金盾等级保护服务手册.docx

1、金盾等级保护服务手册公安部信息安全等级保护评估中心简介公安部信息安全等级保护评估中心(以下简称为评估中心)成立于2003年7月28日，是依托公安部第三研究所，由国家信息安全主管部门为建立信息安全等级保护制度，构建国家信息安全保障体系而专门批准成立的专业技术支撑机构。评估中心的主要任务：一是按照国家信息安全等级保护的要求，依据信息安全等级保护的相关标准和规范，为国家管理部门在推进信息安全等级保护工作过程中的监督、检查、指导等行政执法工作提供专业技术支持；二是对国家基础网络和重点信息系统的安全保护状况进行权威测评并提出改进建议；三是作为国家实行信息安全等级保护制度的骨干技术支撑单位，负责全国信息安

2、全等级测评体系和技术支撑体系建设的技术管理及技术指导。评估中心自成立以来，积极参与国家信息安全等级保护管理规范制定以及信息安全等级保护行政执法体系建设；承担国家信息安全等级保护标准体系设计和重要技术标准的编制及宣贯；作为国家信息安全专控队伍之一，积极配合主管部门的各项信息安全检查工作，开展针对重点领域、重要行业信息系统的安全评估和等级测评，截至目前为止,已先后完成了上百个重要系统的信息安全等级测评。1、 等级保护概念信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，

3、对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护是国家信息安全保障工作的基本制度、基本国策，是开展信息安全工作的基本方法，是促进信息化、维护国家信息安全的根本保障。1. 等级保护工作依据中华人民共和国计算机信息系统安全保护条例国家信息化领导小组关于加强信息安全保障工作的意见关于信息安全等级保护工作的实施意见信息安全等级保护管理办法信息安全技术 信息系统安全等级保护实施指南信息安全技术 信息系统安全等级保护定级指南信息安全技术 信息系统安全等级保护基本要求信息安全技术 信息系统安全等级保护测评要求信息安全技术 信息系统安全等级保护测评过程指南计算机信息系统安全保护等级划分准则2.

4、 等级保护工作流程3. 等级保护咨询服务4. 等级保护测评服务建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。天创科技提供的测评服务将协助用户完成等级保护测评工作。5.1等级测评概述对信息安全等级保护状况进行测评，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。对安全控制测评的描述，使用测评单元方式组织。测评单元分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主

5、机安全、应用安全和数据安全五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。具体见下图：5.2等级测评方法与工具主要采用访谈、检查、测试等方法进行等级保护测评：访谈Interview测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息安全等级保护措施是否有效的一种方法。使用各类调查问卷和访谈大纲。检查Examine不同于行政执法意义上的监督检查，是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息安全等级保护措施是否有效的一种方法。可以使用各种检查表和相应的

6、安全调查工具。测试Test测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动，查看、分析输出结果，获取证据以证明信息安全等级保护措施是否有效的一种方法。包括功能测试和渗透性测试、系统漏洞扫描等。渗透性测试：等级保护的一个重要内容是对TOE进行脆弱性分析，探知产品或系统安全脆弱性的存在，其主要目的是确定TOE能够抵抗具有不同等级攻击潜能的攻击者发起的穿透性攻击。因此，渗透性测试就是在TOE预期使用环境下进行的测试，以确定TOE中潜在的脆弱性的可利用程度。系统漏洞扫描：主要是利用扫描工具对系统进行自动检查，根据漏洞库的描述对系统进行模拟攻击测试，如果系统被成功入侵，说明存在漏洞。主

7、要分为网络漏洞扫描和主机漏洞扫描等方式。5.3等级测评流程信息安全等级保护测评过程包括四个阶段： 测评申请阶段被测单位向测评机构提出测评申请，测评机构对被测单位的申请材料进行审查，在双方达成共识的情况下，双方签订保密协议、委托书、合同。 测评准备阶段测评机构成立项目组，工作人员至待测评单位了解待测评系统相关信息，编写信息系统业务调查报告，信息系统规划设计分析报告，与被测单位共同讨论测评方案，测评工作计划，达成共同认可的测评方案和测评工作计划。 测评检查、测试阶段在进入现场检测测试阶段时，测评机构项目组成员在参照系统体系建设相关资料（系统建设方案、技术资料、管理资料、日常维护资料）后，对测评单位

8、进行安全管理机构检查、安全管理制度检查、系统备案依据检查、技术要求落实情况测评、定期评估执行情况检查、等级响应、处理检查、教育和培训检查，生成管理检查记录、技术检查记录和核查报告。 测评综合分析阶段测评机构最后进行核查结果分析，等级符合性分析、专家评审，生成等级测评报告和安全建议报告。具体流程如右图：5.4等级测评内容5.4.1安全控制测评5.4.1.1安全技术测评安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面。 物理安全测试内容：被测信息系统对应重要的物理安全按设置，如物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水、和防潮、放静电、温湿度控

9、制、电力供应、电磁防护等必要配置。测试方法：访谈、检查。 网络安全 路由器/交换机测评内容：被测路由器/交换机应对重要操作，如结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络设备防护等做必要配置。测试方法：命令检查、配置界面、日志报表检查。 防火墙测试内容：被测防火墙应对重要操作，如结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络设备防护等做必要配置。测试方法：命令检查、配置界面、日志报表检查。 入侵检测系统测试内容：被测入侵检测系统应对重要操作，如网络安全审计、网络入侵防范、恶意代码防范、网络设备防护等做必要配置。测试方法：命令检查、配置

10、界面、日志报表检查。 防病毒系统测试内容：被测防病毒系统应对重要操作，如结构安全与网段划分、网络安全审计、网络如今防范、恶意代码防范、网络设备防护等做必要配置。测试方法：命令检查、配置界面、日志报表检查。 主机系统安全测评内容：被测操作系统应对重要操作，如令牌的使用、账户认证、密码管理、登录限制、身份标识和鉴别、主体和客体的访问控制、用户授权、安全审计、报警、监控、系统保护、恶意代码保护、剩余信息保护、资源控制等做必要配置。测试方法：命令检查、配置界面、日志报表检查。 Windows系统测试内容：账户及口令设置是否有足够强度，包括账户选择或设置、口令长度、组成、生存周期等，桌面系统应用软件是否

11、有合法来源，是否设置屏保，注册表安全设置，SNMP服务，RPC服务，安全最新补丁防病毒软件安装，系统资源分配。 LINUX操作系统测试内容：测操作系统应对重要操作，如令牌的使用、账户认证、密码管理、登录限制、身份标识和鉴别、主体和客体的访问控制、用户授权、安全审计、报警、监控、系统保护、恶意代码保护、剩余信息保护、资源控制支持的版本、本地缓冲区溢出漏洞、安装了最新的安全补丁、无关服务是否为off状态或者不存在不必要的服务、账户密码、RootPATH环境变量、与其他主机的信任关系、系统已经加固了TCP/IP协议栈等做必要配置。测试方法：命令检查、配置界面、日志报表检查。 HP-UX操作系统测试内

12、容：被测操作系统应对重要操作，如安装最新安全补丁、安装OpenSSH、安装Tcp_wrapper、inetd启动的不必要服务、不必要服务禁用、处于可信模式、不能访问ftp的账户、root用户只能通过控制台登录、系统记账已被启动、inetd日志已被启用、不存在空密码的账户、/etc/passwd/etc/group文件中不存在开头是+的条目、除root没有其他的用户ID是0，root的$PATH环境变量、umask的值、账户密码、/tmp、/var/tmp具有粘滞位等做必要操作。测试方法：检查、配置界面、日志报表检查。 AIX操作系统测试内容：被测操作系统应对重要操作，如最新安全补丁、系统的版本

13、、账户认证、主体和客体的访问控制、用户授权、可信计算库、密码管理、登录限制、禁用X-Window系统、$PATH环境变量、系统的服务、安装OpenSSH等做必要配置。测试方法：命令检查、配置界面、日志报表检查。 Solaris操作系统测试内容：被测操作系统应对重要操作，如安装最新安全补丁、登录超时、密码有效期、密码长度、root用户的PATH环境变量、不必要服务、安装Tcp_wrapper、NFS服务未开放、sendmail服务未开放、打印服务关闭、名字服务缓冲守护程序已关闭、CDE已关闭、SNMP服务未开放、rpc服务未开放、/var分区使用nosuid选项挂载、/user分区使用ro选项挂

14、载、/tmp、/var/tmp等临时目录、设定了正确umask指、与其它主机的信任关系、TCP/IP协议栈的优化、防IP欺骗的配置、使用OpenSSH或者其它SSH等做必要配置。测试方法：检查、配置界面、日志报表检查。 数据安全 SQLserver数据库测试内容：被测Sqlserver数据库应对重要操作，如软件完整性、数据完整性、访问控制、安全管理、审计等做必要配置。测试方法：命令检查、配置界面、日志报表检查。 ORACLE数据库测试内容：被测ORACLE数据库应对重要操作，如软件完整性、数据完整性、账户、权限、用户认证、网络连接安全、安全管理、审计、文件权限等做必要配置。测试方法：命令检查、

15、配置界面、日志报表检查。 MYSQL数据库测试内容：被测MYSQL数据库应对重要操作，如软件完整性、数据完整性、账户、服务、权限、用户认证、网络连接安全、安全管理、审计、文件权限等做必要配置。测试方法：命令检查、配置界面、日志报表检查。 DB2数据库测试内容：被测DB2数据库应对重要操作，如软件完整性、数据完整性、账户、服务、权限、用户认证、网络连接安全、安全管理、审计、文件权限等做必要配置。测试方法：命令检查、配置界面、日志报表检查。 应用安全 MSIIS应用测试内容：被测MSIIS应用应对重要操作，如发布内容的敏感级别，是否使用SSL或SSH，有书面的评审过程，定期培训，Web服务器是否使

16、用了防火墙，是否按照要求归档Web服务器访问日志，是否对Web服务器管理人员和内容维护人员有详细的记录，是否有书面的Web服务器事件响应过程，DNS是否经过验证，是否还是一个域名控制器，是否同时支持多种应用或服务，是否有FrontPage、MSOffice、MSMoney、StarOffice等软件，是否存在“正在建设中”或类似的页面，是否开起了SMTP服务，是否安装了监控软件，是否限制了并发请求数，是否有缺省的index.html或相应的文件，Web主文档和系统文件、操作系统文件是否位于同一目录下，Web日志，是否存在审计组，访问限制是否使用加密，CGI脚本，文件映射，IIS索引服务的索引目

17、录是否为Web文档目录，是否取消了目录浏览，是否共享非公共资产，是否安装了编译器，匿名账户，用户账户是否具有过多权限，内容目录是否是网络共享，是否对htpasswd文件或目录具有写或修改权限，是否移除了Web服务器上易受攻击的程序，CGI备份脚本，匿名FTP用户是否能访问到Scripts目录或CGI_bin目录，是否允许符号链接，Cscript.exe/Wscript.exe有无执行权限，是否存在有.java、.jpg文件，Web服务器和操作系统信息被广播，global.asa、.inc或相当的文件的访问，URLScan工具的安装与使用，IIS网络打印协议等做必要配置。测试方法：命令检查、配置

18、界面、日志报表检查。 DNS应用测试内容：被测DNS应用应对重要操作，如物理访问控制、DNS日志要求、维护授权管理每个区域和名称服务区的人员名单、维护DNS软件更新或补丁安装日志、操作程序没有要求对修改了的配置和资源记录数据每天进行备份、维护配置变更日志、密钥废弃程序、更新区域文件程序、从文件服务器、名称服务器位于同一个网段、地理分布、区域不被分离的DNS配置所支持、区域记录、别名记录、产品名称服务器上的名称服务器软件、直接查询或请求区域复制、软件运行的操作系统和硬件、包含DNS加密密钥的文件权限、DNSZone文件的权限、DNS配置文件权限、IP地址没有静态定义、完整性检查工具、DNS事务的

19、密钥、密码身份鉴别、区域变更通知、递归查询、名称服务器的日志、BIND配置、UNIX、支持BIND的配置、WINDOWS支持BIND的配置、CISCOCSS配置等做必要配置。测试方法：命令检查、配置界面、日志报表检查。 Apache应用测试内容：被测Apache应用应对重要操作，如发布内容的敏感级别，是否使用SSL或SSH，有书面的评审过程，定期培训，Web服务器是否使用了防火墙，是否按照要求归档Web服务器访问日志，是否对Web服务器管理人员和内容维护人员有详细的记录，是否有书面的Web服务器事件响应过程，DNS是否经过验证，是否还是一个域名控制器，是否同时支持多种应用或服务，是否存在“正在

20、建设中”或类似的页面，是否开起了SMTP服务，是否安装了监控软件，是否限制了并发请求数，是否有缺省的index.html或相应的文件，Web主文档和系统文件、操作系统文件是否位于同一目录下，Web日志，是否存在审计组，访问限制是否使用加密，文件映射，IIS索引服务的索引目录是否为Web文档目录，是否取消了目录浏览，是否共享非公共资产，是否安装了编译器，匿名账户，用户账户是否具有过多权限，内容目录是否是网络共享，MMC/ISM或httpd.conf的访问，是否移除了Web服务器上易受攻击的程序，CGI备份脚本，匿名FTP用户是否能访问到Scripts目录或CGI_bin目录， Cscript.e

21、xe/Wscript.exe有无执行权限，是否存在有.java、.jpg文件，Web服务器和操作系统信息被广播，global.asa、.inc或相当的文件的访问等做必要配置。测试方法：命令检查、配置界面、日志报表检查。5.4.1.2安全管理测评安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面。 人员访谈测试内容：针对组织内的安全管理人员、安全员、安全主管、工作人员、关键活动批准人、管理人员（负责定期评审、修订和日常维护的人员）、机房值守人员、人事负责人、人事工作人员、审计员、网络管理员、文档管理员、物理安全负责人、系统管理员、系统建设负责人、系统

22、运维负责人、资产管理员等不同类型岗位的人员访谈。测试方法：访谈相关人员。 文档检查测试内容：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面的文档检查。测试方法：查看相关文件。5.4.2系统整体测评系统整体测评涉及到信息系统的整体拓扑、局部结构、也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际清空紧密相关，内容复杂且充满系统个性。在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。5.56综合测评

23、分析综合测评分析包括两个方面的内容：一是安全控制测评分析，主要分析信息安全等级保护要求的基本安全控制在信息系统中的实施配置清空；二是系统整体测评分析，只要测评分析信息系统的整体安全性。其中安全控制测评分析是信息系统整体安全测评分析的基础。5.6等级测评安排5.6.1现场检查测试前的准备1. 中心收到用户缴纳的测评费用后，项目经理按照测评项目任务书确定的成员对他们进行授权使用改测评用户的资料，并填写用户资料使用登记表。2. 被检测单位填写项目经理发送的信息系统安全需求调查表和信息系统基本信息调查表。3. 检测方法对填写完成的调查表格进行形式化审查，看相关文档是否完备，是否满足实施检测工作的要求。

24、如果文档不够详细和完备，双方进行沟通，被检测单位进一步完善文档资料。4. 项目经理组织项目参与人员依据用户提供的文档资料，对用户信息系统整体设计的完整性，安全方案的合理性，用户信息规划设计的合理性进行技术审查，做好记录，同时制定信息系统业务审查报告和信息系统规划设计审查报告。质量监督人员填写信息测评监督记录表。5. 项目组制定系统测评实施方案和系统测评工作计划，并报用户领导审定。6. 与用户进行一次协调会，内容：介绍参与该项目测评的工作人员、信息系统测评工作计划与实施方案、对方介绍网络系统情况、确定用户方配合的人员、确定现场核查测试的具体日期，以及需要与用户沟通的其他问题，如用户同意测评计划和

25、实施方案，需进行签字确认。现场查看网络设施情况，以便现场核查测试的准备工作。7. 项目组根据与用户确认的测评计划和测评实施方案，做内部测评前的准备，主要包括调整安全核查表，明确访谈对象（部门和人员），准备相应的网络设、安全设备和主机设备的配置检查表和相关测试工具。测评工具由专人进行杀毒检测，填写测评工具使用情况记录，质量监督员进行签字确认。8. 项目经理提出的测评要求，明确项目组现场测试人员承担的测试项，以便于分工进行安全管理类现场核查和安全技术类测试工作。9. 项目经理通知用户做好测评前的准备工作，讲相应文档资料准备好，主要包括计算机机房安全管理制度及相应记录，安全管理责任人的任免和安全责任

26、制度及相应记录，网络安全漏洞检测和安全系统升级管理制度及相应记录，操作权限管理制度及相应记录，用户登记制度及相应记录，信息发布的审查、登记、保存、清楚和备份制度及相应记录，信息群发服务管理制度及相应记录，防病毒管理制度，第三方人员管理制度，安全事件报告制度，应急管理制度和应急预案等。用户对被测系统的数据进行备份。编号输入输出描述1测评项目任务书测评收费单测评项目任务书的成员单用户资料使用登记表项目经理确定项目组成员2信息系统安全需求调查表信息系统基本信息调查表被检测单位填写项目经理发送的信息系统安全需求调查表和信息系统基本信息调查表3信息系统安全需求调查表信息系统基本信息调查表和相关文档资料调

27、查表格形式化审查意见项目组讨论确定质量监督人员4信息系统安全需求调查表信息系统基本信息调查表和相关文档资料信息系统业务审查报告信息系统规划设计审查报告系统测评监督记录表5信息等级保护测评申请书信息系统业务审查报告信息系统规划设计审查报告系统测评工作计划系统测评实施方案用户审核意见项目组讨论确定用户审定6系统测评工作计划系统测评实施方案用户确认意见7系统测评工作计划系统测评实施方案用户意见定制的安全核查表和设备安全检查表测评工具检查记录项目组8系统测评工作计划系统测评实施方案项目分工方案项目经理9测试工作准备通知待检查现场记录备份系统被测试单位5.6.2现场检查测试1. 现场核查测试。测评分为核

28、查组和技术测试组，核查组负责安全管理类的文档资料查验、现场访谈、检查工作，并详细填写安全管理核查记录表单；技术测试组负责系统技术文档的核查和具体测试工作，测试前，必须在用户方配合人员的监督下，现场对测评工具进行杀毒检测，填写测评工具杀毒检测记录表，由用户方配合人员签字确认后再进行测试。技术测试在用户方人员的配合下，进行访谈、查阅技术文档，技术测试，并详细填写安全技术测试检查表单。质量监督人员监督核查测试过程，填写系统测评监督记录表。2. 现场核查测试结束，有用户方配合人员检查、验证被测信息系统运行情况，确认无误后，在系统运行情况验证记录表上签字确认。3. 核查测试结束后，内部对测试工具进行杀毒

29、检测，并填写测评工具使用情况记录，质量监督员进行签字确认。4. 项目组按照测评分工，整理核查测试数据，分别完成现场核查报告和技术测试分析报告。最终形成系统核查测试报告。质量监督人员填写系统测评监督记录表。5. 系统核查测试报告由用户审核签字。6. 归还所有纸质文档，并填写确认单。编号输入输出描述工具、方法1系统测评实施方案检查表单安全技术测试检查表安全管理核查记录表项目经理与用户商定协调会的时间、参与人员、会议的大体内容讨论2测评计划实施方案系统运行情况验证记录用户签字用户签字确认开协调会3测评计划实施方案测评工具使用情况记录项目准备现场记录表测评管理工具4测评计划实施方案安全技术测试检查表安

30、全管理核查记录表系统核查测试报告系统测评监督记录表质量监督员签字确认5系统核查测试报告用户审核意见审核6归还文档列表确认单5.6.3需要配合事项在系统登记测评项目中需要用户配合的工作如下： 提供组织结构及人员职责分配表 提供系统网络管理员名单 提供各业务系统相应管理员名单 填写信息系统安全需求调查表和信息系统基本信息调查表 提供自评审计报告 提供系统各种业务应用网络拓扑和说明 提供安全管理制度、操作规程等相关文档，并配合管理测评的访谈、检查 提供被评估系统的设备、软件清单 协调系统相关人员填写调查表 对各业务系统的流程进行介绍 提供本地和远程测评系统的访问权限 提供适当的网络环境和权限供工具扫描测评 需要目标网络管理员对系统整体测评的配合 现场检查测试后在系统运行情况验证记录表上签字确认 相关人员协助评估，回答相关调查问卷和问题，参加确认协调会，对每一阶段测评结果书面确认 提供合适的会议室及办公环境进行交流5.7等级测评申请步骤步骤1：申请方登录测评机构网站下载信息系统安全测试指南、信息系统安全测试申请书。步骤2：申请方按信息系统安全测试申请书中的要求填写申请书并按照信息系统安全测试申请材料说明中的要求准备申请材料。步骤3：申请方讲申请书和申请