文檔信息
|
文檔名稱
|
世界杯官网測試驗收管理制度
|
|
文檔編號
|
|
|
文檔類別
|
策略方针 □ 管理制度 ■ 工作流程 □ 操作指南 □ 运维记录 □ 其他 □
|
|
當前版本
|
1.0
|
|
創建日期
|
2020-10-18
|
|
文檔編輯部門
|
信息中心
|
|
文檔作者
|
|
|
聯系方式
|
|
修訂記錄
|
文檔版本
|
日期
|
修改人員
|
審閱人員
|
修訂摘要
|
|
V1.0
|
2020-10-18
|
|
|
建立文檔
|
|
|
|
|
|
|
審批發布
|
序號
|
審核記錄
|
日期
|
審閱人員
|
|
1
|
審閱
|
2020-10-18
|
|
|
2
|
正式核准發布
|
2020-10-18
|
|
|
3
|
|
|
|
一 總則
目的。爲進一步加強世界杯官网信息安全建設項目驗收的管理,更好地規範項目驗收工作,爲項目驗收工作提供依據,確保信息安全系統項目建設的質量,依據《世界杯官网信息安全管理辦法》制定本管理制度。
對象及範圍。本制度規定了信息安全建設項目的驗收流程和方法,適用于在信息安全建設項目實施完畢後的驗收和交付工作。
要求。世界杯官网信息系統的測試驗收安全管理要求統一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二 驗收組織
1驗收組組成
系統負責人負責成立專門的系統驗收委員會,作爲系統驗收的組織機構。委員會設主任一人委員若幹人,委員會成員由建設方人員、監理方人員、特邀專家組人和承建方人員組成,其中特邀專家必須是行業信息領域的權威,熟悉國內外該領域技術發展的狀況。
2 驗收委員會的任務
(1)資料審查工作
資料評審工作主要對項目的相關資料進行評審,檢查資料是否齊全、完整、正確。評審的資料包括以下內容:
n 項目施工資料:項目開工報告、項目實施報告、項目竣工報告、材料與設備清單、項目實施質量與安全檢查記錄、項目竣工圖紙、售後服務保證文件、項目自檢報告;
n 項目試運行資料:用戶試用報告或用戶意見書;
n 非信息應用系統相關文檔:系統設計說明書、項目詳細實施方案、系統結構圖、用戶手冊、用戶培訓計劃、培訓文檔;
n 項目監理報告。
(2)項目評審
項目評審的工作主要包括:
n 聽取建設單位、承建單位、監理單位對項目建設情況的介紹;
n 組織現場驗收和複查驗收;
n 聽取資料審查的情況彙報,用戶試運行情況的彙報。
n 評審的內容包括:
n 技術文檔是否齊全,是否符合國家或有關部門的技術要求;
n 根據技術標准、建設規範,檢查各項技術指標是否達到要求;
n 建設項目的設計、施工是否符合國家或有關部門的標准和規範;
n 運行管理人員和操作使用人員的技術培訓是否達到熟練操作的程度;
n 相關管理規章制度是否建立和健全。
三 驗收內容
1設備檢驗
(1)設備到貨檢查
n 在開箱前,檢查設備的外包裝是否有明顯的包裝破損、野蠻裝卸、設備倒置等迹象;
n 在開箱後,檢查設備是否有明顯的外觀問題,如劃痕、變形等;
n 檢查到貨設備的廠商、型號、硬件配置、配件、數量是否與合同中的設備清單的參數相符(部分配置需要上電進行檢查);
n 檢查設備的相關附件是否齊全,如網絡跳線、産品說明書、安裝光盤、保修卡、說明書、合格證等。
(2)設備上電檢查
n 將設備開機上電,檢查設備是否能夠正常開啓運行;
n 對于通過外觀檢查無法確定的相關硬件參數,通過上電檢查是否與合同設備清單的參數相符;
以上检查结果均满足要求,则設備檢驗通过,否则由承建方进行纠正处理。
2設備安裝檢驗
n 設備安裝到機櫃的位置是否合理,是否考慮到後續其他設備的安裝;
n 設備的上下位置與機櫃單元(Unit)標識線是否齊平,是否安裝牢固;
n 設備與設備之間是否留出相應的空余位置以便于散熱;
n 設備安裝完畢後是否通過標簽標識相應的用途和類型;
n 在具備冗余連接的環境下,設備的連接線纜是否連接正確;
n 設備的連接線纜是否整理整齊並進行相應的標識。
以上检查结果均满足要求,则設備安裝檢驗通过,否则由承建方进行纠正处理。
3系統功能測試
(1)檢測說明
n 網絡安全和管理平台主要包括防火墙、入侵检测系统、漏洞扫描系统、防病毒、安全審計、身份认证系统、安全网关、网络隔离与交换系统、内容过滤系统等網絡安全防护设备和网络管理软件等网管设备。
n 網絡安全和管理平台必须得到有效配置,网络系统安全策略得到满足,确保网络信息系统安全、高效运行。
網絡安全和管理平台的验收检测:
n 对系统中的網絡安全防护设备和网络管理设备进行功能复核测试,确保设备的安全策略配置满足網絡安全和管理平台设计要求,并可以有效运行;
n 检测網絡安全防护设备、网络管理设备本身是否弱点、漏洞或误配置,得到有效管理,不会引入新的威胁点。
測試所需要的文檔主要有:系統設計文檔,包含安全策略、安全技術方案等。
按照网络系统设计要求和安全策略,对網絡安全防护和管理功能复核测试,按照安全功能组件进行测试。
(2)檢測內容和符合標准
以下列舉了常見安全系統的檢測類別和符合標准,在實際驗收工作中應依據合同中具體的設備功能參數要求對相應安全設備進行檢測。
|
檢測類別
|
符合標准
|
檢測單位
|
|
産品要求
|
信息系统安全专用产品必须具有“计算机信息系统安全专用产品销售许可证”;密碼产品符合《商用密碼管理条例》的要求;特殊行业有其他规定时,还应遵守行业的相关规定。
|
承建單位
|
|
防火牆測試
|
防火牆系統應具有根據不同身份或角色進行訪問控制,支持網絡地址轉換、日志統計分析等功能,檢測防火牆設置是否符合安全設計要求,符合設計要求的判爲合格。
|
承建單位
|
|
防病毒系統測試
|
防病毒軟件應具有實時掃描、立即掃描、病毒代碼更新、日志管理、集中管理等功能;檢測防病毒系統是否符合設計要求,符合設計要求判爲合格。
|
承建單位
|
|
入侵檢測系統測試
|
對入侵檢測系統,使用流行的攻擊手段進行模擬攻擊(如DOS拒絕服務攻擊),這些攻擊應被入侵檢測系統發現和阻斷;符合設計要求判爲合格。
|
承建單位
|
|
內容過濾系統測試
|
如果安裝了內容過濾系統,則嘗試訪問若幹受限網址或者訪問受限內容,這些嘗試應該被阻斷;然後,訪問若幹未受限的網址或者內容,應該可以正常訪問;符合設計要求判爲合格。
|
承建單位
|
|
審計系統測試
|
對一些非法的侵入嘗試必須有記錄;模擬非法嘗試;符合設計要求判爲合格。
|
承建單位
|
|
漏洞掃描系統測試
|
檢測漏洞掃描系統漏洞信息數據庫是否更新及時,符合設計要求的判爲合格。
|
承建單位
|
|
網絡管理系統測試
|
檢測能夠對網絡資源的情況進行全面信息采集和自動預警。符合設計要求判爲合格。
|
承建單位
|
4系統安全測試
在安全系統建設完畢後,應根據項目建設的安全目標對整體系統進行安全測試,測試分爲安全自檢測試和委托第三方進行安全測試。安全自檢測試由承建方來完成,第三方安全測試由經中國信息安全測評中心或公安部信息安全等級保護評估中心認證的信息安全測評機構來完成。
測試內容:
|
安全分類
|
安全子類
|
檢測內容
|
檢測單位
|
|
網絡安全
|
結構安全
|
主要核查:主要網絡設備的處理能力、網絡帶寬是否滿足業務需求情況、網絡拓撲結構圖是否一致、子網劃分和隔離情況、重要業務的帶寬優先分配情況。
|
承建方自檢/第三方安全測評機構複檢
|
|
訪問控制
|
主要核查:边界网络设备訪問控制功能、系统及拨号访问限制、进出网络的信息内容过滤、网络最大流量数和连接数、防止地址欺骗措施。
|
承建方自檢/第三方安全測評機構複檢
|
|
安全審計
|
主要核查:網絡設備日志收集、審計記錄詳細記載情況、審計報表生成以及對審計記錄的保護措施。
|
承建方自檢/第三方安全測評機構複檢
|
|
邊界完整性檢查
|
主要核查:是否能夠對非授權設備私自聯到內部網絡的行爲進行檢查、定位和阻斷;對內部用戶私自外聯的行爲進行檢查、定位和阻斷。
|
承建方自檢/第三方安全測評機構複檢
|
|
入侵防範
|
主要核查:部署IDS以及使用情況。
|
承建方自檢/第三方安全測評機構複檢
|
|
惡意代碼防範
|
主要檢測:網絡邊界處對惡意代碼的檢測和清除情況。
|
承建方自檢/第三方安全測評機構複檢
|
|
網絡設備防護
|
主要核查:用戶身份鑒別、管理員登錄地址限制、用戶標識唯一性、口令策略、登錄策略、遠程管理策略以及用戶權限分離情況。
|
承建方自檢/第三方安全測評機構複檢
|
|
主機安全
|
身份鑒別
|
主要核查:用戶身份認證方式、賬號與用戶對應關系,賬戶和口令長度設置情況,口令更改周期等;登錄失敗處理功能設置情況。
|
承建方自檢/第三方安全測評機構複檢
|
|
安全標記
|
主要核查:主体和客体安全標記设置情况
|
承建方自檢/第三方安全測評機構複檢
|
|
訪問控制
|
主要核查:特權用戶的權限分離情況;默認賬戶的訪問權限;多余和過期的賬戶的處理情況。
|
承建方自檢/第三方安全測評機構複檢
|
|
可信路徑
|
主要核查:系統與用戶之間安全路徑的建立情況。
|
承建方自檢/第三方安全測評機構複檢
|
|
安全審計
|
主要核查:安全審計的覆盖范围;记录内容完整性;防止审计记录被删除、覆盖。
|
承建方自檢/第三方安全測評機構複檢
|
|
剩余信息保護
|
主要檢查:用戶鑒別信息、系統內文件、目錄和數據在存儲空間的清除情況。
|
承建方自檢/第三方安全測評機構複檢
|
|
入侵防範
|
主要核查:操作系統組件安裝和補丁升級情況、入侵行爲記錄和報警,以及受破壞後恢複措施。
|
承建方自檢/第三方安全測評機構複檢
|
|
惡意代碼防範
|
主要核查:防病毒和惡意代碼産品的使用情況及升級情況、支持防惡意代碼軟件的統一管理、與網絡防惡意代碼産品不同的惡意代碼庫。
|
承建方自檢/第三方安全測評機構複檢
|
|
資源控制
|
主要核查:終端登錄限制方式及安全策略、監視服務器資源使用情況與達到最小值報警措施
|
承建方自檢/第三方安全測評機構複檢
|
|
數據安全及備份恢複
|
數據完
整性
|
主要核查:用戶賬戶信息和重要業務數據在傳輸過程中的完整性。
|
承建方自檢/
第三方安全測評機構複檢
|
|
數據保
密性
|
主要核查:采用加密或其它保護措施用戶賬戶信息和重要業務數據的存儲保密性。
|
承建方自檢/第三方安全測評機構複檢
|
|
備份和
恢複
|
主要核查:对重要信息備份和恢複;网络设备硬件冗余情况。
|
承建方自檢/第三方安全測評機構複檢
|
通過以上檢測不存在高、中等級風險,則安全測試通過,否則由承建方進行糾正處理。
5文檔交付
|
序號
|
文檔名稱
|
檢查內容
|
|
|
項目開工報告
|
應包括實施的實施周期、人員和工作內容、階段工作目標
|
|
|
設備到貨檢查表
|
應包括設備到貨情況,硬件配置檢查確認結果
|
|
|
項目實施報告
|
應包括項目實施的過程,包括實施日志、實施中出現的問題,解決問題的方法,産品相關配置信息、網絡拓撲圖等
|
|
|
系統功能測試报告
|
应包括系統功能測試采取的方法和结果,以及与合同要求是否存在偏差
|
|
|
系統安全測試报告
|
應包括系統的整體安全狀況,存在的漏洞和風險以及整改建議
|
|
|
項目竣工報告
|
應包括對項目的實施、測試、試運行、質量控制情況進行總結
|
|
|
系統操作和維護手冊
|
應包括産品的操作說明書、産品配置簡明手冊、日常維護手冊
|
|
|
産品質保說明或服務承諾
|
應包括産品附帶的質保卡、其他證明保修期限的證明以及承建方提供其他服務的承諾
|
以上檢查結果均滿足要求,則文檔驗收通過,否則由承建方進行糾正處理。
四 總結驗收會
1驗收會准備
(1)承建單位按照合同或合同附件的要求,完成各种技术文档;
(2)各种设备经加电试运行,状态正常,稳定试运行达到3个月,承建單位编制项目试运行报告;
(3)承建單位整理所有技术文档和工程实施管理资料等项目文档,提交给建设单位。
2召開驗收會
驗收會議的主要步驟包括:
(1)建設單位作關于項目情況的報告;
(2)承建單位作关于项目建设情况、自检情况及竣工情况的报告;
(3)監理單位作關于項目監理內容、監理情況以及項目竣工意見的報告;
(4)信息安全測評機構作項目測評情況的報告;
(5)建設單位作試運行情況報告;
(6)驗收組全體人員進行現場檢查(根據具體項目情況選擇);
(7)驗收組對關鍵問題進行抽樣複核和資料評審;
(8)驗收組對項目進行全面評價,給出驗收意見和驗收結論並簽字。
五 附則
對違反本制度的人員,將按照世界杯官网有關規定進行處罰。
本制度由信息安全工作小組負責制定、解釋和修改。
本制度自發布之日起執行。
世界杯官网信息安全工作小組
2020年10月18日