信息安全等级保护测评指南.ppt
- 文档编号:1409363
- 上传时间:2022-10-22
- 格式:PPT
- 页数:141
- 大小:1.34MB
信息安全等级保护测评指南.ppt
《信息安全等级保护测评指南.ppt》由会员分享,可在线阅读,更多相关《信息安全等级保护测评指南.ppt(141页珍藏版)》请在冰豆网上搜索。
信息安全等级保护测评,目录,国家对等级保护测评的要求等级保护测评注意事项等级保护测评要求(部分解读)等级保护测评过程等级保护测评中常见问题,国家对等级保护测评的要求,管理办法”等级保护的实施与管理“第十四条信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
广东省安全保护条例对测评要求,第十二条第二级以上计算机信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。
第十三条计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评,并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。
计算机信息系统安全状况经测评或者自查,未达到安全等级保护要求的,运营、使用单位应当进行整改。
广东省公安厅关于计算机信息系统安全保护的实施办法
(一),第二十二条我省对测评机构实施备案制度。
符合第二十一条规定的条件,承担第二级以上的计算机信息系统测评工作的机构应当到省公安厅公共信息网络安全监察部门备案。
第二十五条第二级以上的计算机信息系统建设完成后,使用单位应当委托符合规定的测评机构安全测评合格方可投入使用。
测评活动应当接受公安机关公共信息网络安全监察部门的监督。
广东省信息安全等级测评工作细则(试行),计算机信息系统投入使用后,存在下列情形之一的,应当进行安全自查,同时委托安全测评机构进行安全测评:
(一)变更关键部件;
(二)安全测评时间满一年;(三)发生危害计算机信系统安全的案件或安全事故;(四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评;(五)其他应当进行安全自查和安全测评的情形。
申请单位认为安全测评报告的合法性和真实性存在重大问题的,可以向本单位所在地公安机关公共信息网络安全监察部门提出申诉,提交异议申诉书及有关证明材料。
广东省等级保护测评机构,关于发布广东省信息安全等级保护测评机构的公告(粤等保办20103号)供我省信息系统运营、使用单位、主管部门选用提供各类测评服务(差距评估、验收性测评、年度测评工作)。
1、广州竞远系统网络技术有限公司2、中国赛宝实验室(工业和信息化部电子第五研究所)3、广州华南信息安全测评中心4、深圳市信息安全测评中心5、深圳市网安计算机安全检测技术有限公司,等级保护测评基本概念,等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
通过信息安全等级测评机构对已完成的等级保护建设的信息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要求。
等级保护测评的执行主体,等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
等级保护测评的执行主体应当是具有相关资质的、独立的测评服务机构。
只有独立的第三方,才能保证测评工作的客观性和公正性。
等级测评基本原则,测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。
测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。
等级测评的特点,管理角度:
强制执行:
管理办法强制周期性执行执行主体:
符合条件的测评机构执行对象:
定级的信息系统服务主体:
国家信息安全监管部门/主管部门/运维、使用单位技术角度:
符合性测评:
依据基本要求等级化:
不同级别测评强度不同,等级保护测评适用的阶段,在实施等级保护建设工作前,信息系统运营、使用单位可以开展一次等级测评以确定信息系统的安全需求。
在等级保护建设完成后,通过等级测评判定信息系统是否按照预先设定的安全模式运行,安全控制措施是否得到合理的应用,信息系统是否达到相关标准的要求,是否具备相应等级的安全防护能力等。
等级保护测评工作开展,系统改建方案设计:
由信息系统的运营使用单位自己组织人员或由第三方评估机构,采用等级测评方法对信息系统安全保护现状与等级保护基本要求进行符合性评估,得到与相应等级要求的差距项,确定安全需求,为制定安全改建方案提供依据。
是一种需求分析方法,不受测评执行主体的限制。
等级保护建设完成后的测评,由具有相关资质、独立的第三方测评机构完成。
1.2.13测评与监督检查的关系,等级保护测评的操作形式自评估委托评估检查评估,1.2.14测评工作要求,依据标准,遵循原则恰当选取,保证强度规范行为,减少风险过程规范行为规范,等级保护测评注意事项,等级保护测评方法
(1),测评方法测评采用访谈、检查和测试三种方法,测评对象是测评实施过程中涉及到的信息系统的构成成份,包括人员、文档、机制、软件、设备。
测评的层面涉及物理安全、网络安全、主机安全、应用系统安全、数据安全以及安全管理。
测评要求使用测评表进行具体检查时,首先按询问、查验、检测等工作方式将所有检查项目分类。
所有以询问方式检查的项目,在与有关人员的谈话或会议上进行;所有以查验方式检查的项目,将需要的文档清单在检查现场提交给被检查方,请被检查方当前提供并进行查验;所有需要以检测方式检查的项目,按检测部门或设备分类后,根据具体情况选择检测顺序。
等级保护测评方法
(2),对技术要求访谈方法:
目的是了解信息系统的全局性。
范围一般不覆盖所有要求内容。
检查方法:
目的是确认信息系统当前具体安全机制和运行的配置是否符合要求。
范围一般要覆盖所有要求内容。
测试方法:
目的是验证信息系统安全机制有效性和安全强度。
范围不覆盖所有要求内容。
等级保护测评方法(3),对管理要求对人员方面的要求,重点通过访谈的方式来测评,检查为辅;对过程方面的要求,通过访谈和检查的方式来测评;对规范方面的要求,以检查文档为主,访谈为辅,等级保护测评中的角色和职责关系,信息安全服务机构:
协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。
信息安全产品供应商:
开发符合等级保护相关要求的信息安全产品,接受安全测评,按照等级保护相关要求销售信息安全产品并提供相关服务。
应用软件开发机构:
将安全控制要求与应用软件结合,负责软件开发。
信息安全等级测评机构:
协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行测评;对信息安全产品供应商提供的信息安全产品进行安全测评。
1.3.7等级保护实施过程中的主要参与角色,等级保护测评工作实施步骤,首次会议
(1)参加人员:
主管领导、技术人员、测评机构人员
(2)被测评机构工作汇报测评实施被测评单位派人负责测评过程联络和协助。
末次会议
(1)参加人员:
主管领导、技术人员、测评机构人员
(2)测评机构进行测试情况汇报,等级保护测评项目组的构成,测评项目组构成组长职责:
管理测评过程、主持编制测评计划、主持设计测评方案、负责访谈、检查、组织分析测评结果、主持编制测评总结报告;访谈和查看组:
负责访谈、执行测试,记录和分析测评结果;测试组:
执行测试、记录和分析测评结果。
等级保护测评部位,被测评部门领导办公场所机房介质保管室设备管理部门一般工作场所监控室等,等级保护测评设备,被测评检查设备各类服务器抽查部分个人计算机(包括台式机、笔记本)通信线路交换机、路由器防火墙、入侵检测、杀毒软件等安全防护设备存储设备网络管理软件应用软件,等级保护测评相关配合人员,测评所需要的相关配合人员单位领导部门领导系统管理员安全管理员系统审计员一般工作人员(抽查)等。
等级测评风险告知,在开展测评过程中,对可能影响信息系统正常运行的,测评机构应当事先告知被测评单位,并协助其采取相应的预防措施。
等级测评实施过程中可能存在的风险,验证测试影响系统正常运行在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。
工具测试影响系统正常运行在现场测评时,会使用一些技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试。
测试可能会对系统的负载造成一定的影响,漏洞测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。
敏感信息泄漏泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。
等级测评方式测试,功能/性能测试、渗透测试等。
测试对象包括机制和设备等。
测试一般需要借助特定工具。
扫描检测工具网络协议分析仪攻击工具渗透工具,等级保护测评标准,信息系统安全等级保护测评要求信息系统安全等级保护测评指南,等级保护测评要求,测评要求的作用,指导系统运营使用单位进行自查指导评估机构进行检测评估监管职能部门参照进行监督检查规范测评内容和行为,等级保护测评的内容,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,测评要求编制思路,信息系统测评,系统测评(对安全控制、层面、区域间关联关系以及系统整体结构,分层次综合分析、测评),安全控制测评(以测评单元组织的测评实施),安全控制测评思路,在内容上,与基本要求一一对应,针对基本要求的每一个控制项,开发具体的测评实施方法。
在结构上,以“测评单元”为基本工作单位,分等级进行组织。
等级保护测评,测评单元是指安全控制测评的最小工作单位,由测评项、测评方式、测评对象、测评实施和结果判定等组成,分别描述测评目的和内容、测评使用的方式方法、测试过程中涉及的测评对象、具体测试实施取证过程要求和测评证据的结果判定规则与方法。
测评强度是指测评的广度和深度,体现测评工作的实际投入程度。
测评强度增强的方法,测评广度越大,范围越大,包含的测评对象就越多,测评实际投入程度越高。
测评的深度越深,越需要在细节上展开,测评实际投入程度也越高。
测评的广度和深度落实在具体的测评方法访谈、检查和测试上,体现出访谈、检查和测试的投入程度不同。
2.1.8系统等级保护测评思路,根据安全控制、层面和区域之间的关联作用,逐层测评分析安全控制间、层面间和区域间关联关系对整体安全功能的影响,具体应包括:
安全控制间安全测评、层面间安全测评、区域间安全测评。
进行系统整体结构安全测评从安全的角度,分析信息系统整体结构的安全性从安全角度看系统从系统的角度,分析信息系统安全防范(体系)的合理性以系统的观点看安全防范(体系),等级保护测评要求部分解读,第二部分等级保护测评要求(3)等级保护测评要求部分解读(物理安全),物理访问控制,本项要求包括:
机房出入口应安排专人值守,控制、鉴别和记录进入的人员;需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
物理访问控制,实施讨论机房进出通过双向电子门禁系统进行控制,可通过门禁电子记录或填写出入记录单的形式记录进出人员和时间有能力的单位应当增设保安人员在门外值守;机房的内和外部临近入口区域要安装摄像头保证全部范围覆盖;外来人员进入机房应当由专人全程陪同;对于系统较多、机房面积较大的有能力单位应将机房按系统和设备的重要程度划分不同的单独区域进行物理隔离,联通各区域间的通道空间形成机房的过渡缓冲区。
对于电源UPS,最好能划分单独区域。
物理访问控制,测评实施:
应检查机房安全管理制
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 等级 保护 测评 指南