等級(jí)保護(hù)測(cè)評(píng)相關(guān)知識(shí)分享

1、等級(jí)保護(hù)測(cè)評(píng)相關(guān)知識(shí)分享為什么要進(jìn)行測(cè)評(píng)？ 政策要求 信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào))第十四條：信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。 中央財(cái)政資金電子政務(wù)建設(shè)項(xiàng)目建設(shè)單位向?qū)徟块T提出項(xiàng)目竣工驗(yàn)收申請(qǐng)時(shí)，要提供備案證明、測(cè)評(píng)報(bào)告風(fēng)、險(xiǎn)評(píng)估報(bào)告。(發(fā)改高技2008:2071號(hào)) 內(nèi)部需求 確定當(dāng)前安全保護(hù)能力水平 找出差距，為后續(xù)工作提供依據(jù)等級(jí)保護(hù)測(cè)評(píng)職責(zé)分工 國家信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室負(fù)責(zé)隸屬國家信息安全職能部門和重點(diǎn)行業(yè)測(cè)評(píng)機(jī)構(gòu)受理

2、各省等保辦負(fù)責(zé)本省測(cè)評(píng)機(jī)構(gòu)的受理 公安部信息安全等級(jí)保護(hù)評(píng)估中心負(fù)責(zé)測(cè)評(píng)機(jī)構(gòu)的能力評(píng)估和培訓(xùn)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)業(yè)務(wù)職能 國字頭、職能部門測(cè)評(píng)機(jī)構(gòu)可全國范圍內(nèi)開展業(yè)務(wù)，到地方時(shí)應(yīng)事先告知屬地等保辦。 行業(yè)測(cè)評(píng)機(jī)構(gòu)，原則上開展本行業(yè)測(cè)評(píng)，到地方時(shí)，應(yīng)與屬地省級(jí)等保辦協(xié)調(diào) 地方測(cè)評(píng)機(jī)構(gòu)原則上本地開展測(cè)評(píng)，也可到異地開展測(cè)評(píng)工作，但需事先與當(dāng)?shù)氐缺＾k協(xié)調(diào) http:/ 測(cè)評(píng)機(jī)構(gòu)查詢網(wǎng)址如下：測(cè)評(píng)機(jī)構(gòu)查詢網(wǎng)址如下：等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的業(yè)務(wù)范圍 可以開展的業(yè)務(wù) 等級(jí)保護(hù)測(cè)評(píng) 等級(jí)保護(hù)整改方案的設(shè)計(jì) 不允許開展的業(yè)務(wù) 生產(chǎn)安全產(chǎn)品 承擔(dān)安全項(xiàng)目的集成、實(shí)施系統(tǒng)等級(jí)組合差異安全等級(jí)安全等級(jí)信息系統(tǒng)保護(hù)要求的組合信

3、息系統(tǒng)保護(hù)要求的組合第一級(jí)第一級(jí)S1A1G1第二級(jí)第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)第三級(jí)S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級(jí)第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4業(yè)務(wù)信息安全類（S）系統(tǒng)服務(wù)保障類（A）通用安全保護(hù)類（G）u 測(cè)評(píng)時(shí)應(yīng)明確具體級(jí)別組合等級(jí)保護(hù)測(cè)評(píng)相關(guān)標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南等級(jí)保護(hù)基本要求安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193

4、236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級(jí)差/9011528等級(jí)保護(hù)基本要求的核心 基本要求的核心是安全保護(hù)能力。即需要達(dá)到的基本安全狀態(tài)。安全保護(hù)能力可分為對(duì)抗能力和恢復(fù)能力。 等級(jí)保護(hù)測(cè)評(píng)測(cè)評(píng)的重點(diǎn)就是信息系統(tǒng)的安全保護(hù)能力安全保護(hù)能力要求 第一級(jí)安全保護(hù)能力(自主) 經(jīng)過安全建設(shè)整改，信息系統(tǒng)具有抵御一般性攻擊的能力，防范常見計(jì)算機(jī)病毒和惡意代碼危害的能力；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)主要功能的能力。 第二級(jí)

5、安全保護(hù)能力（指導(dǎo)） 經(jīng)過安全建設(shè)整改，信息系統(tǒng)具有抵御小規(guī)模、較弱強(qiáng)度惡意攻擊的能力，抵抗一般的自然災(zāi)害的能力，防范一般性計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)常見的攻擊行為，并對(duì)安全事件進(jìn)行記錄的能力；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)的能力。安全保護(hù)能力要求 第三級(jí)安全保護(hù)能力（監(jiān)督） 經(jīng)過安全建設(shè)整改，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；具有對(duì)安全事件進(jìn)行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力

6、；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能快速恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力 以上定義來自信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南等級(jí)保護(hù)測(cè)評(píng)內(nèi)容 單元測(cè)評(píng) 測(cè)評(píng)指標(biāo)（依照基本要求） 測(cè)評(píng)實(shí)施（描述測(cè)評(píng)過程中使用的具體測(cè)評(píng)方法、涉及的測(cè)評(píng)對(duì)象） 結(jié)果判定（分為符合、不符合、部分符合、不適用） 整體測(cè)評(píng) 單元測(cè)評(píng)的基礎(chǔ)上，通過進(jìn)一步分析信息系統(tǒng)的整體安全性，對(duì)信息系統(tǒng)實(shí)施的綜合安全測(cè)評(píng)等級(jí)保護(hù)測(cè)評(píng)方法 三種基本測(cè)評(píng)方法：訪談Interview檢查Examine測(cè)試Test等級(jí)保護(hù)測(cè)評(píng)方法-訪談 訪談的對(duì)象是人員。 典型的訪談包括：訪談信息安全主管、信息系統(tǒng)安全管理員、系

7、統(tǒng)管理員、網(wǎng)絡(luò)管理員、人力資源管理員、設(shè)備管理員和用戶等。 通過引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的（有針對(duì)性的）交流以幫助測(cè)評(píng)人員理解、分析或取得證據(jù)的過程。目的是為了了解信息系統(tǒng)的全局性等級(jí)保護(hù)測(cè)評(píng)方法-檢查 檢查包括：評(píng)審、核查、審查、觀察、研究和分析等方式。 檢查對(duì)象包括文檔、機(jī)制、設(shè)備等。 適用情況： 對(duì)技術(shù)要求，檢查的內(nèi)容應(yīng)該是具體的、較為詳細(xì)的機(jī)制配置和運(yùn)行實(shí)現(xiàn) 。 對(duì)管理要求，檢查方法主要用于規(guī)范性要求（檢查文檔）。訪談與檢查內(nèi)容的區(qū)別以主機(jī)安全中身份鑒別要求為例a) 應(yīng)訪談系統(tǒng)管理員和數(shù)據(jù)庫管理員，詢問操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的身份標(biāo)識(shí)與鑒別機(jī)制采取何種措施實(shí)現(xiàn)； b) 應(yīng)檢查關(guān)

8、鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫管理系統(tǒng)，查看是否提供了身份鑒別措施。 等級(jí)保護(hù)測(cè)評(píng)方法-測(cè)試 測(cè)試包括：功能/性能測(cè)試、滲透測(cè)試等。 測(cè)評(píng)對(duì)象包括機(jī)制和設(shè)備等。 測(cè)試一般需要借助特定工具。 掃描檢測(cè)工具 網(wǎng)絡(luò)協(xié)議分析儀 攻擊工具 滲透工具 適用情況： 對(duì)技術(shù)要求，測(cè)試的目的是驗(yàn)證信息系統(tǒng)當(dāng)前的、具體的安全機(jī)制或運(yùn)行的有效性或安全強(qiáng)度。 對(duì)管理要求，一般不采用測(cè)試技術(shù)。整體測(cè)評(píng)分析測(cè)評(píng)形成文檔 測(cè)評(píng)指導(dǎo)書 測(cè)評(píng)方案 測(cè)評(píng)報(bào)告測(cè)評(píng)指導(dǎo)書 測(cè)評(píng)對(duì)象準(zhǔn)確 步驟描述準(zhǔn)確詳細(xì)，預(yù)期結(jié)果明確測(cè)評(píng)方案測(cè)評(píng)方案系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告1、項(xiàng)目概述。 主要內(nèi)容包括：介紹本次測(cè)評(píng)工作目的，開展測(cè)評(píng)依據(jù)的政策和標(biāo)準(zhǔn)，明確等級(jí)測(cè)

9、評(píng)工作任務(wù)安排和時(shí)間要求，以及報(bào)告分發(fā)范圍。2、被測(cè)信息系統(tǒng)。 主要內(nèi)容包括：以圖表形式簡(jiǎn)要列出被測(cè)系統(tǒng)基本信息，描述被測(cè)評(píng)系統(tǒng)的業(yè)務(wù)應(yīng)用情況，通過拓?fù)浣Y(jié)構(gòu)圖介紹系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)基本情況，按照常見的分類以表格形式列出系統(tǒng)的構(gòu)成，描述被測(cè)信息系統(tǒng)的運(yùn)行環(huán)境中與安全相關(guān)的部分。3、等級(jí)測(cè)評(píng)范圍與方法。 主要內(nèi)容包括：一是測(cè)評(píng)指標(biāo)，包括基本指標(biāo)和特殊指標(biāo)。依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)，選擇基本要求中對(duì)應(yīng)級(jí)別的安全要求作為等級(jí)測(cè)評(píng)的基本指標(biāo)。結(jié)合行業(yè)和系統(tǒng)的實(shí)際，以列表形式給出特殊指標(biāo)。二是測(cè)評(píng)對(duì)象，根據(jù)一定的規(guī)則和方法，以表格形式列出測(cè)評(píng)對(duì)象的選擇結(jié)果。三是測(cè)評(píng)方法，列出

10、現(xiàn)場(chǎng)測(cè)評(píng)（訪談、檢查、測(cè)試）的方法4、單元測(cè)評(píng)。包括測(cè)評(píng)指標(biāo)涉及的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全等10個(gè)方面，每一個(gè)方面的描述由結(jié)果記錄、問題分析和單元測(cè)評(píng)結(jié)果等三個(gè)部分構(gòu)成。5、整體測(cè)評(píng)。參照測(cè)評(píng)要求從安全控制間、層面間、區(qū)域間和系統(tǒng)結(jié)構(gòu)等方面對(duì)單元測(cè)評(píng)的結(jié)果進(jìn)行驗(yàn)證、分析和整體評(píng)價(jià)。6、測(cè)評(píng)結(jié)果匯總。一是以表格形式匯總測(cè)評(píng)結(jié)果。二是以柱狀圖形式統(tǒng)計(jì)不同設(shè)備和安全子類的測(cè)評(píng)結(jié)果。三是以表格形式匯總信息系統(tǒng)中存在的安全問題。7、風(fēng)險(xiǎn)分析和評(píng)價(jià)。依據(jù)等級(jí)保護(hù)的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險(xiǎn)分析的方法分析信息系統(tǒng)等級(jí)測(cè)評(píng)結(jié)果中存在的安全問題（等級(jí)測(cè)評(píng)結(jié)果中部分符合項(xiàng)或不符合項(xiàng)的匯總結(jié)果）可能對(duì)信息系統(tǒng)安全造成的影響。系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告模板8、等級(jí)測(cè)評(píng)結(jié)論、等級(jí)測(cè)評(píng)結(jié)論應(yīng)表述為“符合、“基本符合”或者“不符合”。9、安全建設(shè)整改建議、安全建設(shè)整改建議后續(xù)應(yīng)該在那些方面進(jìn)行加強(qiáng)系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告模板總結(jié)等級(jí)保護(hù)提出了安全防護(hù)達(dá)到的目標(biāo)，沒有限定具等級(jí)保護(hù)提出了安全防護(hù)達(dá)到的目標(biāo)，沒有限定具體的技術(shù)實(shí)現(xiàn)