等级保护测评讲解ppt课件

1、等级保护测评介绍,于海翔,2,主要内容,1.等级保护测评目的 2.等级保护测评依据 3.等级保护测评原则,等级保护测评简介,1.等级保护测评目的 2.等级保护测评依据 3.等级保护测评原则,等级保护测评简介,5,等级保护测评目的,对信息系统安全防护体系能力的分析与确认， 发现存在的安全隐患， 帮助运营使用单位认识不足， 及时改进， 有效提升其信息安全防护水平,等级保护测评的主要目的是,遵循国家等级保护有关规定的要求， 对信息系统安全建设进行符合性测评,1.等级保护测评目的 2.等级保护测评依据 3.等级保护测评原则,等级保护测评简介,7,等级保护测评依据,1.信息系统建设完成后，运营、使用单位

2、或者其主管部门应当选择符合本办法规定条件的测评机构，依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评； 2.第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评； 3.信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查； 4.经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方

3、案进行整改,信息安全等级保护管理办法(公通字200743号,8,等级保护测评依据,GB17859-1999 计算机信息系统安全保护等级划分准则,GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求,GB/T 20008-2005 信息安全技术 操作系统安全测评准则 GB/T 20009-2005 信息安全技术 数据库管理系统安全测评准则 GB/T 20010-2005 信息安全技术 包过滤防火墙测评准则 GB/T 20011-2005 信息安全技术 路由器安全测评准则,相 关 标 准,测评主要标准,参考技术标准,GB/TXXXX-XXXX信息安全技术信息系统安全等级保护测评要

4、求 (报批稿,GB/T24856-2009信息安全技术 信息系统等级保护安全设计技术要求,1.等级保护测评目的 2.等级保护测评依据 3.等级保护测评原则,等级保护测评简介,10,等级保护测评原则,标准性原则,测评工作的开展、方案的设计和具体实施均需依据我国等级保护的相关标准进行,11,等级保护测评原则,标准性原则,规范性原则,为用户提供规范的服务，工作中的过程和文档需具有 良好的规范性，可以便于项目的跟踪和控制,12,等级保护测评原则,标准性原则,可控性原则,规范性原则,为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目 的跟踪和控制,测评过程和所使用的工具具备可控性，

5、测评项目所采用的工具都经过多次测评项目考验，或者是根据具体要求和组织的具体网络特点定制的，具有良好的可控性,13,等级保护测评原则,标准性原则,可控性原则,整体性原则,规范性原则,为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目 的跟踪和控制,测评服务从组织的实际需求出发，从业务角度进行测评，而不是局限于网络、主机等单个的安全层面，涉及到安全管理和业务运营，保障整体性和全面性,14,等级保护测评原则,标准性原则,可控性原则,整体性原则,最小影响原则,规范性原则,为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目 的跟踪和控制,测评工作具备充分的计划

6、性，不对现有的运行和业务的正常提供产生显著影响，尽可能小地影响系统和网络的正常运行,15,等级保护测评原则,标准性原则,可控性原则,整体性原则,最小影响原则,规范性原则,保密性原则,从公司、人员、过程三个方面进行保密控制： 1.测评公司与甲方双方签署保密协议，不得利用测评中的任何数据进行其他有损甲方利益的活动； 2.人员保密，公司内部签订保密协议； 3.在测评过程中对测评数据严格保密,16,等级保护测评原则,标准性原则,可控性原则,整体性原则,最小影响原则,规范性原则,保密性原则,根据被测信息系统的实际业务需求、功能需求、以及对应的安全建设情况，开展针对性较强的测评工作,个性化原则,17,主要

7、内容,18,等级保护测评内容,19,主要内容,20,等级保护测评流程,进行培训交流,前期沟通,制定计划与培训,确定项目范围和目标,提出工作限制要求,项目进度安排,确定项目协调会制度,21,等级保护测评流程,基本信息调查,前期沟通,制定计划与培训,前期客户沟通交流,小组讨论,文档查看,现场勘查,收集资料,基本信息,业务应用,网络结构,系统构成,22,等级保护测评流程,确定测评范围,前期沟通,制定计划与培训,获得被测评系统的信息,确定具体测评对象,确定测评工作的方法,制定测评工作计划,收集资料,测评规划,形成测评指标,制定测评方案,23,等级保护测评流程,前期沟通,制定计划与培训,收集资料,测评规

8、划,测评实施,等级测评实施,物理安全,网络安全,主机安全,应用安全,数据安全 及备份恢复,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,访 谈,检 查,测 试,24,等级保护测评流程,判断安全管理与测评指标的符合度,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,等级测评实施,分析系统差距,判断安全技术与测评指标的符合度,25,等级保护测评流程,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,等级测评实施,分析系统差距,形成报告,编制安全测评报告,26,等级保护测评流程-各阶段提交物,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,形成报告,1

9、本报告模板针对作为单一定级对象的信息系统制定,被测系统基本信息采集表,27,等级保护测评流程-各阶段提交物,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,形成报告,1 本报告模板针对作为单一定级对象的信息系统制定,业务应用软件统计表,关键数据类别统计表,主机/存储设备统计表,28,等级保护测评流程-各阶段提交物,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,形成报告,网络互联及安全设备统计表,安全相关人员统计表,安全管理文档统计表,威胁统计表,29,等级保护测评流程-各阶段提交物,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,形成报告,测评工作计划,测评方案,30

10、,等级保护测评流程-各阶段提交物,前期沟通,测评实施,形成报告,等级测评实施,分析系统差距,现场测评结果 记录表,31,等级保护测评流程-各阶段提交物,前期沟通,测评实施,形成报告,等级测评实施,分析系统差距,单元测评结果 汇总表,32,等级保护测评流程-各阶段提交物,前期沟通,测评实施,形成报告,编制安全测评报告,测评结果 统计表,33,等级保护测评流程-各阶段提交物,前期沟通,测评实施,形成报告,编制安全测评报告,测评结果 统计表,34,等级保护测评流程-各阶段提交物,前期沟通,测评实施,形成报告,制定安全测评报告,安全测评报告,35,主要内容,等级保护测评方式、技术和工具,访谈是测评人员

11、通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。 在访谈的广度上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样；在访谈的深度上，应较全面，需包含通用和高级的问题以及一些有难度和探索性的问题,等级保护测评方式、技术和工具,检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。 在检查的广度上，应基本覆盖所有的对象种类（文档、机制等），数量上可以抽样；在检查的深度上，应较为全面，要有详细、彻底的分析、观察和研究,等级保护测评方式、技术和工具,测试是指测评人员通过对

12、测评对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析响应输出结果，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。 在测试的广度上，应基本覆盖不同类型的机制，在数量、范围上可以抽样；在测试的深度上，应执行安全测试和渗透测试，安全测试可能涉及机制的功能规范、高级设计和操作规程等文档，渗透测试可能涉及机制的所有可用文档，并试图智取进入信息系统,等级保护测评方式、技术和工具,网络扫描,网络扫描用于本地或远程检测系统可能存在的弱点。弱点扫描工具（Scanner）是一个或一组自动化工具，使用弱点扫描工具能够高效率地收集业务系统的信息。例如，一个网络端口扫描工具可以快速识别大量主机开

13、放的服务，获得业务系统所涉及的每个IT 设备的运行状态。网络扫描遵循扫描时间段选择、单点试扫、主备分开等原则。扫描结束后，提交经过分析的扫描报告，以及扫描原始报告,等级保护测评方式、技术和工具,网络扫描,渗透测试利用人工模拟黑客攻击方式发现网络、系统的弱点。需要注意，渗透测试的风险较其它几种手段要大得多，在实际测评中需要斟酌使用,渗透测试,等级保护测评方式、技术和工具,网络扫描,系统分析主要指网络结构和边界分析，它是测评中对业务系统安全性进行全面了解的基础。一个业务系统的网络结构是整个业务系统的承载基础，及时发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性，抗攻击的问题是整个业务系统测评的重要环节。对测评对象的物理网络结构，逻辑网络结构及网络的关键