1、 大海則煤礦110KV變電站電力監(jiān)控信息系統(tǒng)安全等級保護測評技術(shù)規(guī)范書招 標 人：2018年01月2投標人資質(zhì)要求：（一）基本資格要求1投標人應(yīng)為中國境內(nèi)注冊機構(gòu)，具有獨立法人資格。2具有完善的質(zhì)量管理體系，必須持有國家認定的資質(zhì)機構(gòu)頒發(fā)的ISO9001質(zhì)量管理體系認證證書或等同的質(zhì)量管理體系認證證書。3最近三年內(nèi)沒有發(fā)生騙取中標、嚴重違約等不良行為。4沒有處于被責(zé)令停業(yè)，財產(chǎn)被接管、凍結(jié)及破產(chǎn)狀態(tài)。5具有良好的銀行資信和商業(yè)信譽，經(jīng)營狀況良好。6投標人與招標人不存在現(xiàn)實的或潛在的利益沖突。（二）專項資格要求1投標人應(yīng)是專業(yè)從事系統(tǒng)集成的機構(gòu)，有固定的工作場所和長期穩(wěn)定的經(jīng)驗豐富的項目團隊。2

2、投標人為外資企業(yè)的，應(yīng)在中國境內(nèi)設(shè)立分支機構(gòu)5年以上。3、測評機構(gòu)須具有信息安全風(fēng)險評估服務(wù)一級資質(zhì)；4、具有國家級信息安全等級保護測評機構(gòu)推薦證書；5、投標人注冊資本金應(yīng)在人民幣1000萬元及以上。6投標人應(yīng)具有近三年內(nèi)同類項目的實施經(jīng)驗和成功案例，提供相關(guān)證明材料。7投標人應(yīng)具備駐項目建設(shè)單位所在地進行現(xiàn)場服務(wù)的能力。8投標人擬選派參與本項目實施服務(wù)的現(xiàn)場項目經(jīng)理應(yīng)具有同類項目的項目經(jīng)理工作經(jīng)歷。9本項目不接受聯(lián)合體投標。附件1 技術(shù)規(guī)范1 總則1.1 項目背景為了落實國家公安部信息安全等級保護管理辦法（公通字200743號）、國家能源局國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全

3、防護方案和評估規(guī)范的通知（國能安全201536號）等相關(guān)文件要求，提高電力監(jiān)控系統(tǒng)安全防護水平，防止因電力監(jiān)控系統(tǒng)安全事件引發(fā)電力安全事故，大海則煤礦110KV變電站（以下簡稱甲方）編制本技術(shù)規(guī)范書，對本公司電力信息系統(tǒng)進行電力監(jiān)控系統(tǒng)安全評估（以下簡稱評估）項目提出規(guī)范、技術(shù)要求和說明。項目全稱為：1電力監(jiān)控系統(tǒng)信息安全等級保護測評。1.2 工作目標大海則煤礦110KV變電站電力監(jiān)控信息系統(tǒng)等級保護測評項目的總體目標為：從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析電力監(jiān)控系統(tǒng)信息所面臨的威脅及其存在的脆弱性，評估信息安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護策略和整

4、改措施，為防范和化解信息安全風(fēng)險、將風(fēng)險控制在可接受的水平、最大限度地防止由于電力監(jiān)控系統(tǒng)信息安全事件引發(fā)電力安全事故、全面提升電力監(jiān)控系統(tǒng)安全防護水平提供科學(xué)依據(jù)。1.3 一般規(guī)定1） 實施方（以下簡稱乙方）應(yīng)仔細閱讀本技術(shù)規(guī)范書所列的各項規(guī)范，所提供的安全服務(wù)應(yīng)滿足本技術(shù)規(guī)范書提出的要求，乙方也可以推薦滿足本技術(shù)規(guī)范的其他方案，但必須對其與本技術(shù)規(guī)范書的差異加以詳細說明；若無說明，則按對乙方不利的方面理解。2） 本技術(shù)規(guī)范書由甲方提供給乙方，作為乙方編寫項目建議書和報價之用。3） 乙方應(yīng)具備公安部頒發(fā)的信息安全等級保護測評機構(gòu)資質(zhì)的要求。4） 乙方應(yīng)在項目實施計劃中確認主要技術(shù)人員，主要技

5、術(shù)人員必須具有相關(guān)資質(zhì)。5） 乙方應(yīng)在規(guī)定時間內(nèi)，向甲方提供符合本技術(shù)規(guī)范書要求的詳細的項目建議書和報價清單，報價內(nèi)容應(yīng)包括現(xiàn)場測評內(nèi)容、技術(shù)服務(wù)及驗收等。6） 乙方在項目建議書中，對本技術(shù)規(guī)范書中提出的技術(shù)及項目要求應(yīng)逐項予以說明和答復(fù)，對涉及到的主要需求、技術(shù)及服務(wù)應(yīng)做詳細的說明。乙方亦可根據(jù)甲方系統(tǒng)功能的具體情況，在項目建議書中提出建議，并附詳細資料和說明。7） 對本技術(shù)規(guī)范書各條目的應(yīng)答應(yīng)為“滿足”、“不滿足”、“部分滿足”，不得使用“明白”、“理解”等詞語，在答復(fù)中，應(yīng)明確滿足的程度，并做出具體、詳細的說明，凡采用“詳見”、“參見”方式說明的，應(yīng)指明參見文檔中的具體的章節(jié)或頁碼，否則

6、將視技術(shù)建議書不符合要求且該應(yīng)答無效。8） 乙方提供的安全服務(wù)必須在技術(shù)上先進和成熟，使用工具軟件版本是最新的并且成熟穩(wěn)定，乙方在評估過程中保證系統(tǒng)的穩(wěn)定性。9） 甲方保留解釋修改本技術(shù)規(guī)范書的權(quán)力。10） 等級保護測評現(xiàn)場工作結(jié)束后，如果甲方對提出的安全問題有疑義，乙方應(yīng)予解答。11） 乙方應(yīng)承諾在評估過程中所使用的工具軟件本身不能有任何安全隱患，對此應(yīng)承擔(dān)責(zé)任。任何由乙方工具設(shè)備（軟件）引起的甲方事故，乙方應(yīng)承擔(dān)連帶責(zé)任。12） 本技術(shù)規(guī)范書未盡事宜，由甲方和乙方在合同技術(shù)談判時協(xié)商確定。2 工作范圍乙方工作范圍： 大海則煤礦110kV變電站電力監(jiān)控系統(tǒng)信息安全等級保護測評。3 標準和規(guī)范

7、除本技術(shù)規(guī)范書特別規(guī)定外，乙方所提供的測評標準均應(yīng)遵循公安部、能源局相關(guān)文件要求和甲方的相關(guān)文件要求，所用的標準必須是其最新版本；如果這些標準內(nèi)容矛盾時，應(yīng)按最高標準的條款執(zhí)行或按雙方商定的標準執(zhí)行；如果乙方選用本技術(shù)規(guī)范書規(guī)定以外的標準時，需提交與這種替換標準相當?shù)幕騼?yōu)于規(guī)定標準的證明，供甲方確認。乙方提供的軟件必須符合下列標準和規(guī)范的最新版本，但不限于此： 信息安全等級保護管理辦法（公通字200743號） 信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南GB/T 22240-2008 信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南G

8、B/T 25058-2010 關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知（電監(jiān)信息200734號） 電力行業(yè)信息系統(tǒng)等級保護定級工作指導(dǎo)意見（電監(jiān)信息200744號） 電力行業(yè)信息系統(tǒng)安全等級保護基本要求（電監(jiān)信息201262號） 信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求GB/T 28448-2012 信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南GB/T 8449-2012 電力行業(yè)信息安全等級保護管理辦法（國能安全2014318號） 電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法（國能安全2014317號）4 安全管理為做好全過程的安全保密工作，乙方在等級保護測評前、中、后三個階段都要做好安全保密工

9、作。等級保護測評前：1） 對等保測評人員要進行安全保密教育，制定安全保密措施；2） 簽訂安全保密協(xié)議。等級保護測評中：1） 對被測單位的性質(zhì)、機房物理位置、網(wǎng)絡(luò)與系統(tǒng)、應(yīng)用與服務(wù)、資料與數(shù)據(jù)、人員與管理等方面的信息進行嚴格的安全保密管理；2） 等級保護測評工具應(yīng)經(jīng)過嚴格測試和檢驗，確保不對甲方被測評系統(tǒng)造成損失，工作結(jié)束后不駐留任何程序；3） 對甲方電力監(jiān)控系統(tǒng)的信息資產(chǎn)、發(fā)現(xiàn)的脆弱性和發(fā)生過的安全事件等威脅情況要控制知情范圍；4） 對測評設(shè)備、介質(zhì)進行嚴格的保密管理；5） 工作過程中對人員要實施封閉式集中管理；6） 對進場人員遵守被測單位的相關(guān)管理規(guī)定。等級保護測評后：1） 認真清退各種文檔

10、、資料和數(shù)據(jù)并予以銷毀，確保工作過程中敏感數(shù)據(jù)不被泄漏；2） 現(xiàn)場工作結(jié)束后，按被測單位的要求及時還原系統(tǒng)，確保系統(tǒng)中不遺留任何代碼或可執(zhí)行程序；在其他風(fēng)險測評任務(wù)或宣傳材料中不涉及被測單位的秘密、敏感情況。5 權(quán)利和職責(zé)為切實保障本項目的工作質(zhì)量，確保測評（評估）工作達到預(yù)期目標，對甲乙雙方技術(shù)工作責(zé)任進行約定。5.1 甲方責(zé)任1） 加強與乙方溝通，明確測評（評估）要求和工作流程，與乙方簽署保密協(xié)議，明確雙方責(zé)任。2） 現(xiàn)場工作應(yīng)嚴格履行監(jiān)控系統(tǒng)工作票制度，完善測評（評估）系統(tǒng)應(yīng)急預(yù)案，明確應(yīng)急處置措施。3） 為乙方提供良好的工作場地和環(huán)境，并按要求提供測評（評估）所需材料。4） 加強測評（

11、評估）過程管理，在測評（評估）過程中，要加強機房管理，明確專人全程配合乙方開展現(xiàn)場測評（評估），不得因現(xiàn)場測評（評估）工作影響業(yè)務(wù)系統(tǒng)運行。5） 強化保密工作，防止測評（評估）過程中企業(yè)商業(yè)信息和監(jiān)控系統(tǒng)相關(guān)信息泄露。5.2 乙方責(zé)任1） 按照甲方工作章程開展工作。2） 遵循“流程規(guī)范、方法科學(xué)、結(jié)論公正”的原則，按照信息系統(tǒng)安全等級保護測評防護評估工作的有關(guān)標準、規(guī)范的要求，依據(jù)國家和行業(yè)相關(guān)標準規(guī)范開展測評（評估）工作。3） 選擇政治可靠、技術(shù)過硬，有測評（評估）資質(zhì)的人員組建測評（評估）工作小組，測評（評估）人員應(yīng)明確各自職責(zé)。4） 根據(jù)實際情況制定甲方的具體測評（評估）實施計劃方案。5

12、） 加強測評（評估）過程管理，現(xiàn)場測評（評估）人員要遵守甲方相關(guān)管理制度，加強協(xié)調(diào)，做好突發(fā)事件的預(yù)防控制工作。6） 測評（評估）結(jié)束后，按時完成測評報告和評估報告，協(xié)助甲方進行信息系統(tǒng)安全等級保護評估整改工作。7） 本項目禁止任何形式的外包，所有項目團隊成員須為乙方的正式員工。8） 本項目的項目經(jīng)理和項目顧問未經(jīng)甲方認可，不得隨意更換；若甲方認為顧問不能勝任工作，可以提出更換要求。同時，甲乙雙方都必須遵循保密要求，雙方簽訂保密協(xié)議。6 工作原則與要求6.1 本次測評應(yīng)滿足的原則本次所招標項目實施方案設(shè)計與具體實施必須滿足以下原則：1) 保密原則：對測評（評估）的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密，未

13、經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害甲方的行為，否則甲方有權(quán)追究乙方的責(zé)任。2) 標準性原則：測評（評估）方案的設(shè)計與實施應(yīng)依據(jù)國家信息系統(tǒng)安全等級保護和電力監(jiān)控系統(tǒng)安全防護的相關(guān)標準進行。3) 規(guī)范性原則：乙方工作中的過程和文檔，應(yīng)具有很好的規(guī)范性，便于項目的跟蹤和控制。4) 可控性原則：測評（評估）服務(wù)的進度要跟上進度表的安排，保證甲方對于測評（評估）工作的可控性。5) 整體性原則：測評（評估）的范圍和內(nèi)容應(yīng)當整體全面，包括國家等級保護相關(guān)要求和電力監(jiān)控系統(tǒng)安全防護涉及的各個層面。6) 最小影響原則：測評（評估）工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)，并在可控范圍內(nèi)；測評（評

14、估）工作不能對現(xiàn)有信息系統(tǒng)的正常運行、業(yè)務(wù)的正常開展產(chǎn)生任何影響。乙方應(yīng)嚴格依照上述原則和國家信息系統(tǒng)安全等級保護相關(guān)標準開展項目實施工作。6.2 本次測評的整體要求1) 乙方應(yīng)詳細描述本次項目的整體實施方案，包括項目概述、測評（評估）方案、項目實施方案、測試過程中使用的測試設(shè)備清單、時間安排、階段性文檔提交和驗收標準等。2) 乙方應(yīng)詳細描述測評（評估）人員的組成、資質(zhì)及各自職責(zé)；乙方應(yīng)配置有經(jīng)驗的測評（評估）人員進行本次等級保護測評工作。 3) 本次測評（評估）實施過程中所使用到的各種工具軟件由乙方推薦，經(jīng)甲方確認后由乙方提供并在測評中使用。在投標文件中應(yīng)詳細描述所使用的安全測評工具（軟硬件

15、型號、功能和性能描述）、使用的方式和時間、對環(huán)境和平臺的要求以及使用可能對系統(tǒng)造成的風(fēng)險等。4) 測評（評估）工具軟件運行可能需要的硬件平臺（如筆記本電腦、PC、工作站等）和操作系統(tǒng)軟件等由乙方推薦，經(jīng)被測評（評估）系統(tǒng)的使用或管理單位確認后由乙方提供并在測評（評估）中使用。5) 測評（評估）需要的運行環(huán)境（如場地、網(wǎng)絡(luò)環(huán)境等）由被測評系統(tǒng)的使用或管理單位提供，乙方應(yīng)詳細描述需要的運行環(huán)境的具體要求。7 風(fēng)險規(guī)避與服務(wù)承諾7.1 風(fēng)險規(guī)避在開展電站信息系統(tǒng)安全等級保護測評（評估）工作中，可能引入安全風(fēng)險，必須加強實施過程中的風(fēng)險控制。等級保護測評（評估）實施前，應(yīng)根據(jù)確定的測評（評估）范圍，對

16、實施過程中可能引入的風(fēng)險進行分析，并制定應(yīng)對措施。安全測評實施過程的風(fēng)險控制手段主要包括： （1）操作的申請和監(jiān)護在實施過程中必須遵守電力系統(tǒng)的相關(guān)操作章程，以防止敏感信息泄漏和確保及時處理意外事件。 （2）操作時間控制對直接涉及電力生產(chǎn)的電力監(jiān)控系統(tǒng)的評估（測評）工作，盡可能避開電力生產(chǎn)敏感時期。 （3）人員與數(shù)據(jù)管理必須高度重視信息保密工作，加強資料管理，確保人員可靠、穩(wěn)定和可控。測評與被測評單位之間應(yīng)簽署長期保密協(xié)議，測評人員與測評單位之間也要有相應(yīng)的約束和控制措施，按國家有關(guān)要求做好保密工作。 （4）制定應(yīng)急預(yù)案根據(jù)測評范圍界定的電力監(jiān)控系統(tǒng)情況，在實施前制定應(yīng)急預(yù)案。 （5）運行系統(tǒng)

17、模擬環(huán)境對電力關(guān)鍵業(yè)務(wù)系統(tǒng)的測評可以考慮優(yōu)先利用備用設(shè)備（系統(tǒng)）或搭建臨時的模擬測試環(huán)境，仿真真實系統(tǒng)的結(jié)構(gòu)、配置、數(shù)據(jù)、業(yè)務(wù)流程。測評操作在模擬環(huán)境中進行，以保證真實性和運行系統(tǒng)的安全、穩(wěn)定。 （6）關(guān)鍵業(yè)務(wù)系統(tǒng)風(fēng)險控制 對影響較大的電力關(guān)鍵業(yè)務(wù)系統(tǒng)在無法搭建模擬環(huán)境情況下，原則上不采用測評工具，采用訪談、檢查和簡單測試的方式進行。 （7）其他為防止發(fā)生影響系統(tǒng)運行的安全事件，根據(jù)被測評對象的不同采取相應(yīng)的風(fēng)險控制手段。 同時，還可采取以下輔助手段進行風(fēng)險控制和規(guī)避： （1）其他掃描預(yù)測試在可能的情況下，對掃描對象進行預(yù)測評，或在主備環(huán)境中先測試備機；測評方式上采用分類掃描和單臺掃描，對不同

18、的測評對象執(zhí)行不同的掃描策略。 （2）減緩掃描速度通過減少并發(fā)線程來降低被掃描設(shè)備所承受的壓力，在幾次測試后得出適中的并發(fā)線程及掃描方式。 （3）優(yōu)化掃描策略分類掃描：對不同的主機和設(shè)備類型執(zhí)行不同的掃描會話，從而減少不必要的脆弱項目測試。針對掃描對象細化掃描策略：對不同類型的主機或設(shè)備，需要根據(jù)其上不同的應(yīng)用和服務(wù)情況，有針對性地定制掃描策略選項。 （4）數(shù)據(jù)備份與恢復(fù)對業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫主機，應(yīng)對其上數(shù)據(jù)進行備份，防止測評過程中對設(shè)備與主機的損傷影響業(yè)務(wù)系統(tǒng)的正常運行。 （5）廠商協(xié)作廠商需要提供各應(yīng)用系統(tǒng)的名稱、版本、協(xié)議、開發(fā)語言、進程名和相應(yīng)的端口號等信息；在測評之前，由三方共同分析測

19、評對業(yè)務(wù)可能造成的風(fēng)險，分析可能存在的問題，在測評過程中盡量規(guī)避這些風(fēng)險。7.2 服務(wù)承諾乙方承諾向甲方提供1年電力監(jiān)控系統(tǒng)等級保護測評咨詢服務(wù)，包括：電力行業(yè)等級保護知識、信息安全技術(shù)和管理策略等咨詢和答疑。8 測評（評估）內(nèi)容大海則煤礦110KV變電站信息系統(tǒng)安全等級保護測評。根據(jù)國家等級保護相關(guān)標準，電力監(jiān)控系統(tǒng)的安全等級保護測評應(yīng)包括以下內(nèi)容：安全等級技術(shù)測評：包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等五個方面的安全測評；安全等級管理測評：包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全測評。根據(jù)國家及電力行業(yè)信息系統(tǒng)安全等級保護評估

20、相關(guān)標準，在電力監(jiān)控系統(tǒng)安全等級保護測評（即以上安全技術(shù)與安全管理測評）的基礎(chǔ)上，增加如下測評項：資產(chǎn)評估、威脅評估、通用應(yīng)用評估、現(xiàn)有安全措施有效性評估、白客滲透檢測、終端檢測、外設(shè)檢測等。8.1 等級保護測評8.1.1 物理安全物理安全測評是對信息系統(tǒng)的機房和辦公場所的物理環(huán)境安全防護情況進行測評，包括機房位置選址、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護等方面的安全狀況。8.1.2 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全測評是對信息系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)安全防護情況進行測評，包括網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計、網(wǎng)絡(luò)邊界完整性檢查、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)惡意代

21、碼防范、網(wǎng)絡(luò)設(shè)備防護等方面的安全狀況。8.1.3 主機安全主機安全測評是對電力監(jiān)控系統(tǒng)的服務(wù)器、數(shù)據(jù)庫和終端主機系統(tǒng)的信息安全防護情況進行測評，包括操作系統(tǒng)和數(shù)據(jù)庫層面的身份鑒別、安全標記、訪問控制、可信路徑、安全審計、剩余信息保護、主機入侵防范、主機惡意代碼防范、主機資源控制等方面的安全狀況。8.1.4 應(yīng)用安全應(yīng)用安全測評是對電力監(jiān)控系統(tǒng)的業(yè)務(wù)系統(tǒng)的安全防護情況進行測評，包括應(yīng)用系統(tǒng)層面的身份鑒別、安全標記、訪問控制、可信路徑、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、應(yīng)用系統(tǒng)的資源控制等方面的安全狀況。8.1.5 數(shù)據(jù)安全數(shù)據(jù)安全及備份恢復(fù)測評是對電力監(jiān)控系統(tǒng)信息

22、的數(shù)據(jù)安全保護情況進行測評，包括數(shù)據(jù)在傳輸和存儲過程中的完整性、保密性措施，數(shù)據(jù)備份和恢復(fù)措施。8.1.6 安全管理機構(gòu)安全管理機構(gòu)測評是對電力監(jiān)控系統(tǒng)的信息安全管理組織和崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等情況進行測評。8.1.7 安全管理制度安全管理制度測評是對電力監(jiān)控系統(tǒng)的信息安全管理制度體系和制度內(nèi)容、制定和發(fā)布流程、評審和修訂機制等情況進行測評。8.1.8 人員安全管理人員安全管理測評是對電力監(jiān)控系統(tǒng)信息安全相關(guān)內(nèi)部人員的人員錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)，以及外部人員訪問管理等情況進行測評。8.1.9 系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理測評是對電力監(jiān)控系統(tǒng)信

23、息安全建設(shè)過程中的系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購和使用、自主軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評、安全服務(wù)商選擇等情況進行測評。8.1.10 系統(tǒng)運維管理系統(tǒng)運維管理測評是對電力監(jiān)控系統(tǒng)信息安全運行維護過程中的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等情況進行測評。8.2 電力監(jiān)控系統(tǒng)信息安全等級保護測評8.2.1 資產(chǎn)評估資產(chǎn)評估對象包括：網(wǎng)絡(luò)、主機、安全防護措施、應(yīng)用系統(tǒng)等。根據(jù)被測評單位風(fēng)險評估有關(guān)技術(shù)要求，資產(chǎn)評估主要

24、考慮兩個方面的內(nèi)容：一是信息系統(tǒng)中所存儲、處理、傳輸?shù)闹饕畔ⅲ切畔⑾到y(tǒng)所提供的主要服務(wù)。通過對每一類信息和服務(wù)等級的分析，最終確定信息系統(tǒng)的重要性級別。資產(chǎn)評估具體步驟包括：資產(chǎn)數(shù)據(jù)整理與核實、資產(chǎn)重要程度分析。其中，資產(chǎn)數(shù)據(jù)整理與核實是根據(jù)被評估單位前期提交的資料，進行資產(chǎn)數(shù)據(jù)的真實性的查證與確認。資產(chǎn)重要程度分析是根據(jù)資產(chǎn)承載的數(shù)據(jù)、提供的服務(wù)，判定資產(chǎn)重要程度的過程。8.2.2 威脅評估威脅評估是對被評估單位業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)與信息系統(tǒng)面臨的威脅進行分析的過程。威脅評估依據(jù)電力二次系統(tǒng)安全防護評估實施細則（審批中）提供的威脅列表，以運行與管理人員訪談的方式進行。如被評估單位能夠提供歷史

25、信息安全事件統(tǒng)計，也可作為威脅評估的補充內(nèi)容。通過威脅評估，要達到明確被評估單位信息系統(tǒng)面臨的主要威脅，以及這些威脅的等級的目的。8.2.3 通用應(yīng)用評估通用應(yīng)用評估是對信息系統(tǒng)中的數(shù)據(jù)庫服務(wù)、Web服務(wù)等通用應(yīng)用進行的安全配置檢查，達到發(fā)現(xiàn)通用應(yīng)用安全漏洞的目的。通用應(yīng)用評估也采用人工審計和漏洞掃描兩種方式進行。8.2.4 現(xiàn)有安全措施有效性評估現(xiàn)有安全措施有效性評估是對對信息系統(tǒng)中部署的主要安全防護措施進行的審計，達到確定這些安全措施的管理和使用情況是否存在重大漏洞和缺陷，明確現(xiàn)有安全措施的有效性程度的目的。現(xiàn)有安全措施的評估主要采用人工檢查和訪談的方式進行。主要包括防火墻、防病毒系統(tǒng)、防

26、病毒網(wǎng)關(guān)等現(xiàn)有安全措施。8.2.5 白客滲透檢測白客滲透檢測包括兩個方面的內(nèi)容：外部滲透和內(nèi)部滲透。外部滲透主要是檢測被評估單位面對來自互聯(lián)網(wǎng)惡意入侵者滲透的防御能力。主要范圍為被評估單位對互聯(lián)網(wǎng)發(fā)布節(jié)點的應(yīng)用服務(wù)器、對外網(wǎng)站服務(wù)器及下屬網(wǎng)站服務(wù)器等，模擬黑客進行滲透性測試。內(nèi)部滲透主要是檢測被評估單位面對來自內(nèi)部惡意破壞者滲透或竊密的防御能力。主要范圍為被評估單位內(nèi)網(wǎng)門戶、內(nèi)部網(wǎng)站等。8.2.6 終端檢測終端檢測主要為抽查被評估單位辦公終端和上網(wǎng)終端是否有駐留木馬、蠕蟲、惡意軟件，是否存在自定義共享文件夾，系統(tǒng)補丁是否及時更新安裝，關(guān)鍵工作文件存放是否恰當?shù)惹闆r。主要通過人工查看和工具檢測兩

27、種方式來進行。8.2.7 外設(shè)檢測外設(shè)檢測主要面向帶有硬盤、內(nèi)存或其它存儲設(shè)備和簡易操作系統(tǒng)的網(wǎng)絡(luò)打印機、傳真機等智能設(shè)備。具體工作為判斷外設(shè)是否未設(shè)置管理員口令；是否默認開放了FTP、TELNET、SNMP、WEB等服務(wù)，導(dǎo)致攻擊者可以輕易控制該設(shè)備或發(fā)送大量請求而進行拒絕服務(wù)攻擊，具體工作通過人工查看配合工具監(jiān)測兩種方式來進行。9 測評（評估）流程根據(jù)國家等級保護相關(guān)標準，信息系統(tǒng)安全等級保護測評流程分為四個階段：測評準備階段、方案編制階段、現(xiàn)場測評階段、分析與報告編制階段。測評完成后，提供整改建議書，配合采購方根據(jù)測評范圍進行整改實施，整改完成后由應(yīng)答方針對整改問題進行復(fù)測。信息系統(tǒng)安全

28、等級保護測評流程如圖1-1示：圖1-1測評工作流程圖電力監(jiān)控系統(tǒng)等級保護測評工作基本流程將依照電力監(jiān)控系統(tǒng)安全防護評估規(guī)范進行，分前期交流和啟動準備階段、現(xiàn)場數(shù)據(jù)采集和評估階段、風(fēng)險計算和分析階段，以及總結(jié)階段。電力監(jiān)控系統(tǒng)信息安全防護評估工作基本流程如圖1-2所示。圖1-2 電力監(jiān)控信息系統(tǒng)等級保護評估工作流程圖10 實施要求10.1 進度要求總體要求，在系統(tǒng)合同簽訂3個工作日后，啟動項目，2018年12月底之前變電站的等級保護測評報告出具工作。10.1.1 籌劃準備階段工作內(nèi)容：對被測評（評估）系統(tǒng)防護現(xiàn)狀進行詳細分析和調(diào)研，初步確定測評施方案、范圍，收集材料，簽署保密協(xié)議，組建測評項目組

29、，并進行進場實施前的安全教育工作，同時完成了檢測工具、裝備配置等各項準備工作。10.1.2 啟動階段工作內(nèi)容：測評（評估）項目組進駐被測單位，收集分析信息資產(chǎn)資料、網(wǎng)絡(luò)資料、業(yè)務(wù)系統(tǒng)資料和信息安全管理制度方針等相關(guān)測評所需材料，并召開啟動會，就測評（評估）工作具體事宜進行落實，包括確定測評（評估）計劃安排、測評（評估）范圍、測評（評估）內(nèi)容和配合需求等。10.1.3 現(xiàn)場測評（評估）測評（評估）項目組從管理和技術(shù)兩個方面入手，開展被測單位信息系統(tǒng)測評（評估）工作，包括安全區(qū)劃分、網(wǎng)絡(luò)專用，評估管理和制度、基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、通用服務(wù)、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、現(xiàn)有安全措施等。測評（評估）方法有顧問

30、訪談、日志審計、人工查看、漏洞掃描、自動化工具采集、白客滲透等。現(xiàn)場工作結(jié)束后，測評（評估）工作小組對現(xiàn)場測評情況進行初步整理匯總，向被測單位領(lǐng)導(dǎo)和系統(tǒng)管理員等匯報現(xiàn)場階段工作情況。10.1.4 結(jié)論分析報告編制階段工作內(nèi)容：項目組對檢測情況和采集的數(shù)據(jù)進行分類統(tǒng)計、風(fēng)險計算、綜合分析與評估，撰寫被測單位系統(tǒng)大海則110kv站信息系統(tǒng)安全等級保護測評報告。10.1.5 整改技術(shù)支持階段工作內(nèi)容：項目組針對現(xiàn)場測評發(fā)現(xiàn)的問題，出具整改建議后，向被測單位提供整改技術(shù)咨詢支持。10.1.6 項目驗收階段工作內(nèi)容：項目組派遣專員與被測單位相關(guān)人員就被測單位信息系統(tǒng)安全等級保護測評項目進行驗收，撰寫本項

31、目項目總結(jié)報告及項目驗收意見。系統(tǒng)測評（評估）的驗收在系統(tǒng)的使用單位進行。10.2 文檔要求乙方應(yīng)對甲方的各個信息系統(tǒng)進行等級保護測評、對電力監(jiān)控系統(tǒng)進行安全防護評估，并形成以下文檔：序號文檔名稱提交時間備注1大海則煤礦110KV變電站信息系統(tǒng)等級保護測評（評估）方案合同簽訂后1周內(nèi)2大海則煤礦110KV變電站信息系統(tǒng)等級保護現(xiàn)場評估測評工作報告工作期間3大海則煤礦110KV變電站信息系統(tǒng)安全等級保護測評報告含系統(tǒng)整改建議及時按系統(tǒng)提交11 工作質(zhì)量要求為確保本項目的順利進行和質(zhì)量可控，乙方承諾本項目在四個質(zhì)量控制環(huán)節(jié)進行嚴格控制，質(zhì)量控制承諾如下： 1) 項目資料收集乙方需承諾根據(jù)公安部、能

32、源局及大海則煤礦110KV變電站有關(guān)技術(shù)標準要求，對各被測評信息系統(tǒng)提交的前期資料進行審核，確保資料數(shù)據(jù)的真實性。2) 現(xiàn)場實施質(zhì)量承諾乙方需按照工作計劃開展對各信息系統(tǒng)現(xiàn)場測評（評估），采集信息系統(tǒng)的風(fēng)險數(shù)據(jù)；乙方需承諾將嚴格按照本技術(shù)規(guī)范的規(guī)定開展工作。3) 技術(shù)報告質(zhì)量承諾乙方對現(xiàn)場階段采集到的風(fēng)險數(shù)據(jù)進行整理，并根據(jù)風(fēng)險數(shù)據(jù)編寫測評（評估）相關(guān)的報告。乙方承諾在報告完成后，將及時與甲方及被測評（評估）系統(tǒng)管理單位進行報告內(nèi)容的溝通與交流。乙方將對甲方或被測評系統(tǒng)管理單位提出的書面修改意見給予逐條的回答，明確修改與否，及其原因。12 項目承諾1） 乙方應(yīng)滿足甲方提出的標準性、規(guī)范性、可控性、整體性、最小影響性及保密性原則，做到守時、保質(zhì)。2） 乙方必須和甲方簽訂保密協(xié)議和非侵害性協(xié)議，乙方必須要與參加此次測評項目的所有項目組成員簽訂保密協(xié)議和非侵害性協(xié)議，在合同簽定時一并提供給甲方。3） 乙方對本規(guī)范書中的內(nèi)容及在應(yīng)標過程中接觸的設(shè)備信息、數(shù)據(jù)資料等負有保密責(zé)任，不得