2.2 为什么需要对信息系统进行等级测评
• 公安部/发改委
• 关于加强国家电子政务工程建设项目信息安全风险评估工作的 通知（发改高技[2008] 2071号）：
• 项目建设单位向审批部门提出项目竣工验收申请时，应提交非涉密信息系统 安全保护等级备案证明，以及相应的安全等级测评报告和信息安全风险评估 报告等。
省辖市以上党政机关的重要网站和办公信息系统；
电信、广电行业的公用通信网、广播电规传输网等基础信息网络，经营性公众互联网信息 服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；
铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、 公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、 教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系 统。
5.1.1.1.3 结果判定
5.2 安全管理测评
...
6 第二级信息系统单元测评 7 第三级信息系统单元测评 8 第四级信息系统单元测评 9 第五级信息系统单元测评 10 信息系统整体测评 11 等级测评结论 附录A 附录B
2.4 等级测评相关标准
2.4 等级测评相关标准
• 《测评要求》
• 明确测评内容
目录
1.2 为什么要做 网络安全等级保 护
1.1 什么是网络
01
安全等级保护
1.3 网络安全等 级保护对象范围
2.2 为什么需要 对信息系统进行 等级测评
2.1 什么是等级 测评
2.3 如何开展等 级测评
02
2.4 等级测评相 关标准
2.5 测评实施工 作流程
网络安全等级保护简介
网络安全等级作流程-现场测评
• 测评内容
• 等级测评包括：
– 单元测评 – 整体测评
• 单元测试
– 以安全控制为基本工作单位组织描述 – 测评指标、测评实施和结果判定。
2.5.3 等级测评工作流程-现场测评
• 单元测评－物理安全
• 支持信息系统运行的设施环境和构成信息系统的硬件设 备和介质
网络安全测评 管理安全测评 物理安全测评 应用安全测评 主机安全测评
单项符合性判定 整体测评 安全问题分析 形成测评结论 提出整改建议
报告 编制
2.5.1 等级测评工作流程-测评准备
测评 准备
选择测评对象 选择测评指标 确定测评方法 编制测评计划
信息系统安全 等级保护测评要求
1 范围
2 规范性引用文件
3 术语和定义 4 概述
等级
5 第一级信息系统单元测评
5.1 安全技术测评
5.1.1 物理安全
技术/管理 安全分类 安全控制点（子类）
... ...
5.1.1.1 物理访问控制 5.1.1.1.1 测评指标
单元测评描述
5.1.1.1.2 测评实施
1.1 什么是网络安全等级保护
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。 网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保 护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机 构，依据《信息安全技术网络安全等级保护基本要求》等技术标准，定期 对信息系统开展测评工作。
2.3 如何开展等级测评 • 规定步骤
定级
备案
安全建设整改
等级测评
监督检查
2.3 如何开展等级测评
• 执行主体：符合条件的测评机构 • 执行的强制性：管理办法强制周期性执行 • 执行对象：已经定级的信息系统 • 测评依据：依据《基本要求》 • 测评内容：单元测评（技术和管理）和整体测评 • 测评付出：不同级别的测评力度不同 • 测评方式：访谈、检查和测试 • 服务对象：主管部门，运维、使用单位，信息安全监管部门
• 单元测评－网络层面
• 网络层面构成组件负责支撑信息系统进行网络互联，为信息系统各个 构成组件进行安全通信传输，一般包括网络设备、连接线路以及它们 构成的网络拓扑等。
• 测评对象：
– 网络互联设备 – 网络安全设备 – 网络管理平台 – 相应设计/验收文档，设备的运行日志等
2.5.3 等级测评工作流程-现场测评
– 操作系统, 如Windows / Linux系列 / 类UNIX系列 / IBM Z/os /Unisys MCP等
– 数据库管理系统，如DB2 / Oracle / Sybase / MS SQL Server等 – 中间件平台，如Weblogic / Tuxedo / Websphere等
2.5.3 等级测评工作流程-现场测评
2.5.2 等级测评工作流程-方案编制
• 测试
• 功能/性能测试、渗透测试等 • 测试对象包括机制和设备等 • 测试一般需要借助特定工具
– 扫描检测工具 – 模拟攻击工具 – 渗透工具
2.5.2 等级测评工作流程-方案编制
• 编制测评方案—结构
2.5.2 等级测评工作流程-方案编制
编制测评方案—概述
• 测试
2.5.2 等级测评工作流程-方案编制
• 检测对象
• 检查对象包括：
– 文档、各类设备、安全配置、机房、存储介质等。
• 主要工具：
– 核查表
2.5.2 等级测评工作流程-方案编制
• 访谈 • 检查 • 测试
– 是指测评人员使用预定的方法/工具使测评对象（各类设备 或安全配置）产生特定的结果，将运行结果与预期的结果 进行比对的过程。
• 单元测评－应用系统
• 测评对象包括
2.5.2 等级测评工作流程-方案编制
• 抽样选择测评对象
‒ 完整性 ‒ 重要性 ‒ 安全性 ‒ 共享性 ‒ 代表性
2.5.2 等级测评工作流程-方案编制
2.5.2 等级测评工作流程-方案编制
• 测评方法
• 方法种类
– 访谈、检查、测试
• 目的
– 理解、澄清或取得证据的过程
• 适用对象
2.5.2 等级测评工作流程-方案编制
• 访谈
• 访谈的对象是配合人员。
‒ 典型的访谈人员包括信息安全主管、信息系统安全管理员、系 统管理员、网络管理员、资产管理员等。
• 工具：管理核查表（checklist）
– 有目的的（有针对性的）
2.5.2 等级测评工作流程-方案编制
• 访谈 • 检查
– 是指测评人员通过对测评对象（如制度文档、各类设备、安全配 置等）进行观察、查验、分析以帮助测评人员理解、澄清或取得 证据的过程。
2.5.3 等级测评工作流程-现场测评
编制测评工作计划
选择测评对象 选择测评指标 确定测评方法 编制测评计划
测评 准备
方案 编制
现场 测评
基本情况调研 结果数据分析 测评工具准备
网络安全测评 管理安全测评 物理安全测评 应用安全测评 主机安全测评
单项符合性判定 整体测评 安全问题分析 形成测评结论 提出整改建议
1.2 为什么要做网络安全等级保护
政策合规，等级保护是我国关于信息安全的基本政策。
《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要 求，履行安全保护义务，如果拒不履行，将会受到相应处罚。
第二十一条规定：
第三十八条规定：
1.2 为什么要做网络安全等级保护
第五十九条规定：
1.2 为什么要做网络安全等级保护
– 单元和整体
• 单元测评
– 测评指标，测评实施（方法、步骤）和判定
• 整体测评
– 安全控制间、层面间、区域间
• 测评结论
2.5 等级测评工作流程
测评 准备
选择测评对象 选择测评指标 确定测评方法 编制测评计划
方案 编制
基本情况调研 结果数据分析 测评工具准备
现场 测评
2.5.2 等级测评工作流程-方案编制
编制测评方案—被测信息系统情况
2.5.2 等级测评工作流程-方案编制
编制测评方案—测评对象
2.5.2 等级测评工作流程-方案编制
编制测评方案—漏洞扫描
2.5.2 等级测评工作流程-方案编制
编制测评工作计划
2.5.2 等级测评工作流程-方案编制
编制测评工作计划
2.3 如何开展等级测评
• 测评机构
• 是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级 保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等 级测评工作的机构。
• 机构职责
‒省级以上等保办审核 ‒评估中心：技术培训/能力评估 ‒省级以上等保办推荐
2.4 等级测评相关标准
网络安全等级保护详细全面介绍
时代新威 等级保护组
前言
信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工 作，在中国、美国等很多国家都存在的一种信息安全领域的工作。 在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均 依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。
• 测评对象包括：
‒ 机房（含各类基础设备） ‒ 存储介质 ‒ 安全管理人员/文档管理员 ‒ 文档（制度类、规程类、记录/证据类等）
2.5.3 等级测评工作流程-现场测评
• 单元测评－系统层面
– 系统层面主要是指主机系统，构成组件有服务器、终端/工作站等计 算机设备，包括他们的操作系统、数据库系统及其相关环境等
2.5.1 等级测评工作流程-测评准备
• 基本情况调研需要获得如下信息：
‒ 被测单位、被测系统情况 ‒ 拓扑图、网络设备、安全设备相关信息 ‒ 管理文档、人员相关信息 ‒ 机房相关信息 ‒ 应用系统相关信息 ‒ 主机设备相关信息