等級保護測評保障方案

1、等級保護測評保證方案根據(jù)公安部出臺的有關(guān)等級保護的政策，對信息系統(tǒng)的等級保護已經(jīng)是國 家的一項根本國策和信息平安的根本保證，同時等級保護工 作的開展也是 各行 各業(yè)信息化建設的內(nèi)在需求.等級保護測評的目的在于對當前建設的信息系統(tǒng)的平安防護能 力做出客 觀評價.通過對平安物理環(huán)境、平安通信網(wǎng)絡、平安區(qū)域邊界、平安計算環(huán)境、 平安治理中央、平安治理制度、平安治理機構(gòu)、平安治理人員、平安建設治理、 平安運維治理20個方面的平安檢查，以國家信息平安等級保護根本 要求作為平 安基線，進行客觀符合性判 定，進一步衡量當前系統(tǒng)的平安防護 水平，以及系統(tǒng) 所面臨的威脅和風險所在，為將來的平安整改和平安建設提供

2、有力依據(jù).我公司在本次工程開始實施前，嚴格根據(jù)等級保護2.0測評標準在工程 實 施階段、測評階段提供完善的測評文檔和技術(shù)文檔,并協(xié)助用戶在整個測評過 程中提供任何所需的技術(shù)支持效勞.保證順利通過等級保護2.0三級測評.測評流程整個測評工程的實施主要分為現(xiàn)場測評和復測評,具體流程參見以下圖所 示.報苗力秦rr格本 合其中現(xiàn)場測評分為四個階段：報苗力秦rr格本 合一、測評準備活動階段；二、方案編制活動階段；三、現(xiàn)場測評活動階段；四、分析和報告編制活動階段.復測評分為三個階段：一、平安整改活動階段；二、復測評活動階段；三、分析和報告編制活動階段.12 現(xiàn)場測評根據(jù)?信息平安技術(shù)網(wǎng)絡平安等級保護測評要

3、求？(GB/T8448-2021),具體測評內(nèi)容具體分為平安物理環(huán)境、平安通信網(wǎng)絡、平安區(qū)域邊界、平安計算環(huán)境、平安治理中央、平安治理制度、平安治理機 構(gòu)、平安治理人員、平安建設治理、平安運維治理10個方面的內(nèi)容. 其中涉及與技術(shù)層面相關(guān)的平安物理環(huán)境、平安通信網(wǎng)絡、平安區(qū)域邊 界、平 安計算環(huán)境、平安治理中央5個方面的內(nèi)容，由我公司協(xié)助提供相應的技術(shù)文 檔和現(xiàn)場測評的技術(shù)支持.涉及與治理層面相關(guān)的平安治理制度、平安治理機 構(gòu)、平安治理人員、平安建設治理、平安運維治理5個方面的內(nèi) 容，由我公司 配合用戶，提供指導建議，并協(xié)助完成相關(guān)內(nèi)容建設.1平安物理環(huán)境主要通過訪談和檢查的方式評測信息系統(tǒng)的

4、物理平安保證情況.主要涉及對象為機房.在內(nèi)容上,測評實施過程涉及以下幾個平安子 類:序號平安子類測評指標描述1物理位置的選擇檢查機房,測評機房物理場所在位置上是否具有防震、防風和 防雨等多方面的平安防范水平.2物理訪問控制檢查機房出入口等過程限制，測評信息系統(tǒng)在物理訪問控 制 方面的平安防范水平.3防盜竊和防破壞檢查機房內(nèi)的主要設備、介質(zhì)和防盜報警設施等過程，測評信 息系統(tǒng)是否采取必要的舉措預防設備、介質(zhì)等喪失和被破壞.4防雷擊檢查機房設計/驗收文檔,測評信息系統(tǒng)是否采取相應的措施 預防雷擊.5防火檢查機房防火方面的平安治理制度,檢查機房防火設備等過程,測評信息系統(tǒng)是否采取必要的舉措預防火災的

5、L2 1 2需求配合發(fā)生.6防水和防潮檢查機房及其除潮設備等過程，測評信息系統(tǒng)是否采取必要 舉措來預防水災和機房潮濕.7防靜電檢查機房等過程，測評信息系統(tǒng)是否采取必要舉措預防靜電 的產(chǎn)生.8溫濕度限制檢查機房的溫濕度自動調(diào)節(jié)系統(tǒng)，測評信息系統(tǒng)是否采取必 要舉措對機房內(nèi)的溫濕度進行限制.9電力供給檢查機房供電線路、設備等過程，測評是否具備為信息系統(tǒng)提 供一定電力供給的水平.10電磁防護檢查主要設備等過程，測評信息系統(tǒng)是否具備一定的電磁防 護水平.配合工程配合內(nèi)容物理位置的選擇提供相應的房屋建筑資料.物理訪問限制提供機房出入登記記錄、審批記錄、電子門禁記錄等.防盜竊和防破壞提供防盜報警運行維護情況

6、及相關(guān)記錄.防雷擊提供建筑物防雷技術(shù)檢測報告.防火提供防火系統(tǒng)的檢查和維護記錄、機房驗收文檔.防水和防潮提供建筑施工圖、建筑驗收文檔.防靜電展示防靜電接地舉措溫濕度限制提供機房溫濕度變化的記錄和溫濕度調(diào)節(jié)設備的建設記錄.電力供給提供供電線路的穩(wěn)壓器、供電線路的UPS、備用電源設備 和過電壓防護設備的建設和維護記錄.電磁防護.介紹設備外殼接地的實施情況；.介紹線路鋪設中將電源線和通信線路隔離的實施情況；R 介織串英語義和磁介話直:旃由磁屁筋的情用1. 2. 2.1. 2. 2.1. 2. 2.平安通信網(wǎng)絡1. 2. 2. 1 .測評內(nèi)容1. 2. 2.平安通信網(wǎng)絡主要涉及對象為網(wǎng)絡設備以及網(wǎng)絡拓

7、撲結(jié)構(gòu)等二大類對象.在內(nèi)容測評指標描述上,測評過程涉及以下幾個平安子類.測評指標描述序號平安子類11網(wǎng)絡架構(gòu)1網(wǎng)絡架構(gòu)檢查網(wǎng)絡拓撲情況、核查核心交換機、測評分析網(wǎng)絡架構(gòu)1網(wǎng)絡架構(gòu)通信傳輸檢查通信過程中數(shù)據(jù)的完整性.通信傳輸檢查通信過程中數(shù)據(jù)的完整性.可信驗證 蛤杏辛攤苗疔林節(jié)M初太TTT住跆;不1. 2. 2. 2.配合工程配合內(nèi)容網(wǎng)絡架構(gòu)提供系統(tǒng)網(wǎng)絡結(jié)構(gòu)拓撲圖.通信傳輸提供核心交換機配置策略、IP地址規(guī)劃和邊界訪問策略.可信驗證提供核心交換機和接入層交換機端口綁定和IP地址綁定略c123平安區(qū)域邊界1.2. 3.1.測評內(nèi)容主要涉及對象為網(wǎng)絡平安設備,包含防火墻、入侵檢測、平安審 計等產(chǎn)品.

8、在內(nèi)容上,測評過程涉及以下幾個平安子類.序號平安子類測評指標描述1邊界防護檢查邊界完整性,檢查設備接入邊界完整性,檢查設備 進 行測試等過程,測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡1.2. 3. 2.需求配合的行為.2訪問限制檢查防火墻等網(wǎng)絡訪問限制設備,測試系統(tǒng)對外暴露平安漏 洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關(guān)的網(wǎng) 絡隔 離與訪問限制水平.3入侵防范測評分析信息系統(tǒng)對攻擊行為的識別和處理情況.4惡意代碼防檢查網(wǎng)絡惡意代碼防范情況.5平安審計檢查網(wǎng)絡平安審計的配置情況,如覆蓋范圍、記錄的工程和 內(nèi)容等；檢查平安審計進程和記錄的保護情況.配合工程配合內(nèi)容邊界防護提供防火墻邊界防護限制策略,介

9、紹采用的手段以預防非授 權(quán)接入和非法外聯(lián)行為.訪問限制提供防火墻訪問限制策略.入侵防范提供入侵檢測配置策略以及防火墻端口、協(xié)議治理策 略.介 紹預防網(wǎng)絡入侵攻擊防范舉措.惡意代碼防范提供防毒墻限制策略，介紹防毒墻病毒特征加更新策略.平安審計提供日志審計、網(wǎng)絡審計平安配置策略.4平安計算環(huán)境1. 2. 4. 1.測評內(nèi)容主要涉及對象為網(wǎng)絡平安設備和平安治理系統(tǒng),包含身份鑒別系統(tǒng)、平安審計、入侵檢測、防病毒軟件、數(shù)據(jù)備份軟件等產(chǎn)品.在內(nèi)容上，測評過程涉及以下幾個平安子類.序號平安子類測評指標描述1身份鑒別檢查登陸用戶信息鑒別情況,檢查身份鑒別舉措及鑒別有效 性、準確性.2訪問限制檢查訪問限制設置情

10、況,包括平安策略覆蓋、限制粒度以及 權(quán)限設置情況等.3平安審計檢查平安審計的配置情況,如覆蓋范圍、記錄的工程和內(nèi)容 等；檢查平安審計進程和記錄的保護情況.4入侵防范檢查網(wǎng)絡系統(tǒng)運行過程中的入侵防范舉措，如關(guān)閉不需要的 端口和效勞、最小化安裝、部署入侵防范產(chǎn)品等.5惡意代碼防范檢查效勞器和終端設備的惡意代碼防范情況.6數(shù)據(jù)備份與恢檢查效勞器和終端設備重要數(shù)據(jù)平安備份情況,檢查網(wǎng)絡設 備中配置文件的平安備份情況.1.2. 4. 2.需求配合2 5平安治理中央配合工程配合內(nèi)容身份鑒別演示用戶身份登陸情況,查看身份鑒別策略.訪問限制提供效勞器和交換機、防火墻訪問限制策略.平安審計提供日志審計、數(shù)據(jù)庫審

11、計、主機審計等設備和系統(tǒng)安全策 略.入侵防范提供效勞器、終端設備端口 IP+MAC地址綁定策略.惡意代碼防范提供網(wǎng)絡版防病毒軟件限制策略,查看防病毒特征庫更新策 略.數(shù)據(jù)備份與恢復提供數(shù)據(jù)備份策略，查看數(shù)據(jù)備份內(nèi)容.演示數(shù)據(jù)備份 與恢 復流程.1. 2. 5. 1.測評內(nèi)容主要涉及對象為網(wǎng)絡綜合治理平臺和審計治理等產(chǎn)品.在內(nèi)容上，測評過程涉及以下幾個平安子類.序號平安子類測評指標描述1系統(tǒng)治理檢查是否采取必要的舉措對網(wǎng)絡的平安配置、網(wǎng)絡用戶權(quán) 限和審計日志等方面進行有效的治理.2審計治理檢查平安審計記錄，檢查對審計記錄內(nèi)容的存儲和管理.3平安治理檢查是否采取必要的舉措對系統(tǒng)的平安配置、系統(tǒng)賬戶、 漏洞掃描和審計日志等方面進行有效的治理.4集中治理檢查系統(tǒng)集中治理方式、治理范圍、治理內(nèi)容.配合工程配合內(nèi)容系統(tǒng)治理查看平安治理系統(tǒng)的系統(tǒng)治理策略和治理范圍.審計治理提供各類審計治理系統(tǒng)的審計治理策略.平安治理提供系統(tǒng)訪問限制策略文檔；提供主機系統(tǒng)、網(wǎng)絡、安全設備的操作日志；集中治理提供平安治理系統(tǒng)的治理范圍,治理策略和治理內(nèi)容.差距分析人1.2. 5. 2.需求配合通過現(xiàn)場測評提供的信息,并對這些信息進行分析,形成定級信 息系 統(tǒng) 的弱點評估報告、風險評估報告等文檔.通過差距分析，了解信息系統(tǒng)的現(xiàn) 狀，確定當前系統(tǒng)與相應保護等級要求之間的差距，確定不符合平安項