【正文】 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（ GB/T 222402020） ? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（ GB/T 222392020） ? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（ GB178591999） ? 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》（ GB/T202712020） ? 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（ GB/T202702020） ? 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù) 要求》（ GB/T202722020） ? 《信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（ GB/T202732020） ? 《信息安全技術(shù) 服務(wù)器技術(shù)要求》（ GB/T210282020） ? 《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（ GA/T6712020） ? 《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》 （ GB/T 209842020） 2. 測(cè)評(píng)實(shí)施內(nèi)容 第 4 頁(yè) 共 24 頁(yè) . 測(cè)評(píng)分析 . 測(cè)評(píng)范圍 本項(xiàng)目范圍為對(duì) XXXXXXXXXXXXXXXXXXX已定級(jí) 信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng) 。 ? 整體性原則： 安全體系設(shè)計(jì)的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的各個(gè)層面，避免由于遺漏造成未來(lái)的安全隱患。 . 項(xiàng)目原則 項(xiàng)目的方案設(shè)計(jì)與實(shí)施應(yīng)滿足以下原則： ? 符合性原則： 應(yīng)符合國(guó)家信息安全等級(jí)保護(hù)制度及相關(guān)法律法規(guī)，指出防范的方針和保護(hù)的原則。 . 安全整改建議 ............................... 錯(cuò)誤 !未定義書(shū)簽。 . 等級(jí)測(cè)評(píng)報(bào)告 ............................... 錯(cuò)誤 !未定義書(shū)簽。 第 2 頁(yè) 共 24 頁(yè) . 項(xiàng)目目標(biāo) 全面完成 XXXXXXXXXXXXXXXXXXX現(xiàn)有 六 個(gè) 信息系統(tǒng) 的信息安全測(cè)評(píng)與評(píng)估工作和協(xié)助整改工作，并且為 XXXXXXXXXXXXXXXXXXX提供駐點(diǎn)咨詢、實(shí)施等服務(wù)，按照國(guó)家和 XXXXXXXXXXXXXXXXXXX的有關(guān)要求，對(duì) XXXXXXXXXXXXXXXXXXX的 網(wǎng)絡(luò)架構(gòu)進(jìn)行業(yè)務(wù)影響分析及網(wǎng)絡(luò)安全管理工作進(jìn)行梳理，提高XXXXXXXXXXXXXXXXXXX整個(gè)網(wǎng)絡(luò)的安全保障與運(yùn)維能力，減少信息安全風(fēng)險(xiǎn)和降低信息安全事件發(fā)生的概率，全面提高網(wǎng)絡(luò)層面的安全性，構(gòu)建XXXXXXXXXXXXXXXXXXX信息 系統(tǒng)的整體信息安全架構(gòu)，確保全局信息系統(tǒng)高效穩(wěn)定運(yùn)行，并滿足 XXXXXXXXXXXXXXXXXXX提出的基本要求，及時(shí)提供咨詢等服務(wù) 。 ? 可控性原則： 項(xiàng)目實(shí)施的方法和過(guò)程要在雙方認(rèn)可的范圍之內(nèi)，實(shí)施進(jìn)度要按照進(jìn)度表進(jìn)度的安排，保證項(xiàng)目實(shí)施的可控性。 第 3 頁(yè) 共 24 頁(yè) . 項(xiàng)目依據(jù) 信息系統(tǒng)等級(jí)測(cè)評(píng)依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》，在對(duì)信息系統(tǒng)進(jìn)行安全技術(shù)和安全管理的安全控制測(cè)評(píng)及系統(tǒng)整體測(cè)評(píng)結(jié)果基礎(chǔ)上，針對(duì)相應(yīng)等級(jí)的信息系統(tǒng)遵循的標(biāo)準(zhǔn)進(jìn)行綜合系統(tǒng)測(cè)評(píng)，提出相應(yīng)的系統(tǒng)安全整改建議。第二步，對(duì) XXXXXXXXXXXXXXXXXXX 已經(jīng)定級(jí)備案的 系統(tǒng) 進(jìn)行 十個(gè)安全層面 的 等級(jí)保護(hù)安全測(cè)評(píng) （ 物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理） 。 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)包括兩個(gè)方面的內(nèi)容：一是安全控制測(cè)評(píng)，主要測(cè)評(píng)信息安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況；二是系統(tǒng)整體測(cè)評(píng)，主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性。具體見(jiàn)下圖： 第 6 頁(yè) 共 24 頁(yè) 系統(tǒng)整體測(cè)評(píng)涉及到信息系統(tǒng)的整體拓?fù)洹⒕植拷Y(jié)構(gòu)，也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān)。 測(cè)評(píng)對(duì)象種類主要考慮以下幾個(gè)方面： 1． 整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)； 2． 機(jī)房環(huán)境、配套設(shè)施； 3． 網(wǎng)絡(luò)設(shè)備： 包括 路由器、核心交換機(jī)、匯聚層交換機(jī)等； 4． 安全設(shè)備： 包括防火墻、 IDS/IPS、防病毒網(wǎng)關(guān)等； 5． 主機(jī)系統(tǒng) （包括操作系統(tǒng)和數(shù)據(jù)庫(kù) 系統(tǒng) ）； 6． 業(yè)務(wù)應(yīng)用系統(tǒng)； 7． 重要管理終端（針對(duì)三級(jí)以上系統(tǒng)）； 第 8 頁(yè) 共 24 頁(yè) 8． 安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)管理員； 9． 涉及到系統(tǒng)安全的所有管理制度和記錄。 ? 信息系統(tǒng) 調(diào)研：通過(guò)查閱被測(cè)系統(tǒng)已有資料或使用調(diào)查表格的方式，了解整個(gè)系統(tǒng)的構(gòu)成和保護(hù)情況，明確被測(cè)系統(tǒng)的范圍（特別是信息系統(tǒng)的邊界），了解被測(cè)系統(tǒng)的詳細(xì)構(gòu)成，包括網(wǎng)絡(luò)拓?fù)洹I(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息（服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等）、管理制度等。 ? 測(cè)評(píng)工具接入點(diǎn)確定：確定需要進(jìn)行工具測(cè)試的測(cè)評(píng)對(duì)象，選擇測(cè)試路徑，根據(jù)測(cè)試路徑確定測(cè)試工具的接入點(diǎn)。 ? 物理安 全：通過(guò)人員訪談、文檔審查和實(shí)地察看的方式測(cè)評(píng)信息系統(tǒng)的物理安全保障情況 。主要涉及 對(duì)象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在內(nèi)容上，主機(jī)系統(tǒng)安全層面 測(cè)評(píng) 實(shí)施過(guò)程涉及 7 個(gè)測(cè)評(píng)單元，包括：身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制、剩余信息保護(hù)（針對(duì)三級(jí)系統(tǒng)）。在內(nèi)容上，數(shù)據(jù)安全層面測(cè)評(píng)實(shí)施過(guò)程涉及 3 個(gè)測(cè)評(píng)單元，包括：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)。 在內(nèi)容上，安全管理機(jī)構(gòu)方面測(cè)評(píng)實(shí)施過(guò)程涉及 5 個(gè)測(cè)評(píng)單元，包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查。 在內(nèi)容上，系統(tǒng)建設(shè)管 理方面測(cè)評(píng)實(shí)施過(guò)程涉及 11 個(gè)測(cè)評(píng)單元，包括：系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、安全服務(wù)商選擇、系統(tǒng)備案（針對(duì)三級(jí)系統(tǒng)）、系統(tǒng)測(cè)評(píng)（針對(duì)三級(jí)系 第 13 頁(yè) 共 24 頁(yè) 統(tǒng)）。 ? 單元測(cè)評(píng)結(jié)果判定：將單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行匯總，分別統(tǒng)計(jì)不同測(cè)評(píng)對(duì)象的單項(xiàng)測(cè)評(píng)結(jié)果，從而判定單元測(cè)評(píng)結(jié)果，并以表格的形式逐一列出。 ? 測(cè)評(píng)報(bào)告編制：根據(jù)等級(jí)測(cè)評(píng)結(jié)論，編制測(cè)評(píng)報(bào)告，包括概述、被測(cè)系統(tǒng)描述、測(cè)評(píng)對(duì)象說(shuō)明、測(cè)評(píng)指標(biāo)說(shuō)明、測(cè)評(píng)內(nèi)容和方法說(shuō)明、單元測(cè)評(píng)、整體測(cè)評(píng)、測(cè)評(píng)結(jié)果匯總、風(fēng)險(xiǎn)分析和評(píng)價(jià)、等級(jí)測(cè)評(píng)結(jié)論、整改建議等。在訪談范圍上，不同等級(jí)信息系統(tǒng)在測(cè)評(píng)時(shí)有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān) 人員類型，在數(shù)量上可以抽樣。 達(dá)成目標(biāo) 發(fā)掘 技術(shù)和管理方面存在的安全問(wèn)題 工作條件 12 人工作環(huán)境 ，甲方人員配合 工作結(jié)果 實(shí)地查看結(jié)果記錄 . 測(cè)評(píng)工具 我們?cè)诘燃?jí)保護(hù)測(cè)評(píng)過(guò)程中使用的測(cè)評(píng)工具嚴(yán)格遵循可控性原則，即 所 有使用的測(cè)評(píng) 工具將事先 提交給 甲方 檢查確認(rèn) ，確保在雙方認(rèn)可的范圍之內(nèi) ，而且測(cè)評(píng) 過(guò)程中采用的技術(shù)手段 確保 已經(jīng)過(guò) 可靠的 實(shí)際應(yīng)用。 * 登錄網(wǎng)絡(luò)設(shè)備，配合測(cè)評(píng)人員檢查設(shè)備配置。管理人員 * 提供相應(yīng)系統(tǒng)建設(shè)方案及驗(yàn)收文檔 網(wǎng)絡(luò)管理人員 * 提供網(wǎng)絡(luò)系統(tǒng)建設(shè)方案及驗(yàn)收文檔 *IP規(guī) 劃文檔等 環(huán)境要求 提供辦公場(chǎng)所 準(zhǔn)備測(cè)評(píng)表 二位測(cè)評(píng)技術(shù)人員 5 實(shí)地查看 人員要求 機(jī)房管理員 * 配合測(cè)評(píng)人員檢查機(jī)房物理環(huán)境。 下表 給出了 測(cè)評(píng) 過(guò)程中可能 存在 的風(fēng)險(xiǎn)與控制 措施 。 加強(qiáng)安全保密工作具體的控制措施如下： . 保密責(zé)任法律保證 XXXXXXXXXXXXXXXXXXX信息安全有限公司 和 XXXXXXXXXXXXXXXXXXX簽訂《保密責(zé)任協(xié)議》，對(duì) 項(xiàng)目實(shí)施保密相關(guān)事宜予以法律保證。 . 文檔 安全 保密 管理 對(duì)需要 XXXXXXXXXXXXXXXXXXX提供的文檔資料， XXXXXXXXXXXXXXXXXXX信息安全有限公司 提交《文檔調(diào)用單》給 XXXXXXXXXXXXXXXXXXX，《文檔調(diào)用單》上的“借出部分”須明確文檔類別、文檔內(nèi)容、文檔申請(qǐng)人員、文檔使用人員、調(diào)用時(shí)間。 所有輸出文檔的非正式稿打印 件和相關(guān)材料，均須現(xiàn)場(chǎng)粉碎處理。