3信息系統(tǒng)安全評價(jià)-中國信息安全測評中心

1、信息系統(tǒng)安全測評業(yè)務(wù)白皮書中國信息安全測評中心2008年8月第1章信息系統(tǒng)安全測評信息系統(tǒng)安全是關(guān)乎國家穩(wěn)定、企業(yè)生存與發(fā)展的重大課題，在信息技術(shù)日益發(fā)展的今天，如何通過信息系統(tǒng)安全測評工作，最大限度使組織結(jié)構(gòu)預(yù)知存在的安全隱患，最大限度地保證國家重要基礎(chǔ)設(shè)施和重點(diǎn)行業(yè)的安全穩(wěn)定運(yùn)營，已經(jīng)成為當(dāng)前我國信息安全工作的重點(diǎn)。信息技術(shù)作為支撐企業(yè)業(yè)務(wù)服務(wù)的重要基礎(chǔ)性設(shè)施，直接影響組織機(jī)構(gòu)的對外服務(wù)。是否可以通過主動(dòng)地、定期地系統(tǒng)安全測評，做到事前規(guī)避？現(xiàn)實(shí)情況是很多組織機(jī)構(gòu)在信息安全測評工作方面還存在巨大的誤區(qū)和盲區(qū)。信息系統(tǒng)安全測評工作成為組織機(jī)構(gòu)信息系統(tǒng)建設(shè)、運(yùn)營過程中的短板。中國信息安全測評中

2、心是經(jīng)中央批準(zhǔn)成立的國家信息安全權(quán)威測評機(jī)構(gòu)，職能是開展信息安全漏洞分析和風(fēng)險(xiǎn)評估工作。開展信息系統(tǒng)安全測評工作，旨在引入信息系統(tǒng)安全測評方法，利用先進(jìn)技術(shù)測試手段、風(fēng)險(xiǎn)度量方法和切實(shí)的測評角度，確保組織機(jī)構(gòu)將安全風(fēng)險(xiǎn)降低到可接受的程度，從而保障其業(yè)務(wù)安全穩(wěn)定運(yùn)營。第2章測評類型信息系統(tǒng)安全測評致力于為國家重要行業(yè)、部委提供科學(xué)、客觀、規(guī)范、務(wù)實(shí)的安全評估套餐式服務(wù)，經(jīng)過長期的標(biāo)準(zhǔn)研究、工具探索、項(xiàng)目實(shí)踐以及眾多信息安全專家的反復(fù)論證，現(xiàn)已形成系列服務(wù)產(chǎn)品，包括：1、信息安全風(fēng)險(xiǎn)評估2、信息系統(tǒng)安全等級保護(hù)測評3、信息系統(tǒng)安全評估4、遠(yuǎn)程滲透測試5、信息系統(tǒng)安全監(jiān)控6、信息系統(tǒng)安全方案評審2.

3、1 信息安全風(fēng)險(xiǎn)評估2.1.1 評估目標(biāo)由我中心高級測評工程師和咨詢專家共同組成的評估團(tuán)隊(duì)，采用眾多漏洞測試工具和工作模版，從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施；為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地為保障信息安全提供科學(xué)依據(jù)。2.1.2 適用對象具有風(fēng)險(xiǎn)管理意識，關(guān)注信息系統(tǒng)安全風(fēng)險(xiǎn)的國家重要行業(yè)、部委。2.1.3 評估依據(jù)1 、GB/T20984信息安全風(fēng)險(xiǎn)評估規(guī)范2 、GB/T20274信息系統(tǒng)安全保障評估框架3、行業(yè)信息安全標(biāo)準(zhǔn)

4、4、用戶自身業(yè)務(wù)安全需求2.1.5 評估內(nèi)容評估信息系統(tǒng)存在的高中低風(fēng)險(xiǎn)的數(shù)量、可能性、影響。主要從安全技術(shù)和安全管理兩個(gè)角度：安全技術(shù)網(wǎng)絡(luò)層安全主機(jī)系統(tǒng)層安全應(yīng)用層安全數(shù)據(jù)安全安全管理安全管理組織機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理物理安全2.1.6 評估方式配置核查由測評人員在委托單位現(xiàn)場根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時(shí)的安全配置參數(shù)。工具測試由資深測評人員采用自動(dòng)化工具對被評估系統(tǒng)進(jìn)行漏洞檢測。專家訪談?dòng)少Y深測評人員到委托單位同信息安全主管、IT審計(jì)部門、開發(fā)部門及運(yùn)維部門按我中心調(diào)查模版要求進(jìn)行面對面訪談。資料審閱查閱信息系統(tǒng)建設(shè)、運(yùn)維過程中的過程文檔、記

5、錄，采用分時(shí)段系統(tǒng)查閱和有針對性抽樣查閱的方法進(jìn)行。專家評議組織本中心行業(yè)專家運(yùn)用恰當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法進(jìn)行集體會診評議。2.1.7 評估成果我中心向委托機(jī)構(gòu)提交信息系統(tǒng)安全風(fēng)險(xiǎn)評估報(bào)告，報(bào)告中包含整改建議。2.2信息系統(tǒng)安全等級保護(hù)測評2.2.1 評估目標(biāo)由我中心高級測評工程師組成的評估團(tuán)隊(duì)，依據(jù)公安部信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則中與信息系統(tǒng)備案等級相對應(yīng)的測評項(xiàng)，進(jìn)行信息系統(tǒng)安全等級符合性測評，出具是否滿足信息系統(tǒng)安全保護(hù)等級的測評結(jié)論。2.2.2 適用對象致力于國家信息系統(tǒng)安全等級保護(hù)測評工作的國家重要行業(yè)、部委。2.2.3 評估依據(jù)1 、信息系統(tǒng)安全保護(hù)等級測評準(zhǔn)則2、行業(yè)信息安全標(biāo)準(zhǔn)3、

6、用戶自身業(yè)務(wù)安全需求2.2.5 評估內(nèi)容主要從安全技術(shù)和安全管理兩個(gè)角度:安全技術(shù)網(wǎng)絡(luò)層安全主機(jī)系統(tǒng)層安全應(yīng)用層安全數(shù)據(jù)安全安全管理安全管理組織機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理物理安全2.2.6 評估方式配置核查由測評人員根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時(shí)的安全配置參數(shù)。工具測試由資深測評人員采用自動(dòng)化工具對被評估系統(tǒng)進(jìn)行漏洞檢測。專家訪談?dòng)少Y深測評人員到委托單位同信息安全主管、IT審計(jì)部門、開發(fā)部門及運(yùn)維部門按我中心調(diào)查模版要求進(jìn)行面對面訪談。資料審閱查閱信息系統(tǒng)建設(shè)、運(yùn)維過程中的過程文檔、記錄，采用分時(shí)段系統(tǒng)查閱和有針對性抽樣查閱的方法進(jìn)行。專家評議組織本中

7、心行業(yè)專家運(yùn)用恰當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法進(jìn)行集體會診評議。2.2.7 評估成果我中心向委托機(jī)構(gòu)提交信息系統(tǒng)安全等級保護(hù)測評報(bào)告，報(bào)告中包含整改建議。2.3信息系統(tǒng)安全評估2.3.1 評估目標(biāo)由我中心高級測評工程師組成的評估團(tuán)隊(duì)，依據(jù)GB/T20274信息系統(tǒng)安全保障框架，進(jìn)行信息系統(tǒng)安全保障能力級的符合性測評，出具是否滿足信息系統(tǒng)安全保障能力級的測評結(jié)論。2.3.2 適用對象關(guān)注信息系統(tǒng)安全保障能力建設(shè)的國家重要行業(yè)、部委。2.3.3 評估依據(jù)1、GB/T20274信息系統(tǒng)安全保障評估框架2、行業(yè)信息安全標(biāo)準(zhǔn)3、用戶自身業(yè)務(wù)安全需求1.1.5 評估內(nèi)容主要從安全技術(shù)、安全管理和安全工程三個(gè)角度:安全技

8、術(shù)網(wǎng)絡(luò)層安全主機(jī)系統(tǒng)層安全應(yīng)用層安全數(shù)據(jù)安全安全管理風(fēng)險(xiǎn)管理信息安全策略安全組織管理人員安全管理資產(chǎn)管理符合性管理物理安全信息安全規(guī)劃信息系統(tǒng)建設(shè)管理信息系統(tǒng)運(yùn)維管理業(yè)務(wù)連續(xù)性管理事故響應(yīng)安全工程風(fēng)險(xiǎn)過程工程過程保障過程1.1.6 評估方式配置核查由測評人員根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時(shí)的安全配置參數(shù)。工具測試由資深測評人員采用自動(dòng)化工具對被評估系統(tǒng)進(jìn)行漏洞檢測。專家訪談?dòng)少Y深測評人員到委托單位同信息安全主管、IT審計(jì)部門、開發(fā)部門及運(yùn)維部門按我中心調(diào)查模版要求進(jìn)行面對面訪談。資料審閱查閱信息系統(tǒng)建設(shè)、運(yùn)維過程中的過程文檔、記錄，采用分時(shí)段系統(tǒng)查閱和有針對性抽樣查閱的方法進(jìn)行。

9、專家評議組織本中心行業(yè)專家運(yùn)用恰當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法和保障能力級判定方法進(jìn)行集體會診評議。1.1.7 評估成果我中心向委托機(jī)構(gòu)提交信息系統(tǒng)安全評估報(bào)告，并頒發(fā)“信息系統(tǒng)安全審定書”。2.4 遠(yuǎn)程滲透測試2.4.1 工作目標(biāo)由我中心滲透測試小組模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，從攻擊者的角度對目標(biāo)系統(tǒng)的網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用服務(wù)的安全性作深入的非破壞性探測，以發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)。滲透測試通常能以非常明顯、直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。2.4.2 適用對象委托單位關(guān)注來自互聯(lián)網(wǎng)的惡意攻擊2.4.3 測試流程委托單位提出申請，并提受理申請供委托測試的IP地址，測評機(jī)構(gòu)按商務(wù)流程受理。>rjT

10、提供滲透測;式報(bào)告，提供測試結(jié)果包括滲透成功的截屏圖、危害分析和加固建議。2.4.4 測試內(nèi)容信息泄露：對外服務(wù)是否暴露了可能被黑客利用的敏感信息業(yè)務(wù)邏輯測試：系統(tǒng)是否在業(yè)務(wù)邏輯設(shè)計(jì)上存在被黑客利用的漏洞認(rèn)證測試：系統(tǒng)是否存在弱口令、繞過身份認(rèn)證、瀏覽器緩存管理等漏洞會話管理測試：系統(tǒng)是否存在會話劫持、CSRF等漏洞數(shù)據(jù)有效性驗(yàn)證測試：系統(tǒng)是否存在SQL注入、跨占月卻本攻擊、LDAP注入等漏洞拒絕服務(wù)測試：系統(tǒng)是否易受DdOS攻擊Web服務(wù)測試AJAX測試2.4.5 工作方式非現(xiàn)場監(jiān)控-由專門的滲透測試小組通過互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程測試。2.4.6 評估成果我中心向委托機(jī)構(gòu)提交信息系統(tǒng)遠(yuǎn)程滲透測試報(bào)告

11、。2.5 系統(tǒng)安全監(jiān)控2.5.1 工作目標(biāo)由我中心高級測評工程師組成的監(jiān)控團(tuán)隊(duì)，采用我中心內(nèi)部的安全監(jiān)控模版，對委托單位信息系統(tǒng)進(jìn)行黑客入侵、網(wǎng)站掛馬等安全監(jiān)控，經(jīng)過內(nèi)部分析向委托單位提交重大安全隱患分析報(bào)告和安全態(tài)勢分析報(bào)告。2.5.2 適用對象關(guān)注重要時(shí)間段（例如奧運(yùn)期間）信息系統(tǒng)安全穩(wěn)定運(yùn)營的國家重要行業(yè)、部委2.5.4監(jiān)控內(nèi)容門戶網(wǎng)站是否受到黑客威脅網(wǎng)站是否被掛馬網(wǎng)絡(luò)流量是否異常網(wǎng)絡(luò)中病毒泛濫趨勢網(wǎng)絡(luò)中是否存在入侵事件2.5.5 工作方式現(xiàn)場監(jiān)控由測評人員根據(jù)監(jiān)控模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時(shí)的安全信息。非現(xiàn)場監(jiān)控由資深測評人員采用日志分析工具對被監(jiān)控系統(tǒng)的各種日志進(jìn)行綜合分析

12、。2.5.6 評估成果我中心向委托機(jī)構(gòu)提交信息系統(tǒng)安全態(tài)勢分析報(bào)告。2.6 信息系統(tǒng)安全方案評審2.6.1 工作目標(biāo)由我中心組織行業(yè)專家和滲透測試測評工程師，對信息系統(tǒng)安全方案進(jìn)行評估，幫助委托單位了解安全方案在實(shí)施后系統(tǒng)安全是否能實(shí)現(xiàn)最大預(yù)期值。2.6.2 適用對象1 、在信息系統(tǒng)投入建設(shè)之前，希望確定信息系統(tǒng)實(shí)施方案中的安全設(shè)計(jì)是否合理有效，可以申請信息系統(tǒng)安全方案評審。2 、在信息系統(tǒng)即將進(jìn)行擴(kuò)建之前，希望確定信息系統(tǒng)擴(kuò)建方案中的安全設(shè)計(jì)是否合理有效，可以申請信息系統(tǒng)安全方案評審。3 、在面對多種安全方案，無從選擇時(shí)，可以申請信息系統(tǒng)安全方案評審，由中心作為第三方對各個(gè)安全方案進(jìn)行評估，

13、委托單位根據(jù)評估結(jié)果和自身情況，選擇最佳方案。4 、在信息系統(tǒng)投入運(yùn)行后，希望對系統(tǒng)采用的安全方案的合理性和有效性進(jìn)行評估，從而了解在方案實(shí)施后可能存在哪些安全問題，以便作進(jìn)一步的改進(jìn)，可以申請信息系統(tǒng)安全方案評審。2.6.3 評審依據(jù)1 、GB/T20984信息安全風(fēng)險(xiǎn)評估規(guī)范2 、GB/T20274信息系統(tǒng)安全保障評估框架3、行業(yè)信息安全標(biāo)準(zhǔn)4、用戶自身業(yè)務(wù)安全需求2.6.5 評審內(nèi)容安全方案的設(shè)計(jì)是否滿足業(yè)務(wù)安全需求安全方案的設(shè)計(jì)是否滿足相關(guān)法律、法規(guī)以及行業(yè)標(biāo)準(zhǔn)的要求安全方案設(shè)計(jì)是否合理安全方案設(shè)計(jì)是否可行2.6.6 工作方式專家訪談-由資深測評人員通過電話遠(yuǎn)程同方案設(shè)計(jì)者進(jìn)行深層次的

14、業(yè)務(wù)安全需求交流。專家評議-組織行業(yè)專家進(jìn)行集體會診評議。2.6.7 評估成果我中心向委托機(jī)構(gòu)提交信息系統(tǒng)安全方案評審報(bào)告第3章測評內(nèi)容每個(gè)項(xiàng)目的安全測評內(nèi)容可根據(jù)委托單位信息系統(tǒng)的實(shí)際情況定制。下面介紹我中心可提供的測評內(nèi)容。3.1 安全技術(shù)網(wǎng)絡(luò)層安全信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)是否安全合理網(wǎng)絡(luò)訪問控制是否嚴(yán)格有效網(wǎng)絡(luò)安全審計(jì)是否有效是否存在“非法外聯(lián)”行為網(wǎng)絡(luò)入侵防范措施是否有效惡意代碼防范措施是否有效網(wǎng)絡(luò)設(shè)備、安全設(shè)備配置是否安全、有效主機(jī)系統(tǒng)安全（針對操作系統(tǒng)、數(shù)據(jù)庫、中間件）是否能對主機(jī)系統(tǒng)用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段后臺維護(hù)人員的權(quán)限是否是最小授權(quán)后臺維護(hù)人員的邏輯訪問路徑是否可信安全審計(jì)記

15、錄是否完整入侵防范措施、惡意代碼防范是否充分有效主機(jī)系統(tǒng)資源使用是否可控應(yīng)用系統(tǒng)安全（針對應(yīng)用軟件）是否能對應(yīng)用軟件用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段用戶訪問權(quán)限是否是最小授權(quán)安全審計(jì)記錄是否完整剩余信息是否能夠被釋放或重新分配是否能保證通信過程中的完整性、保密性是否能保證交易的抗抵賴性是否能保證軟件容錯(cuò)應(yīng)用系統(tǒng)資源使用是否可控是否存在代碼安全缺陷信息流分析根據(jù)業(yè)務(wù)流程和正確數(shù)據(jù)流向，通過抓取數(shù)據(jù)包判斷信息系統(tǒng)范圍內(nèi)是否有非法數(shù)據(jù)流和異常連接網(wǎng)站掛馬監(jiān)測網(wǎng)站是否被植入木馬無線安全檢測無線局域網(wǎng)設(shè)備配置是否安全合理是否能夠通過無線網(wǎng)絡(luò)非法接入并非法訪問受保護(hù)系統(tǒng)日志分析分析系統(tǒng)安全威脅來源，威脅源可能采

16、用的攻擊方式，對疑似黑客行為進(jìn)行分析并提供相應(yīng)的解決方法3.2 安全管理風(fēng)險(xiǎn)管理是否能夠以信息安全風(fēng)險(xiǎn)管理思想為核心，進(jìn)行風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)控制等風(fēng)險(xiǎn)管理活動(dòng)信息安全策略（管理制度）是否有恰當(dāng)?shù)陌踩芾碇贫润w系安全管理制度體系的制定、審批、維護(hù)流程是否存在并能夠有效組織實(shí)施安全組織管理是否有恰當(dāng)?shù)陌踩芾斫M織架構(gòu)與信息安全相關(guān)的授權(quán)審批、審核檢查流程是否存在并能夠有效組織實(shí)施人員安全管理信息系統(tǒng)后臺維護(hù)技術(shù)人員在錄用、在職、離崗時(shí)是否采取了恰當(dāng)?shù)陌踩芾矸绞绞欠駥氖滦畔踩珝徫坏娜藛T采取了信息安全考核是否對第三方人員訪問內(nèi)部系統(tǒng)采取了安全控制措施是否能夠采取各種措施提高技術(shù)人員的安全意識資產(chǎn)管理是否建立了清晰的資產(chǎn)明細(xì)帳目是否能夠?qū)π畔①Y源分類規(guī)劃、處理和保護(hù)符合性管理信息系統(tǒng)的建設(shè)、運(yùn)維是否符合國家法律法規(guī)、行業(yè)主管以及自身制度的要求物理安全信息系統(tǒng)機(jī)房在物理位置選擇、出入管理、動(dòng)力環(huán)境等方面采取的措施是否有效信息安全規(guī)劃是否制定了信息系統(tǒng)安全長期規(guī)劃和短期規(guī)劃是否能夠?qū)π畔踩o予必要的資金、人員投入信息系統(tǒng)建設(shè)管理是否對信息系統(tǒng)建設(shè)各個(gè)階段