信息安全等级保护测评指南.ppt
《信息安全等级保护测评指南.ppt》由会员分享,可在线阅读,更多相关《信息安全等级保护测评指南.ppt(141页珍藏版)》请在三一办公上搜索。
1、信息安全等级保护测评,目录,国家对等级保护测评的要求等级保护测评注意事项等级保护测评要求(部分解读)等级保护测评过程等级保护测评中常见问题,国家对等级保护测评的要求,管理办法”等级保护的实施与管理“第十四条信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。,广东省安全保护条例对测评要求,第十二条 第二级以上计算机信息系统建设完成后,运营、使
2、用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。第十三条 计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评,并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。计算机信息系统安全状况经测评或者自查,未达到安全等级保护要求的,运营、使用单位应当进行整改。,广东省公安厅关于计算机信息系统安全保护的实施办法(一),第二十二条 我省对测评机构实施备案制度。符合第二十一条规定的条件,承担第二级以上的计算机信息系统测评工作的机构应当到省公安厅公共
3、信息网络安全监察部门备案。第二十五条 第二级以上的计算机信息系统建设完成后,使用单位应当委托符合规定的测评机构安全测评合格方可投入使用。测评活动应当接受公安机关公共信息网络安全监察部门的监督。,广东省信息安全等级测评工作细则(试行),计算机信息系统投入使用后,存在下列情形之一的,应当进行安全自查,同时委托安全测评机构进行安全测评:(一)变更关键部件;(二)安全测评时间满一年;(三)发生危害计算机信系统安全的案件或安全事故;(四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评;(五)其他应当进行安全自查和安全测评的情形。申请单位认为安全测评报告的合法性和真实性存在重大
4、问题的,可以向本单位所在地公安机关公共信息网络安全监察部门提出申诉,提交异议申诉书及有关证明材料。,广东省等级保护测评机构,关于发布广东省信息安全等级保护测评机构的公告(粤等保办20103号)供我省信息系统运营、使用单位、主管部门选用提供各类测评服务(差距评估、验收性测评、年度测评工作)。1、广州竞远系统网络技术有限公司 2、中国赛宝实验室(工业和信息化部电子第五研究所)3、广州华南信息安全测评中心 4、深圳市信息安全测评中心 5、深圳市网安计算机安全检测技术有限公司,等级保护测评基本概念,等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密
5、信息系统安全等级保护状况进行检测评估的活动。通过信息安全等级测评机构对已完成的等级保护建设的信息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要求。,等级保护测评的执行主体,等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。等级保护测评的执行主体应当是具有相关资质的、独立的测评服务机构。只有独立的第三方,才能保证测评工作的客观性和公正性。,等级测评基本原则,测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。
6、测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。,等级测评的特点,管理角度:强制执行:管理办法强制周期性执行执行主体:符合条件的测评机构执行对象:定级的信息系统服务主体:国家信息安全监管部门/主管部门/运维、使用单位技术角度:符合性测评:依据基本要求等级化:不同级别测评强度不同,等级保护测评适用的阶段,在实施等级保护建设工作前,信息系统运营、使用单位可以开展一次等级测评以确定信息系统的安全需求。在等级保护建设完成后,通过等级测评判定信息系统是否按照预先设定的安全模式运行,安全控制措施是否得到合理的应用,信息系统是否达到相关标准的
7、要求,是否具备相应等级的安全防护能力等。,等级保护测评工作开展,系统改建方案设计:由信息系统的运营使用单位自己组织人员或由第三方评估机构,采用等级测评方法对信息系统安全保护现状与等级保护基本要求进行符合性评估,得到与相应等级要求的差距项,确定安全需求,为制定安全改建方案提供依据。是一种需求分析方法,不受测评执行主体的限制。等级保护建设完成后的测评,由具有相关资质、独立的第三方测评机构完成。,1.2.13测评与监督检查的关系,等级保护测评的操作形式自评估委托评估检查评估,1.2.14测评工作要求,依据标准,遵循原则恰当选取,保证强度规范行为,减少风险过程规范行为规范,等级保护测评注意事项,等级保
8、护测评方法(1),测评方法测评采用访谈、检查和测试三种方法,测评对象是测评实施过程中涉及到的信息系统的构成成份,包括人员、文档、机制、软件、设备。测评的层面涉及物理安全、网络安全、主机安全、应用系统安全、数据安全以及安全管理。测评要求使用测评表进行具体检查时,首先按询问、查验、检测等工作方式将所有检查项目分类。所有以询问方式检查的项目,在与有关人员的谈话或会议上进行;所有以查验方式检查的项目,将需要的文档清单在检查现场提交给被检查方,请被检查方当前提供并进行查验;所有需要以检测方式检查的项目,按检测部门或设备分类后,根据具体情况选择检测顺序。,等级保护测评方法(2),对技术要求访谈方法:目的是
9、了解信息系统的全局性。范围一般不覆盖所有要求内容。检查方法:目的是确认信息系统当前具体安全机制和运行的配置是否符合要求。范围一般要覆盖所有要求内容。测试方法:目的是验证信息系统安全机制有效性和安全强度。范围不覆盖所有要求内容。,等级保护测评方法(3),对管理要求对人员方面的要求,重点通过访谈的方式来测评,检查为辅;对过程方面的要求,通过访谈和检查的方式来测评;对规范方面的要求,以检查文档为主,访谈为辅,等级保护测评中的角色和职责关系,信息安全服务机构:协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。信
10、息安全产品供应商:开发符合等级保护相关要求的信息安全产品,接受安全测评,按照等级保护相关要求销售信息安全产品并提供相关服务。应用软件开发机构:将安全控制要求与应用软件结合,负责软件开发。信息安全等级测评机构:协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行测评;对信息安全产品供应商提供的信息安全产品进行安全测评。,1.3.7等级保护实施过程中的主要参与角色,等级保护测评工作实施步骤,首次会议(1)参加人员:主管领导、技术人员、测评机构人员(2)被测评机构工作汇报测评实施 被测评单位派人负责测评过程联络和协助。末次会议(
11、1)参加人员:主管领导、技术人员、测评机构人员(2)测评机构进行测试情况汇报,等级保护测评项目组的构成,测评项目组构成组长职责:管理测评过程、主持编制测评计划、主持设计测评方案、负责访谈、检查、组织分析测评结果、主持编制测评总结报告;访谈和查看组:负责访谈、执行测试,记录和分析测评结果;测试组:执行测试、记录和分析测评结果。,等级保护测评部位,被测评部门 领导办公场所 机房 介质保管室 设备管理部门 一般工作场所 监控室等,等级保护测评设备,被测评检查设备各类服务器抽查部分个人计算机(包括台式机、笔记本)通信线路交换机、路由器防火墙、入侵检测、杀毒软件等安全防护设备存储设备网络管理软件应用软件
12、,等级保护测评相关配合人员,测评所需要的相关配合人员单位领导部门领导系统管理员安全管理员系统审计员一般工作人员(抽查)等。,等级测评风险告知,在开展测评过程中,对可能影响信息系统正常运行的,测评机构应当事先告知被测评单位,并协助其采取相应的预防措施。,等级测评实施过程中可能存在的风险,验证测试影响系统正常运行 在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。工具测试影响系统正常运行 在现场测评时,会使用一些技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,
13、漏洞测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。敏感信息泄漏 泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。,等级测评方式测试,功能/性能测试、渗透测试等。测试对象包括机制和设备等。测试一般需要借助特定工具。扫描检测工具网络协议分析仪攻击工具渗透工具,等级保护测评标准,信息系统安全等级保护测评要求 信息系统安全等级保护测评指南,等级保护测评要求,测评要求的作用,指导系统运营使用单位进行自查指导评估机构进行检测评估监管职能部门参照进行监督检查规范测评内容和行为,等级保护测评的内容,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,
14、主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,测评要求编制思路,信息系统测评,系统测评(对安全控制、层面、区域间关联关系以及系统整体结构,分层次综合分析、测评),安全控制测评(以测评单元组织的测评实施),安全控制测评思路,在内容上,与基本要求一一对应,针对基本要求的每一个控制项,开发具体的测评实施方法。在结构上,以“测评单元”为基本工作单位,分等级进行组织。,等级保护测评,测评单元是指安全控制测评的最小工作单位,由测评项、测评方式、测评对象、测评实施和结果判定等组成,分别描述测评目的和内容、测评使用的方式方法、测试过程中涉及的测评对象、具体
15、测试实施取证过程要求和测评证据的结果判定规则与方法。测评强度是指测评的广度和深度,体现测评工作的实际投入程度。,测评强度增强的方法,测评广度越大,范围越大,包含的测评对象就越多,测评实际投入程度越高。测评的深度越深,越需要在细节上展开,测评实际投入程度也越高。测评的广度和深度落实在具体的测评方法访谈、检查和测试上,体现出访谈、检查和测试的投入程度不同。,2.1.8系统等级保护测评思路,根据安全控制、层面和区域之间的关联作用,逐层测评分析安全控制间、层面间和区域间关联关系对整体安全功能的影响,具体应包括:安全控制间安全测评、层面间安全测评、区域间安全测评。进行系统整体结构安全测评从安全的角度,分
16、析信息系统整体结构的安全性从安全角度看系统从系统的角度,分析信息系统安全防范(体系)的合理性 以系统的观点看安全防范(体系),等级保护测评要求部分解读,第二部分 等级保护测评要求(3)等级保护测评要求部分解读(物理安全),物理访问控制,本项要求包括:机房出入口应安排专人值守,控制、鉴别和记录进入的人员;需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。,物理访问控制,实施讨论机房进出通过双向电子门禁系统进行控制,可通过门禁电子记
17、录或填写出入记录单的形式记录进出人员和时间有能力的单位应当增设保安人员在门外值守;机房的内和外部临近入口区域要安装摄像头保证全部范围覆盖;外来人员进入机房应当由专人全程陪同;对于系统较多、机房面积较大的有能力单位应将机房按系统和设备的重要程度划分不同的单独区域进行物理隔离,联通各区域间的通道空间形成机房的过渡缓冲区。对于电源UPS,最好能划分单独区域。,物理访问控制,测评实施:应检查机房安全管理制度,查看是否有关于机房出入方面的规定;应检查机房出入口是否有专人值守,是否有值守记录以及进出机房的人员登记记录;检查机房是否不存在值守人员控制之外的出入口;应检查是否有来访人员进入机房的审批记录,查看
18、审批记录是否包括来访人员的访问范围;应检查机房区域划分是否合理,是否在机房重要区域前设置交付或安装等过渡区域;是否在不同机房间和同一机房不同区域间设置了有效的物理隔离装置;应检查重要区域配置的电子门禁系统是否有验收文档或产品安全认证资质;应检查电子门禁系统是否正常工作(不考虑断电后的工作情况);查看是否有电子门禁系统运行和维护记录;查看监控进入机房重要区域的电子门禁系统记录,是否能够鉴别和记录进入人员的身份。,物理访问控制,测评结果记录检查机房安全管理制度,有关于机房出入方面的规定;机房出入口有专人值守,有值守记录以及进出机房的人员登记记录;检查机房不存在值守人员控制之外的出入口;有来访人员进
19、入机房的审批记录,审批记录包括来访人员的访问范围 业务或安全管理需要,对机房进行了划分区域管理。各个区域都有专门的管理要求。机房区域划分合理,在机房重要区域前设置交付或安装等过渡区域;在不同机房间和同一机房不同区域间设置了有效的物理隔离装置重要区域配置的电子门禁系统是验收文档或产品安全认证资质(安防验收报告)电子门禁系统正常工作;有电子门禁系统运行和维护记录;能够鉴别和记录进入人员的身份。,防雷击,本项要求包括:机房建筑应设置避雷装置;应设置防雷保安器,防止感应雷;机房应设置交流电源地线。,2.3.6防雷击,实施讨论在南方地区,夏季多雨水,雷击发生的可能性很大,需要重点检测。电子信息系统机房施
20、工及验收规范GB50462-2008 电子信息系统机房设计规范GB50174-2008建筑物电子信息系统防雷技术规范GB50343-2004建筑物防雷装置检测技术规范 GB/T21431-2008,防雷击,测评实施应检查机房建筑是否有避雷装置,是否有交流地线;应检查机房是否安装防雷保安器等装置。,防雷击,结果记录机房建筑有避雷装置,有交流地线;机房电源和信号线上安装防雷保安器等装置;机房计算机系统接地设置了专用地线;通过验收或国家有关部门的技术检测(有检测报告),防火,本项要求包括:机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等
21、级的建筑材料;机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。,防火,测评实施应检查机房是否设置了自动检测火情、自动报警、自动灭火的自动消防系统,自动消防系统摆放位置是否合理,其有效期是否合格;应检查自动消防系统是否正常工作,查看是否有运行记录、报警记录、定期检查和维修记录;应检查机房是否采取区域隔离防火措施,将重要设备与其他设备隔离开。,防火,测评结果记录机房设置了灭火设备,设置了自动检测火情、自动报警、自动灭火的自动消防系统;有专人负责维护该系统的运行,制定了有关机房消防的管理制度和消防预案,进行了消防培训;火灾自动消防系统定期进行检查和维护 自动消防系统摆放位置合理,其有效期合格
22、;自动消防系统正常工作,有运行记录、报警记录、定期检查和维修记录;应检查机房采取区域隔离防火措施,将重要设备与其他设备隔离开。,温湿度控制,本项要求包括:机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。,温湿度控制,实施讨论电子信息系统机房设计规范GB50174-2008计算站场地技术条件 GB 2887-89,温湿度控制,测评实施应检查温湿度自动调节设施是否能够正常运行,查看是否有温湿度记录、运行记录和维护记录;查看机房温湿度是否满足计算站场地的技术条件要求。,温湿度控制,测评结果记录湿度自动调节设施能够正常运行;有温湿度记录、运行记录和维护记录。,电力供应,
23、本项要求包括:应在机房供电线路上配置稳压器和过电压防护设备;应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;应设置冗余或并行的电力电缆线路为计算机系统供电;应建立备用供电系统。,电力供应,实施讨论国家标准供配电系统设计规范 在电线路上配置稳压器和过电压防护设备以保证在电压突然变化时不影响到设备的正常运行;需要配备足够的UPS保证在段时间内断电的运行或至少保证服务器有足够的关机时间;采取冗余形式,一般至少有2家不同的供电公司供电;有条件的可以配备发电机保证较长时间的应急供电。对UPS没有定期进行可用性测试。,电力供应,测评实施应检查机房,查看计算机系统供电线路上的稳压器、过
24、电压防护设备和短期备用电源设备是否正常运行,查看供电电压是否正常;应检查是否有稳压器、过电压防护设备、短期备用电源设备以及备用供电系统等电源设备的检查和维护记录,冗余或并行的电力电缆线路切换记录,备用供电系统运行记录;以及上述计算机系统供电的运行记录,是否能够符合系统正常运行的要求;应测试安装的冗余或并行的电力电缆线路,是否能够进行双路供电切换;应测试备用供电系统是否能够在规定时间内正常启动和正常供电。,电力供应,测评结果记录计算机系统供电线路上的稳压器、过电压防护设备和短期备用电源设备(如UPS)正常运行,查看供电电压正常;有稳压器、过电压防护设备、短期备用电源设备以及备用供电系统等电源设备
25、的检查和维护记录,冗余或并行的电力电缆线路切换记录,备用供电系统运行记录;以及上述计算机系统供电的运行记录,能够符合系统正常运行的要求;测试安装的冗余或并行的电力电缆线路,能够进行双路供电切换;测试备用供电系统(如UPS)能够在规定时间内正常启动和正常供电。,电磁防护,实施讨论电磁屏蔽室屏蔽效能的测量方法 GBT 12190-2006 通过将机架外壳接地的方式可以降低外界的电子干扰,对于要求较高的机房,如CA机房需要建立屏蔽室;机房布线要严格按照规定,强、弱电线路尽量原理,使用交叉走线,避免平行轴线;使用铁质线槽可以抵御电磁干扰并有效保护线缆安全。处理涉密信息的电磁屏蔽室的技术要求和测试方法
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 等级 保护 测评 指南

链接地址:https://www.31ppt.com/p-2811855.html