信息安全等级保护测评资料.

信息安全等级保护测评工作介绍国网电力科学研究院/电力行业信息安全等级保护第三测评实验室二〇一五年四月1目录2 信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。什么是信息安全等级保护一、信息安全等级保护概述1994年，《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年，强制性国家标准－《计算机信息系统安全保护等级划分准则》GB-17859）。2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》（66号文件）2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》（公通字[2006]7号）2011年9月，国家电监会印发《关于组织开展电力行业重要管理信息安全等级保护测评试点工作的通知》，要求统一组织开展重要管理信息系统试点测评。同年，《电力行业信息系统安全等级保护基本要求》出台，至今已更新至V11.0相关法律法规一、信息安全等级保护概述安全保护等级的划分一、信息安全等级保护概述（一）定级原则坚持“自主定级、自主保护”与国家监管相结合的原则（二）确定需要定级的系统（1）省辖市以上党政机关的重要网站和办公信息系统；（2）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；（3）电力、铁路、银行、海关、税务、民航、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统；（4）涉及国家秘密的信息系统。等级保护等级的划分一、信息安全等级保护概述7电力行业系统定级情况2010年，随着信息化SG186工程竣工，公司信息系统由三级向两级并逐渐向一级部署过渡，系统集中集成程度大幅提高，智能电网对客户服务安全交互服务能力要求更高，按照公安部和电监会要求，2012年2月，按照营销系统和ERP系统级别由2级调整为3级、变电站二次系统不再作为独立系统定级、新建智能电网调度技术支持系统作为整体统一定级的原则，重新梳理定级984套信息系统，管理信息系统调整为545套，其中3级系统127套，2级系统418套，电力二次系统调整为4级系统31套，3级系统379套。国家能源局印发《关于对国家电网公司信息系统安全等级保护定级调整的批复》（信息办函[2012]90号）同意公司定级调整结果。定级对象系统级别总部区域（省）地市内部门户（网站）系统2对外门户（网站）系统32邮件系统2公司广域网(SGInet)2ERP管理系统3财务（资金）管理系统32营销管理系统32电力市场交易系统3无生产管理信息系统2协同办公系统（办公自动化系统）32人力资源管理系统2物资管理系统2项目管理系统2综合管理系统2定级对象系统级别总部区域(省)地市1.智能电网调度技术支持系统实时监控与预警4无2.智能电网调度技术支持系统调度 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 与安全校核3无3.智能电网调度技术支持系统（地调）无34.通信设备资源管理系统3无5.通信设备网管系统3无6.调度自动化系统无37.能量管理系统4无8.广域相量测量系统3无9.电能量计量系统3无10.电力调度数据网络3无11.调度交易计划系统3无12.电网动态预警系统3无13.其他投入运行系统3无一、信息安全等级保护概述初步确定信息系统等级1、确定定级对象2、确定业务信息安全受到破坏时所侵害的客体5、确定系统服务安全受到破坏时所侵害的客体3、综合评定对客体的侵害程度6、综合评定对客体的侵害程度依据表1依据表2业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级表1表2一、信息安全等级保护概述公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。等级保护工作的职责分工一、信息安全等级保护概述1、定级与审批；2、等级评审；3、备案；4、备案管理；5、系统建设；6、等级测评；7、自查自纠；8、监督检查。等级保护工作的主要流程局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止备案管理监督检查等级变更等级测评等级测评等级测评一、信息安全等级保护概述11等级保护技术标准《信息安全等级保护管理办法》公通字[2007]43号《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息安全等级保护实施指南》（GB/T25058-2010）《信息安全等级保护定级指南》（GB/T22240-2008）《信息安全等级保护基本要求》（GB/T22239-2008）《信息安全等级保护测评要求》（GB/T28448-2012）《信息系统安全等级保护测评过程指南》（GB/T28449-2012）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术信息系统通用安全技术要求》GB/T20271-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）一、信息安全等级保护概述是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线；每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态；是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现；《等级保护基本要求》的定位一、信息安全等级保护概述《基本要求》的组织方式某级系统类技术要求管理要求基本要求类控制点要求项控制点具体要求………………………………技术和管理大类各有5个子类分为技术要求和管理要求两大类根据等级提高，控制点逐级增多根据等级提高，要求项逐级增多最基础的测评单元，测评作业指导书的编写依据一、信息安全等级保护概述三类要求之间的关系通用安全保护类要求（G）业务信息安全类（S）系统服务保证类（A）安全要求一、信息安全等级保护概述安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811技术要求合计3379136148管理要求安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270管理要求合计5296154170等级保护具体测评准则—要求项数量的逐级增加一、信息安全等级保护概述16依据《电力行业信息系统安全等级保护基本要求》（征求意见稿）针对物理安全、网络安全、主机安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个方面开展测评。三级系统测评指标数283个，二级系统测评指标数186个。电力行业测评标准与国标对比管理信息系统工作要求与国家标准对照表要求类二级系统三级系统国家标准行标需求国家标准行标需求物理安全19303239网络安全18333344主机系统安全19373253应用安全19293140数据安全4588合计791341361841.物理重点增加机房物理位置、机房防火和机房供电要求。2.网络重点增加内外网隔离、终端接入和网络设备安全防护的要求。3.主机操作系统重点增加身份认证强度、访问控制细度和入侵攻击防范的要求。主机数据库重点增加身份认证强度、访问控制细度和入侵攻击防范的要求。4.应用系统增加统一门户认证、匿名访问控制、默认账户管理和软件容错性要求。5.数据层面继承国家标准防护要求。一、信息安全等级保护概述等级保护重点要求项例举-物理安全应对介质分类标识，存储在介质库或档案室中；（二级）应将设备或主要部件进行固定，并设置明显的不易除去的标记；（二级）水管安装，不得穿过机房屋顶和活动地板下；（二级）应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；（三级）应利用光、电等技术设置机房防盗报警系统；（三级）应设置防雷保安器，防止感应雷；（三级）机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；（三级）应设置冗余或并行的电力电缆线路为计算机系统供电；（三级）应建立备用供电系统；（三级）应对关键设备和磁介质实施电磁屏蔽。（三级）一、信息安全等级保护概述等级保护重点要求项例举-网络安全应在网络边界部署访问控制设备，启用访问控制功能；（二级）审计 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；（二级）应对网络设备的管理员登录地址进行限制；（二级）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；（三级）应能够根据记录数据进行分析，并生成审计报表；（三级）应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；（三级）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警；（三级）应在网络边界处对恶意代码进行检测和清除；（三级）应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。（三级）一、信息安全等级保护概述等级保护重点要求项例举-主机安全操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；（二级）应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；（二级）应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；（二级）应对重要信息资源设置敏感标记；（三级）应能够根据记录数据进行分析，并生成审计报表；（三级）应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除；（三级）主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；（三级）应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；（三级）应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。（三级）一、信息安全等级保护概述等级保护重点要求项例举-应用安全应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；（二级）应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；（二级）当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；（二级）应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除；（三级）应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复;（三级）应能够对一个时间段内可能的并发会话连接数进行限制；（三级）应能够对系统服务水平降低到预先规定的最小值进行检测和报警。（三级）一、信息安全等级保护概述等级保护重点要求项例举-数据安全及备份恢复应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏；（二级）应能够对重要信息进行备份和恢复；（二级）应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；（三级）应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；（三级）应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；（三级）应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；（三级）应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。（三级）一、信息安全等级保护概述等级保护重点要求项例举-管理要求应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责；（二级）人员离岗应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；（二级）应在软件安装之前检测软件包中可能存在的恶意代码；（二级）应配备专职安全管理员，不可兼任；（三级）安全管理制度应具有统一的格式，并进行版本控制；（三级）应制定代码编写安全 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 ，要求开发人员参照规范编写代码；（三级）在系统运行过程中，应至少每年对系统进行一次等级测评，发现不符合相应等级保护标准要求的及时整改；（三级）应建立控制数据备份和恢复过程的程序，对备份过程进行记录，所有文件和记录应妥善保存；（三级）应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等。（三级）一、信息安全等级保护概述目录2324等级测评是指，测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活劢。内部驱动力了解目前的安全保护实际情况；明确安全需求，为后续的建设和整改工作提供参考/依据；切实提升企业/机构的信息安全防护能力。外部驱动力信息安全等级保护管理办法（公通字【2007】43号）第十四条信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。二、信息安全等级测评概述25执行主体符合条件的测评机构执行的强制性管理办法强制周期性执行执行对象已经定级的信息系统特定等级测评项目面对的被测评系统是由一个或多个不同安全保护等级的定级对象构成的信息系统测评依据符合《基本要求》测评内容单元测评（技术和管理）和整体测评测评付出不同级别的测评力度不同测评方式访谈、检查和测试服务对象主管部门，运维、使用单位，信息安全监管部门判定准则满足业务需求二、信息安全等级测评概述26验证测试影响系统正常运行工具测试影响系统正常运行敏感信息泄漏在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。在现场测评时，会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响，漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。泄漏被测系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。等级测评实施过程中，被测系统可能面临以下风险:风险规避措施：通过在备机和测试环境下测评规避对生产环境的影响；操作前进行测试和备份工作，并制定应急处理 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ；被测单位派遣技术人员全程配合及监督测评人员行为，原则上上机操作由运营单位人员进行风险规避措施：避开业务高峰期进行漏洞扫描、渗透测试和人工验证，必要时采取一定的试验。原则上对重要系统不采用漏洞扫描和工具自动化检测，采用人工审计检查的方式，并选择在备机上执行测评风险规避措施：机构派遣有资质并且政治可靠的测评师进行等级测评工作；与被测单位签署保密协议；机构制定质量管理、保密管理、配置管理制度和计划并执行二、信息安全等级测评概述27等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。测评流程测评准备活动方案编制活动现场测评活动分析及报告编制活动沟通与洽谈二、信息安全等级测评概述28方案编制活动现场测评活动分析及报告编制活动本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。测评准备活动本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书，形成测评方案。本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和GB/T25058-2010的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。二、信息安全等级测评概述目录2930三、信息安全等级测评内容介绍测评准备活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程如图所示：等级测评项目启动工作流程信息收集和分析工具和表单准备测评准备活动31在项目启动任务中，测评机构组建等级测评项目组，获取测评委托单位及被测系统的基本情况，从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。任务描述根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组，从人员方面做好准备，并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。测评机构要求测评委托单位提供基本资料，包括：被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有），测评委托单位的信息化建设状况与发展以及联络方式等。三、信息安全等级测评内容介绍测评准备活动32测评机构通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，为编写测评方案和开展现场测评工作奠定基础。任务描述测评机构收集等级测评需要的各种资料，包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。测评机构将调查表格提交给测评委托单位，督促被测系统相关人员准确填写调查表格。测评机构收回填写完成的调查表格，并分析调查结果，了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。如果调查表格填写不准确或不完善或存在相互矛盾的地方较多，测评机构应安排现场调查，与被测系统相关人员进行面对面的沟通和了解。三、信息安全等级测评内容介绍测评准备活动33测评项目组成员在进行现场测评之前，应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。任务描述测评人员调试本次测评过程中将用到的测评工具，包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。测评人员模拟被测系统搭建测评环境。准备和打印表单，主要包括：现场测评授权书、文档交接单、会议记录表单、会议签到表单等。三、信息安全等级测评内容介绍测评准备活动34主要任务输入输出/产品项目启动委托测评协议书信息收集和分析工具表单准备项目计划书被测系统描述文件、定级报告、验收报告、安全需求分析报告、安全总体方案、自查或上次等级测评报告（如果有）、信息系统基本情况调查表、项目计划书填好的信息系统基本情况调查表格各种与被测系统相关的技术资料选用的测评工具清单打印的各类表单：现场测评授权书、文档交接单、会议记录表单、会议签到表单三、信息安全等级测评内容介绍测评准备活动35任务输出文档文档内容项目启动项目计划书项目概述、工作依据、技术思路、工作内容和项目组织等 信息收集和分析填好的调查表格被测系统的安全保护等级、业务情况、数据情况、软硬件情况、管理模式和相关部门及角色等。工具和表单准备选用的测评工具清单打印的各类表单：现场测评授权书、文档交接单、会议记录表单、会议签到表单。 现场测评授权、交接的文档名称、会议记录项目、会议签到项目。 三、信息安全等级测评内容介绍测评准备活动36组建等级测评项目组。指出测评委托单位应提供的基本资料。准备被测系统基本情况调查表格，并提交给测评委托单位。向测评委托单位介绍安全测评工作流程和方法。向测评委托单位说明测评工作可能带来的风险和规避方法。了解测评委托单位的信息化建设状况与发展，以及被测系统的基本情况。初步分析系统的安全情况。准备测评工具和文档。向测评机构介绍本单位的信息化建设状况与发展情况。准备测评机构需要的资料。为测评人员的信息收集提供支持和协调。准确填写调查表格。根据被测系统的具体情况，如业务运行高峰期、网络布置情况等，为测评时间安排提供适宜的建议。制定应急预案。测评机构职责测评委托单位职责三、信息安全等级测评内容介绍测评准备活动37方案编制活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书，形成测评方案。方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制六项主要任务。这六项任务的基本工作流程如图所示：测评对象确定工作流程测评指标确定测评工具接入点确定测评内容确定测评指导书开发测评方案编制三、信息安全等级测评内容介绍方案编制活动38根据已经了解到的被测系统信息，分析整个被测系统及其涉及的业务应用系统，确定出本次测评的测评对象。任务描述识别并描述被测系统的整体结构根据调查表格获得的被测系统基本情况，识别出被测系统的整体结构并加以描述。描述内容应包括被测系统的标识（名称），物理环境，网络拓扑结构和外部边界连接情况等，并给出网络拓扑图。识别并描述被测系统的边界根据填好的调查表格，识别出被测系统边界并加以描述。描述内容应包括被测系统与其他网络进行外部连接的边界连接方式，如采用光纤、无线和专线等；描述各边界主要设备，如防火墙、路由器或服务器等。如果在被测系统边界连接处有共用设备，一般可以把该设备划到等级较高的那个信息系统中。识别并描述被测系统的网络区域一般信息系统都会根据业务类型及其重要程度将信息系统划分为不同的区域。对于没有进行区域划分的系统，应首先根据被测系统实际情况进行大致划分并加以描述。描述内容主要包括区域划分、每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。三、信息安全等级测评内容介绍方案编制活动任务描述识别并描述被测系统的重要节点描述系统节点时可以以区域为线索，具体描述各个区域内包括的计算机硬件设备（包括服务器设备、客户端设备、打印机及存储器等外围设备）、网络硬件设备（包括交换机、路由器、各种适配器等）等，并说明各个节点之间的主要连接情况和节点上安装的应用系统软件情况等。描述被测系统对上述描述内容进行整理，确定被测系统并加以描述。描述被测系统时，一般以被测系统的网络拓扑结构为基础，采用总分式的描述方法，先说明整体结构，然后描述外部边界连接情况和边界主要设备，最后介绍被测系统的网络区域组成、主要业务功能及相关的设备节点等。确定测评对象分析各个作为定级对象的信息系统，包括信息系统的重要程度及其相关设备、组件，在此基础上，确定出各测评对象。描述测评对象描述测评对象时，一般针对每个定级对象分门别类加以描述，包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备及其操作系统、安全设备及其操作系统、访谈人员及其安全管理文档等。在对每类测评对象进行描述时则一般采用列表的方式，包括测评对象所属区域、设备名称、用途、设备信息等内容。三、信息安全等级测评内容介绍方案编制活动40根据已经了解到的被测系统定级结果，确定出本次测评的测评指标。任务描述根据被测系统调查表格，得出被测系统的定级结果，包括业务信息安全保护等级和系统服务安全保护等级，从而得出被测系统应采取的安全保护措施ASG组合情况。从GB/T22239-2008中选择相应等级的安全要求作为测评指标，包括对ASG三类安全要求的选择。举例来说，假设某信息系统的定级结果为：安全保护等级为3级，业务信息安全保护等级为2级，系统服务安全保护等级为3级；则该系统的测评指标将包括GB/T22239-2008“技术要求”中的3级通用安全保护类要求（G3），2级业务信息安全类要求（S2），3级系统服务保证类要求（A3），以及第3级“管理要求”中的所有要求。对于由多个不同等级的信息系统组成的被测系统，应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系，而且测评指标不能分开，则不能分开的这些测评指标应采用就高原则。三、信息安全等级测评内容介绍方案编制活动41任务描述分别针对每个定级对象加以描述，包括系统的定级结果、指标选择两部分。其中，指标选择可以列表的形式给出。例如，一个安全保护等级和系统服务安全保护等级均为三级、业务信息安全保护等级为2级的定级对象，测评指标可以列出如右表所示：三、信息安全等级测评内容介绍方案编制活动42在等级测评中，对二级和二级以上的信息系统应进行工具测试，工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。任务描述确定需要进行工具测试的测评对象。选择测试路径。一般来说，测试工具的接入采取从外到内，从其他网络到本地网段的逐步逐点接入，即：测试工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。根据测试路径，确定测试工具的接入点。结合网络拓扑图，采用图示的方式描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。三、信息安全等级测评内容介绍方案编制活动43本部分确定现场测评的具体实施内容，即单元测评内容。任务描述确定单元测评内容依据《信息系统安全等级保护测评过程指南》，将前面已经得到的测评指标和测评对象结合起来，然后再将测评对象与具体的测评方法结合起来，这也是编制测评指导书测评指导书的第一步。具体做法就是把各层面上的测评指标结合到具体测评对象上，并说明具体的测评方法，如此构成一个个可以具体实施测评的单元。参照《信息系统安全等级保护测评过程指南》，结合已选定的测评指标和测评对象，概要说明现场单元测评实施的工作内容；涉及到工具测试部分，应根据确定的测试工具接入点，编制相应的测试内容。在测评方案中，现场单元测评实施内容通常以表格的形式给出，表格包括测评指标、测评内容描述等内容。现场测评实施内容是项目组每个成员开发测评指导书测评指导书的基础。三、信息安全等级测评内容介绍方案编制活动44测评指导书是具体指导测评人员如何进行测评活动的文件，是现场测评的工具、方法和操作步骤等的详细描述，是保证测评活动可以重现的根本。因此，测评指导书应当尽可能详尽、充分。任务描述描述单个测评对象，包括测评对象的名称、IP地址、用途、管理人员等信息。根据《信息系统安全等级保护测评过程指南》《测评要求》的单元测评实施确定测评活动，包括测评项、测评方法、操作步骤和预期结果等四部分。测评项是指GB/T22239-2008《基本要求》中对该测评对象在该用例中的要求，在《信息系统安全等级保护测评过程指南》中对应每个测评单元中的“测评指标”的具体要求项。测评方法是指访谈、检查和测试三种方法，具体到测评对象上可细化为文档审查、配置检查、工具测试和实地察看等多种方法，每个测评项可能对应多个测评方法。操作步骤是指在现场测评活动中应执行的命令或步骤，是按照《信息系统安全等级保护测评过程指南》中的每个“测评实施”项目开发的操作步骤，涉及到工具测试时，应描述工具测试路径及接入点等；预期结果是指按照操作步骤在正常的情况下应得到的结果和获取的证据。三、信息安全等级测评内容介绍方案编制活动45测评方案是等级测评工作实施的基础，指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下内容：项目概述、测评对象、测评指标、测评工具的接入点以及单元测评实施等。任务描述根据委托测评协议书和填好的调研表格，提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等。根据等级保护过程中的等级测评实施要求，将测评活动所依据的标准罗列出来。依据委托测评协议书和被测系统情况，估算现场测评工作量。工作量可以根据配置检查的节点数量和工具测试的接入点及测试内容等情况进行估算。根据测评项目组成员安排，编制工作安排情况。三、信息安全等级测评内容介绍方案编制活动任务描述根据以往测评经验以及被测系统规模，编制具体测评计划，包括现场工作人员的分工和时间安排。在进行时间计划安排时，应尽量避开被测系统的业务高峰期，避免给被测系统带来影响。同时，在测评计划中应将具体测评所需条件以及测评需要的配合人员也一并给出，便于测评实施之前双方沟通协调、合理安排。汇总上述内容及方案编制活动的其他任务获取的内容形成测评方案文稿。评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审，修改完成后形成提交稿。然后，测评机构将测评方案提交给测评委托单位签字认可。三、信息安全等级测评内容介绍方案编制活动47测评对象确定填好的调查表格主要任务输入输出确定出的测评对象列表测评指标确定填好的调查表格、《基本要求》确定出的测评指标主要任务输入输出测评工具接入点确定测评内容确定测评指导书开发测评方案编制填好的调查表格，确定出的测评对象、测评指标及测试工具接入点单元测评内容填好的调查表格，《测评要求》确定出的测试工具接入点及测试路径单元测评内容测评指导书委托测评协议书，填好的调研表格，确定出的测评对象、测评指标及测试工具接入点，单元测评内容测评文案文本三、信息安全等级测评内容介绍方案编制活动48任务输出文档文档内容测评对象确定测评方案的测评对象部分被测系统的整体结构、边界、网络区域、重要节点、测评对象等 测评指标确定测评方案的测评指标部分被测系统定级结果、测评指标测评工具接入点确定测评方案的测评工具接入点部分 测评工具接入点及测试方法 测评内容确定测评方案的单元测评实施部分单元测评实施内容测评指导书开发测评指导书各测评对象的测评内容及方法测评方案编制测评文案文本项目概述、测评对象、测评指标、测试工具接入点、单元测评实施内容等 三、信息安全等级测评内容介绍方案编制活动49详细分析被测系统的整体结构、边界、网络区域、重要节点等。初步判断被测系统的安全薄弱点。分析确定测评对象、测评指标和测试工具接入点，确定测评内容及方法。编制测评方案文本，并对其内部评审，并提交被测机构签字确认。对测评方案进行认可，并签字确认。测评机构职责测评委托单位职责三、信息安全等级测评内容介绍方案编制活动50现场测评活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。这三项任务的基本工作流程如图所示：现场测评准备工作流程现场测评和结果记录结果确认和资料归还三、信息安全等级测评内容介绍现场测评活动51本任务启动现场测评，是保证测评机构能够顺利实施测评的前提。任务描述测评委托单位签署现场测评授权书。召开测评现场首次会，测评机构介绍测评工作，交流测评信息，进一步明确测评计划和方案中的内容，说明测评过程中具体的实施工作内容，测评时间安排等，以便于后面的测评工作开展。测评双方确认现场测评需要的各种资源，包括测评委托单位的配合人员和需要提供的测评条件等，确认被测系统已备份过系统及数据。测评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。三、信息安全等级测评内容介绍现场测评活动52现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。访谈测评人员与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级信息系统在测评时有不同的要求，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。具体可参照《信息系统安全等级保护测评过程指南》中的各级要求。输入：测评指导书，技术安全和管理安全测评的测评结果记录表格。输出/产品：技术安全和管理安全测评的测评结果记录或录音。三、信息安全等级测评内容介绍现场测评活动53文档审查检查GB/T22239-2008中规定的必须具有的制度、策略、操作规程等文档是否齐备。检查是否有完整的制度执行情况记录，如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。对上述文档进行审核与分析，检查他们的完整性和这些文件之间的内部一致性。输入：安全方针文件，安全管理制度，安全管理的执行过程文档，系统设计方案，网络设备的技术资料，系统和产品的实际配置说明，系统的各种运行记录文档，机房建设相关资料，机房出入记录等过程记录文档，测评指导书，管理安全测评的测评结果记录表格。输出/产品：管理安全测评的测评结果记录。三、信息安全等级测评内容介绍现场测评活动54配置检查根据测评结果记录表格内容，利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等）。如果系统在输入无效命令时不能完成其功能，将要对其进行错误测试。针对网络连接，应对连接规则进行验证。输入：测评指导书，技术安全测评的网络、主机、应用测评结果记录表格。输出/产品：技术安全测评的网络、主机、应用测评结果记录。三、信息安全等级测评内容介绍现场测评活动55工具测试根据测评指导书，利用技术工具对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。备份测试结果。输入：测评指导书，技术安全测评的网络、主机、应用测评结果记录表格。输出/产品：技术安全测评的网络、主机、应用测评结果记录，工具测试完成后的电子输出记录，备份的测试结果文件。三、信息安全等级测评内容介绍现场测评活动56实地察看根据被测系统的实际情况，测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。输入：测评指导书，技术安全测评的物理安全和管理安全测评结果记录表格。输出/产品：技术安全测评的物理安全和管理安全测评结果记录。三、信息安全等级测评内容介绍现场测评活动57任务描述测评人员在现场测评完成之后，应首先汇总现场测评的测评记录，对漏掉和需要进一步验证的内容实施补充测评。召开测评现场结束会，测评双方对测评过程中发现的问题进行现场确认。测评机构归还测评过程中借阅的所有文档资料，并由测评委托单位文档资料提供者签字确认。三、信息安全等级测评内容介绍现场测评活动58主要任务输入输出/产品现场测评准备现场测评授权书，测评方案，测评指导书现场测评和结果记录结果确认和资料归还会议记录，更新后的测评计划和测评程序，确认的现场测评授权书测评指导书，测评结果记录表格测评结果记录，工具测试完成后的电子输出记录等测评结果记录，工具测试完成后的电子输出记录等现场测评中发现的主要问题汇总，证据和证据源记录，测评委托单位对测评结果记录的书面认可三、信息安全等级测评内容介绍现场测评活动59任务输出文档文档内容现场测评准备会议记录、确认的测评授权书、更新后的测评计划和测评程序 工作计划和内容安排，双方人员的协调，测评委托单位应提供的配合 访谈技术安全和管理安全测评的测评结果记录或录音 访谈记录文档审查管理安全测评的测评结果记录 管理制度和管理执行过程文档的记录 配置检查技术安全测评的网络、主机、应用测评结果记录 检查内容的记录工具测试技术安全测评的网络、主机、应用测评结果记录，工具测试完成后的电子输出记录，备份的测试结果文件 漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等内容的技术测试结果 实地察看技术安全测评的物理安全和管理安全测评结果记录 检查内容的记录 测评结果确认现场核查中发现的问题汇总、证据和证据源记录、测评委托单位的书面认可文件 测评活动中发现的问题、问题的证据和证据源、每项检查活动中测评委托单位配合人员的书面认可 三、信息安全等级测评内容介绍现场测评活动60利用访谈、文档审查、配置检查、工具测试和实地察看的方法测评被测系统的保护措施情况，并获取相关证据。测评前备份系统和数据，并确认被测设备状态完好。协调被测系统内部相关人员的关系，配合测评工作的开展。签署现场测评授权书。相关人员回答测评人员的问询，对某些需要验证的内容上机进行操作。相关人员确认测试前协助测评人员实施工具测试并提供有效建议，降低安全测评对系统运行的影响。相关人员协助测评人员完成业务相关内容的问询、验证和测试。相关人员对测评结果进行确认。相关人员确认测试后被测设备状态完好。测评机构职责测评委托单位职责三、信息安全等级测评内容介绍现场测评活动61分析和报告编制活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息系统安全等级保护测评过程指南》的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。这六项任务的基本工作流程如图所示：单项测评结果判定工作流程单元测评结果判定整体测评风险分析等级测评结论形成测评报告编制三、信息安全等级测评内容介绍分析和报告编制活动62本任务主要是针对测评指标中的单个测评项，结合具体测评对象，客观、准确地分析测评证据，形成初步单项测评结果，单项测评结果是形成等级测评结论的基础。任务描述针对每个测评项，分析该测评项所对抗的威胁在被测系统中是否存在，如果不存在，则该测评项应标为不适用项。对于适用项，则按照等级保护相关要求进行测评。分析单个测评项是否有多方面的要求内容，针对每一方面的要求内容，从一个或多个测评证据中选择出“优势证据”，并将“优势证据”与要求内容的预期测评结果相比较。如果测评证据表明所有要求内容与预期测评结果一致，则判定该测评项的单项测评结果为符合；如果测评证据表明所有要求内容与预期测评结果不一致，判定该测评项的单项测评结果为不符合；否则判定该测评项的单项测评结果为部分符合。三、信息安全等级测评内容介绍分析和报告编制活动63本任务主要是将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果，并以表格的形式逐一列出。任务描述按层面分别汇总不同测评对象对应测评指标的单项测评结果情况，包括测评多少项，符合要求的多少项等内容，一般以表格形式列出。三、信息安全等级测评内容介绍分析和报告编制活动64针对单项测评结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。任务描述针对测评对象“部分符合”及“不符合”要求的单个测评项，分析与该测评项相关的其他测评项能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。针对测评对象“部分符合”及“不符合”要求的单个测评项，分析与该测评项相关的其他层面的测评对象能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。针对测评对象“部分符合”及“不符合”要求的单个测评项，分析与该测评项相关的其他区域的测评对象能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果从安全角度分析被测系统整体结构的安全性，从系统角度分析被测系统整体安全防范的合理性。三、信息安全等级测评内容介绍分析和报告编制活动65测评人员依据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。结合单元测评的结果汇总和整体测评结果，将物理安全、网络安全、主机安全、应用安全等层面中各个测评对象的测评结果再次汇总分析，统计符合情况。一般可以表格的形式描述。判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性，可能性的取值范围为高、中和低。判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用后，对被测系统的业务信息安全和系统服务安全造成的影响程度，影响程度取值范围为高、中和低。对被测系统面临的安全风险进行赋值，风险值的取值范围为高、中和低。结合被测系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。任务描述三、信息安全等级测评内容介绍分析和报告编制活动66测评人员在测评结果汇总的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。任务描述根据测评结果汇总表格，如果部分符合和不符合项的统计结果不全为0，则该信息系统未达到相应等级的基本安全保护能力；如果部分符合和不符合项的统计结果全为0，则该信息系统达到了相应等级的基本安全保护能力。三、信息安全等级测评内容介绍分析和报告编制活动测评报告应包括但不局限于以下内容：概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。其中，概述部分描述被测系统的总体情况、本次测评的主要测评目的和依据；被测系统描述、测评对象、测评指标、测评内容和方法等部分内容编制时可以参考测评方案相关部分内容，有改动的地方应根据实际测评情况进行修改。任务描述测评人员整理前面几项任务的输出/产品，编制测评报告相应部分。针对测评委托单位每个系统应形成一份测评报告，如果一个测评委托单位内有多个被测系统，报告中应分别描述每一个被测系统的等级测评情况。针对被测系统存在的安全隐患，从系统安全角度提出相应的改进建议，编制测评报告的安全建设整改建议部分。列表给出现场测评的文档清单和单项测评记录，以及对各个测评项的单项测评结果判定情况，编制测评报告的单元测评的结果记录和问题分析部分。测评报告编制完成后，测评机构应根据测评协议书、测评委托单位提交的相关文档、测评原始记录和其他辅助信息，对测评报告进行评审。评审通过后，由项目负责人签字确认并提交给测评委托单位。67三、信息安全等级测评内容介绍分析和报告编制活动68主要任务输入输出/产品单项测评结果判定测评结果记彔，测评指导书单项测评结果单元测评结果判定单项测评结果单元测评结果整体测评单元测评结果整体测评结果风险分析整体测评结果风险分析结果等级测评结论形成单元测评结果整体测评结果等级测评结论测评报告编制测评方案/测评结果记彔、单项测评结果、单元测评结果、整体测评结果、风险分析结果测评报告文本三、信息安全等级测评内容介绍分析和报告编制活动69任务输出文档文档内容单项测评结果判定等级测评报告的单元测评的结果记录部分 分析被测系统的安全现状（各个层面的基本安全状况）与标准中相应等级的基本要求的符合情况，给出单项测评结果。 单项测评结果汇总分析等级测评报告的单元测评的结果汇总部分 汇总统计单项测评结果，给出针对每个对象的单元测评结果。 整体测评等级测评报告的整体测评部分 分析被测系统整体安全状况及对单项测评结果的修订情况。 风险分析等级测评报告的风险分析和评价部分 分析被测系统存在的风险情况。 等级测评结论形成等级测评报告的等级测评结论部分 对测评结果进行分析，形成等级测评结论。 测评报告编制等级测评报告单项测评记录和结果，单项测评结果汇总，整体测评过程及结果，风险分析过程及结果，等级测评结论，安全建设整改建议等。 三、信息安全等级测评内容介绍分析和报告编制活动70分析并判定单项测评结果和整体测评结果。分析评价被测系统存在的风险情况。根据测评结果形成等级测评结论。编制等级测评报告，说明系统存在的安全隐患和缺陷，并给出改进建议。评审等级测评报告，并将评审过的等级测评报告按照分发范围进行分发。将生成的过程文档归档保存，并将测评过程中生成的电子文档清除。签收测评报告。测评机构职责测评委托单位职责三、信息安全等级测评内容介绍分析和报告编制活动目录71时间安排项目阶段工作周期工作任务输出成果筹划准备阶段0.5周前期调研资料收集项目筹备《XXXXX系统安全等级保护安全测评实施方案》《XXXXX系统安全等级保护安全测评调研表格》项目启动阶段0.5天项目启动沟通协调现场工作准备《XXXXX系统安全等级保护安全测评项目现场工作计划》、《XXXXX系统安全等级保护安全测评项目启动会PPT》、《XXXXX系统安全等级保护安全测评现场作业指导书》现场测评阶段1~2周现场数据采集访谈与检测测评结果记录《XXXXX系统等级保护安全测评现场数据记录》三、现场工作