信息安全等级保护测评实施

1、 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心信息系统安全信息系统安全等级保护等级保护测评实施测评实施张杰宏张杰宏四川省软件和信息系统工程测评中心四川省软件和信息系统工程测评中心2013年年03月月20日日 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心目录n第一篇第一篇 测评实施工作流程及主要

2、内容测评实施工作流程及主要内容n第二篇第二篇 GB/T 22239-2008 信息系统信息系统安全等级保护基本要求安全等级保护基本要求介绍介绍 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心第一篇第一篇测评实施工作流程及主要内容测评实施工作流程及主要内容 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心 测评流程测评流程 中

3、国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心测评准备活动的目标测评准备活动的目标测评机构组建等级测评测评机构组建等级测评项目组，项目组，获取获取测评委托单位及被测系统的测评委托单位及被测系统的基本情况基本情况，从基本资料、人员、，从基本资料、人员、计划安排等方面为整个等级测评计划安排等方面为整个等级测评项目的实施做项目的实施做基本准备基本准备。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409

4、NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心 测评准备活动测评准备活动n项目启动：项目启动：n组建测评项目组n编制项目计划书n确定测评委托单位应提供的资料：总体描述文件、详细描述文件、定级报告、自查报告和等级测评报告（如果曾做过的话），以及安全需求分析报告、安全总体方案、系统验收报告等信息系统设计和建设过程的文档。n信息收集和分析：信息收集和分析：n收集、查阅被测系统已有定级报告、系统描述文件、系统安全设计方案、自查报告和等级测评报告（如果曾做过的话）等资料n编制和发放调查表格n协助测评单位填写调查表或现场调查（电话或邮件方式）n收回和分析调查结果：整体网络结构和系统

5、组成分析、定级对象边界和系统构成组件分析、定级对象的相互关联分析n工具和表单准备：工具和表单准备：n调试测评工具n模拟被测系统，搭建测评环境n模拟测评n准备和打印表单：现场测评授权书、文档交接单、会议记录表单、会议签到表单等 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心测评准备活动任务之一测评准备活动任务之一-项目启动项目启动n根据测评双方签订的委托测评协议书和系根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组，从人统规模，测评机构组建测

6、评项目组，从人员方面做好准备，并编制项目计划书。员方面做好准备，并编制项目计划书。n测评机构要求测评委托单位提供基本资测评机构要求测评委托单位提供基本资料，包括被测系统总体描述文件、详细描料，包括被测系统总体描述文件、详细描述文件、安全需求分析报告、安全总体方述文件、安全需求分析报告、安全总体方案、系统验收报告、安全保护等级定级报案、系统验收报告、安全保护等级定级报告、自查或上次等级测评报告（如果有）告、自查或上次等级测评报告（如果有）、测评委托单位的信息化建设状况与发展、测评委托单位的信息化建设状况与发展以及联络方式等。以及联络方式等。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电

7、子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心测评准备活动任务之二测评准备活动任务之二-信息收集与分析的目标信息收集与分析的目标p通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，为编写测评方案和开展现场测评工作奠定基础。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心测评准备活动任务之二测评准备活动任务之二-信息收集与分析信息收集与分析n测评机构收

8、集等级测评需要的各种资料。测评机构收集等级测评需要的各种资料。n测评机构将调查表格提交给测评委托单位，测评机构将调查表格提交给测评委托单位， 促并协助相关人员准确填写调查表格。促并协助相关人员准确填写调查表格。n测评机构收回填写完成的调查表格，并初步测评机构收回填写完成的调查表格，并初步 析调查结果。析调查结果。n根据调查表格填写情况安排现场调研。根据调查表格填写情况安排现场调研。n对调查了解到的信息进行综合分析及整理，对调查了解到的信息进行综合分析及整理， 进一步了解和熟悉信息系统的实际情况。进一步了解和熟悉信息系统的实际情况。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监

9、督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心信息收集与分析信息收集与分析-调查表调查表n调查内容全面调查内容全面n调查项目顺序合理调查项目顺序合理n保留项目之间的逻辑关联保留项目之间的逻辑关联 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心信息收集与分析信息收集与分析-调查表调查表调查表清单调查表清单n表表1-1 单位基本情况单位基本情况n表表1-2 参与人员名单参与人员名单n表表

10、1-3 物理环境情况物理环境情况n表表1-4 信息系统基本情况信息系统基本情况n表表1-5 承载业务（服务）情况调查承载业务（服务）情况调查n表表1-6 信息系统网络结构（环境）情况调查信息系统网络结构（环境）情况调查n表表1-7 外联线路及设备端口（网络边界）情况调查外联线路及设备端口（网络边界）情况调查n表表1-8 网络设备情况调查网络设备情况调查n表表1-9 安全设备情况调查安全设备情况调查n表表1-10 服务器设备情况调查服务器设备情况调查n表表1-11 终端设备情况调查终端设备情况调查n表表1-12 系统软件情况调查系统软件情况调查n表表1-13 应用系统软件情况调查应用系统软件情况

11、调查n表表1-14 业务数据情况调查业务数据情况调查n表表1-15 数据备份情况调查数据备份情况调查n表表1-16 应用系统软件处理流程调查应用系统软件处理流程调查n表表1-17 业务数据流程调查业务数据流程调查n表表1-18 管理文档情况调查管理文档情况调查n表表1-19 安全威胁情况调查安全威胁情况调查 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心信息收集与分析信息收集与分析-调查内容调查内容p物理环境信息收集机房数量、物理位置办公环境p网络信息收集网

12、络拓扑图网络结构系统外联网络设备安全设备 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心信息收集与分析信息收集与分析-调查内容调查内容p主机主机信息收集信息收集服务器、工作站服务器、工作站终端终端业务终端、管理终端、设备控制台业务终端、管理终端、设备控制台p应用信息收集应用信息收集应用系统应用系统业务数据业务数据p管理信息收集管理信息收集机构设置机构设置人员职责分配人员职责分配管理文档管理文档 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督

13、检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心信息收集与分析信息收集与分析-调查结果分析调查结果分析n整体网络结构和系统组成分析整体网络结构和系统组成分析n定级对象边界和系统构成组件分析定级对象边界和系统构成组件分析n定级对象的相互关联分析定级对象的相互关联分析 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心调查结果分析调查结果分析-整体网络结构和系统组成分析整体网络结构和系统组成分析

14、p网络结构网络结构关注信息系统的支撑网络，分析 网络结构、网络区域、对外边界 等 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心调查结果分析调查结果分析-整体网络结构和系统组成分析整体网络结构和系统组成分析 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心调查结果分析调查结果分析-整体网络结构和系统组成分析整体网络结构和系统

15、组成分析p系统组成系统组成 关注信息系统中定级对象的数量关注信息系统中定级对象的数量 、每个定级对象的级别、每个定、每个定级对象的级别、每个定 级对象所处的网络区域、每个定级对象所处的网络区域、每个定 级对象承载的应用情况等级对象承载的应用情况等 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心调查结果分析调查结果分析-整体网络结构和系统组成分析整体网络结构和系统组成分析p边界分析边界分析分析和确定每个定级对象的系统分析和确定每个定级对象的系统边界，并确定其在

16、网络中的物理边界，并确定其在网络中的物理边界，多个定级对象的物理边界边界，多个定级对象的物理边界可能为一个，例如多个定级对象可能为一个，例如多个定级对象共用同一个防火墙或交换机作为共用同一个防火墙或交换机作为其边界设备。其边界设备。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心调查结果分析调查结果分析-整体网络结构和系统组成分析整体网络结构和系统组成分析p相互关联如各自为独立的应用系统，没有数据交换；或各自为独立的应用系统，但是通过特定的设备交换数据；或整

17、体为一个应用系统，不同的定级对象中部署应用系统的不同模块，数据交换通过不同模块乊间的数据通信实现等等。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心测评准备活动任务测评准备活动任务之之三三-工具和表单准备工具和表单准备n测评人员熟悉被测系统应用业务流程等。测评人员熟悉被测系统应用业务流程等。n测评人员调试本次测评过程中将用到的测评测评人员调试本次测评过程中将用到的测评工具，包括漏洞扫描工具、渗透性测试工具工具，包括漏洞扫描工具、渗透性测试工具、性能测试工具

18、和协议分析工具等。、性能测试工具和协议分析工具等。n测评人员模拟被测系统搭建测评环境。测评人员模拟被测系统搭建测评环境。n准备和打印表单，主要包括：现场测评授权准备和打印表单，主要包括：现场测评授权书、文档交接单、会议记录表单、会议签到书、文档交接单、会议记录表单、会议签到表单等。表单等。20 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心方案编制活动的目标方案编制活动的目标p整理测评准备活动中获取的 信息系统相关资料，为现场测评活动提供最基本的文档和指导方

19、案。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心 方案编制活动方案编制活动n测评对象确定：测评对象确定：n识别被测系统等级n识别被测系统的整体结构n识别被测系统的边界n识别被测系统的网络区域n识别被测系统的重点节点和业务应用n确定测评对象n测评指标确定：测评指标确定：n识别被测系统业务信息和系统服务安全保护等级n选择对应等级的ASG三类安全要求作为测评指标n就高原则调整多个定级对象共用的某些物理安全或管理安全测评指标n测评内容确定测评内容确定n识别每个测

20、评对象对应的测评指标n识别每个测评对象对应的每个测评指标的测评方法n工具测试方法确定工具测试方法确定n确定工具测试的测评对象n选择测试路径n确定测试工具的接入点n测评指导书开发测评指导书开发n从已有的测评指导书中选择与测评对象对应的手册n针对没有现成测评指导书的测评对象，开发新的测评指导书n测评方案编制测评方案编制n描述测评项目基本情况和工作依据n描述被测系统的整体结构、边界和网络区域n描述被测系统重要节点和业务应用n描述测评指标n描述测评对象n描述测评内容、方法和工具n人员安排与进度计划 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L

21、0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心23方案编制活动任务之一方案编制活动任务之一-确定测评对象确定测评对象p 识别被测评系统的安全保护等级p 识别被测评系统的整体结构p 识别被测评系统的边界p识别被测评系统的网络区域p识别被测评系统的重要节点和业务应用p根据上述级别、网络结构、边界等情况确定测 评对象 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心方案编制活动任务之一方案编制活动任务之一-确定测评对象确定测评对象n

22、测评对象的确定一般采用抽查的方法，即抽查信息系统中具有代表性的组件作为测评对象，并且在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心方案编制活动任务之一方案编制活动任务之一- -确定测评对象确定测评对象p测评对象种类上基本覆盖、数量进行抽样，抽查的测评对象种类主要考虑以下几个方面： n主中心（包括其环境、设备和设施等)和部分辅机房 n存储被测系统重要数据的介质的存放环境 n办公场地 n整个系统的网络

23、拓扑结构 n安全设备，包括防火墙、入侵检测设备和防病毒网关等 n边界网络设备（可能会包含安全设备)，包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机)等 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心方案编制活动任务之一方案编制活动任务之一-确定测评对象确定测评对象n对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等 n承载被测系统主要业务或数据的服务器（包括其操作系统和数据库) n管理终端和主要业务应用系统终端

24、 n能完成被测系统不同业务使命的业务应用系统 n业务备份系统 n信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人 n涉及到信息系统安全的所有管理制度和记录 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心27方案编制活动任务之二方案编制活动任务之二-确定测评指标确定测评指标p 测评指标来源于国家对不同测评指标来源于国家对不同安全保护等级信息系统的基本要安全保护等级信息系统的基本要求求GB/T 22239-2008 。p 依据定级情况确定

25、定级对象依据定级情况确定定级对象应采取的安全保护措施应采取的安全保护措施SAG组合组合情况，并从基本要求中选择相应情况，并从基本要求中选择相应等级的安全要求作为测评指标。等级的安全要求作为测评指标。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心28方案编制活动任务之三方案编制活动任务之三-确定测评内容确定测评内容测评指标测评指标测评对象测评对象p物理安全物理安全机房、办公环境、机房相关文机房、办公环境、机房相关文 档等档等p网络安全网络安全交换机、防火墙、

26、路由器、交换机、防火墙、路由器、IDS等等p主机安全主机安全操作系统、数据库系统等操作系统、数据库系统等p应用安全应用安全应用软件、应用平台等应用软件、应用平台等p管理安全管理安全文档（制度、规程、记录）、文档（制度、规程、记录）、人员等人员等 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心方案编制活动任务之四方案编制活动任务之四-确定工具测试方法确定工具测试方法n 第一步，确定工具测试的测评对象第一步，确定工具测试的测评对象n第二步，选择测试路径第二步，选

27、择测试路径 从被测系统外部测试被测系统从被测系统外部测试被测系统 在被测系统内部，从与测评对象不同在被测系统内部，从与测评对象不同网段测试测评对象网段测试测评对象 在被测系统内部，与测评对象同一网在被测系统内部，与测评对象同一网段测试测评对象段测试测评对象n第三步，确定接入点。第三步，确定接入点。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心方案编制活动任务之五方案编制活动任务之五-开发测评指导书开发测评指导书n对象明确（适用范围）对象明确（适用范围）n步

28、骤描述准确、详细，预期结果明确步骤描述准确、详细，预期结果明确n经过仿真环境验证经过仿真环境验证 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心方案编制活动任务之六方案编制活动任务之六-编制测评方案编制测评方案n1.根据委托测评协议书和填好的调研表格，提取项目来根据委托测评协议书和填好的调研表格，提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等。其他系统之间的连接情况等。n

29、2.依据委托测评协议书和被测系统规模，估算现场测评依据委托测评协议书和被测系统规模，估算现场测评工作量，确定人员分工和测评计划。工作量，确定人员分工和测评计划。n3.描述测评对象、测评方式和工具。描述测评对象、测评方式和工具。n4.描述测评指标。描述测评指标。n5.描述现场测评实施内容，包括单项测评和整体测评。描述现场测评实施内容，包括单项测评和整体测评。n6.汇总上述汇总上述5个步骤的各类文档和资料形成测评方案文个步骤的各类文档和资料形成测评方案文稿。稿。n7.评审和提交测评方案。评审和提交测评方案。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检

30、验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心现场测评活动的目标现场测评活动的目标p按照测评方案的总体要求，严格执按照测评方案的总体要求，严格执行测评指导书，分步实施所有测评行测评指导书，分步实施所有测评项目，了解系统的真实保护情况，项目，了解系统的真实保护情况，获取足够证据，发现系统存在的安获取足够证据，发现系统存在的安全问题。全问题。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心 现场测评活动现场测评活动

31、 n现场测评准备：现场测评准备：n现场测评授权书签署n召开现场测评启动会n双方确认测评方案n双方确认配合人员、环境等资源n确认信息系统已经备份n更新测评方案、结果记录表格等资料n现场测评和结果记录：现场测评和结果记录：n进场确认n依据测评指导书实施测评n记录测评获取的证据、资料等信息n汇总测评记录，如果需要，实施补充测评n离场确认n结果确认和资料归还结果确认和资料归还n召开现场测评结束会n测评委托单位确认测评过程中获取的证据和资料的正确性，并签字认可n测评人员归还借阅的各种资料 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 N

32、O.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心现场测评活动任务之一现场测评活动任务之一-现场测评准备现场测评准备n被测单位签署现场测评授权书。被测单位签署现场测评授权书。n召开测评现场首次会，测评机构介绉测评工作召开测评现场首次会，测评机构介绉测评工作，交流测评信息，进一步明确测评计划和方案中，交流测评信息，进一步明确测评计划和方案中的内容，说明测评过程中具体的实施工作内容，的内容，说明测评过程中具体的实施工作内容，测评时间安排等。测评时间安排等。n测评双方对测评方案进行最终审定。测评双方对测评方案进行最终审定。n测评双方确认现场测评需要的各种资源，包括测评双方确认现场测

33、评需要的各种资源，包括被测单位的配合人员和需要提供的测评条件等，被测单位的配合人员和需要提供的测评条件等，确认已备仹过系统及数据。确认已备仹过系统及数据。n测评人员根据会议沟通结果，对测评结果记录测评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。表单和测评程序进行必要的更新。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心现场测评活动任务之二现场测评活动任务之二-现场测评和结果记录现场测评和结果记录n测评人员与被测系统有关人员（个人测评人

34、员与被测系统有关人员（个人/群体）群体）进行交流、讨论等活动，获取相关证据，了解进行交流、讨论等活动，获取相关证据，了解有关信息。有关信息。n测评人员查阅相关文档，获取相关证据。测评人员查阅相关文档，获取相关证据。n测评人员通过上机验证方式获取系统配置方面测评人员通过上机验证方式获取系统配置方面的相关证据。的相关证据。n测评人员利用测试工具进行测试获取漏洞、通测评人员利用测试工具进行测试获取漏洞、通信安全性以及入侵防范等方面的证据。信安全性以及入侵防范等方面的证据。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L040

35、9 四川省信息系统工程测评中心四川省信息系统工程测评中心现场测评活动任务之二现场测评活动任务之二-现场测评现场测评p 依据工具和实施过程的不同，测试可以进一步细分为依据工具和实施过程的不同，测试可以进一步细分为信息获取、漏洞扫描、渗透测试、密码分析等方式。信息获取、漏洞扫描、渗透测试、密码分析等方式。 信息获取是指获取存活主机信息获取是指获取存活主机/设备的名称、设备的名称、IP 地址、操作系地址、操作系统、开放的服务端口以及特定的数据包等信息内容；统、开放的服务端口以及特定的数据包等信息内容； 漏洞扫描是指利用漏洞扫描设备对目标设备进行自动探测，漏洞扫描是指利用漏洞扫描设备对目标设备进行自动

36、探测，发现这些主机发现这些主机/设备上各个对网络开放端口上存在的错误配置设备上各个对网络开放端口上存在的错误配置和已知安全漏洞；和已知安全漏洞； 渗透测试是模拟黑客可能使用的攻击技术，试图侵入信息系渗透测试是模拟黑客可能使用的攻击技术，试图侵入信息系统或取得信息系统上的更多资源，以直观地测试信息系统的统或取得信息系统上的更多资源，以直观地测试信息系统的安全状况。安全状况。p 从不同接入点对信息系统进行漏洞扫描和渗透测试，从不同接入点对信息系统进行漏洞扫描和渗透测试，可以反映出信息系统在不同角度、不同视野下的安全可以反映出信息系统在不同角度、不同视野下的安全状况。状况。 中国赛宝（四川）实验室中

37、国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心现场测评活动任务之三现场测评活动任务之三-结果确认和资料归还结果确认和资料归还n测评人员在现场测评完成之后，应首先测评人员在现场测评完成之后，应首先汇总现场测评的测评记录，对漏掉和需汇总现场测评的测评记录，对漏掉和需要进一步验证的内容实施补充测评。要进一步验证的内容实施补充测评。n召开测评现场结束会，测评双方对测评召开测评现场结束会，测评双方对测评过程中发现的问题进行现场确认。过程中发现的问题进行现场确认。n测评机构归还测评过程中借阅的

38、所有文测评机构归还测评过程中借阅的所有文档资料，并由被测单位文档资料提供者档资料，并由被测单位文档资料提供者签字确认。签字确认。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心现场测评活动现场测评活动可能遇到的问题可能遇到的问题n 配合、协调配合、协调n测评结果版本控制测评结果版本控制n测试工具故障测试工具故障 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工

39、程测评中心四川省信息系统工程测评中心报告编制活动的目标报告编制活动的目标n分析测评结果，找出整个系统的安全保分析测评结果，找出整个系统的安全保护现状与相应等级的保护要求之间的差护现状与相应等级的保护要求之间的差距，综合评价被测系统整体安全保护能距，综合评价被测系统整体安全保护能力，给出等级测评结论。力，给出等级测评结论。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心 报告编制活动报告编制活动n单项测评结果判定单项测评结果判定n分析测评项所对抗威胁的存在情况

40、n分析单个测评项是否有多方面的要求内容，依据“优势证据”法选择优势证据，并将优势证据与预期测评结果相比较n综合判定单个测评项的测评结果n单元测评结果判定单元测评结果判定n汇总每个测评对象在每个测评单元的单项测评结果n判定每个测评对象的单元测评结果n整体测评整体测评n分析不符合和部分符合的测评项与其他测评项（包括单元内、层面间、区域间）之间的关联关系及对结果的影响情况n风险分析风险分析n整体测评后的单元测评结果再次汇总n分析部分符合项或不符合项所产生的安全问题被威胁利用的可能性n分析威胁利用安全问题后造成的影响程度n按照测评单位选定的风险分析方法对被测系统面临的安全风险进行赋值n评价风险分析结果

41、n等级测评结论形成等级测评结论形成n统计再次汇总后的单元测评结果为部分符合和不符合项的项数n形成等级测评结论n测评报告编制测评报告编制n概述测评项目情况n描述被测系统情况n描述测评范围和方法n描述单元测评情况n描述整体测评情况n汇总测评结果n描述风险情况n给出等级测评结论和整改建议 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心报告编制活动任务之一报告编制活动任务之一-判定单项测评结果判定单项测评结果n1.针对每个测评对象对应的每个测评项，分析该测评针对每个

42、测评对象对应的每个测评项，分析该测评项所对抗的威胁在被测系统中是否存在，如果不存在项所对抗的威胁在被测系统中是否存在，如果不存在，则该测评项应标为不适用项。对于适用项，则，则该测评项应标为不适用项。对于适用项，则n2.分析单个测评项是否有多方面的要求内容，依据分析单个测评项是否有多方面的要求内容，依据“优势证据优势证据”法针对每一方面的要求内容，从一个或法针对每一方面的要求内容，从一个或多个测评证据中选择出多个测评证据中选择出“优势证据优势证据”，并将，并将“优势证优势证据据”与要求内容的预期测评结果相比较；与要求内容的预期测评结果相比较；n3.如果测评证据表明所有要求内容与预期测评结果如果测

43、评证据表明所有要求内容与预期测评结果一致，则判定该测评项的单项测评结果为符合；如果一致，则判定该测评项的单项测评结果为符合；如果测评证据表明所有要求内容与预期测评结果不一致，测评证据表明所有要求内容与预期测评结果不一致，判定该测评项的单项测评结果为不符合；否则判定该判定该测评项的单项测评结果为不符合；否则判定该测评项的单项测评结果为部分符合。测评项的单项测评结果为部分符合。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心判定单项测评结果判定单项测评结果-关于

44、优势证据关于优势证据p优势证据优势证据多个测评证据中那个多个测评证据中那个/些对于某方面要求内容的符合些对于某方面要求内容的符合性判定更具有证明力、说服力的测评证据。性判定更具有证明力、说服力的测评证据。p优势证据顺序优势证据顺序物理安全测评，优势证据顺序一般为：实地察看证物理安全测评，优势证据顺序一般为：实地察看证 据据文档审查证据文档审查证据访谈证据；访谈证据；技术安全方面的测评，优势证据顺序一般为：工具技术安全方面的测评，优势证据顺序一般为：工具测试证据测试证据配置检查证据配置检查证据访谈证据；访谈证据；管理安全方面的测评，则要根据实际情况分析确定管理安全方面的测评，则要根据实际情况分析

45、确定优势证据。优势证据。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心报告编制活动任务之二报告编制活动任务之二-判定单元测评结果判定单元测评结果n单元测评指标包含的所有测评项均为不适用项单元测评指标包含的所有测评项均为不适用项，则该测评对象对应该测评指标的单元测评结，则该测评对象对应该测评指标的单元测评结果为不适用；果为不适用；n单元测评指标包含的所有适用测评项的单项测单元测评指标包含的所有适用测评项的单项测评结果均为符合或不符合，则该测评对象对应评结果均

46、为符合或不符合，则该测评对象对应该测评指标的单元测评结果为符合或不符合；该测评指标的单元测评结果为符合或不符合；n单元测评指标包含的所有适用测评项的单项测单元测评指标包含的所有适用测评项的单项测评结果不全为符合或不符合，则该测评对象对评结果不全为符合或不符合，则该测评对象对应该测评指标的单元测评结果为部分符合。应该测评指标的单元测评结果为部分符合。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心报告编制活动任务之三报告编制活动任务之三-整体测评整体测评n针对

47、测评对象针对测评对象“部分符合部分符合”及及“不符合不符合”要求的单个测评项，分要求的单个测评项，分析与该测评项相关的析与该测评项相关的其他测评项其他测评项能否和它发生关联关系，发生什能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以么样的关联关系，这些关联关系产生的作用是否可以“弥补弥补”该该测评项的不足，以及该测评项的不足是否会影响与其有关联关系测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。的其他测评项的测评结果。n针对测评对象针对测评对象“部分符合部分符合”及及“不符合不符合”要求的单个测评项，要求的单个测评项，分析与该测评项相关

48、的分析与该测评项相关的其他层面其他层面的测评对象能否和它发生关联关的测评对象能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补弥补”该测评项的不足，以及该测评项的不足是否会影响与其该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。有关联关系的其他测评项的测评结果。n针对测评对象针对测评对象“部分符合部分符合”及及“不符合不符合”要求的单个测评项，要求的单个测评项，分析与该测评项相关的分析与该测评项相关的其他区域其他区域的测评对象能否和它发生关联关的测评对象能否和它发生关联关系，

49、发生什么样的关联关系，这些关联关系产生的作用是否可以系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补弥补”该测评项的不足，以及该测评项的不足是否会影响与其该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。有关联关系的其他测评项的测评结果。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心报告编制活动任务之四报告编制活动任务之四-风险分析和评价风险分析和评价n1.结合单元测评的结果汇总和整体测评结果，将物理安全、网络

50、安结合单元测评的结果汇总和整体测评结果，将物理安全、网络安全、主机安全、应用安全等层面中各个测评对象的测评结果再次汇全、主机安全、应用安全等层面中各个测评对象的测评结果再次汇总分析，统计符合情况。总分析，统计符合情况。n2.判断测评结果汇总中部分符合项或不符合项所产生的安全问题被判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性，可能性的取值范围为高、中和低。威胁利用的可能性，可能性的取值范围为高、中和低。n3.判断测评结果汇总中部分符合项或不符合项所产生的安全问题被判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用后，对被测系统的业务信息安全和系统服务安全

51、造成的影威胁利用后，对被测系统的业务信息安全和系统服务安全造成的影响程度，影响程度取值范围为高、中和低。响程度，影响程度取值范围为高、中和低。n4.综合综合2.和和3.的结果，并按照选定的风险计算方法对被测系统面临的结果，并按照选定的风险计算方法对被测系统面临的安全风险进行赋值，风险值的取值范围为高、中和低。的安全风险进行赋值，风险值的取值范围为高、中和低。n5.结合被测系统的安全保护等级对风险分析结果进行评价，即对国结合被测系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成

52、的风险。益造成的风险。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心报告编制活动任务之五报告编制活动任务之五-形成等级测评结论形成等级测评结论等级测评结论：等级测评结论：p符合符合等级测评结果中不存在部分符合项或不符合项。等级测评结果中不存在部分符合项或不符合项。p基本符合基本符合等级测评结果中存在部分符合项或不符合项，但不会等级测评结果中存在部分符合项或不符合项，但不会导致信息系统面临高等级安全风险。导致信息系统面临高等级安全风险。p不符合不符合等级测评

53、结果中存在部分符合项或不符合项，导致信等级测评结果中存在部分符合项或不符合项，导致信息系统面临高等级安全风险。息系统面临高等级安全风险。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心报告编制活动任务之六报告编制活动任务之六-编制测评报告编制测评报告n测评人员整理前面几项任务的输出测评人员整理前面几项任务的输出/产品，编制测评报产品，编制测评报告相应部分。告相应部分。n针对被测系统存在的安全隐患，从系统安全角度提出针对被测系统存在的安全隐患，从系统安全角度提

54、出相应的改进建议，编制测评报告的安全建设整改建议相应的改进建议，编制测评报告的安全建设整改建议部分。部分。n列表给出现场测评的文档清单和单项测评记录，以及列表给出现场测评的文档清单和单项测评记录，以及对各个测评项的单项测评结果判定情况，编制测评报对各个测评项的单项测评结果判定情况，编制测评报告的单元测评的结果记录和问题分析部分。告的单元测评的结果记录和问题分析部分。n评审测评报告。评审测评报告。n根据分发范围分发报告。根据分发范围分发报告。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评

55、中心四川省信息系统工程测评中心测评报告的构成测评报告的构成n报告摘要报告摘要n1 测评项目概述测评项目概述n2被测信息系统情况被测信息系统情况n3 等级测评范围与方法等级测评范围与方法n4 单元测评单元测评n5 整体测评整体测评n6 测评结果汇总测评结果汇总n7 风险分析和评价风险分析和评价n8 等级测评结论等级测评结论n9 安全建设整改建议安全建设整改建议 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心第二篇第二篇GB/T 22239-2008 GB/T

56、22239-2008 信息系统安信息系统安全等级保护基本要求全等级保护基本要求介绍介绍 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心概述概述n “标尺”、达标线;n 基本的安全状态;n 保护的出发点; 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心基本要求组成基本要求组成p技术要求：技术要求： 物理安全物理安全 网络安全

57、网络安全 主机安全主机安全 应用安全应用安全 数据安全及备份恢复数据安全及备份恢复p管理要求：管理要求： 安全管理制度安全管理制度安全管理机构安全管理机构人员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心物理安全n物理安全要求主要由机房（包括主、辅机房、介质存放间等）所部署的设备设施和采取的安全技术措施两方面提供的功能来满足。n部分物理安全要求涉及到终端所在的办公场地。 中国赛宝（四川）实

58、验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心物理安全-控制点（三级S3A3G3）n物理位置的选择2n物理访问控制 4n防盗窃和防破坏6n防雷击 3n防火 3n防水和防潮4n防静电 2n温湿度控制1n电力供应 4n电磁防护 3 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心网络安全n网络安全要求中对广域网络、城域网络等通信网络的要求由构成通

59、信网络的网络设备、安全设备等的网络管理机制提供的功能来满足。n对局域网安全的要求主要通过采用防火墙、入侵检测系统、恶意代码防范系统、安全管理中心等设备提供的安全功能来满足。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心网络安全-控制点n结构安全 7n访问控制 8n安全审计 4n边界完整性检查2n入侵防范 2n恶意代码防范2n网络设备防护8 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO

60、.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心主机安全n主机包括应用服务器、数据库服务器、安全软件所安装的服务器及管理终端、业务终端、办公终端等。n主机安全要求通过操作系统、数据库管理系统及其他安全软件（包括防病毒、防入侵、木马检测等软件）实现的安全功能来满足。 中国赛宝（四川）实验室中国赛宝（四川）实验室 四川省电子产品监督检验所四川省电子产品监督检验所 NO.L0409 NO.L0409 四川省信息系统工程测评中心四川省信息系统工程测评中心n身份鉴别 6n访问控制 7n安全审计 6n剩余信息保护 2n入侵防范 3n恶意代码防范 3n资源控制 5主机安全-控制点 中国赛宝