等保测评方案

湖南省电子产品检测分析所考勤信息系统安全等级测评方案

编制：审核：批准：日期：日期：日期：

1.概述

1.1项目简介

湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工管理数据、政工管理数据等企业内部信息，是本单位的专有信息。如果系统受到破坏，将会严重影响电子分析所的正常工作和，因此湖南省电子产品检测分析所考勤管理信息系统在业务支撑上起着至关重要的作用。

分析所考勤管理信息系统的信息系统安全保护等级已定为二级（S2A2G2）。

湖南省网络与信息安全测评中心（以下简称测评中心）受湖南省电子检测分析所的委托，对湖南省电子产品检测分析所考勤管理信息系统进行信息系统安全等级保护测评，现场测评项目组将分为技术核查小组及管理核查小组；针对安全技术及安全管理两大方向、十个层面进行测评与分析。

本次测评的目的是建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。协助用户完成等级保护测评工作

1.2测评依据

信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》，在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上，针对不同等级的信息系统遵循的不同标准进行综合系统安全测评评审后确定，由等级保护测评机构给予相应的系统安全等级评审意见。

主要参考标准如下：

《信息安全等级保护管理办法》

《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）

《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）

《信息系统安全等级保护测评要求》（报批稿）

《信息系统安全等级保护实施指南》（报批稿）

《信息系统安全等级保护测评过程指南》（报批稿）

《计算机信息系统安全保护等级划分准则》（GB17859-1999）

《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）

《信息安全技术网络基础安全技术要求》（GB/T20270-2006）

《信息安全技术操作系统安全技术要求》（GB/T20272-2006）

《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）

《信息安全技术服务器技术要求》（GB/T21028-2007）

《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）1.3测评过程

信息系统安全等级保护测评过程包括四个阶段。

●测评准备阶段

被测单位向测评机构提出测评申请，测评机构对被测单位的申请材料进行审查，在双方达成共识的情况下，双方签订保密协议、委托书、合同。

●方案编制阶段

测评机构成立项目组后，工作人员到被测单位了解被测评系统的信息，编写信息系统业务调查报告，信息系统规划设计分析报告，与被测单位共同讨论评测方案，评测工作计划，达成共同认可的评测方案和评测工作计划。

●现场测评阶段

在进入现场检测测试阶段时，测评机构项目组成员在参照系统体系建设相关资料（系统建设方案、技术资料、管理资料、日常维护资料）后，对测评单位进行安全管理机构检查、安全管理制度检查、系统备案依据检查、技术要求落实情况测评、定期评估执行情况检查、等级响应、处理检查、教育和培训检查，生成管理检查记录、技术检查记录和核查报告。

●分析与报告编制阶段

测评机构最后进行核查结果分析，等级符合性分析、专家评审，生成等级测评报告和安全建议报告

具体流程如下图：

1.4测评原则

●客观性和公正性原则

测评工作虽然不能完全摆脱个人主张或判断，但测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。

●经济性和可重用性原则

基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包

括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于这些结果还能适用于目前的系统，能反映目前系统的安全状态。

●可重复性和可再现性原则

无论谁执行测评，依照同样的要求，使用同样的方法，对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性。

●符合性原则

测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。

1.5测评风险

等级测评实施过程中，被测系统可能面临以下风险。

●验证测试影响系统正常运行

在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。

●工具测试影响系统正常运行

在现场测评时，会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响，漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。

●敏感信息泄漏

泄漏被测系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。

2.被测系统描述

2.1被测系统定级情况

2.2网络结构

湖南省电子产品检测分析所考勤管理信息系统采用星型结构，使用天融信防

火墙做为区域安全隔离防护过滤设备。区域分为DMZ区，内部局域网，IDC服务器群、外联单位、账务系统网络专区共5个区域，服务器群连接在两台冗余的IDC H3C 7506E上，通过IDC天融信防火墙安全连接到其他区域，并连接着IDS 提供安全检测；各电厂通过两台H3C SR8808路由器冗余接入局域网；外联单位通过CISCO 3640和天融信防火墙连接到局域网交换H3C 7506E；外网需要经过入侵防御、两级天融信防火墙、网康流量控制网关、上网行为管理设备、局域网交换H3C 7506E、服务器专区防火墙防御访问系统服务器；所有区域与区域之间界限分明，部署合理，确保了网络的稳定性、安全性与可靠性。具体网络拓扑结构图如下：

2.3系统构成

业务应用软件构成如下表

关键数据类别如下表

主机/存储设备如下表

网络互联设备如下表

安全设备如下表

安全相关人员如下表

安全管理文档如下表

3.测评对象与指标

3.1测评指标

测评指标包括基本指标和特殊指标两项

3.1.1基本指标

被测系统的定级结果为：安全保护等级为2级，业务信息安全等级为S2，系统服务安全等级为A2；则该系统的测评指标应包括GB/T 22239-2008“技术要求”中的2级通用指标类（G2），3级业务信息安全指标类（S2），2级系统服务安全指标类（A2），以及第2级“管理要求”中的所有指标类。本次测评的测评指标情况具体如下表所示。

3.1.2特殊指标

根据系统等级保护定级情况及办公业务平台环境，此次测评主要依据等级保护基本要求，不再增加特殊指标

3.2测评对象

测评对象是等级测评的直接工作对象，也是在被测系统中实现特定测评指标所对应的安全功能的具体系统组件，因此，选择测评对象是编制测评方案的必要步骤，也是整个测评工作的重要环节。恰当选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。

测评对象的确定一般采用抽查的方法，即：抽查信息系统中具有代表性的组件作为测评

对象。并且，在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。

3.2.1对象确定原则

在确定测评对象时，需遵循以下原则：

1．恰当性，选择的设备、软件系统等应能满足相应等级的测评强度要求；2．重要性，应抽查对被测系统来说重要的服务器、数据库和网络设备等；3．安全性，应抽查对外暴露的网络边界；

4．共享性，应抽查共享设备和数据交换平台/设备；

5．代表性，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。

3.2.2测评对象确定

根据已经了解到的被测系统信息，分析整个被测系统及其涉及的业务应用系统，确定出本次测评的测评对象。

1、物理方面主要是测评屏蔽机房和主机房；

2、网络方面主要测评的设备有：路由器、交换机、防火墙、IDS、外联检测、

防病毒等。详细如下表：

3、主机方面主要测评的主机服务器（包括数据库服务器）如下表所示。

4、应用方面主要测评的应用系统如下表：

5、安全管理，主要测评对象为与信息安全管理有关的策略、制度、操作规程、运行记录、管理人员、技术人员和相关设备设施等。

4.测评方法及工具

4.1测评方法

本次测评方法分为现场测评方法与风险分析方法。

现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。

●访谈

测评人员与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级信息系统在测评时有不同的要求，基本覆盖所有的安全相关人员类型，在数量上进行抽样。具体参照GB/TDDDD-DDDD中的二级要求进行。

●文档审查

检查《基本要求》中二级规定的必须具有的制度、策略、操作规程等文档是否齐备；检查是否有完整的制度执行情况记录，如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。检查上述文文档之间是否保持一致性，要求有执行过程记录的，过程记录文档的记录内容应与相应的管理制度和文档保持一致，与实际情况保持一致。

●配置检查

根据测评结果记录表格内容，利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等）；如果系统在输入无效命令时不能完成其功能，将要对其进行错误测试；针对网络连接，应对连接规则进行验证。

本次测评配置检查的强度是：满足《基本要求》中的二级要求，测评其实施

的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性。

●工具测试

根据测评指导书，利用技术工具针对主机、服务器、关键网络设备、安全设备等设备进行包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。

●实地查看

根据被测系统的实际情况，测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评是否达到了相应等级的安全要求。

风险分析方法是依据安全事件可能性和安全事件后果对信息系统面临的风险进行分析，分析过程包括：

1）判断信息系统安全保护能力缺失（等级测评结果中的部分符合项和不符合项）被威胁利用导致安全事件发生的可能性，可能性的取值范围为高、中和低；

2）判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度，影响程度取值范围为高、中和低；

3）综合1）和2）的结果对信息系统面临的风险进行汇总和分等级，风险等级的取值范围为高、中和低；

4）结合信息系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。

4.2测评工具

本次测评涉及的工具有漏洞扫描工具、渗透测评工具集等，主要列表如下：