企业信息系统安全等级保护评测方案.pdf

企业信息系统安全等级保护评测方案

一、总体方案概述

1.1项目目标

通过对**单位信息系统等级保护差距测评，可以了解目前**单位信息系统的

等级保护差距情况，同时能够对定级的业务系统及业务网络进行安全风险识别,

并以此为依据有目的性地调整网络的保护等级并提供解决方案，针对网络保护中

存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署，对

全网的安全进行统一的规划和建设，并根据等级保护差距测评和风险评估的结果

指导**单位下一步等级保护工作的开展，确保有效保障网络安全稳定运行。

1.2测评范围

本次等级测评服务针对信息系统以及业务系统所依托的内部局域网网络环

境、软硬件设备（数据库、中间件、应用程序、服务器、网络设备和安全设备等）、

机房物理环境、涉及的运维管理机制等实施信息安全等级测评服务，其中包括定

级、定级之后的差距测评和整改阶段之后的验收测试，此项目中统称为一体测评

服务。具体评估范围包括但不限于：

物理环境：位于中心机房和各处配线间。主要考察信息系统相关的防火、

防水、防雷、防盗和不间断电源等保障物理安全的各种设施。

计算机网络：网络拓扑结构、城域网和互联网连接的路由器、交换机、防

火墙或其他信息安全设备，各应用服务器和整体网络的数据流信息。

操作系统：检查所有网络设备、信息安全设备和服务器的操作系统，对所

有设备的windows、Linux和专业操作系统是否及时安装最新补丁进行针对性检

查。

应用系统：所有业务系统和门户网站等重要信息系统。招标方认为重要且

应包含在本次安全评估范围内的信息系统都应被认定为重要管理信息系统。

数据库：对各种数据库进行安全检测。例如某业务系统中数据库是否安装

最新补丁，管理帐户是否存在弱口令等进行检测。

控制网络链接：获得所有控制并能够连接到网络的设备信息（例如调

制解调器、第二块网卡、USB网卡、1394接口网卡等）。防止经授权的拨入。

防病毒及恶意软件：检查所有服务器的杀毒软件系统和单机防恶意软件系

统。

灾难恢复策略：审核并检查数据备份及灾难恢复计划，了解是否进行应急

演练，并提出改进建议。

安全控制策略：边界访问控制的防火墙、入侵检测系统、网络防病毒系统、

内网安全管理系统等设的配置策略。负责安全政策的编制管理人员、办公人员

的安全意识、各种安全管理规章制度等。

1.3测评原则

我公司等级保护差距测评服务将遵循以下原则：

・保密原则：我公司将与**单位签订保密协议，同时公司与每个参与本项目

的员工签订信息保密协议，保证项目过程中和项目结束后不会向第三方泄

漏机密信息，保证公司和个人不会利用评估结果对**单位造成侵害。在项

目过程中获知的任何用户信息，经过双方确认属用户秘密信息的，严格遵

守保密协议中规定的要求确保信息安全。

・标准性原则：我公司对**单位等级保护测距测评方案的设计与实施将依据