本作业指导书旨在规范和指导三级信息系统等级保护测评工作的实施流程、方法和技术要求,确保测评工作的科学性、公正性、客观性和有效性,为信息系统的安全防护能力提供准确评估,为系统运营者的安全整改提供依据和建议。
适用于对按照国家信息安全等级保护制度要求被定为三级的信息系统的等级保护测评工作。
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239 - [最新版本号])
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448 - [最新版本号])
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449 - [最新版本号])
被测评信息系统的相关文档,如系统建设方案、安全管理制度、网络拓扑图等
项目启动
与信息系统运营者签订测评合同,明确双方的权利和义务。
成立测评项目组,包括项目负责人、测评人员、技术支持人员等,并明确各自的职责分工。
信息收集
信息系统的详细网络拓扑图,包括网络设备(路由器、交换机、防火墙等)的型号、配置、IP 地址分配等信息。
服务器、数据库、应用系统等设备的清单,包括设备名称、型号、操作系统版本、应用软件版本、IP 地址等信息。
安全管理制度文档,如安全管理策略、人员安全管理制度、访问控制策略、应急响应预案等。
信息系统的业务流程说明,包括业务功能、业务数据流向、用户角色及权限等信息。
向信息系统运营者收集以下信息:
通过问卷调查、现场访谈等方式,进一步了解信息系统的实际运行情况、安全防护措施的实施情况以及存在的安全问题。
工具准备
根据测评需求,准备相应的测评工具,如漏洞扫描工具、渗透测试工具、安全配置检查工具、网络协议分析工具、性能测试工具等,并确保工具的有效性和可靠性,提前进行工具的安装、调试和更新。
制定测评计划
根据收集到的信息,结合测评依据和要求,制定详细的测评计划,包括测评范围、测评内容、测评方法、测评时间安排、人员分工等内容。
测评计划应经过项目组内部评审,并提交给信息系统运营者审核确认,确保双方对测评计划的一致性理解和认可。
技术测评
检查数据的存储安全,包括数据的存储位置、存储方式、加密机制等,是否能够保障数据的机密性、完整性和可用性。
检查数据的传输安全,包括数据在网络传输过程中的加密措施、通信协议的安全性等,是否能够防止数据在传输过程中被窃取、篡改和伪造。
检查数据备份与恢复机制,包括数据备份策略、备份频率、备份数据的存储介质和存储位置、恢复测试情况等,是否能够满足数据丢失后的恢复需求,确保数据的完整性和可用性。
对应用系统的身份认证机制进行测试,检查用户登录过程中的身份验证方式、密码强度要求、验证码机制、多因素认证等功能是否有效,是否存在认证绕过漏洞。
检查应用系统的访问控制功能,包括用户权限管理、角色分配、功能菜单访问控制、数据访问控制等方面,是否能够根据用户的角色和权限进行合理的访问控制,防止越权访问。
对应用系统的输入输出数据进行验证,检查系统对用户输入的数据是否进行了有效的过滤和校验,防止 SQL 注入、跨站脚本攻击(XSS)、文件上传漏洞等常见的安全漏洞。
检查应用系统的安全审计功能,包括审计日志的记录、存储、查询和分析功能,是否能够对用户的操作行为进行全面、准确的审计,审计日志是否具备完整性和保密性保护措施。
检查服务器的操作系统安全配置,包括用户认证机制、密码策略、访问控制权限、系统服务配置、安全补丁安装情况等,是否符合安全要求。
检查服务器上运行的应用程序的安全性,包括应用程序的漏洞、权限管理、数据存储和传输安全等方面,是否存在安全隐患。
对服务器进行恶意代码检测,利用杀毒软件、木马查杀工具等检测服务器是否感染了病毒、木马等恶意代码,并检查恶意代码防护机制的有效性。
对信息系统的网络架构进行分析,检查网络拓扑结构是否合理,是否存在单点故障和网络瓶颈,网络设备的冗余配置是否满足要求。
进行网络设备的安全配置检查,包括路由器、交换机、防火墙等设备的访问控制列表(ACL)、端口开放情况、路由策略、VLAN 划分、安全策略等配置项,是否符合安全要求。
利用漏洞扫描工具对网络系统进行漏洞扫描,检测网络设备、服务器、操作系统、应用程序等存在的安全漏洞,并对漏洞进行分析和验证,确定其风险等级和影响范围。
进行网络渗透测试,模拟黑客的攻击行为,对信息系统的网络边界、内部网络、应用系统等进行渗透测试,检测系统的抗攻击能力和安全防护措施的有效性。
实地检查信息系统的机房环境,包括机房位置、建筑结构、防火、防水、防雷、防静电、温湿度控制、电力供应等方面,是否符合相关标准要求。
检查机房的访问控制措施,如门禁系统、身份验证机制、人员出入记录等,是否有效防止未经授权的人员进入机房。
检查机房内设备的物理防护措施,如设备的固定、线缆的铺设、防盗报警装置等,是否能够保障设备的物理安全。
物理安全测评
网络安全测评
主机安全测评
应用安全测评
数据安全测评
管理测评
检查信息系统的日常运维管理制度和流程,包括设备维护、软件升级、配置管理、安全巡检、应急响应等方面,是否能够保障系统的稳定运行和安全性。
审查运维管理的工作记录,包括设备维护记录、软件升级记录、安全事件处理记录等,了解运维管理工作的执行情况和效果。
审查信息系统的建设过程文档,包括项目招投标文件、系统设计方案、安全方案、验收报告等,检查系统建设过程中是否遵循了相关的安全标准和规范,安全措施是否同步规划、同步建设、同步运行。
检查系统的上线试运行情况,是否进行了充分的安全测试和评估,是否存在未解决的安全问题就投入正式运行的情况。
检查信息系统的人员录用、离岗、培训、考核等环节的安全管理措施,是否能够确保人员的安全性和可靠性,防止因人员因素导致的安全事件发生。
对关键岗位人员进行背景调查,了解其个人身份、学历、工作经历、社会关系等信息,是否存在潜在的安全风险。
检查信息系统是否设立了专门的安全管理机构,机构的职责分工是否明确,人员配备是否合理,是否具备相应的专业技能和资质。
审查安全管理机构的日常工作记录,包括安全检查记录、安全事件处理记录、安全培训记录等,了解安全管理机构的工作开展情况和有效性。
审查信息系统的安全管理制度文档,检查制度的完整性、合理性和有效性,是否涵盖了安全管理的各个方面,如人员安全管理、设备安全管理、数据安全管理、应急响应管理等。
通过现场访谈和问卷调查的方式,了解安全管理制度的执行情况,是否存在制度执行不到位的情况,员工对安全管理制度的熟悉程度和遵守情况如何。
安全管理制度测评
安全管理机构测评
人员安全测评
系统建设管理测评
系统运维管理测评
测评结果分析
对技术测评和管理测评的结果进行汇总和整理,分析信息系统在各个安全层面存在的安全问题和风险隐患,确定问题的严重程度和影响范围。
对安全问题进行分类和归纳,找出问题产生的原因和根源,例如是由于安全配置不当、技术漏洞、管理缺失还是其他因素导致的。
根据测评结果,结合信息系统的业务特点和安全需求,评估信息系统当前的安全防护能力与等级保护基本要求之间的差距,确定信息系统的安全等级是否符合三级要求。
风险评估
对测评发现的安全问题进行风险评估,采用定性和定量相结合的方法,评估安全问题对信息系统造成的潜在风险,包括资产损失、业务中断、数据泄露、声誉损害等方面的风险程度。
根据风险评估结果,对安全问题进行优先级排序,确定哪些问题需要立即整改,哪些问题可以在后续阶段逐步解决,为信息系统运营者提供合理的安全整改建议和决策依据。
报告编制
根据测评结果分析和风险评估情况,编制详细的等级保护测评报告,报告内容应包括信息系统的基本情况、测评范围、测评依据、测评过程、测评结果、安全问题分析、风险评估、整改建议等内容。
测评报告应语言简洁、条理清晰、数据准确、结论客观,能够准确反映信息系统的安全现状和存在的问题,并提出具有针对性和可操作性的整改建议,为信息系统运营者提供有效的安全决策支持。
测评报告应经过项目组内部审核和评审,确保报告的质量和准确性,然后提交给信息系统运营者,并根据运营者的反馈意见进行必要的修改和完善。
整改跟踪
与信息系统运营者保持密切沟通,跟踪其安全整改工作的进展情况,及时了解整改过程中遇到的问题和困难,并提供必要的技术支持和指导。
定期收集整改工作的相关文档和证据,如整改方案、整改措施实施记录、测试报告等,对整改工作的有效性进行验证和评估,确保整改工作按照预定计划和要求进行。
复测
在信息系统运营者完成安全整改工作后,根据整改情况和测评报告的要求,对信息系统进行复测,验证整改措施的有效性,检查安全问题是否得到有效解决,信息系统的安全防护能力是否得到提升。
复测过程应遵循与初次测评相同的测评流程、方法和技术要求,确保测评结果的准确性和可比性,对复测结果进行详细记录和分析,并编制复测报告。
将复测报告提交给信息系统运营者,并与初次测评报告进行对比分析,向运营者展示整改工作的成效和信息系统安全防护能力的提升情况,为运营者的安全管理工作提供参考和依据。
资料归档
整理和归档测评项目的所有相关资料,包括项目合同、测评计划、测评报告、整改跟踪记录、复测报告、工具使用记录、人员培训记录等,确保资料的完整性和可追溯性。
将归档资料按照规定的格式和要求进行存储和保管,以便后续查阅和参考,同时遵守相关的保密规定,保护信息系统运营者的商业秘密和敏感信息。
项目总结
组织项目组成员对整个测评项目进行总结和回顾,分析项目实施过程中取得的经验和教训,评估项目的质量和效果,为今后的等级保护测评项目提供参考和借鉴。
对项目组成员的工作表现进行评价和考核,表彰优秀成员,激励全体成员不断提高自身的专业技能和业务水平,提升团队的整体战斗力和竞争力。
