国家信息安全测评认证信息系统安全评估申请材料说明.pdf

编号:C N I T S E C/I S S C-E M E 0 3 密级：公开 国家信息安全测评认证 信息系统安全评估申请材料说明 申请单位（公章）：系统名称：申请日期：中国信息安全产品测评认证中心 系统工程实验室 申请材料提交要求 申请信息系统安全评估的单位，必须按本申请材料说明的要求提交相关文档，以便测评认证中心系统工程实验室评估人员能对信息系统有清晰而全面的了解，从而顺利执行评估工作。申请信息系统安全评估，应准备六类文档，包括：1信息系统安全策略；2信息系统技术方案；3信息系统安全保障组织机构及管理制度 4信息系统风险评估文档；5信息系统工程实施过程文档；6信息系统安全保障规划；其中 1-4 项文档要求申请方必须提交到测评认证中心系统工程实验室，5-6项文档可以不用提交到中心，评估人员会在现场审核阶段进行审查。请按照附件一至附件六中详细阐述的要求准备六类文档。申请方提交材料应：1 保证所交材料内容全面、真实、详细、准确。2 准备两份纸版，一份电子版（光盘）。3 将六类文档与申请书一并提交。4 如果个别内容由于保密因素不宜以文档形式提交，请事先与系统工程实验室有关负责人员联系。附件一 信息系统安全策略 系统名称：申请单位（公章）：安全策略制订单位（公章）：中国信息安全产品测评认证中心 系统工程实验室 要 求 请用户在准备信息安全策略文档前，阅读下面内容：信息系统安全策略是一切信息安全保障活动的基础和出发点，用于在一个组织机构内，指导如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示，指导整个信息系统安全体系的设计与实施，所有信息系统安全控制措施（包括技术控制措施和管理控制措施）的选择、运营和维护均依据安全策略进行。制定安全策略是任何机构进行信息化建设都必须完成的工作，一份有效并设计良好的策略是安全目标能否实现的关键。通常，安全策略通过规定一套规则来规范信息系统的建设及其运行、维护和管理。这些规则清晰的说明了哪些行为是被允许的。一般来说，信息系统的安全策略是一个多层次的结构，典型的信息安全保障策略具有三个层次：高层安全策略；系统及子系统级策略；安全产品级策略。一、高层安全策略 高层安全策略是对信息安全保障问题的最高层次论述。表述了组织机构最高领导层对信息安全保障的支持，定义了信息系统所要实现的总体安全保障目标。高层安全策略要求用精炼的语言对信息系统的安全保障目标进行概括性论述，规定了策略适用范围和应建立的安全保障管理组织及其相关职责。高级管理层将以身作则来支持信息安全保障的建设及其相关的规定，并且声明将对违反信息安全保障规范的行为做出惩戒。二、子系统级策略 子系统级策略服从于高层安全策略所制定的信息系统的总体安全保障目标。它指导具体技术控制措施和管理控制措施的选用和实施。每类子系统级策略包括以下几部分内容：目标、范围、策略要求、惩戒和修改纪录等。典型的子系统级策略主要包括以下方面：a)标识与鉴别策略：信息系统应能够对每个授权网络用户（包括人、设备和过程）进行唯一的标识；在允许任何用户执行任何操作（事先定义好的操作除外，如浏览公共网站）之前，信息系统应能够鉴别每个用户（人或其他的信息系统）身份。b)访问控制策略：访问控制包括网络访问控制、操作系统访问控制、应用访问控制，移动式计算设施访问控制，远程工作访问控制。例如信息系统应该对网络用户实施强鉴别机制；信息系统应能够在达到管理员预设的失败登录尝试次数后自动锁定用户账号；信息系统应该在用户登录时依据上级机构的要求显示标准的“登录警告旗标”。c)公众网安全策略：公众网安全策略包括公众网入口、管理员职责、用户职责、V P N，I n t r a n e t，E x t r a n e t 及其它通道、W W W 应用、M o d e m 和其他后门。d)备份和恢复策略。e)电子邮件安全策略：电子邮件安全策略包括电子邮件使用规则、电子邮件管理、秘密通讯的电子邮件使用等策略。f)恶意代码策略：应建立恶意代码，包括病毒，蠕虫，特洛伊木马，的安全策略（例如建立病毒防护类型、第三方软件的处理规则、与病毒责任相关的用户）g)加密策略：基于法律依据，加密管理，加密数据处理，密钥生成机密，密钥管理等建立相应的加密策略。h)软件开发策略：软件开发策略，包括对软件开发程序，测试文档，修改控制以及配置管理，第三方开发，知识产权等方面制定的软件开发相关的策略。i)安全审计策略。j)风险评估策略。k)外包服务策略。l)人事策略：例如信息系统的授权的管理者和用户必须经过适当的培训，以使他们能够：1)有效地遵守组织安全策略；2)正确执行组织安全策略所规定安全控制措施。应该包括定期的教育计划和培训活动。m)事件响应策略。n)业务持续性策略。o)灾难恢复策略。三、安全产品级策略 安全产品级策略需要满足系统及子系统级安全策略。安全产品级策略直接指导制订安全产品的配置规则，关系到安全产品功能的实现，典型的安全产品级策略有：防火墙使用策略；I D S 使用策略；V P N 产品使用策略；路由器使用策略；防病毒产品使用策略等；用户应参照前面的示例，结合本身实际情况准备安全策略文档。附件二 信息系统技术方案 系统名称：申请单位（公章）：制订单位（公章）：中国信息安全产品测评认证中心 系统工程实验室 要 求 信息系统安全技术方案应在信息系统高层安全策略的指导之下完成，包括网络、主机系统、应用的安全设计方案。其具体的内容要求如下：一、信息系统建设的背景、目的及依据 二、信息系统业务需求及其应用业务的描述 简要描述信息系统的业务需求和业务功能及提供的服务。三、信息系统安全需求分析 应在综合性风险分析的基础上，确定信息系统的安全需求。四、信息系统安全域、评估边界和接口描述 安全域即安全策略覆盖的逻辑范围或区域。应清楚描述信息系统安全域，这里所指的信息系统安全域应为附件二中安全策略覆盖的逻辑范围或区域。根据安全域和实际情况，以图表或文字清晰地描述和界定所要评估的系统边界和与其他网络的接口。五、信息类别及处理原则 详细描述系统内信息按敏感程度的分类和处理原则。六、信息系统基础网络设施和主机系统安全设计的描述（一）网络规模和拓朴结构设计 应提供评估范围内网络的详细拓扑图，其中包括所有主要的服务器、通信及交换设备、安全设备及终端，明确标识各种设备的名称及内外部 IP 地址，如网络比较复杂可分段描述。（二）网络信息流描述 应将“三”中列举的不同类别信息的产生、传输、存储所涉及的设备、终端和路径分别进行详细描述。（三）在信息系统网络和主机系统层次中所使用的安全功能、安全技术及其实现的描述 描述在信息系统网络及主机系统层次的安全设计中所应用的各种安全技术、功能及其实现。可用的各种安全技术和功能主要有：1标识和鉴别 标识和鉴别涉及建立和验证所声称身份的功能。这些功能要求确保用户与正确的安全属性(如身份、组、角色、安全或完整性等级)相关联。具体包括：?标志?用户属性定义?鉴别?鉴别失败处理?对秘密执行质量量度 2安全审计 安全审计包括识别、记录、存储和分析那些与安全相关活动（如，由信息系统安全策略控制的活动）有关的信息。检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个实体要对这些活动负责。具体包括：?安全审计数据产生?入侵标识分析?安全审计查阅?安全审计事件选择?安全审计事件存储?操作攻击及脆弱性分析和纠正 3安全保障管理 安全保障管理预期用于规定信息系统几个方面的管理：安全属性、数据和功能。规定不同的管理角色及相互作用，如能力的分离。具体包括：?安全功能行为的管理?安全属性的管理?信息系统安全数据的管理?用户和管理角色 4密码支持 信息系统可以利用密码功能来满足一些高级安全保障目的。这些功能包括（但不限于）：标识与鉴别，抗抵赖，可信路径，可信信道和数据分离。具体包括：?密钥管理密码支持?密码运算?数据存储加密?数据鉴别 5网络安全保护 网络安全保护涉及维护信息系统的全部安全状态的责任。具体包括：?本信息系统和其他信息系统之间的网络通信的保护?对组织机构外部安全域的网络通信的保护?符合信息系统特定或唯一的脆弱性的对策 6应用数据保护 应用数据保护定义信息系统安全功能的规范和保护信息系统应用数据的相关策略。具体包括：?访问控制?信息流控制?从外部系统输入?输出到外部系统 7信息系统安全数据和机制的保护 信息系统安全数据和机制的保护涉及完整性和实现信息系统安全策略的数据和机制的管理。具体包括：?信息系统内部数据传送?篡改保护?安全策略执行的模块化和连续性?可信恢复?参照仲裁?域分离?时间戳?信息系统自检 8资源利用 资源利用支持所需资源诸如处理能力和/或存储能力的可用性。具体包括：?服务优先级?资源分配 9信息系统访问 信息系统访问规定为控制建立用户会话的功能规范。具体包括：?可选属性范围限定?会话建立?多重并发会话限定?会话锁定?访问旗标?访问历史 10可信路径 可信路径定义建立和维护用户和信息系统的可信通信的规范。可信路径对任何与安全有关的交互活动可能都是需要的。可信路径的交换可以由用户在与信息系统交互期间发起，或者信息系统可能经一条可信路径与用户建立通信。八、信息系统应用层体系安全设计的详细描述（一）主要业务应用的详细描述（二）在信息系统业务应用层中使用的安全功能、安全技术及其实现的描述 描述在信息系统业务应用层次的安全设计中所应用的各种安全功能、技术及其实现。关于可用的各种安全技术和功能，可参见第七部分（三）。九、适用安全技术标准 用户应按照以上要求，结合本身实际情况准备信息系统技术方案。附件三 信息系统安全保障组织机构及管理制度 系统名称：申请单位（公章）：中国信息安全产品测评认证中心 要 求 信息系统安全保障组织机构及管理制度汇编须包括以下内容：一、提供信息安全保障组织机构结构图。二、提供每层机构名称、级别、负责人和有关专职人员名单。三、申请单位自行搜集汇编的国家法律、法规和本行业、本部门的规章、规定的目录和全部文本。四、申请单位现有系统安全管理制度全部文本，例如人事制度，物理安全管理制度，运行安全制度，业务运行持续性制度，核心信息及资产访问和处理制度，灾难应急制度，备份恢复制度，文档管理制度，软件系统开发制度等等。五、申请单位拟待制订的系统安全管理制度目录。附件四 信息系统风险评估文档 系统名称：申请单位（公章）：实施单位（公章）：中国信息安全产品测评认证中心 要 求 风险评估涉及鉴别信息敏感度和重要性，以及信息泄漏、修改或者破坏所可能带来的后果，全面系统的风险评估可以明确安全需求及确定切实可行的控制措施，并据此制定或修定信息安全策略。信息系统风险评估文档应该包括：?信息系统威胁源分析（包括威胁的来源，如内部和外部；威胁源的能力水平分析），?受保护资产；?评估信息资产的敏感度，以及信息泄漏所带来的后果；?评估信息资产的重要性，以及如果信息或者信息处理系统不可用时所带来的影响；?系统的脆弱性分析；?按照脆弱性所造成的后果大小，被利用的可能性和难易程度划分风险等级；?决定可以接受，减轻或者转移的风险范围；?对于不可接受的风险采取了何种安全控制策略和措施（简述）；?对改进后的系统的重新的风险评估记录；附件五 信息系统工程实施过程文档 系统名称：申请单位（公章）：实施单位（公章）：中国信息安全产品测评认证中心 要 求 信息系统工程实施过程文档应包括以下内容：1.实施单位及技术人员介绍；2.工程实施计划；3.安全产品及应用系统选型依据，相关产品的功能及性能测试比较纪录；4.实施过程的重大改进或意外事件纪录（如有）；5.系统联调及测试报告，以及过程中所出现的问题及处理方式。6.系统验收报告 附件六 信息系统安全保障规划 系统名称：申请单位（公章）：中国信息安全产品测评认证中心 要 求 组织机构决策层和管理层在负责开发实现信息系统使命和目标的长期和短期规划时，应将信息系统安全保障规划作为其中的有机组成部分。信息系统安全保障规划应保持与信息系统使命和业务战略相符合，与整体发展规划相匹配。信息系统安全保障规划包括长期规划和短期规划。一、信息系统安全保障长期规划 a)首先应指明信息系统安全保障长期规划总体安全保障目标，其应与高层安全策略中定义的总体安全保障目标相一致。b)明确信息系统安全保障长期规划的有效期限，其应与长期规划的有效期限相一致。c)应充分分析有效期内业务发展可能对信息系统造成的影响，如业务量增大引发系统扩容等系统变更，制订相应的实施和安全保障措施，还应明确执行标志和目标。d)如果在有效期内有计划对信息系统进行建设，应在规划中予以说明。如建立异地实时备份等。e)开发时应参考与之相关的其它规划，例如组织机构质量规划等。二、信息系统安全保障短期规划 组织长期规划可进行合理分解，并相应的开发若干短期规划。同样的，信息安全保障长期规划也可对应于组织长期规划的分解进行合理分解，并开发若干信息系统安全保障短期规划，每个信息系统安全保障短期规划都应确保在同信息安全保障长期规划保持一致的基础上分配合适的信息系统安全保障建设资源。三、规划流程 说明开发规划的流程和建立规划结构所采用的结构化方法。四、规划反馈机制 描述组织为得到受规划影响的相关人员和部门反馈而建立的反馈机制。五、规划变更 为保证信息系统安全保障长期和短期规划能及时准确反映组织机构长期 和短期规划的变更和信息安全保障技术的发展，应建立规范的变更流程。用户应提交信息系统安全保障长期规划和近期短期规划。