信息系统安全测评Word下载.docx
《信息系统安全测评Word下载.docx》由会员分享,可在线阅读,更多相关《信息系统安全测评Word下载.docx(15页珍藏版)》请在冰豆网上搜索。
3、信息系统安全评估
4、远程渗透测试
5、信息系统安全监控
6、信息系统安全方案评审
2.1信息安全风险评估
2.1.1评估目标
由我中心高级测评工程师和咨询专家共同组成的评估团队,采用众多漏洞测试工具和工作模版,从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;
为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。
2.1.2适用对象
具有风险管理意识,关注信息系统安全风险的国家重要行业、部委。
2.1.3评估依据
1、GB/T20984《信息安全风险评估规范》
2、GB/T20274《信息系统安全保障评估框架》
3、行业信息安全标准
4、用户自身业务安全需求
2.1.4评估流程
2.1.5评估内容
评估信息系统存在的高中低风险的数量、可能性、影响。
主要从安全技术和安全管理两个角度:
●安全技术
⏹网络层安全
⏹主机系统层安全
⏹应用层安全
⏹数据安全
●安全管理
⏹安全管理组织机构
⏹安全管理制度
⏹人员安全管理
⏹系统建设管理
⏹系统运维管理
⏹物理安全
2.1.6评估方式
配置核查----由测评人员在委托单位现场根据调查模版内容获取并分析信息系统关键设备当时的安全配置参数。
工具测试----由资深测评人员采用自动化工具对被评估系统进行漏洞检测。
专家访谈----由资深测评人员到委托单位同信息安全主管、IT审计部门、开发部门及运维部门按我中心调查模版要求进行面对面访谈。
资料审阅----查阅信息系统建设、运维过程中的过程文档、记录,采用分时段系统查阅和有针对性抽样查阅的方法进行。
专家评议----组织本中心行业专家运用恰当的风险分析方法进行集体会诊评议。
2.1.7评估成果
我中心向委托机构提交《信息系统安全风险评估报告》,报告中包含整改建议。
2.2信息系统安全等级保护测评
2.2.1评估目标
由我中心高级测评工程师组成的评估团队,依据公安部《信息系统安全等级保护测评准则》中与信息系统备案等级相对应的测评项,进行信息系统安全等级符合性测评,出具是否满足信息系统安全保护等级的测评结论。
2.2.2适用对象
致力于国家信息系统安全等级保护测评工作的国家重要行业、部委。
2.2.3评估依据
1、《信息系统安全保护等级测评准则》
2、行业信息安全标准
3、用户自身业务安全需求
2.2.4评估流程
2.2.5评估内容
2.2.6评估方式
配置核查----由测评人员根据调查模版内容获取并分析信息系统关键设备当时的安全配置参数。
2.2.7评估成果
我中心向委托机构提交《信息系统安全等级保护测评报告》,报告中包含整改建议。
2.3信息系统安全评估
2.3.1评估目标
由我中心高级测评工程师组成的评估团队,依据GB/T20274信息系统安全保障框架,进行信息系统安全保障能力级的符合性测评,出具是否满足信息系统安全保障能力级的测评结论。
2.3.2适用对象
关注信息系统安全保障能力建设的国家重要行业、部委。
2.3.3评估依据
1、GB/T20274《信息系统安全保障评估框架》
2.3.4评估流程
2.3.5评估内容
主要从安全技术、安全管理和安全工程三个角度:
⏹风险管理
⏹信息安全策略
⏹安全组织管理
⏹资产管理
⏹符合性管理
⏹信息安全规划
⏹信息系统建设管理
⏹信息系统运维管理
⏹业务连续性管理
⏹事故响应
●安全工程
⏹风险过程
⏹工程过程
⏹保障过程
2.3.6评估方式
专家评议----组织本中心行业专家运用恰当的风险分析方法和保障能力级判定方法进行集体会诊评议。
2.3.7评估成果
我中心向委托机构提交《信息系统安全评估报告》,并颁发“信息系统安全审定书”。
2.4远程渗透测试
2.4.1工作目标
由我中心渗透测试小组模拟黑客使用的漏洞发现技术和攻击手段,从攻击者的角度对目标系统的网络、主机系统、应用服务的安全性作深入的非破坏性探测,以发现系统的薄弱环节。
渗透测试通常能以非常明显、直观的结果来反映出系统的安全现状。
2.4.2适用对象
委托单位关注来自互联网的恶意攻击。
2.4.3测试流程
2.4.4测试内容
信息泄露:
对外服务是否暴露了可能被黑客利用的敏感信息
业务逻辑测试:
系统是否在业务逻辑设计上存在被黑客利用的漏洞
认证测试:
系统是否存在弱口令、绕过身份认证、浏览器缓存管理等漏洞
会话管理测试:
系统是否存在会话劫持、CSRF等漏洞
数据有效性验证测试:
系统是否存在SQL注入、跨占脚本攻击、LDAP注入等漏洞
拒绝服务测试:
系统是否易受DdOS攻击
Web服务测试
AJAX测试
2.4.5工作方式
非现场监控----由专门的渗透测试小组通过互联网进行远程测试。
2.4.6评估成果
我中心向委托机构提交《信息系统远程渗透测试报告》。
2.5系统安全监控
2.5.1工作目标
由我中心高级测评工程师组成的监控团队,采用我中心内部的安全监控模版,对委托单位信息系统进行黑客入侵、网站挂马等安全监控,经过内部分析向委托单位提交重大安全隐患分析报告和安全态势分析报告。
2.5.2适用对象
关注重要时间段(例如奥运期间)信息系统安全稳定运营的国家重要行业、部委。
2.5.3监控流程
2.5.4监控内容
门户网站是否受到黑客威胁
网站是否被挂马
网络流量是否异常
网络中病毒泛滥趋势
网络中是否存在入侵事件
2.5.5工作方式
现场监控----由测评人员根据监控模版内容获取并分析信息系统关键设备当时的安全信息。
非现场监控----由资深测评人员采用日志分析工具对被监控系统的各种日志进行综合分析。
2.5.6评估成果
我中心向委托机构提交《信息系统安全态势分析报告》。
2.6信息系统安全方案评审
2.6.1工作目标
由我中心组织行业专家和渗透测试测评工程师,对信息系统安全方案进行评估,帮助委托单位了解安全方案在实施后系统安全是否能实现最大预期值。
2.6.2适用对象
1、在信息系统投入建设之前,希望确定信息系统实施方案中的安全设计是否合理有效,可以申请信息系统安全方案评审。
2、在信息系统即将进行扩建之前,希望确定信息系统扩建方案中的安全设计是否合理有效,可以申请信息系统安全方案评审。
3、在面对多种安全方案,无从选择时,可以申请信息系统安全方案评审,由中心作为第三方对各个安全方案进行评估,委托单位根据评估结果和自身情况,选择最佳方案。
4、在信息系统投入运行后,希望对系统采用的安全方案的合理性和有效性进行评估,从而了解在方案实施后可能存在哪些安全问题,以便作进一步的改进,可以申请信息系统安全方案评审。
2.6.3评审依据
2.6.4评审流程
2.6.5评审内容
安全方案的设计是否满足业务安全需求
安全方案的设计是否满足相关法律、法规以及行业标准的要求
安全方案设计是否合理
安全方案设计是否可行
2.6.6工作方式
专家访谈----由资深测评人员通过电话远程同方案设计者进行深层次的业务安全需求交流。
专家评议----组织行业专家进行集体会诊评议。
2.6.7评估成果
我中心向委托机构提交《信息系统安全方案评审报告》。
第3章测评内容
每个项目的安全测评内容可根据委托单位信息系统的实际情况定制。
下面介绍我中心可提供的测评内容。
3.1安全技术
网络层安全
信息系统网络架构设计是否安全合理
网络访问控制是否严格有效
网络安全审计是否有效
是否存在“非法外联”行为
网络入侵防范措施是否有效
恶意代码防范措施是否有效
网络设备、安全设备配置是否安全、有效
主机系统安全
(针对操作系统、数据库、中间件)
是否能对主机系统用户设置恰当的身份鉴别手段
后台维护人员的权限是否是最小授权
后台维护人员的逻辑访问路径是否可信
安全审计记录是否完整
入侵防范措施、恶意代码防范是否充分有效
主机系统资源使用是否可控
应用系统安全
(针对应用软件)
是否能对应用软件用户设置恰当的身份鉴别手段
用户访问权限是否是最小授权
安全审计记录是否完