等级保护测评讲解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
整体性原则
最小影响原则
保密性原则
15
www.huatechsec.com.cn
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
最小影响原则
根据被测信息系统 的实际业务需求、 功能需求、以及对 应的安全建设情况, 开展针对性较强的 测评工作。
保密性原则
个性化原则
16
www.huatechsec.com.cn
测评过程和所使用的工具具备可控性,测评项目所采用 的工具都经过多次测评项目考验,或者是根据具体要求 和组织的具体网络特点定制的,具有良好的可控性。
12
www.huatechsec.com.cn
为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评原则
22
www.huatechsec.com.cn
等级保护测评流程
前期沟通
制定计划与培训
收集资料 测评规划 等级测评实施 访 谈 检 查 测 试
测评实施
物理安全 网络安全 主机安全
应用安全 安全管理制度
数据安全 安全管理机构 及备份恢复 人员安全管理 系统建设管理 系统运维管理
23
www.huatechsec.com.cn
主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具
www.huatechsec.com.cn
19
等级保护测评流程
前期沟通
制定计划与培训
进行培训交流 确定项目范围和目标 提出工作限制要求 项目进度安排 确定项目协调会制度
20
www.huatechsec.com.cn
4、测评方式和工具 5、层面测评实施 6、系统测评实施
5、时间计划
6、项目评审
29
www.huatechsec.com.cn
等级保护测评流程---各阶段提交物
前期沟通
类别
测评实施
符合情况
形成报告
测评内容 结果记录 a) 应在网络边界部署访问控制设备,启用访 问控制功能; b) ……
网 络 访 问 控 制
测评实施
形成报告
25
www.huatechsec.com.cn
[1]
本报告模板针对作为单一定级对象的信息系统制定。
等级保护测评流程---各阶段提交物
前期沟通
系统名称
测评实施
主管机构 系统承载 业务情况 业务类型 业务描述 1生产作业 2指挥调度 4内部办公 5公众服务 9其他
形成报告
等级保护测评流程
前期沟通
制定计划与培训
收集资料 测评规划 等级测评实施 分析系统差距 判断安全管理与测评指标的符合度 判断安全技术与测评指标的符合度
测评实施
24
www.huatechsec.com.cn
等级保护测评流程
前期沟通
制定计划与培训
收集资料 测评规划 等级测评实施 分析系统差距 编制安全测评报告
26
www.huatechsec.com.cn
[1]
本报告模板针对作为单一定级对象的信息系统制定。
等级保护测评流程---各阶段提交物
前期沟通
制定计划与培训
收集资料 测评规划
序号 … 数据类型 … 所属业务应用 … 主机/存储设备 重要程度 … 序号
…
测评实施
软件名称
…
形成报告
主要功能
…
重要程度
制定计划与培训
收集资料 测评规划
3管理控制
10全国 11跨省(区、市) 跨 个 20全省(区、市) 21跨地(市、区) 跨 个 系统服务 服务范围 30地(市、区)内 99其它 情况 1单位内部人员 2社会公众人员 3两者均包括 服务对象 9其他 1局域网 2城域网 3广域网 覆盖范围 系统网络 9其他 1业务专网 2互联网 平台 网络性质 9其它 系统互联 1与其他行业系统连接 2与本行业其他单位系统连接 3与本单位其他系统连接 情况 9其它 业务信息安全保护等级 系统服务安全保护等级 信息系统安全保护等级
5
www.huatechsec.com.cn
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
www.huatechsec.com.cn
等级保护测评依据
《信息安全等级保护管理办法》(公通字[2007]43号)
1.信息系统建设完成后,运营、使用单位或者其主管部门应 当选择符合本办法规定条件的测评机构,依据《信息系统安 全等级保护测评要求》等技术标准,定期对信息系统安全等 级状况开展等级测评; 2.第三级信息系统应当每年至少进行一次等级测评,第四级 信息系统应当每半年至少进行一次等级测评,第五级信息系 统应当依据特殊安全需求进行等级测评; 3.信息系统运营、使用单位及其主管部门应当定期对信息系 统安全状况、安全保护制度及措施的落实情况进行自查。第 三级信息系统应当每年至少进行一次自查,第四级信息系统 应当每半年至少进行一次自查,第五级信息系统应当依据特 殊安全需求进行自查; 4.经测评或者自查,信息系统安全状况未达到安全保护等级 要求的,运营、使用单位应当制定方案进行整改
标GB/T24856-2009信息安全技术 信息系统等级保护安全设计技术 要求 GB/T 20008-2005 信息安全技术 操作系统安全测评准则 准 GB/T 20009-2005 信息安全技术 数据库管理系统安全测评准则
GB/T 20010-2005 信息安全技术 包过滤防火墙测评准则
GB/T 20011-2005 信息安全技术 路由器安全测评准则
c)
……
等级测评实施 分析系统差距
d) e) f) g) h)
…… …… …… …… …… …
… …
… …
…
…
…
…
…
www.huatechsec.com.cn
30
等级保护测评流程---各阶段提交物
前期沟通 测评实施 形成报告
测评指标子类 序号 名称 网络 结构 安全 IOS_ 1 路 由 器_内 部_1 IOS_ 路 由 器 _VPN _1 … … … … … … 部分 符合 4/7 符合 0/4 符合 0/6 符合 0/2 不符 合 网络 访问 控制 网络 安全审 计 边界 完整性 检查 网络 入侵 防范 恶意 代码 防范 不符 合 2/2 网络 设备 防护 部分 符合 6/9
等级保护测评原则
标准性原则
规范性原则
为用户提供规范的服务,工作中的过程和文档需具有 良好的规范性,可以便于项目的跟踪和控制。
11
www.huatechsec.com.cn
为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评原则
标准性原则
规范性原则 可控性原则
…
序号 …
设备名称 …
操作系统/数据库管理系统
业务应用软件 …
27
www.huatechsec.com.cn
等级保护测评流程---各阶段提交物
前期沟通
制定计划与培训
收集资料
序号 姓名 … 岗位/角色 … 联系方式 … 序号 …
测评实施
设备名称 …
形成报告
用 途 … 重要程度 …
测评规划
…
序号 …
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
测评工作具备充分的计 划性,不对现有的运行 和业务的正常提供产生 显著影响,尽可能小地 影响系统和网络的正常 运行。
最小影响原则
14
www.huatechsec.com.cn
等级保护测评原则
标准性原则
规范性原则 可控性原则
从公司、人员、过程三个 方面进行保密控制: 1.测评公司与甲方双方签 署保密协议,不得利用测 评中的任何数据进行其他 有损甲方利益的活动; 2.人员保密,公司内部签 订保密协议; 3.在测评过程中对测评数 据严格保密。
8
www.huatechsec.com.cn
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
www.huatechsec.com.cn
等级保护测评原则
标准性原则
测评工作的开展、方案的设计和具体实施均需依据我 国等级保护的相关标准进行。
10
www.huatechsec.com.cn
通过对以上各种安全威胁的分析和汇总,形成组织的安全测评 报告 根据组织的安全测评报告和安全现状,提出相应的安全整改建 议,指导下一步的信息安全建设
18
www.huatechsec.com.cn
技术层面:测评和分析在网络和主机上存在的安全技术风险, 包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备
文档名称 …
主要内容 …
序号 …
威胁分(子)类 …
描述 …
威胁赋值
28
www.huatechsec.com.cn
等级保护测评流程---各阶段提交物
前期沟通
制定计划与培训
收集资料 测评规划
测评实施
形成报告
测评方案
1、项目概述 2、测评对象 3、测评指标
测评工作计划
1、项目概述
2、工作依据 3、工作内容 4、任务分工
7
www.huatechsec.com.cn
等级保护测评依据
测评主要标准 GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求 相GB/TXXXX-XXXX 信息安全技术信息系统安全等级保护测评要求 (报批稿) 关 参考技术标准 GB17859-1999 计算机信息系统安全保护等级划分准则
2/2
2
…
…
…
等级测评实施
分析系统差距
Leabharlann Baidu31
www.huatechsec.com.cn
等级保护测评流程---各阶段提交物
前期沟通
序号 分类 子类 符合 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 系 统 运 维 管 理 系 统 建 设 管 理 人 员 安 全 管 理 安 全 管 理 机 构 安 制全 度管 理 及数 备据 复份 安 恢全 应 用 安 全 主 机 安 全 网 络 安 全 物 理 安 全 物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 结构安全 访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制 数据完整性 数据保密性 备份和恢复 管理制度 制定和发布 评审和修订 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 人员考核 安全意识教育和培训 部分符合 不符合
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
www.huatechsec.com.cn
等级保护测评目的
等级保护测评的主要目的是: 对信息系统安全防护体系能力的分析与确认, 发现存在的安全隐患, 帮助运营使用单位认识不足, 及时改进, 有效提升其信息安全防护水平;
遵循国家等级保护有关规定的要求, 对信息系统安全建设进行符合性测评;
主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具
www.huatechsec.com.cn
17
等级保护测评内容
测评内容覆盖组织的重要信息资产
测 评 管理层面:从组织的人员、组织结构、管理制度、系统运行保 障措施,以及其它运行管理规范等角度,分析业务运作和管理 内 方面存在的安全缺陷 容
标准性原则
规范性原则 可控性原则
整体性原则
测评服务从组织的实际需求出发,从业务角度进行测评, 而不是局限于网络、主机等单个的安全层面,涉及到安 全管理和业务运营,保障整体性和全面性。
13
www.huatechsec.com.cn
为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评介绍
于海翔
主要内容
等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具
www.huatechsec.com.cn
2
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
www.huatechsec.com.cn
等级保护测评简介
等级保护测评流程
前期沟通
制定计划与培训
收集资料 基本信息调查 前期客户沟通交流 业务应用 小组讨论 文档查看 现场勘查 网络结构 系统构成 基本信息
21
www.huatechsec.com.cn
等级保护测评流程
前期沟通
制定计划与培训
收集资料 测评规划
确定测评范围
获得被测评系统的信息
确定具体测评对象 确定测评工作的方法 制定测评工作计划 形成测评指标 制定测评方案