)試的方貳測(cè)評(píng)信息系統(tǒng)的主機(jī)安全保障悄況。主要涉及對(duì)象為各類服務(wù)器的操作系貌、數(shù)搖庫(kù)管理系貌。在容上，壬機(jī)系統(tǒng)安全層面測(cè)評(píng)實(shí)施11程澇及7個(gè)測(cè)評(píng)單元，018：身份鑒別、訴問(wèn)控制、安全審計(jì)、人侵肪、惡惠代倡肪、資源控制、剌余信息保護(hù)（it對(duì)三級(jí)系統(tǒng)）。應(yīng)用安全：通il人員訴談、配置檢查和工具測(cè)試的方武測(cè)評(píng)信息系貌的應(yīng)用安全保障悄況，主要涉及對(duì)象為各類應(yīng)用系豌。在容上，應(yīng)用安全層面測(cè)評(píng)實(shí)施il程澇及9個(gè)測(cè)評(píng)單元，SIS：身價(jià)鑒別、ifi間控翎、安全審廿、通信完整性、通信性、軟件容錯(cuò)、資源控制、剩余信息保護(hù)（it對(duì)三級(jí)系統(tǒng)）、（it對(duì)三級(jí)系統(tǒng)）。數(shù)揚(yáng)安全：通il人員前談、配置檢查的方式測(cè)評(píng)信息系統(tǒng)的數(shù)據(jù)安全保障悄況，主要涉及對(duì)象為信息系統(tǒng)的管理數(shù)據(jù)及業(yè)務(wù)數(shù)據(jù)等。在容上，數(shù)據(jù)安全層面測(cè)評(píng)實(shí)施過(guò)程涉及3個(gè)測(cè)評(píng)單元，0IS：數(shù)據(jù)完整性、數(shù)據(jù)性、備卅和恢夏。安全管3$′JH:通il人員前談、文檔審查和實(shí)地察看的方式測(cè)評(píng)信息系貌的安全管理況。在容上，安全管理制度方面測(cè)評(píng)實(shí)施過(guò)程澇及3個(gè)測(cè)評(píng)單元，管理制度、制定和發(fā)布、評(píng)審和修訂。安全管理機(jī)溝：通過(guò)人員前談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的安全管理HI溝悄況。在容上，安全管理機(jī)構(gòu)方面測(cè)評(píng)實(shí)施11程涉及5個(gè)測(cè)評(píng)單元，包祐：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和槍查。人員安全管理：通11人員前談、文檔審查的方式測(cè)評(píng)信息系貌的人員安全菅理悄況。在容上，人員安全管理方面測(cè)評(píng)實(shí)施11程涉及5個(gè)測(cè)評(píng)單元，包括：人員錄用、人員離崗、人員考核、安全愆識(shí)教育和培調(diào)、外冊(cè)人員訴回管理。系統(tǒng)理設(shè)管理：通過(guò)人員前談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的系貌建設(shè)管理悄況。在容上，系貌理設(shè)管理方面測(cè)評(píng)實(shí)施過(guò)程涉及11個(gè)測(cè)評(píng)單元，包括：系統(tǒng)定級(jí)、安全方案設(shè)it、產(chǎn)品采則和使用、自行軟件開發(fā)、外色軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、安全服務(wù)商選擇、系統(tǒng)備案（it對(duì)三級(jí)系統(tǒng)）、系統(tǒng)測(cè)評(píng)（it對(duì)三級(jí)系統(tǒng)）。系統(tǒng)運(yùn)絨管理：通過(guò)人員前談、文檔審查的方式測(cè)評(píng)信息系貌的系貌運(yùn)維管理侑況。在容上，系統(tǒng)運(yùn)維管理方面測(cè)評(píng)實(shí)施過(guò)程澇及13個(gè)測(cè)評(píng)單元，0IS：壞境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡恿代碼肪管理、密伺管理、變更管理、備價(jià)與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、監(jiān)控管理和安全管理中心（it對(duì)三級(jí)系貌）。分析與報(bào)告編制階段單頂測(cè)評(píng)結(jié)果分析：針對(duì)測(cè)評(píng)荷標(biāo)中的單個(gè)測(cè)評(píng)頂，結(jié)合具體測(cè)評(píng)對(duì)象,客觀、準(zhǔn)確地分證據(jù)。單元測(cè)評(píng)結(jié)果列定：將單頂測(cè)評(píng)結(jié)果進(jìn)行匯總，分別筑廿不同測(cè)評(píng)對(duì)象的單頂測(cè)評(píng)結(jié)果，從而判定單元測(cè)評(píng)結(jié)果，并以表怡的形武逐一列出。整體測(cè)評(píng)：針對(duì)單頂測(cè)評(píng)結(jié)果的不符合項(xiàng)，采取逐條判定的方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整依測(cè)評(píng)的具體結(jié)果，并對(duì)系纜結(jié)構(gòu)進(jìn)行整休安全測(cè)評(píng)。風(fēng)險(xiǎn)分折：據(jù)等級(jí)保護(hù)的相關(guān)觀和標(biāo)準(zhǔn)，采用風(fēng)險(xiǎn)分析的方法分林等級(jí)測(cè)評(píng)結(jié)果中存在的安全回題可能對(duì)被測(cè)系統(tǒng)安全造戒的辨。等級(jí)測(cè)評(píng)結(jié)論形成：在測(cè)評(píng)結(jié)果匯總的基礎(chǔ)上，找出系統(tǒng)保護(hù)現(xiàn)狀與等級(jí)保護(hù)基本要求之間的差距,并形成等級(jí)測(cè)評(píng)結(jié)論。測(cè)評(píng)報(bào)告編制：根搖等級(jí)測(cè)評(píng)結(jié)論，編制測(cè)評(píng)報(bào)告，色桔撕述、被測(cè)系貌描述、測(cè)評(píng)對(duì)象說(shuō)明、測(cè)評(píng)指標(biāo)說(shuō)明、測(cè)評(píng)容和方法說(shuō)明、單元測(cè)評(píng)、整體測(cè)評(píng)、測(cè)評(píng)結(jié)果匯總、風(fēng)險(xiǎn)分橋和評(píng)價(jià)、等級(jí)測(cè)評(píng)結(jié)論、整改建議等。2.3.滇坪方法在等級(jí)保護(hù)測(cè)評(píng)il程目中，將果用以下測(cè)評(píng)方法：I具測(cè)試?yán)眉夹g(shù)工具（漏洞掃描工具、滲透測(cè)試工具、壓力測(cè)試工具等）對(duì)系統(tǒng)進(jìn)行測(cè)試，包祐基干網(wǎng)絡(luò)探測(cè)和基于主機(jī)審廿的漏洞甘描、滲透測(cè)試等。例」埒方袪工具測(cè)試簡(jiǎn)要描述利用技術(shù)工具，從網(wǎng)絡(luò)的不同接人自對(duì)啊絡(luò)的主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、啊絡(luò)設(shè)備、安全設(shè)備等iSfiBI弱性檢查和分析達(dá)成目標(biāo)發(fā)掘系統(tǒng)的安全漏洞工作條件1人工作壞境，電源和網(wǎng)絡(luò)接人壞境，甲方人員、網(wǎng)絡(luò)、系豌配

合工作結(jié)果工具測(cè)試結(jié)果記錄配置檢查利用上機(jī)^^的方式檢查主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，文寸文檔審核的容進(jìn)行核實(shí)（色括日志審計(jì)等），測(cè)評(píng)其實(shí)施的正確H和有效性，檢查配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)則的一致性，從而測(cè)試系貌是否這到可用性和可靠性的要求。榭坪方法配置檢查簡(jiǎn)要描述通il登陸系筑控制臺(tái)的方式，人工核查和分析主機(jī)、服務(wù)器、數(shù)搖庫(kù)、啊絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系筑的安全配置悄況這成目標(biāo)發(fā)現(xiàn)配置的安全隱患工作條件1-2人工作壞境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工作結(jié)果配置檢查結(jié)果記錄人員前談與被測(cè)系貌有關(guān)人員（個(gè)人/I?it）ait交流、討論等活動(dòng)，獲取相關(guān)認(rèn)據(jù)，了解有關(guān)信息。在前談圍上，不同等級(jí)信息系貌在測(cè)評(píng)時(shí)有不同的要求,一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。劇坪方法人員前淡

簡(jiǎn)要描述通11交流、討論的方式，對(duì)技術(shù)和管理方面an丁脆弱性檢查和分折達(dá)成目標(biāo)發(fā)振技術(shù)和管理方面存在的安全回題工作條件1人工作壞境，甲方人員配合工作結(jié)果人員ifi談結(jié)果記錄文檔審查檢查制度、策略、操作規(guī)程、制度執(zhí)行悄況記錄等文檔（色括安全方針文件、安全管理制度、安全管理的執(zhí)行11程文檔、系貌設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系貌和產(chǎn)品的實(shí)際配置說(shuō)明、系貌的各種運(yùn)行記錄文檔、機(jī)僻建設(shè)相關(guān)資料、機(jī)僻出人記錄等il程記錄文檔）的完整性，以及這些文件之間的部一致性。困坪方法文檔審查簡(jiǎn)要描述通il文檔審核與分折，檢查制度、策略、操作規(guī)程、制度執(zhí)行悄況記錄的完整性和部一致性迭成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全間題工作條件1人工作壞境，甲方人員、各類文檔負(fù)料配合工作第杲文檔審查結(jié)果記錄實(shí)地查看通過(guò)實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理壞境狀況判Bfi人員的安全惠識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理壞境等方面的安全悄況，測(cè)評(píng)其是否達(dá)到了相應(yīng)等級(jí)的安全要求。

項(xiàng)目名稱實(shí)地查看簡(jiǎn)要描述通11現(xiàn)場(chǎng)查看人員行為、枝術(shù)設(shè)施和物理壞境狀況，檢查人員的安全意識(shí)、業(yè)務(wù)操作、管理程序和系貌物理壞境等方面的安全悄況。達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全同題工作條件1-2人工作壞境，甲方人員配合工作結(jié)果實(shí)地查看結(jié)果記錄24測(cè)坪工具我們?cè)诘燃?jí)保護(hù)測(cè)評(píng)il程中使用的測(cè)評(píng)工具嚴(yán)可腔II原5M,K0所有使用的測(cè)評(píng)工具揩事先提交給甲方檢查確認(rèn)，確保在雙方認(rèn)可的圍之，而目測(cè)評(píng)il程巾果用的技術(shù)手段確保已經(jīng)il可靠的實(shí)際應(yīng)用。在本項(xiàng)目中，將果用以下測(cè)評(píng)工具：工具類別工具名稱工具介堀漏洞甘描工具綠盟極光遠(yuǎn)程安全評(píng)估系綠盟公司出品的商業(yè)漏洞掃描系統(tǒng)Web應(yīng)用掃描工具IBMAPPScanIBM公司出晶的商業(yè)Web?用安全掃描系筑WVS(WebVulnerabilityScanner)一個(gè)自動(dòng)化的Web應(yīng)用程序安全測(cè)試工具,它可以掃描任何可通ilWeb瀏覽器ffi問(wèn)的和1循HTTP/HTTPS規(guī)《］的Web站點(diǎn)和Web應(yīng)用程序2.5.輸出文檔本頂目輸出的主要輸出文檔為《等圾保護(hù)雷評(píng)實(shí)施方案（資產(chǎn)收集、雷評(píng)表）》《等級(jí)保護(hù)雷坪差距分析報(bào)告》《等圾保護(hù)例」坪安全整改方案》《等級(jí)保護(hù)雷坪安全整改報(bào)告》時(shí)同安幕序號(hào)任務(wù)各稱工作容開始時(shí)間芫成時(shí)同階段完成標(biāo)志主要負(fù)貢人配合人員123項(xiàng)目準(zhǔn)備階段編制實(shí)施方案2015/7/8《實(shí)施方案》罪資產(chǎn)收集2015/7/92015/7/15負(fù)產(chǎn)收集表編M測(cè)評(píng)表測(cè)昭表4資產(chǎn)收集2015/7/162015/7/17資產(chǎn)收集表5差距^評(píng)技術(shù)相管理單9測(cè)評(píng)2015/7/202015/8/21完成信息系統(tǒng)測(cè)評(píng)表6差報(bào)告編制單元測(cè)評(píng)、整體河評(píng)、風(fēng)險(xiǎn)分析、報(bào)告編制2015⑻242015/8/28《差距酒評(píng)報(bào)告》7安全整改建垃對(duì)部分風(fēng)行較高的不符合項(xiàng)給出整改報(bào)告2015/8/312015/9/4《整改方案》8安全M固與臉查對(duì)整改部分容at行復(fù)檢2015/9/72015/9/25《整改報(bào)告》9等級(jí)氏護(hù)驗(yàn)收濾評(píng)*助中心通過(guò)第三方測(cè)評(píng)2015/9/282015/11/31獲得測(cè)評(píng)證書人員安排組級(jí)結(jié)構(gòu)項(xiàng)目工作分工為晞保測(cè)評(píng)工作的順利進(jìn)行，XXXXXXXXXXXXXXXXXXX與XXXXXXXXXXXXXXXXXXX信息安全協(xié)商組建頂目組，并對(duì)頂目組級(jí)機(jī)構(gòu)進(jìn)行如下規(guī)如■XXXXXXXXXXXXXXXXXXX:名WHR責(zé)項(xiàng)目負(fù)責(zé)人項(xiàng)目總休負(fù)責(zé)人，負(fù)責(zé)協(xié)il?lXXXXXXXXXXXXXXXXXXX整體項(xiàng)目資源，解決項(xiàng)目中需要XXXXXXXXXXXXXXXXXXX配合的回題，監(jiān)特項(xiàng)目整體質(zhì)量、推進(jìn)頂目整IO?■XXXXXXXXXXXXXXXXXXX信息安全:名《9!貢頂目負(fù)責(zé)人頂目總休負(fù)責(zé)人，負(fù)責(zé)組織等級(jí)保護(hù)測(cè)評(píng)和評(píng)估實(shí)施以仇，做好整休日常資源管理、分配與協(xié)調(diào)工作，并直接腔制整體頂目管理的各個(gè)要素,具lists：頂目方案設(shè)it頂目it劃與組級(jí)頂目協(xié)說(shuō)|與溝通（含日集頂目周例會(huì)）頂目進(jìn)度管理（含編寫項(xiàng)目周報(bào)）-可修編?-可修編?-可修編?-可修編??頂目質(zhì)量控制頂目技術(shù)人員頂目技術(shù)人員，包括頂目分組組長(zhǎng)和實(shí)葩人員，在頂目經(jīng)理的帶領(lǐng)、分工和控斟下，負(fù)責(zé)按照頂目技術(shù)方案和頂目廿劃實(shí)葩測(cè)評(píng)和評(píng)估工作，需要提交：每天工作日?qǐng)?bào)單項(xiàng)測(cè)評(píng)結(jié)果記錄單頂安全整改建垃名》91負(fù)人員頂目負(fù)責(zé)人頂目總體負(fù)責(zé)人，負(fù)責(zé)組級(jí)等級(jí)保護(hù)測(cè)評(píng)和評(píng)估實(shí)施以fi,做好整值日常資源管理、分配與協(xié)調(diào)工作，并直接控制整體頂目管理的各個(gè)要素，具was：頂目方案設(shè)廿頂目計(jì)劃與組級(jí)頂目協(xié)調(diào)與溝通（含召集頂目周例會(huì)）項(xiàng)目進(jìn)度管理（含編寫頂目周報(bào)）項(xiàng)目質(zhì)量控制項(xiàng)目技術(shù)人員負(fù)責(zé)按照頂目技術(shù)方案和頂目廿劃實(shí)胞測(cè)評(píng)工作，需要提交：每天工作日?qǐng)?bào)單頂測(cè)評(píng)結(jié)果記錄單頂安全整改建放

44工作配合為保證本頊目的順利實(shí)施，對(duì)觀場(chǎng)測(cè)評(píng)階段的各頂工作點(diǎn)提出雙方工作配序號(hào)，作點(diǎn)甲方配合乙方出合1現(xiàn)場(chǎng)工具1、人員要求系筑管理員5期提篌系統(tǒng)軟硬件配置，相關(guān)系筑檢收文檔。*現(xiàn)場(chǎng)登錄設(shè)備運(yùn)行檢查腳本工具水登錄設(shè)備查看安全配置2、壞境要求水提侯可以筋問(wèn)網(wǎng)絡(luò)設(shè)備及測(cè)評(píng)系貌的2個(gè)IP地址穴關(guān)岡測(cè)評(píng)IP與系統(tǒng)之同的10火晴。1、準(zhǔn)備測(cè)評(píng)工具及接人方案2、測(cè)評(píng)技術(shù)人員2現(xiàn)場(chǎng)配置檢查1、人員要求網(wǎng)絡(luò)管理員*前期提哄網(wǎng)絡(luò)柘樸圖。*登錄啊絡(luò)設(shè)備，配合測(cè)評(píng)人員檢查設(shè)備配置。系筑管理員*登錄網(wǎng)絡(luò)設(shè)備，配合測(cè)評(píng)人員檢查設(shè)備配置。2、壞境要求可登錄系統(tǒng)及網(wǎng)絡(luò)設(shè)備1、準(zhǔn)備配合檢查方案2、測(cè)評(píng)枝術(shù)人員3人員訴談1、訴談對(duì)象要求信息部管理人員穴配合調(diào)查表的訴談系統(tǒng)開發(fā)&管理人員*配合測(cè)評(píng)回答應(yīng)用系筑操作相關(guān)問(wèn)網(wǎng)絡(luò)管理人員*配合測(cè)評(píng)回答啊絡(luò)架構(gòu)，及設(shè)備配置操作的相關(guān)問(wèn)醴2、環(huán)境要求1、準(zhǔn)備訴談安排艮訴談大綱2、測(cè)評(píng)枝術(shù)人員-可修編?-可修編?-可修編--可修編-提供會(huì)放室4文檔審查1、人員要求信息部管理人員*提哄等保相關(guān)的管理制度系筑開發(fā)&管理人員*提哄相應(yīng)系筑建設(shè)方案及驗(yàn)收文檔網(wǎng)絡(luò)管理人員水提供網(wǎng)絡(luò)系統(tǒng)翟設(shè)方案及驗(yàn)收文檔JP規(guī)則文檔等2、壞境要求提哄辦公場(chǎng)所1、準(zhǔn)備濾評(píng)表2、二位測(cè)評(píng)技術(shù)人員5實(shí)地查看1、人員要求機(jī)房管理員*出合測(cè)評(píng)人員檢查機(jī)房物理壞境。2、壞境要求*可前問(wèn)機(jī)房、辦公等物理區(qū)域1、準(zhǔn)備測(cè)評(píng)表2、測(cè)評(píng)技術(shù)人員5.其他相關(guān)事項(xiàng)5」?風(fēng)險(xiǎn)規(guī)避在測(cè)評(píng)11程中，可能愈對(duì)被測(cè)系貌造成影哨，相應(yīng)地會(huì)造成各種損失。&些影響0ISIB息泄漏、業(yè)務(wù)停賴或處理能力受損等。因此，必須充分考慮各種可能的影晌及其危害并準(zhǔn)備好相應(yīng)的應(yīng)對(duì)措施，盡可能減小對(duì)目標(biāo)系統(tǒng)正常運(yùn)行的干擾，從而減小損失。下表給出了測(cè)評(píng)過(guò)程中可能存在的風(fēng)險(xiǎn)與腔制措施。容可能存在的風(fēng)險(xiǎn)等級(jí)控制措施

信息資產(chǎn)調(diào)研資產(chǎn)信息酒漏軸議、規(guī)章、so、法律、法規(guī)安全管理測(cè)評(píng)安全管理信息泄漏高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)網(wǎng)絡(luò)設(shè)備測(cè)評(píng)/安全設(shè)備測(cè)評(píng)波操作引起設(shè)備崩就或數(shù)據(jù)丟失、損壞現(xiàn)審廿流程；嚴(yán)招選擇測(cè)評(píng)帥；甲方進(jìn)行全程監(jiān)控；榭定可能的恢復(fù)計(jì)劉網(wǎng)絡(luò)/安全設(shè)備資溫占用ft18開業(yè)務(wù)高峰；控制甘描策略（線程數(shù)量、強(qiáng)度）漏洞甘描網(wǎng)絡(luò)流量tt避開業(yè)務(wù)高嘩；控制掃描策略（線程數(shù)量、強(qiáng)a）主機(jī)資溫占用ff避開業(yè)務(wù)高嘩；控制掃描策略（線程數(shù)量、強(qiáng)度）

控制臺(tái)審計(jì)波操作引起系豌崩演或數(shù)據(jù)丟失、損壞高規(guī)審計(jì)浦程；嚴(yán)榴選擇測(cè)評(píng)帥；甲方進(jìn)行全程監(jiān)控；制定可能的恢夏it?J；網(wǎng)絡(luò)渣量和主機(jī)資溫占用tt）8開業(yè)務(wù)高峰產(chǎn)生非法數(shù)搖,致使系統(tǒng)不能正常工作中做好系統(tǒng)備卅和恢夏措施異常輸入（歐形數(shù)據(jù)、極限測(cè)試）導(dǎo)致系豌崩僮他好系統(tǒng)備卅和恢夏措施5.2.項(xiàng)目信息管理 為了保|i?XXXXXXXXXXXXXXXXXXX信息系筑的安全，XXXXXXXXXXXXXXXXXXX信息安全揩嚴(yán)怡遵守XXXXXXXXXXXXXXXXXXX關(guān)干方面的規(guī)定，自覺(jué)保守XXXXXXXXXXXXXXXXXXX商業(yè)秘密。XXXXXXXXXXXXXXXXXXX為方便頂目實(shí)施所提供給投標(biāo)人的工作流程、管理模式、規(guī)程、程序等相關(guān)資料文檔以員實(shí)施ii程中所產(chǎn)生的資料、文檔、數(shù)船均揚(yáng)干XXXXXXXXXX