數(shù)據(jù)安全測評指導(dǎo)書測評單位名稱：云南信龍科技年月日V1.0一、系統(tǒng)概述本次需要進展測評的系統(tǒng)是 〔以下簡稱 。已經(jīng)完成建設(shè)和驗收工作。為單位標準、高效和系統(tǒng)的治理供給了一個穩(wěn)定的計算機和網(wǎng)絡(luò)系統(tǒng)平臺，從而需要對該系統(tǒng)進展等級保護工作。二、安全保護等級GB17859-1999數(shù)據(jù)安全在信息系統(tǒng)中的作用，規(guī)定了各個安全等級的數(shù)據(jù)安全所需要的根底安全技術(shù)的要求。參照使用。三、數(shù)據(jù)安全范圍數(shù)據(jù)安全的范圍包括：數(shù)據(jù)完整性S、數(shù)據(jù)保密性S、數(shù)據(jù)備份和恢復(fù)A3。四、測評指標1、數(shù)據(jù)完整性S3：應(yīng)能夠檢測到系統(tǒng)治理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時實行必要的恢復(fù)措施；應(yīng)能夠檢測到系統(tǒng)治理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時實行必要的恢復(fù)措施。2、數(shù)據(jù)保密性S3：應(yīng)承受加密或其他有效措施實現(xiàn)系統(tǒng)治理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；應(yīng)承受加密或其他保護措施實現(xiàn)系統(tǒng)治理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。3、數(shù)據(jù)備份和恢復(fù)A3：應(yīng)供給本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；應(yīng)供給異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地；應(yīng)承受冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲構(gòu)造，避開關(guān)鍵節(jié)點存在單點故障；應(yīng)供給主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。五、把握點具體把握 測評項 測評測評對象 測評實施 推想結(jié)果點數(shù)據(jù)a) 應(yīng)能夠檢測到系統(tǒng)治理數(shù)據(jù)鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到完整的恢復(fù)措施；性 b) 應(yīng)能夠檢測到系統(tǒng)治理數(shù)據(jù)鑒別信息和用戶數(shù)據(jù)在存儲過程中完整性受到恢復(fù)措施；c) 應(yīng)能夠檢測到重要系統(tǒng)的完整性受要的恢復(fù)措施。

方式訪談，安全員，主要檢查。應(yīng)用系統(tǒng)，設(shè)/〔如證等〕

a)假設(shè)測評實施b〕測到完整性錯誤時是否能恢復(fù)，恢復(fù)措施有哪些；該項為否認；b)測評實施b〕-d〕設(shè)計/驗收文檔或相關(guān)證明性材料〔如證書、檢驗報均為確定，則信息告等〕等，查看其是否有能檢測/驗證到系統(tǒng)治理數(shù)系統(tǒng)符合本單元測據(jù)〔如WINDOWS域治理、名目治理數(shù)據(jù)、鑒別評項要求。信息〔如用戶名和口令〕和用戶數(shù)據(jù)〔如用戶數(shù)據(jù)文件〔如防火墻的訪問把握規(guī)章其配置是否正確；應(yīng)檢查主要應(yīng)用系統(tǒng)，查看其是否配備檢測/驗完整性受到破壞的功能；是否配備檢測/驗證系統(tǒng)治理性受到破壞的功能；是否配備檢測/驗證重要系統(tǒng)/模塊完整性受到破壞的功能；在檢測/驗證到完整性錯數(shù)據(jù)a) 網(wǎng)絡(luò)設(shè)備操作系統(tǒng)數(shù)據(jù)庫治理系統(tǒng)和應(yīng)用系統(tǒng)的鑒別信息敏感的系統(tǒng)管保密理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應(yīng)承受加密或其他有效措施實現(xiàn)傳輸保密性；性 b) 網(wǎng)絡(luò)設(shè)備操作系統(tǒng)數(shù)據(jù)庫治理系統(tǒng)和應(yīng)用系統(tǒng)的鑒別信息敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應(yīng)承受加密或其他保護措施實現(xiàn)存儲保密性；密或者承受可移動磁盤存儲敏感信息；用于特定業(yè)務(wù)通信的通信信道應(yīng)符合相關(guān)的國家規(guī)定。

誤時能實行必要的恢復(fù)措施；d)必要的恢復(fù)措施。訪談，系統(tǒng)治理員、a) 可訪談網(wǎng)絡(luò)治理員詢問信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備檢查，網(wǎng)絡(luò)治理員、的鑒別信息敏感的系統(tǒng)治理數(shù)據(jù)和敏感的用戶數(shù)據(jù)測試。安全員數(shù)據(jù)是否承受加密或其他有效措施實現(xiàn)傳輸保密性是否庫治理員主承受加密或其他保護措施實現(xiàn)存儲保密性；要應(yīng)用系統(tǒng)，b)設(shè)計/驗收文的鑒別信息、敏感的系統(tǒng)治理數(shù)據(jù)和敏感的用戶數(shù)據(jù)檔，相關(guān)證明是否承受加密或其他有效措施實現(xiàn)傳輸保密性〔如證承受加密或其他保護措施實現(xiàn)存儲保密性；書等。 c) 可訪談數(shù)據(jù)庫治理員詢問信息系統(tǒng)中的數(shù)據(jù)庫治理系統(tǒng)的鑒別信息敏感的系統(tǒng)治理數(shù)據(jù)和敏感的用戶數(shù)據(jù)是否承受加密或其他有效措施實現(xiàn)傳輸保密性；是否承受加密或其他保護措施實現(xiàn)存儲保密性；加密或其他保護措施實現(xiàn)存儲保密性；時，是否加密或者承受可移動磁盤存儲敏感信息；應(yīng)檢查操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫治理系統(tǒng)、關(guān)鍵應(yīng)用系統(tǒng)的設(shè)計/驗收文檔，查看其是否有關(guān)于

假設(shè)測評實施f〕缺少相關(guān)材料，則該項為否認；假設(shè)沒有相關(guān)證明性材料〔如證書、檢驗報告等測評實施g〕為否認；測評實施f〕-i〕均為確定，則信息系統(tǒng)符合本單元測評項要求。數(shù)據(jù)a) 應(yīng)供給自動備份機制對重要信息進展本地和異地備份；備份b) 應(yīng)供給恢復(fù)重要信息的功能；應(yīng)供給重要網(wǎng)絡(luò)設(shè)備、通信線路和服和恢務(wù)器的硬件冗余；應(yīng)供給重要業(yè)務(wù)系統(tǒng)的本地系統(tǒng)級復(fù) 熱備份。

承受加密或其他保護措施實現(xiàn)存儲保密性的描述；〔如證書或其他相關(guān)材料等，查看其是否有特定業(yè)務(wù)通信的通信信道符合相關(guān)的國家規(guī)定的說明；系統(tǒng)治理數(shù)據(jù)和敏感的用戶數(shù)據(jù)是否承受加密或其他保護措施實現(xiàn)存儲保密性；應(yīng)測試主要應(yīng)用系統(tǒng)，通過用嗅探工具獵取系統(tǒng)實現(xiàn)傳輸保密性。訪談，系統(tǒng)治理員，a)檢查。網(wǎng)絡(luò)治理員，是否供給自動備份機制對重要信息進展本地和異地員，操作系否供給重要網(wǎng)絡(luò)設(shè)備、通信線路和效勞器的硬件冗統(tǒng)，網(wǎng)絡(luò)設(shè)余；備數(shù)據(jù)庫管b) 可訪談系統(tǒng)治理員詢問信息系統(tǒng)中的操作系統(tǒng)理系統(tǒng)主要是否供給自動備份機制對重要信息進展本地和異地應(yīng)用系統(tǒng)設(shè)備份功能；是否供給對重要信息進展恢復(fù)的功能；計/驗收文c) 可訪談數(shù)據(jù)庫治理員詢問信息系統(tǒng)中的數(shù)據(jù)庫檔。 治理系統(tǒng)是否供給自動備份機制對重要信息進展本統(tǒng)級熱備份；是否供給對重要信息進展恢復(fù)的功能；d) 應(yīng)檢查設(shè)計/驗收文檔，查看其是否有關(guān)于操作

/驗收文檔，測評實施d〕否認則該項為否認；測評實施d〕息系統(tǒng)符合本單元測評項要求。本地系統(tǒng)級熱備份和重要信息恢復(fù)功能的描述；應(yīng)檢查操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫治理系統(tǒng)、主要應(yīng)用系統(tǒng)，查看其是否配置有本地異地備份和重