两级保护监理实施细则

两级保护监理实施细则1.总则本实施细则旨在规范信息安全等级保护（二级）建设项目的监理工作，确保信息系统在物理环境、通信网络、区域边界、计算环境、管理中心等层面的安全防护能力达到国家相关法律法规及标准要求。监理工作将贯穿于等保建设的全过程，包括需求分析、方案设计、产品采购、系统实施、安全测评及验收运维等阶段，通过“三控两管一协调”（质量、进度、投资控制，合同、信息管理，组织协调）的手段，保障项目建设的合规性、安全性、可用性与可控性。本细则依据《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术网络安全等级保护安全设计技术要求》（GB/T25070-2019）以及相关行业规范编制。监理单位应坚持客观、公正、科学的原则，协助建设单位构建具备基本安全防护能力的二级信息系统，确保系统能够抵御来自外部的一般性攻击，防止内部违规操作，保障数据的完整性与保密性，确保业务连续性。2.监理工作目标与范围监理工作的核心目标是确保信息系统通过等级保护二级测评。在质量控制方面，需确保所有安全设备配置正确、安全策略有效、代码无高危漏洞；在进度控制方面，需紧跟建设单位的建设计划，确保整改工作按期完成；在投资控制方面，需审核安全产品与服务的性价比，防止资金浪费。监理范围覆盖信息系统的整个生命周期，具体包括：物理环境的安全改造（如机房门禁、消防）、网络架构的优化（如VLAN划分、ACL策略）、安全设备的部署（如防火墙、入侵检测、日志审计）、主机系统的加固（操作系统、数据库）、应用系统的安全开发与改造（身份鉴别、访问控制、审计日志）、安全管理制度的建设以及配合第三方等级保护测评机构的测评工作。3.监理组织机构与岗位职责为保障监理工作的有效开展，项目监理部应建立完善的组织架构，明确各级监理人员的职责分工。针对等保二级建设项目的特点，需设立总监理工程师、安全监理工程师、信息安全监理员及文档管理员等岗位，形成层级分明、责任到人的监理体系。岗位名称主要职责任职资格要求总监理工程师1.全面负责监理工作，确定项目监理机构和人员分工；2.审核承建单位的资质、施工组织设计及安全实施方案；3.签发工程开工/复工令，审批工程暂停令；4.协调建设单位与承建单位之间的关系，处理重大变更与索赔；5.审核并签署监理月报、监理工作总结及各类关键文档。持有注册信息系统监理师证书，具备5年以上信息安全项目管理经验，熟悉GB/T22239等国家标准。安全监理工程师1.负责具体的安全技术监理工作，编制安全监理实施细则；2.审核安全设备的技术参数、配置策略及系统加固方案；3.实施旁站监理，对关键安全设备的上架、配置、调试进行全过程监督；4.组织安全漏洞扫描、渗透测试的见证工作，审核整改报告；5.检查承建单位的安全管理制度落实情况。具备CISSP、CISP或同等信息安全专业证书，熟悉网络设备、安全设备（防火墙、IDS等）的配置与调试。信息安全监理员1.负责日常的安全巡检，记录系统运行状态及安全日志；2.检查物理环境的安全措施（门禁、监控等）；3.复核承建单位提交的各类技术文档的完整性与准确性；4.协助安全监理工程师进行日志审计与数据分析。具备计算机网络基础知识，经过专业的信息安全监理培训。文档管理员1.负责项目所有监理资料、承建单位提交资料的收集、整理与归档；2.确保文档的版本控制符合规范，资料的流转有记录；3.编制监理日志、周报、月报。熟练使用办公软件，具备良好的文档管理能力。4.准备阶段监理工作内容在项目启动初期，监理工作的重点在于“摸清家底、明确需求”。监理工程师需协助建设单位进行详细的资产梳理，明确信息系统的业务流程、网络拓扑、数据资产及重要程度。这是制定等保建设方案的基础，若资产梳理不清，将导致后续的安全防护措施缺乏针对性。4.1资产调研与识别监理监理单位应审核承建单位提交的资产调研报告，确保报告内容覆盖所有硬件服务器、网络设备、安全设备、终端、操作系统、数据库管理系统、中间件及应用系统。重点核查关键资产的部署位置、连接方式、开放端口及服务类型。对于资产遗漏的情况，监理工程师应签发监理通知单，要求承建单位限期补充调研。4.2风险评估与差距分析监理在正式整改前，需进行风险评估或差距分析。监理工程师需见证或复核承建单位的差距分析过程，确保其依据GB/T22239-2019二级要求进行逐项比对。审核差距分析报告的真实性与准确性，特别是对高危风险点的识别。例如，若系统存在弱口令且无复杂度策略，必须明确列入差距清单。4.3建设方案审核监理监理工程师需对承建单位编制的《等级保护建设设计方案》进行严格审核。审核重点包括：网络架构是否满足二级要求（如关键节点是否冗余）、安全产品选型是否合规（是否具备销售许可证）、安全策略设计是否合理（如访问控制粒度）。对于方案中存在的逻辑缺陷或技术短板，监理应在方案评审会上提出修改意见，并督促完善。5.实施阶段监理细则——物理安全物理安全是信息系统安全的基础。根据等保二级要求，物理安全层面主要关注物理位置选择、物理访问控制、防盗窃防破坏、防火、防水、防潮、防静电、温湿度控制、电力供应等。虽然二级要求相对三级较低，但基本的物理防护底线必须守住。5.1物理位置与访问控制监理人员需实地检查机房所在的物理位置，应避免设在建筑物的顶层或地下室，防止漏水或雷击风险。检查机房出入口是否配置电子门禁系统，且门禁系统的记录至少保存6个月以上。监理需核实进入机房的登记记录，确保所有外来人员的进入都有审批和登记，物理访问控制日志应包含进出入时间、人员姓名、操作事由等关键信息。检查项标准要求（二级）监理检查方法判定标准物理位置选择避免设在建筑物的顶层或地下室现场观察楼层位置符合要求为合格物理访问控制机房出入口安排专人值守或配置电子门禁系统检查门禁系统运行状态，查看进出记录记录完整、系统运行正常为合格防盗防破坏机房设备应安装固定或防盗设施，关键区域安装监视器检查机柜锁具，查看监控录像存储时间（应>30天）监控覆盖无死角，存储时间达标为合格5.2环境安全与电力供应在环境安全方面，监理工程师需检查机房内是否配备了必要的防火灭火设备（如气体灭火器或手提式灭火器），并检查灭火器材是否在有效期内。温湿度控制是保障设备稳定运行的关键，监理应查看机房精密空调或温湿度计的读数，确保温度控制在18℃~27℃，相对湿度控制在35%~75%。在电力供应方面，等保二级要求应提供短期的备用电力供应。监理需检查机房是否配备UPS不间断电源，并核实UPS在断电后能支撑的时长，确保至少能满足关机或关键业务维持的基本需求。同时，检查配电箱、线缆铺设是否规范，有无私拉乱接现象，接地系统电阻值是否符合国家标准（通常联合接地电阻<1Ω）。6.实施阶段监理细则——网络安全网络安全层面主要关注网络架构、通信传输、边界防护、访问控制、入侵防范、恶意代码防范及安全审计等。对于二级系统，虽然不强制要求强制性的双因子认证或高强度的加密传输，但必须具备清晰的边界划分和基本的访问控制能力。6.1网络架构与边界防护监理工程师需审核网络拓扑图，确保网络架构的合理性。重点检查关键网络设备（如核心交换机、边界路由器）的硬件配置是否满足业务高峰期的性能需求。在边界防护方面，必须检查是否在内外网边界部署了防火墙或访问控制设备。监理应通过配置审计工具或人工登录设备的方式，核查防火墙的访问控制列表（ACL）。策略应遵循“默认拒绝”原则，仅开放业务必需的端口和IP地址。严禁出现“AnytoAny”的全开放策略。对于无线网络接入点，若存在于业务网络中，必须检查是否进行了隔离或独立的SSID划分，防止非授权接入。6.2通信传输与安全审计对于通信传输，二级系统建议采用加密等安全措施保障数据的传输保密性。监理需检查关键业务应用（如Web登录、数据传输）是否使用了HTTPS（SSL/TLS）协议，并核查证书的有效性。若系统涉及远程管理，必须检查远程管理通道（如SSH、VPN）是否加密，禁止使用Telnet等明文传输协议。安全审计是网络安全的重中之重。监理需核查是否部署了日志审计系统或综合网关设备，并对网络设备的运行状态、网络流量、用户行为等进行记录。检查审计记录是否包含时间、源IP、目的IP、协议类型、端口号、操作结果等关键要素。同时，需测试日志服务器的存储空间是否满足要求（通常日志保存期限需大于6个月），并验证日志是否受保护，防止被恶意删除或篡改。7.实施阶段监理细则——主机与应用安全主机安全涵盖操作系统（Windows、Linux等）和数据库系统，应用安全则针对业务应用软件。这是等保整改中最为繁琐且容易出问题的环节，也是漏洞重灾区。7.1身份鉴别与访问控制监理工程师需严格审核主机和应用系统的身份鉴别机制。根据二级要求，必须采用“用户名+口令”进行鉴别，且口令复杂度必须满足要求。监理需登录操作系统和数据库，检查密码策略配置：1.密码长度至少8位以上；2.包含大小写字母、数字、特殊字符中的至少两种；3.定期更换密码（如90天）；4.具有登录失败处理功能（如失败5次锁定账户30分钟）。对于特权用户（如root、administrator、sa），监理需检查是否进行了更名处理，并严格控制其数量。访问控制方面，应核查默认账户是否被禁用或删除，是否依据“最小权限原则”为不同用户分配不同的操作权限，严禁出现账号共享现象。7.2安全审计与入侵防范主机和应用系统必须开启安全审计功能。监理需检查操作系统和数据库是否开启了审计策略，记录用户的登录、操作、资源使用等情况。对于应用系统，应检查其日志模块是否记录了用户增删改查、权限变更、敏感数据访问等关键操作。审计记录应定期备份，避免因系统崩溃导致日志丢失。在入侵防范方面，监理需遵循最小安装原则，检查操作系统是否安装了非必要的组件和服务（如游戏、无关的守护进程）。通过漏洞扫描工具对主机进行扫描，核实承建单位是否已对扫描出的高危漏洞（如CVE漏洞）进行了补丁修补或版本升级。对于应用系统，需重点核查是否存在SQL注入、跨站脚本（XSS）、远程命令执行等Web漏洞。检查对象关键控制点监理验证手段不符合项处理建议操作系统1.补丁更新2.防病毒软件3.屏幕锁定4.最小服务原则漏扫报告复核、现场查看服务列表、查看杀毒软件病毒库版本下发监理通知单，要求限期修补漏洞、更新病毒库数据库1.空闲连接超时2.存储过程权限3.敏感数据加密查看数据库配置参数，抽查数据表加密情况调整配置参数，对敏感字段实施加密存储应用系统1.验证码机制2.错误信息屏蔽3.文件上传限制渗透测试、人工测试修复代码漏洞，增加验证码功能8.实施阶段监理细则——数据安全及备份恢复数据是信息系统的核心资产，二级系统要求确保数据在传输和存储过程中的保密性、完整性，并具备基本的备份与恢复能力。8.1数据完整性及保密性监理工程师需核查系统是否采用了校验技术或密码技术保证重要数据（如用户身份鉴别信息、重要业务数据）在传输过程中的完整性。对于存储在数据库中的敏感数据（如身份证号、密码哈希值），应检查是否采用了加密或其他保护措施。特别注意，系统中严禁明文存储用户密码。8.2数据备份与恢复监理需重点审查备份策略的落地情况。检查承建单位是否制定了《数据备份与恢复管理制度》。技术验证方面，需核实是否配置了本地备份设备（如磁带库、备份服务器、NAS），并验证备份作业是否按时执行。监理应要求承建单位进行一次数据恢复演练，以验证备份文件的有效性和恢复流程的可行性。备份类型监理检查内容频率要求完全备份检查最近一次完全备份的文件大小、时间戳建议每周或每月一次增量备份检查每日增量备份日志是否连续建议每日一次异地备份（若有）检查异地备份链路状态及传输延迟视业务重要性而定9.安全管理制度建设监理等保二级建设不仅是技术层面的加固，更强调“管理与技术并重”。一个完善的安全管理体系是保障技术措施持续有效运行的关键。监理单位需监督承建单位协助建设单位建立并落实一套完整的安全管理制度。9.1管理制度体系架构监理需审核管理制度的体系结构，通常应分为三个层级：1.方针策略层：总体安全方针、总体安全策略等纲领性文件。2.管理制度层：各类具体的管理规定，如《人员管理制度》、《机房管理制度》、《账号管理制度》、《网络安全管理制度》、《数据备份管理制度》等。3.操作规程层：具体的操作指导书，如《服务器加固操作指引》、《防火墙配置变更操作规程》等。9.2制度内容审核与落地监理工程师应仔细审阅各项制度的条款内容，确保制度具有可操作性，避免照搬照抄。例如，在《人员管理制度》中，应包含人员录用、离岗、考核、保密协议签署的具体流程；在《账号管理制度》中，应明确账号审批、权限分配、定期审计的要求。制度发布后，监理需监督制度的落地执行情况。通过访谈关键岗位人员、查看执行记录（如机房进出登记表、账号审批单、日志审计记录）来验证制度是否被有效执行。对于“有制度无执行”的情况，监理应签发整改通知单，要求建设单位加强内部宣贯与执行力度。10.等级保护测评与整改阶段监理在技术与管理整改完成后，项目进入测评验收阶段。此阶段监理的主要工作是协调第三方测评机构，见证测评过程，并督促承建单位针对测评发现的问题进行整改。10.1测评机构资质审核监理需审核测评机构是否具备国家网络安全等级保护协调小组办公室颁发的推荐证书，测评人员的资质是否合规。确保测评过程的公正性、客观性。10.2测评过程见证与协调监理应参与测评方案的评审，确保测评范围覆盖所有定级对象，测评指标依据GB/T22239-2019二级要求。在测评实施过程中，监理应协调建设单位和承建单位配合测评人员的工作，提供必要的测试环境和接口。对于渗透测试、漏洞扫描等可能影响业务连续性的操作，监理需要求测评方在非业务高峰期或测试环境中进行，并做好回退准备。10.3问题整改与复测测评机构出具《等级保护测评报告》初稿后，通常会列出若干高风险及中风险问题。监理工程师需组织建设单位、承建单位召开整改会议，分析问题原因，制定整改计划。高风险问题处理：必须要求限期整改，整改完成后需进行回归测试，确保风险消除或降低。中低风险问题处理：对于无法立即整改的中低风险问题，需评估其接受风险的可能性，并由建设单位出具《风险接受报告》，监理需审核该报告的合理性。监理需跟踪整改进度，直至测评机构出具最终的、评分达到70分以上（合格）的正式测评报告。11.验收阶段监理工作内容验收是项目建设的最后一道关口。监理单位应组织成立验收小组，依据合同、招投标文件、国家标准及设计方案，对项目进行全面验收。11.1验收条件审核在发起验收前，监理需审核是否满足以下条件：1.所有建设内容已完成，且承建单位自检合格。2.已通过第