信息安全等级保护测评项目服务方案

信息安全等级保护测评项目服务方案（一）项目背景依据国家网络安全等级保护相关规范与标准的要求,对医院重要信息系统进行定级备案、前期测评、验收测评。通过统一的网络安全等级保护管理规范和技术标准，对信息系统分等级实行安全保护，并对等级保护工作的实施进行监督、管理，使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。（二）项目目标以等级保护标准要求为依据，选择一家测评机构对医院本次项目11个重要信息系统进行定级备案、前期测评、验收测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式，分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析列表；并为确立安全策略、制定安全规划、开展安全建设提供决策建议；协助医院完成本次项目11个重要信息系统网络安全等级保护验收测评工作，提交验收测评报告；使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。具体目标如下：（1）依据GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GBT22239-2019《信息安全技术网络安全等级保护基本要求》以及《信息系统安全等级保护测评指南》的要求，对需定级的系统进行等级保护基本要求符合性的调查，采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析报告；（2）依据信息系统安全保护等级所应达到的防护要求，结合信息系统等级保护差距分析结果，对在技术、管理层面不符合等级保护标准要求的环节，采取适当的纠正措施，以达到等级保护基本要求为目的，设计信息系统等级保护体系建设方案，为后续信息系统的网络安全等级保护安全建设提供依据；（3）依据国家等级保护2.0的相关标准发现现有信息系统存在的信息安全问题，确保信息系统在技术防护和安全管理体系方面均达能到等级保护2.0的防护要求，能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在第一时间恢复部分功能。（三）项目依据信息安全技术网络安全等级保护基本要求》（GBT22239-2019）《信息安全技术网络安全等级保护安全设计技术要求》（GBT25070-2019）《信息安全风险评估规范》（GB/T20984-2007）《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）《网络安全等级保护测评要求》（GB/T28448-2019）《信息安全技术信息系统安全等级保护实施指南》GB/T25058-2010《信息系统安全等级保护测评过程指南》（GB/T28449-2012）《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术服务器技术要求》（GB/T21028-2007）《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）（四）级别判定信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。（五）测评对象本项目需测评的信息系统清单：编号系统名称级别1患者服务平台第三级2电子病历系统第三级3数据集成平台第三级4PACS系统第三级5LIS系统第三级6OA系统第三级7CA证书认证平台系统第三级8审方系统第三级9移动护理信息系统第三级10移动患者综合服务平台系统第三级11互联网医院第三级（六）服务内容要求1、协助定级备案协助医院准备信息系统有关建设使用、设备部署、网络拓扑、数据存储、运行维护、安全管理等方面的文档资料，按照等保工作管理规定，对系统相关文档进行整理后形成系统定级报告，并指导用户单位完成等保定级备案工作，并提交网安部门审批。2、前期测评前期测评包括两个方面的内容：一是安全控制测评，主要测评网络安全等级保护要求的基本安全控制在系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。3、验收测评医院委托具备资质的机构进行网络安全等级保护验收测评工作，并按照等保2.0的相关要求出具验收测评报告，最后协助医院进行测评报告备案工作，提交验收测评报告到当地等级保护部门，完成报告备案工作。（七）测评要求按照等保2.0的相关要求对信息系统安全等级保护状况进行测试评估，包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。安全通用要求规定了不管等级保护对象形态如何必须满足的要求，评单元分为安全技术测评和安全管理测评两大类，技术要求包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；管理要求包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。云计算拓展要求包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理。移动互联网拓展要求包括：安全物理环境、安全区域边界、安全计算环境、安全建设管理。物联网安全拓展要求包括：安全物理环境、安全区域边界、安全建设管理。工业控制系统安全拓展要求包括：安全物理环境、网络通信网络、安全区域边界、安全计算环境。（八）测评内容1、安全通用要求安全物理环境测评内容：被测信息系统应对重要的物理安全设置，如物理位置选择、物理范围控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应电磁防护等做必要配置。测试方法：访谈、检查。安全通信网络测评内容：被测信息系统对通信网络安全进行设置，如网络架构、通信传输、可信验证等做必要的配置。测试方法：访谈、检查。安全区域边界测评内容：被测信息系统网络边界进行安全配置，如边界防护、访问控制、入侵范围、恶意代码防范、安全审计、可信验证等做必要的配置。测试方法：访谈、检查。安全计算环境测评内容：被测信息系统安全计算环境进行安全配置，如身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护等做必要的配置。测试方法：访谈、检查。安全管理中心测评内容：被测信息系统的安全管理中心进行安全配置和管理，如系统管理、审计管理等做必要的配置测试方法：访谈、检查。安全管理制度测评内容：被测系统运营单位的管理制度、制定和发布、修订和评审进行管理和落实情况。测评方法：访谈、检查。安全管理机构测评内容：被测系统运营单位的岗位设置、人员配备、授权和审批、沟通与合作、审核和检查的管理和落实情况。测评方法：访谈、检查。安全管理人员测评内容：被测系统运营单位的人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面的管理和落实情况。测评方法：访谈、检查。安全建设管理测评内容：被测系统运营单位的系统定级和备案情况、安全方案设计、产品采购和使用、自行软件开、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择管理和落实情况测评方法：访谈、检查。系统运维管理测评内容：被测系统运营单位在环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处理、应急预案管理、外包运维管理方面的管理和落实情况。测评方法：访谈、检查。2、云计算拓展要求安全物理环境测评内容：被测系统的基础设施位置选择。测评方法：访谈、检查。安全边界区域测评内容：对云计算环境访问控制、入侵防范、安全审计进行安全配置。测评方法：访谈、检查。安全计算环境测评内容：对安全计算环境的访问控制、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护进行安全配置。测评方法：访谈、检查。安全建设管理测评内容：对云计算环境的云服务商选择、供应链管理方面的落实情况。测评方法：访谈、检查。安全运维管理测评内容：云计算环境管理是否符合国家相关规定测评方法：访谈、检查。3、移动互联网拓展要求安全物理环境测评内容：被测系统的无线接入点的位置选择。测评方法：访谈、检查。安全区域边界测评内容：对移动互联网的边界防护、访问控制、入侵防范进行安全配置。测评方法：访谈、检查。安全计算环境测评内容：对移动互联网的移动应用管控进行安全配置。测评方法：访谈、检查。安全建设管理测评内容：对移动互联网的移动应用软件采购、移动应用开发和安全合理管理测评方法：访谈、检查。4、物联网安全拓展要求安全物理环境测评内容：被测系统的感知节点设备物理防护合理。测评方法：访谈、检查。安全区域边界测评内容：对物联网系统的接入控制、入侵防范进行安全配置。测评方法：访谈、检查。安全运维管理测评内容：对物联网的感知节点进行安全合理管理。测评方法：访谈、检查。5、工业控制系统安全拓展要求安全物理环境测评内容：被测工业控制系统的室外控制设备物理防护措施合理。测评方法：访谈、检查。安全通信网络测评内容：被测工业控制系统的网络架构、通信传输进行安全配置。测评方法：访谈、检查。安全区域边界测评内容：对工业控制系统的访问控制、拨号使用控制、无线使用控制进行安全配置。测评方法：访谈、检查。安全计算环境测评内容：对工业控制系统的控制设备进行安全控制。测评方法：访谈、检查。安全建设管理测评内容：对工业控制系统的产品采购和使用、外包软件开发进行安全合理管理。测评方法：访谈、检查。（九）测评方法1、人员访谈与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。2、配置检查利用上机验证的方式检查主机操作系统、数据库、网络设备、安全设备、应用系统等配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，从而测试系统是否达到可用性和可靠性的要求。3、文档审查检查制度、策略、操作规程、制度执行情况记录等文档（包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档）的完整性，以及这些文件之间的内部一致性。4、实地查看通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。5、工具检测测评工具要求1：（1）本项目在实施过程中所使用到的专业安全服务工具由服务单位提供，服务单位必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷。（2）参数要求如下：指标名称指标项详细要求基本要求1、产品要求必须为国内研发，具备自主知识产权，提供《计算机软件著作权登记证书》的扫描件。2、产品提供计算机信息系统安全专用产品销售许可证扫描件。3、产品提供国家信息安全产品认证证书扫描件。资产管理资产探测支持端口与服务发现。可对监控目标进行全端口扫描，并整理出服务的端口、应用软件类型、版本，并提供搜索接口可对目标进行搜索。资产属性变更历史查询：可针对扫描结果进行回溯，查找IP地址以往开启的端口状况。系统可针对扫描结果进行备注、添加标签网站安全监控可用性检测检测网站是否可用；检测服务器响应时间；检测域名劫持漏洞检测扫描策略支持SQL注入、XSS跨站脚本、命令执行、目录遍历、上传漏洞等检测自动化解析json、base64数据并进行扫描漏洞验证支持数据包调试，验证漏洞。篡改检测图片MD5比较；页面标题比较；删除链接提醒；新链接提醒；页面相似度阀值设置定位到篡改的页面源码位置，高亮显示网马和暗链检测网马、暗链动态检测支持Activex识别系统漏洞扫描扫描策略漏洞规则超过58000条，能够扫描常见的网络安全客户端软件（网络防病毒Symantec、TrendMicro、McAfee）的安全漏洞。能够扫描常见的应用软件漏洞（如IE浏览器、MSN、MozillaFirefox、YahooMessenger、MSOffice、多媒体播放器、VMware虚拟机）的安全漏洞数据库漏洞扫描扫描策略漏洞规则库包括1700多条策略；覆盖权限绕过漏洞、SQL注入漏洞、访问控制漏洞、执行权限过大漏洞、访问权限绕过漏洞、DBMS漏洞、提取漏洞等数据库木马扫描支持扫描数据库中隐藏的木马病毒网站恶意代码检查等保合规-信息系统测评支持新建等保测评任务，并支持设置基础信息系统SAG等级支持录入基础信息系统内的机房、安全设备、网络设备等、服务器、终端、应用软件等内置等保检查指标，支持将工具检查结果与指标一键关联支持问卷调查支持导出等保测评报告渗透测试包括Whois信息获取、二级域名获取（搜索引擎模式、暴力破解模式等）等功能。包括Web指纹识别、端口扫描探测及端口指纹识别、Web路径扫描、旁注扫描等功能。SQL注入（获取数据库、表、执行任意命令等）、子域名爆破、GNUBash远程代码执行漏洞、Struts2S2-005、Struts2S2-007、Struts2S2-008、Struts2S2-009、Struts2S2-012、Struts2S2-013、Struts2S2-045、Struts2S2-048、Struts2S2-053、AdobeColdFusion文件读取漏洞、Couchdb垂直权限绕过漏洞、Discuz7.x/6.x全局变量防御绕过导致代码执行、DrupalDrupalgeddon2远程代码执行漏洞等漏洞管理提供漏洞管理机制，系统可自动识别新增漏洞、未修复漏洞，用户可标记漏洞状态，包括已修复、确认等。扫描器联动与传统漏洞扫描器集成。将资产信息下发至传统扫描器（包括：AppScan、AWVS等），进行全量安全扫描。平台可导入传统扫描器如AWVS、APPSCAN等的扫描报告，进行统一展示。测评工具要2：（1）、本项目在实施过程中所使用到的专业安全服务工具由投标人提供，投标供应商必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷，并保证工具和软件可用性和可靠性。由此产生的一切责任由响应供应商负完全责任。（2）、参数要求如下：指标项指标要求等保工具箱检查业务管理模块支持检查计划管理功能，提供对检查计划进行新建、导入、导出、修改、删除、执行、列表展示等操作和管理能力；支持对信息系统检查计划、网站检查计划、专项检查计划、行业/单位检查计划、自建检查计划等不同类型检查计划进行新建。检查计划列表支持对每条检查计划提供编辑、执行、删除等操作功能。检查计划执行支持检查报填报和工具检查功能检查表填报支持根据检查指标做访谈填报检查结果，检查结果含“是/否/不适用”三种类型。检查表填报支持检查指标统计功能，对检查指标总数、已完成、未完成等数量进行统计。检查表填报支持以百分比对检查计划填报整体进度进行统计技术工具检查支持网口工具远程检查和U盘工具离线检查两种方式；技术工具检查支持自动匹配提示功能，针对不同类型目标资产需要用到的工具会显示“待查”状态，已完成检查的工具会显示“已完成”状态；U盘工具支持对目标主机系统（Windows）本地进行检查，检查过程不对目标系统做任何安装与修改；检查结果分析支持等级保护合规性分析、工具检查结果分析、等级保护检查分析报告等分析功能；等级保护合规分析功能支持展示检查计划合规性状态和结论统计等信息，提供图表和数据两种模式；工具检查结果分析功能支持展示所有技术工具的检测结果信息，提供图表和数据两种模式；等级保护检查分析报告功能支持输出两种类型报表，分别是检查结论性报表（适用于领导汇报）和检查技术分析报表（适用于技术分析），报告格式支持word、pdf两种格式；支持检查知识库管理，提供对检查指标、检查知识和检查表单模版进行管理；检查指标包括检查类别、检查范围、检查内容、检查项、检查要点等内容；检查知识包括检查知识内容、检查预期结果、风险提示等内容；检查表单管理支持对信息系统检查、网站检查、专项检查、行业/单位检查、自建检查等不同类型的检查计划表单模版进行管理；检查指标范围覆盖等保2.0一级、二级、三级、四级检查指标、网站安全检查指标、备案单位检查指标、医院检查指标；支持检查指标库升级和检查知识库升级功能；Windows主机安全配置检查工具支持检测出目标主机的计算机名、操作系统类型、版本、开机时间、可用内存大小、磁盘大小、操作系统所在路径、共享目录。支持检测到多CPU、多内存、主板、多硬盘、多网卡等硬件信息。支持显示当前系统启动项的所有程序、描述、路径、运行方式。支持检测当前系统不必要的多余服务。支持显示账户和口令有关的安全策略，包含口令最长使用期限，长度最小值、锁定时间阀值等。支持显示当前系统内所有的账户，包含隐藏（影子）账户及活动状态。支持显示审核策略更改、审核登录事件、审核对方访问、审核进程跟踪、审核目录服务访问、审核特权使用、审核系统事件、审核账户登录事件、审核账户管理等。支持显示已安装的更新程序、其中包含了补丁名称、补丁发布日期、补丁安装日期、严重级别、补丁描述。支持显示已安装的更新程序、其中包含了补丁名称、补丁发布日期、补丁安装日期、严重级别、补丁描述。支持显示系统当前活动的进程、PID。支持显示当前开放的TCP/UDP端口、连接状态、进程对应路径。支持显示用户、访问权限与操作系统安全相关的状态。支持显示与操作系统安全相关的安全策略状态。支持显示计算机系统设置相关的组策略。主机病毒检查工具支持快速扫描检测，快速扫描和发现关键目录中(例如：system32)所存在的病毒程序。支持全盘扫描检测，对系统所有盘符下文件进行全面深度病毒检查，帮助发现系统中存在的病毒，不留死角。支持自定义扫描检测，指定目录检查是否含有病毒程序，帮助发现指定检查的目录中是否含有病毒程序，支持快速选择桌面、文档、系统关键目录、U口等区域。支持运行平台包括主流Windows操作系统主机木马检查工具支持快速扫描检测，指快速扫描系统关键目录、快速扫描和发现关键目录中所存在的木马、后门。支持全盘扫描检测，对系统所有盘符下文件进行全面深度木马检查；支持自定义扫描检测，对系统所有的盘符下的文件进行全面深度检查，帮助发现系统中存在的木马程序。支持运行平台包括主流Windows操作系统网站恶意代码检查工具支持快速扫描，指需要检测指定检查的WEB服务器目录路径，即可进行扫描状态。快速扫描是根据文件类型匹配对应的扫描策略。支持全盘扫描检测，指需要指定检查的WEB服务器目录路径，全面检查不区分文件类型，扫描所有默认ASP、ASPX、JSP、PHP、CSS等策略。支持自定义扫描检测，只需要指定检查的WEB服务器目录路径，自由定制文件类型和检查策略等支持WEB服务器IIS、Apache、nginx、weblogic、Websphere、Tomcat等。支持运行平台包括但不限于主流Windows操作系统Linux主机安全配置检查工具支持检测到被检测主机的计算机名、操作系统类型、版本、内存、网卡、IP地址等信息。支持显示当前系统内所有的账户，包括了root级账户，普通账户，以及检查弱口令账户等情况。支持检查系统配置是否配置了口令复杂度、定期更换、登录失败、锁定时间、超时时间等状态。支持显示当前开放的TCP/UDP端口、连接状态、进程对应路径、以及端口对应服务。支持显示用户、访问权限与操作系统安全相关的状态。支持检查系统是否开启了审计策略、同时是否配备了SYSLOG服务器。支持检查是否开启了SNMP服务，并检查SNMP是否采用加密的协议。支持检查当前SSH版本。支持检查主流linux操作系统（RedHatEnterprise32/64bit、CentOS32/64bit）网络及安全设备安全配置检查工具支持检查设备厂商名称、版本、型号。支持检查系统是否开启了不必要且存在安全隐患的相关服务和端口。支持检查包括但不限于CONSOLE、TELNET等方式登录是否需要输入口令、以及账户和口令的安全策略情况。支持检查是否设置了相关策略仅允许授权的IP地址采用TELNET、SSH等协议远程登录管理。支持检查SNMP是否开启，SNMP是否存在弱口令，并检查SNMP团体名称是否采取了相关加密措施。支持检查是否开启了系统自带的日志审计功能，以及检查是否指定了SYSLOG服务器。支持的防火墙检查项，账户安全、安全审计、入侵防护、访问控制、网络日志、安全日志、网络告警、安全防护告警、安全策略、自身安全防护策略、攻击防护。支持读取当前IOS版本信息。支持交换机系列：思科、华为、H3C支持防火墙系列：启明星辰、网御星云、Juniper支持支持离线升级方式。弱口令检查工具支持应用服务支持类型：包括但不限于SMB、MSSQL、FTP、MYSQL、Oracle、RDP、POP3、SSH、HTTP、Telnet、VNC和SyBase等协议弱口令检查。支持内置常见弱口令字典，并支持自定义账户、口令字典。支持设置通过SSL方式进行检查。支持自定义应用协议TCP端口。支持本地、远程主机及多协议同时检查。支持离线升级方式。网站安全检查工具支持WEB2.0，支持各类JavaScript脚本解析。支持WAP站点扫描和FLASH解析。手动配置高级扫描参数和选项。支持基于HTTPS应用系统的扫描。支持ERP等复杂的Web应用系统检查。支持包括但不限于JSP、CGI、ASP、.NET等类型动态页面。支持当前包括但不限于URL、当前子域名、当前域名、任何URL扫描。支持IP地址、域名地址扫描。支持主动扫描扫