信息安全技术网络安全等级保护测试评估技术指南模板.docx
《信息安全技术网络安全等级保护测试评估技术指南模板.docx》由会员分享,可在线阅读,更多相关《信息安全技术网络安全等级保护测试评估技术指南模板.docx(8页珍藏版)》请在冰豆网上搜索。
信息安全技术网络安全等级保护测试评估技术指南模板
信息安全技术网络安全等级保护测试评估技术指南
编制说明
公安部第三研究所
公安部计算机信息系统安全产品质量监督检验中心
2016年9月8日
1 工作简况
1.1任务来源
2012年底,经中国国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制定信息系统安全等级保护测试评估技术指南的国家标准。
该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部信息安全产品检测中心(公安部第三研究所)负责主办。
1.2协作单位
2013标准任务下达后,公安部信息安全产品检测中心立即与相关测评机构和研究机构等进行联系与沟通,最后确定由公安部信息安全等级保护评估中心、中国信息安全研究院有限公司、中国电子技术标准化研究所、国家信息技术安全研究中心等单位作为标准编制协作单位。
1.3主要工作过程
1.3.1成立编制组
标准编制组在申请标准前即已成立,编制组成员均具有较丰富的信息系统安全等级保护测评经验和标准编制经验,人员包括张艳、陆臻、顾健、沈亮、俞优、张笑笑、顾玮、顾建新等;标准编制协作单位的高级技术人员共同参与标准的内容编制与研讨。
1.3.2制定工作计划
编制组制定了编制工作计划和人员任务安排,并确定了编制组人员例会安排以便及时沟通交流工作情况。
1.3.3参考资料
该标准编制过程中,主要参考了:
•GB/T18336-2000信息技术信息技术安全性评估准则
•GB/T19716-2005信息技术信息安全管理实用规则
•GB/T 20269-2006信息安全技术信息系统安全管理要求
•GB/T 20270-2006 信息安全技术网络基础安全技术要求
•GB/T********-2006信息安全技术信息系统安全工程管理要求
•GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
•GB/T28448-2012信息安全技术信息系统安全等级保护测评要求
•GB/T28449-2012信息安全技术信息系统安全等级保护测评过程指南
•SpecialPublication800-115TechnicalGuidetoInformationSecurityTestingandAssessment
•GB17859-1999计算机信息系统安全保护等级划分准则
•GB/T20271-2006信息安全技术信息系统安全通用技术要求
•GB/T25069-2010信息安全技术术语
1.3.4确定编制内容
标准编制组以信息系统等级保护测评工作实践为基础,以GB/T22239-2008信息安全技术信息系统安全等级保护基本要求、GB/T28448-2012信息安全技术信息系统安全等级保护测评要求和SpecialPublication800-115TechnicalGuidetoInformationSecurityTestingandAssessment为主要参考依据,完成《信息安全技术网络安全等级保护测试评估技术指南》(原立项时名为《信息安全技术信息系统安全等级保护测试评估技术指南》)标准的编制工作,对信息系统安全测评中的相关测评技术进行明确的分类和定义,并系统地归纳和阐述系统测评的技术方法。
1.3.5编制工作简要过程
在申请信息安全技术信息系统安全等级保护测试评估技术指南国家标准制订任务之前,标准工作组就已经开始了前期调研工作。
编制组人员首先对所参阅的文献、标准等资料进行查阅和理解,编写标准编制提纲,并在对提纲进行修改完善的基础上,开始具体的编制工作。
1.3.5.1草稿(第一稿)
编制组在2012年12月前完成了对信息系统安全等级保护测试评估技术的相关技术文档和有关标准的前期调研。
调研期间,主要对检测中心信息系统等级保护测评的作业指导书、测评方法、报告以及相关技术文档材料进行了分析和整理,对国内外相关测评技术的发展动向及标准进行了研究、分析和理解。
2013年1月完成了标准草案的编制工作。
以编制组人员收集的资料为基础,在不断的讨论和研究中,完善内容,形成了本标准草稿(第一稿),并召开中心内部的标准研讨会,结合会上检测中心标准技术组的初步评审意见,对标准草稿(第一稿)进行了修改。
1.3.5.2草稿(第二稿)
2013年4月,编制组以邮件、电话等方式征求了公安部信息安全等级保护评估中心和中国电子信息安全研究院等标准编制协作单位的意见,并根据反馈意见进行了修改,形成标准草稿(第二稿)。
1.3.5.3草稿(第三稿)
2013年7月,编制组邀请WG5工作组专家对标准进行了研讨和意见征询,并根据专家意见进行了修改,形成标准草稿(第三稿)。
1.3.5.4草稿(第四稿)
2014年4月,WG5工作组召开标准检查会,工作组专家对标准进行了研讨并提出了相关意见,包括与等级保护基本要求的对应性,编制组根据专家意见进行了修改。
2015年1月至2016年6月,编制组内部包括联合编制单位进行了多次研讨,并根据讨论的意见进行了多次修改,形成标准草稿(第四稿)。
2016年8月11日,编制组在北京组织召开了标准讨论会,邀请WG1、WG5工作组的相关专家对标准进行了认真讨论,提出了多方面的意见和建议,会后编制组根据讨论的意见进行了梳理和修改,并且根据专家建议,将标准题目中的“信息系统安全”改为了“网络安全”。
1.3.5.6征求意见稿(第一稿)
2016年8月25日,WG5工作组在北京组织召开了在研标准推进会,编制组汇报了标准编制背景、编制过程,并针对会前收集到来自WG5工作组的专家代表提出的意见进行了处理情况的汇报。
会上通过了工作组代表的投票,并建议尽快形成征求意见稿。
会后编制组对标准相关文本进行了进一步梳理和修改,形成征求意见稿。
2016年9月5日,编制组正式向WG5工作组秘书处提交了标准名称变更申请,由原名称《信息安全技术信息系统安全等级保护测试评估技术指南》变更为《信息安全技术网络安全等级保护测试评估技术指南》。
1.3.6起草人及其工作
标准编制组具体由张艳、陆臻、顾健、沈亮、俞优、张笑笑、顾玮、顾建新等人组成。
其中,张艳全面负责标准编制工作,包括制定工作计划、确定编制内容提纲和整体进度、参编人员的任务安排;沈亮、张笑笑、顾玮主要负责标准的前期调研、现状分析,意见汇总的讨论处理等工作;俞优、顾建新负责向厂商征求意见与反馈、标准校对审核、编制说明的编写等工作;顾健、陆臻主要负责标准编制过程中的各项技术支持和整体指导。
2 标准主要内容
2.1编制原则
为了使本标准的内容从一开始就与现有国家标准保持一致,本标准的编写参考了其他国家有关标准,主要有GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》(以下简称《测评要求》)和GB/T28449-2012《信息安全技术信息系统安全等级保护测评过程指南》等。
本标准符合我国的实际情况,遵从我国有关法律、法规的规定。
具体原则与要求如下:
1)实用性
标准必须是可用的,才有实际意义。
本标准在编写过程中严格按照流程对信息系统等级保护测评技术的现状、发展等进行系统全面的调研,注重与相关测评机构和单位的交流,广泛了解并归纳了等保测评过程中的主要技术,并进行提炼和扩展,使得指南更贴近等级保护测评的实际情况,保证指南的可操作性。
2)先进性
标准是先进经验的总结,同时也是技术的发展趋势。
系统安全测评技术种类繁多,要制定出先进的技术指南,必须参考国内外先进技术和标准,吸收其精华,才能制定出具有先进水平的标准。
本标准的编写始终遵循这一原则。
3)兼容性
本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。
编制组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。
2.3标准内容
2.3.1标准结构
本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则第一部分:
标准的结构和编写规则。
本标准主要结构包括如下内容:
1.范围
2.规范性引用文件
3.术语和定义
4.等级测评过程与方法概述
5.等级测评技术概述
6.等级测评技术实现
7.附录
8.参考文献
2.3.2主要内容
2.3.2.1范围、规范性引用文件、术语和定义
该部分定义了本标准适应的范围,所引用的其它标准情况,及以何种方式引用,术语和定义部分明确了该标准所涉及的一些术语。
在术语中明确了“网络嗅探”、“规则集”等重要概念。
2.3.2.2等级测评过程与方法概述
等级测评过程通常分为四个基本测评阶段:
测评规划、方案编制、现场测评、分析及报告编制。
标准中分别对这4个基本阶段进行了主要内容、作用进行了概述。
等级测评执行阶段,等级保护测试评估是确认评估对象(例如,主机、网络、应用、数据等)满足特定安全目标的有效性的过程。
通常采用访谈、检验和测试三种测评方法:
a)访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,实现理解、释明或获得证据以证明信息系统安全等级保护措施是否有效的一种方法;
b)检验是指测评人员通过对测评对象进行检查、观察、研究或分析等活动,使之便于理解、达到释明或获得证据以证明信息系统安全等级保护措施是否有效的一种方法;
c)测试是指测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看、分析这些行为的结果,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。
2.3.2.3等级测评技术概述
目前有许多技术性安全测试和检验技术可用于信息系统安全等级保护评估,这些技术主要可分成以下三类:
a)检查技术:
被动地检查系统、应用软件、网络、策略和规程,并发现安全漏洞的检验技术。
通常采用手动方式,主要包括文档检查,日志检查,规则集检查,系统配置检查,网络嗅探和文件完整性检查等。
b)目标识别和分析技术:
主动识别系统、端口、服务以及潜在安全性漏洞的测试技术。
这些技术可以手动执行,但一般使用自动化的工具,主要包括网络发现、网络端口和服务的识别、漏洞扫描、无线扫描和应用安全检查等。
c)目标漏洞验证技术:
验证漏洞存在性的测试技术。
这些技术可以手动执行或使用自动化的工具,主要包括口令破解、渗透测试、社会工程学和应用安全测试等。
在选择和确定用于等级测评活动的技术时,要考虑的因素主要包括评估目标,可以获取信息以支持这些目标的技术种类,以及在每一个种类当中所使用的适当的技术,技术评估的角度(例如,内部与外部),以使得相应的技术可供选择。
此外,在选择测试技术时也应充分考虑风险。
因为渗透测试等一些技术,可能导致系统的可用性或敏感数据泄露。
在某些情况下,应考虑是否对生产系统或相同配置的非生产系统进行测试,或在业余时间限制使用某些技术以尽量减少对操作的影响。
2.3.2.4等级测评技术实现
本标准将等级测评技术分为检查技术、目标识别和分析技术、目标漏洞验证技术三个大类。
其中检查技术包括文档检查、日志检查、规则集检查、系统配置检查、文件完整性检查等技术;目标识别和分析技术包括网络发现、网络端口和服务识别、漏洞扫描、无线扫描等技术;目标漏洞验证技术包括口令破解、渗透测试、远程访问测试等。
2.3.2.5附录
附录部分描述渗透测试的有关概念介绍和说明等信息。
2.4编制的背景和意义
信息系统安全是关乎国家稳定,企业生存与发展的重大课题,如何通过信息系统安全测评工作,最大限度使组织结构预知存在的安全隐患,最大限度地保证国家重要基础设施和重点行业的安全稳定运营,已经成为当前各国信息安全工作的重点。
美国国家标准和技术学会(NIST)信息技术实验室(ITL)通过对国家测量和标准体系提供技术指导而促进美国经济和公共事业的发展。
ITL通过开发测试、测试方法、参考数据、对概念的证明、以及技术分析来改善信息技术的开发和生产应用,其制定的NIST800系列报告及相关标准为信息安全领域的安全测评技术提供了指导和方针。
另外,随着国家等级保护制度的大力推进,经过定级备案阶段,各重要信息系统已进入大规模测评和整改阶段。
目前,我国信息系统等级保护相关的测评标准主要有GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》(以下简称《测评要求》)和GB/T28449-2012《信息安全技术信息系统安全等级保护测评过程指南》(以下简称《测评过程指南》)等,但这些标准未涉及安全测评中具体的测试方法和技术,因此目前还缺少信息安全等级保护评估方面通用的基本技术指南性文件。
本标准系统地归纳并阐述实施信息系统测评过程中涉及的技术性测试和检验的方法,可为信息系统的等级保护测评提供技术方法方面的参考。
2.5编制的目的
本标准的编制目的就是希望吸取国际、国内先进的信息安全测评经验和相关技术内容,结合我国信息系统安全等级保护的特点,制定出具有指导意义的测评技术指南:
(1)指导机构进行计划、实施技术性信息系统安全测试评估,涉及的信息安全测试和检验技术可用来识别、验证和评估技术性漏洞,有助于机构理解、改善其系统和网络的安全态势;
(2)本标准面向计算机安全人员和程序管理员,系统和网络管理员,及其他负责系统和网络基础设施的准备、操作与安全技术的技术人员。
管理者也可以利用本标准提供的信息,促进与安全测试评估相关的技术决策过程;
(3)本标准主要对技术性安全测试评估过程和程序的相关信息的设计、执行和维护提供了切实可行的建议,测评人员在实际测评时,可参考本标准指导并规范的系统测评的技术方法,进而高效地完成信息系统安全测评任务。
3 主要验证分析和技术经济论证
本标准是基于信息系统安全等级保护测试评估实践提出的,相关技术已在等级保护测评应用中进行了实际验证。
本标准通过对等级保护系统测评过程中涉及的关键技术进行系统的归纳、阐述,概述技术性安全测试评估的关键要素、实现功能和使用原则,并提出建议供使用,适用于测评机构、信息系统的主管部门及运营使用单位对重要信息系统的安全等级测评,为信息系统的安全等级测评工作的技术规范性提供方法依据,在应用于系统等级保护测评时可作为对《信息安全技术信息系统安全等级保护测评要求》和《信息安全技术信息系统安全等级保护测评过程指南》的补充,为机构进行计划、实施技术性的信息系统安全等级保护测试评估提供参考。
系统的管理者也可以利用本标准提供的信息,促进与信息系统安全等级保护测试评估相关的技术决策过程。
4 国内外标准对比情况
目前,信息系统等级保护相关的测评标准主要有GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》(以下简称《测评要求》)和GB/T28449-2012《信息安全技术信息系统安全等级保护测评过程指南》(以下简称《测评过程指南》)等。
其中GB/T22239-2008是系统等级保护测评的基础性标准,GB/T28448-2012是针对GB/T22239-2008中的要求,提出了不同安全等级信息系统的测评要求;GB/T28449-2012主要规定了信息系统安全等级保护测评工作的测评过程。
本标准与《测评要求》和《测评过程指南》的区别在于:
《测评要求》主要描述了各级信息系统单元测评的具体测评要求和测评流程,《测评过程指南》则主要对等级测评的活动、工作任务以及每项任务的输入/输出产品等提出指导性建议,二者均未涉及安全测评中具体的测试方法和技术。
本标准对信息系统安全测评中的相关测评技术进行明确的分类和定义,系统地归纳并阐述系统测评的技术方法,概述技术性安全测试和评估的关键要素,重点放在具体的技术及其优点和局限性,并提出建议供使用。
因此该标准在应用于系统等级保护测评时可作为对《测评要求》和《测评过程指南》的补充。
5 与有关的现行法律、法规和强制性国家标准的关系
本标准不触犯国家现行法律法规,不与其他强制性国标相冲突。
6 重大分歧意见的处理经过和依据
本标准编制过程中,如标准编制组内部出现重大意见分歧时,由标准编制组组长组织召开内部调解会解决;如标准编制单位之间出现重大意见分歧,由标准编制承担单位公安部计算机信息系统安全产品质量监督检验中心组织召开参编单位调解会解决。
如征求意见过程中,各厂家,特别是各部委意见与标准编制组之间出现重大意见分歧,由全国信息安全标准化技术委员会组织召开协调会解决,并认真听取专家意见进行修改。
7 国家标准作为强制性国家标准或推荐性国家标准的建议
建议将本标准作为国家标准在全国推荐性实施。
8 贯彻国家标准的要求和措施建议
本标准为实现重要信息系统的安全等级测评提供技术指导和参考,建议在全国推荐性实施。
9 有关事项说明
名称更改说明:
2016年7月1日专家评审会意见讨论,所有与会专家一致认为为配合国家开展网络安全工作,并与“网络安全法”草案中提到的“网络安全等级保护制度”保持一致关系,建议将“信息安全等级保护”改名为“网络安全等级保护”。
网络安全法(二审稿)中针对关键信息基础设施的运行安全提出相关要求:
“国家对一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
”其中所采用的是网络安全等级保护制度。
基于以上原因,原名称为《信息安全技术信息系统安全等级保护基本要求》的标准项目申请变更标准名称为《信息安全技术网络安全等级保护基本要求》。
由于本标准与《信息安全技术网络安全等级保护基本要求》为等级保护工作的系列配套标准,于是2016年9月5日,编制组正式向WG5工作组秘书处提交了标准名称变更申请,由原名称《信息安全技术信息系统安全等级保护测试评估技术指南》变更为《信息安全技术网络安全等级保护测试评估技术指南》。
升级会员 