六、等级保护测评(精品).ppt

《六、等级保护测评(精品).ppt》由会员分享，可在线阅读，更多相关《六、等级保护测评(精品).ppt（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、太原清众鑫科技有限公司太原清众鑫科技有限公司等级保护测评过程太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动分析与编制报告活动现场测评活动现场测评活动方案编制活动方案编制活动测评准备活动测评准备活动等级评测的概述等级评测的概述主要内容主要内容太原清众鑫科技有限公司太原清众鑫科技有限公司等级保护概述测评的作用测评的执行主体等级测评风险等级测评过程太原清众鑫科技有限公司太原清众鑫科技有限公司 测评的作用1.检测评估信息系统安全等级保护状况2.根据评测结论进行整改，是信息系统符合相应等级的保护能力。3.落实信息安全等级保护制度。太原清众鑫科技有限公司太原清众鑫科技有限公司 等级测评的执

2、行主体1.中华人民共和国境内注册，中国公民投资、中国法人投资或者国家投资的企事业单位。2.从事相关检测评估工作两年以上，无违法记录。3.工作人员及法人应符合相关的规定。4.使用的技术装备、设施应当符合信息安全等级保护管理办法（公通字200743号）对信息安全产品的要求。5.具备相应的安全管理制度。6.对国家安全、社会秩序、公共利益不构成威胁。太原清众鑫科技有限公司太原清众鑫科技有限公司 测评主体应当履行的义务：1.遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果。2.保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险。3.对测评人员进行安全

3、保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。太原清众鑫科技有限公司太原清众鑫科技有限公司 等级测评风险1.验证测试影响系统正常运行。2.工具测试影响系统正常运行。3.敏感信息的泄露。太原清众鑫科技有限公司太原清众鑫科技有限公司 等级测评过程1.测评准备活动2.方案编制活动3.现场测评活动4.分析与报告编制活动太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动分析与编制报告活动现场测评活动现场测评活动方案编制活动方案编制活动测评准备活动测评准备活动等级评测的概述等级评测的概述太原清众鑫科技有限公司太原清众鑫科技有限公司测评准备活动目标

4、：顺利启动测评项目，准备测评所需的相关资料，为顺利编制测评方案打下良好的基础。基本流程等级测评项目启动信息收集和分析工具和表单准备太原清众鑫科技有限公司太原清众鑫科技有限公司测评准备活动 项目启动a)根据委托协议书与系统规模，组建项目组，并编制项目计划书。b)要求评测委托单位提供基本资料。太原清众鑫科技有限公司太原清众鑫科技有限公司测评准备活动 信息收集和分析a)收集等级测评需要的各种资料。b)提交调查表格，并督促相关人员准确填写。c)回收调查表格，分析调查结果，了解和熟悉被测系统的实际情况。d)现场调查，并与系统相关人员沟通，完善调查结果。太原清众鑫科技有限公司太原清众鑫科技有限公司测评准备

5、活动 工具和表单的准备a)测评人员调试本次测评将用到的工具。包括漏洞扫描，渗透性测试工具，性能测试工具和协议分析工具。b)测评人员模拟被测系统搭建测评环境。c)准备和打印表单。主要包括：现场测评授权书、文档交接单、会议记录单、会议签到表单。太原清众鑫科技有限公司太原清众鑫科技有限公司测评准备活动 测评准备活动的输出文档任务任务输出文档输出文档文档内容文档内容项目启动项目计划书项目概述、工作依据、技术思路、工作内容和项目组织等信息收集和分析 填好的调查表格被测系统的安全保护等级、业务情况、数据情况、软硬件情况、管理模式和相关部门及角色等工具和表单的准备选用的测评工具清单打印的各类表单；现场测评授

6、权书、文档交接单、会议记录表单、会议签到表单现场测评授权、交接的文档名称、会议记录项目、会议签到项目太原清众鑫科技有限公司太原清众鑫科技有限公司测评准备活动 等级测评活动双方的职责a)测评机构的职责b)测评委托单位的职责测测评评机机构构职职责责组建等级测评项目组指出测评委托单位应提供的基本资料准备被测系统基本情况调查表格，并提交给测评委托单位向测评委托单位介绍安全测评工作流程和方法向测评委托单位说明测评工作可能带来的风险和规避方法了解测评委托单位的信息化建设状况与发展，以及被测系统的基本情况初步分析系统的安全情况准备测评工具和文档测测评评委委托托单单位位向测评机构介绍本单位的信息化建设状况与发

7、展情况准备测评机构需要的资料为测评人员的信息收集提供支持和协调准确填写调查表格根据被测系统的具体情况，如业务运行高峰期、网络布置情况等，为测评时间安排提供适宜的建议制定应急预案太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动分析与编制报告活动现场测评活动现场测评活动方案编制活动方案编制活动测评准备活动测评准备活动等级评测的概述等级评测的概述太原清众鑫科技有限公司太原清众鑫科技有限公司方案编制活动目标：整理测评准备活动中获取的信息系统相关资料，为现场测评活动提供最基本的文档和指导方案。基本流程测评对象确定测评指标确定测评工具接入点确定测评内容确定测评指导书开发测评方案编制太原清众鑫

8、科技有限公司太原清众鑫科技有限公司方案编制活动 测评对象确定a)识别并描述被测系统的整体结构b)识别并描述被测系统的边界c)识别并描述被测系统的网络区域d)识别并描述被测系统的重要节点e)描述被测系统f)确定测评对象g)描述测评对象太原清众鑫科技有限公司太原清众鑫科技有限公司方案编制活动 测评指标确定a)根据被测系统定级结果，确定应采取的安全保护措施的ASG组合情况b)从GB/T 2239-2008中选择相应等级的安全要求作为指标，包括对ASG三类安全要求的选择c)依据信息系统的组成情况，确定各个定级对象的测评指标d)分别针对每个定级对象加以描述，包括系统的定级结果、指标选择两部分。太原清众鑫

9、科技有限公司太原清众鑫科技有限公司方案编制活动 测评工具接入点确定a)确定需要进行工具测试的测评对象b)选择测试路径c)根据测试路径，确定测试工具接入点d)结合网拓扑图，采用图示的方式描述测试工具的接入点、测试目的、测试用途和测试对象等相关内容太原清众鑫科技有限公司太原清众鑫科技有限公司方案编制活动 测评内容确定a)确定单元测评内容b)以表格形式给出序号序号测评指标测评指标测评内容描述测评内容描述1测评指标1测评对象、测评方法、测评实施概述2测评指标23测评指标3.太原清众鑫科技有限公司太原清众鑫科技有限公司方案编制活动 测评指导书开发a)描述单个测评对象，包括测评对象的名称、IP地址、用途、

10、管理人员信息等。b)根据GB/T DDDD-DDDD的单元测评实施确定测评活动，包括测评项、测评方法、操作步骤和预期结果等四部分。c)单元测评与整体测评序号序号测评指标测评指标操作步骤操作步骤预期结果预期结果1测评指标1测评项a1.2测评项b2.3测评项c4.5测评指标2测评项a6.7.太原清众鑫科技有限公司太原清众鑫科技有限公司方案编制活动 测评方案编制a)提取项目来源、测评委托单位整体信息化的建设情况及被测系统与单位其他系统之间的连接情况。b)根据测评实施要求，罗列所依据的标准。c)估算现场工作量d)编制工作安排e)编制具体测评计划f)汇总并形成测评方案文稿g)评审和提交测评方案太原清众鑫

11、科技有限公司太原清众鑫科技有限公司方案编制活动 方案编制活动的输出文档任务任务输出文档输出文档文档内容文档内容测评对象确定测评方案的测评对象部分被测系统的整体结构、边界、网络区域、重要环节、测评对象等测评指标确定测评方案的测评指标部分被测系统的定级结果、测评指标测评工具接入点确定测评方案的工具接入点部分测试工具接入点及测试方法测评内容确定测评方案的单元测评实施部分单元测评实施内容测评指导书开发测评指导书各测评对象的测评内容及方法测评方案编制测评方案文本项目概述、测评对象、测评指标、测试工具接入点、单元测评实施内容太原清众鑫科技有限公司太原清众鑫科技有限公司方案编制活动 方案编制活动中双方职责a

12、)测评机构职责b)测评委托单位职责测评机构职责测评机构职责1详细分析被测系统的整体结构、边界、网络区域、详细分析被测系统的整体结构、边界、网络区域、重要节点等。重要节点等。2初步判定被测系统的安全薄弱点。3分析确定测评对象、测评指标和测试工具接入点，确定测评内容及方法。4编制测评方案文本，并对其内部评审，并提交被测机构签字确认。测评委托单位职责1对测评方案进行认可，并签字确认、太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动分析与编制报告活动现场测评活动现场测评活动方案编制活动方案编制活动测评准备活动测评准备活动等级评测的概述等级评测的概述太原清众鑫科技有限公司太原清众鑫科技有限

13、公司现场测评活动目标：取得分析与报告编制活动所需的、足够的证据和资料。基本流程现场测评准备现场测评和结构记录结果确认和资料归还太原清众鑫科技有限公司太原清众鑫科技有限公司现场测评活动 现场测评准备a)测评委托单位签署现场测评授权书。b)测评机构在首次会上说明具体实施内容及时间安排。c)双方确认需要的资源，以及确认备份过重要的数据。d)测评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。太原清众鑫科技有限公司太原清众鑫科技有限公司现场测评活动 现场测评和结果记录 现场测评结果一般包括：a)访谈b)文档审查c)配置检查d)工具测试e)实地查看a测评人员与被测系统有关人员（个人测评

14、人员与被测系统有关人员（个人/群体）进行交流、讨论群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级信息系统在测评时有不同的要求，一般应基本覆盖所有的等级信息系统在测评时有不同的要求，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样安全相关人员类型，在数量上可以抽样a检查检查GB/T 22239-2008中规定的必须具有的制度、策略、操作规中规定的必须具有的制度、策略、操作规程等文档是否齐备。程等文档是否齐备。b检查是否有完整的制度执行情况记录，如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记

15、录等。c对上述文档进行审核与分析，检查他们的完整性和这些文件之间的内部一致性。a根据测评结果记录表格内容，利用上机验证的方式检查应用系统、根据测评结果记录表格内容，利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确，是否与文档、主机系统、数据库系统以及网络设备的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等）。审计等）。b如果系统在输入无效命令时不能完成其功能，将要对其进行错误测试。c针对网络连接，应对连接规则进行验证。a根据测评指导书，利用技术工具对系统进行测试，

16、包括基于网根据测评指导书，利用技术工具对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。入侵检测和协议分析等。b备份测试结果。a根据被测系统的实际情况，测评人员到系统运行现场通过实地根据被测系统的实际情况，测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。测评其

17、是否达到了相应等级的安全要求。太原清众鑫科技有限公司太原清众鑫科技有限公司现场测评活动 结果确认和资料归还a)汇总现场测评的测评记录，补充测评遗漏和需进一步验证的内容。b)召开测评结束会，双方确认测评过程中发现的问题。c)测评机构归还借阅的素有文档资料，由委托单位资料提供者签字确认。太原清众鑫科技有限公司太原清众鑫科技有限公司现场测评活动 现场测评的输出文档任务任务输出文档输出文档文档内容文档内容现场测评准备会议记录、确认的测评授权书、更新后的测评计划和测评程序工作计划和内容安排，双方人员的协调，测评委托单位应提供的配合访谈技术安全和管理安全测评的测评结果记录或录音访谈记录文档审查管理安全测评

18、的测评结果记录 管理制度和管理执行过程文档的记录配置检查技术安全测评的网络、主机、应用测评结果记录检查内容的记录工具测试技术安全测评的网络、主机、应用测评结果记录，工具测试完成后的电子输出记录，备份的测试结果文件漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等内容的技术测试结果实地查看技术安全测评的物理安全和管理安全测评结果记录检查内容的记录测评结果确认现场核查中发现的问题汇总、证据和证据源记录、测评委托单位的书面认可文件测评活动中发现的问题、问题的证据和证据源、每项检查活动中测评委托单位配合人员的书面认可太原清众鑫科技有限公司太原清众鑫科技有限公司现场测评活动 测评活动中双方的职责a)测

19、评机构的职责b)测评委托单位的职责测评机构测评机构a利用访谈、文档审查、配置检查、工具利用访谈、文档审查、配置检查、工具测试和实地察看的方法测评被测系统的测试和实地察看的方法测评被测系统的保护措施情况，并获取相关证据。保护措施情况，并获取相关证据。测评委托单位a测评前备份系统和数据，并确认被测设备状态完好b协调被测系统内部相关人员的关系，配合测评工作的开展c签署现场测评授权书d相关人员回答测评人员的问询，对某些需要验证的内容上机进行操作e相关人员确认测试前协助测评人员实施工具测试并提供有效建议，降低安全测评对系统运行的影响f相关人员协助测评人员完成业务相关内容的问询、验证和测试g相关人员对测评

20、结果进行确认h相关人员确认测试后被测设备状态完好太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动分析与编制报告活动现场测评活动现场测评活动方案编制活动方案编制活动测评准备活动测评准备活动等级评测的概述等级评测的概述太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动目标：汇总分析测评证据，形成等级测评结论，并编制测评报告。基本流程单项测评结果判定单元测评结果判定整体测评风险分析等级测评结论形成测评报告编制太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动 单项测评结果判定a)针对每个测评项，确定去是否为适用项。b)选出优势证据，并将其与要求内容的预期结果相比

21、较。c)确认符合项、不符合项及部分符合项。太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动 单元测评结果判定a)按层面分别汇总不同测评对象对应测评指标的单项测评结果情况，包括测评多少项，符合要求的多少项等内容，一般以表格形式列出。序号序号测评对象测评对象测评指标测评指标测评指标1测评指标2测评指标31对象1（或或或N/A）符合项数/在对象1上测评的测评指标1包含的测评项总数2对象23对象3小计符合项数/在上述对象上测评的测评指标1包含的测评项总数注：“”表示“符合”，“”表示部分符合，“”表示“不符合”，“N/A”表示“不适用”。太原清众鑫科技有限公司太原清众鑫科技有限公司分析与

22、编制报告活动 整体测评a)针对“部分符合”及“不符合”项，分析与之相关的其他测评项的联系。b)针对“部分符合”及“不符合”项，分析与之关联的其他层面的测评对象的联系。c)针对“部分符合”及“不符合”项，分析与之关联的其他区域的测评对象的联系。d)从安全角度分析被测系统整体结构的安全性，从系统角度分析被测系统整体安全防范的合理性。序号序号安全控制安全控制测评对象测评对象单项判定单项判定不符合项不符合项能否进能否进行关联行关联互补互补说明说明1测评指标1对象1对象22测评指标1对象1项目小计太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动 风险分析a)结合单元与整体测评结果，将五个技

23、术层面再次汇总分析b)判断所产生的安全问题被威胁和利用的可能性。c)判断被测系统的业务信息安全和系统服务安全影响程度d)综合b和c的结果，对系统面临的安全风险进行赋值。e)结和被测系统的安全保护等级对风险分析结果进行评价。太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动 等级测评结论形成 根据测评结果汇总表格，查看“不符合”项与“部分符合”的数量，判断系统是否达到相应等级安全保护能力。太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动 测评报告编制a)测评人员整理前面几项任务的输出/产品，编制测评报告相应部分。b)针对被测系统存在的安全隐患，提出整改建议，并编制测评报

24、告的安全建设整改建议部分。c)根据现场测评的文档和记录清单，编制测评报告的单元测评的结果记录和问题分析部分。d)评审测评报告。e)评审通过后，由项目负责人签字确认并提交给测评委托单位。太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动 分析与报告编制活动的输出文档任务任务输出文档输出文档文档内容文档内容单项测评结果判定等级测评报告的单元测评的结果记录部分分析被测系统的安全现状（各个层面的基本安全状况）与标准中相应等级的基本要求的符合情况，给出单项测评结果。单项测评结果汇总分析 等级测评报告的单元测评的结果汇总部分汇总统计单项测评结果，给出针对每个对象的单元测评结果。整体测评 等级测

25、评报告的整体测评部分分析被测系统整体安全状况及对单项测评结果的修订情况。风险分析 等级测评报告的风险分析和评价部分分析被测系统存在的风险情况。等级测评结论形成等级测评报告的等级测评结论部分对测评结果进行分析，形成等级测评结论。测评报告编制等级测评报告单项测评记录和结果，单项测评结果汇总，整体测评过程及结果，风险分析过程及结果，等级测评结论，安全建设整改建议等。太原清众鑫科技有限公司太原清众鑫科技有限公司分析与编制报告活动 分析与编制报告活动中双方的职责a)测评机构的职责b)测评委托单位职责测评委托单位测评委托单位签收测评报告签收测评报告测评机构分析并判定单项测评结果和整体测评结果分析评价被测系

26、统存在的风险情况根据测评结果形成等级测评结论编制等级测评报告，说明系统存在的安全隐患和缺陷，并给出改进建议评审等级测评报告，并将评审过的等级测评报告按照分发范围进行分发将生成的过程文档归档保存，并将测评过程中生成的电子文档清除太原清众鑫科技有限公司太原清众鑫科技有限公司等级测评工作流程 等级测评项目启动信息收集与分析工具和表单准备测评指标确定测评对象的确定测评工具接入点确定测评内容确定测评指导书开发测评实施准备测评方案编制现场测评和结果记录结果确认和资料返还单项测评结果判断单元测评结果判定整体测评风险分析等级测评结论形成测评报告编制测评准备活动测评准备活动方案编制活动方案编制活动现场测评活动现场测评活动分析与编制报告活动分析与编制报告活动沟通与洽谈太原清众鑫科技有限公司太原清众鑫科技有限公司