版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、信息系统安全等级保护信息系统安全等级保护要求、资质、工具和收费要求、资质、工具和收费武汉安域信息安全技术有限公司武汉安域信息安全技术有限公司余少波余少波 博士博士地址:湖北武汉东湖开发区武大园路6号电话邮: 要求要求1资质资质2内容内容工具工具3收费收费4等级测评管理工具等级测评管理工具5 1 1、测评机构要求、测评机构要求- -基本条件基本条件(一)(一)在中华人民共和国境内注册成立(港澳台地区除外); (二)(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外); (三)(三)产权关系明晰,注册资金100万元以上; (四)(四)从事信息系统检
2、测评估相关工作两年以上; (五)(五)单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (六)(六)具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于80%。其中测评技术人员不少于10人; (七)(七)具备必要的办公环境、设备、设施及完备的安全管理制度; (八)(八)对国家安全、社会秩序、公共利益不构成威胁; (九)(九)应当具备的其他条件。 1 1、测评机构要求、测评机构要求- -申请材料申请材料(一)(一)信息安全等级保护测评机构申请书; (二)(二)当地公安网安部门的推荐意见; (三)(三)营业执照及其他注册证明文件; (四)(四)
3、内设组织机构与岗位设置情况表; (五)(五)工作人员基本情况表、证明材料和声明; (六)(六)办公场地、设备与设施情况表; (七)(七)安全测评设备、工具配备情况表; (八)(八)信息系统安全测评能力报告; (九)(九)保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件; (十)(十)需要提供的其他材料。 1 1、测评机构要求、测评机构要求- -业务范围业务范围地方测评机构地方测评机构在本地开展测评业务,行业测评机构行业测评机构在行业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地等级保护协调(领导)小组办公室协调; 承担有关部门委托的安全测评专项任务; 配合当地公安网安
4、部门对信息系统进行监督、检查; 开展风险评估、信息安全培训、咨询服务和信息安全工程监理; 为当地信息安全等级保护工作提供技术支持和服务; 其他有关文件规定的职责任务。 1 1、测评机构要求、测评机构要求- -禁止开展的活动禁止开展的活动承担信息系统安全建设整改工作; 将等级测评任务分包、外包; 信息安全产品开发、营销和信息系统集成活动; 限定被测评单位购买、使用其指定的信息安全产品; 未经许可占有、使用有关测评信息、资料及数据文件; 其他可能影响测评客观、公正的活动。 1 1、测评机构要求、测评机构要求- -设施与设备设施与设备1、 等级测评机构应具备必要的办公环境、设备、设施和管理系统。2
5、、等级测评机构应具备满足等级测评工作需要的工具,如漏洞扫描器、协议分析仪、性能测试仪和渗透测试工具等。3 、等级测评机构应具备符合相关要求的机房以及必要的软、硬件设备,用于满足信息系统仿真、技术培训和模拟测试的需要。 要求要求1资质资质2内容内容工具工具3收费收费4等级测评管理工具等级测评管理工具5 2 2、测评机构资质、测评机构资质(1)注册资金最好在)注册资金最好在1000万元,营业执照。万元,营业执照。(2)测评机构能力评估报告。)测评机构能力评估报告。(3)测评机构能力评估合格证书。)测评机构能力评估合格证书。(4)测评机构推荐证书。)测评机构推荐证书。(5)测评机构)测评机构ISO9
6、000质量管理体系证书。质量管理体系证书。(6)测评机构计量认证证书。)测评机构计量认证证书。(7)测评机构税务登记证。)测评机构税务登记证。(8)测评机构组织机构代码证。)测评机构组织机构代码证。 2 2、测评机构资质、测评机构资质- -注册资金,营业执照注册资金,营业执照 2 2、测评机构资质、测评机构资质- -测评机构能力评估报告测评机构能力评估报告 2 2、测评机构资质、测评机构资质- -测评机构能力评估合格证书测评机构能力评估合格证书 2 2、测评机构资质、测评机构资质- -测评机构推荐证书测评机构推荐证书 2 2、测评机构资质、测评机构资质- -测评机构推荐证书测评机构推荐证书 2
7、 2、测评机构资质、测评机构资质- -测评人员认证证书测评人员认证证书 2 2、测评机构资质、测评机构资质- -测评机构测评机构ISO9000ISO9000证书证书 2 2、测评机构资质、测评机构资质- -测评机构计量认证证书测评机构计量认证证书 2 2、测评机构资质、测评机构资质- -测评机构税务登记证测评机构税务登记证 2 2、测评机构资质、测评机构资质- -测评机构组织机构代码证测评机构组织机构代码证 要求要求1资质资质2内容内容工具工具3收费收费4等级测评管理工具等级测评管理工具5 3 3、测评工具、测评工具等级测评最主要的手段是访谈,因此主观因素的干扰不可避免。自动化、规范化的等级测
8、评工具必不可少。优秀的测评工具应能够清晰的梳理测评流程;合理分配测评项目到各个专业技术团队;通过丰富的测评知识库有效降低等级测评难度,提高等级测评效率;测评案例的模板化(如:门户网站、数据库等);对测评结果自动进行分析,提取出不符合项,进行风险分析;安全趋势分析(对历年的自查与等级测评结果进行关联分析)。 等级测评活动是确保信息安全等级保护工作的关键环节,通过测评能够了解系统的安全现状与等级保护要求之间的差距,明确安全整改的目标与方向。工具测试作为一种高灵活性的辅助测试手段,在测评活动中发挥着重要作用。 3 3、测评工具、测评工具- -分类分类根据在等级测评过程中任务的不同,等级测评工具可以分
9、成如下三大类:1)等级测评安全测试工具:)等级测评安全测试工具:主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的弱点进行分析,或实施基于弱点的攻击。此类工具又可进一步细分为脆弱性扫描工具、渗透测试工具和静态分析工具;2)等级测评辅助工具:)等级测评辅助工具:主要实现对数据的采集、现状分析和趋势分析等单项功能;3)等级测评管理工具:)等级测评管理工具:主要用于规范等级测评的过程和操作方法;或者是用于收集测评所需要的数据和资料,并根据测评知识库和推理专家知识库辅助测评人员进行测评结果判断。 3 3、测评工具、测评工具- -安全测试工具安全测试工具包括脆弱性扫描工具脆弱性扫描工具
10、、渗透性测试工具渗透性测试工具和静态分析工具静态分析工具。脆弱性扫描工具又称为安全扫描器或漏洞扫描仪脆弱性扫描工具又称为安全扫描器或漏洞扫描仪,是目前应用比较广泛的测评工具之一,主要用于识别网络、操作系统、数据库系统的脆弱性。通常情况下,这些工具能够发现软件和硬件中已知的弱点,以决定系统是否易受已知攻击的影响。目前常见的脆弱性扫描工具有以下几种类型:1)基于网络的扫描器:)基于网络的扫描器:在网络中运行,能够检测如防火墙的错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞;2)基于主机的扫描器:)基于主机的扫描器:发现主机的操作系统、特殊服务和配置的细节,发现潜在的用户行为风险,如密码强度
11、不够,也可实施对文件系统的检查;3)分布式网络扫描器:)分布式网络扫描器:由远程扫描代理、对这些代理的即插即用更新机制、中心管理点三部分构成,用于分布式网络的脆弱性扫描;4)数据库脆弱性扫描器:)数据库脆弱性扫描器:对数据库的授权、认证和完整性进行详细的分析,也可以识别数据库系统中潜在的弱点。当前比较流行的扫描工具有:天镜脆弱性扫描与管理系统、绿盟极光远程安全评估系统、明鉴数据库/WEB应用弱点扫描器、ISS Internet Scanner、Appscan、Nessus 等。脆弱性扫描工具脆弱性扫描工具主要的缺陷包括:需要人工干预(扫描工具容易产生漏洞及误报);只能发现已知弱点(受漏洞库制约
12、)。 3 3、测评工具、测评工具- -安全测试工具安全测试工具渗透性测试工具渗透性测试工具是根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的可能性,从而进一步判断已知的脆弱性是否真正会给系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用,并可能会对被测评系统的运行(尤其是稳定性)带来一定影响。目前比较常用的渗透性测试工具有:Metasploit、Canvas、Threatex、CoreImpact、Webravor 等。静态分析静态分析是渗透测试的必要补充。静态分析工具在不执行程序的状态下,通过对被测软件进行建模,发现满足所有可能执行状态的软件属性,再藉由一组规则集
13、分析并检测软件中存在的安全漏洞。在等级测评常用的静态分析工具是软件代码安全分析系统,它可以对软件源代码进行安全扫描和审计分析的信息汇总。此类工具有Fortify、Coverity 等。 3 3、测评工具、测评工具- -测评辅助工具测评辅助工具等级测评的过程中,可以利用一些辅助性的工具和方法来采集数据,帮助完成现状分析和趋势分析,如:1)性能测试工具:)性能测试工具:主要功能包括网络流量测试、数据拦截、IP 查询、流量分析、预测系统行为和性能的负载测试等。常见的此类工具有Smartbits、Avalanche、loadrunner;2)协议分析工具:)协议分析工具:主要用于IP网络流量分析、故障
14、排除和长时间监测、对通讯协议进行解码和显示、对不同技术的数据流量和状态进行全面的物理层测试,并以图形化的方式显示结果。协议分析工具一般提供多种实用的分析功能对常用的协议进行流量分析,例如IP 地址对、源地址、目的地址、IP上层协议分布、TCP/UDP 端口号等,可长时间在线实时统计,并提供饼、表、线等多种形式的报表。此外,协议分析工具还可以对网络流量进行协议划分,如:Web 浏览(HTTP)、电子邮件(POP3、SMTP、WEB MAIL)、文件下载(FTP)、即时聊天(MSN、QQ等)、流媒体(MMS、RTSP)等。针对不同的网络应用协议进行流量监控和分析,如果某一个协议在一个时间段内出现超
15、常占用可用带宽的情况,就有可能是攻击流量或蠕虫病毒出现。常用的协议分析工具包括:Radcom、Sniffer Pro、Wireshark 等;3)网络拓扑生成工具:)网络拓扑生成工具:通过接入点接入被测评网络,完成被测评网络中的资产发现和统计功能,并提供网络资产的相关信息,包括网络硬件设备的识别、操作系统版本、型号等。此类工具有: HP Openview 等。 3 3、测评工具、测评工具- -必须配置测试工具必须配置测试工具(一)(一)漏洞扫描探测工具。漏洞扫描探测工具。 1.网络安全漏洞扫描系统。 2.数据库安全扫描系统。 (二)(二)等级保护测评管理工具等级保护测评管理工具 (三)(三)木
16、马检查工具。木马检查工具。 1.专用木马检查工具。 2.进程查看与分析工具。 3 3、测评工具、测评工具- -选用配置测试工具选用配置测试工具(一)(一)漏洞扫描探测工具。 应用安全漏洞扫描工具。(二)(二)软件代码安全分析类。 软件代码安全分析工具。 (三)(三)安全攻击仿真工具 (四)(四)网络协议分析工具 (五)(五)系统性能压力测试工具 1.网络性能压力测试工具 2.应用软件性能压力测试工具 (六)(六)网络拓扑生成工具 (七)(七)物理安全测试工具 1.接地电阻测试仪 2.电磁屏蔽性能测试仪 (八)(八)渗透测试工具集 (九)(九)安全配置检查工具集 3 3、测评工具、测评工具- -
17、综合工具综合工具漏洞扫描器:漏洞扫描器:极光、Nessus、SSS 等 安全基线检测工具(配置审计等)安全基线检测工具(配置审计等) :见移动的人用过,能够检查信息系统中的主机操作 系统、数据库、网络设备等,看是不是配置规范安全要求 渗透测试相关工具:渗透测试相关工具:踩点、扫描、入侵涉及到的工具等。 主机:主机:sysinspector 、Metasploit 、木马查杀工具、操作系统信息采集与分析工具 (Win,Unix)、日志分析工具、数据取证工具(涉密) 网络:网络:Nipper(网络设备配置分析) 、SolarWinds、Omnipeek、laptop(无线检测工具) 数据:数据:一
18、些密码破解软件吧,Cain 里面有一些破解工具。 应用:应用: AppScan、 Webinspect、 FotifySCA、 injection tools、 Sql 挂马检测工具、 webravor 等 要求要求1资质资质2内容内容工具工具3收费收费4等级测评管理工具等级测评管理工具5 4 4、测评收费、测评收费(1)参考北京市物价局)参考北京市物价局关于信息安全测评认证收费标准(试行)关于信息安全测评认证收费标准(试行)的函的函(京价(收)字(京价(收)字2003280号)号)(2)适当考虑物价上升因素和地域物价差距水平。)适当考虑物价上升因素和地域物价差距水平。适用范围:适用范围:信息
19、系统等级保护验收阶段的测评。计算公式计算公式(1)安全测评费的取费一般按信息化项目总投资的1.52估算。(2)按照功能控制点计算收费。 4 4、测评收费、测评收费信息系统每个安全功能组件800元收费,适当考虑系统规模和复杂程度。计算公式:Ptest = QXCX800.00其中,Ptest指所有安全测评支出的总费用; Q指安全功能组件数量;C指系统规模和复杂程度。以一个二级信息系统为例,网络规模为小规模程度(信息化投资在500万左右),功能控制点为66个,网络规模复杂程度取为2。安全测评费用计算如下:Ptest=66X2X800.00=105600.00 4 4、测评收费、测评收费使用人员人/
20、月人/日高级人员(高级工程师或相当职称)100,000元5000元中级人员(工程师或相当职称)63000元3000元初级人员(助理工程师或相当职称)27000元1000元参考表参考表-人员使用收费标准人员使用收费标准 4 4、测评收费、测评收费- -参考参考序序号号收费项目收费项目收费标准收费标准备注备注产品认证产品认证质量管理质量管理体系认证体系认证同时申请产品和同时申请产品和质量管理体系认质量管理体系认证证1申请费2000元1000元3000元 2审核费3000元X人日数3000元X人日数3000元X(1+人日数)按规定的审核人日数执行3审定与注册费(含证书费)3000元2000元5000
21、元如需加印证书每套另收费50元4监督审核费3000元X人日数3000元X人日数3000元X(1+人日数)按规定的监督审核人日数执行5产品质量检验费按国家规定的产品质量委托检验收费标准收取 6年金(含标志使用费)5000元2000元7000元每年交纳一次关于印发产品质量认证收费管理办法和收费标准的通知关于印发产品质量认证收费管理办法和收费标准的通知(计价格(计价格19991610号)号) 4 4、测评收费、测评收费- -参考参考京价(收)字京价(收)字2003280号关于信息安全测评认证收费标准(试行)的函号关于信息安全测评认证收费标准(试行)的函一、申请、审核收费标准一、申请、审核收费标准 执
22、行国家计委、国家质量技术监督局关于印发产品质量认证收费管理办法和收费标准的通知(计价格19991610号)规定的收费管理办法和收费标准。二、测评收费标准二、测评收费标准 按信息产品或信息系统每个安全功能组件500元收费。三、此项收费为经营性收费,按有关规定明码标价,依法纳税。三、此项收费为经营性收费,按有关规定明码标价,依法纳税。四、凡在北京地区从事此项工作的,一律执行此收费标准。四、凡在北京地区从事此项工作的,一律执行此收费标准。此收费标准自发布之日起试行,一年后另行审定。我局京价(收)字2002188号文件同时废止。 4 4、测评收费、测评收费- -参考参考第三十八条【第三十八条【测评费用
23、】测评机构应当参照国家信息化工程建设项目人工计费标准合理收取测评服务费用。为防止恶意竞争,影响测评质量,测评机构开展测评业务收费应当不低于最低收费限额。信息安全等级保护等级测评实施细则信息安全等级保护等级测评实施细则 4 4、测评收费、测评收费- -参考参考省物价局关于信息安全等级保护测评服务省物价局关于信息安全等级保护测评服务收费有关问题的复函收费有关问题的复函湖北星野科技发展有限公司:你公司关于信息安全等级保护测评服务收费的请示(鄂星科发200801号)收悉。经研究,函复如下:一、根据湖北省关于公布的通知(鄂价法规200298号)有关规定,我省信息安全等级保护测评服务收费实行市场调节价,你
24、公司收费标准可参考原国家计委、国家质量技术监督局关于印发产品质量认证收费管理办法和收费标准的通知计价格1999(1610)号文件有关内容以及北京、湖南、山东等同行业收费水平,计算机信息系统安全测评服务工作所提供的服务成本,自行确定。 二、你公司对外提供信息系统安全测评服务,应当遵守公平、公正的原则,依法签订有关协议,并提供质价相符的服务。 二八年四月二十五日湖北省物价局关于信息安全等级保护测评服务收费有关问题的复函湖北省物价局关于信息安全等级保护测评服务收费有关问题的复函 4 4、测评收费、测评收费- -参考参考- -讨论讨论3级系统给5w啊?那测评机构都活不了了!一般3级系统都在10w以上!
25、差不多都在14、5w那样子吧这个还要具体看3级系统的规模!那个说5w的哥们儿!我记得部里针对恶性竞价的事情说过在10、11年的时候要严打的!三所培训的时候也提过这个事情据说某单位为了抢项目就恶性压低价钱!介个5w就算压价那波儿的!不好好控制系统测评的价格市场就没法做了!部里推等保也就不好推了!有的是按照“人/天”进行项目费用计算,二级系统收费在15万元左右,三级系统在20万元左右。按人工收费一般是1000元人日,包括现场和非现场工作时间。 4 4、测评收费、测评收费- -参考参考- -收费实例收费实例2009 18万 广州市劳保和社保局核心业务信息系统安全等级保护差距评估2010 6万 温州市
26、国土资源局2011 7万元 海南省人力资源开发局2011 9万 杭州市国土资源局信息系统安全等级保护测评2011 37万 中国人民银行信息系统安全等级保护测评2011 52万 广州港信息系统安全等级保护差距测评及安全整改2011 95万 国家知识产权局专利局局信息系统整改方案设计及测评2012 10万 杭州市卫生信息中心杭州市卫生局信息系统等级保护测评2012 10万 台州市信息中心信息系统安全等级保护测评项目2012 15万 广州市白云区人民政府办公室2012 19万 绍兴市公安局信息系统安全等级保护测评2012 21万 河北省农村信用社信息安全等级保护评测2012 25万 海关信息安全等级
27、保护测评技术服务2012 25万 最高检计划财务装备局器材装备处安全等级保护测评2012 27万 海南海政招标有限公司-信息安全等级保护测评2012 28万 山东省纪委办公厅机关风险评估和等级保护测评2012 46万 河南省地税局信息安全等级保护评估和测评 4 4、测评收费、测评收费- -参考参考- -收费实例收费实例2012 75万 广州市公安局信息系统安全等级保护实施项目之差距评估2012 101万 江苏省地方税务局信息系统等级保护测评项目2012 142万 新华社全球一体化项目建设安全服务与等级保护测评2012 36万 海南省工信厅信息安全等级保护测评2012 35万 河南省人力资源社会
28、保障电子政务中心 2012 20万 湖南省财政厅信息中心信息系统等级保护测评2012 535万 海关信息安全等级保护测评 2012 36万 海南省工信厅信息安全等级保护测评 2012 116万 中国人民大学等级保护整改与测评项目2012 8万 山西省工商行政管理局信息安全等级保护测评2012 9万 广州医学院信息安全等级保护定级备案 2012 285万 国家税务总局税务系统安全等级保护整改、测评2012 32万 苏州市立医院 要求要求1资质资质2内容内容工具工具3收费收费4等级测评管理工具等级测评管理工具5 5 5、等级测评管理工具、等级测评管理工具等级测评管理工具等级测评管理工具是一套集成了等级测评各类知识和判据的管理信息系统,用以规范等级测评的过程和操作方法;或者是用于收集测评所需要的数据和资料,并根据测评知识库和推理专家知识库辅助测评人员进行测评结果判断。等级测评管理系统工具可以对信息系统、制度和人员等进行全
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 动火特殊作业安全培训
- 医院中药房实习生培训
- 《头颈肩上肢疼痛》课件
- 中建五局安全员述职
- 入职培训要求讲
- 低血糖反应的应急流程
- 团日活动消防安全
- 《员工管理激励心态》课件
- 医疗保健质量与安全管理会议
- 【培训课件】秘书公务礼仪
- 《建筑工程设计文件编制深度规定》(2022年版)
- 2024年版的企业绩效评价标准
- 2024年共青团入团积极分子考试题库(附答案)
- MOOC 职场英语-西南交通大学 中国大学慕课答案
- JTG C10-2007 公路勘测规范
- (高清版)DZT 0216-2020 煤层气储量估算规范
- JJG 162-2019饮用冷水水表 检定规程(高清版)
- 称念诸佛名号功德(3)
- 专用车六性分析报告
- 新零售小米之家营销策略
- LCD数字显示体温计设计
评论
0/150
提交评论