信息系统安全等级保护等保测评安全管理测评.ppt

《信息系统安全等级保护等保测评安全管理测评.ppt》由会员分享，可在线阅读，更多相关《信息系统安全等级保护等保测评安全管理测评.ppt（85页珍藏版）》请在三一办公上搜索。

1、信息系统安全等级保护安全管理测评,武汉安域信息安全技术有限公司余少波 博士地址：湖北武汉东湖开发区武大园路6号电话：电邮：,内容,1、背景知识,安全管理的定义,“三分技术，七分管理”安全管理是指在信息系统中对需要人员来参与的活动采取必要的管理控制措施，对信息系统的生命周期全过程实施科学管理。,技术和管理的区别,安全技术主要通过在信息系统中合理部署软硬件并正确配置其安全功能实现。安全管理主要通过控制与信息系统相关各类人员的活动，采取文档化管理体系，从政策、制度、规范、流程以及记录等方面做出规定实现。,技术和管理的联系,两者之间既互相独立，又互相关联；确保信息系统安全不可分割的两个部分。,1、背景

2、知识,安全管理结构是指明确领导机构和责任部门。设立或明确信息安全领导机构，明确主管领导，落实责任部门，建立岗位和人员管理制度，根据职责分工，分别设置安全管理机构和岗位，明确每个岗位的职责与任务，落实安全管理责任制,1、背景知识,1、背景知识,安全管理制度是指确定安全管理策略，制定安全管理制度。确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等，形成安全管理体系,1、背景知识,1、背景知识,人员安全管理是指加强人员的安全管理。规范人员录用、离岗过程，关键岗位签署保密协议，对各类人

3、员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制,1、背景知识,1、背景知识,人员安全管理是指加强人员的安全管理。规范人员录用、离岗过程，关键岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制,1、背景知识,1、背景知识,系统建设管理是指加强系统建设过程的管理。制定系统建设相关的管理制度，明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付

4、、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法，并按照管理制度落实各项管理措施,1、背景知识,1、背景知识,系统运维管理是指加强系统运维过程的管理。制定系统运维相关的管理制度，明确环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等内容的管理责任部门、具体管理内容和控制方法，并按照管理制度落实各项管理措施,1、背景知识,1、背景知识,不同级别之间的区别,管理活动控制点的增加每个控制点具体管理要求的增多管理活动的能力逐步加强借鉴能力成熟度模型（CMM）一级 非正式执行二级

5、 计划和跟踪三级 良好定义四级 持续改进,1、背景知识,内容,2、测评依据和内容,测评依据,信息系统安全等级保护基本要求GB/T22239-2008 信息系统安全等级保护测评要求（报批稿）信息系统安全等级保护测评过程指南（报批稿）,2、测评依据和内容,标准中管理要求形成思路,政策和制度,机构和人员,信息系统规划管理,信息系统设计管理,信息系统实施管理,信息系统运维管理,信息系统废弃管理,信息系统整个生命周期,检查和监督管理,限制,指导,执行,监督,2、测评依据和内容,标准中管理要求覆盖范围,信息系统的生命周期,系统规划(定级规划等),系统设计(设计开发采购等),系统实施(安装配置测试等),系统

6、运维,系统废弃,管理人员,管理制度,组织的使命目标战略政策,系统变更,管理机构,2、测评依据和内容,测评内容-GB/T 22239-2008,某级系统,物理安全,技术要求,管理要求,等级保护要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,2、测评依据和内容,测评内容-GB/T 22239-2008,安全管理（37）安全管理制度（3）安全管理机构（5）人员安全管理（5）系统建设管理（11）系统运维管理（13）物理安全（10）,2、测评依据和内容,测评内容-GB/T 22239-2008,类1,控制点1,控制点2,要求项1,要求项

7、2,要求项n,要求项1,要求项2,要求项n,2、测评依据和内容,测评内容-GB/T 22239-2008,人员安全管理 人员录用 a)应指定或授权专门的部门或人员负责人员录用；b)人员离岗 人员考核 安全意识教育和培训 外部人员访问管理,类,控制点,要求项,内容,3、评测方法和流程,主要测评工具,安全管理测评作业指导书 物理安全测评作业指导书,3、评测方法和流程,测评方式,访谈 检查,3、评测方法和流程,访谈测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据表明信息系统安全保护措施是否落实的一种方法。在访谈的范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样

8、。,访谈内容 访谈技巧 访谈对象 访谈作用,测评方式-访谈,3、评测方法和流程,问题开放式非开放式,如何管理和控制软件开发文档？,是否成立信息安全领导小组？,测评方式-访谈-访谈内容,3、评测方法和流程,基于作业指导书开展 访谈对象的选择，覆盖适当的层次和职能 访谈应在正常工作时间和工作地点 说明访谈和做记录的原因 访谈可从请对方描述其工作开始 尽量避免提出有倾向性答案的问题 感谢对方的配合,测评方式-访谈-访谈技巧,3、评测方法和流程,安全主管系统建设负责人人事负责人系统运维负责人物理安全负责人系统管理员、网络管理员、安全管理员、机房值班人员、资产管理员等,测评方式-访谈-访谈对象,3、评测

9、方法和流程,安全主管主要针对一些机构信息安全方面的上层、顶层问题进行广泛式提问，包括机构安全管理制度体系的构成、部门的设置等；主要集中在：安全管理制度、安全管理机构。,各方面负责人（物理安全、人事、系统建设、系统运维）主要针对机构信息安全各个具体方面的问题进行总体式提问主要集中在：人员安全管理、系统建设管理、系统运维管理、物理安全,测评方式-访谈-访谈对象,各类管理人员（系统安全管理员、网络安全管理员等）主要针对具体的信息安全问题进行针对式提问，深入了解系统在某一特定方面的具体安全措施如何落实。,3、评测方法和流程,在安全管理测评中：作用一：了解相关管理方面的情况，作为下一步测评工作的基础；作

10、用二：访谈结果作为判断与其他几种测评方式所得到证据是否一致；作用三：作为相关管理方面实现要求与否的直接证据；,测评方式-访谈-访谈作用,3、评测方法和流程,作用三例：要求“应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施；”测评实施：应访谈系统建设负责人，询问系统选择基本安全措施的依据，是否依据安全保护等级选择，是否依据风险分析的结果补充和调整安全措施，做过哪些调整。,测评方式-访谈-访谈作用,3、评测方法和流程,检查不同于行政执法意义上的监督检查，是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。,测评方式-

11、检查,3、评测方法和流程,文档查看 现场察看,测评方式-检查-检查方式,3、评测方法和流程,各类文件 制度文档 操作规程 执行记录 物理环境 基础设施等,测评方式-检查-检查对象,3、评测方法和流程,“一对一”：通过访谈获得肯定答案，通过检查验证访谈结果。“多对一”：访谈内容总体性，多个检查操作验证。“一对无”：直接访谈或检查，单一结果。层层递进、共同体现、综合分析、把握核心。,测评方式-检查-检查与访谈关系,3、评测方法和流程,测评工作前期准备-现场检查文档列表,制度类文档机房安全管理制度网路安全管理制度介质安全管理制度人员离岗管理文档,记录和证据类文档进出机房的登记记录存储介质归档、查询记

12、录安全事件处置过程记录应急预案演练记录人员保密协议消防检测报告,3、评测方法和流程,测评工作前期准备-现场检查文档列表,3、评测方法和流程,测评工作前期准备-现场配合人员名单,几点说明根据角色分工，明确其熟知的安全控制点，确定访谈配合人员以配合人员为主，根据对其访谈内容的多少，估算大约占用对方的时间，以便其明确具体时间安排,3、评测方法和流程,测评工作前期准备-文档交接单,根据各单位内部管理程序自行设计明确的基本信息包括：交接文档名称 文档密级 归还日期、接收日期 提交接收人签名、归还接收人签名 等等,3、评测方法和流程,采用一定的“测评方式”通过执行一些活动，了解“测评对象”对要求项/测评项

13、的实现情况，从而构成了测评实施方法信息系统安全等级保护测评要求的管理部分,测评项,测评方式,测评对象,测评实施,安全管理要求项,检查和访谈,人员、文档,测评方式+对象+活动/操作,现场测评工具准备-安全管理测评作业指导书开发,3、评测方法和流程,（示例）安全管理机构,现场测评工具准备-安全管理测评作业指导书开发,3、评测方法和流程,作业指导书开发基本步骤 第一步：从基本要求中选择“控制点”（测评指标）和“要求项”（测评项）；第二步:从测评要求中选择“测评方法”；第三步:结合信息系统实际情况调整“测评方法”；第四步:形成最终作业指导书。,现场测评工具准备-安全管理测评作业指导书开发,3、评测方法

14、和流程,测评对象,测评方式,现场测评工具准备-物理安全测评作业指导书开发,3、评测方法和流程,具体开发方法和步骤可以参考“安全管理测评作业指导书开发”,现场测评工具准备-物理安全测评作业指导书开发,3、评测方法和流程,基本活动 检查是否存在有关的规定、制度或规程文档；检查文档的描述细节是否涉及相关的内容；检查是否存在有关执行过程的记录文件或说明文件（证据）；检查文件的记录内容是否与规定、制度或规程的要求一致；访谈相关人员，要求其对描述不理解或记录不理解内容的解释或说明；访谈相关人员，要求其对管理过程或执行过程解释和说明。,测评流程-安全管理测评流程,3、评测方法和流程,测评流程 第一步，根据现

15、场配合人员名单，进一步明确协调人员、访谈人员及时间 第二步，根据检查文档列表，获得制度、记录、规程等各类文档，并填写文档交接单 第三步，审阅各类文档，并在现场测评作业指导书的相关项中进行结果记录 第四步，针对不确定项访谈相关人员或获得额外证据并记录 第五步，整理作业指导书的结果记录，并确认签字 第六步归还所有文档并在文档交接单中签字,测评流程-安全管理测评流程,3、评测方法和流程,基本活动 实地察看场地条件、环境条件是否符合要求；实地察看设备、设施是否工作正常；实地察看是否存在有关设备、设施、标签、标识等；检查设备、设施的检测报告或维护日志、检查机房设计验收文档；访谈相关人员，要求对不理解之处

16、进行解释或说明；访谈相关人员，要求对管理过程或执行过程补充解释和说明,测评流程-物理安全测评流程,3、评测方法和流程,测评流程 第一步，实地察看场地条件、环境条件；第二步，实地察看设备、设施运行状态；第三步，实地察看存在的有关设备、设施、标签、标识等；第四步，检查检测报告或维护日志、检查机房设计验收文档；（可在进机房前完成）第五步，针对不确定项访谈相关人员；第六步，整理作业指导书，整理结果记录并确认签字,测评流程-物理安全测评流程,内容,4、安全管理现场测评实施,测评内容及要点说明,安全管理制度（3）安全管理机构（5）人员安全管理（5）系统建设管理（11）系统运维管理（13）,4、安全管理现场

17、测评实施,测评内容及要点说明-安全管理制度,安全管理制度（三级）,管理制度,制订和发布,评审和修改,4、安全管理现场测评实施,落实要点 总体方针政策文件、各类管理制度、各种操作规程三类文档 三类文档之间的连贯性，管理制度的覆盖面 管理制度文件的格式、版本、修订记录、各种评审记录以及发放登记记录 制定和修订方面的文字具体要求，修订计划，修订流程 安全管理制度制、修订的责任人，具体制定、发布流程,落实难点：安全方针、管理制度、操作规程三层文件形成管理制度文件体系 管理制度定期的评审、修订、完善,测评内容及要点说明-安全管理制度,4、安全管理现场测评实施,测评内容及要点说明-安全管理机构,4、安全管

18、理现场测评实施,落实要点 查看岗位职责文件了解：安全管理组织构成情况，信息安全领导小组-信息安全管理工作的职能部门-具体岗位，具体职责分工情况；机构人员及岗位人员名单，了解各管理员岗位人员配备情况（如安全管理员、系统管理员、网络管理员、文档管理员）；对关键岗位的定义；根据岗位人员配备名单了解安全管理员是否是专职人员，其他岗位人员配备情况关键岗位是否配备两人或两人以上 审批事项、审批部门、批准人及审批程序等（制度），审批过程实际执行记录，了解授权和审批情况 各类会议纪要、外协单位联系档案，了解部门内外沟通和合作情况 安全检查周期、内容、程序等（制度），各类安全检查表格、以往安全检查记录或总结了解

19、对信息系统的安全检查情况,测评内容及要点说明-安全管理机构,4、安全管理现场测评实施,落实难点 安全领导小组或安全管理委员会 专职安全管理员 关键岗位配备多人 聘请信息安全专家作为常年的安全顾问 关键活动的双重审批制度 定期的全面安全检查,测评内容及要点说明-安全管理机构,4、安全管理现场测评实施,测评内容及要点说明-人员安全管理,4、安全管理现场测评实施,落实要点 录用、离岗、考核、安全意识教育和培训方面的规定 安全保密协议和关键岗位的安全协议 离岗交接记录 安全技术考核记录 培训计划和培训记录 外部人员访问方面的规定（制度）,落实难点 关键岗位人员的社会背景审查，关键岗位安全协议；安全技能

20、和安全认知的考核；对外部人员允许访问的区域、系统、设备、信息等内容的详细书面规定。,测评内容及要点说明-人员安全管理,4、安全管理现场测评实施,测评内容及要点说明-系统建设管理,4、安全管理现场测评实施,落实要点 信息系统定级报告 未来几年的安全建设规划 安全设计方案、工程实施方案 软件开发、工程实施、测试验收、系统交付等方面规定 产品采购的候选产品名单 系统集成建设工程实施过程控制记录、各个阶段产品评审记录 测试验收报告、安全性测试报告 系统备案证书 等级测评报告 安全产品销售许可证复印件 与安全服务商签订的保密协议或安全责任书,测评内容及要点说明-系统建设管理,4、安全管理现场测评实施,落

21、实难点 对主要的活动均需要制度来指导和约束，规范化地执行各种活动，留有记录文件 外包开发软件安装前的恶意代码检测和后门程序审查 系统正式投入运行前独立第三方进行的安全性测试 每年一次的等级测评,测评内容及要点说明-系统建设管理,4、安全管理现场测评实施,测评内容及要点说明-系统运维管理,4、安全管理现场测评实施,环境管理 机房安全管理制度 机房基础设施定期维护记录、机房进出登记记录 指定机房基础设施维护负责人 办公环境的安全管理资产管理 资产安全管理制度 资产清单，资产重要程度标识 对信息分类标识的原则和方法进行说明的文档,测评内容及要点说明-系统运维管理,4、安全管理现场测评实施,介质管理

22、介质安全管理制度 介质本地、异地存储环境条件，分类和标识 介质归档、查询的登记记录 重要介质送出维修或销毁前的审批记录 重要介质中数据或软件的加密存储的说明文档设备管理 设备安全管理制度 指定设备管理的责任人或责任部门 重要网络设备或服务器的操作规程 设备带离机房或办公环境的审批记,测评内容及要点说明-系统运维管理,4、安全管理现场测评实施,监控管理和安全管理中心 主机监控系统、网络监控系统、业务应用监控系统及相应责任人 监控和报警记录的分析报告 对设备状态、恶意代码、补丁升级、安全审计的集中管理网络安全管理 网络安全管理制度及负责人员 网络安全管理的日常工作，包括本地用户和远程用户的访问管理

23、、网络接入管理、网络设备管理、漏洞扫描、网络状态监控等 日常管理工作的记录、重要事项的审批记录,测评内容及要点说明-系统运维管理,4、安全管理现场测评实施,系统安全管理 系统（主机）安全管理制度及负责人员 系统（主机）安全管理的日常工作，包括帐户管理、角色权限管理、补丁管理、漏洞扫描、日志或审计信息分析、日常维护等 日常管理工作的记录、重要操作的审批文档恶意代码防范管理 恶意代码防范管理制度及负责人员 恶意代码防范的日常工作，包括恶意代码检测、病毒库更新、恶意代码信息分析、恶意代码防范意识教育等 恶意代码的集中分析结果记录或报告 日常管理工作的记录,测评内容及要点说明-系统运维管理,4、安全管

24、理现场测评实施,密码管理 密码使用管理制度 密码设备具有证书，密码算法符合国家相关规定变更管理 变更管理制度 变更方案 变更的审批记录 变更后相关管理制度和操作规程的变化 失败变更的恢复文件化程序及恢复过程的演练记录,测评内容及要点说明-系统运维管理,4、安全管理现场测评实施,备份和恢复管理 备份和恢复管理制度 备份和恢复的策略文档及操作规程 备份过程记录文档 系统启动或切换的操作规程 数据恢复或系统切换的操作记录 备份介质的有效性检查记录,测评内容及要点说明-系统运维管理,4、安全管理现场测评实施,安全事件处置管理 安全事件报告和处置管理制度，包括安全事件定义、定级、报告流程、不同事件的响应

25、和处置流程 安全事件处置过程的记录应急预案管理 应急预案总体框架 各类主要事件的具体应急预案 应急预案涉及人员、设备等的满足情况 应急预案的培训记录、演练记录 应急预案文档的更新维护,测评内容及要点说明-系统运维管理,4、安全管理现场测评实施,落实难点 办公环境的安全管理 信息分类标识的原则和方法 重要介质中数据或软件的加密存储 安全审计的集中管理 定期的网络和系统漏洞扫描 对移动式、便携式设备接入网络的安全管理 对违规联网行为的管理 系统运行日志和审计数据的分析 系统角色权限的划分和管理 定期的主机和网络恶意代码检测、病毒库升级 变更失败的文件化恢复程序，变更失败恢复演练 变更后对相关制度和

26、操作规程的修订 数据恢复或系统切换的操作记录，备份介质的有效性检查 信息安全事件的分类、分级处置流程 具体信息安全事件的应急预案，应急预案培训和演练 应急预案文档的维护和更新,测评内容及要点说明-系统运维管理,4、安全管理现场测评实施,事项一：系统某一控制点或某条要求不适用该级别的基本要求（如外包软件开发、自行软件开发）,例：人员考核第一条“应定期对各个岗位人员进行安全技能及安全认知的考核”，通过访谈获知委托测评方从未进行过安全技能及安全认知的考核，那么该控制点对考核结果记录要求的要求项可以为不适用吗？,安全管理现场测评实施-测评注意事项,一定不要滥用“不适用”如某条要求没有达到，由于下面一条

27、要求与其有关联关系，那么这条要求不能说不适用，而是不符合。或者说，只能由不适用推导到不适用，而不能由不符合推导为不适用。,4、安全管理现场测评实施,事项二：当访谈结果与检查结果不一致时，应综合分析，不能片面的采信任何一方。,安全管理现场测评实施-测评注意事项,事项三：访谈以具体对象展开，而不以控制点或要求展开。,事项四：访谈是获得证据不可或缺的手段，但往往访谈回答信息的客观性、准确性，依被访谈角色对相关内容了解程度、以及双方的有效沟通而定，因此需要测评人员正确引导和判断。,事项五：在检查文档时发现不同文档针对同一方面内容要求不一致，应分析原因，结合其他测评方式所获证据来判断。,事项六：所检查的

28、文档应是机构目前已正式发布实施的有效文档。,4、安全管理现场测评实施,事项八：其他测评项获取的证据，也可能会成为某一测评项判定的依据。,安全管理现场测评实施-测评注意事项,事项七：制度文档的审阅一方面要检查制度文档的规范内容，另外应通过审阅记录文档检查制度文档的落实，若二者存在不一致，应进一步寻找证据，最终确认是制度未得到有效落实还是制度文档需要修订。,事项九：当由于某种原因机构无法提供原有的所要求的证据时，其他证据效力等同时，可采纳。,事项十：文档名称可能不同，需进一步确认文档具体内容。,事项十一：在系统运维管理的测评中，一些测评要求涉及到技术方面的要求，二者之间存在不同的侧重点。,4、安全

29、管理现场测评实施,实例一要求“应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订；”,安全管理现场测评实施-测评实例,实例二要求1“关键事务岗位应配备多人共同管理。”要求2“应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。”,实例三要求1“应确保安全产品的采购和使用符合国家的有关规定；”要求2“应确保密码产品的采购和使用符合国家密码主管部门的要求；”要求3“应确保安全服务商的选择符合国家的有关规定；”,4、安全管理现场测评实施,实例四要求“应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；”,安全管理现场测评实施-测评实例,实

30、例五要求“应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；”,实例六要求“应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容；”,4、物理安全现场测评实施,物理安全现场测评实施-测评内容及要点说明,4、物理安全现场测评实施,落实要点 机房、建筑的各类设计/验收文档（机房位置选择说明、机房建筑承重能力、机房建筑防雷、机房综合布线及接地、自动消防系统、机房防火、机房空调和新风系统、电力供应和电磁防护等）机房专人值守、门禁系统、分区管理、登记记录、专人陪同 设备和信息线不易除

31、去的标识、介质分类标识及存放环境 机房视频监控系统 机房防盗报警系统 电源线和信号线上的防雷保安器（光纤接入除外）自动消防报警系统运行状态、手提式或便携式灭火器的摆放位置及有效期、消防演习记录 机房天花板及墙壁是否存在防潮及结露现象，机房屋顶或活动地板下是否有水管、对外开放窗户的防雨措施 机房空调温湿度显示、机房日常巡检温湿度记录 双路市电接入、UPS满负荷时最大负载、备用供电系统，电力供应应急演练记录,物理安全现场测评实施-测评内容及要点说明,4、物理安全现场测评实施,落实难点 机房防盗报警系统 机房区域隔离防火措施 双路市电供电或备用供电系统,物理安全现场测评实施-测评内容及要点说明,4、

32、物理安全现场测评实施,事项一：现场查看机房基础设施建设情况时，设施的有无并不能反映落实与否，关键查看该设施是否是有效的、正常运行。,物理安全现场测评实施-测评注意事项,事项二：当机房根据用途不同分为多个房间，处于不同位置时，各个机房应按相关的物理安全要求分别检查。,4、物理安全现场测评实施,实例一要求“机房出入口应有专人值守并配置电子门禁系统，控制、鉴别和记录进入的人员；”,物理安全现场测评实施-测评实例,实例二要求“应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过度区域；”,实例三要求“应利用光、电等技术设置机房的防盗报警系统；”,实例四要求“机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。”,4、物理安全现场测评实施,问题补充说明,当对一个机构内多个不同信息系统同时进行测评时，需分析机构、系统与要求之间的关系。结果判定：现场客观记录后期主观分析、客观评判,睿智勤勉和谐,武汉安域信息安全技术有限公司地址：湖北武汉东湖开发区武大园路6号邮编：430079电话：电邮：,