14-等级保护测评项目实施过程讲解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
15
测评须知-测评风险
验证测试可能影响系统正常运行!
工具测试可能影响系统正常运行! 敏感信息可能泄露!
等级保护测评项目
16
方案编制
等级保护测评工作流程
测评准备
测 评 对 象 的 确 定 工 具 和 表 单 准 备 测 评 指 标 确 定 测 评 工 具 接 入 点 确 定 测 评 内 容 确 定 测 评 指 导 书 开 发 测 评 方 案 编 制
33
人工访谈,配置检查,文档查看
现场测评-网络安全测评举例
例:
“系统内有专门用于 审计的日志服务器” (人工访谈)
测评项内容:应对网络系统中 的网络设备运行状况、网络流 量、用户行为等进行日志记录 测评项内容:应对登录网络设 备的用户进行身份鉴别;
(配置检查) 测评项内容:具有层次网络结 构的单位可统一提供互联网出 口; 记录结论
现场测评
分析与编制报告
等 级 测 评 项 目 启 动
信 息 收 集 与 分 析
测 评 实 施 准 备
现 场 测 评 和 结 果 记 录
结 果 确 认 和 资 料 返 还
单 项 测 评 结 果 判 断
单 元 测 评 结 果 判 定
整 体 测 评
风 险 分 析
等 级 测 评 结 论 形 成
测 评 报 告 编 制
安言咨询 等级保护测评项目实施过程讲解
总述
等级保护测评项目实施培训资料是以《信息系统安
全保护测评过程指南》中的内容为主线,以等级保护相
关的管理规范和技术标准为参考资料,对等级保护测评 项目中涉及到的重点概念,重要流程,以及具体的测评
方法等进行了较为详细的阐述。
2
目录
测评须知 测评准备
方案编制
现场测评
7
测评须知-测评内容
8
测评须知-标准规范
信息系统等级保护由 国家发布一系列的信息安全管理规范与技术标准作为 具体工作中的指导。
文档名称
信息系统安全等级保护基本要求 信息系统安全等级保护测评要求
主要内容
规定了不同安全等级保护信息系统的最低保 护要求,包括技术和管理两方面的内容 规定了不同安全等级保护信息系统的测评要 求 从信息系统所承载的业务在国家安全、经济 建设、社会生活中的重要作用和业务对信息 系统的以来程度这两方面,提出确定信息系 统安全保护等级的方法 规定了信息系统安全等级保护实施的过程, 适用于指导信息系统安全等级保护的实施
37
现场测评-应用安全测评举例
测评项内容:应 根据安全策略设 置登录终端的操 作超时锁定;
以oracle为例,查看oracle的 概要文件中的相关配置。(配 置检查)
测评项内容:应能 够通过操作系统自 身功能或第三方工 具根据记录数据进 行分析,并生成审 计报表;
记录结论
询问是否有此功能,是否有第 三方工具具有此功能。(人工 访谈)
31
现场测评-物理安全测评举例
例:
测评项内容:机房出入口应安 排专人值守或配置电子门禁系 统,控制、鉴别和记录进入的 人员;
测评人员到现场勘查 或人工访谈 记录结论
32
现场测评-网络安全测评
测评内容
包括:结构安全,访问控制,安
全审计,入侵检测,网络设备防 护……….
测评方式
注意: 测评内容在测试方案的网络安全部分的测试项中体现。 可参考《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
访谈,检查
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
18
测评准备-工作内容
顺利启动测评项目,准备测评所需的相关资料,为
顺利编制测评方案打下良好的基础。
任务 项目启动 输出文档 项目计划书 文档内容 项目概述、工作依据、技术思路、 工作内容和项目组织等 被测系统的安全保护等级、业务情 况、数据情况、软硬件情况、管理 模式和相关部门及角色等。
38
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
39
分析与编制报告
工作内容
对前期测评工作成果进行分析,评论,
以及建议。
目标
正式输出:《等级保护测评报告》
40
等级保护测评报告-文档结构
在测评准备阶段,输出项目计划书
在方案编制阶段,输出测评方案 在现场测评阶段,根据测评内容,确定测评
现场测评 结果和记录
一般情况下,现场测评工作主要采用人
工访谈,配置检查,文档检查来进行。
结果确认和 资料归还
27
现场测评-测评对象
信息系统
人员,制度,软硬件 ………
信息系统所处的环境
机房,办公地点…..
28
现场测评-测评内容
现场测评内容为测评方案中指定的内容。 测评内容通常包括:物理安全、网络安全、主机安全、
12
测评须知-测评目的
现状 评估
检测评估信息 系统安全等级
差距 整改
根据评测结论进行 整改,使得信息系
落实 制度
落实信息安全 等级保护制度
保护状况
统符合相应等级的
保护能力。
查漏补缺,落实制度
13
测评须知-执行主体
1.中华人民共和国境内注册,中国公民投资、中国法人投资或者
国家投资的企事业单位。
2.从事相关检测评估工作两年以上,无违法记录。 3.工作人员及法人应符合相关的规定。
结果。
在分析与编制报告阶段,完成结论,问题,
建议,
输出《等级保护测评报告》
41
www.aryasec.com 地址:上海市长宁路855号亨通国际大厦8楼B座 电邮:service@aryasec.com
发测评指导书,形成测评方案。
23
方案编制-工作流程
24
方案编制-阶段成果
测评方案指定了测评对象,测评内 容以及测评方法 。
测试方案
25
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
26
现场测评-工作内容
依据测评方案实施现场测评工作,将测 评方案和测评工具等具体落实到现场测 评活动中。
现场 测评准备
4.使用的技术装备、设施应当符合《信息安全等级保护管理办法》
(公通字[2007]43号)对信息安全产品的要求。 5.具备相应的安全管理制度。 6.对国家安全、社会秩序、公共利益不构成威胁。
14
测评须知-执行主体义务
1.遵守国家有关法律法规和技术标准,提供安全、客观、
公正的检测评估服务,保证测评的质量和效果。 2.保守在测评活动中知悉的国家秘密、商业秘密和个人 隐私,防范测评风险。 3.对测评人员进行安全保密教育,与其签订安全保密责 任书,规定应当履行的安全保密义务和承担的法律责任, 并负责检查落实。
(文档查看)
34
现场测评-主机安全测评
测评内容
包括:身份鉴别、安全标记、资
源控制、访问控制…….
ห้องสมุดไป่ตู้
测评方式
人工访谈,配置检查
注意: 测评内容在测试方案的主机安全部分的测试项中体现。 可参考《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
35
现场测评-主机安全测评举例
信息系统安全等级保护定级指南
信息系统安全等级保护实施指南 信息系统安全等级保护测评过程指南
规定了信息系统安全等级保护测评的过程, 适用于指导信息系统安全等级保护测评的实 施
9
测评须知-系统定级
信息系统的安全等级由两个定级要素决定: 1. 等级保护对象受到破坏时所侵害的客体
2. 对客体造成侵害的程度
分析与编制报告
3
测评须知-等保制度
等级保护制度
定义:根据信息系统在国家安全、经济 建设、社会生活中的重要程度;遭到破 坏后对国家安全、社会秩序、公共利益 以及公民、法人和其他组织的合法权益 的危害程度;将信息系统划分为不同的 安全保护等级并对其实施不同的保护和 监管。 作用:体现国家管理意志,构建国家信 息安全保障体系,保障信息化发展和维
测评项内容:操作系统用户身 份鉴别信息应不易被冒用,口 令复杂度应满足要求并定期更 换。口令长度不得小于8位,且 为字母、数字或特殊字符的混 合组合,用户名和口令禁止相 同;
查看操作系统的账号策略 以Windows系统为例,在开始 ->运行->“gpedit.msc” 查看组策略。(配置检查)
测评项内容:应对重要服务器 进行监视,包括监视服务器的 CPU、硬盘、内存、网络等资 源的使用情况
信息收集和分 析
填好的调查表 格
工具和表单准 备
各类表单
现场测评授权、交接的文档名称、 会议记录项目、会议签到项目。 19
测评准备-工作流程
20
测评准备-阶段成果
确立项目计划
确定测评工具
获取信息系统
相关资料
21
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
22
方案编制-工作内容
方案编制工作是开展等级保护测评工作的关键环节, 为现场测评提供最基本的文档和指导方案,本活动 的主要任务是确定与被测信息系统相适应的测评对 象、测评指标及测评内容等,并根据需要重用或开
应用安全、管理安全等方面。
在测评方案中,体现测评内容的为条目化的测评项。
29
现场测评-测评内容举例
30
现场测评-物理安全测评
测评内容
各类物理安全相关内容:物
理位置的选择、物理访问控制、 防雷、防火…..
测评方式
现场勘查,人工访谈
注意: 测评内容在测试方案的物理安全部分的测试项中体现。 可参考《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
等级保护对象受到破坏时所侵害的客体包括以下三个方面: 1. 公民、法人和其他组织的合法利益; 2. 社会秩序、公共利益; 3. 国家安全。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: 1.造成一般损害;
2.造成严重损害;
3.造成特别严重损害。
10
测评须知-系统定级
11
测评须知-结果组合
部门的生产、调度、管理、办公等重要信息系统。
市(地)级以上党政机关的重要网站和办公信息系统。
5
测评须知-等级保护工作流程
针对新建系统和已建系统,有 不同的等级保护工作流程
等级保护测评工作是等保工作
中的重要环节
测评须知-等级保护测评
等级保护测评
定义:等级测评是测评机构依据《信 息系统安全等级保护测评要求》等管 理规范和技术标准,检测评估信息系 统安全等级保护状况是否达到相应等 级基本要求的过程。
护国家安全。
4
测评须知-等保对象
等级保护对象
电信广电行业的公用通信网,广播电视传输网等基础信 息网络,经营性公众互联网信息服务单位、互联网接入 服务单位、数据中心等单位的重要信息系统
铁路、银行、海关、税务、民航、电力、证券、保险、
外交、科技、发展改革、国防科技、公安、人事劳动和 社会保障、财政、审计、商务、水利、国土资源、能源、 交通、文化、教育、统计、工商行政管理、邮政等行业、
记录结论 询问是否有专门的监控软件, 询问是否能监控到这些指标 (人工访谈)。
36
现场测评-应用安全测评
测评内容
包括:身份鉴别、安全标记、资
源控制、访问控制…….
测评方式
人工访谈,配置检查
注意: 测评内容在测试方案的应用安全部分的测试项中体现。 可参考《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
测评须知-测评风险
验证测试可能影响系统正常运行!
工具测试可能影响系统正常运行! 敏感信息可能泄露!
等级保护测评项目
16
方案编制
等级保护测评工作流程
测评准备
测 评 对 象 的 确 定 工 具 和 表 单 准 备 测 评 指 标 确 定 测 评 工 具 接 入 点 确 定 测 评 内 容 确 定 测 评 指 导 书 开 发 测 评 方 案 编 制
33
人工访谈,配置检查,文档查看
现场测评-网络安全测评举例
例:
“系统内有专门用于 审计的日志服务器” (人工访谈)
测评项内容:应对网络系统中 的网络设备运行状况、网络流 量、用户行为等进行日志记录 测评项内容:应对登录网络设 备的用户进行身份鉴别;
(配置检查) 测评项内容:具有层次网络结 构的单位可统一提供互联网出 口; 记录结论
现场测评
分析与编制报告
等 级 测 评 项 目 启 动
信 息 收 集 与 分 析
测 评 实 施 准 备
现 场 测 评 和 结 果 记 录
结 果 确 认 和 资 料 返 还
单 项 测 评 结 果 判 断
单 元 测 评 结 果 判 定
整 体 测 评
风 险 分 析
等 级 测 评 结 论 形 成
测 评 报 告 编 制
安言咨询 等级保护测评项目实施过程讲解
总述
等级保护测评项目实施培训资料是以《信息系统安
全保护测评过程指南》中的内容为主线,以等级保护相
关的管理规范和技术标准为参考资料,对等级保护测评 项目中涉及到的重点概念,重要流程,以及具体的测评
方法等进行了较为详细的阐述。
2
目录
测评须知 测评准备
方案编制
现场测评
7
测评须知-测评内容
8
测评须知-标准规范
信息系统等级保护由 国家发布一系列的信息安全管理规范与技术标准作为 具体工作中的指导。
文档名称
信息系统安全等级保护基本要求 信息系统安全等级保护测评要求
主要内容
规定了不同安全等级保护信息系统的最低保 护要求,包括技术和管理两方面的内容 规定了不同安全等级保护信息系统的测评要 求 从信息系统所承载的业务在国家安全、经济 建设、社会生活中的重要作用和业务对信息 系统的以来程度这两方面,提出确定信息系 统安全保护等级的方法 规定了信息系统安全等级保护实施的过程, 适用于指导信息系统安全等级保护的实施
37
现场测评-应用安全测评举例
测评项内容:应 根据安全策略设 置登录终端的操 作超时锁定;
以oracle为例,查看oracle的 概要文件中的相关配置。(配 置检查)
测评项内容:应能 够通过操作系统自 身功能或第三方工 具根据记录数据进 行分析,并生成审 计报表;
记录结论
询问是否有此功能,是否有第 三方工具具有此功能。(人工 访谈)
31
现场测评-物理安全测评举例
例:
测评项内容:机房出入口应安 排专人值守或配置电子门禁系 统,控制、鉴别和记录进入的 人员;
测评人员到现场勘查 或人工访谈 记录结论
32
现场测评-网络安全测评
测评内容
包括:结构安全,访问控制,安
全审计,入侵检测,网络设备防 护……….
测评方式
注意: 测评内容在测试方案的网络安全部分的测试项中体现。 可参考《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
访谈,检查
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
18
测评准备-工作内容
顺利启动测评项目,准备测评所需的相关资料,为
顺利编制测评方案打下良好的基础。
任务 项目启动 输出文档 项目计划书 文档内容 项目概述、工作依据、技术思路、 工作内容和项目组织等 被测系统的安全保护等级、业务情 况、数据情况、软硬件情况、管理 模式和相关部门及角色等。
38
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
39
分析与编制报告
工作内容
对前期测评工作成果进行分析,评论,
以及建议。
目标
正式输出:《等级保护测评报告》
40
等级保护测评报告-文档结构
在测评准备阶段,输出项目计划书
在方案编制阶段,输出测评方案 在现场测评阶段,根据测评内容,确定测评
现场测评 结果和记录
一般情况下,现场测评工作主要采用人
工访谈,配置检查,文档检查来进行。
结果确认和 资料归还
27
现场测评-测评对象
信息系统
人员,制度,软硬件 ………
信息系统所处的环境
机房,办公地点…..
28
现场测评-测评内容
现场测评内容为测评方案中指定的内容。 测评内容通常包括:物理安全、网络安全、主机安全、
12
测评须知-测评目的
现状 评估
检测评估信息 系统安全等级
差距 整改
根据评测结论进行 整改,使得信息系
落实 制度
落实信息安全 等级保护制度
保护状况
统符合相应等级的
保护能力。
查漏补缺,落实制度
13
测评须知-执行主体
1.中华人民共和国境内注册,中国公民投资、中国法人投资或者
国家投资的企事业单位。
2.从事相关检测评估工作两年以上,无违法记录。 3.工作人员及法人应符合相关的规定。
结果。
在分析与编制报告阶段,完成结论,问题,
建议,
输出《等级保护测评报告》
41
www.aryasec.com 地址:上海市长宁路855号亨通国际大厦8楼B座 电邮:service@aryasec.com
发测评指导书,形成测评方案。
23
方案编制-工作流程
24
方案编制-阶段成果
测评方案指定了测评对象,测评内 容以及测评方法 。
测试方案
25
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
26
现场测评-工作内容
依据测评方案实施现场测评工作,将测 评方案和测评工具等具体落实到现场测 评活动中。
现场 测评准备
4.使用的技术装备、设施应当符合《信息安全等级保护管理办法》
(公通字[2007]43号)对信息安全产品的要求。 5.具备相应的安全管理制度。 6.对国家安全、社会秩序、公共利益不构成威胁。
14
测评须知-执行主体义务
1.遵守国家有关法律法规和技术标准,提供安全、客观、
公正的检测评估服务,保证测评的质量和效果。 2.保守在测评活动中知悉的国家秘密、商业秘密和个人 隐私,防范测评风险。 3.对测评人员进行安全保密教育,与其签订安全保密责 任书,规定应当履行的安全保密义务和承担的法律责任, 并负责检查落实。
(文档查看)
34
现场测评-主机安全测评
测评内容
包括:身份鉴别、安全标记、资
源控制、访问控制…….
ห้องสมุดไป่ตู้
测评方式
人工访谈,配置检查
注意: 测评内容在测试方案的主机安全部分的测试项中体现。 可参考《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
35
现场测评-主机安全测评举例
信息系统安全等级保护定级指南
信息系统安全等级保护实施指南 信息系统安全等级保护测评过程指南
规定了信息系统安全等级保护测评的过程, 适用于指导信息系统安全等级保护测评的实 施
9
测评须知-系统定级
信息系统的安全等级由两个定级要素决定: 1. 等级保护对象受到破坏时所侵害的客体
2. 对客体造成侵害的程度
分析与编制报告
3
测评须知-等保制度
等级保护制度
定义:根据信息系统在国家安全、经济 建设、社会生活中的重要程度;遭到破 坏后对国家安全、社会秩序、公共利益 以及公民、法人和其他组织的合法权益 的危害程度;将信息系统划分为不同的 安全保护等级并对其实施不同的保护和 监管。 作用:体现国家管理意志,构建国家信 息安全保障体系,保障信息化发展和维
测评项内容:操作系统用户身 份鉴别信息应不易被冒用,口 令复杂度应满足要求并定期更 换。口令长度不得小于8位,且 为字母、数字或特殊字符的混 合组合,用户名和口令禁止相 同;
查看操作系统的账号策略 以Windows系统为例,在开始 ->运行->“gpedit.msc” 查看组策略。(配置检查)
测评项内容:应对重要服务器 进行监视,包括监视服务器的 CPU、硬盘、内存、网络等资 源的使用情况
信息收集和分 析
填好的调查表 格
工具和表单准 备
各类表单
现场测评授权、交接的文档名称、 会议记录项目、会议签到项目。 19
测评准备-工作流程
20
测评准备-阶段成果
确立项目计划
确定测评工具
获取信息系统
相关资料
21
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
22
方案编制-工作内容
方案编制工作是开展等级保护测评工作的关键环节, 为现场测评提供最基本的文档和指导方案,本活动 的主要任务是确定与被测信息系统相适应的测评对 象、测评指标及测评内容等,并根据需要重用或开
应用安全、管理安全等方面。
在测评方案中,体现测评内容的为条目化的测评项。
29
现场测评-测评内容举例
30
现场测评-物理安全测评
测评内容
各类物理安全相关内容:物
理位置的选择、物理访问控制、 防雷、防火…..
测评方式
现场勘查,人工访谈
注意: 测评内容在测试方案的物理安全部分的测试项中体现。 可参考《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
等级保护对象受到破坏时所侵害的客体包括以下三个方面: 1. 公民、法人和其他组织的合法利益; 2. 社会秩序、公共利益; 3. 国家安全。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: 1.造成一般损害;
2.造成严重损害;
3.造成特别严重损害。
10
测评须知-系统定级
11
测评须知-结果组合
部门的生产、调度、管理、办公等重要信息系统。
市(地)级以上党政机关的重要网站和办公信息系统。
5
测评须知-等级保护工作流程
针对新建系统和已建系统,有 不同的等级保护工作流程
等级保护测评工作是等保工作
中的重要环节
测评须知-等级保护测评
等级保护测评
定义:等级测评是测评机构依据《信 息系统安全等级保护测评要求》等管 理规范和技术标准,检测评估信息系 统安全等级保护状况是否达到相应等 级基本要求的过程。
护国家安全。
4
测评须知-等保对象
等级保护对象
电信广电行业的公用通信网,广播电视传输网等基础信 息网络,经营性公众互联网信息服务单位、互联网接入 服务单位、数据中心等单位的重要信息系统
铁路、银行、海关、税务、民航、电力、证券、保险、
外交、科技、发展改革、国防科技、公安、人事劳动和 社会保障、财政、审计、商务、水利、国土资源、能源、 交通、文化、教育、统计、工商行政管理、邮政等行业、
记录结论 询问是否有专门的监控软件, 询问是否能监控到这些指标 (人工访谈)。
36
现场测评-应用安全测评
测评内容
包括:身份鉴别、安全标记、资
源控制、访问控制…….
测评方式
人工访谈,配置检查
注意: 测评内容在测试方案的应用安全部分的测试项中体现。 可参考《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》