CISE講義CISP-01-信息安全測評服務(wù)介紹-new

CISP-01-信息安全測評服務(wù)介紹中國信息安全測評中心2008年11月-2-主要內(nèi)容中國信息安全測評中心簡介中國信息安全測評中心資質(zhì)國家信息安全測評體系信息安全保障服務(wù)研究與實踐-3-中國信息安全測評中心簡介中國信息安全產(chǎn)品測評認(rèn)證中心是經(jīng)中央批準(zhǔn)成立的、代表國家專門從事信息技術(shù)安全測試和風(fēng)險評估的權(quán)威職能機構(gòu)。測評中心是國家信息安全保障體系中的重要基礎(chǔ)設(shè)施之一，在國家專項投入的支持下，擁有國內(nèi)一流的信息安全漏洞分析資源和測試評估技術(shù)裝備；建有漏洞基礎(chǔ)研究、應(yīng)用軟件安全、產(chǎn)品安全檢測、系統(tǒng)隱患分析和測評裝備研發(fā)等多個專業(yè)性技術(shù)實驗室；具有專門面向黨政機關(guān)、基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展風(fēng)險評估的國家?？仃犖?。-4-中心標(biāo)志中國信息安全測評中心標(biāo)志英文名稱為：ChinaInformationTechnologySecurityEvaluationCenter簡稱：CNITSEC。-5-中心的籌備與建立中國信息安全產(chǎn)品測評認(rèn)證中心籌建于1997年1998年7月以“中國互聯(lián)網(wǎng)絡(luò)安全產(chǎn)品測評認(rèn)證中心”的名稱試運行1998年10月經(jīng)國家質(zhì)量技術(shù)監(jiān)督局授權(quán)成立了“中國國家信息安全測評認(rèn)證中心”2001年5月，中編辦字[2001]51號文件正式批準(zhǔn)了認(rèn)證中心的職能任務(wù)和機構(gòu)編制，將認(rèn)證中心正式定名為“中國信息安全產(chǎn)品測評認(rèn)證中心”2007年，經(jīng)中央批準(zhǔn)，增加漏洞分析和風(fēng)險評估職能，更名為“中國信息安全測評中心”，成為國家信息安全專控隊伍。

-6-胡錦濤同志批示：

信息安全事關(guān)國家安全，必須予以高度重視。

在2000年3月29日的信息網(wǎng)絡(luò)安全協(xié)調(diào)會議上又強調(diào)“要建設(shè)好信息安全測評認(rèn)證中心”國家領(lǐng)導(dǎo)批示-7-2006年10月25日國家主席胡錦濤同志再次批示：加強測評中心的建設(shè)，明確職責(zé)，發(fā)揮其作用，以排除隱患和漏洞。國家領(lǐng)導(dǎo)批示-8-測評服務(wù)范圍依據(jù)中央授權(quán)，測評中心的主要職能包括：；信息安全漏洞分析；信息安全風(fēng)險評估；信息技術(shù)產(chǎn)品、信息系統(tǒng)和工程安全測試與評估；信息安全服務(wù)和信息安全人員資質(zhì)測評；信息安全技術(shù)咨詢、工程監(jiān)理與開發(fā)服務(wù)。-9-序號服務(wù)內(nèi)容信息技術(shù)安全性測評認(rèn)證測評分級測評自主原創(chuàng)證明源代碼安全性測試選型測試定制測試信息系統(tǒng)安全性測評風(fēng)險評估風(fēng)險評估網(wǎng)銀評估等級保護測評

系統(tǒng)測評系統(tǒng)滲透性測試信息安全服務(wù)資質(zhì)認(rèn)定信息安全工程服務(wù)資質(zhì)信息安全災(zāi)備服務(wù)資質(zhì)信息安全運營服務(wù)資質(zhì)注冊信息安全人員認(rèn)定注冊信息安全專業(yè)人員資質(zhì)注冊信息安全員資質(zhì)信息安全咨詢與監(jiān)理信息系統(tǒng)安全工程監(jiān)理涉密信息系統(tǒng)安全工程監(jiān)理信息安全管理體系咨詢信息安全保障體系規(guī)劃-10-

信息安全產(chǎn)品認(rèn)證（共667個）629款產(chǎn)品通過型號認(rèn)證16款產(chǎn)品通過EAL3級認(rèn)證22款產(chǎn)品通過EAL4/EAL4+級認(rèn)證信息安全服務(wù)資質(zhì)認(rèn)證（共124家）139家信息安全服務(wù)商通過信息安全服務(wù)資質(zhì)一級（安全工程類）認(rèn)證12家信息安全服務(wù)商通過信息安全服務(wù)資質(zhì)二級（安全工程類）認(rèn)證注冊信息安全人員認(rèn)證（共2050人）約2050余人通過注冊信息安全專業(yè)人員（CISE/CISO/CISA）認(rèn)證信息系統(tǒng)安全測評與認(rèn)證（共141項）國內(nèi)近120個信息系統(tǒng)通過信息系統(tǒng)安全測評，其中19個系統(tǒng)達到信息系統(tǒng)安全保障能力級一級6個系統(tǒng)達到信息系統(tǒng)安全保障能力級二級以上數(shù)字截至2008年7月-11-信息安全領(lǐng)域研究

技術(shù)研究：中心的科研隊伍一直致力于信息安全領(lǐng)域尤其是信息安全測評技術(shù)領(lǐng)域的深入研究。自成立至今，已承擔(dān)了國家“863”計劃、國家“973”計劃、國家自然科學(xué)基金委員會、科技部、國家發(fā)展和改革委員會等多個國家重點科研項目。其中《國家信息安全發(fā)展戰(zhàn)略研究》、《系統(tǒng)安全風(fēng)險分析和評估方法研究》等國家“863”計劃課題受到國務(wù)院信息化工作辦公室等指導(dǎo)單位的高度贊揚。-12-信息安全領(lǐng)域研究標(biāo)準(zhǔn)制定：中心組織并參與了包括國家標(biāo)準(zhǔn)GB/T18336-2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》、《信息安全保障等級評估框架》、《電子政務(wù)信息系統(tǒng)安全保障評估準(zhǔn)則》、《網(wǎng)上銀行系統(tǒng)安全保障要求》、《網(wǎng)上證券委托系統(tǒng)安全保障要求》、《應(yīng)用級防火墻安全技術(shù)要求》、《信息安全服務(wù)評價準(zhǔn)則》、《信息安全工程質(zhì)量管理要求》、《電信智能卡安全技術(shù)要求》等在內(nèi)的多個信息安全測評標(biāo)準(zhǔn)的編制工作。-13-中心出版物

編寫并出版了《信息安全理論與技術(shù)》、《信息安全工程與管理》、《信息安全標(biāo)準(zhǔn)與法律法規(guī)》，國家注冊信息安全專業(yè)人員資質(zhì)認(rèn)證選用了該叢書作為參考教材。-14-中心出版物作為國家測評認(rèn)證服務(wù)職能的一個重要體現(xiàn)，中心每年都出版《信息安全產(chǎn)品政府采購指南》，該指南現(xiàn)已廣泛應(yīng)用于國家各級政府部門及重要行業(yè)單位的信息安全采購工作中。-15-中心出版物從2003年開始，中心以雙月刊形式推出《國家信息安全測評認(rèn)證》雜志，為業(yè)界提供了一個信息安全技術(shù)交流平臺。-16-組織編寫了《信息安全國際視野叢書》

《信息安全保障的手段和工具-俄羅斯信息安全產(chǎn)業(yè)情況（上、下冊）》《關(guān)鍵信息基礎(chǔ)設(shè)施保護-十四國安全保護政策陳述和分析》《信息安全的科技支撐-美國信息安全產(chǎn)業(yè)研究》《信息時代的國家安全防護網(wǎng)-美國訪客系統(tǒng)》《網(wǎng)絡(luò)時代的安全治理-美國信息安全管理體制研究》編委會顧問包括（按姓氏筆畫排列）：曲維枝、何德全、周仲義、沈昌祥、蔡吉人、王渝次等-17-國際交流

中心自成立以來，一直擔(dān)負(fù)著國家賦予的與世界各國相應(yīng)測評認(rèn)證機構(gòu)進行國際交流與合作的職責(zé)。目前，中心已代表我國參加第一屆（美國）、第二屆（英國）至第八屆“信息安全測評認(rèn)證標(biāo)準(zhǔn)與互認(rèn)國際會議”。與美國、俄羅斯、英國、法國、德國、新加坡、日本等國家開展信息安全測試評估技術(shù)的交流、講學(xué)等技術(shù)交流活動。-18-國際交流2003年2月，中國信息安全測評中心受國家發(fā)展和改革委員會委托，代表中國政府與美國微軟公司簽署了政府安全計劃（GSP）源代碼協(xié)議，并于2006年2月將該協(xié)議續(xù)簽。-19-主要內(nèi)容中國信息安全測評中心簡介中國信息安全測評中心資質(zhì)國家信息安全測評體系信息安全保障服務(wù)研究與實踐-20-認(rèn)證中心的資質(zhì)

中國信息安全測評中心——是正局級事業(yè)單位，隸屬于國家質(zhì)量監(jiān)督檢驗檢疫總局；其職能任務(wù)和機構(gòu)編制是經(jīng)中央編制委員會正式批準(zhǔn)的；中國信息安全測評中心及其所屬的兩個測評實驗室均已獲得了國家相關(guān)機構(gòu)的認(rèn)可證書，其服務(wù)范圍與測評技術(shù)能力經(jīng)過國家嚴(yán)格審查與認(rèn)可-21-《中國實驗室國家認(rèn)可委員會認(rèn)可證書》（1）

中國信息安全測評中心信息安全實驗室，獲得中國實驗室國家認(rèn)可委員會頒發(fā)的《中國實驗室國家認(rèn)可委員會認(rèn)可證書》-22-《中國實驗室國家認(rèn)可委員會認(rèn)可證書》（2）

中國信息安全測評中心系統(tǒng)工程實驗室，獲得中國實驗室國家認(rèn)可委員會頒發(fā)的《中國實驗室國家認(rèn)可委員會認(rèn)可證書》-23-《涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)證書—工程監(jiān)理》

2007年9月中國信息安全測評中心獲得國家保密局頒發(fā)的涉及國家秘密的計算機信息系統(tǒng)監(jiān)理資質(zhì)。-24-主要內(nèi)容中國信息安全產(chǎn)品測評認(rèn)證中心簡介中國信息安全產(chǎn)品測評認(rèn)證中心資質(zhì)國家信息安全測評認(rèn)證體系信息安全保障服務(wù)研究與實踐-25-國家信息安全測評認(rèn)證體系為適應(yīng)全球經(jīng)濟一體化的發(fā)展趨勢和我國加入WTO的客觀要求，我國于1997年依循國際慣例開始啟動國家信息安全測評及認(rèn)證體系籌建工作。-26-國家信息安全測評認(rèn)證體系計算機測評中心上海測評中心東北測評中心華中測評中心深圳測評中心西南測評中心武漢互操作測評中心身份認(rèn)證測評中心云南測評中心重慶測評中心西北測評中心河南測評中心山東測評中心通訊安全測評中心-27-主要內(nèi)容中國信息安全產(chǎn)品測評認(rèn)證中心簡介中國信息安全產(chǎn)品測評認(rèn)證中心資質(zhì)國家信息安全測評認(rèn)證體系信息安全保障服務(wù)研究與實踐-28-信息安全保障服務(wù)中國信息安全測評中心自成立至今，一貫致力于國家信息安全保障體系的建設(shè)工作，依托測評服務(wù)平臺，整合各類資源，為各政府機構(gòu)、社會用戶提供多方面、多角度、多層次的信息安全服務(wù)，為國家的信息安全保障體系建設(shè)提供有力的技術(shù)支持。測評中心曾先后參與國家稅務(wù)總局、國家財政部、最高人民檢察院、、國家鐵道部中國人民銀行、中國證監(jiān)會、中國民航、國家廣電總局等多家單位的網(wǎng)絡(luò)信息系統(tǒng)安全建設(shè)工作，在總體安全方案制定、安全咨詢顧問、安全工程項目監(jiān)理、信息系統(tǒng)安全性測試評估等方面為這些用戶提供了專業(yè)服務(wù)。-29-專業(yè)測評技術(shù)服務(wù)隊伍

中國信息安全產(chǎn)品測評認(rèn)證中心擁有一支高素質(zhì)的測評隊伍。所有測試評估人員都經(jīng)過嚴(yán)格的專業(yè)培訓(xùn)并通過“注冊信息安全專業(yè)人員（CISP）”的國家資質(zhì)考核，其扎實的專業(yè)知識、技術(shù)和技能，是確保測評工作質(zhì)量的重要保證，曾出色完成多個政府機構(gòu)、銀行、證券、電信等組織機構(gòu)的信息安全測評項目，具有豐富的測評經(jīng)驗。同時中心還擁有一支強大的專家隊伍，包括中國工程院院士、研究員、博士、歸國留學(xué)人員等來自信息安全各領(lǐng)域的專家學(xué)者。對中心的測評技術(shù)研究、測評標(biāo)準(zhǔn)制定、測評工作評審以及大型信息安全測評項目等進行專業(yè)指導(dǎo)和顧問-30-信息安全風(fēng)險評估

2005年中心受國務(wù)院信息化工作辦公室委托，承擔(dān)了國家稅務(wù)系統(tǒng)風(fēng)險評估以及云南省政府辦公網(wǎng)絡(luò)系統(tǒng)風(fēng)險評估的試點工作。并參加了國家信息系統(tǒng)安全風(fēng)險評估實施指南、實施標(biāo)準(zhǔn)、評估方法等系列標(biāo)準(zhǔn)的研究與開發(fā)工作。2006年7月在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室下發(fā)的信安通[2006]16號《關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》中，中心作為國家專門隊伍承擔(dān)了鐵道部鐵路貨票信息管理系統(tǒng)和中國民航離港信息系統(tǒng)的安全抽查評估任務(wù)。其評估方法和結(jié)果將為國信辦落實對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查工作提供重要依據(jù)。-31-2006年8月在中國證監(jiān)會組織的證券期貨業(yè)的信息安全風(fēng)險評估試點工作中，中心積極參與了制定《證券行業(yè)信息安全風(fēng)險評估工作指南》的編寫，并承擔(dān)證券行業(yè)試點國泰君安證券有限公司集中交易系統(tǒng)風(fēng)險評估的項目實施，為探索證券期貨業(yè)信息系統(tǒng)安全的適用性、合理性，積累了寶貴經(jīng)驗。2007年7月中國信息安全產(chǎn)品測評認(rèn)證中心在國務(wù)院信息化領(lǐng)導(dǎo)小組工作辦公室組織的2007年度國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)檢查評估工作中，作為國家專門隊伍承擔(dān)了：《深圳國稅信息系統(tǒng)安全檢查評估》、《中國證券登記結(jié)算公司信息系統(tǒng)安全檢查評估》。信息安全風(fēng)險評估-32-2008年國家部委級安全服務(wù)項目1.國家稅務(wù)總局委托我中心開展稅務(wù)信息系統(tǒng)2008年度日常信息安全及特殊時期（兩會、奧運會、法定長假）安全服務(wù)，查找漏洞排除隱患，制訂漏洞修補建議，以確保稅務(wù)信息系統(tǒng)的正常穩(wěn)定運行。

2.2008年3月分別承擔(dān)了國家稅務(wù)總局應(yīng)用安全咨詢與風(fēng)險評估項目、總局風(fēng)險評估項目、稅務(wù)系統(tǒng)安全檢查評估等安全服務(wù)項目。

3.2008國家財政部涉密網(wǎng)絡(luò)整合項目安全工程咨詢與監(jiān)理。-33-黨政系統(tǒng)最高人民檢察院國家發(fā)展與改革委員會國家統(tǒng)計局國家安全部全國政協(xié)國家稅務(wù)總局國家財政部海關(guān)總署國家新聞出版總署國家鐵道部建設(shè)部國家知識產(chǎn)權(quán)局科技部中共中央對外聯(lián)絡(luò)部國家外匯管理局證監(jiān)會江蘇省政府辦公廳……-34-關(guān)鍵基礎(chǔ)設(shè)施北京第29屆奧運會組織委員會中國金融認(rèn)證中心(CFCA)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)鐵道部全國客票預(yù)訂與發(fā)售系統(tǒng)鐵道部鐵路貨票信息系統(tǒng)中國民航離港信息系統(tǒng)中國電信CA系統(tǒng)中國網(wǎng)通中國聯(lián)通中國移動國家電力中國北方……-35-銀行系統(tǒng)中國人民銀行中國建設(shè)銀行中國工商銀行中國招商銀行中國光大銀行中國民生銀行興業(yè)銀行交通銀行南京商業(yè)銀行北京市農(nóng)村商業(yè)銀行廣東省南海農(nóng)聯(lián)社好易聯(lián)支付系統(tǒng)銀聯(lián)支付系統(tǒng)寧波市商業(yè)銀行溫州市商業(yè)銀行貴陽市商業(yè)銀行重慶市商業(yè)銀行昆明市商業(yè)銀行長沙市商業(yè)銀行浙商銀行……-36-證券、保險系統(tǒng)國泰君安證券中國銀河證券長城證券上海財政證券東方證券華夏證券中信證券中國人民財產(chǎn)保險公司新華人壽保險公司……對風(fēng)險評估的理解與分析國家政策27號文件提出了明確要求：

要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險等因素，進行相應(yīng)等級的安全建設(shè)和管理2003年，國務(wù)院信息辦成立風(fēng)險評估課題組，開展有關(guān)調(diào)研工作。2005年在銀行、稅務(wù)、電力等行業(yè)和部門以及北京、上海、黑龍江、云南等地方開展試點，取得了預(yù)期效果。2005年12月，國家網(wǎng)絡(luò)與信息安全系統(tǒng)小組第五次會議審議通過了《關(guān)于開展信息安全風(fēng)險評估工作的意見》，提出了風(fēng)險評估的原則、工作要求和工作部署。2006年3月，國務(wù)院信息辦分別在北京和昆明召開了風(fēng)險評估文件宣貫會，并印發(fā)了《信息安全風(fēng)險評估指南》。國家發(fā)展和改革委員會令[2007]第55號項目建設(shè)單位或其委托的專業(yè)機構(gòu)應(yīng)按照風(fēng)險評估的相關(guān)規(guī)定，對建成項目進行信息安全風(fēng)險評估，檢驗其網(wǎng)絡(luò)和信息系統(tǒng)對安全環(huán)境變化的適應(yīng)性及安全措施的有效性，保障信息安全目標(biāo)的實現(xiàn)2008年8月6日國家發(fā)展和改革委員會、公安部、國家保密局《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》發(fā)改高技[2008]2071號：國家電子政務(wù)網(wǎng)絡(luò)、重點業(yè)務(wù)信息系統(tǒng)、基礎(chǔ)信息庫以及相關(guān)支撐體系等國家電子政務(wù)工程建設(shè)項目，應(yīng)開展信息安全風(fēng)險評估工作；非涉密信息系統(tǒng)的信息安全風(fēng)險評估，有國家信息技術(shù)安全研究中心、中國信息安全測評中心、公安部信息安全等級保護評估中心等三家專業(yè)測評機構(gòu)承擔(dān)國家對風(fēng)險評估用戶范圍確定重點部門、重點行業(yè)（電信、廣電、銀行、證券、保險、稅務(wù)、海關(guān)、鐵路、民航、電力）的網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險評估工作提出了明確要求。掌握信息系統(tǒng)安全現(xiàn)狀；獲得信息安全評估工作的經(jīng)驗；提高組織管理層和技術(shù)人員的技術(shù)風(fēng)險意識；明確今后信息技術(shù)安全工作的方向；為行業(yè)信息技術(shù)安全工作做出了有益的探索。40安全風(fēng)險評估對組織的意義《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信息安全風(fēng)險評估工作的意見》《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》《GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》《GB/T20274-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架》《電子政務(wù)信息系統(tǒng)安全保障要求》技術(shù)依據(jù)信息系統(tǒng)保障風(fēng)險功能、機制架構(gòu)、流程漏洞威脅評估概念及關(guān)系序號工作方式描述1內(nèi)部溝通指評估小組內(nèi)部，或協(xié)調(diào)員與被評估組織內(nèi)部、或評估小組和協(xié)調(diào)員之間的溝通活動。2現(xiàn)場勘查現(xiàn)場勘測是指在項目實施過程中通過現(xiàn)場評估人員對實際環(huán)境的觀察的方式完成檢查評估的某些項工作，比如物理環(huán)境與存儲介質(zhì)情況的評估。3訪談評估小組與被評估組織內(nèi)有關(guān)的管理、技術(shù)和一般員工進行逐個溝通。根據(jù)對評估人員所提問題的回答，評估人員為評估獲得相應(yīng)信息。4研討會評估小組與被評估組織的若干人員進行交流，從而獲得相關(guān)信息或就某些問題達成共識。5文檔評估文檔評估是整個檢查評估過程最初的階段，即在進行現(xiàn)場實施檢查評估前靜態(tài)評估階段主要的工作內(nèi)容，對用戶提交的各類文檔進行審閱。6工具檢測評估人員通過自動化的工具檢測被評估對象，根據(jù)檢測的結(jié)果，評估人員為評估獲得相應(yīng)信息。7手工檢測評估人員通過手工方式讀取被評估對象的環(huán)境狀況、配置情況，從而采集被評估對象的信息。風(fēng)險評估方式國內(nèi)外安全標(biāo)準(zhǔn)行業(yè)安全規(guī)定用戶資料技術(shù)管理工程-=風(fēng)險級別安全要求安全現(xiàn)狀差距分析法階段任務(wù)工作日啟動準(zhǔn)備階段資料準(zhǔn)備、調(diào)研、評估培訓(xùn)、編寫評估8現(xiàn)場測試階段安全技術(shù)測試和安全管理核查7風(fēng)險分析階段分析現(xiàn)場檢測結(jié)果，編制系統(tǒng)安全風(fēng)險評估報告7安全建議階段根據(jù)用戶需求編寫安全改進建議書5風(fēng)險評估時間進度安排網(wǎng)絡(luò)基礎(chǔ)設(shè)施1網(wǎng)絡(luò)架構(gòu)設(shè)計的安全性評估；所使用的網(wǎng)絡(luò)協(xié)議的安全性評估；網(wǎng)絡(luò)層次設(shè)施設(shè)備的安全配置檢查與評估；網(wǎng)絡(luò)層次安全脆弱性檢測與評估；網(wǎng)絡(luò)層次的滲透測試；網(wǎng)絡(luò)層次數(shù)據(jù)流檢測與評估業(yè)務(wù)支撐平臺2應(yīng)用系統(tǒng)安全3業(yè)務(wù)應(yīng)用架構(gòu)設(shè)計、應(yīng)用協(xié)議選用的安全評估；業(yè)務(wù)應(yīng)用程序安全功能設(shè)計、安全功能實現(xiàn)的測試驗證評估；業(yè)務(wù)信息流設(shè)計、業(yè)務(wù)信息流檢測的安全評估；業(yè)務(wù)應(yīng)用程序的安全配置核查評估與應(yīng)用程序滲透測試；安全管理評估4安全管理基礎(chǔ)域安全管理核心域安全管理重要過程域安全管理生命周期域網(wǎng)絡(luò)設(shè)備安全設(shè)備服務(wù)器設(shè)備各種WEB服務(wù)器系統(tǒng)、中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、企業(yè)級防病毒系統(tǒng)等；業(yè)務(wù)支撐平臺系統(tǒng)的安全脆弱性檢測與評估；業(yè)務(wù)支撐平臺系統(tǒng)的滲透測試評估內(nèi)容安全管理審核參考安全管理核心域安全策略風(fēng)險管理安全管理基礎(chǔ)域安全組織體系人事安全資產(chǎn)管理物理和環(huán)境安全符合性管理保障過程域應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)性生命周期管理域信息安全規(guī)劃系統(tǒng)開發(fā)管理運行管理安全技術(shù)評估信息系統(tǒng)安全技術(shù)分析檢測業(yè)務(wù)系統(tǒng)安全功能驗證測試內(nèi)部安全脆弱性檢測系統(tǒng)體系架構(gòu)安全性分析安全滲透性測試安全配置檢查業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)用支撐平臺信息系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑盒測試灰盒測試整體分析評估內(nèi)容滲透測試方式滲透測試內(nèi)部滲透外部滲透應(yīng)用層主機層網(wǎng)絡(luò)層從外到內(nèi)從上到下檢測系統(tǒng)抗外部攻擊的能力。評估內(nèi)容等級標(biāo)識描述5極高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟或社會影響，如組織信譽嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營，經(jīng)濟損失重大、社會影響惡劣4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟或社會影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽造成損害3中一旦發(fā)生會造成一定的經(jīng)濟、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決1很低一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補風(fēng)險等級風(fēng)險評估項目流程風(fēng)險評估流程資料準(zhǔn)備：在啟動準(zhǔn)備階段，根據(jù)《系統(tǒng)風(fēng)險評估文檔準(zhǔn)備說明》準(zhǔn)備資料：前期調(diào)研：組織評估工作組成員對確定的實施范圍進行走訪。通過前期快速的調(diào)研，評估工作組可以基本掌握評估范圍內(nèi)信息系統(tǒng)和人員的實際情況，并與配合人員進行初步的溝通，確定評估實施中必須具備的技術(shù)工具和手段，以及基本的時間安排和必要的工作準(zhǔn)備。評估培訓(xùn)：評估實施前對被評估單位工作人員進行的評估基本概念、實施過程等相關(guān)基礎(chǔ)知識的宣貫和闡明的過程。通過信息安全風(fēng)險評估培訓(xùn)，試點單位相關(guān)的人員初步掌握了評估的基本知識，明確了工作的目的、意義和工作的重點，為試點工作的順利開展打下了良好的基礎(chǔ)。風(fēng)險控制方案：評估工作本身不可避免地會帶來各種風(fēng)險。實施風(fēng)險控制主要包括實施風(fēng)險分析和根據(jù)具體評估范圍制定的風(fēng)險控制方案。評估項目管理計劃：根據(jù)評估項目的實施特性，制定了信息安全風(fēng)險評估項目控制與管理計劃啟動準(zhǔn)備階段資產(chǎn)評估：資產(chǎn)評估是確定資產(chǎn)在信息安全屬性（機密性、完整性、可用性等）缺失時，對信息系統(tǒng)造成的影響的過程。在實際的評估中，資產(chǎn)評估包含：資產(chǎn)識別、資產(chǎn)安全要求識別、資產(chǎn)賦值威脅評估：威脅評估是通過技術(shù)手段、統(tǒng)計數(shù)據(jù)和經(jīng)驗判斷來確定信息系統(tǒng)面臨的威脅的過程。威脅評估中的主要工作包括兩個方面，一是要根據(jù)特定資產(chǎn)運行環(huán)境來確定其所面臨的威脅來源，另一方面要確定這些威脅的嚴(yán)重程度和發(fā)生的頻率。每個資產(chǎn)由于所處的環(huán)境不同，面臨的威脅也不盡相同，因此對評估范圍內(nèi)的資產(chǎn)需要根據(jù)資產(chǎn)評估的分類結(jié)果