等级保护测评方案.docx
- 文档编号:24622775
- 上传时间:2023-05-29
- 格式:DOCX
- 页数:27
- 大小:70.06KB
等级保护测评方案.docx
《等级保护测评方案.docx》由会员分享,可在线阅读,更多相关《等级保护测评方案.docx(27页珍藏版)》请在冰豆网上搜索。
等级保护测评方案
等级保护测评方案
1.测评概述
本测评的委托单位是宜保通金融服务集团。
根据《广东省计算机信息统安全保护条例》和《广东省公安厅关于计算机信息系统安全保护的实施办法》[粤公通字〔2008〕228号]的要求,以及双方签订的等级测评服务合同,我方参照信息安全等级保护技术标准,对合同约定的被测系统实施等级测评。
1.1.测评标准
⏹《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008);
⏹《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012);
⏹《信息系统安全等级保护实施指南》(GB/T25058-2010);
⏹《计算机信息系统安全保护等级划分准则》(GB17859-1999)
⏹《信息系统等级保护等级定级指南》(GB/T22240-2008);
⏹《信息安全技术信息安全风险评估规范》(GB/T20984-2007);。
1.2.测评目的
通过本次安全等级测评,不仅可以检验被测系统是否符合《信息系统安全等级保护基本要求》中对信息系统采取安全保护措施的要求,还可以全面、完整地了解信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况以及系统的整体安全性,出具安全等级测评的结论;指出该系统存在的安全问题并提出相应的整改建议,为委托方进一步完善被评估系统安全管理策略、采取适当的安全保障措施提供依据。
1.3.测评原则
1)客观性和公正性原则
测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
2)经济性和可重用性原则
基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。
所有重用的结果,都应基于这些结果还能适用于目前的系统,能反映目前系统的安全状态。
3)可重复性和可再现性原则
无论谁执行测评,依照同样的要求,使用同样的方法,对每个测评实施过程的重复执行都应该得到同样的测评结果。
可再现性体现在不同测评者执行相同测评的结果的一致性。
可重复性体现在同一测评者重复执行相同测评的结果的一致性。
4)符合性和整体性原则
测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。
测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。
整体性体现在等级测评的范围和内容应当系统、全面,覆盖信息系统安全所涉及的各个层面,并考虑各个层面的相互关系。
5)最小影响和保密性原则
测评工作应尽可能小地影响网络和系统的正常运行,不能对系统的业务产生显著影响。
保密性体现在对测评过程中所接触到的被测系统运营、使用单位的所有敏感信息,测评人员应遵循相关的保密承诺,不利用它们进行任何侵害被测系统运营、使用单位安全利益的行为。
1.4.风险和规避
在进行等级测评过程中可能存在以下风险:
1)验证测试对运行系统可能会造成影响
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。
2)工具测试对运行系统可能会造成影响
在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试。
测试可能会对系统的负载造成一定的影响,漏洞扫描测试可能对服务器和网络通讯造成一定影响甚至伤害。
3)敏感信息泄漏
泄漏被检测单位信息系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。
在等级测评过程中可以通过采取以下措施规避风险:
1)现场测评工作风险的规避
进行验证测试和工具测试时,测评机构需要与测评委托单位充分的协调,安排好测试时间,尽量避开业务高峰期,在系统资源处于空闲状态时进行,并需要被测系统运营、使用单位对整个测试过程进行监督;在进行验证测试和工具测试前,需要对关键数据做好备份工作,并对可能出现的影响制定相应的处理方案;上机验证测试原则上由被测系统运营、使用单位相应的技术人员进行操作,测评人员根据情况提出需要操作的内容,并进行查看和验证,避免由于测评人员对某些专用设备不熟悉造成误操作;测评机构使用的测试工具在使用前应事先告知被测系统运营、使用单位,并详细介绍这些工具的用途以及可能对信息系统造成的影响,征得其同意。
必要时先进行一些试验。
2)签署保密协议
测评双方应签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将来的行为。
保密协议规定了测评双方保密方面的权利与义务。
测评工作的成果属被测系统运营、使用单位所有,测评机构对其的引用与公开应得到被测系统运营、使用单位的授权,否则被测系统运营、使用单位将按照保密协议的要求追究测评机构的法律责任。
2.测评手段
2.1.测评方法
安全测评的主要方法有:
访谈、检查和测试。
●访谈
访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。
在访谈范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
●检查
检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。
在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等),数量上可以抽样。
●测试
测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应,通过查看和分析响应的输出结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。
在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
2.2.测评工具
主要使用到的测评工具有:
绿盟安全评估系统RSAS。
具体描述如下表:
序号
工具名称
工具描述
01
绿盟安全评估系统RSAS
可以对操作系统,网络设备和数据库的等多种设备的扫描规则库,漏洞库遵循CVE,CAN和MS等国际标准。
为了发挥测评工具的作用,达到测评的目的,各种测评工具需要接入到被测评的信息系统网络中,并需要配置恰当的网络IP地址。
3.测评内容
3.1.单元测评实施
把测评指标内容和测评方法结合到被测信息系统的具体测评对象上,就构成了一个个可以具体测评实施的工作单元。
本章按层面,从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别描述单元测评实施的主要内容。
3.1.1.物理安全
物理安全层面测评实施过程涉及10个工作单元,具体如下表:
序号
控制点
测评实施描述
01
物理位置的选择
通过访谈物理安全负责人,检查主机房等过程,测评主机房和辅机房等信息系统物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
02
物理访问控制
通过访谈物理安全负责人,检查主机房出入口、机房分区域情况等过程,测评信息系统在物理访问控制方面的安全防范能力。
03
防盗窃和防破坏
通过访谈物理安全负责人,检查主机房主要设备、介质和防盗报警系统等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。
04
防雷击
通过访谈物理安全负责人,检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。
05
防火
通过访谈物理安全负责人,检查机房设计/验收文档,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。
06
防水和防潮
通过访谈物理安全负责人,检查主机房和除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。
07
防静电
通过访谈物理安全负责人,检查主机房等过程,测评信息系统是否采取必要措施防止静电的产生。
08
温湿度控制
通过访谈物理安全负责人,检查主机房恒温恒湿系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。
09
电力供应
通过访谈物理安全负责人,检查主机房供电线路、设备等过程,测评信息系统是否具备提供一定的电力供应能力。
10
电磁防护
通过访谈物理安全负责人,检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。
3.1.2.网络安全
网络安全层面测评实施过程涉及7个工作单元,具体如下表:
序号
控制点
测评实施描述
01
网络结构安全
通过访谈网络管理员,检查网络拓扑情况、抽查核心交换机等网络互联、安全设备,测试系统访问路径和网络带宽分配情况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。
02
网络访问控制
通过访谈安全员,检查交换机等网络访问控制设备,测试系统对外暴露安全漏洞情况等过程,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。
03
网络安全审计
通过访谈审计员,检查核心交换机等网络互联、审计设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。
04
边界完整性检查
通过访谈安全员,检查边界完整性检查设备,接入边界完整性检查设备进行测试等过程,测评分析信息系统私自联到外部网络的行为。
05
网络入侵防范
通过访谈安全员,检查网络边界处的入侵检查设备等,测评分析信息系统对攻击行为的识别和处理情况。
06
恶意代码防范
通过访谈安全员,检查网络防恶意代码产品等,测评分析信息系统网络边界和交易网段对病毒等恶意代码的防护情况。
07
网络设备防护
通过访谈网络管理员,检查核心交换机等网络设备,查看它们的安全配置情况,包括身份鉴别、权限分离、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。
3.1.3.主机数据库系统安全
主机系统安全层面测评实施过程涉及7个工作单元,具体如下表:
序号
控制点
测评实施描述
01
身份鉴别
检查信息系统各主机的身份标识与鉴别和用户登录的配置情况。
02
访问控制
检查信息系统各主机的自主访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。
03
安全审计
检查信息系统各主机的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。
04
系统保护
检查信息系统各主机在运行中的系统保护能力;检查是否提供手动或者自动恢复运行的功能。
05
剩余信息保护
检查信息系统各主机的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。
06
恶意代码防范
检查信息系统各主机的恶意代码防范情况。
07
系统资源控制
检查信息系统各主机的系统资源控制情况,如会话限定、用户登录限制、最大并发连接以及服务优先级设置等。
3.1.4.应用安全
应用安全层面测评实施过程涉及9个工作单元,具体如下表:
序号
控制点
测评实施描述
01
身份鉴别
检查系统的身份标识与鉴别功能设置和使用配置情况;
检查系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。
02
访问控制
检查系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。
03
安全审计
检查系统的安全审计配置情况,如覆盖范围、记录的项目和内容等;
检查系统安全审计进程和记录的保护情况。
04
剩余信息保护
检查系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。
05
通信完整性
检查系统客户端和服务器端之间的通信完整性保护情况。
06
通信保密性
检查分析系统客户端和服务器端之间的通信保密性保护情况。
07
抗抵赖
检查分析系统客户端和服务器端之间的抗抵赖情况。
08
软件容错
检查系统的软件容错能力,如输入输出格式检查、自我状态监控、自我保护、回退等能力。
09
资源控制
检查系统的资源控制情况,如会话限定、用户登录限制、最大并发连接以及服务优先级设置等。
3.1.5.数据安全
数据安全层面测评实施过程涉及3个工作单元,具体如下表:
序号
控制点
测评实施描述
01
数据完整性
检查系统的操作系统、数据库管理系统和网络设备的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。
02
数据保密性
检查系统的操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。
03
安全备份
检查系统的安全备份情况,如重要信息的备份(包括本地备份和异地备份)、硬件冗余以及业务系统的热备等。
3.1.6.安全管理机构
安全管理机构测评实施过程涉及5个工作单元,具体如下表:
序号
控制点
测评实施描述
01
岗位设置
通过访谈安全主管,检查部门/岗位职责文件,测评被测系统内的安全主管部门设置情况以及各岗位设置情况。
02
人员配备
通过访谈安全主管,检查人员名单等文档,测评被测系统内各个岗位人员配备情况以及关键岗位的轮岗情况。
03
授权和审批
通过访谈安全主管,检查相关文档,测评被测系统对重要活动的授权和审批情况。
04
沟通与合作
通过访谈安全主管,检查相关文档,测评被测系统对内部部门、外部单位间的沟通与合作情况。
05
审核与检查
通过访谈安全主管,检查相关制度文档和管理要求文档等过程,测评被测系统对安全工作的审核和检查情况。
3.1.7.安全管理制度
安全管理制度测评实施过程涉及3个工作单元,具体如下表:
序号
控制点
测评实施描述
01
管理制度
通过访谈安全主管,检查有关管理制度体系文档等过程,测评管理制度体系在内容覆盖上是否全面、完善。
02
制定与发布
通过访谈安全主管,检查有关制度制定要求文档等过程,测评管理制度的制定和发布过程是否遵循一定的流程。
03
评审和修订
通过访谈安全主管,检查管理制度评审记录等过程,测评管理制度定期评审和修订情况。
3.1.8.人员安全管理
人员安全管理测评实施过程涉及5个工作单元,具体如下表:
序号
控制点
测评实施描述
01
人员录用
通过访谈人事负责人,检查人员录用文档等过程,测评被测系统在录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。
02
人员离岗
通过访谈人事负责人,检查人员离岗要求文档等过程,测评被测系统在人员离岗时是否按照一定的手续办理。
03
人员考核
通过访谈安全主管,检查有关考核记录等过程,测评被测系统是否对人员进行日常的业务考核和工作审查。
04
安全意识教育和培训
通过访谈安全主管,检查培训计划和执行记录等文档,测评被测系统是否对人员进行安全方面的教育和培训。
05
第三方人员访问管理
通过访谈安全主管,检查有关文档等过程,测评被测系统对第三方人员访问(物理、逻辑)系统和系统是否采取必要控制措施。
3.1.9.系统建设管理
系统建设管理测评实施过程涉及9个工作单元,具体如下表:
序号
控制点
测评实施描述
01
系统定级
通过访谈安全主管,检查系统定级相关文档等过程,测评系统和系统是否按照一定要求确定其等级。
02
安全方案设计
通过访谈系统建设负责人,检查系统安全建设计划等文档,测评被测系统对系统整体的安全规划设计是否按照一定流程进行。
03
产品采购
通过访谈安全主管、系统建设负责人,检查相关采购制度等过程,测评被测系统是否按照一定的要求进行产品采购。
04
自行软件开发
通过访谈系统建设负责人,检查相关软件开发文档和管理制度文档,测评被测系统对自行开发的软件是否采取必要的措施保证开发过程的安全性。
05
外包软件开发
通过访谈系统建设负责人,检查相关文档,测评被测系统对外包开发的软件是否采取必要的措施保证开发过程和日后的维护工作能够正常开展。
06
工程实施
通过访谈系统建设负责人,检查相关制度文档和实施文档,测评被测系统对系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。
07
测试验收
通过访谈系统建设负责人,检查相关制度文档和测试验收文档,测评被测系统在信息系统运行前是否对其进行测试验收工作。
08
系统交付
通过访谈系统运维负责人,检查系统交付清单和系统交付管理制度等过程,测评被测系统是否采取必要的措施对系统交付过程进行有效控制。
09
安全服务商选择
通过访谈系统运维负责人,测评被测系统是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。
3.1.10.系统运维管理
系统运维管理测评实施过程涉及13个工作单元,具体如下表:
序号
控制点
测评实施描述
01
环境管理
通过访谈物理安全负责人,检查主机房安全管理制度和办公环境管理文档等过程,测评被测系统是否采取必要的措施对主机房的出入控制和办公环境的人员行为等方面进行安全管理。
02
资产管理
通过访谈资产管理员,检查资产清单和系统、网络设备等过程,测评被测系统是否采取必要的措施对信息系统资产进行分类标识管理。
03
介质管理
通过访谈资产管理员,检查介质管理记录、介质安全管理制度以及各类介质等过程,测评被测系统是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。
04
设备管理
通过访谈资产管理员、系统管理员,检查设备使用管理文档和设备操作规程等过程,测评被测系统是否采取必要的措施确保设备在使用、维护和销毁等过程安全。
05
监控管理
通过访谈系统运维负责人,检查监控记录文档等过程,测评被测系统是否采取必要的措施对重要主机的运行和访问权限进行监控管理。
06
系统安全管理
通过访谈安全主管、系统管理员,检查系统安全管理制度、系统审计日志和系统漏洞扫描报告等过程,测评被测系统是否采取必要的措施对信息系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。
07
网络安全管理
通过访谈安全主管、网络管理员,检查网络安全管理制度、网络审计日志和网络漏洞扫描报告等过程,测评被测系统是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。
08
恶意代码防护管理
通过访谈系统运维负责人,检查恶意代码防范管理制度和恶意代码检测、分析记录等过程,测评被测系统是否采取必要的措施对恶意代码进行集中管理,确保信息系统具有恶意代码防范能力。
09
密码管理
通过访谈安全员,检查密码管理制度等过程,测评被测系统是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。
10
变更管理
通过访谈系统运维负责人,检查变更方案和变更管理制度等过程,测评被测系统是否采取必要的措施对系统发生的变更进行有效管理。
11
备份和恢复管理
通过访谈系统管理员、网络管理员,检查系统备份管理文档和记录等过程,测评被测系统是否采取必要的措施对数据、设备和系统进行备份,并确保必要时能够对信息系统进行有效地恢复。
12
安全事件处置
通过访谈系统运维负责人,检查安全事件记录分析文档、安全事件报告和处置管理制度等过程,测评被测系统是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。
13
应急预案管理
通过访谈系统运维负责人,检查应急响应预案文档,应急预案培训记录等过程,测评被测系统是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。
3.2.系统测评实施
信息系统的安全控制综合集成到信息系统后,会在层面内、层面间和区域间产生连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关,在整体上呈现出一种集成特性。
这些集成特性在安全控制的工作单元中是没有体现的。
因此,在安全控制测评的基础上,有必要对集成系统和运行环境进行整体测评,以确定安全控制部署、层面整合、区域互连乃至整体系统结构等是否会增强或者削弱信息系统的整体安全保护能力;缺失或者低等级的安全控制是否会影响到系统的整体安全功能,在高等级的信息系统使用低等级的安全控制能否达到相应等级的安全要求等,这些共同构成系统整体测评。
针对系统的情况,对其进行的系统整体安全性测评包括:
安全控制间安全测评、层面间安全测评、区域间安全测评和系统结构安全测评等内容。
3.2.1.安全控制间安全测评
安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。
从物理层面上看,主要网络设备、服务器和数据库管理系统都在机房,因此,应测评分析机房各安全控制之间的关联作用。
其中,需重点关注物理访问控制与防盗窃和防破坏之间的安全功能互补情况。
从网络层面上看,其网络系统区域划分是明确的,同一区域中的网络设备的安全功能也是较为明确的。
但是,一般情况下网络层面的网络安全审计、恶意代码防范等安全控制功能在大多数区域没有使用专门的安全设备来执行。
因此,应测评分析网络层面其他安全控制(措施)是否提供补充作用,满足这些安全功能的要求。
对于主机系统层面,应查看不同主机之间是否存在信任关系,是否存在共享相同的安全机制等(如主机身份集中鉴别)。
如果不同主机之间存在安全功能上的削弱,如由于存在信任关系,可以从一台机器作为跳板,侵入另外一台机器。
因此,需要分析这些安全功能之间的削弱作用。
对于管理涉及的问题大多数是全局性的,因此,对管理各个方面的安全控制应重点查看其措施内容是否能构成一个完整的、全面的管理体系,并且这些管理制度都得到具体落实,有人员、环境和设备的保证。
3.2.2.层面间安全测评
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。
从系统的实际情况看,测评应重点考虑物理层面和网络层面、主机系统层面之间的关联互补作用,如主机系统的身份鉴别存在的脆弱性是否可以通过物理层面的安全控制措施得到加强弥补。
另外,网络层面、应用层面和主机系统层面与安全管理的系统运维管理之间关系密切,应关注他们之间的关联互补作用。
如考虑网络层面的边界完整性检查安全功能是否通过采取恰当的安全管理措施而得到满足等等。
3.2.3.区域间安全测评
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。
3.2.4.系统结构安全测评
系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。
在掌握系统的物理布局、网络拓扑、业务逻辑(业务数据流)、系统实现和集成方式等基础上,结合系统的业务数据流分析物理布局与网络拓扑之间、网络拓扑与业务逻辑之间、物理布局与业务逻辑之间、不同信息系统之间存在的各种关系,明确物理、网络和业务系统等不同位置上可能面临的威胁、可能暴露的脆弱性等,综合判定系统的整体布局是否合理、主要关系是否简单、整体是否安全有效等。
在熟悉系统安全保护措施的具体实现方式和部署情况后,结合其业务数据流分析不同区域和不同边界与安全保护措施的关系、重要业务和关键信息与安全保护措施的关系等,参照纵深防御的要求,识别系统的安全防范是否突出重点、层层深入,综合判定系统的整体安全防范是否恰当合理等。
4.测评工作流程
4.1.工作流程综述
为确保等级测评工作的顺利开展,应首先了解等级测评的工作流程,然后按照工作流程中的活动内容有序地开展等级测评工作。
等级测评基本工作流程分为三个阶段:
测评准备阶段、现场实施阶段以及分析与报告编制阶段。
测
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 保护 测评 方案
![提示](https://static.bdocx.com/images/bang_tan.gif)