等級(jí)保護(hù)測(cè)評(píng)-完全全面過(guò)程ppt課件

等級(jí)保護(hù)測(cè)評(píng)過(guò)程以三級(jí)為例,1,主題一,等級(jí)保護(hù)測(cè)評(píng)方法論,等保測(cè)評(píng)安全措施,等級(jí)保護(hù)測(cè)評(píng)概述,等級(jí)保護(hù)測(cè)評(píng)內(nèi)容與方法,2,等保測(cè)評(píng)概述,等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，運(yùn)用科學(xué)的手段和方法，對(duì)處理特定應(yīng)用的信息系統(tǒng)，采用安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)方式，對(duì)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估，判定受測(cè)系統(tǒng)的技術(shù)和管理級(jí)別與所定安全等級(jí)要求的符合程度，基于符合程度給出是否滿足所定安全等級(jí)的結(jié)論，針對(duì)安全不符合項(xiàng)提出安全整改建議。,3,組合分析,1、等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定：國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)、保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)、信息安全等級(jí)保護(hù)管理辦法。2、受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)（相關(guān)標(biāo)準(zhǔn)關(guān)系圖參見(jiàn)圖1、圖2）定級(jí)標(biāo)準(zhǔn):信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南、計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則；建設(shè)標(biāo)準(zhǔn)：信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息系統(tǒng)通用安全技術(shù)要求、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求；測(cè)評(píng)標(biāo)準(zhǔn)：信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南、信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南；管理標(biāo)準(zhǔn)：信息系統(tǒng)安全管理要求、信息系統(tǒng)安全工程管理要求。3、運(yùn)用科學(xué)的手段和方法：采用6種方式，逐步深化的測(cè)試手段調(diào)研訪談（業(yè)務(wù)、資產(chǎn)、安全技術(shù)和安全管理）；查看資料（管理制度、安全策略）；現(xiàn)場(chǎng)觀察（物理環(huán)境、物理部署）；查看配置（主機(jī)、網(wǎng)絡(luò)、安全設(shè)備）；技術(shù)測(cè)試（漏洞掃描）；評(píng)價(jià)（安全測(cè)評(píng)、符合性評(píng)價(jià)）。,4,組合分析,4、對(duì)處理特定應(yīng)用的信息系統(tǒng)（查閱定級(jí)指南，哪些應(yīng)用系統(tǒng)定級(jí)）作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下基本特征：具有唯一確定的安全責(zé)任單位。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。如果一個(gè)單位的某個(gè)下級(jí)單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過(guò)程的全部安全責(zé)任，則這個(gè)下級(jí)單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個(gè)單位中的不同下級(jí)單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬的單位；具有信息系統(tǒng)的基本要素。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象；承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用。定級(jí)對(duì)象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨(dú)立，且與其他業(yè)務(wù)應(yīng)用沒(méi)有數(shù)據(jù)交換，且獨(dú)享所有信息處理設(shè)備。定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立，同時(shí)與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。5、采用安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)方式：安全技術(shù)測(cè)評(píng)包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全；安全管理測(cè)評(píng)包括：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。6、對(duì)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估，判定受測(cè)系統(tǒng)的技術(shù)和管理級(jí)別與所定安全等級(jí)要求的符合程度，基于符合程度給出是否滿足所定安全等級(jí)的結(jié)論，針對(duì)安全不符合項(xiàng)提出安全整改建議。符合程度：綜合分析具體指標(biāo)符合性判斷，給出抽象指標(biāo)符合性判斷結(jié)果，匯總所有抽象指標(biāo)符合判斷，給出安全等級(jí)滿足與否的結(jié)論；安全等級(jí)結(jié)論：結(jié)合受測(cè)系統(tǒng)符合性程度，判斷受測(cè)系統(tǒng)是否滿足所定安全等級(jí)的結(jié)論；安全整改建議：提出安全整改建議，匯總、分析所有不符合項(xiàng)對(duì)應(yīng)的改進(jìn)建議，組合成可單獨(dú)執(zhí)行的整改建議。,5,主題二,等級(jí)保護(hù)測(cè)評(píng)方法論,等保測(cè)評(píng)安全措施,等級(jí)保護(hù)測(cè)評(píng)概述,等級(jí)保護(hù)測(cè)評(píng)內(nèi)容與方法,6,等級(jí)保護(hù)完全實(shí)施過(guò)程,信息系統(tǒng)定級(jí),安全總體規(guī)劃,安全設(shè)計(jì)與實(shí)施,安全運(yùn)行維護(hù),信息系統(tǒng)終止,安全等級(jí)測(cè)評(píng),信息系統(tǒng)備案,安全整改設(shè)計(jì),等級(jí)符合性檢查,應(yīng)急預(yù)案及演練,安全要求整改,安全等級(jí)整改,局部調(diào)整,等級(jí)變更,7,信息系統(tǒng)全生命周期分為“信息系統(tǒng)定級(jí)、總體安全規(guī)劃、安全設(shè)計(jì)與實(shí)施、安全運(yùn)行維護(hù)、信息系統(tǒng)終止”等五個(gè)階段。,信息系統(tǒng)定級(jí)定級(jí)備案是信息安全等級(jí)保護(hù)的首要環(huán)節(jié)。信息系統(tǒng)定級(jí)工作應(yīng)按照“自主定級(jí)、專家評(píng)審、主管部門審批、公安機(jī)關(guān)審核”的原則進(jìn)行。在等級(jí)保護(hù)工作中，信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則開(kāi)展工作，并接受信息安全監(jiān)管部門對(duì)開(kāi)展等級(jí)保護(hù)工作的監(jiān)管?？傮w安全規(guī)劃總體安全規(guī)劃階段的目標(biāo)是根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級(jí)情況、信息系統(tǒng)承載業(yè)務(wù)情況，通過(guò)分析明確信息系統(tǒng)安全需求，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施計(jì)劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。對(duì)于已運(yùn)營(yíng)（運(yùn)行）的信息系統(tǒng)，需求分析應(yīng)當(dāng)首先分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與等級(jí)保護(hù)要求之間的差距。安全設(shè)計(jì)與實(shí)施安全設(shè)計(jì)與實(shí)施階段的目標(biāo)是按照信息系統(tǒng)安全總體方案的要求，結(jié)合信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃，分期分步落實(shí)安全措施安全運(yùn)行維護(hù)安全運(yùn)行與維護(hù)是等級(jí)保護(hù)實(shí)施過(guò)程中確保信息系統(tǒng)正常運(yùn)行的必要環(huán)節(jié)，涉及的內(nèi)容較多，包括安全運(yùn)行與維護(hù)機(jī)構(gòu)和安全運(yùn)行與維護(hù)機(jī)制的建立，環(huán)境、資產(chǎn)、設(shè)備、介質(zhì)的管理，網(wǎng)絡(luò)、系統(tǒng)的管理，密碼、密鑰的管理，運(yùn)行、變更的管理，安全狀態(tài)監(jiān)控和安全事件處置，安全審計(jì)和安全檢查等內(nèi)容。本標(biāo)準(zhǔn)并不對(duì)上述所有的管理過(guò)程進(jìn)行描述，希望全面了解和控制安全運(yùn)行與維護(hù)階段各類過(guò)程的本標(biāo)準(zhǔn)使用者可以參見(jiàn)其它標(biāo)準(zhǔn)或指南信息系統(tǒng)終止信息系統(tǒng)終止階段是等級(jí)保護(hù)實(shí)施過(guò)程中的最后環(huán)節(jié)。當(dāng)信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時(shí)，正確處理系統(tǒng)內(nèi)的敏感信息對(duì)于確保機(jī)構(gòu)信息資產(chǎn)的安全是至關(guān)重要的。在信息系統(tǒng)生命周期中，有些系統(tǒng)并不是真正意義上的廢棄，而是改進(jìn)技術(shù)或轉(zhuǎn)變業(yè)務(wù)到新的信息系統(tǒng)，對(duì)于這些信息系統(tǒng)在終止處理過(guò)程中應(yīng)確保信息轉(zhuǎn)移、設(shè)備遷移和介質(zhì)銷毀等方面的安全,8,等保測(cè)評(píng)工作流程,等級(jí)測(cè)評(píng)的工作流程，依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南，具體內(nèi)容參見(jiàn)：等保測(cè)評(píng)工作流程圖,9,準(zhǔn)備階段,10,方案編制階段,11,現(xiàn)場(chǎng)測(cè)評(píng)階段,12,報(bào)告編制階段,13,等保實(shí)施計(jì)劃,安全管理調(diào)研,現(xiàn)場(chǎng)實(shí)地調(diào)研,現(xiàn)狀調(diào)研報(bào)告滲透測(cè)試報(bào)告信息資產(chǎn)調(diào)研表人工審計(jì)報(bào)告掃描報(bào)告基礎(chǔ)培訓(xùn)PPT,安全技術(shù)調(diào)研,信息安全愿景制定,信息安全總體框架設(shè)計(jì),管理體系,技術(shù)體系,運(yùn)維體系,項(xiàng)目準(zhǔn)備,等保差距報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告技能和意識(shí)培訓(xùn),項(xiàng)目準(zhǔn)備,現(xiàn)狀調(diào)研,風(fēng)險(xiǎn)與差距分析,體系規(guī)劃與建立,交流、知識(shí)轉(zhuǎn)移、培訓(xùn)、宣傳,項(xiàng)目驗(yàn)收,項(xiàng)目驗(yàn)收,控制風(fēng)險(xiǎn)分析,等保差距分析,高危問(wèn)題整改,規(guī)劃報(bào)告體系文件.,等保測(cè)評(píng),14,主題三,等級(jí)保護(hù)測(cè)評(píng)方法論,等保測(cè)評(píng)安全措施,等級(jí)保護(hù)測(cè)評(píng)概述,等級(jí)保護(hù)測(cè)評(píng)內(nèi)容與方法,15,等級(jí)保護(hù)綜合測(cè)評(píng),物理安全,網(wǎng)絡(luò)安全,主機(jī)系統(tǒng)安全,應(yīng)用安全,數(shù)據(jù)安全,安全管理機(jī)構(gòu),安全管理制度,人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運(yùn)維管理,信息系統(tǒng),綜合測(cè)評(píng),技術(shù)要求,管理要求,16,等級(jí)保護(hù)測(cè)評(píng)類型,等保基本要求的三種技術(shù)類型（S/A/G）S:保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)修改的信息安全類要求;-物理訪問(wèn)控制、邊界完整性檢查、身份鑒別、通信完整性、保密性等；A:保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對(duì)系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求;-電力供應(yīng)、資源控制、軟件容錯(cuò)等G:通用安全保護(hù)類要求。-技術(shù)類中的安全審計(jì)、管理制度等,17,等級(jí)保護(hù)測(cè)評(píng)指標(biāo),18,等保測(cè)評(píng)方法,訪談訪談是指測(cè)評(píng)人員通過(guò)與信息系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)以表明信息系統(tǒng)安全保護(hù)措施是否有效落實(shí)的一種方法。在訪談范圍上，應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。檢查檢查是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取相關(guān)證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效實(shí)施的一種方法。在檢查范圍上，應(yīng)基本覆蓋所有的對(duì)象種類（設(shè)備、文檔、機(jī)制等），數(shù)量上可以抽樣。測(cè)試測(cè)試是指測(cè)評(píng)人員針對(duì)測(cè)評(píng)對(duì)象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)，通過(guò)查看和分析響應(yīng)的輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法。在測(cè)試范圍上，應(yīng)基本覆蓋不同類型的機(jī)制，在數(shù)量上可以抽樣。,19,物理基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：,物理安全,20,物理安全測(cè)評(píng)內(nèi)容和方法,物理位置選擇,物理訪問(wèn)控制,調(diào)研訪談：機(jī)房具有防震、防雨和防風(fēng)能力，并提供機(jī)房設(shè)計(jì)和驗(yàn)收證明；現(xiàn)場(chǎng)查看：查看機(jī)房是否建在高層或地下室。,防盜和防破壞,防雷擊,防火,防水和防潮,防靜電,溫濕度控制,電力供應(yīng),電磁防護(hù),物理安全,調(diào)研訪談：專人值守、進(jìn)出記錄、申請(qǐng)和審批記錄、物理隔離、門禁系統(tǒng)；現(xiàn)場(chǎng)查看：進(jìn)出登記記錄、物理區(qū)域化管理、電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄。,調(diào)研訪談：設(shè)備固定和標(biāo)識(shí)、隱蔽布線、介質(zhì)分類存儲(chǔ)標(biāo)識(shí)、部署防盜監(jiān)控系統(tǒng)；現(xiàn)場(chǎng)查看：設(shè)備固定和標(biāo)識(shí)、監(jiān)控報(bào)警系統(tǒng)安全材料、測(cè)試和驗(yàn)收?qǐng)?bào)告。,調(diào)研訪談：安裝避雷裝置、專業(yè)地線、防雷感應(yīng)器；現(xiàn)場(chǎng)查看：機(jī)房防雷設(shè)計(jì)/驗(yàn)收文檔、接地設(shè)計(jì)/驗(yàn)收文檔，交流地線和防雷設(shè)備,調(diào)研訪談：自動(dòng)報(bào)警滅火設(shè)備、耐火材料、物理防火隔離；現(xiàn)場(chǎng)查看：自動(dòng)消防運(yùn)行、報(bào)警、維護(hù)記錄，機(jī)房防火設(shè)計(jì)/驗(yàn)收文檔。,調(diào)研訪談：機(jī)房?jī)?nèi)有無(wú)上下水，防水和防漏措施；現(xiàn)場(chǎng)查看：機(jī)房防水和防潮設(shè)計(jì)/驗(yàn)收文檔，地下積水的轉(zhuǎn)移與滲透的措施。,調(diào)研訪談：接地防靜電措施，采用防靜電地板；現(xiàn)場(chǎng)查看：防靜電措施文檔，防靜電地板驗(yàn)收文檔。,調(diào)研訪談：溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，專人負(fù)責(zé)；現(xiàn)場(chǎng)查看：溫濕度控制設(shè)計(jì)/驗(yàn)收文檔，溫濕度記錄、運(yùn)行記錄和維護(hù)記錄。,調(diào)研訪談：部署穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備，UPS和市電冗余；現(xiàn)場(chǎng)查看：電源設(shè)備的檢查和維護(hù)記錄，備用供電系統(tǒng)運(yùn)行記錄，市電切換記錄。,調(diào)研訪談：安全接地，關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽；現(xiàn)場(chǎng)查看：查看安全接地、電源線和通訊線隔離，電磁屏蔽容器。,21,物理安全測(cè)評(píng)基本要求和實(shí)現(xiàn)方法,基本防護(hù)能力,高層、地下室,基本出入控制,分區(qū)域管理,在機(jī)房中的活動(dòng),電子門禁,存放位置、標(biāo)識(shí)標(biāo)記,監(jiān)控報(bào)警系統(tǒng),建筑防雷、機(jī)房接地,設(shè)備防雷,滅火設(shè)備、自動(dòng)報(bào)警,自動(dòng)消防系統(tǒng),區(qū)域隔離措施,關(guān)鍵設(shè)備和地板防靜電,防靜電地板,穩(wěn)定電壓、短期供應(yīng),冗余/并行線路,備用供電系統(tǒng),線纜隔離、設(shè)備和介質(zhì)屏蔽,接地防干擾,電磁屏蔽,防水設(shè)備、防水應(yīng)急預(yù)案或措施,基本要求,實(shí)現(xiàn)方法/案例,空調(diào)系統(tǒng)、自動(dòng)調(diào)節(jié),接地線,溫濕度自動(dòng)調(diào)節(jié)設(shè)施,上下水管,門窗防水,線纜隔離布線,機(jī)房部署中層,物理位置的選擇,物理訪問(wèn)控制,防盜竊和防破壞,防雷擊,防火,防靜電,電力供應(yīng),電磁防護(hù),防水和防潮,溫濕度控制,22,網(wǎng)絡(luò)安全基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：,網(wǎng)絡(luò)安全,23,網(wǎng)絡(luò)安全測(cè)評(píng)內(nèi)容和方法,結(jié)構(gòu)安全,訪問(wèn)控制,調(diào)研訪談：網(wǎng)絡(luò)冗余、帶寬情況、安全路徑、子網(wǎng)和網(wǎng)段分配原則、重要網(wǎng)段隔離；測(cè)評(píng)判斷：網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，路由控制策略，網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，網(wǎng)絡(luò)隔離手段。,安全審計(jì),邊界完整性檢查,入侵檢測(cè),惡意代碼防護(hù),網(wǎng)絡(luò)設(shè)備防護(hù),網(wǎng)絡(luò)安全,調(diào)研訪談：網(wǎng)絡(luò)邊界控制策略，測(cè)評(píng)判斷：會(huì)話對(duì)數(shù)據(jù)流進(jìn)行控制，應(yīng)用層協(xié)議控制，自動(dòng)終止網(wǎng)絡(luò)連接的配置等。,調(diào)研訪談：開(kāi)啟安全審計(jì)功能、審計(jì)內(nèi)容、審計(jì)報(bào)表、審計(jì)記錄保護(hù)；測(cè)評(píng)判斷：審計(jì)全面監(jiān)測(cè)、查看審計(jì)報(bào)表、審計(jì)記錄處理方式。,調(diào)研訪談：外網(wǎng)接入內(nèi)網(wǎng)行為監(jiān)控、內(nèi)網(wǎng)私自聯(lián)到外網(wǎng)行為監(jiān)控，并進(jìn)行阻斷處理；測(cè)評(píng)判斷：查看外網(wǎng)接入內(nèi)網(wǎng)行為和內(nèi)網(wǎng)私自聯(lián)到外網(wǎng)行為進(jìn)行監(jiān)控的配置。,調(diào)研訪談：網(wǎng)絡(luò)入侵防范措施、防范規(guī)則庫(kù)升級(jí)方式、網(wǎng)絡(luò)入侵防范的設(shè)備；測(cè)評(píng)判斷：檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看檢測(cè)的攻擊行為和安全警告方式。,調(diào)研訪談：網(wǎng)絡(luò)惡意代碼防范措施、惡意代碼庫(kù)的更新策略；測(cè)評(píng)判斷：網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，網(wǎng)絡(luò)邊界對(duì)惡意代碼采取的措施和防惡意代碼產(chǎn)品更新。,調(diào)研訪談：兩種用戶身份鑒別、地址限制、用戶唯一、口令復(fù)雜度要求、登錄失敗驗(yàn)證等；測(cè)評(píng)判斷：用戶唯一和地址限制、密碼復(fù)雜度和兩種身份鑒別方式、特權(quán)用戶權(quán)限分配。,24,網(wǎng)絡(luò)安全測(cè)評(píng)基本要求和實(shí)現(xiàn)方法,基本要求,實(shí)現(xiàn)方法/案例,關(guān)鍵設(shè)備冗余空間,子網(wǎng)/網(wǎng)段控制,核心網(wǎng)絡(luò)帶寬,主要設(shè)備冗余空間,整體網(wǎng)絡(luò)帶寬,重要網(wǎng)段部署,路由控制,訪問(wèn)控制設(shè)備（用戶、網(wǎng)段）,撥號(hào)訪問(wèn)限制,應(yīng)用層協(xié)議過(guò)濾,會(huì)話終止,端口控制,最大流量數(shù)及最大連接數(shù),防止地址欺騙,結(jié)構(gòu)安全,訪問(wèn)控制,安全審計(jì),邊界完整性檢查,入侵防范,惡意代碼防范,網(wǎng)絡(luò)設(shè)備防護(hù),審計(jì)報(bào)表,審計(jì)記錄的保護(hù),定位及阻斷,內(nèi)部的非法聯(lián)出,非授權(quán)設(shè)備私自外聯(lián),檢測(cè)常見(jiàn)攻擊,記錄、報(bào)警,網(wǎng)絡(luò)邊界處防范,基本的登錄鑒別,組合鑒別技術(shù),特權(quán)用戶的權(quán)限分離,邊界惡意代碼檢測(cè),代碼庫(kù)升級(jí),重要客戶端的審計(jì),日志記錄,25,主機(jī)安全基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：,主機(jī)安全,26,主機(jī)安全測(cè)評(píng)內(nèi)容和方法,身份鑒別,訪問(wèn)控制,安全審計(jì),剩余信息保護(hù),入侵檢測(cè),惡意代碼防范,資源控制,主機(jī)安全,調(diào)研訪談：安全策略、最小分配原則、權(quán)限分離、刪除多余賬戶、敏感標(biāo)識(shí)、控制敏感資源；測(cè)評(píng)判斷：檢查服務(wù)器操作系統(tǒng)的安全策略、查看特權(quán)用戶的權(quán)限是否進(jìn)行分離。,調(diào)研訪談：保證數(shù)據(jù)存儲(chǔ)空間、重新分配前完全清楚數(shù)據(jù)；測(cè)評(píng)判斷：檢查操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)維護(hù)操作手冊(cè)，包括：存儲(chǔ)空間被釋放和重新分配原則。,調(diào)研訪談：入侵防范措施和安全報(bào)警、重要程序的完整性進(jìn)行檢測(cè)、系統(tǒng)補(bǔ)丁及時(shí)更新；測(cè)評(píng)判斷：檢查入侵防范系統(tǒng)、檢測(cè)到完整性受到破壞后恢復(fù)的措施、補(bǔ)丁升級(jí)記錄。,調(diào)研訪談：安裝防惡意代碼軟件、防惡意代碼軟件統(tǒng)一管理；測(cè)評(píng)判斷：檢查實(shí)時(shí)檢測(cè)與惡意代碼的軟件產(chǎn)品并進(jìn)行及時(shí)更新、主機(jī)和網(wǎng)絡(luò)惡意代碼軟件不同,調(diào)研訪談：限制終端登錄、登錄超時(shí)鎖定、對(duì)服務(wù)器進(jìn)行監(jiān)控、限制用戶對(duì)資源的訪問(wèn)等；測(cè)評(píng)判斷：檢查服務(wù)器操作系統(tǒng)限制終端登錄、超時(shí)鎖定、服務(wù)器監(jiān)控等,調(diào)研訪談：兩種用戶身份鑒別、地址限制、用戶唯一、口令復(fù)雜度要求、登錄失敗驗(yàn)證等；測(cè)評(píng)判斷：用戶唯一和地址限制、密碼復(fù)雜度和兩種身份鑒別方式、特權(quán)用戶權(quán)限分配。,調(diào)研訪談：開(kāi)啟安全審計(jì)功能、審計(jì)內(nèi)容、審計(jì)報(bào)表、審計(jì)記錄保護(hù)；測(cè)評(píng)判斷：審計(jì)全面監(jiān)測(cè)、查看審計(jì)報(bào)表、審計(jì)記錄處理方式。,27,主機(jī)安全測(cè)評(píng)基本要求和實(shí)現(xiàn)方法,基本要求,實(shí)現(xiàn)方法/案例,訪問(wèn)控制,安全審計(jì),剩余信息保護(hù),入侵防范,惡意代碼防范,資源控制,審計(jì)報(bào)表,審計(jì)記錄的保護(hù),空間釋放,惡意代碼防范產(chǎn)品,對(duì)用戶會(huì)話數(shù)及終端登錄的限制,監(jiān)視重要服務(wù)器,最小服務(wù)水平的檢測(cè)及報(bào)警,防惡意代碼軟件、代碼庫(kù)統(tǒng)一管理,身份鑒別,基本的身份鑒別,組合鑒別技術(shù),安全策略,特權(quán)用戶的權(quán)限分離,管理用戶的權(quán)限分離,敏感標(biāo)記的設(shè)置及操作,服務(wù)器基本運(yùn)行情況審計(jì),重要客戶端的審計(jì),空間釋放及信息清除,最小安裝原則,升級(jí)服務(wù)器,重要服務(wù)器：檢測(cè)、記錄、報(bào)警,重要程序完整性,28,應(yīng)用安全基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：,應(yīng)用安全,29,應(yīng)用安全測(cè)評(píng)內(nèi)容和方法,身份鑒別,訪問(wèn)控制,安全審計(jì),剩余信息保護(hù),通訊完整性,通訊保密性,抗抵賴,應(yīng)用安全,調(diào)研訪談：應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；測(cè)評(píng)判斷：檢查設(shè)計(jì)或驗(yàn)收文檔，是否有用密碼技術(shù)來(lái)保證通信過(guò)程中數(shù)據(jù)的完整性的描述。,調(diào)研訪談：利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證、對(duì)整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密；測(cè)評(píng)判斷：系統(tǒng)數(shù)據(jù)在通信過(guò)程中采取掃描保密措施，查看具體措施。,調(diào)研訪談：數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；測(cè)評(píng)判斷：系統(tǒng)是否具有抗抵賴的措施，查看具體措施。,軟件容錯(cuò),調(diào)研訪談：數(shù)據(jù)有效性檢驗(yàn)功能、當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)；測(cè)評(píng)判斷：查看應(yīng)用系統(tǒng)是否對(duì)人機(jī)接口輸入或通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn)。,資源控制,調(diào)研訪談：兩種用戶身份鑒別、地址限制、用戶唯一、口令復(fù)雜度要求、登錄失敗驗(yàn)證等；測(cè)評(píng)判斷：用戶唯一和地址限制、密碼復(fù)雜度和兩種身份鑒別方式、特權(quán)用戶權(quán)限分配。,調(diào)研訪談：安全策略、最小分配原則、權(quán)限分離、刪除多余賬戶、敏感標(biāo)識(shí)、控制敏感資源；測(cè)評(píng)判斷：檢查服務(wù)器操作系統(tǒng)的安全策略、查看特權(quán)用戶的權(quán)限是否進(jìn)行分離。,調(diào)研訪談：開(kāi)啟安全審計(jì)功能、審計(jì)內(nèi)容、審計(jì)報(bào)表、審計(jì)記錄保護(hù)；測(cè)評(píng)判斷：審計(jì)全面監(jiān)測(cè)、查看審計(jì)報(bào)表、審計(jì)記錄處理方式。,調(diào)研訪談：保證數(shù)據(jù)存儲(chǔ)空間、重新分配前完全清楚數(shù)據(jù)；測(cè)評(píng)判斷：檢查操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)維護(hù)操作手冊(cè)，包括：存儲(chǔ)空間被釋放和重新分配原則。,調(diào)研訪談：限制終端登錄、登錄超時(shí)鎖定、對(duì)服務(wù)器進(jìn)行監(jiān)控、限制用戶對(duì)資源的訪問(wèn)等；測(cè)評(píng)判斷：檢查服務(wù)器操作系統(tǒng)限制終端登錄、超時(shí)鎖定、服務(wù)器監(jiān)控等。,30,應(yīng)用安全測(cè)評(píng)基本要求和實(shí)現(xiàn)方法,基本要求,實(shí)現(xiàn)方法/案例,訪問(wèn)控制,安全審計(jì),剩余信息保護(hù),通訊完整性,通訊保密性,資源控制,審計(jì)報(bào)表,審計(jì)記錄的保護(hù),空間釋放,對(duì)用戶會(huì)話數(shù)及系統(tǒng)最大并發(fā)會(huì)話數(shù)的限制,身份鑒別,基本的身份鑒別,組合鑒別技術(shù),安全策略,最小授權(quán)原則,敏感標(biāo)記的設(shè)置及操作,空間釋放及信息清除,運(yùn)行情況審計(jì)（用戶級(jí)）,審計(jì)記錄的保護(hù),校驗(yàn)碼技術(shù),初始化驗(yàn)證,密碼技術(shù),整個(gè)報(bào)文及會(huì)話過(guò)程加密,抗抵賴,數(shù)據(jù)原發(fā)證據(jù)和接收證據(jù),用戶認(rèn)證、數(shù)字簽名、操作日志,資源分配限制、資源分配優(yōu)先級(jí),最小服務(wù)水平的檢測(cè)及報(bào)警,軟件容錯(cuò),數(shù)據(jù)有效性檢驗(yàn)、部分運(yùn)行保護(hù),自動(dòng)保護(hù)功能,31,數(shù)據(jù)安全基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：,數(shù)據(jù)安全,32,數(shù)據(jù)安全測(cè)評(píng)內(nèi)容和方法,數(shù)據(jù)完整性,數(shù)據(jù)保密性,調(diào)研訪談：應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中完整性受到破壞，并進(jìn)行必要措施；檢查判斷：檢測(cè)傳輸和存儲(chǔ)破壞的措施和恢復(fù)措施。,安全備份,數(shù)據(jù)安全,調(diào)研訪談：采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸和存儲(chǔ)保密性；檢查判斷：鑒別信息和重要業(yè)務(wù)數(shù)據(jù)是否采用加密或其他有效措施實(shí)現(xiàn)傳輸保密性,調(diào)研訪談：本地?cái)?shù)據(jù)備份和恢復(fù)，備份介質(zhì)場(chǎng)外存放，通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余；檢查判斷：查設(shè)計(jì)或驗(yàn)收文檔，對(duì)本地?cái)?shù)據(jù)備份和恢復(fù)功能及策略的描述，查主要網(wǎng)絡(luò)設(shè)備、主要通信線路和主要數(shù)據(jù)處理系統(tǒng)是否采用硬件冗余、軟件配置等,33,應(yīng)用安全測(cè)評(píng)基本要求和實(shí)現(xiàn)方法,基本要求,實(shí)現(xiàn)方法/案例,訪問(wèn)控制,備份和恢復(fù),數(shù)據(jù)完整性,鑒別數(shù)據(jù)傳輸?shù)耐暾?各類數(shù)據(jù)傳輸及存儲(chǔ),檢測(cè)和恢復(fù),鑒別數(shù)據(jù)存儲(chǔ)的保密性,各類數(shù)據(jù)的傳輸及存儲(chǔ),重要數(shù)據(jù)的備份,硬件冗余,異地備份,網(wǎng)絡(luò)冗余、硬件冗余,本地完全備份,每天1次,備份介質(zhì)場(chǎng)外存放,34,安全管理制度基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：,安全管理制度,35,安全管理制度測(cè)評(píng)內(nèi)容和方法,管理制度,制定和發(fā)布,調(diào)研訪談：制定總體方針和安全策略、建立操作規(guī)程；查文件：查部門、崗位職責(zé)文件，信息安全方針、安全策略文件；查各類安全管理制度文件；形成安全管理制度體系,評(píng)審和修訂,安全管理制度,調(diào)研訪談：專人負(fù)責(zé)制定安全管理制度，統(tǒng)一格式和版本，并進(jìn)行論證和審定，通過(guò)有效形式進(jìn)行發(fā)布，注明發(fā)布范圍；查文件：查指定部門和人員的工作職責(zé)，信息安全管理制度的文件模板或格式規(guī)定，論證和審定記錄和文件發(fā)布、登記記錄。,調(diào)研訪談：安全管理制度評(píng)審主持部門，定期對(duì)制度文件的合理性和適用性進(jìn)行審定；查文件：查對(duì)安全管理制度體系進(jìn)行評(píng)審的管理文件，修訂的安全管理制度修訂或評(píng)審記錄。,36,安全管理機(jī)構(gòu)基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：,安全管理機(jī)構(gòu),37,安全管理機(jī)構(gòu)測(cè)評(píng)內(nèi)容和方法,崗位設(shè)置,人員配備,調(diào)研訪談：信息安全管理工作的職能部門，設(shè)立崗位和職責(zé)，建立信息安全領(lǐng)導(dǎo)小組；查文件：查部門、崗位職責(zé)文件，領(lǐng)導(dǎo)小組崗位職責(zé)文件，安全管理機(jī)構(gòu)各部門和崗位職責(zé)、分工、技能要求文件,授權(quán)和審批,安全管理機(jī)構(gòu),調(diào)研訪談：安全管理崗位人員的配備情況；查文件：查安全管理各崗位人員信息表，關(guān)鍵崗位管理人員配備2人或2人以上共同管理。,調(diào)研訪談：對(duì)重要活動(dòng)進(jìn)行審批，審批部門是何部門，批準(zhǔn)人是何人，審批范圍包括哪些，定期審查審批；查文件：查各部門和崗位的職責(zé)文檔，逐級(jí)審批制度及審批記錄，查審查審批制度。,溝通和合作,調(diào)研訪談：內(nèi)部溝通機(jī)制，兄弟單位合作溝通機(jī)制，供應(yīng)商合作溝通機(jī)制，聘請(qǐng)安全專家；查文件：查內(nèi)部溝通、合作機(jī)制程序或規(guī)程，查外聯(lián)單位聯(lián)系列表，查安全顧問(wèn)名單、證明文件，相關(guān)文檔或記錄。,審核和檢查,調(diào)研訪談：定期安全檢查的程序、實(shí)施情況及檢查周期，對(duì)信息系統(tǒng)全面安全檢查；查文件：安全檢查的程序文件和記錄，全面安全檢查記錄，安全檢查表，安全檢查報(bào)告和結(jié)果通告記錄，全面安全檢查報(bào)告等。,38,人員安全管理基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：,人員安全管理,39,人員安全管理測(cè)評(píng)內(nèi)容和方法,人員錄用,人員離崗,調(diào)研訪談：專門的部門或人員負(fù)責(zé)人員的錄用工作，人員錄用條件和審查內(nèi)容；查文件：查部門/人員工作職責(zé)文件，人員錄用要求管理文檔，相關(guān)審查及考核記錄，查保密協(xié)議；查保密協(xié)議簽署記錄。,人員考核,人員安全管理,調(diào)研訪談：離崗人員控制方法，調(diào)離手續(xù)，關(guān)鍵崗位人員調(diào)離時(shí)承諾相關(guān)保密協(xié)議；查文件：查人員離崗的管理文檔，對(duì)離崗人員的安全處理記錄，調(diào)離手續(xù)記錄，查保密承諾文檔，調(diào)離人員記錄。,調(diào)研訪談：各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)的考核，關(guān)鍵崗位審查考核特殊要求；查文件：查定期人員審查/考核規(guī)程文件，關(guān)鍵崗位的定期審查和考核規(guī)程文件，考核文檔和記錄，人員安全審查記錄。,安全意識(shí)教育和培訓(xùn),調(diào)研訪談：制定培訓(xùn)計(jì)劃及實(shí)施情況，對(duì)違反安全策略和規(guī)定的人員進(jìn)行懲戒；查文件：查安全意識(shí)教育和培訓(xùn)規(guī)程文件，安全責(zé)任和懲戒措施管理文檔，安全教育和培訓(xùn)計(jì)劃文檔，教育和培訓(xùn)記錄。,外部人員訪問(wèn)管理,調(diào)研訪談：對(duì)外部人員訪問(wèn)重要區(qū)域管理措施、規(guī)程或制度等情況；查文件：查外部人員訪問(wèn)管理規(guī)程文檔和訪問(wèn)重要區(qū)域批準(zhǔn)文檔，外部人員訪問(wèn)重要區(qū)域的登記記錄。,40,系統(tǒng)建設(shè)管理基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：,系統(tǒng)建設(shè)管理,41,系統(tǒng)建設(shè)管理測(cè)評(píng)內(nèi)容和方法,系統(tǒng)定級(jí),安全方案設(shè)計(jì),調(diào)研訪談：系統(tǒng)定級(jí)過(guò)程、方法和理由，定級(jí)結(jié)果論證和審定，定級(jí)結(jié)果批準(zhǔn)等；查文件：查系統(tǒng)定級(jí)文檔，文檔說(shuō)明定級(jí)方法和理由，論證和審定意見(jiàn)，批準(zhǔn)蓋章等。,產(chǎn)品采購(gòu)和使用,自行軟件開(kāi)發(fā),外部軟件開(kāi)發(fā),工程實(shí)施,測(cè)試驗(yàn)收,系統(tǒng)交付,系統(tǒng)備案,等級(jí)測(cè)評(píng),系統(tǒng)建設(shè)管理,調(diào)研訪談：專人負(fù)責(zé)安全建設(shè)規(guī)劃，安全設(shè)計(jì)方案，專家論證和審定，定期修訂配套文件；查文件：安全措施文檔、風(fēng)險(xiǎn)分析表，總體規(guī)劃文件和工作計(jì)劃，專家論證文檔，文檔修訂記錄。,調(diào)研訪談：安全、密碼產(chǎn)品使用，指定部門負(fù)責(zé)采購(gòu)，審定和更新候選產(chǎn)品名單；查文件：采購(gòu)文件中涉及產(chǎn)品指標(biāo)和候選范圍，密碼產(chǎn)品使用規(guī)定，產(chǎn)品選型測(cè)試記錄等。,調(diào)研訪談：開(kāi)發(fā)環(huán)境與測(cè)試環(huán)境分開(kāi)，編碼安全規(guī)范，專人保管設(shè)計(jì)文檔和使用指南，授權(quán)審批；查文件：查軟件開(kāi)發(fā)管理制度，明確軟件開(kāi)發(fā)生命周期管理，編碼規(guī)范，設(shè)計(jì)文檔等管理。,調(diào)研訪談：檢測(cè)軟件質(zhì)量，惡意代碼檢測(cè)，開(kāi)發(fā)商提供設(shè)計(jì)文檔、使用指南和源代碼等；查文件：外包軟件驗(yàn)收測(cè)試報(bào)告，惡意代碼檢測(cè)報(bào)告，設(shè)計(jì)文件和使用指南，源代碼審查記錄等。,調(diào)研訪談：專人負(fù)責(zé)管理實(shí)施過(guò)程，制定實(shí)施方案，制定工程實(shí)施方面的安全管理制度；查文件：工程實(shí)施方的責(zé)任、任務(wù)和質(zhì)量要求，工程實(shí)施方案，階段性報(bào)告，工程實(shí)施管理制度。,調(diào)研訪談：第三方安全測(cè)試，制定測(cè)試驗(yàn)收方案和報(bào)告，專人負(fù)責(zé)驗(yàn)收工作，測(cè)試驗(yàn)收?qǐng)?bào)告審定；查文件：第三方測(cè)試文檔，測(cè)試驗(yàn)收方案，測(cè)試驗(yàn)收管理文檔，測(cè)試驗(yàn)收記錄和測(cè)試驗(yàn)收?qǐng)?bào)告。,調(diào)研訪談：根據(jù)交付清單對(duì)設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)，新系統(tǒng)培訓(xùn)，專人負(fù)責(zé)系統(tǒng)交接工作；查文件：詳細(xì)系統(tǒng)交付清單，新系統(tǒng)培訓(xùn)記錄，系統(tǒng)運(yùn)維文檔，系統(tǒng)交付管理文檔等。,調(diào)研訪談：專門部門管理和使用定級(jí)材料，報(bào)主管部門和公安機(jī)關(guān)進(jìn)行備案；查文件：系統(tǒng)定級(jí)相關(guān)材料，主管部門和公安機(jī)關(guān)備案的記錄或備案文檔。,調(diào)研訪談：等保測(cè)評(píng)管理文件，系統(tǒng)變更后的等級(jí)測(cè)評(píng)，如何選擇測(cè)評(píng)機(jī)構(gòu)，專人負(fù)責(zé)等保測(cè)評(píng)；查文件：測(cè)評(píng)報(bào)告、建議報(bào)告和整改方案，測(cè)評(píng)機(jī)構(gòu)資質(zhì)。,安全服務(wù)商選擇,調(diào)研訪談：安全服務(wù)器選擇，簽訂服務(wù)協(xié)議，服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)培訓(xùn)；查文件：服務(wù)招標(biāo)文件，簽訂的服務(wù)合同和保密協(xié)議等文檔，服務(wù)合同中包含服務(wù)內(nèi)容和期限等。,42,系統(tǒng)運(yùn)維管理基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：,系統(tǒng)運(yùn)維管理,43,系統(tǒng)運(yùn)維管理測(cè)評(píng)內(nèi)容和方法,環(huán)境管理,調(diào)研訪談：指定部門或人員對(duì)機(jī)房維護(hù)、機(jī)房安全，建立機(jī)房制度，辦公環(huán)境保密性管理；查文件：機(jī)房維護(hù)管理制度和維護(hù)記錄，查機(jī)房管理制度，物理訪問(wèn)、環(huán)境安全等，辦公環(huán)境管理文檔。,系統(tǒng)運(yùn)維管理,資產(chǎn)管理,調(diào)研訪談：建立資產(chǎn)登記管理及資產(chǎn)清單，依據(jù)重要資產(chǎn)進(jìn)行分類和標(biāo)識(shí)管理；查文件：查資產(chǎn)清單，資產(chǎn)安全管理制度，依據(jù)資產(chǎn)重要程度的管理措施，信息分類文檔和資產(chǎn)標(biāo)識(shí)原則和方法。,介質(zhì)管理,調(diào)研訪談：介質(zhì)安全管理制度，介質(zhì)的存放，介質(zhì)傳輸控制，介質(zhì)銷毀，介質(zhì)異地存儲(chǔ)，介質(zhì)分類標(biāo)識(shí)管理；查文件：查介質(zhì)安全管理制度