信息系統(tǒng)安全測(cè)評(píng)

信息系統(tǒng)安全測(cè)評(píng)業(yè)務(wù)白皮書吉林信息安全測(cè)評(píng)中心（中國信息安全測(cè)評(píng)中心吉林分中心）2008年8月信息系統(tǒng)安全是關(guān)乎國家穩(wěn)定、企業(yè)生存與發(fā)展的重大課題，在信息技術(shù)日益發(fā)展的今天，如何通過信息系統(tǒng)安全測(cè)評(píng)工作，最大限度使組織結(jié)構(gòu)預(yù)知存在的安全隱患，最大限度地保證國家重要基礎(chǔ)設(shè)施和重點(diǎn)行業(yè)的安全穩(wěn)定運(yùn)營，已經(jīng)成為當(dāng)前我國信息安全工作的重點(diǎn)。信息技術(shù)作為支撐企業(yè)業(yè)務(wù)服務(wù)的重要基礎(chǔ)性設(shè)施，直接影響組織機(jī)構(gòu)的對(duì)外服務(wù)。是否可以通過主動(dòng)地、定期地系統(tǒng)安全測(cè)評(píng)，做到事前規(guī)避？現(xiàn)實(shí)情況是很多組織機(jī)構(gòu)在信息安全測(cè)評(píng)工作方面還存在巨大的誤區(qū)和盲區(qū)。信息系統(tǒng)安全測(cè)評(píng)工作成為組織機(jī)構(gòu)信息系統(tǒng)建設(shè)、運(yùn)營過程中的短板。吉林信息安全測(cè)評(píng)中心是經(jīng)吉林省委、省政府批準(zhǔn)成立的國家信息安全權(quán)威測(cè)評(píng)機(jī)構(gòu)，是國家級(jí)信息安全實(shí)驗(yàn)室，是中國信息安全測(cè)評(píng)中心在東北地區(qū)的唯一分支機(jī)構(gòu)，職能是開展信息安全漏洞分析、風(fēng)險(xiǎn)評(píng)估、信息系統(tǒng)安全測(cè)評(píng)、信息安全培訓(xùn)等工作。開展信息系統(tǒng)安全測(cè)評(píng)工作，旨在引入信息系統(tǒng)安全測(cè)評(píng)方法，利用先進(jìn)技術(shù)測(cè)試手段、風(fēng)險(xiǎn)度量方法和切實(shí)的測(cè)評(píng)角度，確保組織機(jī)構(gòu)將安全風(fēng)險(xiǎn)降低到可接受的程度，從而保障其業(yè)務(wù)安全穩(wěn)定運(yùn)營。信息系統(tǒng)安全測(cè)評(píng)致力于為國家重要行業(yè)、部委提供科學(xué)、客觀、規(guī)范、務(wù)實(shí)的安全評(píng)估套餐式服務(wù)，經(jīng)過長(zhǎng)期的標(biāo)準(zhǔn)研究、工具探索、項(xiàng)目實(shí)踐以及眾多信息安全專家的反復(fù)論證，現(xiàn)已形成系列服務(wù)產(chǎn)品，包括：1、信息安全風(fēng)險(xiǎn)評(píng)估2、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)3、信息系統(tǒng)安全評(píng)估4、遠(yuǎn)程滲透測(cè)試5、信息系統(tǒng)安全監(jiān)控6、信息系統(tǒng)安全方案評(píng)審信息安全風(fēng)險(xiǎn)評(píng)估評(píng)估目標(biāo)由我中心高級(jí)測(cè)評(píng)工程師和咨詢專家共同組成的評(píng)估團(tuán)隊(duì)，采用眾多漏洞測(cè)試工具和工作模版，從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施；為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地為保障信息安全提供科學(xué)依據(jù)。適用對(duì)象具有風(fēng)險(xiǎn)管理意識(shí)，關(guān)注信息系統(tǒng)安全風(fēng)險(xiǎn)的國家重要行業(yè)、部委。評(píng)估依據(jù)1、GB/T20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》2、GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》3、行業(yè)信息安全標(biāo)準(zhǔn)4、用戶自身業(yè)務(wù)安全需求評(píng)估流程評(píng)估內(nèi)容評(píng)估信息系統(tǒng)存在的高中低風(fēng)險(xiǎn)的數(shù)量、可能性、影響。主要從安全技術(shù)和安全管理兩個(gè)角度：安全技術(shù)網(wǎng)絡(luò)層安全主機(jī)系統(tǒng)層安全應(yīng)用層安全數(shù)據(jù)安全安全管理安全管理組織機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理物理安全評(píng)估方式配置核查----由測(cè)評(píng)人員在委托單位現(xiàn)場(chǎng)根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時(shí)的安全配置參數(shù)。工具測(cè)試----由資深測(cè)評(píng)人員采用自動(dòng)化工具對(duì)被評(píng)估系統(tǒng)進(jìn)行漏洞檢測(cè)。專家訪談----由資深測(cè)評(píng)人員到委托單位同信息安全主管、IT審計(jì)部門、開發(fā)部門及運(yùn)維部門按我中心調(diào)查模版要求進(jìn)行面對(duì)面訪談。資料審閱----查閱信息系統(tǒng)建設(shè)、運(yùn)維過程中的過程文檔、記錄，采用分時(shí)段系統(tǒng)查閱和有針對(duì)性抽樣查閱的方法進(jìn)行。專家評(píng)議----組織本中心行業(yè)專家運(yùn)用恰當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法進(jìn)行集體會(huì)診評(píng)議。評(píng)估成果我中心向委托機(jī)構(gòu)提交《信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》，報(bào)告中包含整改建議。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)評(píng)估目標(biāo)由我中心高級(jí)測(cè)評(píng)工程師組成的評(píng)估團(tuán)隊(duì)，依據(jù)公安部《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》中與信息系統(tǒng)備案等級(jí)相對(duì)應(yīng)的測(cè)評(píng)項(xiàng)，進(jìn)行信息系統(tǒng)安全等級(jí)符合性測(cè)評(píng)，出具是否滿足信息系統(tǒng)安全保護(hù)等級(jí)的測(cè)評(píng)結(jié)論。適用對(duì)象致力于國家信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作的國家重要行業(yè)、部委。評(píng)估依據(jù)1、《信息系統(tǒng)安全保護(hù)等級(jí)測(cè)評(píng)準(zhǔn)則》2、行業(yè)信息安全標(biāo)準(zhǔn)3、用戶自身業(yè)務(wù)安全需求評(píng)估流程評(píng)估內(nèi)容主要從安全技術(shù)和安全管理兩個(gè)角度：安全技術(shù)網(wǎng)絡(luò)層安全主機(jī)系統(tǒng)層安全應(yīng)用層安全數(shù)據(jù)安全安全管理安全管理組織機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理物理安全評(píng)估方式配置核查----由測(cè)評(píng)人員根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時(shí)的安全配置參數(shù)。工具測(cè)試----由資深測(cè)評(píng)人員采用自動(dòng)化工具對(duì)被評(píng)估系統(tǒng)進(jìn)行漏洞檢測(cè)。專家訪談----由資深測(cè)評(píng)人員到委托單位同信息安全主管、IT審計(jì)部門、開發(fā)部門及運(yùn)維部門按我中心調(diào)查模版要求進(jìn)行面對(duì)面訪談。資料審閱----查閱信息系統(tǒng)建設(shè)、運(yùn)維過程中的過程文檔、記錄，采用分時(shí)段系統(tǒng)查閱和有針對(duì)性抽樣查閱的方法進(jìn)行。專家評(píng)議----組織本中心行業(yè)專家運(yùn)用恰當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法進(jìn)行集體會(huì)診評(píng)議。評(píng)估成果我中心向委托機(jī)構(gòu)提交《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》，報(bào)告中包含整改建議。信息系統(tǒng)安全評(píng)估評(píng)估目標(biāo)由我中心高級(jí)測(cè)評(píng)工程師組成的評(píng)估團(tuán)隊(duì)，依據(jù)GB/T20274信息系統(tǒng)安全保障框架，進(jìn)行信息系統(tǒng)安全保障能力級(jí)的符合性測(cè)評(píng)，出具是否滿足信息系統(tǒng)安全保障能力級(jí)的測(cè)評(píng)結(jié)論。適用對(duì)象關(guān)注信息系統(tǒng)安全保障能力建設(shè)的國家重要行業(yè)、部委。評(píng)估依據(jù)1、GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》2、行業(yè)信息安全標(biāo)準(zhǔn)3、用戶自身業(yè)務(wù)安全需求評(píng)估流程評(píng)估內(nèi)容主要從安全技術(shù)、安全管理和安全工程三個(gè)角度：安全技術(shù)網(wǎng)絡(luò)層安全主機(jī)系統(tǒng)層安全應(yīng)用層安全數(shù)據(jù)安全安全管理風(fēng)險(xiǎn)管理信息安全策略安全組織管理人員安全管理資產(chǎn)管理符合性管理物理安全信息安全規(guī)劃信息系統(tǒng)建設(shè)管理信息系統(tǒng)運(yùn)維管理業(yè)務(wù)連續(xù)性管理事故響應(yīng)安全工程風(fēng)險(xiǎn)過程工程過程保障過程評(píng)估方式配置核查----由測(cè)評(píng)人員根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時(shí)的安全配置參數(shù)。工具測(cè)試----由資深測(cè)評(píng)人員采用自動(dòng)化工具對(duì)被評(píng)估系統(tǒng)進(jìn)行漏洞檢測(cè)。專家訪談----由資深測(cè)評(píng)人員到委托單位同信息安全主管、IT審計(jì)部門、開發(fā)部門及運(yùn)維部門按我中心調(diào)查模版要求進(jìn)行面對(duì)面訪談。資料審閱----查閱信息系統(tǒng)建設(shè)、運(yùn)維過程中的過程文檔、記錄，采用分時(shí)段系統(tǒng)查閱和有針對(duì)性抽樣查閱的方法進(jìn)行。專家評(píng)議----組織本中心行業(yè)專家運(yùn)用恰當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法和保障能力級(jí)判定方法進(jìn)行集體會(huì)診評(píng)議。評(píng)估成果我中心向委托機(jī)構(gòu)提交《信息系統(tǒng)安全評(píng)估報(bào)告》，并頒發(fā)“信息系統(tǒng)安全審定書”。遠(yuǎn)程滲透測(cè)試工作目標(biāo)由我中心滲透測(cè)試小組模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，從攻擊者的角度對(duì)目標(biāo)系統(tǒng)的網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用服務(wù)的安全性作深入的非破壞性探測(cè)，以發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)。滲透測(cè)試通常能以非常明顯、直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。適用對(duì)象委托單位關(guān)注來自互聯(lián)網(wǎng)的惡意攻擊。測(cè)試流程測(cè)試內(nèi)容信息泄露：對(duì)外服務(wù)是否暴露了可能被黑客利用的敏感信息業(yè)務(wù)邏輯測(cè)試：系統(tǒng)是否在業(yè)務(wù)邏輯設(shè)計(jì)上存在被黑客利用的漏洞認(rèn)證測(cè)試：系統(tǒng)是否存在弱口令、繞過身份認(rèn)證、瀏覽器緩存管理等漏洞會(huì)話管理測(cè)試：系統(tǒng)是否存在會(huì)話劫持、CSRF等漏洞數(shù)據(jù)有效性驗(yàn)證測(cè)試：系統(tǒng)是否存在SQL注入、跨占腳本攻擊、LDAP注入等漏洞拒絕服務(wù)測(cè)試：系統(tǒng)是否易受DdOS攻擊Web服務(wù)測(cè)試AJAX測(cè)試工作方式非現(xiàn)場(chǎng)監(jiān)控----由專門的滲透測(cè)試小組通過互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程測(cè)試。評(píng)估成果我中心向委托機(jī)構(gòu)提交《信息系統(tǒng)遠(yuǎn)程滲透測(cè)試報(bào)告》。系統(tǒng)安全監(jiān)控工作目標(biāo)由我中心高級(jí)測(cè)評(píng)工程師組成的監(jiān)控團(tuán)隊(duì)，采用我中心內(nèi)部的安全監(jiān)控模版，對(duì)委托單位信息系統(tǒng)進(jìn)行黑客入侵、網(wǎng)站掛馬等安全監(jiān)控，經(jīng)過內(nèi)部分析向委托單位提交重大安全隱患分析報(bào)告和安全態(tài)勢(shì)分析報(bào)告。適用對(duì)象關(guān)注重要時(shí)間段（例如奧運(yùn)期間）信息系統(tǒng)安全穩(wěn)定運(yùn)營的國家重要行業(yè)、部委。監(jiān)控流程監(jiān)控內(nèi)容門戶網(wǎng)站是否受到黑客威脅網(wǎng)站是否被掛馬網(wǎng)絡(luò)流量是否異常網(wǎng)絡(luò)中病毒泛濫趨勢(shì)網(wǎng)絡(luò)中是否存在入侵事件工作方式現(xiàn)場(chǎng)監(jiān)控----由測(cè)評(píng)人員根據(jù)監(jiān)控模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時(shí)的安全信息。非現(xiàn)場(chǎng)監(jiān)控----由資深測(cè)評(píng)人員采用日志分析工具對(duì)被監(jiān)控系統(tǒng)的各種日志進(jìn)行綜合分析。評(píng)估成果我中心向委托機(jī)構(gòu)提交《信息系統(tǒng)安全態(tài)勢(shì)分析報(bào)告》。信息系統(tǒng)安全方案評(píng)審工作目標(biāo)由我中心組織行業(yè)專家和滲透測(cè)試測(cè)評(píng)工程師，對(duì)信息系統(tǒng)安全方案進(jìn)行評(píng)估，幫助委托單位了解安全方案在實(shí)施后系統(tǒng)安全是否能實(shí)現(xiàn)最大預(yù)期值。適用對(duì)象

1、在信息系統(tǒng)投入建設(shè)之前，希望確定信息系統(tǒng)實(shí)施方案中的安全設(shè)計(jì)是否合理有效，可以申請(qǐng)信息系統(tǒng)安全方案評(píng)審。

2、在信息系統(tǒng)即將進(jìn)行擴(kuò)建之前，希望確定信息系統(tǒng)擴(kuò)建方案中的安全設(shè)計(jì)是否合理有效，可以申請(qǐng)信息系統(tǒng)安全方案評(píng)審。

3、在面對(duì)多種安全方案，無從選擇時(shí)，可以申請(qǐng)信息系統(tǒng)安全方案評(píng)審，由中心作為第三方對(duì)各個(gè)安全方案進(jìn)行評(píng)估，委托單位根據(jù)評(píng)估結(jié)果和自身情況，選擇最佳方案。

4、在信息系統(tǒng)投入運(yùn)行后，希望對(duì)系統(tǒng)采用的安全方案的合理性和有效性進(jìn)行評(píng)估，從而了解在方案實(shí)施后可能存在哪些安全問題，以便作進(jìn)一步的改進(jìn)，可以申請(qǐng)信息系統(tǒng)安全方案評(píng)審。評(píng)審依據(jù)1、GB/T20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》2、GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》3、行業(yè)信息安全標(biāo)準(zhǔn)4、用戶自身業(yè)務(wù)安全需求評(píng)審流程評(píng)審內(nèi)容安全方案的設(shè)計(jì)是否滿足業(yè)務(wù)安全需求安全方案的設(shè)計(jì)是否滿足相關(guān)法律、法規(guī)以及行業(yè)標(biāo)準(zhǔn)的要求安全方案設(shè)計(jì)是否合理安全方案設(shè)計(jì)是否可行工作方式專家訪談----由資深測(cè)評(píng)人員通過電話遠(yuǎn)程同方案設(shè)計(jì)者進(jìn)行深層次的業(yè)務(wù)安全需求交流。專家評(píng)議----組織行業(yè)專家進(jìn)行集體會(huì)診評(píng)議。評(píng)估成果我中心向委托機(jī)構(gòu)提交《信息系統(tǒng)安全方案評(píng)審報(bào)告》。每個(gè)項(xiàng)目的安全測(cè)評(píng)內(nèi)容可根據(jù)委托單位信息系統(tǒng)的實(shí)際情況定制。下面介紹我中心可提供的測(cè)評(píng)內(nèi)容。安全技術(shù)網(wǎng)絡(luò)層安全信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)是否安全合理網(wǎng)絡(luò)訪問控制是否嚴(yán)格有效網(wǎng)絡(luò)安全審計(jì)是否有效是否存在“非法外聯(lián)”行為網(wǎng)絡(luò)入侵防范措施是否有效惡意代碼防范措施是否有效網(wǎng)絡(luò)設(shè)備、安全設(shè)備配置是否安全、有效主機(jī)系統(tǒng)安全（針對(duì)操作系統(tǒng)、數(shù)據(jù)庫、中間件）是否能對(duì)主機(jī)系統(tǒng)用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段后臺(tái)維護(hù)人員的權(quán)限是否是最小授權(quán)后臺(tái)維護(hù)人員的邏輯訪問路徑是否可信安全審計(jì)記錄是否完整入侵防范措施、惡意代碼防范是否充分有效主機(jī)系統(tǒng)資源使用是否可控應(yīng)用系統(tǒng)安全（針對(duì)應(yīng)用軟件）是否能對(duì)應(yīng)用軟件用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段用戶訪問權(quán)限是否是最小授權(quán)安全審計(jì)記錄是否完整剩余信息是否能夠被釋放或重新分配是否能保證通信過程中的完整性、保密性是否能保證交易的抗抵賴性是否能保證軟件容錯(cuò)應(yīng)用系統(tǒng)資源使用是否可控是否存在代碼安全缺陷信息流分析根據(jù)業(yè)務(wù)流程和正確數(shù)據(jù)流向，通過抓取數(shù)據(jù)包判斷信息系統(tǒng)范圍內(nèi)是否有非法數(shù)據(jù)流和異常連接網(wǎng)站掛馬監(jiān)測(cè)網(wǎng)站是否被植入木馬無線安全檢測(cè)無線局域網(wǎng)設(shè)備配置是否安全合理是否能夠通過無線網(wǎng)絡(luò)非法接入并非法訪問受保護(hù)系統(tǒng)日志分析分析系統(tǒng)安全威脅來源，威脅源可能采用的攻擊方式，對(duì)疑似黑客行為進(jìn)行分析并提供相應(yīng)的解決方法安全管理風(fēng)險(xiǎn)管理是否能夠以信息安全風(fēng)險(xiǎn)管理思想為核心，進(jìn)行風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制等風(fēng)險(xiǎn)管理活動(dòng)信息安全策略（管理制度）是否有恰當(dāng)?shù)陌踩芾碇贫润w系安全管理制度體系的制定、審批、維護(hù)流程是否存在并能夠有效組織實(shí)施安全組織管理是否有恰當(dāng)?shù)陌踩芾斫M織架構(gòu)與信息安全相關(guān)的授權(quán)審批、審核檢查流程是否存在并能夠有效組織實(shí)施人員安全管理信息系統(tǒng)后臺(tái)維護(hù)技術(shù)人員在錄用、在職、離崗時(shí)是否采取了恰當(dāng)?shù)陌踩芾矸绞绞欠駥?duì)從事信息安全崗位的人員采取了信息安全考核是否對(duì)第三方人員訪問內(nèi)部系統(tǒng)采取了安全控制措施是否能夠采取各種措施提高技術(shù)人員的安全意識(shí)資產(chǎn)管理是否建立了清晰的資產(chǎn)明細(xì)帳目是否能夠?qū)π畔①Y源分類規(guī)劃、處理和保護(hù)符合性管理信息系統(tǒng)的建設(shè)、運(yùn)維是否符合國家法律法規(guī)、行業(yè)主管以及自身制度的要求物理安全信息系統(tǒng)機(jī)房在物理位置選擇、出入管理、動(dòng)力環(huán)境等方面采取的措施是否有效信息安全規(guī)劃是否制定了信息系統(tǒng)安全長(zhǎng)期規(guī)劃和短期規(guī)劃是否能夠?qū)π畔踩o予必要的資金、人員投入信息系統(tǒng)建設(shè)管理是否對(duì)信息系統(tǒng)建設(shè)各個(gè)階段包括系