《金融行业信息系统信息安全等级保护测评指南..pdf》由会员分享,可在线阅读,更多相关《金融行业信息系统信息安全等级保护测评指南..pdf(24页珍藏版)》请在金锄头文库上搜索。
1、 金融行业信息系统信息安全等级金融行业信息系统信息安全等级 保护测评指南介绍保护测评指南介绍 金融标准化金融标准化 宣贯材料之十二宣贯材料之十二 测评指南与其他标准的关联性分析 金融行业等金融行业等 保测评指南保测评指南 可操作性强可操作性强 的测评方法的测评方法/ 检查表检查表 金融金融 行业行业 特点特点 国家信息国家信息 系统安全等系统安全等 级保护测评级保护测评 过程指南过程指南 国家信息国家信息 系统安全等系统安全等 级保护测评级保护测评 要求要求 金融行金融行 业实施业实施 指引指引 测评指南知识要点 一、测评指南整体介绍一、测评指南整体介绍 二、等级测评方法及内容介绍二、等级测评
2、方法及内容介绍 一、测评指南整体介绍 测评指南作为一个对信息系统实施等级测评的指南性文件,其作用是介绍和描述 实施信息系统等级测评过程中应该涉及的活动和从事的工作任务,通过活动和任 务的介绍,使读者了解和知晓对信息系统实施等级测评的过程和内容,不同的角 色在不同活动的作用,不同活动的参与角色、活动内容、输出文档等等。 目的目的 测评指南阐述了实施指引中各要求项的具体测评方法、步骤和判断依据 等,用来评定信息系统的安全保护措施是否符合实施指引。 测评指南规定了开展等级测评工作的基本过程、流程、任务及工作产品等, 规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用测评要求提 出了指导建议
3、。 二者共同指导等级测评工作。 与实施指引的关系与实施指引的关系 一、测评指南整体介绍 信息安全等级保护管理办法(公通字【2007】43号)第十四条 信息系统建设完成后 ,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据 信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开 展等级测评。 外部驱动外部驱动 确定当前安全保护能力水平 找出差距,明确需求 提高我行信息安全防御水平 为后续的工作提供参考和依据 内部驱动内部驱动 一、测评指南整体介绍 目的不同:标准符合性测评 性质不同:管理办法强制周期性执行 执行对象不同:已经确定等级的信息系统 内容不同:依据基
4、本要求和测评要求 结果不同:符合、基本符合、不符合。 等级测评与其他测评的不同等级测评与其他测评的不同 测评指南知识要点 一、测评指南整体介绍一、测评指南整体介绍 二、二、等级测评方法及内容介绍等级测评方法及内容介绍 二、等级测评方法及内容介绍 访谈访谈 是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流 以帮助测评人员理解、澄清或取得证据的过程。 检查检查 是指测评人员通过对测评对象(如制度文档、各类设备、安全配置等)进行 观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。 测试测试 是指测评人员使用预定的方法/工具使测评对象(各类设备戒安全配置)产生 特定的结果,将
5、运行结果与预期的结果进行比对的过程。 等级测评方法等级测评方法 对象对象 适用情况适用情况 作用作用 访谈的对象是人 员。典型的访谈 人员包括:信息 安全主管、信息 系统安全管理员、 系统管理员、网 络管理员、资产 管理员等。 对技术要求,使用访谈 方法迚行测评的目的是为了了 解信息系统的全局性(包括局 部,但不是细节)、方向/策略 性和过程性信息,一般不涉及 到具体的实现细节和具体技术 措施,在遇到优势证据时,最 弱。 对管理要求,访谈的内容应 该较为详细和明确。 作用一:了解基本情 况,作为下一步测评工 作的基础; 作用二:访谈结果作 为判断其他几种测评方 式所得到证据是否一致; 作用三:
6、作为相关管 理方面实现要求是否的 直接证据。 访谈访谈 二、等级测评方法及内容介绍等级测评方法 对象对象 适用情况适用情况 包括:文档、各类设备、 安全配置、机房、存储介 质等。 对技术要求,检查的内容应该是具体的、 较为详细的机制配置和运行实现 。 对管理要求,检查方法主要用亍规范性要 求(检查文档)。 检查检查 测试测试 对象对象 适用情况适用情况 包括:机制和设备等 测试一般需要借助特定工具: 扫描检测工具 压力测试工具 渗透工具 二、等级测评方法及内容介绍等级测评方法 等级测评内容等级测评内容 等级测评包括:等级测评包括: 单元测评单元测评 整体测评整体测评 二、等级测评方法及内容介绍
7、 单元测评单元测评 定级系统涉及的服务器 网络设备 安全设备 存储设备 机房 人员 文档介质(制度类、规程类、记录/证据类等) 二、等级测评方法及内容介绍等级测评内容 支持信息系统运行的设施环境和构成信息系统的硬件设备和介 质在在物理层面的安全。 测评对象包括: 机房(含各类基础设备) 存储介质 安全管理人员/文档管理员 文档(制度类、规程类、记录/证据类等) 二、等级测评方法及内容介绍等级测评内容 单元测评单元测评物理层面物理层面 单元测评单元测评网络层面网络层面 网络层面构成组件负责支撑信息系统迚行网络互联,为信息系 统各个构成组件迚行安全通信传输,一般包括网络设备、连接 线路以及它们构成
8、的网络拓扑等。 测评对象: 网络互联设备 网络安全设备 网络管理平台 网络边界 公用设备 二、等级测评方法及内容介绍等级测评内容 单元测评单元测评系统及数据层面系统及数据层面 系统层面主要是指主机系统,构成组件有服务器、控制终端/工作 站等计算机设备,包括他们的操作系统、数据库系统及其相关环 境等; 操作系统:如Windows / IBM AIX/ HP UNIX系列 / Linux系列等; 数据库管理系统,如DB2 / Oracle / Sybase / MS SQL Server等; 中间件平台,如Weblogic / Websphere等。 二、等级测评方法及内容介绍等级测评内容 单元测
9、评单元测评管理管理 测评对象 人员 安全主管/主机、应用、网络等安全管理员 机房管理员/文档管理员等 文档 管理文档(策略、制度、规程) 记录类(会议记录、运维记录) 其它类(机房验收证明等) 二、等级测评方法及内容介绍等级测评内容 二、等级测评方法及内容介绍 单元测评内容单元测评内容 二、等级测评方法及内容介绍 单元测评单元测评测评项举例测评项举例 测 评 指 南 的 部 分 内 容 ( 举 例 ) 测 评 指 南 的 部 分 内 容 ( 举 例 ) 等级测评内容等级测评内容 等级测评包括:等级测评包括: 单元测评单元测评 整体测评整体测评 二、等级测评方法及内容介绍 整体测评整体测评 安全
10、控制间测评 层面间安全测评 区域间安全测评 系统结构安全测评 二、等级测评方法及内容介绍等级测评内容 整体测评整体测评 安全控制间测评 层面间安全测评 区域间安全测评 系统结构安全测评 二、等级测评方法及内容介绍等级测评内容 整体测评整体测评安全控制点间安全控制点间 同一层面内不同安全控制之间存在的功能增强(补充)戒削弱等关联作用。 物理访问控制与防盗窃和防破坏 身份鉴别与访问控制 身份鉴别与安全审计 二、等级测评方法及内容介绍等级测评内容 整体测评整体测评层面间层面间 主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。 物理层面网络层面 物理访问控制/网络设备防护 物理层面和应用层面 物理访问控制/身份鉴别与访问控制 整体测评整体测评区域间区域间 主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全 功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。 二、等级测评方法及内容介绍等级测评内容 整体测评整体测评系统结构系统结构 主要考虑信息系统整体结构的安全性和整体安全防范的合理性。 网络结构、区域划分与隔离; 确定重点,明确边界,实现纵深防御; 以上为金融行业信息系统信息安以上为金融行业信息系统信息安 全等级保护测评指南的简要介绍全等级保护测评指南的简要介绍 谢谢浏览!谢谢浏览!
