等级保护测评相关知识分享PPT课件.ppt

等级保护测评相关知识分享 为什么要进行测评 政策要求信息安全等级保护管理办法 公通字 2007 43号 第十四条 信息系统建设完成后 运营 使用单位或者其主管部门应当选择符合本办法规定条件的测评机构 依据 信息系统安全等级保护测评要求 等技术标准 定期对信息系统安全等级状况开展等级测评 中央财政资金电子政务建设项目建设单位向审批部门提出项目竣工验收申请时 要提供备案证明 测评报告风 险评估报告 发改高技 2008 2071号 内部需求确定当前安全保护能力水平找出差距 为后续工作提供依据 等级保护测评职责分工 国家信息安全等级保护协调小组办公室负责隶属国家信息安全职能部门和重点行业测评机构受理各省等保办负责本省测评机构的受理公安部信息安全等级保护评估中心负责测评机构的能力评估和培训 等级保护测评机构业务职能 国字头 职能部门测评机构可全国范围内开展业务 到地方时应事先告知属地等保办 行业测评机构 原则上开展本行业测评 到地方时 应与属地省级等保办协调地方测评机构原则上本地开展测评 也可到异地开展测评工作 但需事先与当地等保办协调 测评机构查询网址如下 等级保护测评机构的业务范围 可以开展的业务等级保护测评等级保护整改方案的设计不允许开展的业务生产安全产品承担安全项目的集成 实施 系统等级组合差异 业务信息安全类 S 系统服务保障类 A 通用安全保护类 G 测评时应明确具体级别组合 等级保护测评相关标准 信息系统安全等级保护基本要求信息系统安全等级保护测评要求信息系统安全等级保护测评过程指南 等级保护基本要求 等级保护基本要求的核心 基本要求的核心是安全保护能力 即需要达到的基本安全状态 安全保护能力可分为对抗能力和恢复能力 等级保护测评测评的重点就是信息系统的安全保护能力 安全保护能力要求 第一级安全保护能力 自主 经过安全建设整改 信息系统具有抵御一般性攻击的能力 防范常见计算机病毒和恶意代码危害的能力 系统遭到损害后 具有恢复系统主要功能的能力 第二级安全保护能力 指导 经过安全建设整改 信息系统具有抵御小规模 较弱强度恶意攻击的能力 抵抗一般的自然灾害的能力 防范一般性计算机病毒和恶意代码危害的能力 具有检测常见的攻击行为 并对安全事件进行记录的能力 系统遭到损害后 具有恢复系统正常运行状态的能力 安全保护能力要求 第三级安全保护能力 监督 经过安全建设整改 信息系统在统一的安全保护策略下具有抵御大规模 较强恶意攻击的能力 抵抗较为严重的自然灾害的能力 防范计算机病毒和恶意代码危害的能力 具有检测 发现 报警 记录入侵行为的能力 具有对安全事件进行响应处置 并能够追踪安全责任的能力 在系统遭到损害后 具有能够较快恢复正常运行状态的能力 对于服务保障性要求高的系统 应能快速恢复正常运行状态 具有对系统资源 用户 安全机制等进行集中控管的能力以上定义来自 信息安全等级保护安全建设整改工作指南 等级保护测评内容 单元测评测评指标 依照基本要求 测评实施 描述测评过程中使用的具体测评方法 涉及的测评对象 结果判定 分为符合 不符合 部分符合 不适用 整体测评单元测评的基础上 通过进一步分析信息系统的整体安全性 对信息系统实施的综合安全测评 等级保护测评方法 三种基本测评方法 访谈Interview检查Examine测试Test 等级保护测评方法 访谈 访谈的对象是人员 典型的访谈包括 访谈信息安全主管 信息系统安全管理员 系统管理员 网络管理员 人力资源管理员 设备管理员和用户等 通过引导信息系统相关人员进行有目的的 有针对性的 交流以帮助测评人员理解 分析或取得证据的过程 目的是为了了解信息系统的全局性 等级保护测评方法 检查 检查包括 评审 核查 审查 观察 研究和分析等方式 检查对象包括文档 机制 设备等 适用情况 对技术要求 检查 的内容应该是具体的 较为详细的机制配置和运行实现 对管理要求 检查 方法主要用于规范性要求 检查文档 访谈与检查内容的区别 以主机安全中身份鉴别要求为例a 应访谈系统管理员和数据库管理员 询问操作系统和数据库管理系统的身份标识与鉴别机制采取何种措施实现 b 应检查关键服务器操作系统和关键数据库管理系统 查看是否提供了身份鉴别措施 等级保护测评方法 测试 测试包括 功能 性能测试 渗透测试等 测评对象包括机制和设备等 测试一般需要借助特定工具 扫描检测工具网络协议分析仪攻击工具渗透工具适用情况 对技术要求 测试 的目的是验证信息系统当前的 具体的安全机制或运行的有效性或安全强度 对管理要求 一般不采用测试技术 整体测评分析 测评形成文档 测评指导书测评方案测评报告 测评指导书 测评对象准确步骤描述准确详细 预期结果明确 测评方案 测评方案 系统等级测评报告 1 项目概述 主要内容包括 介绍本次测评工作目的 开展测评依据的政策和标准 明确等级测评工作任务安排和时间要求 以及报告分发范围 2 被测信息系统 主要内容包括 以图表形式简要列出被测系统基本信息 描述被测评系统的业务应用情况 通过拓扑结构图介绍系统网络结构基本情况 按照常见的分类以表格形式列出系统的构成 描述被测信息系统的运行环境中与安全相关的部分 3 等级测评范围与方法 主要内容包括 一是测评指标 包括基本指标和特殊指标 依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级 选择 基本要求 中对应级别的安全要求作为等级测评的基本指标 结合行业和系统的实际 以列表形式给出特殊指标 二是测评对象 根据一定的规则和方法 以表格形式列出测评对象的选择结果 三是测评方法 列出现场测评 访谈 检查 测试 的方法 4 单元测评 包括测评指标涉及的物理安全 网络安全 主机安全等10个方面 每一个方面的描述由结果记录 问题分析和单元测评结果等三个部分构成 5 整体测评 参照 测评要求 从安全控制间 层面间 区域间和系统结构等方面对单元测评的结果进行验证 分析和整体评价 6 测评结果汇总 一是以表格形式汇总测评结果 二是以柱状图形式统计不同设备和安全子类的测评结果 三是以表格形式汇总信息系统中存在的安全问题 7 风险分析和评价 依据等级保护的相关规范和标准 采用风险分析的方法分析信