《04-信息系统安全等级保护测评过程.ppt》由会员分享,可在线阅读,更多相关《04-信息系统安全等级保护测评过程.ppt(50页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息系统安全等级保护测评过程信息系统安全等级保护测评过程湖北教育信息化发展中心2011年12月教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心信息系统安全等级保护测评信息系统安全等级保护测评1.什么是等级测评2.等级测评的作用3.等级测评的执行主体4.等级测评的方法5.等级测评流程6.等级测评过程中的风险规避教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心什么是等级测评什么是等级测评 等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照信息系统安全等级保护基本要求等管理规范和技术标准,对非涉及国家秘密的信息系统的安全等级保护状况进行检测评估的活动。教育部
2、教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评的作用等级测评的作用一是可以掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。等级测评结论为未达到相应等级的基本安全保护能力的信息系统,其运营、使用单位应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评执行主体等级测评执行主体符合信息安全等级保护管理办法(公通字200743号)和信息安全等级保护测评工作管理规范(试行)要
3、求的测评机构。教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评执行主体等级测评执行主体等级测评执行主体应履行的义务:l遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;l保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;l对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评的方法等级测评的方法访谈文档审查配置检查实地察看工具测试教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评的方
4、法等级测评的方法v访谈:测评人员与被测系统有关人员(个体/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。v访谈对象:安全主管系统建设负责人人事负责人系统运维负责人物理安全负责人系统管理员、网络管理员、安全管理员、机房值班人员、资产管理员等教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评的方法等级测评的方法文档审查:文档审查:检查GB/T 22239-2008中规定的必须具有的制度、策略、操作规程等文档是否齐备。检查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。对上述文档进行审核与分析,检查他们的完整性和这些文件之间
5、的内部一致性。文档审查对象:文档审查对象:安全方针文件,安全管理制度,安全管理的执行过程文档,系统设计方案,网络设备的技术资料,系统和产品的实际配置说明,系统的各种运行记录文档,机房建设相关资料,机房出入记录等过程记录文档 教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评的方法等级测评的方法配置检查配置检查:利用上机验证的方式检查应用系统、主机系统数据库系统以及网络设备,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实。在配置检查过程中,委托方需指派专业技术人员配合工作,核查上机操作步骤,并由委托方指派的专业技术人员上机操作,测评机构对操作结果进行记录。配置检查对
6、象:配置检查对象:网络设备、安全设备、主机操作系统、数据库系统、应用系统。教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评的方法等级测评的方法实地察看:实地察看:根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。实地察看对象:实地察看对象:人员行为、技术设施和物理环境教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评的方法等级测评的方法工具测试:工具测试:根据测评实施手册,利用技术工具对系统进行测试,包括基于网络探
7、测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。在工具测试过程中,委托方需指派专业技术人员配合工作,并选择系统负载较小的时间段对系统进行工具测试。工具测试对象:工具测试对象:主机操作系统、数据库系统、网络/安全设备操作系统、应用系统。教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评过程等级测评过程等级测评过程分为四个基本测评活动:l测评准备活动测评准备活动l方案编制活动方案编制活动l现场测评活动现场测评活动l分析及报告编制活动分析及报告编制活动教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评过程等级测评过程测评准备活动l主要任务是掌握
8、被测系统的详细情况,准备测试工具,为编制测评方案做好准备教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评过程等级测评过程方案编制活动l主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评实施手册,形成测评方案。教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评过程等级测评过程现场测评活动l本活动的主要任务是按照测评方案的总体要求,严格执行测评实施手册,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。教育部教育管理信息中心信息安全测评部湖北教育信息化发展
9、中心等级测评过程等级测评过程分析与报告编制活动l主要任务是根据现场测评结果,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评过程等级测评过程测评准备活动方案编制活动现场测评活动分析及报告编制活动教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评过程等级测评过程测评准备活动l测评准备活动的目标l测评准备活动
10、的工作流程l测评准备活动的主要任务l测评准备活动的输出文档l测评准备活动中双方的职责教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评过程等级测评过程测评准备活动的目标:顺利启动测评项目,准备测评所需的相关资料,为顺利编制测评方案打下良好的基础。测评准备活动的工作流程:项目启动项目启动工具和表单准备工具和表单准备信息收集和分析信息收集和分析教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评过程等级测评过程测评准备活动的主要任务l项目启动测评机构组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本
11、准备。测评委托单位应提供被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等文件,并配合测评机构准确填写信息系统基本信息调查表。教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心项目启动阶段的工作等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心测评准备活动的主要任务l信息收集和分析测评机构通过查阅被测系统提供的资料以及测评委托单位配合填写的信息系统基本信息调查表,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评
12、工作奠定基础。等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心信息收集和分析阶段的工作等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心工具和表单准备阶段的工作等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心测评准备活动中双方的职责l测评机构职责:测评机构职责:1、组建等级测评项目组。2、指出测评委托单位应提供的基本资料。3、准备被测系统基本情况调查表格,并提交给测评委托单位。4、向测评委托单位介绍安全测评工作流程和方法。5、向测评委托单位说明测评工作可能带来的风险和规避方法。6、了解测评委托单
13、位的信息化建设状况与发展,以及被测系统 的基本情况。7、初步分析系统的安全情况。8、准备测评工具和文档。等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心测评准备活动中双方的职责l测评委托单位职责:测评委托单位职责:1、向测评机构介绍本单位的信息化建设状况与发展情况。2、准备测评机构需要的资料。3、为测评人员的信息收集提供支持和协调。4、准确填写信息系统基本信息调查表。5、根据被测系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议。6、针对工具测评可能造成的风险制定应急预案。等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部
14、湖北教育信息化发展中心等级测评过程等级测评过程测评准备活动方案编制活动现场测评活动分析及报告编制活动教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心方案编制活动l方案编制活动的目标l方案编制活动的工作流程l方案编制活动的主要任务l方案编制活动中双方的职责等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心方案编制活动的目标:整理测评准备活动中获取的信息系统相关资料,为现场测评活动提供最基本的文档和指导方案。等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心方案编制活动的工作流程:等级测评过程等级测评过程测评对象确定测评对象
15、确定测评工具接入点确定测评工具接入点确定测评指标确定测评指标确定测评方案编制测评方案编制测评内容确定测评内容确定测评指导书开发测评指导书开发教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心方案编制活动的主要任务:l确定测评对象l确定测评指标l确定测试工具接入点l测评内容确定l测评指导书开发l测评方案编制等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心方案编制活动中双方的职责:l测评机构职责:1、详细分析被测系统的整体结构、边界、网络区域、重要节点等。2、初步判断被测系统的安全薄弱点。3、分析确定测评对象、测评指标和测试工具接入点,确定测评内容及方法。
16、4、编制测评方案文本,并对其内部评审,并提交被测机构签字确认。l测评委托单位职责:对测评方案进行认可,并签字确认。等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评过程等级测评过程测评准备活动方案编制活动现场测评活动分析及报告编制活动教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心现场测评活动l现场测评活动的工作流程l现场测评活动的主要任务l现场测评活动的输出文档l现场测评活动中双方的职责等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评过程等级测评过程现场测评活动的工作流程:现场测评准备现场测评准备结果
17、确认和资料归还结果确认和资料归还现场测评和结果记录现场测评和结果记录教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心现场测评活动的主要任务:l现场测评准备等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心现场测评活动的主要任务:l现场测评和结果记录 现场测评一般包括:u访谈u文档审查u配置检查u实地察看u工具测试l结果确认和资料归还等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心现场测评活动的输出文档:任务任务输出文档输出文档文档内容文档内容现场测评准备现场测评准备会议记录、确认的测评授权书、会议记录、确认的测评授权书
18、、更新后的测评计划和测评程序更新后的测评计划和测评程序工作计划和内容安排,双方人工作计划和内容安排,双方人员的协调,测评委托单位应提员的协调,测评委托单位应提供的配合供的配合访谈访谈技术安全和管理安全测评的测技术安全和管理安全测评的测评结果记录或录音评结果记录或录音访谈记录访谈记录文档审查文档审查管理安全测评的测评结果记录管理安全测评的测评结果记录管理制度和管理执行过程文档管理制度和管理执行过程文档的记录的记录配置检查配置检查技术安全测评的网络、主机、技术安全测评的网络、主机、应用测评结果记录应用测评结果记录检查内容的记录检查内容的记录工具测试工具测试技术安全测评的网络、主机、技术安全测评的网
19、络、主机、应用测评结果记录,工具测试应用测评结果记录,工具测试完成后的电子输出记录,备份完成后的电子输出记录,备份的测试结果文件的测试结果文件漏洞扫描、渗透性测试、性能漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等测试、入侵检测和协议分析等内容的技术测试结果内容的技术测试结果实地察看实地察看技术安全测评的物理安全和管技术安全测评的物理安全和管理安全测评结果记录理安全测评结果记录检查内容的记录检查内容的记录测评结果确认测评结果确认现场核查中发现的问题汇总、现场核查中发现的问题汇总、证据和证据源记录、测评委托证据和证据源记录、测评委托单位的书面认可文件单位的书面认可文件测评活动中发现的问题、
20、问题测评活动中发现的问题、问题的证据和证据源、每项检查活的证据和证据源、每项检查活动中测评委托单位配合人员的动中测评委托单位配合人员的书面认可书面认可等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心现场测评活动中双方的职责:l测评机构职责:1.利用访谈、文档审查、配置检查、工具测试和实地察看的方法测评被 2.测系统的保护措施情况,并获取相关证据。l测评委托单位职责:1、测评前备份系统和数据,并确认被测设备状态完好。2、协调被测系统内部相关人员的关系,配合测评工作的开展。3、相关人员回答测评人员的问询,对某些需要验证的内容上机进行操作。4、相关人员确认测试前协助
21、测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响。5、相关人员协助测评人员完成业务相关内容的问询、验证和测试。6、相关人员对测评结果进行确认。7、相关人员确认工具测试后被测设备的状态完好。等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评过程等级测评过程测评准备活动方案编制活动现场测评活动分析及报告编制活动教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心分析与报告编制活动l分析与报告编制活动的工作流程l分析与报告编制活动的主要任务l分析与报告编制活动的输出文档l分析与报告编制活动中双方的职责等级测评过程等级测评过程教育部教育管理
22、信息中心信息安全测评部湖北教育信息化发展中心分析与报告编制活动的工作流程:等级测评过程等级测评过程单项测评结果判定单项测评结果判定单元测评结果判定单元测评结果判定整体测评整体测评等级测评结论形成等级测评结论形成测评报告编制测评报告编制风险分析风险分析教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心分析与报告编制活动的主要任务:l单项测评结果判定l单元测评结果判定l整体测评l风险分析l等级测评结论形成l测评报告编制 等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心分析与报告编制活动的输出文档:任务任务输出文档输出文档文档内容文档内容单项测评结果判定单项
23、测评结果判定等级测评报告的单元等级测评报告的单元测评的结果记录部分测评的结果记录部分分析被测系统的安全现状(各个层面的基本分析被测系统的安全现状(各个层面的基本安全状况)与标准中相应等级的基本要求的安全状况)与标准中相应等级的基本要求的符合情况,给出单项测评结果。符合情况,给出单项测评结果。单项测评结果汇总分析单项测评结果汇总分析等级测评报告的单元等级测评报告的单元测评的结果汇总部分测评的结果汇总部分汇总统计单项测评结果,给出针对每个对象汇总统计单项测评结果,给出针对每个对象的单元测评结果。的单元测评结果。整体测评整体测评等级测评报告的整体等级测评报告的整体测评部分测评部分分析被测系统整体安全
24、状况及对单项测评结分析被测系统整体安全状况及对单项测评结果的修订情况。果的修订情况。风险分析风险分析等级测评报告的风险等级测评报告的风险分析和评价部分分析和评价部分分析被测系统存在的风险情况。分析被测系统存在的风险情况。等级测评结论形成等级测评结论形成等级测评报告的等级等级测评报告的等级测评结论部分测评结论部分对测评结果进行分析,形成等级测评结论。对测评结果进行分析,形成等级测评结论。测评报告编制测评报告编制等级测评报告等级测评报告单项测评记录和结果,单项测评结果汇总,单项测评记录和结果,单项测评结果汇总,整体测评过程及结果,风险分析过程及结果,整体测评过程及结果,风险分析过程及结果,等级测评
25、结论,安全建设整改建议等。等级测评结论,安全建设整改建议等。等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心分析与报告编制活动中双方的职责:l测评机构职责:1、分析并判定单项测评结果和整体测评结果。2、分析评价被测系统存在的风险情况。3、根据测评结果形成等级测评结论。4、编制等级测评报告,说明系统存在的安全隐患和缺陷,并 给出改进建议。5、评审等级测评报告,并将评审过的等级测评报告按照分发 范围进行分发。6、将生成的过程文档归档保存,并将测评过程中生成的电子 文档清除。l测评委托单位职责:签收测评报告。等级测评过程等级测评过程教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评工作中的风险规避等级测评工作中的风险规避可能的风险l验证测试影响系统正常运行l工具测试影响系统正常运行l敏感信息泄漏教育部教育管理信息中心信息安全测评部湖北教育信息化发展中心等级测评工作中的风险规避等级测评工作中的风险规避风险规避措施l签署委托测评协议l签署保密协议l签署现场测评授权书l规范化的实施过程l现场测评工作风险的规避l沟通与交流 谢谢!谢谢!湖北教育信息化发展中心