企业信息系统安全等级保护评测方案.docx

1、企业信息系统安全等级保护评测方案企业信息系统安全等级保护评测方案一、总体方案概述1.1项目目标通过对*单位信息系统等级保护差距测评，可以了解目前*单位信息系统的等级保护差距情况，同时能够对未定级的业务系统及业务网络进行安全风险识别，并以此为依据有目的性地调整网络的保护等级并提供解决方案，针对网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署，对全网的安全进行统一的规划和建设，并根据等级保护差距测评和风险评估的结果指导*单位下一步等级保护工作的开展,确保有效保障网络安全稳定运行。1.2测评范围本次等级测评服务针对信息系统以及业务系统所依托的内部局域网网络环境、软硬件设备

2、（数据库、中间件、应用程序、服务器、网络设备和安全设备等）、机房物理环境、涉及的运维管理机制等实施信息安全等级测评服务，其中包括定级、定级之后的差距测评和整改阶段之后的验收测试，此项目中统称为一体测评服务。具体评估范围包括但不限于：物理环境：位于中心机房和各处配线间。主要考察信息系统相关的防火、防水、防雷、防盗和不间断电源等保障物理安全的各种设施。计算机网络：网络拓扑结构、城域网和互联网连接的路由器、交换机、防火墙或其他信息安全设备、各应用服务器和整体网络的数据流信息。操作系统：检查所有网络设备、信息安全设备和服务器的操作系统，对所有设备的windows、Linux和专业操作系统是否及时安装最

3、新补丁进行针对性检查。应用系统：所有业务系统和门户网站等重要信息系统。招标方认为重要且应包含在本次安全评估范围内的信息系统都应被认定为重要管理信息系统。数据库：对各种数据库进行安全检测。例如某业务系统中数据库是否安装最新补丁，管理帐户是否存在弱口令等进行检测。未控制网络链接：获得所有未控制并能够连接到网络的设备信息（例如调制解调器、第二块网卡、USB网卡、1394接口网卡等）。防止XX的拨入。防病毒及恶意软件：检查所有服务器的杀毒软件系统和单机防恶意软件系统。灾难恢复策略：审核并检查数据备份及灾难恢复计划，了解是否进行应急演练，并提出改进建议 。安全控制策略：边界访问控制的防火墙、入侵检测系统

4、、网络防病毒系统、内网安全管理系统等设备的配置策略。负责安全政策的编制管理人员、办公人员的安全意识、各种安全管理规章制度等。1.3测评原则我公司等级保护差距测评服务将遵循以下原则：保密原则：我公司将与*单位签订保密协议，同时公司与每个参与本项目的员工签订信息保密协议，保证项目过程中和项目结束后不会向第三方泄漏机密信息，保证公司和个人不会利用评估结果对*单位造成侵害。在项目过程中获知的任何用户信息，经过双方确认属用户秘密信息的，严格遵守保密协议中规定的要求确保信息安全。标准性原则：我公司对*单位等级保护测距测评方案的设计与实施将依据相关的等级保护安全标准以及国家有关部门制定信息安全和风险管理领域

5、的国家标准进行，确保等级保护建设过程的规范、合理，并为等级保护建设成果提供了质量保证。规范性原则：我公司在等级保护差距测评项目中提供规范的工作过程和文档，具有很好的规范性，可用于项目的跟踪和控制。项目的实施由专业的项目管理人员和安全服务人员依照规范的操作流程进行，在测评之前制定计划和必要的工作申请，并提前告知对系统可能的影响，并提出风险规避措施并做出必要的应急准备，在操作过程中对操作的过程和结果要提供规范的记录，并形成完整的评估过程报告。最小影响原则：*单位的等级保护差距测评工作的原则是做到对于用户系统和网络运行的影响最小化，不能对正在运行的系统和业务的正常提供产生显著不利影响。1.4标准依据

6、等级保护测评方案将主要依据信息系统安全等级保护定级指南、信息系统安全等级保护实施指南和信息系统安全等级保护基本要求进行评估，同时为保证本次评估的全面性，还将参考相关的国家和地方的相关法规及国内标准，并有选择性地采纳了优秀的风险评估理论。这些标准和操作指南目前已经被我公司在以往的等级保护项目中进行了实践，并得到了用户的认可和好评。具体的标准如下:GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求 GB/T 22240-2008信息安全技术信息系统安全保护等级定级指南 GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求信息安全技术信息系统安全等级保护实施

7、指南（报批） 信息安全技术信息系统安全等级保护测评过程指南（送审） GB/T 24856-2009信息安全技术信息系统等级保护安全设计技术要求 . GB/T 18018-2007信息安全技术路由器安全技术要求 GB/T 20945-2007信息安全技术信息系统安全审计产品技术要求和测试评价方法 GB/Z 20985-2007信息技术安全技术信息安全事件管理指南 GB/Z 20986-2007信息安全技术信息安全事件分类分级指南 GB/T 20988-2007信息安全技术信息系统灾难恢复规范 GB/T 21028-2007信息安全技术服务器安全技术要求 GB/T 20008-2005信息安全技术

8、操作系统安全评估准则 GB/T 20009-2005信息安全技术数据库管理系统安全评估准则 GB/T 20010-2005信息安全技术包过滤防火墙评估准则 GB/T 20011-2005信息安全技术路由器安全评估准则 GB/T 20269-2006信息安全技术信息系统安全管理要求 GB/T 20270-2006信息安全技术网络基础安全技术要求 GB/T 20271-2006信息安全技术信息系统通用安全技术要求 GB/T 20272-2006信息安全技术操作系统安全技术要求 GB/T 20273-2006信息安全技术数据库管理系统安全技术要求 GB/T 20275-2006信息安全技术入侵检测系

9、统技术要求和测试评价方法 GB/T 20277-2006信息安全技术网络和终端设备隔离部件测试评价方法 GB/T 20278-2006信息安全技术网络脆弱性扫描产品技术要求 GB/T 20279-2006信息安全技术网络和终端设备隔离部件安全技术要求 GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法 GB/T 20281-2006信息安全技术防火墙技术要求和测试评价方法 GB/T 20282-2006信息安全技术信息系统安全工程管理要求二、信息安全等级保护主要工作介绍 根据国家制订的信息系统安全等级保护实施指南的相关要求，结合*单位医疗卫生行业的特性,我公司将医疗卫生机

10、构的等级保护工作实施划分为以下流程：等级保护工作实施流程整个等级保护实施过程包括九个工作环节，具体为信息系统定级、信息系统备案、安全差距测评、安全整改、第三方等保测评、安全运维、信息系统终止7个基本流程和面向新建系统的安全规划/设计、安全建设实施2个附加流程。在等级保护实施过程中，其中一些规定的工作环节由于涉及信息安全的专业技术，医疗卫生单位由于自身工作专长所限，一般由国家规定的建设、测评机构进行建设和测评指导。我公司针对此情况，专为医疗卫生行业提供信息系统定级、信息系统备案、安全差距测评、安全整改和第三方等保测评（验收测评）等技术相关细节实施的安全服务。本等级保护测评方案主要包括：信息系统定

11、级、信息系统备案、安全差距测评、整改辅助和验收测评三个部分的内容。2.1.信息系统定级 信息系统定级是整个信息系统等级保护工作的第一个重要环节，是等级保护工作的首要环节，是展开信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。在信息系统等级保护等级确定以后，信息系统运营和使用单位将根据国家信息安全等级保护管理规范和技术标准，开展信息系统安全建设和改建工作，因此，信息系统安全保护等级确定的准确与否非常关键。我公司将配合医疗行业收集、整理、组织专家会研讨等多种方式，根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其

12、他组织的合法权益的危害程度等因素确定安全保护等级。 由于同一行业内部的处理相同业务的信息系统之间具有相似性，这些信息系统对于国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的影响程度具有类比性，同时，行业主管部门一般比信息系统的运营、使用单位具有更高的站位、更宏观的视野，从而可以做出更准确地判断。信息系统运营、使用单位在为信息系统确定安全保护等级以后，我公司将配合*单位报主管部门（上级医疗卫生主管单位）审核批准，从而保证信息系统安全级别确定的准确性和一致性。 具体的定级细则请看“三、信息系统定级部分”2.2.信息系统备案 信息系统定级工作完成以后，应进行系统备案。对于系统备案，“

13、管理办法”中作出了明确的规定。第二级信息系统应当在安全保护等级确定后 30日内，由其运营、使用单位到所在地区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后 30日内，由其运营、使用单位到所在地区的市级以上公安机关办理备案手续。我公司将为*单位整理备案所需材料，详见“四、信息系统备案部分”。2.3.等级保护差距测评信息系统安全等级保护差距测评是整个信息系统安全等级保护工作的又一重要环节。差距测评通常用于判断信息系统的安全保护能力与国家要求之间的符合程度，寻找安全保护水平与国家要求之间的差距，作为安全需求用于指导信息系统的安全建设或安全改造。我公司的等级保护差距测评主要采

14、用差距分析表，通过访谈、检查、技术检测等手段核查*单位的安全现状。在整理差距分析表时，差距分析项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求，根据及风险评估的结果进行调整，去掉不适用项，即对本安全防护等级的不适用的指标项进行适当裁剪，裁剪后的指标项作为本次差距分析的输入。 差距测评包括如下四方面内容：安全技术差距分析：包括网络安全、主机安全、应用安全、数据安全及备份恢复;安全管理差距分析：包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;系统运维差距分析：包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码

15、管理、变更管理、备份与恢复管理、安全事件处置;物理安全差距分析：包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。2.4.整改辅助等级测评的宗旨始终坚持优化整改建设工作为目的，于是在差距测评中，我们将按照国家有关规定和标准规范要求，坚持管理和技术并重的原则，提出信息系统所面临的脆弱点及与基线要求中的差距分析，并提出相应的整改建议，提高信息系统整体安全保护能力，更加利于验收测评的顺利通过。2.5 验收测评 验收测评的流程和测评依据同差距测评流程一致，所以这个阶段主要针对差距测评阶段不符合和部分符合项目进行验证和测评，同时给出测评结

16、论，并将相应的测评报告提交到公安监管部门，以示整个测评流程完成。三、信息系统定级部分 建议先对HIS/CIS系统进行等保定级，再根据*单位的自身额外安全需求，将此信息系统按内部信息化办公、医疗集成应用、对外业务功能等应用划分为若干个较小的、可能具有不同安全保护等级的定级对象。 作为定级对象的信息系统应具有如下基本特征： 3.1业务信息安全保护等级的确定（1）业务信息描述*单位的HIS/CIS信息系统业务主要信息包括：病案、财务、妇幼保健信息、儿童出生证及内部办文(OA)等内部信息化办公管理系统；放射PACS系统、超声BSUIS系统、体检系统等医疗集成应用；属于公民、法人和其他组织的专有信息。（

17、2）业务信息受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。（3）信息受到破坏后对侵害客体的侵害程度上述结果的程度表现为严重损害，即工作职能受到严重影响，业务能力显著下降，较大范围的不良影响等。（4）确定业务信息安全等级查信息安全技术 信息系统安全保护等级定级指南（GB/T 22240-2008）中相关定级

18、指导要求表可知，其业务信息安全保护等级为第二级。业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级3.2系统服务安全保护等级的确定 （1）系统服务描述 *单位信息系统属于提供内部管理、业务开展的信息系统，其服务范围为医疗机构的内部人员和受诊病人。 （2）系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，但不损害国家安全和社会秩序、公共利益。客观方面表现得侵害结果为：可以对公民、法人和其他组织的合法权益造

19、成侵害（影响正常工作的开展，导致业务能力下降，造成不良影响等）。 （3）信息受到破坏后对侵害客体的侵害程度上述结果的程度表现为公民、法人和其他组织的合法权益受到严重损害，即工作职能收到严重影响，业务能力显著下降，较大范围的不良影响等。 （4）确定系统服务安全等级 查信息安全技术 信息系统安全保护等级定级指南（GB/T 22240-2008）中相关定级指导要求表可知，系统服务安全保护等级为第二级。系统服务被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级3.3安全保护等

20、级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定。从*单位信息系统遭到破坏后的影响程度来看，基本只损害到部分公民的就医权利，造成对社会秩序和公共利益的损害不至“严重程度”，属于“第二级”范畴，且HIS/CIS系统对信息安全防护和服务能力保护的要求均较高，因此基本定位在LSA(2，2，2)。所以，*单位的安全保护等级综合评定为第二级。信息系统名称安全保护等级业务信息安全等级系统服务安全等级*单位HIS/CIS信息系统第二级二二四、信息系统备案部分 在确定信息系统等级后，我公司将配合*单位完成信息系统定级报告，并填写信息系统等级保护备案表，到当地公安局机关进行备案

21、工作，对非涉及国家秘密的第二级以上的信息系统的备案工作按照如下原则来进行备案： (一)配合*单位务必在信息系统安全保护等级确定后 30日内，到公安机关公共信息网络安全监察部门办理备案手续；(二)备案时提交信息系统安全等级保护备案表（以下简称备案表）（一式两份）及其电子文档。第二级以上信息系统备案时需提交备案表中的表一、二、三；第三级以上信息系统还应当在系统整改、测评完成后 30日内提交备案表表四及其有关材料。备案表详见附录 1；(三)办理信息系统安全保护等级备案手续时，除填写信息系统安全等级保护备案表，还需准备以下材料： a)系统拓扑结果及说明 b)系统安全组织机构和管理制度 c)系统安全保护

22、设施设计实施方案或者改建实施方案 d)系统使用的信息安全产品清单及其认证、销售许可证明 e)测评后符合系统安全保护等级的技术检测评估报告 f)信息系统安全保护等级专家评审意见 g)主管部门审核批准信息系统安全保护等级的意见五、等级保护差距测评部分5.1工作流程等级保护差距测评总体工作流程分为：前期准备阶段、现场评估阶段、结果分析阶段。具体工作流程下图：5.2测评方法本项目中的等级保护差距测评依照信息安全技术 信息系统安全等级保护测评要求（GB/T 28448-2012）,测评方案可分为单项测评和整体测评两大类。5.2.1单项测评单项测评的目的在于明确各被测信息系统在各项安全控制措施上与等级保护

23、相关标准的差距。文档查询：阅读有关网络结构与网络环境，主要的硬件、软件及其承载的数据和信息、管理、维护和使用的人员等文档。从而为确定定级对象、等级提供参考；调查问卷：根据组织部门、岗位、人员等具体情况，设计相应的问卷进行抽样调查，可以较为客观、准确的了解组织在安全管理方面的情况。调查问卷与人员访谈是相辅相承的。调查问卷是大范围调研的一种形式，顾问访问是针对特定对象更深入的调研形式。调查问卷与人员访谈的调研内容是基本相同的。调查问卷更侧重于调查一下方面：人员的安全知识、安全意识状况安全管理技术的使用情况安全事件发生情况安全管理制度的落实情况等人员访谈：人员访谈可以基于客户业务、管理和IT技术应用

24、的实际状况，结合专家的经验，对组织业务流程、组织架构、管理体系、信息系统、现有防护体系等进行深入的了解和多层次、多角度的分析，并通过相关人员的沟通、确认，充分、客观、准确的获得组织在技术、管理方面存在业务安全风险。通常，人员访谈仅限于对组织内相关领导、系统开发管理维护人员，有时也对普通员工进行抽样访谈。实地观察:现场调研则是由评估人员到现场观察并收集被评估方在物理、环境和操作方面的信息；评估工具:利用工具尽可能多地收集、分析和整理受测单位的相关信息，在此基础上形成准确的受测单位总体描述文件。（工具描述详见“5.3测评工具”）5.2.2整体测评等级保护差距测评评的目的都在于明确被测信息系统与国家

25、等级保护要求之间的差距。因此，在单项测评的基础上，还需进行整体测评，以达到对整个系统的安全风险进行评估和控制的目的。整体测评主要包括四项工作内容：安全控制间安全测评、层面间安全测评、区域间安全测评和系统结构安全测评。5.2.2.1安全控件间安全测评方法安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能，可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求；而安全功能上的削弱会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性。在测评

26、安全控制间的增强和补充作用时，先根据安全控制的具体实现和部署方式以及信息系统的实际环境，分析出位于物理安全、网络安全、主机系统安全、应用安全和数据安全等同一层面内的哪些安全技术控制间可能存在安全功能上的增强和补充作用，分析出处在安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等同一方面内的哪些安全管理控制间可能存在安全功能上的增强和补充作用。如果增强和补充作用是可以进行测评验证的，则应设计出具体测评过程，进行测评验证。最后根据测评分析结果，综合判断安全控制相互作用后，是否发挥出更强的综合效能，使其功能增强或得到补充。在测评安全控制间的削弱作用时，先根据安全控制的具体实现方式

27、和部署方式以及信息系统的实际环境，分析出位于物理安全、网络安全、主机系统安全、应用安全和数据安全等同一层面内的哪些安全技术控制间可能会存在安全功能上的削弱作用，分析出处在安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等同一方面内的哪些安全管理控制间可能存在安全功能上的削弱作用。如果功能削弱是可以进行测评验证的，则应设计出具体测评过程进行测评验证。最后根据测评分析结果，综合判断安全控制相互作用后，一个安全控制是否影响另一个安全控制的功能发挥或者给其带来新的脆弱性，使其功能削弱。如果安全控制间优势互补，使单个低等级安全控制发挥的安全功能达到信息系统相应等级的安全要求，则可认为

28、该安全控制没有影响信息系统的整体安全保护能力。如果安全控制间存在削弱作用，使某个安全控制的功能等级降低到其安全功能已不能达到信息系统相应等级的安全要求，则可认为该安全控制影响到信息系统的整体安全保护能力。项目组根据等级保护现场测评的相关记录，使用工作单元方式来组织对安全控制评估的实施。依照等级保护相关国家标准，评估工作单元可分为安全技术评估和安全管理评估两大类。其中安全技术评估包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制评估，而安全管理评估包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制评估。1)层面间安全测评方法层

29、面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能，可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。在测评层面间的功能增强和补充作用时，先根据层面的整合集成方式和信息系统的实际环境，重点研究不同层面上相同或相似的安全控制（如主机系统层面与应用层面上的身份鉴别之间的关系），以及技术与管理上各层面的关联关系，分析出哪些安全控制间可能会存在安全功能上的增强和补充作用。如果增强和补充作用

30、是可以进行测评验证的，则应设计出具体测评过程，进行测评验证。最后根据测评分析结果，综合判断层面间整合后，是否发挥出更强的综合效能，使其功能增强或得到补充。在测评层面间的功能削弱作用时，先根据层面的整合集成方式和信息系统的实际环境，分析出哪些安全技术层面间和安全管理方面可能存在安全功能上的削弱作用。如果功能削弱是可以进行测评验证的，则应设计出具体测评过程，进行测评验证。最后根据测评分析结果，综合判断不同层面整合后，一个层面是否影响另一个层面安全功能的发挥或者给其带来新的脆弱性，使其功能削弱。如果层面间安全功能增强或优势互补，使单个或部分低等级安全控制发挥的安全功能达到信息系统的安全要求，则可认为

31、这些安全控制没有影响信息系统的整体安全保护能力。如果层面间存在削弱作用，使某个或某些安全控制的功能等级降低到其安全功能已不能满足信息系统相应等级的安全要求，则可认为这些安全控制影响到信息系统的整体安全保护能力。5.2.2.2区域间安全测评方法区域间的安全测评主要考虑互连互通（包括物理上和逻辑上的互连互通等）的不同区域之间存在的安全功能增强、补充和削弱等关联作用，特别是有数据交换的两个不同区域。例如，流入某个区域的所有网络数据都已经在另一个区域上做过网络安全审计，则可以认为该区域通过区域互连后具备网络安全审计功能。安全功能上的增强和补充可以使两个不同区域上的安全控制发挥更强的综合效能，可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个区域上的安全功能影响另一个区域安全功能的发挥或者给其带来新的脆弱性。在测评区域间的功能增强和补充作用时，应先根据区域间互连互通的集成方式和信息系统的实际环境，特别是区域间的数据流流向和控制方式，分析出哪些区域间可能会存在安全功能上的增强和补充作用。如果增强和补充作用是可以进