您的位置:360文档中心› 信息系统安全等级保护检查

信息系统安全等级保护检查

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第14章信息系统安全等级保护检查

信息系统的检查工作时信息系统等级保护工作的重要组成部分之一。系统的检查涉及系统管理和技术的方方面面,是对信息系统安全保障措施能否切实保障系统安全的检查和确认。本章中将详细叙述检查重要性、分类和实施方式。

14.1.1 概述

信息系统检查是保障信息系统安全性的重要任务之一,通过对建立的信息系统进行安全性检查,能够发现系统的不足,并及时补救和改进。所以,各国为了解决信息系统的安全性问题,对系统的检查都提出了相应的要求,并且建立了相关的法律、法规、标准和规范等来保障安全检查的正常运行。

14.1.2 检查的工作形势

检查的工作形式,可以分为自检查、监督检查和委托检查。

(1)自检查:指信息系统所有者或运营、使用单位发起的对本单位信息系统的安全状态进行的检查。若系统所有者的自检查有周期性,则不必每次都执行完整的

检查流程,而只是自检查系统变化的部分和重要部位。

(2)监督检查:指信息系统的上级管理部门组织的,或由国家相关部门依法开展的检查。监督检查一般需要执行完整的检查流程,但特殊情况下,也可在自检查

的基础上,只执行关键部门的检查。

(3)委托检查:受检单位或监督检查的组织部门不具备检查能力的,可委托经相关主管部门认可的机构来检查。

14.1.3 检查的分类

信息系统的安全性检查按照起因和组织形式可分为常规检查、专项检查、事件检查、安全检查和自查五类;按照内容划分可分为管理类检查和技术类检查两类。本章将从内容划分进行描述。

(1)管理类检查:针对信息系统的管理过程施行的检查称为管理类检查,主要分为组织安全检查、人员安全检查、系统建设检查和系统运维检查等几个部分。

(2)技术类检查:针对支持和保障信息系统安全运行使用的技术和操作施行的检查称为技术类检查,主要包括物理安全检查、网络安全检查、主机安全检查和应用安全检查等几个部分。

14.2 检查的目标和内容

14.2.1 检查目标

信息系统的检查,无论是自检还是监督检查,实质上都是一种持续性的风险评估和风险规避过程。美国《联邦信息安全管理法案》中明确要求了联邦各机构需要对每一个系统实施“定期的有效性测试与评估”,考察信息安全的策略、流程和措施“。维持这样一个风险评估和风险规避过程,能够有效地将系统的安全风险控制在可接受的范围之内,这也就是信息系统安全性检查和目标。

为了更清楚地说明检查的目标,这里给出信息系统安全等级保护检查目标的定义;通过对信息系统安全性检查,将信息系统的安全风险控制在可接受的范围,并且保障系统在相应的系统保护等级上达到相应的等级保护标准和规范。

14.2.2 检查内容

通过细化信息系统安全性检查目标,可以很容易地得到系统检查相应的检查内容,如表14-1所示。

表14-1 系统检查内容

14.3 检查的实施

14.3.1 管理类检查

1.组织安全检查

检查对象:信息安全组织机构相关文档和管理制度。

检查条目和结果判定可参照组织安全管理检查表,如表14-2所示。

表14-2 组织机构安全管理检查

2.人员安全检查

检查对象:人员管理的制度和记录。

检查条目和结果判定可参照人员安全管理检查表,如表14-3所示。

表14-3 人员安全管理检查表

3.系统建设检查

检查对象:系统顶级管理中的制度、记录文档和相关的合同及文档等。

检查条目和结果判定参照系统建设管理检查表,如表14-4所示。

表14-4 系统建设管理检查表

4.系统运维检查

14.3.2 技术类检查

1.物理安全检查

检查对象:机房环境安全、设备安全、系统安全保障措施实施情况和检测验收报告。

检查条目:

1)物理环境安全

(1)检查机房安全环境,包括机房布线、防静电和防盗防毁措施的实施情况;

(2)检查机房防水、防火和温湿度调节等保障措施和设备是否完全符合标准,以及其运行维护情况;

(3)检查机房管理制度和相关的记录文件;

(4)检查机房的门禁机监控系统运行情况和相关记录文件;

(5)检查屏幕和办公桌面。

2)设备物理安全

(1)检查物理设备的防电磁干扰和泄露措施;

(2)检查物理设备的维护情况和相关记录文档。

3)介质物理安全

(1)检查物理介质存放、管理措施和相关文档记录文件;

(2)检查物理介质信息消除措施的实施情况和相关记录;

(3)检查介质信息加密措施实施情况。

检查条目和结果判定可参照物理安全检查表,如表14-6所示。

2.网络安全措施

检查对象:网络拓扑、安全策略、设备和网络安全的各类保障措施。如访问控制等的实施情况以及相关的记录和审计文件等。

检查条目:

1)结构安全

(1)网络拓扑结构图与当前网络系统结构的符合性;

(2)网络结构设计和区域划分的合理性;

(3)重要区域和网段、业务、职能部门的隔离性;

(4)重要业务系统的带宽优先级;

(5)路由控制;

(6)网络冗余性配置。

2)访问控制

(1)检查身份认证系统运行情况和相关记录文件;

(2)检查访问控制措施实施情况以及相关的监控和记录文件。

3)安全审计

(1)检查审计数据保护措施实施情况;

(2)检查审计数据的审查记录文件;

(3)检查审计工具使用情况。

4)边界检测

带宽控制、非授权连接行为检查和阻断。

5)入侵防范

(1)检查入侵检测技术实施情况以及相关监控和记录文件;(2)检查攻击情况和相关额攻击记录。

6)恶意代码防护

(1)恶意代码检测、清除措施实施情况和记录;

(2)恶意代码库升级情况。

7)网络设备防护

(1)用户身份鉴别;

(2)网络管理员登录地址限制;

(3)网络设备用户标识唯一性;

(4)登录失败处理功能;

(5)权限分离;

检查条目和结果判定参见网络安全检查表,如表14-7所示。

表14-7 网络安全检查表

相关文档
最新文档