信息系统安全等级保护测评过程PPT课件.ppt

信息系统安全等级保护测评过程 湖北教育信息化发展中心2011年12月 信息系统安全等级保护测评 什么是等级测评等级测评的作用等级测评的执行主体等级测评的方法等级测评流程等级测评过程中的风险规避 2020 3 20 2 什么是等级测评 等级测评是测评机构依据国家信息安全等级保护制度规定 受有关单位委托 按照 信息系统安全等级保护基本要求 等管理规范和技术标准 对非涉及国家秘密的信息系统的安全等级保护状况进行检测评估的活动 2020 3 20 3 等级测评的作用 一是可以掌握信息系统安全状况 排查系统安全隐患和薄弱环节 明确信息系统安全建设整改需求 二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求 是否具备了相应的安全保护能力 等级测评结论为未达到相应等级的基本安全保护能力的信息系统 其运营 使用单位应当根据等级测评报告 制定方案进行整改 尽快达到相应等级的安全保护能力 2020 3 20 4 等级测评执行主体 符合 信息安全等级保护管理办法 公通字 2007 43号 和 信息安全等级保护测评工作管理规范 试行 要求的测评机构 2020 3 20 5 等级测评执行主体 等级测评执行主体应履行的义务 遵守国家有关法律法规和技术标准 提供安全 客观 公正的检测评估服务 保证测评的质量和效果 保守在测评活动中知悉的国家秘密 商业秘密和个人隐私 防范测评风险 对测评人员进行安全保密教育 与其签订安全保密责任书 规定应当履行的安全保密义务和承担的法律责任 并负责检查落实 2020 3 20 6 等级测评的方法 访谈文档审查配置检查实地察看工具测试 2020 3 20 7 等级测评的方法 访谈 测评人员与被测系统有关人员 个体 群体 进行交流 讨论等活动 获取相关证据 了解有关信息 访谈对象 安全主管系统建设负责人人事负责人系统运维负责人物理安全负责人系统管理员 网络管理员 安全管理员 机房值班人员 资产管理员等 2020 3 20 8 等级测评的方法 文档审查 检查GB T22239 2008中规定的必须具有的制度 策略 操作规程等文档是否齐备 检查是否有完整的制度执行情况记录 如机房出入登记记录 电子记录 高等级系统的关键设备的使用登记记录等 对上述文档进行审核与分析 检查他们的完整性和这些文件之间的内部一致性 文档审查对象 安全方针文件 安全管理制度 安全管理的执行过程文档 系统设计方案 网络设备的技术资料 系统和产品的实际配置说明 系统的各种运行记录文档 机房建设相关资料 机房出入记录等过程记录文档 2020 3 20 9 等级测评的方法 配置检查 利用上机验证的方式检查应用系统 主机系统数据库系统以及网络设备 是否与文档 相关设备和部件保持一致 对文档审核的内容进行核实 在配置检查过程中 委托方需指派专业技术人员配合工作 核查上机操作步骤 并由委托方指派的专业技术人员上机操作 测评机构对操作结果进行记录 配置检查对象 网络设备 安全设备 主机操作系统 数据库系统 应用系统 2020 3 20 10 等级测评的方法 实地察看 根据被测系统的实际情况 测评人员到系统运行现场通过实地的观察人员行为 技术设施和物理环境状况判断人员的安全意识 业务操作 管理程序和系统物理环境等方面的安全情况 测评其是否达到了相应等级的安全要求 实地察看对象 人员行为 技术设施和物理环境 2020 3 20 11 等级测评的方法 工具测试 根据测评实施手册 利用技术工具对系统进行测试 包括基于网络探测和基于主机审计的漏洞扫描 渗透性测试 性能测试 入侵检测和协议分析等 在工具测试过程中 委托方需指派专业技术人员配合工作 并选择系统负载较小的时间段对系统进行工具测试 工具测试对象 主机操作系统 数据库系统 网络 安全设备操作系统 应用系统 2020 3 20 12 等级测评过程 等级测评过程分为四个基本测评活动 测评准备活动方案编制活动现场测评活动分析及报告编制活动 2020 3 20 13 等级测评过程 测评准备活动主要任务是掌握被测系统的详细情况 准备测试工具 为编制测评方案做好准备 2020 3 20 14 等级测评过程 方案编制活动主要任务是确定与被测信息系统相适应的测评对象 测评指标及测评内容等 并根据需要重用或开发测评实施手册 形成测评方案 2020 3 20 15 等级测评过程 现场测评活动本活动的主要任务是按照测评方案的总体要求 严格执行测评实施手册 分步实施所有测评项目 包括单元测评和整体测评两个方面 以了解系统的真实保护情况 获取足够证据 发现系统存在的安全问题 2020 3 20 16 等级测评过程 分析与报告编制活动主要任务是根据现场测评结果 通过单项测评结果判定 单元测评结果判定 整体测评和风险分析等方法 找出整个系统的安全保护现状与相应等级的保护要求之间的差距 并分析这些差距导致被测系统面临的风险 从而给出等级测评结论 形成测评报告文本 2020 3 20 17 2020 3 20 18 等级测评过程 测评准备活动方案编制活动现场测评活动分析及报告编制活动 2020 3 20 19 等级测评过程 测评准备活动测评准备活动的目标测评准备活动的工作流程测评准备活动的主要任务测评准备活动的输出文档测评准备活动中双方的职责 2020 3 20 20 等级测评过程 测评准备活动的目标 顺利启动测评项目 准备测评所需的相关资料 为顺利编制测评方案打下良好的基础 测评准备活动的工作流程 2020 3 20 21 等级测评过程 测评准备活动的主要任务项目启动测评机构组建等级测评项目组 获取测评委托单位及被测系统的基本情况 从基本资料 人员 计划安排等方面为整个等级测评项目的实施做基本准备 测评委托单位应提供被测系统总体描述文件 详细描述文件 安全保护等级定级报告 系统验收报告 安全需求分析报告 安全总体方案 自查或上次等级测评报告 如果有 测评委托单位的信息化建设状况与发展以及联络方式等文件 并配合测评机构准确填写信息系统基本信息调查表 2020 3 20 22 项目启动阶段的工作 等级测评过程 2020 3 20 23 测评准备活动的主要任务信息收集和分析测评机构通过查阅被测系统提供的资料以及测评委托单位配合填写的信息系统基本信息调查表 了解整个系统的构成和保护情况 为编写测评方案和开展现场测评工作奠定基础 等级测评过程 2020 3 20 24 信息收集和分析阶段的工作 等级测评过程 2020 3 20 25 工具和表单准备阶段的工作 等级测评过程 2020 3 20 26 测评准备活动中双方的职责测评机构职责 1 组建等级测评项目组 2 指出测评委托单位应提供的基本资料 3 准备被测系统基本情况调查表格 并提交给测评委托单位 4 向测评委托单位介绍安全测评工作流程和方法 5 向测评委托单位说明测评工作可能带来的风险和规避方法 6 了解测评委托单位的信息化建设状况与发展 以及被测系统的基本情况 7 初步分析系统的安全情况 8 准备测评工具和文档 等级测评过程 2020 3 20 27 测评准备活动中双方的职责测评委托单位职责 1 向测评机构介绍本单位的信息化建设状况与发展情况 2 准备测评机构需要的资料 3 为测评人员的信息收集提供支持和协调 4 准确填写信息系统基本信息调查表 5 根据被测系统的具体情况 如业务运行高峰期 网络布置情况等 为测评时间安排提供适宜的建议 6 针对工具测评可能造成的风险制定应急预案 等级测评过程 2020 3 20 28 等级测评过程 测评准备活动方案编制活动现场测评活动分析及报告编制活动 2020 3 20 29 方案编制活动方案编制活动的目标方案编制活动的工作流程方案编制活动的主要任务方案编制活动中双方的职责 等级测评过程 2020 3 20 30 方案编制活动的目标 整理测评准备活动中获取的信息系统相关资料 为现场测评活动提供最基本的文档和指导方案 等级测评过程 2020 3 20 31 方案编制活动的工作流程 等级测评过程 2020 3 20 32 方案编制活动的主要任务 确定测评对象确定测评指标确定测试工具接入点测评内容确定测评指导书开发测评方案编制 等级测评过程 2020 3 20 33 方案编制活动中双方的职责 测评机构职责 1 详细分析被测系统的整体结构 边界 网络区域 重要节点等 2 初步判断被测系统的安全薄弱点 3 分析确定测评对象 测评指标和测试工具接入点 确定测评内容及方法 4 编制测评方案文本 并对其内部评审 并提交被测机构签字确认 测评委托单位职责 对测评方案进行认可 并签字确认 等级测评过程 2020 3 20 34 等级测评过程 测评准备活动方案编制活动现场测评活动分析及报告编制活动 2020 3 20 35 现场测评活动现场测评活动的工作流程现场测评活动的主要任务现场测评活动的输出文档现场测评活动中双方的职责 等级测评过程 2020 3 20 36 等级测评过程 现场测评活动的工作流程 2020 3 20 37 现场测评活动的主要任务 现场测评准备 等级测评过程 2020 3 20 38 现场测评活动的主要任务 现场测评和结果记录现场测评一般包括 访谈文档审查配置检查实地察看工具测试结果确认和资料归还 等级测评过程 2020 3 20 39 现场测评活动的输出文档 等级测评过程 2020 3 20 40 现场测评活动中双方的职责 测评机构职责 利用访谈 文档审查 配置检查 工具测试和实地察看的方法测评被测系统的保护措施情况 并获取相关证据 测评委托单位职责 1 测评前备份系统和数据 并确认被测设备状态完好 2 协调被测系统内部相关人员的关系 配合测评工作的开展 3 相关人员回答测评人员的问询 对某些需要验证的内容上机进行操作 4 相关人员确认测试前协助测评人员实施工具测试并提供有效建议 降低安全测评对系统运行的影响 5 相关人员协助测评人员完成业务相关内容的问询 验证和测试 6 相关人员对测评结果进行确认 7 相关人员确认工具测试后被测设备的状态完好 等级测评过程 2020 3 20 41 等级测评过程 测评准备活动方案编制活动现场测评活动分析及报告编制活动 2020 3 20 42 分析与报告编制活动分析与报告编制活动的工作流程分析与报告编制活动的主要任务分析与报告编制活动的输出文档分析与报告编制活动中双方的职责 等级测评过程 2020 3 20 43 分析与报告编制活动的工作流程 等级测评过程 2020 3 20 44 分析与报告编制活动的主要任务 单项测评结果判定单元测评结果判定整体测评风险分析等级测评结论形成测评报告编制 等级测评过程 2020 3 20 45 分析与报告编制活动的输出文档 等级测评过程 2020 3 20 46 分析与报告编制活动中双方的职责 测评机构职责 1 分析并判定单项测评结果和整体测评结果 2 分析评价被测系统存在的风险情况 3 根据测评结果形成等级测评结论 4 编制等级测评报告 说明系统存在的安全隐患和缺陷 并给出改进建议 5 评审等级测评报告 并将评审过