版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1工作简况
1.1任务来源
2012年底,经中国国家标准化管理委员会批准,全国信息安全
标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制定信
息系统安全等级保护测试评估技术指南的国家标准。该项目由全国信
息安全标准化技术委员会提出,全国信息安全标准化技术委员会归
口,由公安部信息安全产品检测中心(公安部第三研究所)负责主办。
1.2协作单位
2013标准任务下达后,公安部信息安全产品检测中心立即与相
关测评机构和研究机构等进行联系与沟通,最后确定由公安部信息安
全等级保护评估中心、中国信息安全研究院有限公司、中国电子技术
标准化研究所、国家信息技术安全研究中心等单位作为标准编制协作
单位。
1.3主要工作过程
1.3.1成立编制组
标准编制组在申请标准前即已成立,编制组成员均具有较丰富的
信息系统安全等级保护测评经验和标准编制经验,人员包括张艳、陆
臻、顾健、沈亮、俞优、张笑笑、顾玮、顾建新等;标准编制协作单
位的高级技术人员共同参与标准的内容编制与研讨。
1
1.3.2制定工作计划
编制组制定了编制工作计划和人员任务安排,并确定了编制组人
员例会安排以便及时沟通交流工作情况。
1.3.3参考资料
该标准编制过程中,主要参考了:
•GB/T18336-2000信息技术信息技术安全性评估准则
•GB/T19716-2005信息技术信息安全管理实用规则
•GB/T20269-2006信息安全技术信息系统安全管理要求
•GB/T20270-2006信息安全技术网络基础安全技术要求
•GB/T202282-2006信息安全技术信息系统安全工程管理要求
•GB/T22239-2008信息安全技术信息系统安全等级保护基本
要求
•GB/T28448-2012信息安全技术信息系统安全等级保护测评要
求
•GB/T28449-2012信息安全技术信息系统安全等级保护测评过
程指南
•SpecialPublication800-115TechnicalGuideto
InformationSecurityTestingandAssessment
•GB17859-1999计算机信息系统安全保护等级划分准则
•GB/T20271-2006信息安全技术信息系统安全通用技术要求
•GB/T25069-2010信息安全技术术语
2
1.3.4确定编制内容
标准编制组以信息系统等级保护测评工作实践为基础,以GB/T
22239-2008信息安全技术信息系统安全等级保护基本要求、GB/T
28448-2012信息安全技术信息系统安全等级保护测评要求和
SpecialPublication800-115TechnicalGuidetoInformation
SecurityTestingandAssessment为主要参考依据,完成《信息安
全技术网络安全等级保护测试评估技术指南》(原立项时名为《信息
安全技术信息系统安全等级保护测试评估技术指南》)标准的编制工
作,对信息系统安全测评中的相关测评技术进行明确的分类和定义,
并系统地归纳和阐述系统测评的技术方法。
1.3.5编制工作简要过程
在申请信息安全技术信息系统安全等级保护测试评估技术指南
国家标准制订任务之前,标准工作组就已经开始了前期调研工作。编
制组人员首先对所参阅的文献、标准等资料进行查阅和理解,编写标
准编制提纲,并在对提纲进行修改完善的基础上,开始具体的编制工
作。
1.3.5.1草稿(第一稿)
编制组在2012年12月前完成了对信息系统安全等级保护测试评
估技术的相关技术文档和有关标准的前期调研。调研期间,主要对检
测中心信息系统等级保护测评的作业指导书、测评方法、报告以及相
关技术文档材料进行了分析和整理,对国内外相关测评技术的发展动
3
向及标准进行了研究、分析和理解。
2013年1月完成了标准草案的编制工作。以编制组人员收集的
资料为基础,在不断的讨论和研究中,完善内容,形成了本标准草稿
(第一稿),并召开中心内部的标准研讨会,结合会上检测中心标准
技术组的初步评审意见,对标准草稿(第一稿)进行了修改。
1.3.5.2草稿(第二稿)
2013年4月,编制组以邮件、电话等方式征求了公安部信息安
全等级保护评估中心和中国电子信息安全研究院等标准编制协作单
位的意见,并根据反馈意见进行了修改,形成标准草稿(第二稿)。
1.3.5.3草稿(第三稿)
2013年7月,编制组邀请WG5工作组专家对标准进行了研讨和
意见征询,并根据专家意见进行了修改,形成标准草稿(第三稿)。
1.3.5.4草稿(第四稿)
2014年4月,WG5工作组召开标准检查会,工作组专家对标准进
行了研讨并提出了相关意见,包括与等级保护基本要求的对应性,编
制组根据专家意见进行了修改。
2015年1月至2016年6月,编制组内部包括联合编制单位进行
了多次研讨,并根据讨论的意见进行了多次修改,形成标准草稿(第
四稿)。
2016年8月11日,编制组在北京组织召开了标准讨论会,邀请
WG1、WG5工作组的相关专家对标准进行了认真讨论,提出了多方面
的意见和建议,会后编制组根据讨论的意见进行了梳理和修改,并且
4
根据专家建议,将标准题目中的“信息系统安全”改为了“网络安全”。
1.3.5.6征求意见稿(第一稿)
2016年8月25日,WG5工作组在北京组织召开了在研标准推进
会,编制组汇报了标准编制背景、编制过程,并针对会前收集到来自
WG5工作组的专家代表提出的意见进行了处理情况的汇报。会上通过
了工作组代表的投票,并建议尽快形成征求意见稿。会后编制组对标
准相关文本进行了进一步梳理和修改,形成征求意见稿。
2016年9月5日,编制组正式向WG5工作组秘书处提交了标准
名称变更申请,由原名称《信息安全技术信息系统安全等级保护测
试评估技术指南》变更为《信息安全技术网络安全等级保护测试评
估技术指南》。
1.3.6起草人及其工作
标准编制组具体由张艳、陆臻、顾健、沈亮、俞优、张笑笑、顾
玮、顾建新等人组成。
其中,张艳全面负责标准编制工作,包括制定工作计划、确定编
制内容提纲和整体进度、参编人员的任务安排;沈亮、张笑笑、顾玮
主要负责标准的前期调研、现状分析,意见汇总的讨论处理等工作;
俞优、顾建新负责向厂商征求意见与反馈、标准校对审核、编制说明
的编写等工作;顾健、陆臻主要负责标准编制过程中的各项技术支持
和整体指导。
2标准主要内容
5
2.1编制原则
为了使本标准的内容从一开始就与现有国家标准保持一致,本标
准的编写参考了其他国家有关标准,主要有GB/T22239-2008《信息
安全技术信息系统安全等级保护基本要求》、GB/T28448-2012《信息
安全技术信息系统安全等级保护测评要求》(以下简称《测评要求》)
和GB/T28449-2012《信息安全技术信息系统安全等级保护测评过程
指南》等。
本标准符合我国的实际情况,遵从我国有关法律、法规的规定。
具体原则与要求如下:
1)实用性
标准必须是可用的,才有实际意义。本标准在编写过程中严格按
照流程对信息系统等级保护测评技术的现状、发展等进行系统全面的
调研,注重与相关测评机构和单位的交流,广泛了解并归纳了等保测
评过程中的主要技术,并进行提炼和扩展,使得指南更贴近等级保护
测评的实际情况,保证指南的可操作性。
2)先进性
标准是先进经验的总结,同时也是技术的发展趋势。系统安全测
评技术种类繁多,要制定出先进的技术指南,必须参考国内外先进技
术和标准,吸收其精华,才能制定出具有先进水平的标准。本标准的
编写始终遵循这一原则。
3)兼容性
本标准既要与国际接轨,更要与我国现有的政策、法规、标准、
6
规范等相一致。编制组在对标准起草过程中始终遵循此原则,其内容
符合我国已经发布的有关政策、法律和法规。
2.3标准内容
2.3.1标准结构
本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则
第一部分:标准的结构和编写规则。
本标准主要结构包括如下内容:
1.范围
2.规范性引用文件
3.术语和定义
4.等级测评过程与方法概述
5.等级测评技术概述
6.等级测评技术实现
7.附录
8.参考文献
2.3.2主要内容
2.3.2.1范围、规范性引用文件、术语和定义
该部分定义了本标准适应的范围,所引用的其它标准情况,及以
何种方式引用,术语和定义部分明确了该标准所涉及的一些术语。
在术语中明确了“网络嗅探”、“规则集”等重要概念。
7
2.3.2.2等级测评过程与方法概述
等级测评过程通常分为四个基本测评阶段:测评规划、方案编制、
现场测评、分析及报告编制。标准中分别对这4个基本阶段进行了主
要内容、作用进行了概述。
等级测评执行阶段,等级保护测试评估是确认评估对象(例如,
主机、网络、应用、数据等)满足特定安全目标的有效性的过程。通
常采用访谈、检验和测试三种测评方法:
a)访谈是指测评人员通过与信息系统有关人员(个人/群体)进
行交流、讨论等活动,实现理解、释明或获得证据以证明信息
系统安全等级保护措施是否有效的一种方法;
b)检验是指测评人员通过对测评对象进行检查、观察、研究或分
析等活动,使之便于理解、达到释明或获得证据以证明信息系
统安全等级保护措施是否有效的一种方法;
c)测试是指测评人员使用预定的方法/工具使测评对象产生特定
的行为,通过查看、分析这些行为的结果,获取证据以证明信
息系统安全等级保护措施是否有效的一种方法。
2.3.2.3等级测评技术概述
目前有许多技术性安全测试和检验技术可用于信息系统安全等
级保护评估,这些技术主要可分成以下三类:
a)检查技术:被动地检查系统、应用软件、网络、策略和规程,
并发现安全漏洞的检验技术。通常采用手动方式,主要包括文
8
档检查,日志检查,规则集检查,系统配置检查,网络嗅探和
文件完整性检查等。
b)目标识别和分析技术:主动识别系统、端口、服务以及潜在安
全性漏洞的测试技术。这些技术可以手动执行,但一般使用自
动化的工具,主要包括网络发现、网络端口和服务的识别、漏
洞扫描、无线扫描和应用安全检查等。
c)目标漏洞验证技术:验证漏洞存在性的测试技术。这些技术可
以手动执行或使用自动化的工具,主要包括口令破解、渗透测
试、社会工程学和应用安全测试等。
在选择和确定用于等级测评活动的技术时,要考虑的因素主要包
括评估目标,可以获取信息以支持这些目标的技术种类,以及在每一
个种类当中所使用的适当的技术,技术评估的角度(例如,内部与外
部),以使得相应的技术可供选择。
此外,在选择测试技术时也应充分考虑风险。因为渗透测试等一
些技术,可能导致系统的可用性或敏感数据泄露。在某些情况下,应
考虑是否对生产系统或相同配置的非生产系统进行测试,或在业余时
间限制使用某些技术以尽量减少对操作的影响。
2.3.2.4等级测评技术实现
本标准将等级测评技术分为检查技术、目标识别和分析技术、目
标漏洞验证技术三个大类。其中检查技术包括文档检查、日志检查、
规则集检查、系统配置检查、文件完整性检查等技术;目标识别和分
析技术包括网络发现、网络端口和服务识别、漏洞扫描、无线扫描等
9
技术;目标漏洞验证技术包括口令破解、渗透测试、远程访问测试等。
2.3.2.5附录
附录部分描述渗透测试的有关概念介绍和说明等信息。
2.4编制的背景和意义
信息系统安全是关乎国家稳定,企业生存与发展的重大课题,如
何通过信息系统安全测评工作,最大限度使组织结构预知存在的安全
隐患,最大限度地保证国家重要基础设施和重点行业的安全稳定运营,
已经成为当前各国信息安全工作的重点。美国国家标准和技术学会
(NIST)信息技术实验室(ITL)通过对国家测量和标准体系提供技术指导
而促进美国经济和公共事业的发展。ITL通过开发测试、测试方法、
参考数据、对概念的证明、以及技术分析来改善信息技术的开发和生
产应用,其制定的NIST800系列报告及相关标准为信息安全领域的安
全测评技术提供了指导和方针。
另外,随着国家等级保护制度的大力推进,经过定级备案阶段,
各重要信息系统已进入大规模测评和整改阶段。目前,我国信息系统
等级保护相关的测评标准主要有GB/T22239-2008《信息安全技术信
息系统安全等级保护基本要求》、GB/T28448-2012《信息安全技术信
息系统安全等级保护测评要求》(以下简称《测评要求》)和GB/T
28449-2012《信息安全技术信息系统安全等级保护测评过程指南》
(以下简称《测评过程指南》)等,但这些标准未涉及安全测评中具
体的测试方法和技术,因此目前还缺少信息安全等级保护评估方面通
10
用的基本技术指南性文件。
本标准系统地归纳并阐述实施信息系统测评过程中涉及的技术
性测试和检验的方法,可为信息系统的等级保护测评提供技术方法方
面的参考。
2.5编制的目的
本标准的编制目的就是希望吸取国际、国内先进的信息安全测评
经验和相关技术内容,结合我国信息系统安全等级保护的特点,制定
出具有指导意义的测评技术指南:
(1)指导机构进行计划、实施技术性信息系统安全测试评估,涉
及的信息安全测试和检验技术可用来识别、验证和评估技术性漏洞,
有助于机构理解、改善其系统和网络的安全态势;
(2)本标准面向计算机安全人员和程序管理员,系统和网络管理
员,及其他负责系统和网络基础设施的准备、操作与安全技术的技术
人员。管理者也可以利用本标准提供的信息,促进与安全测试评估相
关的技术决策过程;
(3)本标准主要对技术性安全测试评估过程和程序的相关信息的
设计、执行和维护提供了切实可行的建议,测评人员在实际测评时,
可参考本标准指导并规范的系统测评的技术方法,进而高效地完成信
息系统安全测评任务。
3主要验证分析和技术经济论证
本标准是基于信息系统安全等级保护测试评估实践提出的,相关
11
技术已在等级保护测评应用中进行了实际验证。
本标准通过对等级保护系统测评过程中涉及的关键技术进行系统
的归纳、阐述,概述技术性安全测试评估的关键要素、实现功能和使
用原则,并提出建议供使用,适用于测评机构、信息系统的主管部门
及运营使用单位对重要信息系统的安全等级测评,为信息系统的安全
等级测评工作的技术规范性提供方法依据,在应用于系统等级保护测
评时可作为对《信息安全技术信息系统安全等级保护测评要求》和
《信息安全技术信息系统安全等级保护测评过程指南》的补充,为
机构进行计划、实施技术性的信息系统安全等级保护测试评估提供参
考。系统的管理者也可以利用本标准提供的信息,促进与信息系统安
全等级保护测试评估相关的技术决策过程。
4国内外标准对比情况
目前,信息系统等级保护相关的测评标准主要有GB/T
22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T
28448-2012《信息安全技术信息系统安全等级保护测评要求》(以下
简称《测评要求》)和GB/T28449-2012《信息安全技术信息系统安
全等级保护测评过程指南》(以下简称《测评过程指南》)等。其中
GB/T22239-2008是系统等级保护测评的基础性标准,GB/T
28448-2012是针对GB/T22239-2008中的要求,提出了不同安全等级
信息系统的测评要求;GB/T28449-2012主要规定了信息系统安全等
级保护测评工作的测评过程。
12
本标准与《测评要求》和《测评过程指南》的区别在于:《测评
要求》主要描述了各级信息系统单元测评的具体测评要求和测评流
程,《测评过程指南》则主要对等级测评的活动、工作任务以及每项
任务的输入/输出产品等提出指导性建议,二者均未涉及安全测评中
具体的测试方法和技术。本标准对信息系统安全测评中的相关测评技
术进行明确的分类和定义,系统地归纳并阐述系统测评的技术方法,
概述技术性安全测试和评估的关键要素,重点放在具体的技术及其优
点和局限性,并提出建议供使用。因此该标准在应用于系统等级保护
测评时可作为对《测评要求》和《测评过程指南》的补充。
5与有关的现行法律、法规和强制性国家标准的关系
本标准不触犯国家现行法律法规,不与其他强制性国标相冲突。
6重大分歧意见的处理经过和依据
本标准编制过程中,如标准编制组内部出现重大意见分歧时,由
标准编制组组长组织召开内部调解会解决;如标准编制单位之间出现
重大意见分歧,由标准编制承担单位公安部计算机信息系统安全产品
质量监督检验中心组织召开参编单位调解会解决。如征求意见过程
中,各厂家,特别是各部委意见与标准编制组
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 苏教版小学生字表学习攻略
- 2024分包合同(协信.丹枫白露)
- 2024加工承揽合同条例
- 湘教版二年级上册美术全册教案(1-22课)-
- 东坡区部分学校高二下学期7月期末联考语文试卷
- 2024公司劳动合同违约有没有溯及既往力
- 2024终止解除劳动合同证明书参考范文
- 2024书籍赠与合同范本标准版
- 2024-2030年全球及中国交互式语音响应(IVR)软件行业市场现状供需分析及市场深度研究发展前景及规划可行性分析研究报告
- Unit+3【单元测试+·+基础卷】-2023-2024学年八年级英语下册单元速记•巧练(牛津沪教版)
- 《秋兴八首(其一)》课件34张
- 《无人机组装与调试》课件 第一章
- 水炮施工方案 消防水炮安装施工方案
- STA无痛麻醉仪课件
- 2023年南方出版社六年级信息技术下册教案
- 博腾变频器说明书
- 医院感染暴发应急预案演练脚本与医院感染暴发应急预案演练记录
- 建筑工地防台风安全安全措施专项检查表
- 阳光房用料报价单
- 鼠疫演练脚本
- 病理科资料档案管理制度
评论
0/150
提交评论