利用技术工具(漏洞扫描工具、渗透测试工具、压力测试工具等)对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透测试等。 测评方法 工具测试 利用技术工具,从网络的不同接入点对网络内的主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查和分析 简要描述 达成目标 发掘系统的安全漏洞 1-2人工作环境,电源和网络接入环境,甲方人员、网络、系统配合 工作条件 工作结果 工具测试结果记录 2.3.2. 配置检查
利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,从而测试系统是否达到可用性和可靠性的要求。 测评方法 配置检查 通过登陆系统控制台的方式,人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统的安全配置情况 简要描述 达成目标 发现配置的安全隐患 工作条件 1-2人工作环境,甲方人员、网络、系统配合 工作结果 配置检查结果记录 2.3.3.
人员访谈
第 14 页 共 24 页
与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。 测评方法 人员访谈 简要描述 通过交流、讨论的方式,对技术和管理方面进行脆弱性检查和分析 达成目标 发掘技术和管理方面存在的安全问题 工作条件 1-2人工作环境,甲方人员配合 工作结果 人员访谈结果记录 2.3.4. 文档审查
检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内部一致性。
测评方法 文档审查 通过文档审核与分析,检查制度、策略、操作规程、制度执行情况记录的完整性和内部一致性 简要描述 达成目标 发掘技术和管理方面存在的安全问题 工作条件 1-2人工作环境,甲方人员、各类文档资料配合 工作结果 文档审查结果记录 2.3.5. 实地查看
第 15 页 共 24 页
通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。 项目名称 实地查看 通过现场查看人员行为、技术设施和物理环境状况,检查人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况。 简要描述 达成目标 发掘技术和管理方面存在的安全问题 工作条件 1-2人工作环境,甲方人员配合 工作结果 实地查看结果记录 2.4. 测评工具
我们在等级保护测评过程中使用的测评工具严格遵循可控性原则,即所有使用的测评工具将事先提交给甲方检查确认,确保在双方认可的范围之内,而且测评过程中采用的技术手段确保已经过可靠的实际应用。
在本项目中,将采用以下测评工具: 工具类别 漏洞扫描绿盟极光远程安全评估系工具 统 工具名称 工具介绍 绿盟公司出品的商业漏洞扫描系统 IBM APPScan Web应用扫描工具 WVS(Web Vulnerability Scanner) IBM公司出品的商业Web应用安全扫描系统 一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站 第 16 页 共 24 页
工具类别 工具名称 工具介绍 点和Web应用程序 2.5. 输出文档
本项目输出的主要输出文档为
《等级保护测评实施方案(资产收集、测评表)》 《等级保护测评差距分析报告》 《等级保护测评安全整改方案》 《等级保护测评安全整改报告》
3. 时间安排
序号 任务名称 工作内容 编制实施方案 项目准备阶段 编制资产收集 编制测评表 前期调研 差距测评 差距测资产收集 技术和管理单项测评 单元测评、整体测评、 风险分析、报告编制 对部分风行较高的 出整改报告 2015/8/24 2015/8/28 《差距测评报告 》 2015/7/16 2015/7/20 2015/7/17 2015/8/21 2015/7/9 2015/7/15 测评表 完成 资产收集表 完成信息 系统测评表 开始时间 完成时间 2015/7/8 阶段完成标志 《实施方案》 资产收集表 主要负责人 配合人员 1 2 3 4 5 6 评报告编制 7 安全整改建议 不符合项给安全加固与检对整改部分内容进行复2015/8/31 2015/9/4 《整改方案 》 8 2015/9/7 2015/9/25 《整改报告》 第 17 页 共 24 页
查 等级保检 协助中心通过第三方测评 2015/9/28 2015/11/31 获得测评证书 9 护验收测评
4. 人员安排
4.1. 组织结构
4.2. 项目工作分工
为确保测评工作的顺利进行,XXXXXXXXXXXXXXXXXXX
与
XXXXXXXXXXXXXXXXXXX信息安全有限公司协商组建项目组,并对项目组织机构进行如下规划:
? XXXXXXXXXXXXXXXXXXX: 名 称 职 责 项目总体负责人,负责协调XXXXXXXXXXXXXXXXXXX整体项目资源,解决项目中需要XXXXXXXXXXXXXXXXXXX配合的问题,监督项目整体质量、推进项目整体进度 项目负责人 ? XXXXXXXXXXXXXXXXXXX信息安全有限公司: 名 称 职 责 项目总体负责人,负责组织等级保护测评和评估实施队伍,做好项目负责人 整体日常资源管理、分配与协调工作,并直接控制整体项目管理的各个要素,具体包括: 第 18 页 共 24 页