网络安全等级保护评估服务技术建议书

网络安全等级保护评估服务技术建议书

目录

第一部份综述 (4)

第二部份总体方案建议 (5)

1. 项目目标 (5)

2. 等级保护评估范围 (5)

3. 等级保护评估原则 (9)

4. 等级保护评估理论及标准 (10)

4.1标准与规范 (10)

4.1.1等级保护评估标准 (10)

4.1.2标准体现 (12)

4.2等级保护模型 (12)

4.2.1等级保护 (12)

4.2.2等级划分 (13)

4.2.3等级保护能力 (14)

4.2.4安全要求评估与检查 (16)

4.2.5券商网安全等级 (17)

4.3券商网安全等级计算方法 (19)

4.3.1对数法 (19)

4.3.2矩阵法 (19)

4.4评估理论模型 (20)

4.4.1安全风险过程模型 (20)

4.4.2安全风险关系模型 (20)

4.4.3安全风险计算模型 (21)

4.5安全风险分析策略 (24)

4.5.1风险计算原理 (24)

4.5.2风险结果判定 (25)

4.6券商网安全防护体系 (26)

5. 等级保护评估方案 (27)

5.1第一次检查和评估 (28)

5.1.1等级保护评估目标 (28)

5.1.2等级保护评估方法 (28)

5.1.3等级保护评估步骤 (28)

5.1.4等级保护评估内容 (29)

5.2第二次检查和评估 (33)

5.2.1等级保护评估目标 (33)

5.2.2等级保护评估方法 (33)

5.2.3等级保护评估内容 (34)

5.2.4远程评估 (37)

5.2.5本地风险评估 (43)

5.3评估过程风险控制 (48)

第一部份综述

随着近年来我国网络建设和信息化建设的加快，企业、政府机关等组织的业务和信息化的结合越来越紧密，在给组织带来巨大经济和社会效益的同时，也给组织的信息安全和管理带来了严峻的挑战。一方面，信息安全由于其专业性，目前组织信息安全管理人员在数量和技能的缺乏等给全网的安全管理带来了很大的难度；另一方面现在的网络攻击技术新、变化快，往往会在短时间内造成巨大的破坏，同时由于互联网的传播使黑客技术具有更大的普及性和破坏性，会给组织造成很大的威胁，必需加强信息安全集中监管的能力和水平，从而减少组织的运营风险。

通过对**的重要信息系统等级保护安全技术检查和风险评估，可以了解目前**等级保护的定级是否准确、是否按照国家要求进行定级，同时能够识别网络中存在的各种安全风险，并以此为依据有目的性地调整网络的保护等级并提供解决方案，针对网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署，对全网的安全进行统一的规划和建设，并根据等级保护检查和风险评估的结果指导**下一步等级保护工作的开展,确实有效保障网络安全稳定运行。

正是在这样的背景下，yyyy结合自身多年在安全行业和等级保护的积累，为**的网络安全等级保护提出了具有国内领先水平的等级保护评估方案。

本方案主要包括以下组成部分：

一．综述

二．总体方案建议

第二部份总体方案建议

1.项目目标

本次对**重要信息系统等级保护安全技术检查和风险评估的目标是：

●对重要信息系统的安全等级进行检查和评估，判断其定级是否准确，

定级是否符合国家有关部门的要求。

●通过等级保护安全技术检查和评估，对等级保护定级不准确或者不

符合要求的信息系统给出建议。

2.等级保护评估范围

本次评估，yyyy充分理解公安部的《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》等标准设计等级保护安全评估方案，对**公司的重要信息系统的等级和安全现状进行评估。

本项目所评估的网络系统包含：……等等。具体评估系统如下：

3.等级保护评估原则

yyyy等级保护评估服务将遵循以下原则：

●保密原则：yyyy将与**签订保密协议，同时公司与每个参与本项目的员

工签订信息保密协议，保证项目过程中和项目结束后不会向第三方泄漏机密信息，保证公司和个人不会利用评估结果对**造成侵害。在项目过程中获知的任何用户的信息，经过双方确认，并对相关文档属用户秘密信息，严格遵守保密协议中规定的要求，确保在实施，维护，合同有效期内的信息安全。

●标准性原则：yyyy对**等级保护评估方案的设计与实施应依据相关的等

级保护安全标准以及国家有关部门制定信息安全和风险管理领域的国家标准进行，确保等级保护风险评估过程的规范、合理，并为等级保护评估成果提供了质量保证。

●规范性原则：yyyy在等级保护评估项目中提供规范的工作过程和文档，

具有很好的规范性，可用于项目的跟踪和控制。评估项目的实施由专业的项目管理人员和安全服务人员依照规范的操作流程进行，在评估之前制定计划和必要的工作申请，并提前告知对系统可能的影响，并提出风险规避措施并做出必要的应急准备，在操作过程中对操作的过程和结果要提供规范的记录，并形成完整的评估过程报告。

●可控性原则：yyyy的等级保护评估的方法、过程以及评估工具在项目开

始之前经过**严格测试并认可，评估服务的实际进度与进度表安排一致，对于由于客观因素需要的项目计划变更，将由双方项目经理进行确认，保证客户对于评估工作的可控性。

●整体性原则：yyyy在**网络安全等级保护评估项目中的范围和内容整体

全面，涉及……，明确**计算机网络中的各个定级对象，评估其安全等级，同时评估其安全风险以及其产生的原因。

●最小影响原则：yyyy的等级保护风险评估工作的原则是做到对于用户系

统和网络运行的影响最小化，不能对正在运行的系统和业务的正常提供产生显著不利影响。在评估项目实施过程中，首先，远程风险评估和本地安全审计在业务不繁忙时段进行；其次，有主次互备的主机系统和设备，首先在备份机上进行安全评估，确信对业务系统不会有不利影响后方在主机上实施相应的安全评估；对于特别重要的系统和设备，若不满足直接对本机进行风险评估的条件，则应考虑采取其他更为稳妥的安全措施（如：考虑在其边界部署安全防护措施）。

4.等级保护评估理论及标准