等保测评资料

等保测评

测评基本内容

对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

对安全控制测评的描述，使用测评单元方式组织。测评单元分为安全技术测 评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。具体见下图：

测评过程

等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

测评准备测评方法 编号 1 方案编制现场测评报告编制 测试方法 人员访谈 测试方法说明 与被测信息系统相关管理人员进行交流、讨论等活动，获取相关证据，了解相关信息。 检查被测信息系统是否具有GB/T 22239-2008中规定的的制度、策略、操作规程等文档，检查是否有完整的制度执行情况2 文档审查 记录

等保测评

技术方案

2018年7月

—1—

1 等级保护测评

1.1 定级与备案

1.1.1 调研

信息系统数据使用者或管理者及业务处理信息类别 管理数据、业务数据、鉴别信息高中低 保密性S 数据泄露将造成的影响 数据泄露是否会引起法律纠纷和导致财产损失 高中低 数据安全性要求 完整性S 数据篡改或丢失将造成的影响 数据篡改或丢失是否会引起法律纠纷和导致财产损失 高中低 可用系统中断将名称 其访问权限 性A 造成的影响 描述系统中断对工作职能和业务能力的影响 系统开发人XX系统 员、系统运维人员、系统使用人员 通过调研初步确定各信息系统的名称和级别。

1.1.2 定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和

等保测评

技术方案

2018年7月

—1—

1 等级保护测评

1.1 定级与备案

1.1.1 调研

信息系统数据使用者或管理者及业务处理信息类别 管理数据、业务数据、鉴别信息高中低 保密性S 数据泄露将造成的影响 数据泄露是否会引起法律纠纷和导致财产损失 高中低 数据安全性要求 完整性S 数据篡改或丢失将造成的影响 数据篡改或丢失是否会引起法律纠纷和导致财产损失 高中低 可用系统中断将名称 其访问权限 性A 造成的影响 描述系统中断对工作职能和业务能力的影响 系统开发人XX系统 员、系统运维人员、系统使用人员 通过调研初步确定各信息系统的名称和级别。

1.1.2 定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和

湖南省电子产品检测分析所考勤

信息系统安全等级测评方案

编制： 日期：

审核： 日期：

批准： 日期：

1. 概述

1.1项目简介

湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工管理数据、政工管理数据等企业内部信息，是本单位的专有信息。如果系统受到破坏，将会严重影响电子分析所的正常工作和，因此湖南省电子产品检测分析所考勤管理信息系统在业务支撑上起着至关重要的作用。

分析所考勤管理信息系统的信息系统安全保护等级已定为二级（S2A2G2）。

湖南省网络与信息安全测评中心（以下简称测评中心）受湖南省电子检测分析所的委托，对湖南省电子产品检测分析所考勤管理信息系统进行信息系统安全等级保护测评，现场测评项目组将分为技术核查小组及管理核查小组；针对安全技术及安全管理两大方向、十个层面进行测评与分析。

本次测评的目的是建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。协助用户完成等级保护测评工作

1.2测评依据

信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》，在对信息系统进行安全技术和安全管理的

技术测评要求(S3A3G3)

等级保护三级技术类测评控制点(S3A3G3) 类别 物理位置的选择 序号 1. 2. 3. 4. 物理物理访问安全 控制 5. 测 评 内 容 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。（G2） 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。（G3） 机房出入口应安排专人值守，控制、鉴别和记录进入的人员。（G2） 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。（G2） 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。（G3） 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。（G3） 应将主要设备放置在机房内。（G2） 应将设备或主要部件进行固定，并设置明显的不易除去的标记。（G2） 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。（G2） 访谈，检查。 物理安全负责人，机房值守 人员，机房，机房安全管理制度，值守记录，进入机房的 登记记录，来访人员进入机房的审批记录。 测评方法 访谈，检查。 物理安全负责人，机房，办公场地， 机房场地设计/验收文档。 结果记录 符合情况 Y N

注意：等保测评初级管理只考等级保护政策和相关标准应用、安全管理和物理评测。具体见下表：

1 等级保护政策和相关标准应用

2 安全管理和物理测评

2.1 安全管理

2.1.1 安全管理制度

2.1.2 安全管理机构

2.1.3 人员安全管理

2.1.4 系统建设管理

2.1.5 系统运维管理

2.2 物理测评

2.2.1 物理位置的选择

a)机房和办公场地应选具有防震、防风和防雨等能力的建筑内；

b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

2.2.2 物理访问控制

a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

b)进入机房的来访人员应经过申请和审批流程，以限制和监控其活动范围；

c)对机房分区进行管理，区域之间设置物理隔离装置，在重要区域前设置交付或过

渡区域；

d)重要区域应配置门禁系统，控制、鉴别和记录进入的人员。

2.2.3 防盗窃和防破坏

a)应将主要设备放在机房内；

b)应将主要设备或主要部件进行固定，并设置明显的不易除去的标志；

c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

d)应对介质分类标识，存储在介质库或档案室中；

e)应利用光、电等技术设置机房放到报警系统；

f)应对机房设置监控报警系统。

2.2.4 防雷击

a)机房建筑应设置

内部资料 注意保管

项目编号 合同编号 报告编号 文档编号

网络实验室系统 信息安全等级测评报告

系统名称：网络实验室系统 被测单位：西科大 测评单位： 报告时间：2015

年 4

月 10 日

XXX系统信息安全等级测评报告 [2014]

说明：

一、每个备案信息系统单独出具测评报告。

二、测评报告编号为四组数据。各组含义和编码规则如下： 第一组为信息系统备案表编号，由12位数字组成，可以从公安机关颁发的信息系统备案证明（或备案回执）上获得，即证书编号的前12位（前6位为受理备案公安机关代码，后6位为受理备案的公安机关给出的备案单位的顺序编号）。

第二组为年份，由2位数字组成。例如09代表2009年。 第三组为测评机构代码，由四位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安部，11为北京，12为天津，13为河北，

第三级基本要求

第三级基本要求在技术上包括5个方面：物理安全、主机安全、网络安全、应用安全和数据安全，详见《基本要求》，这里总结了三级系统在二级系统基础上增加的主要安全要求。

1)物理安全：包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。三级系统主要在环境安全、物理访问控制和防盗窃防破坏等方面较二级系统应有所加强，例如重要区域配置电子门禁系统，机房设置防盗报警系统和设置火灾自动消防系统等。

2)网络安全：包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。三级要求主要增强点：结构安全扩展到对重要网段采取可靠的技术隔离，在网络边界增加对恶意代码检测和清除；安全审计增强审计数据分析和保护，生成审计报表；访问控制扩展到对进出网络的信息内容过滤，实现应用层HTTP、FTP、TELNET等协议命令级的控制；边界防护应能够对非授权设备私自联到内部网络的行为进行检查和有效阻断；主要网络设备要求采用两种或两种以上组合的鉴别技术实现身份鉴别；在网络入侵防范方面不仅能够被动的防护，还应能主动发出报警。

3)主机安全：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码

等级保护（初级技术）安全测试学习笔记

第一章：网络安全测评：

标准概述：

测评过程中重点依据：

《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》来进行。 1、基本要求中网络安全的控制点与要求项各级分布为： 级别 控制点 要求项 第一级 3 9 第二级 6 18 第三级 7 33 第四级 7 32

2等级保护基本要求三级网络安全方面涵盖哪些内容 ？

共包含7个控制点33个要求项，涉及到网络安全中的结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。 检查范围：

理解标准、明确目的、分阶段进行、确定检查范围，细化检查项、 注意事项：

1、 考虑设备的重要程度可以采用抽取的方式。 2、 不能出现遗漏、避免出现脆弱点。

3、 最终需要在测评方案中与用户明确检查范围-网络设备，安全设备列表。

检查内容以等级保护基本要求三级为例，安全基本要求7个控制点33个要求项进行检查： 1、 结构安全 2、 访问控制 3、 安全审计

4、 边界完整性检查 5、 入侵防范 6、 恶意代码防

一、等保分级及要求 等保级别5级 分级标准 要求

1 个人，法人，团体，造成损害。但对国家和社会不造成损害的 防护

2 个人法人，社会造成严重损害，对社会造成损害，但不损害国家安全的 防护/检查 3 对社会持续和公共利益造成严重损害或对国家安全造成损害的 策略/防护/检查/恢复 4 对社会持续和公共利益造成特别严重损害或对国家安全造成严重损害的 策略/防护/检测/恢复/响应

5 对国家安全造成特别严重损害的 策略/防护/检测/恢复/响应 二、等保定级

商业银行，核心业务系统为四级，网上银行、跨省骨干网，重要支撑系统，在线服务系统为三级，其他为二级

银联，银行卡信息交换是四级，跨省骨干网为三级，其他为两级 三、相关标准

《信息系统安全等级保护实施指南》 《信息系统安全等级保护基本要求》（GB/T 22239-2008） 《信息系统安全等级保护定级指南》（GB/T 22240-2008） 《信息安全等级保护备案工作实施细则》

《信息系统等级保护安全建设技术方案设计要求》 《信息系统安全等级保护测评规范》

《公安机关信息安全等级保护检查工作规范》 四、评测方式：

访谈，检查，测试 五、等保测试要求 物理位置的选择 物理访问控制 防盗窃和