信息系統(tǒng)安全等級保護_資質(zhì)申請_要求、資質(zhì)、工具和收費ppt課件

1、信息系統(tǒng)安全等級保護 要求、資質(zhì)、工具和收費,內(nèi)容,1、測評機構(gòu)要求-基本條件,（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）； （二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）； （三）產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上； （四）從事信息系統(tǒng)檢測評估相關(guān)工作兩年以上； （五）單位法人及主要工作人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄； （六）具有勝任等級測評工作的專業(yè)技術(shù)人員和管理人員，大學本科（含）以上學歷所占比例不低于80%。其中測評技術(shù)人員不少于10人； （七）具備必要的辦公環(huán)境、設(shè)備、設(shè)施及完備的安全管理制度； （八）對國家安全、社會秩

2、序、公共利益不構(gòu)成威脅; （九）應當具備的其他條件。,1、測評機構(gòu)要求-申請材料,（一）信息安全等級保護測評機構(gòu)申請書； （二）當?shù)毓簿W(wǎng)安部門的推薦意見； （三）營業(yè)執(zhí)照及其他注冊證明文件； （四）內(nèi)設(shè)組織機構(gòu)與崗位設(shè)置情況表； （五）工作人員基本情況表、證明材料和聲明； （六）辦公場地、設(shè)備與設(shè)施情況表； （七）安全測評設(shè)備、工具配備情況表； （八）信息系統(tǒng)安全測評能力報告； （九）保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等相關(guān)管理文件； （十）需要提供的其他材料。,1、測評機構(gòu)要求-業(yè)務范圍,地方測評機構(gòu)在本地開展測評業(yè)務，行業(yè)測評機構(gòu)在行業(yè)內(nèi)開展測評業(yè)務。行業(yè)測評機構(gòu)在地方開展

3、測評業(yè)務前，應與本地等級保護協(xié)調(diào)（領(lǐng)導）小組辦公室協(xié)調(diào)； 承擔有關(guān)部門委托的安全測評專項任務； 配合當?shù)毓簿W(wǎng)安部門對信息系統(tǒng)進行監(jiān)督、檢查； 開展風險評估、信息安全培訓、咨詢服務和信息安全工程監(jiān)理； 為當?shù)匦畔踩燃壉Ｗo工作提供技術(shù)支持和服務； 其他有關(guān)文件規(guī)定的職責任務。,1、測評機構(gòu)要求-禁止開展的活動,承擔信息系統(tǒng)安全建設(shè)整改工作； 將等級測評任務分包、外包； 信息安全產(chǎn)品開發(fā)、營銷和信息系統(tǒng)集成活動； 限定被測評單位購買、使用其指定的信息安全產(chǎn)品； 未經(jīng)許可占有、使用有關(guān)測評信息、資料及數(shù)據(jù)文件； 其他可能影響測評客觀、公正的活動。,1、測評機構(gòu)要求-設(shè)施與設(shè)備,1、 等級測評機構(gòu)

4、應具備必要的辦公環(huán)境、設(shè)備、設(shè)施和管理系統(tǒng)。 2 、等級測評機構(gòu)應具備滿足等級測評工作需要的工具，如漏洞掃描器、協(xié)議分析儀、性能測試儀和滲透測試工具等。 3 、等級測評機構(gòu)應具備符合相關(guān)要求的機房以及必要的軟、硬件設(shè)備，用于滿足信息系統(tǒng)仿真、技術(shù)培訓和模擬測試的需要。,內(nèi)容,2、測評機構(gòu)資質(zhì),（1）注冊資金最好在1000萬元，營業(yè)執(zhí)照。 （2）測評機構(gòu)能力評估報告。 （3）測評機構(gòu)能力評估合格證書。 （4）測評機構(gòu)推薦證書。 （5）測評機構(gòu)ISO9000質(zhì)量管理體系證書。 （6）測評機構(gòu)計量認證證書。 （7）測評機構(gòu)稅務登記證。 （8）測評機構(gòu)組織機構(gòu)代碼證。,2、測評機構(gòu)資質(zhì)-注冊資金，營業(yè)

5、執(zhí)照,2、測評機構(gòu)資質(zhì)-測評機構(gòu)能力評估報告,2、測評機構(gòu)資質(zhì)-測評機構(gòu)能力評估合格證書,2、測評機構(gòu)資質(zhì)-測評機構(gòu)推薦證書,2、測評機構(gòu)資質(zhì)-測評機構(gòu)推薦證書,2、測評機構(gòu)資質(zhì)-測評人員認證證書,2、測評機構(gòu)資質(zhì)-測評機構(gòu)ISO9000證書,2、測評機構(gòu)資質(zhì)-測評機構(gòu)計量認證證書,2、測評機構(gòu)資質(zhì)-測評機構(gòu)稅務登記證,2、測評機構(gòu)資質(zhì)-測評機構(gòu)組織機構(gòu)代碼證,內(nèi)容,3、測評工具,等級測評最主要的手段是訪談，因此主觀因素的干擾不可避免。自動化、規(guī)范化的等級測評工具必不可少。優(yōu)秀的測評工具應能夠清晰的梳理測評流程；合理分配測評項目到各個專業(yè)技術(shù)團隊；通過豐富的測評知識庫有效降低等級測評難度，提高

6、等級測評效率；測評案例的模板化(如：門戶網(wǎng)站、數(shù)據(jù)庫等）；對測評結(jié)果自動進行分析，提取出不符合項，進行風險分析；安全趨勢分析(對歷年的自查與等級測評結(jié)果進行關(guān)聯(lián)分析)。 等級測評活動是確保信息安全等級保護工作的關(guān)鍵環(huán)節(jié)，通過測評能夠了解系統(tǒng)的安全現(xiàn)狀與等級保護要求之間的差距，明確安全整改的目標與方向。工具測試作為一種高靈活性的輔助測試手段，在測評活動中發(fā)揮著重要作用。,3、測評工具-分類,根據(jù)在等級測評過程中任務的不同，等級測評工具可以分成如下三大類： 1）等級測評安全測試工具：主要用于對信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的弱點進行分析，或?qū)嵤┗谌觞c的攻擊。此類工具又可

7、進一步細分為脆弱性掃描工具、滲透測試工具和靜態(tài)分析工具； 2）等級測評輔助工具：主要實現(xiàn)對數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢分析等單項功能； 3）等級測評管理工具：主要用于規(guī)范等級測評的過程和操作方法；或者是用于收集測評所需要的數(shù)據(jù)和資料，并根據(jù)測評知識庫和推理專家知識庫輔助測評人員進行測評結(jié)果判斷。,3、測評工具-安全測試工具,包括脆弱性掃描工具、滲透性測試工具和靜態(tài)分析工具。 脆弱性掃描工具又稱為安全掃描器或漏洞掃描儀，是目前應用比較廣泛的測評工具之一，主要用于識別網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的脆弱性。通常情況下，這些工具能夠發(fā)現(xiàn)軟件和硬件中已知的弱點，以決定系統(tǒng)是否易受已知攻擊的影響。目前常見的脆

8、弱性掃描工具有以下幾種類型： 1）基于網(wǎng)絡(luò)的掃描器：在網(wǎng)絡(luò)中運行，能夠檢測如防火墻的錯誤配置或連接到網(wǎng)絡(luò)上的易受攻擊的網(wǎng)絡(luò)服務器的關(guān)鍵漏洞； 2）基于主機的掃描器：發(fā)現(xiàn)主機的操作系統(tǒng)、特殊服務和配置的細節(jié)，發(fā)現(xiàn)潛在的用戶行為風險，如密碼強度不夠，也可實施對文件系統(tǒng)的檢查； 3）分布式網(wǎng)絡(luò)掃描器：由遠程掃描代理、對這些代理的即插即用更新機制、中心管理點三部分構(gòu)成，用于分布式網(wǎng)絡(luò)的脆弱性掃描； 4）數(shù)據(jù)庫脆弱性掃描器：對數(shù)據(jù)庫的授權(quán)、認證和完整性進行詳細的分析，也可以識別數(shù)據(jù)庫系統(tǒng)中潛在的弱點。 當前比較流行的掃描工具有：天鏡脆弱性掃描與管理系統(tǒng)、綠盟極光遠程安全評估系統(tǒng)、明鑒數(shù)據(jù)庫/WEB應用弱

9、點掃描器、ISS Internet Scanner、Appscan、Nessus 等。 脆弱性掃描工具主要的缺陷包括：需要人工干預（掃描工具容易產(chǎn)生漏洞及誤報）；只能發(fā)現(xiàn)已知弱點（受漏洞庫制約）。,3、測評工具-安全測試工具,滲透性測試工具是根據(jù)脆弱性掃描工具掃描的結(jié)果進行模擬攻擊測試，判斷被非法訪問者利用的可能性，從而進一步判斷已知的脆弱性是否真正會給系統(tǒng)或網(wǎng)絡(luò)帶來影響。通常滲透性工具與脆弱性掃描工具一起使用，并可能會對被測評系統(tǒng)的運行（尤其是穩(wěn)定性）帶來一定影響。 目前比較常用的滲透性測試工具有：Metasploit、Canvas、Threatex、CoreImpact、Webravor

10、等。 靜態(tài)分析是滲透測試的必要補充。靜態(tài)分析工具在不執(zhí)行程序的狀態(tài)下，通過對被測軟件進行建模，發(fā)現(xiàn)滿足所有可能執(zhí)行狀態(tài)的軟件屬性，再藉由一組規(guī)則集分析并檢測軟件中存在的安全漏洞。在等級測評常用的靜態(tài)分析工具是軟件代碼安全分析系統(tǒng)，它可以對軟件源代碼進行安全掃描和審計分析的信息匯總。 此類工具有Fortify、Coverity 等。,3、測評工具-測評輔助工具,等級測評的過程中，可以利用一些輔助性的工具和方法來采集數(shù)據(jù)，幫助完成現(xiàn)狀分析和趨勢分析，如： 1）性能測試工具：主要功能包括網(wǎng)絡(luò)流量測試、數(shù)據(jù)攔截、IP 查詢、流量分析、預測系統(tǒng)行為和性能的負載測試等。常見的此類工具有Smartbits、

11、Avalanche、loadrunner； 2）協(xié)議分析工具：主要用于IP網(wǎng)絡(luò)流量分析、故障排除和長時間監(jiān)測、對通訊協(xié)議進行解碼和顯示、對不同技術(shù)的數(shù)據(jù)流量和狀態(tài)進行全面的物理層測試，并以圖形化的方式顯示結(jié)果。協(xié)議分析工具一般提供多種實用的分析功能對常用的協(xié)議進行流量分析，例如IP 地址對、源地址、目的地址、IP上層協(xié)議分布、TCP/UDP 端口號等，可長時間在線實時統(tǒng)計，并提供餅、表、線等多種形式的報表。此外，協(xié)議分析工具還可以對網(wǎng)絡(luò)流量進行協(xié)議劃分，如：Web 瀏覽（HTTP）、電子郵件（POP3、SMTP、WEB MAIL）、文件下載（FTP）、即時聊天（MSN、QQ等）、流媒體（MMS

12、、RTSP）等。針對不同的網(wǎng)絡(luò)應用協(xié)議進行流量監(jiān)控和分析，如果某一個協(xié)議在一個時間段內(nèi)出現(xiàn)超常占用可用帶寬的情況，就有可能是攻擊流量或蠕蟲病毒出現(xiàn)。常用的協(xié)議分析工具包括：Radcom、Sniffer Pro、Wireshark 等； 3）網(wǎng)絡(luò)拓撲生成工具：通過接入點接入被測評網(wǎng)絡(luò)，完成被測評網(wǎng)絡(luò)中的資產(chǎn)發(fā)現(xiàn)和統(tǒng)計功能，并提供網(wǎng)絡(luò)資產(chǎn)的相關(guān)信息，包括網(wǎng)絡(luò)硬件設(shè)備的識別、操作系統(tǒng)版本、型號等。此類工具有： HP Openview 等。,3、測評工具-必須配置測試工具,（一）漏洞掃描探測工具。 1.網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)。 2.數(shù)據(jù)庫安全掃描系統(tǒng)。 （二）等級保護測評管理工具 （三）木馬檢查工具。

13、1.專用木馬檢查工具。 2.進程查看與分析工具。,3、測評工具-選用配置測試工具,（一）漏洞掃描探測工具。 應用安全漏洞掃描工具。 （二）軟件代碼安全分析類。 軟件代碼安全分析工具。 （三）安全攻擊仿真工具 （四）網(wǎng)絡(luò)協(xié)議分析工具 （五）系統(tǒng)性能壓力測試工具 1.網(wǎng)絡(luò)性能壓力測試工具 2.應用軟件性能壓力測試工具 （六）網(wǎng)絡(luò)拓撲生成工具 （七）物理安全測試工具 1.接地電阻測試儀 2.電磁屏蔽性能測試儀 （八）滲透測試工具集 （九）安全配置檢查工具集,3、測評工具-綜合工具,漏洞掃描器：極光、Nessus、SSS 等 安全基線檢測工具（配置審計等） ：見移動的人用過，能夠檢查信息系統(tǒng)中的主機操

14、作 系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等，看是不是配置規(guī)范安全要求 滲透測試相關(guān)工具：踩點、掃描、入侵涉及到的工具等。 主機：sysinspector 、Metasploit 、木馬查殺工具、操作系統(tǒng)信息采集與分析工具 (Win,Unix)、日志分析工具、數(shù)據(jù)取證工具（涉密） 網(wǎng)絡(luò)：Nipper（網(wǎng)絡(luò)設(shè)備配置分析） 、SolarWinds、Omnipeek、laptop（無線檢測工具） 數(shù)據(jù)：一些密碼破解軟件吧，Cain 里面有一些破解工具。 應用： AppScan、 Webinspect、 FotifySCA、 injection tools、 Sql 掛馬檢測工具、 webravor 等,內(nèi)容,4、測

15、評收費,（1）參考北京市物價局關(guān)于信息安全測評認證收費標準（試行）的函（京價（收）字2003280號） （2）適當考慮物價上升因素和地域物價差距水平。 適用范圍：信息系統(tǒng)等級保護驗收階段的測評。 計算公式 （1）安全測評費的取費一般按信息化項目總投資的1.52估算。 （2）按照功能控制點計算收費。,4、測評收費,信息系統(tǒng)每個安全功能組件800元收費，適當考慮系統(tǒng)規(guī)模和復雜程度。 計算公式： Ptest = QXCX800.00 其中， Ptest指所有安全測評支出的總費用； Q指安全功能組件數(shù)量； C指系統(tǒng)規(guī)模和復雜程度。 以一個二級信息系統(tǒng)為例，網(wǎng)絡(luò)規(guī)模為小規(guī)模程度（信息化投資在500萬左右

16、），功能控制點為66個，網(wǎng)絡(luò)規(guī)模復雜程度取為2。 安全測評費用計算如下： Ptest=66X2X800.00=105600.00,4、測評收費,參考表-人員使用收費標準,4、測評收費-參考,關(guān)于印發(fā)產(chǎn)品質(zhì)量認證收費管理辦法和收費標準的通知（計價格19991610號）,4、測評收費-參考,京價（收）字2003280號關(guān)于信息安全測評認證收費標準（試行）的函,一、申請、審核收費標準 執(zhí)行國家計委、國家質(zhì)量技術(shù)監(jiān)督局關(guān)于印發(fā)產(chǎn)品質(zhì)量認證收費管理辦法和收費標準的通知（計價格19991610號）規(guī)定的收費管理辦法和收費標準。 二、測評收費標準 按信息產(chǎn)品或信息系統(tǒng)每個安全功能組件500元收費。 三、此項

17、收費為經(jīng)營性收費，按有關(guān)規(guī)定明碼標價，依法納稅。 四、凡在北京地區(qū)從事此項工作的，一律執(zhí)行此收費標準。此收費標準自發(fā)布之日起試行，一年后另行審定。我局京價（收）字2002188號文件同時廢止。,4、測評收費-參考,第三十八條【測評費用】測評機構(gòu)應當參照國家信息化工程建設(shè)項目人工計費標準合理收取測評服務費用。為防止惡意競爭，影響測評質(zhì)量，測評機構(gòu)開展測評業(yè)務收費應當不低于最低收費限額。,信息安全等級保護等級測評實施細則,4、測評收費-參考,省物價局關(guān)于信息安全等級保護測評服務 收費有關(guān)問題的復函 湖北星野科技發(fā)展有限公司： 你公司關(guān)于信息安全等級保護測評服務收費的請示（鄂星科發(fā)200801號）收

18、悉。經(jīng)研究，函復如下： 一、根據(jù)湖北省關(guān)于公布的通知（鄂 價法規(guī)200298號）有關(guān)規(guī)定，我省信息安全等級保護測評服務收費實行市場調(diào)節(jié)價，你公司收費標準可參考原國家計委、國家質(zhì)量技術(shù)監(jiān)督局關(guān)于印發(fā)產(chǎn)品質(zhì)量認證收費管理辦法和收費標準的通知計價格1999（1610）號文件有關(guān)內(nèi)容以及北京、湖南、山東等同行業(yè)收費水平，計算機信息系統(tǒng)安全測評服務工作所提供的服務成本，自行確定。 二、你公司對外提供信息系統(tǒng)安全測評服務，應當遵守公平、公正的原則，依法簽訂有關(guān)協(xié)議，并提供質(zhì)價相符的服務。 二八年四月二十五日,湖北省物價局關(guān)于信息安全等級保護測評服務收費有關(guān)問題的復函,4、測評收費-參考-討論,3級系統(tǒng)給5

19、w啊？那測評機構(gòu)都活不了了！一般3級系統(tǒng)都在10w以上！差不多都在14、5w那樣子吧這個還要具體看3級系統(tǒng)的規(guī)模！ 那個說5w的哥們兒！我記得部里針對惡性競價的事情說過在10、11年的時候要嚴打的！三所培訓的時候也提過這個事情據(jù)說某單位為了搶項目就惡性壓低價錢！介個5w就算壓價那波兒的！不好好控制系統(tǒng)測評的價格市場就沒法做了！部里推等保也就不好推了！ 有的是按照“人/天”進行項目費用計算，二級系統(tǒng)收費在15萬元左右，三級系統(tǒng)在20萬元左右。 按人工收費一般是1000元人日，包括現(xiàn)場和非現(xiàn)場工作時間。,4、測評收費-參考-收費實例,2009 18萬 廣州市勞保和社保局核心業(yè)務信息系統(tǒng)安全等級保護

20、差距評估 2010 6萬 溫州市國土資源局 2011 7萬元 海南省人力資源開發(fā)局 2011 9萬 杭州市國土資源局信息系統(tǒng)安全等級保護測評 2011 37萬 中國人民銀行信息系統(tǒng)安全等級保護測評 2011 52萬 廣州港信息系統(tǒng)安全等級保護差距測評及安全整改 2011 95萬 國家知識產(chǎn)權(quán)局專利局局信息系統(tǒng)整改方案設(shè)計及測評 2012 10萬 杭州市衛(wèi)生信息中心杭州市衛(wèi)生局信息系統(tǒng)等級保護測評 2012 10萬 臺州市信息中心信息系統(tǒng)安全等級保護測評項目 2012 15萬 廣州市白云區(qū)人民政府辦公室 2012 19萬 紹興市公安局信息系統(tǒng)安全等級保護測評 2012 21萬 河北省農(nóng)村信用社信

21、息安全等級保護評測 2012 25萬 海關(guān)信息安全等級保護測評技術(shù)服務 2012 25萬 最高檢計劃財務裝備局器材裝備處安全等級保護測評 2012 27萬 海南海政招標有限公司-信息安全等級保護測評 2012 28萬 山東省紀委辦公廳機關(guān)風險評估和等級保護測評 2012 46萬 河南省地稅局信息安全等級保護評估和測評,4、測評收費-參考-收費實例,2012 75萬 廣州市公安局信息系統(tǒng)安全等級保護實施項目之差距評估 2012 101萬 江蘇省地方稅務局信息系統(tǒng)等級保護測評項目 2012 142萬 新華社全球一體化項目建設(shè)安全服務與等級保護測評 2012 36萬 海南省工信廳信息安全等級保護測評

22、 2012 35萬 河南省人力資源社會保障電子政務中心 2012 20萬 湖南省財政廳信息中心信息系統(tǒng)等級保護測評 2012 535萬 海關(guān)信息安全等級保護測評 2012 36萬 海南省工信廳信息安全等級保護測評 2012 116萬 中國人民大學等級保護整改與測評項目2012 8萬 山西省工商行政管理局信息安全等級保護測評 2012 9萬 廣州醫(yī)學院信息安全等級保護定級備案 2012 285萬 國家稅務總局稅務系統(tǒng)安全等級保護整改、測評 2012 32萬 蘇州市立醫(yī)院,內(nèi)容,5、等級測評管理工具,等級測評管理工具是一套集成了等級測評各類知識和判據(jù)的管理信息系統(tǒng)，用以規(guī)范等級測評的過程和操作方法；或者是用于收集測評所需要的數(shù)據(jù)和資料，并根據(jù)測評知