对于三级系统,如业务信息安全等级为S3,系统服务安全等级为A3,则该系统的测评指标应包括GB/T 22239-2008《信息系统安全保护等级基本要求》中“技术要求”部分的3级通用指标类(G3),3级业务信息安全指标类(S3),3级系统服务安全指标类(A3),以及第3级“管理要求”部分中的所有指标类,等级保护测评指标情况具体如下表所示:
测评指标(三级) 类数量 技术/管理 层面 S类(3级) 物理安全 网络安全 安全技术 主机安全 应用安全 数据安全 安全管理制度 安全管理机构 安全管理 人员安全管理 系统建设管理 系统运维管理 1 1 3 5 2 0 0 0 0 0 合计 A类(3级) 1 0 1 2 1 0 0 0 0 0 G类(3级) 8 6 3 2 0 3 5 5 11 13 小计 10 7 7 9 3 3 5 5 11 13 73(类) 2.2. 测评流程
等级保护测评实施过程包括以下四个阶段:
第 9 页 共 24 页
测评项目组组建项目计划书编制信息系统调研工具和表单准备测评准备阶段测评对象确定测评指标确定测评工具接入点确定测评内容确定测评实施手册开发方案编制阶段物理安全网络安全主机安全应用安全数据安全人员访谈方文档审查式实地察看物理基础设对施象人员访谈方配置检查式工具测试互联设备对安全设备象网络拓扑人员访谈方配置检查式工具测试操作系统对数据库系象统人员访谈方配置检查式工具测试应用系统对象人员访谈方配置检查式管理数据对业务数据象现场测评阶段安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理人员访谈方文档审查式实地察看人员访谈方文档审查式人员访谈方文档审查式人员访谈方文档审查式人员访谈方文档审查式单项测评结果分析单元测评结果判定整体测评风险分析等级测评结论形成测评报告编制分析与报告编制阶段
2.2.1.
? ?
测评准备阶段
测评项目组组建:明确项目经理、测评人员及职责分工。
项目计划书编制:项目计划书包含项目概述、工作依据、技术思路、工作内容和项目组织等。
? 信息系统调研:通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,明确被测系统的范围(特别是信息系统的边界),了解被测系统的详细构成,包括网络拓扑、业务应用、业务流程、设备信息(服务器、数据库、网络设备、安全设备、数据库等)、管理制度等。
?
工具和表单准备:根据被测系统的实际情况,准备测评工具和各类测
第 10 页 共 24 页
评表单。
2.2.2.
?
方案编制阶段
测评对象确定:根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。
? 测评指标确定:根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。
? 测评工具接入点确定:确定需要进行工具测试的测评对象,选择测试路径,根据测试路径确定测试工具的接入点。
? ?
测评内容确定:确定现场测评的具体实施内容,即单元测评内容。 测评实施手册开发:编制测评实施手册,详细描述现场测评的工具、方法和操作步骤等,具体指导测评人员如何进行测评活动。
2.2.3. 现场测评阶段
现场测评实际上就是单项测评,分别从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。 ?
物理安全:通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为物理基础设施。在内容上,物理安全层面测评实施过程涉及10个测评单元,包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 ?
网络安全:通过访人员访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。在内容上,网络安全层面测评实施过程涉及7个测评单元,包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护、恶意代码防范(针对三级系统)。 ?
主机安全:通过人员访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。主要涉及对象为各类服务器的操作系统、数据
第 11 页 共 24 页
库管理系统。在内容上,主机系统安全层面测评实施过程涉及7个测评单元,包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护(针对三级系统)。 ?
应用安全:通过人员访谈、配置检查和工具测试的方式测评信息系统的应用安全保障情况,主要涉及对象为各类应用系统。在内容上,应用安全层面测评实施过程涉及9个测评单元,包括:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩余信息保护(针对三级系统)、抗抵赖(针对三级系统)。 ?
数据安全:通过人员访谈、配置检查的方式测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等。在内容上,数据安全层面测评实施过程涉及3个测评单元,包括:数据完整性、数据保密性、备份和恢复。 ?
安全管理制度:通过人员访谈、文档审查和实地察看的方式测评信息系统的安全管理制度情况。在内容上,安全管理制度方面测评实施过程涉及3个测评单元,包括:管理制度、制定和发布、评审和修订。 ?
安全管理机构:通过人员访谈、文档审查的方式测评信息系统的安全管理机构情况。在内容上,安全管理机构方面测评实施过程涉及5个测评单元,包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。 ?
人员安全管理:通过人员访谈、文档审查的方式测评信息系统的人员安全管理情况。在内容上,人员安全管理方面测评实施过程涉及5个测评单元,包括:人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。 ?
系统建设管理:通过人员访谈、文档审查的方式测评信息系统的系统建设管理情况。在内容上,系统建设管理方面测评实施过程涉及11个测评单元,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案(针对三级系统)、系统测评(针对三级系
第 12 页 共 24 页
统)。 ?
系统运维管理:通过人员访谈、文档审查的方式测评信息系统的系统运维管理情况。在内容上,系统运维管理方面测评实施过程涉及13个测评单元,包括:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、监控管理和安全管理中心(针对三级系统)。
2.2.4.
?
分析与报告编制阶段
单项测评结果分析:针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据。
? 单元测评结果判定:将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。
? 整体测评:针对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。
? 风险分析:据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。
? 等级测评结论形成:在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。
? 测评报告编制:根据等级测评结论,编制测评报告,包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。
2.3. 测评方法
在等级保护测评过程目中,将采用以下测评方法:
2.3.1.
工具测试
第 13 页 共 24 页