信息系统安全等级保护评测方案测评对象:信息系统(三级)委托单位:测评单位:xx研究所前言近年来随着我国网络建设和信息化建设的高速发展,医疗、教育、政府机关等单位的业务与信息化的结合越来越紧密,便捷的信息化服务在提高工作效率和带来社会效益的同时,也给单位的信息安全和管理带来了严峻的挑战。一方面,信息安全由于其专业性,目前信息安全管理人员无论在数量上的缺乏还是在技能上的不足都给整个安全管理带来了很大的难度;另一方面现在的网络攻击技术手段层出不穷、变化快,往往会在短时间内造成巨大的破坏,同时由于互联网的传播使黑客技术具有更大的普及性和破坏性,会给单位造成很大的威胁。因此,提高信息安全集中监管的能力和技术水平,减少单位的运营风险已刻不容缓。在此背景下,国家建立了信息系统安全等级保护制度。信息系统安全等级保护制度是构建国家信息安全保障体系的基本制度。为进一步贯彻落实《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《信息安全等级保护管理办法》(公通字〔2007〕43号)和《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)等文件精神,提高医疗卫生行业信息系统的安全保障能力和防护水平,维护国家安全、公共利益和社会稳定,促进医疗卫生行业信息化建设的健康发展,广东省卫生厅在2012年1月印发了《关于全面开展全省卫生行业信息安全等级保护工作的通知》(粤卫办函〔2012〕2号),决定在医疗卫生行业全面开展信息系统安全等级保护工作。我公司根据多年来对医疗卫生行业的信息化状况的了解,结合在安全行业和等级保护项目上的经验积累,为医疗卫生行业的网络安全等级保护提出了具有国内领先水平的等级保护建设方案和安全服务。目录前言..................................................................................................................................................2一、总体方案概述...................................................................................................................51.1项目目标.......................................................................................................................51.2测评范围.......................................................................................................................51.3测评原则.......................................................................................................................51.4标准依据.......................................................................................................................7二、信息安全等级保护主要工作介绍...................................................................................92.1.信息系统定级...........................................................................................................102.2.信息系统备案...........................................................................................................102.3.等级保护差距测评..................................................................................................112.4.整改辅助.....................................................................................................................112.5验收测评....................................................................................................................12三、信息系统定级部分.........................................................................................................123.1业务信息安全保护等级的确定...........................................................................123.2系统服务安全保护等级的确定...........................................................................133.3安全保护等级的确定..............................................................................................13四、信息系统备案部分.........................................................................................................14五、等级保护差距测评部分.................................................................................................145.1工作流程.....................................................................................................................145.2测评方法.....................................................................................................................155.2.1单项测评...............................................................................................................155.2.2整体测评...............................................................................................................165.3测评工具.....................................................................................................................205.4测评过程风险控制..................................................................................................22六、整改建议.........................................................................................................................23七、验收测评阶段.................................................................................................................24附录测评内容.........................................................................................................................26技术控制测评.................................................................................................................26管理控制测评.................................................................................................................48一、总体方案概述1.1项目目标通过对**单位信息系统等级保护差距测评,可以了解目前**单位信息系统的等级保护差距情况,同时能够对未定级的业务系统及业务网络进行安全风险识别,并以此为依据有目的性地调整网络的保护等级并提供解决方案,针对网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署,对全网的安全进行统一的规划和建设,并根据等级保护差距测评和风险评估的结果指导**单位下一步等级保护工作的开展,确保有效保障网络安全稳定运行。1.2测评范围本次等级测评服务针对信息系统以及业务系统所依托的内部局域网网络环境、软硬件设备(数据库、中间件、应用程序、服务器、网络设备和安全设备等)、机房物理环境、涉及的运维管理机制等实施信息安全等级测评服务,其中包括定级、定级之后的差距测评和整改阶段之后的验收测试,此项目中统称为一体测评服务。具体评估范围包括但不限于:物理环境:位于中心机房和各处配线间。主要考察信息系统相关的防火、防水、防雷、防盗和不间断电源等保障物理安全的各种设施。计算机网络:网络拓扑结构、城域网和互联网连接的路由器、交换机、防火墙或其他信息安全设备、各应用服务器和整体网络的数据流信息。操作系统:检查所有网络设备、信息安全设备和服务器的操作系统,对所有设备的windows、Linux和专业操作系统是否及时安装最新补丁进行针对性检查。应用系统:所有业务系统和门户网站等重要信息系统。招标方认为重要且应包含在本次安全评估范围内的信息系统都应被认定为重要管理信息系统。数据库:对各种数据库进行安全检测。例如某业务系统中数据库是否安装最新补丁,管理帐户是否存在弱口令等进行检测。未控制网络链接:获得所有未控制并能够连接到网络的设备信息(例如调制解调器、第二块网卡、USB网卡、1394接口网卡等)。防止未经授权的拨入。防病毒及恶意软件:检查所有服务器的杀毒软件