第一篇:舞蹈技術等級測評信息大全表
舞蹈技術等級測評信息匯總表
考級單位
聯系人
聯系電話
微信
通訊地址
考官
考試等級 一級 二級 三級 四級 五級 六級 七級 八級 九級 十級 十一級 十二級 考級人次
考試日期
考級總人次
考官是否對學生進行點評
總收考級費
付考官費
應上繳研究院費用
考點意見反饋:
考點負責人簽字:
考官簽字:
此表一式兩份,考點留存一份,上交研究院一份。
第二篇:信息安全等級保護測評
TopSec可信等級體系 天融信等級保護方案
Hacker.cn 更新時間:08-03-27 09:37 來源:硅谷動力 作者:中安網
1.等級保護概述
1.1為什么要實行等級保護?
信息系統與社會組織體系是具有對應關系的,而這些組織體系是分層次和級別的,因此各種信息系統是具有不同等級的重要性和社會、經濟價值的。對信息系統的基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統的重要程度進行區別對待就是級別的客觀要求。信息安全必須符合這些客觀要求,這就需要對信息系統進行分級、分區域、分階段進行保護,這是做好國家信息安全的必要條件。
1.2等級保護的政策文件
信息安全等級保護工作非常重要,為此從2003年開始國家發布了一系列政策文件,具體如下:
2003年9月,中辦國辦頒發《關于加強信息安全保障工作的意見》(中辦發[2003]27號),這是我國第一個信息安全保障工作的綱領性文件,戰略目標為經過五年努力,基本形成國家信息安全保障體系,實行等級保護制度。
2004年11月,四部委會簽《關于信息安全等級保護工作的實施意見》(公通字[2004]66號):等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內容、工作職責分工、工作要求和實施計劃。2005年9月,國信辦文件,《關于轉發《電子政務信息安全等級保護實施指南》的通知》(國信辦[2004]25號):基本原理、定級方法、安全規劃與設計、實施與運營、大型復雜電子政務系統等級保護過程。
2005年,公安部標準:《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。
2006年1月,四部委會簽《關于印發《信息安全等級保護管理辦法的通知》(公通字[2006]7號)。
1.3 等級保護的管理結構-北京為例
等級保護的實施和落實離不開各級管理機構的指導和監督,這在等級保護的相關文件中已經得到了規定,下面以北京市為例來說明管理機構的組成和職責,具體如下圖所示:
1.4等級保護理論的技術演進
在等級保護理論被提出以后,經過相關部門的努力工作,逐漸提出了一系列原則、技術和框架,已經具備實施等級保護工作的基礎條件了,其具體演進過程如下圖所示:
1.5等級保護的基本需求
一個機構要實施等級保護,需要基本需求。由于等級保護是國家推動的旨在規范安全工作的基本工作制度,因此各級組織在這方面就存在如下需求:
(1)政策要求-符合等級保護的要求。系統符合《基本要求》中相應級別的指標,符合《測評準則》中的要求。
(2)實際需求-適應客戶實際情況。適應業務特性與安全要求的差異性,可工程化實施。
1.6基本安全要求的結構
對系統進行定級后,需要通過努力達到相應等級的基本安全要求,在總體上分為技術要求和管理要求,技術上又分為物理安全、網絡安全、主機安全、應用安全、數據安全,在管理要求中又分為安全管理機構、安全管理制度等5項,具體如下圖所示:
2.等級保護實施中的困難與出路
由于等級保護制度還處于探討階段,目前來看,尚存在如下困難:
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統,否則:
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續運行、發展和完善
3.管理難度太大,管理成本高
4.大型客戶最關注的關鍵要求指標超出《基本要求》規定
針對上述問題,在下面幾小節分別給出了堅決辦法。
2.1安全體系設計方法
需求分析-1
問題1:標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
需求:從組織整體出發,綜合考核所有系統
方法:引入體系設計方法
2.2保護對象框架設計方法
需求分析-2
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
需求:準確地進行大系統的分解和描述,反映實際特性和差異性安全要求
方法:引入保護對象框架設計方法
保護對象框架-政府行業
保護對象框架-電信行業
保護對象框架-銀行業
2.3安全平臺的設計與建設方法
需求分析-3
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
需求:統一規劃,集中建設,避免重復和分散,降低成本,提高建設水平
方法:引入安全平臺的設計與建設方法
平臺定義:為系統提供互操作性及其服務的環境
2.4建立安全運行體系
需求分析-4
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續運行、發展和完善
需求:建立長效機制,建立可持續運行、發展和完善的體系
方法:建立安全運行體系
2.5安全運維工作過程
需求分析-5
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續運行、發展和完善
3.管理難度太大,管理成本高
需求:需要高水平、自動化的安全管理工具
方法:TSM安全管理平臺
2.6 TNA可信網絡架構模型
需求分析-6
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續運行、發展和完善
3.管理難度太大,管理成本高
4.大型客戶最關注的關鍵指標超出《基本要求》規定
需求:在《基本要求》基礎上提出更強的措施,滿足客戶最關注的指標
方法:引入可信計算的理念,提供可信網絡架構
3.總體解決方案-TopSec可信等級體系
按照上面解決等級保護目前困難的方法,總體解決方案就是建立TopSec可信等級體系:
遵照國家等級保護制度、滿足客戶實際需求,采用等級化、體系化和可信保障相結合的方法,為客戶建設一套覆蓋全面、重點突出、節約成本、持續運行的安全保障體系。
實施后狀態:一套持續運行、涵蓋所有安全內容的安全保障體系,是企業或組織安全工作所追求的最終目標
特質:
等級化:突出重點,節省成本,滿足不同行業、不同發展階段、不同層次的要求
整體性:結構化,內容全面,可持續發展和完善,持續運行
針對性:針對實際情況,符合業務特性和發展戰略
3.1可信等級體系設計方法
3.2信息安全保障體系總體框架
3.3體系設計的成果
安全組織體系
安全策略體系
安全技術體系
安全運行體系
3.4安全體系的實現
4.成功案例
某國有大型企業已經采用了我們的可信等級體系,取得了良好的效果。
第三篇:信息安全等級合規測評
信息安全等級合規測評
合規,簡而言之就是要符合法律、法規、政策及相關規則、標準的約定。在信息安全領域內,等級保護、分級保護、塞班斯法案、計算機安全產品銷售許可、密碼管理等,是典型的合規性要求。
信息安全合規測評是國家強制要求的,信息系統運營、使用單位或者其主管部門,必須在系統建設、改造完成后,選擇具備資質測評機構,依據信息安全合規性要求,對信息系統是否合規進行檢測和評估的活動。信息安全合規測評具有強制性和周期性(定期檢測),是國家信息安全部門督促合規性要求落地實施,保障信息安全的重要手段。
一、信息安全合規性要求
1、等級保護
等級保護將信息系統按照價值系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統重要程度的區別劃分五個等級進行保護。其分級、分區域、分類和分階段是做好國家信息安全保護的前提。等級保護依據公安部、國家保密局、國家密碼管理局和國信辦先后聯合下發《關于信息安全等級保護工作的實施意見》、《信息安全等級保護信息安全等級保護管理辦法》開展。
2、分級保護
分級保護針對的是涉密信息系統,根據涉密信息的涉密等級,涉密信息系統的重要性,遭到破壞后對國計民生造成的危害性,以及涉密信息系統必須達到的安全保護水平劃分為秘密級、機密級和絕密級三個等級。國家保密局專門對涉密信息系統如何進行分級保護制定了一系列的管理辦法和技術標準,目前,正在執行的兩個分級保護的國家保密標準是BMB17《涉及國家秘密的信息系統分級保護技術要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。
國家保密科技測評中心是我國唯一的涉密信息系統安全保密測評機構,山東省軟件評測中心是國家保密科技測評中心在山東省設立的分中心。
3、塞班斯法案 針對安然、世通等財務欺詐事件,美國國會出臺了《2002年公眾公司會計改革和投資者保護法案》。該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席塞班斯聯合提出,又被稱作《2002年塞班斯-奧克斯利法案》(簡稱塞班斯法案),法案對美國《1933年證券法》、《1934年證券交易法》做了不少修訂,在會計職業監管、公司治理、證券市場監管等方面做出了許多新規定。
塞班斯法案成為在美上市企業躲不過去的坎。它規定,上市公司的財務報告必須包括一份內控報告,并明確規定公司管理層對建立和維護財務報告的內部控制體系及相應控制流程負有完全責任;此外,財務報告中必須附有其內控體系和相應流程有效性的評估。它的出臺意味著在美國上市的公司不僅要保證其財務報表數據的準確,還要保證內控系統能通過相關審計。
4、計算機信息系統安全專用產品銷售許可
計算機信息系統安全專用產品銷售許可證是為了加強計算機信息系統安全專用產品的管理,保證安全專用產品的安全功能,由公安部公共信息網絡安全監察局頒發的許可證書。
辦理依據:
(1)《中華人民共和國計算機信息系統安全保護條例》、(1994年2月18日,國務院令147號發布)。
(2)、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》(1997年12月1日,公安部令第32號)。
(3)、《計算機病毒防治管理辦法》(2000年4月26日,公安部令第51號)。審批辦理流程:
(1)、產品檢測。申請單位須將樣品送指定檢測機構進行檢測。
(2)、申請辦證。檢測合格后,申請單位按規定提交證書申請的相關材料。(3)、審批發證。公安部公共信息網絡安全監察局。
5、信息系統密碼安全管理
為推動商用密碼發展,確保國家重要信息系統密碼安全,具備檢測資質的機構依據《信息安全等級保護商用密碼管理辦法》、《信息安全等級保護商用密碼技術實施要求》 《信息系統安全等級保護基本要求》,對信息安全等級為三級以上(含三級)信息系統中的商用密碼系統進行測評。的商用密碼系統安全等級保護測評工作擬分以下三個階段:測評申請階段、現場檢測階段、報告與結論階段。
在信息安全合規性要求中,等級保護和分級保護以其涉及范圍廣,實施具有高度專業化和復雜性的特點,成為信息安全合規測評工作的重點和難點,后面的文章將會對這兩個概念進行重點解讀。
二、區分信息安全等級保護與分級保護
通過上文我們知道,信息安全等級保護與分級保護是在信息安全合規測評中兩個非常重要的概念,二者密切相關又有區別。山東省軟件評測中心結合在等級保護測評和分級保護測評中的具體實踐,對等級保護和分級保護進行詳細介紹,理清兩者間的關聯。
1、信息系統等級保護
由于信息系統結構是應社會發展、社會生活和工作的需要而設計、建立的,是社會構成、行政組織體系的反映,因而這種系統結構是分層次和級別的,而其中的各種信息系統具有重要的社會和經濟價值,不同的系統具有不同的價值。系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統重要程度的區別等就是級別的客觀體現。信息安全保護必須符合客觀存在和發展規律,其分級、分區域、分類和分階段是做好國家信息安全保護的前提。
信息系統安全等級保護將安全保護的監管級別劃分為五個級別:
第一級:用戶自主保護級完全由用戶自己來決定如何對資源進行保護,以及采用何種方式進行保護。
第二級:系統審計保護級本級的安全保護機制受到信息系統等級保護的指導,支持用戶具有更強的自主保護能力,特別是具有訪問審計能力。第三級:安全標記保護級除具有第二級系統審計保護級的所有功能外,還它要求對訪問者和訪問對象實施強制訪問控制,并能夠進行記錄,以便事后的監督、審計。
第四級:結構化保護級將前三級的安全保護能力擴展到所有訪問者和訪問對象,支持形式化的安全保護策略。
第五級:訪問驗證保護級這一個級別除了具備前四級的所有功能外還特別增設了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問活動,仲裁訪問者能否訪問某些對象從而對訪問對象實行專控,保護信息不能被非授權獲取。
在等級保護的實際操作中,強調從五個部分進行保護,即:
物理部分:包括周邊環境,門禁檢查,防火、防水、防潮、防鼠、蟲害和防雷,防電磁泄漏和干擾,電源備份和管理,設備的標識、使用、存放和管理等;
支撐系統:包括計算機系統、操作系統、數據庫系統和通信系統; 網絡部分:包括網絡的拓撲結構、網絡的布線和防護、網絡設備的管理和報警,網絡攻擊的監察和處理;
應用系統:包括系統登錄、權限劃分與識別、數據備份與容災處理,運行管理和訪問控制,密碼保護機制和信息存儲管理;
管理制度:包括管理的組織機構和各級的職責、權限劃分和責任追究制度,人員的管理和培訓、教育制度,設備的管理和引進、退出制度,環境管理和監控,安防和巡查制度,應急響應制度和程序,規章制度的建立、更改和廢止的控制程序。
由這五部分的安全控制機制構成系統整體安全控制機制。
2、涉密信息系統分級保護
涉密信息系統實行分級保護,先要根據涉密信息的涉密等級,涉密信息系統的重要性,遭到破壞后對國計民生造成的危害性,以及涉密信息系統必須達到的安全保護水平來確定信息安全的保護等級;涉密信息系統分級保護的核心是對信息系統安全進行合理分級、按標準進行建設、管理和監督。國家保密局專門對涉密信息系統如何進行分級保護制定了一系列的管理辦法和技術標準,目前,正在執行的兩個分級保護的國家保密標準是BMB17《涉及國家秘密的信息系統分級保護技術要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。從物理安全、信息安全、運行安全和安全保密管理等方面,對不同級別的涉密信息系統有明確的分級保護措施,從技術要求和管理標準兩個層面解決涉密信息系統的分級保護問題。
涉密信息系統安全分級保護根據其涉密信息系統處理信息的最高密級,可以劃分為秘密級、機密級和機密級(增強)、絕密級三個等級:
秘密級:信息系統中包含有最高為秘密級的國家秘密,其防護水平不低于國家信息安全等級保護三級的要求,并且還必須符合分級保護的保密技術要求。
機密級:信息系統中包含有最高為機密級的國家秘密,其防護水平不低于國家信息安全等級保護四級的要求,還必須符合分級保護的保密技術要求。屬于下列情況之一的機密級信息系統應選擇機密級(增強)的要求:
(1)信息系統的使用單位為副省級以上的黨政首腦機關,以及國防、外交、國家安全、軍工等要害部門;
(2)信息系統中的機密級信息含量較高或數量較多;(3)信息系統使用單位對信息系統的依賴程度較高。
絕密級:信息系統中包含有最高為絕密級的國家秘密,其防護水平不低于國家信息安全等級保護五級的要求,還必須符合分級保護的保密技術要求,絕密級信息系統應限定在封閉的安全可控的獨立建筑內,不能與城域網或廣域網相聯。
涉密信息系統要按照分級保護的標準,結合涉密信息系統應用的實際情況進行方案設計。涉密信息系統定級遵循“誰建設、誰定級"的原則,可以根據信息密級、系統重要性和安全策略劃分為不同的安全域,針對不同的安全域確定不同的等級,并進行相應的保護。建設完成之后應該進行審批;審批前由國家保密局授權的涉密信息系統測評機構進行系統測評(山東省軟件評測中心是山東省內唯一的涉密信息系統檢測機構),確定在技術層面是否達到了涉密信息系統分級保護的要求。
3、等級保護和分級保護之間的關系
國家安全信息等級保護重點保護的對象是涉及國計民生的重要信息系統和通信基礎信息系統,而不論它是否涉密。如:國家事務處理信息系統(黨政機關辦公系統);金融、稅務、工商、海關、能源、交通運輸、社會保障、教育等基礎設施的信息系統;國防工業企業、科研等單位的信息系統等。
涉密信息系統分級保護保護的對象是所有涉及國家秘密的信息系統,重點是黨政機關、軍隊和軍工單位,由各級保密工作部門根據涉密信息系統的保護等級實施監督管理,確保系統和信息安全,確保國家秘密不被泄漏。
國家信息安全等級保護是國家從整體上、根本上解決國家信息安全問題的辦法, 進一步確定了信息安全發展的主線和中心任務, 提出了總體要求。對信息系統實行等級保護是國家法定制度和基本國策,是開展信息安全保護工作的有效辦法,是信息安全保護工作的發展方向。而涉密信息系統分級保護則是是國家信息安全等級保護的重要組成部分,是等級保護在涉密領域的具體體現。
三、等級合規測評的主要內容
1、單元測評。單元測評從信息安全管理制度、信息安全管理機構、人員安全管理、信息系統建設管理、信息系統運維管理、物理安全、網絡安全、主機安全、應用安全、數據安全等層面,測評《信息系統安全等級保護基本要求》(GB/T 22239-2008)所要求的基本安全控制在信息系統中的實施配置情況。
2、整體測評。整體測評主要測評分析信息系統的整體安全性。在內容上主要包括安全控制間、層面間和區域間相互作用的安全測評以及系統結構的安全測評等,是在單元測評基礎上進行的進一步測評分析。
四、等級合規測評的重要作用
1、等級合規測評是落實信息安全等級保護制度的重要環節
在信息系統建設、整改時,信息系統運營、使用單位通過等級測評進行現狀分析,確定系統的安全保護現狀和存在的安全問題,并在此基礎上確定系統的整改安全需求。信息系統定級是整個等級保護工作的開始,等級保護基本要求是對不同等級信息系統實行等級保護的基礎。客戶可以基于定級指南對信息系統定級,基于等級保護基本要求實施保護措施,從而將有效落實國家有關等級保護的制度要求和文件精神。
2、等級測評報告是信息系統開展整改加固的重要指導性文件,也是信息系統備案的重要附件材料
等級測評結論為信息系統未達到相應等級的基本安全保護能力的,運營、使用單位應當根據等級測評報告,制定方案進行整改,盡快達到相應等級的安全保護能力。
3、等級測評使整個組織規范一致的開展等級評定工作
合規測評基于客戶的組織架構、運作模式等特點,制定信息系統安全保護等級定級指南,明確在組織內開展等級評定工作的原則、方法和流程,從而使得客戶的等級評定工作能夠在整個組織范圍內一致地開展。
4、確保突出重點保護對象并進行適度保護
信息系統安全等級保護基本要求明確了不同等級信息系統的技術要求和管理要求,基于信息系統安全等級保護基本要求,合規測評可使客戶在符合國家法律法規要求的前提下,針對不同等級信息系統采取相應等級的保護措施,從而確保重點突出、適度保護,節省IT投資。
5、等級測評提高內部人員的信息安全意識
合規測評過程中,第三方咨詢專家將與被服務單位人員密切合作。通過與被服務單位人員有針對性的交流,以及精心設計的調查問卷等,被服務單位的管理、業務、技術等人員將逐步提高對信息安全合規的認識,強化信息安全意識,杜絕違規操作。
作為第三方測評機構,山東省軟件評測中心認為,通過等級合規測評可指導用戶在各個層面上綜合采取多種保護措施,保護網絡和安全域邊界、網絡及基礎設施、終端計算環境的安全、以及進行安全運行中心等支撐性安全設施的建設。
五、等級合規測評的操作流程 要充分發揮等級測評對信息安全的保障作用,就要按照科學的流程和方法進行操作。山東省軟件評測中心根據等級測評的相關要求將等級測評過程分為四個基本測評活動:測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。而測評雙方之間的溝通與洽談應貫穿整個等級測評過程。具體過程如下:
1、測評準備活動
本活動是開展等級測評工作的前提和基礎,是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續工作能否順利開展。本活動的主要任務是掌握被測系統的詳細情況,準備測試工具,為編制測評方案做好準備。
2、方案編制活動
本活動是開展等級測評工作的關鍵活動,為現場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等,并根據需要重用或開發測評指導書測評指導書,形成測評方案。
3、現場測評活動
本活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求,嚴格執行測評指導書測評指導書,分步實施所有測評項目,包括單元測評和整體測評兩個方面,以了解系統的真實保護情況,獲取足夠證據,發現系統存在的安全問題。
4、分析與報告編制活動
本活動是給出等級測評工作結果的活動,是總結被測系統整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和《信息安全等級保護基本要求》的有關要求,通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法,找出整個系統的安全保護現狀與相應等級的保護要求之間的差距,并分析這些差距導致被測系統面臨的風險,從而給出等級測評結論,形成測評報告文本。
等級測評項目啟動測評準備活動信息收集與分析工具和表單準備測評對象確定測評指標確定方案編制活動測評工具接入點確定測評內容確定測評指導書開發測評方案編制現場測評活動測評實施準備現場測評和記錄結果結果確認和資料歸還單項測評結果判定分析與報告編制活動單元測評結果判定整體測評風險分析等級測評結論形成測評報告編制溝通與洽談
六、等級合規測評的關鍵點
確定了等級測評的具體流程,是為開展測評工作奠定了堅實基礎,但是還要關注在具體環節上關鍵要素,它們對測評工作的成效高低具有重大影響。
1、等級測評的方法和強度
等級測評的基本方法一般包括訪談、檢查和測試等三種。
訪談是測評人員通過與被測評單位的相關人員進行交談和問詢,了解被測信息系統安全技術和安全管理方面的相關信息,以對測評內容進行確認。
檢查是測評人員通過簡單比較或使用專業知識分析的方式獲得測評證據的方法,包括:評審、核查、審查、觀察、研究和分析等方法。
測試是指測評人員通過使用相關技術工具對信息系統進行驗證測評的方法,包括功能測試、性能測試、滲透測試等。
等級測評機構應當根據被測信息系統的實際情況選取適合的測評強度。測評強度可以通過測評的深度和廣度來描述。訪談的深度體現在訪談過程的嚴格和詳細程度,廣度體現在訪談人員的構成和數量上;檢查的深度體現在檢查過程的嚴格和詳細程度,廣度體現在檢查對象的種類(文檔、機制等)和數量上;測試的深度體現在執行的測試類型上(功能/性能測試和滲透測試),廣度體現在測試使用的機制種類和數量上。
2、等級測評對象
測評對象是在被測信息系統中實現特定測評指標所對應的安全功能的具體系統組件。正確選擇測評對象的種類和數量是整個等級測評工作能夠獲取足夠證據、了解到被測系統的真實安全保護狀況的重要保證。
測評對象一般采用抽查信息系統中具有代表性組件的方法確定。在測評對象確定中應兼顧工作投入與結果產出兩者的平衡關系。
七、等級合規測評的指標
開展等級測評活動應從《信息系統安全等級保護基本要求》(GB/T 22239-2008)中選擇相應等級的安全要求作為基本測評指標。
1、第二級信息系統等級測評指標,除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的66項基本要求(177個控制點)作為基礎測評指標以外,還應參照《信息系統通用技術要求》中的83個控制點、《信息系統安全管理要求》中的70個控制點、《信息系統安全工程管理要求》中的51個控制點以及行業測評標準所規定的其他控制點,結合不同的定級結果組合情況進行確定。
2、第三級信息系統等級測評指標確定,除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的73項基本要求(290個控制點)作為測評指標以外,還應參照《信息系統通用技術要求》中的109個控制點、《信息系統安全管理要求》中的104個控制點、《信息系統安全工程管理要求》中的42個控制點以及行業測評標準所規定的其他控制點,結合不同的定級結果組合情況進行確定。
3、第四級信息系統等級測評指標確定,除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的77項基本要求(317個控制點)作為測評指標以外,還應參照《信息系統通用技術要求》中的120個控制點、《信息系統安全管理要求》中的104個控制點、《信息系統安全工程管理要求》中的35個控制點以及行業測評標準所規定的其他控制點,結合不同的定級結果組合情況進行確定。
4、對于由多個不同等級的信息系統組成的被測系統,應分別確定各個定級對象的測評指標。如果多個定級對象共用物理環境或管理體系,而且測評指標不能分開,則不能分開的測評指標應采用就高原則。
八、高效等級測評工作的注意事項
為了保障等級測評取得真正的成效,在測評之前,需要認真籌備;測評過程中依照相關規定,強化管理。同時,在測評操作過程中還應該嚴格遵循等級測評的相關原則。以上經驗,都已經在山東省軟件測評中心的實踐中得到驗證,成效顯著。
1、認真做好等級測評質量保障工作
等級測評機構開展測評前應與委托單位聯合成立等級測評工作組,建立通暢的溝通聯絡機制,確保等級測評活動的順利開展。
等級測評機構開展等級測評時,必須保證足夠的現場測評等級測評師。開展第二級信息系統的等級測評活動時,測評機構至少應由一名中級等級測評師、一名管理類等級測評師、二名技術類等級測評師參與等級測評活動;開展第三級信息系統的等級測評活動時,測評機構至少應由一名高級等級測評師、兩名中級等級測評師、二名管理類等級測評師、三名技術類等級測評師參與等級測評活動;開展第四級信息系統的等級測評活動時,測評機構至少應由二名高級等級測評師、兩名中級等級測評師、兩名管理類等級測評師、四名以上技術類等級測評師參與等級測評活動。
等級測評機構開展等級測評時,應當投入滿足測評需要的拓撲發現設備、網絡安全配置核查設備、網絡協議分析設備、漏洞掃描設備、滲透攻擊集成設備等功能測試、性能測試、滲透測試工具以及必要的交通、通信設備。
等級測評活動包括測評準備、方案編制、現場測評、分析及報告編制四個基本階段。第二級信息系統單個業務系統等級測評全過程,一般不少于5個工作日。第三級信息系統單個業務系統等級測評全過程,一般不少于10個工作日。第四級信息系統單個業務系統等級測評全過程,一般不少于20個工作日。
等級測評活動中,測評機構需要提交給委托方的資料不少于以下紙質文檔:項目計劃書、公正性聲明、保密協議、等級測評方案、現場測評記錄、等級測評報告、安全建設整改意見
2、嚴格等級測評管理
信息系統的運營、使用單位或主管部門應當選擇年審合格的測評機構,按照《信息系統安全等級保護測評要求》等技術標準,定期對信息系統的安全狀況開展等級測評。
第三級信息系統應每年進行一次等級測評,第四級信息系統應每半年進行一次等級測評。重要的第二級信息系統可參照第三級信息系統的測評要求進行等級測評。符合測評條件的新建、擴建信息系統及信息系統發生重大改變時,應及時安排等級測評。等級測評活動結束后,測評機構應在15個工作日內向被測評信息系統的運營、使用單位提供等級測評報告,并應同時向省、市兩級等保辦提交第三級(含)以上信息系統的等級測評報告。被測評信息系統安全狀況未達到信息安全等級保護制度要求的,由等級測評機構提出安全建設整改意見,運營、使用單位應當及時制定方案進行整改。
省內信息系統的等級測評工作原則上由省內等級測評機構完成,特殊行業等級測評機構或省外其他等級測評機構在省內開展等級測評活動時,應在省等保辦辦理登記備案手續,按照本規范開展等級測評活動,并接受省等保辦的監督管理。測評機構及其測評人員應當嚴格執行有關管理規范和技術標準,開展客觀、公正、安全的測評服務。測評機構可以從事等級測評活動以及信息系統安全等級保護定級、安全建設整改建議、信息安全等級保護宣傳教育等工作的技術支持,但不得從事下列活動:
(1)、影響被測評信息系統正常運行,危害被測評信息系統安全;(2)、泄露被測評單位及被測信息系統的敏感信息和工作秘密;
(3)、故意隱瞞測評過程中發現的安全問題,或者在測評過程中弄虛作假,未如實出具等級測評報告;
(4)、未按規定格式出具等級測評報告;
(5)、非授權占有、使用等級測評活動中的獲得的相關資料及數據文件;(6)、分包或轉包等級測評項目;
(7)、從事信息安全產品開發、銷售和信息系統安全集成;(8)、限定被測評單位購買、使用其指定的信息安全產品;
(9)、其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。
九、等級合規測評中應當嚴格遵循的五個原則
1、客觀公正原則。測評人員應當在沒有偏見和最小主觀判斷情形下,按照測評雙方相互認可的測評方案,基于明確定義的測評方法和過程,實施測評活動。
2、充分性原則。為客觀反映被測評信息系統的安全狀況,測評活動要保證必需的廣度和深度,以滿足國家標準和行業標準的測評指標的要求。
3、經濟性原則。測評活動應盡可能降低成本,減少投入。基于測評成本和工作復雜性,鼓勵測評工作部分使用能反映信息系統當前安全狀態的已有測評結果,包括商業安全產品測評結果和信息系統已有的安全測評結果。
4、結果一致性原則。針對同一信息系統的等級測評,不同測評機構依據同一的測評方案和測評方法得出的測評結果應當一致,同一測評機構重復執行相同測評過程得出的結果應當一致。
5、安全性原則。測評機構和測評人員在測評活動中,應當履行安全保密義務,承擔相應的法律責任,確保被測評信息系統安全運行和用戶的工作秘密及商業秘密不被泄露。
第四篇:信息安全等級測評實施細則(稿)
信息安全等級保護等級測評實施細則
第一章 總則
第一條【目的】為加強信息安全等級測評機構建設和管理,規范等級測評活動,保障信息安全等級保護制度的貫徹落實,根據《信息安全等級保護管理辦法》等有關規范制訂本實施細則。
第二條【適用范圍】本細則適用于等級測評機構、測評人員和測評活動的規范管理。
第三條【等級測評定義】等級測評是測評機構依據國家信息安全等級保護制度規定,受有關單位委托,按照有關管理規范和技術標準,對信息系統安全等級保護狀況進行檢測評估的活動。
第四條【測評機構定義】測評機構是經有關部門能力認可,經有關部門推薦,在一定范圍內從事信息系統安全等級測評等工作的專業技術機構。
第五條【基本原則】測評機構應當按照有關規定和統一標準提供“客觀、公正、安全”的測評服務,按照統一的測評報告模版出具測評報告。
第六條【保密要求】測評機構和測評人員應當遵守《國家保密法》的規定,保守在測評活動中知悉的國家秘密、商業秘密、敏感信息和個人隱私等。
第七條【管理體制】測評機構應當接受各級信息安全等級保護協調(領導)小組和公安網安部門的監督管理,并接受有關部門的業務管理和技術指導。
第二章 測評機構
第八條【總體要求】測評機構分為地區性、行業性測評機構,按照屬地管理和行業管理相結合的原則進行建設和管理。
第九條【職責分工】國家信息安全等級保護協調小組辦公室主管等級測評機構的建設和管理工作,指導行業等級測評機構的建設和管理工作,并委托專門的技術能力審驗機構對測評機構的技術能力進行評估、審查并確認。
各省(區、市)等級保護協調(領導)小組辦公室負責本地等級測評機構的建設管理工作。
第十條【基本條件】申請成為等級測評機構的單位(以下簡稱申請單位)應當具備以下基本條件:
(一)在中華人民共和國境內注冊成立(港澳臺地區除外);
(二)由中國公民投資、中國法人投資或者國家投資的企事業單位(港澳臺地區除外);
(三)產權關系明晰,注冊資金100萬元以上;
(四)從事信息系統檢測評估相關工作兩年以上;
(五)單位法人及主要工作人員僅限于中華人民共和國境內的中國公民,且無犯罪記錄;
(六)具有勝任等級測評工作的專業技術人員和管理人員,大學本科(含)以上學歷所占比例不低于80%。其中測評技術人員不少于10人;
(七)具備必要的辦公環境、設備、設施及完備的安全管理制度;
(八)對國家安全、社會秩序、公共利益不構成威脅;
(九)應當具備的其他條件。
第十一條【申請提交】地方申請單位應向屬地省(區、市)等級保護協調(領導)小組辦公室提交申請,行業申請單位向國家信息安全等級保護工作協調小組辦公室提交申請,并填寫申請書,申請成為等級測評機構。
第十二條【申請材料】申請單位在申請時應提供以下材料,并對申請材料的真實性負責。
(一)《信息安全等級保護測評機構申請書》;
(二)當地公安網安部門的推薦意見;
(三)營業執照及其他注冊證明文件;
(四)《內設組織機構與崗位設置情況表》;
(五)《工作人員基本情況表》、證明材料和聲明;
(六)《辦公場地、設備與設施情況表》;
(七)《安全測評設備、工具配備情況表》;
(八)信息系統安全測評能力報告;
(九)保密管理、項目管理、質量管理、人員管理和培訓教育等相關管理文件;
(十)需要提供的其他材料。
第十三條【初審】省級(含)以上等級保護協調(領導)小組辦公室收到申請材料后,應在30日內完成初審。
第十四條【技術能力審驗】初審通過的,由技術能力審驗機構評估、審查并確認申請單位的技術能力。
技術能力審驗周期最長為一個月。審驗期滿前,技術能力審驗機構應向等級保護協調(領導)小組辦公室出具審驗意見,并加蓋專門印章。
第十五條【核準】省級(含)以上等級保護協調(領導)
小組辦公室對通過技術能力審驗的申請單位進行復核,并出具核準意見。
第十六條【目錄公布】測評機構實行目錄管理。各省級信息安全等級保護協調(領導)小組辦公室公布本地等級測評機構目錄,并向國家信息安全等級保護工作協調小組辦公室備案。國家信息安全等級保護工作協調小組辦公室公布《全國信息安全等級測評機構目錄》。
第十七條【業務范圍】測評機構應當在規定的業務范圍內開展測評業務。
(一)地方測評機構在本地開展測評業務,行業測評機構在行業內開展測評業務。行業測評機構在地方開展測評業務前,應與本地等級保護協調(領導)小組辦公室協調;
(二)承擔有關部門委托的安全測評專項任務;
(三)配合當地公安網安部門對信息系統進行監督、檢查;
(四)開展風險評估、信息安全培訓、咨詢服務和信息安全工程監理;
(五)為當地信息安全等級保護工作提供技術支持和服務;
(六)其他有關文件規定的職責任務。
第十八條【禁止行為】測評機構不得從事下列活動:
(一)承擔信息系統安全建設整改工作;
(二)將等級測評任務分包、外包;
(三)信息安全產品開發、營銷和信息系統集成活動;
(四)限定被測評單位購買、使用其指定的信息安全產品;
(五)未經許可占有、使用有關測評信息、資料及數據文件;
(六)其他可能影響測評客觀、公正的活動。第十九條【風險告知】在開展測評過程中,對可能影響信息系統正常運行的,測評機構應當事先告知被測評單位,并協助其采取相應的預防措施。
第二十條【人員管理】測評機構應當建立完備的人員檔案,嚴格履行人員錄用、考核、離崗等程序,對進入重要信息系統進行測評的人員,應該進行背景審查,確保人員可靠。
第二十一條【制度管理】測評機構應當建立并落實保密管理、項目管理、質量管理、人員管理、培訓教育等管理制度。
第二十二條【能力建設】測評機構要加強技術能力和管理能力建設,應在測評機構推薦目錄公布后兩年內至少通過一項實驗室或檢查機構資質認定。
第三章 人員管理
第二十三條【人員要求】測評人員應遵守國家有關法律法規、技術標準和測評人員行為準則,認真履行本細則規定 的責任和義務,為用戶提供安全、客觀、公正的測評服務,保證測評的質量和效果。
第二十四條【個人聲明】測評人員應當提供本人社會背景、工作經歷和獎懲情況的證明材料,聲明相關材料的真實性并承擔法律責任。
第二十五條【持證上崗】測評人員上崗前應接受培訓,培訓合格的由測評機構頒發上崗證。測評人員持證上崗。
第二十六條【分級管理】測評機構技術人員實行分級管理,由低到高分為初級等級測評師、中級等級測評師和高級等級測評師。
測評技術人員應當接受專門業務培訓,考試合格的獲得等級測評師證書。
第二十七條【培訓與考試】國家信息安全等級保護協調小組辦公室制定并公布培訓計劃,指定專門培訓機構具體承擔等級測評師的培訓、考試工作。專門培訓機構向考試合格的人員頒發等級測評師證書。
第二十八條【證書管理】專門培訓機構依據等級測評師證書管理辦法辦理證書的審核、頒發、建檔、公布、查詢、年審、換發和撤銷,并向省級以上等級保護工作協調小組辦公室備案。
第二十九條【備案】行業測評機構每年應將本單位等級測評師培訓、獲證情況向國家信息安全等級保護工作協調小組辦公室備案。
地方測評機構每年應將本單位等級測評師培訓、獲證情況向本省(區市)等級保護協調(領導)小組辦公室備案。
各地等級保護協調(領導)小組辦公室每年應將本地等級測評師培訓、獲證情況向國家等級保護協調小組辦公室備案。
第三十條【年審管理】等級測評師實行年審制度。專門培訓機構對等級測評師每年進行一次年審,并將年審結果報等級保護協調(領導)小組辦公室。
對未通過年審的等級測評師,測評機構應暫停其開展測評工作。專門培訓機構應對年審不通過的等級測評師開展培訓。
第三十一條【變更告知】等級測評機構的主要管理人員和技術人員工作變動的,應及時到等級保護協調(領導)小組辦公室變更備案。
第三十二條【人員法律責任】測評人員在測評工作中具有徇私舞弊、收受賄賂等違反有關法律法規行為的,應由專門培訓機構撤銷違規人員等級測評師證書,并按照有關規定進行處罰。
第四章 測評活動
第三十三條【用戶要求】信息系統運營使用單位應當選擇《等級測評機構推薦目錄》中的等級測評機構,定期對信息系統開展等級測評,并加強對測評過程的監督管理。
第三十四條【整改前測評】信息系統安全建設整改前,信息系統運營使用單位可以選擇測評機構進行等級測評,掌握信息系統安全狀況,排查系統安全隱患和薄弱環節,明確安全建設整改需求。
第三十五條【整改后測評】信息系統安全建設整改后,信息系統運營使用單位應當再選擇測評機構進行等級測評,檢測系統安全保護狀況與標準要求的符合性,進一步查找安全隱患和問題,并進行風險分析,為進一步整改提供依據。
第三十六條【定期測評】第三級以上(含)信息系統應當每年至少進行一次等級測評,測評完成后,信息系統運營使用單位應及時向受理備案的公安機關提交測評報告。
第三十七條【測評機構規范】測評機構應建立規范的質量管理體系,依據《信息系統安全等級保護測評要求》等標準規范對信息系統進行測評,按照公安部制訂的信息系統安全等級測評報告格式編制測評報告。
第三十八條【測評費用】測評機構應當參照國家信息化工程建設項目人工計費標準合理收取測評服務費用。為防止惡意競爭,影響測評質量,測評機構開展測評業務收費應當不低于最低收費限額。
第三十九條【安全責任】測評機構應當針對等級測評工作制定保密管理規范,明確保密崗位與職責,定期對工作人員進行保密教育,與其簽訂《保密責任書》,規定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。
第五章 監督管理
第四十條【監管主體】各級等級保護協調(領導)小組辦公室對等級測評機構、測評人員、測評活動等進行監督、檢查,處理對測評機構的投訴。
第四十一條【年審】各級等級保護工作協調(領導)小組辦公室對備案的測評機構及測評人員實施年審管理,每年對測評機構的能力和工作進行審核、審查,并公布審核、審查結果。
第四十二條【機構違規】測評機構違反規定,情節輕微的,由等級保護協調領導機構辦公室責令其限期改正或予以通報、警告。
測評機構出現以下情況之一的,按照相應規定和程序,由等級保護協調(領導)機構決定撤銷其測評機構資格并及時向社會公告。
(一)違反法律、法規并被起訴的;
(二)發生重大泄密事件的;
(三)運營管理不規范,嚴重影響測評質量,經整改仍無法達到要求的;
(四)與被測評單位共同隱瞞在安全評估過程中發現的安全漏洞,未按要求寫入評估報告的;
(五)在評估過程中弄虛作假,編造安全評估報告的;
(六)不履行規定的責任和義務,經通報批評、警告仍不改正的;
(七)測評機構成立后一年內不開展測評業務的;
(八)由于自身原因主動提出退出的;
(九)連續兩次年審未通過的;
(十)違反其他有關規定的。
第四十三條【爭議處理】測評機構應當嚴格遵循申訴、投訴及爭議處理制度,妥善處理爭議事件,及時采取糾正和改進措施。
第四十四條【監督自身要求】各級等級保護協調(領導)小組辦公室應嚴格依照本細則的有關規定,按照公平、公正的原則開展監督檢查工作。
第四十五條【變更】測評機構性質、經營(業務)范圍、隸屬關系、法定代表人等重要事項發生變化的,應在30日內向等級保護協調(領導)機構辦理變更手續。
第五篇:信息安全技術 信息系統安全等級保護測評過程指南送審稿
信息安全技術 信息系統安全等級保護測評過程指南
送審稿
引 言
依據《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)和《信息安全等級保護管理辦法》(公通字[2007]43號),制定本標準。本標準是信息安全等級保護相關系列標準之一。與本標準相關的系列標準包括:
——GB/T 22240-2008 信息安全技術 信息系統安全等級保護定級指南; ——GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求; ——GB/T CCCC-CCCC 信息安全技術 信息系統安全等級保護實施指南; ——GB/T DDDD-DDDD 信息安全技術 信息系統安全等級保護測評要求。
信息安全技術
信息系統安全等級保護測評過程指南 范圍
本標準規定了信息系統安全等級保護測評(以下簡稱等級測評)工作的測評過程,既適用于測評機構、信息系統的主管部門及運營使用單位對信息系統安全等級保護狀況進行的安全測試評價,也適用于信息系統的運營使用單位在信息系統定級工作完成之后,對信息系統的安全保護現狀進行的測試評價,獲取信息系統的全面保護需求。2 規范性引用文件
下列文件中的條款通過在本標準中的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本標準,然而,鼓勵根據本標準達成協議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件,其最新版本適用于本標準。
GB/T 5271.8 信息技術 詞匯 第8部分:安全 GB 17859-1999 計算機信息系統安全保護等級劃分準則 GB/T 22240-2008 信息安全技術 信息系統安全等級保護定級指南 GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求 GB/T CCCC-CCCC 信息安全技術 信息系統安全等級保護實施指南 GB/T DDDD-DDDD 信息安全技術 信息系統安全等級保護測評要求 《信息安全等級保護管理辦法》(公通字[2007]43號)3 術語和定義
GB/T 5271.8、GB 17859-1999、GB/T CCCC-CCCC和GB/T DDDD-DDDD確立的以及下列的術語和定義適用于本標準。3.1
優勢證據 superior evidence 對單一測評項實施等級測評過程中獲得的多個測評結果之間存在矛盾,且都沒有足夠的證據否定與之矛盾的測評結果的,則測評結果的證明力明顯大于其他測評結果的證明力的那個(些)測評結果即為優勢證據。4 等級測評概述 4.1 等級測評的作用
依據《信息安全等級保護管理辦法》(公通字[2007]43號),信息系統運營、使用單位在進行信息系統備案后,都應當選擇測評機構進行等級測評。等級測評是測評機構依據《信息系統安全等級保護測評要求》等管理規范和技術標準,檢測評估信息系統安全等級保護狀況是否達到相應等級基本要求的過程,是落實信息安全等級保護制度的重要環節。
在信息系統建設、整改時,信息系統運營、使用單位通過等級測評進行現狀分析,確定系統的安全保護現狀和存在的安全問題,并在此基礎上確定系統的整改安全需求。
在信息系統運維過程中,信息系統運營、使用單位定期委托測評機構開展等級測評,對信息系統安全等級保護狀況進行安全測試,對信息安全管控能力進行考察和評價,從而判定信息系統是否具備GB/T 22239-2008中相應等級安全保護能力。而且,等級測評報告是信息系統開展整改加固的重要指導性文件,也是信息系統備案的重要附件材料。等級測評結論為信息系統未達到相應等級的基本安全保護能力的,運營、使用單位應當根據等級測評報告,制定方案進行整改,盡快達到相應等級的安全保護能力。4.2 等級測評執行主體
可以為三級及以上等級信息系統實施等級測評的等級測評執行主體應具備如下條件:在中華人民共和國境內注冊成立(港澳臺地區除外);由中國公民投資、中國法人投資或者國家投資的企事業單位(港澳臺地區除外);從事相關檢測評估工作兩年以上,無違法記錄;
工作人員僅限于中國公民;法人及主要業務、技術人員無犯罪記錄;使用的技術裝備、設施應當符合《信息安全等級保護管理辦法》(公通字[2007]43號)對信息安全產品的要求;具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度;對國家安全、社會秩序、公共利益不構成威脅。(摘自《信息安全等級保護管理辦法》(公通字[2007]43號))
等級測評執行主體應履行如下義務:遵守國家有關法律法規和技術標準,提供安全、客觀、公正的檢測評估服務,保證測評的質量和效果;保守在測評活動中知悉的國家秘密、商業秘密和個人隱私,防范測評風險;對測評人員進行安全保密教育,與其簽訂安全保密責任書,規定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。4.3 等級測評風險
等級測評實施過程中,被測系統可能面臨以下風險。4.3.1 驗證測試影響系統正常運行
在現場測評時,需要對設備和系統進行一定的驗證測試工作,部分測試內容需要上機查看一些信息,這就可能對系統的運行造成一定的影響,甚至存在誤操作的可能。4.3.2 工具測試影響系統正常運行
在現場測評時,會使用一些技術測試工具進行漏洞掃描測試、性能測試甚至抗滲透能力測試。測試可能會對系統的負載造成一定的影響,漏洞掃描測試和滲透測試可能對服務器和網絡通訊造成一定影響甚至傷害。4.3.3 敏感信息泄漏
泄漏被測系統狀態信息,如網絡拓撲、IP地址、業務流程、安全機制、安全隱患和有關文檔信息。4.4 等級測評過程
本標準中的測評工作過程及任務基于受委托測評機構對信息系統的初次等級測評給出。運營、使用單位的自查或受委托測評機構對已經實施過一次(或以上)等級測評的被測系統的等級測評,測評機構和測評人員可以根據實際情況調整部分工作任務,具體原則見附錄A。
等級測評過程分為四個基本測評活動:測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。而測評雙方之間的溝通與洽談應貫穿整個等級測評過程。
4.4.1 測評準備活動
本活動是開展等級測評工作的前提和基礎,是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續工作能否順利開展。本活動的主要任務是掌握被測系統的詳細情況,準備測試工具,為編制測評方案做好準備。4.4.2 方案編制活動
本活動是開展等級測評工作的關鍵活動,為現場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等,并根據需要重用或開發測評指導書測評指導書,形成測評方案。4.4.3 現場測評活動 本活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求,嚴格執行測評指導書測評指導書,分步實施所有測評項目,包括單元測評和整體測評兩個方面,以了解系統的真實保護情況,獲取足夠證據,發現系統存在的安全問題。4.4.4 分析與報告編制活動
本活動是給出等級測評工作結果的活動,是總結被測系統整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和GB/T DDDD-DDDD的有關要求,通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法,找出整個系統的安全保護現狀與相應等級的保護要求之間的差距,并分析這些差距導致被測系統面臨的風險,從而給出等級測評結論,形成測評報告文本。5 測評準備活動
5.1 測評準備活動的工作流程
測評準備活動的目標是順利啟動測評項目,準備測評所需的相關資料,為順利編制測評方案打下良好的基礎。
測評準備活動包括項目啟動、信息收集和分析、工具和表單準備三項主要任務。這三項任務的基本工作流程見圖1:
5.2 測評準備活動的主要任務 5.2.1 項目啟動
在項目啟動任務中,測評機構組建等級測評項目組,獲取測評委托單位及被測系統的基本情況,從基本資料、人員、計劃安排等方面為整個等級測評項目的實施做基本準備。輸入:委托測評協議書。任務描述:
a)根據測評雙方簽訂的委托測評協議書和系統規模,測評機構組建測評項目組,從人員方面做好準備,并編制項目計劃書。項目計劃書應包含項目概述、工作依據、技術思路、工作內容和項目組織等。b)測評機構要求測評委托單位提供基本資料,包括:被測系統總體描述文件,詳細描述文件,安全保護等級定級報告,系統驗收報告,安全需求分析報告,安全總體方案,自查或上次等級測評報告(如果有),測評委托單位的信息化建設狀況與發展以及聯絡方式等。
輸出/產品:項目計劃書。5.2.2 信息收集和分析
測評機構通過查閱被測系統已有資料或使用調查表格的方式,了解整個系統的構成和保護情況,為編寫測評方案和開展現場測評工作奠定基礎。
輸入:調查表格,被測系統總體描述文件,詳細描述文件,安全保護等級定級報告,系統驗收報告,安全需求分析報告,安全總體方案,自查或上次等級測評報告(如果有)。任務描述:
a)測評機構收集等級測評需要的各種資料,包括測評委托單位的各種方針文件、規章制度及相關過程管理記錄、被測系統總體描述文件、詳細描述文件、安全保護等級定級報告、安全需求分析報告、安全總體方案、安全現狀評價報告、安全詳細設計方案、用戶指南、運行步驟、網絡圖表、配置管理文檔等。b)測評機構將調查表格提交給測評委托單位,督促被測系統相關人員準確填寫調查表格。
c)測評機構收回填寫完成的調查表格,并分析調查結果,了解和熟悉被測系統的實際情況。分析的內容包括被測系統的基本信息、物理位置、行業特征、管理框架、管理策略、網絡及設備部署、軟硬件重要性及部署情況、范圍及邊界、業務種類及重要性、業務流程、業務數據及重要性、業務安全保護等級、用戶范圍、用戶類型、被測系統所處的運行環境及面臨的威脅等。這些信息可以重用自查或上次等級測評報告中的可信結果。
d)如果調查表格填寫不準確或不完善或存在相互矛盾的地方較多,測評機構應安排現場調查,與被測系統相關人員進行面對面的溝通和了解。
輸出/產品:填好的調查表格。5.2.3 工具和表單準備
測評項目組成員在進行現場測評之前,應熟悉與被測系統相關的各種組件、調試測評工具、準備各種表單等。
輸入:各種與被測系統相關的技術資料。任務描述:
a)測評人員調試本次測評過程中將用到的測評工具,包括漏洞掃描工具、滲透性測試工具、性能測試工具和協議分析工具等。
b)測評人員模擬被測系統搭建測評環境。
c)準備和打印表單,主要包括:現場測評授權書、文檔交接單、會議記錄表單、會議簽到表單等。
輸出/產品:選用的測評工具清單,打印的各類表單。5.3 測評準備活動的輸出文檔
測評準備活動的輸出文檔及其內容如表1所示:
5.4 測評準備活動中雙方的職責 測評機構職責:
a)組建等級測評項目組。
b)指出測評委托單位應提供的基本資料。
c)準備被測系統基本情況調查表格,并提交給測評委托單位。d)向測評委托單位介紹安全測評工作流程和方法。
e)向測評委托單位說明測評工作可能帶來的風險和規避方法。
f)了解測評委托單位的信息化建設狀況與發展,以及被測系統的基本情況。g)初步分析系統的安全情況。h)準備測評工具和文檔。
測評委托單位職責:
a)向測評機構介紹本單位的信息化建設狀況與發展情況。b)準備測評機構需要的資料。
c)為測評人員的信息收集提供支持和協調。d)準確填寫調查表格。e)根據被測系統的具體情況,如業務運行高峰期、網絡布置情況等,為測評時間安排提供適宜的建議。f)制定應急預案。方案編制活動
6.1 方案編制活動的工作流程
方案編制活動的目標是整理測評準備活動中獲取的信息系統相關資料,為現場測評活動提供最基本的文檔和指導方案。
方案編制活動包括測評對象確定、測評指標確定、測試工具接入點確定、測評內容確定、測評指導書測評指導書開發及測評方案編制六項主要任務。這六項任務的基本工作流程見圖 2:
6.2 方案編制活動的主要任務 6.2.1 測評對象確定
根據已經了解到的被測系統信息,分析整個被測系統及其涉及的業務應用系統,確定出本次測評的測評對象。輸入:填好的調查表格。任務描述:
a)識別并描述被測系統的整體結構
根據調查表格獲得的被測系統基本情況,識別出被測系統的整體結構并加以描述。描述內容應包括被測系統的標識(名稱),物理環境,網絡拓撲結構和外部邊界連接情況等,并 給出網絡拓撲圖。
b)識別并描述被測系統的邊界
根據填好的調查表格,識別出被測系統邊界并加以描述。描述內容應包括被測系統與其他網絡進行外部連接的邊界連接方式,如采用光纖、無線和專線等;描述各邊界主要設備,如防火墻、路由器或服務器等。如果在被測系統邊界連接處有共用設備,一般可以把該設備劃到等級較高的那個信息系統中。c)識別并描述被測系統的網絡區域
一般信息系統都會根據業務類型及其重要程度將信息系統劃分為不同的區域。對于沒有進行區域劃分的系統,應首先根據被測系統實際情況進行大致劃分并加以描述。描述內容主要包括區域劃分、每個區域內的主要業務應用、業務流程、區域的邊界以及它們之間的連接情況等。d)識別并描述被測系統的重要節點
描述系統節點時可以以區域為線索,具體描述各個區域內包括的計算機硬件設備(包括服務器設備、客戶端設備、打印機及存儲器等外圍設備)、網絡硬件設備(包括交換機、路由器、各種適配器等)等,并說明各個節點之間的主要連接情況和節點上安裝的應用系統軟件情況等。e)描述被測系統
對上述描述內容進行整理,確定被測系統并加以描述。描述被測系統時,一般以被測系統的網絡拓撲結構為基礎,采用總分式的描述方法,先說明整體結構,然后描述外部邊界連接情況和邊界主要設備,最后介紹被測系統的網絡區域組成、主要業務功能及相關的設備節點等。f)確定測評對象
分析各個作為定級對象的信息系統,包括信息系統的重要程度及其相關設備、組件,在此基礎上,確定出各測評對象。g)描述測評對象
描述測評對象時,一般針對每個定級對象分門別類加以描述,包括機房、業務應用軟件、主機操作系統、數據庫管理系統、網絡互聯設備及其操作系統、安全設備及其操作系統、訪談人員及其安全管理文檔等。在對每類測評對象進行描述時則一般采用列表的方式,包括測評對象所屬區域、設備名稱、用途、設備信息等內容。
輸出/產品:測評方案的測評對象部分。6.2.2 測評指標確定
根據已經了解到的被測系統定級結果,確定出本次測評的測評指標。輸入:填好的調查表格,GB/T 22239-2008。任務描述:
a)根據被測系統調查表格,得出被測系統的定級結果,包括業務信息安全保護等級和系統服務安全保護等級,從而得出被測系統應采取的安全保護措施ASG組合情況。
b)從GB/T 22239-2008中選擇相應等級的安全要求作為測評指標,包括對ASG三類安全要求的選擇。舉例來說,假設某信息系統的定級結果為:安全保護等級為3級,業務信息安全保護等級為2級,系統服務安全保護等級為3級;則該系統的測評指標將包括GB/T 22239-2008“技術要求”中的3級通用安全保護類要求(G3),2級業務信息安全類要求(S2),3級系統服務保證類要求(A3),以及第3級“管理要求”中的所有要求。
c)對于由多個不同等級的信息系統組成的被測系統,應分別確定各個定級對象的測評指標。如果多個定級對象共用物理環境或管理體系,而且測評指標不能分開,則不能分開的這些測評指標應采用就高原則。d)分別針對每個定級對象加以描述,包括系統的定級結果、指標選擇兩部分。其中,指標選擇可以列表的形式給出。例如,一個安全保護等級和系統服務安全保護等級均為三級、業務信息安全保護等級為2級的定級對象,測評指標可以列出下表:
6.2.3 測試工具接入點確定
在等級測評中,對二級和二級以上的信息系統應進行工具測試,工具測試可能用到漏洞掃描器、滲透測試工具集、協議分析儀等測試工具。
輸入:填好的調查表格,GB/T DDDD-DDDD。任務描述:
a)確定需要進行工具測試的測評對象。
b)選擇測試路徑。一般來說,測試工具的接入采取從外到內,從其他網絡到本地網段的逐步逐點接入,即:測試工具從被測系統邊界外接入、在被測系統內部與測評對象不同網段及同一網段內接入等幾種方式。c)根據測試路徑,確定測試工具的接入點。
從被測系統邊界外接入時,測試工具一般接在系統邊界設備(通常為交換設備)上。在該點接入漏洞掃描器,掃描探測被測系統的主機、網絡設備對外暴露的安全漏洞情況。在該接入點接入協議分析儀,可以捕獲應用程序的網絡數據包,查看其安全加密和完整性保護情況。在該接入點使用滲透測試工具集,試圖利用被測試系統的主機或網絡設備的安全漏洞,跨過系統邊界,侵入被測系統主機或網絡設備。
從系統內部與測評對象不同網段接入時,測試工具一般接在與被測對象不在同一網段的內部核心交換設備上。在該點接入掃描器,可以直接掃描測試內部各主機和網絡設備對本單位其他不同網絡所暴露的安全漏洞情況。在該接入點接入網絡拓撲發現工具,可以探測信息系統的網絡拓撲情況。在系統內部與測評對象同一網段內接入時,測試工具一般接在與被測對象在同一網段的交換設備上。在該點接入掃描器,可以在本地直接測試各被測主機、網絡設備對本地網絡暴露的安全漏洞情況。一般來說,該點掃描探測出的漏洞數應該是最多的,它說明主機、網絡設備在沒有網絡安全保護措施下的安全狀況。如果該接入點所在網段有大量用戶終端設備,則可以在該接入點接入非法外聯檢測設備,測試各終端設備是否出現過非法外聯情況。
d)結合網絡拓撲圖,采用圖示的方式描述測試工具的接入點、測試目的、測試途徑和測試對象等相關內容。
輸出/產品:測評方案的測評內容中關于測評工具接入點部分。6.2.4 測評內容確定
本部分確定現場測評的具體實施內容,即單元測評內容。
輸入:填好的調查表格,測評方案的測評對象、測評指標及測評工具接入點部分。任務描述: a)確定單元測評內容
依據GB/T DDDD-DDDD,將前面已經得到的測評指標和測評對象結合起來,然后再將測評對象與具體的測評方法結合起來,這也是編制測評指導書測評指導書的第一步。
具體做法就是把各層面上的測評指標結合到具體測評對象上,并說明具體的測評方法,如此構成一個個可以具體實施測評的單元。參照GB/T DDDD-DDDD,結合已選定的測評指標和測評對象,概要說明現場單元測評實施的工作內容;涉及到工具測試部分,應根據確定的測試工具接入點,編制相應的測試內容。在測評方案中,現場單元測評實施內容通常以表格的形式給出,表格包括測評指標、測評內容描述等內容。現場測評實施內容是項目組每個成員開發測評指導書測評指導書的基礎。現場單元測評實施內容表格描述的基本格式之一為:
6.2.5 測評指導書開發 測評指導書是具體指導測評人員如何進行測評活動的文件,是現場測評的工具、方法和操作步驟等的詳細描述,是保證測評活動可以重現的根本。因此,測評指導書應當盡可能詳盡、充分。輸入:測評方案的測試工具接入點、單元測評實施部分。任務描述:
a)描述單個測評對象,包括測評對象的名稱、IP地址、用途、管理人員等信息。b)根據GB/T DDDD-DDDD的單元測評實施確定測評活動,包括測評項、測評方法、操作步驟和預期結果等四部分。
測評項是指GB/T 22239-2008中對該測評對象在該用例中的要求,在GB/T DDDD-DDDD中對應每個測評單元中的“測評指標”的具體要求項。測評方法是指訪談、檢查和測試三種方法,具體到測評對象上可細化為文檔審查、配置檢查、工具測試和實地察看等多種方法,每個測評項可能對應多個測評方法。操作步驟是指在現場測評活動中應執行的命令或步驟,是按照GB/TDDDD-DDDD中的每個“測評實施”項目開發的操作步驟,涉及到工具測試時,應描述工具測試路徑及接入點等;預期結果是指按照操作步驟在正常的情況下應得到的結果和獲取的證據。
c)單元測評一般以表格形式設計和描述測評項、測評方法、操作步驟和預期結果等內容。整體測評則一般以文字描述的方式表述,可以以測評用例的方式進行組織。
單元測評的測評指導書描述的基本格式為:
輸出/產品:測評指導書,測評結果記錄表格。6.2.6 測評方案編制
測評方案是等級測評工作實施的基礎,指導等級測評工作的現場實施活動。測評方案應包括但不局限于以下內容:項目概述、測評對象、測評指標、測評工具的接入點以及單元測 評實施等。
輸入:委托測評協議書,填好的調研表格,GB/T 22239-2008中相應等級的基本要求,測評方案的測評對象、測評指標、測試工具接入點、測評內容部分。任務描述:
a)根據委托測評協議書和填好的調研表格,提取項目來源、測評委托單位整體信息化建設情況及被測系統與單位其他系統之間的連接情況等。
b)根據等級保護過程中的等級測評實施要求,將測評活動所依據的標準羅列出來。
c)依據委托測評協議書和被測系統情況,估算現場測評工作量。工作量可以根據配置檢查的節點數量和工具測試的接入點及測試內容等情況進行估算。d)根據測評項目組成員安排,編制工作安排情況。
e)根據以往測評經驗以及被測系統規模,編制具體測評計劃,包括現場工作人員的分工和時間安排。在進行時間計劃安排時,應盡量避開被測系統的業務高峰期,避免給被測系統帶來影響。同時,在測評計劃中應將具體測評所需條件以及測評需要的配合人員也一并給出,便于測評實施之前雙方溝通協調、合理安排。f)匯總上述內容及方案編制活動的其他任務獲取的內容形成測評方案文稿。
g)評審和提交測評方案。測評方案初稿應通過測評項目組全體成員評審,修改完成后形成提交稿。然后,測評機構將測評方案提交給測評委托單位簽字認可。
輸出/產品:經過評審和確認的測評方案文本。6.3 方案編制活動的輸出文檔
方案編制活動的輸出文檔及其內容如表5所示:
6.4 方案編制活動中雙方的職責 測評機構職責:
a)詳細分析被測系統的整體結構、邊界、網絡區域、重要節點等。b)初步判斷被測系統的安全薄弱點。
c)分析確定測評對象、測評指標和測試工具接入點,確定測評內容及方法。d)編制測評方案文本,并對其內部評審,并提交被測機構簽字確認。
測評委托單位職責:
a)對測評方案進行認可,并簽字確認。現場測評活動
7.1 現場測評活動的工作流程
現場測評活動通過與測評委托單位進行溝通和協調,為現場測評的順利開展打下良好基礎,然后依據測評方案實施現場測評工作,將測評方案和測評工具等具體落實到現場測評活動中。現場測評工作應取得分析與報告編制活動所需的、足夠的證據和資料。
現場測評活動包括現場測評準備、現場測評和結果記錄、結果確認和資料歸還三項主要任務。這三項任務的基本工作流程見圖3:
7.2 現場測評活動的主要任務 7.2.1 現場測評準備
本任務啟動現場測評,是保證測評機構能夠順利實施測評的前提。輸入:現場測評授權書,測評方案。任務描述:
a)測評委托單位簽署現場測評授權書。
b)召開測評現場首次會,測評機構介紹測評工作,交流測評信息,進一步明確測評計劃和方案中的內容,說明測評過程中具體的實施工作內容,測評時間安排等,以便于后面的測評工作開展。
c)測評雙方確認現場測評需要的各種資源,包括測評委托單位的配合人員和需要提供的測評條件等,確認被測系統已備份過系統及數據。
d)測評人員根據會議溝通結果,對測評結果記錄表單和測評程序進行必要的更新。
輸出/產品:會議記錄,更新后的測評計劃和測評程序,確認的測評授權書等。7.2.2 現場測評和結果記錄
現場測評一般包括訪談、文檔審查、配置檢查、工具測試和實地察看五個方面。7.2.2.1 訪談
輸入:測評指導書,技術安全和管理安全測評的測評結果記錄表格。任務描述:
a)測評人員與被測系統有關人員(個人/群體)進行交流、討論等活動,獲取相關證據,了解有關信息。在訪談范圍上,不同等級信息系統在測評時有不同的要求,一般應基本覆蓋所有的安全相關人員類型,在數量上可以抽樣。具體可參照GB/T DDDD-DDDD中的各級要求。
輸出/產品:技術安全和管理安全測評的測評結果記錄或錄音。7.2.2.2 文檔審查
輸入:安全方針文件,安全管理制度,安全管理的執行過程文檔,系統設計方案,網絡設備的技術資料,系統和產品的實際配置說明,系統的各種運行記錄文檔,機房建設相關資料,機房出入記錄等過程記錄文檔,測評指導書,管理安全測評的測評結果記錄表格。任務描述:
a)檢查GB/T 22239-2008中規定的必須具有的制度、策略、操作規程等文檔是否齊備。
b)檢查是否有完整的制度執行情況記錄,如機房出入登記記錄、電子記錄、高等級系統的關鍵設備的使用登記記錄等。
c)對上述文檔進行審核與分析,檢查他們的完整性和這些文件之間的內部一致性。
下面列出對不同等級信息系統在測評實施時的不同強度要求。一級:滿足GB/T 22239-2008中的一級要求。
二級:滿足GB/T 22239-2008中的二級要求,并且所有文檔之間應保持一致性,要求有執行過程記錄的,過程記錄文檔的記錄內容應與相應的管理制度和文檔保持一致,與實際情況保持一致。
三級:滿足GB/T 22239-2008中的三級要求,所有文檔應具備且完整,并且所有文檔之間應保持一致性,要求有執行過程記錄的,過程記錄文檔的記錄內容應與相應的管理制度和文檔保持一致,與實際情況保持一致,安全管理過程應與系統設計方案保持一致且能夠有效管理系統。
四級:滿足GB/T 22239-2008中的四級要求,所有文檔應具備且完整,并且所有文檔之間應保持一致性,要求有執行過程記錄的,過程記錄文檔的記錄內容應與相應的管理制度和文檔保持一致,與實際情況保持一致,安全管理過程應與系統設計方案保持一致且能夠有效管理系統。輸出/產品:管理安全測評的測評結果記錄。7.2.2.3 配置檢查
輸入:測評指導書,技術安全測評的網絡、主機、應用測評結果記錄表格。任務描述:
a)根據測評結果記錄表格內容,利用上機驗證的方式檢查應用系統、主機系統、數據庫系統以及網絡設備的配置是否正確,是否與文檔、相關設備和部件保持一致,對文檔審核的內容進行核實(包括日志審計等)。b)如果系統在輸入無效命令時不能完成其功能,將要對其進行錯誤測試。c)針對網絡連接,應對連接規則進行驗證。
下面列出對不同等級信息系統在測評實施時的不同強度要求。一級:滿足GB/T 22239-2008中的一級要求。
二級:滿足GB/T 22239-2008中的二級要求,測評其實施的正確性和有效性,檢查配置的完整性,測試網絡連接規則的一致性。
三級:滿足GB/T 22239-2008中的三級要求,測評其實施的正確性和有效性,檢查配置的完整性,測試網絡連接規則的一致性,測試系統是否達到可用性和可靠性的要求。
四級:滿足GB/T 22239-2008中的四級要求,測評其實施的正確性和有效性,檢查配置的完整性,測試網絡連接規則的一致性,測試系統是否達到可用性和可靠性的要求。輸出/產品:技術安全測評的網絡、主機、應用測評結果記錄。7.2.2.4 工具測試
輸入:測評指導書,技術安全測評的網絡、主機、應用測評結果記錄表格。任務描述:
a)根據測評指導書,利用技術工具對系統進行測試,包括基于網絡探測和基于主機審計的漏洞掃描、滲透性測試、性能測試、入侵檢測和協議分析等。b)備份測試結果。
下面列出對不同等級信息系統在測評實施時的不同強度要求。
一級:滿足GB/T 22239-2008中的一級要求。
二級:滿足GB/T 22239-2008中的二級要求,針對主機、服務器、關鍵網絡設備、安全設備等設備進行漏洞掃描等。
三級:滿足GB/T 22239-2008中的三級要求,針對主機、服務器、網絡設備、安全設備等設備進行漏洞掃描,針對應用系統完整性和保密性要求進行協議分析,滲透測試應包括基于一般脆弱性的內部和外部滲透攻擊。
四級:滿足GB/T 22239-2008中的四級要求,針對主機、服務器、網絡設備、安全設備等設備進行漏洞掃描,針對應用系統完整性和保密性要求進行協議分析,滲透測試應包括基于一般脆弱性的內部和外部滲透攻擊。
輸出/產品:技術安全測評的網絡、主機、應用測評結果記錄,工具測試完成后的電子輸出記錄,備份的測試結果文件。7.2.2.5 實地察看
輸入:測評指導書,技術安全測評的物理安全和管理安全測評結果記錄表格。任務描述:
a)根據被測系統的實際情況,測評人員到系統運行現場通過實地的觀察人員行為、技術設施和物理環境狀況判斷人員的安全意識、業務操作、管理程序和系統物理環境等方面的安全情況,測評其是否達到了相應等級的安全要求。
下面列出對不同等級信息系統在測評實施時的不同強度要求。一級:滿足GB/T 22239-2008中的一級要求。二級:滿足GB/T 22239-2008中的二級要求。
三級:滿足GB/T 22239-2008中的三級要求,判斷實地觀察到的情況與制度和文檔中說明的情況是否一致,檢查相關設備、設施的有效性和位置的正確性,與系統設計方案的一致性。
四級:滿足GB/T 22239-2008中的四級要求,判斷實地觀察到的情況與制度和文檔中說明的情況是否一致,檢查相關設備、設施的有效性和位置的正確性,與系統設計方案的一致性。輸出/產品:技術安全測評的物理安全和管理安全測評結果記錄。7.2.3 結果確認和資料歸還
輸入:測評結果記錄,工具測試完成后的電子輸出記錄。任務描述:
a)測評人員在現場測評完成之后,應首先匯總現場測評的測評記錄,對漏掉和需要進一步驗證的內容實施補充測評。
b)召開測評現場結束會,測評雙方對測評過程中發現的問題進行現場確認。
c)測評機構歸還測評過程中借閱的所有文檔資料,并由測評委托單位文檔資料提供者簽字確認。
輸出/產品:現場測評中發現的問題匯總,證據和證據源記錄,測評委托單位的書面認可文件。
7.3 現場測評活動的輸出文檔
現場測評活動的輸出文檔及其內容如表6所示:
7.4 現場測評活動中雙方的職責 測評機構職責:
a)利用訪談、文檔審查、配置檢查、工具測試和實地察看的方法測評被測系統的保護措施情況,并獲取相關證據。
測評委托單位職責:
a)測評前備份系統和數據,并確認被測設備狀態完好。b)協調被測系統內部相關人員的關系,配合測評工作的開展。c)簽署現場測評授權書。
d)相關人員回答測評人員的問詢,對某些需要驗證的內容上機進行操作。
e)相關人員確認測試前協助測評人員實施工具測試并提供有效建議,降低安全測評對系統運行的影響。f)相關人員協助測評人員完成業務相關內容的問詢、驗證和測試。g)相關人員對測評結果進行確認。h)相關人員確認測試后被測設備狀態完好。分析與報告編制活動
8.1 分析與報告編制活動的工作流程
在現場測評工作結束后,測評機構應對現場測評獲得的測評結果(或稱測評證據)進行匯總分析,形成等級測評結論,并編制測評報告。
測評人員在初步判定單元測評結果后,還需進行整體測評,經過整體測評后,有的單元測評結果可能會有所變化,需進一步修訂單元測評結果,而后進行風險分析和評價,形成等級測評結論。分析與報告編制活動包括單項測評結果判定、單元測評結果判定、整體測評、風險分析、等級測評結論形成及測評報告編制六項主要任務。這六項任務的基本工作流程見圖4:
8.2 分析與報告編制活動的主要任務 8.2.1 單項測評結果判定
本任務主要是針對測評指標中的單個測評項,結合具體測評對象,客觀、準確地分析測評證據,形成初步單項測評結果,單項測評結果是形成等級測評結論的基礎。輸入:技術安全和管理安全的單項測評結果記錄,測評指導書。任務描述:
a)針對每個測評項,分析該測評項所對抗的威脅在被測系統中是否存在,如果不存在,則該測評項應標為不適用項。
b)分析單個測評項是否有多方面的要求內容,針對每一方面的要求內容,從一個或多個測評證據中選擇出“優勢證據”,并將“優勢證據”與要求內容的預期測評結果相比較。
c)如果測評證據表明所有要求內容與預期測評結果一致,則判定該測評項的單項測評結果為符合;如果測評證據表明所有要求內容與預期測評結果不一致,判定該測評項的單項測評結果為不符合;否則判定該測評項的單項測評結果為部分符合。
根據“優勢證據”的定義,具體從測評方式上來看,針對物理安全測評,實地察看證據相比文檔審查證據為優勢證據,文檔審查證據相比訪談證據為優勢證據;針對技術安全的其他方面測評,工具測試證據相比配置檢查證據為優勢證據,配置檢查證據相比訪談證據為優勢證據;針對管理安全測評,優勢證據不確定,需根據實際情況分析確定優勢證據。
輸出/產品:測評報告的單元測評的結果記錄部分。8.2.2 單元測評結果判定
本任務主要是將單項測評結果進行匯總,分別統計不同測評對象的單項測評結果,從而判定單元測評結果,并以表格的形式逐一列出。
輸入:測評報告的單元測評的結果記錄部分。任務描述:
a)按層面分別匯總不同測評對象對應測評指標的單項測評結果情況,包括測評多少項,符合要求的多少項等內容,一般以表格形式列出。
匯總統計分析的基本表格形式可以如下:
注:“.”表示“符合”,“.”表示部分符合,“×”表示“不符合”,“N/A”表示“不適用”。
上表中的符號即為測評對象對應的單元測評結果。測評對象在某個測評指標的單元測評結果判別原則如下:
1. 測評指標包含的所有適用測評項的單項測評結果均為符合,則該測評對象對應該測評指標的單元測評結果為符合;
2. 測評指標包含的所有適用測評項的單項測評結果均為不符合,則該測評對象對應該測評指標的單元測評結果為不符合;
3. 測評指標包含的所有測評項均為不適用項,則該測評對象對應該測評指標的單元測評結果為不適用; 4. 測評指標包含的所有適用測評項的單項測評結果不全為符合或不符合,則該測評對象對應該測評指標的單元測評結果為部分符合。
輸出/產品:測評報告的單元測評的結果匯總部分。
8.2.3 整體測評
針對單項測評結果的不符合項,采取逐條判定的方法,從安全控制間、層面間和區域間出發考慮,給出整體測評的具體結果,并對系統結構進行整體安全測評。輸入:測評報告的單元測評的結果匯總部分。任務描述:
a)針對測評對象“部分符合”及“不符合”要求的單個測評項,分析與該測評項相關的其他測評項能否和它發生關聯關系,發生什么樣的關聯關系,這些關聯關系產生的作用是否可以“彌補”該測評項的不足,以及該測評項的不足是否會影響與其有關聯關系的其他測評項的測評結果。b)針對測評對象“部分符合”及“不符合”要求的單個測評項,分析與該測評項相關的其他層面的測評對象能否和它發生關聯關系,發生什么樣的關聯關系,這些關聯關系產生的作用是否可以“彌補”該測評項的不足,以及該測評項的不足是否會影響與其有關聯關系的其他測評項的測評結果。
c)針對測評對象“部分符合”及“不符合”要求的單個測評項,分析與該測評項相關的其他區域的測評對象能否和它發生關聯關系,發生什么樣的關聯關系,這些關聯關系產生的作用是否可以“彌補”該測評項的不足,以及該測評項的不足是否會影響與其有關聯關系的其他測評項的測評結果。
d)從安全角度分析被測系統整體結構的安全性,從系統角度分析被測系統整體安全防范的合理性。e)匯總上述分析結論,形成表格。
表格基本形式如下:
輸出/產品:測評報告的整體測評部分。8.2.4 風險分析
測評人員依據等級保護的相關規范和標準,采用風險分析的方法分析等級測評結果中存在的安全問題可能對被測系統安全造成的影響。
輸入:填好的調查表格,測評報告的單元測評的結果匯總及整體測評部分。任務描述:
a)結合單元測評的結果匯總和整體測評結果,將物理安全、網絡安全、主機安全、應用安全等層面中各個測評對象的測評結果再次匯總分析,統計符合情況。一般可以表格的形式描述。
表格的基本形式可以如下:
b)判斷測評結果匯總中部分符合項或不符合項所產生的安全問題被威脅利用的可能性,可能性的取值范圍為高、中和低。
c)判斷測評結果匯總中部分符合項或不符合項所產生的安全問題被威脅利用后,對被測系統的業務信息安全和系統服務安全造成的影響程度,影響程度取值范圍為高、中和低。
d)綜合b)和c)的結果,對被測系統面臨的安全風險進行賦值,風險值的取值范圍為高、中和低。e)結合被測系統的安全保護等級對風險分析結果進行評價,即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成的風險。
輸出:測評報告的測評結果匯總及風險分析和評價部分。8.2.5 等級測評結論形成
測評人員在測評結果匯總的基礎上,找出系統保護現狀與等級保護基本要求之間的差距,并形成等級測評結論。
輸入:測評報告的測評結果匯總部分。任務描述:
a)根據表9測評結果匯總表格,如果部分符合和不符合項的統計結果不全為0,則該信息系統未達到相應等級的基本安全保護能力;如果部分符合和不符合項的統計結果全為0,則該信息系統達到了相應等級的基本安全保護能力。
輸出/產品:測評報告的等級測評結論部分。8.2.6 測評報告編制
測評報告應包括但不局限于以下內容:概述、被測系統描述、測評對象說明、測評指標說明、測評內容和方法說明、單元測評、整體測評、測評結果匯總、風險分析和評價、等級測評結論、整改建議等。其中,概述部分描述被測系統的總體情況、本次測評的主要測評目的和依據;被測系統描述、測評對象、測評指標、測評內容和方法等部分內容編制時可以參考測評方案相關部分內容,有改動的地方應根據實際測評情況進行修改。
輸入:測評方案,單元測評的結果記錄和結果匯總部分,整體測評部分,風險分析和評價部分、等級測評結論部分。任務描述:
a)測評人員整理前面幾項任務的輸出/產品,編制測評報告相應部分。一個測評委托單位應形成一份測評報告,如果一個測評委托單位內有多個被測系統,報告中應分別描述每一個被測系統的等級測評情況。b)針對被測系統存在的安全隱患,從系統安全角度提出相應的改進建議,編制測評報告的安全建設整改建議部分。
c)列表給出現場測評的文檔清單和單項測評記錄,以及對各個測評項的單項測評結果判定情況,編制測評報告的單元測評的結果記錄和問題分析部分。
d)測評報告編制完成后,測評機構應根據測評協議書、測評委托單位提交的相關文檔、測評原始記錄和其他輔助信息,對測評報告進行評審。
e)評審通過后,由項目負責人簽字確認并提交給測評委托單位。
輸出/產品:經過評審和確認的被測系統等級測評報告。8.3 分析與報告編制活動的輸出文檔
分析與報告編制活動的輸出文檔及其內容如表10所示:
8.4 分析與報告編制活動中雙方的職責 測評機構職責:
a)分析并判定單項測評結果和整體測評結果。b)分析評價被測系統存在的風險情況。c)根據測評結果形成等級測評結論。
d)編制等級測評報告,說明系統存在的安全隱患和缺陷,并給出改進建議。e)評審等級測評報告,并將評審過的等級測評報告按照分發范圍進行分發。f)將生成的過程文檔歸檔保存,并將測評過程中生成的電子文檔清除。
測評委托單位職責: a)簽收測評報告。
附錄A(資料性附錄)等級測評工作流程
受委托測評機構實施的等級測評工作活動及流程與運營、使用單位的自查活動及流程會有所差異,初次等級測評和再次等級測評的工作活動及流程也不完全相同,而且針對不同等級信息系統實施的等級測評工作活動及流程也不相同。
受委托測評機構對信息系統的初次等級測評可以分為四項活動:測評準備活動、方案編制活動、現場測評活動、分析與報告編制活動。具體如圖5所示:
上圖是對受委托測評機構對信息系統實施初次等級測評的基本工作流程。如果被測系統已經實施過一次(或多次)等級測評,上圖中的四個活動保持不變,但是具體任務內容會有所變化。測評機構和測評人員可以根據上一次等級測評中存在的問題和被測系統的實際情況調整部分工作任務內容。例如,信息收集和分析任務中,可以只收集那些自上次等級測評后有所變更的信息,其他信息可以重用上次等級測評結果;測評對象盡量選擇上次等級測評中未測過或存在問題的作為測評對象;測評內容也應關注上次等級測評中發現的問題。不同等級信息系統的等級測評的基本工作活動與圖5中信息系統的等級測評活動應完全一致,即:測評準備、方案編制、現場測評、分析與報告編制四項活動。由于圖5給出的是較為全面的工作流程和任務,因此,較低等級信息系統的等級測評的各個活動的具體工作任務應在圖5基礎上刪除或簡化部分內容。如針對二級信息系統的等級測評,測評人員在分析與報告編制活動中可以不進行單項測評結果匯總分析,僅進行簡單的匯總等。相反,較高等級信息系統的等級測評的工作任務則可以在此基礎上增加或細化部分內容。如針對四級信息系統的等級測評,在測評對象確定任務中,不但需要確定出測評對象,還需給出選擇這些測評對象的過程及理由等;整體測評需設計具體的整體測評實例等。
附錄B
(資料性附錄)測評對象確定方法 B.1 測評對象確定原則和方法
測評對象是等級測評的直接工作對象,也是在被測系統中實現特定測評指標所對應的安全功能的具體系統組件,因此,選擇測評對象是編制測評方案的必要步驟,也是整個測評工作的重要環節。恰當選擇測評對象的種類和數量是整個等級測評工作能夠獲取足夠證據、了解到被測系統的真實安全保護狀況的重要保證。
測評對象的確定一般采用抽查的方法,即:抽查信息系統中具有代表性的組件作為測評對象。并且,在測評對象確定任務中應兼顧工作投入與結果產出兩者的平衡關系。在確定測評對象時,需遵循以下原則:
1. 恰當性,選擇的設備、軟件系統等應能滿足相應等級的測評強度要求; 2. 重要性,應抽查對被測系統來說重要的服務器、數據庫和網絡設備等; 3. 安全性,應抽查對外暴露的網絡邊界;
4. 共享性,應抽查共享設備和數據交換平臺/設備;
5. 代表性,抽查應盡量覆蓋系統各種設備類型、操作系統類型、數據庫系統類型和應用系統類型。
B.2 具體確定方法說明 B.2.1 第一級信息系統
第一級信息系統的等級測評,測評對象的種類和數量比較少,重點抽查關鍵的設備、設施、人員和文檔等。可以抽查的測評對象種類主要考慮以下幾個方面:
1. 主機房(包括其環境、設備和設施等),如果某一輔機房中放置了服務于整個信息系統或對信息系統的安全性起決定作用的設備、設施,那么也應該作為測評對象; 2. 整個系統的網絡拓撲結構;
3. 安全設備,包括防火墻、入侵檢測設備、防病毒網關等;
4. 邊界網絡設備(可能會包含安全設備),包括路由器、防火墻和認證網關等; 5. 對整個信息系統的安全性起決定作用的網絡互聯設備,如核心交換機、路由器等; 6. 承載最能夠代表被測系統使命的業務或數據的核心服務器(包括其操作系統和數據庫); 7. 最能夠代表被測系統使命的重要業務應用系統; 8. 信息安全主管人員;
9. 涉及到信息系統安全的主要管理制度和記錄,包括進出機房的登記記錄、信息系統相關設計驗收文檔等。
在本級信息系統測評時,信息系統中配置相同的安全設備、邊界網絡設備、網絡互聯設備以及服務器應至少抽查一臺作為測評對象。B.2.2 第二級信息系統
第二級信息系統的等級測評,測評對象的種類和數量都較多,重點抽查重要的設備、設施、人員和文檔等。可以抽查的測評對象種類主要考慮以下幾個方面:
1. 主機房(包括其環境、設備和設施等),如果某一輔機房中放置了服務于整個信息系統或對信息系統的安全性起決定作用的設備、設施,那么也應該作為測評對象; 2. 存儲被測系統重要數據的介質的存放環境; 3. 整個系統的網絡拓撲結構;
4. 安全設備,包括防火墻、入侵檢測設備、防病毒網關等;
5. 邊界網絡設備(可能會包含安全設備),包括路由器、防火墻和認證網關等;
6. 對整個信息系統或其局部的安全性起決定作用的網絡互聯設備,如核心交換機、匯聚層交換機、核心路由器等;
7. 承載被測系統核心或重要業務、數據的服務器(包括其操作系統和數據庫); 8. 重要管理終端;
9. 能夠代表被測系統主要使命的業務應用系統; 10. 信息安全主管人員、各方面的負責人員; 11. 涉及到信息系統安全的所有管理制度和記錄。
在本級信息系統測評時,信息系統中配置相同的安全設備、邊界網絡設備、網絡互聯設備以及服務器應至少抽查兩臺作為測評對象。B.2.3 第三級信息系統
第三級信息系統的等級測評,測評對象種類上基本覆蓋、數量進行抽樣,重點抽查主要的設備、設施、人員和文檔等。可以抽查的測評對象種類主要考慮以下幾個方面:
1. 主機房(包括其環境、設備和設施等)和部分輔機房,應將放置了服務于信息系統的局部(包括整體)或對信息系統的局部(包括整體)安全性起重要作用的設備、設施的輔機房選取作為測評對象; 2. 存儲被測系統重要數據的介質的存放環境; 3. 辦公場地;
4. 整個系統的網絡拓撲結構;
5. 安全設備,包括防火墻、入侵檢測設備和防病毒網關等;
6. 邊界網絡設備(可能會包含安全設備),包括路由器、防火墻、認證網關和邊界接入設備(如樓層交換機)等;
7. 對整個信息系統或其局部的安全性起作用的網絡互聯設備,如核心交換機、匯聚層交換機、路由器等; 8. 承載被測系統主要業務或數據的服務器(包括其操作系統和數據庫); 9. 管理終端和主要業務應用系統終端;
10. 能夠完成被測系統不同業務使命的業務應用系統; 11. 業務備份系統;
12. 信息安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業務負責人; 13. 涉及到信息系統安全的所有管理制度和記錄。
在本級信息系統測評時,信息系統中配置相同的安全設備、邊界網絡設備、網絡互聯設備、服務器、終端以及備份設備,每類應至少抽查兩臺作為測評對象。B.2.4 第四級信息系統
第四級信息系統的等級測評,測評對象種類上完全覆蓋、數量進行抽樣,重點抽查不同 種類的設備、設施、人員和文檔等。可以抽查的測評對象種類主要考慮以下幾個方面:
1. 主機房和全部輔機房(包括其環境、設備和設施等); 2. 介質的存放環境; 3. 辦公場地;
4. 整個系統的網絡拓撲結構;
5. 安全設備,包括防火墻、入侵檢測設備和防病毒網關等;
6. 邊界網絡設備(可能會包含安全設備),包括路由器、防火墻、認證網關和邊界接入設備(如樓層交換機)等;
7. 主要網絡互聯設備,包括核心和匯聚層交換機; 8. 主要服務器(包括其操作系統和數據庫); 9. 管理終端和主要業務應用系統終端; 10. 全部應用系統; 11. 業務備份系統;
12. 信息安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業務負責人; 13. 涉及到信息系統安全的所有管理制度和記錄。
在本級信息系統測評時,信息系統中配置相同的安全設備、邊界網絡設備、網絡互聯設備、服務器、終端以及備份設備,每類應至少抽查三臺作為測評對象。附錄C
(資料性附錄)等級測評工作要求 C.1 依據標準,遵循原則
等級測評實施應依據等級保護的相關技術標準進行。相關技術標準主要包括GB/T 22239-2008和GB/T DDDD-DDDD,其中等級測評目標和內容應依據GB/T 22239-2008,對具體測評項的測評實施方法則依據GB/T DDDD-DDDD。
在等級測評實施活動中,應遵循GB/T DDDD-DDDD中規定的測評原則,保證測評工作公正、科學、合理和完善。
C.2 恰當選取,保證強度
恰當選取是指對具體測評對象的選擇要恰當,既要避免重要的對象、可能存在安全隱患的對象沒有被選擇,也要避免過多選擇,使得工作量增大。
保證強度是指對被測系統應實施與其等級相適應的測評強度。C.3 規范行為,規避風險
測評機構實施等級測評的過程應規范,包括:制定內部保密制度;制定過程控制制度; 規定相關文檔評審流程;指定專人負責保管等級測評的歸檔文件等。
測評人員的行為應規范,包括:測評人員進入現場佩戴工作牌;使用測評專用的電腦和工具;嚴格按照測評指導書使用規范的測評技術進行測評;準確記錄測評證據;不擅自評價 測評結果;不將測評結果復制給非測評人員等。
規避風險,是指要充分估計測評可能給被測系統帶來的影響,向被測系統運營/使用單位揭示風險,要求其提前采取預防措施進行規避。同時,測評機構也應采取與測評委托單位簽署委托測評協議、保密協議、現場測評授權書、要求測評委托單位進行系統備份、規范測評活動、及時與測評委托單位溝通等措施規避風險,盡量避免給被測系統和單位帶來影響。附錄D
(資料性附錄)
測評方案與報告編制示例
某公司(簡稱“AAA”)用電信息系統承載著該公司的電力營銷業務,由數據存儲、業務處理、接入、對外服務和外聯等五個功能區域組成,是一個安全等級為三級的信息系統。
現場測評時間為X年X月X日至X年X月X日,現場測評小組分為管理組(2人)和技術組(4人)兩組,分別完成安全管理和安全技術方面的測評。D.1 測評方案編制示例 針對AAA用電信息系統的實際情況,下面從被測系統描述、測評對象、測評指標、測評工具和接入點、測評內容以及配套的測評指導書等方面說明測評方案的編制方法。D.1.1 被測系統描述
被測系統為承載著AAA公司電力營銷業務,是AAA公司的重要信息系統,其安全等級定為三級(S3A2G3)。
被測系統由數據存儲、業務處理、接入、對外服務和外聯等五個功能區域組成,對內有業務擴充管理、電量計量管理、電費結算、收費、統計分析等業務功能模塊;對外有可以為Internet網、大客戶單位、撥號用戶等提供電費數據查詢、交納、業務擴充、投訴等服務的功能模塊。數據存儲功能區位于屏蔽機房,其它功能區域位于中心機房。
與被測系統相連的外部連接有Internet、外聯單位(包括DDN單位和PSTN用戶)和控制網三處。在Internet、外聯單位的邊界連接處設置了防火墻;與控制網連接是通過交換機SJ6506以共用服務器方式進行的。整個網絡拓撲結構示意圖如圖6所示。D.1.2 測評對象
根據用電信息系統的實際情況,分別確定物理安全、網絡安全、主機安全、應用安全等各層面的測評對象。
a)物理方面主要是測評屏蔽機房和主機房。
b)網絡方面主要測評的設備有:路由器、交換機、防火墻、IDS、外聯檢測、防病毒等,如表11所示。
c)主機方面主要測評的主機服務器(包括數據庫服務器)如表12所示。
d)應用方面主要測評的應用系統如表13所示。
e)安全管理,主要測評對象為與信息安全管理有關的策略、制度、操作規程、運行記錄、管理人員、技術人員和相關設備設施等。
D.1.3 測評指標
被測系統的定級結果為:安全保護等級為3級,業務信息安全等級為S3,系統服務安全等級為A2;則該系統的測評指標應包括GB/T 22239-2008“技術要求”中的3級通用指標類(G3),3級業務信息安全指標類(S3),2級系統服務安全指標類(A2),以及第3級“管理要求”中的所有指標類。本次測評的測評指標情況具體如表14所示。
D.1.4 測評工具和接入點
本次測評的信息系統為3級信息系統,根據3級信息系統的測評強度要求,在測試的廣度上,應基本覆蓋不同類型的機制,在數量、范圍上可以抽樣;在測試的深度上,應執行功能測試和滲透測試,功能測試可能涉及機制的功能規范、高級設計和操作規程等文檔,滲透測試可能涉及機制的所有可用文檔,并試圖智取進入信息系統等。因此,對其進行測評,應涉及到漏洞掃描工具、滲透測評工具集等多種測試工具。針對被測系統的網絡邊界和測評設備、主機和業務應用系統的情況,需要在被測系統及其互聯網絡中設置6個測試工具接入點――接入點JA到JF,如圖7所示,“接入點”標注表示進行工具測試時,需要從該接入點接入,對應的箭頭路線表示工具測試數據的主要流向示意。
a)在接入點JA接入掃描器,模擬Internet用戶,探測對外服務功能區上各服務器對Internet暴露的安全漏洞情況。并根據漏洞掃描的結果接入滲透測試工具集,試圖利用服務器的安全漏洞入侵服務器。b)在接入點JB接入掃描器,模擬外聯單位,探測對外服務功能區上各服務器對外聯單位暴露的安全漏洞情況。并根據漏洞掃描的結果接入滲透測試工具集,試圖利用服務器的安全漏洞入侵服務器。
c)在接入點JC接入掃描器,直接測試對外服務功能區上各服務器對網絡暴露的安全漏洞情況。同時,試圖穿過防火墻,探測業務處理功能區上各服務器對外暴露的安全漏洞情況。并根據漏洞掃描的結果接入滲透測試工具集,試圖利用業務處理功能區上各服務器的安全漏洞入侵服務器。d)……
D.1.5 測評內容
本次測評的單項測評從技術上的物理安全、網絡安全、主機系統安全、應用安全和數據安全五個層面和管理上的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面分別進行。a)物理安全
物理安全測評將通過訪談、文檔審查和實地察看的方式測評信息系統的物理安全保障情況。主要涉及對象為屏蔽機房和主機房。
在內容上,物理安全層面測評實施過程涉及10個測評單元,具體如表15所示:
b)網絡安全
網絡安全測評將通過訪談、配置檢查和工具測試的方式測評信息系統的網絡安全保障情況。主要涉及對象為網絡互聯設備、網絡安全設備和網絡拓撲結構等三大類對象。
在內容上,網絡安全層面測評實施過程涉及7個測評單元,具體如表16所示:
c)主機系統安全
主機系統安全測評將通過訪談、配置檢查和工具測試的方式測評信息系統的主機安全保障情況。本次重點測評的操作系統包括各網站服務器、應用服務器和數據庫服務器等的操作系統,數據庫管理系統為數據庫服務器Sybase。
在內容上,主機系統安全層面測評實施過程涉及7個測評單元,具體如表17所示。
d)應用安全
應用安全測評將通過訪談、配置檢查和工具測試的方式測評信息系統的應用安全保障情況,主要涉及對象為用電信息系統、對外服務網站系統和遠程客戶服務系統。
在內容上,應用安全層面測評實施過程涉及9個測評單元,具體如表18所示。
e)數據安全
數據安全測評將通過訪談、配置檢查的方式測評信息系統的數據安全保障情況,主要涉及對象為信息系統的管理數據及業務數據等。
在內容上,數據安全層面測評實施過程涉及3個測評單元,具體如表19所示。
f)安全管理部分
安全管理部分為全局性問題,涉及安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等五個方面。其中,安全管理制度測評實施過程涉及3個測評單元,安全管理機構測評實施過程涉及5個測評單元,人員安全管理測評實施過程涉及5個測評單元,系統建設管理測評實施過程涉及11個測評單元,系統運維管理測評實施過程涉及13個測評單元等。由于管理部分的測評內容在描述時差異不大,這里以安全管理制度部分為例說明。
安全管理制度方面的測評對象主要為安全主管人員、安全管理人員等,具體如表20所示。
D.1.6 測評指導書
下面從被測系統的物理安全、網絡安全、主機安全、應用安全等技術部分和安全管理部分分別舉例說明測評指導書的格式和開發方法。a)物理安全
按照方案的要求,物理安全應測評物理位置選擇(G3)、物理訪問控制(G3)、防盜竊和防破壞(G3)、防雷擊(G3)、防水和防潮(G3)、防靜電(G3)、溫濕度控制(G3)、電力供應(A2)和電磁防護(S3)等。在GB/T 22239-2008中找到對應等級項目的要求,然后在GB/T DDDD-DDDD中找到相應的測評方法。如:對于溫濕度控制(G3),在GB/T 22239-2008中的描述為“機房應設置溫、濕度自動調節設施,使機房溫、濕度的變化在設備運行所允許的范圍之內。”,按照該要求在GB/T DDDD-DDDD的第三級中找到對應測評方法,然后按照該方法開發出對應的預期結果。按照上述思路,對于“溫濕度控制(G3)”可以開發出如下的測評指導書。【測評項】
機房應設置溫、濕度自動調節設施,使機房溫、濕度的變化在設備運行所允許的范圍之內。【測評實施過程】
1. 應訪談物理安全負責人,詢問機房是否配備了溫、濕度自動調節設施,保證溫濕度能夠滿足計算機設備運行的要求,是否在機房管理制度中規定了溫濕度控制的要求,是否有人負責此項工作;
2. 應訪談機房維護人員,詢問是否定期檢查和維護機房的溫濕度自動調節設施,詢問是否出現過溫濕度影響系統運行的事件;
3. 應檢查機房是否有溫濕度控制設計/驗收文檔,是否能夠滿足系統運行需要,是否與當前實際情況相符合;
4. 應檢查溫、濕度自動調節設施是否能夠正常運行,查看溫濕度記錄、運行記錄和維護記錄;查看機房溫、濕度是否滿足GB 2887-89《計算站場地技術條件》的要求。
【預期結果】
1. 執行步驟1),機房配備了溫、濕度自動調節設施,在機房管理制度中規定了溫濕度控制的要求,有人負責此項工作;
2. 執行步驟2),定期檢查和維護機房的溫濕度自動調節設施,沒有出現過溫濕度影響系統運行的事件; 3. 執行步驟3),有溫濕度控制設計/驗收文檔,能夠滿足系統運行需要,與當前實際情況相符合; 4. 溫、濕度自動調節設施能夠正常運行,機房溫、濕度滿足GB 2887-89《計算站場地技術條件》的要求。b)網絡安全
按照測評方案的要求,核心交換機SJ6509應測評網絡訪問控制(G3)、網絡安全審計(G3)、網絡設備防護(G3)等部分的內容。在GB/T 22239-2008中找到對應等級項目的要求,然后在GB/T DDDD-DDDD中找到相應的測評方法。如:對于網絡設備防護(G3),在GB/T 22239-2008中的描述之一為“應對網絡設備的管理員登錄地址進行限制”,按照該項要求找到對應測評實施(方法),然后開發出對應的操作步驟和預期結果即可。按照上述思路,對于“網絡設備防護(G3)” 的一個測評項可以開發如下的測評指導書。【測評項】
應對網絡設備的管理員登錄地址進行限制。【測評實施過程】
1. 應檢查邊界和主要網絡設備上的安全設置,查看是否對邊界和主要網絡設備的管理員登錄地址進行限制;
2. 應測試邊界和主要網絡設備的安全設置,對網絡設備的管理員登錄地址進行限制(如使用任意地址登錄,觀察網絡設備的動作等)等功能是否有效。
【操作步驟】
1. 執行命令:show ip permit,查看IP地址限定情況;
2. 在業務處理功能區中,用主機192.168.1.3(限制的IP地址)試圖登錄SJ6509的管理界面,查看是否成功。
【預期結果】
1. 執行步驟1),系統對管理IP地址進行了限定;
2. 執行步驟2),192.168.1.3登錄SJ6509的管理界面失敗。c)主機安全
按照方案的要求,DB2(數據庫為Sybase)應測評身份鑒別(S3)、自主訪問控制(S3)、強制訪問控制(S3)、安全審計(G3)、資源控制(A2)、數據備份與恢復(A2)、數據完整性(S3)、數據保密性(S3)等部分的內容。在GB/T 22239-2008中找到對應等級項目的要求,然后在GB/T DDDD-DDDD中找到相應的測評方法。如:對于身份鑒別(S3),在測評項中的描述之一為“應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別”,按照該項要求找到對應測評實施方法,然后開發對應操作步驟和預期結果。按照上述思路,對于“身份鑒別(S3)”的一個測評項可以開發如下的測評指導書。【測評項】
應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。【測評實施過程】
應檢查主要數據庫管理系統,查看對管理用戶的身份鑒別是否采用兩個及兩個以上鑒別技術的組合來進行身份鑒別(如采用用戶名/口令、挑戰應答、動態口令、物理設備、生物識別技術和數字證書方式的身份鑒別技術中的任意兩個組合)。【操作步驟】
1. 在DB2主機上執行命令:select * from syslogins,查看是否有用戶存在空口令;
2. 詢問數據庫管理員,除使用口令鑒別外是否采用其他的鑒別方式,如果有,則檢查其是否有效。
【預期結果】
1. 執行步驟1),數據庫沒有空口令用戶,從而說明數據庫管理系統采用口令鑒別方式; 2. 執行步驟2),數據庫管理系統還采取有其他的鑒別方式,并且有效。d)應用安全和數據安全
按照方案的要求,業務應用程序(用戶自主開發)應測評身份鑒別(S3)、訪問控制(S3)、安全審計(G3)、剩余信息保護(G3)、通信完整性(S3)、通信, 保密性(S3)、抗抵賴(S3)、軟件容錯(A3)、資源控制(A3)、數據備份與恢復(A3)、數據完整性(S3)、數據保密性(S3)等部分的內容。在GB/T 22239-2008中找到對應等級項目的要求,然后在GB/T DDDD-DDDD中找到相應的測評方法。如:對于通信保密性(S3),在測評項中的描述之一為“應對通信過程中的整個報文或會話過程進行加密。”,按照該項要求找到對應測評實施方法,然后開發出對應操作步驟和預期結果。按照上述思路,對于“通信保密性(S3)”的一個測評項可以開發如下的測試用例。【測評項】
應對通信過程中的整個報文或會話過程進行加密。【測評實施過程】
1. 應訪談安全管理員,詢問業務系統數據在通信過程中是否采取保密措施,具體措施有哪些; 2. 應測試主要應用系統,通過查看通信雙方數據包的內容,查看系統在通信過程中,對整個報文或會話過程進行加密的功能是否有效。
【操作步驟】
1. 應訪談安全管理員,詢問業務系統數據在通信過程中是否采取保密措施,具體措施有哪些; 2. 應采用協議分析工具測試應用系統,通過查看通信雙方數據包的內容,查看系統在通信過程中,是否對整個報文或會話過程進行加密,加密功能是否有效。
【預期結果】
1. 執行步驟1),業務系統采用了保密措施,且能具體說明保密措施;
2. 執行步驟2),協議分析工具看到的數據包進行了加密,且加密方法符合國家規定,時有效的。e)管理安全
管理安全部分在測評時可以按照GB/T DDDD-DDDD中介紹的測評實施過程在現場直接實施使用。對于系統運維管理中的密碼管理“應建立密碼使用管理制度,使用符合國家密碼管理規定的密碼技術和產品”的要求可以編制如下的測評指導書。【測評項】
應建立密碼使用管理制度,使用符, 合國家密碼管理規定的密碼技術和產品。【測評實施過程】
1. 應訪談安全員,詢問密碼技術和產品的使用是否遵照國家密碼管理規定; 2. 應檢查是否具有密碼使用管理制度。
【預期結果】 1. 執行步驟1),密碼技術和產品的使用遵照國家密碼管理規定; 2. 執, 行步驟2),有密碼使用管理制度。
D.2 測評報告編制示例
等級測評報告一般包括:概述、被測系統描述、測評對象說明、測評指標說明、測評內容和方法說明、單元測評的結果記錄及結果匯總、整體測評、測評結果匯總、風險分析和評價、等級測評結論、整改建議等內容。下面主要舉例說明整體測評和整改建議這兩部分內容。D.2.1 整體測評 a)物理層面
1. 由于屏蔽機房位于主機房內部,其唯一出口也在主機房內,因此,對其物理層面的安全要求中的物理訪問控制、防盜竊和防破壞的測評項可以通過關聯互補關系得到 補充。2. ……
綜合以上測評分析過程,可以得到如表21物理層面的整體測評結果(安全控制間、層面間和區域間):
b)網絡層面
1. 外聯功能區撥號路由器DW3600上基本沒有直接采取較好的撥號訪問控制措施,只是對用戶進行了固定IP地址分配。但是,由于在防火墻DW208FW上,嚴格限定了撥號接入IP地址的用戶的訪問范圍,從而可以彌補這部分功能。2. 外聯功能區的6臺路由器DW3600在網絡設備防護的用戶身份認證方面,存在口令不強、未限制管理員登錄地址等方面問題,但是,由于這些設備都沒有開放網絡管理(TELNET/HTTP等),全部采取通過本地串口方式來管理,而其又是存放在主機房中,因此,其網絡設備防護安全控制可以通過物理的相關措施(物理訪問控制、防盜竊和防破壞等)得到增強。
3. 對外服務功能區的網絡安全審計功能沒有采取單獨的設備來完成,其網絡流量、用戶行為等的監測、記錄功能是通過網絡入侵防范安全控制的IDS來協助完成的。
4. 網絡安全審計設備IDS具有對部分病毒、蠕蟲攻擊的檢測識別能力,可以部分彌補惡意代碼防范功能,因為,防病毒網關只對郵件數據進行病毒過濾。5. …….綜合以上測評分析過程,可以得到如表22的測評結果:
c)系統結構測評分析
在信息系統整體結構的安全性方面,從被測系統的網絡拓撲結構示意圖來看,該網絡系統雖然有多處相對獨立的出口,但是這些出口除到控制網外的連線都集中到防火墻DW208FW,因此,從在網絡結構上,不存在出口過多的問題;對外服務功能區上防病毒服務器a(拓撲圖上未標出)使用雙網卡方式工作,一邊連接內部網絡,一邊連接對外服務功能區,通過防火墻DW208FW上網升級,這在安全上是不可取的,外部用戶一旦控制防病毒服務器a,則可通過雙網卡直接進入信息系統的內部網絡功能區域,對信息系統的安全構成嚴重威脅。
從被測系統的網絡拓撲結構示意圖來看,內部網絡劃分了多個功能區域,這些功能區域之間采取了網絡訪問控制措施,即使是內網用戶也只能訪問到應用處理功能區上的服務器主機,而不能直接訪問數據存儲功能區的數據庫服務器。這種保護方法符合縱深防御的要求,重點突出,能較好地解決一些安全問題。D.2.2 整改建議
a)安全建議(網絡安全部分)1. 主要問題
.沒有繪制與實際網絡相一致的網絡拓撲結構圖。有一份與實際網絡相一致的網絡拓撲結構圖對網絡管理相當重要,可以方便工作人員掌握網絡的整體情況,便于網絡故障的排除,便于網絡安全設備的策略配置等;
.沒有對重要網段采取網絡層地址與數據鏈路層地址綁定措施。進行MAC地址和IP地址的綁定,有助于防止地址欺騙。
2. 立即整改
需要立即整改的安全建議如下:
.應根據當前運行的網絡拓撲情況,繪制與實際網絡相一致的網絡拓撲結構圖,以便于工作人員掌握網絡結構的整體情況;
3. 持續改進
需要持續改進的建議如下:
.對重要網段采取網絡層地址與數據鏈路層地址綁定措施,防止地址欺騙;.購置并在適當網段部署防病毒網關。
b)安全管理方面 1. 主要問題
.與安全管理制度相配套的總體信息安全策略還沒有正式制定,且有部分管理制度沒有制定,如工程實施安全管理制度等。總體性安全策略文件是整個機構開展信息安全工作的綱領,對機構近期和遠期的安全規劃起著重要的指導作用。
沒有方針性文件的指引和統一規劃,機構的信息安全工作則會有工作方向不明確的問題;
.對信息安全關鍵崗位的人員管理缺乏更細粒度的要求。沒有明確對這些崗位的人員是否有區別于其他崗位的更嚴格的錄用要求、日常信用審查等管理要求。
關鍵崗位所從事的工作是信息安全工作的重中之重,加強對這些崗位人員的管理,對做好信息安全工作起到了關鍵的作用。
2. 改進建議
.進一步完善安全管理文件體系,盡快制定信息安全總體政策、方針文件,并進一步補充、完善、細化各類管理制度,如工程安全實施管理制度、系統交付管理制度等,從而形成高層策略文件、各類管理制度、具體操作規程和各類操作記錄等四層塔式管理文件體系;
.加強對關鍵崗位人員(如系統管理員、網絡管理員、安全管理員)的管理,定期對其進行信用審查,并要求其簽署崗位安全協議,使其承諾在崗位上的具體安全責任、工作職責以及保密義務,從而保證對關鍵崗位進行關鍵管理。
![下載舞蹈技術等級測評信息大全表[全文5篇]word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點擊咨詢 