信息安全技术网络安全等级保护测试评估技术指南编制说明.docx

信息安全技术网络安全等级保护测试评估技术指南编制说明公安部第三研究所公安部计算机信息系统安全产品质量监督检验中心2016年9月8日 全性漏洞的测试技术。这些技术可以手动执行，但一般使用自 动化的工具，主要包括网络发现、网络端口和服务的识别、漏 洞扫描、无线扫描和应用安全检查等。C）目标漏洞验证技术：验证漏洞存在性的测试技术。这些技术可 以手动执行或使用自动化的工具，主要包括口令破解、渗透测 试、社会工程学和应用安全测试等。在选择和确定用于等级测评活动的技术时，要考虑的因素主要包 括评估目标，可以获取信息以支持这些目标的技术种类，以及在每一 个种类当中所使用的适当的技术，技术评估的角度（例如，内部与外 部），以使得相应的技术可供选择。止匕外，在选择测试技术时也应充分考虑风险。因为渗透测试等一 些技术，可能导致系统的可用性或敏感数据泄露。在某些情况下，应 考虑是否对生产系统或相同配置的非生产系统进行测试，或在业余时 间限制使用某些技术以尽量减少对操作的影响。2. 3. 2. 4等级测评技术实现本标准将等级测评技术分为检查技术、目标识别和分析技术、目 标漏洞验证技术三个大类。其中检查技术包括文档检查、日志检查、 规则集检查、系统配置检查、文件完整性检查等技术；目标识别和分 析技术包括网络发现、网络端口和服务识别、漏洞扫描、无线扫描等 技术；目标漏洞验证技术包括口令破解、渗透测试、远程访问测试等。2. 3. 2. 5 附录附录部分描述渗透测试的有关概念介绍和说明等信息。2. 4编制的背景和意义信息系统安全是关乎国家稳定，企业生存与发展的重大课题，如 何通过信息系统安全测评工作，最大限度使组织结构预知存在的安全 隐患，最大限度地保证国家重要基础设施和重点行业的安全稳定运营, 已经成为当前各国信息安全工作的重点。美国国家标准和技术学会 (NIST)信息技术实验室(ITL)通过对国家测量和标准体系提供技术指导 而促进美国经济和公共事业的发展。ITL通过开发测试、测试方法、 参考数据、对概念的证明、以及技术分析来改善信息技术的开发和生 产应用，其制定的NIST 800系列报告及相关标准为信息安全领域的安 全测评技术提供了指导和方针。另外，随着国家等级保护制度的大力推进，经过定级备案阶段， 各重要信息系统已进入大规模测评和整改阶段。目前，我国信息系统 等级保护相关的测评标准主要有GB/T 22239-2008信息安全技术 信 息系统安全等级保护基本要求、GB/T 28448-2012信息安全技术信 息系统安全等级保护测评要求(以下简称测评要求)和GB/T 28449-2012信息安全技术信息系统安全等级保护测评过程指南 (以下简称测评过程指南)等，但这些标准未涉及安全测评中具 体的测试方法和技术，因此目前还缺少信息安全等级保护评估方面通 用的基本技术指南性文件。本标准系统地归纳并阐述实施信息系统测评过程中涉及的技术 性测试和检验的方法，可为信息系统的等级保护测评提供技术方法方 面的参考。2. 5编制的目的本标准的编制目的就是希望吸取国际、国内先进的信息安全测评 经验和相关技术内容，结合我国信息系统安全等级保护的特点，制定 出具有指导意义的测评技术指南：(1)指导机构进行计划、实施技术性信息系统安全测试评估，涉 及的信息安全测试和检验技术可用来识别、验证和评估技术性漏洞， 有助于机构理解、改善其系统和网络的安全态势；(2)本标准面向计算机安全人员和程序管理员，系统和网络管理 员，及其他负责系统和网络基础设施的准备、操作与安全技术的技术 人员。管理者也可以利用本标准提供的信息，促进与安全测试评估相 关的技术决策过程；(3)本标准主要对技术性安全测试评估过程和程序的相关信息的 设计、执行和维护提供了切实可行的建议，测评人员在实际测评时， 可参考本标准指导并规范的系统测评的技术方法，进而高效地完成信 息系统安全测评任务。3主要验证分析和技术经济论证本标准是基于信息系统安全等级保护测试评估实践提出的，相关 技术已在等级保护测评应用中进行了实际验证。本标准通过对等级保护系统测评过程中涉及的关键技术进行系统的归纳、阐述，概述技术性安全测试评估的关键要素、实现功能和使 用原则，并提出建议供使用，适用于测评机构、信息系统的主管部门 及运营使用单位对重要信息系统的安全等级测评，为信息系统的安全 等级测评工作的技术规范性提供方法依据，在应用于系统等级保护测 评时可作为对信息安全技术 信息系统安全等级保护测评要求和 信息安全技术信息系统安全等级保护测评过程指南的补充，为 机构进行计划、实施技术性的信息系统安全等级保护测试评估提供参 考。系统的管理者也可以利用本标准提供的信息，促进与信息系统安 全等级保护测试评估相关的技术决策过程。4国内外标准对比情况目前，信息系统等级保护相关的测评标准主要有GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求、GB/T 28448-2012信息安全技术信息系统安全等级保护测评要求（以下 简称测评要求）和GB/T 28449-2012信息安全技术信息系统安 全等级保护测评过程指南（以下简称测评过程指南）等。其中 GB/T 22239-2008是系统等级保护测评的基础性标准，GB/T 28448-2012是针对GB/T 22239-2008中的要求，提出了不同安全等级 信息系统的测评要求；GB/T 28449-2012主要规定了信息系统安全等 级保护测评工作的测评过程。本标准与测评要求和测评过程指南的区别在于：测评 要求主要描述了各级信息系统单元测评的具体测评要求和测评流 程，测评过程指南则主要对等级测评的活动、工作任务以及每项 任务的输入/输出产品等提出指导性建议，二者均未涉及安全测评中 具体的测试方法和技术。本标准对信息系统安全测评中的相关测评技 术进行明确的分类和定义，系统地归纳并阐述系统测评的技术方法， 概述技术性安全测试和评估的关键要素，重点放在具体的技术及其优 点和局限性，并提出建议供使用。因此该标准在应用于系统等级保护 测评时可作为对测评要求和测评过程指南的补充。5与有关的现行法律、法规和强制性国家标准的关系本标准不触犯国家现行法律法规，不与其他强制性国标相冲突。6重大分歧意见的处理经过和依据本标准编制过程中，如标准编制组内部出现重大意见分歧时，由 标准编制组组长组织召开内部调解会解决；如标准编制单位之间出现 重大意见分歧，由标准编制承担单位公安部计算机信息系统安全产品 质量监督检验中心组织召开参编单位调解会解决。如征求意见过程 中，各厂家，特别是各部委意见与标准编制组之间出现重大意见分歧, 由全国信息安全标准化技术委员会组织召开协调会解决，并认真听取 专家意见进行修改。7国家标准作为强制性国家标准或推荐性国家标准的建议建议将本标准作为国家标准在全国推荐性实施。8贯彻国家标准的要求和措施建议本标准为实现重要信息系统的安全等级测评提供技术指导和参考，建议在全国推荐性实施。9有关事项说明名称更改说明：2016年7月1日专家评审会意见讨论，所有与会专家一致认为 为配合国家开展网络安全工作，并与“网络安全法草案中提到的“网 络安全等级保护制度”保持一致关系，建议将“信息安全等级保护” 改名为“网络安全等级保护”。网络安全法（二审稿）中针对关键信息基础设施的运行安全提出 相关要求：“国家对一旦遭到破坏、丧失功能或数据泄露，可能严重 危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安 全等级保护制度的基础上，实行重点保护J其中所采用的是网络安 全等级保护制度。基于以上原因，原名称为信息安全技术信息系统安全等级保 护基本要求的标准项目申请变更标准名称为信息安全技术网络 安全等级保护基本要求。由于本标准与信息安全技术网络安全等 级保护基本要求为等级保护工作的系列配套标准，于是2016年9 月5日，编制组正式向WG5工作组秘书处提交了标准名称变更申请, 由原名称信息安全技术信息系统安全等级保护测试评估技术指南 变更为信息安全技术网络安全等级保护测试评估技术指南。1工作简况任务来源2012年底，经中国国家标准化管理委员会批准，全国信息安全 标准化技术委员会(SAC/TC260)主任办公会讨论通过，研究制定信 息系统安全等级保护测试评估技术指南的国家标准。该项目由全国信 息安全标准化技术委员会提出，全国信息安全标准化技术委员会归 口，由公安部信息安全产品检测中心(公安部第三研究所)负责主办。1.1 协作单位2013标准任务下达后，公安部信息安全产品检测中心立即与相 关测评机构和研究机构等进行联系与沟通，最后确定由公安部信息安 全等级保护评估中心、中国信息安全研究院有限公司、中国电子技术 标准化研究所、国家信息技术安全研究中心等单位作为标准编制协作 单位。1 . 3 主要工作过程1成立编制组标准编制组在申请标准前即已成立，编制组成员均具有较丰富的 信息系统安全等级保护测评经验和标准编制经验，人员包括张艳、陆 臻、顾健、沈亮、俞优、张笑笑、顾玮、顾建新等；标准编制协作单 位的高级技术人员共同参与标准的内容编制与研讨。1.3. 2制定工作计划编制组制定了编制工作计划和人员任务安排，并确定了编制组人员例会安排以便及时沟通交流工作情况。1.4. 3参考资料该标准编制过程中，主要参考了： GB/T 18336-2000信息技术信息技术安全性评估准则GB/T 19716-2005信息技术 信息安全管理实用规则 GB/T 20269-2006信息安全技术信息系统安全管理要求GB/T 20270-2006信息安全技术网络基础安全技术要求 GB/T 202282-2006信息安全技术信息系统安全工程管理要求GB/T 22239-2008信息安全技术信息系统安全等级保护基本 要求 GB/T 28448-2012信息安全技术信息系统安全等级保护测评要 求GB/T 28449-2012信息安全技术信息系统安全等级保护测评过 程指南 Special Publication 800-115 Technical Guide to Information Security Testing and Assessment GB 17859-1999计算机信息系统安全保护等级划分准则 GB/T 20271-2006信息安全技术信息系统安全通用技术要求 GB/T 25069-2010信息安全技术 术语确定编制内容标准编制组以信息系统等级保护测评工作实践为基础，以GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求、GB/T 28448-2012信息安全技术信息系统安全等级保护测评要求和 Special Publication 800-115 Technical Guide to Information Security Testing and Assessment为主要参考依据，完成信息安 全技术网络安全等级保护测试评估技术指南（原立项时名为信息 安全技术信息系统安全等级保护测试评估技术指南）标准的编制工 作，对信息系统安全测评中的相关测评技术进行明确的分类和定义， 并系统地归纳和阐述系统测评的技术方法。1.3. 5编制工作简要过程在申请信息安全技术信息系统安全等级保护测试评估技术指南 国家标准制订任务之前，标准工作组就已经开始了前期调研工作。编 制组人员首先对所参阅的文献、标准等资料进行查阅和理解，编写标 准编制提纲，并在对提纲进行修改完善的基础上，开始具体的编制工 作。1.3. 5.1草稿（第一稿）编制组在2012年12月前完成了对信息系统安全等级保护测试评 估技术的相关技术文档和有关标准的前期调研。调研期间，主要对检 测中心信息系统等级保护测评的作业指导书、测评方法、报告以及相 关技术文档材料进行了分析和整理，对国内外相关测评技术的发展动 向及标准进行了研究、分析和理解。2013年1月完成了标准草案的编制工作。以编制组人员收集的 资料为基础，在不断的讨论和研究中，完善内容，形成了本标准草稿 （第一稿），并召开中心内部的标准研讨会，结合会上检测中心标准 技术组的初步评审意见，对标准草稿（第一稿）进行了修改。1.3. 5. 2草稿（第二稿）2013年4月，编制组以邮件、电话等方式征求了公安部信息安 全等级保护评估中心和中国电子信息安全研究院等标准编制协作单 位的意见，并根据反馈意见进行了修改，形成标准草稿（第二稿）。1.3. 5. 3草稿（第三稿）2013年7月，编制组邀请WG5工作组专家对标准进行了研讨和 意见征询，并根据专家意见进行了修改，形成标准草稿（第三稿）。 1.3. 5. 4草稿（第四稿）2014年4月，WG5工作组召开标准检查会，工作组专家对标准进 行了研讨并提出了相关意见，包括与等级保护基本要求的对应性，编 制组根据专家意见进行了修改。2015年1月至2016年6月，编制组内部包括联合编制单位进行 了多次研讨，并根据讨论的意见进行了多次修改，形成标准草稿（第 四稿）。2016年8月11日，编制组在北京组织召开了标准讨论会，邀请 WGK WG5工作组的相关专家对标准进行了认真讨论，提出了多方面 的意见和建议，会后编制组根据讨论的意见进行了梳理和修改，并且 根据专家建议，将标准题目中的“信息系统安全”改为了“网络安全”。 1.3.5. 6征求意见稿（第一稿）2016年8月25日，WG5工作组在北京组织召开了在研标准推进 会，编制组汇报了标准编制背景、编制过程，并针对会前收集到来自 WG5工作组的专家代表提出的意见进行了处理情况的汇报。会上通过 了工作组代表的投票，并建议尽快形成征求意见稿。会后编制组对标 准相关文本进行了进一步梳理和修改，形成征求意见稿。2016年9月5日，编制组正式向WG5工作组秘书处提交了标准 名称变更申请，由原名称信息安全技术信息系统安全等级保护测 试评估技术指南变更为信息安全技术网络安全等级保护测试评 估技术指南。1.3. 6起草人及其工作标准编制组具体由张艳、陆臻、顾健、沈亮、俞优、张笑笑、顾 玮、顾建新等人组成。其中，张艳全面负责标准编制工作，包括制定工作计划、确定编 制内容提纲和整体进度、参编人员的任务安排；沈亮、张笑笑、顾玮 主要负责标准的前期调研、现状分析，意见汇总的讨论处理等工作； 俞优、顾建新负责向厂商征求意见与反馈、标准校对审核、编制说明 的编写等工作；顾健、陆臻主要负责标准编制过程中的各项技术支持 和整体指导。2标准主要内容 2. 1编制原则为了使本标准的内容从一开始就与现有国家标准保持一致，本标 准的编写参考了其他国家有关标准，主要有GB/T 22239-2008信息 安全技术信息系统安全等级保护基本要求、GB/T 28448-2012信息 安全技术信息系统安全等级保护测评要求（以下简称测评要求） 和GB/T 28449-2012信息安全技术信息系统安全等级保护测评过程 指南等。本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：1）实用性标准必须是可用的，才有实际意义。本标准在编写过程中严格按 照流程对信息系统等级保护测评技术的现状、发展等进行系统全面的 调研，注重与相关测评机构和单位的交流，广泛了解并归纳了等保测 评过程中的主要技术，并进行提炼和扩展，使得指南更贴近等级保护 测评的实际情况，保证指南的可操作性。2）先进性标准是先进经验的总结，同时也是技术的发展趋势。系统安全测 评技术种类繁多，要制定出先进的技术指南，必须参考国内外先进技 术和标准，吸收其精华，才能制定出具有先进水平的标准。本标准的 编写始终遵循这一原则。3）兼容性本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容 符合我国已经发布的有关政策、法律和法规。2. 3标准内容2. 3. 1标准结构本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则 第一部分：标准的结构和编写规则。本标准主要结构包括如下内容：1 .范围.规范性引用文件2 .术语和定义.等级测评过程与方法概述3 .等级测评技术概述.等级测评技术实现4 .参考文献2. 3. 2主要内容2. 3. 2.1范围、规范性引用文件、术语和定义该部分定义了本标准适应的范围，所引用的其它标准情况，及以 何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。在术语中明确了 “网络嗅探”、“规则集”等重要概念。2. 3. 2. 2等级测评过程与方法概述等级测评过程通常分为四个基本测评阶段：测评规划、方案编制、 现场测评、分析及报告编制。标准中分别对这4个基本阶段进行了主 要内容、作用进行了概述。等级测评执行阶段，等级保护测试评估是确认评估对象（例如， 主机、网络、应用、数据等）满足特定安全目标的有效性的过程。通 常采用访谈、检验和测试三种测评方法：a）访谈是指测评人员通过与信息系统有关人员（个人/群体）进 行交流、讨论等活动，实现理解、释明或获得证据以证明信息 系统安全等级保护措施是否有效的一种方法；b）检验是指测评人员通过对测评对象进行检查、观察、研究或分 析等活动，使之便于理解、达到释明或获得证据以证明信息系 统安全等级保护措施是否有效的一种方法；c）测试是指测评人员使用预定的方法/工具使测评对象产生特定 的行为，通过查看、分析这些行为的结果，获取证据以证明信 息系统安全等级保护措施是否有效的一种方法。2. 3. 2. 3等级测评技术概述目前有许多技术性安全测试和检验技术可用于信息系统安全等 级保护评估，这些技术主要可分成以下三类：a）检查技术：被动地检查系统、应用软件、网络、策略和规程， 并发现安全漏洞的检验技术。通常采用手动方式，主要包括文 档检查，日志检查，规则集检查，系统配置检查，网络嗅探和 文件完整性检查等。b）目标识别和分析技术：主动识别系统、端口、服务以及潜在安