收藏
下载资源

等级保护测评完全全面过程课堂PPT

上传人:hs****ma 文档编号:592241209 上传时间:2024-09-20 格式:PPT 页数:47 大小:689KB
返回 下载 相关 举报
等级保护测评完全全面过程课堂PPT_第1页
第1页 / 共47页
等级保护测评完全全面过程课堂PPT_第2页
第2页 / 共47页
等级保护测评完全全面过程课堂PPT_第3页
第3页 / 共47页
等级保护测评完全全面过程课堂PPT_第4页
第4页 / 共47页
等级保护测评完全全面过程课堂PPT_第5页
第5页 / 共47页
点击查看更多>>
资源描述

《等级保护测评完全全面过程课堂PPT》由会员分享,可在线阅读,更多相关《等级保护测评完全全面过程课堂PPT(47页珍藏版)》请在金锄头文库上搜索。

1、等级保护测评过程 以三级为例1主题一1234等级保护测评方法论等保测评安全措施等级保护测评概述等级保护测评内容与方法2等保测评概述等级测评等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。3组合分析1 1、等级测评等级测评是测评机构依据国家信息安全等级保护制度规定:u国家信息化领导小组关于加强信息安全保障工作

2、的意见、保护安全建设整改工作的指导意见 、信息安全等级保护管理办法。2、受有关单位委托,按照有关管理规范和技术标准(相关标准关系图参见图1、图2)u定级标准: 信息系统安全保护等级定级指南、 计算机信息系统安全保护等级划分准则 ;u建设标准:信息系统安全等级保护基本要求、信息系统通用安全技术要求、信息系统等级保护安全设计技术要求;u测评标准:信息系统安全等级保护测评要求 、 信息系统安全等级保护测评过程指南 、 信息系统安全等级保护实施指南;u管理标准:信息系统安全管理要求、 信息系统安全工程管理要求。3、运用科学的手段和方法:采用6种方式,逐步深化的测试手段u调研访谈(业务、资产、安全技术和

3、安全管理);u查看资料(管理制度、安全策略);u现场观察(物理环境、物理部署);u查看配置(主机、网络、安全设备);u技术测试(漏洞扫描);u评价(安全测评、符合性评价)。4组合分析4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级)作为定级对象的信息系统应具有如下基本特征:u具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单

4、位共同所属的单位;u具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象;u承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。5、采用安全技术测评和安全管理测评方式:u安全技术测评包括:物理安全、网络

5、安全、主机安全、应用安全、数据安全;u安全管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。6、对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。u符合程度:综合分析具体指标符合性判断,给出抽象指标符合性判断结果,汇总所有抽象指标符合判断,给出安全等级满足与否的结论;u安全等级结论:结合受测系统符合性程度,判断受测系统是否满足所定安全等级的结论;u安全整改建议:提出安全整改建议,汇总、分析所有不符合项对应的改进建议,组合成可单独执行的整改建议。5主题二

6、1234等级保护测评方法论等保测评安全措施等级保护测评概述等级保护测评内容与方法6等级保护完全实施过程信息系统定级信息系统定级安全总体规划安全总体规划安全设计与实施安全设计与实施安全运行维护安全运行维护信息系统终止信息系统终止安全等级测评安全等级测评信息系统备案信息系统备案安全整改设计安全整改设计等级符合性检查等级符合性检查应急预案及演练应急预案及演练安全要求整改安全等级整改局部调整等级变更7信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止”等五个阶段。u信息系统定级信息系统定级定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级

7、、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。u总体安全规划总体安全规划总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。u安全设计与实施安全设计与实施安全设计与实施阶段的

8、目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施u安全运行维护安全运行维护安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南u信息系统终止信息系统终止信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止

9、或废弃时,正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中,有些系统并不是真正意义上的废弃,而是改进技术或转变业务到新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全8等保测评工作流程等级测评的工作流程,依据信息系统安全等级保护测评过程指南,具体内容参见:等保测评工作流程图9准备阶段10方案编制阶段11现场测评阶段12报告编制阶段13等保实施计划安全管理调研安全管理调研现场实地调研现场实地调研现状调研报告现状调研报告渗透测试报告渗透测试报告信息资产调研表信息资产调研表人工审计报告人工审计报告扫描报告扫描报告基础培训基

10、础培训PPTPPT安全技术调研安全技术调研信息安全信息安全愿景制定愿景制定信息安全总体信息安全总体框架设计框架设计管理体系管理体系技术体系技术体系运维体系运维体系项目项目准备准备等保差距报告等保差距报告风险评估报告风险评估报告技能和意识培训技能和意识培训项目项目准备准备现状调研现状调研风险与差距分析风险与差距分析体系规划与建立体系规划与建立交流、知识转移、培训、宣传交流、知识转移、培训、宣传项目项目验收验收项目项目验收验收控制风险分析控制风险分析等保差距分析等保差距分析高危问题整改高危问题整改规划报告规划报告体系文件体系文件.等保测评等保测评14主题三1234等级保护测评方法论等保测评安全措施

11、等级保护测评概述等级保护测评内容与方法15等级保护综合测评信息信息系统系统综合测评综合测评技技术术要要求求管管理理要要求求16等级保护测评类型等保基本要求的三种技术类型等保基本要求的三种技术类型(S/A/GS/A/G)S:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权修改的信信息安全类要求息安全类要求;-物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等;A:保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求服务保证类要求;-电力供应、资源控制、软件容错等G:通用安全保护类要求通用安全保护类要求。-技术类中的安全审计、管理制度等G GA

12、AS S17等级保护测评指标测评指标技术/管理安全类安全子类数量S类(2级)S类(3级)A类(2级)A类(3级)G类(2级)G类(3级)F类(2级)F类(3级)要求项控制点二级三级二级三级技术类物理安全111182941810182347网络安全110053167672440主机安全231131203632034应用安全45221626762137数据安全221100033348管理类安全管理制度007100232712安全管理机构0091928581127人员安全管理00111654541620系统建设管理00284113189184159系统运维管理0027514254125469105合

13、 计667323638918等保测评方法访谈访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。检查检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等),数量上可以抽样。测试测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应,通过查看和分析响应的输出结果,获取证据以证明信息系统安全保护措施是否得以有效实施

14、的一种方法。在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。19物理基本要求中控制点与要求项各级分布:物理基本要求中控制点与要求项各级分布:安全等级控制点要求项第一级第一级第一级第一级7 79 9第二级第二级第二级第二级919第三级第三级第三级第三级1032第四级第四级第四级第四级1039物理位置的选择物理位置的选择 (2项)项)物理访问控制物理访问控制 (4项)项)防盗窃和防破坏防盗窃和防破坏 (6项)项)防雷击防雷击 (3项)项)防火防火 (3项)项)防水和防潮防水和防潮 (4项)项)防静电防静电 (2项)项)温湿度控制温湿度控制 (1项)项)电力供应电力供应 (4项)项)电磁防

15、护电磁防护 (3项)项)以以第三级为例第三级为例20物理安全测评内容和方法 物理位置选择物理位置选择 物理访问控制物理访问控制调研访谈:机房具有防震、防雨和防风能力,并提供机房设计和验收证明;现场查看:查看机房是否建在高层或地下室。 防盗和防破坏防盗和防破坏 防雷击防雷击 防火防火 防水和防潮防水和防潮 防静电防静电 温湿度控制温湿度控制 电力供应电力供应 电磁防护电磁防护物理安全调研访谈:专人值守、进出记录、申请和审批记录、物理隔离、门禁系统;现场查看:进出登记记录、物理区域化管理、电子门禁系统运行和维护记录。调研访谈:设备固定和标识、隐蔽布线、介质分类存储标识、部署防盗监控系统;现场查看:

16、设备固定和标识、监控报警系统安全材料、测试和验收报告。调研访谈:安装避雷装置、专业地线、防雷感应器;现场查看:机房防雷设计/验收文档、接地设计/验收文档,交流地线和防雷设备调研访谈:自动报警灭火设备、耐火材料、物理防火隔离;现场查看:自动消防运行、报警、维护记录,机房防火设计/验收文档。调研访谈:机房内有无上下水,防水和防漏措施;现场查看:机房防水和防潮设计/验收文档,地下积水的转移与渗透的措施。调研访谈:接地防静电措施,采用防静电地板;现场查看:防静电措施文档,防静电地板验收文档。调研访谈:温、湿度自动调节设施,专人负责;现场查看:温湿度控制设计/验收文档,温湿度记录、运行记录和维护记录。调

17、研访谈:部署稳压器和过电压防护设备,UPS和市电冗余;现场查看:电源设备的检查和维护记录,备用供电系统运行记录,市电切换记录。调研访谈:安全接地,关键设备和磁介质实施电磁屏蔽;现场查看:查看安全接地、电源线和通讯线隔离,电磁屏蔽容器。21物理安全测评基本要求和实现方法基本防护能力高层、地下室基本出入控制分区域管理在机房中的活动电子门禁存放位置、标识标记监控报警系统建筑防雷、机房接地设备防雷灭火设备、自动报警自动消防系统区域隔离措施关键设备和地板防静电防静电地板稳定电压、短期供应冗余/并行线路备用供电系统线缆隔离、设备和介质屏蔽接地防干扰电磁屏蔽防水设备、防水应急预案或措施空调系统、自动调节接地

18、线温湿度自动调节设施上下水管门窗防水线缆隔离布线机房部署中层物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防静电电力供应电磁防护防水和防潮温湿度控制22网络安全基本要求中控制点与要求项各级分布:网络安全基本要求中控制点与要求项各级分布:安全等级控制点要求项第一级第一级第一级第一级3 39 9第二级第二级第二级第二级618第三级第三级第三级第三级733第四级第四级第四级第四级732结构安全结构安全 (7项)项)访问控制访问控制 (8项)项)安全审计安全审计 (4项)项)边界完整性检查边界完整性检查 (2项)项)入侵防范入侵防范 (2项)项)恶意代码防范恶意代码防范 (2项)项)网络设备防护网

19、络设备防护 (8项)项)以以第三级为例第三级为例23网络安全测评内容和方法 结构安全结构安全 访问控制访问控制调研访谈:网络冗余、带宽情况、安全路径、子网和网段分配原则、重要网段隔离;测评判断:网络设计或验收文档,路由控制策略,网络设计或验收文档,网络隔离手段。 安全审计安全审计 边界完整性检查边界完整性检查 入侵检测入侵检测 恶意代码防护恶意代码防护 网络设备防护网络设备防护网络安全调研访谈:网络边界控制策略,测评判断:会话对数据流进行控制,应用层协议控制,自动终止网络连接的配置等。调研访谈:开启安全审计功能、审计内容、审计报表、审计记录保护;测评判断:审计全面监测、查看审计报表、审计记录处

20、理方式。调研访谈:外网接入内网行为监控、内网私自联到外网行为监控,并进行阻断处理;测评判断:查看外网接入内网行为和内网私自联到外网行为进行监控的配置。调研访谈:网络入侵防范措施、防范规则库升级方式、网络入侵防范的设备;测评判断:检查网络入侵防范设备,查看检测的攻击行为和安全警告方式。调研访谈:网络恶意代码防范措施、恶意代码库的更新策略;测评判断:网络设计或验收文档,网络边界对恶意代码采取的措施和防恶意代码产品更新。调研访谈:两种用户身份鉴别、地址限制、用户唯一、口令复杂度要求、登录失败验证等;测评判断:用户唯一和地址限制、密码复杂度和两种身份鉴别方式、特权用户权限分配。24网络安全测评基本要求

21、和实现方法关键设备冗余空间子网/网段控制核心网络带宽主要设备冗余空间整体网络带宽重要网段部署路由控制访问控制设备(用户、网段)拨号访问限制应用层协议过滤会话终止端口控制最大流量数及最大连接数防止地址欺骗结构安全访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护审计报表审计记录的保护定位及阻断内部的非法联出非授权设备私自外联检测常见攻击记录、报警网络边界处防范基本的登录鉴别组合鉴别技术特权用户的权限分离边界恶意代码检测代码库升级重要客户端的审计重要客户端的审计日志记录25主机安全基本要求中控制点与要求项各级分布:主机安全基本要求中控制点与要求项各级分布:安全等级控制点要求项第一级第一

22、级第一级第一级4 46 6第二级第二级第二级第二级619第三级第三级第三级第三级732第四级第四级第四级第四级936身份鉴别身份鉴别 (6项)项)访问控制访问控制 (7项)项)安全审计安全审计 (6项)项)剩余信息保护剩余信息保护 (2项)项)入侵防范入侵防范 (3项)项)恶意代码防范恶意代码防范 (3项)项)系统资源控制系统资源控制 (5项)项)以以第三级为例第三级为例26主机安全测评内容和方法 身份鉴别身份鉴别 访问控制访问控制 安全审计安全审计 剩余信息保护剩余信息保护 入侵检测入侵检测 恶意代码防范恶意代码防范 资源控制资源控制主机安全调研访谈:安全策略、最小分配原则、权限分离、删除多

23、余账户、敏感标识、控制敏感资源;测评判断:检查服务器操作系统的安全策略、查看特权用户的权限是否进行分离。调研访谈:保证数据存储空间、重新分配前完全清楚数据;测评判断:检查操作系统和数据库系统维护操作手册,包括:存储空间被释放和重新分配原则。调研访谈:入侵防范措施和安全报警、重要程序的完整性进行检测、系统补丁及时更新;测评判断:检查入侵防范系统、检测到完整性受到破坏后恢复的措施、补丁升级记录。调研访谈:安装防恶意代码软件、防恶意代码软件统一管理;测评判断:检查实时检测与恶意代码的软件产品并进行及时更新、主机和网络恶意代码软件不同调研访谈:限制终端登录、登录超时锁定、对服务器进行监控、限制用户对资

24、源的访问等;测评判断:检查服务器操作系统限制终端登录、超时锁定、服务器监控等调研访谈:两种用户身份鉴别、地址限制、用户唯一、口令复杂度要求、登录失败验证等;测评判断:用户唯一和地址限制、密码复杂度和两种身份鉴别方式、特权用户权限分配。调研访谈:开启安全审计功能、审计内容、审计报表、审计记录保护;测评判断:审计全面监测、查看审计报表、审计记录处理方式。27主机安全测评基本要求和实现方法访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制审计报表审计记录的保护空间释放恶意代码防范产品对用户会话数及终端登录的限制监视重要服务器最小服务水平的检测及报警防恶意代码软件、代码库统一管理身份鉴别基本的身

25、份鉴别组合鉴别技术安全策略特权用户的权限分离管理用户的权限分离敏感标记的设置及操作服务器基本运行情况审计重要客户端的审计空间释放及信息清除最小安装原则升级服务器重要服务器:检测、记录、报警重要程序完整性28应用安全基本要求中控制点与要求项各级分布:应用安全基本要求中控制点与要求项各级分布:安全等级控制点要求项第一级第一级第一级第一级4 47 7第二级第二级第二级第二级719第三级第三级第三级第三级931第四级第四级第四级第四级1136身份鉴别身份鉴别 (5项)项)访问控制访问控制 (6项)项)安全审计安全审计 (4项)项)剩余信息保护剩余信息保护 (2项项)通信完整性通信完整性 (1项项)通信

26、保密性通信保密性 (2项项)抗抵赖抗抵赖 (2项项)软件容错软件容错 (2项项)以以第三级为例第三级为例29应用安全测评内容和方法 身份鉴别身份鉴别 访问控制访问控制 安全审计安全审计 剩余信息保护剩余信息保护 通讯完整性通讯完整性 通讯保密性通讯保密性 抗抵赖抗抵赖应用安全调研访谈:应采用密码技术保证通信过程中数据的完整性;测评判断:检查设计或验收文档,是否有用密码技术来保证通信过程中数据的完整性的描述。调研访谈:利用密码技术进行会话初始化验证、对整个报文或会话过程进行加密;测评判断:系统数据在通信过程中采取扫描保密措施,查看具体措施。调研访谈:数据原发者或接收者提供数据原发证据的功能;测评

27、判断:系统是否具有抗抵赖的措施,查看具体措施。 软件容错软件容错调研访谈:数据有效性检验功能、当故障发生时自动保护当前所有状态;测评判断:查看应用系统是否对人机接口输入或通信接口输入的数据进行有效性检验。 资源控制资源控制调研访谈:两种用户身份鉴别、地址限制、用户唯一、口令复杂度要求、登录失败验证等;测评判断:用户唯一和地址限制、密码复杂度和两种身份鉴别方式、特权用户权限分配。调研访谈:安全策略、最小分配原则、权限分离、删除多余账户、敏感标识、控制敏感资源;测评判断:检查服务器操作系统的安全策略、查看特权用户的权限是否进行分离。调研访谈:开启安全审计功能、审计内容、审计报表、审计记录保护;测评

28、判断:审计全面监测、查看审计报表、审计记录处理方式。调研访谈:保证数据存储空间、重新分配前完全清楚数据;测评判断:检查操作系统和数据库系统维护操作手册,包括:存储空间被释放和重新分配原则。调研访谈:限制终端登录、登录超时锁定、对服务器进行监控、限制用户对资源的访问等;测评判断:检查服务器操作系统限制终端登录、超时锁定、服务器监控等。30应用安全测评基本要求和实现方法访问控制安全审计剩余信息保护通讯完整性通讯保密性资源控制审计报表审计记录的保护空间释放对用户会话数及 系统最大并发会话数的限制身份鉴别基本的身份鉴别组合鉴别技术安全策略最小授权原则敏感标记的设置及操作空间释放及信息清除运行情况审计(

29、用户级)审计记录的保护校验码技术初始化验证密码技术整个报文及会话过程加密抗抵赖数据原发证据和接收证据用户认证、数字签名、操作日志资源分配限制、资源分配优先级最小服务水平的检测及报警软件容错数据有效性检验、部分运行保护自动保护功能31数据安全基本要求中控制点与要求项各级分布:数据安全基本要求中控制点与要求项各级分布:安全等级控制点要求项第一级第一级第一级第一级2 22 2第二级第二级第二级第二级34第三级第三级第三级第三级38第四级第四级第四级第四级311数据完整性数据完整性 (2项项)数据保密性数据保密性 (2项项)备份备份与与恢复恢复 (8项项)以以第三级为例第三级为例32数据安全测评内容和

30、方法 数据完整性数据完整性 数据保密性数据保密性调研访谈:应能够检测到系统管理数据、鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏,并进行必要措施;检查判断:检测传输和存储破坏的措施和恢复措施。 安全备份安全备份数据安全调研访谈:采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储保密性;检查判断:鉴别信息和重要业务数据是否采用加密或其他有效措施实现传输保密性调研访谈:本地数据备份和恢复,备份介质场外存放,通信线路和数据处理系统的硬件冗余;检查判断:查设计或验收文档,对本地数据备份和恢复功能及策略的描述,查主要网络设备、主要通信线路和主要数据处理系统是否采用硬件冗余

31、、软件配置等33应用安全测评基本要求和实现方法访问控制备份和恢复备份和恢复数据完整性数据完整性鉴别数据传输的完整性各类数据传输及存储各类数据传输及存储检测和恢复检测和恢复鉴别数据存储的保密性各类数据的传输及存储各类数据的传输及存储重要数据的备份硬件冗余异地备份异地备份网络冗余、硬件冗余网络冗余、硬件冗余本地完全备份本地完全备份每天每天1次次备份介质场外存放备份介质场外存放34安全管理制度基本要求中控制点与要求项各级分布:安全管理制度基本要求中控制点与要求项各级分布:安全等级控制点要求项第一级第一级第一级第一级2 23 3第二级第二级第二级第二级37第三级第三级第三级第三级311第四级第四级第四

32、级第四级314管理制度管理制度 (4项项)制定和发布制定和发布 (5项项)评审和修订评审和修订 (2项项)以以第三级为例第三级为例35安全管理制度测评内容和方法 管理制度管理制度 制定和发布制定和发布调研访谈:制定总体方针和安全策略、建立操作规程;查文件:查部门、岗位职责文件,信息安全方针、安全策略文件;查各类安全管理制度文件;形成安全管理制度体系 评审和修订评审和修订安全管理制度调研访谈:专人负责制定安全管理制度,统一格式和版本,并进行论证和审定,通过有效形式进行发布,注明发布范围;查文件:查指定部门和人员的工作职责,信息安全管理制度的文件模板或格式规定,论证和审定记录和文件发布、登记记录。

33、调研访谈:安全管理制度评审主持部门,定期对制度文件的合理性和适用性进行审定;查文件:查对安全管理制度体系进行评审的管理文件,修订的安全管理制度修订或评审记录。36安全管理机构基本要求中控制点与要求项各级分布:安全管理机构基本要求中控制点与要求项各级分布:安全等级控制点要求项第一级第一级第一级第一级4 44 4第二级第二级第二级第二级59第三级第三级第三级第三级520第四级第四级第四级第四级520岗位设置岗位设置 (4项项)人员配备人员配备 (3项项)授权和审批授权和审批 (4项)项)沟通和合作沟通和合作 (5项)项)审核和检查审核和检查 (4项)项)以以第三级为例第三级为例37安全管理机构测评

34、内容和方法 岗位设置岗位设置 人员配备人员配备调研访谈:信息安全管理工作的职能部门,设立岗位和职责,建立信息安全领导小组;查文件:查部门、岗位职责文件,领导小组岗位职责文件,安全管理机构各部门和岗位职责、分工、技能要求文件 授权和审批授权和审批安全管理机构调研访谈:安全管理岗位人员的配备情况;查文件:查安全管理各岗位人员信息表,关键岗位管理人员配备2人或2人以上共同管理。调研访谈:对重要活动进行审批,审批部门是何部门,批准人是何人,审批范围包括哪些,定期审查审批;查文件:查各部门和岗位的职责文档,逐级审批制度及审批记录,查审查审批制度。 沟通和合作沟通和合作调研访谈:内部沟通机制,兄弟单位合作

35、沟通机制,供应商合作沟通机制,聘请安全专家;查文件:查内部沟通、合作机制程序或规程,查外联单位联系列表,查安全顾问名单、证明文件,相关文档或记录。 审核和检查审核和检查调研访谈:定期安全检查的程序、实施情况及检查周期,对信息系统全面安全检查;查文件:安全检查的程序文件和记录,全面安全检查记录,安全检查表,安全检查报告和结果通告记录,全面安全检查报告等。38人员安全管理基本要求中控制点与要求项各级分布:人员安全管理基本要求中控制点与要求项各级分布:安全等级控制点要求项第一级第一级第一级第一级4 47 7第二级第二级第二级第二级511第三级第三级第三级第三级516第四级第四级第四级第四级518人员

36、录用人员录用 (4项项)人员离岗人员离岗 (3项项)人员考核人员考核 (3项)项)安全意识教育和培训(安全意识教育和培训(4项)项)外部人员访问管理(外部人员访问管理(2项)项)以以第三级为例第三级为例39人员安全管理测评内容和方法 人员录用人员录用 人员离岗人员离岗调研访谈:专门的部门或人员负责人员的录用工作,人员录用条件和审查内容;查文件:查部门/人员工作职责文件,人员录用要求管理文档,相关审查及考核记录,查保密协议;查保密协议签署记录。 人员考核人员考核人员安全管理调研访谈:离岗人员控制方法,调离手续,关键岗位人员调离时承诺相关保密协议;查文件:查人员离岗的管理文档,对离岗人员的安全处理

37、记录,调离手续记录,查保密承诺文档,调离人员记录。调研访谈:各个岗位人员进行安全技能及安全知识的考核,关键岗位审查考核特殊要求;查文件:查定期人员审查/考核规程文件,关键岗位的定期审查和考核规程文件,考核文档和记录,人员安全审查记录。 安全意识教育和培训安全意识教育和培训调研访谈:制定培训计划及实施情况,对违反安全策略和规定的人员进行惩戒;查文件:查安全意识教育和培训规程文件,安全责任和惩戒措施管理文档,安全教育和培训计划文档,教育和培训记录。 外部人员访问管理外部人员访问管理调研访谈:对外部人员访问重要区域管理措施、规程或制度等情况;查文件:查外部人员访问管理规程文档和访问重要区域批准文档,

38、外部人员访问重要区域的登记记录。40系统建设管理基本要求中控制点与要求项各级分布:系统建设管理基本要求中控制点与要求项各级分布:安全等级控制点要求项第一级第一级第一级第一级9 92020第二级第二级第二级第二级928第三级第三级第三级第三级1145第四级第四级第四级第四级1148系统定级系统定级 (4项项)安全方案设计安全方案设计 (5项项)产品采购产品采购 (4项)项)自行软件开发自行软件开发 (5项)项)外包软件开发外包软件开发 (4项)项)工程工程实施实施 (3项)项)测试验收测试验收 (5项)项)系统交付系统交付 (5项)项)系统备案系统备案 (3项)项)等级测评等级测评 (4项)项)

39、服务服务商选择商选择 (3项)项)以以第三级为例第三级为例41系统建设管理测评内容和方法 系统定级系统定级 安全方案设计安全方案设计调研访谈:系统定级过程、方法和理由,定级结果论证和审定,定级结果批准等;查文件:查系统定级文档,文档说明定级方法和理由,论证和审定意见,批准盖章等。 产品采购和使用产品采购和使用 自行软件开发自行软件开发 外部软件开发外部软件开发 工程实施工程实施 测试验收测试验收 系统交付系统交付 系统备案系统备案 等级测评等级测评系统建设管理调研访谈:专人负责安全建设规划,安全设计方案,专家论证和审定,定期修订配套文件;查文件:安全措施文档、风险分析表,总体规划文件和工作计划

40、,专家论证文档,文档修订记录。调研访谈:安全、密码产品使用,指定部门负责采购,审定和更新候选产品名单;查文件:采购文件中涉及产品指标和候选范围,密码产品使用规定,产品选型测试记录等。调研访谈:开发环境与测试环境分开,编码安全规范,专人保管设计文档和使用指南,授权审批;查文件:查软件开发管理制度,明确软件开发生命周期管理,编码规范,设计文档等管理。调研访谈:检测软件质量,恶意代码检测,开发商提供设计文档、使用指南和源代码等;查文件:外包软件验收测试报告,恶意代码检测报告,设计文件和使用指南,源代码审查记录等。调研访谈:专人负责管理实施过程,制定实施方案,制定工程实施方面的安全管理制度;查文件:工

41、程实施方的责任、任务和质量要求,工程实施方案,阶段性报告,工程实施管理制度。调研访谈:第三方安全测试,制定测试验收方案和报告,专人负责验收工作,测试验收报告审定;查文件:第三方测试文档,测试验收方案,测试验收管理文档,测试验收记录和测试验收报告。调研访谈:根据交付清单对设备、文档、软件等进行清点,新系统培训,专人负责系统交接工作;查文件:详细系统交付清单,新系统培训记录,系统运维文档,系统交付管理文档等。调研访谈:专门部门管理和使用定级材料,报主管部门和公安机关进行备案;查文件:系统定级相关材料,主管部门和公安机关备案的记录或备案文档。调研访谈:等保测评管理文件,系统变更后的等级测评,如何选择

42、测评机构,专人负责等保测评;查文件:测评报告、建议报告和整改方案,测评机构资质。 安全服务商选择安全服务商选择调研访谈:安全服务器选择,签订服务协议,服务商提供技术培训和服务培训;查文件:服务招标文件,签订的服务合同和保密协议等文档,服务合同中包含服务内容和期限等。42系统运维管理基本要求中控制点与要求项各级分布:系统运维管理基本要求中控制点与要求项各级分布:安全等级控制点要求项第一级第一级第一级第一级9 91818第二级第二级第二级第二级1241第三级第三级第三级第三级1362第四级第四级第四级第四级1370环境管理环境管理 (4项项)资产管理资产管理 (4项项)介质管理介质管理 (6项)项

43、)设备管理设备管理 (5项)项)监控管理和安全管理中心(监控管理和安全管理中心(3项)项)网络安全管理网络安全管理 (8项)项)系统安全管理系统安全管理 (7项)项)恶意代码防范管理恶意代码防范管理 (4项)项)密码管理密码管理 (1项)项)变更管理变更管理 (4项)项)备份与恢复管理备份与恢复管理 (5项)项)安全事件处置安全事件处置 (6项)项)应急预案管理应急预案管理 (5项)项)以以第三级为例第三级为例43系统运维管理测评内容和方法 环境管理环境管理调研访谈:指定部门或人员对机房维护、机房安全,建立机房制度,办公环境保密性管理;查文件:机房维护管理制度和维护记录,查机房管理制度,物理访

44、问、环境安全等,办公环境管理文档。系统运维管理 资产管理资产管理调研访谈:建立资产登记管理及资产清单,依据重要资产进行分类和标识管理;查文件:查资产清单,资产安全管理制度,依据资产重要程度的管理措施,信息分类文档和资产标识原则和方法。 介质管理介质管理调研访谈:介质安全管理制度,介质的存放,介质传输控制,介质销毁,介质异地存储,介质分类标识管理;查文件:查介质安全管理制度,介质管理记录,介质目录清单,异地存储环境,查看介质标识。 设备管理设备管理调研访谈:专人负责设备管理,建立设备安全管理制度,建立配套设施、软硬件维护方面的管理制度;查文件:设备和线路维护记录,查设备安全管理制度,设备维护记录

45、和操作日志,设备带离申报材料和报告。 监控管理和安全管监控管理和安全管理中心理中心调研访谈:信息系统的监控管理活动,对监控记录进行分析和评审,建立安全管理中心;查文件:监测记录文档,监控分析报告和措施,设备运行状态记录、补丁升级的发布记录、安全审计报告。 网络安全管理网络安全管理调研访谈:专人网络管理,建立网络安全管理制度,更新网络软件信息,进行漏扫,外链授权,移动设备准入;查文件:查网络安全制度,网络设备升级记录,漏扫报告,外链授权文件,内部网络外联的授权批准书。 系统安全管理系统安全管理调研访谈:访问控制策略,定期漏扫,补丁更新,建立系统管理制度,权限分配,制定操作手册,日志分析;查文件:

46、查访问控制策略,系统漏扫报告,补丁记录,查系统安全管理制度,岗位职责定义,日志分析报告。44系统运维管理测评内容和方法系统运维管理 恶意代码防范管理恶意代码防范管理调研访谈:升级防病毒软件提高意识,专人负责,规范恶意代码软件使用,发现问题及时处理,形成报告;查文件:恶意代码防范管理文档,涉及恶意代码授权使用、升级和汇报,恶意代码检测记录和分析报告。 密码管理密码管理调研访谈:建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品;查文件:密码使用管理制度 变更管理变更管理调研访谈:制定变更方案,建立变更管理制度,变更失败恢复程序;查文件:系统变更方案,变更方案评审记录和变更过程记录文档

47、,查变更管理制度,变更失败恢复程序等。 备份和恢复管理备份和恢复管理调研访谈:重要业务定期备份,建立备份安全管理制度,制定备份和恢复策略,定期恢复测试;查文件:查备份和恢复管理制定,数据备份和恢复策略文档,备份和恢复记录。 安全事件处置安全事件处置调研访谈:报告可疑时间和安全弱点,建立并实施安全事件管理制度,安全事件进行等级划分;查文件:安全事件分类及报告程序,安全事件管理制度,安全事件定级文档,安全事件记录分析文档等。 应急预案管理应急预案管理调研访谈:制定不同事件的应急预案,具有应急预案小组,应急预案培训,应急演练,应急预案定期审查等;查文件:查应急预案框架,不同事件的应急预案,培训记录,

48、应急预案演练方案和记录,预案审查记录。45主题四1234等级保护测评方法论等保测评安全措施等级保护测评概述等级保护测评内容与方法46安全措施身份鉴别和自主访问控制安全审计完整性和保密性保护边界保护资源控制入侵防范和恶意代码防范安全管理平台设置备份与恢复强制访问控制密码技术应用环境与设施安全身份认证、防火墙访问控制流量与行为审计、数据库审计IPSec VPN、SSL VPN终端防外联、接入认证负载均衡、流量控制IPS、防病毒、终端桌面管理SIEM、安全事件智能分析联动IPSAN、CDP、WSAN操作系统文件访问控制产品选购符合国密办规定按照国标GB50173-93电子计算机机房设计规范等标准建设。核心技术要求实现方式(参考)47

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号