1、等级保护测评相关知识分享为什么要进行测评?政策要求 信息安全等级保护管理办法(公通字200743号)第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。中央财政资金电子政务建设项目建设单位向审批部门提出项目竣工验收申请时,要提供备案证明、测评报告风、险评估报告。(发改高技2008:2071号)内部需求 确定当前安全保护能力水平 找出差距,为后续工作提供依据等级保护测评职责分工 国家信息安全等级保护协调小组办公室负责隶属国家信息安全职能部门和重点行业测评机构受理 各省等
2、保办负责本省测评机构的受理 公安部信息安全等级保护评估中心负责测评机构的能力评估和培训等级保护测评机构业务职能 国字头、职能部门测评机构可全国范围内开展业务,到地方时应事先告知属地等保办。行业测评机构,原则上开展本行业测评,到地方时,应与属地省级等保办协调 地方测评机构原则上本地开展测评,也可到异地开展测评工作,但需事先与当地等保办协调 http:/ 测评机构查询网址如下:测评机构查询网址如下:等级保护测评机构的业务范围 可以开展的业务 等级保护测评 等级保护整改方案的设计 不允许开展的业务 生产安全产品 承担安全项目的集成、实施系统等级组合差异安全等级安全等级信息系统保护要求的组合信息系统保
3、护要求的组合第一级第一级S1A1G1第二级第二级S1A2G2,S2A2G2,S2A1G2第三级第三级S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4业务信息安全类(S)系统服务保障类(A)通用安全保护类(G)u 测评时应明确具体级别组合等级保护测评相关标准 信息系统安全等级保护基本要求 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南等级保护基本要求安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应
4、用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差/9011528等级保护基本要求的核心 基本要求的核心是安全保护能力。即需要达到的基本安全状态。安全保护能力可分为对抗能力和恢复能力。等级保护测评测评的重点就是信息系统的安全保护能力安全保护能力要求 第一级安全保护能力(自主)经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主要功能的能力。第二级安全保护能力(
5、指导)经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。安全保护能力要求 第三级安全保护能力(监督)经过安全建设整改,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要
6、求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力 以上定义来自信息安全等级保护安全建设整改工作指南等级保护测评内容 单元测评 测评指标(依照基本要求)测评实施(描述测评过程中使用的具体测评方法、涉及的测评对象)结果判定(分为符合、不符合、部分符合、不适用)整体测评 单元测评的基础上,通过进一步分析信息系统的整体安全性,对信息系统实施的综合安全测评等级保护测评方法 三种基本测评方法:访谈Interview检查Examine测试Test等级保护测评方法-访谈 访谈的对象是人员。典型的访谈包括:访谈信息安全主管、信息系统安全管理员、系统管理员、网络管理员、人力
7、资源管理员、设备管理员和用户等。通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程。目的是为了了解信息系统的全局性等级保护测评方法-检查 检查包括:评审、核查、审查、观察、研究和分析等方式。检查对象包括文档、机制、设备等。适用情况:对技术要求,检查的内容应该是具体的、较为详细的机制配置和运行实现。对管理要求,检查方法主要用于规范性要求(检查文档)。访谈与检查内容的区别以主机安全中身份鉴别要求为例a)应访谈系统管理员和数据库管理员,询问操作系统和数据库管理系统的身份标识与鉴别机制采取何种措施实现;b)应检查关键服务器操作系统和关键数据库管理系统,查看是
8、否提供了身份鉴别措施。等级保护测评方法-测试 测试包括:功能/性能测试、渗透测试等。测评对象包括机制和设备等。测试一般需要借助特定工具。扫描检测工具 网络协议分析仪 攻击工具 渗透工具 适用情况:对技术要求,测试的目的是验证信息系统当前的、具体的安全机制或运行的有效性或安全强度。对管理要求,一般不采用测试技术。整体测评分析测评形成文档 测评指导书 测评方案 测评报告测评指导书 测评对象准确 步骤描述准确详细,预期结果明确测评方案测评方案系统等级测评报告1、项目概述。主要内容包括:介绍本次测评工作目的,开展测评依据的政策和标准,明确等级测评工作任务安排和时间要求,以及报告分发范围。2、被测信息系
9、统。主要内容包括:以图表形式简要列出被测系统基本信息,描述被测评系统的业务应用情况,通过拓扑结构图介绍系统网络结构基本情况,按照常见的分类以表格形式列出系统的构成,描述被测信息系统的运行环境中与安全相关的部分。3、等级测评范围与方法。主要内容包括:一是测评指标,包括基本指标和特殊指标。依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级,选择基本要求中对应级别的安全要求作为等级测评的基本指标。结合行业和系统的实际,以列表形式给出特殊指标。二是测评对象,根据一定的规则和方法,以表格形式列出测评对象的选择结果。三是测评方法,列出现场测评(访谈、检查、测试)的方法4、单元测评。包括测评指标涉
10、及的物理安全、网络安全、主机安全等10个方面,每一个方面的描述由结果记录、问题分析和单元测评结果等三个部分构成。5、整体测评。参照测评要求从安全控制间、层面间、区域间和系统结构等方面对单元测评的结果进行验证、分析和整体评价。6、测评结果汇总。一是以表格形式汇总测评结果。二是以柱状图形式统计不同设备和安全子类的测评结果。三是以表格形式汇总信息系统中存在的安全问题。7、风险分析和评价。依据等级保护的相关规范和标准,采用风险分析的方法分析信息系统等级测评结果中存在的安全问题(等级测评结果中部分符合项或不符合项的汇总结果)可能对信息系统安全造成的影响。系统等级测评报告模板8、等级测评结论、等级测评结论应表述为“符合、“基本符合”或者“不符合”。9、安全建设整改建议、安全建设整改建议后续应该在那些方面进行加强系统等级测评报告模板总结等级保护提出了安全防护达到的目标,没有限定具等级保护提出了安全防护达到的目标,没有限定具体的技术实现手段或是安全防护产品体的技术实现手段或是安全防护产品等级保护强调的是整体安全防护能力,并不是所有等级保护强调的是整体安全防护能力,并不是所有的要求项都必须满足的要求项都必须满足 ,等保没有必须满足项,等保没有必须满足项目前为止,没有一个信息系统满足等级保护所有安目前为止,没有一个信息系统满足等级保护所有安全功能要求全功能要求谢谢
