【正文】 事項(xiàng) . 風(fēng)險規(guī)避 在 測評 過程中， 可能 會對 被測系統(tǒng) 造成影響，相應(yīng)地會造成各種損失。 系統(tǒng)管理員 * 登錄網(wǎng)絡(luò)設(shè)備，配合測評人員檢查設(shè)備配置。 在本項(xiàng)目中， 將采用以下測評工具： 工具類別 工具名稱 工具介紹 漏洞掃描工具 綠盟 極光 遠(yuǎn)程安全評估系統(tǒng) 綠盟公司出 品的商業(yè)漏洞掃描系統(tǒng) Web 應(yīng)用掃描工具 IBM APPScan IBM 公司出品的商業(yè) Web 應(yīng)用安全掃描系統(tǒng) WVS(Web Vulnerability Scanner) 一個自動化的 Web 應(yīng)用程序安全測試工具，它可以掃描任何可通過 Web 瀏覽器訪問的和遵循 HTTP/HTTPS 規(guī)則的 Web 站 第 17 頁 共 24 頁 工具類別 工具名稱 工具介紹 點(diǎn)和 Web 應(yīng)用程序 . 輸出文檔 本項(xiàng)目輸出的主要 輸出 文檔 為 《 等級保護(hù)測評 實(shí) 施方案（資產(chǎn) 收 集 、 測評表） 》 《 等級保護(hù)測評 差 距分析 報告 》 《等級保護(hù)測評 安全整改 方 案 》 《等級保護(hù)測評安全整改報告》 3. 時間 安排 序號 任務(wù) 名稱 工作內(nèi)容 開始時間 完成時間 階段完成標(biāo)志 主要負(fù)責(zé)人 配合人員 1 項(xiàng)目準(zhǔn)備階段 編制實(shí)施方案 2020/7/8 《 實(shí)施方案 》 2 編制資產(chǎn)收集 2020/7/9 2020/7/15 資產(chǎn)收集表 3 編制測評表 測評表 4 前期調(diào) 研 資產(chǎn)收集 2020/7/16 2020/7/17 完成 資產(chǎn)收集表 5 差距測 評 技術(shù)和管理 單項(xiàng)測評 2020/7/20 2020/8/21 完成信息 系統(tǒng)測評表 6 差距測評報告編制 單元測評、整體測評、 風(fēng)險分析 、報告編制 2020/8/24 2020/8/28 《 差距測評報 告 》 7 安全整改建議 對部分風(fēng)行較高的 不符合項(xiàng)給出整改報告 2020/8/31 2020/9/4 《整改方案 》 8 安全加固與檢 對整改部分內(nèi)容進(jìn)行復(fù) 2020/9/7 2020/9/25 《整改報告》 第 18 頁 共 24 頁 查 檢 9 等級保護(hù)驗(yàn)收測評 協(xié)助中心通過第三方測評 2020/9/28 2020/11/31 獲得 測評證書 4. 人員 安排 . 組織結(jié)構(gòu) . 項(xiàng) 目工作 分工 為確保 測 評 工 作 的 順 利 進(jìn) 行 ， XXXXXXXXXXXXXXXXXXX 與XXXXXXXXXXXXXXXXXXX 信息安全有限公司 協(xié)商組建項(xiàng)目組，并 對項(xiàng)目組織機(jī)構(gòu)進(jìn)行如下規(guī)劃： ? XXXXXXXXXXXXXXXXXXX： 名 稱 職 責(zé) 項(xiàng)目負(fù)責(zé)人 項(xiàng)目總體負(fù)責(zé)人， 負(fù)責(zé)協(xié)調(diào) XXXXXXXXXXXXXXXXXXX 整體項(xiàng)目 資源，解決項(xiàng)目中需要 XXXXXXXXXXXXXXXXXXX 配合的問題， 監(jiān)督項(xiàng)目整體質(zhì)量、 推進(jìn)項(xiàng)目 整體 進(jìn)度 ? XXXXXXXXXXXXXXXXXXX 信息安全有限公司 ： 名 稱 職 責(zé) 項(xiàng)目負(fù)責(zé)人 項(xiàng)目總體負(fù)責(zé)人，負(fù)責(zé)組織 等級保護(hù)測評 和評估 實(shí)施隊伍， 做好整體 日常資源管理 、分配與協(xié)調(diào) 工作，并直接控制 整體 項(xiàng)目管理的各個要素，具體包括： 第 19 頁 共 24 頁 ? 項(xiàng)目方案設(shè)計 ? 項(xiàng)目計劃與組織 ? 項(xiàng)目協(xié)調(diào)與溝通（含召集項(xiàng)目周例會） ? 項(xiàng)目 進(jìn)度 管理（含編寫項(xiàng)目周報） ? 項(xiàng)目質(zhì)量控制 項(xiàng)目 技術(shù)人員 項(xiàng)目技術(shù) 人員，包括項(xiàng)目分組組長和實(shí)施人員，在項(xiàng)目經(jīng)理的帶領(lǐng)、分工和控制下，負(fù)責(zé)按照項(xiàng)目技術(shù)方案和項(xiàng)目計劃實(shí)施測評和評估 工作，需要提交： ? 每天工作日報 ? 單項(xiàng)測評結(jié)果記錄 ? 單項(xiàng)安全整改建議 . 人員配置表 名 稱 職 責(zé) 人員 項(xiàng)目 負(fù)責(zé)人 項(xiàng)目總體負(fù)責(zé)人，負(fù)責(zé)組織 等級保護(hù)測評 和評估 實(shí)施隊伍， 做好 整體 日常資源管理 、分配與協(xié)調(diào) 工作，并直接控制 整體 項(xiàng)目管理的各個要素，具體包括： ? 項(xiàng)目方案設(shè)計 ? 項(xiàng)目計劃與組織 ? 項(xiàng)目協(xié)調(diào)與溝通（含召集項(xiàng)目周例會） ? 項(xiàng)目 進(jìn)度 管理（含編寫項(xiàng)目周報） ? 項(xiàng)目質(zhì)量控制 項(xiàng)目 技術(shù)人員 負(fù)責(zé)按照項(xiàng)目技術(shù)方案和項(xiàng)目計劃實(shí)施測評工作，需要提交： ? 每天工作日報 ? 單項(xiàng)測評結(jié)果記錄 ? 單項(xiàng)安全整改建議 第 20 頁 共 24 頁 . 工作配合 為保證本項(xiàng)目的順利實(shí)施，對現(xiàn)場測評階段的各項(xiàng)工作點(diǎn)提出雙方工作配合： 序號 工作點(diǎn) 甲方配合 乙方配合 1 現(xiàn)場工具 測評 人員要求 系統(tǒng)管理員 * 前期提供系 統(tǒng)軟硬件配置，相關(guān)系統(tǒng)檢收文檔。 測評方法 人員訪談 簡要描述 通過交流、討論的方式，對技術(shù)和管理方面進(jìn)行脆弱性檢查和分析 達(dá)成目標(biāo) 發(fā)掘技術(shù)和管理方面存在的安全問題 工作條件 12 人工作環(huán)境 ，甲方人員配合 工作結(jié)果 人員訪談結(jié)果記錄 . 文 檔審查 檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄等文檔（包括安全方針文件、安全管理制度、安全管理的執(zhí)行過程文檔、系統(tǒng)設(shè)計方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實(shí)際配置說明、系統(tǒng)的各種運(yùn)行記錄文檔、機(jī)房建設(shè)相關(guān)資料、機(jī)房出入記錄等過程記錄文檔）的完整性，以及這些文 件之間的內(nèi)部一致性 。 . 測評方法 在等級保護(hù)測評過程目中，將采用以下測評方法： . 工具測試 第 14 頁 共 24 頁 利用技術(shù)工具（漏洞掃描工具、滲透測試工具、壓力測試工具等）對系統(tǒng)進(jìn)行測 試，包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計的漏洞掃 描、滲透測試 等。 ? 整體測評：針對單項(xiàng)測評結(jié)果的不符合項(xiàng)，采取逐條判定的方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測評的具體結(jié)果，并對系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測評。 ? 系統(tǒng)運(yùn)維管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的系統(tǒng)運(yùn)維管理情況 。 ? 人員安全管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的人員安全管理情況 。 ? 安全管理制度：通過人員訪談、文檔審查和實(shí)地察看的方式測評信息系統(tǒng)的安全管理制度情況 。 ? 應(yīng)用安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng)的應(yīng)用安全保障情況， 主要涉及 對象為各類應(yīng)用系統(tǒng)。在內(nèi)容上，網(wǎng)絡(luò)安全層面 測評 實(shí)施過程涉及 7 個測評單元，包括：結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性 檢查、入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)、惡意代碼防范（針對三級系統(tǒng)）。主要涉及 對象為物理基礎(chǔ)設(shè)施。 ? 測評內(nèi)容確定：確定現(xiàn)場測評的具體實(shí)施內(nèi)容，即單元測評內(nèi)容。 ? 工具和表單準(zhǔn)備：根據(jù)被測系統(tǒng)的實(shí)際情況，準(zhǔn)備測評工具和各類測 第 11 頁 共 24 頁 評表單。 根據(jù)信息系統(tǒng)的測評強(qiáng)度要求， 在執(zhí)行具體的核查方法時， 在廣度上要做到從測評范圍中抽取充分的測評對象種類和數(shù)量；在 執(zhí)行具體的檢測方法 ，在深度上要做到對功能等各方面的測試。在安全控制測評的基礎(chǔ)上，重點(diǎn)考慮安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系，分析評估安全控制間、層面間和區(qū)域間是否存在安全功能上的增強(qiáng)、補(bǔ)充和削弱作用以及信息系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安 全性。其中，安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。 其中安全測評分為差距測評和驗(yàn)收測評。 主要參考標(biāo)準(zhǔn)如下： ? 《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》 GB178591999 ? 《信息安全技術(shù) 信息系統(tǒng)安全 等級保護(hù)實(shí)施指南》 ? 《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評要求》 ? 《信息安全等級保護(hù)管理辦法》 ?