信息安全等级保护测评指南

信息平安等级保护测评整理ppt目录国家对等级保护测评的要求等级保护测评本卷须知等级保护测评要求〔局部解读〕等级保护测评过程等级保护测评中常见问题

整理ppt国家对等级保护测评的要求?管理方法?〞等级保护的实施与管理“第十四条信息系统建设完成后，运营、使用单位或者其主管部门应中选择符合本方法规定条件的测评单位，依据?信息系统平安等级保护测评要求?等技术标准，定期对信息系统平安等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊平安需求进行等级测评。整理ppt广东省平安保护条例对测评要求第十二条第二级以上计算机信息系统建设完成后，运营、使用单位或者其主管部门应中选择符合国家规定的平安等级测评机构，依据国家规定的技术标准，对计算机信息系统平安等级状况开展等级测评，测评合格前方可投入使用。第十三条计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展平安等级测评，并对计算机信息系统平安状况、平安管理制度及措施的落实情况进行自查。计算机信息系统平安状况经测评或者自查，未到达平安等级保护要求的，运营、使用单位应当进行整改。整理ppt广东省公安厅关于计算机信息系统平安保护的实施方法〔一〕第二十二条我省对测评机构实施备案制度。符合第二十一条规定的条件，承担第二级以上的计算机信息系统测评工作的机构应当到省公安厅公共信息网络平安监察部门备案。第二十五条第二级以上的计算机信息系统建设完成后，使用单位应当委托符合规定的测评机构平安测评合格方可投入使用。测评活动应当接受公安机关公共信息网络平安监察部门的监督。整理ppt广东省信息平安等级测评工作细那么〔试行〕计算机信息系统投入使用后，存在以下情形之一的，应当进行平安自查，同时委托平安测评机构进行平安测评：〔一〕变更关键部件；〔二〕平安测评时间满一年；〔三〕发生危害计算机信系统平安的案件或平安事故；〔四〕公安机关公共信息网络平安监察部门根据应急处置工作的需要认为应当进行平安测评；〔五〕其他应当进行平安自查和平安测评的情形。申请单位认为平安测评报告的合法性和真实性存在重大问题的，可以向本单位所在地公安机关公共信息网络平安监察部门提出申诉，提交异议申诉书及有关证明材料。整理ppt广东省等级保护测评机构关于发布广东省信息平安等级保护测评机构的公告〔粤等保办[2021]3号〕供我省信息系统运营、使用单位、主管部门选用提供各类测评效劳〔差距评估、验收性测评、年度测评工作〕。

1、广州竞远系统网络技术

2、中国赛宝实验室〔工业和信息化部电子第五研究所〕

3、广州华南信息平安测评中心

4、深圳市信息平安测评中心

5、深圳市网安计算机平安检测技术

整理ppt等级保护测评根本概念等级测评工作，是指测评机构依据国家信息平安等级保护制度规定，按照有关管理标准和技术标准，对非涉及国家秘密信息系统平安等级保护状况进行检测评估的活动。通过信息平安等级测评机构对已完成的等级保护建设的信息系统定期进行等级测评，确保信息系统的平安保护措施符合相应等级的平安要求。整理ppt等级保护测评的执行主体等级测评机构，是指具备本标准的根本条件，经能力评估和审核，由省级以上信息平安等级保护工作协调〔领导〕小组办公室〔以下简称为“等保办〞〕推荐，从事等级测评工作的机构。等级保护测评的执行主体应当是具有相关资质的、独立的测评效劳机构。只有独立的第三方，才能保证测评工作的客观性和公正性。整理ppt等级测评根本原那么测评机构应当按照有关规定和统一标准提供“客观、公正、平安〞的测评效劳，按照统一的测评报告模版出具测评报告。测评机构可以从事等级测评活动以及信息系统平安等级保护定级、平安建设整改、信息平安等级保护宣传教育等工作的技术支持。整理ppt等级测评的特点管理角度：强制执行：管理方法强制周期性执行执行主体：符合条件的测评机构执行对象：定级的信息系统效劳主体：国家信息平安监管部门/主管部门/运维、使用单位技术角度：符合性测评：依据根本要求等级化：不同级别测评强度不同整理ppt等级保护测评适用的阶段在实施等级保护建设工作前，信息系统运营、使用单位可以开展一次等级测评以确定信息系统的平安需求。在等级保护建设完成后，通过等级测评判定信息系统是否按照预先设定的平安模式运行，平安控制措施是否得到合理的应用，信息系统是否到达相关标准的要求，是否具备相应等级的平安防护能力等。整理ppt等级保护测评工作开展系统改建方案设计：由信息系统的运营使用单位自己组织人员或由第三方评估机构，采用等级测评方法对信息系统平安保护现状与等级保护根本要求进行符合性评估，得到与相应等级要求的差距项，确定平安需求，为制定平安改建方案提供依据。是一种需求分析方法，不受测评执行主体的限制。等级保护建设完成后的测评，由具有相关资质、独立的第三方测评机构完成。整理ppt1.2.13测评与监督检查的关系等级保护测评的操作形式自评估委托评估检查评估整理ppt1.2.14测评工作要求依据标准，遵循原那么恰中选取，保证强度标准行为，减少风险过程标准行为标准整理ppt等级保护测评本卷须知整理ppt等级保护测评方法〔1〕测评方法测评采用访谈、检查和测试三种方法，测评对象是测评实施过程中涉及到的信息系统的构成成份，包括人员、文档、机制、软件、设备。测评的层面涉及物理平安、网络平安、主机平安、应用系统平安、数据平安以及平安管理。测评要求使用测评表进行具体检查时，首先按询问、查验、检测等工作方式将所有检查工程分类。所有以询问方式检查的工程，在与有关人员的谈话或会议上进行；所有以查验方式检查的工程，将需要的文档清单在检查现场提交给被检查方，请被检查方当前提供并进行查验；所有需要以检测方式检查的工程，按检测部门或设备分类后，根据具体情况选择检测顺序。整理ppt等级保护测评方法〔2〕对技术要求‘访谈’方法：目的是了解信息系统的全局性。范围一般不覆盖所有要求内容。‘检查’方法：目的是确认信息系统当前具体平安机制和运行的配置是否符合要求。范围一般要覆盖所有要求内容。‘测试’方法：目的是验证信息系统平安机制有效性和平安强度。范围不覆盖所有要求内容。整理ppt等级保护测评方法〔3〕对管理要求对人员方面的要求，重点通过‘访谈’的方式来测评，检查为辅；对过程方面的要求，通过‘访谈’和‘检查’的方式来测评；对标准方面的要求，以‘检查’文档为主，‘访谈’为辅整理ppt系统承建单位主管\使用\运行单位测评机构专家组支持测评提供技术、工程和质量文档实施的配合公安网监部门测评工作组织协调确保技术、工程和质量文档、提供运营相关文档的提供评审实施方案等相关文档配合等级测评实施测评过程中的风险管理和应急管理制定测评计划和方案等相关文档在相关单位支持下实施等级测评提交测评报告对方案评审对评估结论进行评审测评工作

组织与监管等级保护测评中的角色和职责关系整理ppt信息平安效劳机构:协助信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息系统的平安保护等级、进行平安需求分析、平安总体规划、实施平安建设和平安改造等。信息平安产品供给商：开发符合等级保护相关要求的信息平安产品，接受平安测评，按照等级保护相关要求销售信息平安产品并提供相关效劳。应用软件开发机构：将平安控制要求与应用软件结合，负责软件开发。信息平安等级测评机构：协助信息系统运营、使用单位或国家管理部门，按照国家信息平安等级保护的管理标准和技术标准，对已经完成等级保护建设的信息系统进行测评；对信息平安产品供给商提供的信息平安产品进行平安测评。1.3.7等级保护实施过程中的主要参与角色整理ppt等级保护测评工作实施步骤首次会议〔1〕参加人员：主管领导、技术人员、测评机构人员〔2〕被测评机构工作汇报测评实施被测评单位派人负责测评过程联络和协助。末次会议〔1〕参加人员：主管领导、技术人员、测评机构人员〔2〕测评机构进行测试情况汇报整理ppt等级保护测评工程组的构成测评工程组构成组长职责：管理测评过程、主持编制测评方案、主持设计测评方案、负责访谈、检查、组织分析测评结果、主持编制测评总结报告；访谈和查看组：负责访谈、执行测试，记录和分析测评结果；测试组：执行测试、记录和分析测评结果。整理ppt等级保护测评部位被测评部门

领导办公场所机房介质保管室设备管理部门一般工作场所监控室等整理ppt等级保护测评设备被测评检查设备各类效劳器抽查局部个人计算机〔包括台式机、笔记本〕通信线路交换机、路由器防火墙、入侵检测、杀毒软件等平安防护设备存储设备网络管理软件应用软件整理ppt等级保护测评相关配合人员测评所需要的相关配合人员单位领导部门领导系统管理员平安管理员系统审计员一般工作人员〔抽查〕等。整理ppt等级测评风险告知

在开展测评过程中，对可能影响信息系统正常运行的，测评机构应当事先告知被测评单位，并协助其采取相应的预防措施。整理ppt等级测评实施过程中可能存在的风险

验证测试影响系统正常运行在现场测评时，需要对设备和系统进行一定的验证测试工作，局部测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。工具测试影响系统正常运行在现场测评时，会使用一些技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响，漏洞测试和渗透测试可能对效劳器和网络通讯造成一定影响甚至伤害。敏感信息泄漏泄漏被测系统状态信息，如网络拓扑、IP地址、业务流程、平安机制、平安隐患和有关文档信息。整理ppt等级测评方式－测试功能/性能测试、渗透测试等。测试对象包括机制和设备等。测试一般需要借助特定工具。扫描检测工具网络协议分析仪攻击工具渗透工具整理ppt等级保护测评标准?信息系统平安等级保护测评要求??信息系统平安等级保护测评指南?整理ppt等级保护测评要求

整理ppt测评要求的作用指导系统运营使用单位进行自查指导评估机构进行检测评估监管职能部门参照进行监督检查标准测评内容和行为整理ppt等级保护测评的内容某级系统物理平安技术要求管理要求根本要求网络平安主机平安应用平安数据平安平安管理机构平安管理制度人员平安管理系统建设管理系统运维管理整理ppt测评要求编制思路信息系统测评系统测评〔对平安控制、层面、区域间关联关系以及系统整体结构，分层次综合分析、测评〕平安控制测评〔以测评单元组织的测评实施〕整理ppt平安控制测评思路在内容上，与?根本要求?一一对应，针对?根本要求?的每一个控制项，开发具体的测评实施方法。在结构上，以“测评单元〞为根本工作单位，分等级进行组织。测评单元测评项测评方式测评对象测评实施结果判定具体技术和管理要求访谈/检查/测试人员/文档/机制/设备测评方式＋对象＋操作是否符合测评项要求整理ppt等级保护测评测评单元是指平安控制测评的最小工作单位，由测评项、测评方式、测评对象、测评实施和结果判定等组成，分别描述测评目的和内容、测评使用的方式方法、测试过程中涉及的测评对象、具体测试实施取证过程要求和测评证据的结果判定规那么与方法。测评强度是指测评的广度和深度，表达测评工作的实际投入程度。整理ppt测评强度增强的方法测评广度越大，范围越大，包含的测评对象就越多，测评实际投入程度越高。测评的深度越深，越需要在细节上展开，测评实际投入程度也越高。测评的广度和深度落实在具体的测评方法――访谈、检查和测试上，表达出访谈、检查和测试的投入程度不同。整理ppt2.1.8系统等级保护测评思路根据平安控制、层面和区域之间的关联作用，逐层测评分析平安控制间、层面间和区域间关联关系对整体平安功能的影响，具体应包括：平安控制间平安测评、层面间平安测评、区域间平安测评。进行系统整体结构平安测评从平安的角度，分析信息系统整体结构的平安性[从平安角度看系统]从系统的角度，分析信息系统平安防范(体系)的合理性[以系统的观点看平安防范〔体系)]整理ppt等级保护测评要求局部解读

整理ppt第二局部等级保护测评要求

〔3〕等级保护测评要求局部解读

〔物理平安〕

整理ppt物理访问控制本项要求包括：机房出入口应安排专人值守，控制、鉴别和记录进入的人员；需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。整理ppt物理访问控制实施讨论机房进出通过双向电子门禁系统进行控制，可通过门禁电子记录或填写出入记录单的形式记录进出人员和时间有能力的单位应当增设保安人员在门外值守；机房的内和外部临近入口区域要安装摄像头保证全部范围覆盖；外来人员进入机房应当由专人全程陪同；对于系统较多、机房面积较大的有能力单位应将机房按系统和设备的重要程度划分不同的单独区域进行物理隔离，联通各区域间的通道空间形成机房的过渡缓冲区。对于电源UPS，最好能划分单独区域。整理ppt物理访问控制测评实施：应检查机房平安管理制度，查看是否有关于机房出入方面的规定；应检查机房出入口是否有专人值守，是否有值守记录以及进出机房的人员登记记录；检查机房是否不存在值守人员控制之外的出入口；应检查是否有来访人员进入机房的审批记录，查看审批记录是否包括来访人员的访问范围；应检查机房区域划分是否合理，是否在机房重要区域前设置交付或安装等过渡区域；是否在不同机房间和同一机房不同区域间设置了有效的物理隔离装置；应检查重要区域配置的电子门禁系统是否有验收文档或产品平安认证资质；应检查电子门禁系统是否正常工作〔不考虑断电后的工作情况〕；查看是否有电子门禁系统运行和维护记录；查看监控进入机房重要区域的电子门禁系统记录，是否能够鉴别和记录进入人员的身份。整理ppt物理访问控制测评结果记录检查机房平安管理制度，有关于机房出入方面的规定；机房出入口有专人值守，有值守记录以及进出机房的人员登记记录；检查机房不存在值守人员控制之外的出入口；有来访人员进入机房的审批记录，审批记录包括来访人员的访问范围业务或平安管理需要，对机房进行了划分区域管理。各个区域都有专门的管理要求。机房区域划分合理，在机房重要区域前设置交付或安装等过渡区域；在不同机房间和同一机房不同区域间设置了有效的物理隔离装置重要区域配置的电子门禁系统是验收文档或产品平安认证资质〔安防验收报告〕电子门禁系统正常工作；有电子门禁系统运行和维护记录；能够鉴别和记录进入人员的身份。整理ppt防雷击本项要求包括：机房建筑应设置避雷装置；应设置防雷保安器，防止感应雷；机房应设置交流电源地线。整理ppt2.3.6防雷击实施讨论在南方地区，夏季多雨水，雷击发生的可能性很大，需要重点检测。?电子信息系统机房施工及验收标准?GB50462-2021?电子信息系统机房设计标准?GB50174-2021?建筑物电子信息系统防雷技术标准?GB50343-2004?建筑物防雷装置检测技术标准?GB/T21431-2021整理ppt防雷击测评实施应检查机房建筑是否有避雷装置，是否有交流地线；应检查机房是否安装防雷保安器等装置。整理ppt防雷击结果记录机房建筑有避雷装置，有交流地线；机房电源和信号线上安装防雷保安器等装置；机房计算机系统接地设置了专用地线；通过验收或国家有关部门的技术检测〔有检测报告〕整理ppt防火本项要求包括：机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。整理ppt防火测评实施应检查机房是否设置了自动检测火情、自动报警、自动灭火的自动消防系统，自动消防系统摆放位置是否合理，其有效期是否合格；应检查自动消防系统是否正常工作，查看是否有运行记录、报警记录、定期检查和维修记录；应检查机房是否采取区域隔离防火措施，将重要设备与其他设备隔离开。整理ppt防火测评结果记录机房设置了灭火设备，设置了自动检测火情、自动报警、自动灭火的自动消防系统；有专人负责维护该系统的运行，制定了有关机房消防的管理制度和消防预案，进行了消防培训；火灾自动消防系统定期进行检查和维护自动消防系统摆放位置合理，其有效期合格；自动消防系统正常工作，有运行记录、报警记录、定期检查和维修记录；应检查机房采取区域隔离防火措施，将重要设备与其他设备隔离开。整理ppt温湿度控制本项要求包括：机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。整理ppt温湿度控制实施讨论?电子信息系统机房设计标准?GB50174-2021?计算站场地技术条件?GB2887-89整理ppt温湿度控制测评实施应检查温湿度自动调节设施是否能够正常运行，查看是否有温湿度记录、运行记录和维护记录；查看机房温湿度是否满足计算站场地的技术条件要求。整理ppt温湿度控制测评结果记录湿度自动调节设施能够正常运行；有温湿度记录、运行记录和维护记录。整理ppt电力供给本项要求包括：应在机房供电线路上配置稳压器和过电压防护设备；应提供短期的备用电力供给，至少满足主要设备在断电情况下的正常运行要求；应设置冗余或并行的电力电缆线路为计算机系统供电；应建立备用供电系统。整理ppt电力供给实施讨论国家标准?供配电系统设计标准?在电线路上配置稳压器和过电压防护设备以保证在电压突然变化时不影响到设备的正常运行；需要配备足够的UPS保证在段时间内断电的运行或至少保证效劳器有足够的关机时间；采取冗余形式，一般至少有2家不同的供电公司供电；有条件的可以配备发电机保证较长时间的应急供电。对UPS没有定期进行可用性测试。整理ppt电力供给测评实施应检查机房，查看计算机系统供电线路上的稳压器、过电压防护设备和短期备用电源设备是否正常运行，查看供电电压是否正常；应检查是否有稳压器、过电压防护设备、短期备用电源设备以及备用供电系统等电源设备的检查和维护记录，冗余或并行的电力电缆线路切换记录，备用供电系统运行记录；以及上述计算机系统供电的运行记录，是否能够符合系统正常运行的要求；应测试安装的冗余或并行的电力电缆线路，是否能够进行双路供电切换；应测试备用供电系统是否能够在规定时间内正常启动和正常供电。整理ppt电力供给测评结果记录计算机系统供电线路上的稳压器、过电压防护设备和短期备用电源设备〔如UPS〕正常运行，查看供电电压正常；有稳压器、过电压防护设备、短期备用电源设备以及备用供电系统等电源设备的检查和维护记录，冗余或并行的电力电缆线路切换记录，备用供电系统运行记录；以及上述计算机系统供电的运行记录，能够符合系统正常运行的要求；测试安装的冗余或并行的电力电缆线路，能够进行双路供电切换；测试备用供电系统〔如UPS〕能够在规定时间内正常启动和正常供电。整理ppt电磁防护实施讨论?电磁屏蔽室屏蔽效能的测量方法?GBT12190-2006通过将机架外壳接地的方式可以降低外界的电子干扰，对于要求较高的机房，如CA机房需要建立屏蔽室；机房布线要严格按照规定，强、弱电线路尽量原理，使用交叉走线，防止平行轴线；使用铁质线槽可以抵御电磁干扰并有效保护线缆平安。?处理涉密信息的电磁屏蔽室的技术要求和测试方法?BMB3-1999?涉密信息设备使用现场的电磁泄漏发射防护要求?BMB5-2000整理ppt电磁防护本项要求包括：应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；电源线和通信线缆应隔离铺设，防止互相干扰；应对关键设备和磁介质实施电磁屏蔽。整理ppt电磁防护测评实施应检查机房设备外壳是否有平安接地；应检查机房布线，查看是否做到电源线和通信线缆隔离；应检查磁介质是否存放在具有电磁屏蔽功能的容器中。整理ppt第二局部等级保护测评要求

〔4〕等级保护测评要求局部解读

〔网络平安〕

整理ppt结构平安

本项要求包括：应保证主要网络设备的业务处理能力具备冗余空间，满足业务顶峰期需要；应保证网络各个局部的带宽满足业务顶峰期需要；应在业务终端与业务效劳器之间进行路由控制建立平安的访问路径；应绘制与当前运行情况相符的网络拓扑结构图；应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原那么为各子网、网段分配地址段；应防止将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；应按照对业务效劳的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。整理ppt结构平安要求:1.应保证主要网络设备的业务处理能力具备冗余空间，满足业务顶峰期需要；测评实施:访谈网络管理员，询问主要网络设备的性能及业务顶峰流量。访谈网络管理员，询问采用何种手段对网络设备进行监控。通过网络管理软件,或IT资源监控系统,确认主要网络设备的业务处理能力具备冗余空间，满足业务顶峰期需要。应检查网络设计/验收文档，查看是否有主要网络设备业务处理能力、接入网络及核心网络的带宽满足业务顶峰期的需要以及不存在带宽瓶颈等方面的设计或描述。整理ppt结构平安要求:2.应保证网络各个局部的带宽满足业务顶峰期需要；测评实施:应访谈网络管理员，询问网络中带宽控制情况以及带宽分配的原那么;询问当前网络各局部的带宽是否满足业务顶峰需要。如果无法满足业务顶峰期需要，那么需迚行带宽分配。检查主要网络设备是否进行行带宽分配。以CISCOIOS为例:检查配置是否类似如下配置项:输入命令:showrunning-configclass-map:class-1bandwidth:percent50bandwith5000(kbps)maxthreshold64(packets)整理ppt结构平安要求:3.应在业务终端与业务效劳器之间进行路由控制建立平安的访问路径；条款理解:静态路由是指由网络管理员手工配置的路由信息。劢态路由是指路由器能够自劢地建立自己的路由表。路由器之间的路由信息交换是基亍路由协议实现的，如OSPF路由协议是一种典型的链路状态的路由协议。如果使用劢态路由协议应配置使用路由协议认证功能，保证网络路由平安。测评实施:应检查边界和主要网络设备，查看是否配置路由控制策略以建立平安的访问路径；以CISCOIOS为例，输入命令：showrunning-config检查配置文件中应当存在类似如下配置项：iproute93〔静态〕routerospf100〔动态〕ipospfmessage-digest-key1md57XXXXXX〔认证码〕整理ppt结构平安要求:4.应绘制与当前运行情况相符的网络拓扑结构图；测评实施:登录网络管理软件,检查网络拓扑结构图，查看其与当前运行的实际网络系统是否一致；如果没有网络管理软件,使用其它的网络管理软件查看。如HPOPENVIEW、游龙网管等。整理ppt结构平安要求:5.应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原那么为各子网、网段分配地址段；条款理解：根据实际情况和区域平安防护要求，应在主要网络设备上进行VLAN划分或子网划分。不同VLAN内的报文在传输时是相互隔离的。如果丌同VLAN要迚行通信，那么需要通过路由器或三层交换机等三层设备实现。使用防火墙，或使用网络隔离与交换产品网络进行划分网段。测评实施：应访谈网络管理员，询问网段划分情况以及划分的原那么；询问重要网段有哪些，其具体的部署位置，与其他网段的隔离措施有哪些；以CISCOIOS为例，输入命令：showvlan检查配置文件中应当存在类似如下配置项：vlan2nameinfoInte0/2vlan-membershipstatic2整理ppt结构平安要求:6.应防止将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；条款理解为了保证信息系统的平安，应防止将重要网段部署在网络边界处且直接连接外部信息系统，防止来自外部信息系统的攻击。在重要网段和其它网段之间配置平安策略进行行访问控制。测评实施检查网络拓扑结构，查看是否将重要网段部署在网络边界处，重要网段和其它网段之间是否配置平安策略进行行访问控制，如防火墙。整理ppt结构平安要求:7.应按照对业务效劳的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。测评实施：应检查边界和主要网络设备，查看是否配置对带宽进行控制的策略，这些策略是否能够保证在网络发生拥堵的时候优先保护重要业务。以CISCOIOS为例，检查配置文件中是否存在类似如下配置项：policy-mapbarclassvoiceprioritypercent10classdatabandwidthpercent30classvideobandwidthpercent20整理ppt访问控制

本项要求包括：应在网络边界部署访问控制设备，启用访问控制功能；应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；应在会话处于非活泼一定时间或会话结束后终止网络连接；应限制网络最大流量数及网络连接数；重要网段应采取技术手段防止地址欺骗；应按用户和系统之间的允许访问规那么，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；应限制具有拨号访问权限的用户数量。整理ppt访问控制

要求:1.应在网络边界部署访问控制设备，启用访问控制功能；条款理解在网络边界部署访问控制设备,防御来自其他网络的攻击，保护内部网络的平安。测评实施检查网络拓扑结构，查看是否在网络边界处部署了访问控制设备，是否启用了访问控制功能。整理ppt访问控制

要求:2.应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；条款理解在网络边界部署访问控制设备,对进出网络的流量进行过滤，保护内部网络的平安。配置的访问控制列表应有明确的源/目的地址、源/目的、协议及效劳等。测评实施〔以路由器，或防火墙〕以CISCOIOS为例，输入命令：showipaccess-list检查配置文件中应当存在类似如下配置项：noaccess-list111ipaccess-listextended111denyipx.x.x.055anyloginterfaceeth0/0ipaccess-group111in整理ppt访问控制以防火墙检查为例，应有明确的访问控制策略，如以下图所示：整理ppt访问控制

要求:3.应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；条款理解对亍一些常用的应用层协议，能够在访问控制设备上实现应用层协议命令级的控制和内容检查，从而增强访问控制粒度。测评实施该测评项一般在防火墙、入侵防御系统上检查。首先查看防火墙、入侵防御系统是否具有该功能，然后登录设备查看是否启用了相应的功能。整理ppt访问控制以联想网御防火墙为例，如以下图所示：整理ppt访问控制

要求:4.应在会话处于非活泼一定时间或会话结束后终止网络连接；条款理解当恶意用户迚行网络攻击时，有时会发起大量会话连接，建立会话后长时间保持状态连接从而占用大量网络资源，最终将网络资源耗尽的情况。应在会话终止或长时间无响应的情况下终止网络连接，释放被占用网络资源，保证业务可以被正常访问。测评实施该测评项一般在防火墙上检查。登录防火墙，查看是否设置了会话连接超时，设置的超时时间是多少，判断是否合理。整理ppt访问控制以天融信防火墙为例，如以下图所示：整理ppt访问控制

要求:5.应限制网络最大流量数及网络连接数；条款理解可根据IP地址、端口、协议来限制应用数据流的最大流量，还可以根据IP地址来限制网络连接数，从而保证业务带宽丌被占用，业务系统可以对外正常提供业务。测评实施该测评项一般在防火墙上检查。访谈系统管理员，依据实际网络状况是否需要限制网络最大流量数及网络连接数。登录设备查看是否设置了最大流量数和连接数，并做好记录。整理ppt访问控制以天融信防火墙为例，如以下图所示：整理ppt访问控制

要求:6.重要网段应采取技术手段防止地址欺骗；条款理解地址欺骗在网络平安中比较重要的一个问题,这里的地址,可以是MAC地址,也可以是IP地址。在关键设备上，采用IP/MAC地址绑定方式防止地址欺骗。测评实施以CISCOIOS为例，输入showiparp检查配置文件中应当存在类似如下配置项：arp0000.e268.9980arpa整理ppt访问控制以联想网御防火墙为例，如以下图所示：整理ppt访问控制

要求:7.应按用户和系统之间的允许访问规那么，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；条款理解对亍进程拨号用户，应在相关设备上提供用户认证功能。通过配置用户、用户组，并结合访问控制规那么可以实现对认证成功的用户允许访问受控资源。测评实施登录相关设备查看是否对拨号用户迚行身份认证，是否配置访问控制规那么对认证成功的用户允许访问受控资源。整理ppt访问控制

要求:8.应限制具有拨号访问权限的用户数量。条款理解应限制通过进程采用拨号方式或通过其他方式连入系统内部的用户数量。测评实施询问系统管理员，是否有进程拨号用户，采用什么方式接入系统部，采用何种方式迚行身份认证，具体用户数量有多少。

整理ppt平安审计本项要求包括：应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应能够根据记录数据进行分析，并生成审计报表；应对审计记录进行保护，防止受到未预期的删除、修改或覆盖等。整理ppt第二局部等级保护测评要求

〔5〕等级保护测评要求局部解读

〔主机平安—操作系统〕

整理ppt身份鉴别本项要求包括：应对登录操作系统和数据库系统的用户进行身份标识和鉴别；操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；当对效劳器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。整理ppt身份鉴别要求:1.应对登录操作系统和数据库系统的用户进行身份标识和鉴别；条款理解用户的身份标识和鉴别，就是用户向系统以一种平安的方式提交自己的身份证实，然后由系统确认用户的身份是否属实的过程。整理ppt身份鉴别测评实施

Window：访谈系统管理员，系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录。

Linux：采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用户名状态整理ppt身份鉴别要求:2.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；测评实施Windows:本地平安策略->帐户策略->密码策略中的相关工程Linux:采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/login.defs文件中相关配置参数整理ppt身份鉴别整理ppt身份鉴别整理ppt身份鉴别要求:3.应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；条款理解要求系统应具有一定的登录控制功能。可以通过适当的配置“帐户锁定策略〞来对用户的登录进行限制。如帐户锁定阈值，帐户锁定时间等。测评实施Windows:本地平安策略->帐户策略->帐户锁定策略中的相关工程Linux:采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/pam.d/system-auth文件中相关配置参数整理ppt身份鉴别整理ppt身份鉴别整理ppt身份鉴别要求:4.当对效劳器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；条款理解为方便管理员进行管理操作，众多效劳器采用了网络登录的方式进行远程管理操作，例如Linux可以使用telnet登录，Windows使用远程终端效劳。根本要求规定了这些传输的数据需要进行加密处理过，目的是为了保障帐户与口令的平安。测评实施Windows:确认操作系统版本确认终端效劳器使用了SSL加密确认RDP客户端使用SSL加密整理ppt身份鉴别Linux:在root权限下，使用命令more、cat或vi查看是否运行了sshd效劳：service–status-all|grepsshd假设未使用ssh方式进行远程管理，那么查看是否使用了telnet方式进行远程管理：service–status-all|greprunning整理ppt身份鉴别要求:5.应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。条款理解对于操作系统来说，用户管理是操作系统应具备的根本功能。用户管理由创立用户和组以及定义它们的属性构成。用户的一个主要属性是如何对他们进行认证。用户是系统的主要代理。其属性控制他们的访问权、环境、如何对他们进行认证以及如何、何时、在哪里可以访问他们的帐户。因此，用户标识的唯一性至关重要。如果系统允许用户名相同，而UID不同，其唯一性标识为UID，如果系统允许UID相同，而用户名不同，其唯一性标识为用户名。整理ppt身份鉴别测评实施Windows:“管理工具〞->“计算机管理〞->“本地用户和组〞中的“用户〞，检查其中的用户名是否出现重复。Linux:采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd文件中用户名信息整理ppt身份鉴别要求:6.应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。条款理解对于三级以上的操作系统应使用两种或两种以上组合的鉴别技术实现用户身份鉴别，如密码和令牌的组合使用等。测评实施访谈系统管理员，询问系统除用户名口令外有无其他身份鉴别方法，如有没有令牌等。整理ppt访问控制本项要求包括：应启用访问控制功能，依据平安策略控制用户对资源的访问；应根据管理用户的角色分配权限，实现管理用户的权限别离，仅授予管理用户所需的最小权限；应实现操作系统和数据库系统特权用户的权限别离；应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；应及时删除多余的、过期的帐户，防止共享帐户的存在。应对重要信息资源设置敏感标记；应依据平安策略严格控制用户对有敏感标记重要信息资源的操作.整理ppt访问控制要求:1.应启用访问控制功能，依据平安策略控制用户对资源的访问；整理ppt访问控制测评实施整理ppt访问控制整理ppt访问控制要求:2.应根据管理用户的角色分配权限，实现管理用户的权限别离，仅授予管理用户所需的最小权限；条款理解根据管理用户的角色对权限作出标准细致的划分，有利于各岗位细致协调的工作。仅授予管理用户所需的最小权限，防止出现权限的漏洞使一些高级用户拥有过大的权限。测评实施记录系统是否有完整的平安策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色。整理ppt访问控制整理ppt访问控制要求:3.应实现操作系统和数据库系统特权用户的权限别离；条款理解操作系统特权用户可能拥有以下一些权限：安装和配置系统的硬件和软件、建立和管理用户帐户、升级软件、备份和恢复等业务，从而保证操作系统的可用性、完整性和平安性。数据库系统特权用户那么更多是对数据库的安装、配置、升级和迁移以及数据库用户的管理，从而保证数据库系统的可用性、完整性和平安性。将操作系统和数据库系统特权用户的权限别离，能够防止一些特权用户拥有过大的权限以及减少一些人为的误操作，做到了职责明确。测评实施结合系统管理员的组成情况，判定是否实现了该项要求整理ppt访问控制要求:4.应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；条款理解对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成平安隐患，因此这些默认用户名应禁用。对于匿名用户的访问原那么上是禁止的，查看效劳器操作系统，确认匿名/默认用户的访问权限已被禁用或者严格限制。依据效劳器操作系统访问控制的平安策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问。测评实施查看默认用户名是否重命名查看guest等默认账户是否已禁用整理ppt访问控制要求:5.应及时删除多余的、过期的帐户，防止共享帐户的存在。条款理解对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成平安隐患，因此这些默认用户名应禁用。对于匿名用户的访问原那么上是禁止的，查看效劳器操作系统，确认匿名/默认用户的访问权限已被禁用或者严格限制。依据效劳器操作系统访问控制的平安策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问。测评实施查看是否存在多余的、过期的帐户，防止共享帐户整理ppt访问控制要求:6.应对重要信息资源设置敏感标记；要求:7.应依据平安策略严格控制用户对有敏感标记重要信息资源的操作.测评实施询问管理员是否对重要信息资源设置敏感标记询问或查看目前的敏感标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等整理ppt剩余信息保护本项要求包括：应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全去除，无论这些信息是存放在硬盘上还是在内存中；应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全去除。整理ppt剩余信息保护要求:1.应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全去除，无论这些信息是存放在硬盘上还是在内存中；条款理解剩余信息保护是指操作系统用户的鉴别信息存储空间，被释放或再分配给其他用户前是否得到完全去除。测评实施翻开“本地平安策略〞->本地策略中的平安选项查看是否启用“不显示上次登录用户名〞整理ppt剩余信息保护要求:2.应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全去除。条款理解由于主存与辅存价格和性能的差异，现代操作系统普遍采用辅存作为缓存，对于缓存使用的平安问题也尤其重要。测评实施翻开“本地平安策略〞->本地策略中的平安选项查看是否选中“关机前去除虚拟内存页面〞翻开“本地平安策略〞->“帐户策略〞中的密码策略查看是否选中“用可复原的加密来存储密码〞整理ppt第二局部等级保护测评要求

〔6〕等级保护测评要求局部解读

〔应用平安〕

整理ppt应用平安的形势〔一〕开发商和用户对应用平安重视程度不够开发商平安意识普遍淡薄，开发中留有平安隐患用户普遍对应用平安不重视，系统上线前把关不严应用系统存在的漏洞较多116NIST的报告显示，超过90%的平安漏洞是应用层漏洞，它已经远远超过网络、操作系统和浏览器的漏洞数量，这个比例还有上升的趋势。整理ppt应用平安的形势〔二〕针对应用系统的攻击手段越来越多，面临的威胁在不断增大针对口令的攻击，如口令破解等非授权获取敏感信息，如信息窃听、系统管理员非授权获取敏感业务数据〔如用户的密码等信息〕等针对WEB应用的攻击，如跨站脚本攻击、SQL注入、缓冲区溢出、拒绝效劳攻击、改变网页内容等117整理ppt应用系统的指标选取在?根本要求?中的位置“应用平安〞的所有指标，对于应用平台软件等那么从中选择局部指标；“数据平安及备份恢复〞中的局部指标，对于三级信息系统，在应用平安中，主要检查“数据完整性〞、“数据保密性〞和“备份和恢复〞第一和第二项；应结合管理的要求，如“应根据开发需求检测软件质量〞、“应要求开发单位提供软件源代码，并审查软件中可能存在的后门〞，加强应用系统的源代码平安性。118整理ppt应用测评的特点平安功能和配置检查并重和数据库、操作系统等成熟产品不同，应用系统现场测评除检查平安配置外，还需验证相关平安功能是否正确应用测评中不确定因素较多业务和数据流程不同，需根据业务和数据特点确定范围应用系统平安漏洞发现困难，很难消除代码级的平安隐患测评范围较广，分析较为困难应用系统测评包括应用平台〔如IIS等〕的测评，且和其他层面关联较大119整理ppt应用测评的方法〔1〕通过访谈，了解平安措施的实施情况120和其他成熟产品不同，应用系统只有在充分了解其部署情况后，才能明确测评的范围和对象，分析其系统的脆弱性和面临的主要平安威胁，有针对性的进行检查和测试。--右图是一个支付系统的流程示意图，通过网页和可以完成冲值、查询等业务。整理ppt应用测评的方法〔2〕通过检查，查看其是否进行了正确的配置有的平安功能〔如口令长度限制、错误登录尝试次数等〕需要在应用系统上进行配置，那么查看其是否进行了正确的配置，与平安策略是否一致。无需进行配置的，那么应查看其部署情况是否与访谈一致。如果条件允许，需进行测试可通过测试验证平安功能是否正确，配置是否生效。代码级的平安漏洞在现场查验比较困难，那么可进行漏洞扫描和渗透测试。121整理ppt等级保护测评过程整理ppt等级测评项目启动测评准备阶段编制测评方案工具和文档准备现场实施阶段分析测评结果分析与报告编制阶段沟通与洽谈形成等级测评结论编制测评报告结果确认和资料归还现场测评和结果记录方案确认和资源协调信息收集和分析整理ppt测评准备阶段-工程启动向被测单位介绍等级测评的意义和作用，测评工作的根本流程和工作方法。了解被测单位的信息化建设状况与开展。包括被测系统的行业特征、主管机构、业务范围、地理位置以及被测系统根本情况，获得被测系统的背景信息和联络方式。指出被测单位应提供的根本资料，包括：被测系统总体描述文件，被测系统详细描述文件，被测系统平安保护等级定级报告，系统验收报告，平安需求分析报告，被测系统平安总体方案等。根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评工程组，从人员方面做好准备，并编制工程方案书。124整理ppt3.1.2测评准备阶段-信息收集与分析被测单位积极配合测评机构，为测评机构提供其所需要的各种资料，包括被测单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、被测系统详细描述文件、被测系统平安保护等级定级报告、平安需求分析报告、被测系统平安总体方案、平安现状评价报告、被测系统平安详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。测评机构分析被测单位提供的系统相关文件和初步了解到的系统根本情况，将需要补充了解的内容编制成调查表并发放给被测系统运行维护人员。测评机构收回填写完成的调查表单，并分析调查结果，以进一步了解和熟悉被测系统的实际情况。分析的内容包括被测系统的根本信息、管理框架、被测系统的网络及设备部署、业务种类和特性、业务系统处理的信息资产、用户范围和用户类型等。125整理ppt测评准备阶段-调查表内容全面顺序合理保存逻辑关联内容至少包括被测系统的行业特征、主管机构、业务范围、地理位置、背景信息、联络方式、组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、物理环境、网络拓扑结构、硬件设备部署情况、范围及边界、业务种类及特性、业务流程、业务平安保护等级等。126整理ppt测评准备阶段-编制测评方案根据被测系统根本情况描述被测系统，包括被测系统根本信息、管理框架、被测系统的网络及设备部署、业务种类和特性、业务信息平安等级、系统效劳平安等级、业务流程相关设备、部件和数据、管理模式、用户范围和用户类型等。根据被测系统规模确定人员分工和测评方案。对于一般规模且业务种类较少的被测系统，分组负责主机、网络、应用平安测评和工具测试。测评方案可以列表的形式给出，包括总体时间安排、分项测评时间安排等。选择适当的测评对象、方式和工具。确定测评指标。确定现场测评实施内容，包括单项测评和系统整体测评。汇总上述6个步骤的各类文档和资料形成测评方案文稿。评审和提交测评方案。测评方案初稿应通过测评工程组全体成员评审，修改完成后形成提交稿。然后，测评机构将测评方案提交给被测单位。被测单位应对该测评方案签字认可。127