广州市人口和计划生育局信息方案

广州市人口和计划生育局

定级与差距测评方案

广州XXX科技股份有限公司

二〇一〇年四月

广州市计生局信息系统安全等级保护定级与差距测评方案

目 录

第一章、 项目概述 ........................................................................................................................... 1

1.1 项目背景 ............................................................................................................................... 1

1.2 项目目的 ............................................................................................................................... 4

1.3 项目依据 ............................................................................................................................... 4

1.4 项目原则 ............................................................................................................................... 5

1.4.1 客观性和公正性原则 ....................................................................................................... 5

1.4.2 经济性和可重用性原则 ................................................................................................... 5

1.4.3 可重复性和可再现性原则 ............................................................................................... 5

1.4.4 结果完善性原则 ............................................................................................................... 6

第二章、 系统现状 ........................................................................................................................... 7

2.1 系统概况 ............................................................................................................................... 7

2.2 网络现状 ............................................................................................................................... 7

2.3 设备现状 ............................................................................................................................... 8

2.3.1 网络设备情况 ................................................................................................................... 8

2.3.2 计生系统情况 ................................................................................................................... 8

2.3.3 门户网站情况 ................................................................................................................... 8

2.3.4 OA系统情况 ..................................................................................................................... 8

第三章、 项目实施 ........................................................................................................................... 9

3.1 信息安全等级保护工作总体流程图 .................................................................................... 9

3.2 定级与差距测评方法 ......................................................................................................... 10

3.3 定级与差距测评流程 ......................................................................................................... 11

3.4 测评内容 ............................................................................................................................. 14

3.4.1 总体内容 ......................................................................................................................... 14

3.4.2 安全控制测评 ................................................................................................................. 15

3.4.3 系统整体测评 ................................................................................................................. 17

3.4.4 综合测评分析 ................................................................................................................. 17

3.5 项目计划 ............................................................................................................................. 18

3.6 人员安排 ............................................................................................................................. 20

3.7 行为规范及风险规避 ......................................................................................................... 20

3.8 项目输出成果 ..................................................................................................................... 21

3.8.1 定级工作成果 ................................................................................................................. 21

3.8.2 差距测评工作成果 ......................................................................................................... 21

第四章、 项目报价 ......................................................................................................................... 22

第五章、等级保护差距测评业绩 ...................................................................................................... 24

附件一：信息安全等级保护基本要求二级测评项 .......................................................................... 25

第一章、 项目概述

1.1 项目背景

根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室于2004年9月联合签发的《关于信息安全等级保护工作的实施意见》、2003年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）以及《广东省计算机信息系统安全保护条例》等信息安全等级保护的文件明确指出，要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。在这情况下，我省在有关部门的领导下积极开展深化信息安全等级保护工作，以达到切实提高重要信息系统安全保护能力的目的。

在2009年4月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

广州XXX科技股份有限公司（简称XXX科技）是由中国电子科技集团公司第七研究所民品部门于2000年转制组建的国有控股股份制企业，注册资本6396万元，是一家致力于电子信息与通信领域产品的研究、生产和销售的省高新技术企业和软件企业。2009年公司实现销售额9.4亿元。

XXX科技是广东省信息安全等级测评机构备案（二级）单位，广东省创新型试点企业和知识产权优势企业，是广州市重点软件企业和广州市首批知识产权工作站，具有广东省省级企业技术中心和广州市技术工程研究开发中心，具有广东省计算机信息系统安全服务等级证（二级）证书、计算机信息系统集成壹级资质和通信信息网络集成企业甲级资质证书，是中国WAPI产业联盟理事单位、中

国安全防范产品行业协会理事单位和广东省勘察设计协会理事单位，是广州市软件行业协会副会长单位及广东省软件行业协会会员单位，还是中国通信企业协会、中国电子企业协会、中国工程咨询协会会员单位；XXX科技是工业和信息化部批准成立的国家宽带无线IP标准工作组成员单位和中国宽带无线多媒体标准组成员单位，是国家密码管理管理局核准的商用密码产品生产定点单位和销售许可单位、国防武器装备科研生产二级保密资格单位（GDB0803）、广东省3G产业发展联盟成员单位。

XXX科技强化企业在技术创新中的主体地位，建立以企业为主体、市场为导向、产学研相结合的技术创新体系，积极与国内著名学府在产学研相结合方面进行卓有成效的合作，与中科院计算所、清华大学、北京大学、中山大学等国内知名高校院所建立了战略合作伙伴关系，与电子科技大学、华南理工大学、四川大学、湖南大学等高校有多年的项目研发合作关系。2000年以来，XXX科技共申请专利60余项（发明专利38项），主持或参与制定国际/国家/行业标准12项，承担国家、省、市科技攻关项目40余项。面向未来，XXX科技将以卓尔不群的信息产品和技术解决方案，致力成为具有强大竞争力的信息产品和服务提供商。

适逢广州市人口和计划生育局实施信息系统等级保护评估测评（以下简称“等保”）项目的机会，通过我们多个等级保护试点工作中积累的经验，结合我们自身的技术优势和多年来在信息安全服务中，逐步形成的一套完善的信息安全工程体系，充分考虑到广州市人口和计划生育局现有信息系统情况，特提供一份具体细致的、操作性强的等级保护实施计划，协助广州市人口和计划生育局联合完成信息系统等级保护的相关工作，帮助贵单位建立起完整的安全体系，达到公安部信息系统安全等级保护评审的要求，成为广州市通过安全等级保护条令评审的单位。

等级测评机构备案

安全服务等级证书

1.2 项目目的

通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设。

定级目的是确定广州市人口和计划生育局所有信息系统的信息安全保护等级，并向公安部门完成定级备案工作，是等级保护工作的基础，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。

差距测评目的是建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证，协助广州市人口和计划生育局完成等级保护差距测评工作，为下一步的整改提供重要的依据。

1.3 项目依据

信息系统定级阶段是信息系统运营、使用单位按照国家有关管理规范和《GB/T 22240-2008 信息系统安全保护等级定级指南》，确定信息系统的安全保护等级。

信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等 级测评。依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评 准则》，在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评 \结果基础上，针对不同等级的信息系统遵循的不同标准进行综合系统安全测评评审后确定，由等级保护测评机构给予相应的系统安全等级评审意见。 开展测评活动所依据的、标准文件：

 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发

[2003]27号）

 2004年9月四部委局联合签发的《关于信息安全等级保护工作的实施意见》  《信息安全等级保护管理办法》（公通字[2007]43号）

 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发

改高技[2008]2071号）

 《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45号)  《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》  《GB/T 20984-2008 信息安全技术 信息安全风险评估规范》

 《信息安全等级保护实施指南》

 《信息安全等级保护测评要求》

 《信息系统安全 等级保护测评过程指南》

 《等级保护系列安全产品技术要求》

 《信息系统安全通用技术要求》

 《数据库管理系统安全技术要求》

 《操作系统安全技术要求》

1.4 项目原则

1.4.1 客观性和公正性原则

虽然测评工作不能完全摆脱个人主张或判断，但测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。

1.4.2 经济性和可重用性原则

基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于结果适用于目前的系统，并且能够反映出目前系统的安全状态基础之上。

1.4.3 可重复性和可再现性原则

不论谁执行测评，依照同样的要求，使用同样的测评方式，对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同测评者测评结果的一致性有关，后者与同一测评者测评结果的一致性有关。

1.4.4 结果完善性原则

测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。

第二章、 系统现状

2.1 系统概况

广州市人口和计划生育局机房位于市政府大楼楼顶，目前机房的物理条件比较差，机房搬迁工作正在进行中，机房将搬迁到天河东路德欣街29号3楼，预计完工时间在2010年5月左右。广州市人口可计划生育局现有三个信息系统，由广州市人口信息中心服务运行维护工作。

广州市人口和计划生育局的定级备案工作正在进行中，对三个系统的安全保护定级拟定为二级。如下表：

2.2 网络现状

拓扑图如下：

服务器服务器服务器

2.3 设备现状

2.3.1 网络设备情况

广州市人口和计划生育局信息系统已部署使用的网络设备包括：深信服AC M5100、二层交换机。

已购买但还没有部署的网络设备设备包括：蓝盾BD-UTM G500、天融信 NGFW3000-4T4、方正防御FG8360、启明星辰天清入侵检测。

目前广州市人口和计划生育局未使用专用存储设备，今后会使用IBM DS3400和光纤交换机IBM2005-B16存储设备（已购买，预计4月底到货）。

2.3.2 计生系统情况

操作系统：win2003 IIS

数据库：SQL2000 sp4

系统网络安全：系统应用于广州市政务外网，与互联网逻辑隔离

服务器：HP DL580，IBM P570

2.3.3 门户网站情况

操作系统：Linux

数据库：oracle

系统网络安全：服务器托管在穗园小区机房。互联网映射由机关信息网络中心负

责。

服务器：IBM X3650，HP DL580

2.3.4 OA系统情况

操作系统：win2003 weblogic

数据库：oracle 9i

系统网络安全：系统应用于广州市政务外网，与互联网逻辑隔离，互联网用户不

能访问。

服务器：IBM X3650 浪潮NP370

第三章、 项目实施

3.1 信息安全等级保护工作总体流程图

3.2 定级与差距测评方法

定级方法：

信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。

系统的级别=MAX（业务信息的最高级别，系统服务的最高级别） 业务信息的级别确定方法：

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据下面的业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级。

系统服务的级别确定方法：

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据下面的系统服务安全保护等级矩阵表，即可得到系统服务安全保护等级。

差距测评方法：

根据信息系统安全等级保护测评准则,测评的方法有检查、访谈、测试和风险分析。

访谈是测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。

检查不同于行政执法意义上的监督检查，是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。其中包括对设备配置的检查，对管理文档的检查等。

测试是测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动，查看、分析输出结果，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。其中包括对系统的功能测试验证、安全漏洞扫描和渗透测试等。

风险分析中要涉及资产、威胁、脆弱性三个基本要素。风险分析的主要内容为:

a) 对资产进行识别，并对资产的价值进行赋值;

b) 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值; c) 对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值; d) 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性; e) 根 据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;

f) 根 据 安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。

3.3 定级与差距测评流程

定级流程：

信息系统安全保护等级=MAX（业务信息安全等级、系统服务安全等级） 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。

从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。

确定信息系统安全保护等级的一般流程如下： a) 确定作为定级对象的信息系统；

b) 确定业务信息安全受到破坏时所侵害的客体；

c) 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客

体的侵害程度；

d) 依据《信息系统安全保护等级定级指南》，得到业务信息安全保护等级； e) 确定系统服务安全受到破坏时所侵害的客体；

f) 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客

体的侵害程度；

g) 依据《信息系统安全保护等级定级指南》，得到系统服务安全保护等级； h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级

对象的安全保护等级。 上述步骤下图所示：

差距测评流程：

等级测评基本工作流程

3.4 测评内容 3.4.1 总体内容

对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

对安全控制测评的描述，使用测评单元方式组织。测评单元分为安全技术测 评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括： 安全管理机构、安全管理制度、 人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。具体见下图：

3.4.2 安全控制测评

3.4.2.1 安全技术测评

安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面。 1、物理安全

 测试内容：被测信息系统应对重要的物理安全设置，如物理位置的选择、物

理访问控制、防盗窃和防破坏、防盗窃和防破坏、防 雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等做必要配置。  测试方法：访谈、检查。 2、网络安全

（1）路由交换设备：路由器、交换机

 测试内容：被测路由交换设备应对结构安全与网段划分、网络访问控制、网

络安全审计、边界完整性检查、网络设备防护等做必要配置。  测试方法：命令检查、配置界面、日志报表检查、安全测试。 （2）安全设备（防火墙、IDS/IPS、防病毒系统）

 测试内容：被测安全设备应对重要操作，结构安全与网段划分、网络访问控

制、网络安全审计、边界完整性检查、网络入侵防范、网络设备防护等做必要配置。

 测试方法：命令检查、配置界面、日志报表检查、安全测试。 3、主机系统安全

 测试内容：被测操作系统应对重要操作，如令牌的使用、帐户认证、密码管

理、登录限制、身份标识和鉴别、主体和客体的访问 控制、用户授权、安全审计、报警、监控、系统保护、恶意代码防护、剩余信息保护、资源控制等做必要 配置。

 测试方法：命令检查、配置界面、日志报表检查、安全测试。 4、数据安全

 测试内容：被测数据库应对重要操作，如软件完整性、数据完整性、访问控

制、安全管理、审计等做必要配置。

 测试方法：命令检查、配置界面、日志报表检查、安全测试。 5、应用安全

 测试内容：被测应用应对重要操作，如发布内容的敏感级别，是否使用 SSL

或 SSH，有书面的评审过程，定期培训，Web 服务器是否使用了防火墙，是否按照要求归档 Web 服务器访问日志，是否对 Web 服务器管理人员和内容维护人员有详细的记录，是否有书面的 Web 服务器事件响应过程，DNS 是否经过验证，是否还是一个域名控制器，是否同时支持多种应用或服务，是否有 FrontPage、MSOffice、MSMoney、StarOffice 等软件，是否存在“正在建设中”或类似的页 面，是否开启了 SMTP 服务，是否安装了监控软件， 是否限制了并发请求数， 是否有缺省的 index.html 或相当的文件，Web 主文档和系统文件、操作系统文件 是否位于同一目录下，Web 日志，是否存在审计组，访问限制是否使用加密， CGI 脚本，文件映射，IIS 索引服务的索引目录是否为 Web 文档目录，是否取消 了 目录浏览，是否共享非公共资产，是否安装了编译器，匿名帐户，用户帐户 是否具有过多权限，内容目录是否是网络共享，是否对httppasswd文件或目录具有写和修改权限，是否移除了 Web 服务器上易受攻击的程序，CGI 备份脚本， 匿名 FTP 用户是否能访问到 Scripts 目录或 CGI_bin 目录，是否允许符号链接， Cscript.exe/Wscript.exe 有无执行权限，是否存在有.java、.jpg 文件，Web 服务器 和操作 系统信息被广播，global.asa、.inc 或相当的文件的访问，URLScan 工具 的安装与使用，IIS 网络打印协议等做必要配置。  测试方法：命令检查、配置界面、日志报表检查、安全测试

3.4.2.2 安全管理测评

安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建 设管理和系统运维管理等五个方面。

1、人员访谈

 测试内容：针对组织内的安全管理人员、安全员、安全主管、工作人员、关

键活动批准人、管理人员（负责定期评审、修订和日常维护的人员）、机房

值守 人员、人事负责人、人事工作人员、审计员、网络管理员、文档管理员、物理安 全负责人、系统管理员、 系统建设负责人、系统运维负责人、资产管理员等不 同类型岗位的人员访谈。  测试方法：访谈相关人员 2、文档检查

 测试内容：安全管理机构、安全管理制度、人员安全管理、系统建设管理、

系统运维管理等方面的文档检查。  测试方法：查看相关文件

3.4.3 系统整体测评

系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的 具体安全功能实现和安全控制配置，与特定信息系统的实 际情况紧密相关，内 容复杂且充满系统个性。在安全控制测评的基础上，重点考虑安全控制间、层面 间以及区域间的相互关联关系，测评 安全控制间、层面间和区域间是否存在安 全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统 之间整体安全性等。

3.4.4 综合测评分析

综合测评分析包括两个方面的内容：一是安全控制测评分析，主要分析信息 安全等级保护要求的基本安全控制在信息系统中的实施配 置情况；二是系统整 体测评分析，主要测评分析信息系统的整体安全性。其中，安全控制测评分析是 信息系统整体安全测评分析的基础。

3.5 项目计划

该项目总工时为：25个工作日。

3.6 人员安排

为保证整个工程的顺利实施,我们XXX安排如下人员投入该项目当中：

3.7 行为规范及风险规避

在实施定级与差距测评工作的过程需规范，包括：制定内部保密制度；制定过程控制制度；规定相关文档评审流程；指定专人负责保管等级测评的归档文件等。

测评人员的行为应规范，包括：测评人员进入现场佩戴工作牌；使用测评专用的电脑和工具；严格按照测评实施手册使用规范的测评技术进行测评；准确记录测评证据；不擅自评价测评结果；不将测评结果复制给非测评人员等。

在项目的实施过程中规避风险是指要充分估计测评可能给被测系统带来的影响，向被测系统单位揭示风险，要求其提前采取预防措施进行规避。同时，测评机构也应采取与被测单位签署委托测评协议、保密协议、要求被测单位进行系统备份、规范测评活动、及时与被测单位沟通等措施规避风险，尽量避免给被测系统和单位带来影响。

3.8 项目输出成果

3.8.1 定级工作成果

定级工作完成后将输出以下工作文件：  计生系统备案表  计生系统定级报告  计生系统备案证书  门户网站备案表  门户网站定级报告  门户网站备案证书  OA系统备案表  OA系统定级报告  OA系统备案证书

3.8.2 差距测评工作成果

差距测评工作完成后将输出以下工作文件  计生系统差距测评报告  计生系统整改方案  门户网站差距测评报告  门户网站统整改方案  OA系统差距测评报告  OA系统统整改方案  差距测评过程文档

第四章、 项目报价

（单位：元人民币）

总价： 3,8000*3=11,4000元

第五章、等级保护差距测评业绩

广州XXX科技股份有限公司已为多个单位实施信息安全等级保护差距测评项目，因此具有非常丰富的实施经验。

已与XXX科技签订服务协议的单位如下表：

附件一：信息安全等级保护基本要求二级测评项

技术类

（物理安全、网络安全、主机系统、应用安全、数据安全及备份恢复）

管理类

（安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理）

广州XXX科技股份有限公司 39

广州XXX科技股份有限公司 40

广州XXX科技股份有限公司 41