XXXXXXXX系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)方案2025年1月5日測(cè)評(píng)文檔基本信息文檔名稱XXXXXXXX系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)方案編制單位編 制 人審 閱 人提交日期測(cè)評(píng)文檔確認(rèn)信息確 認(rèn) 人日期單位/部門目 錄1 概述 11.1 項(xiàng)目簡介 11.2 測(cè)評(píng)依據(jù) 11.3 測(cè)評(píng)項(xiàng)目組及成員 12 被測(cè)信息系統(tǒng)情況 22.1 定級(jí)情況 22.2 承載的業(yè)務(wù)情況 22.3 網(wǎng)絡(luò)結(jié)構(gòu) 22.4 信息系統(tǒng)構(gòu)成 12.5 訪談人員 12.6 安全管理文檔 22.7 前次測(cè)評(píng)情況 23 測(cè)評(píng)范圍與方法 23.1 測(cè)評(píng)指標(biāo) 23.1.1 基本指標(biāo) 23.1.2 特殊指標(biāo) 33.2 測(cè)評(píng)對(duì)象 33.2.1 測(cè)評(píng)對(duì)象選擇方法 33.2.2 測(cè)評(píng)對(duì)象選擇結(jié)果 43.3 測(cè)評(píng)方法 64 單項(xiàng)測(cè)評(píng)內(nèi)容 64.1 物理安全測(cè)評(píng) 64.2 網(wǎng)絡(luò)安全測(cè)評(píng) 74.3 主機(jī)安全測(cè)評(píng) 84.4 應(yīng)用安全測(cè)評(píng) 94.5 數(shù)據(jù)安全及備份恢復(fù)測(cè)評(píng) 104.6 安全管理制度測(cè)評(píng) 114.7 安全管理機(jī)構(gòu)測(cè)評(píng) 114.8 人員安全管理測(cè)評(píng) 124.9 系統(tǒng)建設(shè)管理測(cè)評(píng) 124.10 系統(tǒng)運(yùn)維管理測(cè)評(píng) 135 工具測(cè)試 155.1 測(cè)評(píng)工具 155.2 風(fēng)險(xiǎn)和規(guī)避措施 155.2.1 操作系統(tǒng)和常見應(yīng)用漏洞掃描 165.2.2 WEB應(yīng)用漏洞掃描 166 系統(tǒng)整體測(cè)評(píng)內(nèi)容 176.1 層面間安全測(cè)評(píng) 176.2 區(qū)域間安全測(cè)評(píng) 176.3 系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng) 177 配合資源要求 17目錄-II-1 概述1.1 項(xiàng)目簡介本次等級(jí)測(cè)評(píng)的目標(biāo)系統(tǒng)為XXXXXXXX系統(tǒng)，測(cè)評(píng)范圍包括系統(tǒng)相關(guān)的機(jī)房、網(wǎng)絡(luò)環(huán)境、服務(wù)器、數(shù)據(jù)庫及其安全管理制度文檔等。

目前，XXXX已完成了基本的建設(shè)工作，為進(jìn)一步提高系統(tǒng)的安全保障能力，XXXX委托XXXX公司對(duì)XXXX系統(tǒng)進(jìn)行安全等級(jí)測(cè)評(píng)測(cè)評(píng)工作組將依據(jù)等級(jí)保護(hù)的相關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)，實(shí)施本次安全測(cè)評(píng)工作安全測(cè)評(píng)范圍包括被測(cè)系統(tǒng)相關(guān)的物理環(huán)境、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備等；測(cè)評(píng)內(nèi)容涵蓋物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)，以及信息安全管理等方面測(cè)評(píng)完成后針對(duì)系統(tǒng)中存在的安全問題進(jìn)行風(fēng)險(xiǎn)分析，提出整改意見，并最終形成安全測(cè)評(píng)報(bào)告1.2 測(cè)評(píng)依據(jù)1) 《GB/T 22239-2019信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》2) 《GB/T 22240-2020信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》3) GB/T 25058-2010《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（以下簡稱《基本要求》）4) GB/T 28448-2019《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（以下簡稱《測(cè)評(píng)要求》）5) GB/T 28449-2018《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》6) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告7) 信息系統(tǒng)安全等級(jí)保護(hù)備案表1.3 測(cè)評(píng)項(xiàng)目組及成員為順利完成本項(xiàng)目測(cè)評(píng)工作，成立了測(cè)評(píng)項(xiàng)目小組，具體成員及分工如下：負(fù)責(zé)人：項(xiàng)目組成員：網(wǎng)絡(luò)測(cè)評(píng)組： 小組工作：負(fù)責(zé)信息系統(tǒng)的網(wǎng)絡(luò)安全測(cè)評(píng)（包括網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備）和工具接入測(cè)試，完成《信息安全等級(jí)測(cè)評(píng)報(bào)告》網(wǎng)絡(luò)相關(guān)技術(shù)部分內(nèi)容和工具測(cè)試部分內(nèi)容。

主機(jī)測(cè)評(píng)組：小組工作: 負(fù)責(zé)信息系統(tǒng)的服務(wù)器安全測(cè)評(píng)（包括操作系統(tǒng)和數(shù)據(jù)庫），完成《信息安全等級(jí)測(cè)評(píng)報(bào)告》主機(jī)安全相關(guān)技術(shù)部分內(nèi)容應(yīng)用測(cè)評(píng)組：小組工作：負(fù)責(zé)信息系統(tǒng)的應(yīng)用部分安全測(cè)評(píng)和數(shù)據(jù)部分的安全測(cè)評(píng)，完成《信息安全等級(jí)測(cè)評(píng)報(bào)告》應(yīng)用相關(guān)技術(shù)部分內(nèi)容管理測(cè)評(píng)組：小組工作：負(fù)責(zé)信息系統(tǒng)的物理安全及管理部分安全測(cè)評(píng)，完成《信息安全等級(jí)測(cè)評(píng)報(bào)告》物理安全及管理部分相關(guān)內(nèi)容2 被測(cè)信息系統(tǒng)情況2.1 定級(jí)情況XXXX系統(tǒng)定為四級(jí)（S4A4G4），本次安全測(cè)評(píng)將依據(jù)信息安全保護(hù)等級(jí)第四級(jí)要求開展2.2 承載的業(yè)務(wù)情況2.3 網(wǎng)絡(luò)結(jié)構(gòu)系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如下所示：正文第19頁 / 共19頁2.4 信息系統(tǒng)構(gòu)成1) 業(yè)務(wù)應(yīng)用軟件表21業(yè)務(wù)應(yīng)用軟件基本情況表序號(hào)軟件名稱主要功能重要程度12) 關(guān)鍵數(shù)據(jù)類別表22關(guān)鍵數(shù)據(jù)類別基本情況表序號(hào)數(shù)據(jù)類型所屬業(yè)務(wù)應(yīng)用安全防護(hù)需求重要程度13) 主機(jī)/存儲(chǔ)設(shè)備表23主機(jī)/存儲(chǔ)設(shè)備基本情況表序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件14) 數(shù)據(jù)庫管理系統(tǒng)表24數(shù)據(jù)庫管理系統(tǒng)基本情況表序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)15) 網(wǎng)絡(luò)互聯(lián)設(shè)備表25網(wǎng)絡(luò)互聯(lián)設(shè)備基本情況表序號(hào)設(shè)備名稱用途重要程度16) 安全設(shè)備表26安全設(shè)備基本情況表序號(hào)設(shè)備名稱用途重要程度12.5 訪談人員表27 訪談人員基本情況表序號(hào)姓名崗位/職責(zé)12.6 安全管理文檔表28 安全管理文檔基本情況表序號(hào)文檔名稱主要內(nèi)容1信息安全機(jī)構(gòu)相關(guān)文檔對(duì)信息安全管理工作機(jī)構(gòu)的組成、分工、職責(zé)進(jìn)行了詳細(xì)要求。

2信息安全人員相關(guān)文檔對(duì)相關(guān)信息安全人員的考核、培訓(xùn)、入職、離職等進(jìn)行了詳細(xì)要求3信息安全制度相關(guān)文檔對(duì)信息安全制度的組成、原則、目標(biāo)、任務(wù)以及涵蓋的具體內(nèi)容進(jìn)行了詳細(xì)要求4信息系統(tǒng)安全建設(shè)相關(guān)文檔對(duì)信息系統(tǒng)的軟件開發(fā)、工程實(shí)施進(jìn)行了具體要求，明確了從需求、設(shè)計(jì)、開發(fā)階段至驗(yàn)收的各階段要求5信息系統(tǒng)安全運(yùn)維相關(guān)文檔對(duì)信息系統(tǒng)中的資產(chǎn)、介質(zhì)、設(shè)備的要求比較全面，涵蓋了制度規(guī)定、日常使用等多個(gè)方面針對(duì)網(wǎng)絡(luò)安全、系統(tǒng)安全以及惡意代碼防范方面均制定了詳細(xì)的規(guī)程2.7 前次測(cè)評(píng)情況本次測(cè)評(píng)為系統(tǒng)建成后首次安全等級(jí)測(cè)評(píng)3 測(cè)評(píng)范圍與方法《基本要求》中對(duì)不同等級(jí)信息系統(tǒng)的安全功能和措施作出具體要求，信息安全等級(jí)測(cè)評(píng)要根據(jù)信息系統(tǒng)的等級(jí)從中選取相應(yīng)等級(jí)的安全測(cè)評(píng)指標(biāo)，并根據(jù)《測(cè)評(píng)要求》的要求，對(duì)信息系統(tǒng)實(shí)施安全現(xiàn)狀測(cè)評(píng)因此，本次測(cè)評(píng)將根據(jù)信息系統(tǒng)的等級(jí)選取S4A4G4的測(cè)評(píng)指標(biāo)3.1 測(cè)評(píng)指標(biāo)3.1.1 基本指標(biāo)依據(jù)定級(jí)結(jié)果，系統(tǒng)的基本安全測(cè)評(píng)指標(biāo)《基本要求》 “第四級(jí) 基本要求”中的4級(jí)通用指標(biāo)類（G4），4級(jí)業(yè)務(wù)信息安全性指標(biāo)類（S4）和4級(jí)業(yè)務(wù)服務(wù)保證（A4），所包括的安全控制指標(biāo)類情況如下表：表 31 四級(jí)信息系統(tǒng)測(cè)評(píng)指標(biāo)統(tǒng)計(jì)列表測(cè)評(píng)指標(biāo)技術(shù)/管理安全分類安全子類數(shù)量S類（4級(jí)）A類（4級(jí)）G類（4級(jí)）小計(jì)安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1067主機(jī)安全5139應(yīng)用安全72211數(shù)據(jù)安全及備份恢復(fù)2103安全管理安全管理機(jī)構(gòu)0033安全管理制度0055人員安全管理0055系統(tǒng)建設(shè)管理001111系統(tǒng)運(yùn)維管理001313合 計(jì)773.1.2 特殊指標(biāo)無特殊指標(biāo)。

3.2 測(cè)評(píng)對(duì)象3.2.1 測(cè)評(píng)對(duì)象選擇方法依據(jù)GB/T 28449-2018信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南的測(cè)評(píng)對(duì)象確定原則和方法，測(cè)評(píng)對(duì)象是等級(jí)測(cè)評(píng)的直接工作對(duì)象，也是在被測(cè)系統(tǒng)中實(shí)現(xiàn)特定測(cè)評(píng)指標(biāo)所對(duì)應(yīng)的安全功能的具體系統(tǒng)組件，因此，選擇測(cè)評(píng)對(duì)象是編制測(cè)評(píng)方案的必要步驟，也是整個(gè)測(cè)評(píng)工作的重要環(huán)節(jié)考慮工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系本次測(cè)評(píng)在確定測(cè)評(píng)對(duì)象時(shí)，遵循以下原則：1． 恰當(dāng)性，選擇的設(shè)備、軟件系統(tǒng)等應(yīng)能滿足相應(yīng)等級(jí)的測(cè)評(píng)強(qiáng)度要求；2． 重要性，應(yīng)抽查對(duì)被測(cè)系統(tǒng)來說重要的服務(wù)器、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備等；3． 安全性，應(yīng)抽查對(duì)外暴露的網(wǎng)絡(luò)邊界；4． 共享性，應(yīng)抽查共享設(shè)備和數(shù)據(jù)交換平臺(tái)/設(shè)備；5． 代表性，抽查應(yīng)盡量覆蓋系統(tǒng)各種設(shè)備類型、操作系統(tǒng)類型、數(shù)據(jù)庫系統(tǒng)類型和應(yīng)用系統(tǒng)類型具體抽查的測(cè)評(píng)對(duì)象種類主要考慮以下幾個(gè)方面：1． 主機(jī)房（包括其環(huán)境、設(shè)備和設(shè)施等），如果某一輔機(jī)房中放置了服務(wù)于整個(gè)信息系統(tǒng)或?qū)π畔⑾到y(tǒng)的安全性起決定作用的設(shè)備、設(shè)施，那么也應(yīng)該作為測(cè)評(píng)對(duì)象；2． 存儲(chǔ)被測(cè)系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；3． 整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；4． 安全設(shè)備，防火墻；5． 邊界網(wǎng)絡(luò)設(shè)備（可能會(huì)包含安全設(shè)備），包括路由器、防火墻和認(rèn)證網(wǎng)關(guān)等；6． 對(duì)整個(gè)信息系統(tǒng)或其局部的安全性起決定作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、匯聚層交換機(jī)、核心路由器等；7． 承載被測(cè)系統(tǒng)核心或重要業(yè)務(wù)、數(shù)據(jù)的服務(wù)器（包括其操作系統(tǒng)和數(shù)據(jù)庫）；8． 重要管理終端；9． 能夠代表被測(cè)系統(tǒng)主要使命的業(yè)務(wù)應(yīng)用系統(tǒng)；10． 信息安全主管人員、各方面的負(fù)責(zé)人員；11． 涉及到信息系統(tǒng)安全的所有管理制度和記錄。

結(jié)合資產(chǎn)重要程度賦值結(jié)果，描述本報(bào)告中測(cè)評(píng)對(duì)象的選擇規(guī)則和方法3.2.2 測(cè)評(píng)對(duì)象選擇結(jié)果1) 機(jī)房表32 測(cè)評(píng)對(duì)象-機(jī)房列表序號(hào)機(jī)房名稱物理位置12) 業(yè)務(wù)應(yīng)用軟件表33 測(cè)評(píng)對(duì)象-業(yè)務(wù)應(yīng)用軟件列表序號(hào)軟件名稱主要功能重要程度13) 主機(jī)（存儲(chǔ)）操作系統(tǒng)表34 測(cè)評(píng)對(duì)象-主機(jī)（存儲(chǔ)）操作系統(tǒng)列表序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件14) 數(shù)據(jù)庫管理系統(tǒng)表35 測(cè)評(píng)對(duì)象-數(shù)據(jù)庫管理系統(tǒng)列表序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)15) 網(wǎng)絡(luò)互聯(lián)設(shè)備表36 測(cè)評(píng)對(duì)象-網(wǎng)絡(luò)互聯(lián)設(shè)備列表序號(hào)設(shè)備名稱用途重要程度16) 安全設(shè)備表37 測(cè)評(píng)對(duì)象-安全設(shè)備列表序號(hào)設(shè)備名稱用途重要程度1重要7) 訪談人員表38 測(cè)評(píng)對(duì)象-訪談人員列表序號(hào)姓名崗位/職責(zé)18) 安全管理文檔表39 測(cè)評(píng)對(duì)象-安全管理文檔列表序號(hào)文檔名稱主要內(nèi)容1信息安全機(jī)構(gòu)相關(guān)文檔對(duì)信息安全管理工作機(jī)構(gòu)的組成、分工、職責(zé)進(jìn)行了詳細(xì)要求2信息安全人員相關(guān)文檔對(duì)相關(guān)信息安全人員的考核、培訓(xùn)、入職、離職等進(jìn)行了詳細(xì)要求3信息安全制度相關(guān)文檔對(duì)信息安全制度的組成、原則、目標(biāo)、任務(wù)以及涵蓋的具體內(nèi)容進(jìn)行了詳細(xì)要求4信息系統(tǒng)安全建設(shè)相關(guān)文檔對(duì)信息系統(tǒng)的軟件開發(fā)、工程實(shí)施進(jìn)行了具體要求，明確了從需求、設(shè)計(jì)、開發(fā)階段至驗(yàn)收的各階段要求。

5信息系統(tǒng)安全運(yùn)維相關(guān)文檔對(duì)信息系統(tǒng)中的資產(chǎn)、介質(zhì)、設(shè)備的要求比較全面，涵蓋了制度規(guī)定、日常使用等多個(gè)方面針對(duì)網(wǎng)絡(luò)安全、系統(tǒng)安全以及惡意代碼防范方面均制定了詳細(xì)的規(guī)程3.3 測(cè)評(píng)方法現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施期間，采取的主要測(cè)評(píng)方式為：人員訪談、文檔檢查、配置檢查、實(shí)地察看，工具測(cè)試等具體訪談信息安全主管領(lǐng)導(dǎo)，信息安全管理員，網(wǎng)絡(luò)管理員，系統(tǒng)管理員等相關(guān)人員；檢查系統(tǒng)建設(shè)過程中的相關(guān)文檔，及信息安全管理體系文檔；采用相關(guān)工具箱進(jìn)行了漏洞掃描和主機(jī)配置檢測(cè)等工具測(cè)試4 單項(xiàng)測(cè)評(píng)內(nèi)容把。