等保測評方案湖南省電子產品檢測分析所考勤信息系統安全等級測評方案編制：審核：批準：日期：日期：日期：等保測評方案1.概述1.1項目簡介湖南省電子產品檢測分析所考勤管理信息系統處理的主要業務信息是員工管理數據、政工管理數據等企業內部信息，是本單位的專有信息。如果系統受到破壞，將會嚴重影響電子分析所的正常工作和，因此湖南省電子產品檢測分析所考勤管理信息系統在業務支撐上起著至關重要的作用。分析所考勤管理信息系統的信息系統安全保護等級已定為二級（S2A2G2）。湖南省網絡與信息安全測評中心（以下簡稱測評中心）受湖南省電子檢測分析所等保測評方案的委托，對湖南省電子產品檢測分析所考勤管理信息系統進行信息系統安全等級保護測評，現場測評項目組將分為技術核查小組及管理核查小組；針對安全技術及安全管理兩大方向、十個層面進行測評與分析。本次測評的目的是建立信息安全等級保護制度，通過測試手段對安全技術和安全管理上各個層面的安全控制進行整體性驗證。協助用戶完成等級保護測評工作1.2測評依據信息系統等級測評是對運營和使用單位信息系統建設和管理的狀況進行等級測評。依據《信息系統安全等級保護基本要求》、《信息系統安全等級保護測評準則》，在對信息系統進行安全技術和安全管理的安全控制測評及系統整體測評結果基礎上，針對不同等級的信息系統遵循的不同標準進行綜合系統安全測評評審后確定，由等級保護測評機構給予相應的系統安全等級評審意見。主要參考標準如下:等保測評方案《信息安全等級保護管理辦法》《信息安全技術信息系統安全等級保護定級指南》(GB/T22240-2008)《信息安全技術信息系統安全等級保護基本要求》(GB/T22239-2008)《信息系統安全等級保護測評要求》(報批稿)《信息系統安全等級保護實施指南》(報批稿)《信息系統安全等級保護測評過程指南》(報批稿)《計算機信息系統安全保護等級劃分準則》(GB17859-1999)等保測評方案《信息安全技術信息系統通用安全技術要求》(GB/T20271-2006)《信息安全技術網絡基礎安全技術要求》(GB/T20270-2006)《信息安全技術操作系統安全技術要求》(GB/T20272-2006)《信息安全技術數據庫管理系統安全技術要求》(GB/T20273-2006)《信息安全技術服務器技術要求》(GB/T21028-2007)《信息安全技術終端計算機系統安全等級技術要求》(GA/T671-2006)等保測評方案1.3測評過程信息系統安全等級保護測評過程包括四個階段。?測評準備階段被測單位向測評機構提出測評申請，測評機構對被測單位的申請材料進行審查，在雙方達成共識的情況下，雙方簽訂保密協議、委托書、合同。?方案編制階段測評機構成立項目組后，工作人員到被測單位了解被測評系統的信息，編寫信息系統業務調查報告，信息系統規劃設計分析報告，與被測單位共同討論評測方案，評測工作計劃，達成共同認可的評測方案和評測工作計劃。—等保測評方案?現場測評階段在進入現場檢測測試階段時，測評機構項目組成員在參照系統體系建設相關資料（系統建設方案、技術資料、管理資料、日常維護資料）后，對測評單位進行安全管理機構檢查、安全管理制度檢查、系統備案依據檢查、技術要求落實情況測評、定期評估執行情況檢查、等級響應、處理檢查、教育和培訓檢查，生成管理檢查記錄、技術檢查記錄和核查報告。?分析與報告編制階段測評機構最后進行核查結果分析，等級符合性分析、專家評審，生成等級測評報告和安全建議報告具體流程如下圖:

等保測評方案邙愕趣評事目總閾焦息物臬與皆折翻Ml：具極缸也，左等保測評方案邙愕趣評事目總閾焦息物臬與皆折翻Ml：具極缸也，左1.4測評原則客觀性和公正性原則等保測評方案測評工作雖然不能完全擺脫個人主張或判斷，但測評人員應當在沒有偏見和最小主觀判斷情形下，按照測評雙方相互認可的測評方案，基于明確定義的測評方法和過程，實施測評活動。?經濟性和可重用性原則基于測評成本和工作復雜性考慮，鼓勵測評工作重用以前的測評結果，包括商業安全產品測評結果和信息系統先前的安全測評結果。所有重用的結果，都應基于這些結果還能適用于目前的系統，能反映目前系統的安全狀態。?可重復性和可再現性原則無論誰執行測評，依照同樣的要求，使用同樣的方法，對每個測評實施過程的重復執行都應該得到同樣的測評結果。可再現性體現在不同測評者執行相同測評的結果的一致性。可重復性體現在同一測評者重復執行相同測評的結果的等保測評方案?符合性原則測評所產生的結果應當是在對測評指標的正確理解下所取得的良好的判斷。測評實施過程應當使用正確的方法以確保其滿足了測評指標的要求。1.5測評風險等級測評實施過程中，被測系統可能面臨以下風險。?驗證測試影響系統正常運行在現場測評時，需要對設備和系統進行一定的驗證測試工作，部分測試內容需要上機查看一些信息，這就可能對系統的運行造成一定的影響，甚至存在誤操作的可能。II等I評方案湖南省網等保測評方案?工具測試影響系統正常運行在現場測評時，會使用一些技術測試工具進行漏洞掃描測試、性能測試甚至抗滲透能力測試。測試可能會對系統的負載造成一定的影響，漏洞掃描測試和滲透測試可能對服務器和網絡通訊造成一定影響甚至傷害。?敏感信息泄漏泄漏被測系統狀態信息，如網絡拓撲、IP地址、業務流程、安全機制、安全隱患和有關文檔信息。等保測評方案2.被測系統描述2.1被測系統定級情況系統名稱1湖南省電子產品檢測分析所門戶網站信息系統主管機構湖南省電子產品檢測分析所系統承載業務情況業務類型1生產作業 2指揮調度 3管理控制4內部辦公 5公眾服務9其他 業務描述信息集成門戶，包括信息發布、工作平臺綜合管理等功能實現系統服務情況服務范圍服務對象10全國 11跨省（區、市）跨 個20全省（區、市） 21跨地（市、區）跨 個30地（市、區）內99其它 1單位內部人員 2社會公眾人員 3兩者均包括9其他 系統網絡平臺覆蓋范圍網絡性質1局域網 2城域網 3廣域網9其他 1業務專網 2互聯網9其它 系統互聯情況1與其他行業系統連接 2與本行業其他單位系統連接3與本單位其他系統連接9其它未與單位其它業務系統互聯等保測評方案業務信息安全保護等級二級系統服務安全保護等級二級信息系統安全保護等級二級2.2網絡結構湖南省電子產品檢測分析所考勤管理信息系統采用星型結構，使用天融信防火墻做為區域安全隔離防護過濾設備。區域分為DMZ區，內部局域網，IDC服務器群、外聯單位、賬務系統網絡專區共5個區域，服務器群連接在兩臺冗余的IDCH3C7506E上，通過IDC天融信防火墻安全連接到其他區域，并連接著IDS提供安全檢測；各電廠通過兩臺H3CSR8808路由器冗余接入局域網；外聯單位通過CISCO3640和天融信防火墻連接到局域網交換H3C7506E；外網需要經過入侵防御、兩級天融信防火墻、網康流量控制網關、上網行為管理設備、局域網交換H3C7506E、服務器專區防火墻防御訪問系統服務器；所有區域與區域之間界限分明，部署合理，確保了網絡的穩定性、安全性與可靠性。具體網絡拓撲結構圖如下：

等保測評方案YLANMO忖睛1M?，叫“ifl-iw妣*別等保測評方案YLANMO忖睛1M?，叫“ifl-iw妣*別中國南萬耳衲解峰科烈發電腦R劃維拓撲陽VU!用5MVLW14EiKRUIdtiRi&flEUIL-窗曾UXKBUHHMKU.44I2.3系統構成業務應用軟件構成如下表序號軟件名稱主要功能重要程度1門戶網站信息系統門戶網站重要2Tomcat中間件重要3Sqlserver考勤數據庫重要關鍵數據類別如下表

等保測評方案序號數據類別所屬業務應用主機/存儲設備重要程度1業務數據門戶網站信息系統IBMHS21重要主機/存儲設備如下表序號設備名稱操作系統/數據庫管理系統業務應用軟件重要程度1應用服務器Windowsserver2003門戶網站信息系統重要2數據庫服務器Windowsserver2003/sqlserver門戶網站信息系統重要網絡互聯設備如下表序號設備名稱用途型號/ip重要程度1DW6509核心交換機cisco6509Ip：10.48.0.1重要2DW37501-DW375051-5樓接入交換機接入交換機cisco3750Ip:10.152.2.201-205重要3DW4006對外服務區交換機CISCO4006ip：10.152.2.252重要4DW3600（internet）外部接入路由器cisco3600Ip：16.168.194.54重要5DW3640交換機cisco-364010.48.5.1重要6網康流量控制設備Internet出口流量控制重要安全設備如下表序號設備名稱用途型號重要程度1IDS入侵檢測設備啟明星辰IP：重要2網康上網行為管理上網行為審計管理重要

等保測評方案3DW208DWDW208FW防火墻，系統內外隔離型號：NetScreen208Ip：10.48.8.22重要4DW208FW防火墻2局域網防火墻型號：NetScreen208Ip：10.49.8.22重要5啟明星辰入侵檢測設備入侵檢測設備重要安全相關人員如下表序號姓名崗位/角色聯系方式1陳俊信息安全主管2鄒海亮機房管理員3于國際網絡管理員4孫敏操作系統管理員5何偉明數據庫管理員6于國際資產管理員7吳英杰應用系統管理員安全管理文檔如下表序號文檔名稱用途重要程度1湖南省電子產品檢測分析所信息網絡系統安全管理規定關于湖南省電子產品檢測分析所信息網絡系統安全管理的相關說明重要2湖南省電子產品檢測分析所網站管理辦法關于湖南省電子產品檢測分析所網站管理的相關說明重要3湖南省電子產品檢測分析所計算機信息系統安全和保密管理辦法關于湖南省電子產品檢測分析所計算機信息系統安全和保密管理的相關說明重要4湖南省電子產品檢測分析所生產指揮中心生產實時數據通道管理辦法關于湖南省電子產品檢測分析所生產指揮中心生產實時數據通道管理的相關說明重要5信息安全風險評估管理工作標關于信息安全風險評估管理工作標重要

等保測評方案準準6信息中心機房管理工作標準關于信息中心機房管理工作標準重要7IP地址管理工作標準關于IP地址管理工作標準重要8第三方人員管理工作標準關于第三方人員管理工作標準重要9防病毒緊急響應管理工作標準關于防病毒緊急響應管理工作標準重要10信息系統運行管理工作標準關于信息系統運行管理工作標準重要11數據網絡管理工作標準關于數據網絡管理工作標準重要12通信運行維護管理工作標準關于通信運行維護管理工作標準重要13信息通信設備巡檢管理工作標準關于信息通信設備巡檢管理工作標準重要14信息通信標準站管理工作標準關于信息通信標準站管理工作標準重要15信息化項目管理辦法關于信息化項目管理的相關說明重要16信息機房建設技術規范關于信息機房建設技術規范重要17信息機房運行管理規定關于信息機房運行管理的相關說明重要18重要應用與數據災難備份系統建設導則關于重要應用與數據災難備份系統建設導則重要19重要應用與數據災難備份系統實施指南關于重要應用與數據災難備份系統實施指南重要20湖南省電子產品檢測分析所計算機信息系統安全和保密管理辦法（試行）關于湖南省電子產品檢測分析所計算機信息系統安全和保密管理的相關說明重要21湖南省電子產品檢測分析所涉密計算機上網管理規定關于湖南省電子產品檢測分析所涉密計算機上網管理的相關說明重要22信息通信管理手冊關于信息通信管理手冊重要23調峰調頻在曬術標準（信息部分）關于調峰調頻在用信息部分技術標準重要24調峰調頻在曬術標準（通信部分）關于調峰調頻在用通信部分技術標準重要25湖南省電子產品檢測分析所辦公自動化系統應急預案關于湖南省電子產品檢測分析所辦公自動化系統應急預案的相關說明重要26調頻發電公司網站管理辦法（試行）關于調頻發電公司網站管理的相關說明重要等保測評方案3.測評對象與指標3.1測評指標測評指標包括基本指標和特殊指標兩項3.1.1基本指標被測系統的定級結果為：安全保護等級為2級，業務信息安全等級為S2,系統服務安全等級為A2；則該系統的測評指標應包括GB/T22239-200“技術要求”中的2級通用指標類（G2），3級業務信息安全指標類（S2），2級系統服務安全指標類（A2），以及第2級“管理要求”中的所有指標類。本次測評的測評指標情況具體如下表所示。 I K3所K勤信息系I安全

等保測評方案測評指標技術/管理層面類數量S類（2級）A類（2級）G類（2級）小計安全技術物理安全11810網絡安全1056主機安全2136應用安全4217數據安全2103安全管理安全管理制度0033安全管理機構0055人員安全管理0055系統建設管理0099系統運維管理001212合計663.1.2特殊指標根據系統等級保護定級情況及辦公業務平臺環境，此次測評主要依據等級保護基本要求，不再增加特殊指標等保測評方案3.2測評對象測評對象是等級測評的直接工作對象，也是在被測系統中實現特定測評指標所對應的安全功能的具體系統組件，因此，選擇測評對象是編制測評方案的必要步驟，也是整個測評工作的重要環節。恰當選擇測評對象的種類和數量是整個等級測評工作能夠獲取足夠證據、了解到被測系統的真實安全保護狀況的重要保證。測評對象的確定一般采用抽查的方法，即：抽查信息系統中具有代表性的組件作為測評對象。并且，在測評對象確定任務中應兼顧工作投入與結果產出兩者的平衡關系。等保測評方案3.2.1對象確定原則在確定測評對象時，需遵循以下原則:.恰當性，選擇的設備、軟件系統等應能滿足相應等級的測評強度要求;.重要性，應抽查對被測系統來說重要的服務器、數據庫和網絡設備等;.安全性，應抽查對外暴露的網絡邊界;.共享性，應抽查共享設備和數據交換平臺/設備;.代表性，抽查應盡量覆蓋系統各種設備類型、操作系統類型、數據庫系統類型和應用系統類型。等保測評方案3.2.2測評對象確定根據已經了解到的被測系統信息，分析整個被測系統及其涉及的業務應用系統，確定出本次測評的測評對象。1、物理方面主要是測評屏蔽機房和主機房;2、網絡方面主要測評的設備有：路由器、交換機、防火墻、IDS、外聯檢測、防病毒等。詳細如下表：序號功能區域設備名稱用途抽查說明1外聯區DW3600（internet）外部接入路由器查一臺2對外服務器區DW208DWDW208FW防火墻，系統內外隔離查一臺3DW4006對外服務區交換查一臺

等保測評方案機4IDS入侵檢測設備查一臺5接入區DW6509核心交換機查一臺61-5樓交換機接入交換機查一臺3、主機方面主要測評的主機服務器（包括數據庫服務器）如下表所示。序號設備名稱用途設備信息抽查說明1應用系統服務器存儲考勤數據數據與應用系統部署服務器型號：IBMPC服務器查看一臺4、應用方面主要測評的應用系統如下表:序號系統名稱系統描述抽查說明1考勤業務系統主要完成對本單位員工考勤等業務抽查5、安全管理，主要測評對象為與信息安全管理有關的策略、制度、操作規程、運行記錄、管理人員、技術人員和相關設備設施等。等保測評方案.測評方法及工具測評方法本次測評方法分為現場測評方法與風險分析方法。現場測評一般包括訪談、文檔審查、配置檢查、工具測試和實地察看五個方面。訪談測評人員與被測系統有關人員（個人/群體）進行交流、討論等活動，獲取相關證據，了解有關信息。在訪談范圍上，不同等級信息系統在測評時有不同的要求，基本覆蓋所有的安全相關人員類型，在數量上進行抽樣。具體參照GB/TDDDD-DDDD中的二級要求進行。 I924S電子等保測評方案?文檔審查檢查《基本要求》中二級規定的必須具有的制度、策略、操作規程等文檔是否齊備；檢查是否有完整的制度執行情況記錄，如機房出入登記記錄、電子記錄、高等級系統的關鍵設備的使用登記記錄等。檢查上述文文檔之間是否保持一致性，要求有執行過程記錄的，過程記錄文檔的記錄內容應與相應的管理制度和文檔保持一致，與實際情況保持一致。?配置檢查根據測評結果記錄表格內容，利用上機驗證的方式檢查應用系統、主機系統、數據庫系統以及網絡設備的配置是否正確，是否與文檔、相關設備和部件保持一致，對文檔審核的內容進行核實（包括日志審計等）；如果系統在輸入無效命令時不能完成其功能，將要對其進行錯誤測試；針對網絡連接，應對連接規則進行驗證。本次測評配置檢查的強度是：滿足《基本要求》中的二級要求，測評其實施的正確性和有效性，檢查配置的完整性，測試網絡連接規則的一致性。.等保測評方案?工具測試根據測評指導書，利用技術工具針對主機、服務器、關鍵網絡設備、安全設備等設備進行包括基于網絡探測和基于主機審計的漏洞掃描、滲透性測試、性能測試、入侵檢測和協議分析等。?實地查看根據被測系統的實際情況，測評人員到系統運行現場通過實地的觀察人員行為、技術設施和物理環境狀況判斷人員的安全意識、業務操作、管理程序和系統物理環境等方面的安全情況，測評是否達到了相應等級的安全要求。風險分析方法是依據安全事件可能性和安全事件后果對信息系統面臨的風險進行分析，分析過程包括： I 檢測析所考勤信息系等保測評方案1）判斷信息系統安全保護能力缺失（等級測評結果中的部分符合項和不符合項）被威脅利用導致安全事件發生的可能性，可能性的取值范圍為高、中和低;2）判斷安全事件對信息系統業務信息安全和系統服務安全造成的影響程度，影響程度取值范圍為高、中和低；3）綜合1）和2）的結果對信息系統面臨的風險進行匯總和分等級，風險等級的取值范圍為高、中和低；4）結合信息系統的安全保護等級對風險分析結果進行評價，即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成的風險。測評工具本次測評涉及的工具有漏洞掃描工具、滲透測評工具集等，主要列表如下:

等保測評方案序號名 稱功能描述型號用途1綠盟遠程安全評估系統可掃描各類操作系統、網絡設備和應用系統和數據庫的漏洞RSASV5.0網絡、主機、操作系統和數據庫漏洞掃描2啟明星辰天鏡Web應用漏洞掃描系統能夠掃描WEB網頁的漏洞，包括不安全的數據傳輸、SQL注入、跨站腳本等安全風險，并提供有關風險的解決方案。CSWS-DZWEB漏洞掃描3APPSCAN能夠掃描WEB網頁的漏洞，包括不安全的數據傳輸、SQL注入、跨站腳本等安全風險，并提供有關風險的解決方案。7.1WEB漏洞掃描4Wireshark網絡嗅探工具Wireshark1.8.1網絡傳輸數據分析5防病毒軟件病毒檢查360殺毒病毒檢查6綠盟配置核查系統網絡設備、主機、數據庫的安全配置檢查NSFOCUSBVSV5.0網絡設備、主機、數據庫的安等保測評方案全配置檢查工具接入點本次測評的信息系統為2級信息系統，根據2級信息系統的測評強度要求，在測試的廣度上，應基本覆蓋不同類型的機制，在數量、范圍上可以抽樣；在測試的深度上，應執行功能測試和滲透測試，功能測試可能涉及機制的功能規范、高級設計和操作規程等文檔，滲透測試可能涉及機制的所有可用文檔，并試圖智取進入信息系統等。針對被測系統的網絡邊界和測評設備、主機和業務應用系統的情況，需要在被測系統及其互聯網絡中設置6個測試工具接入點一一接入點AM到DM，如圖7所示，“接入點”標注表示進行工具測試時，需要從該接入點接入，對應的箭頭路線表示工具測試數據的主要流向示意。

等保測評方案酬t等保測評方案酬t.現場測評實施內容本次測評的單項測評從技術上的物理安全、網絡安全、主機系統安全、應用安全和數據安全五個層面和管理上的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面分別進行。

等保測評方案物理安全物理安全測評將通過訪談、文檔審查和實地察看的方式測評信息系統的物理安全保障情況。主要涉及對象為屏蔽機房和主機房。在內容上，物理安全層面測評實施過程涉及10個測評單元，具體如下表所示：序號測評指標測評內容描述1物理位置的選擇通過訪談物理安全負責人、檢查機房等過程，測評機房等信息系統物理場所在位置上是否具有有防震、防風和防雨等安全防范能力2物理訪問控制通過訪談物理安全負責人，檢查機房入口、機房分區域情況等過程，測評信息系統3防盜竊和防破壞通過訪談物理安全負責人、機房維護人員、資產管理員，檢查關鍵設備、線纜、機房防盜報警、介質防盜竊和防破壞情況4防雷擊通過訪談物理機房負責人，檢查機房建筑，測評無極防雷情況5防火通過訪談物理安全負責人，檢查機房等過程，測評物理機房的防火情況6防水和防潮通過訪談物理安全負責人、機房維護人員，檢查機房等過程，測評機房防水和防潮情況7防靜電通過訪談物理安全負責人，檢查關鍵設備，測評關鍵設備防靜電情況。8溫濕度控制通過訪談物理安全負責人，檢查溫濕度自動調節設施，測評機房溫濕度調節功能9電力供應通過訪談物理安全負責人，檢查等過程，測評物理機房設備電力供應情況10電磁防護通過訪談物理安全負責人，檢查機房布線情況，測評物理機房電磁防護情況

等保測評方案網絡安全網絡安全測評將通過訪談、配置檢查和工具測試的方式測評信息系統的網絡安全保障情況。主要涉及對象為網絡互聯設備、網絡安全設備和網絡拓撲結構等三大類對象。在內容上，網絡安全層面測評實施過程涉及7個測評單元，具體如表16所不：序號測評指標測評內容描述1網絡結構安全與網段劃分通過訪談網絡管理員，檢查網絡拓撲結構圖、網絡設計或驗收文檔等過程，測評DW3600(internet)>DW208DW等網絡互聯設備，測試系統訪問路徑和網絡帶寬分配情況等過程，測評分析網絡架構與網段劃分合理性。2訪問控制通過訪談安全員，檢查防火墻，接入路由器，核心交換機，等訪問控制設備，測試系統對外暴露安全漏洞情況等過程，測評分析信息系統對外網絡區域邊界相關的網絡隔離與訪問控制能力3安全審計通過訪談安全審計員，檢查和測試DW3600(internet)>DW208DW等網絡互聯設備等過程，測試網絡設備是否開啟安全審計功能，測評安全審計內容、處理方式合理性4邊界完整性檢查通過訪談安全管理員，測試邊界完整性檢查設備等過程測評網絡外聯管理情況5入侵防范通過訪談安全管理員，測試網絡入侵檢測設備，測評網絡入侵防范能力6網絡設備防護通過訪談網絡管理員，檢查邊界和關鍵網絡設備，滲透測試等過程，測評網絡設備防護能力等保測評方案主機系統安全主機系統安全測評將通過訪談、配置檢查和工具測試的方式測評信息系統的主機安全保障情況。本次重點測評的操作系統包括各網站服務器、應用服務器和數據庫服務器等的操作系統，數據庫管理系統為數據庫服務器Sybase。在內容上，主機系統安全層面測評實施過程涉及7個測評單元，具體如表17所示。序號測評指標測評內容描述1身份鑒別對各主機服務器和終端設備相應操作系統或數據庫的身份鑒別情況進行配置檢查，測評分析被測系統主機的身份鑒別能力。2訪問控制檢查各主機服務器和終端設備相應操作系統或數據庫的訪問控制設置情況，包括安全策略覆蓋、控制粒度以及權限設置情況等，測評分析被測系統主機的訪問控制能力。3安全審計檢查各主機服務器和終端設備相應操作系統或數據庫的安全審計情況，包括審計范圍，審計內容，審計記錄等，測評分析被測系統主機的訪問審計能力4入侵防范對各主機服務器和終端設備相應操作系統或數據庫的入侵防范情況進行檢查，包括系統補丁更新方式周期、系統組件和應用程序等，測評被測系統

等保測評方案主機的入侵防范能力5惡意代碼防范檢查各主機服務器和終端設備相應操作系統或數據庫的惡意代碼防范情況，惡意代碼檢測與查殺措施，部署范圍，更新情況，是否統一管理，測評被測系統惡意代碼防范能力。6資源控制檢查各主機服務器和終端設備相應操作系統或數據庫的資源控制情況，包括登錄限制、操作時間控制、資源使用大小限度，測評被測主機資源控制能力應用安全應用安全測評將通過訪談、配置檢查和工具測試的方式測評信息系統的應用安全保障情況，主要涉及對象為用電信息系統、對外服務網站系統和遠程客戶服務系統。在內容上，應用安全層面測評實施過程涉及9個測評單元，具體如表18所不。序號測評指標測評內容描述1身份鑒別檢查業務應用系統的身份標識與鑒別功能設置和使用配置情況；檢查業務應用系統對用戶登錄各種情況的處理，如登錄失敗處理、登錄連接超時等2訪問控制檢查業務應用系統的訪問控制功能設置情況，如訪問控制的策略、訪問控制粒度、權限設置情況等。3安全審計檢查業務應用系統的安全審計功能情況，包括審計處理方式、審計范圍、審計記錄內容等

等保測評方案4通信完整性檢查業務應用系統的通信完整性防護情況，主要包括通信雙方是否通過驗證碼進行通信完整性檢查5通信保密性檢查業務應用系統的通信保密性防護情況，包括通信過程中的保密措施、會話初始化驗證、敏感信息是否加密。6軟件容錯檢查業務應用系統的軟件容錯情況，包括人機接口輸入、通信接口輸入數據檢查，故障發生時應用系統實施必要措施7資源控制檢查業務應用系統的資源控制能力，包括資源控制具體措施、會話連接數、多重會話限制、長時間自動結束會話等。5.5數據安全數據安全測評將通過訪談、配置檢查的方式測評信息系統的數據安全保障情況，主要涉及對象為信息系統的管理數據及業務數據等。在內容上，數據安全層面測評實施過程涉及3個測評單元，具體如下表序號測評指標測評內容描述1數據完整性檢查信息系統的完整性保護情況，包括傳輸完整性、存儲完整性保護措施。2數據保密性檢查信息系統的數據保密性保護情況，包括傳輸保密性和存儲保密性保護措施等。3備份和恢復數據的備份情況，包括軟、硬件方面的支持情況等。等保測評方案5.6安全管理部分安全管理部分為全局性問題，涉及安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等五個方面。其中，安全管理制度測評實施過程涉及3個測評單元，安全管理機構測評實施過程涉及5個測評單元，人員安全管理測評實施過程涉及5個測評單元，系統建設管理測評實施過程涉及11個測評單元，系統運維管理測評實施過程涉及13個測評單元等。5.6.1安全管理制度安全管理制度方面的測評對象主要為安全主管人員、安全管理人員等，具體如下表所示。序測評指測評內容描述號標1管理制通過訪談安全主管，檢查有關管理制度體系文檔等過程，測評管理制度體系在度內容覆蓋上是否全面、完善。2制定與通過訪談安全主管，檢查有關制度要求文檔等過程，測評管理的制定和發布過

等保測評方案發布程是否遵循一定的流程3評審和修訂通過訪談安全主管，檢查管理制度評審記錄等過程，測評管理制度定期評審和修訂情況5.6.2安全管理機構安全管理機構方面的測評對象主要為安全主管人員、安全管理人員等，具體如下表所示。序號測評指標測評內容描述1崗位設置通過訪談安全主管、安全管理某方面的負責人，查看崗位職責文檔，測評崗位設置情況2人員配備通過訪談安全主管，查看安全管理崗位人員信息表，測評各個安全管理崗位人員配備情況3授權和審批通過訪談安全主管，檢查經審批的文檔，測評被測組織單位是否對信息系統中的關鍵活動進行審批，審批程序等情況4溝通和合作通過訪談安全主管，檢查部門間和部門內部溝通合作先關文檔，檢查組織機構內部人員聯系表等過程，測評被測單位溝通聯系方式、溝通內容等情況5審核和檢查通過訪談安全管理員，檢查安全管理員定期實施安全檢查的文檔或記錄，測評被測組織單位是否定期檢查系統日常運行，系統漏洞和數據庫備份等情況

等保測評方案5.6.3人員安全管理人員安全管理方面的測評對象主要為安全主管人員、安全管理人員等，具體如下表所示。序號測評指標測評內容描述1人員錄訪談安全主管、人事管理相關人員，檢查人員錄用要求管理文檔，檢查人員錄用用時審查相關文檔、技能考核相關文檔、保密協議等過程，測評被測單位人員錄用過程中是否遵循相關流程2人員離通過訪談安全主管、人事管理人員，檢查離職手續記錄等過程，測評被測組織岡單位在人員離崗方面制度是否完善合理3人員考通過訪談安全主管，檢查考核文檔等過程，測評被測組織單位人員考核情況核4安全意通過訪談安全主管、檢查安全教育和培訓計劃文檔及相關記錄，測評被測組織識教育單位安全意識教育培訓情況培訓5外部人通過訪談安全管理人員，檢查外部人員訪問管理文檔、登記記錄等活動，測評員訪問被測單位外部人員訪問管理制度及實施情況管理

等保測評方案5.6.4系統建設管理系統建設管理方面的測評對象主要為安全主管人員、安全管理人員等，具體如下表所示。序號測評指標測評內容描述1系統定級通過訪談安全主管，檢查定級文檔等活動，測評信息系統定級情況2安全方案設計通過訪談系統建設負責人，檢查系統安全方案、詳細設計方案等活動，測評被測系統安全安全方案設計情況3產品采購和審計通過訪談系統建設負責人、安全主管，檢查信息安全產品、密碼產品等活動，測評被測組織單位產品采購和使用是否安裝國家有關規定執行4自行軟件開發通過訪談系統建設負責人，檢查軟件開發管理制度、軟件設計相關文檔等活動，測評被測系統自行軟件開發情況5外包軟件開發通過訪談系統建設負責人，檢查開發文檔、操作手冊軟件源代碼審查記錄等活動，測評被測系統外包軟件開發情況6工程實施通過訪談系統建設負責人，檢查工程實施方案等活動，測評被測系統工程實施合理性7測試驗收通過訪談系統建設負責人，檢查系統測試驗收記錄等活動，測評被測系統測試驗收情況8系統交付通過訪談系統建設負責人，檢查系統交付清單、建設文檔等活動，測評被測系統測評實施情況9安全服務商選擇通過訪談系統建設負責人，檢查系統服務合同等活動，測評被測系統安全服務商選擇情況

等保測評方案5.6.5系統運維管理系統運維管理方面的測評對象主要為安全主管人員、安全管理人員等，具體如下表所示。序號測評指標測評內容描述1環境管理通過訪談與文檔查閱方式，檢查機房基礎設施系統環境管理情況2資產管理通過訪談與文檔查閱方式，檢查資產管理情況情況3介質管理通過訪談與文檔查閱方式，檢查介質管理情況4設備管理通過訪談與文檔查閱方式，檢查機房設備管理情況5網絡安全管理通過訪談與文檔查閱方式，檢查網絡安全管理情況6系統安全管理通過訪談與文檔查閱方式，檢查系統安全管理情況7惡意代碼防范管理通過訪談與文檔查閱方式，檢查惡意代碼防范管理管理情況8密碼管理通過訪談與文檔查閱方式，密碼管理管理情況9變更管理通過訪談與文檔查閱方式，檢查變更管理情況10備份與恢復管理通過訪談與文檔查閱方式，檢查軟硬件備份與恢復管理情況11安全事件處置通過訪談與文檔查閱方式，檢查安全事件處置情況12應急預案管理通過訪談與文檔查閱方式，檢查機房應急預案管理情況等保測評方案5.7整體測評信息系統的整體測評，就是在單元測評的基礎上，評價信息系統的整體安全保護能力有沒有缺失，是否能夠對抗相應等級的安全威脅。信息系統整體測評應從安全控制點間、層面間和區域間等方面進行安全分析和測評，并最后從系統結構安全方面進行綜合分析，對系統結構進行安全測評。安全控制點間測評在單元測評完成后，如果信息系統的某個安全控制點中的要求項存在不符合項或部分符合項，應進行安全控制點間測評，應分析在同一功能區域同一層面內，是否存在其他安全控制點對該安全控制點具有補充作用（如物理訪問控制和防盜竊、安全審計和抗抵賴等）。同時，分析是否存在其他的安全措施或技術與該要求項具有相似的安全功能。根據測評分析結果，綜合判斷該安全控制點所對應的系統安全保護能力是否缺失，如果經過綜合分析單元測評中的不符合項或部分符合項不造成系統整體安全保護能力的缺失，則該安全控制點對應的單元測評結論應調整為符合。I系統安全等級等保測評方案5.7.2層面間測評在單元測評完成后，如果信息系統的某個安全控制點中的要求項存在不符合項或部分符合項，應進行層面間安全測評，重點分析其他層面上功能相同或相似的安全控制點是否對本安全控制點存在補充作用（如應用層加密與網絡層加密、主機層與應用層上的身份鑒別等），以及技術與管理上各層面的關聯關系（如主機安全與系統運維管理、應用安全與系統運維管理等）。根據測評分析結果，綜合判斷該安全控制點所對應的系統安全保護能力是否缺失，如果經過綜合分析單元測評中的不符合項或部分符合項不造成系統整體安全保護能力的缺失，則該安全控制點對應的單元測評結論應調整為符合。5.7.3區域間測評在單元測評完成后，如果信息系統的某個安全控制點中的要求項存在不符合項或部分符合項，應進行區域間安全測評，重點分析系統中訪問控制路徑（如不同功能區域間的數據流流向和控制方式），是否存在區域間安全功能的相互補充。根據測評分析結果，綜合判斷該安全控制點所對應的系統安全保護能力是否缺失，如果經過綜合分析單元測評中的不符合項或部分符合項不造成系統整體安全保護能力的缺失，則該安全控制點對應的單元測評結論應調整為符合。等保|等保測評方案5.7.4系統結構安全測評在完成安全控制點間、層面間和區域間安全測評后，應進行系統結構安全測評，系統結構安全測評應從信息系統整體結構的安全性和整體安全防范的合理性方面進行分析和測評。在測評分析信息系統整體結構的安全性時，應掌握信息系統的物理布局、網絡拓撲、業務邏輯（業務數據流）、系統實現和集成方式等各種情況，結合業務數據流分析物理布局與網絡拓撲之間、網絡拓撲與業務邏輯之間、物理布局與業務邏輯之間、不同信息系統之間存在的各種關系，明確物理、網絡和應用系統等不同位置上可能面臨的威脅、可能暴露的脆弱性等，考慮信息系統的實際情況，綜合判定信息系統的整體布局是否清晰、合理、安全有效。在測評分析信息系統整體安全防范的合理性時，應熟悉信息系統安全保護措施的具體實現方式和部署情況等，結合業務數據流分析不同區域和不同邊界與安全保護措施的關系、重要業務和關鍵信息與安全保護措施的關系等，參照縱深防御的要求，識別信息系統的安全防范是否突出重點、層層深入，綜合判定信息系統的整體安全防范措施是否恰當合理、協調一致等保測評方案6.現場實施計劃根據以往測評經驗以及被測系統規模，編制具體測評計劃，包括現場工作人員的分工和時間安排。在進行時間計劃安排時，應盡量避開被測系統的業務高峰期，避免給被測系統帶來影響。同時，在測評計劃中應將具體測評所需條件以及測評需要的配合人員也一并給出，便于測評實施之前雙方溝通協調、合理安排。等保測評現場工作計劃任務名稱時間實施小組配合人員1.現場啟動會議12月12日上午工作計劃澄清與人員確認12月12日上午所有人分析所、協調人員、擔保協會信息中心工作場地安排12月12日上午所有人張宇2.資產評估12月12日至25日所有人張宇物理安全12月12日至19日陳陽泰機房責任人、安全管理員等網絡安全12月12日至25日李源網絡管理員主機系統安全12月19日至25日陳陽泰安全管理員等應用安全12月12日至19日成林芳安全管理員等數據安全12月12日至25日尹遠飛安全管理員等

等保測評方案安全管理機構12月16日湯亮安全管理員等安全管理制度12月17日湯亮安全管理員等人員安全管理12月18日王剛安全管理員等