《信息安全等级保护测评指南.ppt》由会员分享,可在线阅读,更多相关《信息安全等级保护测评指南.ppt(141页珍藏版)》请在金锄头文库上搜索。
1、信息安全等级保护测评目录国家对等级保护测评的要求等级保护测评注意事项等级保护测评要求(部分解读)等级保护测评过程等级保护测评中常见问题国家对等级保护测评的要求管理办法”等级保护的实施与管理“第十四条信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。广东省安全保护条例对测评要求第十二条第十二条 第二级以上计算机信息系统建设完成后,运营、第二级
2、以上计算机信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家规定的安全等使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,统安全等级状况开展等级测评,测评合格后方可投入使用。测评合格后方可投入使用。第十三条第十三条 计算机信息系统的运营、使用单位及其主管部计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统门应当按照国家规定定期对计算机信息系统开展安全等级开展安全等级测评测评,并对计算机信息系统安全状况、安全管理制度及措,并对计
3、算机信息系统安全状况、安全管理制度及措施的落实情况进行施的落实情况进行自查自查。 计算机信息系统安全状况经测评或者自查,未达到安全计算机信息系统安全状况经测评或者自查,未达到安全等级保护要求的,运营、使用单位应当进行整改。等级保护要求的,运营、使用单位应当进行整改。广东省公安厅关于计算机信息系统安全保护的实施办法广东省公安厅关于计算机信息系统安全保护的实施办法(一)(一)第二十二条我省对测评机构实施备案制度。符合第二十一条规定的条件,承担第二级以上的计算机信息系统测评工作的机构应当到省公安厅公共信息网络安全监察部门备案。第二十五条第二级以上的计算机信息系统建设完成后,使用单位应当委托符合规定的
4、测评机构安全测评合格方可投入使用。测评活动应当接受公安机关公共信息网络安全监察部门的监督。广东省信息安全等级测评工作细则广东省信息安全等级测评工作细则(试行)计算机信息系统投入使用后,存在下列情形之一的,应当进行安全自查,同时委托安全测评机构进行安全测评:(一)变更关键部件;(二)安全测评时间满一年;(三)发生危害计算机信系统安全的案件或安全事故;(四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评;(五)其他应当进行安全自查和安全测评的情形。申请单位认为安全测评报告的合法性和真实性存在重大问题的,可以向本单位所在地公安机关公共信息网络安全监察部门提出申诉,提交异议
5、申诉书及有关证明材料。广东省等级保护测评机构广东省等级保护测评机构关于发布广东省信息安全等级保护测评机构的公告关于发布广东省信息安全等级保护测评机构的公告(粤等保办(粤等保办20103号)号)供我省信息系统运营、使用单位、主管部门选用提供各类测评服务(差距评估、验收性测评、年度测评工作)。1、广州竞远系统网络技术有限公司2、中国赛宝实验室(工业和信息化部电子第五研究所)3、广州华南信息安全测评中心4、深圳市信息安全测评中心5、深圳市网安计算机安全检测技术有限公司等级保护测评基本概念等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安
6、全等级保护状况进行检测评估的活动。通过信息安全等级测评机构对已完成的等级保护建设的信通过信息安全等级测评机构对已完成的等级保护建设的信息系统息系统定期进行等级测评定期进行等级测评,确保信息系统的安全保护措施,确保信息系统的安全保护措施符合相应等级的安全要求。符合相应等级的安全要求。等级保护测评的执行主体等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。等级保护测评的执行主体应当是具有相关资质的、独立的测评服务机构。只有独立的第三方,才能保证测评工作的客观性和公正性。等级测评基本原则
7、测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。等级测评的特点管理角度:管理角度:强制执行:管理办法强制周期性执行强制执行:管理办法强制周期性执行执行主体:符合条件的测评机构执行主体:符合条件的测评机构执行对象:定级的信息系统执行对象:定级的信息系统服务主体:国家信息安全监管部门服务主体:国家信息安全监管部门/主管部门主管部门/运维、使用单位运维、使用单位技术角度:技术角度:符合性测评:依据基本要求符合性测评:依据基本要求等
8、级化:不同级别测评强度不同等级化:不同级别测评强度不同等级保护测评适用的阶段在实施等级保护建设工作前,信息系统运营、使用单位可以开展一次等级测评以确定信息系统的安全需求。在等级保护建设完成后,通过等级测评判定信息系统是否按照预先设定的安全模式运行,安全控制措施是否得到合理的应用,信息系统是否达到相关标准的要求,是否具备相应等级的安全防护能力等。等级保护测评工作开展系统改建方案设计:由信息系统的运营使用单位自己组织人员或由第三方评估机构,采用等级测评方法对信息系统安全保护现状与等级保护基本要求进行符合性评估符合性评估,得到与相应等级要求的差距项,确定安全需求,为制定安全改建方案提供依据。是一种需
9、求分析方法,不受测评执行主体的限制。等级保护建设完成后的测评,由具有相关资质、独立的第三方测第三方测评机构评机构完成。1.2.13测评与监督检查的关系等级保护测评的操作形式自评估委托评估检查评估1.2.14测评工作要求依据标准,遵循原则依据标准,遵循原则恰当选取,保证强度恰当选取,保证强度规范行为,减少风险规范行为,减少风险过程规范过程规范行为规范行为规范等级保护测评注意事项等级保护测评方法(1)测评方法测评采用访谈、检查和测试三种方法,测评对象是测评实施过程中涉及到的信息系统的构成成份,包括人员、文档、机制、软件、设备。测评的层面涉及物理安全、网络安全、主机安全、应用系统安全、数据安全以及安
10、全管理。测评要求使用测评表进行具体检查时,首先按询问、查验、检测等工作方式将所有检查项目分类。所有以询问方式检查的项目,在与有关人员的谈话或会议上进行;所有以查验方式检查的项目,将需要的文档清单在检查现场提交给被检查方,请被检查方当前提供并进行查验;所有需要以检测方式检查的项目,按检测部门或设备分类后,根据具体情况选择检测顺序。等级保护测评方法(2)对技术要求对技术要求访谈访谈方法:方法:目的是是了解信息系统的全局性信息系统的全局性。范围一般一般不覆盖所有要求内容。不覆盖所有要求内容。检查检查方法:方法:目的是是确认信息系统当前具体安全机制和信息系统当前具体安全机制和运行的配置是否符合要求运行
11、的配置是否符合要求 。范围一般要覆盖所有要求内容。一般要覆盖所有要求内容。测试测试方法:方法:目的是验证信息系统安全机制有效性和安是验证信息系统安全机制有效性和安全强度。全强度。范围不覆盖所有要求内容。不覆盖所有要求内容。等级保护测评方法(3)对管理要求对管理要求对人员方面的要求,重点通过对人员方面的要求,重点通过访谈访谈的方式来测评,检的方式来测评,检查为辅;查为辅;对过程方面的要求,通过对过程方面的要求,通过访谈访谈和和检查检查的方式来测的方式来测评;评;对规范方面的要求,以对规范方面的要求,以检查检查文档为主,文档为主,访谈访谈为辅为辅系统系统承建单位承建单位主管主管 使用使用 运行单位
12、运行单位测评机构测评机构专家组专家组l支持测评l提供技术、工程和质量文档l实施的配合公安公安网监部门网监部门l测评工作组织协调l确保技术、工程和质量文档、提供运营相关文档的提供l评审实施方案等相关文档l配合等级测评实施l测评过程中的风险管理和应急管理l制定测评计划和方案等相关文档l在相关单位支持下实施等级测评l提交测评报告l对方案评审l对评估结论进行评审l测评工作 组织与监管等级保护测评中的角色和职责关系等级保护测评中的角色和职责关系信息安全服务机构:协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。信
13、息安全产品供应商:开发符合等级保护相关要求的信息安全产品,接受安全测评,按照等级保护相关要求销售信息安全产品并提供相关服务。应用软件开发机构:将安全控制要求与应用软件结合,负责软件开发。信息安全等级测评机构:协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经已经完成完成等级保护建设的信息系统进行测评;对信息安全产品供应商提供的信息安全产品进行安全测评。1.3.7等级保护实施过程中的主要参与角色等级保护测评工作实施步骤首次会议(1)参加人员:主管领导、技术人员、测评机构人员(2)被测评机构工作汇报测评实施被测评单位派人负责测评过程联络和协助。末次会议(
14、1)参加人员:主管领导、技术人员、测评机构人员(2)测评机构进行测试情况汇报等级保护测评项目组的构成测评项目组构成组长职责:管理测评过程、主持编制测评计划、主持设计测评方案、负责访谈、检查、组织分析测评结果、主持编制测评总结报告;访谈和查看组:负责访谈、执行测试,记录和分析测评结果;测试组:执行测试、记录和分析测评结果。等级保护测评部位被测评部门领导办公场所机房介质保管室设备管理部门一般工作场所监控室等等级保护测评设备被测评检查设备各类服务器抽查部分个人计算机(包括台式机、笔记本)通信线路交换机、路由器防火墙、入侵检测、杀毒软件等安全防护设备存储设备网络管理软件应用软件等级保护测评相关配合人员
15、等级保护测评相关配合人员测评所需要的相关配合人员单位领导部门领导系统管理员安全管理员系统审计员一般工作人员(抽查)等。等级测评风险告知 在开展测评过程中,对可能影响信息系统正常运行的,测评机构在开展测评过程中,对可能影响信息系统正常运行的,测评机构应当事先告知被测评单位,并协助其采取相应的预防措施。应当事先告知被测评单位,并协助其采取相应的预防措施。等级测评实施过程中可能存在的风险等级测评实施过程中可能存在的风险验证测试影响系统正常运行验证测试影响系统正常运行 在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误
16、操作的可能。工具测试影响系统正常运行工具测试影响系统正常运行在现场测评时,会使用一些技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。敏感信息泄漏敏感信息泄漏 泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。等级测评方式测试功能功能/性能测试、渗透测试等。性能测试、渗透测试等。测试对象包括机制和设备等。测试对象包括机制和设备等。测试一般需要借助特定工具。测试一般需要借助特定工具。扫描检测工具扫描检测工具网络协议分析仪网络协议分析仪攻击工具攻击工具渗透工
17、具渗透工具等级保护测评标准等级保护测评标准信息系统安全等级保护测评要求信息系统安全等级保护测评指南等级保护测评要求测评要求的作用指导系统运营使用单位进行自查指导系统运营使用单位进行自查指导评估机构进行检测评估指导评估机构进行检测评估监管职能部门参照进行监督检查监管职能部门参照进行监督检查规范测评内容和行为规范测评内容和行为等级保护测评的内容某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理测评要求编制思路信息系统测评系统测评(对安全控制、层面、区域间关联关系以及系统整体结构,分层次综合分析、测评)安全控制测评(以
18、测评单元组织的测评实施)安全控制测评思路在内容上,与在内容上,与基本要求基本要求一一对应,针对一一对应,针对基本要求基本要求的每一个控的每一个控制项,开发具体的测评实施方法。制项,开发具体的测评实施方法。在结构上,以在结构上,以“测评单元测评单元”为基本工作单位,分等级进行组织。为基本工作单位,分等级进行组织。测评单元测评单元测评项测评项测评方式测评方式测评对象测评对象测评实施测评实施结果判定结果判定具体技术和管理要求具体技术和管理要求访谈访谈/检查检查/测试测试人员人员/文档文档/机制机制/设备设备测评方式对象操作测评方式对象操作是否符合测评项要求是否符合测评项要求等级保护测评测评单元是指安
19、全控制测评的最小工作单位,由测评项、测评单元是指安全控制测评的最小工作单位,由测评项、测评方式、测评对象、测评实施和结果判定等组成,分测评方式、测评对象、测评实施和结果判定等组成,分别描述测评目的和内容、测评使用的方式方法、测试过别描述测评目的和内容、测评使用的方式方法、测试过程中涉及的测评对象、具体测试实施取证过程要求和测程中涉及的测评对象、具体测试实施取证过程要求和测评证据的结果判定规则与方法。评证据的结果判定规则与方法。测评强度是指测评的广度和深度,体现测评工作的实际测评强度是指测评的广度和深度,体现测评工作的实际投入程度。投入程度。测评强度增强的方法测评广度越大,范围越大,包含的测评对
20、象就越多,测测评广度越大,范围越大,包含的测评对象就越多,测评实际投入程度越高。评实际投入程度越高。测评的深度越深,越需要在细节上展开,测评实际投入测评的深度越深,越需要在细节上展开,测评实际投入程度也越高。程度也越高。测评的广度和深度落实在具体的测评方法测评的广度和深度落实在具体的测评方法访谈、检访谈、检查和测试上,体现出访谈、检查和测试的投入程度不同。查和测试上,体现出访谈、检查和测试的投入程度不同。2.1.8系统等级保护测评思路根据安全控制、层面和区域之间的关联作用,逐层测评分析安全根据安全控制、层面和区域之间的关联作用,逐层测评分析安全控制间、层面间和区域间关联关系对整体安全功能的影响
21、,具体控制间、层面间和区域间关联关系对整体安全功能的影响,具体应包括:安全控制间安全测评、层面间安全测评、区域间安全测应包括:安全控制间安全测评、层面间安全测评、区域间安全测评评 。进行系统整体结构安全测评进行系统整体结构安全测评从安全的角度,分析信息系统整体结构的安全性从安全的角度,分析信息系统整体结构的安全性 从安全角度看系统从安全角度看系统 从系统的角度,分析信息系统安全防范从系统的角度,分析信息系统安全防范( (体系体系) )的合理性的合理性 以系统的以系统的观点看安全防范(体系观点看安全防范(体系)等级保护测评要求部分解读第二部分等级保护测评要求(3)等级保护测评要求部分解读(物理安
22、全)物理访问控制本项要求包括:机房出入口应安排专人值守,控制、鉴别和记录进入的人员;需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;应对机房划分区域进行管理,区域和区域之间设置应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等物理隔离装置,在重要区域前设置交付或安装等过渡区域;过渡区域;重要区域应配置电子门禁系统,控制、鉴别和记录重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。进入的人员。物理访问控制实施讨论1.机房进出通过双向电子门禁系统进行控制,可通过门禁电子记录或填写出入记录单的形式记录进出人员和时间2.有能力的单位应当增设保
23、安人员在门外值守;3.机房的内和外部临近入口区域要安装摄像头保证全部范围覆盖;4.外来人员进入机房应当由专人全程陪同;5.对于系统较多、机房面积较大的有能力单位应将机房按系统和设备的重要程度划分不同的单独区域进行物理隔离,联通各区域间的通道空间形成机房的过渡缓冲区。6.对于电源UPS,最好能划分单独区域。物理访问控制测评实施:1.应检查机房安全管理制度,查看是否有关于机房出入方面的规定;2.应检查机房出入口是否有专人值守,是否有值守记录以及进出机房的人员登记记录;检查机房是否不存在值守人员控制之外的出入口;3.应检查是否有来访人员进入机房的审批记录,查看审批记录是否包括来访人员的访问范围;4.
24、应检查机房区域划分是否合理,是否在机房重要区域前设置交付或安装应检查机房区域划分是否合理,是否在机房重要区域前设置交付或安装等过渡区域;是否在不同机房间和同一机房不同区域间设置了有效的物等过渡区域;是否在不同机房间和同一机房不同区域间设置了有效的物理隔离装置;理隔离装置;5.应检查重要区域配置的电子门禁系统是否有验收文档或产品安全认证资应检查重要区域配置的电子门禁系统是否有验收文档或产品安全认证资质;质;6.应检查电子门禁系统是否正常工作(不考虑断电后的工作情况);查看应检查电子门禁系统是否正常工作(不考虑断电后的工作情况);查看是否有电子门禁系统运行和维护记录;查看监控进入机房重要区域的电是
25、否有电子门禁系统运行和维护记录;查看监控进入机房重要区域的电子门禁系统记录,是否能够鉴别和记录进入人员的身份。子门禁系统记录,是否能够鉴别和记录进入人员的身份。物理访问控制测评结果记录1.检查机房安全管理制度,有关于机房出入方面的规定;2.机房出入口有专人值守,有值守记录以及进出机房的人员登记记录;3.检查机房不存在值守人员控制之外的出入口;4.有来访人员进入机房的审批记录,审批记录包括来访人员的访问范围5.业务或安全管理需要,对机房进行了划分区域管理。各个区域都有专业务或安全管理需要,对机房进行了划分区域管理。各个区域都有专门的管理要求。门的管理要求。6.机房区域划分合理,在机房重要区域前设
26、置交付或安装等过渡区域;机房区域划分合理,在机房重要区域前设置交付或安装等过渡区域;在不同机房间和同一机房不同区域间设置了有效的物理隔离装置在不同机房间和同一机房不同区域间设置了有效的物理隔离装置7.重要区域配置的电子门禁系统是验收文档或产品安全认证资质重要区域配置的电子门禁系统是验收文档或产品安全认证资质(安防(安防验收报告)验收报告)8.电子门禁系统正常工作;有电子门禁系统运行和维护记录;能够鉴别电子门禁系统正常工作;有电子门禁系统运行和维护记录;能够鉴别和记录进入人员的身份。和记录进入人员的身份。防雷击本项要求包括:1.机房建筑应设置避雷装置;2.应设置防雷保安器,防止感应雷;应设置防雷
27、保安器,防止感应雷;3.机房应设置交流电源地线。2.3.6防雷击实施讨论在南方地区,夏季多雨水,雷击发生的可能性很大,需要重点检测。1.电子信息系统机房施工及验收规范GB50462-20082.电子信息系统机房设计规范GB50174-20083.建筑物电子信息系统防雷技术规范GB50343-20044.建筑物防雷装置检测技术规范GB/T21431-2008防雷击测评实施1.应检查机房建筑是否有避雷装置,是否有交流地线;2.应检查机房是否安装防雷保安器等装置。应检查机房是否安装防雷保安器等装置。防雷击结果记录1.机房建筑有避雷装置,有交流地线;2.机房电源和信号线上安装防雷保安器等装置机房电源和
28、信号线上安装防雷保安器等装置;3.机房计算机系统接地设置了专用地线;机房计算机系统接地设置了专用地线;4.通过验收或国家有关部门的技术检测(有检测报告)防火本项要求包括:1.机房应设置火灾自动消防系统,能够自动检测火情、机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;自动报警,并自动灭火;2.机房及相关的工作房间和辅助房应采用具有耐火等级机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;的建筑材料;3.机房应采取区域隔离防火措施,将重要设备与其他设机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。备隔离开。防火测评实施1.应检查机房是否设置了自动检测火情、自动
29、报自动检测火情、自动报警、自动灭火的自动消防系统,自动消防系统警、自动灭火的自动消防系统,自动消防系统摆放位置是否合理,其有效期是否合格;应检查自动消防系统自动消防系统是否正常工作,查看是否有运行记录、报警记录、定期检查和维修记录;2.应检查机房是否采取区域隔离防火措施,将重应检查机房是否采取区域隔离防火措施,将重要设备与其他设备隔离开。要设备与其他设备隔离开。防火测评结果记录1.机房设置了灭火设备,设置了自动检测火情、自动自动检测火情、自动报警、自动灭火的自动消防系统;报警、自动灭火的自动消防系统;2.有专人负责维护该系统的运行,制定了有关机房消防的管理制度和消防预案,进行了消防培训;3.火
30、灾自动消防系统定期进行检查和维护自动消防系统自动消防系统摆放位置合理,其有效期合格;自动消防系统自动消防系统正常工作,有运行记录、报警记录、定期检查和维修记录;应检查机房采取区域隔离防火措施,将重要设备与其应检查机房采取区域隔离防火措施,将重要设备与其他设备隔离开。他设备隔离开。温湿度控制本项要求包括:机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。温湿度控制实施讨论1.电子信息系统机房设计规范GB50174-20082.计算站场地技术条件GB2887-89温湿度控制测评实施1.应检查温湿度自动调节设施是否能够正常运行,查看是否有温湿度记录、运行记录和维护记录;
31、查看机房温湿度是否满足计算站场地的技术条件要求。温湿度控制测评结果记录1.湿度自动调节设施能够正常运行;2.有温湿度记录、运行记录和维护记录。电力供应本项要求包括:应在机房供电线路上配置稳压器和过电压防护设备;应提供短期的备用电力供应,至少满足主要设备主要设备在断电情况下的正常运行要求;应设置冗余或并行的电力电缆线路为计算机系统供电;应设置冗余或并行的电力电缆线路为计算机系统供电;应建立备用供电系统。应建立备用供电系统。电力供应实施讨论1.国家标准供配电系统设计规范2.在电线路上配置稳压器和过电压防护设备以保证在电压突然变化时不影响到设备的正常运行;3.需要配备足够的UPS保证在段时间内断电的
32、运行或至少保证服务器有足够的关机时间;4.采取冗余形式,一般至少有2家不同的供电公司供电;有条件的可以配备发电机保证较长时间的应急供电。5.对UPS没有定期进行可用性测试。电力供应测评实施1.应检查机房,查看计算机系统供电线路上的稳压器、过电压防护设备和短期备用电源设备是否正常运行,查看查看供电电压是否正常;供电电压是否正常;2.应检查是否有稳压器、过电压防护设备、短期备用电源设备以及备用供电系统备用供电系统等电源设备的检查和维护记录,冗余或并行的电力电缆线路切换记录,备用供电系统运冗余或并行的电力电缆线路切换记录,备用供电系统运行记录;以及上述计算机系统供电的运行记录,是否能行记录;以及上述
33、计算机系统供电的运行记录,是否能够符合系统正常运行的要求;够符合系统正常运行的要求;3.应测试安装的冗余或并行的电力电缆线路,是否能够进应测试安装的冗余或并行的电力电缆线路,是否能够进行双路供电切换;行双路供电切换;4.应测试备用供电系统是否能够在规定时间内正常启动和应测试备用供电系统是否能够在规定时间内正常启动和正常供电。正常供电。电力供应测评结果记录1.计算机系统供电线路上的稳压器、过电压防护设备和短期备用电源设备(如UPS)正常运行,查看供电电压正常;查看供电电压正常;2.有稳压器、过电压防护设备、短期备用电源设备以及备用供电系统备用供电系统等电源设备的检查和维护记录,冗余或并行的电力电
34、缆线路切换记录,冗余或并行的电力电缆线路切换记录,备用供电系统运行记录;以及上述计算机系统供电的运行记录,能够备用供电系统运行记录;以及上述计算机系统供电的运行记录,能够符合系统正常运行的要求;符合系统正常运行的要求;3.测试安装的冗余或并行的电力电缆线路,能够进行双路供电切换;测试安装的冗余或并行的电力电缆线路,能够进行双路供电切换;4.测试备用供电系统测试备用供电系统(如UPS)能够在规定时间内正常启动和正常供电。能够在规定时间内正常启动和正常供电。电磁防护实施讨论1.电磁屏蔽室屏蔽效能的测量方法GBT12190-20062.通过将机架外壳接地的方式可以降低外界的电子干扰,对于要求较高的机
35、房,如CA机房需要建立屏蔽室;3.机房布线要严格按照规定,强、弱电线路尽量原理,使用交叉走线,避免平行轴线;使用铁质线槽可以抵御电磁干扰并有效保护线缆安全。4.处理涉密信息的电磁屏蔽室的技术要求和测试方法BMB3-19995.涉密信息设备使用现场的电磁泄漏发射防护要求BMB5-2000电磁防护本项要求包括:应采用接地方式防止外界电磁干扰和设备寄生耦合干应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;扰;电源线和通信线缆应隔离铺设,避免互相干扰;应对关键设备和磁介质实施电磁屏蔽。应对关键设备和磁介质实施电磁屏蔽。电磁防护测评实施1.应检查机房设备外壳是否有安全接地;应检查机房设备外壳是否有安全
36、接地;2.应检查机房布线,查看是否做到电源线和通信线缆隔离;3.应检查磁介质是否存放在具有电磁屏蔽功能的容器中。应检查磁介质是否存放在具有电磁屏蔽功能的容器中。第二部分等级保护测评要求(4)等级保护测评要求部分解读(网络安全)结构安全本项要求包括:1.应保证主要网络设备主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;2.应保证网络各个部分的带宽网络各个部分的带宽满足业务高峰期需要;3.应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;4.应绘制与当前运行情况相符的网络拓扑结构图;5.应根据各部门的工作职能、重要性
37、和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;6.应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;段与其他网段之间采取可靠的技术隔离手段;7.应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。生拥堵的时候优先保护重要主机。结构安全要求:1.应保证主要网络设备主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;测评
38、实施:访谈网络管理员,询问主要网络设备的性能及业务高峰流量。访谈网络管理员,询问采用何种手段对网络设备进行监控。通过网络管理软件,或IT资源监控系统,确认主要网络设备主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。应检查网络设计/验收文档,查看是否有主要主要网络设备业务处理能力、接入网络及核心网络的带宽满足业务高峰期的需要以及不存在带宽瓶颈不存在带宽瓶颈等方面等方面的设计或描述。结构安全要求:2.应保证网络各个部分的带宽网络各个部分的带宽满足业务高峰期需要;测评实施测评实施:应访谈网络管理员,询问网络中带宽控制情况以及带宽分配的原则应访谈网络管理员,询问网络中带宽控制情况以及带宽分
39、配的原则;询问当前网络各部分的带宽是否满足业务高峰需要。询问当前网络各部分的带宽是否满足业务高峰需要。如果无法满足业务高峰期需要,则需如果无法满足业务高峰期需要,则需迚迚行带宽分配。检查主要网络设备行带宽分配。检查主要网络设备是否进行行带宽分配。以是否进行行带宽分配。以CISCO IOS 为例为例:检查配置是否类似如下配置项检查配置是否类似如下配置项: 输入命令输入命令:show running-config class-map:class-1 bandwidth:percent 50 bandwith 5000(kbps) max threshold 64(packets)结构安全要求: 3
40、.应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;条款理解条款理解:静态路由是指由网络管理员手工配置的路由信息。劢态路由是指路由器能够静态路由是指由网络管理员手工配置的路由信息。劢态路由是指路由器能够自劢地建立自己的路由表。自劢地建立自己的路由表。路由器之间的路由信息交换是基亍路由协议实现的,如路由器之间的路由信息交换是基亍路由协议实现的,如OSPF路由协议是一路由协议是一种典型的链路状态的路由协议。种典型的链路状态的路由协议。如果使用劢态路由协议应配置使用路由协议认证功能,保证网络路由安全。如果使用劢态路由协议应配置使用
41、路由协议认证功能,保证网络路由安全。测评实施测评实施:应检查边界和主要网络设备,查看是否配置路由控制策略以建立安全的访问应检查边界和主要网络设备,查看是否配置路由控制策略以建立安全的访问路径;路径;以CISCOIOS为例,输入命令:show running-config检查配置文件中应当存在类似如下配置项: iproute 192.168.1.0 255.255.255.0 192.168.1.193 (静态) router ospf100 (动态) ipospfmessage-digest-key 1 md5 7 XXXXXX(认证码)(认证码)结构安全要求:4.应绘制与当前运行情况相符的网
42、络拓扑结构图;测评实施:登录网络管理软件,检查网络拓扑结构图,查看其与当前运行的实际网络系统是否一致;如果没有网络管理软件,使用其它的网络管理软件查看。如HPOPENVIEW、游龙网管等。结构安全要求:5.应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;条款理解:根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分或子网划分。不同VLAN内的报文在传输时是相互隔离的。如果丌同VLAN要迚行通信,则需要通过路由器或三层交换机等三层设备实现。使用防火墙,或使用网络隔离与交换产品网络进行划分网段。测评
43、实施:测评实施:应访谈网络管理员,询问网段划分情况以及划分的原则;询问重要网段有哪些,其应访谈网络管理员,询问网段划分情况以及划分的原则;询问重要网段有哪些,其具体的部署位置,与其他网段的隔离措施有哪些;具体的部署位置,与其他网段的隔离措施有哪些;以CISCOIOS为例,输入命令:show vlan检查配置文件中应当存在类似如下配置项: vlan2 name info Int e0/2 vlan-membership static 2结构安全要求: 6.应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取
44、可靠的技术隔离手段;网段与其他网段之间采取可靠的技术隔离手段;条款理解条款理解为了保证信息系统的安全,应避免将重要网段部署在网络边界处且直接连接外部信息系统,防止来自外部信息系统的攻击。在重要网段和其它网段之间配置安全策略进行行访问控制。测评实施检查网络拓扑结构,查看是否将重要网段部署在网络边界处,重要网段和其它网段之间是否配置安全策略进行行访问控制,如防火墙。结构安全要求: 7. 7.应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。络发生拥堵的时候优先保护重要主机。测评实施:测评实施:应检查
45、边界和主要网络设备,查看是否配置对带宽进行控制的策略,这应检查边界和主要网络设备,查看是否配置对带宽进行控制的策略,这些策略是否能够保证在网络发生拥堵的时候优先保护重要业务。些策略是否能够保证在网络发生拥堵的时候优先保护重要业务。 以CISCO IOS为例,检查配置文件中是否存在类似如下配置项: policy-map barpolicy-map bar class voice class voice priority percent 10 priority percent 10 class data class data bandwidth percent 30 bandwidth perce
46、nt 30 class video class video bandwidth percent 20 bandwidth percent 20访问控制本项要求包括:1.应在网络边界部署访问控制设备,启用访问控制功能;2.应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级控制粒度为端口级;3.应对进出网络的信息内容进行过滤,实现对应用层应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;等协议命令级的控制;4.应在会话处于非活跃一定时间或会话结束后终止网络连接;应在会话处于非活跃一定时间或会话结束后终止网络连
47、接;5.应限制网络最大流量数及网络连接数;应限制网络最大流量数及网络连接数;6.重要网段应采取技术手段防止地址欺骗;重要网段应采取技术手段防止地址欺骗;7.应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;8.应限制具有拨号访问权限的用户数量。访问控制要求:1.应在网络边界部署访问控制设备,启用访问控制功能;条款理解条款理解o在网络边界部署访问控制设备,防御来自其他网络的攻击,保护内部网络的安全。测评实施o检查网络拓扑结构,查看是否在网络边界处部署了访问控制设备,是否启用了访问控制功能。访问控制要求:2.应能根据会话状态信息为数据流提供明确的允许/
48、拒绝访问的能力,控,控制粒度为端口级制粒度为端口级;条款理解条款理解o在网络边界部署访问控制设备,对进出网络的流量进行过滤,保护内部网络的安全。o配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。测评实施(以路由器,或防火墙)以CISCOIOS为例,输入命令:show ipaccess-list 检查配置文件中应当存在类似如下配置项: no access-list 111 ipaccess-list extended 111 deny ipx.x.x.0 0.0.0.255 any log interface eth 0/0 ipaccess-group 111 in访问控制以
49、防火墙检查为例,应有明确的访问控制策略,如下图所示:访问控制要求:3.应对进出网络的信息内容进行过滤,实现对应用层应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;等协议命令级的控制;条款理解条款理解o对亍一些常用的应用层协议,能够在访问控制设备上实现应用层协议命令级的控制和内容检查,从而增强访问控制粒度。测评实施测评实施o该测评项一般在防火墙、入侵防御系统上检查。o首先查看防火墙、入侵防御系统是否具有该功能,然后登录设备查看是否启用了相应的功能。访问控制以联想网御防火墙为例,如下图所示:访问控制要求:4.应在会话处于非活跃一定时
50、间或会话结束后终止网络连接;应在会话处于非活跃一定时间或会话结束后终止网络连接;条款理解条款理解o当恶意用户迚行网络攻击时,有时会发起大量会话连接,建立会话后长时间保持状态连接从而占用大量网络资源,最终将网络资源耗尽的情况。o应在会话终止或长时间无响应的情况下终止网络连接,释放被占用网络资源,保证业务可以被正常访问。测评实施o该测评项一般在防火墙上检查。o登录防火墙,查看是否设置了会话连接超时,设置的超时时间是多少,判断是否合理。访问控制以天融信防火墙为例,如下图所示:访问控制要求:5.应限制网络最大流量数及网络连接数;应限制网络最大流量数及网络连接数;条款理解条款理解o可根据IP地址、端口、
51、协议来限制应用数据流的最大流量,还可以根据IP地址来限制网络连接数,从而保证业务带宽丌被占用,业务系统可以对外正常提供业务。测评实施o该测评项一般在防火墙上检查。访谈系统管理员,依据实际网络状况是否需要限制网络最大流量数及网络连接数。o登录设备查看是否设置了最大流量数和连接数,并做好记录。访问控制以天融信防火墙为例,如下图所示:访问控制要求:6.重要网段应采取技术手段防止地址欺骗;重要网段应采取技术手段防止地址欺骗;o条款理解条款理解o地址欺骗在网络安全中比较重要的一个问题,这里的地址,可以是MAC地址,也可以是IP地址。在关键设备上,采用IP/MAC地址绑定方式防止地址欺骗。测评实施以CIS
52、COIOS为例,输入show ip arp检查配置文件中应当存在类似如下配置项: arp 10.10.10.1 0000.e268.9980 arpa访问控制以联想网御防火墙为例,如下图所示:访问控制要求:7.应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;条款理解条款理解o对亍进程拨号用户,应在相关设备上提供用户认证功能。o通过配置用户、用户组,并结合访问控制规则可以实现对认证成功的用户允许访问受控资源。测评实施o登录相关设备查看是否对拨号用户迚行身份认证,是否配置访问控制规则对认证成功的用户允许访问受控资源。访问控制要求:8.应限制具有拨号访
53、问权限的用户数量。条款理解条款理解o应限制通过进程采用拨号方式或通过其他方式连入系统内部的用户数量。测评实施o询问系统管理员,是否有进程拨号用户,采用什么方式接入系统部,采用何种方式迚行身份认证,具体用户数量有多少。安全审计本项要求包括:1.应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;2.审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;3.应能够根据记录数据进行分析,并生成审计报表;应能够根据记录数据进行分析,并生成审计报表;4.应对审计记录进行保护,避免受到未预期的删除、应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。修
54、改或覆盖等。第二部分等级保护测评要求(5)等级保护测评要求部分解读(主机安全操作系统)身份鉴别本项要求包括:1.应对登录操作系统和数据库系统的用户进行身份标识和鉴别;2.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;3.应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;4.当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;5.应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。6.应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。应采用两种或两种以上组合的鉴别技术对管理
55、用户进行身份鉴别。身份鉴别要求:1.应对登录操作系统和数据库系统的用户进行身份标识和鉴别;条款理解用户的身份标识和鉴别,就是用户向系统以一种安全的方式提交自己的身份证实,然后由系统确认用户的身份是否属实的过程。身份鉴别测评实施Window:访谈系统管理员,系统用户是否已设置密码,并查看登录过程中系统账户是否使用了密码进行验证登录。Linux:采用查看方式,在root权限下,使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用户名状态身份鉴别要求:2.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;测评实施Windo
56、ws:本地安全策略-帐户策略-密码策略中的相关项目Linux:采用查看方式,在root权限下,使用命令more、cat或vi查看/etc/login.defs文件中相关配置参数身份鉴别身份鉴别身份鉴别要求:3.应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;条款理解要求系统应具有一定的登录控制功能。可以通过适当的配置“帐户锁定策略”来对用户的登录进行限制。如帐户锁定阈值,帐户锁定时间等。测评实施Windows:本地安全策略-帐户策略-帐户锁定策略中的相关项目Linux:采用查看方式,在root权限下,使用命令more、cat或vi查看/etc/pam.d/system
57、-auth文件中相关配置参数身份鉴别身份鉴别身份鉴别要求:4.当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;条款理解为方便管理员进行管理操作,众多服务器采用了网络登录的方式进行远程管理操作,例如Linux可以使用telnet登录,Windows使用远程终端服务。基本要求规定了这些传输的数据需要进行加密处理过,目的是为了保障帐户与口令的安全。测评实施Windows:确认操作系统版本确认终端服务器使用了SSL加密确认RDP客户端使用SSL加密身份鉴别Linux:在root权限下,使用命令more、cat或vi查看是否运行了sshd服务:servicestatus-a
58、ll|grepsshd若未使用ssh方式进行远程管理,则查看是否使用了telnet方式进行远程管理:servicestatus-all|greprunning身份鉴别要求:5.应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。条款理解条款理解对于操作系统来说,用户管理是操作系统应具备的基本功能。用户管理由创建用户和组以及定义它们的属性构成。用户的一个主要属性是如何对他们进行认证。用户是系统的主要代理。其属性控制他们的访问权、环境、如何对他们进行认证以及如何、何时、在哪里可以访问他们的帐户。因此,用户标识的唯一性至关重要。如果系统允许用户名相同,而UID不同,其唯一性标识
59、为UID,如果系统允许UID相同,而用户名不同,其唯一性标识为用户名。身份鉴别测评实施Windows:“管理工具”-“计算机管理”-“本地用户和组”中的“用户”,检查其中的用户名是否出现重复。Linux:采用查看方式,在root权限下,使用命令more、cat或vi查看/etc/passwd文件中用户名信息身份鉴别要求要求:6.应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。条款理解对于三级以上的操作系统应使用两种或两种以上组合的鉴别技术实现用户身份鉴别,如密码和令牌的组合使用等。测评实施访谈系统管理员,询问系统除用户名口令外
60、有无其他身份鉴别方法,如有没有令牌等。访问控制本项要求包括:1.应启用访问控制功能,依据安全策略控制用户对资源的访问;2.应根据管理用户的角色分配权限,实现管理用户的权限分离,应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;仅授予管理用户所需的最小权限;3.应实现操作系统和数据库系统特权用户的权限分离;4.应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;5.应及时删除多余的、过期的帐户,避免共享帐户的存在。6.应对重要信息资源设置敏感标记;应对重要信息资源设置敏感标记;7.应依据安全策略严格控制用户对有敏感标记重要信息资源的操应依据
61、安全策略严格控制用户对有敏感标记重要信息资源的操作作.访问控制要求:1.应启用访问控制功能,依据安全策略控制用户对资源的访问;访问控制测评实施访问控制访问控制要求要求:2.应根据管理用户的角色分配权限,实现管理用户应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;的权限分离,仅授予管理用户所需的最小权限;条款理解根据管理用户的角色对权限作出标准细致的划分,有利于各岗位细致协调的工作。仅授予管理用户所需的最小权限,避免出现权限的漏洞使一些高级用户拥有过大的权限。测评实施记录系统是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否
62、被赋予相应的角色。访问控制访问控制要求:3.应实现操作系统和数据库系统特权用户的权限分离;条款理解操作系统特权用户可能拥有以下一些权限:安装和配置系统的硬件和软件、建立和管理用户帐户、升级软件、备份和恢复等业务,从而保证操作系统的可用性、完整性和安全性。数据库系统特权用户则更多是对数据库的安装、配置、升级和迁移以及数据库用户的管理,从而保证数据库系统的可用性、完整性和安全性。将操作系统和数据库系统特权用户的权限分离,能够避免一些特权用户拥有过大的权限以及减少一些人为的误操作,做到了职责明确。测评实施结合系统管理员的组成情况,判定是否实现了该项要求访问控制要求:4.应严格限制默认帐户的访问权限,
63、重命名系统默认帐户,修改这些帐户的默认口令;条款理解对于系统默认的用户名,由于它们的某些权限与实际系统的要求可能存在差异,从而造成安全隐患,因此这些默认用户名应禁用。对于匿名用户的访问原则上是禁止的,查看服务器操作系统,确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问控制的安全策略,以未授权用户身份/角色测试访问客体,是否不允许进行访问。测评实施查看默认用户名是否重命名查看guest等默认账户是否已禁用访问控制要求:5.应及时删除多余的、过期的帐户,避免共享帐户的存在。条款理解对于系统默认的用户名,由于它们的某些权限与实际系统的要求可能存在差异,从而造成安全隐患,因此这
64、些默认用户名应禁用。对于匿名用户的访问原则上是禁止的,查看服务器操作系统,确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问控制的安全策略,以未授权用户身份/角色测试访问客体,是否不允许进行访问。测评实施查看是否存在多余的、过期的帐户,避免共享帐户访问控制要求要求:6.应对重要信息资源设置敏感标记;应对重要信息资源设置敏感标记;要求要求:7.应依据安全策略严格控制用户对有敏感标记应依据安全策略严格控制用户对有敏感标记重要信息资源的操作重要信息资源的操作.测评实施询问管理员是否对重要信息资源设置敏感标记询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设
65、定访问权限等剩余信息保护本项要求包括:1.应保证操作系统和数据库系统用户的鉴别信息所在的应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;除,无论这些信息是存放在硬盘上还是在内存中;2.应确保系统内的文件、目录和数据库记录等资源所在应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完的存储空间,被释放或重新分配给其他用户前得到完全清除。全清除。剩余信息保护要求要求:1.应保证操作系统和数据库系统用户的鉴别信息所在应保证操作系
66、统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;除,无论这些信息是存放在硬盘上还是在内存中;条款理解剩余信息保护是指操作系统用户的鉴别信息存储空间,被释放或再分配给其他用户前是否得到完全清除。测评实施打开“本地安全策略”-本地策略中的安全选项查看是否启用“不显示上次登录用户名”剩余信息保护要求要求:2.应确保系统内的文件、目录和数据库记录等资源所应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完在的存储空间,被释放或重新分配给其他
67、用户前得到完全清除。全清除。条款理解由于主存与辅存价格和性能的差异,现代操作系统普遍采用辅存作为缓存,对于缓存使用的安全问题也尤其重要。测评实施打开“本地安全策略”-本地策略中的安全选项查看是否选中“关机前清除虚拟内存页面”打开“本地安全策略”-“帐户策略”中的密码策略查看是否选中“用可还原的加密来存储密码”第二部分等级保护测评要求(6)等级保护测评要求部分解读(应用安全)应用安全的形势(一)开发商和用户对应用安全重视程度不够开发商和用户对应用安全重视程度不够开发商安全意识普遍淡薄,开发中留有安全隐患开发商安全意识普遍淡薄,开发中留有安全隐患用户普遍对应用安全不重视,系统上线前把关不严用户普遍
68、对应用安全不重视,系统上线前把关不严应用系统存在的漏洞较多应用系统存在的漏洞较多o116oNIST的报告显示,超过90%的安全漏洞是应用层漏洞,它已经远远超过网络、操作系统和浏览器的漏洞数量,这个比例还有上升的趋势。应用安全的形势(二)针对应用系统的攻击手段越来越多,面临的针对应用系统的攻击手段越来越多,面临的威胁在不断增大威胁在不断增大针对口令的攻击,如口令破解等针对口令的攻击,如口令破解等非授权获取敏感信息,如信息窃听、系统管理员非授权获取非授权获取敏感信息,如信息窃听、系统管理员非授权获取敏感业务数据(如用户的密码等信息)等敏感业务数据(如用户的密码等信息)等针对针对WEB应用的攻击,如
69、跨站脚本攻击、应用的攻击,如跨站脚本攻击、SQL注入、缓冲注入、缓冲区溢出、区溢出、拒绝服务攻击拒绝服务攻击、改变网页内容等、改变网页内容等o117应用系统的指标选取在在基本要求基本要求中的位置中的位置“应用安全应用安全”的所有指标,对于应用平台软件等则从中选择的所有指标,对于应用平台软件等则从中选择部分指标;部分指标;“数据安全及备份恢复数据安全及备份恢复”中的部分指标,对于三级信息系统,中的部分指标,对于三级信息系统,在应用安全中,主要检查在应用安全中,主要检查“数据完整性数据完整性”、“数据保密性数据保密性”和和“备份和恢复备份和恢复”第一和第二项;第一和第二项;应结合管理的要求,如应结
70、合管理的要求,如“应根据开发需求检测软件质量应根据开发需求检测软件质量”、“应要求开发单位提供软件源代码,并审查软件中可能存在应要求开发单位提供软件源代码,并审查软件中可能存在的后门的后门”,加强应用系统的源代码安全性。,加强应用系统的源代码安全性。o118119应用测评的特点安全功能和配置检查并重安全功能和配置检查并重和数据库、操作系统等成熟产品不同,应用系统现场测评除和数据库、操作系统等成熟产品不同,应用系统现场测评除检查安全配置外,还需验证相关安全功能是否正确检查安全配置外,还需验证相关安全功能是否正确应用测评中不确定因素较多应用测评中不确定因素较多业务和数据流程不同,需根据业务和数据特
71、点确定范围业务和数据流程不同,需根据业务和数据特点确定范围应用系统安全漏洞发现困难,很难消除代码级的安全隐患应用系统安全漏洞发现困难,很难消除代码级的安全隐患测评范围较广,分析较为困难测评范围较广,分析较为困难应用系统测评包括应用平台(如应用系统测评包括应用平台(如IIS等)的测评,且和其他等)的测评,且和其他层面关联较大层面关联较大应用测评的方法(1)通过访谈,了解安全措施的实施情况通过访谈,了解安全措施的实施情况o120n和其他成熟产品不同,应用系统只有在充分了解其部署情况后,才能明确测评的范围和对象,分析其系统的脆弱性和面临的主要安全威胁,有针对性的进行检查和测试。-右图是一个手机支付系
72、统的流程示意图,通过网页和手机可以完成冲值、查询等业务。应用测评的方法(2)通过检查,查看其是否进行了正确的配置通过检查,查看其是否进行了正确的配置有的安全功能(如口令长度限制、错误登录尝试次数等)需要在有的安全功能(如口令长度限制、错误登录尝试次数等)需要在应用系统上进行配置,则查看其是否进行了正确的配置,与安全应用系统上进行配置,则查看其是否进行了正确的配置,与安全策略是否一致。策略是否一致。无需进行配置的,则应查看其部署情况是否与访谈一致。无需进行配置的,则应查看其部署情况是否与访谈一致。如果条件允许,需进行测试如果条件允许,需进行测试可通过测试验证安全功能是否正确,配置是否生效。可通过
73、测试验证安全功能是否正确,配置是否生效。代码级的安全漏洞在现场查验比较困难,则可进行漏洞扫描和渗代码级的安全漏洞在现场查验比较困难,则可进行漏洞扫描和渗透测试。透测试。o121等级保护测评过程等级测评项目启动测评准备阶段编制测评方案工具和文档准备现场实施阶段分析测评结果分析与报告编制阶段沟通与洽谈形成等级测评结论编制测评报告结果确认和资料归还现场测评和结果记录方案确认和资源协调信息收集和分析测评准备阶段-项目启动向被测单位介绍等级测评的意义和作用,测评工作的基本流程向被测单位介绍等级测评的意义和作用,测评工作的基本流程和工作方法。和工作方法。了解被测单位的信息化建设状况与发展。包括被测系统的行
74、业了解被测单位的信息化建设状况与发展。包括被测系统的行业特征、主管机构、业务范围、地理位置以及被测系统基本情况,特征、主管机构、业务范围、地理位置以及被测系统基本情况,获得被测系统的背景信息和联络方式。获得被测系统的背景信息和联络方式。指出被测单位应提供的基本资料,包括:被测系统总体描述文指出被测单位应提供的基本资料,包括:被测系统总体描述文件,被测系统详细描述文件,被测系统安全保护等级定级报告,件,被测系统详细描述文件,被测系统安全保护等级定级报告,系统验收报告,安全需求分析报告,被测系统安全总体方案等。系统验收报告,安全需求分析报告,被测系统安全总体方案等。根据测评双方签订的委托测评协议书
75、和系统规模,测评机构组根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。建测评项目组,从人员方面做好准备,并编制项目计划书。1243.1.2测评准备阶段-信息收集与分析被测单位积极配合测评机构,为测评机构提供其所需要的各种资料,被测单位积极配合测评机构,为测评机构提供其所需要的各种资料,包括被测单位的各种方针文件、规章制度及相关过程管理记录、被测包括被测单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、被测系统详细描述文件、被测系统安全保护等级系统总体描述文件、被测系统详细描述文件、被测系统安全保护等级定级报告、安全需
76、求分析报告、被测系统安全总体方案、安全现状评定级报告、安全需求分析报告、被测系统安全总体方案、安全现状评价报告、被测系统安全详细设计方案、用户指南、运行步骤、网络图价报告、被测系统安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。表、配置管理文档等。测评机构分析被测单位提供的系统相关文件和初步了解到的系统基本测评机构分析被测单位提供的系统相关文件和初步了解到的系统基本情况,将需要补充了解的内容编制成调查表并发放给被测系统运行维情况,将需要补充了解的内容编制成调查表并发放给被测系统运行维护人员。护人员。测评机构收回填写完成的调查表单,并分析调查结果,以进一步了解测评机构收回填写完成
77、的调查表单,并分析调查结果,以进一步了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、管理框架、被测系统的网络及设备部署、业务种类和特性、业务系统管理框架、被测系统的网络及设备部署、业务种类和特性、业务系统处理的信息资产、用户范围和用户类型等。处理的信息资产、用户范围和用户类型等。125测评准备阶段-调查表内容全面内容全面顺序合理顺序合理保留逻辑关联保留逻辑关联内容至少包括被测系统的行业特征、主管机构、业务范围、地理位置、内容至少包括被测系统的行业特征、主管机构、业务范围、地理位置、背景信息、联络方式、组织管理结构、管理
78、策略、部门设置和部门在业背景信息、联络方式、组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、物理环境、网络拓扑结构、硬件设备部署务运行中的作用、岗位职责、物理环境、网络拓扑结构、硬件设备部署情况、范围及边界、业务种类及特性、业务流程、业务安全保护等级等。情况、范围及边界、业务种类及特性、业务流程、业务安全保护等级等。126测评准备阶段-编制测评方案根据被测系统基本情况描述被测系统,包括被测系统基本信息、管理框架、根据被测系统基本情况描述被测系统,包括被测系统基本信息、管理框架、被测系统的网络及设备部署、业务种类和特性、业务信息安全等级、系统服被测系统的网络及设备部署、业务种
79、类和特性、业务信息安全等级、系统服务安全等级、业务流程相关设备、部件和数据、管理模式、用户范围和用户务安全等级、业务流程相关设备、部件和数据、管理模式、用户范围和用户类型等。类型等。根据被测系统规模确定人员分工和测评计划。对于一般规模且业务种类较少根据被测系统规模确定人员分工和测评计划。对于一般规模且业务种类较少的被测系统,分组负责主机、网络、应用安全测评和工具测试。测评计划可的被测系统,分组负责主机、网络、应用安全测评和工具测试。测评计划可以列表的形式给出,包括总体时间安排、分项测评时间安排等。以列表的形式给出,包括总体时间安排、分项测评时间安排等。选择适当的测评对象、方式和工具。选择适当的
80、测评对象、方式和工具。确定测评指标。确定测评指标。确定现场测评实施内容,包括单项测评和系统整体测评。确定现场测评实施内容,包括单项测评和系统整体测评。汇总上述汇总上述6个步骤的各类文档和资料形成测评方案文稿。个步骤的各类文档和资料形成测评方案文稿。评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审,修改评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿。然后,测评机构将测评方案提交给被测单位。被测单位完成后形成提交稿。然后,测评机构将测评方案提交给被测单位。被测单位应对该测评方案签字认可。应对该测评方案签字认可。127测评准备阶段-工具和文档准备测评人
81、员熟悉被测系统相关的操作系统、数据库及业务流程等。测评人员熟悉被测系统相关的操作系统、数据库及业务流程等。测评人员调试、熟悉本次测评过程中将用到的测评工具,包括作业指导测评人员调试、熟悉本次测评过程中将用到的测评工具,包括作业指导书、漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。书、漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。准备和打印文档,主要包括:测评方案、现场测评授权书、作业指导书、准备和打印文档,主要包括:测评方案、现场测评授权书、作业指导书、测评结果记录表格(含测评人员入场和离场确认)、文档接收测评结果记录表格(含测评人员入场和离场确认)、文档接收/归还
82、确归还确认单等。认单等。128测评准备阶段-方案确认与资源协调召开测评现场首次会,测评机构介绍测评工作,交流测评信息,进一步召开测评现场首次会,测评机构介绍测评工作,交流测评信息,进一步明确测评计划和方案中的内容,说明测评过程中具体的实施工作内容,明确测评计划和方案中的内容,说明测评过程中具体的实施工作内容,测评时间安排等,以便于后面的测评工作开展。测评时间安排等,以便于后面的测评工作开展。测评双方对测评方案进行最终审定。测评双方对测评方案进行最终审定。测评双方确认现场测评需要的各种资源,包括被测单位的配合人员和需测评双方确认现场测评需要的各种资源,包括被测单位的配合人员和需要提供的测评条件等
83、。要提供的测评条件等。被测单位签署现场授权委托书。被测单位签署现场授权委托书。测评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要测评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新。的更新。129现场测试阶段测评人员熟悉被测系统相关的操作系统、数据库及业务流程等。测评人员熟悉被测系统相关的操作系统、数据库及业务流程等。测评人员调试、熟悉本次测评过程中将用到的测评工具,包括作业指导书、测评人员调试、熟悉本次测评过程中将用到的测评工具,包括作业指导书、漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
84、准备和打印文档,主要包括:测评方案、现场测评授权书、作业指导书、准备和打印文档,主要包括:测评方案、现场测评授权书、作业指导书、测评结果记录表格(含测评人员入场和离场确认)、文档接收测评结果记录表格(含测评人员入场和离场确认)、文档接收/归还确认归还确认单等。单等。130现场测试阶段-结果确认和资料归还测评人员在现场测评完成之后,应首先汇总现场测评的测评记录,测评人员在现场测评完成之后,应首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评。对漏掉和需要进一步验证的内容实施补充测评。测评双方对测评过程中发现的问题进行现场确认。测评双方对测评过程中发现的问题进行现场确认。测评机构
85、归还测评过程中借阅的所有文档资料,并由被测单位文测评机构归还测评过程中借阅的所有文档资料,并由被测单位文档资料提供者签字确认。档资料提供者签字确认。131报告编制阶段-分析测评结果根据测评结果的符合性判定情况,对现场测评的单个测评对象的单根据测评结果的符合性判定情况,对现场测评的单个测评对象的单个测评项的测评结果是否符合要求进行判断,即单项判定,形成单个测评项的测评结果是否符合要求进行判断,即单项判定,形成单项判定结论,判定结论分为两种情况:符合和不符合。项判定结论,判定结论分为两种情况:符合和不符合。根据单项判定结论将单项测评的数据按照层面进行汇总分析,以表根据单项判定结论将单项测评的数据按
86、照层面进行汇总分析,以表格的形式,分别统计物理安全、网络安全、主机系统安全、应用安格的形式,分别统计物理安全、网络安全、主机系统安全、应用安全、管理安全等各层面的不同安全控制的不同测评对象的单项测评全、管理安全等各层面的不同安全控制的不同测评对象的单项测评结论,并对符合项和不符合项进行统计。结论,并对符合项和不符合项进行统计。根据单项判定结论和数据汇总统计分析情况进行系统整体测评分析,根据单项判定结论和数据汇总统计分析情况进行系统整体测评分析,分析单项判定结果为不符合的测评项是否影响系统的整体安全保护分析单项判定结果为不符合的测评项是否影响系统的整体安全保护能力,分析系统的整体结构是否合理。能
87、力,分析系统的整体结构是否合理。1323.1.10报告编制阶段-形成测评结论在数据汇总分析的基础上,结合系统整体测评结果及被测系统的在数据汇总分析的基础上,结合系统整体测评结果及被测系统的实际情况等,分析测评结论为不符合的测评项是否影响系统安全实际情况等,分析测评结论为不符合的测评项是否影响系统安全目标实现,是否影响系统安全保护能力。目标实现,是否影响系统安全保护能力。根据系统安全保护现状与等级保护基本要求之间的差距,分析系根据系统安全保护现状与等级保护基本要求之间的差距,分析系统存在的问题,给出系统等级测评结论,并提出改进建议。统存在的问题,给出系统等级测评结论,并提出改进建议。133测评中
88、常见问题测评中存在的一些问题-物理安全机房接地系统没有没有充分测试,接地电阻达不到GB/T2887-2000要求。机房防静电系统不能满足SJ/T31469-2002的要求。综合布线系统的检测没有严格按照GB/T50312建筑与建筑群综合布线系统工程验收规范进行检测。机房及综合布线系统验收文档不齐全、规范、完整。测评中存在的一些问题网络安全没有绘制与实际网络相一致的网络拓扑结构图。有一份与实际网络相一致的网络拓扑结构图对网络管理相当重要,可以方便工作人员掌握网络的整体情况,便于网络故障的排除,便于网络安全设备的策略配置等。网络设备和安全防护产品,没有进行充分配置,存在配置错误或系统漏洞,如SNM
89、P漏洞。安全策略文档普遍缺乏。安全防护体系不健全。没有对重要网段采取网络层地址与数据链路层地址绑定措施。进行MAC地址和IP地址的绑定,有助于防止地址欺骗。测评中存在的一些问题主机安全操作系统和数据库管理系统,没有进行充分配置,存在配置错误或系统漏洞,系统补丁大多没有升级。安全策略文档普遍缺乏。测评中存在的一些问题应用安全应用系统没有将身份认证、访问控制、日志审计等安全控制在设计阶段充分考虑;在软件代码编程实现没有考虑软件安全漏洞;在验收时没有进行充分测试。普遍没有应用软件的安全策略文档。测评中存在的一些问题数据安全没有完整的数据安全备份策略;数据安全备份与恢复没有经过演练。测评中存在的一些问题管理安全与安全管理制度相配套的总体信息安全策略还没有正式制定,且有部分管理制度没有制定,如工程实施安全管理制度等。总体性安全策略文件是整个机构开展信息安全工作的纲领,对机构近期和远期的安全规划起着重要的指导作用。没有方针性文件的指引和统一规划,机构的信息安全工作则会有工作方向不明确的问题管理机构不健全、管理人员不到位;对信息安全关键岗位的人员管理缺乏更细粒度的要求。没有明确对这些岗位的人员是否有区别于其他岗位的更严格的录用要求、日常信用审查等管理要求。关键岗位所从事的工作是信息安全工作的重中之重,加强对这些岗位人员的管理,对做好信息安全工作起到了关键的作用。谢谢!
