信息系统安全测评业务白皮书模板.docx
《信息系统安全测评业务白皮书模板.docx》由会员分享,可在线阅读,更多相关《信息系统安全测评业务白皮书模板.docx(11页珍藏版)》请在冰豆网上搜索。
信息系统安全测评业务白皮书模板
信息系统安全测评
业务白皮书
中国信息安全测评中心
2008年8月
第1章信息系统安全测评
信息系统安全是关乎国家稳定、企业生存与发展的重大课题,在信息技术日益发展的今天,如何通过信息系统安全测评工作,最大限度使组织结构预知存在的安全隐患,最大限度地保证国家重要基础设施和重点行业的安全稳定运营,已经成为当前我国信息安全工作的重点。
信息技术作为支撑企业业务服务的重要基础性设施,直接影响组织机构的对外服务。
是否可以通过主动地、定期地系统安全测评,做到事前规避?
现实情况是很多组织机构在信息安全测评工作方面还存在巨大的误区和盲区。
信息系统安全测评工作成为组织机构信息系统建设、运营过程中的短板。
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作。
开展信息系统安全测评工作,旨在引入信息系统安全测评方法,利用先进技术测试手段、风险度量方法和切实的测评角度,确保组织机构将安全风险降低到可接受的程度,从而保障其业务安全稳定运营。
第2章测评类型
信息系统安全测评致力于为国家重要行业、部委提供科学、客观、规范、务实的安全评估套餐式服务,经过长期的标准研究、工具探索、项目实践以及众多信息安全专家的反复论证,现已形成系列服务产品,包括:
1、信息安全风险评估
2、信息系统安全等级保护测评
3、信息系统安全评估
4、远程渗透测试
5、信息系统安全监控
6、信息系统安全方案评审
2.1信息安全风险评估
2.1.1评估目标
由我中心高级测评工程师和咨询专家共同组成的评估团队,采用众多漏洞测试工具和工作模版,从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。
2.1.2适用对象
具有风险管理意识,关注信息系统安全风险的国家重要行业、部委。
2.1.3评估依据
1、GB/T20984《信息安全风险评估规范》
2、GB/T20274《信息系统安全保障评估框架》
3、行业信息安全标准
4、用户自身业务安全需求
2.1.4评估流程
2.1.5评估内容
评估信息系统存在的高中低风险的数量、可能性、影响。
主要从安全技术和安全管理两个角度:
●安全技术
⏹网络层安全
⏹主机系统层安全
⏹应用层安全
⏹数据安全
●安全管理
⏹安全管理组织机构
⏹安全管理制度
⏹人员安全管理
⏹系统建设管理
⏹系统运维管理
⏹物理安全
2.1.6评估方式
配置核查----由测评人员在委托单位现场根据调查模版内容获取并分析信息系统关键设备当时的安全配置参数。
工具测试----由资深测评人员采用自动化工具对被评估系统进行漏洞检测。
专家访谈----由资深测评人员到委托单位同信息安全主管、IT审计部门、开发部门及运维部门按我中心调查模版要求进行面对面访谈。
资料审阅----查阅信息系统建设、运维过程中的过程文档、记录,采用分时段系统查阅和有针对性抽样查阅的方法进行。
专家评议----组织本中心行业专家运用恰当的风险分析方法进行集体会诊评议。
2.1.7评估成果
我中心向委托机构提交《信息系统安全风险评估报告》,报告中包含整改建议。
2.2信息系统安全等级保护测评
2.2.1评估目标
由我中心高级测评工程师组成的评估团队,依据公安部《信息系统安全等级保护测评准则》中与信息系统备案等级相对应的测评项,进行信息系统安全等级符合性测评,出具是否满足信息系统安全保护等级的测评结论。
2.2.2适用对象
致力于国家信息系统安全等级保护测评工作的国家重要行业、部委。
2.2.3评估依据
1、《信息系统安全保护等级测评准则》
2、行业信息安全标准
3、用户自身业务安全需求
2.2.4评估流程
2.2.5评估内容
主要从安全技术和安全管理两个角度:
●安全技术
⏹网络层安全
⏹主机系统层安全
⏹应用层安全
⏹数据安全
●安全管理
⏹安全管理组织机构
⏹安全管理制度
⏹人员安全管理
⏹系统建设管理
⏹系统运维管理
⏹物理安全
2.2.6评估方式
配置核查----由测评人员根据调查模版内容获取并分析信息系统关键设备当时的安全配置参数。
工具测试----由资深测评人员采用自动化工具对被评估系统进行漏洞检测。
专家访谈----由资深测评人员到委托单位同信息安全主管、IT审计部门、开发部门及运维部门按我中心调查模版要求进行面对面访谈。
资料审阅----查阅信息系统建设、运维过程中的过程文档、记录,采用分时段系统查阅和有针对性抽样查阅的方法进行。
专家评议----组织本中心行业专家运用恰当的风险分析方法进行集体会诊评议。
2.2.7评估成果
我中心向委托机构提交《信息系统安全等级保护测评报告》,报告中包含整改建议。
2.3信息系统安全评估
2.3.1评估目标
由我中心高级测评工程师组成的评估团队,依据GB/T20274信息系统安全保障框架,进行信息系统安全保障能力级的符合性测评,出具是否满足信息系统安全保障能力级的测评结论。
2.3.2适用对象
关注信息系统安全保障能力建设的国家重要行业、部委。
2.3.3评估依据
1、GB/T20274《信息系统安全保障评估框架》
2、行业信息安全标准
3、用户自身业务安全需求
2.3.4评估流程
2.3.5评估内容
主要从安全技术、安全管理和安全工程三个角度:
●安全技术
⏹网络层安全
⏹主机系统层安全
⏹应用层安全
⏹数据安全
●安全管理
⏹风险管理
⏹信息安全策略
⏹安全组织管理
⏹人员安全管理
⏹资产管理
⏹符合性管理
⏹物理安全
⏹信息安全规划
⏹信息系统建设管理
⏹信息系统运维管理
⏹业务连续性管理
⏹事故响应
●安全工程
⏹风险过程
⏹工程过程
⏹保障过程
2.3.6评估方式
配置核查----由测评人员根据调查模版内容获取并分析信息系统关键设备当时的安全配置参数。
工具测试----由资深测评人员采用自动化工具对被评估系统进行漏洞检测。
专家访谈----由资深测评人员到委托单位同信息安全主管、IT审计部门、开发部门及运维部门按我中心调查模版要求进行面对面访谈。
资料审阅----查阅信息系统建设、运维过程中的过程文档、记录,采用分时段系统查阅和有针对性抽样查阅的方法进行。
专家评议----组织本中心行业专家运用恰当的风险分析方法和保障能力级判定方法进行集体会诊评议。
2.3.7评估成果
我中心向委托机构提交《信息系统安全评估报告》,并颁发“信息系统安全审定书”。
2.4远程渗透测试
2.4.1工作目标
由我中心渗透测试小组模拟黑客使用的漏洞发现技术和攻击手段,从攻击者的角度对目标系统的网络、主机系统、应用服务的安全性作深入的非破坏性探测,以发现系统的薄弱环节。
渗透测试通常能以非常明显、直观的结果来反映出系统的安全现状。
2.4.2适用对象
委托单位关注来自互联网的恶意攻击。
2.4.3测试流程
2.4.4测试内容
信息泄露:
对外服务是否暴露了可能被黑客利用的敏感信息
业务逻辑测试:
系统是否在业务逻辑设计上存在被黑客利用的漏洞
认证测试:
系统是否存在弱口令、绕过身份认证、浏览器缓存管理等漏洞
会话管理测试:
系统是否存在会话劫持、CSRF等漏洞
数据有效性验证测试:
系统是否存在SQL注入、跨占脚本攻击、LDAP注入等漏洞
拒绝服务测试:
系统是否易受DdOS攻击
Web服务测试
AJAX测试
2.4.5工作方式
非现场监控----由专门的渗透测试小组通过互联网进行远程测试。
2.4.6评估成果
我中心向委托机构提交《信息系统远程渗透测试报告》。
2.5系统安全监控
2.5.1工作目标
由我中心高级测评工程师组成的监控团队,采用我中心内部的安全监控模版,对委托单位信息系统进行黑客入侵、网站挂马等安全监控,经过内部分析向委托单位提交重大安全隐患分析报告和安全态势分析报告。
2.5.2适用对象
关注重要时间段(例如奥运期间)信息系统安全稳定运营的国家重要行业、部委。
2.5.3监控流程
2.5.4监控内容
门户网站是否受到黑客威胁
网站是否被挂马
网络流量是否异常
网络中病毒泛滥趋势
网络中是否存在入侵事件
2.5.5工作方式
现场监控----由测评人员根据监控模版内容获取并分析信息系统关键设备当时的安全信息。
非现场监控----由资深测评人员采用日志分析工具对被监控系统的各种日志进行综合分析。
2.5.6评估成果
我中心向委托机构提交《信息系统安全态势分析报告》。
2.6信息系统安全方案评审
2.6.1工作目标
由我中心组织行业专家和渗透测试测评工程师,对信息系统安全方案进行评估,帮助委托单位了解安全方案在实施后系统安全是否能实现最大预期值。
2.6.2适用对象
1、在信息系统投入建设之前,希望确定信息系统实施方案中的安全设计是否合理有效,可以申请信息系统安全方案评审。
2、在信息系统即将进行扩建之前,希望确定信息系统扩建方案中的安全设计是否合理有效,可以申请信息系统安全方案评审。
3、在面对多种安全方案,无从选择时,可以申请信息系统安全方案评审,由中心作为第三方对各个安全方案进行评估,委托单位根据评估结果和自身情况,选择最佳方案。
4、在信息系统投入运行后,希望对系统采用的安全方案的合理性和有效性进行评估,从而了解在方案实施后可能存在哪些安全问题,以便作进一步的改进,可以申请信息系统安全方案评审。
2.6.3评审依据
1、GB/T20984《信息安全风险评估规范》
2、GB/T20274《信息系统安全保障评估框架》
3、行业信息安全标准
4、用户自身业务安全需求
2.6.4评审流程
2.6.5评审内容
安全方案的设计是否满足业务安全需求
安全方案的设计是否满足相关法律、法规以及行业标准的要求
安全方案设计是否合理
安全方案设计是否可行
2.6.6工作方式
专家访谈----由资深测评人员通过电话远程同方案设计者进行深层次的业务安全需求交流。
专家评议----组织行业专家进行集体会诊评议。
2.6.7评估成果
我中心向委托机构提交《信息系统安全方案评审报告》。
第3章测评内容
每个项目的安全测评内容可根据委托单位信息系统的实际情况定制。
下面介绍我中心可提供的测评内容。
3.1安全技术
网络层安全
信息系统网络架构设计是否安全合理
网络访问控制是否严格有效
网络安全审计是否有效
是否存在“非法外联”行为
网络入侵防范措施是否有效
恶意代码防范措施是否有效
网络设备、安全设备配置是否安全、有效
主机系统安全
(针对操作系统、数据库、中间件)
是否能对主机系统用户设置恰当的身份鉴别手段
后台维护人员的权限是否是最小授权
后台维护人员的逻辑访问路径是否可信
安全审计记录是否完整
入侵防范措施、恶意代码防范是否充分有效
主机系统资源使用是否可控
应用系统安全
(针对应用软件)
是否能对应用软件用户设置恰当的身份鉴别手段
用户访问权限是否是最小授权
安全审计记录是否完整
剩余信息是否能够被释放或重新分配
是否能保证通信过程中的完整性、保密性
是否能保证交易的抗抵赖性
是否能保证软件容错
应用系统资源使用是否可控
是否存在代码安全缺陷
信息流分析
根据业务流程和正确数据流向,通过抓取数据包判断信息系统范围内是否有非法数据流和异常连接
网站挂马监测
网站是否被植入木马
无线安全检测
无线局域网设备配置是否安全合理
是否能够通过无线网络非法接入并非法访问受保护系统
日志分析
分析系统安全威胁来源,威胁源可能采用的攻击方式,对疑似黑客行为进行分析并提供相应的解决方法
3.2安全管理
风险管理
是否能够以信息安全风险管理思想为核心,进行风险评估、风险控制等风险管理活动
信息安全策略(管理制度)
是否有恰当的安全管理制度体系
安全管理制度体系的制定、审批、维护流程是否存在并能够有效组织实施
安全组织管理
是否有恰当的安全管理组织架构
与信息安全相关的授权审批、审核检查流程是否存在并能够有效组织实施
人员安全管理
信息系统后台维护技术人员在录用、在职、离岗时是否采取了恰当的安全管理方式
是否对从事信息安全岗位的人员采取了信息安全考核
是否对第三方人员访问内部系统采取了安全控制措施
是否能够采取各种措施提高技术人员的安全意识
资产管理
是否建立了清晰的资产明细帐目
是否能够对信息资源分类规划、处理和保护
符合性管理
信息系统的建设、运维是否符合国家法律法规、行业主管以及自身制度的要求
物理安全
信息系统机房在物理位置选择、出入管理、动力环境等方面采取的措施是否有效
信息安全规划
是否制定了信息系统安全长期规划和短期规划
是否能够对信息安全给予必要的资金、人员投入
信息系统建设管理
是否对信息系统建设各个阶段包括系统定级、方案设计、产品采购、软件开发、工程实施、测试验收、系统交付等进行安全控制
信息系统运维管理
是否对信息系统运行过程中进行安全控制,例如机房用介质、机房设备、审计和监控、系统漏洞管理、逻辑访问控制、安全配置管理、变更管理等。
业务连续性管理
是否进行业务影响分析并制定业务连续性方案
事故响应
应急预案制定及维护情况、应急演练情况、应急技术支援队伍落实情况
3.3安全工程
风险过程
信息系统建设前期是否有完整的风险评估过程
工程过程
信息系统建设期间是否采取了恰当的安全管理控制措施
保障过程
信息系统建设收尾期是否能够验证和确认安全
升级会员 