系统网络
项目
方案
目录
一、
服务方案
2
(一)
测评对象与指标
2
1、 测评对象
2
2、 测评指标
2
2.1. 项目实施内容
2
2.2. 服务需求
3
2.3. 其他要求
4
(二)
测评方法与工具
5
1、 测评方法
5
2、 测评工具
6
(三)
测评相关工作的实施计划
21
1、 定级备案服务
21
2、
等级保护测评方案
37
3、
项目交付物
75
一、
服务方案
测评对象与指标
测评对象
序号
待测网络/信息系统名称
安全保护等级
年限
被测系统数量
1
煤矿复合灾害监测预警系统
三级
3年
1个
测评指标
项目实施内容
1、定级备案
协助采购方系统在网安部门完成定级备案工作,交付定级报告、专家评审意见表和备案表等内容,并取得相应系统的备案证明。
2、等级保护测评
依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)等国家等级保护相关标准对待测系统进行等级保护测评工作。
3、
测评要求
依据国家相关文件、标准、系统安全保护等级和《信息系统安全等级保护测评要求》对被测系统进行等级保护测评。
1. 等级保护测评内容
(1)安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。
(2)安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(3)形成差距分析报告:依据测评结果和《信息系统安全等级保护基本要求》(GB /T 22239-2019),对各信息系统进行安全现状分析,形成相应的差距分析报告。
(4)编制系统安全整改方案:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,结合差距分析结果,编制针对各信息系统的安全整改建设方案。
(5)编制和完善安全管理制度:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,协助建设方制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平。
(6)编制等级测评报告:完成上述测评工作和建设方实施整改后,出具符合公安机关要求的(年度)信息系统安全保护等级测评报告
服务需求
1、需及时提供服务期内各系统安全等级保护测评报告。
2、每年需提供一次测评报告。
3、积极协助招标人准备当年度信息系统安全等级保护三级备案证明材料。
其他要求
1
、
客观性和公正性要求:
在最小主观判断情形下,按照评估双方相互认可的评估方案,基于明确定义的测评方式和解释,实施评估活动。
2
、
保密要求:
在测评过程中,需严格遵循保密原则,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
3
、
互动要求:
在整个测评过程中,强调采购方的互动参与,每个阶段都能够及时根据采购方的要求和实际情况对测评的内容、方式做出相关调整,进而更好的进行风险评估工作。
4
、
最小影响要求:
测评工作应该尽可能小地影响办系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应预先做出说明并经业主同意后实施。
5
、
规范性要求:
信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
6
、
质量保障要求:
在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
测评方法与工具
测评方法
测评采用访谈、检查和测试三种方法,测评对象是测评实施过程中涉及到的信息系统的构成成份,包括人员、文档、机制、软件、设备。测评的层面涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
测评要求
使用测评表进行具体检查时,首先按询问测试、验证等工作方式将所有检查项目分类。
所有以询问方式检查的项目,在与有关人员的谈话或会议上进行。
所有以查验方式检查的项目,将需要的文档清单在检查现场提交给被检查方,请被检查方当前提供并进行查验。
所有需要以检测方式检查的项目,按检测部门]或设备分类后,根据具体情况选择检测顺序。
方法要求
“访谈”方法:目的是了解信息系统的全局性。范围-般不覆盖所有要求内容。访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
“
核查
”方法:目的是确认信息系统当前具体安全机制和运行的配置是否符合要求。范围一般要覆盖所有要求内容。检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等),数量上可以抽样。
“测试”方法:目的是验证信息系统安全机制有效性和安全强度。范围不覆盖所有要求内容。测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应,通过查看和分析响应的输出结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
管理要求
对人员方面的要求,重点通过“访谈”的方式来测评,
核
查为辅。
对过程方面的要求,通过“访谈”和“
核
查”的方式来测评。
对规范方面的要求,以“
核
查”文档为主,“访谈”为辅。
测评工具
主要使用到的测评工具具体描述如下表:
工具分类
表
序号
工具名称
具体描述
1
测评能手
报告编制工具
2
Office/WPS 2019
过程文档编制工具。
测试工具分类
表
序号
工具用途分类
具体描述
1
系统层漏洞检测
系统层漏洞扫描工具。
2
应用层漏洞检测
应用系统漏洞扫描工具。
3
渗透测试工具集
包含缓冲区溢出利用、口令破解、注入验证等。
本次选用的系统工具
表
工具名称
风险等级
主要用途
存在风险描述
风险控制方法
Ping
无
获取主机信息
无
无
Telnet
无
登录系统
无
无
FTP
无
传输文件
无
无
Net use
无
建立连接
无
无
Net user
无
查看系统用户
无
无
本次选用的渗透工具
表
工具名称
风险等级
主要用途
存在风险描述
风险控制方法
Nmap
无
获取主机开放的服务、端口信息
无
无
Wireshark
无
对网络流量进行抓包和分析等
无
无
***渗透测试系统简介
**渗透测试系统能够对信息系统的安全进行自动、快速、可靠的评估,通过对目标系统漏洞的检测以及对目标系统安全设置中存在的不安全因素进行排查,能够有效的预防和保护目标系统。
网络安全越来越受到人们的重视,而渗透测试能有效的保护网络安全问题,因此渗透测试越来越受到关注与重视,但渗透测试技能难以入门,学习过程对基础知识要求较高,以致高端的渗透工程师极为稀少。
***渗透测试系统重点研究自主决策与交互机制的核心技术,通过渗透测试实例模拟仿真了决策交互的模型,利用偏差法选择扫描主机的优先顺序,研究了网络节点的结构类型以及交互机制原理;对数据算法进行了深入的研究,给出了改进数据算法攻击载荷的数学模型,通过对数据算法进行改进,来应用于网络渗透测试中对攻击载荷的选择,改进后的数据择优算法大致能够较为准确地选择出最优攻击载荷从而实现摆脱依靠人为经验选择攻击载荷的问题;设计并研究智能化网络渗透测试系统,分别模块化的实现智能化扫描模块,将自主决策推理与交互机制实际应用到扫描模块中,将数据择优算法应用到渗透攻击模块中,并通过实验对自主决策与交互机制、数据择优算法进行验证,在此基础上通过metasploit为辅助测试整个系统的可行性,最后利用实现的智能化网络渗透测试系统进行渗透测试,对比传统的渗透测试在测试时间、未知漏洞发现、系统稳定性和智能化方面有极大的提升。
***渗透测试系统,是随着科技的发展而诞生的新一代产品。目前,各行业逐渐由集中式办公体系转变为跨地域的办公或者业务网络,系统安全管理工作由不同地区的安全运维人员承担,总部集中监管。对于信息系统,每一个节点的安全情况都会影响整个信息系统的安全情况,总部的安全人员不仅需要关注总部本身的信息安全情况,更需要关注每一个子系统的安全情况,风雪网络渗透测试系统应运而生。
****渗透测试系统可在总部部署,通过设置相关策略规则,实现对其它网络节点的脆弱性探测,包括安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告。
***渗透测试系统还可快速定位风险类型、区域、严重程度,通过报表,图表,直观展示安全风险,更可结合已有安全管理制度,支持安全风险预警、检查、分级管理、修复、审计流程,并通过相应策略分发到安全管理员或者负责人手中。
***渗透测试系统还提供了多种灵活的部署方式,可适应复杂网络环境下的部署,并尽量控制安全建设成本。
最终可形成完整报告,可选文字、图表等多样化展示形式。
***渗透测试系统软件著作权登记证书
***Web应用脆弱性远程评估系统简介
**Web应用脆弱性远程评估系统是由**测评安全团队多年的安全研究沉淀和服务实践经验的基础上,深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术,自主研发的一款用于评估WEB应用脆弱性远程评估的产品。
**Web应用脆弱性远程评估系统严格按照计算机信息系统安全的国家标准、相关行业标准设计、编写。全面支持OWASP TOP 10检测,可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:SQL注入攻击、跨站脚本、文件包含、远程代码执行、主流CMS漏洞检测等),在WEB网站受到危害之前为管理员提供专业、有效的安全分析和修补建议,并贴合安全管理流程对修补效果进行审计,是信息系统安全管理员不可或缺的帮手。主要应用于政府、教育、卫生、电力、金融等行业,帮助客户解决目前所面临的各类常见及最新的WEB应用安全问题。
最终可形成完整报告,可选文字、图表等多样化展示形式。
**Web应用脆弱性远程评估系统软件著作权登记证书
**系统安全配置核查管理系统
**测评自主研发的安全配置核查管理系统为软件形式,可部署于现有操作系统,支持全系列平台(包括Unix、Linux、Windows、数据库、Web服务器、应用服务器以及网络设备)自动化技术脆弱点分析,包括未安装补丁、错误的安全配置等,支持自动化安全风险评估、安全配置核查,并可对应等级保护等国家标准生成报表。
**系统安全配置核查管理系统通过内置的分析引擎,将审计数据提取、人工分析,并自动生成安全评估报告。系统还可通过telnet、ssh远程方式检查系统配置或导入脚本生成的结果文件检查系统安全配置。传统方式上, 配置核查依靠人工进行,难度大、专业要求高,通过部署和实施风雪安全配置核查管理系统,将极大的降低安全配置核查难度,提高效率,实现海量动态安全评估,满足企业在系统部署、集成、运维过程中规避系统脆弱性风险的安全合规要求。
**系统安全配置核查管理系统软件著作权登记证书
**Web渗透测试系统
**Web渗透测试系统可完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标Web系统作深入的探测,发现可利用的点。
**Web渗透测试系统主要工作模式如下:
自动化信息搜集,通过多种公开来源,如whois、站长之家等,自动搜集目标信息,爬取网站所有链接,查看后缀等,并生成可导出的文档。
以OWASP TOP 10为基准,如注入、失效的身份认证、敏感数据泄露、XXE、XSS等,分项有序对信息搜集中爬取的站点进行漏洞发现,包含各种常用开源软件,开源的软件:常见的开源软件有wordpress、phpbb、dedecms等、开源的框架:常见的开源框架有Struts2、 Spring MVC、ThinkPHP等、中间件服务器:常见的中间件服务器有jboss、tomcat、Weblogic等、数据库服务:常见的数据库服务mssql、mysql、oracle、redis、sybase、MongoDB、DB2等并生成可导出的文档。
针对以发现的漏洞,系统自动对漏洞进行验证,系统结合了SQLMAP、MATESPLOIT及GITHUB等多渠道开源POC。
最终形成完整报告,可选文字、图表等多样化展示形式。
渗透测试系统软件著作权登记证书
*系统脆弱性远程评估系统
*系统脆弱性远程评估系统提供了市面上最具竞争力的功能,包含主机发现、操作系统识别、服务识别、弱口令检测、漏洞扫描、配置核查、漏洞验证等,有非常多的可扩展模块和插件。
*系统脆弱性远程评估系统可通过配置相关策略,粗略的进行系统分析,也可根据已有的信息,针对性探测系统的弱点。
*系统脆弱性远程评估系统具有*多年安全经验积累诞生的独有算法,不仅可通过系统版本、系统信息分析漏洞,更可通过其它信息(如安全设备、审计设备等)综合判断弱点,能对多个方面的安全脆弱性统一分析和风险评估,给出总体安全状态评价,全面掌握信息系统安全风险。
*系统脆弱性远程评估系统可提供文字、图表等多样化展示形式,更可通过策略配置,定期或者有预警信息时发送至管理员或负责人手中。
*系统脆弱性远程评估系统软件著作权登记证书
测评相关工作的实施计划
定级备案服务
协助定级备案服务
等保制度是国家安全保障的基本制度,定级则是等保工作中首要环节和重要环节,定级工作没有做好,那么后续环节的工作也就失去了意义,信息系统的安全就得不到保障。系统等级的确定取决于该系统遭到破坏后对国家安全和社会稳定造成的影响程度。
二
级
及
以上的系统都是重要的系统。我司可帮助运营系统单位进行定级备案。
系统定级协助
重要的信息系统是国家的基础设施,其安全需要企业及企业相关部门共同承担起安全责任,运营在调研、定级评审过程中,也发现当前定级工作还存在少数部门信息系统定级不合理、不准确问题。企业(运营使用单位)和主管部门需要配合信息安全监管部门做好信息系统的安全工作,一旦发生安全问题,这三方都是需要承担责任的,不过企业和主管部门需要负主要责任。
运营使用单位和主管部门在完成等保工作的时候可能会遇到以下问题:
不能做到换位思考,运营使用单位或者主管部门未能从国家安全、社会稳定等位置对信息系统等级进行统筹考虑,只是一味的站在行业、信息系统自身的安全角度看待问题。
运营使用单位或者主管部门觉得定级定高了,成本相应的也会高很多,企业的负担会加重许多。
运营使用单位或者主管部门对本行业下属单位的定级指导不当,对于同类的信息系统定的级数太低,无法达到政策法规的标准。
是少数运营使用单位或者主管部门对于定级工作的重要性还不够了解,出现一些企业只是对信息系统的运维单位进行定级,而没有对业务单位进行定级。
出于种种问题,致使很多企业的定级工作可能做得不是很好,甚至是没有做的的情况,以下简单介绍一下系统定级需要协助的方面。
1、
确定对象
定级的第一步就是确认对象,只有科学、合理地确定好定级对象,才便于后续的工作开展,可参考以下内容确定定级对象。
起到支撑和传输作用的基础信息网络是需要定级对象。
包括网管系统的网络系统(专网、内网、外网等)都要作为定级对
象。
各单位网站要作为独立的定级对象。不过安全级别较高的网站后台的数据库管理系统,需要作为独立的定级对象。
不同业务类别的应用系统需要分别作为独立的定级对象,不能以系统是否有数据交换或独享设备作为确定标准。
确定该单位需要定级的系统有专门的业务主管,以便运维部门(例如信息中心、托管方)可以协助该单位的业务部门开展后续等保工作。
具备信息系统的基本要素,避免将服务器、终端、网络设备等单一的系统组件作为定级对象。
2、确定等级
定级对象的系统重要性以及受到破坏的后对各方面造成的危害程度不同,导致他们的安全等级也不同。所以在确认系统等级的时候一定要根据实际情况进行,不能主观的想定几级就定几级。针对信息系统的不同情况,可按照下列情况进行定级。
等级级别图
3、系统等级的确定与审批
如果运行的信息系统是跨省或者全国统一联网的,可由主管部门统一确定保护等级。其中两点需要注意:
一是出现全国联网系统的保护策略是由各行业统一规划、统一建设情况的,需要分别让行业的主管部门确定等级;
二是信息系统是全国联网由各行业统一规划、分级建设的,应该由部、省、地市分别对系统等级进行确定,各行业的主管部门只对系统提出定级意见,但不应出现同类系统下级定级高于上级的情况。
还有一点需要注意,如果出现部、省、市行政级别的降低的情况,同类信息系统的安全保护等级不能降低。
系统备案协助
1、确定对象
各行业主管部门、运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,初步确定定级对象的安全保护等级,起草《信息系统安全等级保护定级报告》。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
2、备案依据
《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法(公安部第 33 号令)》、公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)。
3、备案对象
电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、
发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
市(地)级以上机关的重要网站和办公信息系统。
涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
4、备案材料准备
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
5、专家评审与审批
初步确定信息系统安全保护等级和准备好备案材料后,
二级及
以上信息系统需要聘请专家进行评审。
信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
6、备案材料提交及审核
定级备案单位将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及上述配套材料提交属地公安机关网安部门审核。对符合等级保护要求的,在收到备案材料之日起的 10 个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,在收到备案材料之日起的 10 个工作日内通知备案单位予以纠正。
定级与备案阶段工作流程图
定级备案流程
1、定级原理
1)信息系统安全保护等级
根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2)信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
3)
受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a)
公民、法人和其他组织的合法权益;
b)
社会秩序、公共利益;
c)
国家安全。
4)对客体侵害的程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a)
造成一般损害;
b)
造成严重损害;
c)
造成特别严重损害。
5)定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如下表所示。
定级要素与等级关系表
受侵害的客体
对客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第
二
级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
2、定级流程
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下:
确定作为定级对象的信息系统;
确定业务信息安全受到破坏时所侵害的客体;
根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
依据“业务信息安全保护等级矩阵表”,得到业务信息安全保护等级;
确定系统服务安全受到破坏时所侵害的客体;
根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
依据“系统服务安全保护等级矩阵表”,得到系统服务安全保护等级;
将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法
权益
第一级
第二级
第
二
级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
系统服务安全保护等级矩阵表
系统服务被破坏时所侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第
二
级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
《信息安全等级保护管理办法》
第二章 等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第三章 等级保护的实施与管理。第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
1)
确定定级对象
各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、...
系统网络投标方案(75页).docx
