第4章-信息系统安全测评方法[124页]
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
该阶段主要包括单项测评结果判定、单项测评结 果汇总分析、系统整体测评分析、综合测评结论 形成及测评报告编制。
4.1.2 测评方法
1.访谈
访谈是指测评人员通过引导信息系统相关人 员进行有目的(有针对性)的交流,以帮助
测评人员理解、澄清或取得证据的过程。
访谈对象
访谈的对象是被查信息系统的工作人员,典型的包括系 统三员,即
在管理层面上,主要是对终端、服务器等各类主机对 应的相关文档进行检查,对信息系统的相关管理制度、 文档、记录进行有无及规范性检查。一般包括:管理职 责、安全管理规章制度、安全知识、安全记录、安全报 告等相关安全文件。
3.测试
测试是指测评人员使用预定的方法或工具使测评 对象(各类设备或安全配置)产生特定的结果, 将运行结果与预期结果进行对比的过程。
测评准备活动:
测评准备活动是开展等级测评是掌握被测系统的详细情况, 为实施测评做好文档及测试工具等方面的准备。
具体包括项目启动、信息收集与分析、工具和表 单准备三个过程。
方案编制活动:
主要是整理测评准备活动中获取的信息系统 相关资料,为现场测评活动提供最基本的文 档和指导方案。 主要包括确定测评对象、确定测评指标、确 定测试工具接入点、确定测试内容、测评实 施手册开发、测评方案制定。
在确定测评对象时,需遵循以下要求和方法:
① 恰当性,选择的设备、软件系统等应能满足相应等级的测评 强度要求;
② 重要性,应抽查对被测系统来说重要的服务器、数据库和网 络设备等;
③ 安全性,应抽查对外暴露的网络边界;
④ 共享性,应抽查共享设备和数据交换平台/设备; ⑤ 代表性,抽查应尽量覆盖系统各种设备类型、操作系统类型、 数据库系统类型和应用系统类型。
4.2 测评对象及内容
我国的安全测评标准主要包括测评基础、产 品测评和系统测评三个子类。
本节以基于等级保护的信息系统为例,介绍 其安全测评对象及测评内容。
测评标准
GB/T28448—2012《信息系统安全等级保护 测评要求》
GB/T 28449—2012《信息系统安全等级保护 测评过程指南》
单元测评
4.2.1 技术层安全测评对象及内容
信息系统安全等级保护技术测评对象包括五大类:
物理安全、 主机安全、 网络安全、 应用安全 数据安全 备份恢复
1.物理安全
① 身份鉴别:
也称为身份认证,是对用户或其他实体(如进程等)进行确认, 判断其是否就是所声称的用户或实体的过程。
身份鉴别一般依据实体“所知”,“所有”或“特征”三个因 素来判断是否是所声称的实体。“所知”如口令、密码等; “所有”如U 盾,证书等;“特征”如虹膜、指纹等。
测试一般仅用于技术层面的测评对象,对管理不 要求采用测试这种方法。
功能性测试
安全功能性测试是对系统的安全功能进行验 证性测试,主要有:标识鉴别,审计,通信, 密码支持,用户数据保护,安全管理,安全 功能保护,资源利用,系统访问,可信路径/ 信道安全。
渗透测试
渗透测试主要针对系统的脆弱点,通过扫描工具 对系统网络层、操作系统层、数据库和应用系统 进行脆弱性扫描,必要时由测试人员手工对系统 进行穿透性测试。
第四章 信息系统安全测评方法
主要内容
4.1 测评流程及方法 4.2 测评对象及内容 4.3 测评工具与接入测试 4.4 信息系统安全测评风险分析与规避 4.5 常见问题及处置建议
测评分类
信息系统安全测评分为自测评(即自查)和检查测评两种:
自查:由本单位自行开展,也可委托第三方机构进行。
检查测评:需要由有信息系统安全测评资质和条件的测评机构 完成,检查后要出具测评报告。
系统管理员、 安全管理员、 系统审计员。
除此三员外,有的单位还设置了信息安全主管、网络管 理员、资产管理员等,这些人员也都是访谈对象。
2.检查
检查是指测评人员通过对测评对象(如制度 文档、各类设备等)进行观察、查验、分析,
以帮助测评人员理解、澄清或取得证据的过 程。
以主机安全检查为例:
在技术层面上,运用各种操作指令进行手工查看其访 问控制、身份鉴别、网络连接、防火墙、防病毒等安全 配置是否合理;
单元测评是等级测评工作的基本活动
每个单元测评包括测评指标、测评实施和结 果判定三部分。
整体测评
整体测评是在单元测评的基础上,通过进一 步分析信息系统的整体安全性,对信息系统 实施的综合安全测评。
整体测评主要包括安全控制点间、层面间和 区域间相互作用的安全测评,以及系统结构 的安全测评等。
测评对象的确定是等保测评最基本的工作
现场测评活动:
与被测单位进行沟通和协调,依据测评方案 实施现场测评工作,将测评方案和测评工具 等具体落实到现场测评活动中,取得分析与 报告编制活动所需的、足够的证据和资料。 具体包括现场测评准备、现场测评和结果记 录、结果确认和资料归还。
分析与报告编制活动:
在现场测评工作结束后,测评机构应对现场测评 获得的测评结果(或称测评证据)进行汇总分析, 形成等级测评结论,并编制测评报告。
在进行系统测评时,根据具体系统的身份鉴别的内容,通过 “访谈”、“检查”、“测试”等手段测评该信息系统是否部 署了与系统等级相符的认证方法。
② 访问控制:
是指对用户的访问权进行管理,使得系统能 为合法用户提供授权服务,非法的用户不能 非授权使用资源或服务;同时,拒绝合法用 户越权使用服务或资源。
③ 安全审计:
安全审计是对系统内重要用户行为、系统资 源的异常和重要系统命令的使用等重要的安 全相关事件进行记录,以便于查看违规、破 坏等操作,防止系统被破坏。
④ 剩余信息保护:
剩余信息保护就是主机存储“敏感信息”的 空间被释放或再分配给其他用户前,原来存 储在该空间的重要信息需要得到完全清理。
根据管理办法和标准的要求,达到一定安全级别的信息系统 (如等级保护三级以上系统)必须强制定期进行信息系统安全 测评。
4.1.1 测评流程
GB/T 28449—2012《信息系统安全等级保护测评 过程指南》将等级测评过程分为四个基本测评活 动: 测评准备活动、 方案编制活动、 现场测评活动、 分析及报告编制活动。
4.1.2 测评方法
1.访谈
访谈是指测评人员通过引导信息系统相关人 员进行有目的(有针对性)的交流,以帮助
测评人员理解、澄清或取得证据的过程。
访谈对象
访谈的对象是被查信息系统的工作人员,典型的包括系 统三员,即
在管理层面上,主要是对终端、服务器等各类主机对 应的相关文档进行检查,对信息系统的相关管理制度、 文档、记录进行有无及规范性检查。一般包括:管理职 责、安全管理规章制度、安全知识、安全记录、安全报 告等相关安全文件。
3.测试
测试是指测评人员使用预定的方法或工具使测评 对象(各类设备或安全配置)产生特定的结果, 将运行结果与预期结果进行对比的过程。
测评准备活动:
测评准备活动是开展等级测评是掌握被测系统的详细情况, 为实施测评做好文档及测试工具等方面的准备。
具体包括项目启动、信息收集与分析、工具和表 单准备三个过程。
方案编制活动:
主要是整理测评准备活动中获取的信息系统 相关资料,为现场测评活动提供最基本的文 档和指导方案。 主要包括确定测评对象、确定测评指标、确 定测试工具接入点、确定测试内容、测评实 施手册开发、测评方案制定。
在确定测评对象时,需遵循以下要求和方法:
① 恰当性,选择的设备、软件系统等应能满足相应等级的测评 强度要求;
② 重要性,应抽查对被测系统来说重要的服务器、数据库和网 络设备等;
③ 安全性,应抽查对外暴露的网络边界;
④ 共享性,应抽查共享设备和数据交换平台/设备; ⑤ 代表性,抽查应尽量覆盖系统各种设备类型、操作系统类型、 数据库系统类型和应用系统类型。
4.2 测评对象及内容
我国的安全测评标准主要包括测评基础、产 品测评和系统测评三个子类。
本节以基于等级保护的信息系统为例,介绍 其安全测评对象及测评内容。
测评标准
GB/T28448—2012《信息系统安全等级保护 测评要求》
GB/T 28449—2012《信息系统安全等级保护 测评过程指南》
单元测评
4.2.1 技术层安全测评对象及内容
信息系统安全等级保护技术测评对象包括五大类:
物理安全、 主机安全、 网络安全、 应用安全 数据安全 备份恢复
1.物理安全
① 身份鉴别:
也称为身份认证,是对用户或其他实体(如进程等)进行确认, 判断其是否就是所声称的用户或实体的过程。
身份鉴别一般依据实体“所知”,“所有”或“特征”三个因 素来判断是否是所声称的实体。“所知”如口令、密码等; “所有”如U 盾,证书等;“特征”如虹膜、指纹等。
测试一般仅用于技术层面的测评对象,对管理不 要求采用测试这种方法。
功能性测试
安全功能性测试是对系统的安全功能进行验 证性测试,主要有:标识鉴别,审计,通信, 密码支持,用户数据保护,安全管理,安全 功能保护,资源利用,系统访问,可信路径/ 信道安全。
渗透测试
渗透测试主要针对系统的脆弱点,通过扫描工具 对系统网络层、操作系统层、数据库和应用系统 进行脆弱性扫描,必要时由测试人员手工对系统 进行穿透性测试。
第四章 信息系统安全测评方法
主要内容
4.1 测评流程及方法 4.2 测评对象及内容 4.3 测评工具与接入测试 4.4 信息系统安全测评风险分析与规避 4.5 常见问题及处置建议
测评分类
信息系统安全测评分为自测评(即自查)和检查测评两种:
自查:由本单位自行开展,也可委托第三方机构进行。
检查测评:需要由有信息系统安全测评资质和条件的测评机构 完成,检查后要出具测评报告。
系统管理员、 安全管理员、 系统审计员。
除此三员外,有的单位还设置了信息安全主管、网络管 理员、资产管理员等,这些人员也都是访谈对象。
2.检查
检查是指测评人员通过对测评对象(如制度 文档、各类设备等)进行观察、查验、分析,
以帮助测评人员理解、澄清或取得证据的过 程。
以主机安全检查为例:
在技术层面上,运用各种操作指令进行手工查看其访 问控制、身份鉴别、网络连接、防火墙、防病毒等安全 配置是否合理;
单元测评是等级测评工作的基本活动
每个单元测评包括测评指标、测评实施和结 果判定三部分。
整体测评
整体测评是在单元测评的基础上,通过进一 步分析信息系统的整体安全性,对信息系统 实施的综合安全测评。
整体测评主要包括安全控制点间、层面间和 区域间相互作用的安全测评,以及系统结构 的安全测评等。
测评对象的确定是等保测评最基本的工作
现场测评活动:
与被测单位进行沟通和协调,依据测评方案 实施现场测评工作,将测评方案和测评工具 等具体落实到现场测评活动中,取得分析与 报告编制活动所需的、足够的证据和资料。 具体包括现场测评准备、现场测评和结果记 录、结果确认和资料归还。
分析与报告编制活动:
在现场测评工作结束后,测评机构应对现场测评 获得的测评结果(或称测评证据)进行汇总分析, 形成等级测评结论,并编制测评报告。
在进行系统测评时,根据具体系统的身份鉴别的内容,通过 “访谈”、“检查”、“测试”等手段测评该信息系统是否部 署了与系统等级相符的认证方法。
② 访问控制:
是指对用户的访问权进行管理,使得系统能 为合法用户提供授权服务,非法的用户不能 非授权使用资源或服务;同时,拒绝合法用 户越权使用服务或资源。
③ 安全审计:
安全审计是对系统内重要用户行为、系统资 源的异常和重要系统命令的使用等重要的安 全相关事件进行记录,以便于查看违规、破 坏等操作,防止系统被破坏。
④ 剩余信息保护:
剩余信息保护就是主机存储“敏感信息”的 空间被释放或再分配给其他用户前,原来存 储在该空间的重要信息需要得到完全清理。
根据管理办法和标准的要求,达到一定安全级别的信息系统 (如等级保护三级以上系统)必须强制定期进行信息系统安全 测评。
4.1.1 测评流程
GB/T 28449—2012《信息系统安全等级保护测评 过程指南》将等级测评过程分为四个基本测评活 动: 测评准备活动、 方案编制活动、 现场测评活动、 分析及报告编制活动。