收藏
下载资源

等保测评和安全评估技术协议综述

上传人:最**** 文档编号:115468570 上传时间:2019-11-13 格式:DOCX 页数:17 大小:204.92KB
返回 下载 相关 举报
等保测评和安全评估技术协议综述_第1页
第1页 / 共17页
等保测评和安全评估技术协议综述_第2页
第2页 / 共17页
等保测评和安全评估技术协议综述_第3页
第3页 / 共17页
等保测评和安全评估技术协议综述_第4页
第4页 / 共17页
等保测评和安全评估技术协议综述_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《等保测评和安全评估技术协议综述》由会员分享,可在线阅读,更多相关《等保测评和安全评估技术协议综述(17页珍藏版)》请在金锄头文库上搜索。

1、信息安全等级保护测评及安全评估项目技术协议甲方:乙方:北京卓识网安技术股份有限公司2017年9月11 总则1.1 引言为了落实公安部、国家能源局关于电力监控系统安全等级保护要求,进一步增强电力监控系统安全防护能力,确保电力监控系统安全稳定运行,依据信息系统安全等级保护基本要求(GB/T 22239-2008)、电力行业信息系统安全等级保护基本要求(电监信息201262号)、电力监控系统安全防护规定(国家发展改革委员会2014年第14号令)、电力行业网络与信息安全管理办法(国能安全2014年317号)和电力行业信息安全等级保护管理办法(国能安全2014年318号)等制度和标准要求,进行本次电力监

2、控系统等级保护测评与安全防护评估。1.2 适用范围本技术协议适用于电力监控系统等级保护测评及安全防护评估技术服务项目的采购,包括技术服务要求和验收要求。1.2.1 本技术协议提出的是最低限度的技术要求。凡本技术协议中未规定,但在相关国家标准、电力行业标准或IEC标准中有规定的规范条文,乙方应按相应标准的条文进行服务供应说明。1.2.2 如果乙方没有以书面形式对本技术协议的条文提出异议,则甲方认为乙方提供的服务完全符合本技术协议。1.2.3 本技术协议所建议使用的标准如与乙方所执行的标准不一致,乙方应按更严格标准的条文执行或按双方商定的标准执行。1.2.4 本技术协议经甲乙双方确认后作为实施合同

3、的技术附件,与合同正文具有同等的法律效力。1.3 规范性引用文件下列文件中的条款通过本协议的引用而成为本协议的条款,除本技术协议特别规定外,乙方所提供的测评标准均应遵循公安部、能源局相关文件要求和甲方的相关文件要求,所用的标准必须是其最新版本;如果这些标准内容矛盾时,应按最高标准的条款执行或按双方商定的标准执行;如果乙方选用本技术协议规定以外的标准时,需提交与这种替换标准相当的或优于规定标准的证明,供甲方确认。 信息安全等级保护管理办法(公通字200743号) GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术 信息系统安全

4、等级保护定级指南 GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南 GB/T 28448-2012信息安全技术 信息系统安全等级保护测评要求 GB/T 28449-2012信息安全技术信息系统安全等级保护测评过程指南 关于开展电力行业信息系统安全等级保护定级工作的通知(电监信息200734号) 电力行业信息系统安全等级保护基本要求(电监信息201262号) 电力行业网络与信息安全管理办法(国能安全2014317号) 电力行业信息安全等级保护管理办法(国能安全2014318号) 电力监控系统安全防护规定(国家发展改革委员会2014年第14号令) 电力监控系统安全防护总体方

5、案国能安全201536号 发电厂监控系统安全防护方案国能安全201536号 电力监控系统安全防护评估规范国能安全201536号1.4 权利和职责为切实保障本项目的工作质量,确保测评及评估工作达到预期目标,对甲方及乙方双方技术工作责任约定如下:1.4.1 甲方责任 负责项目实施过程中同相关单位和部门的协调。 为乙方提供良好的工作场地和环境。 按工作要求提供相关的资料和信息。 准备应急措施,负责实施过程中的紧急情况的处理。1.4.2 乙方责任 按照甲方工作章程开展工作。 项目内容的变更及时与甲方代表沟通。 按照协议要求提供技术服务和成果。 确保测评及评估工作质量。 配合甲方准备应急预案和实施过程中

6、的紧急情况处理。 负责按时完成所有工作。同时,双方都必须遵循保密要求。1.5 测评及评估范围电力监控系统信息安全等级保护测评与安全防护评估范围如下:(2)电力监控系统等级保护测评工作需提交公安部门和国家能源局认可的等级保护测评报告,电力监控系统安全防护评估工作交付物为国家能源局认可的安全防护评估报告。(3)根据国家等级保护相关标准,电力监控系统的安全等级保护测评应包括以下内容:安全技术测评:包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个方面的安全测评;安全管理测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。电力监控系统安

7、全防护评估的主要内容包括:资产评估、威胁评估、脆弱性评估、现有安全措施有效性评估等。2 技术规范2.1 测评及评估原则本项目实施方案设计与具体实施应满足以下原则:2.1.1 保密性原则:乙方应与甲方签订保密协议,对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害甲方的权益,否则甲方有权追究乙方的责任。2.1.2 标准性原则:测评及评估方案的设计与实施应依据国家的相关标准进行。2.1.3 规范性原则:乙方工作中的过程和文档,应具有规范性,便于项目跟踪和控制。2.1.4 可控性原则:项目的进度应符合进度安排,保证甲方对测评工作的可控性。2.1.5 整体性原则:

8、测评及评估的范围和内容应系统、全面、规范,满足等级保护和安全防护评估的相关基本要求。2.1.6 最小影响原则:技术测评及评估工作应尽可能小的影响在线系统和网络的正常运行,不能对现有运行系统造成影响。在线测评及评估应在甲方许可的条件下进行。2.2 实施要求乙方应详细描述电力监控系统等级保护测评及安全防护评估的整体实施方案,包括项目概述、等保测评方案、安全防护评估方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。乙方应详细描述测评及评估人员的组成、资质及各自职责的划分。乙方应配置经验丰富的测评及评估人员进行电力监控系统等级保护测评及安全防护评估工作。2.2.1 测评及评估方法测评及评估方法

9、包括访谈、检查和测试三种方法,可细化为文档审查、配置检查、工具测试和实地察看等多种方法。如需在电力监控系统等级保护测评及安全防护评估实施过程中采用在线测评工具,各种工具软件由乙方推荐,经甲方确认后由乙方提供并在工作中使用。安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由乙方推荐,经确认后由乙方提供并在测评中使用。安全测评需要的运行环境(如场地、网络环境等)由甲方提供,乙方应详细描述需要的运行环境的具体要求。2.2.2 工作进度2.2.2.1筹划准备阶段工作周期:12周工作内容:对被测评及评估系统防护现状进行详细分析和调研,初步确定测评及评估实施方案、范围

10、,收集材料,签署保密协议,组建测评及评估项目组,并进行进场实施前的安全教育工作,同时完成检测工具、装备配置等各项准备工作。2.2.2.2启动阶段工作周期:12个工作日工作内容:项目组进驻被测单位,收集分析信息资产资料、网络资料、业务系统资料和信息安全管理制度方针等相关测评所需材料,并召开启动会,就测评及评估工作具体事宜进行落实,包括确定测评及评估计划安排、测评及评估范围、测评及评估内容和配合需求等。2.2.2.3现场测评工作周期:35个工作日工作内容:项目组从管理和技术两个方面入手,开展被测单位测评及评估工作,包括安全区划分、网络专用,评估管理和制度、基础网络、业务系统、通用服务、主机系统、数

11、据库系统、现有安全措施等。测评及评估方法有顾问访谈、日志审计、人工查看、漏洞扫描、自动化工具采集、白客渗透等。现场工作结束后,测评及评估工作小组对现场测评情况进行初步整理汇总,向被测单位领导和系统管理员等汇报现场阶段工作情况。2.2.2.4结论分析报告编制阶段工作周期:34周工作内容:项目组对检测情况和采集的数据进行分类统计、风险计算、综合分析与评估,撰写被测单位系统等级保护测评报告及电力监控系统安全防护评估报告。2.2.2.5整改技术支持阶段工作周期:根据整改进度而定工作内容:项目组针对现场测评及评估发现的问题,出具整改建议后,向被测单位提供整改技术咨询支持。2.2.3 风险控制测评及评估工

12、作本身也会引入安全风险,必须加强测评及评估过程中的风险控制。项目实施前,双方应充分讨论并明确测评及评估对系统可能带来的风险和隐患,确定测评及评估对象、测评及评估方法和工具,并制定应急恢复措施。(1)操作的申请和监护测评及评估操作必须遵守现场运行规章制度,确保系统安全稳定运行。如需在线测试,按照相关工作规程,事前申请,并在专责人员的指导和监护下进行。(2)人员与数据管理重视保密工作,加强测评及评估过程中的保密管理,确保参与测评工作人员的可靠、稳定,防止敏感信息泄漏。(3)测评对象选择优先选择备用设备(系统)或临时搭建的模拟环境进行测评及评估,避免影响在线系统运行。(4)制定应急预案根据被测系统情

13、况,在测评及评估实施前制定应急预案,加强系统在线应急处置能力。(5)关键业务系统风险控制生产控制大区在线运行系统禁止采用渗透测试工具进行测评。2.3 等级保护测评内容根据国家等级保护相关标准,本次项目的安全等级保护测评应包括以下内容:安全技术测评:包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个方面的安全测评;安全管理测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。2.3.1 物理安全物理安全测评是对电力监控系统的机房和办公场所的物理环境安全防护情况进行测评,包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防

14、水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。2.3.2 网络安全网络安全测评是对电力监控系统的网络系统安全防护情况进行测评,包括网络结构安全、网络访问控制、网络安全审计、网络边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等方面的安全状况。2.3.3 主机安全主机安全测评是对电力监控系统的服务器、数据库和终端主机系统的安全防护情况进行测评,包括操作系统和数据库层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、主机入侵防范、主机恶意代码防范、主机资源控制等方面的安全状况。2.3.4 应用安全应用安全测评是对电力监控系统的业务系统的安全防护情况

15、进行测评,包括应用系统层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、应用系统的资源控制等方面的安全状况。2.3.5 数据安全及备份恢复数据安全及备份恢复测评是对电力监控系统的数据安全保护情况进行测评,包括数据在传输和存储过程中的完整性、保密性措施,数据备份和恢复措施。2.3.6 安全管理制度安全管理制度测评是对电力监控系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。2.3.7 安全管理机构安全管理机构测评是对电力监控系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。2.3.8 人员安全管理人员安全管理测评是对电力监控系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评。2.3.9 系统建设管理系统建设管理测评是对电力监控系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号