测评指导书(二级)

《测评指导书(二级)》由会员分享，可在线阅读，更多相关《测评指导书(二级)（109页珍藏版）》请在金锄头文库上搜索。

1、XXXXXXXXXXXX 公司公司XXXXXXXXXXXX 等级测评项目等级测评项目测评指导书测评指导书XXXXXXXXXXXX 信息安全测评技术中心信息安全测评技术中心2009 年年 10 月月第 2 页 共 109 页DocumentDocument ControlControl文档名称文档类型文档编号密 级日期版本编写者描述审核人员第 3 页 共 109 页目录第第 1 章章安全管理测评指导书安全管理测评指导书 .51.1安全管理机构测评.5 1.2安全管理制度测评.8 1.3人员安全管理测评.10 1.4系统建设管理测评.12 1.5系统运维管理测评.17第第 2 章章物理安全测评指导

2、书物理安全测评指导书 .262.1物理安全测评.26第第 3 章章网络安全测评指导书网络安全测评指导书 .343.1网络全局安全测评.34 3.2路由器安全测评.36 3.2.1思科路由器安全测评.36 3.3交换机安全测评.40 3.3.1华为交换机安全测评.40 3.3.2思科交换机安全测评.43 3.4防火墙安全测评.46 3.4.1PIX防火墙安全测评.46 3.4.2天融信防火墙安全测评.48 3.4.3华为防火墙安全测评.51 3.5远程拨号服务器安全测评.53 3.6入侵检测/防御系统安全测评 .54第第 4 章章操作系统安全测评指导书操作系统安全测评指导书574.1WINDOW

3、S操作系统安全测评 .57 4.2TRU64 操作系统安全测评61 4.3LINUX操作系统安全测评69 4.4SOLARIS操作系统安全测评.74 4.5AIX操作系统安全测评.78第 4 页 共 109 页第第 5 章章应用系统安全测评指导书应用系统安全测评指导书825.1应用系统安全测评.82 5.2IIS 应用安全测评87 5.3APACHE应用安全测评.89第第 6 章章数据库安全测评指导书数据库安全测评指导书936.1SQL SERVER数据库安全测评.93 6.2ORACLE数据库安全测评.98 6.3SYBASE数据库安全测评103第 5 页 共 109 页第第 1 1 章章

4、安全管理测评指导书安全管理测评指导书1.11.1 安全管理机构测评安全管理机构测评序号序号测评指标测评指标测评项测评项检测方法检测方法预期结果预期结果a)设定管理部，定义各个方面的负责人岗位和职责访谈访谈安全主管，管理机构，部门和各负责人职责；检查检查核查各岗位职责范围和技能要求；b)定义各个岗位和职责(系统、网络、安全管理）访谈访谈安全主管，岗位分工及相关职责；1岗位设置岗位设置(G2)c)制定文件明确分工检查检查安全管理委员会职责文件。制度类文档要求制度类文档要求部门设置、岗位设置及工作职责定义方面的管理制度证据类文档要求证据类文档要求机构安全管理人员岗位名单2人员配备人员配备(G2)a)

5、 配备系统、网络、安全管理员访谈访谈安全主管， 岗位人员配备情况；检查检查安全管理人员名单；人员配备要求文档；制度类文档要求制度类文档要求 安全保障人事管理制度第 6 页 共 109 页序号序号测评指标测评指标测评项测评项检测方法检测方法预期结果预期结果b) 安全管理员是专职的检查检查安全管理人员名单；人员配备要求文档。a) 对关键活动授权审批部门及批准人访谈访谈安全主管，关键活动的审批部门，批准人是否得到授权，更新审批项目，审查周期；检查检查授权管理文件包括事项列表（审批、事项、程序），更新审批项目，审查周期；3授权和审授权和审批批(G2)b)列表说明须审批的事项、部门和可批准人访谈访谈关键

6、活动的批准人，审批范围,审查程序；审批文档、签字和盖章。制度类文档要求制度类文档要求授权和审批流程记录类文档要求记录类文档要求各项审批和批准执行记录（来访人员进入机房审批、介质/设备外带审批、系统外联审批等）（外联接入、服务访问、配置变更、采购、外来人员访问和管理）第 7 页 共 109 页序号序号测评指标测评指标测评项测评项检测方法检测方法预期结果预期结果a）内部沟通，定期召开会议访谈访谈安全主管，与外单位和其他部门合作内容，沟通、合作方式有哪些； 安全主管，部门间协调会议,安全管理机构内部会议，信息安全领导小组例会；安全管理人员，与外单位和其他部门人员主要沟通内容；检查检查部门间协调会议文

7、件；b）职能部门召开会议协调安全工作实施检查检查安全工作会议文件；4沟通和合沟通和合作作（G2)c）加强公安，电信的合作与沟通检查检查外联单位说明文档；记录类文档要求记录类文档要求各类会议纪要或记录（部门内、部门间协调会、领导小组）证据类文档要求证据类文档要求外联单位联系列表5审核和检审核和检查查 （G2)a）定期安全检查访谈访谈安全主管，检查周期，定期分析、评审异常行为；安全员，安全检查包含内容、人员、程序策略和要求，通报形式、范围；检查检查安全检查内容、检查程序和检查结果等。制度类文档要求制度类文档要求安全审批和安全检查方面的管制制度第 8 页 共 109 页1.21.2 安全管理制度测评

8、安全管理制度测评序号序号测评指标测评指标测评项测评项检测方法检测方法预期结果预期结果a)制定总体方针、政策性文件和 安全策略访谈访谈 安全主管，制度体系是否有安全政策、安全策略； 检查检查 明确总体目标、范围、方针、原则、责任，安全策略；b）建立安全管理制度检查检查 覆盖物理、网络、主机系统、数据、应用和管理等层面；1管理制度管理制度 （G2)c）建立操作规程检查检查 重要管理操作的操作规程，如维护手册和操作规程；制度类文档要求制度类文档要求 总体安全方针 信息安全工作 管理制度证据类文档要求证据类文档要求 总体安全策略 专家论证文档a)信息安全职能部门，组织相关 人员制定访谈访谈 安全主管，

9、是否在信息安全领导小组或委员会负责下统一制定；b）统一的格式和版本访谈访谈 安全主管，是否按照统一的格式标准或要求制定、论证和审定； 检查检查 管理文档说明制定和发布程序、格式要求及版本；c）论证和审定检查检查 评审记录，评审意见；2制定和发制定和发 布布 （G2)d）签发后按照一定的程序以文件 形式发布检查检查 管理层的签字或盖章,格式统一；制度类文档要求制度类文档要求 安全管理制度 改收发规范记录类文档要求记录类文档要求 安全管理制度 的收发登记记录第 9 页 共 109 页序号序号测评指标测评指标测评项测评项检测方法检测方法预期结果预期结果3评审与修评审与修 订订 （G2)a）对存在不足

10、或需要改进的安全 管理制度进行修订访谈访谈 安全主管，对安全管理制度的评审由何部门、何人负责； 管理人员，对安全管理制度的评审、修订程序，维护措施； 检查检查 列表注明评审周期； 评审记录，日期与评审周期是否一致，修订记录和版本。制度类文档要求制度类文档要求授权审批、审 批流程等方面的 管理制度记录类文档要求记录类文档要求各类评审和修 订记录第 10 页 共 109 页1.31.3 人员安全管理测评人员安全管理测评序号序号测评指标测评指标测评项测评项检测方法检测方法预期结果预期结果a）具备专业技术水平和安全管理 知识访谈访谈 人事负责人，录用人员要求与其职责相对应； 检查检查 人事工作人员，人

11、员录用要求管理文档；b）身份、背景、专业资格和资质 等进行审查访谈访谈 审查身份、背景、专业资格和资质，签署保密协议，说明工作职责； 审查文档，记录审查内容和审查结果；c）技能进行考核检查检查 考核内容和结果；d）说明其角色和职责访谈访谈 人事负责人，录用人员要求与其职责相对应； 检查检查 人事工作人员，人员录用要求管理文档；1人员录用人员录用 （G2)e)签署保密协议检查检查 保密范围、保密责任、违约责任、协议的有效期限和责任人签字；a）终止所有访问权限访谈访谈 安全主管，及时终止离岗人员所有访问权限，取回物资；b）物资收回核查核查 检查安全处理记；2人员离岗人员离岗 （G2)c）离岗须承诺

12、调离后的保密义务访谈访谈 人事工作人员，调离手续； 检查检查 保密承诺文档，有调离人员的签字；制度类文档要求制度类文档要求 人员录用、离 岗、考核等方面 的管理制度记录类文档要求记录类文档要求 人员考核、审 查、培训记录 （人员录用、人 员定期考核）、 离岗手续证据类文档要求证据类文档要求 人员保密协议关键岗位安全 协议 离岗人员保密 协议书第 11 页 共 109 页序号序号测评指标测评指标测评项测评项检测方法检测方法预期结果预期结果a）技能及认知的考核访谈访谈 安全主管，专人负责定期考核；b）安全审查访谈访谈 人事工作人员,考核情况，考核周期、考核内容、审查情况和内容如如操作行为、社会关系

13、、 社交活动；3人员考核人员考核 （G2)c）违背安全策略和规定的人员进 行惩戒访谈访谈 人事工作人员,惩戒措施；a）安全意识教育访谈访谈 安全主管，以何形式制定安全教育和培训计划，效果如何；b）告知责任和惩戒措施访谈访谈 安全员，系统管理员，网络管理员，数据库管理员，各岗位人员对安全知识、责任和惩戒措 施等的理解程度；c）制定安全教育和培训计划检查检查 安全教育、培训计划和不同岗位培训计划，明确目的、方式、对象、内容、时间和地点，内 容包含信息安全基础知识、岗位操作规程；4安全意识安全意识 教育和培教育和培 训训（G2)d)记录并归档保存检查检查 记录包括人员、内容、结果的描述，记录与培训计

14、划一致。制度类文档要求制度类文档要求 人员安全教育 和培训方面的管 理制度第 12 页 共 109 页序号序号测评指标测评指标测评项测评项检测方法检测方法预期结果预期结果a）应在访问前与机构签署安全责 任合同书或保密协议访谈访谈 安全主管，管理措施，访问前签署安全责任合同书或保密协议； 检查检查 全责任合同书或保密协议有保密范围、保密责任、违约责任、协议的有效期限和责任人的签 字； 5第三人员第三人员 访问管理访问管理 （G2)b）重要区域的访问负责人的批准， 专人陪同或监督，并记录备案访谈访谈 安全管理人员，访问重要区域采取措施，有负责人批准，专人陪同记录并备案管理； 检查检查 书面申请，批

15、准人允许访问的签字；制度类文档要求制度类文档要求 外部人员访问 控制方面的管理 制度记录类文档要求记录类文档要求 各项审批和批 准执行记录（来 访人员进入机房 审批、介质/设备 外带审批、系统 外联审批等）1.41.4 系统建设管理测评系统建设管理测评序号序号测评指标测评指标测评项测评项检测方法检测方法预期结果预期结果a)明确系统划分方法访谈访谈 划分系统方法，确定等级方法参照定级指南的指导，定级结果得到批准； 检查检查 给出等保 SxAyGz 值，定级结果有批准盖章；b)确定信安全等级访谈访谈 系统划分方法和理由；1系统定级系统定级 (G2)c 书面确定系统属性检查检查明确系统属性:使命、业

16、务、网络、硬件、软件、数据、边界、人员；证据类文档要求证据类文档要求 信息系统定级 报告或定级建议 书第 13 页 共 109 页序号序号测评指标测评指标测评项测评项检测方法检测方法预期结果预期结果d)定级结果经过批准访谈访谈 划分系统方法，确定等级方法参照定级指南的指导，定级结果得到批准； 检查检查 给出等保 SxAyGz 值，定级结果有批准盖章； 专家对定级结果的论证意见。a)依据等保和风险分析选择和调 整安全措施访谈访谈 系统建设负责人，根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整 安全措施，做过哪些调整；b) 书面描述对系统的安全保护要 求和策略、措施等内容，形成系 统的安全方案访谈访谈 安全主管，授权专人负责制定总体安全方案； 检查检查 系统安全方案，要求、策略和措施；c) 考虑安全保障体系的总体安全 策略、安全技术框架、安全管理 策略、总体建设规划和详细设计 方案，并形成配套文件访谈访谈 系统建设负责人，根据信息系统等级划分情况，统一考虑安全保障体