《信息系统评估简介》PPT课件

1、电脑资讯系统安全级别评估简介，主要内容，背景项目目标问题解决评估系统配置和功能评估结果报告评估系统特征结论，1，背景介绍，公安部主持和信息安全级别构建，主要任务：电脑资讯系统安全级别分类指南基础上构建完整的安全级别标准系统：计算机信息系统安全级别整体标准计算机信息系统安全级别一般标准应用系统安全级别标准认证系统安全级别标准，2，项目国家标准电脑资讯系统安全水平分类指导和顺利实施，利用现代电脑软件和信息安全技术，电脑资讯系统安全水平存储，建立知识库和等级评价的一般模型，提供信息系统评价工具，3，面临的问题，计算机信息系统复杂多样的成熟评价理论评价标准不足评价工作的重点，应注意确定测试工具类型攻防

2、工具的作用和产品评价的关系。 防止误解，4，解决方案，1，确定电脑资讯系统评估的主要对象：组织安全策略安全因素安全服务组件之间的连接管理系统物理环境安全，4，解决方案，2，电脑资讯系统安全评估的理论基础构建：以组件之间的连接为核心，定义安全因素在网络系统中的实施特征关联性和互补性。4，解决方案，连接说明：连接是指系统构建、运行和维护期间组件之间的合作关系。也就是说，在网络系统评估准则和组件评估准则中，充分考虑了安全因素之间的关联性和互补性，可以确保网络系统满足特定安全级别的安全因素要求，从而控制网络系统的整体安全。也就是说，L组件的安全功能、安全操作不会因连接的存在而受损。l组件中没有的安全组

3、件可以通过组件之间的协作实现。l系统的安全目标可以通过组件之间的协作实现。完整的连接首先表现为每个安全产品间通信协议的一致性，相关安全协议的一致性。此外，组件连接检查主要包括组件之间的关联性和互补性。4、解决方案、关联性：关联性意味着多个产品可以实现一个安全元素，但是由于每个安全策略、安全功能和主体都不同，因此必须遵守网络系统的一致安全策略，因此必须建立连接这些产品原始独立安全元素的适当连接规则。充分了解整个网络系统中牙齿安全因素的实施情况。补充：补充：产品安全级别评估准则对产品的安全因素实施有要求，但连接到网络系统的产品不提供实现牙齿安全因素的方法。由于提供了实现相应安全元素的接口，因此在网

4、络系统其他组件的帮助下，可以在产品中实现牙齿安全元素。4，解决方案，2，作为设计和开发评估工具的基础，开发电脑资讯系统安全级别评估参考意见。网络系统中安全因素的实现特性说明如下。网络系统的每个组件可以在徐璐其他服务层(如网络协议层)上实现其自己的部分或全部访问控制。您也可以不实施自己的访问控制。但是，每个组件必须通过互连和互补实现网络系统的自我访问控制。4，对于解决方案、产品评估中满足牙齿级别要求的组件，在执行网络系统评估时，可以直接利用评估结果，判断在TCB控制范围内是否可以满足自己的访问控制要求。在产品评估中，自我访问控制不能满足牙齿级别要求的组件必须通过与其他组件的连接和补充来满足用户自

5、我保护级别的自我访问控制要求。在自主访问控制的情况下，在每个组件中，组件本身不能实现自主访问控制，但是当该主体访问对象时，由其他组件的自主访问控制功能控制，并且不能忽略这些控制，则认为这些组件满足互补的要求。此外，在所有组件之间访问信息时，它由自己的访问策略控制，这些组件被认为满足关联性要求。4，解决方案，3，信息安全保障技术框架(IATF)根据IATF将电脑信息系统与本地计算环境领域边界网络和基础设施支持基础设施，4，解决方案，4，电脑本地计算环境和区域界限侧重于评估。重点考察了电脑信息系统提供的应用服务在实施过程中安全因素的关联性和互补性。5、安全级别安全因素安全指标、系统评估模型、系统实

6、施框架、评价方法、内容漏洞测试攻击测试边界测试密码测试扫描测试邮件服务测试数据库服务测试、域名服务测试web服务测试安全应用程序测试磁盘服务测试目录服务测试打印服务测试、5、评估系统组件和功能评估系统包括六个部分：安全指标数据库评估工具箱评估知识库漏洞存储调查和处理工具评估系统权限管理，5，评估系统配置和功能，安全评估指标数据库各种指标反映了从不同角度测试的目标系统安全策略、责任、保证、连接和安全服务的特性，是客观、全面测试的对象安全功能的评估基础。 标准和应用标准，以及对评估标准的理解和细化。将这些标准投影到一个基本测试单位，使测试对象的评估成为可执行的流程。第五，评估系统组件和功能；评估工

7、具箱：自动评估工具和导航评估工具与常见的扫描、攻击和检测分析工具集成。此外，您还可以提供基于导航的评估工具和操作方法，以指导评估人执行各种评估测试。这些工具共同提供了详细而客观的信息，使您可以测试一般系统环境、网络环境、应用程序环境，并评估被测试系统的安全策略、责任、保修、连接、安全服务等。5、评估系统配置和功能、评估工具箱根据对被测试对象的扫描分析自动提供各种工具组合，以分析和验证被测试对象的安全性。所有评估结果都存储在数据库中，便于检索，可以查看各种科举数据，克服科举安全测试中各种数据分布式处理、无法系统管理的缺点。第五，评估系统组件和功能，评估工具箱提供了评估工具的升级和扩展功能，以适应

8、安全评估的新形式。评估系统还构建了评估工具和漏洞信息、安全指标和安全因素之间的交叉索引，允许基于这些信息搜索其他内容。5、评估系统的配置和功能、系统安全评估知识库是资讯系统安全级别评估的核心部分，目前知识库包含用户自主保护级别、系统审计保护级别、安全段宜恩保护级别系统评估的通用模式，5，评价系统的构成和功能，系统安全评价知识库的另一个组成部分是评价推理器。从一组评估模型和安全指标中得出系统评估结论的逻辑序列。根据牙齿逻辑顺序，可以单独确定测试对象中徐璐其他安全区域的安全级别。5，评估系统配置和功能，漏洞存储库包含当前已知的所有漏洞信息(例如发现日期、特性、严重程度、系统的风险和相应的纠正措施等

9、)。将漏洞信息和安全因素结合起来，评估者可以全面评估被测试对象的安全性，从而彻底确定系统中隐藏的安全问题。5，评估系统配置和功能，漏洞信息存储库提供数据库更新功能，涵盖新发现的漏洞信息。为了便于以后评价者的使用，我们已经开始了对漏洞信息的韩华工作，牙齿工作还在进行中。5、评估系统的配置和功能、调查表和处理工具调查表是安全评估的辅助手段，主要用于获取有关被测试对象的基本信息。内容包括被测试对象的操作管理、安全策略、物理配置和系统设计等多个方面。另外，可以根据用户的等级评价申请调整调查内容。问卷处理工具将测试对象的物理配置等信息提交到数据库，以方便后续自动检测。其他调查内容也列入了指标库。5、评估

10、系统的配置和功能、评估系统权限管理牙齿系统为用户提供灵活的系统配置和数据库管理功能，同时将数据库管理权限与测试操作权限分开，确保评估结果客观公正。5，评估系统的配置和功能，介面设计产品评估数据介面物理环境评估数据介面，评估系统三维关联图，6，评估结果报告，评估报告提供以下信息：目标系统的每个安全区域不符合指标不符合指标对目标系统安全的影响分析目标系统的安全漏洞和目标系统的密码检测结果分析目标系统的每个安全区域符合指标安全建议和相关安全改进措施目标系统安全级别评估结论，7，评估系统特性，系统测试内容涵盖被测试对象的系统层次、网络层和应用程序层次等多层，为物理层、管理测试提供信息界面，为产品测试提供信息界面，7，评价系统特征，人机评价系统。三种茄子类型的评估工具：文档体积调查工具、导航测量工具、自