等级保护测评讲解

1、等级保护测评介绍等级保护测评介绍 2 2 v 主要内容主要内容 等级保护测评简介等级保护测评简介 等级保护测评内容等级保护测评内容 等级保护测评流程等级保护测评流程 等级保护测评方式、技术和工具等级保护测评方式、技术和工具 1.1.等级保护测评目的等级保护测评目的 2.2.等级保护测评依据等级保护测评依据 3.3.等级保护测评原则等级保护测评原则 v 等级保护测评简介等级保护测评简介 1.1.等级保护测评目的等级保护测评目的 2.2.等级保护测评依据等级保护测评依据 3.3.等级保护测评原则等级保护测评原则 v 等级保护测评简介等级保护测评简介 5 5 v 等级保护测评目的等级保护测评目的 1

2、.1.等级保护测评目的等级保护测评目的 2.2.等级保护测评依据等级保护测评依据 3.3.等级保护测评原则等级保护测评原则 v 等级保护测评简介等级保护测评简介 7 7 v 等级保护测评依据等级保护测评依据 1.1.信息系统信息系统建设完成后建设完成后，运营、使用单位或者其主管部门应，运营、使用单位或者其主管部门应 当选择符合本办法规定条件的测评机构，依据当选择符合本办法规定条件的测评机构，依据信息系统安信息系统安 全等级保护测评要求全等级保护测评要求等技术标准等技术标准，定期对信息系统安全等，定期对信息系统安全等 级状况开展级状况开展等级测评等级测评； 2.2.第三级信息系统第三级信息系统应

3、当应当每年每年至少进行一次等级测评，至少进行一次等级测评，第四级第四级 信息系统信息系统应当应当每半年每半年至少进行一次等级测评，至少进行一次等级测评，第五级信息系第五级信息系 统统应当依据特殊安全需求进行等级测评；应当依据特殊安全需求进行等级测评； 3.3.信息系统运营、使用单位及其主管部门应当定期对信息系信息系统运营、使用单位及其主管部门应当定期对信息系 统安全状况、安全保护制度及措施的落实情况进行自查。第统安全状况、安全保护制度及措施的落实情况进行自查。第 三级信息系统应当每年至少进行一次自查，第四级信息系统三级信息系统应当每年至少进行一次自查，第四级信息系统 应当每半年至少进行一次自查

4、，第五级信息系统应当依据特应当每半年至少进行一次自查，第五级信息系统应当依据特 殊安全需求进行自查；殊安全需求进行自查； 4.4.经经测评测评或者自查，信息系统安全状况或者自查，信息系统安全状况未达到安全保护等级未达到安全保护等级 要求的要求的，运营、使用单位应当，运营、使用单位应当制定方案进行整改制定方案进行整改 信息安全等级保护管理办法信息安全等级保护管理办法( (公通字公通字200743200743号号) ) 8 8 v 等级保护测评依据等级保护测评依据 GB17859-1999 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 GB/T22239-2008信息安全技

5、术信息安全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求 GB/T 20008-2005 信息安全技术信息安全技术 操作系统安全测评准则操作系统安全测评准则 GB/T 20009-2005 信息安全技术信息安全技术 数据库管理系统安全测评准则数据库管理系统安全测评准则 GB/T 20010-2005 信息安全技术信息安全技术 包过滤防火墙测评准则包过滤防火墙测评准则 GB/T 20011-2005 信息安全技术信息安全技术 路由器安全测评准则路由器安全测评准则 相相 关关 标标 准准 测评主要标准测评主要标准 参考技术标准参考技术标准 GB/TXXXX-XXXX信息安全技术信息

6、系统安全等级保护测评要求信息安全技术信息系统安全等级保护测评要求 (报批稿报批稿) GB/T24856-2009信息安全技术信息安全技术 信息系统等级保护安全设计技术信息系统等级保护安全设计技术 要求要求 1.1.等级保护测评目的等级保护测评目的 2.2.等级保护测评依据等级保护测评依据 3.3.等级保护测评原则等级保护测评原则 v 等级保护测评简介等级保护测评简介 1010 v 等级保护测评原则等级保护测评原则 测评工作的开展、方案的设计和具体实施均需依据我测评工作的开展、方案的设计和具体实施均需依据我 国等级保护的相关标准进行。国等级保护的相关标准进行。 1111 v 等级保护测评原则等级

7、保护测评原则 为用户提供规范的服务，工作中的过程和文档需具有为用户提供规范的服务，工作中的过程和文档需具有 良好的规范性，可以便于项目的跟踪和控制。良好的规范性，可以便于项目的跟踪和控制。 1212 v 等级保护测评原则等级保护测评原则 为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目 的跟踪和控制 测评过程和所使用的工具具备可控性，测评项目所采用测评过程和所使用的工具具备可控性，测评项目所采用 的工具都经过多次测评项目考验，或者是根据具体要的工具都经过多次测评项目考验，或者是根据具体要 求和组织的具体网络特点定制的，具有良好的可控性。求和组织的具体网络特点定制的，具有

8、良好的可控性。 1313 v 等级保护测评原则等级保护测评原则 为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目 的跟踪和控制 测评服务从组织的实际需求出发，从业务角度进行测评，测评服务从组织的实际需求出发，从业务角度进行测评， 而不是局限于网络、主机等单个的安全层面，涉及到而不是局限于网络、主机等单个的安全层面，涉及到 安全管理和业务运营，保障整体性和全面性。安全管理和业务运营，保障整体性和全面性。 1414 v 等级保护测评原则等级保护测评原则 为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目 的跟踪和控制 测评工作具备充分的计测评工作具备充

9、分的计 划性，不对现有的运划性，不对现有的运 行和业务的正常提供行和业务的正常提供 产生显著影响，尽可产生显著影响，尽可 能小地影响系统和网能小地影响系统和网 络的正常运行。络的正常运行。 1515 v 等级保护测评原则等级保护测评原则 从公司、人员、过程三个从公司、人员、过程三个 方面进行保密控制：方面进行保密控制： 1.1.测评公司与甲方双方签测评公司与甲方双方签 署保密协议，不得利用署保密协议，不得利用 测评中的任何数据进行测评中的任何数据进行 其他有损甲方利益的活其他有损甲方利益的活 动；动； 2.2.人员保密，公司内部签人员保密，公司内部签 订保密协议；订保密协议； 3.3.在测评过

10、程中对测评数在测评过程中对测评数 据严格保密。据严格保密。 1616 v 等级保护测评原则等级保护测评原则 根据被测信息系统根据被测信息系统 的实际业务需求、的实际业务需求、 功能需求、以及功能需求、以及 对应的安全建设对应的安全建设 情况，开展针对情况，开展针对 性较强的测评工性较强的测评工 作。作。 1717 v 主要内容主要内容 等级保护测评简介等级保护测评简介 等级保护测评内容等级保护测评内容 等级保护测评流程等级保护测评流程 等级保护测评方式、技术和工具等级保护测评方式、技术和工具 等级保护相关政策介绍等级保护相关政策介绍 v 等级保护测评内容等级保护测评内容 1818 测测 评评

11、内内 容容 测评内容覆盖组织的重要信息资产测评内容覆盖组织的重要信息资产 技术层面：测评和分析在网络和主机上存在的安全技术风险，技术层面：测评和分析在网络和主机上存在的安全技术风险， 包括物理环境、网络设备、主机系统、数据库、应用系统等软包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备硬件设备 管理层面：从组织的人员、组织结构、管理制度、系统运行保管理层面：从组织的人员、组织结构、管理制度、系统运行保 障措施，以及其它运行管理规范等角度，分析业务运作和管理障措施，以及其它运行管理规范等角度，分析业务运作和管理 方面存在的安全缺陷方面存在的安全缺陷 通过对以上各种安全威胁的分析和

12、汇总，形成组织的安全测评通过对以上各种安全威胁的分析和汇总，形成组织的安全测评 报告报告 根据组织的安全测评报告和安全现状，提出相应的安全整改建根据组织的安全测评报告和安全现状，提出相应的安全整改建 议，指导下一步的信息安全建设议，指导下一步的信息安全建设 1919 v 主要内容主要内容 等级保护测评简介等级保护测评简介 等级保护测评内容等级保护测评内容 等级保护测评流程等级保护测评流程 等级保护测评方式、技术和工具等级保护测评方式、技术和工具 等级保护相关政策介绍等级保护相关政策介绍 v 等级保护测评流程等级保护测评流程 2020 前期沟通前期沟通 v 等级保护测评流程等级保护测评流程 21

13、21 前期沟通前期沟通 v 等级保护测评流程等级保护测评流程 2222 前期沟通前期沟通 v 等级保护测评流程等级保护测评流程 2323 前期沟通前期沟通测评实施测评实施 v 等级保护测评流程等级保护测评流程 2424 前期沟通前期沟通测评实施测评实施 v 等级保护测评流程等级保护测评流程 2525 前期沟通前期沟通测评实施测评实施形成报告形成报告 v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物 2626 前期沟通前期沟通测评实施测评实施形成报告形成报告 系统名称系统名称 主管机构主管机构 系统承载系统承载 业务情况业务情况 业务类型 1生产作业 2指挥调度 3管理控制 4内部

14、办公 5公众服务 9其他 业务描述 系统服务系统服务 情况情况 服务范围 10全国 11跨省（区、市） 跨 个 20全省（区、市） 21跨地（市、区） 跨 个 30地（市、区）内 99其它 服务对象 1单位内部人员 2社会公众人员 3两者均包括 9其他 系统网络系统网络 平台平台 覆盖范围 1局域网 2城域网 3广域网 9其他 网络性质 1业务专网 2互联网 9其它 系统互联系统互联 情况情况 1与其他行业系统连接 2与本行业其他单位系统连接 3与本单位其他系统连接 9其它 业务信息安全保护等级业务信息安全保护等级 系统服务安全保护等级系统服务安全保护等级 信息系统安全保护等级信息系统安全保护

15、等级 1 本报告模板针对作为单一定级对象的信息系统制定。 被被测测系系统统基本信基本信 息采集表息采集表 v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物 2727 前期沟通前期沟通测评实施测评实施形成报告形成报告 1 本报告模板针对作为单一定级对象的信息系统制定。 序号序号软件名称软件名称主要功能主要功能重要程度重要程度 业务应业务应用用软软件件统计统计表表 序号序号数据类型数据类型所属业务应用所属业务应用主机主机/存储设备存储设备重要程度重要程度 关键数关键数据据类别统计类别统计表表 序号序号设备名称设备名称操作系统操作系统/数据库管理系统数据库管理系统业务应用软件业务应用软

16、件 主机主机/ /存存储设备统计储设备统计表表 v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物 2828 前期沟通前期沟通测评实施测评实施形成报告形成报告 序号序号设备名称设备名称用用 途途重要程度重要程度 网络网络互互联联及安全及安全设备设备 统计统计表表 序号序号姓名姓名岗位岗位/角色角色联系方式联系方式 安全相安全相关关人人员统计员统计表表 序号序号文档名称文档名称主要内容主要内容 安全管理文安全管理文档统计档统计表表 序号序号威胁分威胁分(子子)类类描述描述威胁赋值威胁赋值 威威胁统计胁统计表表 v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物 2929

17、前期沟通前期沟通测评实施测评实施形成报告形成报告 1 1、项目概述、项目概述 2 2、工作依据、工作依据 3 3、工作内容、工作内容 4 4、任务分工、任务分工 5 5、时间计划、时间计划 6 6、项目评审、项目评审 测评测评工作工作计划计划 1 1、项目概述、项目概述 2 2、测评对象、测评对象 3 3、测评指标、测评指标 4 4、测评方式和工具、测评方式和工具 5 5、层面测评实施、层面测评实施 6 6、系统测评实施、系统测评实施 测评测评方案方案 v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物 3030 前期沟通前期沟通测评实施测评实施形成报告形成报告 类别类别测评内容测

18、评内容结果记录结果记录符合情况符合情况 网络访问控制网络访问控制 a) a) 应在网络边界部署访问控制设备，启用访应在网络边界部署访问控制设备，启用访 问控制功能；问控制功能； b) b) c) c) d) d) e) e) f) f) g) g) h) h) 现场测评结现场测评结果果 记录记录表表 v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物 3131 前期沟通前期沟通测评实施测评实施形成报告形成报告 序号序号名称名称 测评指标子类测评指标子类 网络网络 结构结构 安全安全 网络网络 访问访问 控制控制 网络网络 安全审安全审 计计 边界边界 完整性完整性 检查检查 网络网

19、络 入侵入侵 防范防范 恶意恶意 代码代码 防范防范 网络网络 设备设备 防护防护 1 1 IOS_IOS_ 路由路由 器器 _ 内内 部部_1 部分部分 符合符合 4/74/7 符合符合 0/40/4 符合符合 0/60/6 符合符合 0/20/2 不符不符 合合 2/22/2 不符不符 合合 2/22/2 部分部分 符合符合 6/96/9 2 2 I O S _I O S _ 路由路由 器器 _VPN _1 单单元元测评结测评结果果 汇总汇总表表 v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物 3232 前期沟通前期沟通测评实施测评实施形成报告形成报告 序号分类子类 符合情

20、况 符合部分符合不符合 1 物理安全 物理位置的选择 2物理访问控制 3防盗窃和防破坏 4防雷击 5防火 6防水和防潮 7防静电 8温湿度控制 9电力供应 10电磁防护 11 网络安全 结构安全 12 访问控制 13 安全审计 14 边界完整性检查 15 入侵防范 16 恶意代码防范 17 网络设备防护 18 主机安全 身份鉴别 19 安全标记 20 访问控制 21 可信路径 22 安全审计 23 剩余信息保护 24 入侵防范 25 恶意代码防范 26 资源控制 27 应用安全 身份鉴别 28 安全标记 29 访问控制 30 可信路径 31 安全审计 32 剩余信息保护 33 通信完整性 34

21、 通信保密性 35 抗抵赖 36 软件容错 37 资源控制 38 数据安全 及备份恢 复 数据完整性 39 数据保密性 40 备份和恢复 41 安全管理 制度 管理制度 42 制定和发布 43 评审和修订 44 安全管理机构 岗位设置 45人员配备 46 授权和审批 47 沟通和合作 48 审核和检查 49 人员安全管理 人员录用 50人员离岗 51人员考核 52 安全意识教育和培训 53 外部人员访问管理 54 系统建设管理 系统定级 55 安全方案设计 56 产品采购和使用 57 自行软件开发 58 外包软件开发 59工程实施 60测试验收 61系统交付 62系统备案 63等级测评 64

22、安全服务商选择 65 系统运维管理 环境管理 66资产管理 67介质管理 68设备管理 69 监控管理和安全管理中心 70 网络安全管理 71 系统安全管理 72 恶意代码防范管理 73密码管理 74变更管理 75 备份与恢复管理 76 安全事件处置 77 应急预案管理 测评结测评结果果 统计统计表表 v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物 3333 前期沟通前期沟通测评实施测评实施形成报告形成报告 序号序号分类分类子类子类 符合情况符合情况 符合符合部分符合部分符合不符合不符合 1 物理安全物理安全 物理位置的选择物理位置的选择 2物理访问控制物理访问控制 3防盗窃和

23、防破坏防盗窃和防破坏 4防雷击防雷击 5防火防火 6防水和防潮防水和防潮 7防静电防静电 8温湿度控制温湿度控制 9电力供应电力供应 10电磁防护电磁防护 测评结测评结果果 统计统计表表 v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物 3434 前期沟通前期沟通测评实施测评实施形成报告形成报告 1 1、测评项目概述、测评项目概述 2 2、被测系统情况、被测系统情况 3 3、等级测评范围与方法、等级测评范围与方法 4 4、等级测评内容、等级测评内容 5 5、等级测评结果、等级测评结果 6 6、风险分析和评价、风险分析和评价 7 7、系统安全建设、整改建议、系统安全建设、整改建议

24、附：信息系统安全等级保护备案表附：信息系统安全等级保护备案表 安全安全测评报测评报告告 3535 v 主要内容主要内容 等级保护测评简介等级保护测评简介 等级保护测评内容等级保护测评内容 等级保护测评流程等级保护测评流程 等级保护测评方式、技术和工具等级保护测评方式、技术和工具 等级保护相关政策介绍等级保护相关政策介绍 v 等级保护测评方式、技术和工具等级保护测评方式、技术和工具 访谈访谈检查检查测试测试 访谈是测评人员通过与信息系统有访谈是测评人员通过与信息系统有 关人员（个人关人员（个人/ /群体）进行交流、讨论等群体）进行交流、讨论等 活动，获取证据以证明信息系统安全等活动，获取证据以证

25、明信息系统安全等 级保护措施是否有效的一种方法。级保护措施是否有效的一种方法。 在访谈的广度上，应基本覆盖所有在访谈的广度上，应基本覆盖所有 的安全相关人员类型，在数量上可以抽的安全相关人员类型，在数量上可以抽 样；在访谈的深度上，应较全面，需包样；在访谈的深度上，应较全面，需包 含通用和高级的问题以及一些有难度和含通用和高级的问题以及一些有难度和 探索性的问题。探索性的问题。 v 等级保护测评方式、技术和工具等级保护测评方式、技术和工具 访谈访谈检查检查测试测试 检查是指测评人员通过对测评对象检查是指测评人员通过对测评对象 进行观察、查验、分析等活动，获取证进行观察、查验、分析等活动，获取证

26、 据以证明信息系统安全等级保护措施是据以证明信息系统安全等级保护措施是 否有效的一种方法。否有效的一种方法。 在检查的广度上，应基本覆盖所有在检查的广度上，应基本覆盖所有 的对象种类（文档、机制等），数量上的对象种类（文档、机制等），数量上 可以抽样；在检查的深度上，应较为全可以抽样；在检查的深度上，应较为全 面，要有详细、彻底的分析、观察和研面，要有详细、彻底的分析、观察和研 究。究。 v 等级保护测评方式、技术和工具等级保护测评方式、技术和工具 访谈访谈检查检查测试测试 测试是指测评人员通过对测评对象按照预定测试是指测评人员通过对测评对象按照预定 的方法的方法/ /工具使其产生特定的响应等

27、活动，查看、工具使其产生特定的响应等活动，查看、 分析响应输出结果，获取证据以证明信息系统安分析响应输出结果，获取证据以证明信息系统安 全等级保护措施是否有效的一种方法。全等级保护措施是否有效的一种方法。 在测试的广度上，应基本覆盖不同类型的机在测试的广度上，应基本覆盖不同类型的机 制，在数量、范围上可以抽样；在测试的深度上，制，在数量、范围上可以抽样；在测试的深度上， 应执行安全测试和渗透测试，安全测试可能涉及应执行安全测试和渗透测试，安全测试可能涉及 机制的功能规范、高级设计和操作规程等文档，机制的功能规范、高级设计和操作规程等文档， 渗透测试可能涉及机制的所有可用文档，并试图渗透测试可能

28、涉及机制的所有可用文档，并试图 智取进入信息系统。智取进入信息系统。 v 等级保护测评方式、技术和工具等级保护测评方式、技术和工具 网络扫描网络扫描 网络扫描用于本地或远程检测系统可能存网络扫描用于本地或远程检测系统可能存 在的弱点。弱点扫描工具（在的弱点。弱点扫描工具（ScannerScanner）是一）是一 个或一组自动化工具，使用弱点扫描工具个或一组自动化工具，使用弱点扫描工具 能够高效率地收集业务系统的信息。例如，能够高效率地收集业务系统的信息。例如， 一个网络端口扫描工具可以快速识别大量一个网络端口扫描工具可以快速识别大量 主机开放的服务，获得业务系统所涉及的主机开放的服务，获得业务系统所涉及的 每个每个IT IT 设备的运行状态。网络扫描遵循扫设备的运行状态。网络扫描遵循扫 描时间段选择、单点试扫、主备分开等原描时间段选择、单点试扫、主备分开等原 则。扫描结束后，提交经过分析的扫描报则。扫描结束后，提交经过分析的扫描报 告，以及扫描原始报告。告