信息系统等级保护测评
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 必要性和紧迫性 . 2 来 自境 内外敌 对 势力 的入 侵 、攻 击 、破坏 越 来越 严 重 ,
状况 、排查 系统安 全隐患 和薄弱环 节 、明确信 息系统 安全 建 设整 改需求 ;二是 衡量信 息系统 的安全保 护管 理措施 和技 术 措施 是否符合 等级保 护基本 要求 ,是否具 备 了相应 的安全保 护能力 。等级 测评结 果也是 安全机 关等安 全监 管部 门进行监
等级保护 制度是 发达 国家保护 关键 信息 的基础设 施 ,在
借 鉴 国外 经验 的基 础上 ,结合我们 的国情 ,并根据 多年 来信 息安全 工作 经验 的总结 ,在我国需 要强制执行等级保护制度。
2 安 全等 级 测评
等级 测评 是信 息安 全 等级 保护 实施 中的一个 重 要 环节 。 等级测评是指具有相关 资质 的、独立 的第三方测评 服务机构 , 对信息 系统 的等级保 护落实情 况与信 息安全 等级保 护相 关标
()物 理环境 信息收集 ,包 括机房数 量 、每个机 房 中部 1 署的信息系统 、机房 物理位置 、办公环境等 。 () 系统 网络信 息收集 ,包 括网络 拓扑 图、网络 结构情 2
利完成 。
233现 场 测 评 ..
安全控 制测评 是使用 工作单元 方式 来组织测 评 的。工作 单元 分为安全 技术测评 和安全管理 测评 两大类 。安全技 术测 评包 括 :物理 安全 、网络 安全 、主机系 统安全 、应 用安 全和
数据安全等 5 个层 面上 的安全控制测评 ;安全管理测评包括 :
督 、检查 、指导 的参照 。
22 等级 测评 内容 . 作者简介 :胡伟 (9 6 ) 17 一 ,女 ,中级工程师 。
收 稿 日期 :2 1 - 8 1 0 10 — 0
针 对基础 信息 网络 和重 要信息 系统 的违法犯 罪持 续上 升 ,是 国家推行 等级保 护制度 的重要原 因 。国家基 础信 息 网络 和重
安全 管理 机构 、安全管理 制度 、人 员安全 管理 、系统建 设管 理和系统运维 管理等 5个方面 的安全控制测评。 23 等级测评工作流程 _ 等级测评 过程可以分为 4个 活动 :测评准 备 、方案编制 、 现场测评 以及分析 与报告 编制 ,如 图 1 所示 等级测 评基本 工
(hn o gYn ci nvr t J a 5 0 0 S a d n ig a U iesy,i n 2 0 0 ) i n
Ab t a t As t e fs e e o me to n e n t e h o o y n o ma in s s m a e a rt a a tfr d i o k n sr c : h a td v l p n fI tr e c n l g ,if r t y t T o e h s b c me a c i lp r o a l w r i g i c y
231 .. 系统 信 息收 集
和工具来 进行测试 ,通过查 看和分析 输 出的结果 ,获取证 据 以证 明信 息系统安全 等级保 护措施是 否完善 和有效 ,其 主要 方法有 功能测试 、渗透测试和系统漏洞扫描等。
本 阶段是开展 现场测 评工作 的前提 和基 础 ,是 整个等级
测 评过程 有效 性 的保证 。其信 息 的收集 包括 物理 环境 信息 、 网络信息 、主机信息 、应用信息和管理信息 等。
/  ̄ : 2 1 2 , 0 1 0
ຫໍສະໝຸດ Baidu
与
CM UIG EU I C N US O PT C R Y EH I E NS TT Q
等级 测评 的基 本 内容 是对信 息系统 安全等 级保 护状况进
行 测 试 评 估 ,主 要 包 括 两 个 方 面 :一 是 安 全 控 制 测 评 , 主要
a d p o u t i f o e n n , r a ia in a d e t r rs . d t e s c r y a a lb l y a d c n i u t fs se h v lo n r d ci t o v r me t o g n z t n n ep ie An h e u i , v i i t n o t i o y tm a e as vy g o t a i n y
很 薄弱 ,监 管缺乏 标准规 范 ,许多 部 门安全管 理制 度和技 术 防范措施不 落实 等。
1 等 级 保 护 制 度 . 3
息 安全 问题 :敌对 势力 的入侵 、攻击 、破坏 ;针对 基础 信息
网络和重 要信 息系统 的违法犯 罪的持 续上升 ;基础 信息 网络 和重要 信息系统存在 的安全 隐患等。为此 ,国家于 1 9 9 4年颁 布了 《 中华人 民共 和 国计 算机信 息 系统安全 保护条 例》 ( 国 务 院令第 17号) 4 ,明确 的将 等级保护制度 提升 为国家信息安 全 保 障工 作 的基 本制度 、基本 国策 。并后续 颁布 了一 系列 的 辅 助政策标 准 『1 1 ,再次 提升 了开展等 级保护 的重要性 ,推动 - 4 了等级保护测评 [1 5 工作 的发展 。 - 6
细 、准 确 、规范记 录测评数 据 ,并保 留电子 证书 ,为后期 的
结果分析和报告编制准备充足 、详实的资料证据。
23 分 析 与 报 告 编 制 .. 4
分 析和报告 编制是 等级测评 工作 的最后 环节 ,是 对被 测 方系统整 体安全保 护能力 的综合评价 过程 ,其过程 是根据 现
Ke r s I f r t n s se ; e e n t n l e t g ; e u t y wo d : n o ma i y t m L v l u c i a si o f o t n S c ry i
随着互联 网技术 的快速 发展 ,信息 技术 已在我 国的各 个
要 信息系统 安全 隐患严重 ,由于各基 础信 息 网络和重 要信 息
系 统的核心设 备 、技 术和 高端服务 主要依 赖 国外 进 口,短 时
领域 里得 到了广泛 的应用 ,基础信 息 网络和 重要信 息系 统 已 成 为 国家 和社会 的关键基 础设施 。 由此 也 引发 了一 系列 的信
期 无法实 现 自主可 控 。另 外我 国的信息 安全保 障工作 基础 还
级 、备案 、安全建设整 改、等级测评 [ 3 1 、监督检查 。其 中定级
和备 案是信 息安全 等级保 护的首要 环节 。安全 建设 整改 是信 息安 全等 级保护 工作落实 的关键 。等级 测评 工作 的主体 是第 三方 测评机 构 ,监 督检查 工作 的主体是 信息安 全职 能管 理部 门,通过定期 的监 督 、检查 和指导 ,保 障重要 信息 安全保 护 能力不断提高 。
息安全 等级 保 护管 理办 法》 的 规定 ,信 息 系统 按 照 《 信息 系统安全 等级保 护基本要 求》 等技 术标 准建设 完成后 ,
由相 应的符 合条件 的测评机 构 ,定 期对信 息系统 安全 等级 状 况 开展等级 测评 。通过测评 ,一是 可 以掌握信 息系 统的安 全
信 息安 全等级保 护工作 主要 分为 5 个环节 :信 息系统 定
段 ,是检验 系统整体 的安全部署是 否完善 的有 效方法。
关键词 : 信 息 系统 ;等级测评 ; 全 安
I f r a i n S se n o e to a u to n o m to y t m Ra k Pr t c i n Ev l a i n
HU e W i
作 流程 [ 4 1 。
现场 测评 阶段是 开展 等级测 评工作 的关键 阶段 ,其活动
全部 在被测 系统现场完 成 ,在被 测评系统 运营使 用单位 的人
员参 与下 ,测评人 员按 照测评方案 的总体要 求 ,严格执行 作
业指 导书 ,分 布实施所 有测评项 目,通过查 看 、获取 以及详
场 测评结果 和 4 准则》 的有关要求 ,通 过单项测 评结论 评 判 定和 系统 整体测评 分析等方法 ,分 析整个 系统 的安全保 护 现状 与相应等级 的保护要求之间的差距 ,最终编制测评报告 。
24 测 评 方 法 .
在 等级测评 过程 中主要 采用 访谈 、检查 、测 试等 方法进
测评 信息安 全等级保 护要求 的基 本安全 控制在 信息 系统 中的 实施 配置情况 ;二是 系统整体测评 ,主要测评 分析信 息系统
的整体安全性 。其 中 ,安全控 制测评是 信息 系统整体 安全测
评 的基 础 。
位 进行充分 的交流 ,让被测 系统运 营使 用单位 理解并 支持现 场 测评工作 ,并依据 测评方案做 好充分 的准备 。 因此 ,可 以 说 测评方案 的好坏在很 大程 度上决定着一 次测评 工作 能否顺
行工作 的开展。
()访 谈 ,是测 评人员 通过与 信息 系统相关 人员进 行交 1 流和讨论的活动 ,以此来 获取被测 系统 的部分信息。
()检查 ,是测 评人员 通过对测 评对 象进行 观测 、分 析 2
等活动 ,获取更 有力 的证 据 以证 明信息 系统安全 等级保 护措
施是否完善 和生 效。 ()测试 ,是测评 人员通 过对测 评对象 按照 预定 的方 法 3 图 1等级测评基本流程
电脑 编 程 技 巧 与 维 护
信息 系统等级保 护测评
胡 伟
( 山东英才学院 ,济南 2 0 0 ) 5 0 0
摘 要 : 随着互联 网技术的快速发展 ,信息 系统对政府、机构 、企业的 日常工作和生产起到越来越重要 的作 用,信
息系统 的安全性 、可用性和连 续性越 来越 受到重视 。开展信 息 系统的等级保护测评 工作是 评测 系统安全性 的必要 手
b e a e o sd r t n De e o me to n o ma in s se g a i g p o e to s e s n o k i a n c s a y me n fe e n t k n c n i e a i . v lp n fi f r t y t m r d n r tc in a s s me tw r s e e s r a s o — o o v l a i g s se o a ey i s e t n s se i h v r l s c r y d p o me ti c mp ee a d ef c ie me h d a u t y tm fs f t n p c i y t m, st e o e al e u i e ly n s o l t n f t t o . n o t e v
一 ~
计算~ ; ; ;。:■ :。 。机安全技术 。 —. 5 . . 一
测 评方案是 测评人 员进行 内部工作交 流 、明确工作 任务 的指 南 ;另一方 面 ,测评 方案给 出具体 的现场测评 工作 思路 、方 式 、方法 和具体测评 对象及 内容 ,为 现场测 评的顺 利完成 打 下 基础 。此外 ,通过 测评方案 ,可 以和被测 系统运 营使用单
准要求之间的符合程度 的测试判定。 21 等级 测评 的 目的 .
1 信 息 安全 等级 保护
1 保护 内容 . 1
信息 安全等级 保护 将全 国 的信 息系 统按照 重要性 和遭 到
破坏后 的危 害性 分为 5 个安全保 护等级 1 2 1 ,第一级 :自主保 护
级 ;第二 级 :指 导保 护级 ;第 三级 :监 督保 护级 ;第 四级 : 强制保护级 ;第五级 :专控保护级 。
状况 、排查 系统安 全隐患 和薄弱环 节 、明确信 息系统 安全 建 设整 改需求 ;二是 衡量信 息系统 的安全保 护管 理措施 和技 术 措施 是否符合 等级保 护基本 要求 ,是否具 备 了相应 的安全保 护能力 。等级 测评结 果也是 安全机 关等安 全监 管部 门进行监
等级保护 制度是 发达 国家保护 关键 信息 的基础设 施 ,在
借 鉴 国外 经验 的基 础上 ,结合我们 的国情 ,并根据 多年 来信 息安全 工作 经验 的总结 ,在我国需 要强制执行等级保护制度。
2 安 全等 级 测评
等级 测评 是信 息安 全 等级 保护 实施 中的一个 重 要 环节 。 等级测评是指具有相关 资质 的、独立 的第三方测评 服务机构 , 对信息 系统 的等级保 护落实情 况与信 息安全 等级保 护相 关标
()物 理环境 信息收集 ,包 括机房数 量 、每个机 房 中部 1 署的信息系统 、机房 物理位置 、办公环境等 。 () 系统 网络信 息收集 ,包 括网络 拓扑 图、网络 结构情 2
利完成 。
233现 场 测 评 ..
安全控 制测评 是使用 工作单元 方式 来组织测 评 的。工作 单元 分为安全 技术测评 和安全管理 测评 两大类 。安全技 术测 评包 括 :物理 安全 、网络 安全 、主机系 统安全 、应 用安 全和
数据安全等 5 个层 面上 的安全控制测评 ;安全管理测评包括 :
督 、检查 、指导 的参照 。
22 等级 测评 内容 . 作者简介 :胡伟 (9 6 ) 17 一 ,女 ,中级工程师 。
收 稿 日期 :2 1 - 8 1 0 10 — 0
针 对基础 信息 网络 和重 要信息 系统 的违法犯 罪持 续上 升 ,是 国家推行 等级保 护制度 的重要原 因 。国家基 础信 息 网络 和重
安全 管理 机构 、安全管理 制度 、人 员安全 管理 、系统建 设管 理和系统运维 管理等 5个方面 的安全控制测评。 23 等级测评工作流程 _ 等级测评 过程可以分为 4个 活动 :测评准 备 、方案编制 、 现场测评 以及分析 与报告 编制 ,如 图 1 所示 等级测 评基本 工
(hn o gYn ci nvr t J a 5 0 0 S a d n ig a U iesy,i n 2 0 0 ) i n
Ab t a t As t e fs e e o me to n e n t e h o o y n o ma in s s m a e a rt a a tfr d i o k n sr c : h a td v l p n fI tr e c n l g ,if r t y t T o e h s b c me a c i lp r o a l w r i g i c y
231 .. 系统 信 息收 集
和工具来 进行测试 ,通过查 看和分析 输 出的结果 ,获取证 据 以证 明信 息系统安全 等级保 护措施是 否完善 和有效 ,其 主要 方法有 功能测试 、渗透测试和系统漏洞扫描等。
本 阶段是开展 现场测 评工作 的前提 和基 础 ,是 整个等级
测 评过程 有效 性 的保证 。其信 息 的收集 包括 物理 环境 信息 、 网络信息 、主机信息 、应用信息和管理信息 等。
/  ̄ : 2 1 2 , 0 1 0
ຫໍສະໝຸດ Baidu
与
CM UIG EU I C N US O PT C R Y EH I E NS TT Q
等级 测评 的基 本 内容 是对信 息系统 安全等 级保 护状况进
行 测 试 评 估 ,主 要 包 括 两 个 方 面 :一 是 安 全 控 制 测 评 , 主要
a d p o u t i f o e n n , r a ia in a d e t r rs . d t e s c r y a a lb l y a d c n i u t fs se h v lo n r d ci t o v r me t o g n z t n n ep ie An h e u i , v i i t n o t i o y tm a e as vy g o t a i n y
很 薄弱 ,监 管缺乏 标准规 范 ,许多 部 门安全管 理制 度和技 术 防范措施不 落实 等。
1 等 级 保 护 制 度 . 3
息 安全 问题 :敌对 势力 的入侵 、攻击 、破坏 ;针对 基础 信息
网络和重 要信 息系统 的违法犯 罪的持 续上升 ;基础 信息 网络 和重要 信息系统存在 的安全 隐患等。为此 ,国家于 1 9 9 4年颁 布了 《 中华人 民共 和 国计 算机信 息 系统安全 保护条 例》 ( 国 务 院令第 17号) 4 ,明确 的将 等级保护制度 提升 为国家信息安 全 保 障工 作 的基 本制度 、基本 国策 。并后续 颁布 了一 系列 的 辅 助政策标 准 『1 1 ,再次 提升 了开展等 级保护 的重要性 ,推动 - 4 了等级保护测评 [1 5 工作 的发展 。 - 6
细 、准 确 、规范记 录测评数 据 ,并保 留电子 证书 ,为后期 的
结果分析和报告编制准备充足 、详实的资料证据。
23 分 析 与 报 告 编 制 .. 4
分 析和报告 编制是 等级测评 工作 的最后 环节 ,是 对被 测 方系统整 体安全保 护能力 的综合评价 过程 ,其过程 是根据 现
Ke r s I f r t n s se ; e e n t n l e t g ; e u t y wo d : n o ma i y t m L v l u c i a si o f o t n S c ry i
随着互联 网技术 的快速 发展 ,信息 技术 已在我 国的各 个
要 信息系统 安全 隐患严重 ,由于各基 础信 息 网络和重 要信 息
系 统的核心设 备 、技 术和 高端服务 主要依 赖 国外 进 口,短 时
领域 里得 到了广泛 的应用 ,基础信 息 网络和 重要信 息系 统 已 成 为 国家 和社会 的关键基 础设施 。 由此 也 引发 了一 系列 的信
期 无法实 现 自主可 控 。另 外我 国的信息 安全保 障工作 基础 还
级 、备案 、安全建设整 改、等级测评 [ 3 1 、监督检查 。其 中定级
和备 案是信 息安全 等级保 护的首要 环节 。安全 建设 整改 是信 息安 全等 级保护 工作落实 的关键 。等级 测评 工作 的主体 是第 三方 测评机 构 ,监 督检查 工作 的主体是 信息安 全职 能管 理部 门,通过定期 的监 督 、检查 和指导 ,保 障重要 信息 安全保 护 能力不断提高 。
息安全 等级 保 护管 理办 法》 的 规定 ,信 息 系统 按 照 《 信息 系统安全 等级保 护基本要 求》 等技 术标 准建设 完成后 ,
由相 应的符 合条件 的测评机 构 ,定 期对信 息系统 安全 等级 状 况 开展等级 测评 。通过测评 ,一是 可 以掌握信 息系 统的安 全
信 息安 全等级保 护工作 主要 分为 5 个环节 :信 息系统 定
段 ,是检验 系统整体 的安全部署是 否完善 的有 效方法。
关键词 : 信 息 系统 ;等级测评 ; 全 安
I f r a i n S se n o e to a u to n o m to y t m Ra k Pr t c i n Ev l a i n
HU e W i
作 流程 [ 4 1 。
现场 测评 阶段是 开展 等级测 评工作 的关键 阶段 ,其活动
全部 在被测 系统现场完 成 ,在被 测评系统 运营使 用单位 的人
员参 与下 ,测评人 员按 照测评方案 的总体要 求 ,严格执行 作
业指 导书 ,分 布实施所 有测评项 目,通过查 看 、获取 以及详
场 测评结果 和 4 准则》 的有关要求 ,通 过单项测 评结论 评 判 定和 系统 整体测评 分析等方法 ,分 析整个 系统 的安全保 护 现状 与相应等级 的保护要求之间的差距 ,最终编制测评报告 。
24 测 评 方 法 .
在 等级测评 过程 中主要 采用 访谈 、检查 、测 试等 方法进
测评 信息安 全等级保 护要求 的基 本安全 控制在 信息 系统 中的 实施 配置情况 ;二是 系统整体测评 ,主要测评 分析信 息系统
的整体安全性 。其 中 ,安全控 制测评是 信息 系统整体 安全测
评 的基 础 。
位 进行充分 的交流 ,让被测 系统运 营使 用单位 理解并 支持现 场 测评工作 ,并依据 测评方案做 好充分 的准备 。 因此 ,可 以 说 测评方案 的好坏在很 大程 度上决定着一 次测评 工作 能否顺
行工作 的开展。
()访 谈 ,是测 评人员 通过与 信息 系统相关 人员进 行交 1 流和讨论的活动 ,以此来 获取被测 系统 的部分信息。
()检查 ,是测 评人员 通过对测 评对 象进行 观测 、分 析 2
等活动 ,获取更 有力 的证 据 以证 明信息 系统安全 等级保 护措
施是否完善 和生 效。 ()测试 ,是测评 人员通 过对测 评对象 按照 预定 的方 法 3 图 1等级测评基本流程
电脑 编 程 技 巧 与 维 护
信息 系统等级保 护测评
胡 伟
( 山东英才学院 ,济南 2 0 0 ) 5 0 0
摘 要 : 随着互联 网技术的快速发展 ,信息 系统对政府、机构 、企业的 日常工作和生产起到越来越重要 的作 用,信
息系统 的安全性 、可用性和连 续性越 来越 受到重视 。开展信 息 系统的等级保护测评 工作是 评测 系统安全性 的必要 手
b e a e o sd r t n De e o me to n o ma in s se g a i g p o e to s e s n o k i a n c s a y me n fe e n t k n c n i e a i . v lp n fi f r t y t m r d n r tc in a s s me tw r s e e s r a s o — o o v l a i g s se o a ey i s e t n s se i h v r l s c r y d p o me ti c mp ee a d ef c ie me h d a u t y tm fs f t n p c i y t m, st e o e al e u i e ly n s o l t n f t t o . n o t e v
一 ~
计算~ ; ; ;。:■ :。 。机安全技术 。 —. 5 . . 一
测 评方案是 测评人 员进行 内部工作交 流 、明确工作 任务 的指 南 ;另一方 面 ,测评 方案给 出具体 的现场测评 工作 思路 、方 式 、方法 和具体测评 对象及 内容 ,为 现场测 评的顺 利完成 打 下 基础 。此外 ,通过 测评方案 ,可 以和被测 系统运 营使用单
准要求之间的符合程度 的测试判定。 21 等级 测评 的 目的 .
1 信 息 安全 等级 保护
1 保护 内容 . 1
信息 安全等级 保护 将全 国 的信 息系 统按照 重要性 和遭 到
破坏后 的危 害性 分为 5 个安全保 护等级 1 2 1 ,第一级 :自主保 护
级 ;第二 级 :指 导保 护级 ;第 三级 :监 督保 护级 ;第 四级 : 强制保护级 ;第五级 :专控保护级 。