第一篇:信息安全測評(píng)期末總結(jié)
信息安全工程與測評(píng)實(shí)踐報(bào)告
(總結(jié)報(bào)告)
姓 名 班 級(jí) 學(xué) 號(hào) 完成日期
一、實(shí)驗(yàn)?zāi)康?/p>
1. 使用各種工具對(duì)目標(biāo)網(wǎng)頁進(jìn)行漏洞掃描和滲透測試。
2. 了解掃描原來,熟悉掃描操作,掌握各種工具的特點(diǎn)和不足。3. 學(xué)會(huì)在不同場合使用最適合的工具。
二、實(shí)驗(yàn)工具
本學(xué)期的實(shí)驗(yàn)中,我使用了多種不同風(fēng)格掃描工具,其中包括了Nmap、PortScan、X-Scan、SuperScan等端口掃描工具,Wireshark等抓包軟件以及百度殺毒這種針對(duì)本機(jī)的保護(hù)軟件。
三、實(shí)驗(yàn)內(nèi)容
實(shí)驗(yàn)中,我更傾向于掃描目標(biāo)網(wǎng)站的端口信息,其中,我最為喜歡的是Nmap掃描工具,它的功能應(yīng)當(dāng)是我所使用的掃描工具中最為強(qiáng)大的,可以使用不同的命令使用不同的掃描方式以得到自己所需要的掃描結(jié)果。它的主界面如下所示:
在該圖片中,我已經(jīng)使用了 –sS –sU –T4 –top-ports 61.135.169.125 命令對(duì)IP地址61.135.169.125進(jìn)行端口掃描,也得出了該IP的2個(gè)開放端口80和443,以及它們所提供的服務(wù)即它們的作用。同時(shí),這個(gè)命令中,-sS表示使用TCP SYN方式掃描TCP端口,-sU表示掃描UDP端口。-T4指定掃描過程使用的時(shí)序,可以使用的時(shí)序共有6個(gè)級(jí)別即0-5,級(jí)別越高,掃描速度越快,但是也容易被防火墻或IDS檢測到并屏蔽掉。另外,61.135.169.125即百度。
而在我使用的掃描工具中,有一款老而彌堅(jiān)的,那就是PortScan,在使用它同樣對(duì)百度網(wǎng)站進(jìn)行掃描的過程中,它的操作比Nmap簡單了很多。
這是它的主界面:
很明顯,這款工具還有其他一些功能,但我們?cè)谶@里只要使用它的端口掃描功能,也就是Scan Ports標(biāo)簽下的內(nèi)容。很明顯的看出來,只需要輸入目標(biāo)IP就能對(duì)其進(jìn)行掃描。另外提一句,PortScan的默認(rèn)掃描端口是從1到65535。掃描結(jié)果是這樣的:
同樣可以掃描出2個(gè)開放的端口即80和443。然而在實(shí)際使用中,我也明顯的發(fā)現(xiàn)了它的不足,它的掃描速度相對(duì)于Nmap而言差距是十分明顯的,而且掃描結(jié)果的驚喜程度上是遠(yuǎn)遜于Nmap的。
在實(shí)驗(yàn)使用的所有端口掃描工具中,Nmap的表現(xiàn)無疑是十分突出的,但是還有一款掃描工具也是十分的強(qiáng)大,那就是X-Scan。
X-Scan是國內(nèi)最著名的綜合掃描器之一,它完全免費(fèi),是不需要安裝的綠色軟件、界面支持中文和英文兩種語言、包括圖形界面和命令行方式。主要由國內(nèi)著名的民間黑客組織“安全焦點(diǎn)”完成,從2000年的內(nèi)部測試版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了國內(nèi)眾多黑客的心血。最值得一提的是,X-Scan把掃描報(bào)告和安全焦點(diǎn)網(wǎng)站相連接,對(duì)掃描到的每個(gè)漏洞進(jìn)行“風(fēng)險(xiǎn)等級(jí)”評(píng)估,并提供漏洞描述、漏洞溢出程序,方便網(wǎng)管測試、修補(bǔ)漏洞。
在實(shí)際使用中,它給出的風(fēng)險(xiǎn)評(píng)估等級(jí)報(bào)告是最震撼我的,它把掃描的結(jié)果直接進(jìn)行了分析,并給出了結(jié)果,令人一眼就能看懂,下面是我對(duì)我自己的電腦進(jìn)行掃描獲得的掃描報(bào)告:
而這只是詳盡的報(bào)告中的一部分,因而我認(rèn)為,X-Scan是一款十分值得推薦的工具,它強(qiáng)大的性能、多種多樣的功能以及詳盡的報(bào)告分析都決定了它將成為收人歡迎的掃描工具,也更適合網(wǎng)絡(luò)安全管理員使用。
另外,SuperScan也是一款性能強(qiáng)大的掃描工具,但是它的主界面的確是有點(diǎn)復(fù)雜了:
幸好在執(zhí)行簡單的掃描任務(wù)時(shí),所需要使用到的模塊并不太多,只要IP、Scan type模塊就可以了,在無視其他模塊的情況下,它的操作還是畢竟簡單的。就同樣對(duì)百度進(jìn)行掃描而言,在IP模塊輸入IP地址后,再在Scan type模塊下改變掃描模式到All list ports from 1 65535。最后單擊Start也就可以開始掃描了,當(dāng)然了,這只是這款軟件的簡單使用,在今后若有需要也應(yīng)當(dāng)對(duì)它進(jìn)行更深入的了解和學(xué)習(xí)。
總而言之,SuperScan功能強(qiáng)大,但是,在掃描的時(shí)候,一定要考慮到網(wǎng)絡(luò)的承受能力和對(duì)目標(biāo)計(jì)算機(jī)的影響。
最后在這里介紹下對(duì)百度殺毒的使用感覺,總而言之就是傻瓜式操作,它只會(huì)告訴你存在什么危險(xiǎn),并提供選擇是否解決這個(gè)問題。雖然這十分的方便,也非常適合電腦小白的使用,也能完成它應(yīng)當(dāng)完成的任務(wù),但是對(duì)于我們這些從事或者正在學(xué)習(xí)這方面的人而言,是不適合的,我們應(yīng)當(dāng)去了解而非傻瓜式的解決。
這也就說明上面這些掃描工具的強(qiáng)大性,畢竟它們還能對(duì)本機(jī)進(jìn)行掃描,能加深對(duì)自己電腦的了解,并及時(shí)了解存在的安全隱患并通過自己的努力去解決這些安全隱患,也能完善自己在這方面的技巧。
四、實(shí)驗(yàn)總結(jié)
在使用過這么多的掃描軟件完成作業(yè)之后,我也用他們對(duì)自己的電腦進(jìn)行了掃描,主要是使用X-Scan,通過它給出的風(fēng)險(xiǎn)評(píng)估報(bào)告上看到的結(jié)果真的是嚇了我一跳,平常使用360安全衛(wèi)士等進(jìn)行掃描時(shí)給出的結(jié)果總是不存在風(fēng)險(xiǎn),但是通過專業(yè)掃描軟件的所掃描出來的危險(xiǎn)因素真是多到嚇人。這也展現(xiàn)了這些掃描軟件的強(qiáng)大之處,然而我們應(yīng)當(dāng)使用它們進(jìn)行安全測試,防范于未然,而非將它們當(dāng)作一種工具手段。也就是正確的使用它們。
第二篇:國家信息安全測評(píng)
國家信息安全測評(píng)
信息安全服務(wù)資質(zhì)申請(qǐng)指南
(風(fēng)險(xiǎn)評(píng)估一級(jí))
?版權(quán)2014—中國信息安全測評(píng)中心
2014年5月1日
中國信息安全測評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南(安全風(fēng)險(xiǎn)評(píng)估一級(jí))
目錄
目錄 2 引言 3
一、認(rèn)定依據(jù)................................................................................................................................4
二、級(jí)別劃分................................................................................................................................4三、一級(jí)資質(zhì)要求........................................................................................................................4
3.1 基本資格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5
3.2.1 組織與管理要求.....................................................................................................5 3.2.2 技術(shù)能力要求.........................................................................................................5 3.2.3 人員構(gòu)成與素質(zhì)要求.............................................................................................6 3.2.4 設(shè)備、設(shè)施與環(huán)境要求.........................................................................................6 3.2.5 規(guī)模與資產(chǎn)要求.....................................................................................................6 3.2.6 業(yè)績要求.................................................................................................................6 3.3 安全風(fēng)險(xiǎn)評(píng)估過程能力要求...........................................................................................6 3.4 項(xiàng)目和組織過程能力要求...............................................................................................7
四、資質(zhì)認(rèn)定................................................................................................................................8
4.1認(rèn)定流程圖........................................................................................................................8 4.2申請(qǐng)階段.............................................................................................................................9 4.3資格審查階段.....................................................................................................................9 4.4能力測評(píng)階段.....................................................................................................................9
4.4.1靜態(tài)評(píng)估..................................................................................................................9 4.4.2現(xiàn)場審核................................................................................................................10 4.4.3綜合評(píng)定................................................................................................................10 4.4.4資質(zhì)審定................................................................................................................10 4.5證書發(fā)放階段...................................................................................................................10
五、監(jiān)督、維持和升級(jí)..............................................................................................................11
六、處置......................................................................................................................................11
七、爭議、投訴與申訴..............................................................................................................11
八、獲證組織檔案......................................................................................................................12
九、費(fèi)用及周期..........................................................................................................................12
十、聯(lián)系方式..............................................................................................................................13
發(fā)布日期:2014年5月1日
中國信息安全測評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南(安全風(fēng)險(xiǎn)評(píng)估一級(jí))
引言
中國信息安全測評(píng)中心是經(jīng)中央批準(zhǔn)成立的國家信息安全權(quán)威測評(píng)機(jī)構(gòu),職能是開展信息安全漏洞分析和風(fēng)險(xiǎn)評(píng)估工作,對(duì)信息技術(shù)產(chǎn)品、信息系統(tǒng)和風(fēng)險(xiǎn)評(píng)估的安全性進(jìn)行測試與評(píng)估。對(duì)信息安全服務(wù)和人員的資質(zhì)進(jìn)行審核與評(píng)價(jià)。
中國信息安全測評(píng)中心的主要職能是:
1.為信息技術(shù)安全性提供測評(píng)服務(wù); 2.信息安全漏洞分析; 3.信息安全風(fēng)險(xiǎn)評(píng)估;
4.信息技術(shù)產(chǎn)品、信息系統(tǒng)和風(fēng)險(xiǎn)評(píng)估安全測試與評(píng)估; 5.信息安全服務(wù)和信息安全人員資質(zhì)測評(píng); 6.信息安全技術(shù)咨詢、風(fēng)險(xiǎn)評(píng)估監(jiān)理與開發(fā)服務(wù)。
“信息安全服務(wù)資質(zhì)認(rèn)定”是對(duì)信息安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)、能力和穩(wěn)定性、可靠性進(jìn)行評(píng)估,依據(jù)公開的標(biāo)準(zhǔn)和程序,對(duì)其安全服務(wù)保障能力進(jìn)行評(píng)定和確認(rèn)。為我國信息安全服務(wù)行業(yè)的發(fā)展和政府主管部門的信息安全管理以及全社會(huì)選擇信息安全服務(wù)提供一種獨(dú)立、公正的評(píng)判依據(jù)。
本指南適用于所有向CNITSEC申請(qǐng)信息安全服務(wù)資質(zhì)(風(fēng)險(xiǎn)評(píng)估一級(jí))的境內(nèi)外組織。
發(fā)布日期:2014年5月1日
中國信息安全測評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南(安全風(fēng)險(xiǎn)評(píng)估一級(jí))
一、認(rèn)定依據(jù)
信息安全服務(wù)(風(fēng)險(xiǎn)評(píng)估類)資質(zhì)認(rèn)定是對(duì)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)提供者的資格狀況、技術(shù)實(shí)力和信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施過程質(zhì)量保證能力等方面的具體衡量和評(píng)價(jià)。
信息安全服務(wù)(風(fēng)險(xiǎn)評(píng)估類)資質(zhì)級(jí)別的評(píng)定,是依據(jù)《信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則》和不同級(jí)別的信息安全服務(wù)資質(zhì)(風(fēng)險(xiǎn)評(píng)估類)具體要求,在對(duì)申請(qǐng)組織的基本資格、技術(shù)實(shí)力、信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力以及安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的組織管理水平等方面的評(píng)估結(jié)果基礎(chǔ)上的綜合評(píng)定后,由中國信息安全測評(píng)中心給予相應(yīng)的資質(zhì)級(jí)別。
二、級(jí)別劃分
信息安全服務(wù)(風(fēng)險(xiǎn)評(píng)估類)資質(zhì)認(rèn)定是對(duì)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)提供者的綜合實(shí)力的客觀評(píng)價(jià)和確認(rèn),信息安全服務(wù)(風(fēng)險(xiǎn)評(píng)估類)資質(zhì)級(jí)別反映了信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)提供者從事信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)保障能力的成熟程度。資質(zhì)級(jí)別劃分的主要依據(jù)包括:基本資格與基本能力要求、安全風(fēng)險(xiǎn)評(píng)估過程能力要求、項(xiàng)目與組織管理能力要求和其他補(bǔ)充要求等。
信息安全服務(wù)資質(zhì)分為五個(gè)級(jí)別,由一級(jí)到五級(jí)依次遞增,一級(jí)是最基本級(jí)別,五級(jí)為最高級(jí)別。
一級(jí):基本執(zhí)行級(jí) 二級(jí):計(jì)劃跟蹤級(jí) 三級(jí):充分定義級(jí) 四級(jí):量化控制級(jí) 五級(jí):持續(xù)改進(jìn)級(jí)三、一級(jí)資質(zhì)要求
申請(qǐng)信息安全服務(wù)(風(fēng)險(xiǎn)評(píng)估一級(jí))資質(zhì)的組織需要在基本資格和基本能力、發(fā)布日期:2014年5月1日
中國信息安全測評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南(安全風(fēng)險(xiǎn)評(píng)估一級(jí))
安全風(fēng)險(xiǎn)評(píng)估過程能力和項(xiàng)目與組織過程能力等幾個(gè)方面符合《信息安全服務(wù)資質(zhì)具體要求(風(fēng)險(xiǎn)評(píng)估一級(jí))》的規(guī)定。
3.1 基本資格要求
申請(qǐng)信息安全服務(wù)(風(fēng)險(xiǎn)評(píng)估一級(jí))資質(zhì)的組織必須是一個(gè)獨(dú)立的實(shí)體,具有工商行政管理部門頒發(fā)的營業(yè)執(zhí)照,并遵守國家現(xiàn)行法律法規(guī)。
3.2 基本能力要求 3.2.1 組織與管理要求
1.必須擁有健全的組織和管理體系,為持續(xù)的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)提供保障;
2.必須具有專業(yè)從事信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的隊(duì)伍和相應(yīng)的質(zhì)量保證; 3.與安全風(fēng)險(xiǎn)評(píng)估服務(wù)相關(guān)的所有成員要簽訂保密合同,并遵守有關(guān)法律法規(guī)。
3.2.2 技術(shù)能力要求
1.了解信息系統(tǒng)技術(shù)的最新動(dòng)向,有能力掌握信息系統(tǒng)的最新技術(shù); 2.具有不斷的技術(shù)更新能力;
3.具有對(duì)信息系統(tǒng)的狀況進(jìn)行調(diào)研、分析和描述的能力;
4.具有對(duì)信息系統(tǒng)面臨的安全威脅、存在的安全隱患進(jìn)行信息收集、識(shí)別、分析能力;
5.具有對(duì)信息系統(tǒng)的資產(chǎn)及其影響進(jìn)行識(shí)別、分析和評(píng)估的能力; 6.具有對(duì)信息系統(tǒng)的脆弱性進(jìn)行識(shí)別分析和評(píng)估的能力; 7.具有根據(jù)信息安全風(fēng)險(xiǎn)的結(jié)果提出應(yīng)對(duì)安全措施的能力; 8.具有應(yīng)用國際國內(nèi)最新信息安全風(fēng)險(xiǎn)評(píng)估方法的能力; 9.有跟蹤、了解、掌握、應(yīng)用國際、國家和行業(yè)標(biāo)準(zhǔn)的能力。
發(fā)布日期:2014年5月1日
中國信息安全測評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南(安全風(fēng)險(xiǎn)評(píng)估一級(jí))
3.2.3 人員構(gòu)成與素質(zhì)要求
1.具有充足的人力資源和合理的人員結(jié)構(gòu);
2.所有與信息安全服務(wù)有關(guān)的管理和銷售人員應(yīng)具有基本的信息安全知識(shí);
3.有相對(duì)穩(wěn)定的從事信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的技術(shù)隊(duì)伍;
4.技術(shù)骨干人員應(yīng)系統(tǒng)地掌握信息系統(tǒng)安全基礎(chǔ)理論和核心技術(shù),并有足夠的專業(yè)工作經(jīng)驗(yàn);
5.必須有2名以上(含2名)專職的注冊(cè)信息安全專業(yè)人員(CISP)。
3.2.4 設(shè)備、設(shè)施與環(huán)境要求
1.具有固定的工作場所和良好的工作環(huán)境;
2.具有實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的相關(guān)工具和設(shè)備。
3.2.5 規(guī)模與資產(chǎn)要求
1.有足夠的注冊(cè)資金和充足的流動(dòng)資金;
2.具有與所申請(qǐng)安全服務(wù)業(yè)務(wù)范圍、承擔(dān)的安全風(fēng)險(xiǎn)評(píng)估規(guī)模相適應(yīng)的服務(wù)體系;
3.有足夠的人員從事直接與信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)相關(guān)的活動(dòng)。
3.2.6 業(yè)績要求
1.應(yīng)有從事信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的經(jīng)驗(yàn);
2.近3年內(nèi)在信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)方面,沒有出現(xiàn)驗(yàn)收未通過的情況。
3.3 安全風(fēng)險(xiǎn)評(píng)估過程能力要求
安全風(fēng)險(xiǎn)評(píng)估過程能力是評(píng)價(jià)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)專業(yè)水平高低的標(biāo)志。申請(qǐng)組織應(yīng)能實(shí)施以下6個(gè)安全風(fēng)險(xiǎn)評(píng)估過程域: 1.風(fēng)險(xiǎn)評(píng)估準(zhǔn)備
發(fā)布日期:2014年5月1日
中國信息安全測評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南(安全風(fēng)險(xiǎn)評(píng)估一級(jí))
2.評(píng)估系統(tǒng)資產(chǎn)的影響; 3.評(píng)估系統(tǒng)存在的脆弱性; 4.評(píng)估系統(tǒng)面臨的安全威脅; 5.評(píng)估系統(tǒng)已有的安全措施; 6.評(píng)估系統(tǒng)的安全風(fēng)險(xiǎn)。
3.4 項(xiàng)目和組織過程能力要求
項(xiàng)目和組織過程能力是評(píng)價(jià)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)規(guī)范性和質(zhì)量保證成熟度標(biāo)志。
申請(qǐng)組織應(yīng)能實(shí)施以下6個(gè)項(xiàng)目和組織過程域: 1.質(zhì)量保證; 2.管理項(xiàng)目風(fēng)險(xiǎn); 3.規(guī)劃技術(shù)活動(dòng); 4.監(jiān)控技術(shù)活動(dòng);
5.提供不斷發(fā)展的技能和知識(shí); 6.與供應(yīng)商協(xié)調(diào)。
發(fā)布日期:2014年5月1日
中國信息安全測評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南(安全風(fēng)險(xiǎn)評(píng)估一級(jí))
四、資質(zhì)認(rèn)定
4.1認(rèn)定流程圖
申請(qǐng)委托人申請(qǐng)不受理形式化審查申請(qǐng)階段資格審查階段受理決定受理靜態(tài)評(píng)估現(xiàn)場審核限期整改綜合評(píng)定不通過綜合評(píng)定通過資質(zhì)審定不通過發(fā)證決定抽樣檢查通過證書發(fā)放不予發(fā)證能力測評(píng)階段證書發(fā)放階段公告證后監(jiān)督證后監(jiān)督階段
發(fā)布日期:2014年5月1日
中國信息安全測評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南(安全風(fēng)險(xiǎn)評(píng)估一級(jí))
4.2申請(qǐng)階段
申請(qǐng)組織應(yīng)首先到CNITSEC網(wǎng)站(http://www.tmdps.cnITSEC,同時(shí)提交申請(qǐng)費(fèi)。在向CNITSEC遞交申請(qǐng)書前,須逐項(xiàng)檢查所填報(bào)的材料的完整性和正確性。
4.3資格審查階段
CNITSEC接到正式申請(qǐng)書及相關(guān)資料以及申請(qǐng)費(fèi)后,根據(jù)所提交的資料進(jìn)行資格審查,以確認(rèn)申請(qǐng)單位是否滿足資質(zhì)的基本資格要求,提交資料是否完整。
資格審查包括對(duì)申請(qǐng)單位所提交資料進(jìn)行的形式化審查以及對(duì)申請(qǐng)單位的進(jìn)一步調(diào)查和溝通。如果資格審查階段發(fā)現(xiàn)有不符合要求的內(nèi)容,CNITSEC將要求申請(qǐng)組織補(bǔ)充資料等。
當(dāng)通過資格審查階段后,CNITSEC將與申請(qǐng)組織簽訂合同,正式受理該申請(qǐng),并通知相關(guān)費(fèi)用的繳納事宜等。
4.4能力測評(píng)階段
當(dāng)申請(qǐng)組織通過資格審查并繳納了相關(guān)費(fèi)用后,資質(zhì)申請(qǐng)進(jìn)入能力測評(píng)階段。
能力測評(píng)階段包括靜態(tài)評(píng)估、現(xiàn)場審核、綜合評(píng)定和資質(zhì)審定四個(gè)步驟。
4.4.1靜態(tài)評(píng)估
靜態(tài)評(píng)估是對(duì)申請(qǐng)組織資料進(jìn)行符合性審查,是對(duì)申請(qǐng)組織的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力做出基本判斷,初步確定申請(qǐng)組織的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力水 發(fā)布日期:2014年5月1日
中國信息安全測評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南(安全風(fēng)險(xiǎn)評(píng)估一級(jí))
平狀況,為現(xiàn)場審核做準(zhǔn)備。如果在靜態(tài)評(píng)估階段發(fā)現(xiàn)申請(qǐng)組織的信息安全風(fēng)險(xiǎn)評(píng)估能力不能滿足資質(zhì)要求,將要求申請(qǐng)組織進(jìn)行整改,待整改完成達(dá)到后進(jìn)入現(xiàn)場審核階段。
4.4.2現(xiàn)場審核
現(xiàn)場審核是對(duì)申請(qǐng)組織從事信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的綜合能力(包括技術(shù)能力、管理能力、質(zhì)量保證、設(shè)施設(shè)備、工作環(huán)境、人員構(gòu)成及素質(zhì)、經(jīng)營業(yè)績、資產(chǎn)狀況等方面)進(jìn)行核實(shí)和確認(rèn)。
通過靜態(tài)評(píng)估后,CNITSEC將與申請(qǐng)組織溝通現(xiàn)場審核事宜,安排審核組進(jìn)行現(xiàn)場審核。
現(xiàn)場審核若發(fā)現(xiàn)需整改的不符合項(xiàng),審核組將對(duì)申請(qǐng)組織提出限期整改的要求,并對(duì)整改效果進(jìn)行驗(yàn)證。
4.4.3綜合評(píng)定
在綜合評(píng)定階段,將依據(jù)靜態(tài)評(píng)估和現(xiàn)場審核結(jié)果,對(duì)申請(qǐng)組織的基本資格、基本能力、信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力以及資質(zhì)所要求的其他內(nèi)容進(jìn)行綜合評(píng)定,出具綜合評(píng)定報(bào)告。
對(duì)評(píng)定結(jié)果不符合的,CNITSEC將要求申請(qǐng)組織限期整改。申請(qǐng)組織完成整改并向CNITSEC提交整改報(bào)告后,CNITSEC將對(duì)整改結(jié)果進(jìn)行驗(yàn)證,整改仍不符合的,將不能通過能力測評(píng)。逾期未整改的,視作整改不符合。
4.4.4資質(zhì)審定
根據(jù)綜合評(píng)定的報(bào)告,CNITSEC技術(shù)委員會(huì)將組織技術(shù)專家對(duì)申請(qǐng)組織的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)進(jìn)行審查,并最終做出是否通過的決定。
4.5證書發(fā)放階段
資質(zhì)審定通過后,CNITSEC將進(jìn)行資質(zhì)證書的制作、審批和發(fā)放,并在網(wǎng)站、報(bào)刊雜志等媒體上公布獲證組織的相關(guān)信息。
發(fā)布日期:2014年5月1日
中國信息安全測評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南(安全風(fēng)險(xiǎn)評(píng)估一級(jí))
五、監(jiān)督、維持和升級(jí)
獲得資質(zhì)的組織需通過持續(xù)發(fā)展自身信息安全服務(wù)體系以保持基本能力及安全風(fēng)險(xiǎn)評(píng)估過程能力。CNITSEC將通過申訴系統(tǒng)、現(xiàn)場見證以及對(duì)信息安全服務(wù)項(xiàng)目進(jìn)行抽樣檢查來驗(yàn)證每個(gè)獲得資質(zhì)組織的能力。
證書在三年有效期內(nèi)實(shí)行年確認(rèn)制度,每三年進(jìn)行一次維持換證。獲證后,每年在證書簽發(fā)之日前30天內(nèi),獲證組織要向CNITSEC提交調(diào)查表,并到CNITSEC辦理年檢。CNITSEC年檢中發(fā)現(xiàn)獲證組織不符合資質(zhì)認(rèn)定要求的,將要求其限期整改,整改后仍不合格,CNITSEC將暫停或取消證書。
在證書有效期屆滿前90天內(nèi),由獲證組織提出維持換證申請(qǐng)。CNITSEC將依據(jù)信息安全服務(wù)資質(zhì)維持有關(guān)政策進(jìn)行評(píng)審,以確定獲證組織符合信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力一級(jí)資質(zhì)要求的持續(xù)性。
若獲證組織相關(guān)資料變動(dòng)時(shí),須及時(shí)通知CNITSEC,并申請(qǐng)更改。若獲證組織實(shí)體發(fā)生變化,需要進(jìn)行資質(zhì)證書的轉(zhuǎn)移,可到CNITSEC網(wǎng)站(http://www.tmdps.cnITSEC申請(qǐng)二級(jí)資質(zhì)。
六、處置
獲證組織存在違規(guī)行為時(shí),CNITSEC有權(quán)視組織違規(guī)情節(jié)輕重予以以下處置:警告、限期整改、暫停證書、取消證書。
七、爭議、投訴與申訴
對(duì)CNITSEC所作的評(píng)審、復(fù)查、處置等決定有異議時(shí),可向CNITSEC提出書面申訴。CNITSEC將會(huì)責(zé)成與所申訴、投訴事項(xiàng)無利益相關(guān)的人員進(jìn)行調(diào)查,CNITSEC在調(diào)查基礎(chǔ)上做出結(jié)論。
發(fā)布日期:2014年5月1日
中國信息安全測評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南(安全風(fēng)險(xiǎn)評(píng)估一級(jí))
獲證組織應(yīng)妥善處理因自身行為而發(fā)生的投訴,保留記錄并采取措施防止問題的再發(fā)生。CNITSEC將在必要時(shí)查閱獲證組織的申訴/投訴記錄。
八、獲證組織檔案
CNITSEC將對(duì)每個(gè)獲證組織建立專項(xiàng)檔案,所有資料將保存10年以上。
九、費(fèi)用及周期
信息安全服務(wù)資質(zhì)認(rèn)定收費(fèi)劃分為如下四個(gè)部分:
(一)申請(qǐng)費(fèi):2000元
(二)測評(píng)費(fèi):3000元/人日
(三)審定與注冊(cè)費(fèi)(含證書費(fèi)):3000元
(四)年金(含標(biāo)志使用費(fèi)):5000元/年
未獲得安全工程類服務(wù)資質(zhì)的機(jī)構(gòu),首次申請(qǐng)風(fēng)險(xiǎn)評(píng)估資質(zhì)(一級(jí))費(fèi)用: 2000(申請(qǐng)費(fèi))+3000×3×2(三人二日測評(píng)費(fèi))+3000(審定與注冊(cè)費(fèi))+15000(三年年金)=38000元。
未獲得安全工程類服務(wù)資質(zhì)的機(jī)構(gòu),風(fēng)險(xiǎn)評(píng)估資質(zhì)(一級(jí))維持費(fèi)用: 2000(申請(qǐng)費(fèi))+3000×2×2.5(二人二日半測評(píng)費(fèi))+3000(審定與注冊(cè)費(fèi))+5000(三年年金)=35000元。
已獲得安全工程類服務(wù)資質(zhì)的機(jī)構(gòu),申請(qǐng)風(fēng)險(xiǎn)評(píng)估資質(zhì)(一級(jí))費(fèi)用(首次申請(qǐng)和維持):
2000(申請(qǐng)費(fèi))+3000×3×0.5(三人二日測評(píng)費(fèi))+3000(審定與注冊(cè)費(fèi))=9500元
已獲得安全工程類服務(wù)資質(zhì)的機(jī)構(gòu)申請(qǐng)風(fēng)險(xiǎn)評(píng)估資質(zhì)時(shí)不再重復(fù)收取年金。
申請(qǐng)組織還應(yīng)承擔(dān)因現(xiàn)場審核活動(dòng)審核組成員所發(fā)生的交通和食宿費(fèi)用。
從受理到頒發(fā)證書的周期為四個(gè)月,但由于申請(qǐng)方原因(如,資料補(bǔ)充需要的時(shí)間等)造成的時(shí)間延誤不計(jì)算在內(nèi)。發(fā)布日期:2014年5月1日
中國信息安全測評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南(安全風(fēng)險(xiǎn)評(píng)估一級(jí))
十、聯(lián)系方式
名 稱:中國信息安全測評(píng)中心 資質(zhì)評(píng)估處 地 址:中國北京市海淀區(qū)上地西路8號(hào)院1號(hào)樓 郵 編:100085 傳 真:010-82341100 咨詢電話:
資質(zhì)受理: 010-82341582、010-82341568 證后管理: 010-82341553
發(fā)布日期:2014年5月1日
第三篇:信息安全等級(jí)測評(píng)實(shí)施細(xì)則(稿)
信息安全等級(jí)保護(hù)等級(jí)測評(píng)實(shí)施細(xì)則
第一章 總則
第一條【目的】為加強(qiáng)信息安全等級(jí)測評(píng)機(jī)構(gòu)建設(shè)和管理,規(guī)范等級(jí)測評(píng)活動(dòng),保障信息安全等級(jí)保護(hù)制度的貫徹落實(shí),根據(jù)《信息安全等級(jí)保護(hù)管理辦法》等有關(guān)規(guī)范制訂本實(shí)施細(xì)則。
第二條【適用范圍】本細(xì)則適用于等級(jí)測評(píng)機(jī)構(gòu)、測評(píng)人員和測評(píng)活動(dòng)的規(guī)范管理。
第三條【等級(jí)測評(píng)定義】等級(jí)測評(píng)是測評(píng)機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測評(píng)估的活動(dòng)。
第四條【測評(píng)機(jī)構(gòu)定義】測評(píng)機(jī)構(gòu)是經(jīng)有關(guān)部門能力認(rèn)可,經(jīng)有關(guān)部門推薦,在一定范圍內(nèi)從事信息系統(tǒng)安全等級(jí)測評(píng)等工作的專業(yè)技術(shù)機(jī)構(gòu)。
第五條【基本原則】測評(píng)機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定和統(tǒng)一標(biāo)準(zhǔn)提供“客觀、公正、安全”的測評(píng)服務(wù),按照統(tǒng)一的測評(píng)報(bào)告模版出具測評(píng)報(bào)告。
第六條【保密要求】測評(píng)機(jī)構(gòu)和測評(píng)人員應(yīng)當(dāng)遵守《國家保密法》的規(guī)定,保守在測評(píng)活動(dòng)中知悉的國家秘密、商業(yè)秘密、敏感信息和個(gè)人隱私等。
第七條【管理體制】測評(píng)機(jī)構(gòu)應(yīng)當(dāng)接受各級(jí)信息安全等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組和公安網(wǎng)安部門的監(jiān)督管理,并接受有關(guān)部門的業(yè)務(wù)管理和技術(shù)指導(dǎo)。
第二章 測評(píng)機(jī)構(gòu)
第八條【總體要求】測評(píng)機(jī)構(gòu)分為地區(qū)性、行業(yè)性測評(píng)機(jī)構(gòu),按照屬地管理和行業(yè)管理相結(jié)合的原則進(jìn)行建設(shè)和管理。
第九條【職責(zé)分工】國家信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室主管等級(jí)測評(píng)機(jī)構(gòu)的建設(shè)和管理工作,指導(dǎo)行業(yè)等級(jí)測評(píng)機(jī)構(gòu)的建設(shè)和管理工作,并委托專門的技術(shù)能力審驗(yàn)機(jī)構(gòu)對(duì)測評(píng)機(jī)構(gòu)的技術(shù)能力進(jìn)行評(píng)估、審查并確認(rèn)。
各省(區(qū)、市)等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室負(fù)責(zé)本地等級(jí)測評(píng)機(jī)構(gòu)的建設(shè)管理工作。
第十條【基本條件】申請(qǐng)成為等級(jí)測評(píng)機(jī)構(gòu)的單位(以下簡稱申請(qǐng)單位)應(yīng)當(dāng)具備以下基本條件:
(一)在中華人民共和國境內(nèi)注冊(cè)成立(港澳臺(tái)地區(qū)除外);
(二)由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺(tái)地區(qū)除外);
(三)產(chǎn)權(quán)關(guān)系明晰,注冊(cè)資金100萬元以上;
(四)從事信息系統(tǒng)檢測評(píng)估相關(guān)工作兩年以上;
(五)單位法人及主要工作人員僅限于中華人民共和國境內(nèi)的中國公民,且無犯罪記錄;
(六)具有勝任等級(jí)測評(píng)工作的專業(yè)技術(shù)人員和管理人員,大學(xué)本科(含)以上學(xué)歷所占比例不低于80%。其中測評(píng)技術(shù)人員不少于10人;
(七)具備必要的辦公環(huán)境、設(shè)備、設(shè)施及完備的安全管理制度;
(八)對(duì)國家安全、社會(huì)秩序、公共利益不構(gòu)成威脅;
(九)應(yīng)當(dāng)具備的其他條件。
第十一條【申請(qǐng)?zhí)峤弧康胤缴暾?qǐng)單位應(yīng)向?qū)俚厥。▍^(qū)、市)等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室提交申請(qǐng),行業(yè)申請(qǐng)單位向國家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室提交申請(qǐng),并填寫申請(qǐng)書,申請(qǐng)成為等級(jí)測評(píng)機(jī)構(gòu)。
第十二條【申請(qǐng)材料】申請(qǐng)單位在申請(qǐng)時(shí)應(yīng)提供以下材料,并對(duì)申請(qǐng)材料的真實(shí)性負(fù)責(zé)。
(一)《信息安全等級(jí)保護(hù)測評(píng)機(jī)構(gòu)申請(qǐng)書》;
(二)當(dāng)?shù)毓簿W(wǎng)安部門的推薦意見;
(三)營業(yè)執(zhí)照及其他注冊(cè)證明文件;
(四)《內(nèi)設(shè)組織機(jī)構(gòu)與崗位設(shè)置情況表》;
(五)《工作人員基本情況表》、證明材料和聲明;
(六)《辦公場地、設(shè)備與設(shè)施情況表》;
(七)《安全測評(píng)設(shè)備、工具配備情況表》;
(八)信息系統(tǒng)安全測評(píng)能力報(bào)告;
(九)保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等相關(guān)管理文件;
(十)需要提供的其他材料。
第十三條【初審】省級(jí)(含)以上等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室收到申請(qǐng)材料后,應(yīng)在30日內(nèi)完成初審。
第十四條【技術(shù)能力審驗(yàn)】初審?fù)ㄟ^的,由技術(shù)能力審驗(yàn)機(jī)構(gòu)評(píng)估、審查并確認(rèn)申請(qǐng)單位的技術(shù)能力。
技術(shù)能力審驗(yàn)周期最長為一個(gè)月。審驗(yàn)期滿前,技術(shù)能力審驗(yàn)機(jī)構(gòu)應(yīng)向等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室出具審驗(yàn)意見,并加蓋專門印章。
第十五條【核準(zhǔn)】省級(jí)(含)以上等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))
小組辦公室對(duì)通過技術(shù)能力審驗(yàn)的申請(qǐng)單位進(jìn)行復(fù)核,并出具核準(zhǔn)意見。
第十六條【目錄公布】測評(píng)機(jī)構(gòu)實(shí)行目錄管理。各省級(jí)信息安全等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室公布本地等級(jí)測評(píng)機(jī)構(gòu)目錄,并向國家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室備案。國家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室公布《全國信息安全等級(jí)測評(píng)機(jī)構(gòu)目錄》。
第十七條【業(yè)務(wù)范圍】測評(píng)機(jī)構(gòu)應(yīng)當(dāng)在規(guī)定的業(yè)務(wù)范圍內(nèi)開展測評(píng)業(yè)務(wù)。
(一)地方測評(píng)機(jī)構(gòu)在本地開展測評(píng)業(yè)務(wù),行業(yè)測評(píng)機(jī)構(gòu)在行業(yè)內(nèi)開展測評(píng)業(yè)務(wù)。行業(yè)測評(píng)機(jī)構(gòu)在地方開展測評(píng)業(yè)務(wù)前,應(yīng)與本地等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室協(xié)調(diào);
(二)承擔(dān)有關(guān)部門委托的安全測評(píng)專項(xiàng)任務(wù);
(三)配合當(dāng)?shù)毓簿W(wǎng)安部門對(duì)信息系統(tǒng)進(jìn)行監(jiān)督、檢查;
(四)開展風(fēng)險(xiǎn)評(píng)估、信息安全培訓(xùn)、咨詢服務(wù)和信息安全工程監(jiān)理;
(五)為當(dāng)?shù)匦畔踩燃?jí)保護(hù)工作提供技術(shù)支持和服務(wù);
(六)其他有關(guān)文件規(guī)定的職責(zé)任務(wù)。
第十八條【禁止行為】測評(píng)機(jī)構(gòu)不得從事下列活動(dòng):
(一)承擔(dān)信息系統(tǒng)安全建設(shè)整改工作;
(二)將等級(jí)測評(píng)任務(wù)分包、外包;
(三)信息安全產(chǎn)品開發(fā)、營銷和信息系統(tǒng)集成活動(dòng);
(四)限定被測評(píng)單位購買、使用其指定的信息安全產(chǎn)品;
(五)未經(jīng)許可占有、使用有關(guān)測評(píng)信息、資料及數(shù)據(jù)文件;
(六)其他可能影響測評(píng)客觀、公正的活動(dòng)。第十九條【風(fēng)險(xiǎn)告知】在開展測評(píng)過程中,對(duì)可能影響信息系統(tǒng)正常運(yùn)行的,測評(píng)機(jī)構(gòu)應(yīng)當(dāng)事先告知被測評(píng)單位,并協(xié)助其采取相應(yīng)的預(yù)防措施。
第二十條【人員管理】測評(píng)機(jī)構(gòu)應(yīng)當(dāng)建立完備的人員檔案,嚴(yán)格履行人員錄用、考核、離崗等程序,對(duì)進(jìn)入重要信息系統(tǒng)進(jìn)行測評(píng)的人員,應(yīng)該進(jìn)行背景審查,確保人員可靠。
第二十一條【制度管理】測評(píng)機(jī)構(gòu)應(yīng)當(dāng)建立并落實(shí)保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理、培訓(xùn)教育等管理制度。
第二十二條【能力建設(shè)】測評(píng)機(jī)構(gòu)要加強(qiáng)技術(shù)能力和管理能力建設(shè),應(yīng)在測評(píng)機(jī)構(gòu)推薦目錄公布后兩年內(nèi)至少通過一項(xiàng)實(shí)驗(yàn)室或檢查機(jī)構(gòu)資質(zhì)認(rèn)定。
第三章 人員管理
第二十三條【人員要求】測評(píng)人員應(yīng)遵守國家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和測評(píng)人員行為準(zhǔn)則,認(rèn)真履行本細(xì)則規(guī)定 的責(zé)任和義務(wù),為用戶提供安全、客觀、公正的測評(píng)服務(wù),保證測評(píng)的質(zhì)量和效果。
第二十四條【個(gè)人聲明】測評(píng)人員應(yīng)當(dāng)提供本人社會(huì)背景、工作經(jīng)歷和獎(jiǎng)懲情況的證明材料,聲明相關(guān)材料的真實(shí)性并承擔(dān)法律責(zé)任。
第二十五條【持證上崗】測評(píng)人員上崗前應(yīng)接受培訓(xùn),培訓(xùn)合格的由測評(píng)機(jī)構(gòu)頒發(fā)上崗證。測評(píng)人員持證上崗。
第二十六條【分級(jí)管理】測評(píng)機(jī)構(gòu)技術(shù)人員實(shí)行分級(jí)管理,由低到高分為初級(jí)等級(jí)測評(píng)師、中級(jí)等級(jí)測評(píng)師和高級(jí)等級(jí)測評(píng)師。
測評(píng)技術(shù)人員應(yīng)當(dāng)接受專門業(yè)務(wù)培訓(xùn),考試合格的獲得等級(jí)測評(píng)師證書。
第二十七條【培訓(xùn)與考試】國家信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室制定并公布培訓(xùn)計(jì)劃,指定專門培訓(xùn)機(jī)構(gòu)具體承擔(dān)等級(jí)測評(píng)師的培訓(xùn)、考試工作。專門培訓(xùn)機(jī)構(gòu)向考試合格的人員頒發(fā)等級(jí)測評(píng)師證書。
第二十八條【證書管理】專門培訓(xùn)機(jī)構(gòu)依據(jù)等級(jí)測評(píng)師證書管理辦法辦理證書的審核、頒發(fā)、建檔、公布、查詢、年審、換發(fā)和撤銷,并向省級(jí)以上等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室備案。
第二十九條【備案】行業(yè)測評(píng)機(jī)構(gòu)每年應(yīng)將本單位等級(jí)測評(píng)師培訓(xùn)、獲證情況向國家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室備案。
地方測評(píng)機(jī)構(gòu)每年應(yīng)將本單位等級(jí)測評(píng)師培訓(xùn)、獲證情況向本省(區(qū)市)等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室備案。
各地等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室每年應(yīng)將本地等級(jí)測評(píng)師培訓(xùn)、獲證情況向國家等級(jí)保護(hù)協(xié)調(diào)小組辦公室備案。
第三十條【年審管理】等級(jí)測評(píng)師實(shí)行年審制度。專門培訓(xùn)機(jī)構(gòu)對(duì)等級(jí)測評(píng)師每年進(jìn)行一次年審,并將年審結(jié)果報(bào)等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室。
對(duì)未通過年審的等級(jí)測評(píng)師,測評(píng)機(jī)構(gòu)應(yīng)暫停其開展測評(píng)工作。專門培訓(xùn)機(jī)構(gòu)應(yīng)對(duì)年審不通過的等級(jí)測評(píng)師開展培訓(xùn)。
第三十一條【變更告知】等級(jí)測評(píng)機(jī)構(gòu)的主要管理人員和技術(shù)人員工作變動(dòng)的,應(yīng)及時(shí)到等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室變更備案。
第三十二條【人員法律責(zé)任】測評(píng)人員在測評(píng)工作中具有徇私舞弊、收受賄賂等違反有關(guān)法律法規(guī)行為的,應(yīng)由專門培訓(xùn)機(jī)構(gòu)撤銷違規(guī)人員等級(jí)測評(píng)師證書,并按照有關(guān)規(guī)定進(jìn)行處罰。
第四章 測評(píng)活動(dòng)
第三十三條【用戶要求】信息系統(tǒng)運(yùn)營使用單位應(yīng)當(dāng)選擇《等級(jí)測評(píng)機(jī)構(gòu)推薦目錄》中的等級(jí)測評(píng)機(jī)構(gòu),定期對(duì)信息系統(tǒng)開展等級(jí)測評(píng),并加強(qiáng)對(duì)測評(píng)過程的監(jiān)督管理。
第三十四條【整改前測評(píng)】信息系統(tǒng)安全建設(shè)整改前,信息系統(tǒng)運(yùn)營使用單位可以選擇測評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測評(píng),掌握信息系統(tǒng)安全狀況,排查系統(tǒng)安全隱患和薄弱環(huán)節(jié),明確安全建設(shè)整改需求。
第三十五條【整改后測評(píng)】信息系統(tǒng)安全建設(shè)整改后,信息系統(tǒng)運(yùn)營使用單位應(yīng)當(dāng)再選擇測評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測評(píng),檢測系統(tǒng)安全保護(hù)狀況與標(biāo)準(zhǔn)要求的符合性,進(jìn)一步查找安全隱患和問題,并進(jìn)行風(fēng)險(xiǎn)分析,為進(jìn)一步整改提供依據(jù)。
第三十六條【定期測評(píng)】第三級(jí)以上(含)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測評(píng),測評(píng)完成后,信息系統(tǒng)運(yùn)營使用單位應(yīng)及時(shí)向受理備案的公安機(jī)關(guān)提交測評(píng)報(bào)告。
第三十七條【測評(píng)機(jī)構(gòu)規(guī)范】測評(píng)機(jī)構(gòu)應(yīng)建立規(guī)范的質(zhì)量管理體系,依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》等標(biāo)準(zhǔn)規(guī)范對(duì)信息系統(tǒng)進(jìn)行測評(píng),按照公安部制訂的信息系統(tǒng)安全等級(jí)測評(píng)報(bào)告格式編制測評(píng)報(bào)告。
第三十八條【測評(píng)費(fèi)用】測評(píng)機(jī)構(gòu)應(yīng)當(dāng)參照國家信息化工程建設(shè)項(xiàng)目人工計(jì)費(fèi)標(biāo)準(zhǔn)合理收取測評(píng)服務(wù)費(fèi)用。為防止惡意競爭,影響測評(píng)質(zhì)量,測評(píng)機(jī)構(gòu)開展測評(píng)業(yè)務(wù)收費(fèi)應(yīng)當(dāng)不低于最低收費(fèi)限額。
第三十九條【安全責(zé)任】測評(píng)機(jī)構(gòu)應(yīng)當(dāng)針對(duì)等級(jí)測評(píng)工作制定保密管理規(guī)范,明確保密崗位與職責(zé),定期對(duì)工作人員進(jìn)行保密教育,與其簽訂《保密責(zé)任書》,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負(fù)責(zé)檢查落實(shí)。
第五章 監(jiān)督管理
第四十條【監(jiān)管主體】各級(jí)等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室對(duì)等級(jí)測評(píng)機(jī)構(gòu)、測評(píng)人員、測評(píng)活動(dòng)等進(jìn)行監(jiān)督、檢查,處理對(duì)測評(píng)機(jī)構(gòu)的投訴。
第四十一條【年審】各級(jí)等級(jí)保護(hù)工作協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室對(duì)備案的測評(píng)機(jī)構(gòu)及測評(píng)人員實(shí)施年審管理,每年對(duì)測評(píng)機(jī)構(gòu)的能力和工作進(jìn)行審核、審查,并公布審核、審查結(jié)果。
第四十二條【機(jī)構(gòu)違規(guī)】測評(píng)機(jī)構(gòu)違反規(guī)定,情節(jié)輕微的,由等級(jí)保護(hù)協(xié)調(diào)領(lǐng)導(dǎo)機(jī)構(gòu)辦公室責(zé)令其限期改正或予以通報(bào)、警告。
測評(píng)機(jī)構(gòu)出現(xiàn)以下情況之一的,按照相應(yīng)規(guī)定和程序,由等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))機(jī)構(gòu)決定撤銷其測評(píng)機(jī)構(gòu)資格并及時(shí)向社會(huì)公告。
(一)違反法律、法規(guī)并被起訴的;
(二)發(fā)生重大泄密事件的;
(三)運(yùn)營管理不規(guī)范,嚴(yán)重影響測評(píng)質(zhì)量,經(jīng)整改仍無法達(dá)到要求的;
(四)與被測評(píng)單位共同隱瞞在安全評(píng)估過程中發(fā)現(xiàn)的安全漏洞,未按要求寫入評(píng)估報(bào)告的;
(五)在評(píng)估過程中弄虛作假,編造安全評(píng)估報(bào)告的;
(六)不履行規(guī)定的責(zé)任和義務(wù),經(jīng)通報(bào)批評(píng)、警告仍不改正的;
(七)測評(píng)機(jī)構(gòu)成立后一年內(nèi)不開展測評(píng)業(yè)務(wù)的;
(八)由于自身原因主動(dòng)提出退出的;
(九)連續(xù)兩次年審未通過的;
(十)違反其他有關(guān)規(guī)定的。
第四十三條【爭議處理】測評(píng)機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格遵循申訴、投訴及爭議處理制度,妥善處理爭議事件,及時(shí)采取糾正和改進(jìn)措施。
第四十四條【監(jiān)督自身要求】各級(jí)等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室應(yīng)嚴(yán)格依照本細(xì)則的有關(guān)規(guī)定,按照公平、公正的原則開展監(jiān)督檢查工作。
第四十五條【變更】測評(píng)機(jī)構(gòu)性質(zhì)、經(jīng)營(業(yè)務(wù))范圍、隸屬關(guān)系、法定代表人等重要事項(xiàng)發(fā)生變化的,應(yīng)在30日內(nèi)向等級(jí)保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))機(jī)構(gòu)辦理變更手續(xù)。
第四篇:信息安全等級(jí)保護(hù)測評(píng)
TopSec可信等級(jí)體系 天融信等級(jí)保護(hù)方案
Hacker.cn 更新時(shí)間:08-03-27 09:37 來源:硅谷動(dòng)力 作者:中安網(wǎng)
1.等級(jí)保護(hù)概述
1.1為什么要實(shí)行等級(jí)保護(hù)?
信息系統(tǒng)與社會(huì)組織體系是具有對(duì)應(yīng)關(guān)系的,而這些組織體系是分層次和級(jí)別的,因此各種信息系統(tǒng)是具有不同等級(jí)的重要性和社會(huì)、經(jīng)濟(jì)價(jià)值的。對(duì)信息系統(tǒng)的基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進(jìn)行區(qū)別對(duì)待就是級(jí)別的客觀要求。信息安全必須符合這些客觀要求,這就需要對(duì)信息系統(tǒng)進(jìn)行分級(jí)、分區(qū)域、分階段進(jìn)行保護(hù),這是做好國家信息安全的必要條件。
1.2等級(jí)保護(hù)的政策文件
信息安全等級(jí)保護(hù)工作非常重要,為此從2003年開始國家發(fā)布了一系列政策文件,具體如下:
2003年9月,中辦國辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào)),這是我國第一個(gè)信息安全保障工作的綱領(lǐng)性文件,戰(zhàn)略目標(biāo)為經(jīng)過五年努力,基本形成國家信息安全保障體系,實(shí)行等級(jí)保護(hù)制度。
2004年11月,四部委會(huì)簽《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào)):等級(jí)保護(hù)是今后國家信息安全的基本制度也是根本方法、等級(jí)保護(hù)制度的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、工作要求和實(shí)施計(jì)劃。2005年9月,國信辦文件,《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》的通知》(國信辦[2004]25號(hào)):基本原理、定級(jí)方法、安全規(guī)劃與設(shè)計(jì)、實(shí)施與運(yùn)營、大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)過程。
2005年,公安部標(biāo)準(zhǔn):《等級(jí)保護(hù)安全要求》、《等級(jí)保護(hù)定級(jí)指南》、《等級(jí)保護(hù)實(shí)施指南》、《等級(jí)保護(hù)測評(píng)準(zhǔn)則》。
2006年1月,四部委會(huì)簽《關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法的通知》(公通字[2006]7號(hào))。
1.3 等級(jí)保護(hù)的管理結(jié)構(gòu)-北京為例
等級(jí)保護(hù)的實(shí)施和落實(shí)離不開各級(jí)管理機(jī)構(gòu)的指導(dǎo)和監(jiān)督,這在等級(jí)保護(hù)的相關(guān)文件中已經(jīng)得到了規(guī)定,下面以北京市為例來說明管理機(jī)構(gòu)的組成和職責(zé),具體如下圖所示:
1.4等級(jí)保護(hù)理論的技術(shù)演進(jìn)
在等級(jí)保護(hù)理論被提出以后,經(jīng)過相關(guān)部門的努力工作,逐漸提出了一系列原則、技術(shù)和框架,已經(jīng)具備實(shí)施等級(jí)保護(hù)工作的基礎(chǔ)條件了,其具體演進(jìn)過程如下圖所示:
1.5等級(jí)保護(hù)的基本需求
一個(gè)機(jī)構(gòu)要實(shí)施等級(jí)保護(hù),需要基本需求。由于等級(jí)保護(hù)是國家推動(dòng)的旨在規(guī)范安全工作的基本工作制度,因此各級(jí)組織在這方面就存在如下需求:
(1)政策要求-符合等級(jí)保護(hù)的要求。系統(tǒng)符合《基本要求》中相應(yīng)級(jí)別的指標(biāo),符合《測評(píng)準(zhǔn)則》中的要求。
(2)實(shí)際需求-適應(yīng)客戶實(shí)際情況。適應(yīng)業(yè)務(wù)特性與安全要求的差異性,可工程化實(shí)施。
1.6基本安全要求的結(jié)構(gòu)
對(duì)系統(tǒng)進(jìn)行定級(jí)后,需要通過努力達(dá)到相應(yīng)等級(jí)的基本安全要求,在總體上分為技術(shù)要求和管理要求,技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全,在管理要求中又分為安全管理機(jī)構(gòu)、安全管理制度等5項(xiàng),具體如下圖所示:
2.等級(jí)保護(hù)實(shí)施中的困難與出路
由于等級(jí)保護(hù)制度還處于探討階段,目前來看,尚存在如下困難:
1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng),否則:
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨(dú)建設(shè),將造成分散、重復(fù)和低水平
2.在建立長效機(jī)制方面考慮較少,難以做到可持續(xù)運(yùn)行、發(fā)展和完善
3.管理難度太大,管理成本高
4.大型客戶最關(guān)注的關(guān)鍵要求指標(biāo)超出《基本要求》規(guī)定
針對(duì)上述問題,在下面幾小節(jié)分別給出了堅(jiān)決辦法。
2.1安全體系設(shè)計(jì)方法
需求分析-1
問題1:標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
需求:從組織整體出發(fā),綜合考核所有系統(tǒng)
方法:引入體系設(shè)計(jì)方法
2.2保護(hù)對(duì)象框架設(shè)計(jì)方法
需求分析-2
1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難
需求:準(zhǔn)確地進(jìn)行大系統(tǒng)的分解和描述,反映實(shí)際特性和差異性安全要求
方法:引入保護(hù)對(duì)象框架設(shè)計(jì)方法
保護(hù)對(duì)象框架-政府行業(yè)
保護(hù)對(duì)象框架-電信行業(yè)
保護(hù)對(duì)象框架-銀行業(yè)
2.3安全平臺(tái)的設(shè)計(jì)與建設(shè)方法
需求分析-3
1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨(dú)建設(shè),將造成分散、重復(fù)和低水平
需求:統(tǒng)一規(guī)劃,集中建設(shè),避免重復(fù)和分散,降低成本,提高建設(shè)水平
方法:引入安全平臺(tái)的設(shè)計(jì)與建設(shè)方法
平臺(tái)定義:為系統(tǒng)提供互操作性及其服務(wù)的環(huán)境
2.4建立安全運(yùn)行體系
需求分析-4
1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨(dú)建設(shè),將造成分散、重復(fù)和低水平
2.在建立長效機(jī)制方面考慮較少,難以做到可持續(xù)運(yùn)行、發(fā)展和完善
需求:建立長效機(jī)制,建立可持續(xù)運(yùn)行、發(fā)展和完善的體系
方法:建立安全運(yùn)行體系
2.5安全運(yùn)維工作過程
需求分析-5
1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨(dú)建設(shè),將造成分散、重復(fù)和低水平
2.在建立長效機(jī)制方面考慮較少,難以做到可持續(xù)運(yùn)行、發(fā)展和完善
3.管理難度太大,管理成本高
需求:需要高水平、自動(dòng)化的安全管理工具
方法:TSM安全管理平臺(tái)
2.6 TNA可信網(wǎng)絡(luò)架構(gòu)模型
需求分析-6
1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨(dú)建設(shè),將造成分散、重復(fù)和低水平
2.在建立長效機(jī)制方面考慮較少,難以做到可持續(xù)運(yùn)行、發(fā)展和完善
3.管理難度太大,管理成本高
4.大型客戶最關(guān)注的關(guān)鍵指標(biāo)超出《基本要求》規(guī)定
需求:在《基本要求》基礎(chǔ)上提出更強(qiáng)的措施,滿足客戶最關(guān)注的指標(biāo)
方法:引入可信計(jì)算的理念,提供可信網(wǎng)絡(luò)架構(gòu)
3.總體解決方案-TopSec可信等級(jí)體系
按照上面解決等級(jí)保護(hù)目前困難的方法,總體解決方案就是建立TopSec可信等級(jí)體系:
遵照國家等級(jí)保護(hù)制度、滿足客戶實(shí)際需求,采用等級(jí)化、體系化和可信保障相結(jié)合的方法,為客戶建設(shè)一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系。
實(shí)施后狀態(tài):一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保障體系,是企業(yè)或組織安全工作所追求的最終目標(biāo)
特質(zhì):
等級(jí)化:突出重點(diǎn),節(jié)省成本,滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求
整體性:結(jié)構(gòu)化,內(nèi)容全面,可持續(xù)發(fā)展和完善,持續(xù)運(yùn)行
針對(duì)性:針對(duì)實(shí)際情況,符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略
3.1可信等級(jí)體系設(shè)計(jì)方法
3.2信息安全保障體系總體框架
3.3體系設(shè)計(jì)的成果
安全組織體系
安全策略體系
安全技術(shù)體系
安全運(yùn)行體系
3.4安全體系的實(shí)現(xiàn)
4.成功案例
某國有大型企業(yè)已經(jīng)采用了我們的可信等級(jí)體系,取得了良好的效果。
第五篇:《網(wǎng)絡(luò)信息安全》期末復(fù)習(xí)總結(jié)
《網(wǎng)絡(luò)信息安全》期末復(fù)習(xí)要點(diǎn)
信息安全的任務(wù)是保障信息存儲(chǔ)、傳輸、處理等過程中的安全,具體的有: 機(jī)密性;完整性;不可抵賴性;可用性。
網(wǎng)絡(luò)信息安全系統(tǒng)的三要素:安全服務(wù)(安全任務(wù))、安全機(jī)制和安全應(yīng)用域。
網(wǎng)絡(luò)安全防范體系層次:根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀和網(wǎng)絡(luò)的結(jié)構(gòu),安全防范體系的層次可劃分為:物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全、安全管理。
網(wǎng)絡(luò)信息安全的技術(shù):密碼技術(shù),身份認(rèn)證,數(shù)字簽名,防火墻,入侵檢測,漏洞掃描。
數(shù)字簽名就是附加在數(shù)據(jù)單元的一些數(shù)據(jù),或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換云允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性,并保護(hù)數(shù)據(jù),防止被人進(jìn)行偽造。
基本要求:簽名是可信的;簽名不可偽造;簽名不可重用,簽名是文件的一部分,不能移到別的文件上去;簡明的文件事不可改變的,在文件上簽名就不能改變;簽名是不可抵賴的。
目前使用最多的數(shù)字簽名有兩類:一類是 使用對(duì)稱密碼系統(tǒng)和需要仲裁者的簽名方案;還有一類是基于公開秘鑰體制的數(shù)字簽名。
簽名的過程:1發(fā)送者產(chǎn)生文件的單向散列值;2發(fā)送者用私人密鑰對(duì)散列加密,以實(shí)現(xiàn)對(duì)文件的簽名;3發(fā)送者將文件盒散列簽名發(fā)送給接受者;4接受者根據(jù)發(fā)送者發(fā)送的文件產(chǎn)生文件的單向散列值,然后用數(shù)字簽名算法對(duì)散列值運(yùn)算,同時(shí)用發(fā)送者的公開密鑰對(duì)簽名的散列解密,簽名的散列值語氣產(chǎn)生的散列值匹配,則簽名有效。
公鑰基礎(chǔ)設(shè)施PKI 主要的功能組件包括認(rèn)證機(jī)構(gòu),證書庫,證書撤銷,密鑰備份和恢復(fù),自動(dòng)密鑰更新,秘鑰歷史檔案,交叉認(rèn)證,支持不可否認(rèn),時(shí)間戳,客戶端軟件等。
PKI從根本上來說,只提供三種主要的核心服務(wù),即認(rèn)證,完整性,機(jī)密性。認(rèn)證:指向一個(gè)實(shí)體確認(rèn)另一份實(shí)體確實(shí)就是用戶自己;完整性:指向一個(gè)實(shí)體確保數(shù)據(jù)沒有被有意或則無意的修改。機(jī)密性:指向一個(gè)實(shí)體確保除了接受者,無人能夠讀懂?dāng)?shù)據(jù)的關(guān)鍵部分。
PKI信任模型:因經(jīng)CA與CA之間需要相互交流和信任,這就是PKI交互,即PKI信任模型。
PKI信任模型主要有4種模型,即嚴(yán)格層次結(jié)構(gòu)、分布式信任結(jié)構(gòu)、WEB模型、以用戶為中心的信任。
PKI嚴(yán)密層次結(jié)構(gòu):嚴(yán)格層次結(jié)構(gòu)的CA之間存在嚴(yán)格的上下級(jí)關(guān)系,下級(jí)完全聽從并執(zhí)行上級(jí)的規(guī)定。在這種結(jié)構(gòu)中,信任關(guān)系是單向的。只允許上
一級(jí)CA給下一級(jí)CA或則終端用戶頒發(fā)證書。
優(yōu)點(diǎn):1,具備良好的擴(kuò)展性;2,很容易找到證書路徑 ;3,證書路徑處理相對(duì)較短;4,根據(jù)CA位置,隱性地知道使用限制。
缺點(diǎn):根節(jié)點(diǎn)一旦泄密遺失,PKI崩潰 損失巨大。擴(kuò)展結(jié)構(gòu)時(shí),部分或所有需要根據(jù)情況調(diào)整信任點(diǎn)。
IPSec保護(hù)IP數(shù)據(jù)報(bào)的安全
IPsec包含三個(gè)重要的協(xié)議AH、ESP、IKE。
IEK協(xié)議負(fù)責(zé)秘鑰管理。
AH為IP數(shù)據(jù)包提供3種服務(wù)(AH只認(rèn)證不加密),無連接的數(shù)據(jù)完整性驗(yàn)證(哈希函數(shù)產(chǎn)生的校驗(yàn))、數(shù)據(jù)源身份認(rèn)證(添加共享密鑰)、防重放攻擊(AH報(bào)頭中的序列號(hào))。
ESP(基本功能是加密)提供AH的三種服務(wù),還包括數(shù)據(jù)包加密、數(shù)據(jù)流加密。
解釋域(DOI)為使用IKE進(jìn)行協(xié)商的SA的協(xié)議統(tǒng)一分配標(biāo)識(shí)符。IPSec的兩種運(yùn)行模式:傳輸模式(保護(hù)的只是IP的有效負(fù)載),隧道模式(保護(hù)整個(gè)IP數(shù)據(jù)包)SSL提供Internet通信的安全協(xié)議,用于web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。
SSL由多個(gè)協(xié)議組成并采用兩層體系結(jié)構(gòu):上層有SSL握手協(xié)議、SSL修改密碼規(guī)格協(xié)議和SSL告警協(xié)議;往下有SSL記錄協(xié)議、TCP,UDP.SSL連接:連接時(shí)提供恰當(dāng)類型服務(wù)的傳輸。
SSL回話:SSL會(huì)話是客戶與服務(wù)器之間的關(guān)聯(lián),會(huì)話通過握手協(xié)議來創(chuàng)建。
SSL握手協(xié)議兩個(gè)階段:第一階段用于建立私密性通信信道;第二階段用于客戶認(rèn)證。
SSL安全電子交易協(xié)議)協(xié)議目標(biāo):SET交易流程:SET中采用了雙重簽名技術(shù)
常用的入侵方法:口令入侵、特洛伊木馬術(shù)、監(jiān)聽法、Email技術(shù)、利用系統(tǒng)漏洞
堆棧、攻擊代碼、函數(shù)調(diào)用傳遞的參數(shù)、函數(shù)返回地址、函數(shù)的局部變量、緩沖區(qū)
在函數(shù)返回地址位置重復(fù)若干次返回地址,在溢出數(shù)據(jù)中添加前面增加個(gè)NOP指令
緩沖溢出原理:借著在程序緩沖區(qū)編寫超出其長度的代碼,造成溢出,從而破壞其堆棧,使程序執(zhí)行攻擊者在程序地址空間中早已安排好的代碼,以達(dá)到其目的。
避免的方法:
1、強(qiáng)制寫正確的代碼的方法。
2、通過操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行,從而阻止攻擊者殖入攻擊代碼。
3、利用編譯器的邊界檢查來實(shí)現(xiàn)緩沖區(qū)的保護(hù)。
4、在程序指針失效前進(jìn)行完整性檢查
常用的反病毒技術(shù):特征碼技術(shù)、實(shí)時(shí)監(jiān)聽技術(shù)、虛擬機(jī)技術(shù)
防火墻技術(shù)只關(guān)心端口 源地址 目標(biāo)地址 數(shù)據(jù)包頭標(biāo)志位,不關(guān)心內(nèi)容 防火墻一般采用兩種技術(shù):數(shù)據(jù)報(bào)過濾和代理服務(wù)。IP層,目的地址,端口號(hào),數(shù)據(jù)的對(duì)話協(xié)議,數(shù)據(jù)包頭中的標(biāo)志位
靜態(tài)包過濾型防火墻(IP層):依據(jù)事先設(shè)定的過濾規(guī)則,檢查數(shù)據(jù)流的每個(gè)數(shù)據(jù)包,確定是否允許該數(shù)據(jù)報(bào)通過。
優(yōu)點(diǎn)是:實(shí)現(xiàn)邏輯比較簡單、對(duì)網(wǎng)絡(luò)性能影響較小、有較強(qiáng)的透明性、與應(yīng)用層無關(guān)、是最快的防火墻。
弱點(diǎn)是:配置時(shí)需要對(duì)IP、UDP、TCP等各種協(xié)議比較了解、容易被地址欺騙、不能提供應(yīng)用層用戶的鑒別服務(wù)、允許外部用戶直接與內(nèi)部主機(jī)相連。
幾種防火墻的對(duì)比:
靜態(tài)包過濾防火墻: 不檢查數(shù)據(jù)區(qū),包過濾防火墻不建立連接狀態(tài)表,前后報(bào)文無關(guān),應(yīng)用層控制很弱。
動(dòng)態(tài)包過濾型(狀態(tài)檢測)防火墻:不檢查數(shù)據(jù)區(qū),建立連接狀態(tài)表,前后報(bào)文相關(guān),應(yīng)用層控制很弱。
應(yīng)用代理(應(yīng)用網(wǎng)關(guān))防火墻:不檢查IP、TCP報(bào)頭,不建立連接狀態(tài)表,網(wǎng)絡(luò)層保護(hù)比較弱。
復(fù)合型防火墻:可以檢查整個(gè)數(shù)據(jù)包內(nèi)容,根據(jù)需要建立連接狀態(tài)表,網(wǎng)絡(luò)層保護(hù)強(qiáng),應(yīng)用層控制細(xì),會(huì)話控制較弱。
IDS(入侵檢測系統(tǒng))技術(shù):通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或則計(jì)算機(jī)系統(tǒng)的若干關(guān)鍵點(diǎn)搜集信息并對(duì)器進(jìn)行分析,從中發(fā)網(wǎng)絡(luò)或系統(tǒng)是否違反安全策略的行為和被攻擊的跡象。
IDS分類:基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS
異常檢查是通過計(jì)算審計(jì)數(shù)據(jù)與一個(gè)期望的正常行為描述的模型之間的偏差來判斷入侵與否濫用檢查(特征匹配檢測)是通過掃描審計(jì)數(shù)據(jù)看是否與已知攻擊特征來判斷入侵與否。
IDS檢測引擎的常用技術(shù):統(tǒng)計(jì)方法、專家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、狀態(tài)轉(zhuǎn)移分析、Petri網(wǎng)、計(jì)算機(jī)免疫、Agent技術(shù)、其他檢測技術(shù)。
蜜罐的特點(diǎn)與分類產(chǎn)品型、研究型、低交互型、高交互型
優(yōu)點(diǎn): 收集數(shù)據(jù)保真度高,能收集到新的攻擊技術(shù),不需要強(qiáng)大的資源支持,比較簡單,不是單一系統(tǒng)而是一個(gè)網(wǎng)絡(luò)缺點(diǎn): 投入精力和時(shí)間,視圖有限,不能使用旁路監(jiān)聽等技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)監(jiān)控,不能直接防護(hù)有漏洞的系統(tǒng),帶來一定的安全風(fēng)險(xiǎn)
蜜罐的主要技術(shù):網(wǎng)絡(luò)欺騙、端口重定向、報(bào)警、數(shù)據(jù)控制、數(shù)據(jù)捕獲 s-http和https :S-HTTP協(xié)議處于應(yīng)用層,它是HTTP協(xié)議的擴(kuò)展,它僅適用于HTTP聯(lián)結(jié)上,S-HTTP可提供通信保密、身份識(shí) 別、可信賴的信息傳輸服務(wù)及數(shù)字簽名等。https簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL。
點(diǎn)擊咨詢 