【正文】 驗(yàn)證和工具測(cè)試等測(cè)試操作對(duì)特定安全技術(shù)措施的有效性進(jìn)行測(cè)試，測(cè)試結(jié)6 果用于判斷目標(biāo)系統(tǒng)在網(wǎng)絡(luò)、主機(jī)或應(yīng)用層面采用的特定技術(shù)措施是否符合國(guó)家相關(guān)標(biāo)準(zhǔn)以及委托方的實(shí)際需求，并進(jìn)一步應(yīng)用于對(duì)目標(biāo)系統(tǒng)進(jìn)行安全性整體分析。 f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。 5 入侵防范（ G3） a) 應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源 IP、攻擊的類(lèi)型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警； 9 序號(hào) 類(lèi)別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 b) 應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施； c) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。 2 訪問(wèn)控制（ S2） a) 應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)； b) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離； c) 應(yīng)限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令； d) 應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在。 6 資源控制（ A2） a) 應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄； b) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定； c) 應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度。 4 剩余信息保護(hù)（ S3） a) 應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中； b) 應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。 8 軟件容錯(cuò)（ A3） a) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求； 13 序號(hào) 類(lèi)別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 b) 應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。 3 安全審計(jì)（ G2） a) 應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)； b) 應(yīng)保證無(wú)法刪除、修改或覆蓋審計(jì)記錄； c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等。 7 資源控制（ A2） a) 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話； 15 序號(hào) 類(lèi)別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 b) 應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制； c) 應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制。 序號(hào) 類(lèi)別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 1 數(shù)據(jù)完整性（ S2） 應(yīng)能夠檢測(cè)到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞。 2 制定和發(fā)布（ G3） a) 應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定； b) 安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制； c) 應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定； d) 安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布； e) 安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。 3 評(píng)審和修訂（ G2） 應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。 5 溝通和合作（ G3） a) 應(yīng)加強(qiáng)各類(lèi)管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的合作與溝通， 定期或不定期召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全問(wèn)題； 20 序號(hào) 類(lèi)別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 b) 應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通； c) 應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通； d) 應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息； e) 應(yīng)聘請(qǐng)信息安全專家作為常年的安全顧問(wèn)，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評(píng)審等。 3 授權(quán)和審批（ G2） a) 應(yīng)根據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批部門(mén)及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批； b) 應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批流程，并由批準(zhǔn)人簽字確認(rèn)。 2 人員離崗（ G3） a) 應(yīng) 嚴(yán)格 規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限； b) 應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備； c) 應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)。 序號(hào) 類(lèi)別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 1 人員錄用（ G2） a) 應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)人員錄用 ； b) 應(yīng)規(guī)范人員錄用過(guò)程，對(duì)被錄用人員的身份、背景和 專業(yè) 資格等進(jìn)行審查， 對(duì)其所具有的技術(shù)技能進(jìn)行考核； c) 應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議。 5 外部人員訪問(wèn)管理（ G2） 應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案。 4 自行軟件開(kāi)發(fā)（ G3） a) 應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)，開(kāi)發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制； b) 應(yīng)制定軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則； c) 應(yīng)制定代碼編寫(xiě)安全規(guī)范，要求開(kāi)發(fā)人員參照規(guī)范編寫(xiě)代碼； d) 應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管； 26 序號(hào) 類(lèi)別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 e) 應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。 8 系統(tǒng)交付（ G3） a) 應(yīng)制定 詳細(xì)的 系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn) b) 應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)； c) 應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔； d) 應(yīng)對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書(shū)面規(guī)定； e) 應(yīng)指定或授權(quán)專門(mén)的部門(mén)負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。 序號(hào) 類(lèi)別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 1 系統(tǒng)定級(jí)（ G2） a) 應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)； b) 應(yīng)以書(shū)面的形式說(shuō)明信息系統(tǒng)確定為某個(gè)安全保護(hù)等級(jí)的方法和理由； c) 應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門(mén)的批準(zhǔn)。 5 外包軟件開(kāi)發(fā)（ G2） a) 應(yīng)根據(jù)開(kāi)發(fā)要求檢測(cè)軟件質(zhì)量； b) 應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南； c) 應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼； d) 應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén)。 9 安全服務(wù)商選擇（ G2） a) 應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定； b) 應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任； c) 應(yīng)確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾，必要的與其簽訂服務(wù)合同。 4 設(shè)備管理（ G3） a) 應(yīng)建立設(shè)備安全管理制度，對(duì)設(shè)備的申報(bào)、審批、使用、維護(hù)等方面作出規(guī)定； b) 應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門(mén)的部門(mén)或人員定期進(jìn)行維護(hù)管理； c) 應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理； d) 應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng) /停止、加電 /斷電等操作； 33 序號(hào) 類(lèi)別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 e) 應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。 8 惡意代碼防范管理（ G3） a) 應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定； b) 應(yīng)提高所有用戶的防病毒意識(shí)，及時(shí)告知防病毒軟件版本，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查； 35 序號(hào) 類(lèi)別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 c) 應(yīng)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄； d) 應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫(kù)的升級(jí)情況并進(jìn)行記錄，對(duì)主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書(shū)面的報(bào)表和總結(jié)匯報(bào)。 12 安全事件處置（ G3） a) 應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)； b) 應(yīng)制訂安全事件報(bào)告和處置管理制度，明確安全事件的類(lèi)型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)； c) 應(yīng)根據(jù)國(guó)家相關(guān)管理部門(mén)對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響，對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分； d) 應(yīng)制訂安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等； e) 應(yīng)在安全事件報(bào)告和響應(yīng)處理過(guò)程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制訂防止再次發(fā)生的補(bǔ)救措施，過(guò)程形成的所有文件和記錄均應(yīng)妥善保存； f) 對(duì)造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報(bào)告程序。 38 序號(hào) 類(lèi)別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 3 介質(zhì)管理（ G2） a) 應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類(lèi)介質(zhì)進(jìn)行控制和保護(hù)， 并實(shí)行存儲(chǔ)環(huán)境專人管理； b) 應(yīng)對(duì)介質(zhì)歸檔和查詢等過(guò)程進(jìn)行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤(pán)點(diǎn)； c) 應(yīng)對(duì)需要送出維修或銷(xiāo)毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏； d) 應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類(lèi)和標(biāo)識(shí)管理。 7 惡意代碼防范管理（ G2） a) 應(yīng)提高所有用戶的防病毒意識(shí)，告知及時(shí)升級(jí)防病毒軟件，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查； b) 應(yīng)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄； c) 應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定。 11 安全事件處置（ G2） a) 應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)； b) 應(yīng)制定安全事件報(bào)告和處置管理制度， 明確安全事件 類(lèi)型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)； c) 應(yīng)根據(jù)國(guó)家相關(guān)管理部門(mén)對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響，對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分； d) 應(yīng)記錄并保存所有報(bào)告的安全弱點(diǎn)和可疑事件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生。項(xiàng)目風(fēng)險(xiǎn)控制是指項(xiàng)目組通過(guò)風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)監(jiān)控等活動(dòng)有效的將可能影響項(xiàng)目成功完成的風(fēng)險(xiǎn)控制在可接受的水平范圍內(nèi)，幫助實(shí)施團(tuán)隊(duì)提高項(xiàng)目成功率的過(guò)程。 1) 工作產(chǎn)品評(píng)審 在項(xiàng)目實(shí)施中將由項(xiàng)目組資深專家并邀請(qǐng)委托方相關(guān)人員組成技術(shù)評(píng)審組對(duì)項(xiàng)目階段工作產(chǎn)品和最終交付的項(xiàng)目提交成果進(jìn)行技術(shù)評(píng)審，嚴(yán)把質(zhì)量關(guān)，確保相關(guān)工作產(chǎn)品在技術(shù)上的科學(xué)性、合理性 和完備性，符合委托方的要求。在雙方取得一致意見(jiàn)后方可變更基準(zhǔn)計(jì)劃，變更過(guò)程應(yīng)做好變更記錄。 1) 舉行各種項(xiàng)目會(huì)議，主要形式包括每周 /月例會(huì)、階段匯報(bào)會(huì)、專項(xiàng)匯報(bào)會(huì)、階段評(píng)審會(huì)議、問(wèn)題討論會(huì)等，做好會(huì)議記錄，及時(shí)整理會(huì)議意見(jiàn)和建議并抄送相關(guān)人員。 通訊表內(nèi)容至少包括： 姓名； 項(xiàng)目相關(guān)職責(zé)； 單位及部門(mén)； 辦公地址； 辦公電話； 移動(dòng)電話； 即時(shí)通訊帳號(hào)（ MSN， ）； 主電子郵箱； 備用電子郵箱。 46 2) 設(shè)備保密管理 ? 我公司特配備專用設(shè)備和工具，并設(shè)定專門(mén)的領(lǐng)用手