等级保护测评相关知识分享.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护测评相关知识分享
为什么要进行测评?
• 政策要求
– 信息安全等级保护管理办法(公通字[2007]43号)第十四条:信息 系统建设完成后,运营、使用单位或者其主管部门应当选择符合 本办法规定条件的测评机构,依据《信息系统安全等级保护测评 要求》等技术标准,定期对信息系统安全等级状况开展等级测评 。
以上定义来自《信息安全等级保护安全建设整改工作指南》
等级保护测评内容
• 单元测评
– 测评指标(依照基本要求) – 测评实施(描述测评过程中使用的具体测评方法、涉
及的测评对象) – 结果判定(分为符合、不符合、部分符合、不适用)
• 整体测评
– 单元测评的基础上,通过进一步分析信息系统的整体 安全性,对信息系统实施的综合安全测评
– 经过安全建设整改,信息系统在统一的安全保护策略下具有抵御 大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力, 防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、 记录入侵行为的能力;具有对安全事件进行响应处置,并能够追 踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常 运行状态的能力;对于服务保障性要求高的系统,应能快速恢复 正常运行状态;具有对系统资源、用户、安全机制等进行集中控 管的能力
等级保护测评方法----检查
• 检查包括:评审、核查、审查、观察、研究和分析等方式。
• 检查对象包括文档、机制、设备等。
• 适用情况:
– 对技术要求,‘检查’的内容应该是具体的、较为详
细的机制配置和运行实现 。 – 对管理要求,‘检查’方法主要用于规范性要求(检
查文档)。
访谈与检查内容的区别
以主机安全中身份鉴别要求为例
• 各省等保办负责本省测评机构的受理 • 公安部信息安全等级保护评估中心负责测评机构
的能力评估和培训
等级保护测评机构业务职能
• 国字头、职能部门测评机构可全国范围内开展业 务,到地方时应事先告知属地等保办。
• 行业测评机构,原则上开展本行业测评,到地方 时,应与属地省级等保办协调
• 地方测评机构原则上本地开展测评,也可到异地 开展测评工作,但需事先与当地等保办协调
安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 / /
一级 9 9 6 7 2 3 4 7 20 18 85 /
二级 19 18 19 19 4 7 9 11 28 41 175 90
三级 32 33 32 31 8 11 20 16 45 62 290 115
四级 33 32 36 36 11 14 20 18 48 70 318 28
等级保护基本要求的核心
• 基本要求的核心是安全保护能力。即需要 达到的基本安全状态。安全保护能力可分 为对抗能力和恢复能力。
• 等级保护测评测评的重点就是信息系统的 安全保护能力
安全保护能力要求
• 第一级安全保护能力(自主)
– 经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范 常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有 恢复系统主要功能的能力。
• 第二级安全保护能力(指导)
– 经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻 击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒 和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事 件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状 态的能力。
安全保护能力要求
• 第三级安全保护能力(监督)
– 扫描检测工具 – 网络协议分析仪 – 攻击工具 – 渗透工具 •Biblioteka Baidu适用情况:
– 对技术要求,‘测试’的目的是验证信息系统当前的、
a) 应访谈系统管理员和数据库管理员,询问操作系统和数据库 管理系统的身份标识与鉴别机制采取何种措施实现; b) 应检查关键服务器操作系统和关键数据库管理系统,查看 是否提供了身份鉴别措施。
等级保护测评方法----测试
• 测试包括:功能/性能测试、渗透测试等。 • 测评对象包括机制和设备等。 • 测试一般需要借助特定工具。
• 不允许开展的业务
– 生产安全产品 – 承担安全项目的集成、实施
系统等级组合差异
测评时应明确具体级别组合
安全等级 第一级 第二级 第三级
第四级
信息系统保护要求的组合 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4
– 中央财政资金电子政务建设项目建设单位向审批部门提出项目竣 工验收申请时,要提供备案证明、测评报告风、险评估报告。(发改
高技[2008]:2071号)
• 内部需求
– 确定当前安全保护能力水平 – 找出差距,为后续工作提供依据
等级保护测评职责分工
• 国家信息安全等级保护协调小组办公室负责隶属 国家信息安全职能部门和重点行业测评机构受理
✓业务信息安全类(S) ✓系统服务保障类(A) ✓通用安全保护类(G)
等级保护测评相关标准
• 信息系统安全等级保护基本要求 • 信息系统安全等级保护测评要求 • 信息系统安全等级保护测评过程指南
等级保护基本要求
安全要求类 技术要求
管理要求 合计 级差
层面 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复
测评机构查询网址如下: http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=nlbdLv3&id=402885cb35 d11a540135d168e41e000c
等级保护测评机构的业务范围
• 可以开展的业务
– 等级保护测评 – 等级保护整改方案的设计
等级保护测评方法
• 三种基本测评方法: – 访谈Interview – 检查Examine – 测试Test
等级保护测评方法----访谈
• 访谈的对象是人员。
• 典型的访谈包括:访谈信息安全主管、信息系统安全管理员、 系统管理员、网络管理员、人力资源管理员、设备管理员和 用户等。
• 通过引导信息系统相关人员进行有目的的(有针对性的)交 流以帮助测评人员理解、分析或取得证据的过程。目的是为 了了解信息系统的全局性
为什么要进行测评?
• 政策要求
– 信息安全等级保护管理办法(公通字[2007]43号)第十四条:信息 系统建设完成后,运营、使用单位或者其主管部门应当选择符合 本办法规定条件的测评机构,依据《信息系统安全等级保护测评 要求》等技术标准,定期对信息系统安全等级状况开展等级测评 。
以上定义来自《信息安全等级保护安全建设整改工作指南》
等级保护测评内容
• 单元测评
– 测评指标(依照基本要求) – 测评实施(描述测评过程中使用的具体测评方法、涉
及的测评对象) – 结果判定(分为符合、不符合、部分符合、不适用)
• 整体测评
– 单元测评的基础上,通过进一步分析信息系统的整体 安全性,对信息系统实施的综合安全测评
– 经过安全建设整改,信息系统在统一的安全保护策略下具有抵御 大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力, 防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、 记录入侵行为的能力;具有对安全事件进行响应处置,并能够追 踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常 运行状态的能力;对于服务保障性要求高的系统,应能快速恢复 正常运行状态;具有对系统资源、用户、安全机制等进行集中控 管的能力
等级保护测评方法----检查
• 检查包括:评审、核查、审查、观察、研究和分析等方式。
• 检查对象包括文档、机制、设备等。
• 适用情况:
– 对技术要求,‘检查’的内容应该是具体的、较为详
细的机制配置和运行实现 。 – 对管理要求,‘检查’方法主要用于规范性要求(检
查文档)。
访谈与检查内容的区别
以主机安全中身份鉴别要求为例
• 各省等保办负责本省测评机构的受理 • 公安部信息安全等级保护评估中心负责测评机构
的能力评估和培训
等级保护测评机构业务职能
• 国字头、职能部门测评机构可全国范围内开展业 务,到地方时应事先告知属地等保办。
• 行业测评机构,原则上开展本行业测评,到地方 时,应与属地省级等保办协调
• 地方测评机构原则上本地开展测评,也可到异地 开展测评工作,但需事先与当地等保办协调
安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 / /
一级 9 9 6 7 2 3 4 7 20 18 85 /
二级 19 18 19 19 4 7 9 11 28 41 175 90
三级 32 33 32 31 8 11 20 16 45 62 290 115
四级 33 32 36 36 11 14 20 18 48 70 318 28
等级保护基本要求的核心
• 基本要求的核心是安全保护能力。即需要 达到的基本安全状态。安全保护能力可分 为对抗能力和恢复能力。
• 等级保护测评测评的重点就是信息系统的 安全保护能力
安全保护能力要求
• 第一级安全保护能力(自主)
– 经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范 常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有 恢复系统主要功能的能力。
• 第二级安全保护能力(指导)
– 经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻 击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒 和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事 件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状 态的能力。
安全保护能力要求
• 第三级安全保护能力(监督)
– 扫描检测工具 – 网络协议分析仪 – 攻击工具 – 渗透工具 •Biblioteka Baidu适用情况:
– 对技术要求,‘测试’的目的是验证信息系统当前的、
a) 应访谈系统管理员和数据库管理员,询问操作系统和数据库 管理系统的身份标识与鉴别机制采取何种措施实现; b) 应检查关键服务器操作系统和关键数据库管理系统,查看 是否提供了身份鉴别措施。
等级保护测评方法----测试
• 测试包括:功能/性能测试、渗透测试等。 • 测评对象包括机制和设备等。 • 测试一般需要借助特定工具。
• 不允许开展的业务
– 生产安全产品 – 承担安全项目的集成、实施
系统等级组合差异
测评时应明确具体级别组合
安全等级 第一级 第二级 第三级
第四级
信息系统保护要求的组合 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4
– 中央财政资金电子政务建设项目建设单位向审批部门提出项目竣 工验收申请时,要提供备案证明、测评报告风、险评估报告。(发改
高技[2008]:2071号)
• 内部需求
– 确定当前安全保护能力水平 – 找出差距,为后续工作提供依据
等级保护测评职责分工
• 国家信息安全等级保护协调小组办公室负责隶属 国家信息安全职能部门和重点行业测评机构受理
✓业务信息安全类(S) ✓系统服务保障类(A) ✓通用安全保护类(G)
等级保护测评相关标准
• 信息系统安全等级保护基本要求 • 信息系统安全等级保护测评要求 • 信息系统安全等级保护测评过程指南
等级保护基本要求
安全要求类 技术要求
管理要求 合计 级差
层面 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复
测评机构查询网址如下: http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=nlbdLv3&id=402885cb35 d11a540135d168e41e000c
等级保护测评机构的业务范围
• 可以开展的业务
– 等级保护测评 – 等级保护整改方案的设计
等级保护测评方法
• 三种基本测评方法: – 访谈Interview – 检查Examine – 测试Test
等级保护测评方法----访谈
• 访谈的对象是人员。
• 典型的访谈包括:访谈信息安全主管、信息系统安全管理员、 系统管理员、网络管理员、人力资源管理员、设备管理员和 用户等。
• 通过引导信息系统相关人员进行有目的的(有针对性的)交 流以帮助测评人员理解、分析或取得证据的过程。目的是为 了了解信息系统的全局性