收藏
下载资源

等级保护测评-完全全面过程

上传人:简****9 文档编号:96115883 上传时间:2019-08-24 格式:PPT 页数:47 大小:1,001.29KB
返回 下载 相关 举报
等级保护测评-完全全面过程_第1页
第1页 / 共47页
等级保护测评-完全全面过程_第2页
第2页 / 共47页
等级保护测评-完全全面过程_第3页
第3页 / 共47页
等级保护测评-完全全面过程_第4页
第4页 / 共47页
等级保护测评-完全全面过程_第5页
第5页 / 共47页
点击查看更多>>
资源描述

《等级保护测评-完全全面过程》由会员分享,可在线阅读,更多相关《等级保护测评-完全全面过程(47页珍藏版)》请在金锄头文库上搜索。

1、等级保护测评过程 以三级为例,主题一,等级保护测评方法论,等保测评安全措施,等级保护测评概述,等级保护测评内容与方法,等保测评概述,等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。,组合分析,1、等级测评是测评机构依据国家信息安全等级保护制度规定: 国家信息化领导小组关于加强信息安全保障工作的意见、保护安全

2、建设整改工作的指导意见 、信息安全等级保护管理办法。 2、受有关单位委托,按照有关管理规范和技术标准(相关标准关系图参见图1、图2) 定级标准: 信息系统安全保护等级定级指南、 计算机信息系统安全保护等级划分准则 ; 建设标准:信息系统安全等级保护基本要求、信息系统通用安全技术要求、信息系统等级保护安全设计技术要求; 测评标准:信息系统安全等级保护测评要求 、 信息系统安全等级保护测评过程指南 、 信息系统安全等级保护实施指南; 管理标准:信息系统安全管理要求、 信息系统安全工程管理要求。 3、运用科学的手段和方法: 采用6种方式,逐步深化的测试手段 调研访谈(业务、资产、安全技术和安全管理)

3、; 查看资料(管理制度、安全策略); 现场观察(物理环境、物理部署); 查看配置(主机、网络、安全设备); 技术测试(漏洞扫描); 评价(安全测评、符合性评价)。,组合分析,4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同

4、所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。 5、采用安全技术测评和安全管理测评方式: 安全技术测评包括:物理安全、网络安全

5、、主机安全、应用安全、数据安全; 安全管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。 6、对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。 符合程度:综合分析具体指标符合性判断,给出抽象指标符合性判断结果,汇总所有抽象指标符合判断,给出安全等级满足与否的结论; 安全等级结论:结合受测系统符合性程度,判断受测系统是否满足所定安全等级的结论; 安全整改建议:提出安全整改建议,汇总、分析所有不符合项对应的改进建议,组合成可单独执行的整改建议。,主题二,

6、等级保护测评方法论,等保测评安全措施,等级保护测评概述,等级保护测评内容与方法,等级保护完全实施过程,信息系统定级,安全总体规划,安全设计与实施,安全运行维护,信息系统终止,安全等级测评,信息系统备案,安全整改设计,等级符合性检查,应急预案及演练,安全要求整改,安全等级整改,局部调整,等级变更,信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止”等五个阶段。,信息系统定级 定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主

7、管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。 总体安全规划 总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。 安全设计与实施 安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施 安全运行维护 安全运行与维护是等级保护实施

8、过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南 信息系统终止 信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时,正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中,有些系统并不是真正意义上的废弃,而是改进技术或转变业务到

9、新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全,等保测评工作流程,等级测评的工作流程,依据信息系统安全等级保护测评过程指南,具体内容参见:等保测评工作流程图,准备阶段,方案编制阶段,现场测评阶段,报告编制阶段,等保实施计划,安全管理调研,现场实地调研,现状调研报告 渗透测试报告 信息资产调研表 人工审计报告 扫描报告 基础培训PPT,安全技术调研,信息安全 愿景制定,信息安全总体 框架设计,管理体系,技术体系,运维体系,项目 准备,等保差距报告 风险评估报告 技能和意识培训,项目 准备,现状调研,风险与差距分析,体系规划与建立,交流、知识转移、培训

10、、宣传,项目 验收,项目 验收,控制风险分析,等保差距分析,高危问题整改,规划报告 体系文件 .,等保测评,主题三,等级保护测评方法论,等保测评安全措施,等级保护测评概述,等级保护测评内容与方法,等级保护综合测评,物理安全,网络安全,主机系统安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,信息 系统,综合测评,技术要求,管理要求,等级保护测评类型,等保基本要求的三种技术类型(S/A/G) S:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权修改的信息安全类要求;-物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等; A:保护系

11、统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求;-电力供应、资源控制、软件容错等 G:通用安全保护类要求。-技术类中的安全审计、管理制度等,等级保护测评指标,等保测评方法,访谈 访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。 检查 检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等)

12、,数量上可以抽样。 测试 测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应,通过查看和分析响应的输出结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。,物理基本要求中控制点与要求项各级分布:,物理安全,物理安全测评内容和方法,物理位置选择,物理访问控制,调研访谈:机房具有防震、防雨和防风能力,并提供机房设计和验收证明; 现场查看:查看机房是否建在高层或地下室。,防盗和防破坏,防雷击,防火,防水和防潮,防静电,温湿度控制,电力供应,电磁防护,物理安全,调研访谈:专人值守、进出记录、申请和审批记录、物理隔

13、离、门禁系统; 现场查看:进出登记记录、物理区域化管理、电子门禁系统运行和维护记录。,调研访谈:设备固定和标识、隐蔽布线、介质分类存储标识、部署防盗监控系统; 现场查看:设备固定和标识、监控报警系统安全材料、测试和验收报告。,调研访谈:安装避雷装置、专业地线、防雷感应器; 现场查看:机房防雷设计/验收文档、接地设计/验收文档,交流地线和防雷设备,调研访谈:自动报警灭火设备、耐火材料、物理防火隔离; 现场查看:自动消防运行、报警、维护记录,机房防火设计/验收文档。,调研访谈:机房内有无上下水,防水和防漏措施; 现场查看:机房防水和防潮设计/验收文档,地下积水的转移与渗透的措施。,调研访谈:接地防

14、静电措施,采用防静电地板; 现场查看:防静电措施文档,防静电地板验收文档。,调研访谈:温、湿度自动调节设施,专人负责; 现场查看:温湿度控制设计/验收文档,温湿度记录、运行记录和维护记录。,调研访谈:部署稳压器和过电压防护设备,UPS和市电冗余; 现场查看:电源设备的检查和维护记录,备用供电系统运行记录,市电切换记录。,调研访谈:安全接地,关键设备和磁介质实施电磁屏蔽; 现场查看:查看安全接地、电源线和通讯线隔离,电磁屏蔽容器。,物理安全测评基本要求和实现方法,基本防护能力,高层、地下室,基本出入控制,分区域管理,在机房中的活动,电子门禁,存放位置、标识标记,监控报警系统,建筑防雷、机房接地,

15、设备防雷,灭火设备、自动报警,自动消防系统,区域隔离措施,关键设备和地板防静电,防静电地板,稳定电压、短期供应,冗余/并行线路,备用供电系统,线缆隔离、设备和介质屏蔽,接地防干扰,电磁屏蔽,防水设备、防水应急预案或措施,基本要求,实现方法/案例,空调系统、自动调节,接地线,温湿度自动调节设施,上下水管,门窗防水,线缆隔离布线,机房部署中层,物理位置的选择,物理访问控制,防盗窃和防破坏,防雷击,防火,防静电,电力供应,电磁防护,防水和防潮,温湿度控制,网络安全基本要求中控制点与要求项各级分布:,网络安全,网络安全测评内容和方法,结构安全,访问控制,调研访谈:网络冗余、带宽情况、安全路径、子网和网

16、段分配原则、重要网段隔离; 测评判断:网络设计或验收文档,路由控制策略,网络设计或验收文档,网络隔离手段。,安全审计,边界完整性检查,入侵检测,恶意代码防护,网络设备防护,网络安全,调研访谈:网络边界控制策略, 测评判断:会话对数据流进行控制,应用层协议控制,自动终止网络连接的配置等。,调研访谈:开启安全审计功能、审计内容、审计报表、审计记录保护; 测评判断:审计全面监测、查看审计报表、审计记录处理方式。,调研访谈:外网接入内网行为监控、内网私自联到外网行为监控,并进行阻断处理; 测评判断:查看外网接入内网行为和内网私自联到外网行为进行监控的配置。,调研访谈:网络入侵防范措施、防范规则库升级方式、网络入侵防范的设备; 测评判断:检查网络入侵防范设备,查看检测的攻击行为和安全警告方式。,调研访谈:网络恶意代码防范措施、恶意代码库的更新策略; 测评判断:网络设计或验收文档,网络边界对恶

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号