网络安全测评整改投标方案(技术标)

网络安全测评整改投标方案

目录

第一章项目背景和需求分析........................15

第一节项目背景...............................15

一、网络安全测评的作用.....................15

二、安全测评基本概念.......................38

第二节需求分析...............................65

一、物理环境安全需求分析...................65

二、通信网络安全需求.......................66

三、区域边界安全需求.......................67

四、计算环境安全需求.......................69

五、安全管理中心安全需求...................70

第二章项目整体服务设想..........................72

第一节项目整体服务设想.......................72

一、服务目标...............................72

二、服务内容...............................73

三、服务要求...............................74

第二节项目服务计划...........................76

一、设计依据...............................76

二、设计原则...............................76

三、同步原则...............................77

四、设计思路...............................77

第三节测评服务基本工作.......................79

一、基本工作...............................79

1

二、测评标准依据...........................79

三、测评工作规范...........................81

四、测评工作内容...........................82

第四节测评工作流程...........................82

一、基本工作流程...........................82

二、基本工作方法...........................84

三、测评实施准备工作.......................85

第五节风险控制方案...........................90

一、常见风险...............................90

二、风险规避...............................92

第六节合理化建议.............................94

一、影响网络安全的因素.....................94

二、网络安全的防范措施.....................96

第三章项目组织机构及人员配置....................99

第一节项目组织结构分类.......................99

一、职能型组织结构.........................99

二、项目型组织结构........................100

三、矩阵型组织结构........................102

第二节建立项目组织的步骤....................103

一、确定组织目标..........................103

二、确定项目工作内容......................104

三、组织结构设计..........................104

四、项目管理结构..........................104

第三节项目组织规划原则......................106

2

一、目的性原则............................106

二、精于高效原则..........................106

三、项目组织一体化原则....................106

四、管理跨度原则..........................107

五、系统化原则............................107

六、及时更新原则..........................107

第四节项目组织机构..........................108

一、项目组织机构..........................108

二、项目组织机构图........................108

三、项目人员一览表........................109

第五节人员岗位职责..........................112

一、项目经理人员岗位职责..................112

二、项目负责人岗位职责....................112

三、测评组长岗位职责......................113

四、网络测评人员岗位职责..................113

五、质量管控人员岗位职责..................114

第四章人员管理及培训...........................116

第一节服务人员培训必要性....................116

一、培训的重要性和作用....................116

二、培训的系统性..........................117

三、培训的形式和方法......................119

第二节项目人员培训计划......................121

一、培训对象..............................121

二、培训方式..............................123

3

三、初级等级测评师........................123

四、中级等级测评师........................127

五、高级等级测评师........................129

第三节网络安全培训内容......................135

一、网络信息安全主要内容..................135

二、良好的上网习惯........................136

三、基本网络故障排查......................139

第四节安全教育与培训........................141

一、信息安全培训的对象....................141

二、信息安全培训的内容....................143

三、信息安全培训的管理....................144

第五节对采购方人员安全管理培训..............145

一、员工录用安全管理......................145

二、员工工作调动的安全管理................146

三、员工离职的安全管理....................146

四、安全岗位人员管理......................147

五、安全岗位人员的安全控制................150

第六节第三方人员安全管理....................153

一、第三方人员短期访问安全管理............153

二、第三方人员长期访问安全管理............154

三、第三方人员访问申请审批流程图..........156

第七节网络安全设备维护培训..................156

一、网络安全的基本概念....................156

二、计算机网络受攻击的主要形式............157

4

三、网络维护及故障分析处理................159

四、加强计算机网络安全的对策措施..........161

第五章网络安全测试工具.........................163

第一节常用测试工具..........................163

一、负载压力测试..........................163

二、功能测试..............................165

三、白盒测试工具..........................166

四、测试管理工具..........................167

五、测试辅助工具..........................167

六、其他测试工具..........................168

第二节渗透测试工具..........................169

一、KaliLinux工具........................169

二、Nmap工具..............................169

三、Metasploit工具........................170

四、Wireshark工具.........................170

五、JohntheRipper工具....................170

六、Hashcat工具...........................171

七、Hydra工具.............................171

八、BurpSuite工具.........................172

九、ZedAttackProxy工具...................172

十、sqlmap工具............................172

十一、Aircrack-ng工具.....................173

第六章管理制度.................................174

第一节项目管理制度..........................174

5

一、目的..................................174

二、职责..................................174

三、工作程序..............................176

四、等保测评与建设服务质量管理体系........178

五、系统集成建设和服务提供的控制..........182

六、测评设备的质量管理....................183

七、质量方针和质量总目标..................183

八、服务质量管理..........................184

第二节项目保密管理制度......................186

一、人员保密管理要求......................186

二、保密岗位与职责........................188

三、服务人员保密教育......................192

第七章安全测评服务.............................193

第一节定期风险评估..........................195

一、评估方式..............................196

二、评估内容..............................197

三、评估流程..............................198

四、定期风险评估流程图....................198

第二节技术体系符合性分析....................200

一、物理安全..............................200

二、网络安全..............................204

三、主机安全..............................210

四、应用安全..............................216

五、数据安全与备份恢复....................221

6

第三节部署示意及合规性分析..................223

一、部署示意及描述........................223

二、合规性分析............................224

三、管理层面..............................228

第四节网络安全测评工作流程..................231

一、流程图说明............................231

二、业务和现状调查........................232

三、安全框架设计..........................233

四、风险控制..............................235

第五节技术体系测评..........................238

一、技术体系测评..........................238

二、安全技术防护体系......................239

三、安全区域边界防护......................245

四、安全通信网络防护......................247

五、网络架构及安全区域....................248

六、安全管理中心..........................250

第六节管理系统测评..........................251

一、管理体系目标..........................251

二、管理体系框架..........................252

三、安全管理防护体系......................252

四、安全管理制度..........................253

五、安全管理机构..........................253

六、安全管理人员..........................254

七、安全建设管理..........................255

7

八、安全运维管理..........................256

第七节测评内容与实施........................264

一、物理安全..............................265

二、网络安全..............................268

三、主机安全..............................270

四、应用安全..............................272

五、数据安全及备份恢复....................274

六、安全管理制度..........................275

七、安全管理机构..........................277

八、人员安全管理..........................279

九、系统建设管理..........................281

十、系统运维管理..........................285

第八章安全整改服务.............................291

第一节管理体系整改..........................291

一、策略结构描述..........................291

二、安全制度制定..........................295

三、服务满足指标..........................295

第二节边界访问控制整改......................296

一、需求分析..............................296

二、服务设计..............................297

三、服务效果..............................299

第三节边界入侵防御整改......................303

一、需求分析..............................303

二、服务设计..............................304

8

三、服务效果..............................308

第四节网关防病毒整改........................309

一、需求分析..............................309

二、服务设计..............................310

三、服务效果..............................311

第五节网络安全检测整改......................312

一、需求分析..............................312

二、服务设计..............................314

三、服务效果..............................315

第六节网络安全审计整改......................318

一、需求分析..............................318

二、服务设计..............................318

三、服务效果..............................326

第七节WAF整改服务...........................331

一、需求分析..............................331

二、服务设计..............................332

三、服务效果..............................334

第八节恶意代码防护整改......................335

一、需求分析..............................335

二、服务设计..............................336

三、服务效果..............................338

第九章质量保障措施.............................342

第一节服务质量体系建立......................342

一、管理体系一般工作程序..................342

9

二、质量管理体系策划阶段..................343

三、质量管理体系建立阶段..................345

四、质量管理体系试运行阶段................347

第二节服务质量控制措施......................351

一、人员保障..............................351

二、设备保障..............................352

三、机制保障..............................352

第十章服务承诺.................................354

第一节服务承诺..............................354

一、人员服务承诺..........................354

二、服务质量承诺..........................355

第二节测评人员承诺书........................355

第三节网络信息安全承诺书....................357

第四节售后服务承诺..........................359

一、责任..................................359

二、联络..................................359

三、具体内容..............................360

四、服务承诺..............................361

五、服务宗旨..............................362

第十一章应急预案...............................364

第一节安全事件处置与应急解决方案............364

一、安全事件预警与分级....................364

二、安全事件处理..........................369

三、安全事件通报..........................374

10

四、应急响应流程..........................375

五、应急预案的制定........................376

六、培训与演练............................387

第二节网络信息安全应急预案..................390

一、总则..................................390

二、工作原则..............................392

三、事后处理..............................393

四、人员队伍..............................393

五、监督管理..............................393

第十二章档案管理...............................395

第一节档案管理的重要性......................395

一、档案在企业经营过程中发挥的作用........395

二、做好档案管理工作......................396

三、健全制度..............................397

四、与时俱进，实现管理现代化..............397

五、提高档案全面质量管理的方法............399

六、档案管理工作重要的意义................399

第二节档案管理制度..........................401

第三节档案安全保密制度......................417

第四节档案管理工作流程......................419

一、立卷归档..............................419

二、借阅..................................419

三、收集、交接、整理、统计工作............419

四、鉴定销毁..............................420

11

温馨提示：

本方案目录中的内容在word文档内均有详细阐述，如

需查阅，请购买后下载。

12

说明

一、如招标文件评分标准要求“项目背景与需求分析”

详情可见本文第一章。

二、如招标文件评分标准要求“项目整体服务设想”详

情可见本文第二章。

三、如招标文件评分标准要求“项目组织机构及人员配

置”详情可见本文第三章。

四、如招标文件评分标准要求“人员管理及培训”详情

可见本文第四章。

五、如招标文件评分标准要求“网络安全测试工具”详

情可见本文第五章。

六、如招标文件评分标准要求“管理制度”详情可见本

文第六章。

七、如招标文件评分标准要求“安全测评服务”详情可

见本文第七章。

八、如招标文件评分标准要求“安全整改服务”详情可

见本文第八章。

九、如招标文件评分标准要求“服务质量保障”详情可

见本文第九章。

十、如招标文件评分标准要求“服务承诺”详情可见本

文第十章。

十一、如招标文件评分标准要求“应急预案”详情可见

本文第十一章。

13

编制依据

一、项目招标文件、补遗及设计文件等相关资料。

二、国家现行技术规范、标准及有关的技术资料、规范、

规程及技术标准。

三、依照有关主要法律、法规：

（一）《中华人民共和国政府采购法》

（二）其他法律法规。

四、行业规范、标准

（以下内容根据项目实际情况修改）

14

第一章项目背景和需求分析

第一节项目背景

一、网络安全测评的作用

随着信息技术的迅猛发展，世界各国的信息化进程急剧

加快。信息与网络空间给各国的政治、经济、文化、科技、

军事和社会管理等各个方面都注入了新的活力。人们在享受

信息化带来的众多好处的同时，也面临着日益突出的信息安

全与保密问题。

事实上，信息安全问题一直伴随着人类社会发展。在政

治、军事斗争、商业竞争和个人隐私保护等活动中，人们常

常希望他人不能获知或篡改重要信息，或者需要查验所获得

的信息的可信性。在网络环境中，国家秘密和商业秘密的保

护，特别是政府上网后对涉密信息和敏感信息的保护，网上

各种行为者的身份确认与权责利的确认，高度网络化的业务

（商务、政务等）信息系统的正常运行，网络银行及电子商

务中的安全支付与结算，金融机构的数据保护与管理系统的

反欺诈，将成为社会各领域关注的焦点，甚至对社会稳定和

国家安全带来重要影响。

信息安全测评对信息安全模块、产品或信息系统的安全

性进行验证、测试、评价和定级，目的在于规范它们的安全

特性。其作用在于通过验证、测试、评估信息模块/产品/系

统的各种关键安全功能、性能以及运维使用情况，发现模块、

15

产品或者系统在设计、研发、生产、集成、建设、运维、应

用过程中存在的信息安全风险、发生或可能发生的信息安全

问题，鉴定产品质量，监控系统行为，警示安全风险，保障

网络与信息安全。

（一）信息安全概述

1.信息安全的属性

信息安全是指保障国家、机构、个人的信息空间、信息

载体和信息资源不受来自内外各种形式的危险、威胁、侵害

和误导的外在状态和方式及内在主体感受。信息技术的发展

也促使信息安全的内涵不断延伸，可以理解为信息系统抵御

意外事件或恶意行为的能力，这些事件和行为将会危及存

储、处理或传输的数据或由这些系统所提供服务的机密性、

完整性、可用性、不可否认性、真实性和可控性，这6个属

性是信息安全的基本属性。

机密性：是指信息不被非授权解析，信息系统不被非授

权使用的特性。保证数据即使被捕获也不会被解析，保证信

息系统即使能够被访问也不能够越权访问与其身份不相符

的信息。

完整性：是指信息不被篡改的特性。确保网络中所传播

的信息不被篡改或任何被篡改了的信息都可以被发现。

可用性：是指信息与信息系统在任何情况下都能够在满

足基本需求的前提下被使用的特性。这一特性存在于物理安

全、运行安全层面上。确保基础信息网络与重要信息系统的

正常运行能力，包括保障信息的正常传递，保证信息系统正

16

常提供服务等。

不可否认性：是指能够保证信息系统的操作者或信息的

处理者不能否认其行为或处理结果的特性。这可以防止参与

某次操作或通信的一方事后否认该事件曾发生过。

真实性：是指信息系统在交互运行中确保并确认信息的

来源以及信息发布者的真实可信及不可否认的特性。保证交

互双方身份的真实可信以及交互信息及其来源的真实可信。

可控性：是指在信息系统中具备对信息流的监测与控制

特性。互联网上针对特定信息和信息流的主动监测、过滤、

限制、阻断等控制能力。

2.信息安全的多角度分析

信息安全的问题既可以从客观存在的角度来看，也可以

从主观意识的角度来看。从客观的角度看，所看到的是技术

的层面；从主观的角度看，所看到的则是社会的层面。

信息安全从技术层面上看可以分为4个方面：物理安全、

运行安全、数据安全和内容安全。不同的方面在客观上反映

了技术系统的不同安全属性，也决定了信息安全技术不同的

表现形式。

（1）物理安全

物理安全是围绕网络与信息系统的物理装备及其有关

信息的安全。主要涉及信息及信息系统的电磁辐射、抗恶劣

工作环境等方面的问题。面对的威胁主要有自然灾害、电磁

泄露、通信干扰等。主要的保护方式有数据和系统备份、电

磁屏蔽、抗干扰、容错等。

17

（2）运行安全

运行安全是围绕网络与信息系统的运行过程和运行状

态的安全。主要涉及信息系统的正常运行与有效的访问控制

等方面的问题。面对的威胁包括网络攻击、网络病毒、网络

阻塞、系统安全漏洞利用等。主要的保护方式有访问控制、

病毒防治、应急响应、风险分析、漏洞扫描、入侵检测、系

统加固、安全审计等。

（3）数据安全

数据安全是围绕数据（信息）的生成、处理、传输、存

储等环节中的安全。主要涉及数据(信息）的泄密、破坏、

伪造、否认等方面的问题。面对的威胁主要包括对数据（信

息）的窃取、篡改、冒充、抵赖、破译、越权访问等。主要

的保护方式有加密、认证、访问控制、鉴别、签名等。

（4）内容安全

内容安全是围绕非授权信息在网络上进行传播的安全。

主要涉及对传播信息的有效控制。面对的威胁主要包括通过

网络迅速传播有害信息、制造恶意舆论等。主要的保护方式

有信息内容的监测、过滤等。

3.信息安全从社会层面的角度来看，则反映在网络空间

中的舆论文化、社会行为与技术环境3个方面。

（1）舆论文化

互联网的高度开放性，使网络信息得以迅速而广泛地传

播，且难以控制，使传统的国家舆论管制的平衡被轻易打破，

进而冲击着国家安全。境内外敌对势力、民族分裂组织利用

18

信息网络，不断散布谣言、制造混乱、推行与我国传统道德

相违背的价值观。有害信息的失控会在意识形态、道德文化

等方面造成严重后果，导致民族凝聚力下降和社会混乱，直

接影响到国家现行制度和国家政权的稳固。

（2）社会行为

有意识地利用或针对信息及信息系统进行违法犯罪的

行为，包括网络窃（泄)密、散播病毒、信息诈骗、为信息

系统设置后门、攻击各种信息系统等违法犯罪行为；控制或

致瘫基础信息网络和重要信息系统的网络恐怖行为﹔国家

间的对抗行为——信息网络战。

（3）技术环境

由于信息系统自身存在的安全隐患，而难以承受所面临

的网络攻击，或不能在异常状态下运行。主要包括系统自身

固有的技术脆弱性和安全功能不足﹔构成系统的核心技术、

关键装备缺乏自主可控性；对系统的宏观与微观管理的技术

能力薄弱等。

4.信息安全的威胁

有威胁才会有安全问题，信息安全防护是针对威胁制定

的对策。信息安全威胁的产生是社会发展到一定阶段的产

物，其产生的根本原因是不法分子的私欲，当然还有其他直

接、间接的原因。信息安全的威胁主要有以下几种。

（1）来源威胁

现在几乎所有的CPU、操作系统、外设、网络系统甚至

一些加密解密工具都来源于国外，这就相当于自己的秘密掌

19

握在别人手里一样，不可能不受制于人。

（2）传输渠道威胁

有威胁才会有安全问题，信息安全防护是针对威胁制定

的对策。信息安全威胁的产生是社会发展到一定阶段的产

物，其产生的根本原因是不法分子的私欲，当然还有其他直

接、间接的原因。信息安全的威胁主要有以下几种。

①来源威胁

现在几乎所有的CPU、操作系统、外设、网络系统甚至

一些加密解密工具都来源于国外，这就相当于自己的秘密掌

握在别人手里一样，不可能不受制于人。

②传输渠道威胁

信息要经过有线或无线的通道来进行传输。信息在传输

的过程中可能被窃听、篡改、伪造。信息的安全受到威胁，

合法用户的权益也受到侵害。信息的传输还要经过有形和无

形的介质，由于外界环境的因素会使信号减弱、失真、丢失，

因此传输的信号被严重破坏。

③设备故障威胁

设备的故障会导致通信中断。在整个信息系统中，硬件

设备非常多，因而故障率也非常高。

④网络人员威胁

主要体现在2个方面：

软件开发者在开发的软件中还有残留错误，往往这些埋

藏很深的错误会导致不可挽回的损失；

网络管理员的文化素质和人品素质影响着网络安全。网

20

络管理员是最直接接触网络机密的人，他们有机会窃取用户

的密码以及其他秘密资料，并且他们的行为可能会破坏网络

的完整性，是对信息安全最直接的威胁。

⑤所处环境威胁

信息安全立法滞后的特点为黑客们的违法犯罪行为提

供了可乘之机，而且由于存在各自的国家利益，各国在联合

打击国际黑客犯罪方面的合作力度不够。信息安全技术本身

的发展过程中还有很多不成熟的地方，这些地方经常被不法

分子所利用。

⑥病毒威胁

计算机病毒成为严重危害。近来，通过网络传播的计算

机病毒越来越多，产生的危害性也越来越大。防毒软件具有

一定的滞后性，不能产生防患于未然的效果。

（二）信息安全保障体系

1.信息安全保障

网络安全是信息安全的重要组成部分，其概念几乎与信

息安全同时出现，因此网络安全保障与信息安全保障密不可

分。

1996年，美国国防部在DoD指令

5-3600.1(DoDD5-3600.1）中首次给出了“信息保障(IA)”

的标准化定义：为了确保信息及信息系统的可用性、完整性、

身份鉴别性和不可否认性而采取的保护和保卫信息及信息

系统的信息操作，包括以保护、检测和反应能力为信息系统

的恢复提供保障。

21

西方国家对“信息保障”的系统性研究始于1995年。

Shirey在《网络管理数据的安全需求》一文中将“网络安全

管理”定义为：通过监视和控制安全服务和机制、分布安全

信息以及报告安全事件来实现安全策略。与网络安全管理有

关的功能有：对资源的访问控制、安全信息的处理、实现以

及管理和控制加密过程。1996年，Longley和Shain在《计

算机与数据安全的标准概念与术语字典》一书中定义“自动

化信息系统安全”：“为系统和数据处理提供一个可接受保

护级别所需的全部安全措施”。Dobry和Schanken在《分布

式系统安全》一文中明确阐明了信息安全和信息安全保障的

区别，信息安全是一个产品或者系统的一个功能组件的一个

特征，而信息安全保障指的是开发和测试的过程、开发环境

以及支持产品和系统操作的一种质量。Longley和Shain综

合界定信息安全保障：“为确保一个自动信息系统安全特征

和结构能够得到准确的调整并执行安全策略而采取的措施”。

还有学者从更加广泛的意义上对信息保障给出了定义，信息

保障是一种工程规范，它可以提供一种全面且系统的方法以

确保个人自动化系统与其他多个自动化系统动态组合在一

起的一种(或多种)运行环境，并赋予其特定的功能性、安全

性和可靠性。

我国最初于1997年由国务院信息化工作领导小组办公

室提出并实施了“国际互联网安全研究项目计划”，该计划

重点在于相关技术产品的研发。1998年以后，各有关部门从

各自职能出发推出了相应计划，如保密部门的保密技术发

22

展、公安部门的公共信息网络安全监察体系、国家安全部门

的信息安全测评认证体系，以及科技部启动的“863”信息

安全专项、国家计委启动的信息安全产业化示范项目等。国

家正式提出了建立国家信息安全保障体系的战略目标，这一

目标的提出，标志着我国信息安全事业将由分散的、局部的

向综合的、总体的方向发展，标志着信息安全事业由单纯注

重技术产品到同时注重标准、法规、管理和专门人员素质能

力要求的方向发展。这一趋势不仅反映了信息化发展的客观

规律，也反映了世界各国在信息化发展和信息安全保障建设

方面的一致性。目前，我国各有关主管部门和科技界、管理

界尚未就安全保障体系的基本概念、模型、构成和实现方法、

基础指标等提出相应思路与方案，达成共识。

2.信息安全保障体系模型

目前，国际上普遍认为信息安全应该是一个动态的、不

断完善的过程，并做了大量研究工作，产生了各类动态安全

保障体系模型，如基于时间的PDR模型、P2DR模型、PDRR

模型、全网动态安全体系APPDRR模型、PADIMEE模型以及我

国的WPDRRC模型等。

（1）PDR模型

PDR模型包含3个主要部分：防护、检测和响应。防护、

检测和响应组成了一个所谓的“完整、动态”的安全循环，

如下图所示。

23

防护

响应检测

防护是主动防御的部分，系统的安全最终是依靠防护来

实现的。防护的对象涵盖了系统的全部，防护手段也因此多

种多样。

检测是动态响应和加强防护的依据。通过不间断地检测

网络和系统，发现威胁。

响应是主动防御的实现。根据策略以及检测到的情况进

行动态地调整防护，达到主动防御的目的。

（2）P2DR模型

P2DR模型是美国ISS公司提出的动态网络安全体系的代

表模型，也是动态安全模型的雏形，包括4个主要部分：安

全策略、防护、检测和响应。

策略：根据风险分析产生的安全策略描述系统中哪些资

源需要得到保护，以及如何实现对它们的保护等。策略是模

型的核心，所有的防护、检测和响应都是依据安全策略实施

的。网络安全策略一般包括总体安全策略和具体安全策略2

个部分。

防护：通过修复系统漏洞、正确设计开发和安装系统来

预防安全事件的发生；通过定期检查来发现可能存在的系统

24

脆弱性；通过教育等手段，使用户和操作员正确使用系统，

防止意外威胁；通过访问控制、监视等手段来防止恶意威胁。

采用的防护技术通常包括数据加密、身份认证、访问控制、

授权和虚拟专用网（VPN）技术、防火墙、安全扫描和数据

备份等。

检测：是动态响应和加强防护的依据，通过不断地检测

和监控网络系统，发现新的威胁和弱点，通过循环反馈及时

做出有效的响应。当攻击者穿透防护系统时，检测功能就发

挥作用，与防护系统形成互补。

响应：系统一旦检测到入侵，响应系统就开始工作，进

行事件处理。响应包括紧急响应和恢复处理，恢复处理又包

括系统恢复和信息恢复。

P2DR模型是在整体安全策略的控制和指导下，在综合运

用防护工具（如防火墙、操作系统身份认证、加密等）的同

时，利用检测工具（如漏洞评估、入侵检测等）了解和评估

系统的安全状态，通过适当的反应将系统调整到“最安全”

和“风险最低”的状态。防护、检测和响应组成了一个完整、

动态的安全循环，在安全策略的指导下保证信息系统的安

全。

该理论的最基本原理认为“信息安全相关的所有活动

（不管是攻击行为、防护行为、检测行为和响应行为等）都

要消耗时间，因此可以用时间来衡量一个体系的安全性和安

全能力”。

（3）PDRR模型

25

PDRR（ProtectDetectReactRestore）模型中，安全的

概念已经从信息安全扩展到了信息保障，信息保障内涵已超

出传统的信息安全保密，是保护、检测、反应、恢复的有机

结合，被称为PDRR模型，如下图所示。

PDRR模型把信息的安全保护作为基础，将保护视为活动

过程，要用检测手段来发现安全漏洞，及时更正；同时采用

应急响应措施对付各种入侵；在系统被入侵后，要采取相应

的措施将系统恢复到正常状态，这样使信息的安全得到全方

位的保障。该模型强调的是自动故障恢复能力。

（4）APPDRR模型

网络安全的动态特性在PDR模型中得到了一定程度的体

现，其中，主要是通过入侵的检测和响应完成网络安全的动

态防护，但PDR模型不能描述网络安全的动态螺旋上升过程。

为了使PDR模型能够贴切地描述网络安全的本质规律，人们

对PDR模型进行了修正和补充，在此基础上提出了APPDRR

模型。APPDRR模型认为网络安全由风险评估、安全策略、系

统防护、动态检测实时响应和灾难恢复6个部分完成，如下

图所示。

根据APPDRR模型，网络安全的第一个重要环节是风险

评估，通过风险评估，掌握网络安全面临的风险信息，进而

采取必要的处置措施，使信息组织的网络安全水平呈现动态

螺旋上升的趋势。网络安全策略是APPDRR模型的第二个重

要环节，起着承上启下的作用：一方面，安全策略应当随着

风险评估的结果和安全需求的变化做相应的更新；另一方面，

26

安全策略在整个网络安全工作中处于原则性的指导地位，其

后的检测、响应诸环节都应在安全策略的基础上展开。系统

防护是安全模型中的第三个环节，体现了网络安全的静态防

护措施。接下来是动态检测、实时响应、灾难恢复三环节，

体现了安全动态防护和安全入侵、安全威胁“短兵相接”的

对抗性特征。

APPDRR模型还隐含了网络安全的相对性和动态螺旋上

升的过程，即不存在百分之百静态的网络安全，网络安全表

现为一个不断改进的过程。通过风险评估、安全策略、系统

防护、动态检测、实时响应和灾难恢复6个环节的循环流动，

网络安全逐渐地得以完善和提高，从而实现保护网络资源的

网络安全目标。

（5）PADIMEE模型

PADIMEE模型通过对客户的技术和业务需求的分析以及

对客户信息安全的“生命周期”考虑，在7个核心方面体现

信息系统安全的持续循环，包含以下几个主要部分：安全策

略、安全评估、设计/方案、实施/实现、管理/监控、紧急

响应和安全教育，如下图所示。

该模型的核心思想是以工程方式进行信息安全工作，更

强调管理以及安全建设过程中的人为因素。根据PADIMEE模

型，网络安全需求主要在以下5个方面得以体过程中的人为

因素。根据PADIMEE模型，网络安全需求主要在以下5个方

面得以体现。

制订网络安全策略反映了组织的总体网络安全需求。

27

通过网络安全评估，提出网络安全需求，从而更加合理、

有效地组织网络安全工作。

在新系统、新项目的设计和实现中，应该充分地分析可

能引致的网络安全需求，并采取相应的措施。在这一阶段开

始网络安全工作，往往能够收到“事半功倍”的效果。

管理/监控也是网络安全实现的重要环节。其中，既包

括了动态检测内容，也涵盖了安全管理的要素。通过“管理

/监控”环节，并辅以必要的静态安全防护措施，可以满足

特定的网络安全需求，从而使既定的网络安全目标得以实

现。

紧急响应是网络安全的最后一道防线。由于网络安全的

相对性，采取的所有安全措施实际上都是将安全工作的收益

（以可能导致的损失来计量）和采取安全措施的成本相配比

进行选择、决策的结果。基于这样的考虑，在网络安全工程

实现模型中设置一道这样的最后防线有着极为重要的意义。

通过合理地选择紧急响应措施，可以做到以最小的代价换取

最大的收益，从而减弱乃至消除安全事件的不利影响，有助

于实现信息组织的网络安全目标。

（6）WPDRRC模型

WPDRRC安全模型是我国在PDR模型、P2DR模型及PDRR

等模型的基础上提出的适合我国国情的网络动态安全模型，

在PDRR模型的前后增加了预警和反击功能，如下图所示。

WPDRRC模型有6个环节和三大要素。6个环节包括预警、

保护、检测、响应、恢复和反击，它们具有较强的时序性和

28

动态性，能够较好地反映出信息系统安全保障体系的预警能

力、保护能力、检测能力、响应能力、恢复能力和反击能力。

三大要素包括人员、策略和技术，人员是核心，策略是桥梁，

技术是保证。三大要素落实在WPDRRC模型6个环节的各个

方面，将安全策略变为安全现实。

3.我国信息安全保障工作

（1）信息安全保障重要管理制度——信息安全等级保

护

我国信息安全保障工作要求坚持“积极防御、综合防范”

的方针，全面提高信息安全防护能力，重点保障基础信息网

络和重要信息系统安全，创建安全健康的网络环境，保障和

促进信息化发展，保护公众利益，维护国家安全。信息安全

保障体系的主要内容包括：

①信息安全等级保护制度；

②加强以密码技术为基础的信息保护和网络信任体系

建设；

③建设和完善信息安全监控体系；

④重视信息安全应急处理工作；

⑤加强信息安全技术研究开发，推进信息安全产业发

展；

⑥加强信息安全法制建设和标准化建设；

⑦加快信息安全人才培养，增强全民信息安全意识；

⑧保证信息安全资金到位；

⑨加强对信息安全工作的领导，建立健全信息安全责任

29

制。

⑩作为我国信息安全保障工作的重要内容，1994年，根

据《中华人民共和国计算机信息系统安全保护条例》（国务

院令第147号）的要求，公安部牵头开始了信息安全等级保

护制度建设，经过十多年的调研、建设、试点，于2007年，

开始全面实施信息系统安全等级保护工作。

⑪国家信息安全等级保护坚持“自主定级、自主保护”

的原则，对信息系统分等级进行保护，按标准进行建设、管

理和监督。信息安全等级保护制度遵循以下基本原则：明确

责任，共同保护；依照标准，自行保护；同步建设，动态调

整；指导监督，重点保护。

⑫信息安全等级保护就是分等级保护、分等级监管，是

将全国的信息系统（包括网络）按照重要性和遭受损坏后的

危害性分成5个安全保护等级（从第一级到第五级，逐级增

高）；等级确定后，第二级（含）以上信息系统到公安机关

备案，公安机关对备案材料和定级准确性进行审核，审核合

格后颁发备案证明；备案单位根据信息系统安全等级，按照

国家标准开展安全建设整改，建设安全设施，落实安全措施，

落实安全责任，建立和落实安全管理制度；备案单位选择符

合国家规定条件的测评机构开展等级测评；公安机关对第二

级信息系统进行指导，对第三、四级信息系统定期开展监督、

检查。

（2）信息安全保障工作研究——“一二三四五”国家

信息安全保障体系

30

国家信息安全保障体系包括积极防御、综合防范等多个

方面的多个原则。因此，要建立和完善信息安全等级保护制

度就要加强和建设多个层面。根据我国信息技术和信息安全

技术的发展和应用现状，中国工程院院士方滨兴指出，当前

国家信息安全的保障体系需要围绕以下细节全面建设，具体

为：加强密码技术的开发与应用，建设网络信息安全体系，

加强网络信息安全风险评估工作，建设和完善信息安全监控

体系，高度重视信息安全应急处置工作，重视灾难备份建设。

在此基础上，方滨兴院士提出我国的信息安全保障体系可以

从以下5个方面来开展建设。

①一个机制

所谓的一个机制，是指一个完善长效的机制，一方面体

现在组织协调性上，另一方面体现在支撑力度上。这需要宏

观层面，包括主管部门予以支持。

②两个原则

第一个原则是积极防御、综合防范。综合表现在整个产

业的协调发展，是网络信息安全与信息化的关系。积极有多

种含义，虽然并不提倡主动攻击，但是掌握攻击技术是信息

对抗所需要的。真正的积极是指一旦出现一个新的技术，就

立即要想到研究这个新技术会带来什么安全性问题，以及如

何处理这样的安全性问题。另外，技术解决不了的还得靠管

理，反之管理做不了的也得靠技术。

第二个原则是立足国情，主要是强调综合平衡安全成本

与风险。在这里面需要强调一点就是确保重点，如等级保护

31

就是根据信息系统的重要性来定级，从而施加适当强度的保

护。此外，在发展的时候必须要考虑到涉及安全问题时的应

对措施，安全是为了促进发展，而不是限制发展。

③三个要素

三个要素包括人、管理、技术。

从人才角度来说，强调两个方面。一个方面是培养，培

养所需的人、才、水平，包括学历教育、专业研究人员，以

及学科层面的人才培养。此外，还包括技能知识培训和网络

教育。另一方面，建立能够吸引和使用高素质的信息安全管

理和技术人才的机制。

互联网的管理可以涵盖为：法律保障、行政监管、行业

自律、技术支撑。管理可以分为三级措施：第一级是国家层

面的方针、政策和法规；第二级是标准，标准是从技术角度、

管理角度进行引导，标准解决怎么做，法规解决做什么的问

题；第三级即要求各个管理机构制定切实有效的规章、制度、

策略、措施。

技术即信息安全技术，且必须可信可控。在研究新技术、

新业务时需要政策导向和市场机制，最终的目标就是信息安

全技术以自主知识产权为主。

④四个核心能力

四个核心能力，主要是信息安全的法律保障能力、信息

安全的基础支撑能力、网络舆情宣传和驾驭的能力，以及国

际信息安全的影响力。

法律保障能力是以信息安全为纲，围绕信息安全法这个

32

核心法部署一系列的工作，包括制订相应的制度。

基础支撑能力是指国家要有一系列相应的基础支撑体

系，如数字证书、计算机网络应急响应体系、灾难恢复体系

等，基础支撑能力必须随着技术和应用的发展而不断改进增

强。

舆情驾驭能力关注三个如何（如何引导网络舆论，如何

对网上的热点话题做访问，如何提高处置网络的能力），这

“三个如何”是舆情驾驭能力的标志。舆情驾驭的具体目标

为：首先，要能够发现和获取；然后，要有分析和引导的能

力；最后，要有预警和处理的能力。

信息安全国际影响力。只有在信息安全较量中才能体现

出一个国家的信息安全影响力。所以需要发挥信息安全整体

资源的优势，其中包括对有害信息的应对能力、技术手段。

⑤五项工作

五项工作包括：加强风险评估工作，建立和完善等级保

护制度；加强密码技术的开发利用，建设网络信任体系；建

设和完善信息安全监控体系；高度重视信息安全应急处置工

作；灾难备份。

第一，风险评估和等级保护，两者相辅相成需要一体化

考虑。风险评估是出发点，等级划分是判断点，安全控制是

落脚点，所以风险评估和等级保护这两件事是不可分的，只

有知道了系统的脆弱性有多大，等级保护才能行之有效。

第二，网络信任体系主要依赖密码技术，必须强调密钥

体系的融入。

33

第三，网络监控系统强调国家对各个运营单位都要求有

相应的信息监控系统，具有处理信息的能力。

第四，应急响应体系要求在信息安全方面有国家级的应

急响应预案，并更好地贯彻实施。

第五，灾难备份最重要的目标是力保恢复，其次是及时

发现，接下来是快速响应。

4.国外信息安全保障工作

当今，发达国家的信息安全保障工作起步较早，已建成

了多个信息安全保障体系，其中具有代表性的是美国提出的

信息保障技术框架（IATF）和国际标准化组织（ISO）提出

的ISO27000信息安全管理体系。

（1）信息保障技术框架

信息保障技术框架是关于美国政府和工业界的信息与

信息基础设施安全保护方面的技术指南。信息基础设施的用

途是处理、存储以及传输信息，这些信息对各组织的运作极

为重要，因此需要通过“信息保障”（IA）来完成对这些信

息的保护。IATF给出当今信息基础设施的全面安全需求。

IATF围绕“深度防御策略”的4个重点技术领域，定义

了对系统进行信息保障的过程以及系统中硬件和软件的安

全要求，从而对信息基础设施做到多层的防护。

为了实现信息保障，应全面考虑深度防御策略的3个层

面——人、技术和操作。

IATF重在技术方面。IATF的目标是提升对信息保障技

术的意识，揭示信息系统用户的IA需求，对IA问题的解决

34

方案提供指导。

IATF一开始就对信息基础设施、信息基础设施的边界、

信息保障框架的范围、威胁的本质进行概括和定义。

IATF从网络和基础设施防御、区域边界防御、计算环境

防御和支持性基础设施这4个重点技术领域描述信息保障技

术。IATF认为对信息基础设施的攻击可划分为五类——被动

攻击、主动攻击、物理临近攻击、内部人员攻击和软硬件装

配、分发攻击，如下表所示。

（2）ISO27000信息安全管理体系

ISO/IEC27000标准是国际标准化组织专门为信息安全

管理体系建立的一系列相关标准的总称，已经预留了

ISO/IEC27000到ISO/IEC27059共60个标准号，基本可以分

为四部分：

第一部分是要求和支持性指南，包括ISO/IEC27000到

ISO/IEC27005，是信息安全管理体系的基础和基本要求；

第二部分是有关认证认可和审核的指南，包括

ISO/IEC27006到ISO/IEC27008，面向认证机构和审核人员；

第三部分是面向专门行业，如金融业、电信业的信息安

全管理要求，或者专门应用于某个具体的安全域，如数字证

据、业务连续性方面；

第四部分是由ISO技术委员会TC215单独制定的（而非

和IEC共同制定）应用于健康行业的标准ISO27799，以及一

些处于研究阶段并以新项目提案方式体现的成果，如供应链

安全、存储安全等。

35

依据ISO/IEC27000系列标准进行风险评估的核心思想

是：信息资产的风险值主要由资产价值、漏洞值以及薄弱点

值3个因素决定，评估过程首先由信息资产评估、漏洞评估

和薄弱点评估确定资产价值、资产漏洞值和资产薄弱点值，

综合考虑已有控制措施等因素后计算得出风险值。

ISO27000标准是建立信息安全管理体系（ISMS）的一套

规范，其中详细说明了建立、实施和维护信息安全管理体系

的要求，指出实施机构应该遵循的风险评估标准，它采用

PDCA（策划—实施—检查—处置）的过程方法来建立、实施、

运行、监控和评审，维持和提高组织的信息安全，保证ISMS

业绩的持续改进。ISO/IEC27002：2005包含了信息安全管理

的最佳实践规则，共11个大类、39个控制目标、133项控

制措施，每一个安全控制覆盖了不同的主题和区域，可供信

息安全管理体系实施者参考使用，几乎涉及了信息安全的方

方面面，保证了信息安全管理的先进性和完整性，有助于

ISO27000从保密性、完整性、可用性这3个信息安全特性来

保护组织的信息资产。

（三）安全测评的作用

测评认证是现代质量认证制度的重要内容，其实质是由

一个中立的权威机构，通过科学、规范、公正的测试和评估

向消费者、购买者即需方，证实生产者或供方所提供的产品

和服务，符合公开、客观和先进的标准。具体而言，测评认

证的对象是产品、系统、过程或服务；它的依据是国家标准、

行业标准或认证机构确认的技术规范；它的方法是对产品进

36

行抽样测试检验和对供方的质量保证能力即质量体系进行

检查评审以及事后定期监督；它的性质是由具有检验技术能

力和政府授权认证资格的权威机构，按照严格程序进行的科

学公正的评价活动；它的表示方式是颁发认证证书和认证标

志。

由于信息技术固有的敏感性和特殊性，信息产品是否合

规，安全产品是否有效，信息系统是否安全，信息化基础设

施是否具备抵御重大威胁的能力，这些都成为国家、行业、

企事业单位各方需要科学验证的问题。为此，各国政府纷纷

采取颁布标准，以测评和认证的方式，对信息技术产品的研

制、生产、销售、使用和进出口实行严格管理，对信息系统

和信息化基础设施的规划、设计、建设、运营、废弃过程进

行安全审核。美国将信息安全列为其国家安全的重要内容之

一，由美国国家安全局在美国国家标准技术局的支持下，负

责信息安全产品的测评认证工作。其他西方国家也纷纷效仿，

使信息安全的测评认证成为信息化进程中的一个重要领域。

安全测评通过在测评对象全生命周期中，对测评对象所

采取的安全防护、安全检测、安全反应及安全恢复措施等安

全保障的各个方面，采用系统安全工程方法，遵循特定的程

序和模式，实施一整套结构化的测试、评估技术，以完成对

信息化基础设施、信息安全基础设施、信息安全保障技术和

信息技术产品所提供的安全保障有效性的验证。安全测评是

国家和社会对信息安全保障体系进行质量监督与技术控制

的有效方式。

37

二、安全测评基本概念

（一）国内外信息安全测评发展状况

信息安全测评不是简单的某个信息安全特性的分析与

测试，而是通过综合测评获得具有系统性和权威性的结论，

对信息安全产品的设计研发、系统集成、用户采购等有指导

作用。因此，信息安全测评技术就是能够系统、客观地验证、

测试并评价信息安全产品和信息系统安全及其安全程度的

技术，主要由验证技术、测试技术及评估方法三部分组成。

前两部分通过分析或技术手段证实信息安全的性质、获得信

息安全的度量数据；第三部分，通过一系列的流程和方法，

客观、公正地评价和定级由验证测试结果反映的安全性能。

当前，信息安全验证与测试技术正在迅速发展，出现了大量

的方法、工具和手段，而信息安全评估流程、方法与相关的

安全功能一般要求由评估标准、规范、准则等给出。

信息安全测评