1、LOGO第五章第五章 信息系统安全测评信息系统安全测评信息安全管理LOGO本讲内容本讲内容信息系统安全测评原则信息系统安全测评原则1235信息系统安全等级测评要求信息系统安全等级测评要求信息系统安全测评流程信息系统安全测评流程3LOGO本讲内容本讲内容信息系统安全管理测评信息系统安全管理测评4535信息安全等级保护与等级测评信息安全等级保护与等级测评等级测评实例等级测评实例6LOGO信息系统安全信息系统安全测评原则测评原则 v客观性和公正性原则客观性和公正性原则v经济性和可重用性原则经济性和可重用性原则v可重复性和可再现性原则可重复性和可再现性原则v符合性原则符合性原则 LOGO信息系统安全等
2、级测评要求信息系统安全等级测评要求 v术语和定义术语和定义v测评框架测评框架v等级测评内容等级测评内容v测评力度测评力度v使用方法使用方法v信息系统单元测评信息系统单元测评v信息系统整体测评信息系统整体测评v等级测评结论等级测评结论LOGO信息系统安全等级测评要求信息系统安全等级测评要求 v术语和定义术语和定义 1.访谈访谈 interview访谈访谈是指测评人员通过是指测评人员通过引导信息系统引导信息系统相关人员进行有相关人员进行有目的目的(有(有针对性的)交流以帮助测评人员理解、澄清或取得证据的针对性的)交流以帮助测评人员理解、澄清或取得证据的过程过程 2.检查检查 examination
3、检查是指测评人员通过检查是指测评人员通过对测评对象对测评对象(如制度文档、各类设备、(如制度文档、各类设备、安全配置等)进行观察、查验、分析以帮助测评人员的理解、安全配置等)进行观察、查验、分析以帮助测评人员的理解、澄清或取得证据的过程。澄清或取得证据的过程。3.测试测试 testing测试测试是指测评人员使用是指测评人员使用预定的方法预定的方法/工具使测评对象工具使测评对象(各类(各类设设 备备和安全配置)产生特定的结果,将运行结果与预期的结果进和安全配置)产生特定的结果,将运行结果与预期的结果进行对比的过程。行对比的过程。LOGO信息系统安全等级测评要求信息系统安全等级测评要求 v测评框架
4、测评框架信息系统安全等级保护测评(以下简称信息系统安全等级保护测评(以下简称等等级测评)的概念性框架由三部分构成:级测评)的概念性框架由三部分构成:测测评输入评输入、测评过程测评过程和和测评输出测评输出。图图5-15-1给出了框架,如下图:给出了框架,如下图:LOGO信息系统安全等级测评要求信息系统安全等级测评要求测评规程(步骤)测评规程(步骤)访谈规程(步骤)访谈规程(步骤)检查规程(步骤)检查规程(步骤)测试规程(步骤)测试规程(步骤)规程(步骤)说明规程(步骤)说明GB/T22239-GB/T22239-20082008第四级第四级目录目录信息系统的信息系统的安全保护等安全保护等级级测评
5、方法测评方法访谈访谈检查检查测试测试测评对象测评对象制度文档制度文档各类设备各类设备安全配置安全配置相关人员相关人员图图5-1 测评框架测评框架测评输入测评输入 测评过程测评过程测评输出测评输出LOGO信息系统安全等级测评要求信息系统安全等级测评要求 测评测评输入输入包括包括GB/T22239-2008GB/T22239-2008第四级第四级目录目录和和信信息系统息系统的安全保护的安全保护等级等级 过程过程组件组件为一组与输入组件中所标识的安全控为一组与输入组件中所标识的安全控制相关的特定制相关的特定测评对象和测评测评对象和测评方法方法。输出组件输出组件包括一组由测评人员使用的用于确定包括一组
6、由测评人员使用的用于确定安全控制有效性的安全控制有效性的程序化陈述程序化陈述。LOGO信息系统安全等级测评要求信息系统安全等级测评要求 测评测评对象对象是指测评实施的对象,即测评过程中是指测评实施的对象,即测评过程中涉及到的涉及到的制度文档制度文档、各类设备各类设备及其及其安全配置安全配置和和相关人员相关人员等等。测评方法测评方法包括:包括:访谈访谈 检查检查 测试测试LOGO信息系统安全等级测评要求信息系统安全等级测评要求v等级测评内容等级测评内容 等级测评的实施过程等级测评的实施过程由由单元测评单元测评和和整体测评整体测评两两部分构成部分构成。单元测评满足概念性框架的三部分内容:单元测评满
7、足概念性框架的三部分内容:测评测评输入、测评过程和测评输出输入、测评过程和测评输出。整体测评整体测评主要包括主要包括安全控制点间安全控制点间、层面间层面间和和区区域间域间安全测评安全测评LOGO信息系统安全等级测评要求信息系统安全等级测评要求v测评力度测评力度 测评力度是在测评过程中实施测评工作的力度,测评力度是在测评过程中实施测评工作的力度,反映测评的反映测评的广度和深度广度和深度,体现为测评工作的,体现为测评工作的实实际投入程度际投入程度。测评测评广度越大,测评实施的范围越大,测评广度越大,测评实施的范围越大,测评实施包含的测评对象就越多实施包含的测评对象就越多;测评测评深度越深,越需要在
8、细节上展开,测评深度越深,越需要在细节上展开,测评就就越严格越严格,因此就越需要更多的投入,因此就越需要更多的投入。投入越多,测评力度就越强,测评就越有保投入越多,测评力度就越强,测评就越有保证证LOGO信息系统安全等级测评要求信息系统安全等级测评要求v使用方法使用方法第5-8章中 各章各章二级目录都分为安全技术和安全管理两部分二级目录都分为安全技术和安全管理两部分 三级目录从安全层面(如物理安全、网络安全、三级目录从安全层面(如物理安全、网络安全、主机安全等)进行划分和描述主机安全等)进行划分和描述GB/T 28448-2012第五章第五章GB/T 28448-2012第六章第六章GB/T
9、28448-2012第七章第七章GB/T 28448-2012第八章第八章第一级信息系统第二级信息系统第三级信息系统第四级信息系统GB/T 22239-2008GB/T 22239-2008GB/T 22239-2008GB/T 22239-2008LOGO信息系统安全等级测评要求信息系统安全等级测评要求 四级目录按照安全控制点进行划分和描述四级目录按照安全控制点进行划分和描述 五级目录是每一个安全控制点下面包括的具体五级目录是每一个安全控制点下面包括的具体安全要求项安全要求项 测评的最终输出是测评的最终输出是测评报告测评报告,测评报告应结合,测评报告应结合5.2.85.2.8的要求的要求给出
10、等级测评结论给出等级测评结论。LOGO信息系统安全等级测评要求信息系统安全等级测评要求 v信息系统单元测评 信息系统单元测评 信息系统单元测试信息系统单元测试第一级信息系统第一级信息系统单元测试单元测试第二级信息系统第二级信息系统单元测试单元测试第三级信息系统第三级信息系统单元测试单元测试第四级信息系统第四级信息系统单元测试单元测试第五级信息系统第五级信息系统单元测试单元测试LOGO信息系统安全等级测评要求信息系统安全等级测评要求 v物理安全物理安全 物理位置物理位置 物理访问控制物理访问控制 防盗窃和防破坏防盗窃和防破坏 防雷击、防火、防水和防潮、防静电防雷击、防火、防水和防潮、防静电 温湿
11、度控制温湿度控制 电力供应电力供应 电磁防护电磁防护LOGO信息系统安全等级测评要求信息系统安全等级测评要求 v主机安全主机安全 身份鉴别身份鉴别 安全标记安全标记 访问控制访问控制 可信路径可信路径 安全审计安全审计 剩余信息保护剩余信息保护 入侵防范,恶意代码防范入侵防范,恶意代码防范 资源控制资源控制LOGO信息系统安全等级测评要求信息系统安全等级测评要求 网络网络安全的安全的定义:定义:网络网络系统系统的的硬件硬件、软软件件及其及其系统中的系统中的数据数据受到保受到保护,不因偶然的或者恶意的原因而遭受到护,不因偶然的或者恶意的原因而遭受到破坏、破坏、更改、泄露更改、泄露,系统连续,系统
12、连续可靠正常地运行可靠正常地运行,网络网络服服务务不不中断中断。网络安全包括结构安全、访问控制、。网络安全包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等码防范、网络设备防护等方面方面。LOGO信息系统安全等级测评要求信息系统安全等级测评要求 v数据安全及备份恢复包括:数据安全及备份恢复包括:数据完整性数据完整性 数据保密性数据保密性 备份备份 恢复恢复LOGO信息系统安全等级测评要求信息系统安全等级测评要求 v安全管理制度包括:安全管理制度包括:管理制度管理制度 制定和发布制定和发布 评审和修订评审和修订LOG
13、O信息系统安全等级测评要求信息系统安全等级测评要求 v安全管理机构安全管理机构包括:包括:岗位设置岗位设置 人员配备人员配备 授权和审批授权和审批 沟通和合作沟通和合作 审核和检查审核和检查LOGO信息系统安全等级测评要求信息系统安全等级测评要求 v人员安全管理人员安全管理包括:包括:人员录用人员录用 人员离岗人员离岗 人员考核人员考核 安全意识教育和培训安全意识教育和培训 外部人员访问管理外部人员访问管理LOGO信息系统安全等级测评要求信息系统安全等级测评要求 v系统运维管理系统运维管理包括:包括:环境管理环境管理 资产管理资产管理 介质管理介质管理 设备管理设备管理 监控监控管理管理和安全
14、管理和安全管理中心中心 网络安全管理网络安全管理 系统安全管理系统安全管理 恶意恶意代码防范代码防范管理管理 密码密码管理、变更管理、备份与恢复管理、管理、变更管理、备份与恢复管理、安全事件处安全事件处置置、应急预案管理应急预案管理人员离岗人员离岗LOGO信息系统安全等级测评要求信息系统安全等级测评要求 v信息系统整体测评信息系统整体测评 概述概述 安全控制点间安全控制点间测评测评 层面间层面间测评测评 区域间区域间测评测评LOGO信息系统安全等级测评要求信息系统安全等级测评要求v等级测评结论等级测评结论 各层面的测评各层面的测评结论结论等级测评报告应给出信息系统在安全技术和安全管理各个层面的
15、测评结论 风险分析风险分析和和评价评价等级测评报告中应对整体测评之后单元测评结果中的不符合项或部分符合项进行风险分析和评价LOGO信息系统安全等级测评要求信息系统安全等级测评要求测评结论测评结论 等级测评报告应给出等级测评报告应给出信息系统整体保护能力信息系统整体保护能力的测评的测评 结结论,确认信息系统达到相应等级保护要求的论,确认信息系统达到相应等级保护要求的程度程度。如果单元测评结果中如果单元测评结果中没有不符合项或部分符合项没有不符合项或部分符合项,则测评结论为则测评结论为“符合符合”;如果单元测评结果如果单元测评结果存在存在不符合项或部分符合项,但不符合项或部分符合项,但所产生的安全
16、问题所产生的安全问题不会导致不会导致信息系统存在信息系统存在高等级安高等级安全风险全风险,则测评结论为,则测评结论为“基本符合基本符合”;如果单元测评结果如果单元测评结果存在存在不符合项或部分符合项,且不符合项或部分符合项,且所产生的安全问题所产生的安全问题导致导致信息系统存在信息系统存在高等级安全风高等级安全风险险,则测评结论为,则测评结论为“不符合不符合”。LOGO信息系统安全测评流程信息系统安全测评流程 v信息系统安全测评包括:信息系统安全测评包括:资料审查资料审查 核查测试核查测试 综合评估综合评估测评流程如图测评流程如图5-25-2所示所示LOGO信息系统安全测评流程信息系统安全测评
17、流程 与被测单位协商,帮助用户完善应提交的相关资料被测用户提交测评申请以及相关材料测评机构对被测单位提供的资料进行形式化审查向被测单位出具形式化审查报告形式化审查是否通过?制定信息系统安全测评计划召开系统安全测评协调会,双方确认测评计划制定系统安全测评方案实施现场核查测试整理测试数据,形成核查测试报告形成系统安全测评综合评估报告对用户资料和测试报告进行综合分析,形成分析意见审定系统安全测评综合评估报告LOGO信息系统安全测评流程信息系统安全测评流程 v资料审查资料审查被测用户应向安全测评机构被测用户应向安全测评机构提交测评申请提交测评申请,并提,并提交相关资料;交相关资料;安全测评机构收到用户
18、系统测评申请后,根据用安全测评机构收到用户系统测评申请后,根据用户测评申请提供的资料,进行户测评申请提供的资料,进行形式化审查形式化审查,审查,审查用户资料是否用户资料是否满足测评要求满足测评要求;向用户提供形式化向用户提供形式化审查报告审查报告。LOGO信息系统安全测评流程信息系统安全测评流程 v核查测试核查测试测评机构依据本规范和用户提供的资料,制定系测评机构依据本规范和用户提供的资料,制定系统安全统安全测评计划测评计划;召开系统安全测评协调会,测评双方召开系统安全测评协调会,测评双方共同确认共同确认系系统安全测评计划;统安全测评计划;依据系统安全测评计划制定系统安全依据系统安全测评计划制
19、定系统安全测评方案测评方案;依据系统安全测评方案实施依据系统安全测评方案实施现场核查现场核查测试;测试;对核查测试结果进行数据整理记录,并形成对核查测试结果进行数据整理记录,并形成核查核查测试报告测试报告。LOGO信息系统安全测评流程信息系统安全测评流程 v综合评估综合评估依据本规范,对用户资料和测试报告进行依据本规范,对用户资料和测试报告进行综合分综合分析析,形成分析意见;,形成分析意见;就分析意见与用户沟通确认,最终形成系统安全就分析意见与用户沟通确认,最终形成系统安全测评综合测评综合评估报告评估报告;对系统安全测评综合评估报告进行对系统安全测评综合评估报告进行审定审定;出具信息系统安全测
20、评出具信息系统安全测评综合评估报告和审定书综合评估报告和审定书。LOGO信息系统安全管理测评信息系统安全管理测评 v术语和定义:术语和定义:安全审计安全审计(security audit):(security audit):对信息系统记录对信息系统记录与活动的独立的审查和检查,以测试系统控制与活动的独立的审查和检查,以测试系统控制的充分程度,确保符合已建立的安全策略和操的充分程度,确保符合已建立的安全策略和操作过程,检测出安全违规,并对在控制、安全作过程,检测出安全违规,并对在控制、安全策略和过程中指示的变化提出建议。策略和过程中指示的变化提出建议。风险评估风险评估(risk assessme
21、nt):(risk assessment):风险识别、分风险识别、分析、估值的全过程,其目标是确定和估算风险析、估值的全过程,其目标是确定和估算风险值。值。LOGO信息系统安全管理测评信息系统安全管理测评 安全策略安全策略(security policy):(security policy):一个组织为其运一个组织为其运转而规定的一个或多个安全规则、规程、惯例转而规定的一个或多个安全规则、规程、惯例和指南。和指南。监测验证监测验证(validate by inspect and test):(validate by inspect and test):通过对与安全管理有关的监测信息通过对与安全
22、管理有关的监测信息(包括审计包括审计信息以及各种监测、监控机制收集的信息信息以及各种监测、监控机制收集的信息)的的分析,对安全管理实施的有效性进行验证的过分析,对安全管理实施的有效性进行验证的过程。程。LOGO信息系统安全管理测评信息系统安全管理测评 v管理评估的基本原则:管理评估的基本原则:对对信息系统安全管理的评估除应坚持科学性、信息系统安全管理的评估除应坚持科学性、有效性、公正性等基本原则外,还应遵循以下原有效性、公正性等基本原则外,还应遵循以下原则:则:体系化体系化原则原则 标准化标准化原则原则 一致性一致性原则原则 风险风险可控性原则可控性原则 安全管理安全管理保证原则保证原则 安全
23、性安全性和公正性原则和公正性原则LOGO信息系统安全管理测评信息系统安全管理测评 v评估方法:评估方法:调查性访谈调查性访谈 调查调查性访谈主要对象性访谈主要对象a)a)组织的领导、信息化主管领导、信息部门领导;组织的领导、信息化主管领导、信息部门领导;b)b)物理安全主管及资产管理、机房值守、机房维护物理安全主管及资产管理、机房值守、机房维护人员;人员;c)c)运行维护主管及网络管理、系统管理、数据库管运行维护主管及网络管理、系统管理、数据库管理、应用软件维护、硬件维护、文档介质管理人员理、应用软件维护、硬件维护、文档介质管理人员等。等。LOGO信息系统安全管理测评信息系统安全管理测评 v评
24、估方法:评估方法:调查调查性访谈准备性访谈准备调查性访谈前,应准备调查问卷,提高访谈效率。调查性访谈前,应准备调查问卷,提高访谈效率。确保问题的答案是确保问题的答案是“是否不确定是否不确定”。对等级要。对等级要求明确的内容应建立检查表,确保检查表结构清晰,求明确的内容应建立检查表,确保检查表结构清晰,提高数据取得的一致性。提高数据取得的一致性。LOGO信息系统安全管理测评信息系统安全管理测评 v评估方法评估方法:调查调查性访谈阶段划分性访谈阶段划分 调查调查性访谈是从被评估单位相关组织中的成员以性访谈是从被评估单位相关组织中的成员以及其他机构获得评估证据的一种方法。调查性访谈及其他机构获得评估
25、证据的一种方法。调查性访谈应划分为以下阶段:应划分为以下阶段:a a)初步访谈:用于收集信息安全管理体系的一般初步访谈:用于收集信息安全管理体系的一般信息,策划后续各种访谈战略;信息,策划后续各种访谈战略;b b)实事收集访谈:主要用于根据安全管理体系特实事收集访谈:主要用于根据安全管理体系特定要求,针对特定对象的访谈定要求,针对特定对象的访谈;LOGO信息系统安全管理测评信息系统安全管理测评 v评估方法:评估方法:c)c)后续深入访谈:主要是在对事实收集访谈收后续深入访谈:主要是在对事实收集访谈收集到的信息进行分析并发现问题后进行的,目的是集到的信息进行分析并发现问题后进行的,目的是寻找解决
26、问题的答案;寻找解决问题的答案;d)d)结案性访谈:指评估工作结束时的会议,通结案性访谈:指评估工作结束时的会议,通过与被评估单位进行会议讨论,保证评估结论、评过与被评估单位进行会议讨论,保证评估结论、评估发现、建议的正确性。估发现、建议的正确性。LOGO信息系统安全管理测评信息系统安全管理测评 v评估方法评估方法:调查调查性访谈质量控制性访谈质量控制 应从应从访谈对象的广度和访谈内容的深度进行访谈对象的广度和访谈内容的深度进行控制。根据不同安全等级的不同要求,调查性访谈控制。根据不同安全等级的不同要求,调查性访谈的质量控制分为:的质量控制分为:LOGO信息系统安全管理测评信息系统安全管理测评
27、 v评估方法:评估方法:控制级别控制级别 访谈对象访谈对象 访谈要求访谈要求对安全管理规范、机制以对安全管理规范、机制以及相关的具体情况的了解及相关的具体情况的了解一级控制一级控制负责人为主负责人为主一般性访谈,内容可一般性访谈,内容可简要简要 广泛、大致了解广泛、大致了解二级控制二级控制负责人、技术人负责人、技术人员为主员为主重点访谈,内容应充重点访谈,内容应充分分 较深入了解较深入了解三级控制三级控制负责人、技术人负责人、技术人员、操作人员为员、操作人员为主主全面访谈,内容应覆全面访谈,内容应覆盖各方面盖各方面 全面了解全面了解四级控制四级控制负责人、技术人负责人、技术人员、操作人员为员、
28、操作人员为主主全面访谈,访谈内容全面访谈,访谈内容应覆盖各方面应覆盖各方面力求准确、全面掌握安全管力求准确、全面掌握安全管理要求落实情况细节理要求落实情况细节五级控制五级控制负责人、技术人负责人、技术人员、操作人员为员、操作人员为主主全面访谈,访谈内容全面访谈,访谈内容应覆盖各方面,或设应覆盖各方面,或设定专项内容定专项内容准确、全面掌握安全管理要准确、全面掌握安全管理要求落实情况细节求落实情况细节LOGO信息系统安全测评流程信息系统安全测评流程 v评估方法评估方法:符合性检查符合性检查 符合符合性检查主要对象性检查主要对象a)a)信息安全方针、政策、计划、规程、系统要求文信息安全方针、政策、
29、计划、规程、系统要求文档;档;b)b)系统设计和接口规格文档;系统设计和接口规格文档;c)c)系统操作、使用、管理及各类日志管理的相关规系统操作、使用、管理及各类日志管理的相关规定等。定等。LOGO信息系统安全测评流程信息系统安全测评流程 v评估方法:评估方法:符合性检查方法符合性检查方法a)a)根据安全管理标准和被评估单位的安全管理体系根据安全管理标准和被评估单位的安全管理体系相关文件的要求,检查安全管理运行过程或各个环相关文件的要求,检查安全管理运行过程或各个环节的文档的具体规定是否与有关要求相节的文档的具体规定是否与有关要求相一致一致b b)为了减少评估对象的工作量,评估人员应尽最为了减
30、少评估对象的工作量,评估人员应尽最大可能重复使用以前的安全管理控制评价的结果和大可能重复使用以前的安全管理控制评价的结果和证据。证据。LOGO信息系统安全管理测评信息系统安全管理测评 v评估方法评估方法:符合符合性检查质量控制性检查质量控制 对对符合性检查的质量,应从检查对象的广度和符合性检查的质量,应从检查对象的广度和检查内容的深度进行控制。根据不同安全等级的不检查内容的深度进行控制。根据不同安全等级的不同要求,符合性检查的质量控制分为:同要求,符合性检查的质量控制分为:LOGO信息系统安全管理测评信息系统安全管理测评 v评估方法:评估方法:控制级别控制级别 抽样相关事项抽样相关事项 检查相
31、关事项检查相关事项一级控制一级控制 种类和数量都较少种类和数量都较少一般检查,进行概要的高层次检一般检查,进行概要的高层次检查、观察或核查查、观察或核查二级控制二级控制 种类和数量都较多种类和数量都较多重点检查,进行详细分析检查重点检查,进行详细分析检查三级控制三级控制 基本覆盖基本覆盖较全面检查,并对主要安全管理较全面检查,并对主要安全管理控制措施实施的相关信息进行检控制措施实施的相关信息进行检查查四级控制四级控制全覆盖并逐项检查全覆盖并逐项检查全面检查,并对各项安全管理控全面检查,并对各项安全管理控制措施实施的相关信息进行检查制措施实施的相关信息进行检查五级控制五级控制逐项检查,或设定逐项
32、检查,或设定专项内容专项内容除四级控制需要进行的检查外,除四级控制需要进行的检查外,对设定专项内容进行专门检查对设定专项内容进行专门检查LOGO信息系统安全管理测评信息系统安全管理测评 v评估方法:评估方法:有效性验证有效性验证 有效性有效性验证主要对象验证主要对象a)a)针对访问控制策略、制度,采用验证工具进行功针对访问控制策略、制度,采用验证工具进行功能性验证;能性验证;b)b)针对标识与鉴别和审计机制的功能检验;针对标识与鉴别和审计机制的功能检验;c)c)针对安全配置设定的功能检验等。针对安全配置设定的功能检验等。LOGO信息系统安全管理测评信息系统安全管理测评 v评估方法评估方法:有效
33、性有效性验证方法验证方法a)a)检查信息系统的管理者是否已经按检查信息系统的管理者是否已经按GBGBT 20269-T 20269-2006-2006的要求建立了文件化的安全管理体系。的要求建立了文件化的安全管理体系。b)b)检查被确定的过程是否已经得到了充分的展开。检查被确定的过程是否已经得到了充分的展开。c)c)检查过程程序的贯彻实施是否取得了预期期望的检查过程程序的贯彻实施是否取得了预期期望的结果,并以此证明过程是有效的。结果,并以此证明过程是有效的。d)d)有效性可从以下方面进行评价:有效性可从以下方面进行评价:管理控制措施,业务流程,运营措施,技术管理控制措施,业务流程,运营措施,技
34、术控控制制措施,审核措施,审核、回顾和、回顾和测试测试。LOGO信息系统安全管理测评信息系统安全管理测评 v评估方法评估方法:有效性有效性验证质量控制验证质量控制 对对有效性验证的质量,应从验证对象的广度和有效性验证的质量,应从验证对象的广度和验证内容的深度进行控制。根据不同安全等级的不验证内容的深度进行控制。根据不同安全等级的不同要求,有效性验证的质量控制分为:同要求,有效性验证的质量控制分为:a)a)一级一级控制控制b b)二级二级控制控制c)c)三级控制三级控制d d)四四级控制级控制e e)五五级控制级控制LOGO信息系统安全管理测评信息系统安全管理测评 v评估方法:评估方法:监测验证
35、监测验证 监测监测验证的主要依据验证的主要依据a)a)信息系统的各种审计信息系统的各种审计信息;信息;b)b)信息系统的各种安全监测、监控信息系统的各种安全监测、监控信息;信息;c)c)信息系统的物理环境的有关的安全监测、监控信息系统的物理环境的有关的安全监测、监控信信息;息;d)d)其他涉及信息系统安全管理方面的监测、监控信其他涉及信息系统安全管理方面的监测、监控信息。息。LOGO信息系统安全管理测评信息系统安全管理测评 v评估方法评估方法:监测监测验证方法验证方法a)a)以对安全管理的有关信息的分析为依据,对安以对安全管理的有关信息的分析为依据,对安全策略、操作规程和规章制度的符合性、一致
36、性程全策略、操作规程和规章制度的符合性、一致性程度逐一进行评价。度逐一进行评价。b)b)安全管理监测验证分为:安全管理监测验证分为:简单的监测验证;简单的监测验证;充分的监测验证;充分的监测验证;全面的监测验证。全面的监测验证。c)c)安全管理监测验证的安全管理监测验证的过程。过程。LOGO信息系统安全管理测评信息系统安全管理测评 v评估方法评估方法:监测监测验证质量控制验证质量控制a)a)一级控制一级控制b)b)二级二级控制控制c)c)三级控制三级控制d)d)四级控制四级控制e e)五五级控制级控制LOGO信息系统安全管理测评信息系统安全管理测评 v评估实施:评估实施:确定评估目标:确定评估
37、目标:信息系统安全管理评估的目标是,根据已经确信息系统安全管理评估的目标是,根据已经确定的安全管理等级,按照定的安全管理等级,按照GBGBT 20269-2006T 20269-2006相应相应等级的管理内容及管理水平进行符合性、有效性等级的管理内容及管理水平进行符合性、有效性检查和验证,检验信息系统安全管理体系和管理检查和验证,检验信息系统安全管理体系和管理水平是否满足确定等级的管理要求。水平是否满足确定等级的管理要求。LOGO信息系统安全管理测评信息系统安全管理测评 v评估评估实施实施:控制评估过程:控制评估过程:a)a)确定安全管理评估的范围。确定安全管理评估的范围。b)b)建立安全管理
38、控制措施的评估规程。建立安全管理控制措施的评估规程。c c)优化评估规程以确保评估质量。优化评估规程以确保评估质量。d d)收集以往的评估结果。收集以往的评估结果。e e)形成安全管理评估计划并获准执行。形成安全管理评估计划并获准执行。f f)评估实施过程中采取的调查性访谈、符合性检评估实施过程中采取的调查性访谈、符合性检查、有效性验证以及监测验证。查、有效性验证以及监测验证。LOGO信息系统安全管理测评信息系统安全管理测评 v评估评估实施实施:处理评估结果:处理评估结果:a)a)评估结果应按照规定的报告格式记录在案,报评估结果应按照规定的报告格式记录在案,报告内容的分类应与所进行的安全控制评
39、估相一致,告内容的分类应与所进行的安全控制评估相一致,评估记录应及时归档。评估记录应及时归档。b)b)应对评估记录进行分析,确定某一特定安全控应对评估记录进行分析,确定某一特定安全控制的总体效果,说明控制是否按确定的目标正确制的总体效果,说明控制是否按确定的目标正确实施,并达到要求的预期结果。实施,并达到要求的预期结果。c)c)评估人员所给出的评估应能导致作出判断。评估人员所给出的评估应能导致作出判断。d)d)评估人员应识别并评估人员应识别并记录信息系统记录信息系统的任何脆弱性。的任何脆弱性。LOGO信息系统安全管理测评信息系统安全管理测评 v评估评估实施实施:建立保障证据:建立保障证据:a)
40、a)在评估过程中收集证据在评估过程中收集证据,支持,支持被评估机构信息被评估机构信息安全决策安全决策责任人有效责任人有效的决定。的决定。b)b)收集从各种来源获得的保障证据。收集从各种来源获得的保障证据。c)c)收集来自产品层面的评估结果,进行系统层面收集来自产品层面的评估结果,进行系统层面的的评估评估。d)d)从不同详细程度和范围的评估中获取信息。从不同详细程度和范围的评估中获取信息。e)e)了解并记录评估人员的资格。了解并记录评估人员的资格。LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护:信息安全等级保护:概述:概述:信息信息安全等级保护是国家信息安全保障
41、的基安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志全的根本保障,是信息安全保障工作中国家意志的体现的体现。LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护:信息安全等级保护:定级定级原则:原则:国家国家信息安全等级保护坚持信息安全等级保护坚持“自主定级、自自主定级、自主保护主保护”与国家监管相结合的原则。信息系统的与国家监管相结合的原则。信息系统的安全保护等级应当根据
42、信息系统在国家安全、经安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因民、法人和其他组织的合法权益的危害程度等因素确定。素确定。LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护:信息安全等级保护:定级原理:定级原理:(1 1)信息系统安全保护等级:)信息系统安全保护等级:第第一级,信息系统受到破坏后,会对公民、一级,信息系统受到破坏后,会对公民、法人和其他组织的
43、合法权益造成损害,但不损害法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。国家安全、社会秩序和公共利益。第二第二级,信息系统受到破坏后,会对公民、级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家对社会秩序和公共利益造成损害,但不损害国家安全安全。LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护:信息安全等级保护:第三级,信息系统受到破坏后,会对社会秩第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造
44、序和公共利益造成严重损害,或者对国家安全造成损害。成损害。第四级,信息系统受到破坏后,会对社会秩第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安序和公共利益造成特别严重损害,或者对国家安全造成严重损害。全造成严重损害。第五级,信息系统受到破坏后,会对国家安第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。全造成特别严重损害。LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护:信息安全等级保护:(2 2)信息系统安全保护等级的定级要素:)信息系统安全保护等级的定级要素:信息系统的安全保护等级由两个定级要素决信息系统的安全保护等
45、级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。客体造成侵害的程度。其中,等级保护对象受到破坏时所侵害的客其中,等级保护对象受到破坏时所侵害的客体包括以下三个方面:体包括以下三个方面:a)a)公民、法人和其他组织的合法权益;公民、法人和其他组织的合法权益;b)b)社会秩序、公共利益;社会秩序、公共利益;c)c)国家安全。国家安全。LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护:信息安全等级保护:等级保护对象受到破坏后对客体造成侵害的等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种
46、:程度归结为以下三种:a)a)造成一般损害;造成一般损害;b)b)造成严重损害;造成严重损害;c)c)造成特别严重损害造成特别严重损害LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护:信息安全等级保护:(3 3)定级要素与等级的关系:)定级要素与等级的关系:LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护:信息安全等级保护:定级方法:定级方法:(1 1)定级的一般流程:)定级的一般流程:LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护信息安全等级保护:(2 2)确定定级对象:)确定定级对象:作为定级
47、对象的信息系统应具有如下基本特征:作为定级对象的信息系统应具有如下基本特征:a)a)具有唯一确定的安全责任单位。具有唯一确定的安全责任单位。b)b)具有信息系统的基本要素。具有信息系统的基本要素。c)c)承载单一或相对独立的业务应用。承载单一或相对独立的业务应用。LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护信息安全等级保护:(3 3)确定受侵害的客体:)确定受侵害的客体:定级对象受到破坏时所侵害的客体包括国家安全、定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的社会秩序、公众利益以及公民、法人和其他组织的合法权益。确定
48、作为定级对象的信息系统受到破坏合法权益。确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。是否侵害公民、法人和其他组织的合法权益。LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护信息安全等级保护:(4 4)确定对客体的侵害程度:)确定对客体的侵害程度:侵害侵害程度是客观方面的不同外在表现的综合体程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害
49、客体、不同危现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信的财物损失可以从直接的资金损失大小、间接的信息恢复费用等
50、方面进行确定。息恢复费用等方面进行确定。LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护信息安全等级保护:(5)确定定级对象的安全保护等级:确定定级对象的安全保护等级:根据业务信息安全被破坏时所侵害的客体以及对相根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度应客体的侵害程度LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评 v信息安全等级保护信息安全等级保护:根据根据系统服务安全被破坏时所侵害的客体以及对相系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度应客体的侵害程度LOGO信息安全等级保护与等级测评信息安全等级保护与等级测评
