网络安全等级保护详细全面介绍时代新威等级保护组2012年8月言前信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作
,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依
据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。目录2.3如何开展等级测评1.2为什么要做网络安全等级保护010
22.2为什么需要对信息系统进行等级测评2.4等级测评相关标准1.1什么是网络安全等级保护1.3网络安全等级保护对象范围2
.1什么是等级测评2.5测评实施工作流程网络安全等级保护简介网络安全等级测评介绍1.1什么是网络安全等级保护网络安全等级保护
是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信
息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评
工作。1.2为什么要做网络安全等级保护政策合规,等级保护是我国关于信息安全的基本政策。《网络安全法》明确规定信息系统运营、使用单
位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。第二十一条规定:第三十八条规定:1.2为什
么要做网络安全等级保护第五十九条规定:1.2为什么要做网络安全等级保护行业要求企业系统安全的需求在金融、电力、广电、医疗、教育、
交通等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全
隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。1.3网络安全等级保护对象范围省辖市以上党政机关的重要网
站和办公信息系统;电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据
中心等单位的重要信息系统;铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障
、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息
系统。外部驱动内部需求等保机构推动2.1什么是等级测评2.2为什么需要对信息系统进行等级测评等级测评是指,测评机构依据国家信息
安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的信息系统的安全等级保护状况进行检测评估的活动。了解现状明确
整改国家要求行业要求2.2为什么需要对信息系统进行等级测评外部驱动信息安全等级保护管理办法(公通字【2007】43号)第十四
条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技
术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等
级测评,第五级信息系统应当依据特殊安全需求进行等级测评。2.2为什么需要对信息系统进行等级测评公安部/发改委关于加强国家电子政务
工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号):项目建设单位向审批部门提出项目竣工验收申请时,应提交非
涉密信息系统安全保护等级备案证明,以及相应的安全等级测评报告和信息安全风险评估报告等。2.2为什么需要对信息系统进行等级测评公安
部/国资委关于进一步推进中央企业信息安全等级保护工作的通知(公通字[2010]70号):各企业要根据企业特点,从《全国信息安全等级
保护测评机构推荐目录》中择优选择测评机构,对本企业第三级(含)以上信息系统定期开展等级测评,查找发现信息系统的安全问题、漏洞和安全
隐患并及时整改。2.3如何开展等级测评规定步骤2.3如何开展等级测评执行主体:符合条件的测评机构执行的强制性:管理办法强制周期
性执行执行对象:已经定级的信息系统测评依据:依据《基本要求》测评内容:单元测评(技术和管理)和整体测评测评付出:不同级别的测评力度
不同测评方式:访谈、检查和测试服务对象:主管部门,运维、使用单位,信息安全监管部门2.3如何开展等级测评测评机构是指具备本规范的
基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机
构。机构职责省级以上等保办审核评估中心:技术培训/能力评估省级以上等保办推荐2.4等级测评相关标准2.4等级测评相关标准2.4
等级测评相关标准《测评要求》明确测评内容单元和整体单元测评测评指标,测评实施(方法、步骤)和判定整体测评安全控制间、层面间、区域
间测评结论2.5等级测评工作流程单项符合性判定整体测评安全问题分析形成测评结论提出整改建议选择测评对象选择测评指标
确定测评方法编制测评计划方案编制报告编制测评准备现场测评网络安全测评管理安全测评物理安全测评应用安全测评主机安全
测评基本情况调研结果数据分析测评工具准备2.5.1等级测评工作流程-测评准备单项符合性判定整体测评安全问题分析形成
测评结论提出整改建议选择测评对象选择测评指标确定测评方法编制测评计划方案编制报告编制测评准备现场测评网络安全测评
管理安全测评物理安全测评应用安全测评主机安全测评基本情况调研结果数据分析测评工具准备2.5.1等级测评工作流程-测
评准备基本情况调研结构2.5.1等级测评工作流程-测评准备基本情况调研需要获得如下信息:被测单位、被测系统情况拓扑图、网络设备、
安全设备相关信息管理文档、人员相关信息机房相关信息应用系统相关信息主机设备相关信息2.5.1等级测评工作流程-测评准备基本
情况调研2.5.1等级测评工作流程-测评准备基本情况调研2.5.1等级测评工作流程-测评准备基本情况调研2.5.1等级测评工
作流程-测评准备基本情况调研2.5.2等级测评工作流程-方案编制单项符合性判定整体测评安全问题分析形成测评结论提出整改
建议选择测评对象选择测评指标确定测评方法编制测评计划方案编制报告编制测评准备现场测评网络安全测评管理安全测评物理
安全测评应用安全测评主机安全测评基本情况调研结果数据分析测评工具准备2.5.2等级测评工作流程-方案编制抽样选择测评
对象根据定级情况选择测评指标确定测评方法编制现场工作计划2.5.2等级测评工作流程-方案编制抽样选择测评对象完整性重要性安全性共
享性代表性2.5.2等级测评工作流程-方案编制技术/管理安全分类单元测评数量1级2级3级4级安全技术测评物理安全7101010网
络安全3677主机安全4679应用安全47911数据安全及备份恢复2333安全管理测评安全管理制度2333安全管理机构4555人员
安全管理4555系统建设管理991111系统运维管理9121313合计48667377总计2642.5.2等级测评工作流程-方案
编制测评方法方法种类访谈、检查、测试目的理解、澄清或取得证据的过程适用对象2.5.2等级测评工作流程-方案编制访谈访谈的对象是配
合人员。典型的访谈人员包括信息安全主管、信息系统安全管理员、系统管理员、网络管理员、资产管理员等。工具:管理核查表(checkli
st)有目的的(有针对性的)2.5.2等级测评工作流程-方案编制访谈检查是指测评人员通过对测评对象(如制度文档、各类设备、安全配
置等)进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。测试2.5.2等级测评工作流程-方案编制检测对象检查对象
包括:文档、各类设备、安全配置、机房、存储介质等。主要工具:核查表2.5.2等级测评工作流程-方案编制访谈检查测试是指测评人员
使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。2.5.2等级测评工
作流程-方案编制测试功能/性能测试、渗透测试等测试对象包括机制和设备等测试一般需要借助特定工具扫描检测工具模拟攻击工具渗透工具2.
5.2等级测评工作流程-方案编制编制测评方案—结构2.5.2等级测评工作流程-方案编制编制测评方案—概述2.5.2等级测评工
作流程-方案编制编制测评方案—被测信息系统情况2.5.2等级测评工作流程-方案编制编制测评方案—测评对象2.5.2等级测评工作
流程-方案编制编制测评方案—漏洞扫描2.5.2等级测评工作流程-方案编制编制测评工作计划2.5.2等级测评工作流程-方案编制编
制测评工作计划2.5.3等级测评工作流程-现场测评编制测评工作计划单项符合性判定整体测评安全问题分析形成测评结论提出整
改建议选择测评对象选择测评指标确定测评方法编制测评计划方案编制报告编制测评准备现场测评网络安全测评管理安全测评物
理安全测评应用安全测评主机安全测评基本情况调研结果数据分析测评工具准备2.5.3等级测评工作流程-现场测评测评内容等级
测评包括:单元测评整体测评单元测试以安全控制为基本工作单位组织描述测评指标、测评实施和结果判定。2.5.3等级测评工作流程-现场
测评单元测评-物理安全支持信息系统运行的设施环境和构成信息系统的硬件设备和介质测评对象包括:机房(含各类基础设备)存储介质安全管理
人员/文档管理员文档(制度类、规程类、记录/证据类等)2.5.3等级测评工作流程-现场测评单元测评-系统层面系统层面主要是指主机
系统,构成组件有服务器、终端/工作站等计算机设备,包括他们的操作系统、数据库系统及其相关环境等操作系统,如Windows/L
inux系列/类UNIX系列/IBMZ/os/UnisysMCP等数据库管理系统,如DB2/Oracle/S
ybase/MSSQLServer等中间件平台,如Weblogic/Tuxedo/Websphere等2.5.3
等级测评工作流程-现场测评单元测评-网络层面网络层面构成组件负责支撑信息系统进行网络互联,为信息系统各个构成组件进行安全通信传输,
一般包括网络设备、连接线路以及它们构成的网络拓扑等。测评对象:网络互联设备网络安全设备网络管理平台相应设计/验收文档,设备的运行日
志等2.5.3等级测评工作流程-现场测评单元测评-应用系统测评对象包括业务应用系统委托第三方定制开发业务应用系统2.5.3等
级测评工作流程-现场测评单元测评-数据层面数据层面构成组件主要包括信息系统安全功能数据和用户数据。对于传输和处理过程中的数据,一般
有机密性和完整性的安全要求,而对于存储中的数据,还需要有备份恢复的安全要求。测评对象:应用系统网络设备、安全设备主机、数据库管理系
统2.5.3等级测评工作流程-现场测评单元测评-管理人员安全主管/主机、应用、网络等安全管理员机房管理员/文档管理员等文档管理文
档(策略、制度、规程)记录类(会议记录、运维记录)其它类(机房验收证明等)2.5.3等级测评工作流程-现场测评安全管理制度文档体
系2.5.3等级测评工作流程-现场测评现场测评记录表网络安全现场测评记录表管理安全现场测评记录表物理安全测评测评记录表应用
安全现场测评记录表主机安全测评测评记录表2.5.3等级测评工作流程-现场测评渗透工作漏洞扫描工作现场测评人员安排至少在5个以上
,渗透人员根据单位情况而定。2.5.3等级测评工作流程-现场测评网络安全现场记录表-签字页2.5.3等级测评工作流程-现场测评
网络安全现场记录表-现场记录页2.5.4等级测评工作流程-报告编制单项符合性判定整体测评安全问题分析形成测评结论提出整
改建议选择测评对象选择测评指标确定测评方法编制测评计划方案编制报告编制测评准备现场测评网络安全测评管理安全测评物
理安全测评应用安全测评主机安全测评基本情况调研结果数据分析测评工具准备2.5.4等级测评工作流程-报告编制单项符合
性判定整体测评安全问题分析形成测评结论提出整改建议2.5.4等级测评工作流程-报告编制单项符合性判定2.5.4等级测评
工作流程-报告编制整体测评安全控制点间层面间区域间2.5.4等级测评工作流程-报告编制安全控制点间同一层面内不同安全控制之间存在
的功能增强(补充)或削弱等关联作用。物理访问控制与防盗窃和防破坏身份鉴别与访问控制身份鉴别与安全审计2.5.4等级测评工作流程-
报告编制层面间主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。物理层面网络层面物理访问控制/网络设备防护物理
层面和应用层面物理访问控制/身份鉴别与访问控制2.5.4等级测评工作流程-报告编制区域间主要考虑互连互通的不同区域之间,重点分析
系统中访问控制路径(如不同功能区域间的数据流流向和控制方式),是否存在区域间安全功能的相互补充。2.5.4等级测评工作流程-报告
编制安全问题分析2.5.4等级测评工作流程-报告编制物理安全-常见问题二级:无防盗报警装置无自动灭火装置三级:无备用发电系统无关
键设备和磁介质的电磁屏蔽2.5.4等级测评工作流程-报告编制网络安全-常见问题二级:未部署入侵检测未进行区域划分或无区域之间AC
L使用Telnet、http方式远程管理未设置终端登录超时、登录失败限制等只创建了管理员用户,没有审计员等用户未启用网络设备审计2
.5.4等级测评工作流程-报告编制网络安全-常见问题三级:未部署网关型恶意代码防范装置网络设备管理未采用两种鉴别措施(双因子鉴别)未对网络设备日志数据集中管理和分析未对网络设备和线路运行状态监控2.5.4等级测评工作流程-报告编制主机安全-常见问题三级:未采用两种鉴别措施(双因子鉴别)未对服务器日志数据集中管理和分析未对服务器运行状态监控未对终端进行统一管理(接入\补丁\病毒等)2.5.4等级测评工作流程-报告编制应用安全-常见问题二级:未提供口令复杂度检查功能未提供登录失败处理功能未提供日志审计功能三级:未采用两种鉴别措施(双因子鉴别)未对敏感数据传输加密未提供审计日志输出接口2.5.4等级测评工作流程-报告编制测评结论没有问题:符合高风险问题、中风险问题数量过多:不符合没有高风险问题有少量中、低风险问题:基本符合2.5.4等级测评工作流程-报告编制整改建议 |
|
