《[精选]信息安全等级保护测评工作介绍36528.pptx》由会员分享,可在线阅读,更多相关《[精选]信息安全等级保护测评工作介绍36528.pptx(90页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全等级保护测评工作介绍信息安全等级保护测评工作介绍国网电力科学研究院国网电力科学研究院/电力行业信息安全等级保护第三测评实验室电力行业信息安全等级保护第三测评实验室二一五年四月二一五年四月1目录21 1信息安全等级保护概述信息安全等级保护概述3 3信息安全等级测评内容介绍信息安全等级测评内容介绍2 2信息安全等级测评概述信息安全等级测评概述4 4现场工作安排现场工作安排5 5附录附录信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。什么是信息安全等级保护一、信息安全等
2、级保护概述一、信息安全等级保护概述n 1994年,中华人民共和国计算机信息系统安全保护条例 规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。n 1999年,强制性国家标准计算机信息系统安全保护等级划分准则GB-17859)。n2003年,中办、国办转发的国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。n 2004年,公安部
3、、国家保密局、国家密码管理局、国信办联合印发了关于信息安全等级保护工作的实施意见(66号文件)n 2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制定了信息安全等级保护管理办法(公通字20067号)n 2011年9月,国家电监会印发关于组织开展电力行业重要管理信息安全等级保护测评试点工作的通知,要求统一组织开展重要管理信息系统试点测评。n同年,电力行业信息系统安全等级保护基本要求出台,至今已更新至V11.0相关法律法规一、信息安全等级保护概述一、信息安全等级保护概述安全保护等级的划分 一、信息安全等级保护概述一、信息安全等级保护概述(一)定级原则坚持“自主定级、自主保护”与国家监
4、管相结合的原则(二)确定需要定级的系统(1)省辖市以上党政机关的重要网站和办公信息系统;(2)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;(3)电力、铁路、银行、海关、税务、民航、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统;(4)涉及国家秘密的信息系统。等级保护等级的划分一、信息安全等级保护概述一、信息安全等级保护概述7电力行业系统定级情况20
5、10年,随着信息化SG186工程竣工,公司信息系统由三级向两级并逐渐向一级部署过渡,系统集中集成程度大幅提高,智能电网对客户服务安全交互服务能力要求更高,按照公安部和电监会要求,2012年2月,按照营销系统和ERP系统级别由2级调整为3级、变电站二次系统不再作为独立系统定级、新建智能电网调度技术支持系统作为整体统一定级的原则,重新梳理定级984套信息系统,管理信息系统调整为545套,其中3级系统127套,2级系统418套,电力二次系统调整为4级系统31套,3级系统379套。国家能源局印发关于对国家电网公司信息系统安全等级保护定级调整的批复(信息办函201290号)同意公司定级调整结果。公司管理
6、信息系统定级表定级对象系统级别总部区域(省)地市内部门户(网站)系统2对外门户(网站)系统32邮件系统2公司广域网(SGInet)2ERP管理系统3财务(资金)管理系统32营销管理系统32电力市场交易系统3无生产管理信息系统2协同办公系统(办公自动化系统)32人力资源管理系统2物资管理系统2项目管理系统2综合管理系统2公司电力二次系统定级表定级对象系统级别总部区域(省)地市1.智能电网调度技术支持系统实时监控与预警4无2.智能电网调度技术支持系统调度计划与安全校核3无3.智能电网调度技术支持系统(地调)无34.通信设备资源管理系统3无5.通信设备网管系统3无6.调度自动化系统无37.能量管理系
7、统4无8.广域相量测量系统3无9.电能量计量系统3无10.电力调度数据网络3无11.调度交易计划系统3无12.电网动态预警系统3无13.其他投入运行系统3无一、信息安全等级保护概述一、信息安全等级保护概述初步确定信息系统等级1、确定定级对象2、确定业务信息安全受到破坏时所侵害的客体5、确定系统服务安全受到破坏时所侵害的客体3、综合评定对客体的侵害程度6、综合评定对客体的侵害程度依据表1依据表2业业务务信信息息安安全全被被破破坏坏时时所侵害的客体所侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特特别别严严重重损害损害公公民民、法法人人和和其其他他组组织织的合法
8、权益的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级系系统统服服务务安安全全被被破破坏坏时时所侵害的客体所侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特特别别严严重重损损害害公公民民、法法人人和和其其他他组组织织的合法权益的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级7、系统服务安全等级4、业务信息安全等级8、定级
9、对象的安全保护等级表1表2一、信息安全等级保护概述一、信息安全等级保护概述 公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。等级保护工作的职责分工 一、信息安全等级保护概述一、信息安全等级保护概述1、定级与审批;2、等级评审;3、备案;4、备案管理;5、系统建设;6、等级测评;7、自查自纠;8、监督检查。
10、等级保护工作的主要流程 局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止备案管理监督检查等级变更等级测评等级测评等级测评一、信息安全等级保护概述一、信息安全等级保护概述11等级保护技术标准信息安全等级保护管理办法公通字200743号计算机信息系统安全保护等级划分准则(GB17859-1999)信息安全等级保护实施指南(GB/T 25058-2010)信息安全等级保护定级指南(GB/T 22240-2008)信息安全等级保护基本要求信息安全等级保护基本要求(GB/T 22239-2008GB/T 22239-2008)信息安全等级保护测评要求(GB/T 28448-2012
11、)信息系统安全等级保护测评过程指南(GB/T 28449-2012)信息安全技术 网络基础安全技术要求(GB/T20270-2006)信息安全技术 信息系统通用安全技术要求GB/T20271-2006)信息安全技术 操作系统安全技术要求(GB/T20272-2006)信息安全技术 数据库管理系统安全技术要求(GB/T20273-2006)一、信息安全等级保护概述一、信息安全等级保护概述是系统安全保护、等级测评的一个基本“标尺”,同样级别的系统使用统一的“标尺”来衡量,保证权威性,是一个达标线;每个级别的信息系统按照基本要求进行保护后,信息系统具有相应等级的基本安全保护能力,达到一种基本的安全状
12、态;是每个级别信息系统进行安全保护工作的一个基本出发点,更加贴切的保护可以通过需求分析对基本要求进行补充,参考其他有关等级保护或安全方面的标准来实现;等级保护基本要求的定位一、信息安全等级保护概述一、信息安全等级保护概述基本要求的组织方式某级系统某级系统类类技术要求技术要求管理要求管理要求基本要求基本要求类类控制点控制点要求项要求项控制点控制点具体要求具体要求 技术和管理大类各有5个子类 分为技术要求和管理要求两大类 根据等级提高,控制点逐级增多 根据等级提高,要求项逐级增多最基础的测评单元,测评作业指导书的编写依据一、信息安全等级保护概述一、信息安全等级保护概述三类要求之间的关系通用安全保护
13、类要求(G)业务信息安全类(S)系统服务保证类(A)安全要求安全要求一、信息安全等级保护概述一、信息安全等级保护概述安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811技术要求合计技术要求合计3379136148管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270管理要求合计管理要求合计5296154170等级保护具体测评准则要求项数量的逐级增加一、信息安全等级保护概述一、信息安全等级保护概述16 依据电力行
14、业信息系统安全等级保护基本要求(征求意见稿)针对物理安全、网络安全、主机安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个方面开展测评。三级系统测评指标数283个,二级系统测评指标数186个。电力行业测评标准与国标对比管理信息系统工作要求与国家标准对照表要求类二级系统三级系统国家标准行标需求国家标准行标需求物理安全19303239网络安全18333344主机系统安全19373253应用安全19293140数据安全4588合计791341361841.物理重点增加机房物理位置、机房防火和机房供电要求。2.网络重点增加内外网隔离、终端接入和网络设
15、备安全防护的要求。3.主机操作系统重点增加身份认证强度、访问控制细度和入侵攻击防范的要求。主机数据库重点增加身份认证强度、访问控制细度和入侵攻击防范的要求。4.应用系统增加统一门户认证、匿名访问控制、默认账户管理和软件容错性要求。5.数据层面继承国家标准防护要求。一、信息安全等级保护概述一、信息安全等级保护概述等级保护重点要求项例举-物理安全应对介质分类标识,存储在介质库或档案室中;(二级)应将设备或主要部件进行固定,并设置明显的不易除去的标记;(二级)水管安装,不得穿过机房屋顶和活动地板下;(二级)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域
16、;(三级)应利用光、电等技术设置机房防盗报警系统;(三级)应设置防雷保安器,防止感应雷;(三级)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;(三级)应设置冗余或并行的电力电缆线路为计算机系统供电;(三级)应建立备用供电系统;(三级)应对关键设备和磁介质实施电磁屏蔽。(三级)一、信息安全等级保护概述一、信息安全等级保护概述等级保护重点要求项例举-网络安全应在网络边界部署访问控制设备,启用访问控制功能;(二级)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;(二级)应对网络设备的管理员登录地址进行限制;(二级)应对进出网络的信息内容进行
17、过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;(三级)应能够根据记录数据进行分析,并生成审计报表;(三级)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;(三级)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警;(三级)应在网络边界处对恶意代码进行检测和清除;(三级)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。(三级)一、信息安全等级保护概述一、信息安全等级保护概述等级保护重点要求项例举-主机安全操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,
18、口令应有复杂度要求并定期更换;(二级)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;(二级)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;(二级)应对重要信息资源设置敏感标记;(三级)应能够根据记录数据进行分析,并生成审计报表;(三级)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除;(三级)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;(三级)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;(三级)应能够对系统的服务水平降低到预先规定的最小值进行检
19、测和报警。(三级)一、信息安全等级保护概述一、信息安全等级保护概述等级保护重点要求项例举-应用安全应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;(二级)应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;(二级)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;(二级)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除;(三级)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复;(三级)应能够对一个时间段
20、内可能的并发会话连接数进行限制;(三级)应能够对系统服务水平降低到预先规定的最小值进行检测和报警。(三级)一、信息安全等级保护概述一、信息安全等级保护概述 等级保护重点要求项例举-数据安全及备份恢复应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏;(二级)应能够对重要信息进行备份和恢复;(二级)应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;(三级)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;(三级)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;(三级)
21、应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;(三级)应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。(三级)一、信息安全等级保护概述一、信息安全等级保护概述等级保护重点要求项例举-管理要求应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;(二级)人员离岗应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;(二级)应在软件安装之前检测软件包中可能存在的恶意代码;(二级)应配备专职安全管理员,不可兼任;(三级)安全管理制度应具有统一的格式,并进行版本控制;(三级)应制定代码编写安全规范,要求开发人员参照规范编写代码;
22、(三级)在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改;(三级)应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存;(三级)应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等。(三级)一、信息安全等级保护概述一、信息安全等级保护概述目录231 1信息安全等级保护概述信息安全等级保护概述2 2信息安全等级测评概述信息安全等级测评概述3 3信息安全等级测评内容介绍信息安全等级测评内容介绍4 4现场工作安排现场工作安排5 5附录附录24 等级测评是指,测评机构依据国家信息安全等级保护
23、制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活劢。等级测评的作用等级测评的作用等级测评特点等级测评特点等级测评风险等级测评风险等级测评过程等级测评过程内部驱动力n了解目前的安全保护实际情况;n明确安全需求,为后续的建设和整改工作提供参考/依据;n切实提升企业/机构的信息安全防护能力。外部驱动力n信息安全等级保护管理办法(公通字【2007】43号)第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至
24、少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。二二、信息安全等级测评概述、信息安全等级测评概述25等级测评的作用等级测评的作用等级测评特点等级测评特点等级测评风险等级测评风险等级测评过程等级测评过程执行主体n符合条件的测评机构执行的强制性n管理办法强制周期性执行执行对象n已经定级的信息系统n特定等级测评项目面对的被测评系统是由一个或多个不同安全保护等级的定级对象构成的信息系统测评依据n符合基本要求测评内容n单元测评(技术和管理)和整体测评测评付出n不同级别的测评力度不同测评方式n访谈、检查和测试服务对象n主管部门,运维、使用单
25、位,信息安全监管部门判定准则n满足业务需求二二、信息安全等级测评概述、信息安全等级测评概述26等级测评的作用等级测评的作用等级测评特点等级测评特点等级测评风险等级测评风险等级测评过程等级测评过程验证测试影响系统正常运行工具测试影响系统正常运行敏感信息泄漏u在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。u在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。u泄漏被测
26、系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。等级测评实施过程中,被测系统可能面临以下风险:风险规避措施:风险规避措施:通过在备机和测试环境下测评规避对生产环境的影响;操作前进行测试和备份工作,并制定应急处理方案;被测单位派遣技术人员全程配合及监督测评人员行为,原则上上机操作由运营单位人员进行风险规避措施:风险规避措施:避开业务高峰期进行漏洞扫描、渗透测试和人工验证,必要时采取一定的试验。原则上对重要系统不采用漏洞扫描和工具自动化检测,采用人工审计检查的方式,并选择在备机上执行测评风险规避措施:风险规避措施:机构派遣有资质并且政治可靠的测评师进行等级测评工作;
27、与被测单位签署保密协议;机构制定质量管理、保密管理、配置管理制度和计划并执行二二、信息安全等级测评概述、信息安全等级测评概述27等级测评的作用等级测评的作用等级测评特点等级测评特点等级测评风险等级测评风险等级测评过程等级测评过程 等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。测评流程测评准备活动方案编制活动现场测评活动分析及报告编制活动沟通与洽谈二二、信息安全等级测评概述、信息安全等级测评概述28等级测评的作用等级测评的作用等级测评特点等级测评特点等级测评风险等级测评风险等级测评过程等级测评过程
28、方案编制活动现场测评活动分析及报告编制活动本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。测评准备活动本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元
29、测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和 GB/T25058-2010的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。二二、信息安全等级测评概述、信息安全等级测评概述目录291 1信息安全等级保护概述信息安全等级保护概述3 3信息安全等级测评内容介绍信息安全等级测评内
30、容介绍2 2信息安全等级测评概述信息安全等级测评概述4 4现场工作时间安排现场工作时间安排5 5附录附录30三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责 测评准备活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程如图所示:等级测评项目启动工作流程信息收集和分析工具和表单准备测
31、评准备活动31工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责项目启动信息收集和分析工具和表单准备 在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。任务描述n根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。n测评机构要求测评委托单位提供基本资料,包括:被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体
32、方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍测评准备活动32工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责项目启动信息收集和分析工具和表单准备测评机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。任务描述n测评机构收集等级测评需要的各种资料,包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价
33、报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。n测评机构将调查表格提交给测评委托单位,督促被测系统相关人员准确填写调查表格。n测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。n如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,测评机构应安排
34、现场调查,与被测系统相关人员进行面对面的沟通和了解。三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍测评准备活动33工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责项目启动信息收集和分析工具和表单准备测评项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。任务描述n测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。n测评人员模拟被测系统搭建测评环境。n准备和打印表单,主要包括:现场测评授权书、文档交接单、会议记录表单、会议签到表单等。三三、信息安全等级测评内容介绍、信息
35、安全等级测评内容介绍测评准备活动34工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责主要任务输入输出/产品项目启动委托测评协议书信息收集和分析工具表单准备项目计划书被测系统描述文件、定级报告、验收报告、安全需求分析报告、安全总体方案、自查或上次等级测评报告(如果有)、信息系统基本情况调查表、项目计划书填好的信息系统基本情况调查表格各种与被测系统相关的技术资料选用的测评工具清单打印的各类表单:现场测评授权书、文档交接单、会议记录表单、会议签到表单三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍测评准备活动35工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双
36、方的职责任务输出文档文档内容项目启动项目计划书项目概述、工作依据、技术思路、工作内容和项目组织等信息收集和分析填好的调查表格被测系统的安全保护等级、业务情况、数据情况、软硬件情况、管理模式和相关部门及角色等。工具和表单准备选用的测评工具清单 打印的各类表单:现场测评授权书、文档交接单、会议记录表单、会议签到表单。现场测评授权、交接的文档名称、会议记录项目、会议签到项目。三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍测评准备活动36工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责n组建等级测评项目组。n指出测评委托单位应提供的基本资料。n准备被测系统基本情况调查表格
37、,并提交给测评委托单位。n向测评委托单位介绍安全测评工作流程和方法。n向测评委托单位说明测评工作可能带来的风险和规避方法。n了解测评委托单位的信息化建设状况与发展,以及被测系统的基本情况。n初步分析系统的安全情况。n准备测评工具和文档。n向测评机构介绍本单位的信息化建设状况与发展情况。n准备测评机构需要的资料。n为测评人员的信息收集提供支持和协调。n准确填写调查表格。n根据被测系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议。n制定应急预案。测评机构职责测评委托单位职责三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍测评准备活动37工作流程工作流程主要任务
38、主要任务输出文档输出文档双方的职责双方的职责 方案编制活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制六项主要任务。这六项任务的基本工作流程如图所示:测评对象确定工作流程测评指标确定测评工具接入点确定测评内容确定测评指导书开发测评方案编制三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍方案编制活动38工作流程工作流程主要任务主要
39、任务输出文档输出文档双方的职责双方的职责测评对象确定测评指标确定测评工具接入点确定测评内容确定测评指导书开发测评方案编制根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。任务描述识别并描述被测系统的整体结构n根据调查表格获得的被测系统基本情况,识别出被测系统的整体结构并加以描述。描述内容应包括被测系统的标识(名称),物理环境,网络拓扑结构和外部边界连接情况等,并给出网络拓扑图。识别并描述被测系统的边界n根据填好的调查表格,识别出被测系统边界并加以描述。描述内容应包括被测系统与其他网络进行外部连接的边界连接方式,如采用光纤、无线和专线等;描述各边界主
40、要设备,如防火墙、路由器或服务器等。如果在被测系统边界连接处有共用设备,一般可以把该设备划到等级较高的那个信息系统中。识别并描述被测系统的网络区域n一般信息系统都会根据业务类型及其重要程度将信息系统划分为不同的区域。对于没有进行区域划分的系统,应首先根据被测系统实际情况进行大致划分并加以描述。描述内容主要包括区域划分、每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍方案编制活动工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责测评对象确定测评指标确定测评工具接入点确定测评内容确定测评指导书开发测评
41、方案编制任务描述识别并描述被测系统的重要节点n描述系统节点时可以以区域为线索,具体描述各个区域内包括的计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)、网络硬件设备(包括交换机、路由器、各种适配器等)等,并说明各个节点之间的主要连接情况和节点上安装的应用系统软件情况等。描述被测系统n对上述描述内容进行整理,确定被测系统并加以描述。描述被测系统时,一般以被测系统的网络拓扑结构为基础,采用总分式的描述方法,先说明整体结构,然后描述外部边界连接情况和边界主要设备,最后介绍被测系统的网络区域组成、主要业务功能及相关的设备节点等。确定测评对象n分析各个作为定级对象的信息系统,包括信
42、息系统的重要程度及其相关设备、组件,在此基础上,确定出各测评对象。描述测评对象n描述测评对象时,一般针对每个定级对象分门别类加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备及其操作系统、安全设备及其操作系统、访谈人员及其安全管理文档等。在对每类测评对象进行描述时则一般采用列表的方式,包括测评对象所属区域、设备名称、用途、设备信息等内容。三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍方案编制活动40工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。任务描述n根据被测系统调查表格,得
43、出被测系统的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施ASG组合情况。n从GB/T 22239-2008中选择相应等级的安全要求作为测评指标,包括对ASG三类安全要求的选择。举例来说,假设某信息系统的定级结果为:安全保护等级为3级,业务信息安全保护等级为2级,系统服务安全保护等级为3级;则该系统的测评指标将包括GB/T 22239-2008“技术要求”中的3级通用安全保护类要求(G3),2级业务信息安全类要求(S2),3级系统服务保证类要求(A3),以及第3级“管理要求”中的所有要求。n对于由多个不同等级的信息系统组成的被测系统,应分别确定各
44、个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则。测评对象确定测评指标确定测评工具接入点确定测评内容确定测评指导书开发测评方案编制三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍方案编制活动41工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责任务描述n分别针对每个定级对象加以描述,包括系统的定级结果、指标选择两部分。其中,指标选择可以列表的形式给出。例如,一个安全保护等级和系统服务安全保护等级均为三级、业务信息安全保护等级为2级的定级对象,测评指标可以列出如右表所示:测评对象确定测评指标确定测
45、评工具接入点确定测评内容确定测评指导书开发测评方案编制三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍方案编制活动42工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责在等级测评中,对二级和二级以上的信息系统应进行工具测试,工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。任务描述n确定需要进行工具测试的测评对象。n选择测试路径。一般来说,测试工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入,即:测试工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。n根据测试路径,确定测试工具的接入点。测评对象确定测评指标
46、确定测评工具接入点确定测评内容确定测评指导书开发测评方案编制n结合网络拓扑图,采用图示的方式描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍方案编制活动43工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责本部分确定现场测评的具体实施内容,即单元测评内容。任务描述测评对象确定测评指标确定测评工具接入点确定测评内容确定测评指导书开发测评方案编制确定单元测评内容n依据信息系统安全等级保护测评过程指南,将前面已经得到的测评指标和测评对象结合起来,然后再将测评对象与具体的测评方法结合起来,这也是编制测评指导书测评指
47、导书的第一步。具体做法就是把各层面上的测评指标结合到具体测评对象上,并说明具体的测评方法,如此构成一个个可以具体实施测评的单元。参照信息系统安全等级保护测评过程指南,结合已选定的测评指标和测评对象,概要说明现场单元测评实施的工作内容;涉及到工具测试部分,应根据确定的测试工具接入点,编制相应的测试内容。在测评方案中,现场单元测评实施内容通常以表格的形式给出,表格包括测评指标、测评内容描述等内容。现场测评实施内容是项目组每个成员开发测评指导书测评指导书的基础。三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍方案编制活动44工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责
48、测评指导书是具体指导测评人员如何进行测评活动的文件,是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动可以重现的根本。因此,测评指导书应当尽可能详尽、充分。任务描述n描述单个测评对象,包括测评对象的名称、IP地址、用途、管理人员等信息。n根据信息系统安全等级保护测评过程指南测评要求的单元测评实施确定测评活动,包括测评项、测评方法、操作步骤和预期结果等四部分。测评项是指GB/T 22239-2008基本要求中对该测评对象在该用例中的要求,在信息系统安全等级保护测评过程指南中对应每个测评单元中的“测评指标”的具体要求项。测评方法是指访谈、检查和测试三种方法,具体到测评对象上可细化为文档审
49、查、配置检查、工具测试和实地察看等多种方法,每个测评项可能对应多个测评方法。操作步骤是指在现场测评活动中应执行的命令或步骤,是按照信息系统安全等级保护测评过程指南中的每个“测评实施”项目开发的操作步骤,涉及到工具测试时,应描述工具测试路径及接入点等;预期结果是指按照操作步骤在正常的情况下应得到的结果和获取的证据。测评对象确定测评指标确定测评工具接入点确定测评内容确定测评指导书开发测评方案编制三三、信息安全等级测评内容介绍、信息安全等级测评内容介绍方案编制活动45工作流程工作流程主要任务主要任务输出文档输出文档双方的职责双方的职责测评对象确定测评指标确定测评工具接入点确定测评内容确定测评指导书开
50、发测评方案编制测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下内容:项目概述、测评对象、测评指标、测评工具的接入点以及单元测评实施等。任务描述n根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等。n根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来。n依据委托测评协议书和被测系统情况,估算现场测评工作量。工作量可以根据配置检查的节点数量和工具测试的接入点及测试内容等情况进行估算。n根据测评项目组成员安排,编制工作安排情况。三三、信息安全等级测评内容介绍、信息安全