网络安全等级保护
XXX系统
等级测评方案
系统名称: | |
委托单位: | |
测评单位: | |
编制日期: | 2024年X月 |
目录
1 概述............................................................................................................................... 3
1.1 项目简介................................................................................................................. 3
1.2 测评依据................................................................................................................. 3
2 被测信息系统情况.......................................................................................................... 3
2.1 定级情况................................................................................................................. 4
2.2 承载的业务情况....................................................................................................... 4
2.3 网络结构................................................................................................................. 4
2.4 被测对象资产.......................................................................................................... 4
2.5 上次测评问题整改情况说明..................................................................................... 7
3 测评范围与方法.............................................................................................................. 7
3.1 测评指标................................................................................................................. 8
3.1.1 安全通用要求指标............................................................................................ 8
3.1.2 安全扩展要求指标............................................................................................ 8
3.1.3 其他安全要求指标............................................................................................ 9
3.1.4 不适用安全要求指标......................................................................................... 9
3.2 测评对象................................................................................................................. 9
3.2.1 测评对象选择方法............................................................................................ 9
3.2.2 测评对象选择结果.......................................................................................... 10
3.3 测评方法............................................................................................................... 12
4 单项测评内容............................................................................................................... 13
4.1 基础环境安全测评................................................................................................. 13
4.1.1 安全物理环境测评.......................................................................................... 13
4.1.2 安全通信网络测评.......................................................................................... 14
4.1.3 安全区域边界测评.......................................................................................... 14
4.1.4 安全计算环境测评.......................................................................................... 15
4.1.5 安全管理中心测评.......................................................................................... 16
4.1.6 安全管理制度测评.......................................................................................... 16
4.1.7 安全管理机构测评.......................................................................................... 16
4.1.8 安全管理人员测评.......................................................................................... 17
4.1.9 安全建设管理测评.......................................................................................... 17
4.1.10 安全运维管理测评.......................................................................................... 18
4.2 云计算安全测评..................................................................................................... 18
4.2.1 安全物理环境................................................................................................. 18
4.2.2 安全通信网络................................................................................................. 19
4.2.3 安全区域边界................................................................................................. 19
4.2.4 安全计算环境................................................................................................. 19
4.2.5 安全管理中心................................................................................................. 20
4.2.6 安全建设管理................................................................................................. 20
4.2.7 安全运维管理................................................................................................. 20
4.3 移动互联安全测评................................................................................................. 21
4.3.1 安全物理环境................................................................................................. 21
4.3.2 安全区域边界................................................................................................. 21
4.3.3 安全计算环境................................................................................................. 21
4.3.4 安全建设管理................................................................................................. 21
4.3.5 安全运维管理................................................................................................. 22
4.4 大数据安全测评..................................................................................................... 22
4.4.1 安全物理环境................................................................................................. 22
4.4.2 安全通信网络................................................................................................. 22
4.4.3 安全计算环境................................................................................................. 22
4.4.4 安全建设管理................................................................................................. 23
4.4.5 安全运维管理................................................................................................. 24
5 工具测试...................................................................................................................... 24
5.1 测评工具............................................................................................................... 24
5.2 风险和规避措施..................................................................................................... 24
5.2.1 操作系统和常见应用漏洞扫描......................................................................... 24
5.2.2 WEB应用漏洞扫描......................................................................................... 25
5.3 工具测试接入点说明.............................................................................................. 25
5.3.1 在接入点进行探测.......................................................................................... 26
5.4 渗透测试说明........................................................................................................ 26
6 系统整体测评内容........................................................................................................ 26
6.1 安全控制间安全测评.............................................................................................. 27
6.2 区域/层面间安全测评............................................................................................. 27
7 配合资源要求............................................................................................................... 27
1 概述
1.1 项目简介
为贯彻落实国务院147号令和中办27号文件,公安部会同有关部委出台了一系列的文件以及具体工作的指导意见和规范,并在全国范围内组织完成了一系列工作。目前,信息安全等级保护工作已经进入安全建设整改阶段,公安部印发了《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429),明确提出:“依据信息安全等级保护有关政策和标准,通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,力争在XXXX年底前完成已定级信息系统安全建设整改工作”。
为了贯彻国家对网络安全保障工作的要求,XXXX委托YYYY对ZZZZ平台进行安全等级保护测评。测评工作组将依据等级保护的相关管理规范、技术标准,实施本次安全测评工作。安全测评范围包括被测系统相关的网络设备、安全设备、服务器设备等;测评内容涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及信息安全管理等方面。测评完成后针对系统中存在的安全问题进行风险分析,提出整改意见,并最终形成安全等级测评报告。本测评方案仅用于指导ZZZZ平台的安全等级保护测评工作。
1.2 测评依据
1) 《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
2) 《信息安全等级保护管理办法》(公通字[2007]43号)
3) GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》(以下简称《基本要求》)
4) GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》(以下简称《测评要求》)
2 被测信息系统情况
2.1 定级情况
本次被测系统定级结果如下:
ZZZZ平台的安全保护等级为第三级,其中业务信息安全等级和系统服务安全等级均为第三级。
2.2 承载的业务情况
【填写说明:描述被测对象承载的业务、主要功能,以及采用云计算/移动互联等技术情况,如果被测对象采用了多种新技术,则不同新技术应单独成段描述。】
2.3 网络结构
【填写说明:给出被测对象的网络拓扑结构示意图,并基于示意图说明被测对象的网络结构基本情况,包括功能/安全区域划分、隔离与防护情况、关键网络和服务器设备的部署情况和功能简介、与其他系统的互联情况和边界设备、网络的管理方式和管理工具、以及本地备份和灾备中心的情况等。】
本平台广告位,小程序开发,网站维护,运营托管等互联网服务欢迎咨询海能科技,服务热线:180-2356-0819
本文采摘于网络,不代表本站立场,转载联系作者并注明出处:http://sysz.org/list_28/518.html
