信息系統安全規劃建議書23/23-信息系統安全規劃建議書

目錄1. 總論 41.1. 項目背景 41.2. 項目目標 41.3. 依據及原則 41.3.1. 原則 41.3.2. 依據 61.4. 項目范圍 62. 總體需求 73. 項目建議 73.1. 信息系統安全現狀評估與分析 83.1.1. 評估目的 83.1.2. 評估內容及方法 83.1.3. 實施過程 123.2. 信息系統安全建設規劃方案設計 193.2.1. 設計目標 193.2.2. 主要工作 193.2.3. 所需資源 213.2.4. 階段成果 214. 附錄 224.1. 項目實施內容列表及報價清單 22

總論項目背景******************（以下簡稱“********”）隸屬***********，主要工作職責是根據…………的授權，負責………………；負責…………等工作。********作為*********部門，在印前，需要對………………。在整個…………業務流程中信息系統起了關鍵的作用。項目目標以國家信息安全等級保護相關文件及ISO27001/GBT22080為指導，結合********信息系統安全現狀及未來發展趨勢，建立一套完善的安全防護體系。通過體系化、標準化的信息安全風險評估，積極采取各種安全管理和安全技術防護措施，落實信息安全等級保護相關要求，提高信息系統安全防護能力。從技術與管理上提高********網絡與信息系統安全防護水平，防止信息網絡癱瘓，防止應用系統破壞，防止業務數據丟失，防止企業信息泄密，防止終端病毒感染，防止有害信息傳播，防止惡意滲透攻擊，確保信息系統安全穩定運行，確保業務數據安全。依據及原則原則以適度風險為核心，以重點保護為原則，從業務的角度出發，重點保護重要的業務、信息系統，在方案設計中遵循以下的原則：適度安全原則從網絡、主機、應用、數據等層面加強防護措施，保障信息系統的機密性、完整性和可用性，同時綜合成本，針對信息系統的實際風險，提供對應的保護強度，并按照保護強度進行安全防護系統的設計和建設，從而有效控制成本。重點保護原則根據信息系統的重要程度、業務特點，通過劃分不同安全保護等級的信息系統，實現不同強度的安全保護，集中資源優先保護涉及核心業務或關鍵信息資產的信息系統。技術管理并重原則把技術措施和管理措施有效結合起來，加強********信息系統的整體安全性。標準性原則信息安全建設是非常復雜的過程，在規劃、設計信息安全系統時，單純依賴經驗是無法對抗未知的威脅和攻擊，因此需要遵循相應的安全標準，從更全面的角度進行差異性分析。同時，在規劃、設計********信息安全保護體系時應考慮與其他標準的符合性，在方案中的技術部分將參考IATF安全體系框架進行設計，在管理方面同時參考27001安全管理指南，使建成后的等級保護體系更具有廣泛的實用性。動態調整原則信息安全問題不是靜態的，它總是隨著********的安全組織策略、組織架構、信息系統和操作流程的改變而改變，因此必須要跟蹤信息系統的變化情況，調整安全保護措施。成熟性原則本方案設計采取的安全措施和產品，在技術上是成熟的，是被檢驗確實能夠解決安全問題并在很多項目中有成功應用的?？茖W性原則在對********信息系統進行安全評估的基礎上，對其面臨的威脅、弱點和風險進行了客觀評價，因此規劃方案設計的措施和策略一方面能夠符合國家等級保護的相關要求，另一方面也能夠很好地解決********信息網絡中存在的安全問題，滿足特性需求。依據政策文件關于轉發《國家信息化領導小組關于加強信息安全保障工作的意見》的通知（中辦[2003]27號文件）關于印發《信息安全等級保護工作的實施意見》的通知（公通字[2004]66號文件）關于印發《信息安全等級保護管理辦法》的通知（公通字[2007]43號文件）《信息安全等級保護管理辦法》（公通字[2007]43號）《關于開展全國重要信息系統安全等級保護定級工作的通知》（公信安[2007]861號）《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)標準規范計算機信息系統安全保護等級劃分準則（GB/T17859-1999）信息安全技術信息系統安全等級保護實施指南信息安全技術信息系統安全保護等級定級指南（GB/T22240-2008）信息安全技術信息系統安全等級保護基本要求（GB/T22239-2008）信息安全技術信息系統安全等級保護測評要求信息安全技術信息系統安全等級保護測評過程指南信息安全技術信息系統等級保護安全設計技術要求項目范圍按照國家有關規定和標準規范要求，堅持管理和技術并重的原則，將技術措施和管理措施有機結合，建立信息系統綜合防護體系，提高信息系統整體安全保護能力。依據《信息系統安全等級保護基本要求》（以下簡稱《基本要求》），落實信息安全責任制，建立并落實各類安全管理制度，開展人員安全管理、系統建設管理和系統運維管理等工作，落實物理安全、網絡安全、主機安全、應用安全和數據安全等安全保護技術措施。根據********現狀和********規劃，確定本項目主要建設內容包括：網絡結構調整、物理安全建設、主機及應用系統安全建設、數據存儲與備份安全建設、終端安全建設、運行及優化等?？傮w需求********在充分利用現有信息化成果的基礎上，進一步將信息化技術深入應用于管理、設計、協同等各方面，建立和完善以信息和網絡技術為支撐，滿足************服務等所需的信息網絡體系和協同工作平臺，滿足公司運營管控的信息化平臺，實現技術、人力、資金、設備、知識資源的共享。目前********隨著業務不斷增加信息化建設的進度必須滿足業務發展的需要。********信息系統安全建設，旨在從技術與管理上加強公司網絡與信息系統安全防護水平，防止信息網絡癱瘓，防止應用系統破壞，防止業務數據丟失，防止********信息泄密，防止終端病毒感染，防止有害信息傳播，防止惡意滲透攻擊，確保信息系統安全穩定運行，確保業務數據安全。針對********信息系統安全現狀及未來的需求分析，亟需建立一整套完善的安全體系。該體系包括信息系統的安全管理體系和技術產品的技術體系。通過兩個體系的建立，實現********信息系統的所有信息資產以及與******之間進行安全的管理和技術保護。同時通過多層次、多角度的安全服務和產品，覆蓋從物理環境、網絡層、系統層、數據庫層、應用層和組織管理信息安全的所有方面。整個安全體系包括網絡平臺安全、應用安全、系統平臺安全以及物理和環境的安全等內容。項目建議主要完成兩項工作，一是信息系統安全現狀調查與分析；二是信息系統安全建設規劃方案設計。信息系統安全現狀評估與分析評估目的為了準確把握*****************當前現狀，了解當前存在的缺陷和不足，完善信息系統整體安全。以信息系統安全等級保護標準為基礎，對信息系統安全進行符合性分析，作為**********************信息系統安全規劃的原始標準和改進依據。評估內容及方法評估內容結合信息系統安全等級保護基本要求標準，對********的信息系統進行測試評估，應包括兩個方面的內容：一是安全控制評估，主要評估信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況；二是系統整體評估，主要評估分析信息系統的整體安全性。其中，安全控制評估是信息系統整體安全評估的基礎。對安全控制評估的描述，使用評估單元方式組織。評估單元分為安全技術評估和安全管理評估兩大類。安全技術評估包括：物理安全、網絡安全、主機系統安全、應用安全和數據安全等五個層面上的安全控制評估；安全管理評估包括：安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面的安全控制評估。具體見下圖：由于********在信息系統安全規劃建議是基于信息系統安全等級保護基本要求標準（二級）之上，因此，共需要對技術與管理兩大方面、十個層面的66個控制項、175個控制點進行安全評估。技術部分技術部分將對********的物理安全、網絡安全、主機安全、應用安全、數據安全及備份的五個層面進行安全控制評估。管理部分安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面的安全控制評估評估方法評估實施階段的工作主要是進入評估現場以后，依據《信息系統安全等級保護實施指南》和評估計劃和方案的要求，通過各種評估方式對涉及信息系統安全各個層面進行評估。評估的主要方式包括：文檔審核文檔審核的對象主要是與被評估信息系統安全性有關的各個方面的文檔，如：安全管理制度和文件、安全管理的執行過程文檔、系統設計方案、網絡設備的技術資料、系統和產品的實際配置說明、系統的各種運行記錄文檔、機房建設相關資料等等。通過對這些文檔的審核與分析確認評估的相關內容是否達到了等級的要求?，F場訪談評估人員與被評估信息系統的相關人員進行交談和問詢，了解信息系統技術和管理方面的一些基本信息，并對一些評估內容及其文檔審核的內容進行核實。人員訪談是通過調查表、人員訪談、現場勘查、文檔查看等手段了解管理弱點，對客戶的信息安全管理體系、信息安全運維過程等方面，對比等級要求進行測試。評估人員通過與信息系統有關人員（個人/群體）進行交流、討論等活動，獲取證據以證明信息系統安全等級保護措施是否有效，評估中使用各類調查問卷和訪談大綱。評估方法人員訪談簡要描述根據系統定級，對安全管理制度的制定及執行情況進行檢查達成目標了解甲方安全管理制度的制定情況、落實情況主要內容安全組織和管理，安全策略和程序，應用安全管理，數據安全管理，操作系統安全管理，網絡安全管理，訪問控制管理，物理安全控制，業務連續性管理（含備份）實現方式管理制度和程序文件的收集和分析分析和現場檢查管理過程記錄問卷和現場訪談工作結果甲方安全管理制度訪談結果現場檢查現場檢查主要是對一些需要在現場上機進行實際檢查與確認的信息進行核實，以及對某些訪談和文檔審核的內容進行核實。評估人員通過對評估對象進行觀察、查驗、分析等活動，獲取證據以證明信息系統安全等級保護措施是否有效的一種方法，評估過程中使用各種檢查表和相應的安全調查工具。人工審計對實施人員的安全知識、安全技術和安全經驗要求很高，因為他們必須了解最新的安全漏洞、掌握多種先進的安全技術和積累豐富的安全領域經驗，這樣才能對技術評估對象中物理層、網絡層、主機層、數據層和客戶層的所有安全對象目標進行最有效和最完整的安全檢查，并提供最合理和最及時的安全建議。評估方法人工審計簡要描述作為漏洞掃描的輔助手段，通過登陸系統控制臺的方式人工核查和分析系統的安全配置情況達成目標檢測系統的安全配置情況，發現配置隱患主要內容系統控制臺配置審計實現方式利用安全配置審計腳本、安全配置核查系統及手工配置檢查對評估對象的安全配置情況進行審計、核查工作結果甲方系統人工審計結果報告工具測試工具測試主要是根據被評估信息系統的實際情況，評估人員使用某些技術工具對信息系統進行測試。一般包括漏洞掃描（僅限于終端）、性能測試、配置檢查、日志與記錄分析等內容。在本次差距評估服務項目實施中，使用的工具包括網絡和系統漏洞掃描工具、應用漏洞掃描工具、綜合掃描工具、網絡協議分析工具、滲透測試工具和其它相關工具等。漏洞掃描漏洞掃描是通過自動化的評估工具（安全評估系統或掃描器），根據其內置的評估內容、測試方法、評估策略及相關數據庫信息，從系統內部、外部對系統進行一系列的脆弱性檢查，發現潛在安全風險問題，如易猜出的密碼、用戶權限、用戶設置、關鍵文件權限設置、路徑設置、密碼設置、網絡服務配置、應用程序的可信性、服務器設置以及其他含有攻擊隱患的可疑點等。使用漏洞掃描工具的優點是能夠明顯降低評估工作量，且其報表功能較為強大，有的還具備一定的智能分析和數據庫升級功能。評估方法漏洞掃描簡要描述利用漏洞掃描工具從網絡的不同接入點對甲方網絡內的網絡設備、主機、應用和數據庫等系統進行脆弱性檢查和分析達成目標發掘甲方信息系統的安全漏洞，提出漏洞修補建議主要內容以多種漏洞掃描工具實施漏洞掃描實現方式利用安全掃描器等多種漏洞掃描工具進行安全評估工作結果甲方系統漏洞掃描分析結果報告安全測試安全測試包括功能測試、性能測試及滲透測試。主要針對應用系統的功能及性能方面進行測試，驗證應用系統的功能及性能是否符合要求；以及從操作系統、數據庫系統、應用系統及網絡設備等方面可能存在的漏洞及弱點出發，對網絡系統進行滲透性測試，驗證網絡系統的安全防護是否有效。評估人員通過對評估對象進行探測、分析、測試及驗證等活動，獲取證據以證明信息系統安全等級保護措施是否有效，評估過程中會使用到各種專業的測試工具。評估方法安全測試簡要描述作為人工審計及安全檢查的輔助手段，通過對設備及系統的功能、性能、安全性等進行測試和驗證，核查設備及系統的安全防護情況達成目標檢測系統的安全防護情況，發現深度的安全隱患主要內容設備及系統的功能、性能及安全性測試實現方式主要通過人工方式，并配合使用多種評估工具對設備及系統的功能、性能及安全性方面進行測試工作結果甲方系統安全測試結果報告實施過程信息系統安全等級保護差距評估的全過程以項目管理理論為基礎，整個評估過程共分評估準備、現場評估、評估分析和整改規劃四個階段。評估準備階段主要工作在本階段的主要工作包括：編制基于等級保護基本要求標準的差距評估實施計劃，明確差距評估小組成員及其職責、分工、溝通的流程，明確******及用戶雙方的工作分工、權利和義務，進行相關數據信息的收集，召開差距評估啟動，獲取資料信息等工作。各方的主要職責分工如下：******：負責編制基于等級保護基本要求標準的差距評估實施計劃；確定實施人員、工作職責、實施時間和具體內容；準備評估工具（表單、技術工具等）。用戶方：確定用戶方的參與人員及工作職責；雙方共同：召開基于等級保護基本要求標準的差距評估啟動會；討論并確定本差距評估與風險分析實施計劃。所需資源需要用戶方提供以下必要的資料及信息：資產清單及信息系統拓撲圖；涉及資產的配置情況。規章制度相關文檔階段成果在本階段，******將整理并向用戶方提交以下服務資料：《項目實施計劃》《評估表單》《會議紀要》階段目標評估準備階段的主要目標是獲取用戶方的信息系統基本信息，確定評估范圍，共同討論確定現場評估計劃為目標，確保雙方在差距評估工作能夠達成共識?，F場評估階段目標進行信息系統信息的收集、分析，對信息系統進行合理分解，然后進入標準符合性檢查測試評估階段，任務是全面獲取與驗證當前的信息系統，組織，信息安全管理，系統威脅、脆弱性、安全控制措施等信息。以此為基礎，結合標準、專業的安全知識及經驗對安全的概況進行補充與調整，為最終的整改實施階段方案的編制提供依據。獲取當前信息系統與等級保護相應級別標準要求之間的差距情況。階段主要工作在本階段的主要工作包括：標準符合性評估階段的主要工作有人員調查、資產調查、安全威脅調查、安全需求調查、安全技術水平調查等，采用文檔收集、問卷調研、人員訪談、現場檢查、技術測試（如漏洞掃描分析）等多種手段進行差距性分析。主要工作安排如下：調查和統計********涉及的所有信息資產（包含物理環境、網絡設備、主機、應用軟件、業務系統、數據、人員、標準流程等），明確其現有狀況、配置情況和管理情況。其中拓撲結構調查工作包括對********的TCP/IP網絡的拓撲結構進行實地查驗，核實拓撲結構圖；現有安全系統調查工作包括現有安全設備(包括防火墻、防病毒系統、入侵檢測系統、安全掃描系統)的部署情況和使用情況。結合等級保護基本要求標準（二級），對********的信息系統進行全面分析面臨的威脅，評估現有系統的技術和管理、組織結構等方面的標準符合偏差，明確所有網絡及應用系統標準符合偏差。現場評估階段的具體工作安排如下：序號評估控制項評估內容工具/作業指導書配合人員備注1物理安全（0.5天）機房機房現場環境檢查《物理安全調查表》機房管理員如果有機房建設、驗收材料，請提供。2網絡安全（3天）交換機/路由器交換機/路由器安全配置檢查《網絡安全調查表》

《交換機檢查表》

《路由器檢查表》網絡管理員需要協助登錄并操作，可提供配置文件防火墻/VPN/網閘防火墻安全配置檢查《網絡安全調查表》

《VPN檢查表》

《網閘檢查表》安全管理員/網絡管理員需要協助登錄并操作，可提供配置文件IPS/IDS/防病毒IPS/IDS/防火墻安全配置檢查《網絡安全調查表》

《IDS檢查表》安全管理員/網絡管理員需要協助登錄并操作，可提供配置文件網絡結構邊界分析《網絡安全調查表》

對網絡結構進行現場排查及分析網絡管理員提供訪問控制策略文件。配合解答評估問題。網絡分析3主機安全（2天）操作系統服務器操作系統安全配置檢查《主機安全調查表-linux/unix》

《主機安全調查表-windows》

《WINDOWS主機評估項》系統管理員需要協助登錄并操作數據庫系統數據庫安全配置檢查《Domino數據庫核查表》

《SQLSERVER數據庫核查表》

《ORACLE數據庫核查表》數據庫管理員需要協助登錄并操作4應用安全（3天）應用系統調研應用安全檢查業務應用系統安全檢查《應用安全調查表》

漏洞掃描應用系統管理員、開發人員需要協助登錄應用系統并操作演示應用安全驗證測試業務應用系統安全測試（漏洞掃描等）5數據安全（0.5天）數據安全檢查檢查系統在數據完整性、保密性、備份恢復等安全功能和配置《數據安全及備份恢復調查表》應用系統管理員、開發人員、數據庫管理員需要協助登錄并操作演示6工具測試（3天）主機系統掃描主機操作系統掃描漏洞掃描及滲透測試系統網絡管理員、系統管理員、數據庫管理員需要將專用掃描設備接入網絡數據庫系統掃描需要將專用掃描設備接入網絡遠程滲透性測試網絡、應用漏洞掃描網絡管理員、應用管理員從internet網遠程接入對應用進行滲透測試網絡、WEB應用攻擊滲透測試7管理體系檢查（3天）安全管理制度制定、發布、評審、修訂等方面《安全管理制度檢查表》文檔管理員及相關管理負責人提供相關管理制度文件、記錄。若能提供系統建設時的設計、驗收資料請提供。安全管理機構崗位設置、人員配置等方面《安全管理機構》人員安全管理人員錄用、離崗、考核等方面《人員安全管理》系統建設、運維管理環境、資產、變更、備份恢復、安全事件、應急預案《系統建設管理》管理體系執行情況執行記錄檢查及執行狀況訪談《系統運維管理》8結果匯總分析及確認（1.5天）數據分析匯總可能需要進行補充評估數據確認評估配合人員各方的主要職責分工如下：******：進行現場評估與分析（訪談、檢查、測試）；現場評估工作的部署；對服務器及應用系統進行漏洞掃描等安全測試；訪談用戶方相關人員（技術、管理角色），了解當前現狀；對設備進行實地檢查；對管理情況進行現場訪談、檢查，檢查管理制度文件和記錄；匯總整理現場評估數據。用戶方：協助進行必要的技術操作；協調差距評估過程中所需要的相關的資源（人員資源、技術資源、設備資源、文件資源等）。雙方共同：進行現場評估小結，初步確認評估結果。在本階段中，各方應對當前信息系統的現狀情況作出客觀、直觀的分析和說明。所需資源需要用戶方提供以下資源、資料及信息：需要用戶方提供對信息系統資產的訪問權限；協調各信息系統的相關管理人員（或設備供貨商、服務商等）作為接口人員（需要配合完成訪談、檢查與測試）；需要用戶方提供所有信息系統安全管理制度文件及記錄文件。階段成果在本階段，******將整理并向用戶方提交以下服務資料：《調查評估記錄（技術、管理）》《信息資產調查表》《漏洞掃描報告》《技術訪談記錄》《管理訪談記錄》《會議紀要》評估分析階段目標從技術和管理兩個層面對******進行綜合分析，找出信息系統安全方面，存在的缺陷和不足。為下一步信息系統安全建設規劃提供現狀上的依據。階段主要工作本階段的主要工作包括：整理現場評估數據材料，對現場評估結果進行綜合分析，找出現狀與標準之間的差距情況，并為整改規劃提供數據參考。各方的主要職責分工如下：******：整理現場評估數據材料；分析評估情況，編制評估分析報告。用戶方：無雙方共同：討論確認評估分析結論報告。所需資源無階段成果在本階段，******將整理并向用戶方提交以下服務資料：《現狀評估分析報告》信息系統安全建設規劃方案設計結合3.1部分的工作，最終為用戶設計出一套整體安全建設方案，這個方案中要包含系統現狀與差距的分析、具體的安全建設（整改）內容等。設計目標以信息安全等級保護相關文件及ISO27001/GBT22080為指導，結合********信息系統安全現狀及未來發展趨勢，建立一套完善的安全防護體系。通過體系化、標準化的信息安全風險評估，積極采取各種安全管理和安全技術防護措施，落實信息安全等級保護相關要求。從技術與管理上提高********網絡與信息系統安全防護水平，防止信息網絡癱瘓，防止應用系統破壞，防止業務數據丟失，防止******航海測繪信息泄密，防止終端病毒感染，防止有害信息傳播，防止惡意滲透攻擊，確保信息系統安全穩定運行，確保業務數據安全。主要工作信息系統安全規劃設計建議網絡訪問控制策略網絡訪問控制策略如下：核心服務器區/非核心服務器區只允許業務網終端訪問；不允許業務網終端到達外網以及更低的安全區域；不允許外網終端到達業務網以及更高的安全區域；允許外網終端訪問前置服務區；允許外網終端訪問因特網服務器區；允許外網終端訪問因特網并對所有終端用戶訪問行為，如郵件、網頁訪問等進行監控；因特網服務器區允許因特網公眾訪問特定服務（如Http、SMTP、POP3、DNS等）；同一應用系統的前置服務器與內部核心服務器、非核心服務器之間建立特定的數據交換通道。物理安全物理安全策略針對以下三個方面進行改造和設計：環境安全：對系統所在環境的安全保護，如區域保護和災難保護；（參見國家標準GB50173－93《電子計算機機房設計規范》、國標GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；媒體安全：包括媒體數據的安全及媒體本身的安全。主機安全主機安全包括服務器的主機安全及終端用戶的主機安全，其系統加固和優化是實現********信息系統安全的關鍵環節。通過主機系統安全加固，可以對********各應用系統的網絡層、系統層、應用層及終端用戶等層次設置合理的安全狀態，并以此作為保證********信息系統安全的起點。主機系統安全加固的主要內容包括：正確的安裝操作系統和應用軟件；安裝全部最新的OS、應用軟件的安全補?。徊僮飨到y和應用軟件的安全配置；系統安全風險防范；應用系統功能測試；系統完整性備份；終端安全管理；終端病毒防護；終端準入控制。主機系統加固是有一定風險的,一般可能的風險包括停機、應用程序不能正常使用、最嚴重的情況是系統被破壞無法使用。這些風險一般是由于系統運行狀況調查不清導致，也有因為加固方案的代價分析不準確，誤操作引起，因此在系統加固前應做好系統備份。應用安全目前****************和************相關應用系統的安全目前往往依賴于基礎設施、操作系統、數據庫的安全，對于訪問用戶不同的應用系統，應分別制定相應的安全防護策略。應用系統的基本安全防護主要應該依靠身份鑒別、內部審計和管理策略，實現內部控制的合規性；對于需要對外網開放的應用系統，應在外網增設前置服務器，還需要考慮訪問控制和代碼安全。針對********網站的應用系統，主要的安全措施有：嚴格的安全審查和測試應用系統安全的定義應用系統中軟件和硬件的配合外網需要訪問的應用系統，應采取業務分離方式設置前置機制訂嚴格的應用系統安全使用制度配置應用系統的安全備份系統，特別是數據庫系統制訂應用系統的應急響應制度，和配置響應的安全人員對不同的數據接口處采用入侵監測和身份認證等多方位安全方式所需資源需要用戶方提供以下資源、資料及信息：協調各信息系統的相關管理人員（或設備供貨商、服務商等）作為溝通接口人員（討論整改思路）。階段成果在本階段，******將整理并向用戶方提交以下服務資料：《信息系統安全建設規劃方案》附錄項目實施內容列表及報價清單信息安全系統規劃作業計劃表序號評估控制項評估內容評估周期費用(元)工具/作業指導書配合人員備注1物理安全（0.5天）機房機房現場環境檢查0.5《物理安全調查表》機房管理員如果有機房建設、驗收材料，請提供。2網絡安全（2.5天）交換機/路由器交換機/路由器安全配置檢查1《網絡安全調查表》網絡管理員需要協助登錄并操作，可提供配置文件《交換機檢查表》《路由器檢查表》防火墻/VPN/網閘防火墻安全配置檢查0.5《網絡安全調查表》安全管理員/網絡管理員需要協助登錄并操作，可提供配置文件《VPN檢查表》《網閘檢查表》IPS/IDS/防病毒IPS/IDS/防火墻安全配置檢查0.5《網絡安全調查表》安全管理員/網絡管理員需要協助登錄并操作，可提供配置文件《IDS檢查表》網絡結構邊界分析0.5《網絡安全調查表》網絡管理員提供訪問控制策略文件。配合解答評估問題。網絡分析對網絡結構進行現場排查及分析3主機安全（2天）操作系統服務器操作系統安全配置檢查1.5《主機安全調查表-linux/unix》系統管理員需要協助登錄并操作《主機安全調查表-windows》《WINDOWS主機評估項》數據庫系統數據庫安全配置檢查0.5《Domino數據庫核查表》數據庫管理員需要協助登錄并操作《SQLSERVER數據庫核查表》《ORACLE數據庫核查表》4應用安全（3天）應用系統調研1應用安全檢查業務應用系統安全檢查2《應用安全調查表》應用系統管理員、開發人員需要協助登錄應用系統并操作演示應用安全驗證測試業務應用系統安全測試（漏洞掃描等）漏洞掃描5數據安全（0.5天）數據安全檢查檢查系統在數據完整性、保密性、備份恢復等安全功能和配置0.5《數據安全及備份恢復調查表》應用系統管理員、開發人員、數據庫管理員需要協助登錄并操作演示6工具測試（3天）主機系統掃描主機操作系統掃描1漏洞掃描及滲透測試系統網絡管理員、系統管理員、數據庫管理員需要將專用掃描設備接入網絡數據庫系統掃描0.5需要將專用掃描設備接入網絡遠程滲透性測試網絡、應用漏洞掃描1網絡管理員、應用管理員從internet網遠程接入對應用進行滲透測試網絡、WEB應用攻擊滲透測試0.57管理體系檢查（2天）安全管理制度制定、發布、評審、修訂等方面2《安全管