文 章来 初中 教 师 网 w w w.91 0 w.Net一 总则目的。为进一步加强江苏省宿迁中学信息安全建设项目验收的管理,更好地规范项目验收工作,为项目验收工作提供依据,确保信息安全系统项目建设的质量,依据《江苏省宿迁中学信息安全管理办法》制定本管理制度。 对象及范围。本制度规定了信息安全建设项目的验收流程和方法,适用于在信息安全建设项目实施完毕后的验收和交付工作。 要求。江苏省宿迁中学信息系统的测试验收安全管理要求统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二 验收组织1验收组组成 系统负责人负责成立专门的系统验收委员会,作为系统验收的组织机构。委员会设主任一人委员若干人,委员会成员由建设方人员、监理方人员、特邀专家组人和承建方人员组成,其中特邀专家必须是行业信息领域的权威,熟悉国内外该领域技术发展的状况。 2 验收委员会的任务 (1)资料审查工作 资料评审工作主要对项目的相关资料进行评审,检查资料是否齐全、完整、正确。评审的资料包括以下内容: N 项目施工资料:项目开工报告、项目实施报告、项目竣工报告、材料与设备清单、项目实施质量与安全检查记录、项目竣工图纸、售后服务保证文件、项目自检报告; N 项目试运行资料:用户试用报告或用户意见书; N 非信息应用系统相关文档:系统设计说明书、项目详细实施方案、系统结构图、用户手册、用户培训计划、培训文档; N 项目监理报告。 (2)项目评审 项目评审的工作主要包括: N 听取建设单位、承建单位、监理单位对项目建设情况的介绍; N 组织现场验收和复查验收; N 听取资料审查的情况汇报,用户试运行情况的汇报。 N 评审的内容包括: N 技术文档是否齐全,是否符合国家或有关部门的技术要求; N 根据技术标准、建设规范,检查各项技术指标是否达到要求; N 建设项目的设计、施工是否符合国家或有关部门的标准和规范; N 运行管理人员和操作使用人员的技术培训是否达到熟练操作的程度; N 相关管理规章制度是否建立和健全。
三 验收内容1设备检验 (1)设备到货检查 N 在开箱前,检查设备的外包装是否有明显的包装破损、野蛮装卸、设备倒置等迹象; N 在开箱后,检查设备是否有明显的外观问题,如划痕、变形等; N 检查到货设备的厂商、型号、硬件配置、配件、数量是否与合同中的设备清单的参数相符(部分配置需要上电进行检查); N 检查设备的相关附件是否齐全,如网络跳线、产品说明书、安装光盘、保修卡、说明书、合格证等。 (2)设备上电检查 N 将设备开机上电,检查设备是否能够正常开启运行; N 对于通过外观检查无法确定的相关硬件参数,通过上电检查是否与合同设备清单的参数相符; 以上检查结果均满足要求,则设备检验通过,否则由承建方进行纠正处理。 2设备安装检验 N 设备安装到机柜的位置是否合理,是否考虑到后续其他设备的安装; N 设备的上下位置与机柜单元(UNIT)标识线是否齐平,是否安装牢固; N 设备与设备之间是否留出相应的空余位置以便于散热; N 设备安装完毕后是否通过标签标识相应的用途和类型; N 在具备冗余连接的环境下,设备的连接线缆是否连接正确; N 设备的连接线缆是否整理整齐并进行相应的标识。 以上检查结果均满足要求,则设备安装检验通过,否则由承建方进行纠正处理。 3系统功能测试 (1)检测说明 N 网络安全和管理平台主要包括防火墙、入侵检测系统、漏洞扫描系统、防病毒、安全审计、身份认证系统、安全网关、网络隔离与交换系统、内容过滤系统等网络安全防护设备和网络管理软件等网管设备。 N 网络安全和管理平台必须得到有效配置,网络系统安全策略得到满足,确保网络信息系统安全、高效运行。 网络安全和管理平台的验收检测: N 对系统中的网络安全防护设备和网络管理设备进行功能复核测试,确保设备的安全策略配置满足网络安全和管理平台设计要求,并可以有效运行; N 检测网络安全防护设备、网络管理设备本身是否弱点、漏洞或误配置,得到有效管理,不会引入新的威胁点。 测试所需要的文档主要有:系统设计文档,包含安全策略、安全技术方案等。 按照网络系统设计要求和安全策略,对网络安全防护和管理功能复核测试,按照安全功能组件进行测试。 (2)检测内容和符合标准 以下列举了常见安全系统的检测类别和符合标准,在实际验收工作中应依据合同中具体的设备功能参数要求对相应安全设备进行检测。
检测类别 |
符合标准 |
检测单位 |
产品要求 |
信息系统安全专用产品必须具有“计算机信息系统安全专用产品销售许可证”;密码产品符合《商用密码管理条例》的要求;特殊行业有其他规定时,还应遵守行业的相关规定。 |
承建单位 |
防火墙测试 |
防火墙系统应具有根据不同身份或角色进行访问控制,支持网络地址转换、日志统计分析等功能,检测防火墙设置是否符合安全设计要求,符合设计要求的判为合格。 |
承建单位 |
防病毒系统测试 |
防病毒软件应具有实时扫描、立即扫描、病毒代码更新、日志管理、集中管理等功能;检测防病毒系统是否符合设计要求,符合设计要求判为合格。 |
承建单位 |
入侵检测系统测试 |
对入侵检测系统,使用流行的攻击手段进行模拟攻击(如DOS拒绝服务攻击),这些攻击应被入侵检测系统发现和阻断;符合设计要求判为合格。 |
承建单位 |
内容过滤系统测试 |
如果安装了内容过滤系统,则尝试访问若干受限网址或者访问受限内容,这些尝试应该被阻断;然后,访问若干未受限的网址或者内容,应该可以正常访问;符合设计要求判为合格。 |
承建单位 |
审计系统测试 |
对一些非法的侵入尝试必须有记录;模拟非法尝试;符合设计要求判为合格。 |
承建单位 |
漏洞扫描系统测试 |
检测漏洞扫描系统漏洞信息数据库是否更新及时,符合设计要求的判为合格。 |
承建单位 |
网络管理系统测试 |
检测能够对网络资源的情况进行全面信息采集和自动预警。符合设计要求判为合格。 |
承建单位 |
4系统安全测试 在安全系统建设完毕后,应根据项目建设的安全目标对整体系统进行安全测试,测试分为安全自检测试和委托第三方进行安全测试。安全自检测试由承建方来完成,第三方安全测试由经中国信息安全测评中心或公安部信息安全等级保护评估中心认证的信息安全测评机构来完成。 测试内容:
安全分类 |
安全子类 |
检测内容 |
检测单位 |
网络安全 |
结构安全 |
主要核查:主要网络设备的处理能力、网络带宽是否满足业务需求情况、网络拓扑结构图是否一致、子网划分和隔离情况、重要业务的带宽优先分配情况。 |
承建方自检/第三方安全测评机构复检 |
访问控制 |
主要核查:边界网络设备访问控制功能、系统及拨号访问限制、进出网络的信息内容过滤、网络最大流量数和连接数、防止地址欺骗措施。 |
承建方自检/第三方安全测评机构复检 |
安全审计 |
主要核查:网络设备日志收集、审计记录详细记载情况、审计报表生成以及对审计记录的保护措施。 |
承建方自检/第三方安全测评机构复检 |
边界完整性检查 |
主要核查:是否能够对非授权设备私自联到内部网络的行为进行检查、定位和阻断;对内部用户私自外联的行为进行检查、定位和阻断。 |
承建方自检/第三方安全测评机构复检 |
入侵防范 |
主要核查:部署IDS以及使用情况。 |
承建方自检/第三方安全测评机构复检 |
恶意代码防范 |
主要检测:网络边界处对恶意代码的检测和清除情况。 |
承建方自检/第三方安全测评机构复检 |
网络设备防护 |
主要核查:用户身份鉴别、管理员登录地址限制、用户标识唯一性、口令策略、登录策略、远程管理策略以及用户权限分离情况。 |
承建方自检/第三方安全测评机构复检 |
主机安全 |
身份鉴别 |
主要核查:用户身份认证方式、账号与用户对应关系,账户和口令长度设置情况,口令更改周期等;登录失败处理功能设置情况。 |
承建方自检/第三方安全测评机构复检 |
安全标记 |
主要核查:主体和客体安全标记设置情况 |
承建方自检/第三方安全测评机构复检 |
访问控制 |
主要核查:特权用户的权限分离情况;默认账户的访问权限;多余和过期的账户的处理情况。 |
承建方自检/第三方安全测评机构复检 |
可信路径 |
主要核查:系统与用户之间安全路径的建立情况。 |
承建方自检/第三方安全测评机构复检 |
安全审计 |
主要核查:安全审计的覆盖范围;记录内容完整性;防止审计记录被删除、覆盖。 |
承建方自检/第三方安全测评机构复检 |
剩余信息保护 |
主要检查:用户鉴别信息、系统内文件、目录和数据在存储空间的清除情况。 |
承建方自检/第三方安全测评机构复检 |
入侵防范 |
主要核查:操作系统组件安装和补丁升级情况、入侵行为记录和报警,以及受破坏后恢复措施。 |
承建方自检/第三方安全测评机构复检 |
恶意代码防范 |
主要核查:防病毒和恶意代码产品的使用情况及升级情况、支持防恶意代码软件的统一管理、与网络防恶意代码产品不同的恶意代码库。 |
承建方自检/第三方安全测评机构复检 |
资源控制 |
主要核查:终端登录限制方式及安全策略、监视服务器资源使用情况与达到最小值报警措施 |
承建方自检/第三方安全测评机构复检 |
数据安全及备份恢复 |
数据完 整性 |
主要核查:用户账户信息和重要业务数据在传输过程中的完整性。 |
承建方自检/ 第三方安全测评机构复检 |
数据保 密性 |
主要核查:采用加密或其它保护措施用户账户信息和重要业务数据的存储保密性。 |
承建方自检/第三方安全测评机构复检 |
备份和 恢复 |
主要核查:对重要信息备份和恢复;网络设备硬件冗余情况。 |
承建方自检/第三方安全测评机构复检 |
通过以上检测不存在高、中等级风险,则安全测试通过,否则由承建方进行纠正处理。 5文档交付
序号 |
文档名称 |
检查内容 |
|
项目开工报告 |
应包括实施的实施周期、人员和工作内容、阶段工作目标 |
|
设备到货检查表 |
应包括设备到货情况,硬件配置检查确认结果 |
|
项目实施报告 |
应包括项目实施的过程,包括实施日志、实施中出现的问题,解决问题的方法,产品相关配置信息、网络拓扑图等 |
|
系统功能测试报告 |
应包括系统功能测试采取的方法和结果,以及与合同要求是否存在偏差 |
|
系统安全测试报告 |
应包括系统的整体安全状况,存在的漏洞和风险以及整改建议 |
|
项目竣工报告 |
应包括对项目的实施、测试、试运行、质量控制情况进行总结 |
|
系统操作和维护手册 |
应包括产品的操作说明书、产品配置简明手册、日常维护手册 |
|
产品质保说明或服务承诺 |
应包括产品附带的质保卡、其他证明保修期限的证明以及承建方提供其他服务的承诺 |
以上检查结果均满足要求,则文档验收通过,否则由承建方进行纠正处理。
四 总结验收会1验收会准备 (1)承建单位按照合同或合同附件的要求,完成各种技术文档; (2)各种设备经加电试运行,状态正常,稳定试运行达到3个月,承建单位编制项目试运行报告; (3)承建单位整理所有技术文档和工程实施管理资料等项目文档,提交给建设单位。 2召开验收会 验收会议的主要步骤包括: (1)建设单位作关于项目情况的报告; (2)承建单位作关于项目建设情况、自检情况及竣工情况的报告; (3)监理单位作关于项目监理内容、监理情况以及项目竣工意见的报告; (4)信息安全测评机构作项目测评情况的报告; (5)建设单位作试运行情况报告; (6)验收组全体人员进行现场检查(根据具体项目情况选择); (7)验收组对关键问题进行抽样复核和资料评审; (8)验收组对项目进行全面评价,给出验收意见和验收结论并签字。
五 附则
对违反本制度的人员,将按照江苏省宿迁中学有关规定进行处罚。 本制度由信息安全工作小组负责制定、解释和修改。 本制度自发布之日起执行。 文 章来 初中 教 师 网 w w w.91 0 w.Net
|