信息安全等级保护测评指南PPT课件.ppt

信息安全等级保护测评 1 目录 国家对等级保护测评的要求等级保护测评注意事项等级保护测评要求 部分解读 等级保护测评过程等级保护测评中常见问题 2 国家对等级保护测评的要求 管理办法 等级保护的实施与管理 第十四条信息系统建设完成后 运营 使用单位或者其主管部门应当选择符合本办法规定条件的测评单位 依据 信息系统安全等级保护测评要求 等技术标准 定期对信息系统安全等级状况开展等级测评 第三级信息系统应当每年至少进行一次等级测评 第四级信息系统应当每半年至少进行一次等级测评 第五级信息系统应当依据特殊安全需求进行等级测评 3 广东省安全保护条例对测评要求 第十二条第二级以上计算机信息系统建设完成后 运营 使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构 依据国家规定的技术标准 对计算机信息系统安全等级状况开展等级测评 测评合格后方可投入使用 第十三条计算机信息系统的运营 使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评 并对计算机信息系统安全状况 安全管理制度及措施的落实情况进行自查 计算机信息系统安全状况经测评或者自查 未达到安全等级保护要求的 运营 使用单位应当进行整改 4 广东省公安厅关于计算机信息系统安全保护的实施办法 一 第二十二条我省对测评机构实施备案制度 符合第二十一条规定的条件 承担第二级以上的计算机信息系统测评工作的机构应当到省公安厅公共信息网络安全监察部门备案 第二十五条第二级以上的计算机信息系统建设完成后 使用单位应当委托符合规定的测评机构安全测评合格方可投入使用 测评活动应当接受公安机关公共信息网络安全监察部门的监督 5 广东省信息安全等级测评工作细则 试行 计算机信息系统投入使用后 存在下列情形之一的 应当进行安全自查 同时委托安全测评机构进行安全测评 一 变更关键部件 二 安全测评时间满一年 三 发生危害计算机信系统安全的案件或安全事故 四 公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评 五 其他应当进行安全自查和安全测评的情形 申请单位认为安全测评报告的合法性和真实性存在重大问题的 可以向本单位所在地公安机关公共信息网络安全监察部门提出申诉 提交异议申诉书及有关证明材料 6 广东省等级保护测评机构 关于发布广东省信息安全等级保护测评机构的公告 粤等保办 2010 3号 供我省信息系统运营 使用单位 主管部门选用提供各类测评服务 差距评估 验收性测评 年度测评工作 1 广州竞远系统网络技术有限公司2 中国赛宝实验室 工业和信息化部电子第五研究所 3 广州华南信息安全测评中心4 深圳市信息安全测评中心5 深圳市网安计算机安全检测技术有限公司 7 等级保护测评基本概念 等级测评工作 是指测评机构依据国家信息安全等级保护制度规定 按照有关管理规范和技术标准 对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动 通过信息安全等级测评机构对已完成的等级保护建设的信息系统定期进行等级测评 确保信息系统的安全保护措施符合相应等级的安全要求 8 等级保护测评的执行主体 等级测评机构 是指具备本规范的基本条件 经能力评估和审核 由省级以上信息安全等级保护工作协调 领导 小组办公室 以下简称为 等保办 推荐 从事等级测评工作的机构 等级保护测评的执行主体应当是具有相关资质的 独立的测评服务机构 只有独立的第三方 才能保证测评工作的客观性和公正性 9 等级测评基本原则 测评机构应当按照有关规定和统一标准提供 客观 公正 安全 的测评服务 按照统一的测评报告模版出具测评报告 测评机构可以从事等级测评活动以及信息系统安全等级保护定级 安全建设整改 信息安全等级保护宣传教育等工作的技术支持 10 等级测评的特点 管理角度 强制执行 管理办法强制周期性执行执行主体 符合条件的测评机构执行对象 定级的信息系统服务主体 国家信息安全监管部门 主管部门 运维 使用单位技术角度 符合性测评 依据基本要求等级化 不同级别测评强度不同 11 等级保护测评适用的阶段 在实施等级保护建设工作前 信息系统运营 使用单位可以开展一次等级测评以确定信息系统的安全需求 在等级保护建设完成后 通过等级测评判定信息系统是否按照预先设定的安全模式运行 安全控制措施是否得到合理的应用 信息系统是否达到相关标准的要求 是否具备相应等级的安全防护能力等 12 等级保护测评工作开展 系统改建方案设计 由信息系统的运营使用单位自己组织人员或由第三方评估机构 采用等级测评方法对信息系统安全保护现状与等级保护基本要求进行符合性评估 得到与相应等级要求的差距项 确定安全需求 为制定安全改建方案提供依据 是一种需求分析方法 不受测评执行主体的限制 等级保护建设完成后的测评 由具有相关资质 独立的第三方测评机构完成 13 1 2 13测评与监督检查的关系 等级保护测评的操作形式自评估委托评估检查评估 14 1 2 14测评工作要求 依据标准 遵循原则恰当选取 保证强度规范行为 减少风险过程规范行为规范 15 等级保护测评注意事项 16 等级保护测评方法 1 测评方法测评采用访谈 检查和测试三种方法 测评对象是测评实施过程中涉及到的信息系统的构成成份 包括人员 文档 机制 软件 设备 测评的层面涉及物理安全 网络安全 主机安全 应用系统安全 数据安全以及安全管理 测评要求使用测评表进行具体检查时 首先按询问 查验 检测等工作方式将所有检查项目分类 所有以询问方式检查的项目 在与有关人员的谈话或会议上进行 所有以查验方式检查的项目 将需要的文档清单在检查现场提交给被检查方 请被检查方当前提供并进行查验 所有需要以检测方式检查的项目 按检测部门或设备分类后 根据具体情况选择检测顺序 17 等级保护测评方法 2 对技术要求 访谈 方法 目的是了解信息系统的全局性 范围一般不覆盖所有要求内容 检查 方法 目的是确认信息系统当前具体安全机制和运行的配置是否符合要求 范围一般要覆盖所有要求内容 测试 方法 目的是验证信息系统安全机制有效性和安全强度 范围不覆盖所有要求内容 18 等级保护测评方法 3 对管理要求对人员方面的要求 重点通过 访谈 的方式来测评 检查为辅 对过程方面的要求 通过 访谈 和 检查 的方式来测评 对规范方面的要求 以 检查 文档为主 访谈 为辅 19 等级保护测评中的角色和职责关系 20 信息安全服务机构 协助信息系统运营 使用单位完成等级保护的相关工作 包括确定其信息系统的安全保护等级 进行安全需求分析 安全总体规划 实施安全建设和安全改造等 信息安全产品供应商 开发符合等级保护相关要求的信息安全产品 接受安全测评 按照等级保护相关要求销售信息安全产品并提供相关服务 应用软件开发机构 将安全控制要求与应用软件结合 负责软件开发 信息安全等级测评机构 协助信息系统运营 使用单位或国家管理部门 按照国家信息安全等级保护的管理规范和技术标准 对已经完成等级保护建设的信息系统进行测评 对信息安全产品供应商提供的信息安全产品进行安全测评 1 3 7等级保护实施过程中的主要参与角色 21 等级保护测评工作实施步骤 首次会议 1 参加人员 主管领导 技术人员 测评机构人员 2 被测评机构工作汇报测评实施被测评单位派人负责测评过程联络和协助 末次会议 1 参加人员 主管领导 技术人员 测评机构人员 2 测评机构进行测试情况汇报 22 等级保护测评项目组的构成 测评项目组构成组长职责 管理测评过程 主持编制测评计划 主持设计测评方案 负责访谈 检查 组织分析测评结果 主持编制测评总结报告 访谈和查看组 负责访谈 执行测试 记录和分析测评结果 测试组 执行测试 记录和分析测评结果 23 等级保护测评部位 被测评部门领导办公场所机房介质保管室设备管理部门一般工作场所监控室等 24 等级保护测评设备 被测评检查设备各类服务器抽查部分个人计算机 包括台式机 笔记本 通信线路交换机 路由器防火墙 入侵检测 杀毒软件等安全防护设备存储设备网络管理软件应用软件 25 等级保护测评相关配合人员 测评所需要的相关配合人员单位领导部门领导系统管理员安全管理员系统审计员一般工作人员 抽查 等 26 等级测评风险告知 在开展测评过程中 对可能影响信息系统正常运行的 测评机构应当事先告知被测评单位 并协助其采取相应的预防措施 27 等级测评实施过程中可能存在的风险 验证测试影响系统正常运行在现场测评时 需要对设备和系统进行一定的验证测试工作 部分测试内容需要上机查看一些信息 这就可能对系统的运行造成一定的影响 甚至存在误操作的可能 工具测试影响系统正常运行在现场测评时 会使用一些技术测试工具进行漏洞测试 性能测试甚至抗渗透能力测试 测试可能会对系统的负载造成一定的影响 漏洞测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害 敏感信息泄漏泄漏被测系统状态信息 如网络拓扑 IP地址 业务流程 安全机制 安全隐患和有关文档信息 28 等级测评方式 测试 功能 性能测试 渗透测试等 测试对象包括机制和设备等 测试一般需要借助特定工具 扫描检测工具网络协议分析仪攻击工具渗透工具 29 等级保护测评标准 信息系统安全等级保护测评要求 信息系统安全等级保护测评指南 30 等级保护测评要求 31 测评要求的作用 指导系统运营使用单位进行自查指导评估机构进行检测评估监管职能部门参照进行监督检查规范测评内容和行为 32 等级保护测评的内容 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 33 测评要求编制思路 信息系统测评 系统测评 对安全控制 层面 区域间关联关系以及系统整体结构 分层次综合分析 测评 安全控制测评 以测评单元组织的测评实施 34 安全控制测评思路 在内容上 与 基本要求 一一对应 针对 基本要求 的每一个控制项 开发具体的测评实施方法 在结构上 以 测评单元 为基本工作单位 分等级进行组织 35 等级保护测评 测评单元是指安全控制测评的最小工作单位 由测评项 测评方式 测评对象 测评实施和结果判定等组成 分别描述测评目的和内容 测评使用的方式方法 测试过程中涉及的测评对象 具体测试实施取证过程要求和测评证据的结果判定规则与方法 测评强度是指测评的广度和深度 体现测评工作的实际投入程度 36 测评强度增强的方法 测评广度越大 范围越大 包含的测评对象就越多 测评实际投入程度越高 测评的深度越深 越需要在细节上展开 测评实际投入程度也越高 测评的广度和深度落实在具体的测评方法 访谈 检查和测试上 体现出访谈 检查和测试的投入程度不同 37 2 1 8系统等级保护测评思路 根据安全控制 层面和区域之间的关联作用 逐层测评分析安全控制间 层面间和区域间关联关系对整体安全功能的影响 具体应包括 安全控制间安全测评 层面间安全测评 区域间安全测评 进行系统整体结构安全测评从安全的角度 分析信息系统整体结构的安全性 从安全角度看系统 从系统的角度 分析信息系统安全防范 体系 的合理性 以系统的观点看安全防范 体系 38 等级保护测评要求部分解读 39 第二部分等级保护测评要求 3 等级保护测评要求部分解读 物理安全 40 物理访问控制 本项要求包括 机房出入口应安排专人值守 控制 鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程 并限制和监控其活动范围 应对机房划分区域进行管理 区域和区域之间设置物理隔离装置 在重要区域前设置交付或安装等过渡区域 重要区域应配置电子门禁系统 控制 鉴别和记录进入的人员 41 物理访问控制 实施讨论机房进出通过双向电子门禁系统进行控制 可通过门禁电子记录或填写出入记录单的形式记录进出人员和时间有能力的单位应当增设保安人员在门外值守 机房的内和外部临近入口区域要安装摄像头保证全部范围覆盖 外来人员进入机房应当由专人全程陪同 对于系统较多 机房面积较大的有能力单位应将机房按系统和设备的重要程度划分不同的单独区域进行物理隔离 联通各区域间的通道空间形成机房的过渡缓冲区 对于电源UPS 最好能划分单独区域 42 物理访问控制 测评实施 应检查机房安全管理制度 查看是否有关于机房出入方面的规定 应检查机房出入口是否有专人值守 是否有值守记录以及进出机房的人员登记记录 检查机房是否不存在值守人员控制之外的出入口 应检查是否有来访人员进入机房的审批记录 查看审批记录是否包括来访人员的访问范围 应检查机房区域划分是否合理 是否在机房重要区域前设置交付或安装等过渡区域 是否在不同机房间和同一机房不同区域间设置了有效的物理隔离装置 应检查重要区域配置的电子门禁系统是否有验收文档或产品安全认证资质 应检查电子门禁系统是否正常工作 不考虑断电后的工作情况 查看是否有电子门禁系统运行和维护记录 查看监控进入机房重要区域的电子门禁系统记录 是否能够鉴别和记录进入人员的身份 43 物理访问控制 测评结果记录检查机房安全管理制度 有关于机房出入方面的规定 机房出入口有专人值守 有值守记录以及进出机房的人员登记记录 检查机房不存在值守人员控制之外的出入口 有来访人员进入机房的审批记录 审批记录包括来访人员的访问范围业务或安全管理需要 对机房进行了划分区域管理 各个区域都有专门的管理要求 机房区域划分合理 在机房重要区域前设置交付或安装等过渡区域 在不同机房间和同一机房不同区域间设置了有效的物理隔离装置重要区域配置的电子门禁系统是验收文档或产品安全认证资质 安防验收报告 电子门禁系统正常工作 有电子门禁系统运行和维护记录 能够鉴别和记录进入人员的身份 44 防雷击 本项要求包括 机房建筑应设置避雷装置 应设置防雷保安器 防止感应雷 机房应设置交流电源地线 45 2 3 6防雷击 实施讨论在南方地区 夏季多雨水 雷击发生的可能性很大 需要重点检测 电子信息系统机房施工及验收规范 GB50462 2008 电子信息系统机房设计规范 GB50174 2008 建筑物电子信息系统防雷技术规范 GB50343 2004 建筑物防雷装置检测技术规范 GB T21431 2008 46 防雷击 测评实施应检查机房建筑是否有避雷装置 是否有交流地线 应检查机房是否安装防雷保安器等装置 47 防雷击 结果记录机房建筑有避雷装置 有交流地线 机房电源和信号线上安装防雷保安器等装置 机房计算机系统接地设置了专用地线 通过验收或国家有关部门的技术检测 有检测报告 48 防火 本项要求包括 机房应设置火灾自动消防系统 能够自动检测火情 自动报警 并自动灭火 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料 机房应采取区域隔离防火措施 将重要设备与其他设备隔离开 49 防火 测评实施应检查机房是否设置了自动检测火情 自动报警 自动灭火的自动消防系统 自动消防系统摆放位置是否合理 其有效期是否合格 应检查自动消防系统是否正常工作 查看是否有运行记录 报警记录 定期检查和维修记录 应检查机房是否采取区域隔离防火措施 将重要设备与其他设备隔离开 50 防火 测评结果记录机房设置了灭火设备 设置了自动检测火情 自动报警 自动灭火的自动消防系统 有专人负责维护该系统的运行 制定了有关机房消防的管理制度和消防预案 进行了消防培训 火灾自动消防系统定期进行检查和维护自动消防系统摆放位置合理 其有效期合格 自动消防系统正常工作 有运行记录 报警记录 定期检查和维修记录 应检查机房采取区域隔离防火措施 将重要设备与其他设备隔离开 51 温湿度控制 本项要求包括 机房应设置温 湿度自动调节设施 使机房温 湿度的变化在设备运行所允许的范围之内 52 温湿度控制 实施讨论 电子信息系统机房设计规范 GB50174 2008 计算站场地技术条件 GB2887 89 53 温湿度控制 测评实施应检查温湿度自动调节设施是否能够正常运行 查看是否有温湿度记录 运行记录和维护记录 查看机房温湿度是否满足计算站场地的技术条件要求 54 温湿度控制 测评结果记录湿度自动调节设施能够正常运行 有温湿度记录 运行记录和维护记录 55 电力供应 本项要求包括 应在机房供电线路上配置稳压器和过电压防护设备 应提供短期的备用电力供应 至少满足主要设备在断电情况下的正常运行要求 应设置冗余或并行的电力电缆线路为计算机系统供电 应建立备用供电系统 56 电力供应 实施讨论国家标准 供配电系统设计规范 在电线路上配置稳压器和过电压防护设备以保证在电压突然变化时不影响到设备的正常运行 需要配备足够的UPS保证在段时间内断电的运行或至少保证服务器有足够的关机时间 采取冗余形式 一般至少有2家不同的供电公司供电 有条件的可以配备发电机保证较长时间的应急供电 对UPS没有定期进行可用性测试 57 电力供应 测评实施应检查机房 查看计算机系统供电线路上的稳压器 过电压防护设备和短期备用电源设备是否正常运行 查看供电电压是否正常 应检查是否有稳压器 过电压防护设备 短期备用电源设备以及备用供电系统等电源设备的检查和维护记录 冗余或并行的电力电缆线路切换记录 备用供电系统运行记录 以及上述计算机系统供电的运行记录 是否能够符合系统正常运行的要求 应测试安装的冗余或并行的电力电缆线路 是否能够进行双路供电切换 应测试备用供电系统是否能够在规定时间内正常启动和正常供电 58 电力供应 测评结果记录计算机系统供电线路上的稳压器 过电压防护设备和短期备用电源设备 如UPS 正常运行 查看供电电压正常 有稳压器 过电压防护设备 短期备用电源设备以及备用供电系统等电源设备的检查和维护记录 冗余或并行的电力电缆线路切换记录 备用供电系统运行记录 以及上述计算机系统供电的运行记录 能够符合系统正常运行的要求 测试安装的冗余或并行的电力电缆线路 能够进行双路供电切换 测试备用供电系统 如UPS 能够在规定时间内正常启动和正常供电 59 电磁防护 实施讨论 电磁屏蔽室屏蔽效能的测量方法 GBT12190 2006通过将机架外壳接地的方式可以降低外界的电子干扰 对于要求较高的机房 如CA机房需要建立屏蔽室 机房布线要严格按照规定 强 弱电线路尽量原理 使用交叉走线 避免平行轴线 使用铁质线槽可以抵御电磁干扰并有效保护线缆安全 处理涉密信息的电磁屏蔽室的技术要求和测试方法 BMB3 1999 涉密信息设备使用现场的电磁泄漏发射防护要求 BMB5 2000 60 电磁防护 本项要求包括 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰 电源线和通信线缆应隔离铺设 避免互相干扰 应对关键设备和磁介质实施电磁屏蔽 61 电磁防护 测评实施应检查机房设备外壳是否有安全接地 应检查机房布线 查看是否做到电源线和通信线缆隔离 应检查磁介质是否存放在具有电磁屏蔽功能的容器中 62 第二部分等级保护测评要求 4 等级保护测评要求部分解读 网络安全 63 结构安全 本项要求包括 应保证主要网络设备的业务处理能力具备冗余空间 满足业务高峰期需要 应保证网络各个部分的带宽满足业务高峰期需要 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径 应绘制与当前运行情况相符的网络拓扑结构图 应根据各部门的工作职能 重要性和所涉及信息的重要程度等因素 划分不同的子网或网段 并按照方便管理和控制的原则为各子网 网段分配地址段 应避免将重要网段部署在网络边界处且直接连接外部信息系统 重要网段与其他网段之间采取可靠的技术隔离手段 应按照对业务服务的重要次序来指定带宽分配优先级别 保证在网络发生拥堵的时候优先保护重要主机 64 结构安全 要求 1 应保证主要网络设备的业务处理能力具备冗余空间 满足业务高峰期需要 测评实施 访谈网络管理员 询问主要网络设备的性能及业务高峰流量 访谈网络管理员 询问采用何种手段对网络设备进行监控 通过网络管理软件 或IT资源监控系统 确认主要网络设备的业务处理能力具备冗余空间 满足业务高峰期需要 应检查网络设计 验收文档 查看是否有主要网络设备业务处理能力 接入网络及核心网络的带宽满足业务高峰期的需要以及不存在带宽瓶颈等方面的设计或描述 65 结构安全 要求 2 应保证网络各个部分的带宽满足业务高峰期需要 测评实施 应访谈网络管理员 询问网络中带宽控制情况以及带宽分配的原则 询问当前网络各部分的带宽是否满足业务高峰需要 如果无法满足业务高峰期需要 则需迚行带宽分配 检查主要网络设备是否进行行带宽分配 以CISCOIOS为例 检查配置是否类似如下配置项 输入命令 showrunning configclass map class 1bandwidth percent50bandwith5000 kbps maxthreshold64 packets 66 结构安全 要求 3 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径 条款理解 静态路由是指由网络管理员手工配置的路由信息 劢态路由是指路由器能够自劢地建立自己的路由表 路由器之间的路由信息交换是基亍路由协议实现的 如OSPF路由协议是一种典型的链路状态的路由协议 如果使用劢态路由协议应配置使用路由协议认证功能 保证网络路由安全 测评实施 应检查边界和主要网络设备 查看是否配置路由控制策略以建立安全的访问路径 以CISCOIOS为例 输入命令 showrunning config检查配置文件中应当存在类似如下配置项 iproute192 168 1 0255 255 255 0192 168 1 193 静态 routerospf100 动态 ipospfmessage digest key1md57XXXXXX 认证码 67 结构安全 要求 4 应绘制与当前运行情况相符的网络拓扑结构图 测评实施 登录网络管理软件 检查网络拓扑结构图 查看其与当前运行的实际网络系统是否一致 如果没有网络管理软件 使用其它的网络管理软件查看 如HPOPENVIEW 游龙网管等 68 结构安全 要求 5 应根据各部门的工作职能 重要性和所涉及信息的重要程度等因素 划分不同的子网或网段 并按照方便管理和控制的原则为各子网 网段分配地址段 条款理解 根据实际情况和区域安全防护要求 应在主要网络设备上进行VLAN划分或子网划分 不同VLAN内的报文在传输时是相互隔离的 如果丌同VLAN要迚行通信 则需要通过路由器或三层交换机等三层设备实现 使用防火墙 或使用网络隔离与交换产品网络进行划分网段 测评实施 应访谈网络管理员 询问网段划分情况以及划分的原则 询问重要网段有哪些 其具体的部署位置 与其他网段的隔离措施有哪些 以CISCOIOS为例 输入命令 showvlan检查配置文件中应当存在类似如下配置项 vlan2nameinfoInte0 2vlan membershipstatic2 69 结构安全 要求 6 应避免将重要网段部署在网络边界处且直接连接外部信息系统 重要网段与其他网段之间采取可靠的技术隔离手段 条款理解为了保证信息系统的安全 应避免将重要网段部署在网络边界处且直接连接外部信息系统 防止来自外部信息系统的攻击 在重要网段和其它网段之间配置安全策略进行行访问控制 测评实施检查网络拓扑结构 查看是否将重要网段部署在网络边界处 重要网段和其它网段之间是否配置安全策略进行行访问控制 如防火墙 70 结构安全 要求 7 应按照对业务服务的重要次序来指定带宽分配优先级别 保证在网络发生拥堵的时候优先保护重要主机 测评实施 应检查边界和主要网络设备 查看是否配置对带宽进行控制的策略 这些策略是否能够保证在网络发生拥堵的时候优先保护重要业务 以CISCOIOS为例 检查配置文件中是否存在类似如下配置项 policy mapbarclassvoiceprioritypercent10classdatabandwidthpercent30classvideobandwidthpercent20 71 访问控制 本项要求包括 应在网络边界部署访问控制设备 启用访问控制功能 应能根据会话状态信息为数据流提供明确的允许 拒绝访问的能力 控制粒度为端口级 应对进出网络的信息内容进行过滤 实现对应用层HTTP FTP TELNET SMTP POP3等协议命令级的控制 应在会话处于非活跃一定时间或会话结束后终止网络连接 应限制网络最大流量数及网络连接数 重要网段应采取技术手段防止地址欺骗 应按用户和系统之间的允许访问规则 决定允许或拒绝用户对受控系统进行资源访问 控制粒度为单个用户 应限制具有拨号访问权限的用户数量 72 访问控制 要求 1 应在网络边界部署访问控制设备 启用访问控制功能 条款理解在网络边界部署访问控制设备 防御来自其他网络的攻击 保护内部网络的安全 测评实施 检查网络拓扑结构 查看是否在网络边界处部署了访问控制设备 是否启用了访问控制功能 73 访问控制 要求 2 应能根据会话状态信息为数据流提供明确的允许 拒绝访问的能力 控制粒度为端口级 条款理解在网络边界部署访问控制设备 对进出网络的流量进行过滤 保护内部网络的安全 配置的访问控制列表应有明确的源 目的地址 源 目的 协议及服务等 测评实施 以路由器 或防火墙 以CISCOIOS为例 输入命令 showipaccess list检查配置文件中应当存在类似如下配置项 noaccess list111ipaccess listextended111denyipx x x 00 0 0 255anyloginterfaceeth0 0ipaccess group111in 74 访问控制 以防火墙检查为例 应有明确的访问控制策略 如下图所示 75 访问控制 要求 3 应对进出网络的信息内容进行过滤 实现对应用层HTTP FTP TELNET SMTP POP3等协议命令级的控制 条款理解对亍一些常用的应用层协议 能够在访问控制设备上实现应用层协议命令级的控制和内容检查 从而增强访问控制粒度 测评实施该测评项一般在防火墙 入侵防御系统上检查 首先查看防火墙 入侵防御系统是否具有该功能 然后登录设备查看是否启用了相应的功能 76 访问控制 以联想网御防火墙为例 如下图所示 77 访问控制 要求 4 应在会话处于非活跃一定时间或会话结束后终止网络连接 条款理解当恶意用户迚行网络攻击时 有时会发起大量会话连接 建立会话后长时间保持状态连接从而占用大量网络资源 最终将网络资源耗尽的情况 应在会话终止或长时间无响应的情况下终止网络连接 释放被占用网络资源 保证业务可以被正常访问 测评实施该测评项一般在防火墙上检查 登录防火墙 查看是否设置了会话连接超时 设置的超时时间是多少 判断是否合理 78 访问控制 以天融信防火墙为例 如下图所示 79 访问控制 要求 5 应限制网络最大流量数及网络连接数 条款理解可根据IP地址 端口 协议来限制应用数据流的最大流量 还可以根据IP地址来限制网络连接数 从而保证业务带宽丌被占用 业务系统可以对外正常提供业务 测评实施该测评项一般在防火墙上检查 访谈系统管理员 依据实际网络状况是否需要限制网络最大流量数及网络连接数 登录设备查看是否设置了最大流量数和连接数 并做好记录 80 访问控制 以天融信防火墙为例 如下图所示 81 访问控制 要求 6 重要网段应采取技术手段防止地址欺骗 条款理解地址欺骗在网络安全中比较重要的一个问题 这里的地址 可以是MAC地址 也可以是IP地址 在关键设备上 采用IP MAC地址绑定方式防止地址欺骗 测评实施以CISCOIOS为例 输入showiparp检查配置文件中应当存在类似如下配置项 arp10 10 10 10000 e268 9980arpa 82 访问控制 以联想网御防火墙为例 如下图所示 83 访问控制 要求 7 应按用户和系统之间的允许访问规则 决定允许或拒绝用户对受控系统进行资源访问 控制粒度为单个用户 条款理解对亍进程拨号用户 应在相关设备上提供用户认证功能 通过配置用户 用户组 并结合访问控制规则可以实现对认证成功的用户允许访问受控资源 测评实施登录相关设备查看是否对拨号用户迚行身份认证 是否配置访问控制规则对认证成功的用户允许访问受控资源 84 访问控制 要求 8 应限制具有拨号访问权限的用户数量 条款理解应限制通过进程采用拨号方式或通过其他方式连入系统内部的用户数量 测评实施询问系统管理员 是否有进程拨号用户 采用什么方式接入系统部 采用何种方式迚行身份认证 具体用户数量有多少 85 安全审计 本项要求包括 应对网络系统中的网络设备运行状况 网络流量 用户行为等进行日志记录 审计记录应包括 事件的日期和时间 用户 事件类型 事件是否成功及其他与审计相关的信息 应能够根据记录数据进行分析 并生成审计报表 应对审计记录进行保护 避免受到未预期的删除 修改或覆盖等 86 第二部分等级保护测评要求 5 等级保护测评要求部分解读 主机安全 操作系统 87 身份鉴别 本项要求包括 应对登录操作系统和数据库系统的用户进行身份标识和鉴别 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点 口令应有复杂度要求并定期更换 应启用登录失败处理功能 可采取结束会话 限制非法登录次数和自动退出等措施 当对服务器进行远程管理时 应采取必要措施 防止鉴别信息在网络传输过程中被窃听 应为操作系统和数据库系统的不同用户分配不同的用户名 确保用户名具有唯一性 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别 88 身份鉴别 要求 1 应对登录操作系统和数据库系统的用户进行身份标识和鉴别 条款理解用户的身份标识和鉴别 就是用户向系统以一种安全的方式提交自己的身份证实 然后由系统确认用户的身份是否属实的过程 89 身份鉴别 测评实施Window 访谈系统管理员 系统用户是否已设置密码 并查看登录过程中系统账户是否使用了密码进行验证登录 Linux 采用查看方式 在root权限下 使用命令more cat或vi查看 etc passwd和 etc shadow文件中各用户名状态 90 身份鉴别 要求 2 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点 口令应有复杂度要求并定期更换 测评实施Windows 本地安全策略 帐户策略 密码策略中的相关项目Linux 采用查看方式 在root权限下 使用命令more cat或vi查看 etc login defs文件中相关配置参数 91 身份鉴别 92 身份鉴别 93 身份鉴别 要求 3 应启用登录失败处理功能 可采取结束会话 限制非法登录次数和自动退出等措施 条款理解要求系统应具有一定的登录控制功能 可以通过适当的配置 帐户锁定策略 来对用户的登录进行限制 如帐户锁定阈值 帐户锁定时间等 测评实施Windows 本地安全策略 帐户策略 帐户锁定策略中的相关项目Linux 采用查看方式 在root权限下 使用命令more cat或vi查看 etc pam d system auth文件中相关配置参数 94 身份鉴别 95 身份鉴别 96 身份鉴别 要求 4 当对服务器进行远程管理时 应采取必要措施 防止鉴别信息在网络传输过程中被窃听 条款理解为方便管理员进行管理操作 众多服务器采用了网络登录的方式进行远程管理操作 例如Linux可以使用telnet登录 Windows使用远程终端服务 基本要求规定了这些传输的数据需要进行加密处理过 目的是为了保障帐户与口令的安全 测评实施Windows 确认操作系统版本确认终端服务器使用了SSL加密确认RDP客户端使用SSL加密 97 身份鉴别 Linux 在root权限下 使用命令more cat或vi查看是否运行了sshd服务 service status all grepsshd若未使用ssh方式进行远程管理 则查看是否使用了telnet方式进行远程管理 service status all greprunning 98 身份鉴别 要求 5 应为操作系统和数据库系统的不同用户分配不同的用户名 确保用户名具有唯一性 条款理解对于操作系统来说 用户管理是操作系统应具备的基本功能 用户管理由创建用户和组以及定义它们的属性构成 用户的一个主要属性是如何对他们进行认证 用户是系统的主要代理 其属性控制他们的访问权 环境 如何对他们进行认证以及如何 何时 在哪里可以访问他们的帐户 因此 用户标识的唯一性至关重要 如果系统允许用户名相同 而UID不同 其唯一性标识为UID 如果系统允许UID相同 而用户名不同 其唯一性标识为用户名 99 身份鉴别 测评实施Windows 管理工具 计算机管理 本地用户和组 中的 用户 检查其中的用户名是否出现重复 Linux 采用查看方式 在root权限下 使用命令more cat或vi查看 etc passwd文件中用户名信息 100 身份鉴别 要求 6 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别 条款理解对于三级以上的操作系统应使用两种或两种以上组合的鉴别技术实现用户身份鉴别 如密码和令牌的组合使用等 测评实施访谈系统管理员 询问系统除用户名口令外有无其他身份鉴别方法 如有没有令牌等 101 访问控制 本项要求包括 应启用访问控制功能 依据安全策略控制用户对资源的访问 应根据管理用户的角色分配权限 实现管理用户的权限分离 仅授予管理用户所需的最小权限 应实现操作系统和数据库系统特权用户的权限分离 应严格限制默认帐户的访问权限 重命名系统默认帐户 修改这些帐户的默认口令 应及时删除多余的 过期的帐户 避免共享帐户的存在 应对重要信息资源设置敏感标记 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作 102 访问控制 要求 1 应启用访问控制功能 依据安全策略控制用户对资源的访问 103 访问控制 测评实施 104 访问控制 105 访问控制 要求 2 应根据管理用户的角色分配权限 实现管理用户的权限分离 仅授予管理用户所需的最小权限 条款理解根据管理用户的角色对权限作出标准细致的划分 有利于各岗位细致协调的工作 仅授予管理用户所需的最小权限 避免出现权限的漏洞使一些高级用户拥有过大的权限 测评实施记录系统是否有完整的安全策略 系统主要有哪些角色 每个角色的权限是否相互制约 每个系统用户是否被赋予相应的角色 106 访问控制 107 访问控制 要求 3 应实现操作系统和数据库系统特权用户的权限分离 条款理解操作系统特权用户可能拥有以下一些权限 安装和配置系统的硬件和软件 建立和管理用户帐户 升级软件 备份和恢复等业务 从而保证操作系统的可用性 完整性和安全性 数据库系统特权用户则更多是对数据库的安装 配置 升级和迁移以及数据库用户的管理 从而保证数据库系统的可用性 完整性和安全性 将操作系统和数据库系统特权用户的权限分离 能够避免一些特权用户拥有过大的权限以及减少一些人为的误操作 做到了职责明确 测评实施结合系统管理员的组成情况 判定是否实现了该项要求 108 访问控制 要求 4 应严格限制默认帐户的访问权限 重命名系统默认帐户 修改这些帐户的默认口令 条款理解对于系统默认的用户名 由于它们的某些权限与实际系统的要求可能存在差异 从而造成安全隐患 因此这些默认用户名应禁用 对于匿名用户的访问原则上是禁止的 查看服务器操作系统 确认匿名 默认用户的访问权限已被禁用或者严格限制 依据服务器操作系统访问控制的安全策略 以未授权用户身份 角色测试访问客体 是否不允许进行访问 测评实施查看默认用户名是否重命名查看guest等默认账户是否已禁用 109 访问控制 要求 5 应及时删除多余的 过期的帐户 避免共享帐户的存在 条款理解对于系统默认的用户名 由于它们的某些权限与实际系统的要求可能存在差异 从而造成安全隐患 因此这些默认用户名应禁用 对于匿名用户的访问原则上是禁止的 查看服务器操作系统 确认匿名 默认用户的访问权限已被禁用或者严格限制 依据服务器操作系统访问控制的安全策略 以未授权用户身份 角色测试访问客体 是否不允许进行访问 测评实施查看是否存在多余的 过期的帐户 避免共享帐户 110 访问控制 要求 6 应对重要信息资源设置敏感标记 要求 7 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作 测评实施询问管理员是否对重要信息资源设置敏感标记询问或查看目前的敏感标记策略的相关设置 如 如何划分敏感标记分类 如何设定访问权限等 111 剩余信息保护 本项要求包括 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间 被释放或再分配给其他用户前得到完全清除 无论这些信息是存放在硬盘上还是在内存中 应确保系统内的文件 目录和数据库记录等资源所在的存储空间 被释放或重新分配给其他用户前得到完全清除 112 剩余信息保护 要求 1 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间 被释放或再分配给其他用户前得到完全清除 无论这些信息是存放在硬盘上还是在内存中 条款理解剩余信息保护是指操作系统用户的鉴别信息存储空间 被释放或再分配给其他用户前是否得到完全清除 测评实施打开 本地安全策略 本地策略中的安全选项查看是否启用 不显示上次登录用户名 113 剩余信息保护 要求 2 应确保系统内的文件 目录和数据库记录等资源所在的存储空间 被释放或重新分配给其他用户前得到完全清除 条款理解由于主存与辅存价格和性能的差异 现代操作系统普遍采用辅存作为缓存 对于缓存使用的安全问题也尤其重要 测评实施打开 本地安全策略 本地策略中的安全选项查看是否选中 关机前清除虚拟内存页面 打开 本地安全策略 帐户策略 中的密码策略查看是否选中 用可还原的加密来存储密码 114 第二部分等级保护测评要求 6 等级保护测评要求部分解读 应用安全 115 应用安全的形势 一 开发商和用户对应用安全重视程度不够开发商安全意识普遍淡薄 开发中留有安全隐患用户普遍对应用安全不重视 系统上线前把关不严应用系统存在的漏洞较多 116 NIST的报告显示 超过90 的安全漏洞是应用层漏洞 它已经远远超过网络 操作系统和浏览器的漏洞数量 这个比例还有上升的趋势 116 应用安全的形势 二 针对应用系统的攻击手段越来越多 面临的威胁在不断增大针对口令的攻击 如口令破解等非授权获取敏感信息 如信息窃听 系统管理员非授权获取敏感业务数据 如用户的密码等信息 等针对WEB应用的攻击 如跨站脚本攻击 SQL注入 缓冲区溢出 拒绝服务攻击 改变网页内容等 117 117 应用系统的指标选取 在 基本要求 中的位置 应用安全 的所有指标 对于应用平台软件等则从中选择部分指标 数据安全及备份恢复 中的部分指标 对于三级信息系统 在应用安全中 主要检查 数据完整性 数据保密性 和 备份和恢复 第一和第二项 应结合管理的要求 如 应根据开发需求检测软件质量 应要求开发单位提供软件源代码 并审查软件中可能存在的后门 加强应用系统的源代码安全性 118 118 119 应用测评的特点 安全功能和配置检查并重和数据库 操作系统等成熟产品不同 应用系统现场测评除检查安全配置外 还需验证相关安全功能是否正确应用测评中不确定因素较多业务和数据流程不同 需根据业务和数据特点确定范围应用系统安全漏洞发现困难 很难消除代码级的安全隐患测评范围较广 分析较为困难应用系统测评包括应用平台 如IIS等 的测评 且和其他层面关联较大 应用测评的方法 1 通过访谈 了解安全措施的实施情况 120 和其他成熟产品不同 应用系统只有在充分了解其部署情况后 才能明确测评的范围和对象 分析其系统的脆弱性和面临的主要安全威胁 有针对性的进行检查和测试 右图是一个手机支付系统的流程示意图 通过网页和手机可以完成冲值 查询等业务 120 应用测评的方法 2 通过检查 查看其是否进行了正确的配置有的安全功能 如口令长度限制 错误登录尝试次数等 需要在应用系统上进行配置 则查看其是否进行了正确的配置 与安全策略是否一致 无需进行配置的 则应查看其部署情况是否与访谈一致 如果条件允许 需进行测试可通过测试验证安全功能是否正确 配置是否生效 代码级的安全漏洞在现场查验比较困难 则可进行漏洞扫描和渗透测试 121 121 等级保护测评过程 122 123 测评准备阶段 项目启动 向被测单位介绍等级测评的意义和作用 测评工作的基本流程和工作方法 了解被测单位的信息化建设状况与发展 包括被测系统的行业特征 主管机构 业务范围 地理位置以及被测系统基本情况 获得被测系统的背景信息和联络方式 指出被测单位应提供的基本资料 包括 被测系统总体描述文件 被测系统详细描述文件 被测系统安全保护等级定级报告 系统验收报告 安全需求分析报告 被测系统安全总体方案等 根据测评双方签订的委托测评协议书和系统规模 测评机构组建测评项目组 从人员方面做好准备 并编制项目计划书 124 124 3 1 2测评准备阶段 信息收集与分析 被测单位积极配合测评机构 为测评机构提供其所需要的各种资料 包括被测单位的各种方针文件 规章制度及相关过程管理记录 被测系统总体描述文件 被测系统详细描述文件 被测系统安全保护等级定级报告 安全需求分析报告 被测系统安全总体方案 安全现状评价报告 被测系统安全详细设计方案 用户指南 运行步骤 网络图表 配置管理文档等 测评机构分析被测单位提供的系统相关文件和初步了解到的系统基本情况 将需要补充了解的内容编制成调查表并发放给被测系统运行维护人员 测评机构收回填写完成的调查表单 并分析调查结果 以进一步了解和熟悉被测系统的实际情况 分析的内容包括被测系统的基本信息 管理框架 被测系统的网络及设备部署 业务种类和特性 业务系统处理的信息资产 用户范围和用户类型等 125 125 测评准备阶段 调查表 内容全面顺序合理保留逻辑关联内容至少包括被测系统的行业特征 主管机构 业务范围 地理位置 背景信息 联络方式 组织管理结构 管理策略 部门设置和部门在业务运行中的作用 岗位职责 物理环境 网络拓扑结构 硬件设备部署情况 范围及边界 业务种类及特性 业务流程 业务安全保护等级等 126 126 测评准备阶段 编制测评方案 根据被测系统基本情况描述被测系统 包括被测系统基本信息 管理框架 被测系统的网络及设备部署 业务种类和特性 业务信息安全等级 系统服务安全等级 业务流程相关设备 部件和数据 管理模式 用户范围和用户类型等 根据被测系统规模确定人员分工和测评计划 对于一般规模且业务种类较少的被测系统 分组负责主机 网络 应用安全测评和工具测试 测评计划可以列表的形式给出 包括总体时间安排 分项测评时间安排等 选择适当的测评对象 方式和工具 确定测评指标 确定现场测评实施内容 包括单项测评和系统整体测评 汇总上述6个步骤的各类文档和资料形成测评方案文稿 评审和提交测评方案 测评方案初稿应通过测评项目组全体成员评审 修改完成后形成提交稿 然后 测评机构将测评方案提交给被测单位 被测单位应对该测评方案签字认可 127 127 测评准备阶段 工具和文档准备 测评人员熟悉被测系统相关的操作系统 数据库及业务流程等 测评人员调试 熟悉本次测评过程中将用到的测评工具 包括作业指导书 漏洞扫描工具 渗透性