2011年度卫生行业信息安全等级保护培训-基本要求(发展测评).ppt

《2011年度卫生行业信息安全等级保护培训-基本要求(发展测评).ppt》由会员分享，可在线阅读，更多相关《2011年度卫生行业信息安全等级保护培训-基本要求(发展测评).ppt（81页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：870 7021 8705 0418医疗卫生行业医疗卫生行业信息系统信息系统等级保护测评基本要求等级保护测评基本要求www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418目 录1信息系统安全等级保护基本要求2测评基本内容3基本要求中二、三级要求的差异4网络安全测评内容与常见问题（三级）www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 87

2、05 0418GB/T22239-2008信息系统安全等级保护基本要求信息系统安全等级保护基本要求www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418基本要求产生的思路基本要求产生的思路不同级别的不同级别的信息系统信息系统重要程度不同重要程度不同保护需求不同保护需求不同安全保护安全保护能力不同能力不同应对威胁的应对威胁的能力不同能力不同不同的安全目标不同的安全目标不同基本要求不同基本要求www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021

3、8705 0418基本要求基本要求的定位的定位n是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线；n每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态;n是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现;www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418基本要求基本要求的定位的定位某级信息系统基本保

4、护精确保护基本要求保护基本要求测评补充的安全措施GB17859-1999通用技术要求安全管理要求高级别的基本要求等级保护其他标准安全方面相关标准等等基本保护特殊需求补充措施www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418不同级别的安全保护能力要求不同级别的安全保护能力要求n2级安全保护能力：应具有能够对抗来自小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小（局部性）等）

5、以及其他相当危害程度（无意失误、设备故障等）威胁的能力，并在威胁发生后，能够在一段时间内恢复部分功能。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418不同级别的安全保护能力要求不同级别的安全保护能力要求n3级安全保护能力：应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威

6、胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418安全保护能力要求说明安全保护能力要求说明n核心思想:级别越高,安全控制点越多,安全控制要求越细。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418测评基本内容测评基本内容www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418测评基本

7、内容测评基本内容 n对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：n一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；n二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418安全控制测评安全控制测评n对安全控制测评的描述，使用工作单元方式组织。工作单元分为安全技术测评和安全管理测评两大类。n安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安

8、全等五个层面上的安全控制测评；n安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。n在内容上，与基本要求一一对应，针对基本要求的每一个控制项，开发具体的测评实施方法。n在结构上，以“测评单元”为基本工作单位，分等级进行组织。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418工作单元工作单元www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418系统整体测评系统整

9、体测评n系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。n根据特定信息系统的具体情况，结合本标准要求，确定系统整体测评的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间安全控制间、层面间以及区域间的相互关联关系的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心

10、电话：8705 7021 8705 0418系统整体测评的思路系统整体测评的思路n根据安全控制、层面和区域之间的关联作用，逐层测评分析安全控制间、层面间和区域间关联关系对整体安全功能的影响，n具体应包括：安全控制间安全测评、层面间安全测评、区域间安全测评。n进行系统整体结构安全测评从安全的角度，分析信息系统整体结构的安全性从安全角度看系统从系统的角度，分析信息系统安全防范(体系)的合理性 以系统的观点看安全防范（体系)www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418系统整体测评系统整体测评 n安全控制间

11、安全测评 安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。n层面间安全测评层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。n区域间安全测评 区域间的安全测评主要考虑互连互通（包括物理上和逻辑上的互连互通等）的不同区域之间存在的安全功能增强、补充和削弱等关联作用，特别是有数据交换的两个不同区域。n系统结构安全测评系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021

12、8705 0418信息安全等级保护实施-测评过程三种基本测评方法：三种基本测评方法：访谈检查测试www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418访谈的对象：人员典型的访谈对象包括：访谈信息安全主管、信息系统安全管理员、系统管理员、网络管理员、人力资源管理员、设备管理员和用户等。工具：管理核查表 适用情况：对技术要求，使用访谈方法进行测评的目的目的是为了了解了解信息系统的全局性(包括局部，但不是细节)、方向/策略性和过程性信息，一般不涉及到具体的实现细节和具体技术措施。对管理要求，访谈的内容内容应该较为详

13、细和明确的。信息安全等级保护实施-测评过程（访谈）www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评过程（检查）检查包括：评审、核查、审查、观察、研究和分析等方式。检查对象包括文档、机制、设备等。工具：技术核查表。适用情况：对技术要求，检查的内容内容应该是具体的、较为详细的机制配置和运行实现。对管理要求，检查方法主要用于规范性要求（检查文档）。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 041

14、8信息安全等级保护实施-测评过程（测试）测试包括：功能/性能测试。测评对象包括机制和设备等。测试一般需要借助特定工具。扫描检测工具网络协议分析仪模拟攻击工具适用情况：对技术要求，测试的目的是验证信息系统当前的、具体的安全机制或运行的有效性或安全强度。对管理要求，一般不采用测试技术。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评强度对信息系统的要求：安全等级级别越高，基本要求强度越强，体现为安全控制点越多，安全控制要求越细。对信息系统的测评：安全等级级别越高，测评强度越强，测评

15、强度体现测评工作的努力程度，反映出测评的广度和深度。第第4 4级信息系统级信息系统第第3 3级信息系统级信息系统第第2 2级信息系统级信息系统第第1 1级信息系统级信息系统测测评评强强度度www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评强度测评强度体现测评工作的努力程度，反映出测评的广度和深度。测评广度越大，范围越大，广度越大，范围越大，包含的测评对象就越多，就需要更大的努力更大的努力。测评的深度越深深度越深，越需要在细节上展开，就越需要更大的更大的努力。努力。越大的努力越大的

16、努力程度就越能为测评提供更好的保证，体现测评测评强度越强强度越强。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评强度测评的广度和深度落实在具体的测评方法访谈、检查和测试上，体现出访谈、检查和测试的努力程度不同。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评强度访谈方法的测评强度方法方法深度深度广度广度访谈 访谈的深度体现在访谈过程的严格和详细程度，可以分为三

17、种：简要的、充分的、较全面的和全面的。简要访谈只包含通用和高级的问题；充分访谈包含通用和高级的问题以及一些较为详细的问题；较全面访谈包含通用和高级的问题以及一些有难度和探索性的问题；全面访谈包含通用和高级的问题以及较多有难度和探索性的问题。访谈的广度体现在访谈人员的构成和数量上。访谈覆盖不同类型的人员和同一类人的数量多少，体现出访谈的广度不同。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评强度检查方法的测评强度方法深度广度检查 检查的深度体现在检查过程的严格和详细程度，可以分

18、为三种：简要的、充分的和全面的。简要检查是功能级的，使用简要的评审、观察或检查以及检查列表和其他相似手段的简短测评；充分检查还要有详细的分析、观察和研究；全面检查还需要总体/概要和详细设计以及实现上的相关信息。检查的广度体现在检查对象的种类（文档、机制等）和数量上。检查覆盖不同类型的对象和同一类对象的数量多少，体现出对象的广度不同。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评强度测试方法的测评强度方法深度广度测试 测试的深度体现在执行的测试类型上：功能/性能测试和渗透测试。

19、功能/性能测试只涉及机制的功能规范、高级设计和操作规程；渗透测试涉及机制的所有可用文档，并试图智取进入信息系统。测试的广度体现在被测试的机制种类和数量上。测试覆盖不同类型的机制以及同一类机制的数量多少，体现出对象的广度不同。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418各级系统的保护要求差异（宏观）-技术一级系统二级系统三级系统四级系统通信/边界（基本）通信/边界/内部（关键设备）通信/边界/内部（主要设备）通信/边界/内部/基础设施（所有设备）www.zjdb.org浙江省发展信息安全测评技术有限公

20、司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418各级系统的保护要求差异（宏观）-管理一级系统二级系统三级系统四级系统计划和跟踪（主要制度）计划和跟踪（主要制度）良好定义（管理活动制度化）持续改进（管理活动制度化/及时改进）www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418二、三级系统二、三级系统基本要求基本要求的差异的差异www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等

21、级保护实施-测评内容物理安全技术部分管理部分信息系统（等级）网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容物理层面物理层面构成组件包括信息系统工作的设施环境以及构成信息系统的硬件设备和介质等。物理层面构成组件可能分布在被测单位物理控制范围内，也可能位于被测单位物理控制范围外。一般来说，大部分物理层面构成组件位于被测单位的物理控制范围内，是物理层面安全测评的重点。www.zjdb.o

22、rg浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（技术）物理环境可以划分为一般客户机运行场地A（如数据录入室和一般终端室等）、重要客户机运行场地B（如重要终端室）、通信线路间C（如网络设备室等）和机房和介质存放地S（包括计算机机房和已记录的媒体存放间等）一般客户机房场地A重要客户机房场地B通信线路间C机房和介质存放地Swww.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（技术）

23、从安全等级二级、三级，物理层面设置测评单元的情况。层面层面信息系统二级三级物理安全物理安全101010101-101-101-101-10www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（技术）在第二级信息系统中，物理安全包括10个测评单元。物理位置选择物理安全物理访问控制防盗窃和防破坏防雷击防火防静电 温湿度控制电力供应电磁防护防水和防潮序号 1 2 3 4 5 6 7 8 9 10www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信

24、息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（技术）网络层面网络层面构成组件负责支撑信息系统进行网络互联，为信息系统各个构成组件进行安全通信传输，一般包括计算机、网络设备、连接线路以及它们构成的网络拓扑等。网络层面构成组件可能位于被测单位的物理控制范围内，也可能处于被测单位物理控制范围外。一般来说，大部分网络层面构成网络层面构成组件组件位于被测单位的物理控制范围内，是网络层面安全保护的重点。位于被测单位物理控制范围内的网络，通常是局域网，包括客户机、网络设备和服务器等。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信

25、息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（技术）被测单位内的两个不同信息系统可能需要交换信息，而进行网络互联（内部互联）。被测单位为了与其他单位/网络交换信息，可能需要与他们的网络互联（外部互联）。网络互联一般都有网络连接边界网络连接边界，这些边界是网络安全测评的重点之一。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（技术）设备共用 设备共用是指被测系统和其他信息系统共用网络中的设备、通信线路和/或主机（共用设备的系统可能不需要交

26、换信息）。设备共用可能发生在内网、外网或者外网连接处，设备共用一般有三种基本方式：客户机共用（少）；网络通信设备共用；服务器共用。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（技术）从安全等级第一级到第四级，网络层面设置测评单元的情况。层面层面信息系统一级二级三级四级网络安全网络安全4 48 88 88 81-31-38 81-81-81-81-81-81-8www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705

27、7021 8705 0418信息安全等级保护实施-测评内容（技术）网络安全包括8个测评单元。序号 1 2 3 4 5 6 7 8结构安全和网段划分网络安全网络访问控制拨号访问控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（技术）系统层面系统层面主要是指主机系统，构成组件有服务器、终端/工作站等计算机设备，包括他们的操作系统、数据库系统及其相关环境等主机系统直接为信息系统的信息采集、加工、存储、传输、检索等提

28、供运行环境，包括为信息系统用户提供人机交互的环境。通常采取身份鉴别、访问控制、安全审计、系统资源控制等安全功能，以保证系统的安全。目前常见的操作系统操作系统有Windows、Linux和类UNIX等，数据库系统数据库系统有Oracle、Sybase、MS SQL SERVER等。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（技术）从安全等级第一级到第四级，主机系统层面设置测评单元的情况。层面层面信息系统一级二级三级四级主机系统安全主机系统安全安全安全3 37 79 91

29、0101-21-28 81-2,4-51-2,4-58-108-101-31-35-105-101-101-10www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施方案-测评内容在第二级信息系统中，主机系统安全包括7个测评单元。三级9个单位序号 1 2 3 4 5 6 7 8 9 10身份鉴别主机系统安全自主访问控制强制访问控制可信路径安全审计剩余信息保护入侵防范恶意代码防范资源控制系统保护www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电

30、话：8705 7021 8705 0418信息安全等级保护实施-测评内容（技术）应用系统 应用系统体系结构模型可以根据用户与数据之间用户与数据之间所具有的层次来划分，即：单层应用体系结构模型、两层应用体系结构模型、多层（可以是三层或三层以上）应用体系结构模型。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418从安全等级第一级到第四级，应用层面设置测评单元的情况。层面层面信息系统一级二级三级四级应用安全安全6 69 9101010101-31-38-108-101-61-68-108-101-101-101

31、-101-10信息安全等级保护实施-测评内容（技术）www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418在第二级信息系统中，应用系统安全包括9个测评单元。序号 1 2 3 4 5 6 7 8 9 10身份鉴别应用安全访问控制通信完整性通信保密性安全审计剩余信息保护抗抵赖软件容错资源控制代码安全信息安全等级保护实施-测评内容（技术）www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418数据层面数据层面构成组件主要包括信息系统

32、安全功能数据和用户数据这些数据可能处于传输和处理过程中，也可能处于存储状态。对于传输和处理过程中的数据，一般有机密性和完整性机密性和完整性的安全要求，而对于存储中的数据，还需要有备份恢复备份恢复的安全要求。信息安全等级保护实施-测评内容（技术）www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（技术）从安全等级第一级到第四级，数据层面设置测评单元的情况。层面层面信息系统一级二级三级四级数据安全安全3 33 33 33 31-31-31-31-31-31-31-31-3www.

33、zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（技术）在第二级信息系统中，数据安全包括3个测评单元。序号 1 2 3数据完整性数据安全数据保密性安全备份www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）安全管理机构安全管理机构包括安全管理的岗位设置、人员配备、授权和审批、沟通和合作等方面内容，严格的安全管理应该由相对独立的职能部门和岗位来完成。www.z

34、jdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）从安全等级第一级到第四级，安全管理机构设置测评单元的情况。层面层面信息系统一级二级三级四级安全管理机构4 45 55 55 51-41-41-51-51-51-51-51-5www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）在第二级信息系统中，安全管理机构包括5个测评单元。序号 1 2 3 4 5岗位设

35、置安全管理机构人员配备授权和审批沟通与合作审核和检查www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）安全管理制度在被测系统中，安全管理制度一般是文档化的，被正式制定、评审、发布和修订，内容包括策略、制度、规程、表格和记录等，构成一个塔字结构的文档体系。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）安全管理制度文档体系www.zjdb.o

36、rg浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）从安全等级第一级到第四级，安全管理制度设置测评单元的情况。层面层面信息系统一级二级三级四级安全管理制度 2 23 33 33 31-21-21-31-31-31-31-31-3www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）在第二级信息系统中，安全管理制度包括3个测评单元。序号 1 2 3管理制度安全管理制度(

37、四级)制订和发布评审和修订www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）人员安全管理人员安全管理包括信息系统用户、安全管理人员和第三方人员的管理，覆盖人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员管理等方面内容。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）从安全等级第一级到第四级，人员安全管理设置测评单元的情况。层面层

38、面信息系统一级二级三级四级人员安全管理 4 45 55 55 51-21-24-54-51-51-51-51-51-51-5www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）在第二级信息系统中，人员安全管理包括5个测评单元。序号 1 2 3 4 5人员录用人员安全管理人员离岗人员考核安全意识教育和培训第三方人员访问管理www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级

39、保护实施-测评内容（管理）系统建设管理系统建设管理包括系统定级、安全风险分析、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全测评、系统备案等信息系统安全等级建设的各个方面。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）从安全等级第一级到第四级，系统建设管理设置测评单元的情况。层面层面信息系统一级二级三级四级系统建设管理9 99 9101010101 12-102-101 12-102-101-101-101-101-10ww

40、w.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）在第二级信息系统中，系统建设管理包括9个测评单元。序号 1 2 3 4 5 6 7 8 9 10系统定级系统建设管理安全方案设计产品采购自行软件开发外包软件开发工程实施测试验收系统交付安全服务商选择系统备案www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）系统运维管理系统运维管理包括运行环境管理、

41、资产管理、介质管理、设备使用管理、运行监控管理、恶意代码防护管理、网络安全管理、系统安全管理、密码管理、变更管理、备份和恢复管理、安全事件处置和应急计划管理等方面内容。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）从安全等级第一级到第四级，系统运维管理设置测评单元的情况。层面层面信息系统一级二级三级四级系统运维管理 10101313131313131-81-811-1211-121-131-131-131-131-131-13www.zjdb.org浙江省发展信息

42、安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418信息安全等级保护实施-测评内容（管理）在第二级信息系统中，系统运维管理包括9个测评单元。序号 1 2 3 4 5 6 7 8 9 10 11 12 13环境管理系统运维管理资产管理设备管理介质管理监控管理网络安全管理系统安全管理恶意代码防范管理变更管理密码管理备份和恢复管理安全事件处置应急计划管理www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418网络安全测评网络安全测评内容与常见问题内容与常见问题www.

43、zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418结构安全结构安全具体测评内容：a)应保证网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b)应保证网络各个部分的带宽满足业务高峰期需要；c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；d)应绘制与当前运行情况相符的网络拓扑结构图；e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的

44、子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418测评测评要求与常见问题要求与常见问题尽量满足网络设备和线路的冗余，利用负载均衡技术保证业务高峰期需要；通过路由器控制终端与服务器之间的访问；应当绘制完整的网络拓扑图，记录详细的网络基线文档，根据业

45、务重要性合理分配IP地址，并控制各子网之间的访问；有能力的网络和业务重要的网络应在路由器或交换机上配置QOS策略，保证重要业务数据不受网络高峰是拥堵的影响常见问题多数企业网络都建立了IP分配规则并绘制网络拓扑，但对于网络基线信息的记录工作做的不好或不够详细，而且通常不会及时更新；少数公司由于内部网络规模较小没有进行网段划分，也没有对重要网络采取必要的控制措施；一般的企业网络很少会配置QOS策略。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418网络安全网络安全-访问控制访问控制a)应在网络边界部署访问控制

46、设备，启用访问控制功能；b)应不允许数据带通用协议通过；c)应根据数据的敏感标记允许或拒绝数据通过；d)应不开放远程拨号访问功能。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418测评要求与常见问题在网络边界处设立防火墙或网闸等设备测评访问控制，配置适当的访问控制策略，只允许必要的网络协议通过，对于要求较高的企业可根据数据的敏感性标记限制通过；对于网络设备一般不建议开启远程拨号功能。常见问题有的企业虽然购买了防火墙等访问控制设备，但没有进行合适的配置，有的甚至就用的默认配置。www.zjdb.org浙江省

47、发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418网络安全网络安全-安全审计安全审计a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应能够根据记录数据进行分析，并生成审计报表；d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；e)应定义审计跟踪极限的阈值，当存储空间接近极限时，能采取必要的措施，当存储空间被耗尽时，终止可审计事件的发生；f)应根据信息系统的统一安全策略，实现集中审计，时钟保持与时钟服务器同步

48、www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418测评测评要求与常见问题要求与常见问题首先需要制定完善的网络安全审计要求，至少覆盖网络设备运行状况、网络流量、用户行为等内容，审计记录的内容应当尽可能保证详细以便于事后问题的最终和审计检查；对与系统生成的日志可采取集中异地存储的形式，防止数据被破坏或篡改；应当设立单独的日志审计人员维护和管理数据常见问题多数企业没有完善的网络安全设备审计要求，网络设备都没有开启必要的审计功能，也没有使用其它网络审计工具，大多设备开启的审计功能都是默认的设置；对于系统生成的日志

49、也没有专门设立单独的人员进行管理。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418网络安全网络安全-边界完整性检查边界完整性检查测评内容a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418测评测评要求与常见问题要求与常见问题通过网络设备限制非

50、授权的的设备私自接入到内部网络；也可以通过防火墙、IDS设备或流量检测设备监控非法的内联和外联行为。常见问题多数企业很少对非法外联行为进行控制，存在内部人员通过Modem拨号、ADSL拨号或手机无线拨号等方式，非法连接到互联网等外部网络难以控制www.zjdb.org浙江省发展信息安全测评技术有限公司环城西路33号省府4号楼省经济信息中心电话：8705 7021 8705 0418网络安全网络安全-入侵防范入侵防范测评内容a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；b)当检测到攻击行为时，应记录攻击源IP、攻