数据安全测评指导书

数据安全测评指导书测评单位名称：云南信龙科技年月日V1.0一、系统概述本次需要进展测评的系统是 〔以下简称 。已经完成建设和验收工作。为单位标准、高效和系统的治理供给了一个稳定的计算机和网络系统平台，从而需要对该系统进展等级保护工作。二、安全保护等级GB17859-1999数据安全在信息系统中的作用，规定了各个安全等级的数据安全所需要的根底安全技术的要求。参照使用。三、数据安全范围数据安全的范围包括：数据完整性S、数据保密性S、数据备份和恢复A3。四、测评指标1、数据完整性S3：应能够检测到系统治理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时实行必要的恢复措施；应能够检测到系统治理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时实行必要的恢复措施。2、数据保密性S3：应承受加密或其他有效措施实现系统治理数据、鉴别信息和重要业务数据传输保密性；应承受加密或其他保护措施实现系统治理数据、鉴别信息和重要业务数据存储保密性。3、数据备份和恢复A3：应供给本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；应供给异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；应承受冗余技术设计网络拓扑构造，避开关键节点存在单点故障；应供给主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。五、把握点具体把握 测评项 测评测评对象 测评实施 推想结果点数据a) 应能够检测到系统治理数据鉴别信息和用户数据在传输过程中完整性受到完整的恢复措施；性 b) 应能够检测到系统治理数据鉴别信息和用户数据在存储过程中完整性受到恢复措施；c) 应能够检测到重要系统的完整性受要的恢复措施。

方式访谈，安全员，主要检查。应用系统，设/〔如证等〕

a)假设测评实施b〕测到完整性错误时是否能恢复，恢复措施有哪些；该项为否认；b)测评实施b〕-d〕设计/验收文档或相关证明性材料〔如证书、检验报均为确定，则信息告等〕等，查看其是否有能检测/验证到系统治理数系统符合本单元测据〔如WINDOWS域治理、名目治理数据、鉴别评项要求。信息〔如用户名和口令〕和用户数据〔如用户数据文件〔如防火墙的访问把握规章其配置是否正确；应检查主要应用系统，查看其是否配备检测/验完整性受到破坏的功能；是否配备检测/验证系统治理性受到破坏的功能；是否配备检测/验证重要系统/模块完整性受到破坏的功能；在检测/验证到完整性错数据a) 网络设备操作系统数据库治理系统和应用系统的鉴别信息敏感的系统管保密理数据和敏感的用户数据应承受加密或其他有效措施实现传输保密性；性 b) 网络设备操作系统数据库治理系统和应用系统的鉴别信息敏感的系统管理数据和敏感的用户数据应承受加密或其他保护措施实现存储保密性；密或者承受可移动磁盘存储敏感信息；用于特定业务通信的通信信道应符合相关的国家规定。

误时能实行必要的恢复措施；d)必要的恢复措施。访谈，系统治理员、a) 可访谈网络治理员询问信息系统中的网络设备检查，网络治理员、的鉴别信息敏感的系统治理数据和敏感的用户数据测试。安全员数据是否承受加密或其他有效措施实现传输保密性是否库治理员主承受加密或其他保护措施实现存储保密性；要应用系统，b)设计/验收文的鉴别信息、敏感的系统治理数据和敏感的用户数据档，相关证明是否承受加密或其他有效措施实现传输保密性〔如证承受加密或其他保护措施实现存储保密性；书等。 c) 可访谈数据库治理员询问信息系统中的数据库治理系统的鉴别信息敏感的系统治理数据和敏感的用户数据是否承受加密或其他有效措施实现传输保密性；是否承受加密或其他保护措施实现存储保密性；加密或其他保护措施实现存储保密性；时，是否加密或者承受可移动磁盘存储敏感信息；应检查操作系统、网络设备、数据库治理系统、关键应用系统的设计/验收文档，查看其是否有关于

假设测评实施f〕缺少相关材料，则该项为否认；假设没有相关证明性材料〔如证书、检验报告等测评实施g〕为否认；测评实施f〕-i〕均为确定，则信息系统符合本单元测评项要求。数据a) 应供给自动备份机制对重要信息进展本地和异地备份；备份b) 应供给恢复重要信息的功能；应供给重要网络设备、通信线路和服和恢务器的硬件冗余；应供给重要业务系统的本地系统级复 热备份。

承受加密或其他保护措施实现存储保密性的描述；〔如证书或其他相关材料等，查看其是否有特定业务通信的通信信道符合相关的国家规定的说明；系统治理数据和敏感的用户数据是否承受加密或其他保护措施实现存储保密性；应测试主要应用系统，通过用嗅探工具猎取系统实现传输保密性。访谈，系统治理员，a)检查。网络治理员，是否供给自动备份机制对重要信息进展本地和异地员，操作系否供给重要网络设备、通信线路和效劳器的硬件冗统，网络设余；备数据库管b) 可访谈系统治理员询问信息系统中的操作系统理系统主要是否供给自动备份机制对重要信息进展本地和异地应用系统设备份功能；是否供给对重要信息进展恢复的功能；计/验收文c) 可访谈数据库治理员询问信息系统中的数据库档。 治理系统是否供给自动备份机制对重要信息进展本统级热备份；是否供给对重要信息进展恢复的功能；d) 应检查设计/验收文档，查看其是否有关于操作

/验收文档，测评实施d〕否认则该项为否认；测评实施d〕息系统符合本单元测评项要求。本地系统级热备份和重要信息恢复功能的描述；应检查操作系统、网络设备、数据库治理系统、主要应用系统，查看其是否配置有本地异地备份和重