第一篇:舞蹈技术等级测评信息大全表
舞蹈技术等级测评信息汇总表
考级单位
联系人
联系电话
微信
通讯地址
考官
考试等级 一级 二级 三级 四级 五级 六级 七级 八级 九级 十级 十一级 十二级 考级人次
考试日期
考级总人次
考官是否对学生进行点评
总收考级费
付考官费
应上缴研究院费用
考点意见反馈:
考点负责人签字:
考官签字:
此表一式两份,考点留存一份,上交研究院一份。
第二篇:信息安全等级保护测评
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。
第三篇:信息安全等级合规测评
信息安全等级合规测评
合规,简而言之就是要符合法律、法规、政策及相关规则、标准的约定。在信息安全领域内,等级保护、分级保护、塞班斯法案、计算机安全产品销售许可、密码管理等,是典型的合规性要求。
信息安全合规测评是国家强制要求的,信息系统运营、使用单位或者其主管部门,必须在系统建设、改造完成后,选择具备资质测评机构,依据信息安全合规性要求,对信息系统是否合规进行检测和评估的活动。信息安全合规测评具有强制性和周期性(定期检测),是国家信息安全部门督促合规性要求落地实施,保障信息安全的重要手段。
一、信息安全合规性要求
1、等级保护
等级保护将信息系统按照价值系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别划分五个等级进行保护。其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。等级保护依据公安部、国家保密局、国家密码管理局和国信办先后联合下发《关于信息安全等级保护工作的实施意见》、《信息安全等级保护信息安全等级保护管理办法》开展。
2、分级保护
分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。
国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构,山东省软件评测中心是国家保密科技测评中心在山东省设立的分中心。
3、塞班斯法案 针对安然、世通等财务欺诈事件,美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席塞班斯联合提出,又被称作《2002年塞班斯-奥克斯利法案》(简称塞班斯法案),法案对美国《1933年证券法》、《1934年证券交易法》做了不少修订,在会计职业监管、公司治理、证券市场监管等方面做出了许多新规定。
塞班斯法案成为在美上市企业躲不过去的坎。它规定,上市公司的财务报告必须包括一份内控报告,并明确规定公司管理层对建立和维护财务报告的内部控制体系及相应控制流程负有完全责任;此外,财务报告中必须附有其内控体系和相应流程有效性的评估。它的出台意味着在美国上市的公司不仅要保证其财务报表数据的准确,还要保证内控系统能通过相关审计。
4、计算机信息系统安全专用产品销售许可
计算机信息系统安全专用产品销售许可证是为了加强计算机信息系统安全专用产品的管理,保证安全专用产品的安全功能,由公安部公共信息网络安全监察局颁发的许可证书。
办理依据:
(1)《中华人民共和国计算机信息系统安全保护条例》、(1994年2月18日,国务院令147号发布)。
(2)、《计算机信息系统安全专用产品检测和销售许可证管理办法》(1997年12月1日,公安部令第32号)。
(3)、《计算机病毒防治管理办法》(2000年4月26日,公安部令第51号)。审批办理流程:
(1)、产品检测。申请单位须将样品送指定检测机构进行检测。
(2)、申请办证。检测合格后,申请单位按规定提交证书申请的相关材料。(3)、审批发证。公安部公共信息网络安全监察局。
5、信息系统密码安全管理
为推动商用密码发展,确保国家重要信息系统密码安全,具备检测资质的机构依据《信息安全等级保护商用密码管理办法》、《信息安全等级保护商用密码技术实施要求》 《信息系统安全等级保护基本要求》,对信息安全等级为三级以上(含三级)信息系统中的商用密码系统进行测评。的商用密码系统安全等级保护测评工作拟分以下三个阶段:测评申请阶段、现场检测阶段、报告与结论阶段。
在信息安全合规性要求中,等级保护和分级保护以其涉及范围广,实施具有高度专业化和复杂性的特点,成为信息安全合规测评工作的重点和难点,后面的文章将会对这两个概念进行重点解读。
二、区分信息安全等级保护与分级保护
通过上文我们知道,信息安全等级保护与分级保护是在信息安全合规测评中两个非常重要的概念,二者密切相关又有区别。山东省软件评测中心结合在等级保护测评和分级保护测评中的具体实践,对等级保护和分级保护进行详细介绍,理清两者间的关联。
1、信息系统等级保护
由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。
信息系统安全等级保护将安全保护的监管级别划分为五个级别:
第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。第三级:安全标记保护级除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。
第四级:结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。
第五级:访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。
在等级保护的实际操作中,强调从五个部分进行保护,即:
物理部分:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;
支撑系统:包括计算机系统、操作系统、数据库系统和通信系统; 网络部分:包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理;
应用系统:包括系统登录、权限划分与识别、数据备份与容灾处理,运行管理和访问控制,密码保护机制和信息存储管理;
管理制度:包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和程序,规章制度的建立、更改和废止的控制程序。
由这五部分的安全控制机制构成系统整体安全控制机制。
2、涉密信息系统分级保护
涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面,对不同级别的涉密信息系统有明确的分级保护措施,从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:
(1)信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门;
(2)信息系统中的机密级信息含量较高或数量较多;(3)信息系统使用单位对信息系统的依赖程度较高。
绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。涉密信息系统定级遵循“谁建设、谁定级"的原则,可以根据信息密级、系统重要性和安全策略划分为不同的安全域,针对不同的安全域确定不同的等级,并进行相应的保护。建设完成之后应该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评(山东省软件评测中心是山东省内唯一的涉密信息系统检测机构),确定在技术层面是否达到了涉密信息系统分级保护的要求。
3、等级保护和分级保护之间的关系
国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统,而不论它是否涉密。如:国家事务处理信息系统(党政机关办公系统);金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;国防工业企业、科研等单位的信息系统等。
涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄漏。
国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。而涉密信息系统分级保护则是是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
三、等级合规测评的主要内容
1、单元测评。单元测评从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面,测评《信息系统安全等级保护基本要求》(GB/T 22239-2008)所要求的基本安全控制在信息系统中的实施配置情况。
2、整体测评。整体测评主要测评分析信息系统的整体安全性。在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等,是在单元测评基础上进行的进一步测评分析。
四、等级合规测评的重要作用
1、等级合规测评是落实信息安全等级保护制度的重要环节
在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。信息系统定级是整个等级保护工作的开始,等级保护基本要求是对不同等级信息系统实行等级保护的基础。客户可以基于定级指南对信息系统定级,基于等级保护基本要求实施保护措施,从而将有效落实国家有关等级保护的制度要求和文件精神。
2、等级测评报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料
等级测评结论为信息系统未达到相应等级的基本安全保护能力的,运营、使用单位应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。
3、等级测评使整个组织规范一致的开展等级评定工作
合规测评基于客户的组织架构、运作模式等特点,制定信息系统安全保护等级定级指南,明确在组织内开展等级评定工作的原则、方法和流程,从而使得客户的等级评定工作能够在整个组织范围内一致地开展。
4、确保突出重点保护对象并进行适度保护
信息系统安全等级保护基本要求明确了不同等级信息系统的技术要求和管理要求,基于信息系统安全等级保护基本要求,合规测评可使客户在符合国家法律法规要求的前提下,针对不同等级信息系统采取相应等级的保护措施,从而确保重点突出、适度保护,节省IT投资。
5、等级测评提高内部人员的信息安全意识
合规测评过程中,第三方咨询专家将与被服务单位人员密切合作。通过与被服务单位人员有针对性的交流,以及精心设计的调查问卷等,被服务单位的管理、业务、技术等人员将逐步提高对信息安全合规的认识,强化信息安全意识,杜绝违规操作。
作为第三方测评机构,山东省软件评测中心认为,通过等级合规测评可指导用户在各个层面上综合采取多种保护措施,保护网络和安全域边界、网络及基础设施、终端计算环境的安全、以及进行安全运行中心等支撑性安全设施的建设。
五、等级合规测评的操作流程 要充分发挥等级测评对信息安全的保障作用,就要按照科学的流程和方法进行操作。山东省软件评测中心根据等级测评的相关要求将等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。具体过程如下:
1、测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
2、方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
3、现场测评活动
本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
4、分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息安全等级保护基本要求》的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
等级测评项目启动测评准备活动信息收集与分析工具和表单准备测评对象确定测评指标确定方案编制活动测评工具接入点确定测评内容确定测评指导书开发测评方案编制现场测评活动测评实施准备现场测评和记录结果结果确认和资料归还单项测评结果判定分析与报告编制活动单元测评结果判定整体测评风险分析等级测评结论形成测评报告编制沟通与洽谈
六、等级合规测评的关键点
确定了等级测评的具体流程,是为开展测评工作奠定了坚实基础,但是还要关注在具体环节上关键要素,它们对测评工作的成效高低具有重大影响。
1、等级测评的方法和强度
等级测评的基本方法一般包括访谈、检查和测试等三种。
访谈是测评人员通过与被测评单位的相关人员进行交谈和问询,了解被测信息系统安全技术和安全管理方面的相关信息,以对测评内容进行确认。
检查是测评人员通过简单比较或使用专业知识分析的方式获得测评证据的方法,包括:评审、核查、审查、观察、研究和分析等方法。
测试是指测评人员通过使用相关技术工具对信息系统进行验证测评的方法,包括功能测试、性能测试、渗透测试等。
等级测评机构应当根据被测信息系统的实际情况选取适合的测评强度。测评强度可以通过测评的深度和广度来描述。访谈的深度体现在访谈过程的严格和详细程度,广度体现在访谈人员的构成和数量上;检查的深度体现在检查过程的严格和详细程度,广度体现在检查对象的种类(文档、机制等)和数量上;测试的深度体现在执行的测试类型上(功能/性能测试和渗透测试),广度体现在测试使用的机制种类和数量上。
2、等级测评对象
测评对象是在被测信息系统中实现特定测评指标所对应的安全功能的具体系统组件。正确选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。
测评对象一般采用抽查信息系统中具有代表性组件的方法确定。在测评对象确定中应兼顾工作投入与结果产出两者的平衡关系。
七、等级合规测评的指标
开展等级测评活动应从《信息系统安全等级保护基本要求》(GB/T 22239-2008)中选择相应等级的安全要求作为基本测评指标。
1、第二级信息系统等级测评指标,除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的66项基本要求(177个控制点)作为基础测评指标以外,还应参照《信息系统通用技术要求》中的83个控制点、《信息系统安全管理要求》中的70个控制点、《信息系统安全工程管理要求》中的51个控制点以及行业测评标准所规定的其他控制点,结合不同的定级结果组合情况进行确定。
2、第三级信息系统等级测评指标确定,除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的73项基本要求(290个控制点)作为测评指标以外,还应参照《信息系统通用技术要求》中的109个控制点、《信息系统安全管理要求》中的104个控制点、《信息系统安全工程管理要求》中的42个控制点以及行业测评标准所规定的其他控制点,结合不同的定级结果组合情况进行确定。
3、第四级信息系统等级测评指标确定,除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的77项基本要求(317个控制点)作为测评指标以外,还应参照《信息系统通用技术要求》中的120个控制点、《信息系统安全管理要求》中的104个控制点、《信息系统安全工程管理要求》中的35个控制点以及行业测评标准所规定的其他控制点,结合不同的定级结果组合情况进行确定。
4、对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的测评指标应采用就高原则。
八、高效等级测评工作的注意事项
为了保障等级测评取得真正的成效,在测评之前,需要认真筹备;测评过程中依照相关规定,强化管理。同时,在测评操作过程中还应该严格遵循等级测评的相关原则。以上经验,都已经在山东省软件测评中心的实践中得到验证,成效显著。
1、认真做好等级测评质量保障工作
等级测评机构开展测评前应与委托单位联合成立等级测评工作组,建立通畅的沟通联络机制,确保等级测评活动的顺利开展。
等级测评机构开展等级测评时,必须保证足够的现场测评等级测评师。开展第二级信息系统的等级测评活动时,测评机构至少应由一名中级等级测评师、一名管理类等级测评师、二名技术类等级测评师参与等级测评活动;开展第三级信息系统的等级测评活动时,测评机构至少应由一名高级等级测评师、两名中级等级测评师、二名管理类等级测评师、三名技术类等级测评师参与等级测评活动;开展第四级信息系统的等级测评活动时,测评机构至少应由二名高级等级测评师、两名中级等级测评师、两名管理类等级测评师、四名以上技术类等级测评师参与等级测评活动。
等级测评机构开展等级测评时,应当投入满足测评需要的拓扑发现设备、网络安全配置核查设备、网络协议分析设备、漏洞扫描设备、渗透攻击集成设备等功能测试、性能测试、渗透测试工具以及必要的交通、通信设备。
等级测评活动包括测评准备、方案编制、现场测评、分析及报告编制四个基本阶段。第二级信息系统单个业务系统等级测评全过程,一般不少于5个工作日。第三级信息系统单个业务系统等级测评全过程,一般不少于10个工作日。第四级信息系统单个业务系统等级测评全过程,一般不少于20个工作日。
等级测评活动中,测评机构需要提交给委托方的资料不少于以下纸质文档:项目计划书、公正性声明、保密协议、等级测评方案、现场测评记录、等级测评报告、安全建设整改意见
2、严格等级测评管理
信息系统的运营、使用单位或主管部门应当选择年审合格的测评机构,按照《信息系统安全等级保护测评要求》等技术标准,定期对信息系统的安全状况开展等级测评。
第三级信息系统应每年进行一次等级测评,第四级信息系统应每半年进行一次等级测评。重要的第二级信息系统可参照第三级信息系统的测评要求进行等级测评。符合测评条件的新建、扩建信息系统及信息系统发生重大改变时,应及时安排等级测评。等级测评活动结束后,测评机构应在15个工作日内向被测评信息系统的运营、使用单位提供等级测评报告,并应同时向省、市两级等保办提交第三级(含)以上信息系统的等级测评报告。被测评信息系统安全状况未达到信息安全等级保护制度要求的,由等级测评机构提出安全建设整改意见,运营、使用单位应当及时制定方案进行整改。
省内信息系统的等级测评工作原则上由省内等级测评机构完成,特殊行业等级测评机构或省外其他等级测评机构在省内开展等级测评活动时,应在省等保办办理登记备案手续,按照本规范开展等级测评活动,并接受省等保办的监督管理。测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改建议、信息安全等级保护宣传教育等工作的技术支持,但不得从事下列活动:
(1)、影响被测评信息系统正常运行,危害被测评信息系统安全;(2)、泄露被测评单位及被测信息系统的敏感信息和工作秘密;
(3)、故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
(4)、未按规定格式出具等级测评报告;
(5)、非授权占有、使用等级测评活动中的获得的相关资料及数据文件;(6)、分包或转包等级测评项目;
(7)、从事信息安全产品开发、销售和信息系统安全集成;(8)、限定被测评单位购买、使用其指定的信息安全产品;
(9)、其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
九、等级合规测评中应当严格遵循的五个原则
1、客观公正原则。测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
2、充分性原则。为客观反映被测评信息系统的安全状况,测评活动要保证必需的广度和深度,以满足国家标准和行业标准的测评指标的要求。
3、经济性原则。测评活动应尽可能降低成本,减少投入。基于测评成本和工作复杂性,鼓励测评工作部分使用能反映信息系统当前安全状态的已有测评结果,包括商业安全产品测评结果和信息系统已有的安全测评结果。
4、结果一致性原则。针对同一信息系统的等级测评,不同测评机构依据同一的测评方案和测评方法得出的测评结果应当一致,同一测评机构重复执行相同测评过程得出的结果应当一致。
5、安全性原则。测评机构和测评人员在测评活动中,应当履行安全保密义务,承担相应的法律责任,确保被测评信息系统安全运行和用户的工作秘密及商业秘密不被泄露。
第四篇:信息安全等级测评实施细则(稿)
信息安全等级保护等级测评实施细则
第一章 总则
第一条【目的】为加强信息安全等级测评机构建设和管理,规范等级测评活动,保障信息安全等级保护制度的贯彻落实,根据《信息安全等级保护管理办法》等有关规范制订本实施细则。
第二条【适用范围】本细则适用于等级测评机构、测评人员和测评活动的规范管理。
第三条【等级测评定义】等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
第四条【测评机构定义】测评机构是经有关部门能力认可,经有关部门推荐,在一定范围内从事信息系统安全等级测评等工作的专业技术机构。
第五条【基本原则】测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。
第六条【保密要求】测评机构和测评人员应当遵守《国家保密法》的规定,保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。
第七条【管理体制】测评机构应当接受各级信息安全等级保护协调(领导)小组和公安网安部门的监督管理,并接受有关部门的业务管理和技术指导。
第二章 测评机构
第八条【总体要求】测评机构分为地区性、行业性测评机构,按照属地管理和行业管理相结合的原则进行建设和管理。
第九条【职责分工】国家信息安全等级保护协调小组办公室主管等级测评机构的建设和管理工作,指导行业等级测评机构的建设和管理工作,并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。
各省(区、市)等级保护协调(领导)小组办公室负责本地等级测评机构的建设管理工作。
第十条【基本条件】申请成为等级测评机构的单位(以下简称申请单位)应当具备以下基本条件:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)产权关系明晰,注册资金100万元以上;
(四)从事信息系统检测评估相关工作两年以上;
(五)单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(六)具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于80%。其中测评技术人员不少于10人;
(七)具备必要的办公环境、设备、设施及完备的安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁;
(九)应当具备的其他条件。
第十一条【申请提交】地方申请单位应向属地省(区、市)等级保护协调(领导)小组办公室提交申请,行业申请单位向国家信息安全等级保护工作协调小组办公室提交申请,并填写申请书,申请成为等级测评机构。
第十二条【申请材料】申请单位在申请时应提供以下材料,并对申请材料的真实性负责。
(一)《信息安全等级保护测评机构申请书》;
(二)当地公安网安部门的推荐意见;
(三)营业执照及其他注册证明文件;
(四)《内设组织机构与岗位设置情况表》;
(五)《工作人员基本情况表》、证明材料和声明;
(六)《办公场地、设备与设施情况表》;
(七)《安全测评设备、工具配备情况表》;
(八)信息系统安全测评能力报告;
(九)保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件;
(十)需要提供的其他材料。
第十三条【初审】省级(含)以上等级保护协调(领导)小组办公室收到申请材料后,应在30日内完成初审。
第十四条【技术能力审验】初审通过的,由技术能力审验机构评估、审查并确认申请单位的技术能力。
技术能力审验周期最长为一个月。审验期满前,技术能力审验机构应向等级保护协调(领导)小组办公室出具审验意见,并加盖专门印章。
第十五条【核准】省级(含)以上等级保护协调(领导)
小组办公室对通过技术能力审验的申请单位进行复核,并出具核准意见。
第十六条【目录公布】测评机构实行目录管理。各省级信息安全等级保护协调(领导)小组办公室公布本地等级测评机构目录,并向国家信息安全等级保护工作协调小组办公室备案。国家信息安全等级保护工作协调小组办公室公布《全国信息安全等级测评机构目录》。
第十七条【业务范围】测评机构应当在规定的业务范围内开展测评业务。
(一)地方测评机构在本地开展测评业务,行业测评机构在行业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地等级保护协调(领导)小组办公室协调;
(二)承担有关部门委托的安全测评专项任务;
(三)配合当地公安网安部门对信息系统进行监督、检查;
(四)开展风险评估、信息安全培训、咨询服务和信息安全工程监理;
(五)为当地信息安全等级保护工作提供技术支持和服务;
(六)其他有关文件规定的职责任务。
第十八条【禁止行为】测评机构不得从事下列活动:
(一)承担信息系统安全建设整改工作;
(二)将等级测评任务分包、外包;
(三)信息安全产品开发、营销和信息系统集成活动;
(四)限定被测评单位购买、使用其指定的信息安全产品;
(五)未经许可占有、使用有关测评信息、资料及数据文件;
(六)其他可能影响测评客观、公正的活动。第十九条【风险告知】在开展测评过程中,对可能影响信息系统正常运行的,测评机构应当事先告知被测评单位,并协助其采取相应的预防措施。
第二十条【人员管理】测评机构应当建立完备的人员档案,严格履行人员录用、考核、离岗等程序,对进入重要信息系统进行测评的人员,应该进行背景审查,确保人员可靠。
第二十一条【制度管理】测评机构应当建立并落实保密管理、项目管理、质量管理、人员管理、培训教育等管理制度。
第二十二条【能力建设】测评机构要加强技术能力和管理能力建设,应在测评机构推荐目录公布后两年内至少通过一项实验室或检查机构资质认定。
第三章 人员管理
第二十三条【人员要求】测评人员应遵守国家有关法律法规、技术标准和测评人员行为准则,认真履行本细则规定 的责任和义务,为用户提供安全、客观、公正的测评服务,保证测评的质量和效果。
第二十四条【个人声明】测评人员应当提供本人社会背景、工作经历和奖惩情况的证明材料,声明相关材料的真实性并承担法律责任。
第二十五条【持证上岗】测评人员上岗前应接受培训,培训合格的由测评机构颁发上岗证。测评人员持证上岗。
第二十六条【分级管理】测评机构技术人员实行分级管理,由低到高分为初级等级测评师、中级等级测评师和高级等级测评师。
测评技术人员应当接受专门业务培训,考试合格的获得等级测评师证书。
第二十七条【培训与考试】国家信息安全等级保护协调小组办公室制定并公布培训计划,指定专门培训机构具体承担等级测评师的培训、考试工作。专门培训机构向考试合格的人员颁发等级测评师证书。
第二十八条【证书管理】专门培训机构依据等级测评师证书管理办法办理证书的审核、颁发、建档、公布、查询、年审、换发和撤销,并向省级以上等级保护工作协调小组办公室备案。
第二十九条【备案】行业测评机构每年应将本单位等级测评师培训、获证情况向国家信息安全等级保护工作协调小组办公室备案。
地方测评机构每年应将本单位等级测评师培训、获证情况向本省(区市)等级保护协调(领导)小组办公室备案。
各地等级保护协调(领导)小组办公室每年应将本地等级测评师培训、获证情况向国家等级保护协调小组办公室备案。
第三十条【年审管理】等级测评师实行年审制度。专门培训机构对等级测评师每年进行一次年审,并将年审结果报等级保护协调(领导)小组办公室。
对未通过年审的等级测评师,测评机构应暂停其开展测评工作。专门培训机构应对年审不通过的等级测评师开展培训。
第三十一条【变更告知】等级测评机构的主要管理人员和技术人员工作变动的,应及时到等级保护协调(领导)小组办公室变更备案。
第三十二条【人员法律责任】测评人员在测评工作中具有徇私舞弊、收受贿赂等违反有关法律法规行为的,应由专门培训机构撤销违规人员等级测评师证书,并按照有关规定进行处罚。
第四章 测评活动
第三十三条【用户要求】信息系统运营使用单位应当选择《等级测评机构推荐目录》中的等级测评机构,定期对信息系统开展等级测评,并加强对测评过程的监督管理。
第三十四条【整改前测评】信息系统安全建设整改前,信息系统运营使用单位可以选择测评机构进行等级测评,掌握信息系统安全状况,排查系统安全隐患和薄弱环节,明确安全建设整改需求。
第三十五条【整改后测评】信息系统安全建设整改后,信息系统运营使用单位应当再选择测评机构进行等级测评,检测系统安全保护状况与标准要求的符合性,进一步查找安全隐患和问题,并进行风险分析,为进一步整改提供依据。
第三十六条【定期测评】第三级以上(含)信息系统应当每年至少进行一次等级测评,测评完成后,信息系统运营使用单位应及时向受理备案的公安机关提交测评报告。
第三十七条【测评机构规范】测评机构应建立规范的质量管理体系,依据《信息系统安全等级保护测评要求》等标准规范对信息系统进行测评,按照公安部制订的信息系统安全等级测评报告格式编制测评报告。
第三十八条【测评费用】测评机构应当参照国家信息化工程建设项目人工计费标准合理收取测评服务费用。为防止恶意竞争,影响测评质量,测评机构开展测评业务收费应当不低于最低收费限额。
第三十九条【安全责任】测评机构应当针对等级测评工作制定保密管理规范,明确保密岗位与职责,定期对工作人员进行保密教育,与其签订《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第五章 监督管理
第四十条【监管主体】各级等级保护协调(领导)小组办公室对等级测评机构、测评人员、测评活动等进行监督、检查,处理对测评机构的投诉。
第四十一条【年审】各级等级保护工作协调(领导)小组办公室对备案的测评机构及测评人员实施年审管理,每年对测评机构的能力和工作进行审核、审查,并公布审核、审查结果。
第四十二条【机构违规】测评机构违反规定,情节轻微的,由等级保护协调领导机构办公室责令其限期改正或予以通报、警告。
测评机构出现以下情况之一的,按照相应规定和程序,由等级保护协调(领导)机构决定撤销其测评机构资格并及时向社会公告。
(一)违反法律、法规并被起诉的;
(二)发生重大泄密事件的;
(三)运营管理不规范,严重影响测评质量,经整改仍无法达到要求的;
(四)与被测评单位共同隐瞒在安全评估过程中发现的安全漏洞,未按要求写入评估报告的;
(五)在评估过程中弄虚作假,编造安全评估报告的;
(六)不履行规定的责任和义务,经通报批评、警告仍不改正的;
(七)测评机构成立后一年内不开展测评业务的;
(八)由于自身原因主动提出退出的;
(九)连续两次年审未通过的;
(十)违反其他有关规定的。
第四十三条【争议处理】测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。
第四十四条【监督自身要求】各级等级保护协调(领导)小组办公室应严格依照本细则的有关规定,按照公平、公正的原则开展监督检查工作。
第四十五条【变更】测评机构性质、经营(业务)范围、隶属关系、法定代表人等重要事项发生变化的,应在30日内向等级保护协调(领导)机构办理变更手续。
第五篇:信息安全技术 信息系统安全等级保护测评过程指南送审稿
信息安全技术 信息系统安全等级保护测评过程指南
送审稿
引 言
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括:
——GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南; ——GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求; ——GB/T CCCC-CCCC 信息安全技术 信息系统安全等级保护实施指南; ——GB/T DDDD-DDDD 信息安全技术 信息系统安全等级保护测评要求。
信息安全技术
信息系统安全等级保护测评过程指南 范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。2 规范性引用文件
下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术 词汇 第8部分:安全 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T CCCC-CCCC 信息安全技术 信息系统安全等级保护实施指南 GB/T DDDD-DDDD 信息安全技术 信息系统安全等级保护测评要求 《信息安全等级保护管理办法》(公通字[2007]43号)3 术语和定义
GB/T 5271.8、GB 17859-1999、GB/T CCCC-CCCC和GB/T DDDD-DDDD确立的以及下列的术语和定义适用于本标准。3.1
优势证据 superior evidence 对单一测评项实施等级测评过程中获得的多个测评结果之间存在矛盾,且都没有足够的证据否定与之矛盾的测评结果的,则测评结果的证明力明显大于其他测评结果的证明力的那个(些)测评结果即为优势证据。4 等级测评概述 4.1 等级测评的作用
依据《信息安全等级保护管理办法》(公通字[2007]43号),信息系统运营、使用单位在进行信息系统备案后,都应当选择测评机构进行等级测评。等级测评是测评机构依据《信息系统安全等级保护测评要求》等管理规范和技术标准,检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程,是落实信息安全等级保护制度的重要环节。
在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。
在信息系统运维过程中,信息系统运营、使用单位定期委托测评机构开展等级测评,对信息系统安全等级保护状况进行安全测试,对信息安全管控能力进行考察和评价,从而判定信息系统是否具备GB/T 22239-2008中相应等级安全保护能力。而且,等级测评报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料。等级测评结论为信息系统未达到相应等级的基本安全保护能力的,运营、使用单位应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。4.2 等级测评执行主体
可以为三级及以上等级信息系统实施等级测评的等级测评执行主体应具备如下条件:在中华人民共和国境内注册成立(港澳台地区除外);由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);从事相关检测评估工作两年以上,无违法记录;
工作人员仅限于中国公民;法人及主要业务、技术人员无犯罪记录;使用的技术装备、设施应当符合《信息安全等级保护管理办法》(公通字[2007]43号)对信息安全产品的要求;具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;对国家安全、社会秩序、公共利益不构成威胁。(摘自《信息安全等级保护管理办法》(公通字[2007]43号))
等级测评执行主体应履行如下义务:遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。4.3 等级测评风险
等级测评实施过程中,被测系统可能面临以下风险。4.3.1 验证测试影响系统正常运行
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。4.3.2 工具测试影响系统正常运行
在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。4.3.3 敏感信息泄漏
泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。4.4 等级测评过程
本标准中的测评工作过程及任务基于受委托测评机构对信息系统的初次等级测评给出。运营、使用单位的自查或受委托测评机构对已经实施过一次(或以上)等级测评的被测系统的等级测评,测评机构和测评人员可以根据实际情况调整部分工作任务,具体原则见附录A。
等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
4.4.1 测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。4.4.2 方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。4.4.3 现场测评活动 本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。4.4.4 分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和GB/T DDDD-DDDD的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。5 测评准备活动
5.1 测评准备活动的工作流程
测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为顺利编制测评方案打下良好的基础。
测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见图1:
5.2 测评准备活动的主要任务 5.2.1 项目启动
在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。输入:委托测评协议书。任务描述:
a)根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。b)测评机构要求测评委托单位提供基本资料,包括:被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。
输出/产品:项目计划书。5.2.2 信息收集和分析
测评机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。
输入:调查表格,被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有)。任务描述:
a)测评机构收集等级测评需要的各种资料,包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。b)测评机构将调查表格提交给测评委托单位,督促被测系统相关人员准确填写调查表格。
c)测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。
d)如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,测评机构应安排现场调查,与被测系统相关人员进行面对面的沟通和了解。
输出/产品:填好的调查表格。5.2.3 工具和表单准备
测评项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。
输入:各种与被测系统相关的技术资料。任务描述:
a)测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
b)测评人员模拟被测系统搭建测评环境。
c)准备和打印表单,主要包括:现场测评授权书、文档交接单、会议记录表单、会议签到表单等。
输出/产品:选用的测评工具清单,打印的各类表单。5.3 测评准备活动的输出文档
测评准备活动的输出文档及其内容如表1所示:
5.4 测评准备活动中双方的职责 测评机构职责:
a)组建等级测评项目组。
b)指出测评委托单位应提供的基本资料。
c)准备被测系统基本情况调查表格,并提交给测评委托单位。d)向测评委托单位介绍安全测评工作流程和方法。
e)向测评委托单位说明测评工作可能带来的风险和规避方法。
f)了解测评委托单位的信息化建设状况与发展,以及被测系统的基本情况。g)初步分析系统的安全情况。h)准备测评工具和文档。
测评委托单位职责:
a)向测评机构介绍本单位的信息化建设状况与发展情况。b)准备测评机构需要的资料。
c)为测评人员的信息收集提供支持和协调。d)准确填写调查表格。e)根据被测系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议。f)制定应急预案。方案编制活动
6.1 方案编制活动的工作流程
方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料,为现场测评活动提供最基本的文档和指导方案。
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书测评指导书开发及测评方案编制六项主要任务。这六项任务的基本工作流程见图 2:
6.2 方案编制活动的主要任务 6.2.1 测评对象确定
根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。输入:填好的调查表格。任务描述:
a)识别并描述被测系统的整体结构
根据调查表格获得的被测系统基本情况,识别出被测系统的整体结构并加以描述。描述内容应包括被测系统的标识(名称),物理环境,网络拓扑结构和外部边界连接情况等,并 给出网络拓扑图。
b)识别并描述被测系统的边界
根据填好的调查表格,识别出被测系统边界并加以描述。描述内容应包括被测系统与其他网络进行外部连接的边界连接方式,如采用光纤、无线和专线等;描述各边界主要设备,如防火墙、路由器或服务器等。如果在被测系统边界连接处有共用设备,一般可以把该设备划到等级较高的那个信息系统中。c)识别并描述被测系统的网络区域
一般信息系统都会根据业务类型及其重要程度将信息系统划分为不同的区域。对于没有进行区域划分的系统,应首先根据被测系统实际情况进行大致划分并加以描述。描述内容主要包括区域划分、每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。d)识别并描述被测系统的重要节点
描述系统节点时可以以区域为线索,具体描述各个区域内包括的计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)、网络硬件设备(包括交换机、路由器、各种适配器等)等,并说明各个节点之间的主要连接情况和节点上安装的应用系统软件情况等。e)描述被测系统
对上述描述内容进行整理,确定被测系统并加以描述。描述被测系统时,一般以被测系统的网络拓扑结构为基础,采用总分式的描述方法,先说明整体结构,然后描述外部边界连接情况和边界主要设备,最后介绍被测系统的网络区域组成、主要业务功能及相关的设备节点等。f)确定测评对象
分析各个作为定级对象的信息系统,包括信息系统的重要程度及其相关设备、组件,在此基础上,确定出各测评对象。g)描述测评对象
描述测评对象时,一般针对每个定级对象分门别类加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备及其操作系统、安全设备及其操作系统、访谈人员及其安全管理文档等。在对每类测评对象进行描述时则一般采用列表的方式,包括测评对象所属区域、设备名称、用途、设备信息等内容。
输出/产品:测评方案的测评对象部分。6.2.2 测评指标确定
根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。输入:填好的调查表格,GB/T 22239-2008。任务描述:
a)根据被测系统调查表格,得出被测系统的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施ASG组合情况。
b)从GB/T 22239-2008中选择相应等级的安全要求作为测评指标,包括对ASG三类安全要求的选择。举例来说,假设某信息系统的定级结果为:安全保护等级为3级,业务信息安全保护等级为2级,系统服务安全保护等级为3级;则该系统的测评指标将包括GB/T 22239-2008“技术要求”中的3级通用安全保护类要求(G3),2级业务信息安全类要求(S2),3级系统服务保证类要求(A3),以及第3级“管理要求”中的所有要求。
c)对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则。d)分别针对每个定级对象加以描述,包括系统的定级结果、指标选择两部分。其中,指标选择可以列表的形式给出。例如,一个安全保护等级和系统服务安全保护等级均为三级、业务信息安全保护等级为2级的定级对象,测评指标可以列出下表:
6.2.3 测试工具接入点确定
在等级测评中,对二级和二级以上的信息系统应进行工具测试,工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。
输入:填好的调查表格,GB/T DDDD-DDDD。任务描述:
a)确定需要进行工具测试的测评对象。
b)选择测试路径。一般来说,测试工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入,即:测试工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。c)根据测试路径,确定测试工具的接入点。
从被测系统边界外接入时,测试工具一般接在系统边界设备(通常为交换设备)上。在该点接入漏洞扫描器,扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况。在该接入点接入协议分析仪,可以捕获应用程序的网络数据包,查看其安全加密和完整性保护情况。在该接入点使用渗透测试工具集,试图利用被测试系统的主机或网络设备的安全漏洞,跨过系统边界,侵入被测系统主机或网络设备。
从系统内部与测评对象不同网段接入时,测试工具一般接在与被测对象不在同一网段的内部核心交换设备上。在该点接入扫描器,可以直接扫描测试内部各主机和网络设备对本单位其他不同网络所暴露的安全漏洞情况。在该接入点接入网络拓扑发现工具,可以探测信息系统的网络拓扑情况。在系统内部与测评对象同一网段内接入时,测试工具一般接在与被测对象在同一网段的交换设备上。在该点接入扫描器,可以在本地直接测试各被测主机、网络设备对本地网络暴露的安全漏洞情况。一般来说,该点扫描探测出的漏洞数应该是最多的,它说明主机、网络设备在没有网络安全保护措施下的安全状况。如果该接入点所在网段有大量用户终端设备,则可以在该接入点接入非法外联检测设备,测试各终端设备是否出现过非法外联情况。
d)结合网络拓扑图,采用图示的方式描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。
输出/产品:测评方案的测评内容中关于测评工具接入点部分。6.2.4 测评内容确定
本部分确定现场测评的具体实施内容,即单元测评内容。
输入:填好的调查表格,测评方案的测评对象、测评指标及测评工具接入点部分。任务描述: a)确定单元测评内容
依据GB/T DDDD-DDDD,将前面已经得到的测评指标和测评对象结合起来,然后再将测评对象与具体的测评方法结合起来,这也是编制测评指导书测评指导书的第一步。
具体做法就是把各层面上的测评指标结合到具体测评对象上,并说明具体的测评方法,如此构成一个个可以具体实施测评的单元。参照GB/T DDDD-DDDD,结合已选定的测评指标和测评对象,概要说明现场单元测评实施的工作内容;涉及到工具测试部分,应根据确定的测试工具接入点,编制相应的测试内容。在测评方案中,现场单元测评实施内容通常以表格的形式给出,表格包括测评指标、测评内容描述等内容。现场测评实施内容是项目组每个成员开发测评指导书测评指导书的基础。现场单元测评实施内容表格描述的基本格式之一为:
6.2.5 测评指导书开发 测评指导书是具体指导测评人员如何进行测评活动的文件,是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动可以重现的根本。因此,测评指导书应当尽可能详尽、充分。输入:测评方案的测试工具接入点、单元测评实施部分。任务描述:
a)描述单个测评对象,包括测评对象的名称、IP地址、用途、管理人员等信息。b)根据GB/T DDDD-DDDD的单元测评实施确定测评活动,包括测评项、测评方法、操作步骤和预期结果等四部分。
测评项是指GB/T 22239-2008中对该测评对象在该用例中的要求,在GB/T DDDD-DDDD中对应每个测评单元中的“测评指标”的具体要求项。测评方法是指访谈、检查和测试三种方法,具体到测评对象上可细化为文档审查、配置检查、工具测试和实地察看等多种方法,每个测评项可能对应多个测评方法。操作步骤是指在现场测评活动中应执行的命令或步骤,是按照GB/TDDDD-DDDD中的每个“测评实施”项目开发的操作步骤,涉及到工具测试时,应描述工具测试路径及接入点等;预期结果是指按照操作步骤在正常的情况下应得到的结果和获取的证据。
c)单元测评一般以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等内容。整体测评则一般以文字描述的方式表述,可以以测评用例的方式进行组织。
单元测评的测评指导书描述的基本格式为:
输出/产品:测评指导书,测评结果记录表格。6.2.6 测评方案编制
测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下内容:项目概述、测评对象、测评指标、测评工具的接入点以及单元测 评实施等。
输入:委托测评协议书,填好的调研表格,GB/T 22239-2008中相应等级的基本要求,测评方案的测评对象、测评指标、测试工具接入点、测评内容部分。任务描述:
a)根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等。
b)根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来。
c)依据委托测评协议书和被测系统情况,估算现场测评工作量。工作量可以根据配置检查的节点数量和工具测试的接入点及测试内容等情况进行估算。d)根据测评项目组成员安排,编制工作安排情况。
e)根据以往测评经验以及被测系统规模,编制具体测评计划,包括现场工作人员的分工和时间安排。在进行时间计划安排时,应尽量避开被测系统的业务高峰期,避免给被测系统带来影响。同时,在测评计划中应将具体测评所需条件以及测评需要的配合人员也一并给出,便于测评实施之前双方沟通协调、合理安排。f)汇总上述内容及方案编制活动的其他任务获取的内容形成测评方案文稿。
g)评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿。然后,测评机构将测评方案提交给测评委托单位签字认可。
输出/产品:经过评审和确认的测评方案文本。6.3 方案编制活动的输出文档
方案编制活动的输出文档及其内容如表5所示:
6.4 方案编制活动中双方的职责 测评机构职责:
a)详细分析被测系统的整体结构、边界、网络区域、重要节点等。b)初步判断被测系统的安全薄弱点。
c)分析确定测评对象、测评指标和测试工具接入点,确定测评内容及方法。d)编制测评方案文本,并对其内部评审,并提交被测机构签字确认。
测评委托单位职责:
a)对测评方案进行认可,并签字确认。现场测评活动
7.1 现场测评活动的工作流程
现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。这三项任务的基本工作流程见图3:
7.2 现场测评活动的主要任务 7.2.1 现场测评准备
本任务启动现场测评,是保证测评机构能够顺利实施测评的前提。输入:现场测评授权书,测评方案。任务描述:
a)测评委托单位签署现场测评授权书。
b)召开测评现场首次会,测评机构介绍测评工作,交流测评信息,进一步明确测评计划和方案中的内容,说明测评过程中具体的实施工作内容,测评时间安排等,以便于后面的测评工作开展。
c)测评双方确认现场测评需要的各种资源,包括测评委托单位的配合人员和需要提供的测评条件等,确认被测系统已备份过系统及数据。
d)测评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新。
输出/产品:会议记录,更新后的测评计划和测评程序,确认的测评授权书等。7.2.2 现场测评和结果记录
现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。7.2.2.1 访谈
输入:测评指导书,技术安全和管理安全测评的测评结果记录表格。任务描述:
a)测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。具体可参照GB/T DDDD-DDDD中的各级要求。
输出/产品:技术安全和管理安全测评的测评结果记录或录音。7.2.2.2 文档审查
输入:安全方针文件,安全管理制度,安全管理的执行过程文档,系统设计方案,网络设备的技术资料,系统和产品的实际配置说明,系统的各种运行记录文档,机房建设相关资料,机房出入记录等过程记录文档,测评指导书,管理安全测评的测评结果记录表格。任务描述:
a)检查GB/T 22239-2008中规定的必须具有的制度、策略、操作规程等文档是否齐备。
b)检查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。
c)对上述文档进行审核与分析,检查他们的完整性和这些文件之间的内部一致性。
下面列出对不同等级信息系统在测评实施时的不同强度要求。一级:满足GB/T 22239-2008中的一级要求。
二级:满足GB/T 22239-2008中的二级要求,并且所有文档之间应保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致。
三级:满足GB/T 22239-2008中的三级要求,所有文档应具备且完整,并且所有文档之间应保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致,安全管理过程应与系统设计方案保持一致且能够有效管理系统。
四级:满足GB/T 22239-2008中的四级要求,所有文档应具备且完整,并且所有文档之间应保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致,安全管理过程应与系统设计方案保持一致且能够有效管理系统。输出/产品:管理安全测评的测评结果记录。7.2.2.3 配置检查
输入:测评指导书,技术安全测评的网络、主机、应用测评结果记录表格。任务描述:
a)根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。b)如果系统在输入无效命令时不能完成其功能,将要对其进行错误测试。c)针对网络连接,应对连接规则进行验证。
下面列出对不同等级信息系统在测评实施时的不同强度要求。一级:满足GB/T 22239-2008中的一级要求。
二级:满足GB/T 22239-2008中的二级要求,测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性。
三级:满足GB/T 22239-2008中的三级要求,测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,测试系统是否达到可用性和可靠性的要求。
四级:满足GB/T 22239-2008中的四级要求,测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,测试系统是否达到可用性和可靠性的要求。输出/产品:技术安全测评的网络、主机、应用测评结果记录。7.2.2.4 工具测试
输入:测评指导书,技术安全测评的网络、主机、应用测评结果记录表格。任务描述:
a)根据测评指导书,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。b)备份测试结果。
下面列出对不同等级信息系统在测评实施时的不同强度要求。
一级:满足GB/T 22239-2008中的一级要求。
二级:满足GB/T 22239-2008中的二级要求,针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描等。
三级:满足GB/T 22239-2008中的三级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。
四级:满足GB/T 22239-2008中的四级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。
输出/产品:技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件。7.2.2.5 实地察看
输入:测评指导书,技术安全测评的物理安全和管理安全测评结果记录表格。任务描述:
a)根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。
下面列出对不同等级信息系统在测评实施时的不同强度要求。一级:满足GB/T 22239-2008中的一级要求。二级:满足GB/T 22239-2008中的二级要求。
三级:满足GB/T 22239-2008中的三级要求,判断实地观察到的情况与制度和文档中说明的情况是否一致,检查相关设备、设施的有效性和位置的正确性,与系统设计方案的一致性。
四级:满足GB/T 22239-2008中的四级要求,判断实地观察到的情况与制度和文档中说明的情况是否一致,检查相关设备、设施的有效性和位置的正确性,与系统设计方案的一致性。输出/产品:技术安全测评的物理安全和管理安全测评结果记录。7.2.3 结果确认和资料归还
输入:测评结果记录,工具测试完成后的电子输出记录。任务描述:
a)测评人员在现场测评完成之后,应首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评。
b)召开测评现场结束会,测评双方对测评过程中发现的问题进行现场确认。
c)测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供者签字确认。
输出/产品:现场测评中发现的问题汇总,证据和证据源记录,测评委托单位的书面认可文件。
7.3 现场测评活动的输出文档
现场测评活动的输出文档及其内容如表6所示:
7.4 现场测评活动中双方的职责 测评机构职责:
a)利用访谈、文档审查、配置检查、工具测试和实地察看的方法测评被测系统的保护措施情况,并获取相关证据。
测评委托单位职责:
a)测评前备份系统和数据,并确认被测设备状态完好。b)协调被测系统内部相关人员的关系,配合测评工作的开展。c)签署现场测评授权书。
d)相关人员回答测评人员的问询,对某些需要验证的内容上机进行操作。
e)相关人员确认测试前协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响。f)相关人员协助测评人员完成业务相关内容的问询、验证和测试。g)相关人员对测评结果进行确认。h)相关人员确认测试后被测设备状态完好。分析与报告编制活动
8.1 分析与报告编制活动的工作流程
在现场测评工作结束后,测评机构应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初步判定单元测评结果后,还需进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。这六项任务的基本工作流程见图4:
8.2 分析与报告编制活动的主要任务 8.2.1 单项测评结果判定
本任务主要是针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据,形成初步单项测评结果,单项测评结果是形成等级测评结论的基础。输入:技术安全和管理安全的单项测评结果记录,测评指导书。任务描述:
a)针对每个测评项,分析该测评项所对抗的威胁在被测系统中是否存在,如果不存在,则该测评项应标为不适用项。
b)分析单个测评项是否有多方面的要求内容,针对每一方面的要求内容,从一个或多个测评证据中选择出“优势证据”,并将“优势证据”与要求内容的预期测评结果相比较。
c)如果测评证据表明所有要求内容与预期测评结果一致,则判定该测评项的单项测评结果为符合;如果测评证据表明所有要求内容与预期测评结果不一致,判定该测评项的单项测评结果为不符合;否则判定该测评项的单项测评结果为部分符合。
根据“优势证据”的定义,具体从测评方式上来看,针对物理安全测评,实地察看证据相比文档审查证据为优势证据,文档审查证据相比访谈证据为优势证据;针对技术安全的其他方面测评,工具测试证据相比配置检查证据为优势证据,配置检查证据相比访谈证据为优势证据;针对管理安全测评,优势证据不确定,需根据实际情况分析确定优势证据。
输出/产品:测评报告的单元测评的结果记录部分。8.2.2 单元测评结果判定
本任务主要是将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。
输入:测评报告的单元测评的结果记录部分。任务描述:
a)按层面分别汇总不同测评对象对应测评指标的单项测评结果情况,包括测评多少项,符合要求的多少项等内容,一般以表格形式列出。
汇总统计分析的基本表格形式可以如下:
注:“.”表示“符合”,“.”表示部分符合,“×”表示“不符合”,“N/A”表示“不适用”。
上表中的符号即为测评对象对应的单元测评结果。测评对象在某个测评指标的单元测评结果判别原则如下:
1. 测评指标包含的所有适用测评项的单项测评结果均为符合,则该测评对象对应该测评指标的单元测评结果为符合;
2. 测评指标包含的所有适用测评项的单项测评结果均为不符合,则该测评对象对应该测评指标的单元测评结果为不符合;
3. 测评指标包含的所有测评项均为不适用项,则该测评对象对应该测评指标的单元测评结果为不适用; 4. 测评指标包含的所有适用测评项的单项测评结果不全为符合或不符合,则该测评对象对应该测评指标的单元测评结果为部分符合。
输出/产品:测评报告的单元测评的结果汇总部分。
8.2.3 整体测评
针对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。输入:测评报告的单元测评的结果汇总部分。任务描述:
a)针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他测评项能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。b)针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他层面的测评对象能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
c)针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他区域的测评对象能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
d)从安全角度分析被测系统整体结构的安全性,从系统角度分析被测系统整体安全防范的合理性。e)汇总上述分析结论,形成表格。
表格基本形式如下:
输出/产品:测评报告的整体测评部分。8.2.4 风险分析
测评人员依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。
输入:填好的调查表格,测评报告的单元测评的结果汇总及整体测评部分。任务描述:
a)结合单元测评的结果汇总和整体测评结果,将物理安全、网络安全、主机安全、应用安全等层面中各个测评对象的测评结果再次汇总分析,统计符合情况。一般可以表格的形式描述。
表格的基本形式可以如下:
b)判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性,可能性的取值范围为高、中和低。
c)判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用后,对被测系统的业务信息安全和系统服务安全造成的影响程度,影响程度取值范围为高、中和低。
d)综合b)和c)的结果,对被测系统面临的安全风险进行赋值,风险值的取值范围为高、中和低。e)结合被测系统的安全保护等级对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。
输出:测评报告的测评结果汇总及风险分析和评价部分。8.2.5 等级测评结论形成
测评人员在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。
输入:测评报告的测评结果汇总部分。任务描述:
a)根据表9测评结果汇总表格,如果部分符合和不符合项的统计结果不全为0,则该信息系统未达到相应等级的基本安全保护能力;如果部分符合和不符合项的统计结果全为0,则该信息系统达到了相应等级的基本安全保护能力。
输出/产品:测评报告的等级测评结论部分。8.2.6 测评报告编制
测评报告应包括但不局限于以下内容:概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。其中,概述部分描述被测系统的总体情况、本次测评的主要测评目的和依据;被测系统描述、测评对象、测评指标、测评内容和方法等部分内容编制时可以参考测评方案相关部分内容,有改动的地方应根据实际测评情况进行修改。
输入:测评方案,单元测评的结果记录和结果汇总部分,整体测评部分,风险分析和评价部分、等级测评结论部分。任务描述:
a)测评人员整理前面几项任务的输出/产品,编制测评报告相应部分。一个测评委托单位应形成一份测评报告,如果一个测评委托单位内有多个被测系统,报告中应分别描述每一个被测系统的等级测评情况。b)针对被测系统存在的安全隐患,从系统安全角度提出相应的改进建议,编制测评报告的安全建设整改建议部分。
c)列表给出现场测评的文档清单和单项测评记录,以及对各个测评项的单项测评结果判定情况,编制测评报告的单元测评的结果记录和问题分析部分。
d)测评报告编制完成后,测评机构应根据测评协议书、测评委托单位提交的相关文档、测评原始记录和其他辅助信息,对测评报告进行评审。
e)评审通过后,由项目负责人签字确认并提交给测评委托单位。
输出/产品:经过评审和确认的被测系统等级测评报告。8.3 分析与报告编制活动的输出文档
分析与报告编制活动的输出文档及其内容如表10所示:
8.4 分析与报告编制活动中双方的职责 测评机构职责:
a)分析并判定单项测评结果和整体测评结果。b)分析评价被测系统存在的风险情况。c)根据测评结果形成等级测评结论。
d)编制等级测评报告,说明系统存在的安全隐患和缺陷,并给出改进建议。e)评审等级测评报告,并将评审过的等级测评报告按照分发范围进行分发。f)将生成的过程文档归档保存,并将测评过程中生成的电子文档清除。
测评委托单位职责: a)签收测评报告。
附录A(资料性附录)等级测评工作流程
受委托测评机构实施的等级测评工作活动及流程与运营、使用单位的自查活动及流程会有所差异,初次等级测评和再次等级测评的工作活动及流程也不完全相同,而且针对不同等级信息系统实施的等级测评工作活动及流程也不相同。
受委托测评机构对信息系统的初次等级测评可以分为四项活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。具体如图5所示:
上图是对受委托测评机构对信息系统实施初次等级测评的基本工作流程。如果被测系统已经实施过一次(或多次)等级测评,上图中的四个活动保持不变,但是具体任务内容会有所变化。测评机构和测评人员可以根据上一次等级测评中存在的问题和被测系统的实际情况调整部分工作任务内容。例如,信息收集和分析任务中,可以只收集那些自上次等级测评后有所变更的信息,其他信息可以重用上次等级测评结果;测评对象尽量选择上次等级测评中未测过或存在问题的作为测评对象;测评内容也应关注上次等级测评中发现的问题。不同等级信息系统的等级测评的基本工作活动与图5中信息系统的等级测评活动应完全一致,即:测评准备、方案编制、现场测评、分析与报告编制四项活动。由于图5给出的是较为全面的工作流程和任务,因此,较低等级信息系统的等级测评的各个活动的具体工作任务应在图5基础上删除或简化部分内容。如针对二级信息系统的等级测评,测评人员在分析与报告编制活动中可以不进行单项测评结果汇总分析,仅进行简单的汇总等。相反,较高等级信息系统的等级测评的工作任务则可以在此基础上增加或细化部分内容。如针对四级信息系统的等级测评,在测评对象确定任务中,不但需要确定出测评对象,还需给出选择这些测评对象的过程及理由等;整体测评需设计具体的整体测评实例等。
附录B
(资料性附录)测评对象确定方法 B.1 测评对象确定原则和方法
测评对象是等级测评的直接工作对象,也是在被测系统中实现特定测评指标所对应的安全功能的具体系统组件,因此,选择测评对象是编制测评方案的必要步骤,也是整个测评工作的重要环节。恰当选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。
测评对象的确定一般采用抽查的方法,即:抽查信息系统中具有代表性的组件作为测评对象。并且,在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。在确定测评对象时,需遵循以下原则:
1. 恰当性,选择的设备、软件系统等应能满足相应等级的测评强度要求; 2. 重要性,应抽查对被测系统来说重要的服务器、数据库和网络设备等; 3. 安全性,应抽查对外暴露的网络边界;
4. 共享性,应抽查共享设备和数据交换平台/设备;
5. 代表性,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。
B.2 具体确定方法说明 B.2.1 第一级信息系统
第一级信息系统的等级测评,测评对象的种类和数量比较少,重点抽查关键的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面:
1. 主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施,那么也应该作为测评对象; 2. 整个系统的网络拓扑结构;
3. 安全设备,包括防火墙、入侵检测设备、防病毒网关等;
4. 边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等; 5. 对整个信息系统的安全性起决定作用的网络互联设备,如核心交换机、路由器等; 6. 承载最能够代表被测系统使命的业务或数据的核心服务器(包括其操作系统和数据库); 7. 最能够代表被测系统使命的重要业务应用系统; 8. 信息安全主管人员;
9. 涉及到信息系统安全的主要管理制度和记录,包括进出机房的登记记录、信息系统相关设计验收文档等。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查一台作为测评对象。B.2.2 第二级信息系统
第二级信息系统的等级测评,测评对象的种类和数量都较多,重点抽查重要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面:
1. 主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施,那么也应该作为测评对象; 2. 存储被测系统重要数据的介质的存放环境; 3. 整个系统的网络拓扑结构;
4. 安全设备,包括防火墙、入侵检测设备、防病毒网关等;
5. 边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等;
6. 对整个信息系统或其局部的安全性起决定作用的网络互联设备,如核心交换机、汇聚层交换机、核心路由器等;
7. 承载被测系统核心或重要业务、数据的服务器(包括其操作系统和数据库); 8. 重要管理终端;
9. 能够代表被测系统主要使命的业务应用系统; 10. 信息安全主管人员、各方面的负责人员; 11. 涉及到信息系统安全的所有管理制度和记录。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查两台作为测评对象。B.2.3 第三级信息系统
第三级信息系统的等级测评,测评对象种类上基本覆盖、数量进行抽样,重点抽查主要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面:
1. 主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象; 2. 存储被测系统重要数据的介质的存放环境; 3. 办公场地;
4. 整个系统的网络拓扑结构;
5. 安全设备,包括防火墙、入侵检测设备和防病毒网关等;
6. 边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
7. 对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等; 8. 承载被测系统主要业务或数据的服务器(包括其操作系统和数据库); 9. 管理终端和主要业务应用系统终端;
10. 能够完成被测系统不同业务使命的业务应用系统; 11. 业务备份系统;
12. 信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人; 13. 涉及到信息系统安全的所有管理制度和记录。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查两台作为测评对象。B.2.4 第四级信息系统
第四级信息系统的等级测评,测评对象种类上完全覆盖、数量进行抽样,重点抽查不同 种类的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面:
1. 主机房和全部辅机房(包括其环境、设备和设施等); 2. 介质的存放环境; 3. 办公场地;
4. 整个系统的网络拓扑结构;
5. 安全设备,包括防火墙、入侵检测设备和防病毒网关等;
6. 边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
7. 主要网络互联设备,包括核心和汇聚层交换机; 8. 主要服务器(包括其操作系统和数据库); 9. 管理终端和主要业务应用系统终端; 10. 全部应用系统; 11. 业务备份系统;
12. 信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人; 13. 涉及到信息系统安全的所有管理制度和记录。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查三台作为测评对象。附录C
(资料性附录)等级测评工作要求 C.1 依据标准,遵循原则
等级测评实施应依据等级保护的相关技术标准进行。相关技术标准主要包括GB/T 22239-2008和GB/T DDDD-DDDD,其中等级测评目标和内容应依据GB/T 22239-2008,对具体测评项的测评实施方法则依据GB/T DDDD-DDDD。
在等级测评实施活动中,应遵循GB/T DDDD-DDDD中规定的测评原则,保证测评工作公正、科学、合理和完善。
C.2 恰当选取,保证强度
恰当选取是指对具体测评对象的选择要恰当,既要避免重要的对象、可能存在安全隐患的对象没有被选择,也要避免过多选择,使得工作量增大。
保证强度是指对被测系统应实施与其等级相适应的测评强度。C.3 规范行为,规避风险
测评机构实施等级测评的过程应规范,包括:制定内部保密制度;制定过程控制制度; 规定相关文档评审流程;指定专人负责保管等级测评的归档文件等。
测评人员的行为应规范,包括:测评人员进入现场佩戴工作牌;使用测评专用的电脑和工具;严格按照测评指导书使用规范的测评技术进行测评;准确记录测评证据;不擅自评价 测评结果;不将测评结果复制给非测评人员等。
规避风险,是指要充分估计测评可能给被测系统带来的影响,向被测系统运营/使用单位揭示风险,要求其提前采取预防措施进行规避。同时,测评机构也应采取与测评委托单位签署委托测评协议、保密协议、现场测评授权书、要求测评委托单位进行系统备份、规范测评活动、及时与测评委托单位沟通等措施规避风险,尽量避免给被测系统和单位带来影响。附录D
(资料性附录)
测评方案与报告编制示例
某公司(简称“AAA”)用电信息系统承载着该公司的电力营销业务,由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成,是一个安全等级为三级的信息系统。
现场测评时间为X年X月X日至X年X月X日,现场测评小组分为管理组(2人)和技术组(4人)两组,分别完成安全管理和安全技术方面的测评。D.1 测评方案编制示例 针对AAA用电信息系统的实际情况,下面从被测系统描述、测评对象、测评指标、测评工具和接入点、测评内容以及配套的测评指导书等方面说明测评方案的编制方法。D.1.1 被测系统描述
被测系统为承载着AAA公司电力营销业务,是AAA公司的重要信息系统,其安全等级定为三级(S3A2G3)。
被测系统由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成,对内有业务扩充管理、电量计量管理、电费结算、收费、统计分析等业务功能模块;对外有可以为Internet网、大客户单位、拨号用户等提供电费数据查询、交纳、业务扩充、投诉等服务的功能模块。数据存储功能区位于屏蔽机房,其它功能区域位于中心机房。
与被测系统相连的外部连接有Internet、外联单位(包括DDN单位和PSTN用户)和控制网三处。在Internet、外联单位的边界连接处设置了防火墙;与控制网连接是通过交换机SJ6506以共用服务器方式进行的。整个网络拓扑结构示意图如图6所示。D.1.2 测评对象
根据用电信息系统的实际情况,分别确定物理安全、网络安全、主机安全、应用安全等各层面的测评对象。
a)物理方面主要是测评屏蔽机房和主机房。
b)网络方面主要测评的设备有:路由器、交换机、防火墙、IDS、外联检测、防病毒等,如表11所示。
c)主机方面主要测评的主机服务器(包括数据库服务器)如表12所示。
d)应用方面主要测评的应用系统如表13所示。
e)安全管理,主要测评对象为与信息安全管理有关的策略、制度、操作规程、运行记录、管理人员、技术人员和相关设备设施等。
D.1.3 测评指标
被测系统的定级结果为:安全保护等级为3级,业务信息安全等级为S3,系统服务安全等级为A2;则该系统的测评指标应包括GB/T 22239-2008“技术要求”中的3级通用指标类(G3),3级业务信息安全指标类(S3),2级系统服务安全指标类(A2),以及第3级“管理要求”中的所有指标类。本次测评的测评指标情况具体如表14所示。
D.1.4 测评工具和接入点
本次测评的信息系统为3级信息系统,根据3级信息系统的测评强度要求,在测试的广度上,应基本覆盖不同类型的机制,在数量、范围上可以抽样;在测试的深度上,应执行功能测试和渗透测试,功能测试可能涉及机制的功能规范、高级设计和操作规程等文档,渗透测试可能涉及机制的所有可用文档,并试图智取进入信息系统等。因此,对其进行测评,应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具。针对被测系统的网络边界和测评设备、主机和业务应用系统的情况,需要在被测系统及其互联网络中设置6个测试工具接入点――接入点JA到JF,如图7所示,“接入点”标注表示进行工具测试时,需要从该接入点接入,对应的箭头路线表示工具测试数据的主要流向示意。
a)在接入点JA接入扫描器,模拟Internet用户,探测对外服务功能区上各服务器对Internet暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集,试图利用服务器的安全漏洞入侵服务器。b)在接入点JB接入扫描器,模拟外联单位,探测对外服务功能区上各服务器对外联单位暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集,试图利用服务器的安全漏洞入侵服务器。
c)在接入点JC接入扫描器,直接测试对外服务功能区上各服务器对网络暴露的安全漏洞情况。同时,试图穿过防火墙,探测业务处理功能区上各服务器对外暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集,试图利用业务处理功能区上各服务器的安全漏洞入侵服务器。d)……
D.1.5 测评内容
本次测评的单项测评从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别进行。a)物理安全
物理安全测评将通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为屏蔽机房和主机房。
在内容上,物理安全层面测评实施过程涉及10个测评单元,具体如表15所示:
b)网络安全
网络安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象。
在内容上,网络安全层面测评实施过程涉及7个测评单元,具体如表16所示:
c)主机系统安全
主机系统安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。本次重点测评的操作系统包括各网站服务器、应用服务器和数据库服务器等的操作系统,数据库管理系统为数据库服务器Sybase。
在内容上,主机系统安全层面测评实施过程涉及7个测评单元,具体如表17所示。
d)应用安全
应用安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的应用安全保障情况,主要涉及对象为用电信息系统、对外服务网站系统和远程客户服务系统。
在内容上,应用安全层面测评实施过程涉及9个测评单元,具体如表18所示。
e)数据安全
数据安全测评将通过访谈、配置检查的方式测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等。
在内容上,数据安全层面测评实施过程涉及3个测评单元,具体如表19所示。
f)安全管理部分
安全管理部分为全局性问题,涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。其中,安全管理制度测评实施过程涉及3个测评单元,安全管理机构测评实施过程涉及5个测评单元,人员安全管理测评实施过程涉及5个测评单元,系统建设管理测评实施过程涉及11个测评单元,系统运维管理测评实施过程涉及13个测评单元等。由于管理部分的测评内容在描述时差异不大,这里以安全管理制度部分为例说明。
安全管理制度方面的测评对象主要为安全主管人员、安全管理人员等,具体如表20所示。
D.1.6 测评指导书
下面从被测系统的物理安全、网络安全、主机安全、应用安全等技术部分和安全管理部分分别举例说明测评指导书的格式和开发方法。a)物理安全
按照方案的要求,物理安全应测评物理位置选择(G3)、物理访问控制(G3)、防盗窃和防破坏(G3)、防雷击(G3)、防水和防潮(G3)、防静电(G3)、温湿度控制(G3)、电力供应(A2)和电磁防护(S3)等。在GB/T 22239-2008中找到对应等级项目的要求,然后在GB/T DDDD-DDDD中找到相应的测评方法。如:对于温湿度控制(G3),在GB/T 22239-2008中的描述为“机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。”,按照该要求在GB/T DDDD-DDDD的第三级中找到对应测评方法,然后按照该方法开发出对应的预期结果。按照上述思路,对于“温湿度控制(G3)”可以开发出如下的测评指导书。【测评项】
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。【测评实施过程】
1. 应访谈物理安全负责人,询问机房是否配备了温、湿度自动调节设施,保证温湿度能够满足计算机设备运行的要求,是否在机房管理制度中规定了温湿度控制的要求,是否有人负责此项工作;
2. 应访谈机房维护人员,询问是否定期检查和维护机房的温湿度自动调节设施,询问是否出现过温湿度影响系统运行的事件;
3. 应检查机房是否有温湿度控制设计/验收文档,是否能够满足系统运行需要,是否与当前实际情况相符合;
4. 应检查温、湿度自动调节设施是否能够正常运行,查看温湿度记录、运行记录和维护记录;查看机房温、湿度是否满足GB 2887-89《计算站场地技术条件》的要求。
【预期结果】
1. 执行步骤1),机房配备了温、湿度自动调节设施,在机房管理制度中规定了温湿度控制的要求,有人负责此项工作;
2. 执行步骤2),定期检查和维护机房的温湿度自动调节设施,没有出现过温湿度影响系统运行的事件; 3. 执行步骤3),有温湿度控制设计/验收文档,能够满足系统运行需要,与当前实际情况相符合; 4. 温、湿度自动调节设施能够正常运行,机房温、湿度满足GB 2887-89《计算站场地技术条件》的要求。b)网络安全
按照测评方案的要求,核心交换机SJ6509应测评网络访问控制(G3)、网络安全审计(G3)、网络设备防护(G3)等部分的内容。在GB/T 22239-2008中找到对应等级项目的要求,然后在GB/T DDDD-DDDD中找到相应的测评方法。如:对于网络设备防护(G3),在GB/T 22239-2008中的描述之一为“应对网络设备的管理员登录地址进行限制”,按照该项要求找到对应测评实施(方法),然后开发出对应的操作步骤和预期结果即可。按照上述思路,对于“网络设备防护(G3)” 的一个测评项可以开发如下的测评指导书。【测评项】
应对网络设备的管理员登录地址进行限制。【测评实施过程】
1. 应检查边界和主要网络设备上的安全设置,查看是否对边界和主要网络设备的管理员登录地址进行限制;
2. 应测试边界和主要网络设备的安全设置,对网络设备的管理员登录地址进行限制(如使用任意地址登录,观察网络设备的动作等)等功能是否有效。
【操作步骤】
1. 执行命令:show ip permit,查看IP地址限定情况;
2. 在业务处理功能区中,用主机192.168.1.3(限制的IP地址)试图登录SJ6509的管理界面,查看是否成功。
【预期结果】
1. 执行步骤1),系统对管理IP地址进行了限定;
2. 执行步骤2),192.168.1.3登录SJ6509的管理界面失败。c)主机安全
按照方案的要求,DB2(数据库为Sybase)应测评身份鉴别(S3)、自主访问控制(S3)、强制访问控制(S3)、安全审计(G3)、资源控制(A2)、数据备份与恢复(A2)、数据完整性(S3)、数据保密性(S3)等部分的内容。在GB/T 22239-2008中找到对应等级项目的要求,然后在GB/T DDDD-DDDD中找到相应的测评方法。如:对于身份鉴别(S3),在测评项中的描述之一为“应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别”,按照该项要求找到对应测评实施方法,然后开发对应操作步骤和预期结果。按照上述思路,对于“身份鉴别(S3)”的一个测评项可以开发如下的测评指导书。【测评项】
应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。【测评实施过程】
应检查主要数据库管理系统,查看对管理用户的身份鉴别是否采用两个及两个以上鉴别技术的组合来进行身份鉴别(如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合)。【操作步骤】
1. 在DB2主机上执行命令:select * from syslogins,查看是否有用户存在空口令;
2. 询问数据库管理员,除使用口令鉴别外是否采用其他的鉴别方式,如果有,则检查其是否有效。
【预期结果】
1. 执行步骤1),数据库没有空口令用户,从而说明数据库管理系统采用口令鉴别方式; 2. 执行步骤2),数据库管理系统还采取有其他的鉴别方式,并且有效。d)应用安全和数据安全
按照方案的要求,业务应用程序(用户自主开发)应测评身份鉴别(S3)、访问控制(S3)、安全审计(G3)、剩余信息保护(G3)、通信完整性(S3)、通信, 保密性(S3)、抗抵赖(S3)、软件容错(A3)、资源控制(A3)、数据备份与恢复(A3)、数据完整性(S3)、数据保密性(S3)等部分的内容。在GB/T 22239-2008中找到对应等级项目的要求,然后在GB/T DDDD-DDDD中找到相应的测评方法。如:对于通信保密性(S3),在测评项中的描述之一为“应对通信过程中的整个报文或会话过程进行加密。”,按照该项要求找到对应测评实施方法,然后开发出对应操作步骤和预期结果。按照上述思路,对于“通信保密性(S3)”的一个测评项可以开发如下的测试用例。【测评项】
应对通信过程中的整个报文或会话过程进行加密。【测评实施过程】
1. 应访谈安全管理员,询问业务系统数据在通信过程中是否采取保密措施,具体措施有哪些; 2. 应测试主要应用系统,通过查看通信双方数据包的内容,查看系统在通信过程中,对整个报文或会话过程进行加密的功能是否有效。
【操作步骤】
1. 应访谈安全管理员,询问业务系统数据在通信过程中是否采取保密措施,具体措施有哪些; 2. 应采用协议分析工具测试应用系统,通过查看通信双方数据包的内容,查看系统在通信过程中,是否对整个报文或会话过程进行加密,加密功能是否有效。
【预期结果】
1. 执行步骤1),业务系统采用了保密措施,且能具体说明保密措施;
2. 执行步骤2),协议分析工具看到的数据包进行了加密,且加密方法符合国家规定,时有效的。e)管理安全
管理安全部分在测评时可以按照GB/T DDDD-DDDD中介绍的测评实施过程在现场直接实施使用。对于系统运维管理中的密码管理“应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品”的要求可以编制如下的测评指导书。【测评项】
应建立密码使用管理制度,使用符, 合国家密码管理规定的密码技术和产品。【测评实施过程】
1. 应访谈安全员,询问密码技术和产品的使用是否遵照国家密码管理规定; 2. 应检查是否具有密码使用管理制度。
【预期结果】 1. 执行步骤1),密码技术和产品的使用遵照国家密码管理规定; 2. 执, 行步骤2),有密码使用管理制度。
D.2 测评报告编制示例
等级测评报告一般包括:概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评的结果记录及结果汇总、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等内容。下面主要举例说明整体测评和整改建议这两部分内容。D.2.1 整体测评 a)物理层面
1. 由于屏蔽机房位于主机房内部,其唯一出口也在主机房内,因此,对其物理层面的安全要求中的物理访问控制、防盗窃和防破坏的测评项可以通过关联互补关系得到 补充。2. ……
综合以上测评分析过程,可以得到如表21物理层面的整体测评结果(安全控制间、层面间和区域间):
b)网络层面
1. 外联功能区拨号路由器DW3600上基本没有直接采取较好的拨号访问控制措施,只是对用户进行了固定IP地址分配。但是,由于在防火墙DW208FW上,严格限定了拨号接入IP地址的用户的访问范围,从而可以弥补这部分功能。2. 外联功能区的6台路由器DW3600在网络设备防护的用户身份认证方面,存在口令不强、未限制管理员登录地址等方面问题,但是,由于这些设备都没有开放网络管理(TELNET/HTTP等),全部采取通过本地串口方式来管理,而其又是存放在主机房中,因此,其网络设备防护安全控制可以通过物理的相关措施(物理访问控制、防盗窃和防破坏等)得到增强。
3. 对外服务功能区的网络安全审计功能没有采取单独的设备来完成,其网络流量、用户行为等的监测、记录功能是通过网络入侵防范安全控制的IDS来协助完成的。
4. 网络安全审计设备IDS具有对部分病毒、蠕虫攻击的检测识别能力,可以部分弥补恶意代码防范功能,因为,防病毒网关只对邮件数据进行病毒过滤。5. …….综合以上测评分析过程,可以得到如表22的测评结果:
c)系统结构测评分析
在信息系统整体结构的安全性方面,从被测系统的网络拓扑结构示意图来看,该网络系统虽然有多处相对独立的出口,但是这些出口除到控制网外的连线都集中到防火墙DW208FW,因此,从在网络结构上,不存在出口过多的问题;对外服务功能区上防病毒服务器a(拓扑图上未标出)使用双网卡方式工作,一边连接内部网络,一边连接对外服务功能区,通过防火墙DW208FW上网升级,这在安全上是不可取的,外部用户一旦控制防病毒服务器a,则可通过双网卡直接进入信息系统的内部网络功能区域,对信息系统的安全构成严重威胁。
从被测系统的网络拓扑结构示意图来看,内部网络划分了多个功能区域,这些功能区域之间采取了网络访问控制措施,即使是内网用户也只能访问到应用处理功能区上的服务器主机,而不能直接访问数据存储功能区的数据库服务器。这种保护方法符合纵深防御的要求,重点突出,能较好地解决一些安全问题。D.2.2 整改建议
a)安全建议(网络安全部分)1. 主要问题
.没有绘制与实际网络相一致的网络拓扑结构图。有一份与实际网络相一致的网络拓扑结构图对网络管理相当重要,可以方便工作人员掌握网络的整体情况,便于网络故障的排除,便于网络安全设备的策略配置等;
.没有对重要网段采取网络层地址与数据链路层地址绑定措施。进行MAC地址和IP地址的绑定,有助于防止地址欺骗。
2. 立即整改
需要立即整改的安全建议如下:
.应根据当前运行的网络拓扑情况,绘制与实际网络相一致的网络拓扑结构图,以便于工作人员掌握网络结构的整体情况;
3. 持续改进
需要持续改进的建议如下:
.对重要网段采取网络层地址与数据链路层地址绑定措施,防止地址欺骗;.购置并在适当网段部署防病毒网关。
b)安全管理方面 1. 主要问题
.与安全管理制度相配套的总体信息安全策略还没有正式制定,且有部分管理制度没有制定,如工程实施安全管理制度等。总体性安全策略文件是整个机构开展信息安全工作的纲领,对机构近期和远期的安全规划起着重要的指导作用。
没有方针性文件的指引和统一规划,机构的信息安全工作则会有工作方向不明确的问题;
.对信息安全关键岗位的人员管理缺乏更细粒度的要求。没有明确对这些岗位的人员是否有区别于其他岗位的更严格的录用要求、日常信用审查等管理要求。
关键岗位所从事的工作是信息安全工作的重中之重,加强对这些岗位人员的管理,对做好信息安全工作起到了关键的作用。
2. 改进建议
.进一步完善安全管理文件体系,尽快制定信息安全总体政策、方针文件,并进一步补充、完善、细化各类管理制度,如工程安全实施管理制度、系统交付管理制度等,从而形成高层策略文件、各类管理制度、具体操作规程和各类操作记录等四层塔式管理文件体系;
.加强对关键岗位人员(如系统管理员、网络管理员、安全管理员)的管理,定期对其进行信用审查,并要求其签署岗位安全协议,使其承诺在岗位上的具体安全责任、工作职责以及保密义务,从而保证对关键岗位进行关键管理。
![下载舞蹈技术等级测评信息大全表[全文5篇]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 