等保测评方案 - 图文

湖南省电子产品检测分析所考勤

信息系统安全等级测评方案

编制： 日期：

审核： 日期：

批准： 日期：

1. 概述

1.1项目简介

湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工管理数据、政工管理数据等企业内部信息，是本单位的专有信息。如果系统受到破坏，将会严重影响电子分析所的正常工作和，因此湖南省电子产品检测分析所考勤管理信息系统在业务支撑上起着至关重要的作用。

分析所考勤管理信息系统的信息系统安全保护等级已定为二级（S2A2G2）。

湖南省网络与信息安全测评中心（以下简称测评中心）受湖南省电子检测分析所的委托，对湖南省电子产品检测分析所考勤管理信息系统进行信息系统安全等级保护测评，现场测评项目组将分为技术核查小组及管理核查小组；针对安全技术及安全管理两大方向、十个层面进行测评与分析。

本次测评的目的是建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。协助用户完成等级保护测评工作

1.2测评依据

信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》，在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上，针对不同等级的信息系统遵循的不同标准进行综合系统安全测评评审后确定，由等级保护测评机构给予相应的系统安全等级评审意见。

主要参考标准如下：

? 《信息安全等级保护管理办法》

? 《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008）

? 《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）

? 《信息系统安全等级保护测评要求》（报批稿） ? 《信息系统安全等级保护实施指南》（报批稿）

? 《信息系统安全等级保护测评过程指南》（报批稿）

? 《计算机信息系统安全保护等级划分准则》（GB17859-1999）

? 《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）

? 《 信息安全技术 网络基础安全技术要求》（GB/T20270-2006）

? 《 信息安全技术 操作系统安全技术要求》（GB/T20272-2006）

? 《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）

? 《信息安全技术 服务器技术要求》（GB/T21028-2007）

《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671-2006）

1.3测评过程

信息系统安全等级保护测评过程包括四个阶段。

? 测评准备阶段

被测单位向测评机构提出测评申请，测评机构对被测单位的申请材料进行审查，在双方达成共识的情况下，双方签订保密协议、委托书、合同。

? 方案编制阶段

测评机构成立项目组后，工作人员到被测单位了解被测评系统的信息，编写信息系统业务调查报告，信息系统规划设计分析报告，与被测单位共同讨论评测方案，评测工作计划，达成共同认可的评测方案和评测工作计划。

? 现场测评阶段

在进入现场检测测试阶段时，测评机构项目组成员在参照系统体系建设相关资料（系统建设方案、技术资料、管理资料、日常维护资料）后，对测评单位进行安全管理机构检查、安全管理制度检查、系统备案依据检查、技术要求落实情况测评、定期评估执行情况检查、等级响应、处理检查、教育和培训检查，生成管理检查记录、技术检查记录和核查报告。

? 分析与报告编制阶段

测评机构最后进行核查结果分析，等级符合性分析、专家评审，生成等级测评报告和安全建议报告 具体流程如下图：

1.4测评原则

? 客观性和公正性原则

测评工作虽然不能完全摆脱个人主张或判断，但测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。

? 经济性和可重用性原则

基于测评成本和工作复杂性考虑， 鼓励测评工作重用以前的测评结果，包

括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于这些结果还能适用于目前的系统，能反映目前系统的安全状态。

? 可重复性和可再现性原则

无论谁执行测评，依照同样的要求，使用同样的方法， 对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。 可重复性体现在同一测评者重复执行相同测评的结果的一致性。

? 符合性原则

测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。

1.5测评风险

等级测评实施过程中，被测系统可能面临以下风险。? 验证测试影响系统正常运行

在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。

? 工具测试影响系统正常运行

在现场测评时，会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响，漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。

? 敏感信息泄漏

泄漏被测系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。

2. 被测系统描述

2.1被测系统定级情况

1

系统名称 湖南省电子产品检测分析所门户网站信息系统 主管机构 湖南省电子产品检测分析所 系统承载 业务情况 业务类型 业务描述 系统服务 情况 服务范围 服务对象 ?1生产作业 ?2指挥调度 ?3管理控制 ?4内部办公 ?5公众服务 ?9其他 信息集成门户，包括信息发布、工作平台综合管理等功能实现 ?10全国 ?11跨省（区、市） 跨 个 ?20全省（区、市） ?21跨地（市、区） 跨 个 ?30地（市、区）内 ?99其它 ?1单位内部人员 ?2社会公众人员 ?3两者均包括 ?9其他 ?1局域网 ?2城域网 ?3广域网 ?9其他 ?1业务专网 ?2互联网 ?9其它 覆盖范围 系统网络 平台 网络性质 系统互联 情况 ?1与其他行业系统连接 ?2与本行业其他单位系统连接 ?3与本单位其他系统连接 ?9其它 未与单位其它业务系统互联 业务信息安全保护等级 系统服务安全保护等级 信息系统安全保护等级 二级 二级 二级

2.2网络结构

湖南省电子产品检测分析所考勤管理信息系统采用星型结构，使用天融信防

火墙做为区域安全隔离防护过滤设备。区域分为DMZ区，内部局域网，IDC服务器群、外联单位、账务系统网络专区共5个区域，服务器群连接在两台冗余的IDC H3C 7506E上，通过IDC天融信防火墙安全连接到其他区域，并连接着IDS提供安全检测；各电厂通过两台H3C SR8808路由器冗余接入局域网；外联单位通过CISCO 3640和天融信防火墙连接到局域网交换H3C 7506E；外网需要经过入侵防御、两级天融信防火墙、网康流量控制网关、上网行为管理设备、局域网交换H3C 7506E、服务器专区防火墙防御访问系统服务器；所有区域与区域之间界限分明，部署合理，确保了网络的稳定性、安全性与可靠性。具体网络拓扑结构图如下：

2.3系统构成

主要功能 门户网站 中间件 考勤数据库 重要程度 重要 重要 重要 业务应用软件构成如下表

序号 1 2 3 软件名称 门户网站信息系统 Tomcat Sql server 关键数据类别如下表

序号 数据类别

主机/存储设备 重要程度 所属业务应用 1 业务数据 门户网站信息系统 IBM HS21 重要 主机/存储设备如下表

序号 1 2 设备名称 应用服务器 数据库服务器

业务应用软件 门户网站信息系统 门户网站信息系统 重要程度 重要 重要 操作系统/数据库管理系统 Windows server 2003 Windows server 2003/sql server 网络互联设备如下表

序号 1 2 DW37501-DW37505 3 4 5 6 设备名称 DW6509

型号/ip cisco 6509 Ip：10.48.0.1 cisco 3750 Ip: 10.152.2.201-205 CISCO 4006 ip：10.152.2.252 cisco 3600 Ip：16.168.194.54 cisco-3640 10.48.5.1 - 重要 重要 重要 重要 重要程度 重要 重要 用途 核心交换机 1-5楼接入交换机接入交换机 对外服务区交换机 外部接入路由器 DW4006 DW3600（internet） DW3640 网康流量控制设备 交换机 Internet 出口流量控制 安全设备如下表

序号 1

用途 入侵检测设备 型号 启明星辰 重要 IP： 重要程度 设备名称 IDS 2 网康上网行为管理 DW208DW 上网行为审计管理 DW208FW防火墙，系统内外隔离 —— 重要 型号：NetScreen 208 Ip：10.48.8.22 型号：NetScreen 重要 3 4 DW208FW防火墙2 局域网防火墙 208 Ip：10.49.8.22 重要 启明星辰入侵检测5 设备 入侵检测设备 -- 重要 安全相关人员如下表

序号 1

岗位/角色 信息安全主管 联系方式 -- 姓名 陈俊 2 3 4 5 6 7 邹海亮 于国际 孙敏 何伟明 于国际 吴英杰 机房管理员 网络管理员 操作系统管理员 数据库管理员 资产管理员 应用系统管理员 -- -- -- -- -- -- 安全管理文档如下表

序号

用途 重要程度 重要 重要 重要 文档名称 湖南省电子产品检测分析所信息网络系统安全管理规定 湖南省电子产品检测分析所网站管理办法 湖南省电子产品检测分析所计算机信息系统安全和保密管理办法 湖南省电子产品检测分析所生1 2 关于湖南省电子产品检测分析所信息网络系统安全管理的相关说明 关于湖南省电子产品检测分析所网站管理的相关说明 关于湖南省电子产品检测分析所计算机信息系统安全和保密管理的相关说明 关于湖南省电子产品检测分析所生产指挥中心生产实时数据通道管理的相关说明 关于信息安全风险评估管理工作标准 关于信息中心机房管理工作标准 关于 IP 地址管理工作标准 关于第三方人员管理工作标准 关于防病毒紧急响应管理工作标准 关于信息系统运行管理工作标准 关于数据网络管理工作标准 关于通信运行维护管理工作标准 关于信息通信设备巡检管理工作标准 关于信息通信标准站管理工作标准 关于信息化项目管理的相关说明 关于信息机房建设技术规范 关于信息机房运行管理的相关说明 关于重要应用与数据灾难备份系统建设导则 关于重要应用与数据灾难备份系统实施指南 关于湖南省电子产品检测分析所计算机信息系统安全和保密管理的相关说明 关于湖南省电子产品检测分析所涉密计算机上网管理的相关说明 3 重要 4 产指挥中心生产实时数据通道管理办法 信息安全风险评估管理工作标准 信息中心机房管理工作标准 IP 地址管理工作标准 第三方人员管理工作标准 防病毒紧急响应管理工作标准 信息系统运行管理工作标准 数据网络管理工作标准 通信运行维护管理工作标准 信息通信设备巡检管理工作标准 信息通信标准站管理工作标准 信息化项目管理办法 信息机房建设技术规范 信息机房运行管理规定 重要应用与数据灾难备份系统建设导则 重要应用与数据灾难备份系统实施指南 湖南省电子产品检测分析所计算机信息系统安全和保密管理办法（试行） 湖南省电子产品检测分析所涉密计算机上网管理规定 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 重要 重要 重要 重要 重要 重要 重要 重要 重要 重要 重要 重要 重要 重要 重要 重要 20 21 重要

本文来源：https://www.bwwdw.com/article/ow6v.html