38_SGISLOP_SA730数据安全和备份恢复等级保护测评作业指导书(二级).doc

WORD文档可编辑 技术资料 专业分享 控制编号 控制编号：SGISL/OP-SA73-10 信息安全等级保护测评作业指导书 数据安全（二级） 版 号： 第 2 版 修 改 次 数： 第 0 次 生 效 日 期： 20 中国电力科学研究院信息安全实验室  WORD文档可编辑 修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA73-10 李鹏 按公安部要求修订 詹雄 2010.3.8 一、数据完整性 1．数据传输过程中完整性 测评项编号 ADT-SJAQ -01 对应要求 应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏 测评项名称 传输过程中的数据完整性 测评分项1：检查信息在传输过程中的完整性 操作步骤 访谈管理员，询问鉴别信息和业务系统数据在传输过程中是否有完整性保证措施，具体措施有哪些； 检查操作系统、网络设备、数据库管理系统的设计/验收文档或相关证明性材料（如证书、检验报告等）等，查看其是否有能检测/验证到系统管理数据（如WINDOWS 域管理、目录管理数据）、鉴别信息（如用户名和口令）和用户数据（如用户数据文件）在传输过程中完整性受到破坏 适用版本 任何版本 实施风险 无 符合性判定 鉴别信息和业务系统数据在传输过程中有完整性保证措施，判定结果为符合； 鉴别信息和业务系统数据在传输过程中无完整性保证措施，判定结果为不符合。 二、数据保密性 1．鉴别信息的存储保密性 测评项编号 ADT-SJAQ -02 对应要求 应采用加密或其他保护措施实现鉴别信息的存储保密性 测评项名称 鉴别信息的存储保密性 测评分项1： 检查是否采用加密或其他保护措施实现鉴别信息的存储保密性 操作步骤 访谈安全管理员，询问系统管理数据、鉴别信息和重要业务数据在存储过程中是否采取保密措施（如在通信双方建立连接之前利用密码技术进行会话初始化验证，在通信过程中对敏感信息字段进行加密等），具体措施有哪些，是否所有应用系统的通信都采取了上述措施；采用的密码算法是否符合国家有关部门要求 适用版本 任何版本 实施风险 无 符合性判定 采取了加密或其他有效措施来保证存储过程中的数据保密性，判定结果为符合； 没有采取加密或其他有效措施来保证存储过程中的数据保密性，判定结果为不符合。 三、备份与恢复 1．重要信息备份和恢复 测评项编号 ADT-SJAQ -03 对应要求 应能够对重要信息进行备份和恢复 测评项名称 重要信息备份和恢复 测评分项1： 检查重要信息是否进行备份和恢复 操作步骤 访谈管理员，询问是否有备份和恢复制度，采用何种备份设备和恢复机制，是否有专门的备份设备提供备份；检查备份设备是否工作正常 适用版本 任何版本 实施风险 无 符合性判定 存在备份和恢复制度对本地数据进行备份和恢复，判定结果为符合； 无备份和恢复制度对本地数据进行备份和恢复，判定结果为不符合。 2．系统的硬件冗余 测评项编号 ADT-SJAQ -03 对应要求 应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性 测评项名称 系统的硬件冗余 测评分项1： 检查关键网络设备、通信线路和数据处理系统的硬件冗余 操作步骤 访谈管理员是否有通信线路、网络设备和数据处理的硬件冗余，保证灾难恢复时能正常使用，是否提供自动机制在灾难发生时实现实时无缝业务切换和恢复的功能 适用版本 任何版本 实施风险 无 符合性判定 存在通信线路、网络设备和数据处理的硬件冗余，判定结果为符合； 不存在通信线路、网络设备和数据处理的硬件冗余，判定结果为不符合。