1等级保护工作主要内容
信息安全等级保护培训
信息系统安全等级保护 测评过程及方法
公安部信息安全等级保护评估中心
1
内容目录
1. 等级测评概述 2. 相关标准 3. 测评实施工作流程
2
几个问题
为什么需要对信息系统进行等级测评? 什么是“等级测评” ?
如何开展等级测评?
3 3
规定步骤
定级
备案
安全建设整改
等级测评
安全 策略
环 设 网 系 运 … 境 备 络 统 行
策略
制度
出 入 登 记
介 质 使 用
资 产 登 记
漏 洞 扫 描
口 令 更 换
版 本 升 级
文 档 管 理
…
操作 规程
相应表格 相应操作记录
53
记录
现场测评—现场测评记录表
网络安全现场测评记录表 管理安全现场测评记录表 物理安全测评测评记录表 应用安全现场测评记录表 主机安全测评测评记录表
模拟攻击工具 渗透工具
36
编制测评方案—结构
37
编制测评方案—概述
38
编制测评方案—被测信息系统情况
39
编制测评方案—被测信息系统情况
40
编制测评方案—测评对象
41
编制测评方案—漏洞扫描
42
编制测评工作计划
43
编制测评工作计划
44
测评流程
单项符合性判定 选择测评对象 选择测评指标 确定测评方法 编制测评计划 整体测评 安全问题分析 形成测评结论 提出整改建议
10
等测特点
执行主体:符合条件的测评机构 执行的强制性:管理办法强制周期性执行 执行对象:已经定级的信息系统 测评依据:依据《基本要求》 测评内容:单元测评(技术和管理)和整体测评 测评付出:不同级别的测评力度不同 测评方式:访谈、检查和测试 服务对象:主管部门,运维、使用单位,信息安全监管部门
测评对象:
应用系统 网络设备、安全设备 主机、数据库管理系统
51
单元测评-管理
人员 安全主管/主机、应用、网络等安全管理员 机房管理员/文档管理员等 文档
管理文档(策略、制度、规程)
记录类(会议记录、运维记录) 其它类(机房验收证明等)
52
安全管理制度 文档体系
网络互联设备 网络安全设备 网络管理平台
相应设计/验收文档,设备的运行日志等
49
单元测评-应用系统
测评对象包括 业务应用系统 委托第三方定制开发业务应用系统
50
单元测评-数据层面
数据层面构成组件主要包括信息系统安全功能数据和 用户数据。对于传输和处理过程中的数据,一般有机 密性和完整性的安全要求,而对于存储中的数据,还 需要有备份恢复的安全要求。
信息系统定期开展等级测评,查找发现信息系统的 安全问题、漏洞和安全隐患并及时整改。
-8-
了解现状 明确整改
国家要求 行业要求
等保
9
②等级测评
等级测评是指,测评机构依据国家信息安全 等级保护制度规定,按照有关管理规范和技术标 准,对非涉及国家秘密的信息系统的安全等级保 护状况进行检测评估的活动。
内容目录
1. 等级测评概述 2. 相关标准 3. 测评实施工作流程
14
信息系统安全 等级保护测评要求
1 范围 2 规范性引用文件 3 术语和定义 等级 4 概述 5 第一级信息系统单元测评 安全分类 5.1 安全技术测评 5.1.1 物理安全 安全控制点(子类) 单元测评描述 技术/管理
5.2 安全管理测评
全建设整改、信息安全等级保护宣传教育等工作的技术支持。
不得从事下列活动:
(一)泄露知悉的被测评单位及被测评信息系统的国家秘密和工
作秘密;
(二)故意隐瞒测评过程中发现的安全问题,或者在测评过程中 弄虚作假,未如实出具等级测评报告; (三)未按规定格式出具等级测评报告;
13
(四)信息安全产品开发、销售和信息系统安全集成;
工验收申请时,应提交非涉密信息系统安全保 护等级备案证明,以及相应的安全等级测评报 告和信息安全风险评估报告等。
-7-
公安部/国资委
关于进一步推进中央企业信息安全等级保护工作 的通知(公通字[2010]70号):各企业要根据企业特
点,从《全国信息安全等级保护测评机构推荐目录》
中择优选择测评机构,对本企业第三级(含)以上
测评 准备
方案 编制
现场 测评
报告 编制
基本情况调研 结果数据分析 测评工具准备
网络安全测评 管理安全测评 物理安全测评 应用安全测评 主机安全测评 27
方案编制
抽样选择测评对象 根据定级情况选择测评指标
确定测评方法
编制现场工作计划
28 28
方案编制
22 22
测评准备阶段
基本情况调研
23 23
测评准备阶段
基本情况调研
24 24
测评准备阶段
基本情况调研
25 25
测评准备阶段
基本情况调研
26 26
测评流程
单项符合性判定 选择测评对象 选择测评指标 确定测评方法 编制测评计划 整体测评 安全问题分析 形成测评结论 提出整改建议
测评 准备
方案 编制
现场 测评
报告 编制
基本情况调研 结果数据分析 测评工具准备
网络安全测评 管理安全测评 物理安全测评 应用安全测评 主机安全测评 20
测评准备阶段
基本情况调研结构
21 21
测评准备阶段
基本情况调研需要获得如下信息: 被测单位、被测系统情况 拓扑图、网络设备、安全设备相关信息 管理文档、人员相关信息 机房相关信息 应用系统相关信息 主机设备相关信息
测评 准备
方案 编制
现场 测评
报告 编制
基本情况调研 结果数据分析 测评工具准备
网络安全测评 管理安全测评 物理安全测评 应用安全测评 主机安全测评 58
报告编制
单项符合性判定 整体测评 安全问题分析 形成测评结论 提出整改建议
59 59
报告编制--单项符合性判定
6 第二级信息系统单元测评 7 第三级信息系统单元测评 8 第四级信息系统单元测评 9 第五级信息系统单元测评 10 信息系统整体测评 11 等级测评结论 附录A 附录B
...
...
5.1.1.1 物理访问控制 5.1.1.1.1 测评指标 5.1.1.1.2 测评实施 5.1.1.1.3 结果判定
员、资产管理员等。
工具:管理核查表(checklist)
有目的的(有针对性的)
32
检查
访谈 检查
是指测评人员通过对测评对象(如制度文档、各类设备、 安全配置等)进行观察、查验、分析以帮助测评人员理 解、澄清或取得证据的过程。
测试
33
检查对象
检查对象包括:
文档、各类设备、安全配置、机房、存储 介质等。
测评 准备
方案 编制
现场 测评
报告 编制
基本情况调研 结果数据分析 测评工具准备
网络安全测评 管理安全测评 物理安全测评 应用安全测评 主机安全测评 19
测评流程
单项符合性判定 选择测评对象 选择测评指标 确定测评方法 编制测评计划 整体测评 安全问题分析 形成测评结论 提出整改建议
54
现场测评
渗透工作 漏洞扫描工作 现场测评人员安排至少在5个以上,渗透人员根 据单位情况而定。
55
现场测评—网络安全现场记录表
签字页
56
现场测评—网络安全现场记录表
现场记录页
57
测评流程
单项符合性判定 选择测评对象 选择测评指标 确定测评方法 编制测评计划 整体测评 安全问题分析 形成测评结论 提出整改建议
抽样选择测评对象
完整性 重要性 安全性
共享性
代表性
29 29
方案编制
30 30
测评方法
方法种类
访谈、检查、测试
目的
理解、澄清或取得证据的过程
适用对象
3-31
访谈
访谈的对象是配合人员。 典型的访谈人员包括信息安全主管、信息 系统安全管理员、系统管理员、网络管理
46
单元测评-物理安全
支持信息系统运行的设施环境和构成信息系统的硬 件设备和介质
测评对象包括:
机房(含各类基础设备)
存储介质
安全管理人员/文档管理员 文档(制度类、规程类、记录/证据类等)
47
单元测评-系统层面
系统层面主要是指主机系统,构成组件有服务器、 终端/工作站等计算机设备,包括他们的操作系统、 数据库系统及其相关环境等 操作系统, 如Windows / Linux系列 / 类UNIX系列 /
11
测评机构
是指具备本规范的基本条件,经能力评估和审核,由 省级以上信息安全等级保护工作协调(领导)小组办 公室(以下简称为“等保办”)推荐,从事等级测评 工作的机构。
机构职责
省级以上等保办审核 评估中心:技术培训/能力评估 省级以上等保办推荐
12
测评机构
可以从事:等级测评活动以及信息系统安全等级保护定级、安
测评 准备
方案 编制
现场 测评
报告 编制
基本情况调研 结果数据分析 测评工具准备
网络安全测评 管理安全测评 物理安全测评 应用安全测评 主机安全测评 45
