信息系统等级保护测评工作方案

XX安全服务公司

201８－201９年XXX项目等级保护差距测评实施方案

XXＸXＸXXXX信息安全有限公司

20１X年X月

目录

目录?错误!未定义书签。

1、项目概述?错误!未定义书签。

1、１、 ......................................... 项目背景?错误!未定义书签。

１、2、?项目目标?错误!未定义书签。

1、3、?项目原则?错误!未定义书签。

１、4、?项目依据?错误!未定义书签。

2、?测评实施内容...................................... 错误!未定义书签。

2、１、 ............................................................. 测评分析错误!未定义书

２、１、１、?测评范围?错误!未定义书签。

２、1、2、........................................................ 测评对象错误!未定义书

2、1、３、?测评内容 ............................... 错误!未定义书签。

2、1、４、?测评对象 (8)

２、1、５、?测评指标 .............................. 错误!未定义书签。

2、2、?测评流程 ..................................... 错误!未定义书签。

2、2、1、?测评准备阶段 ............................ 错误!未定义书签。

2、2、2、?方案编制阶段 ............................ 错误!未定义书签。

２、2、３、?现场测评阶段?错误!未定义书签。

2、2、4、?分析与报告编制阶段?错误!未定义书签。

２、３、 ........................................ 测评方法?错误!未定义书签。

2、3、1、..................................... 工具测试?错误!未定义书签。

2、３、2、?配置检查 ............................... 错误!未定义书签。

2、3、３、........................................................ 人员访谈错误!未定义书

2、3、4、......................................................... 文档审查错误!未定义书

2、３、５、?实地查瞧?错误!未定义书签。

２、4、 .......................................................... 测评工具17?

2、５、 ............................................................. 输出文档错误!未定义书

2、5、１、?等级保护测评差距报告?错误!未定义书签。

2、5、2、................................. 等级测评报告?错误!未定义书签。

2、5、

3、..................................................... 安全整改建议错误!未定义书３、............................................... 时间安排?错误!未定义书签。

4、人员安排.......................................... 错误!未定义书签。

４、１、 ..................................................... 组织结构及分工错误!未定义书4、2、人员配置表?错误!未定义书签。

4、3、?工作配合?错误!未定义书签。

５、?其她相关事项..................................... 错误!未定义书签。

５、1、?风险规避 .................................... 错误!未定义书签。

５、2、 ......................................................... 项目信息管理错误!未定义书

5、2、１、........................... 保密责任法律保证?错误!未定义书签。

5、2、2、............................ 现场安全保密管理?错误!未定义书签。

5、2、3、?文档安全保密管理 ........................ 错误!未定义书签。

5、２、4、?离场安全保密管理?错误!未定义书签。

５、2、5、?其她情况说明 ........................... 错误!未定义书签。

1.项目概述

1.1.项目背景

为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作得意

见》、《关于信息安全等级保护工作得实施意见》与《信息安全等级保护管理

办法》得精神，20１5年XＸXXXXＸＸXＸXXXXXXXXX需要按照国家《信息安全技

术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准

则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准

则》得要求，对XXＸXXXXXＸＸXＸＸXＸXXXＸ现有六个信息系统进行全面得信

息安全测评与评估工作，并且为XＸXXXＸXXXXXＸＸＸXXXＸX提供驻点咨询、实

施等服务.(安全技术测评包括：物理安全、网络安全、主机系统安全、应用安

全与数据安全五个层面上得安全控制测评;安全管理测评包括：安全管理机构、

安全管理制度、人员安全管理、系统建设管理与系统运维管理等五个方面得安

全控制测评）,加大测评与风险评估力度,对信息系统得资产、威胁、弱点与风

险等要素进行全面评估，有效提升信心系统得安全防护能力，建立常态化得等

级保护工作机制，深化信息安全等级保护工作,提高XXXＸＸＸXXXXXXXXXXXXX网

络与信息系统得安全保障与运维能力。

全面完成XXXXXXXＸＸXXXXXＸXXXX现有六个信息系统得信息安全测评与评估工作与协助整改工作，并且为XXＸXＸXXXＸＸＸＸＸXXXXXＸ提供驻点咨询、实施等服务，按照国家与XXXXXXXXXＸXXＸＸXXXXＸ得有关要求，对XXXXXXXＸＸXＸXXXXＸXXX得网络架构进行业务影响分析及网络安全管理工作进行梳理,提高XXＸXXXＸXＸXXＸXXXＸXXＸ整个网络得安全保障与运维能力,减少信息安全风险与降低信息安全事件发生得概率，全面提高网络层面得安全性,构建XＸＸXXXXXXＸＸXXＸXＸXXX信息系统得整体信息安全架构,确保全局信息系统高效稳定运行,并满足XXXXXXXXＸXXXXXXXXXX提出得基本要求,及时提供咨询等服务。

1.3.项目原则

项目得方案设计与实施应满足以下原则：

?符合性原则:应符合国家信息安全等级保护制度及相关法律法规，指出防范得方针与保护得原则。

?标准性原则：方案设计、实施与信息安全体系得构建应依据国内、国际得相关标准进行。

?规范性原则：项目实施应由专业得等级测评师依照规范得操作流程进行，在实施之前将详细量化出每项测评内容，对操作过程与结果提供规范得记录,以便于项目得跟踪与控制。

?可控性原则:项目实施得方法与过程要在双方认可得范围之内,实施进度要按照进度表进度得安排，保证项目实施得可控性.

?整体性原则：安全体系设计得范围与内容应当整体全面，包括安全涉及得各个层面，避免由于遗漏造成未来得安全隐患.

?最小影响原则:项目实施工作应尽可能小得影响网络与信息系统得正常运行,不能对信息系统得运行与业务得正常提供产生显著影响。

?保密原则：对项目实施过程获得得数据与结果严格保密,未经授权不得泄露给任何单位与个人，不得利用此数据与结果进行任何侵害测评委托单位利益得行为.

信息系统等级测评依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》，在对信息系统进行安全技术与安全管理得安全控制测评及系统整体测评结果基础上，针对相应等级得信息系统遵循得标准进行综合系统测评,提出相应得系统安全整改建议。

主要参考标准如下：

?《计算机信息系统安全保护等级划分准则》—GB17859—19９9

?《信息安全技术信息系统安全等级保护实施指南》

?《信息安全技术信息系统安全等级保护测评要求》

?《信息安全等级保护管理办法》

?《信息安全技术信息系统安全等级保护定级指南》(GB／T 22２40—2008）

?《信息安全技术信息系统安全等级保护基本要求》(GＢ/Ｔ 22239-２０08）

?《计算机信息系统安全保护等级划分准则》（GB１7859－1９99)

?《信息安全技术信息系统通用安全技术要求》（GB/T2０２71-2006)

?《信息安全技术网络基础安全技术要求》(GB/Ｔ２０270—２006)

?《信息安全技术操作系统安全技术要求》(GB／T20272-2006）

?《信息安全技术数据库管理系统安全技术要求》（GB／T202７3－2006）

?《信息安全技术服务器技术要求》(GＢ/T２１028－2007）

?《信息安全技术终端计算机系统安全等级技术要求》（ＧA/T6７1－200６）

?《信息安全风险评估规范》(GB／T 209８4—200７）

2.测评实施内容

2.1.测评分析

2.1.1.测评范围

本项目范围为对ＸXXXXＸXXXXXXXXXXＸXX已定级信息系统得等级保护测评。

2.1.2.测评对象

本次测评对象为XXＸXXＸXＸXXXXＸXXXＸXX信息系统,具体如下:

序号信息系统名称级别

1 ＸXXXXXXXＸ信息系统三级

2 ＸXXXXＸXXＸ信息系统

三级

3 ＸXXXXXＸXX信息系统

三级

4 XＸXXXＸXＸＸ信息系统

三级

5 XXXXXXXXX信息系统

二级

6 XXXＸXXＸＸX信息系统

二级

本次测评结合XXＸＸXXXXXXXXXＸXXＸＸX系统得信息管理特点，进行不同层次得测评工作，如下表所示:

2.1.4.测评内容

本项目主要分为两步开展实施.第一步,对ＸＸＸXXXXXXＸXXＸＸＸXXＸX 六个信息系统进行定级与备案工作。第二步，对XＸXXＸXXXＸXXXＸXXXXXＸ已经定级备案得系统进行十个安全层面得等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。

其中安全测评分为差距测评与验收测评。差距测评主要针对XXXXXXXＸＸXX ＸＸXXXXXX已定级备案系统执行国家标准得安全测评，差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面得整改。最后进行验收测评，验收测评将按照国家标准与国家公安承认得测评要求、测评过程、测评报告，协助对XXXXＸXXXXＸXＸＸXXＸＸXX已定级备案得系统执行系统安全验收测评,验收测评交付具有国家承认得验收测评报告.

信息系统安全等级保护测评包括两个方面得内容：一就是安全控制测评，主要测评信息安全等级保护要求得基本安全控制在信息系统中得实施配置情况;二就是系统整体测评，主要测评分析信息系统得整体安全性。其中，安全控制测评就是信息系统整体安全测评得基础.

安全控制测评使用测评单元方式组织，分为安全技术测评与安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全与数据安全五个层面上得安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理与系统运维管理五个方面得安全控制测评。具体见下图：

系统整体测评涉及到信息系统得整体拓扑、局部结构,也关系到信息系统得具体安全功能实现与安全控制配置,与特定信息系统得实际情况紧密相关。在安全控制测评得基础上,重点考虑安全控制间、层面间以及区域间得相互关联关系,分析评估安全控制间、层面间与区域间就是否存在安全功能上得增强、补充与削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性.

综合测评总结将在安全控制测评与系统整体测评两个方面得内容基础上进行，由此而获得信息系统对应安全等级保护级别得符合性结论。

2.1.5.测评对象

依照信息安全等级保护得要求、参考业界权威得安全风险评估标准与模型，同时结合本公司多年得安全风险评估经验与实践,从信息系统得核心资产出发，以威胁与弱点为导向,对比信息安全等级保护得具体要求，全方面对信息系统进行全面评估.

测评对象种类主要考虑以下几个方面：

1．整体网络拓扑结构；

2．机房环境、配套设施；

3．网络设备：包括路由器、核心交换机、汇聚层交换机等；

4．安全设备:包括防火墙、IDＳ/IＰS、防病毒网关等；

5．主机系统(包括操作系统与数据库系统）；

6．业务应用系统;

7．重要管理终端（针对三级以上系统)；

8．安全管理员、网络管理员、系统管理员、业务管理员；

9．涉及到系统安全得所有管理制度与记录。

根据信息系统得测评强度要求，在执行具体得核查方法时，在广度上要做到从测评范围中抽取充分得测评对象种类与数量;在执行具体得检测方法，在深度上要做到对功能等各方面得测试.

2.1.6.测评指标

对于二级系统，如业务信息安全等级为S2，系统服务安全等级为A2,则该系统得测评指标应包括ＧＢ/T 2２2３9—2008《信息系统安全保护等级基本要求》中“技术要求"部分得2级通用指标类（G２），２级业务信息安全指标类（S2）,2级系统服务安全指标类（A2）,以及第2级“管理要求”部分中得所有指标类，等级保护测评指标情况具体如下表所示:

对于三级系统，如业务信息安全等级为S3,系统服务安全等级为A3，则该系统得测评指标应包括GB／T 22239-２008《信息系统安全保护等级基本要求》中“技术要求”部分得3级通用指标类(G3），3级业务信息安全指标类（S3）,３级系统服务安全指标类(A3）,以及第3级“管理要求”部分中得所有指标类，等级保护测评指标情况具体如下表所示：

2.2. 测评流程

等级保护测评实施过程包括以下四个阶段:

2.2.1.

测评准备阶段

? 测评项目组组建:明确项目经理、测评人员及职责分工。

?

项目计划书编制：项目计划书包含项目概述、工作依据、技术思路、工作内容与项目组织等。

? 信息系统调研：通过查阅被测系统已有资料或使用调查表格得方式,了解整个系统得构成与保护情况,明确被测系统得范围(特别就是信息系统得边界）,了解被测系统得详细构成,包括网络拓扑、业务应用、业

务流程、设备信息(服务器、数据库、网络设备、安全设备、数据库

等）、管理制度等。

?工具与表单准备：根据被测系统得实际情况,准备测评工具与各类测评

表单。

2.2.2.方案编制阶段

?测评对象确定:根据已经了解到得被测系统信息，分析整个被测系统及

其涉及得业务应用系统，确定出本次测评得测评对象。

?测评指标确定：根据已经了解到得被测系统定级结果，确定出本次测

评得测评指标。

?测评工具接入点确定:确定需要进行工具测试得测评对象,选择测试路

径,根据测试路径确定测试工具得接入点。

?测评内容确定:确定现场测评得具体实施内容，即单元测评内容。

?测评实施手册开发:编制测评实施手册,详细描述现场测评得工具、方

法与操作步骤等,具体指导测评人员如何进行测评活动。

2.2.

3.现场测评阶段

现场测评实际上就就是单项测评,分别从技术上得物理安全、网络安全、主机系统安全、应用安全与数据安全五个层面与管理上得安全管理机构、安全管理制度、人员安全管理、系统建设管理与系统运维管理五个方面分别进行。

?物理安全：通过人员访谈、文档审查与实地察瞧得方式测评信息系统

得物理安全保障情况.主要涉及对象为物理基础设施。在内容上，物理

安全层面测评实施过程涉及１０个测评单元，包括：物理位置得选

择、物理访问控制、防盗窃与防破坏、防雷击、防火、防水与防潮、

防静电、温湿度控制、电力供应、电磁防护。

?网络安全:通过访人员访谈、配置检查与工具测试得方式测评信息系统

得网络安全保障情况.主要涉及对象为网络互联设备、网络安全设备与

网络拓扑结构。在内容上，网络安全层面测评实施过程涉及７个测评

单元，包括:结构安全、访问控制、安全审计、边界完整性检查、入侵

防范、网络设备防护、恶意代码防范（针对三级系统）。

?主机安全：通过人员访谈、配置检查与工具测试得方式测评信息系统

得主机安全保障情况。主要涉及对象为各类服务器得操作系统、数据库管理系统。在内容上，主机系统安全层面测评实施过程涉及7个测评单元，包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护（针对三级系统）。

?应用安全：通过人员访谈、配置检查与工具测试得方式测评信息系统

得应用安全保障情况，主要涉及对象为各类应用系统.在内容上,应用安全层面测评实施过程涉及9个测评单元,包括:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩余信息保护(针对三级系统)、抗抵赖(针对三级系统).

?数据安全：通过人员访谈、配置检查得方式测评信息系统得数据安全

保障情况，主要涉及对象为信息系统得管理数据及业务数据等.在内容上，数据安全层面测评实施过程涉及３个测评单元，包括:数据完整性、数据保密性、备份与恢复。

?安全管理制度：通过人员访谈、文档审查与实地察瞧得方式测评信息

系统得安全管理制度情况.在内容上,安全管理制度方面测评实施过程涉及3个测评单元,包括：管理制度、制定与发布、评审与修订。

?安全管理机构:通过人员访谈、文档审查得方式测评信息系统得安全管

理机构情况。在内容上,安全管理机构方面测评实施过程涉及5个测评单元，包括:岗位设置、人员配备、授权与审批、沟通与合作、审核与检查。

?人员安全管理:通过人员访谈、文档审查得方式测评信息系统得人员安

全管理情况。在内容上，人员安全管理方面测评实施过程涉及5个测评单元，包括：人员录用、人员离岗、人员考核、安全意识教育与培训、外部人员访问管理。

?系统建设管理:通过人员访谈、文档审查得方式测评信息系统得系统建

设管理情况。在内容上,系统建设管理方面测评实施过程涉及11个测

评单元，包括：系统定级、安全方案设计、产品采购与使用、自行软

件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务

商选择、系统备案(针对三级系统）、系统测评（针对三级系统）.

?系统运维管理：通过人员访谈、文档审查得方式测评信息系统得系统

运维管理情况。在内容上，系统运维管理方面测评实施过程涉及１3个

测评单元，包括：环境管理、资产管理、介质管理、设备管理、网络

安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管

理、备份与恢复管理、安全事件处置、应急预案管理、监控管理与安

全管理中心（针对三级系统）。

2.2.4.分析与报告编制阶段

?单项测评结果分析:针对测评指标中得单个测评项,结合具体测评对

象，客观、准确地分析测评证据.

?单元测评结果判定:将单项测评结果进行汇总,分别统计不同测评对象

得单项测评结果，从而判定单元测评结果,并以表格得形式逐一列出。

?整体测评：针对单项测评结果得不符合项，采取逐条判定得方法,从安

全控制间、层面间与区域间出发考虑,给出整体测评得具体结果，并对

系统结构进行整体安全测评。

?风险分析:据等级保护得相关规范与标准,采用风险分析得方法分析等

级测评结果中存在得安全问题可能对被测系统安全造成得影响.

?等级测评结论形成:在测评结果汇总得基础上，找出系统保护现状与等

级保护基本要求之间得差距,并形成等级测评结论。

?测评报告编制:根据等级测评结论，编制测评报告,包括概述、被测系

统描述、测评对象说明、测评指标说明、测评内容与方法说明、单元

测评、整体测评、测评结果汇总、风险分析与评价、等级测评结论、

整改建议等。

2.3.测评方法

在等级保护测评过程目中，将采用以下测评方法：

2.3.1.工具测试

利用技术工具（漏洞扫描工具、渗透测试工具、压力测试工具等）对系统进行测试，包括基于网络探测与基于主机审计得漏洞扫描、渗透测试等.

利用上机验证得方式检查主机、服务器、数据库、网络设备、安全设备、应用系统得配置就是否正确，就是否与文档、相关设备与部件保持一致，对文档审核得内容进行核实(包括日志审计等),测评其实施得正确性与有效性，检查配置得完整性,测试网络连接规则得一致性,从而测试系统就是否达到可用性与可靠性得要求。

与被测系统有关人员(个人/群体)进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级信息系统在测评时有不同得要求,一般应基本覆盖所有得安全相关人员类型，在数量上可以抽样.

检查制度、策略、操作规程、制度执行情况记录等文档（包括安全方针文件、安全管理制度、安全管理得执行过程文档、系统设计方案、网络设备得技术资料、系统与产品得实际配置说明、系统得各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档）得完整性，以及这些文件之间得内部一致性.

通过实地得观察人员行为、技术设施与物理环境状况判断人员得安全意识、业务操作、管理程序与系统物理环境等方面得安全情况,测评其就是否达到了相应等级得安全要求。

2.4.测评工具

我们在等级保护测评过程中使用得测评工具严格遵循可控性原则,即所有使用得测评工具将事先提交给甲方检查确认,确保在双方认可得范围之内,而且测评过程中采用得技术手段确保已经过可靠得实际应用.

在本项目中,将采用以下测评工具：

2.5.输出文档

本项目输出得主要输出文档为

《等级保护测评实施方案（资产收集、测评表)》《等级保护测评差距分析报告》

《等级保护测评安全整改方案》

《等级保护测评安全整改报告》

3.时间安排

4.人员安排

4.1.组织结构

4.2.项目工作分工

为确保测评工作得顺利进行,XXXXXXXXＸXXXXXXＸＸＸX与XXＸＸXXXXＸXXXXXＸＸXXＸ信息安全有限公司协商组建项目组，并对项目组织机构进行如下规划：

?XXXXXXXXXＸXＸXXXXXＸX：

信息安全测评服务简介

信息安全测评和服务 1信息安全风险评估 对客户单位所有信息系统进行风险评估，每半年评估一次，评估后出具详细的评估报告。评估范围为所有业务系统及相关的网络安全资产，内容具体包括： (1)漏洞扫描：通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描， 发现各种可能遭到黑客利用的各种隐患，包括：端口扫描，漏洞扫描，密码破解，攻击测试等。 (2)操作系统核查：核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审 计、内核、恶意程序等内容，对用户当前采取的风险控制措施和管理手段的效果进行评估，在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。 (3)数据库核查：主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核 查。 (4)网络及安全设备核查：网络及安全设备核查主要是针对网络及安全设备的访问控制策 略进行检查，确定是否开放了网站服务以外的多余服务。 (5)病毒木马检查：通过多种方式对机器内异常进程、端口进行分析，判断是

否是木马或病毒，研究相关行为，并进行查杀。 (6)渗透测试：模拟黑客的各种攻击手段，对评估过程中发现的漏洞安全隐患进行攻击测 试，评估其危害程度，主要有：弱口令、本地权限提升、远程溢出、数据库查询等。 测评次数不低于两次，在有重大安全漏洞或隐患出现时，及时采取有针对性的渗透测试。 2、信息安全加固 针对评估的结果，协助客户单位对应用系统中存在的安全隐患进行安全加固。加固内容包括： 操作系统安全加固； 基本安全配置检测和优化 密码系统安全检测和增强 系统后门检测 提供访问控制策略和安全工具 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级与补丁安装 (1)网络设备安全加固； 严格的防控控制措施 安全审计 合理的vlan划分 不必要的IOS服务或潜在的安全问题 路由安全 抵抗拒绝服务的网络攻击和流量控制 广播限制 (2)网络安全设备安全加固； 防火墙的部署位置、区域划分 IDS、漏洞扫描系统的部署、VPN网关部署 安全设备的安全防护措施配置加固

信息安全技术 信息系统安全等级保护测评要求.doc

信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南； ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求； ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。

信息系统安全保护等级定级指南

附件2 信息系统安全保护等级定级指南 （试用稿） 公安部 二〇〇五年十二月 —9 —

目次 1范围 (11) 2术语和定义 (11) 2.1 业务信息（Business Information） (11) 2.2 业务信息安全性（Security of Business Information） (11) 2.3 业务服务保证性（Assurance of Business Service） (11) 2.4 信息系统（Information System） (11) 2.5 业务子系统（Business Subsystem） (11) 3定级对象 (11) 3.1 信息系统的划分 (12) 3.2 信息系统和业务子系统 (12) 4决定信息系统安全保护等级的要素 (12) 4.1 决定信息系统重要性的要素 (13) 4.2 定级要素赋值 (13) 5确定信息系统安全保护等级的步骤 (15) 6信息系统安全保护等级的确定方法 (16) 6.1 确定业务信息安全性等级 (16) 6.2 确定业务服务保证性等级 (16) 6.3 确定信息系统安全保护等级 (18) 7信息系统安全保护等级的调整 (18) 8附录 (20) 8.1 实例1 (20) 8.2 实例2 (21) —10 —

信息系统安全保护等级定级指南 1范围 本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。 各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。 2术语和定义 下列术语和定义适用于本指南。 2.1 业务信息（Business Information） 为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。2.2 业务信息安全性（Security of Business Information） 保证业务信息机密性、完整性和可用性程度的表征。 2.3 业务服务保证性（Assurance of Business Service） 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。 2.4 信息系统（Information System） 基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。 2.5 业务子系统（Business Subsystem） 由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。 3定级对象 如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统。 如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。 —11 —

信息安全测评工具

信息安全等级保护测评工具选用指引 一、必须配置测试工具 （一）漏洞扫描探测工具。 1.网络安全漏洞扫描系统。 2.数据库安全扫描系统。 （二）木马检查工具。 1.专用木马检查工具。 2.进程查看与分析工具。 二、选用配置测试工具 （一）漏洞扫描探测工具。 应用安全漏洞扫描工具。 （二）软件代码安全分析类。 软件代码安全分析工具。 （三）安全攻击仿真工具 （四）网络协议分析工具 （五）系统性能压力测试工具 1.网络性能压力测试工具 2.应用软件性能压力测试工具 （六）网络拓扑生成工具 （七）物理安全测试工具 1.接地电阻测试仪 2.电磁屏蔽性能测试仪 （八）渗透测试工具集 （九）安全配置检查工具集 （十）等级保护测评管理工具 综合工具： 漏洞扫描器：极光、Nessus、SSS等； 安全基线检测工具（配置审计等）：能够检查信息系统中的主机操作系统、数据库、网络设备等； 渗透测试相关工具：踩点、扫描、入侵涉及到的工具等； 主机：sysinspector、Metasploit、木马查杀工具、操作系统信息采集与分析工具(Win,Unix)、日志分析工具、数据取证工具（涉密）； 网络：Nipper（网络设备配置分析）、SolarWinds、Omnipeek、laptop（无线检测工具）； 应用：AppScan、Webinspect、FotifySCA、Sql injection tools、挂马检测工具、webravor等。

信息安全测评工具 五大网络安全评估工具 1.Wireshark Wireshark（原名Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。 工作流程 （1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 （2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。 （3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。 （4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。 （5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。 （6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。 （7）重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。 Wireshark特性： ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 Wireshark不是入侵侦测系统（Intrusion Detection System,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark 不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 Wireshark不能提供如下功能： ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark不会警告您。但是如果发生了奇怪的事情，Wireshark可能对察看发生了什么会有所帮助。 ?Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark

信息系统安全等级保护测评准则.

目录 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 总则 (2) 4.1 测评原则 (2) 4.2 测评内容 (2) 4.2.1基本内容 (2) 4.2.2工作单元 (3) 4.2.3测评强度 (4) 4.3 结果重用 (4) 4.4 使用方法 (4) 5 第一级安全控制测评 (5) 5.1安全技术测评 (5) 5.1.1物理安全 (5) 5.1.2网络安全 (7) 5.1.3 主机系统安全 (9) 5.1.4 应用安全 (11) 5.1.5 数据安全 (13) 5.2 安全管理测评 (15) 5.2.1 安全管理机构 (15) 5.2.2 安全管理制度 (17) 5.2.3 人员安全管理 (17) 5.2.4 系统建设管理 (19) 5.2.5 系统运维管理 (23) 6 第二级安全控制测评 (27) 6.1 安全技术测评 (27) 6.1.1 物理安全 (27) 6.1.2 网络安全 (33) 6.1.3 主机系统安全 (37) 6.1.4 应用安全 (42) 6.1.5 数据安全 (47) 6.2 安全管理测评 (50) 6.2.1 安全管理机构 (50) 6.2.2 安全管理制度 (52) 6.2.3 人员安全管理 (54) 6.2.4 系统建设管理 (56) 6.2.5 系统运维管理 (61) 7 第三级安全控制测评 (69) 7.1 安全技术测评 (69) 7.1.1 物理安全 (69) 7.1.2 网络安全 (76)

7.1.3 主机系统安全 (82) 7.1.4 应用安全 (90) 7.1.5 数据安全 (97) 7.2 安全管理测评 (99) 7.2.1 安全管理机构 (99) 7.2.2 安全管理制度 (104) 7.2.3 人员安全管理 (106) 7.2.4 系统建设管理 (109) 7.2.5 系统运维管理 (115) 8 第四级安全控制测评 (126) 8.1 安全技术测评 (126) 8.1.1 物理安全 (126) 8.1.2 网络安全 (134) 8.1.3 主机系统安全 (140) 8.1.4 应用安全 (149) 8.1.5 数据安全 (157) 8.2 安全管理测评 (160) 8.2.1 安全管理机构 (160) 8.2.2 安全管理制度 (164) 8.2.3 人员安全管理 (166) 8.2.4 系统建设管理 (169) 8.2.5 系统运维管理 (176) 9 第五级安全控制测评 (188) 10 系统整体测评 (188) 10.1 安全控制间安全测评 (188) 10.2 层面间安全测评 (189) 10.3 区域间安全测评 (189) 10.4 系统结构安全测评 (190) 附录A（资料性附录）测评强度 (191) A.1测评方式的测评强度描述 (191) A.2信息系统测评强度 (191) 附录B（资料性附录）关于系统整体测评的进一步说明 (197) B.1区域和层面 (197) B.1.1区域 (197) B.1.2层面 (198) B.2信息系统测评的组成说明 (200) B.3系统整体测评举例说明 (201) B.3.1被测系统和环境概述 (201) B.3.1安全控制间安全测评举例 (202) B.3.2层面间安全测评举例 (202) B.3.3区域间安全测评举例 (203) B.3.4系统结构安全测评举例 (203)

信息安全等级保护制度

第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

信息安全风险评估方案学习资料

第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

信息系统等级保护测评工作方案

XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全 201X年X月

目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (4) 1.4.项目依据 (4) 2.测评实施容 (6) 2.1.测评分析 (6) 2.1.1.测评围 (6) 2.1.2.测评对象 (6) 2.1.3.测评容 (7) 2.1.4.测评对象 (9) 2.1.5.测评指标 (10) 2.2.测评流程 (12) 2.2.1.测评准备阶段 (13) 2.2.2.方案编制阶段 (14) 2.2.3.现场测评阶段 (14) 2.2.4.分析与报告编制阶段 (17) 2.3.测评方法 (17) 2.3.1.工具测试 (17) 2.3.2.配置检查 (18) 2.3.3.人员访谈 (19) 2.3.4.文档审查 (19) 2.3.5.实地查看 (20)

2.4.测评工具 (21) 2.5.输出文档 (21) 2.5.1.等级保护测评差距报告................................................... 错误!未定义书签。 2.5.2.等级测评报告 ................................................................... 错误!未定义书签。 2.5. 3.安全整改建议 ................................................................... 错误!未定义书签。 3.时间安排 (22) 4.人员安排 (22) 4.1.组织结构及分工 (23) 4.2.人员配置表 (24) 4.3.工作配合 (25) 5.其他相关事项 (27) 5.1.风险规避 (27) 5.2.项目信息管理 (29) 5.2.1.责任法律保证 (30) 5.2.2.现场安全管理 (30) 5.2.3.文档安全管理 (30) 5.2.4.离场安全管理 (31) 5.2.5.其他情况说明 (31) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神，2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准

《信息系统安全等级保护定级报告》.doc

《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 （一）该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 （三）该信息系统业务主要包含：等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 （一）业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利 —9 —

益。 侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害，即工作职能受到严重影响，造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 （二）系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统，其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为：一可以对公民、法人和其他组织的合法权益造成侵害（影响正常工作的开展，造成不良影响，引起法律纠纷等）；—10 —

信息系统安全等级保护定级指南

1信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景 本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析 本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如： ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems（美国国家标准和技术研究所） ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual（美国国防部） ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation（美国国防 部） ●Information Assurance Technology Framework3.1（美国国家安全局） 这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。但仔细分析起来，这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准，依据2002年通过的联邦信息安全管理法，适用于所有联邦政府内的信息（除其它规定外的）和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199，信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件， 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

信息系统安全等级

附件乐3：乐山《信息系统安全等级保护定级报告》模 金阳县人民医院 《信息系统安全等级保护定级报告》 一、金阳县人民医院信息系统描述 金阳县人民医院信息系统主要有医院信息管理系统（HIS）、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理，对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总，为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担，医院始终将信息安全建设作为安全重中之重建设和管理，将其确定为定级对象进行监督，网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成，提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础，其主要为保障数据的传输和程序文件的运行；数据控制文件系统、程序源码成为信息表现的载体，二者共同完成院内医疗、办公等信息的综合管理。 二、金阳县人民医院信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性，需要不定时进行对该系统进行程序升级和漏洞防范，所以很容易受到“黑客”攻击和破坏，可能会影响医疗、办公正常秩序和正常行使工作职能，导致业务能力下降，从某种角度可侵害患者、医院和医院职工的合法权益，造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后，会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为二级。 （二）系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后，所侵害的客体是公民、医院和其他组织的合法权益，同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为：可以对患者、法人和医院职工的合法权益造成侵害（影响正常工作的开展，导致业务能力下降，造成不良影响，引起医患法律纠纷等）。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为：患者、医院和医院职工的合法权益造成一般损害，即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。

信息系统安全等级保护测评准则

信息系统安全等级保护测评准则

目录 1 范围1 2 规范性引用文件1 3 术语和定义1 4 总则2 4.1 测评原则2 4.2 测评内容2 4.2.1基本内容2 4.2.2工作单元3 4.2.3测评强度4 4.3 结果重用4 4.4 使用方法4 5 第一级安全控制测评5 5.1安全技术测评5 5.1.1物理安全5 5.1.2网络安全7 5.1.3 主机系统安全9 5.1.4 应用安全11 5.1.5 数据安全13 5.2 安全管理测评15 5.2.1 安全管理机构15 5.2.2 安全管理制度17 5.2.3 人员安全管理17 5.2.4 系统建设管理19 5.2.5 系统运维管理23 6 第二级安全控制测评27 6.1 安全技术测评27 6.1.1 物理安全27 6.1.2 网络安全33 6.1.3 主机系统安全37 6.1.4 应用安全42 6.1.5 数据安全47 6.2 安全管理测评50 6.2.1 安全管理机构50 6.2.2 安全管理制度52 6.2.3 人员安全管理54 6.2.4 系统建设管理56 6.2.5 系统运维管理61 7 第三级安全控制测评69 7.1 安全技术测评69 7.1.1 物理安全69 7.1.2 网络安全76

7.1.3 主机系统安全82 7.1.4 应用安全90 7.1.5 数据安全97 7.2 安全管理测评99 7.2.1 安全管理机构99 7.2.2 安全管理制度104 7.2.3 人员安全管理106 7.2.4 系统建设管理109 7.2.5 系统运维管理115 8 第四级安全控制测评126 8.1 安全技术测评126 8.1.1 物理安全126 8.1.2 网络安全134 8.1.3 主机系统安全140 8.1.4 应用安全149 8.1.5 数据安全157 8.2 安全管理测评160 8.2.1 安全管理机构160 8.2.2 安全管理制度164 8.2.3 人员安全管理166 8.2.4 系统建设管理169 8.2.5 系统运维管理176 9 第五级安全控制测评188 10 系统整体测评188 10.1 安全控制间安全测评188 10.2 层面间安全测评189 10.3 区域间安全测评189 10.4 系统结构安全测评190 附录A（资料性附录）测评强度190 A.1测评方式的测评强度描述190 A.2信息系统测评强度191 附录B（资料性附录）关于系统整体测评的进一步说明196 B.1区域和层面196 B.1.1区域196 B.1.2层面197 B.2信息系统测评的组成说明199 B.3系统整体测评举例说明200 B.3.1被测系统和环境概述200 B.3.1安全控制间安全测评举例201 B.3.2层面间安全测评举例201 B.3.3区域间安全测评举例202 B.3.4系统结构安全测评举例202

信息系统安全等级保护定级报告示例

信息系统安全等级保护定级报告 一、XX平台系统描述 （一）2014年8月，XX正式上线，XX隶属于北京XX科技有限公司，该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台，将出借人和借款人衔接，为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构，也是为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络，资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中，将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑，统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 （三）该系统业务主要包含：用户身份安全信息、业务平台数据、购买服务等业务，并新增加了法务审核，风险控制等等业

务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方支付平台的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。 业务处理系统以内部财务结算模式，负责各类买入转让还款的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下： 二、XX平台系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业，XX为旗下借贷平台主要是通过线上平台，将出借人和借款人衔接，为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务，解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、

信息系统安全等级测评工具

文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持. 1文档收集于互联网，如有不妥请联系删除. 信息系统安全 等级测评工具 【服务版】 产品规格说明书（PSI ） Product Specification Instructions 公安部第三研究所 2020年07月02日 版权所有 侵权必究 文档编码 CRBJ-PMD-PSI 项目管理号 1001-GFCSP-Tech

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. [文档信息] [版本变更记录] [文档送呈] 目录 1 产品背景及概述 ................................................ 错误!未定义书签。 1.1 产品背景.................................................... 错误!未定义书签。 1.2 产品概述.................................................... 错误!未定义书签。 2 产品目标及策略 ................................................ 错误!未定义书签。 2.1 产品目标.................................................... 错误!未定义书签。 2.2 产品策略.................................................... 错误!未定义书签。 3 产品执行标准.................................................... 错误!未定义书签。 4 产品说明 ........................................................... 错误!未定义书签。 5 结论 .................................................................. 错误!未定义书签。 I文档收集于互联网，如有不妥请联系删除.

信息系统安全等级保护测评及服务要求

成都农业科技职业学院 信息系统安全等级保护测评及服务要求 一、投标人资质要求 1.在中华人民共和国境内注册成立（港澳台地区除外），具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）； 2.测评机构应为成都市本地机构或在成都有常驻服务机构； 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》； 4. 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准）； 5. 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。 二、信息系统安全等级保护测评目标 本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全

等级保护测评准则》和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评，了解与《信息系统安全等级保护基本要求》的差距，出具相应的测评报告、整改建议，根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力，并配合完成公安系统等级保护备案。 等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障。 三、测评内容及要求 1.完成上述信息系统的等级保护定级工作，协助学院编写相应的《信息系统安全等级保护定级报告》； 2.完成上述信息系统安全等级测评工作，测评后经用户方确认，出具符合信息系统等级测评要求的测评报告； 3.协助完成上述信息系统安全等级保护备案工作； 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术

信息系统安全等级保护定级报告

信息系统安全等级保护定级报告 一、中国农业大学www服务系统描述 (一) 该系统由中国农业大学网络中心搭建并负责运行维 护。中国农业大学网络中心为该信息系统的主管部门 和定级的责任单位。 (二) 该系统是由三台核心服务器系统及其相关配套的设 备、设施构成的。该系统在校园网内，有两个出口， 第一个出口处部署了流控设备和控制网关，再通过 Extreme6808三层交换机接入教育网，在校园网和教 育网的边界设备是思科防火墙设备;第二个出口处部 署了阿姆瑞特防火墙设备，该出口通过该防火墙直接 接入公网。 (三) 该系统的主要业务是为学校各部门、学院、重点实验 室、优秀社团提供网站动、静态数据存储、网站浏览 和虚拟主机服务。 (四) 二、中国农业大学www服务系统安全保护等级确定 (一)信息安全保护等级的确定 1(业务信息描述 www服务系统传输、存贮的信息主要是学校各部 门、学院、重点实验室、优秀社团网站的动、静态信息。 2(业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、 法人和其他组织的合法权益。

侵害的客观方面表现为:一旦信息系统的业务信息 遭到入侵、修改、增加、删除等不明侵害，会对公民、 法人和其他组织的合法权益造成影响和损害，可以表 现为:影响正常工作的开展，导致业务能力下降，泄 露公民隐私，有的甚至给公民造成经济或其它损失。 3(信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为严重损害。 4(确定业务信息安全等级 查《定级指南》表2知，业务信息安全保护等级为 第二级。 对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 (二) 系统服务安全保护等级的确定 1(系统服务描述 该系统服务的主要功能是为用户提供网站数据存 贮和浏览服务。其服务范围为学校各部门、学院、重 点实验室、优秀社团。 2(系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后，客观方面表现的侵害结果 为:1可能对公民、法人和其他组织的合法权益造成侵害; 2可能对公共利益造成侵害。根据《定级指南》的要求， 出现上述两个侵害客体时，优先考虑社会秩序和公共利 益，另外一个不做考虑。