信息系统安全等级测评工具自测版
信息系统的安全等级及测评要求
信息系统的安全等级及测评要求信息系统的安全等级及测评要求1. 引言在当今数字化和网络化的时代,信息系统的安全性变得尤为重要。
随着互联网的普及和信息技术的发展,各种黑客攻击、数据泄露和网络病毒等安全威胁日益增多,给企业、政府机构以及个人带来了巨大的损失和风险。
为了保护信息资产和维护正常运营,对信息系统的安全等级进行评估和要求已经成为一种不可或缺的需要。
2. 信息系统安全等级划分为了实现统一的安全等级评估标准和要求,国际上广泛使用的是ISO/IEC 15408 - Common Criteria(公共标准)。
2.1 安全等级的概念安全等级是指根据信息系统在保护资产、防御攻击等方面的能力对其安全等级进行分类和划分的过程。
根据ISO/IEC 15408的标准,信息系统分为七个等级,从最低到最高分别为EAL1到EAL7。
2.2 不同等级的特点- EAL1:功能和设计性的低要求,适用于一些低风险的商业应用。
- EAL2:要求有关详尽性的设计文档,适用于一些基础的商业应用。
- EAL3:要求有关审计和设计的文档,适用于大部分商业应用。
- EAL4:要求有关设计的详尽文档和严格的安全计划,适用于较高安全要求的商业应用。
- EAL5:严格设计和文档要求,适用于军事和政府级的安全应用。
- EAL6:更高的设计要求,适用于一些特殊的政府级安全应用。
- EAL7:最高的安全标准和审计要求,适用于极高安全需求的政府和军事级别应用。
3. 信息系统安全测评要求在信息系统的开发和运营过程中,安全测评是评估系统的强弱和薄弱环节的重要方式。
以下是信息系统安全测评要求的一些关键步骤:3.1 风险评估风险评估是对信息系统进行全面分析和评估,以确定潜在的安全隐患和威胁。
通过识别和评估各种威胁和脆弱性,可以帮助确定安全等级和相应的安全控制措施。
3.2 漏洞扫描漏洞扫描是通过使用专门的软件工具来检测信息系统中可能存在的漏洞和弱点。
通过扫描系统,可以及早发现潜在的安全漏洞,并采取相应的应对措施。
信息系统等级保护(2.0)测评工作方案
信息系统等级保护(2.0)测评工作方案-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN信息系统等级保护测评工作方案目录信息系统等级保护测评工作方案...................................................... 错误!未定义书签。
目录.................................................................................................... 错误!未定义书签。
1.项目概述 ...................................................................................... 错误!未定义书签。
.项目背景 ...................................................................... 错误!未定义书签。
.项目目标 ...................................................................... 错误!未定义书签。
.项目原则 ...................................................................... 错误!未定义书签。
.项目依据 ...................................................................... 错误!未定义书签。
2.测评实施内容 .............................................................................. 错误!未定义书签。
.测评分析 ...................................................................... 错误!未定义书签。
信息安全等级测评师模拟测试(2)-管理初级
一、单选题(20分)1、以下关于信息系统安全建设整改工作方中说珐中不正确的是?()A、突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行.B、利用信息安全等圾保护综合工作平台使等级保护工作常态化。
C、管理制度建设和技术措施建设同步或分步实施。
D、加快改造,缺什么补什么,也可以进总体安全建设整改规划.2、以下关于定级工作说法不正确的是?()A、确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。
B、确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。
C、在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低.D、新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施.3、测评单位开展工作的政策依据是?( )A、公通字[2004]66号。
B、公信安[2008]736。
C、公信安[2010]303号。
D、发改高技[2008]2071。
4、一般来说,二级信息系统,适用于?( )A、乡镇所属信息系统、县级某些单位中不重要的信息系统.小型个体、私营企业中的信息系统.中小学中的信息系统。
B、适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等.C、适用于重要领域、重要部门三级信息系统中的部分重要系统。
例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统.D、地市级以上国家机关、企业、事业单位内部一般的信息系统.例如小的局域网,非涉及秘密、敏感信息的办公系统等。
5、安全测评报告由()报地级以上市公安机关公共信息网络安全检查部门?A、安全服务机构。
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:-—GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求;——GB/TCCCC—CCCC信息安全技术信息系统安全等级保护实施指南;——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。
信息安全技术信息系统安全等级保护测评过程指南1范围本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。
2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款.凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240—2008信息安全技术信息系统安全等级保护定级指南GB/T22239—2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号)3术语和定义GB/T5271.8、GB17859—1999、GB/TCCCC—CCCC和GB/TDDDD—DDDD确立的以及下列的术语和定义适用于本标准。
信息系统安全等级保护等级测评报告模板【等保2.0】
报告编号:XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX网络安全等级保护[被测对象名称]等级测评报告等保2.0委托单位:测评单位:报告时间:年月网络安全等级测评基本信息表声明【填写说明:声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。
针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明。
】本报告是[被测对象名称]的等级测评报告。
本报告是对[被测对象名称]的整体安全性进行检测分析,针对等级测评过程中发现的安全问题,结合风险分析,提出合理化建议。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测对象当时的安全状态有效。
当测评工作完成后,由于被测对象发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对被测对象内部部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
单位名称(加盖单位公章)年月日等级测评结论【填写说明:此表描述等级保护对象及等级测评活动中的一般属性。
包括被测对象名称、安全保护等级、被测对象描述、测评工作描述、等级测评结论及综合得分。
如被测对象为云计算(包括平台/系统)或大数据(包括平台/应用/资源),则需要增加云计算安全扩展表或大数据安全扩展表。
】等级测评结论扩展表(云计算安全)【填写说明:此表描述与云计算(包括平台/系统)相关的扩展信息。
云计算形态用于明确被测对象为云计算平台还是云服务客户业务应用系统,此处为单选。
运维所在地用于明确云计算服务的后台技术管理者所在位置,方便公安机关监管。
云服务模式用于明确被测对象所采用的服务模式,此处为单选。
注意,一个云计算平台可能有多种服务模式,每种服务模式单独构成一个定级系统,对应一份定级报告及一份等级测评报告。
《信息系统安全等级保护等保测评安全管理测评》PPT
1序、号 背景知安全识关注点
1 人员录用
一级 2
二级 3+
三级 4+
四级 4
2 人员离岗
2
3
3+
3+
3 人员考核
0
1
3
4
4 安全意识教育和培训
2
3+
4
4
5 外部人员访问管理
1
1
2
3
合计
7
11
16
18
1、背景知识
• 系统建设管理是指加强系统建设过程的管理。 制定系统建设相关的管理制度,明确系统定级 备案、方案设计、产品采购使用、软件开发、 工程实施、验收交付、等级测评、安全服务等 内容的管理责任部门、具体管理内容和控制方 法,并按照管理制度落实各项管理措施
1、背景知识
序号 1 2 3
4
5
安全关注点 岗位设置 人员配备 授权和审批
沟通和合作
审核和检查 合计
一级 1 1 1
1
0 4
二级 2 2 2
2
1 9
三级 4 3 4
5
4 20
四级 4 3 4
5
4 20
1、背景知识
• 安全管理制度是指确定安全管理策略,制定安 全管理制度。确定安全管理目标和安全策略, 针对信息系统的各类管理活动,制定人员安全 管理制度、系统建设管理制度、系统运维管理 制度、定期检查制度等,规范安全管理人员或 操作人员的操作规程等,形成安全管理体系
3、评测方法和流程
测评方式-访谈-访谈对象
安全主管 系统建设负责人 人事负责人 系统运维负责人 物理安全负责人 系统管理员、网络管理员、安全管理员、机房值班人员、资产管理员等
信息系统等级测评(1)
信息系统等级测评1. 引言信息系统在现代社会中得到了广泛的应用,对于保护和管理信息系统的安全性至关重要。
为了评估信息系统的安全性和等级,需要进行信息系统等级测评。
本文将介绍信息系统等级测评的概念和重要性,并提供一些常用的测评方法和工具。
2. 信息系统等级测评的概念信息系统等级测评是评估和确定信息系统在一定等级下的安全性和能力的过程。
它是根据特定的标准和指南,将信息系统划分为不同的等级,并对其进行评估和鉴定。
信息系统等级测评可以帮助组织了解其信息系统的安全状况,发现潜在的风险和漏洞,并制定相应的安全措施和策略。
3. 信息系统等级测评的重要性信息系统等级测评具有以下重要性:•风险评估与管理:通过信息系统等级测评,组织可以全面了解其信息系统的风险状况,识别和评估潜在的威胁和漏洞,并采取相应的措施进行风险管理和控制。
•合规性和法规遵循:许多行业和政府机构要求组织满足特定的安全标准和法规。
信息系统等级测评可以帮助组织评估其安全措施是否符合相关的合规性要求。
•资源分配和优先级设定:通过信息系统等级测评,组织可以根据不同的等级划分,为不同的信息系统分配资源和确定优先级。
这有助于组织优化资源利用和安全保护的投入。
•信任建立与合作伙伴选择:通过信息系统等级测评,组织可以证明其信息系统的安全性和可信度,与其他组织建立信任关系,选择安全可靠的合作伙伴。
4. 信息系统等级测评方法和工具4.1 定性评估方法定性评估方法通常是通过对信息系统进行可行性分析、风险评估、安全策略和计划的制定等方式,得出信息系统的等级评估结果。
这种方法相对简单易行,适用于中小型组织。
4.2 定量评估方法定量评估方法使用数学和统计模型来评估信息系统的安全性和等级。
这种方法可以更精确地刻画信息系统的安全状态,适用于大型组织和复杂信息系统。
4.3 验证和测试工具验证和测试工具是用于测量和评估信息系统各个方面的工具。
它们可以检测系统是否违反了安全政策和规定,发现系统中的漏洞和弱点。
信息系统安全等级保护定级--备案--测评流程
信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
网络安全自测等级
网络安全自测等级
网络安全自测等级参考标准
一、基础级
1. 你是否在所有设备上定期更新操作系统和应用程序?
2. 你是否为所有设备设置了强密码,并定期更改密码?
3. 你是否使用防火墙保护家庭网络?
4. 你是否使用合法和受信任的软件和应用程序?
5. 你是否注意不点击垃圾邮件或短信中的链接或附件?
6. 你是否定期备份重要的个人数据?
二、中级
1. 你是否使用不同的密码来保护不同的在线账户?
2. 你是否启用了双因素认证来提高账户的安全性?
3. 你是否定期审查和更新个人隐私设置?
4. 你是否定期检查设备上的恶意软件和病毒?
5. 你是否定期清理浏览器缓存和cookie?
6. 你是否使用加密连接来访问银行和其他敏感网站?
三、高级
1. 你是否定期参加网络安全培训和教育?
2. 你是否使用虚拟专用网络(VPN)来保护你的网络连接?
3. 你是否定期进行网络渗透测试,以发现潜在的漏洞?
4. 你是否使用密码管理器来安全地存储和管理密码?
5. 你是否熟悉并遵守法律和道德规范,以免参与网络欺诈和黑客活动?
6. 你是否使用设备锁定功能来保护你的移动设备?
请根据以上自测等级参考标准,自行评估和提升你的网络安全防护能力。
信息系统安全等级保护测评报告模板
信息系统安全等级保护测评报告模板信息系统安全等级保护测评报告听起来可能让人一头雾水,尤其是对一些不太懂技术的小伙伴来说。
说白了,它就是一个针对信息系统安全进行“体检”的报告。
就像你去医院做体检,医生会根据你身体的各项指标,判断你是不是健康,哪个地方可能出问题,哪些方面需要加强一样。
信息系统的安全等级保护测评报告,也是给“信息系统”做体检,看看它在面对各种威胁时,能不能保持健康,能不能保护好公司的数据、网络以及其他重要信息。
这些东西不检查,谁知道哪天会被黑客盯上,或者系统被不法分子钻了空子,闹出大事儿来呢?好了,咱们先聊聊“等级保护”这回事儿。
简单说,就是信息系统的安全防护要根据它的重要性来定等级,系统重要,保护就得更到位。
就像你家里有个金库,肯定得比你家门口的自行车锁更加严密,防不住小偷还怎么行?而这个“等级保护”就是告诉你,你的系统在这个网络社会中属于什么等级,需要多高的防护来防止外部的威胁。
为了让这些工作做得更专业、更细致,咱们有了这个测评报告,来一针见血地告诉你,哪儿是薄弱环节,哪里需要加固。
接下来要说的就是“测评”了。
说到这个测评,可能你就想,哎呀,跟考试一样是不是?其实倒也不是。
它更多的是一种专业的技术评估,专业的测评人员会拿出一套严格的标准,通过多方位的检查,检测你信息系统的各项安全性指标。
比如,系统的访问控制、数据的加密保护、网络的安全防护、应用的漏洞扫描等等。
用一个通俗的比喻,测评就像是给你家门口安个监控,看看有没有黑客在附近转悠,门窗是不是关好,防盗门的锁是不是牢靠。
做完这些检测后,评估人员就会给出一个详细的报告,告诉你:你的系统哪些方面做得好,哪些方面可能会让黑客有机可乘。
测评报告里最让人关心的,当然是那个“安全等级”啦。
它通常分为五个等级,级别从低到高。
等级越高,表示你的系统越安全,越能抵挡来自网络世界的各种威胁。
最简单的举个例子,假如你的系统只是普通的办公系统,重要性一般,那它可能是三级保护,防护标准也就普通一些。
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院 号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发☯号)、《关于信息安全等级保护工作的实施意见》(公通字☯号)和《信息安全等级保护管理办法》(公通字☯号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:☝❆信息安全技术信息系统安全等级保护定级指南;☝❆信息安全技术信息系统安全等级保护基本要求;☝❆信息安全技术信息系统安全等级保护实施指南;☝❆信息安全技术信息系统安全等级保护测评要求。
信息安全技术信息系统安全等级保护测评过程指南范围本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。
规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件, 其最新版本适用于本标准。
☝❆信息技术词汇第 部分:安全☝计算机信息系统安全保护等级划分准则☝❆信息安全技术信息系统安全等级保护定级指南☝❆信息安全技术信息系统安全等级保护基本要求☝❆信息安全技术信息系统安全等级保护实施指南☝❆信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字☯号)术语和定义☝❆、☝、☝❆和☝❆确立的以及下列的术语和定义适用于本标准。
信息系统安全等级保护测评报告3
报告编号:(-16-1303-01)信息系统安全等级测评报告说明:一、每个备案信息系统单独出具测评报告。
二、测评报告编号为四组数据。
各组含义和编码规则如下:第一组为信息系统备案表编号,由2段16位数字组成,可以从公+安机关颁发的信息系统备案证明(或备案回执)上获得。
第1段即备案证明编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号)。
第二组为年份,由2位数字组成。
例如09代表2009年。
第三组为测评机构代码,由四位数字组成。
前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为北京,12为天津,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。
90为国防科工局,91为电监会,92为教育部。
后两位为公安机关或行业主管部门推荐的测评机构顺序号。
第四组为本年度信息系统测评次数,由两位构成。
例如02表示该信息系统本年度测评2次。
信息系统等级测评基本信息表注:单位代码由受理测评机构备案的公安机关给出。
声明本报告是票务系统的安全等级测评报告。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。
当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
信息系统安全等级保护测评表单-测评设备、工具配备情况表
工具说明
是否具备
是 是 否 否 是 是 否 是 否 否 是 否 否 否 否 否 否
安全相关CHECKLIST检查表 极光、Nessus、SSS等 踩点、扫描、入侵涉及到的工具等 sysinspector、操作系统) 数据库安全扫描工具 应用系统安全扫描工具
工具类型
木马检查工具 软件代码安全分析类 安全攻击仿真工具 网络协议分析工具 系统性能压力测试工具 网络拓扑生成工具 物理安全测试工具 渗透测试工具集 安全配置检查工具集 等级保护测评管理工具 漏洞扫描器 渗透测试相关工具 主机安全测试工具 数据库安全扫描 应用系统 1.专用木马检查工具 2.进程查看与分析工具 软件代码安全分析工具 Internet Scanner LoadRunner 网络拓扑自动生成 1.接地电阻测试仪 2.电磁屏蔽性能测试仪
来源
网络 网络 网络 网络 网络 网络 网络 租赁 租赁 网络 网络 网络 网络 网络 网络 网络
备注
4信息系统安全等级保护测评过程及方法(v3.0)
文档(制度类、规程类、记录/证据类等)
35
单元测评-网络层面
网络层面构成组件负责支撑信息系统进行网络互联,为 信息系统各个构成组件进行安全通信传输,一般包括网 络设备、连接线路以及它们构成的网络拓扑等。
测评对象:
网络互联设备
网络安全设备 网络管理平台 相应设计/验收文档,设备的运行日志等
28
测试 功能/性能测试、渗透测试等
测试对象包括机制和设备等
测试一般需要借助特定工具
扫描检测工具
攻击工具 渗透工具
29
测试 适用情况:
对技术要求,‘测试’的目的是验证信息系统
当前的、具体的安全机制或运行的有效性或安 全强度。 对管理要求,一般不采用测试技术。
30
测评力度:评估投入 vs 信任
投入 - 回报
测评人工
配合人工
工具
最小的投入 - 合理的回报
31
测评力度
测评工作实际投入力量的表征 由测评广度和深度来描述:
测评广度越大,范围越大,包含的测评对象就越多, 测评实际投入程度越高。 测评的深度越深,越需要在细节上展开,测评实际投 入程度也越高。
42
安全控制点间
同一层面内不同安全控制之间存在的功能增 强(补充)或削弱等关联作用。
物理访问控制与防盗窃和防破坏 身份鉴别与访问控制 身份鉴别与安全审计
43
层面间
主要考虑同一区域内的不同层面之间存在的功
能增强、补充和削弱等关联作用。
物理层面网络层面
物理访问控制/网络设备防护
的过程和内容,不同的角色在不同活动的作用,不同活
动的参与角色、活动内容、输出文档等等。
信息系统安全等级保护等保测评网络安全测评
分为低风险、中等风险和高风险。低风险包括一般性漏 洞和潜在威胁;中等风险包括已知漏洞和已确认的威胁 ;高风险包括重大漏洞和重大威胁。
应对策略制定与实施
01 预防措施
采取一系列预防措施,如加强网络访问控制、定 期更新软件和补丁等,以降低风险发生的可能性 。
02 应急响应计划
制定应急响应计划,以便在发生网络安全事件时 能够快速响应,减少损失。
信息系统安全等级保护(简称“等保”)是指对 01 信息系统实施不同级别的安全保护,保障信息系
统的安全性和可靠性。
等保旨在确保信息系统免受未经授权的入侵、破 02 坏、恶意代码、数据泄露等威胁,保障业务的正
常运行和数据的完整性。
等保是信息安全领域的基本要求,也是国家对信 03 息化建设的重要规范和标准。
通过等保测评可以发现并解决存在的安全隐患和 问题,提高信息系统的安全性和可靠性。
02
等保测评的主要内容和方法
测评准备
确定测评目标
01
明确测评对象和测评目标,了解相关信息系统的基本
情况、业务需求和安全需求。
制定测评计划
02 根据测评目标,制定详细的测评计划,包括测评内容
、方法、时间安排和人员分工等。
准备测评工具
03
根据测评计划,准备相应的测评工具和设备,包括漏
洞扫描工具、渗透测试工具、安全审计工具等。
符合性测评
确定测评指标
根据相关标准和规范,确定测评指标和评分标 准。
进行符合性检查
通过检查信息系统的安全管理制度、技术措施 、安全配置等,评估其符合程度。
进行功能测试
对信息系统的特定功能进行测试,评估其实现和效果是否符合要求。
4. 对客户网络进行分级保护,根据不同 等级制定相应的安全策略和防护措施。
等保测评报告模板
等保测评报告模板信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年月日测评单位名称报告摘要一、测评工作概述本部分概述被测信息系统的基本情况,包括系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
同时描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作内容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果本部分依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果)。
通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题本部分依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果。
四、系统安全建设、整改建议本部分针对系统存在的主要问题提出安全建设、整改建议。
报告基本信息信息系统基本情况本部分列出系统的基本情况,包括系统名称、安全保护等级、委托单位、机房位置、灾备中心、其他机房等信息。
委托单位信息本部分列出委托单位的名称、地址、邮政编码、联系人信息等。
测评单位信息本部分列出测评单位的名称、地址、邮政编码、联系人信息等。
日期信息本部分列出报告编制、审核批准、审核人、批准人的日期信息。
声明本部分是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用;本报告中给出的结论不能作为对系统内相关产品的测评结论;本报告结论的有效性建立在用户提供材料的真实性基础上;在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称年月测评单位名称报告目录本报告的目录如下:I。
某单位信息系统安全等级保护测评报告(S3A3G3)
报告编号:错误!未找到引用源。
目录
[2013 版]
信息系统等级测评基本信息表.................................................................................................................................... 1
2.3.1 业务应用软件 ........................................................................................................................................... 14 2.3.2 关键数据类别 ........................................................................................................................................... 15 2.3.3 主机/存储设备 ......................................................................................................................................... 15 2.3.4 网络互联设备 ........................................................................................................................................... 15 2.3.5 安全设备 ................................................................................................................................................... 15 2.3.6 安全相关人员 ........................................................................................................................................... 15 2.3.7 安全管理文档 ........................................................................................................................................... 16 2.4 安全环境............................................................................................................................................................ 17 2.5 前次测评情况.................................................................................................................................................... 18
信息系统安全等级保护测评要求
信息系统安全等级保护测评要求信息系统安全等级保护测评是对信息系统安全等级保护工作进行评估和检测的一项重要工作。
根据国家相关法律法规和标准要求,信息系统安全等级保护测评要求具体包括以下几个方面:一、测评范围。
信息系统安全等级保护测评要求首先需要确定测评的范围,包括测评的对象、系统边界、测评的内容和测评的目标。
测评范围的确定需要充分考虑信息系统的具体情况和测评的目的,确保测评工作能够全面、准确地开展。
二、测评标准。
信息系统安全等级保护测评要求需要依据国家相关的安全标准和规范进行测评,确保测评工作能够符合法律法规的要求。
同时,还需要根据信息系统的具体情况和安全等级要求,确定适用的测评标准,确保测评工作的准确性和有效性。
三、测评方法。
信息系统安全等级保护测评要求需要采用科学、合理的测评方法进行测评工作。
测评方法需要充分考虑信息系统的特点和安全等级要求,采用合适的技术手段和工具,确保测评工作能够全面、深入地开展。
四、测评内容。
信息系统安全等级保护测评要求需要对信息系统的安全性能、安全技术和安全管理进行全面、系统的测评。
测评内容包括但不限于信息系统的安全策略与制度、安全技术措施、安全管理措施、应急响应能力等方面,确保测评工作能够覆盖信息系统安全保护的各个方面。
五、测评报告。
信息系统安全等级保护测评要求需要编制测评报告,对测评结果进行客观、准确的反映。
测评报告需要包括测评的范围、测评的标准和方法、测评的内容和结果等方面的信息,确保测评报告能够为信息系统的安全等级保护工作提供科学、可靠的依据。
六、测评结果。
信息系统安全等级保护测评要求需要根据测评结果,对信息系统的安全等级进行评定和分类。
根据测评结果,确定信息系统的安全等级,为信息系统的安全保护工作提供科学、可靠的依据。
综上所述,信息系统安全等级保护测评要求是信息系统安全保护工作的重要组成部分,需要全面、科学地开展测评工作,确保信息系统的安全等级保护工作能够符合国家相关法律法规和标准的要求,为信息系统的安全保护提供科学、可靠的保障。
信息安全技术信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护基本要求引言依据《中华人民XX国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南;——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求;——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。
一般来说,信息系统需要靠多种安全措施进行综合防X以降低其面临的安全风险。
本标准针对信息系统中的单项安全措施和多个安全措施的综合防X,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。
单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。
整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。
本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。
如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。
在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。
信息系统安全等级保护测评要求1 X围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。
本标准略去对第五级信息系统进行单元测评的具体内容要求。
本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。
信息系统安全等级保护测评自查
信息系统安全等级保护测评自查(二级)单位全称:XXX项目联系人:XX X 电话:XXX 邮箱:XXX1被测信息系统情况1.1承载的业务情况深圳市XXX系统,XX年投入使用,包括X台服务器、X台网络设备和X台安全设备。
深圳市XXX系统是为深圳市XXX(系统简介)。
1.2网络结构给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。
深圳市XXX系统由边界安全域、核心安全域和服务器安全域等三个功能区域组成,主要有XXX功能。
各功能区都位于XX机房。
具体拓扑如下:图 2-1 深圳市XXX系统拓扑图备注:需注明网络出口(电信,电子资源政务中心、XXX等)1.3系统备案情况深圳市XXX系统备案为X级,系统备案编号为X,备案软件显示系统防护为SXAXGX2系统构成2.1机房2.2网络设备以列表形式给出被测信息系统中的网络设备。
2.3安全设备以列表形式给出被测信息系统中的安全设备。
2.4服务器/存储设备以列表形式给出被测信息系统中的服务器和存储设备,描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。
2.5终端以列表形式给出被测信息系统中的终端,包括业务管理终端、业务终端和运维终端等。
1设备名称在本报告中应唯一,如xx业务主数据库服务器或xx-svr-db-1。
2.6业务应用软件以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介。
2.7关键数据类别以列表形式描述具有相近业务属性和安全需求的数据集合。
如鉴别数据、管理信息和业务数据等,而业务数据可从安全防护需求(保密、完整等)的角度进一步细分。
保密性,完整性等2.8安全相关人员2.9安全管理文档2如鉴别数据、管理信息和业务数据等,而业务数据可从安全防护需求(保密、完整等)的角度进一步细分。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文档编码CRBJ-PMD-PSI项目管理号1001-GFCSP-Tech信息系统安全等级测评工具【自测版】产品规格说明书(PSI)Product Specification Instructions公安部第三研究所2010年07月06日版权所有侵权必究[文档信息][版本变更记录][文档送呈]目录1 产品背景及概述 (1)1.1 产品背景 (1)1.2 产品概述 (3)2 产品目标及策略 (4)2.1 产品目标 (4)2.2 产品策略 (4)3 产品执行标准 (5)4 产品说明 (6)5 结论 (8)1产品背景及概述1.1 产品背景随着信息技术的迅猛发展和广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息网络已成为国家和社会发展新的重要战略资源。
党中央、国务院始终高度重视信息安全问题,多次指示公安部会同有关部委制定有效措施,切实加强管理,提高我国计算机信息系统安全保护水平,以确保社会政治稳定和经济建设的顺利进行。
2003年8月,国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)明确指出信息安全保障工作要“实行信息安全等级保护”。
信息安全等级保护制度已经成为我国信息安全保护工作的基本国策,实行信息安全等级保护具有重大的现实和战略意义。
为了进一步推动等级保护工作的进展,公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室于2004年联合下发了《关于信息安全等级保护工作的实施意见》,明确指出要在三年内在全国范围内推广等级保护制度。
为了规范和指导各地的等级保护工作,公安部、全国信息安全标准化技术委员会委托公安部信息安全等级保护评估中心(以下简称评估中心)制定了一系列等级保护相关标准和文件。
目前,国家推荐标准《信息系统安全保护等级定级指南》、《信息系统安全等级保护基本要求》和《信息系统安全等级保护实施指南》已经完成报批稿,《信息系统安全等级保护测评准则》已经完成征求意见稿。
2006年8月,公安部、国家保密局、国家密码局和国务院信息化办公室联合在北京举行了“信息安全等级保护工作会议”,向来自全国各地和各重要部委的近200名信息化工作主管领导颁发了《信息安全等级保护试点工作实施方案》,涉及系统定级、等级测评、制度建设、系统改建、备案与监督检查等多项等级保护工作。
同时,为了加强信息安全等级保护工作的组织领导,国家成立了由公安部副部长张新枫任组长,公安部、国家保密局、国家密码局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小组,协调小组办公室设在公安部公共信息网络安全监察局。
试点工作的经验表明,等级测评活动是确保信息安全等级保护工作的关键关节。
等级测评能够帮助信息系统的运营、使用单位进行信息系统安全自查,了解系统的安全现状与国家要求之间的差距,明确安全整改的目标与方向。
市场调查表明,目前信息安全相关的商用测评工具主要集中在漏洞扫描和问卷评估系统等方面,无法准确、全面的提供信息系统安全等级保护的整体测评结论。
由于信息安全等级保护制度已经成为我国信息安全保护工作的基本国策,国家相关文件规定信息系统必须定期进行自查和定期委托专业测评机构进行等级符合性测评。
为了确保信息安全等级保护工作的顺利开展,实现国家在三年内全面实施信息安全等级保护工作的工作目标,迫切需要信息系统等级保护测评的专用工具,作为信息系统等级测评支撑工具,提供信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门,用于定期测试或符合性测评。
因此,专用测评工具将成为信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门的必备工具,是信息安全等级保护工作的顺利开展和完成不可或缺的保障。
1.2 产品概述海盾系列信息系统安全等级保护测评工具软件是由国内领先的等保测评专家团队在深入分析等级保护技术要求、国内信息系统面临安全威胁和典型案例的基础上研制而成。
作为国内领先的等保测评工具软件,不仅提供了详细的操作流程、步骤说明,还具有融合自动化工具和第三方安全检查工具检查、扫描的功能,能够有效协助使用者按照等级保护标准要求推进信息系统安全等级保护工作。
本软件产品的原型来源于国家高技术研究发展计划(863计划)课题《等级保护体系模型、测评方法与支撑工具研究》(2007年01月10日,课题编号:2006AA01Z450)和国家发改委国家信息安全专项项目(发改办高技[2007]2035号文)。
软件产品吸取了专家组的意见和建议,在公安部信息安全等级保护评估中心的指导下经过功能完善、适应测评工作指南要求、调整报告格式等大量工作,最终形成了可以为等级测评提供支持和服务的系列工具,并已投入多个测评项目实际应用。
海盾系列工具软件主要面向信息系统运营使用单位的安全管理人员和测评机构的测评技术人员,指导他们按照标准合规的测评方法进行测评或自测,并能实现测评的数据、过程标准化管理。
本产品名称为“信息系统安全等级测评工具-自测版”(Information Systems Classified Security Protection Evaluation Utility for Customer),简称等保测评工具自测版,产品编码为CRIT-CS-TA。
2产品目标及策略2.1 产品目标为配合信息安全等级保护体系的贯彻和实施,需要根据等级保护的标准体系,开发一系列辅助的工具,为:➢等级测评服务机构;➢监管部门;➢信息系统运行维护管理部门;➢行业主管部门。
提供测评和监督检查的辅助工具,以使相关单位和部门能够尽快掌握相关的评估测试技术标准与标准知识的应用,提高信息系统安全测评和检查的水平,并增加这些环节的工作效率,提高自动化程度。
等保测评支撑工具-自测版是为用户自查、系统自测评和定级信息系统差距分析提供服务的。
主要目标用户为:信息系统运行维护单位的技术人员和管理人员。
2.2 产品策略本自测版软件是独立运行的软件,采用USBKey认证方式进行登录,并提供数据导出功能,以便将自查数据导出,以便专业机构进行分析。
安全性方面扩展功能:➢用户登录采用USBKey等强认证方式;软件产品采用组件化的软件架构,可以通过组件扩充测评方法、数据分析与融合算法、报告生成方法——➢知识库包含测评知识与测评要点;➢支持等级保护体系模型中的测评方法;➢支持智能的结构化分析方法,能综合单独测评结果形成系统差距分析结论;➢报表功能支持Word格式导出;➢具有数据导出接口,测评结果可以导出到其它管理分析系统中;➢客户化定制功能,可根据组件配置选择,形成多个功能版本(包括知识库定制)或具有行业特色内容的版本等。
后续策略将根据市场反馈进一步及时升级和更新。
3产品执行标准➢中华人民共和国计算机信息系统安全等级保护条例,1994➢国家信息化领导小组关于加强信息安全保障工作意见(中发办[2003]27号)➢关于信息安全等级保护工作实施意见(公通字[2004]66号)➢等级保护管理办法(公通字[2007]43号)➢信息安全等级保护管理办法(试行)➢计算机信息系统等级保护划分准则GB17859➢信息系统安全等级保护实施指南(送审稿)➢信息系统安全保护等级定级指南(GB/T 22240-2008)➢信息系统安全等级保护基本要求(GB/T 22239-2008)➢信息系统安全等级保护测评要求(送审稿)➢GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》➢GA 388-2002《计算机信息系统安全等级保护操作系统技术要求》➢GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》➢GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》➢GA 391-2002《计算机信息系统安全等级保护管理要求》4产品说明根据《信息系统等级保护模型研究报告》、《信息系统等级测评模型研究报告》、《等级保护测评工作知识表达方法研究报告》、《等级保护测评知识库与方法库设计报告》的研究成果,支撑工具完成了以下主要功能:➢根据知识库的测评指标知识内容,将测评指标对应到测评对象,并自动生成测评检查表。
➢引导用户对信息系统、制度和人员等进行全面的安全性证据获取;➢引导用户手工输入收集的证据数据;➢辅助分析给出系统的安全现状;➢辅助分析给出系统保护等级的差距;➢通过调用内置测评指标知识库,可对测评结果进行汇总、统计和计算,并按要求给出定级信息系统差距分析结论。
➢自动生成测评报告,并根据要求输出Word格式的数据。
自测版工具是提供给信息系统运营使用单位对信息系统进行自查使用,使用流程大致可分为三大部分:一是测评准备,二是测评实施,三是后期管理,所有的这些操作都在信息系统运营使用单位内部完成。
具体使用流程如下图所示:图1自测版工具使用流程图在测评准备阶段中,依据等级保护的相关政策、法规和标准,将信息系统对应的安全等级(安全等级包括安全等级、业务信息安全等级和系统服务安全等级)录入到自测版工具中。
在测评实施阶段中,自测版工具信息系统的安全等级和检查对象的类型自动生成相应的自查问卷。
这些问卷主要是根据等级保护的相关标准进行设计的,根据这些自查表可以对相关文档和安全控制进行明确的审查和测试。
在后期管理阶段中,自测版工具自动对填写的自查表进行分析评判,并将不符合项进行汇总,以便用户找出信息系统缺失的能力,并可以根据报告模板生成自查报告,以便对报告进行浏览、打印、预览和导出。
自测版的使用用户应具有基本的计算机信息安全知识,具有独立的工具软件使用维护基本能力。
5结论本文档阐述了海盾系列等级保护测评工具在信息安全等级保护工作中的应用目的、方式和方法。
通过海盾系列等级保护测评工具在信息安全等级保护测评工作中的实际应用和部署,可有效实现等级测评工作的过程和数据管理,预防原始的文档化操作造成的标准不一致、水平参差不齐、易造成信息外泄等问题,实现对定级系统测评数据的安全问题的跟踪定位、整体分析和评估,为定级信息系统的评估意见和整改建议提供详尽、可靠的支持。