信息系统整体安全测评方案建议书.doc

XXX信息系统 整体安全测评方案建议书 目 录 1. 概述 1 1.1 目标 1 1.2 范围 1 1.2.1 测试点选取 1 1.2.2 测试点说明 2 1.3 测评方法 2 1.4 测评性质 2 1.5 测评地点 2 1.6 委托方信息 2 1.7 测评方信息 2 1.8 安全测评依据 3 1.9 声明 3 2. 机构与职责 5 2.1 测评领导小组 5 2.2 测评执行小组 5 2.3 测评协调小组 6 2.4 评估委员会 7 3. 系统测评策略 8 4. 系统测评步骤 9 4.1 文档提交及文档审查 9 4.2 项目启动会议 9 4.3 管理核查阶段 9 4.4 安全性测试阶段 10 4.5 综合评估阶段 10 4.6 最终评估阶段 10 5. 整体网络安全测评内容 11 5.1 服务定义 11 5.2 服务内容 11 5.2.1 漏洞扫描 11 5.2.2 操作系统配置核查 12 5.2.3 数据库核查 13 5.2.4 中间件程序配置分析 13 5.2.5 网络设备、安全设备策略分析 13 5.2.6 渗透测试 14 5.2.7 管理核查 14 6. 主要层面的差距分析 16 6.1 物理安全层面差距分析 16 6.2 网络安全层面差距分析 20 6.3 主机安全层面差距分析 23 6.4 应用安全层面差距分析 25 6.5 数据备份及恢复层面差距分析 26 6.6 安全管理制度层面差距分析 27 6.7 安全管理机构层面差距分析 29 6.8 人员安全管理层面差距分析 32 6.9 系统建设管理层面差距分析 35 6.10 系统运维管理层面差距分析 44 7. 测评工具 59 7.1 国家漏洞库 59 7.2 配置核查列表 59 7.3 工具自动化检测 60 8. 协助安全整改 63 8.1 操作系统安全加固 63 8.2 网络设备安全加固 64 9. 系统测评进度表 65 10. 服务内容及报价 66 1. 概述 目标 本文档的最终目的是为XXX相关信息系统的整体安全测评过程制订一份详尽的计划方案，对系统测评过程中安全性测评的测评模式和测评方法进行介绍，对相关信息系统进行二级等级保护差距分析，并预估整个系统测评过程的时间进度。 范围 整个安全测评过程涵盖以下的内容：XXX网络体系结构设计安全符合性评估、脆弱性安全测试、安全配置检查、安全管理核查、XXX信息系统的二级等级保护差距分析。 测试点选取 具体测试点参见图1-1所示： 图1-1：安全测试点选择示意图 测试点说明 测试点1的测试对象是外网核心接入部分，测试目的是从外部检查系统对外提供服务的设备和服务器的安全配置和安全漏洞情况； 测试点2的测试对象是内网核心接入部分，测试目的是检查内网服务器的开放服务和端口情况，以及安全配置和系统/应用漏洞情况。 测评方法 安全测评 ( 询问 ( 配置分析 ( 列表核查 测评性质 ( 初次 ( 复核 ( 监督 ( 扩大 ( 要求变更 测评地点 以下是本次系统测评的具体测评地点预期选择，根据实际情况，可能会出现部分的地点变动，如果测评地点是分散的，则对每个测评地点分别说明： 安全性测试地点1 被测评系统所在机房 安全性测试地点2 信息中心 委托方信息 名 称 XXX 地 址 邮 编 开始日期 2016.03 联系人 联系电话 传 真 安全测评依据 本次XXX相关信息系统安全测评全过程所有工作严格按照必威体育精装版国内/国际相关安全标准执行，以保证测评工作科学、规范地进行，具体参考的标准如下： 《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006） 《信息安全技术 网络基础安全技术要求》（GB/T 20270-2006） 《信息安全技术 操作系统安全技术要求》（GB/T 20272-2006） 《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006） 《信息安全技术 服务器技术要求》（GB/T 21028-2007） 《信息安全技术 信息系统安全管理要求》（GB/T20269-2006） 《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006） GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则 ISO/IEC17799:2005/27001 IATF《信息保障技术框架》 《关于信息安全等级保护工作的实施意见》（公通字[2004]66） 《信息安全等级保护管理办法》（公通字 [2007]43号） 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号） 《信息安全技术 信息系统安全等级保护基本要求》- GB/T22239-2008 《信息安全技术 信息系统安全等级保护定级指南