四级等保测评方案

XXXXXXXX系统信息安全等级保护测评方案2025年1月5日测评文档基本信息文档名称XXXXXXXX系统信息安全等级保护测评方案编制单位编 制 人审 阅 人提交日期测评文档确认信息确 认 人日期单位/部门目 录1概述11.1项目简介11.2测评依据11.3测评项目组及成员12被测信息系统情况22.1定级情况22.2承载的业务情况22.3网络结构22.4信息系统构成12.5访谈人员12.6安全管理文档22.7前次测评情况23测评范围与方法23.1测评指标23.1.1基本指标23.1.2特殊指标33.2测评对象33.2.1测评对象选择方法33.2.2测评对象选择结果43.3测评方法64单项测评内容64.1物理安全测评64.2网络安全测评74.3主机安全测评84.4应用安全测评94.5数据安全及备份恢复测评104.6安全管理制度测评114.7安全管理机构测评114.8人员安全管理测评124.9系统建设管理测评124.10系统运维管理测评135工具测试155.1测评工具155.2风险和规避措施155.2.1操作系统和常见应用漏洞扫描165.2.2WEB应用漏洞扫描166系统整体测评内容176.1层面间安全测评176.2区域间安全测评176.3系统结构安全测评177配合资源要求17目录-II-1 概述1.1 项目简介本次等级测评的目标系统为XXXXXXXX系统，测评范围包括系统相关的机房、网络环境、服务器、数据库及其安全管理制度文档等。目前，XXXX已完成了基本的建设工作，为进一步提高系统的安全保障能力，XXXX委托XXXX公司对XXXX系统进行安全等级测评。测评工作组将依据等级保护的相关管理规范、技术标准，实施本次安全测评工作。安全测评范围包括被测系统相关的物理环境、网络设备、安全设备、服务器设备等；测评内容涵盖物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，以及信息安全管理等方面。测评完成后针对系统中存在的安全问题进行风险分析，提出整改意见，并最终形成安全测评报告。1.2 测评依据1) GB/T 22239-2019信息安全技术信息系统安全等级保护基本要求2) GB/T 22240-2020信息安全技术信息系统安全等级保护定级指南3) GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南（以下简称基本要求）4) GB/T 28448-2019信息安全技术信息系统安全等级保护测评要求（以下简称测评要求）5) GB/T 28449-2018信息安全技术信息系统安全等级保护测评过程指南6) 信息系统安全等级保护定级报告7) 信息系统安全等级保护备案表1.3 测评项目组及成员为顺利完成本项目测评工作，成立了测评项目小组，具体成员及分工如下：负责人：项目组成员：网络测评组： 小组工作：负责信息系统的网络安全测评（包括网络结构、网络设备、安全设备）和工具接入测试，完成信息安全等级测评报告网络相关技术部分内容和工具测试部分内容。主机测评组：小组工作: 负责信息系统的服务器安全测评（包括操作系统和数据库），完成信息安全等级测评报告主机安全相关技术部分内容。应用测评组：小组工作：负责信息系统的应用部分安全测评和数据部分的安全测评，完成信息安全等级测评报告应用相关技术部分内容。管理测评组：小组工作：负责信息系统的物理安全及管理部分安全测评，完成信息安全等级测评报告物理安全及管理部分相关内容。2 被测信息系统情况2.1 定级情况XXXX系统定为四级（S4A4G4），本次安全测评将依据信息安全保护等级第四级要求开展。2.2 承载的业务情况2.3 网络结构系统网络拓扑图如下所示：正文第19页 / 共19页2.4 信息系统构成1) 业务应用软件表21业务应用软件基本情况表序号软件名称主要功能重要程度12) 关键数据类别表22关键数据类别基本情况表序号数据类型所属业务应用安全防护需求重要程度13) 主机/存储设备表23主机/存储设备基本情况表序号设备名称操作系统/数据库管理系统业务应用软件14) 数据库管理系统表24数据库管理系统基本情况表序号设备名称操作系统/数据库管理系统15) 网络互联设备表25网络互联设备基本情况表序号设备名称用途重要程度16) 安全设备表26安全设备基本情况表序号设备名称用途重要程度12.5 访谈人员表27 访谈人员基本情况表序号姓名岗位/职责12.6 安全管理文档表28 安全管理文档基本情况表序号文档名称主要内容1信息安全机构相关文档对信息安全管理工作机构的组成、分工、职责进行了详细要求。2信息安全人员相关文档对相关信息安全人员的考核、培训、入职、离职等进行了详细要求。3信息安全制度相关文档对信息安全制度的组成、原则、目标、任务以及涵盖的具体内容进行了详细要求。4信息系统安全建设相关文档对信息系统的软件开发、工程实施进行了具体要求，明确了从需求、设计、开发阶段至验收的各阶段要求。5信息系统安全运维相关文档对信息系统中的资产、介质、设备的要求比较全面，涵盖了制度规定、日常使用等多个方面。针对网络安全、系统安全以及恶意代码防范方面均制定了详细的规程。2.7 前次测评情况本次测评为系统建成后首次安全等级测评。3 测评范围与方法基本要求中对不同等级信息系统的安全功能和措施作出具体要求，信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标，并根据测评要求的要求，对信息系统实施安全现状测评。因此，本次测评将根据信息系统的等级选取S4A4G4的测评指标。3.1 测评指标3.1.1 基本指标依据定级结果，系统的基本安全测评指标基本要求 “第四级 基本要求”中的4级通用指标类（G4），4级业务信息安全性指标类（S4）和4级业务服务保证（A4），所包括的安全控制指标类情况如下表：表 31 四级信息系统测评指标统计列表测评指标技术/管理安全分类安全子类数量S类（4级）A类（4级）G类（4级）小计安全技术物理安全11810网络安全1067主机安全5139应用安全72211数据安全及备份恢复2103安全管理安全管理机构0033安全管理制度0055人员安全管理0055系统建设管理001111系统运维管理001313合 计773.1.2 特殊指标无特殊指标。3.2 测评对象3.2.1 测评对象选择方法依据GB/T 28449-2018信息系统安全等级保护测评过程指南的测评对象确定原则和方法，测评对象是等级测评的直接工作对象，也是在被测系统中实现特定测评指标所对应的安全功能的具体系统组件，因此，选择测评对象是编制测评方案的必要步骤，也是整个测评工作的重要环节。考虑工作投入与结果产出两者的平衡关系。本次测评在确定测评对象时，遵循以下原则：1 恰当性，选择的设备、软件系统等应能满足相应等级的测评强度要求；2 重要性，应抽查对被测系统来说重要的服务器、数据库和网络设备等；3 安全性，应抽查对外暴露的网络边界；4 共享性，应抽查共享设备和数据交换平台/设备；5 代表性，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。具体抽查的测评对象种类主要考虑以下几个方面：1 主机房（包括其环境、设备和设施等），如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施，那么也应该作为测评对象；2 存储被测系统重要数据的介质的存放环境；3 整个系统的网络拓扑结构；4 安全设备，防火墙；5 边界网络设备（可能会包含安全设备），包括路由器、防火墙和认证网关等；6 对整个信息系统或其局部的安全性起决定作用的网络互联设备，如核心交换机、汇聚层交换机、核心路由器等；7 承载被测系统核心或重要业务、数据的服务器（包括其操作系统和数据库）；8 重要管理终端；9 能够代表被测系统主要使命的业务应用系统；10 信息安全主管人员、各方面的负责人员；11 涉及到信息系统安全的所有管理制度和记录。结合资产重要程度赋值结果，描述本报告中测评对象的选择规则和方法。3.2.2 测评对象选择结果1) 机房表32 测评对象-机房列表序号机房名称物理位置12) 业务应用软件表33 测评对象-业务应用软件列表序号软件名称主要功能重要程度13) 主机（存储）操作系统表34 测评对象-主机（存储）操作系统列表序号设备名称操作系统/数据库管理系统业务应用软件14) 数据库管理系统表35 测评对象-数据库管理系统列表序号设备名称操作系统/数据库管理系统15) 网络互联设备表36 测评对象-网络互联设备列表序号设备名称用途重要程度16) 安全设备表37 测评对象-安全设备列表序号设备名称用途重要程度1重要7) 访谈人员表38 测评对象-访谈人员列表序号姓名岗位/职责18) 安全管理文档表39 测评对象-安全管理文档列表序号文档名称主要内容1信息安全机构相关文档对信息安全管理工作机构的组成、分工、职责进行了详细要求。2信息安全人员相关文档对相关信息安全人员的考核、培训、入职、离职等进行了详细要求。3信息安全制度相关文档对信息安全制度的组成、原则、目标、任务以及涵盖的具体内容进行了详细要求。4信息系统安全建设相关文档对信息系统的软件开发、工程实施进行了具体要求，明确了从需求、设计、开发阶段至验收的各阶段要求。5信息系统安全运维相关文档对信息系统中的资产、介质、设备的要求比较全面，涵盖了制度规定、日常使用等多个方面。针对网络安全、系统安全以及恶意代码防范方面均制定了详细的规程。3.3 测评方法现场测评实施期间，采取的主要测评方式为：人员访谈、文档检查、配置检查、实地察看，工具测试等。具体访谈信息安全主管领导，信息安全管理员，网络管理员，系统管理员等相关人员；检查系统建设过程中的相关文档，及信息安全管理体系文档；采用相关工具箱进行了漏洞扫描和主机配置检测等工具测试。4 单项测评内容把