学院等级保护整改建设方案150页.doc

《学院等级保护整改建设方案150页.doc》由会员分享，可在线阅读，更多相关《学院等级保护整改建设方案150页.doc（152页珍藏版）》请在悟道方案网上搜索。

1、<p>XX学院信息系统等级保护及安全整改建设方案第一章 项目概述 .41.1 项目背景 .41.2 项目目标 .51.3 项目范围 .61.4 项目内容 .6第二章 需求分析 .72.1 现状分析 .72.2 国家信息安全等级保护合规性需求分析 .13第三章 整体设计 .163.1 设计思路 .163.2 设计原则 .173.3 设计依据 .18第四章 等级保护定级 .204.1 定级审核 .214.2 定级资料完善 .21第五章 等级保护差距分析 .245.1 确定差距分析评估指标 .245.2 等级指标对比评估 .25第六章 额外/特殊风险评估 .286.1 资料收集 .296

2、.2 资产识别与赋值 .316.3 脆弱性分析 .336.4 综合评估分析 .566.5 差距分析评估风险规避 .58第七章 等级保护规划与整改方案设计 .617.1 总体安全设计 .617.2 安全建设项目规划 .667.3 安全方案详细设计 .687.4 管理措施实现 .70经济职业技术学院信息系统等级保护及安全整改建设方案 2 / 1527.5 技术措施实现设计 .727.5.1 安全域技术实施设计 .727.5.2 流量清洗与抗 DDOS 技术实施设计 .837.5.3 入侵防御技术实施设计 .767.5.4 防病毒技术实施设计 .787.5.5 上网行为管理技术实施设计 .797.5

3、.6 Web 防火墙技术实 施设计 .827.5.7 网页防篡改技术实施设计 .837.5.8 日志审计技术实施设计 .857.5.9 运维审计技术实施设计 .877.5.10 漏洞扫描技术实施设计 .997.5.11 安全管理平台技术实施设计 .1007.5.12 信息安全产品采购 .927.5.13 安全控制开发 .937.5.14 安全控制集成 .947.5.15 系统验收 .957.6 方案评审 .103第八章 整改的落实 .968.1 工作目标 .968.2 工作内容 .968.2.1 安全管理建设整改 .988.2.2 安全技术建设整改 .101第九章 等保合规审计 .1059.1

4、 现场检查测试前的准备 .1059.2 现场检查测试 .1079.3 综合测评分析 .108第十章 等级测评 .11110.1 等级测评机构聘请 .11110.2 等级测评机构简介 .11110.3 协助测评 .11110.4 测评指标 .112经济职业技术学院信息系统等级保护及安全整改建设方案 3 / 15210.5 测评方式和工具 .11310.6 单元测评实施 .11510.7 系统测评实施 .127第十一章 项目验收 .13811.1 验收标准 .13811.2 验收流程 .138第十二章 项目培训与知识转移 .13112.1 概述 .13112.2 培训目的 .13112.3 培训流

5、程 .13212.4 培训对象 .13212.5 培训内容 .13312.6 文档管理 .13412.7 培训讲师 .13512.8 培训计划表 .136第十三章 组织架构 .13713.1 组织架构图 .13713.2 角色与责任 .13713.3 项目实施组 .14013.4 人员名单 .141第十四章 项目实施 .14214.1 项目实施原则 .14214.2 项目实施计划时间表 .144第十五章 项目管理 .16015.1 项目管理方法综述 .错误！未定义书签。15.2 项目管理方法详述 .错误！未定义书签。经济职业技术学院信息系统等级保护及安全整改建设方案 4 / 152第一章 项目

6、概述1.1 项目背景XX 学院是一所富有“ 三外两高 ”特色的财经高校，即培养具有外语、外经、外贸专门知识的高素质、高技能人才。学校设外语学院、会计学院、外贸学院、管理学院、国际旅游学院、信息学院、社科学院、汽电学院、艺术学院、音乐舞蹈学院等 10 个二级学院和 2 个中心、1 个创业园。开 设商 务英语、会 计、国际经济与贸易、物流管理、电子商务、汽 车检测与维修、 艺术设计等 24 个专业。学校设有省部市及行业职业技能培训 考试点 站10 个，并与国内知名大学和国外知名院校联合举办十多个专业的专升本学历教育。学校立足广东，面向全国 13 个省市招生。折合在校生 7900 人。有着众多的业务

7、系统和学生的教学信息。为促进教育行业信息化建设、应用、管理和服 务水平的持续提高，保障各学校和教育机构的网络、信息系 统的安全、 稳定运行，同时为了落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室共同印发 的通知（公通字 200743 号）和关于开展全国重要信息系 统安全等级保护定级工作的通知（公信安2007 861 号）的要求，近年以来，教育部多次就信息安全以及等级保护工作下发文件要求，包括教育部办公厅关于开展信息系统安全等级保护工作的通知（教办厅函200980 号）、 教育部办公厅关于进一步加强网络信息系统安全保障工作的通知（教办厅函 201183 号）、 教育部办公厅关于印

8、发教育行业信息系统安全等级保护定级工作指南（试行）的通知（教技厅函201474 号） 。2014 年 8 月，教育部向全行业下发了教育部关于加强教育行业网络与信息安全工作的指导意见 (教技 20144 号 )，文件要求加快建立健全教育行业网络与信息安全保障体系，提高防护能力和水平，保障教育事业健康有序经济职业技术学院信息系统等级保护及安全整改建设方案 5 / 152发展，切实落实国务院关于大力推进信息化发展和切实保障信息安全的若干意见与信息安全等级保护制度的要求。2014 年 11 月，教育信息安全等级保护测评中心广东测评部在广东省教育厅教育技术中心挂牌成立，体 现教育部及广东公安网安总队对本

9、省教育行业网络与信息安全的重视。20XX 年 7 月，广东省公安厅联合广东省教育厅共同下发文件关于印发全省高校网络安全保护工作电视电话会议工作任务书的通知（粤公通字【20XX】123 号），通知明确了从 7 月开始到 2016 年 6 月，各项安全工作的开展计划和要求，全面推进等级保护工作在广东省高校的开展。因此，涉外经济学院开展信息系统等级保护建设工作是非常重要的任务。同时，新近 颁布的 “十二五”规划纲要中明确指出要“ 健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度。 ”1.2 项目目标本项目的建设目标是在国家信息系统安全等级保护相关政

10、策和标准的指导下，结合 XX 学院门户网站系 统、教育系 统、财务系 统的安全需求分析，确定涉外门户网站系统、教育系统、财务系统安全等级保护的 级别， 对信息系统进行差距分析并提出整改建议，对 XX 学院门户网站系统、教育系统、 财务系统进行安全整改，达到国家信息安全等级保护相关标准的要求，并通过信息系统等级测评，更好地保障 XX 学院各业务系统的正常运行，全面提升 XX 学院门户网站系统、教育系统、 财务系统的安全保 护水平。经济职业技术学院信息系统等级保护及安全整改建设方案 6 / 152培养内部技术和管理人员，带动安全队伍建设，促使更多的员工掌握信息系统安全相关的标准和知识、具 备相关的

11、管理和维护能力，从而落实到日常工作中。1.3 项目范围本项目涉及的范围为 XX 学院的门户网站系统、教育系统、财务系统。1.4 项目内容依据国家信息安全等级保护技术和管理要求，开展信息系统安全等级保护建设工作，工作的主要内容包括：（1）方案设计；（2）系统集成；（3）安全运维；（4）差距测评和测评验收。经济职业技术学院信息系统等级保护及安全整改建设方案 7 / 152第二章 需求分析2.1 现状分析涉外经济学院经过多年的信息化建设，已基本搭建起覆盖全校区的 IP 网络以及满足日常教学教务需求的信息系统。同时， 为保障网 络及信息化系统的正常运作，在关键位置上购置部署了安全防 护设备。但是随着业

12、务的不断扩大以及国家信息安全日趋重视，对网 络安全提出了更高的要求。现阶段的网络安全建设已经不满足国家等级保护的建设要求。图 1 XX 学院现有网络拓扑图经济职业技术学院信息系统等级保护及安全整改建设方案 8 / 1522.1.1 重要资产分析XX 学院门户网站系统、教育系统、 财务系统中的重要 资产包括边界路由器、核心交换机、汇聚交换机等网 络设备；防火墙等安全设备；Web 服务器、应用服务器、数据库服务器、业务及管理用户终端等主机设备 及其上运行的操作系统、通用应用软件及为特定业务专门开发的应用系统等。除此之外，作为信息系统的管理者和维护者，IT 管理人员也是信息系统的重要资产 之一。2.

13、1.2 脆弱性分析2.1.2.1网络设备自身存在的安全弱点XX学院网络中部署的网络设备，如路由器、交换机等，存在固有的或配置、使用上的安全弱点，一旦被暴露，可能导致网络设备 自身的不安全。例如 对网络设备登录用户的身份鉴别机制过于简单，对用户的登录和访问行为缺少控制和审计，对 特权用户没有进行 权限分离等。2.1.2.2安全设备自身存在的安全弱点XX学院网络中部署的安全设备，如防火墙等，存在固有的或配置、使用上的安全弱点，一旦被暴露，可能导致安全设备自身及整个网络系统的不安全。例如对安全设备登录用户的身份鉴别机制过于简单，对用户的登录和访问行为缺少控制和审计，对特权用户没有 进行权限分离等。2

14、.1.2.3主机系统自身存在的安全弱点目前的操作系统或应用平台系统无论是 Windows、UNIX、类 UNIX 操作系经济职业技术学院信息系统等级保护及安全整改建设方案 9 / 152统以，都不可能是百分之百的无缺陷和无漏洞的。一旦系统中存在的漏洞和缺陷被暴露，就给入侵者进行非法操作提供了便利。另外，从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用方式也有很大关系，系统如果没有采用相应的访问控制和授权机制，那么掌握一般攻击技术的人都可能入侵得手。2.1.2.4应用系统自身存在的安全弱点各种通用的应用平台程序，如数据库管理系统、 Web Server 程序，FTP 服务程序，E-ma

15、il 服务程序，浏览 器， MS Office 办公软 件等，以及为业务系统专门开发的应用程序，其自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。常见的 应用系统安全弱点包括： 源程序中存在的 BUG，被利用发起攻击，造成业务应用被中断； 源程序中出于程序调试的方便，人为设置许多“ 后门”，一旦被黑客利用后，将直接通过“后门”控制系统； 应用系统自身很弱的身份认证，使得黑客获得访问应用系统的权限，从而访问到业务系统的敏感信息，造成信息外泄； 应用系统的用户名和口令以明文方式被传递，容易被截获，从而发起对系统的非授权访问； 各种可执行文件成为病毒的直接攻击对象。应用系统是动

16、态的、不断变化的， 应用的安全性也动态的， 这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。2.1.2.5工作人员自身存在的安全弱点再安全的设备和系统离不开人的管理，再好的安全策略最终要靠人来实现，经济职业技术学院信息系统等级保护及安全整改建设方案 10 / 152因此 IT 运维 和管理人员是整个信息系 统安全中极为重要的一环。 IT 管理人员的安全意识薄弱或安全操作水平不足将给信息系统造成极大的安全隐患。2.1.3 安全威胁分析安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包

17、括有意的和无意的因素。环境因素包括自然界的不可抗力因素和其它物理因素。威胁可能源于对计算机系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用网络、系 统、应用或数据的弱点才可能成功地对资产造成伤害。为确保 XX 学院门户网站系统、教育系统、 财务系统 的安全、高效和可靠运行，必须 全面分析其面临的安全威胁。 这些安全威胁虽 然有各种各样的存在形式，但其结果是一致的，都将导 致对信息或资源的破坏，影响 XX 学院门户网站系统、教育系统、 财务系统的正常运行，破坏 XX 学院为用 户提供服务的有

18、效性、可靠性和权威性，产生对 XX 学院的严重后果。安全威胁是提出安全需求的重要依据，安全需求对应相应的安全解决方案。安全威胁包括安全威胁来源和安全威胁种类，因此必须对 XX 学院门户网站系统、教育系统、 财务系统的威胁 来源和种类进行分析。1、通过对 XX 学院门户网站系统、教育系 统、财务系统的使用和运行特点的全面分析，其面临的主要威 胁来源具体参见下表：威胁来源 威胁来源描述经济职业技术学院信息系统等级保护及安全整改建设方案 11 / 152环境因素、意外事故或故障由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、 电磁干扰、洪灾、火灾、地震等环境条件和自然灾害；意外事故或由于软件、硬件、数据

19、、通讯线路方面的故障。无恶意内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致计算机系统威胁的内部人员；由于缺乏培训，专业技能不足,不具备岗位技能要求而导致计算机系统威胁的内部人员。恶意内部人员不满的或有预谋的内部人员对计算机系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益。第三方第三方合作伙伴和供应商，包括业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商；包括第三方恶意的和无恶意的行为。外部人员攻击外部人员利用计算机系统的脆弱性，对网络和系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力。2、对安全威胁进行

20、分类的方式有多种多样， 针对 XX 学院门户网站系统、教育系统、 财务系统重点考虑 的五方面威胁来源，确定其所面临的安全威胁种类。威胁种类 威胁描述软硬件故障由于设备硬件故障、通讯链路中断、系 统本身或软件Bug 导 致对业务高效稳定运行的影响。物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、 电磁干扰、洪灾、火灾、地震等环境问题和自然灾害。经济职业技术学院信息系统等级保护及安全整改建设方案 12 / 152无作为或操作失误由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成影响。管理不到位安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏计算机系统正常

21、有序运行。恶意代码和病毒具有自我复制、自我传播能力，对计算机系统构成破坏的程序代码。越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏计算机系统的行为。黑客攻击技术利用黑客工具和技术，例如侦察、密 码猜测攻击、缓 冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒 绝服务攻击等手段对计算机系统进行攻击和入侵。物理攻击 物理接触、物理破坏、盗窃。泄密 机密泄漏，机密信息泄漏给他人。篡改 非法修改信息，破坏信息的完整性。抵赖 不承认收到的信息和所作的操作和交易。经济职业技术学院信息系统等级保护及安全整改建设方案 13 / 1522.2 国家信息安全等级保护合

22、规性需求分析根据信息安全等级保护管理办法的规定，信息系统按照重要性和被破坏后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。不同安全保护等级的信息系统有着不同的安全需求，为此， 针对 不同等级的信息系统提出了相应的基本安全保护要求，各个级别信息系统的安全保护要求构成了GB/T22239-2008信息系统安全等级保护基本要求 （以下简称基本要求）。基本要求分为基本技术要求和基本管理要求两大类，其中技术要求又分为物理安全、网络安全、主机安全、 应用安全、数据安全及其备份恢复五个方面，管理要求又分为安全管理制度、安全管理机构、人员 安全管理、系 统建设管理和系统运行维护管理五个方面。技术

23、要求主要包括身份鉴别、自主访问控制、 强制访问控制、安全 审计、完整性和保密性保护、边界防 护、 恶意代码防范、密 码 技术应用等，以及物理环境和设施安全保护要求。技术类 安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确配置其安全功能来实现。根据保护侧重点的不同，技术类安全要求 进一步细分为信息安全类要求（简记为 S）、服务保证类要求（简记为 A）和通用安全保护类要求（简记为 G）。信息安全类要求是指保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授 权的修改；服务保证类要求是指保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用。技术要求整

24、体框架如下图所示：经济职业技术学院信息系统等级保护及安全整改建设方案 14 / 152等级保护基本要求-技术要求管理要求主要包括确定安全策略，落实信息安全责任制，建立安全组织机构，加强人员管理、系统建设和运行维护的安全管理。管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。在管理要求中提出了机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、 资产和设备管理、数据及信息安全管理、用户管理、安全监测、备份与恢复管理、应急处置管理、密码管理、安全审计管理等基本安全管理制度要求，提出了建立岗位和人员管理制度

25、、安全教育培训制度、安全建设整改的监理制度、自行 检查 制度等要求。管理要求整体框架如下图所示：经济职业技术学院信息系统等级保护及安全整改建设方案 15 / 152等级保护基本要求-管理要求由于信息系统分为五个安全保护等级，其安全保护能力逐级增高，相应的安全保护要求和措施逐级增强，体现在两个方面：一是随着信息系统安全级别提高，安全要求的项数增加；二是随着信息系统安全级别的提高，同一项安全要求的强度有所增加。例如，三级信息系统基本要求是在二级 基本要求的基础上，在技 术方面增加了网络恶意代码防范、剩余信息保护、抗抵赖等三项要求。同 时，对身份鉴别、 访问控制、安全审计、数据完整性及保密性方面的要

26、求在 强度上有所增加；在管理方面增加了监控管理和安全管理中心等两项要求，同时对安全管理制度评审、人 员安全和系统建 设过程管理提出了进一步要求。经济职业技术学院信息系统等级保护及安全整改建设方案 16 / 152第三章 整体设计3.1 设计思路综合分析系统现状、行业相关要求及 XX 学院的安全现状，XX 学院需要：1. 信息系统定级：按照国家定级指南，通过对重要信息系统的定级，明确信息系统的重要程度，做到重点投资、重点保 护。2. 等级保护差距分析：按照等级保护的基线，对信息系统进行等级保护差距分析，同时为后期的规划与整改做好调研工作。3. 整改与规划方案设计：根据定级和等级差距分析评估的结果

27、，进行总体分析，分析 XX 学院的安全需求，然后根据公安部的等级保护基本要求，以及信息安全等级保护安全建设整改工作指南以及信息系统等级保护安全设计技术要求等标准，在满足 XX 学院门户网站系统、教育系统、财务系统在技术和管理层面的安全需求的前提下，进行安全规划和设计。4. 整改的落实：根据整改设计方案，进行技术整改（安全集成、安全加固）以及管理整改，从而满足等级保护要求。经济职业技术学院信息系统等级保护及安全整改建设方案 17 / 1525. 等保合规审计：通过测试手段对对安全技术和安全管理上各个层面的安全控制进行整体性合规验证。6. 最终测评：除了提供等保测评所需资料，还将聘请安全顾问配合测

28、评机构的现场测评工作。安全顾问将陪同 XX 学院有关人员配合现场测评工作，协助回答测评人员问题， 协助 XX 学院完成主要信息系 统通过国家等级保护的相应测评。3.2 设计原则此次等级保护建设方案的设计应满足以下原则： 最小影响原则：工作应尽可能小的影响系统和网络的正常运行，不能对现有网络的运行和业务的正常提供产生明显影响； 标准性原则：服务方案的设计与实施应依据国内、国际、等级化保护相关要求、相关标准进行； 规范性原则：工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制； 可控性原则：方法和过程要在双方认可的范围之内，安全服务的进度要按照进度表进度的安排，保证 XX 学院对于服务

29、工作的可控性； 整体性原则：应从各个方面整体考虑，包括了安全涉及的各个层面，避免由于遗漏造成未来的安全隐患； 保密原则：对过程数据和结果数据严格保密， 所有参与项目人员均有保密协议。经济职业技术学院信息系统等级保护及安全整改建设方案 18 / 1523.3 设计依据XX 学院门户网站系统、教育系统、 财务系统等级保 护建设工作，是在深刻理解并贯彻应用如下文件和标准的基础上进行的，本文参考以下国家信息安全政策法规、信息安全标准以及相关规范：政策法规 中华人民共和国计算机信息系统安全保护条例（国务院1994 147 号 ） 国家信息化领导小组关于加强信息安全保障工作的意见（申发办2003 127

30、号 ） 信息安全等级保护管理办法（公通字2007 43 号 ） 公通字200466 号文：关于印发关于信息安全等级保护工作的实施意见的通知 公通字 200743 号文：信息安全等级保护管理办法 公信安2007861 号文：关于开展全国重要信息系统安全等级保护定级工作的通知标准规范 信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2008 信息安全技术 信息系统安全等级波爱护实施指南GB/T 25058-2010 信息系统安全等级保护测评要求（GB/T28448-2012 ） 信息安全技术 信息系统通用安全技术要求（GB/T20271-2006 ） 信息安全技术 网络基础安全技术

31、要求（GB/T20270-2006 ） 信息安全技术 操作系统安全技术要求（GB/T20272-2006 ） 信息安全技术 数据库管理系统安全技术要求（GB/T20273-2006 ）经济职业技术学院信息系统等级保护及安全整改建设方案 19 / 152 计算机信息系统安全保护等级划分准则（GB17859-1999 ） 信息系统安全保护等级定级指南（GB/T 22240-2008 ）（辅助标准） 信息系统安全等级保护实施指南 （辅助标准） 信息系统安全等级保护测评准则 （辅助标准） 国家学校网络外网安全等级保护实施指南 信息系统安全安全管理要求（GB/T20269） 信息系统安全工程管理要求（G

32、B/T20282） 信息安全技术 服务器技术要求（GB/T21082）经济职业技术学院信息系统等级保护及安全整改建设方案 20 / 152第四章 等级保护定级重要信息系统的定级工作，是开展等级保护的首要环节，是进行信息系统建设、整改、测评 、备案、监督 检查等后续工作的重要基础。根据 XX 学院门户网站系统、教育系统、财务系统的业务要求、信息系 统的 实际情况，为 XX 学院各业务系统提供等级保护建设服务。根据信息系统安全等级保护定级指南的定级指导意见，XX 学院门户网站系统、教育系统、财务系统定为二级信息系统。 第一级信息系统：一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私

33、营、个体企 业、中小学的信息系统。 第二级信息系统：一般适用于县级某些单位中的重要信息系统，地市级以上国家机关、企业、事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 第三级信息系统：一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统，重要领域、重要部 门跨省、跨市或全国（省）联网运行的用于生产、调度、管理、作业、指 挥等方面的重要信息系统，跨省或全国联网运行的重要信息系统在省、地市的分支系统，中央各部委、省（区、市）门户网站和重要网站，跨省联接的网络系统等。 第四级信息系统：一般适

34、用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如全国铁路、民航、电力等部门 的调度系统，银行、证券、保险、税务、海关等几十个重要行 业、部门中的涉及国计民生的核心系统。经济职业技术学院信息系统等级保护及安全整改建设方案 21 / 152 第五级信息系统：一般适用于国家重要领域、重要部门中的极端重要系统。4.1 定级审核XX 学院拟聘请等级保护安全专家深入了解 XX 学院本次项目涵盖的各信息系统构成、所提供的业务 支撑， 业务流程和系统服 务对象，分析系 统发生安全事故所造成的影响，参照 信息系统安全等级保护定级指南，对 XX 学院的定级资料进行进一步的审核，确定 业务流程描述是否清

35、晰、服务客体是否定位合理、造成影响的范围是否准确， 进一步协助 XX 学院完善定级备案工作。4.2 定级资料完善4.2.1 现场调研在定级咨询过程中，咨询顾问将通过现场调研的方式来全面了解 XX 学院主要信息系统的基本情况，如数量、类别、名称、承载业务、服务范围、用户数量、部署方式，以进行汇总分析，初步进行系统归类、重要性划分，为下一步完善 XX学院定级备案资料做好准备。现场信息资料收集，以及对系统管理员进行访谈及信息确认，是现场调研的主要工作。通过现场的了解，可以较深入理解信息系 统的重要程度，重要信息的分类情况，以及用户分布情况。一般系统的定级结果，不依赖于现有保护措施，所以通过现场的工作

36、，可以基本准确理解信息系统及承载重要信息的侵害客体以及侵害程度，从而为进一步加强 XX 学院定级备案工作的准确性。经济职业技术学院信息系统等级保护及安全整改建设方案 22 / 1524.2.2 定级对象的确定如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统。如果信息系统 承载多项业务， 应根据各 项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。4.2.2.1信息系统的划分一个组织机构内可能运行一个或多个信息系统，这些信息系统的安全

37、保护等级可以是相同的，也可以是不同的。为体现重点保 护重要信息系统安全，有效控制信息安全建设成本，优 化信息安全资源配置的等级保护原则，在进行信息系统的划分时应考虑以下几个方面：1) 相同的管理机构信息系统内的各业务子系统在同一个管理机构的管理控制之下，可以保证遵循相同的安全管理策略。2) 相同的业务类型信息系统内的各业务子系统具有相同的业务类型，安全需求相近，可以保证遵循相同的安全策略。3) 相同的物理位置或相似的运行环境信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似，有利于采取统一的安全保护。经济职业技术学院信息系统等级保护及安全整改建设方案 23 /

38、 1524.2.2.2信息系统和业务子系统按照信息系统的定义，典型的信息系统应由计算机硬件设备（包括服务器设备、客户 端设备、打印机及存储器等外围设备）、计 算机网络硬件设备（包括安全设备、交 换机、路由器、各种适配器以及通信 线路等）、安装于这些硬件设备上的软件、所提供的服务以及相关的人员构成。信息系 统 内的各业务子系统一般有较为紧密的关联，可能存在共用 设备或较为频繁的数据交换。业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务 子系统是信息系 统中可以为定级要素赋值的最小单元，业务子系统应具有信息系统的全部特点， 应该是由计算机硬件、 计 算机网络硬件以及安装于

39、这些硬件上的软件、提供的服 务以及相关人员构成的一个有形实体，并且承载确定的业务。经济职业技术学院信息系统等级保护及安全整改建设方案 24 / 152第五章 等级保护差距分析在完成 XX 学院重要信息系统定级工作之后，更主要的是依据等级保护基本要求，进 行等级保护差距分析和整改工作。XX 学院 拟聘请具有资深等级保护建设经验的专家团队，深入了解国家等级保护相关政策，熟悉信息系统规划和整改工作的关键点和流程，通过 等级保护差距分析、文档审核、 现场访谈、现场测试等方式，完成差距分析报 告， 发现目前信息系统中与等保技术和管理要求的不符合项。5.1 确定差距分析评估指标根据定级报告中被评估信息系统

40、的安全等级（S,A），从等级保护基本要求的指标中选择和组合评估用的安全指标，形成一套信息系统的评估指标，作为差距分析评估的依据；将具体差距分析评估对象和评估指标进行结合，形成评估使用的评估方案。5.1.1 形成评估指标根据各个信息系统的安全等级从基本要求中选择相应等级的通用指标，然后根据系统信息资产安全性等级选择信息资产安全性指标，根据系统连续性等级选择业务连续性指标，之后 进行三类指标（S,A,G ）的组合，形成评估指标。5.1.2 制定差距分析评估方案根据评估指标，结合确定的具体评估对象制定可以操作的评估方案，评估方案通常包括但不局限于以下内容：经济职业技术学院信息系统等级保护及安全整改建

41、设方案 25 / 1521) 管理状况评估表格；2) 网络状况评估表格；3) 网络设备评估表格；4) 安全设备评估表格；5) 主机设备评估表格；6) 主要设备安全测试方案；7) 重要操作的作业指导书。5.2 等级指标对比评估根据所确定的安全评估指标和安全评估方案，通过询问、检查和测试等多种手段，将系统现状与安全评 估指标进行逐一对比， 记录当前的现状情况，找到与评估指标之间的差距。a) 判断安全管理方面与评估指标的符合程度通过观察现场、询问人员、查询资料、检查记录等方式 进行安全管理方面的评估，准确记录评估结果，判断安全管理的各个方面与评估指标的符合程度， 给出判断结论。评估工作原始 记录表应

42、由相关人员确认签字。b) 判断安全技术方面与评估指标的符合程度通过观察现场、询问人员、查询资料、检查记录、 检查配置、技术测试、渗透攻击等方式进行安全技术方面的评估，准确记录评估结果，判断安全技术的各个方面与评估指标的符合程度，给出判断结论。 评估工作原始记录表应由相关人员确认签字。提供的等级保护差距分析评估服务，主要是针对信息系统安全等级保护基经济职业技术学院信息系统等级保护及安全整改建设方案 26 / 152本要求中的相关内容和要求进行差距评估。评估主要包括技术和管理两个方面的内容。5.2.1 安全技术评估主要通过从物理安全、网络安全、主机系 统安全、应 用安全和数据安全与备份恢复等五个层

43、面上评估信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况。安全评估手段包括但不局限于以下方法： 人工配置检查 渗透测试 漏洞扫描 技术访谈 调查问卷5.2.2 安全管理评估通过查阅文档、抽样调查等方法，针对被测单位在信息安全方面制定规章制度的合理性、适用性等进行 评估，主要包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等内容。 人员访谈 内容：针对组织内的安全管理人员、安全 员、安全主管、工作人员、关键活动批准人、管理人员、机房值守人员、人事 负责人、人事工作人员、审计员、网络管理员、文档管理员、物理安全负责人、系统管理员、系统建设负责人、系统运维负责人、

44、资产管理员等不同类型岗位的人员访谈 方法：访谈相关人员经济职业技术学院信息系统等级保护及安全整改建设方案 27 / 152 文档检查 内容：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面的文档检查 方法:查看相关文件经济职业技术学院信息系统等级保护及安全整改建设方案 28 / 152第六章 额外/ 特殊风险评估通过对信息系统重要资产特殊保护要求的分析，确定超出相应等级保护要求的部分或具有独特安全保护要求的部分，采用风险评估的方法，确定可能的安全风险，判断超出等级保护要求部分安全措施的必要性。在安全现状和评估指标对比后确定基本安全需求的基础上，通过风险评估的手段可以确

45、定额外或特殊的安全需求。确定额外安全需求可以采用目前成熟或流行的风险评估方法，也可以采用但不局限于下面介绍的活动：a) 重要资产的分析明确信息系统中的重要部件，如边界设备、网关 设备、核心网 络设备、重要服务器设备、重要应用系统等。b) 重要资产安全脆弱性评估检查或判断上述重要部件可能存在的脆弱性，包括技术上和管理上的；分析安全脆弱性被利用的可能性。c) 重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁，包括外部的威胁和内部的威胁，威胁发生的可能性或概率。d) 综合风险分析分析威胁利用脆弱性可能产生的安全事件，安全事件发生的可能性或概率，安全事件造成的损害或产生的影响大小，防止此种风险

46、的必要性。按照重要资产的排序和风险的排序确定安全保护的要求。6.1 资料收集根据项目范围，收集相关资料的方法包括：经济职业技术学院信息系统等级保护及安全整改建设方案 29 / 152 问卷调查 与各级人员进行访谈 小组讨论 文档查看 现场勘查6.1.1 问卷调查问卷调查和清单是有效的简单工具，用来判断是否需要更详尽风险评估。调查问卷由一组相关的封闭式或开放式问题组成，用于在评估过程中获取信息系统在各个层面的安全状况，包括安全策略、组织制度、 执行情况等。6.1.2 人员访谈组建等级评估小组，评估小组与被评估组织内有关的管理、技术和一般员工进行逐个沟通。根据对评估人员所提问题的回答， 评 估人员

47、为评估获得相应信息，并可验证之前收集到的资料，从而提高其准确度和完整性。通过访谈管理和技术人员，评估人员可以收集到业务系统相关的物理、环境、安全组织结构、操作习惯等大量有用的信息，也可以了解到被访谈者的安全意识和安全技能等自身素质。由于访谈的互动性，不同于调查表， 评估人员可以广泛提问，从多个角度获得多方面的信息。6.1.3 小组讨论评估小组与被评估组织的若干人员进行交流，从而获得相关信息或就某些问题达成共识。经济职业技术学院信息系统等级保护及安全整改建设方案 30 / 1526.1.4 文档查看为了分析业务系统现有的或计划采取的安全控制措施，需要查看策略文档（例如政策法规、指导性文档）、系统

48、文档（例如用户 手册、管理 员手册、系统设计和需求文档）和安全相关文档（例如以前的审计报告、风险评估报告、测试报告、安全策略、应急预案）等。6.1.5 现场勘查评估人员对办公环境和机房内设备作现场检查，或观察人员的行为或环境状况、系统 命令或工具的输出，寻找是否有违反安全策略的现象，比如敏感文件随意放置、人离开电脑不锁屏幕、设备的网络连接情况等。根据现场勘查的结果，获得相应评估信息。经济职业技术学院信息系统等级保护及安全整改建设方案 31 / 1526.2 资产识别与赋值资产是构成整个系统的各种元素的组合，它直接地表现了这个系统的业务或任务的重要性，这种重要性 进而转化为资产应具有的保护价值。

49、评估小组采集资产信息，确定系统划分原则 和等级评估原则，并与 组织共同确认系统和 CIA 等级划分。资产识别和赋值的目的就是要对组织的各类资产做潜在价值分析，了解其资产利用、 维护和管理现状；明确各类资产具备的保护价值和需要的保护层次，从而使组织能够更合理地利用现有资产，更有效地进行资产管理，更有针对性地进行资产保护，最具策略性地 进行新的资产投入。风险评估范围内的所有资产必须予以确认，包括数据、服务、声誉、硬件和 软件、通讯 、程序界面、物理 资产、支持 设施、人员和访问控制措施等有形和无形资产。考虑 到应用系统是组织业务信息化的体现，因此将应用系统定义为组织的关键资产。与应用系统有关的信息或服务、 组件（包括与 组件相关的软硬件）、人 员、物理环境等都是组织关键资产应用系统的子资产，从而使得子资产与应用系统之间更加具有关联性。6.2.1 资产类别各项资产可归入不同的类别，归类的目的是反映这些资产对评估对象系统或领域的重要性。依据资产的属性，主要分为以下几个 类别： 信息资产信息资产主要包括各种设备以及数据库系统中存储的各类信息、设备和系统的配置信息、用户存储的各 类电子文档以及各种日志等等，信息资产也包括各种经济职业技术学院信息系统等级保护及安全整改建设方案 32 / 152管理制度，而且各种打印的以及</p>