信息系统安全等级保护测评工作

信息安全等级保护培训,信息系统安全等级保护测评工作,1,公安部信息安全等级保护评估中心于东升yudongsheng,内容目录,测评概述测评实施工作流程测评实施主要内容等级测评工作要求等级测评项目管理,2,等级测评概述,信息安全等级保护管理办法（公通字【2007】43号）第十四条：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。,3,等级测评概述,定级备案是信息安全等级保护的首要环节等级测评是评价安全保护现状的重要方法建设整改是等级保护工作落实的关键所在监督检查是安全保护能力不断提高的保障,等级测评依据标准：信息安全等级保护管理办法（公通字200743号）关于开展信息安全等级保护安全建设整改工作的指导意见（公信安20091429号）信息系统安全等级保护定级指南（GB/T22240-2008）信息系统安全等级保护基本要求（GB/T22239-2008）信息系统安全等级保护测评要求（GB/T28448-2012）关于开展信息安全等级保护专项监督检查工作的通知（公信安20101175号）信息系统安全等级测评报告模板,等级测评概述,5,信息系统安全等级保护基本要求,计算机信息系统安全保护等级划分准则（GB17859）,信息系统通用安全技术要求,信息系统物理安全技术要求,技术类,其他技术类标准,信息系统安全管理要求,信息系统安全工程管理要求,其他管理类标准,信息系统安全等级保护定级指南,信息系统安全等级保护基本要求的行业细则,信息系统安全等级保护测评过程指南,信息系统安全等级保护测评要求,信息系统等级保护安全设计技术要求,管理类,产品类,数据库管理系统安全技术要求,其他产品类标准,信息系统安全等级保护行业定级细则,操作系统安全技术要求,信息系统安全等级保护建设整改,网络基础安全技术要求,网络和终端设备隔离部件技术要求,安全定级,基线要求,状态分析,方法指导,信息系统安全等级保护实施指南,6,等级测评概述,测评要求阐述了基本要求中各要求项的具体测评方法、步骤和判断依据等，用来评定信息系统的安全保护措施是否符合基本要求。测评过程指南规定了开展等级测评工作的基本过程、流程、任务及工作产品等，规范测评机构的等级测评工作，并对在等级测评过程中何时如何使用测评要求提出了指导建议。,-7-,等级测评概述,等级测评面对的信息系统是指由一个或多个不同安全保护等级的定级对象构成的信息系统。等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈贯穿整个等级测评过程。,8,内容目录,测评概述测评实施工作流程测评实施主要内容等级测评工作要求等级测评项目管理,9,等级测评的执行对象,等级测评的执行对象是定级对象特定等级测评项目面对的被测评系统是由一个或多个不同安全保护等级的定级对象构成的信息系统,10,主要概念,被测评系统定级对象被测评系统定级对象,11,关系？,12,测评流程,等级测评的主要活动,测评准备活动（3个任务）方案编制活动（6个任务）现场测评活动（3个任务）报告编制活动（6个任务）,13,内容目录,测评概述测评实施工作流程测评实施主要内容等级测评工作要求等级测评项目管理,14,主要内容,15,测评准备活动方案编制活动现场测评活动报告编制活动,活动包含的任务活动的目标过程文档结构及内容可能遇到的问题,测评准备活动,16,测评准备活动,17,测评准备活动的目标,测评机构组建等级测评项目组，获取测评委托单位及被测系统的基本情况，从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。,18,测评准备活动任务之一-项目启动,根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组，从人员方面做好准备，并编制项目计划书。测评机构要求测评委托单位提供基本资料，包括：被测系统总体描述文件，详细描述文件，安全需求分析报告，安全总体方案，系统验收报告，安全保护等级定级报告，自查或上次等级测评报告（如果有），测评委托单位的信息化建设状况与发展以及联络方式等。,19,项目计划书,项目概述技术思路和工作内容项目实施方案项目组织方案项目质量管理和控制,20,一、项目概述,项目背景项目目的工作依据,21,二、技术思路和工作内容,技术思路工作内容工作产品,22,三、项目实施方案,项目实施过程划分项目准备过程,23,四、项目组织方案,项目组织结构人员构成和职责项目实施计划,24,五、项目质量管理和控制,过程质量控制管理变更控制管理项目风险管理保密控制管理,25,测评准备活动任务之二-信息收集与分析的目标,通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，为编写测评方案和开展现场测评工作奠定基础。,26,测评准备活动任务之二-信息收集与分析,测评机构收集等级测评需要的各种资料。测评机构将调查表格提交给测评委托单位，督促并协助相关人员准确填写调查表格。测评机构收回填写完成的调查表格，并初步分析调查结果。根据调查表格填写情况安排现场调研。对调查了解到的信息进行综合分析及整理，以进一步了解和熟悉信息系统的实际情况。,27,信息收集与分析-调查表,调查内容全面调查项目顺序合理保留项目之间的逻辑关联,28,信息收集与分析-调查内容,物理环境信息收集机房数量、物理位置办公环境网络信息收集网络拓扑图网络结构系统外联网络设备安全设备,29,信息收集与分析-调查内容,主机信息收集服务器、工作站终端业务终端、管理终端、设备控制台应用信息收集应用系统业务数据管理信息收集机构设置人员职责分配管理文档,30,信息收集与分析-调查结果分析,整体网络结构和系统组成分析定级对象边界和系统构成组件分析定级对象的相互关联分析,31,调查结果分析-整体网络结构和系统组成分析,应对被测评系统的范围、构成和应用等总体情况进行分析，包括网络结构、对外边界、定级对象的数量和级别、不同安全保护等级定级对象的分布情况和承载应用情况等。,32,调查结果分析-整体网络结构和系统组成分析,网络结构被测评系统总体情况分析应关注信息系统的支撑网络，分析网络结构、网络区域、对外边界等,33,34,35,调查结果分析-整体网络结构和系统组成分析,系统组成应关注被测评系统中定级对象的数量、每个定级对象的级别、每个定级对象所处的网络区域、每个定级对象承载的应用情况等,36,调查结果分析-定级对象边界和系统构成组件分析,应针对被测评系统中的每个定级对象分析其系统边界、每个定级对象的系统构成组件等，主要系统构成组件包括硬件、软件、信息和存储介质等。,37,调查结果分析-定级对象边界和系统构成组件分析,边界分析应分析和确定每个定级对象的系统边界，并确定其在网络中的物理边界，多个定级对象的物理边界可能为一个，例如多个定级对象共用同一个防火墙或交换机作为其边界设备。,38,39,共用物理边界的情况,调查结果分析-定级对象的相互关联分析,应针对被测评系统中的每个定级对象分析其承载的业务应用情况，包括应用架构方式、应用处理流程、处理信息类型、业务数据处理流程、服务对象、用户数量等，并通过业务应用分析定级对象之间的相互关联关系。,40,调查结果分析-定级对象的相互关联分析,相互关联如各自为独立的应用系统，没有数据交换；或各自为独立的应用系统，但是通过特定的设备交换数据；或整体为一个应用系统，不同的定级对象中部署应用系统的不同模块，数据交换通过不同模块之间的数据通信实现等等,41,测评准备活动任务之三-工具和表单准备,测评人员熟悉被测系统应用业务流程等。测评人员调试本次测评过程中将用到的测评工具，包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。测评人员模拟被测系统搭建测评环境。准备和打印表单，主要包括：文档交接单、会议记录表单、会议签到表单等。,42,测评准备活动可能遇到的问题,调查表格填写协调困难填写不准确设备互联不清楚工具和表单准备无法搭建模拟环境,43,方案编制活动,44,方案编制活动,45,方案编制活动的目标,整理测评准备活动中获取的信息系统相关资料，为现场测评活动提供最基本的文档和指导方案。,46,方案编制活动任务之一-确定测评对象,识别被测评系统的安全保护等级识别被测评系统的整体结构识别被测评系统的边界识别被测评系统的网络区域识别被测评系统的重要节点和业务应用根据上述级别、网络结构、边界等情况确定测评对象,47,方案编制活动任务之二-确定测评指标,测评指标来源于国家对不同安全保护等级信息系统的基本要求。依据定级情况确定定级对象应采取的安全保护措施SAG组合情况，并从基本要求中选择相应等级的安全要求作为测评指标。,48,方案编制活动任务之三-确定测评内容,测评指标测评对象物理安全机房、办公环境、机房相关文档等网络安全交换机、防火墙、路由器、IDS等主机安全操作系统、数据库系统等应用安全应用软件、应用平台等管理安全文档（制度、规程、记录）、人员等,49,方案编制活动任务之四-确定工具测试方法,第一步，确定工具测试的测评对象第二步，选择测试路径从被测系统外部测试被测系统在被测系统内部，从与测评对象不同网段测试测评对象在被测系统内部，与测评对象同一网段测试测评对象第三步，确定接入点。,50,方案编制活动任务之五-开发测评指导书,对象明确（适用范围）步骤描述准确、详细，预期结果明确经过仿真环境验证,51,方案编制活动任务之六-编制测评方案,1.根据委托测评协议书和填好的调研表格，提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等。2.依据委托测评协议书和被测系统规模，估算现场测评工作量，确定人员分工和测评计划。3.描述测评对象、测评方式和工具。4.描述测评指标。5.描述现场测评实施内容，包括单项测评和整体测评。6.汇总上述5个步骤的各类文档和资料形成测评方案文稿。7.评审和提交测评方案。,52,测评方案的构成,1概述2被测系统描述3测评对象与指标4测评方法与工具5测评内容与实施,53,1概述,项目简介测评依据,54,2被测系统描述,55,3测评对象与指标,56,4测评方法与工具,57,5测评内容与实施,58,5测评内容与实施,59,例如：,5测评内容与实施-工具测试,描述测试目的和测评实施过程。结合网络拓扑图，采用图示的方式描述测试工具的接入点、测试途径和测试对象等相关内容。,60,测评方案的评审,方案的可行性测评对象选择的合理性，与等级要求的测评力度的一致性测评指标选择的正确性测评方法的有效性和符合性测试工具与手段是否先进、可溯源，测试工具的测试路径和接入点是否合适测评内容的全面性，可能发生风险的测评内容在仿真环境中已进行过模拟测试，测试过程不会对系统造成影响任务分工、计划进度与资源安排的合理性等等,61,接受？,方案？测试技术？测评人员？风险可控？,62,方案编制活动可能遇到的问题,信息系统网络边界的确定测评对象选择原则的应用测试工具接入点的选择测评指导书的开发,63,现场测评活动,64,现场测评活动,65,现场测评活动的目标,按照测评方案的总体要求，严格执行测评指导书，分步实施所有测评项目，了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。,66,现场测评活动任务之一-现场测评准备,召开测评现场首次会，测评机构介绍测评工作，交流测评信息，进一步明确测评计划和方案中的内容，说明测评过程中具体的实施工作内容，测评时间安排等。测评双方对测评方案进行最终审定。测评双方确认现场测评需要的各种资源，包括被测单位的配合人员和需要提供的测评条件等，确认已备份过系统及数据。测评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。,67,现场测评活动任务之二-现场测评和结果记录,测评人员与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。测评人员查阅相关文档，获取相关证据。测评人员通过上机验证方式获取系统配置方面的相关证据。测评人员利用测试工具进行测试获取漏洞、通信安全性以及入侵防范等方面的证据。,68,现场测评活动任务之三-结果确认和资料归还,测评人员在现场测评完成之后，应首先汇总现场测评的测评记录，对漏掉和需要进一步验证的内容实施补充测评。召开测评现场结束会，测评双方对测评过程中发现的问题进行现场确认。测评机构归还测评过程中借阅的所有文档资料，并由被测单位文档资料提供者签字确认。,69,现场测评活动可能遇到的问题,配合、协调测评结果版本控制测试工具故障,70,报告编制活动,71,报告编制活动,72,报告编制活动的目标,分析测评结果，找出被测评系统的安全保护现状与相应等级的保护要求之间的差距，综合评价被测评系统整体安全保护能力，给出等级测评结论。,73,报告编制活动任务之一-判定单项测评结果,单个测评项说明单个测评项对应基本要求中的具体要求项，例如三级物理安全的防盗窃和防破坏的“a）应将主要设备放置在机房内；”。单个测评项的具体内容分为两种情况：1）每个要求项只提出一方面的要求内容，如“b)应根据安全策略设置登录终端的操作超时锁定；”；2）每个要求项含有两个或多个方面的要求内容，如“b)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录。”这个要求项就包含“保证无法中断审计进程”和“无法删除、修改或覆盖审计记录”两个方面的要求内容。,74,报告编制活动任务之一-判定单项测评结果,1.针对每个测评对象对应的每个测评项，分析该测评项所对抗的威胁在被测系统中是否存在，如果不存在，则该测评项应标为不适用项。对于适用项，则2.分析单个测评项是否有多方面的要求内容，依据“优势证据”法针对每一方面的要求内容，从一个或多个测评证据中选择出“优势证据”，并将“优势证据”与要求内容的预期测评结果相比较；3.如果测评证据表明所有要求内容与预期测评结果一致，则判定该测评项的单项测评结果为符合；如果测评证据表明所有要求内容与预期测评结果不一致，判定该测评项的单项测评结果为不符合；否则判定该测评项的单项测评结果为部分符合。,75,判定单项测评结果-关于优势证据,优势证据多个测评证据中那个/些对于某方面要求内容的符合性判定更具有证明力、说服力的测评证据。优势证据顺序物理安全测评，优势证据顺序一般为：实地察看证据文档审查证据访谈证据；技术安全方面的测评，优势证据顺序一般为：工具测试证据配置检查证据访谈证据；管理安全方面的测评，则要根据实际情况分析确定优势证据。,76,报告编制活动任务之二-判定单元测评结果,单元测评指标包含的所有测评项均为不适用项，则该测评对象对应该测评指标的单元测评结果为不适用；单元测评指标包含的所有适用测评项的单项测评结果均为符合或不符合，则该测评对象对应该测评指标的单元测评结果为符合或不符合；单元测评指标包含的所有适用测评项的单项测评结果不全为符合或不符合，则该测评对象对应该测评指标的单元测评结果为部分符合。,77,报告编制活动任务之三-整体测评,针对测评对象“部分符合”及“不符合”要求的单个测评项，分析与该测评项相关的其他测评项能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。针对测评对象“部分符合”及“不符合”要求的单个测评项，分析与该测评项相关的其他层面的测评对象能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。针对测评对象“部分符合”及“不符合”要求的单个测评项，分析与该测评项相关的其他区域的测评对象能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。,78,报告编制活动任务之四-风险分析和评价,1.结合单元测评的结果汇总和整体测评结果，将物理安全、网络安全、主机安全、应用安全等层面中各个测评对象的测评结果再次汇总分析，统计符合情况。2.判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性，可能性的取值范围为高、中和低。3.判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用后，对被测系统的业务信息安全和系统服务安全造成的影响程度，影响程度取值范围为高、中和低。4.综合2.和3.的结果，并按照选定的风险计算方法对被测系统面临的安全风险进行赋值，风险值的取值范围为高、中和低。5.结合被测系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。,79,报告编制活动任务之五-形成等级测评结论,等级测评结论：符合等级测评结果中不存在部分符合项或不符合项。基本符合等级测评结果中存在部分符合项或不符合项，但不会导致信息系统面临高等级安全风险。不符合等级测评结果中存在部分符合项或不符合项，导致信息系统面临高等级安全风险。,80,报告编制活动任务之六-编制测评报告,测评人员整理前面几项任务的输出/产品，编制测评报告相应部分。针对被测系统存在的安全隐患，从系统安全角度提出相应的改进建议，编制测评报告的安全建设整改建议部分。列表给出现场测评的文档清单和单项测评记录，以及对各个测评项的单项测评结果判定情况，编制测评报告的单元测评的结果记录和问题分析部分。评审测评报告。根据分发范围分发报告。,81,测评报告的构成,报告摘要1测评项目概述2被测信息系统情况3等级测评范围与方法4单元测评5整体测评6测评结果汇总7风险分析和评价8等级测评结论9安全建设整改建议,82,1测评项目概述,测评目的测评依据测评过程报告分发范围,83,2被测信息系统情况,承载的业务情况网络结构系统构成业务应用软件、关键数据类别、主机/存储设备、网络互联设备、安全设备、安全相关人员、安全管理文档安全环境前次测评情况（初次测评则没有该节）,84,3等级测评范围与方法,测评指标基本指标测评对象测评对象选择方法测评对象选择结果测评方法,85,4单元测评,物理安全结果记录结果汇总问题分析网络安全系统运维管理,86,5整体测评,安全控制间安全测评层面间安全测评区域间安全测评,87,6测评结果汇总,根据单元测评结果将单元测评的结果按照层面和安全控制进行汇总分析，以表格的形式，分别统计物理安全、网络安全、主机安全、应用安全、管理安全等各层面的不同安全控制的单元测评结果；针对每个定级对象分别列表；对于所有定级对象都涉及到的安全层面和安全控制应单独列表，避免重复。归并整理安全问题，并以表格形式进行描述。,88,7风险分析和评价,采用风险分析的方法分析信息系统等级测评结果中存在的安全问题可能被威胁利用的可能性和后果，综合分析给出信息系统面临的风险值，将安全问题按风险值从高到低排列的形式列表描述。,89,8等级测评结论（举例）,90,测评报告评审,测评结果判定的准确性测评结果理解和解释所需的信息的清晰、充足、正确和准确性整体测评分析的合理性风险分析方法的可行性和合理性；测评结果汇总与问题分析的正确性；测评结论的准确性；文本结构和内容与等级测评报告模版的一致性；报告审核、批准与签发过程的规范性,91,报告编制活动可能遇到的问题,整体测评分析不全面风险值难判断,92,内容目录,测评概述测评实施工作流程测评实施主要内容等级测评工作要求等级测评项目管理,93,开展等级测评的主要工作要求,依据标准，遵循原则恰当选取，保证强度规范行为，规避风险过程规范行为规范,94,测评机构能力,机构资质技术能力质量管理体系,95,测评机构职责,保证测评结果公正；制定内部保密制度，保证单位各类人员履行保密职责；指定专人负责保管等级测评的归档文件，负责文件的借阅登记。,96,行为规范-