收藏
下载资源

网络安全等级保护测评实施-3资料

上传人:w****i 文档编号:99114497 上传时间:2019-09-17 格式:PDF 页数:89 大小:9.45MB
返回 下载 相关 举报
网络安全等级保护测评实施-3资料_第1页
第1页 / 共89页
网络安全等级保护测评实施-3资料_第2页
第2页 / 共89页
网络安全等级保护测评实施-3资料_第3页
第3页 / 共89页
网络安全等级保护测评实施-3资料_第4页
第4页 / 共89页
网络安全等级保护测评实施-3资料_第5页
第5页 / 共89页
点击查看更多>>
资源描述

《网络安全等级保护测评实施-3资料》由会员分享,可在线阅读,更多相关《网络安全等级保护测评实施-3资料(89页珍藏版)》请在金锄头文库上搜索。

1、 网络安全等级保护测评实施 公安部信息安全等级保护评估公安部信息安全等级保护评估中心中心 马力马力 1 安全等级保护培训安全等级保护培训 目录 2 等级测评使用的主要标准 3 1 1 等级测评采用的标准流程 3 2 2 新标准下等级测评的变化 3 3 3 重点关注内容解读(通用部分) 3 4 4 一、等级测评使用的主要标准 3 等级测评主要参照的标准 信息系统安全等级保护基本要求GB/T22239GB/T22239- -20082008 网络安全等级保护基本要求GB/T22239GB/T22239- -XXXXXXXX 信息系统安全等级保护测评要求GB/T28448GB/T28448- -20

2、122012 网络安全等级保护测评要求GB/T28448GB/T28448- -XXXXXXXX 信息系统安全等级保护测评过程指南GB/T28449GB/T28449- -20122012 网络安全等级保护测评过程指南GB/T28449GB/T28449- -XXXXXXXX 标准修订工作里程碑 5 2013年年12月月 成立标准编制组成立标准编制组 调研国内外其他标准调研国内外其他标准 研究新技术、新应用研究新技术、新应用 第第1部分:通用安全测评要求部分:通用安全测评要求(公安部信息安全等级保护评估中心)(公安部信息安全等级保护评估中心) 第第2部分:云计算安全测评扩展要求部分:云计算安全

3、测评扩展要求(国家信息中心)(国家信息中心) 第第3部分:移动互联安全测评扩展要求部分:移动互联安全测评扩展要求(公安部信息安全等级保护评估中心)(公安部信息安全等级保护评估中心) 第第4部分:物联网安全测评扩展要求部分:物联网安全测评扩展要求(信息产业信息安全测评中心)(信息产业信息安全测评中心) 第第5部分:工业控制安系统安全测评扩展要求部分:工业控制安系统安全测评扩展要求(能源局信息中心)(能源局信息中心) 形成标准征求意见稿形成标准征求意见稿 2014年年5月月 2016年年11月月 2017年年4月月 5个分册形成标准送审稿个分册形成标准送审稿 2017年年9月月 形成合稿后的标准送

4、审稿形成合稿后的标准送审稿 2018年年6月月 形成标准报批稿形成标准报批稿 测评要求文本结构 由12个章节4个附录构成 1.范围 2.规范性引用文件 3.术语定义 4.缩略语 5.等级测评概述 6.7.8.9.10五个等级的测评要求 11.整体测评 12.测评结论 附录A 测评力度 附录B 测评单元编号说明 附录C 设计要求测评验证表 附录D 测评要求和基本要求对应表 6 标准名称变化 7 + + + 标准名称 0202 信息安全技术信息安全技术 信息安全信息安全等级等级 保护保护测评要求测评要求 0101 信息安全技术信息安全技术 信息系统信息系统安全安全 等级保护等级保护测评测评 要求要

5、求 0303 信息安全技术信息安全技术 网络网络安全安全等级等级 保护保护测评要求测评要求 测评实施内容变化 8 测评要求。测评要求。 旧版标准: 针对云计算、移动互联、物联网和工业控制系统提出了针对云计算、移动互联、物联网和工业控制系统提出了特殊安全测评要求。特殊安全测评要求。 安全测评扩展要求 安全测评通用要求安全测评通用要求和和安全测评扩展要求安全测评扩展要求。 新版标准: 不管等级保护对象形态,均需使用通用测评要求。不管等级保护对象形态,均需使用通用测评要求。 安全测评通用要求 01 01 02 02 测评实施内容变化 9 某级测评要求某级测评要求 安全测评通用要求安全测评通用要求 云

6、计算安全测评扩展要求云计算安全测评扩展要求 移动互联安全测评扩展要求移动互联安全测评扩展要求 物联网安全测评扩展要求物联网安全测评扩展要求 工业控制系统安全测评扩展工业控制系统安全测评扩展 要求要求 某级安全要求某级安全要求 安全通用要求 云计算安全扩展要求 移动互联安全扩展要求 物联网安全扩展要求 工业控制系统安全扩展要求 增加等级测评定义 等级测评是指测评机构依据国家信息安全等级保 护制度规定,按照有关管理规范和技术标准,对未涉及 国家秘密的等级保护对象进行安全等级保护状况进行检 测评估的活动。 10 测评技术框架变化 11 GB/T 28448-2012 GB/T 28448-20XX

7、单元单元测评测评 针对基本要求针对基本要求各安全控制点各安全控制点的测评为单元测评。的测评为单元测评。支持测评结果的可重复性和可支持测评结果的可重复性和可再现再现 性性,由由测评指标测评指标、测评测评实施实施和和结果结果判定判定构成构成。 整体测评整体测评 在单元测评的基础上,通过进一步分析信息系统安全保护功能的整体相关性,对信在单元测评的基础上,通过进一步分析信息系统安全保护功能的整体相关性,对信 息系统实施的综合安全测评。息系统实施的综合安全测评。 单项单项测评测评 针对针对各安全要求项各安全要求项的测评,支持测评结果的可重复性和可再现性。本标准中单项测的测评,支持测评结果的可重复性和可再

8、现性。本标准中单项测 评由评由测评指标测评指标、测评对象测评对象、测评实施测评实施和和单元单元判定判定构成。构成。 整体测评整体测评 整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。整体安整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。整体安 全保护能力从纵深防护和措施互补二个角度评判全保护能力从纵深防护和措施互补二个角度评判。 单元测评 单项测评 12 单元测评单元测评 针对基本要求各针对基本要求各安全控制点安全控制点的测评称为单元测评的测评称为单元测评。 单项测评单项测评 针对基本要求各针对基本要求各安全要求项安全要求项的测评称为单项测评的测评称为单项测

9、评。 单元测评单元测评(旧版标准)(旧版标准)=若干个单项测评若干个单项测评(新版标准)(新版标准) 测评实施作用面不同 13 某级系统某级系统 层面层面 技术要求技术要求 管理要求管理要求 基本要求基本要求 层面层面 控制点控制点 要求项要求项 控制点控制点 要求项要求项 旧版测评要求旧版测评要求 新版测评要求新版测评要求 测评指标细化 14 GB/T 28448-2012 GB/T 28448-20XX 测评指标测评指标 见见GB/T 22239-2008 7.1.1.1。(控制点)(控制点) 测评指标测评指标 机房场地应选择在具有防震、防风和防雨等能力的建筑内机房场地应选择在具有防震、防

10、风和防雨等能力的建筑内;(要求项)(要求项) 单元测评(旧版标准) 15 7 第三级信息系统单元测评第三级信息系统单元测评 7.1 安全技术测评安全技术测评 7.1.1 物理安全物理安全 7.1.1.1 物理位置的选择物理位置的选择 7.1.1.1.1 测评指标测评指标 见见GB/T 22239-2008 7.1.1.1。 7.1.1.1.2 测评实施测评实施 本项要求包括: a) 应访谈物理安全负责人,询问机房和办公场地所在建筑物是否具有防震、防风和防雨等能力; b) 应检查是否有机房和办公场地所在建筑物抗震设防审批文档; c) 应检查机房和办公场地所在建筑物是否具有防风和防雨等能力; d)

11、 应检查机房场地是否不在用水区域的垂直下方; e) 如果机房场地位于建筑物的高层或地下室或用水设备的隔壁,应检查机房是否采取了防水和防潮措施。 7.1.1.1.3 结果判定结果判定 如果7.1.1.1.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单 元测评指标要求。 针对安全针对安全控制控制 点点的测评的测评实施实施 安全控制点安全控制点 7 第三级基本要求第三级基本要求 7.1 技术要求技术要求 7.1.1 物理安全物理安全 7.1.1.1 物理位置的选择(物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等

12、能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 单项测评(新版标准) 16 8 第三级测评要求第三级测评要求 8.1 安全测评通用要求安全测评通用要求 8.1.1 物理和环境安全物理和环境安全 8.1.1.1 物理位置的选择物理位置的选择 8.1.1.1.1 测评单元(测评单元(L3-PES1-01) 该测评单元包括以下要求: a) 测评指标测评指标: 机房场地应选择在具有防震、防风和防雨等能力的建筑内; b) 测评对象测评对象: 机房。 c) 测评实施包括以下内容:测评实施包括以下内容: 1) 应检查所在建筑物是否具有建筑物抗震设防审批文档; 2)

13、应检查是否存在雨水渗漏; 3) 应检查门窗是否因风导致的尘土严重; 4) 应检查屋顶、墙体、门窗和地面等是否破损开裂。 d) 单项判定:单项判定:如果1)-4)均为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不 符合或部分符合本单项测评指标要求。 8.1.1.1.2 测评单元(测评单元(L3-PES1-02) 该测评单元包括以下要求: a) 测评指标:测评指标:机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 b) 测评对象:测评对象:机房。 c) 测评实施包括以下内容:测评实施包括以下内容: 1) 应检查是否不位于所在建筑物的顶层或地下室; 2) 如果机房

14、位于所在建筑物的顶层或地下室,应检查是否采取了防水和防潮措施。 d) 单项判定:单项判定:如果1)或2)为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不 符合或部分符合本单项测评指标要求。 针对针对要求项要求项的的 测评实施测评实施 由原来的安全由原来的安全 控制点控制点变为变为要求项要求项 新增测评对象 17 8 第三级测评要求第三级测评要求 8.1 安全测评通用要求安全测评通用要求 8.1.1 物理和环境安全物理和环境安全 8.1.1.1 物理位置的选择物理位置的选择 8.1.1.1.1 测评单元(测评单元(L3-PES1-01) 该测评单元包括以下要求: a) 测评指标

15、测评指标: 机房场地应选择在具有防震、防风和防雨等能力的建筑内; b) 测评对象测评对象: 机房。 c) 测评实施包括以下内容:测评实施包括以下内容: 1) 应检查所在建筑物是否具有建筑物抗震设防审批文档; 2) 应检查是否存在雨水渗漏; 3) 应检查门窗是否因风导致的尘土严重; 4) 应检查屋顶、墙体、门窗和地面等是否破损开裂。 d) 单项判定:单项判定:如果1)-4)均为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不 符合或部分符合本单项测评指标要求。 8.1.1.1.2 测评单元(测评单元(L3-PES1-02) 该测评单元包括以下要求: a) 测评指标:测评指标:机房

16、场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 b) 测评对象:测评对象:机房。 c) 测评实施包括以下内容:测评实施包括以下内容: 1) 应检查是否不位于所在建筑物的顶层或地下室; 2) 如果机房位于所在建筑物的顶层或地下室,应检查是否采取了防水和防潮措施。 d) 单项判定:单项判定:如果1)或2)为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不 符合或部分符合本单项测评指标要求。 整体测评内容变化 18 GB/T 28448-2012 GB/T 28448-20XX 安全控制点间安全控制点间测评测评 层面间层面间测评测评 区域间区域间测评测评(删除)删除) 安全控制点测评安全控制点测评(新增)(新增) 安全控制点间测评安全控制点间测评

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号