等级保护测评.ppt
《等级保护测评.ppt》由会员分享,可在线阅读,更多相关《等级保护测评.ppt(161页珍藏版)》请在冰豆网上搜索。
广东计安信息网络培训中心广东计安信息网络培训中心信息安全等级保护测评讲师:
傅欲华讲师:
傅欲华目录第一部分等级保护测评基础第二部分等级保护测评要求第三部分等级保护测评项目管理第四部分等级保护测评探讨第一部分等级保护测评基础
(1)国家和广东省对测评机构的要求回顾
(2)测评和测评机构的概念(3)等级保护测评方法和技术(4)等级保护标准体系当前的信息安全等级保护有关法规信息安全等级保护管理办法信息安全等级保护管理办法(公通字(公通字200743号)号)广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例广东省公安厅关于计算机信息系统安全保护的实施办法广东省公安厅关于计算机信息系统安全保护的实施办法关于贯彻关于贯彻广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例和和广东省公广东省公安厅关于计算机信息系统安全保护的实施办法安厅关于计算机信息系统安全保护的实施办法的通知的通知广公广公(网监)(网监)2008633号号关于开展信息安全等级保护测评体系建设试点工作的通知关于开展信息安全等级保护测评体系建设试点工作的通知(公信安(公信安2009812号)号)关于明确信息安全等级保护测评机构管理有关事项的通知(广公关于明确信息安全等级保护测评机构管理有关事项的通知(广公(网监)(网监)2009421号)号)关于推动信息安全等级保护测评体系建设和开展等级测评工作的关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安通知(公信安2010303号号)信息安全等级保护测评工作管理规范信息安全等级保护测评工作管理规范(试行试行)信息安全等级测评机构能力要求(试行)信息安全等级测评机构能力要求(试行)等级测评师培训和考试指南等级测评师培训和考试指南1.1.3国家对等级保护测评的要求管理办法”等级保护的实施与管理“第十四条信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
1.1.4国家对测评机构的基本要求第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
在中华人民共和国境内注册成立(港澳台地区除外);由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);从事相关检测评估工作两年以上,无违法记录;工作人员仅限于中国公民;法人及主要业务、技术人员无犯罪记录;使用的技术装备、设施应当符合本办法对信息安全产品的要求;具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;对国家安全、社会秩序、公共利益不构成威胁。
广东省公安厅关于计算机信息系统安全保护的实施办法广东省公安厅关于计算机信息系统安全保护的实施办法
(一)
(一)第二十二条我省对测评机构实施备案制度。
符合第二十一条规定的条件,承担第二级以上的计算机信息系统测评工作的机构应当到省公安厅公共信息网络安全监察部门备案。
第二十五条第二级以上的计算机信息系统建设完成后,使用单位应当委托符合规定的测评机构安全测评合格方可投入使用。
测评活动应当接受公安机关公共信息网络安全监察部门的监督。
1.1.10广东省信息安全等级测评工作细则广东省信息安全等级测评工作细则(试行)计算机信息系统投入使用后,存在下列情形之一的,应当进行安全自查,同时委托安全测评机构进行安全测评:
(一)变更关键部件;
(二)安全测评时间满一年;(三)发生危害计算机信系统安全的案件或安全事故;(四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评;(五)其他应当进行安全自查和安全测评的情形。
申请单位认为安全测评报告的合法性和真实性存在重大问题的,可以向本单位所在地公安机关公共信息网络安全监察部门提出申诉,提交异议申诉书及有关证明材料。
1.1.11广东省转发开展电子政务信息安全风险评估广东省转发开展电子政务信息安全风险评估省发改委、省公安厅、省保密局转发关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(粤发改高2009182号文)省电子政务项目应开展信息安全等级测评和风险评估工作,作为项目竣工验收的重要内容。
非涉密项目在完成后试运行期间,向相关评测机构提出评估申请。
评测机构与承建单位原则上不能为同一家。
等级测评和风险评估费用计入项目总投资。
1.1.12公安部对测评机构的明确要求公安部对测评机构的明确要求对等级测评机构管理相关问题进行了明确,要求开展等级测评的单位不得从事下列活动:
一是承担信息系统安全建设整改工作;二是将等级测评任务分包、外包;三是信息安全产品开发、营销和信息系统集成活动;四是限定被测评单位购买、试用其指定的信息安全产品;五是未经许可占有、使用被测评单位有关信息、资料及数据文件。
1.1.13关于明确信息安全等级保护测评机构管理有关事项的通知关于明确信息安全等级保护测评机构管理有关事项的通知一、进一步规范测评服务管理。
一、进一步规范测评服务管理。
根据公安部十一局要求,为确保测评活动的公正性,承担测评工作的机构不宜从事信息安全整改、集成服务。
二、提高测评工作装备水平。
二、提高测评工作装备水平。
为统一工具标准,我总队制定了信息安全等级保护测评工具选用指引(以下简称指引),对测评所需的必备工具和选用工具进行了明确。
三、推动信息安全等级保护整改。
三、推动信息安全等级保护整改。
各级公安网监部门要按照广东省深化信息系统安全等级保护工作方案要求,加大各类测评机构和安全服务机构的监督指导力度,发挥其作用,为信息系统运营、使用单位、主管部门提供差距评估、整改方案制订和实施、安全测评等服务,大力推动信息系统的安全整改,切实推动我省信息安全等级保护工作深入开展。
1.1.15广东省等级保护测评机构广东省等级保护测评机构关于发布广东省信息安全等级保护测评机构的公关于发布广东省信息安全等级保护测评机构的公告告(粤等保办(粤等保办20103号)号)供我省信息系统运营、使用单位、主管部门选用提供各类测评服务(差距评估、验收性测评、年度测评工作)。
1、广州竞远系统网络技术有限公司2、中国赛宝实验室(工业和信息化部电子第五研究所)3、广州华南信息安全测评中心4、深圳市信息安全测评中心5、深圳市网安计算机安全检测技术有限公司1.2.9测评报告测评机构应按照公安部统一制订的信息系统安全等级测评报告模版(试行)格式出具测评报告1.3.1等级保护测评流程
(1)1.3.1等级保护测评流程
(1)测评过程测评准备活动本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。
测评准备工作是否充分直接关系到后续工作能否顺利开展。
本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
方案编制活动本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。
本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
现场测评活动本活动是开展等级测评工作的核心活动。
本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
分析与报告编制活动本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。
本活动的主要任务是根据现场测评结果和信息系统安全等级保护测评要求的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
1.3.3等级保护测评方法
(1)测评方法测评采用访谈、检查和测试三种方法,测评对象是测评实施过程中涉及到的信息系统的构成成份,包括人员、文档、机制、软件、设备。
测评的层面涉及物理安全、网络安全、主机安全、应用系统安全、数据安全以及安全管理。
测评要求使用测评表进行具体检查时,首先按询问、查验、检测等工作方式将所有检查项目分类。
所有以询问方式检查的项目,在与有关人员的谈话或会议上进行;所有以查验方式检查的项目,将需要的文档清单在检查现场提交给被检查方,请被检查方当前提供并进行查验;所有需要以检测方式检查的项目,按检测部门或设备分类后,根据具体情况选择检测顺序。
1.3.4等级保护测评方法
(2)对技术要求对技术要求访谈访谈方法:
方法:
目的是是了解信息系统的全局性信息系统的全局性。
范围一般不覆盖所有要求内容。
一般不覆盖所有要求内容。
检查检查方法:
方法:
目的是是确认信息系统当前具体信息系统当前具体安全机制和运行的配置是否符合要求安全机制和运行的配置是否符合要求。
范围一一般要覆盖所有要求内容。
般要覆盖所有要求内容。
测试测试方法:
方法:
目的是验证信息系统安全机制是验证信息系统安全机制有效性和安全强度。
有效性和安全强度。
范围不覆盖所有要求内容。
不覆盖所有要求内容。
1.3.5等级保护测评方法(3)对管理要求对管理要求对人员方面的要求,重点通过对人员方面的要求,重点通过访谈访谈的方式的方式来测评,检查为辅;来测评,检查为辅;对过程方面的要求,通过对过程方面的要求,通过访谈访谈和和检查检查的方式来测评;的方式来测评;对规范方面的要求,以对规范方面的要求,以检查检查文档为主,文档为主,访谈访谈为辅为辅优势证据对单一测评项实施等级测评过程中获得的多个测评结果之间存在矛盾,且都没有足够的证据否定与之矛盾的测评结果的,则测评结果的证明力明显大于其他测评结果的证明力的那个(些)测评结果即为优势证据。
检查测试访谈测评准备活动测评计划方案编制活动的基本工作流程测评指标确定从GB/T22239-2008中选择相应等级的安全要求作为测评指标,包括对SAG三类安全要求的选择。
举例来说,假设某信息系统的定级结果为:
安全保护等级为3级,业务信息安全保护等级为2级,系统服务安全保护等级为3级;则该系统的测评指标将包括GB/T22239-2008“技术要求”中的3级通用安全保护类要求(G3),2级业务信息安全类要求(S2),3级系统服务保证类要求(A3),以及第3级“管理要求”中的所有要求。
测评指标测试工具接入点确定现场测评活动的基本工作流程检查方式访谈文档审查配置检查工具测试实地察看分析与报告编制活动的基本工作流程安全单元测评结果汇总表测评对象确定原则和方法(二级)1.主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施,那么也应该作为测评对象;2.存储被测系统重要数据的介质的存放环境存储被测系统重要数据的介质的存放环境;3.整个系统的网络拓扑结构;4.安全设备,包括防火墙、入侵检测设备、防病毒网关等;5.边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等;6.对整个信息系统或其局部的安全性或其局部的安全性起决定作用的网络互联设备,如核心交换机、汇聚层交换机、核心路由器等;7.承载被测系统核心或重要业务、数据的服务器(包括其操作系统和数据库);8.重要管理终端;9.能够代表被测系统主要使命的业务应用系统;10.信息安全主管人员、各方面的负责人员;11.涉及到信息系统安全的所有管理制度和记录。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查两台作为测评对象。
测评对象确定原则和方法(三级)1.主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;2.存储被测系统重要数据的介质的存放环境;3.办公场地;4.整个系统的网络拓扑结构;5
升级会员 