信息系统安全等级保护要求、资质、工具和收费武汉安域信息安全技术有限公司余少波博士地址:湖北武汉东湖开发区武大园路6号电话:13281151232电邮:caminopro@163.comsuansin@163.com要求1资质2内容工具3收费4等级测评管理工具5suansin@163.com1、测评机构要求-基本条件(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)产权关系明晰,注册资金100万元以上;(四)从事信息系统检测评估相关工作两年以上;(五)单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(六)具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于80%。其中测评技术人员不少于10人;(七)具备必要的办公环境、设备、设施及完备的安全管理制度;(八)对国家安全、社会秩序、公共利益不构成威胁;(九)应当具备的其他条件。suansin@163.com1、测评机构要求-申请材料(一)《信息安全等级保护测评机构申请书》;(二)当地公安网安部门的推荐意见;(三)营业执照及其他注册证明文件;(四)《内设组织机构与岗位设置情况表》;(五)《工作人员基本情况表》、证明材料和声明;(六)《办公场地、设备与设施情况表》;(七)《安全测评设备、工具配备情况表》;(八)信息系统安全测评能力报告;(九)保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件;(十)需要提供的其他材料。suansin@163.com1、测评机构要求-业务范围地方测评机构在本地开展测评业务,行业测评机构在行业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地等级保护协调(领导)小组办公室协调;承担有关部门委托的安全测评专项任务;配合当地公安网安部门对信息系统进行监督、检查;开展风险评估、信息安全培训、咨询服务和信息安全工程监理;为当地信息安全等级保护工作提供技术支持和服务;其他有关文件规定的职责任务。suansin@163.com1、测评机构要求-禁止开展的活动承担信息系统安全建设整改工作;将等级测评任务分包、外包;信息安全产品开发、营销和信息系统集成活动;限定被测评单位购买、使用其指定的信息安全产品;未经许可占有、使用有关测评信息、资料及数据文件;其他可能影响测评客观、公正的活动。suansin@163.com1、测评机构要求-设施与设备1、等级测评机构应具备必要的办公环境、设备、设施和管理系统。2、等级测评机构应具备满足等级测评工作需要的工具,如漏洞扫描器、协议分析仪、性能测试仪和渗透测试工具等。3、等级测评机构应具备符合相关要求的机房以及必要的软、硬件设备,用于满足信息系统仿真、技术培训和模拟测试的需要。suansin@163.com要求1资质2内容工具3收费4等级测评管理工具5suansin@163.com2、测评机构资质(1)注册资金最好在1000万元,营业执照。(2)测评机构能力评估报告。(3)测评机构能力评估合格证书。(4)测评机构推荐证书。(5)测评机构ISO9000质量管理体系证书。(6)测评机构计量认证证书。(7)测评机构税务登记证。(8)测评机构组织机构代码证。suansin@163.com2、测评机构资质-注册资金,营业执照suansin@163.com2、测评机构资质-测评机构能力评估报告suansin@163.com2、测评机构资质-测评机构能力评估合格证书suansin@163.com2、测评机构资质-测评机构推荐证书suansin@163.com2、测评机构资质-测评机构推荐证书suansin@163.com2、测评机构资质-测评人员认证证书suansin@163.com2、测评机构资质-测评机构ISO9000证书suansin@163.com2、测评机构资质-测评机构计量认证证书suansin@163.com2、测评机构资质-测评机构税务登记证suansin@163.com2、测评机构资质-测评机构组织机构代码证suansin@163.com要求1资质2内容工具3收费4等级测评管理工具5suansin@163.com3、测评工具等级测评最主要的手段是访谈,因此主观因素的干扰不可避免。自动化、规范化的等级测评工具必不可少。优秀的测评工具应能够清晰的梳理测评流程;合理分配测评项目到各个专业技术团队;通过丰富的测评知识库有效降低等级测评难度,提高等级测评效率;测评案例的模板化(如:门户网站、数据库等);对测评结果自动进行分析,提取出不符合项,进行风险分析;安全趋势分析(对历年的自查与等级测评结果进行关联分析)。等级测评活动是确保信息安全等级保护工作的关键环节,通过测评能够了解系统的安全现状与等级保护要求之间的差距,明确安全整改的目标与方向。工具测试作为一种高灵活性的辅助测试手段,在测评活动中发挥着重要作用。suansin@163.com3、测评工具-分类根据在等级测评过程中任务的不同,等级测评工具可以分成如下三大类:1)等级测评安全测试工具:主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的弱点进行分析,或实施基于弱点的攻击。此类工具又可进一步细分为脆弱性扫描工具、渗透测试工具和静态分析工具;2)等级测评辅助工具:主要实现对数据的采集、现状分析和趋势分析等单项功能;3)等级测评管理工具:主要用于规范等级测评的过程和操作方法;或者是用于收集测评所需要的数据和资料,并根据测评知识库和推理专家知识库辅助测评人员进行测评结果判断。suansin@163.com3、测评工具-安全测试工具包括脆弱性扫描工具、渗透性测试工具和静态分析工具。脆弱性扫描工具又称为安全扫描器或漏洞扫描仪,是目前应用比较广泛的测评工具之一,主要用于识别网络、操作系统、数据库系统的脆弱性。通常情况下,这些工具能够发现软件和硬件中已知的弱点,以决定系统是否易受已知攻击的影响。目前常见的脆弱性扫描工具有以下几种类型:1)基于网络的扫描器:在网络中运行,能够检测如防火墙的错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞;2)基于主机的扫描器:发现主机的操作系统、特殊服务和配置的细节,发现潜在的用户行为风险,如密码强度不够,也可实施对文件系统的检查;3)分布式网络扫描器:由远程扫描代理、对这些代理的即插即用更新机制、中心管理点三部分构成,用于分布式网络的脆弱性扫描;4)数据库脆弱性扫描器:对数据库的授权、认证和完整性进行详细的分析,也可以识别数据库系统中潜在的弱点。当前比较流行的扫描工具有:天镜脆弱性扫描与管理系统、绿盟极光远程安全评估系统、明鉴数据库/WEB应用弱点扫描器、ISSInternetScanner、Appscan、Nessus等。脆弱性扫描工具主要的缺陷包括:需要人工干预(扫描工具容易产生漏洞及误报);只能发现已知弱点(受漏洞库制约)。suansin@163.com3、测评工具-安全测试工具渗透性测试工具是根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的可能性,从而进一步判断已知的脆弱性是否真正会给系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用,并可能会对被测评系统的运行(尤其是稳定性)带来一定影响。目前比较常用的渗透性测试工具有:Metasploit、Canvas、Threatex、CoreImpact、Webravor等。静态分析是渗透测试的必要补充。静态分析工具在不执行程序的状态下,通过对被测软件进行建模,发现满足所有可能执行状态的软件属性,再藉由一组规则集分析并检测软件中存在的安全漏洞。在等级测评常用的静态分析工具是软件代码安全分析系统,它可以对软件源代码进行安全扫描和审计分析的信息汇总。此类工具有Fortify、Coverity等。suansin@163.com3、测评工具-测评辅助工具等级测评的过程中,可以利用一些辅助性的工具和方法来采集数据,帮助完成现状分析和趋势分析,如:1)性能测试工具:主要功能包括网络流量测试、数据拦截、IP查询、流量分析、预测系统行为和性能的负载测试等。常见的此类工具有Smartbits、Avalanche、loadrunner;2)协议分析工具:主要用于IP网络流量分析、故障排除和长时间监测、对通讯协议进行解码和显示、对不同技术的数据流量和状态进行全面的物理层测试,并以图形化的方式显示结果。协议分析工具一般提供多种实用的分析功能对常用的协议进行流量分析,例如IP地址对、源地址、目的地址、IP上层协议分布、TCP/UDP端口号等,可长时间在线实时统计,并提供饼、表、线等多种形式的报表。此外,协议分析工具还可以对网络流量进行协议划分,如:Web浏览(HTTP)、电子邮件(POP3、SMTP、WEBMAIL)、文件下载(FTP)、即时聊天(MSN、QQ等)、流媒体(MMS、RTSP)等。针对不同的网络应用协议进行流量监控和分析,如果某一个协议在一个时间段内出现超常占用可用带宽的情况,就有可能是攻击流量或蠕虫病毒出现。常用的协议分析工具包括:Radcom、SnifferPro、Wireshark等;3)网络拓扑生成工具:通过接入点接入被测评网络,完成被测评网络中的资产发现和统计功能,并提供网络资产的相关信息,包括网络硬件设备的识别、操作系统版本、型号等。此类工具有:HPOpenview等。suansin@163.com3、测评工具-必须配置测试工具(一)漏洞扫描探测工具。1.网络安全漏洞扫描系统。2.数据库安全扫描系统。(二)等级保护测评管理工具(三)木马检查工具。1.专用木马检查工具。2.进程查看与分析工具。suansin@163.com3、测评工具-选用配置测试工具(一)漏洞扫描探测工具。应用安全漏洞扫描工具。(二)软件代码安全分析类。软件代码安全分析工具。(三)安全攻击仿真工具(四)网络协议分析工具(五)系统性能压力测试工具1.网络性能压力测试工具2.应用软件性能压力测试工具(六)网络拓扑生成工具(七)物理安全测试工具1.接地电阻测试仪2.电磁屏蔽性能测试仪(八)渗透测试工具集(九)安全配置检查工具集suansin@163.com3、测评工具-综合工具漏洞扫描器:极光、Nessus、SSS等安全基线检测工具(配置审计等):见移动的人用过,能够检查信息系统中的主机操作系统、数据库、网络设备等,看是不是配置规范安全要求渗透测试相关工具:踩点、扫描、入侵涉及到的工具等。主机:sysinspector、Metasploit、木马查杀工具、操作系统信息采集与分析工具(Win,Unix)、日志分析工具、数据取证工具(涉密)网络:Nipper(网络设备配置分析)、SolarWinds、Omnipeek、laptop(无线检测工具)数据:一些密码破解软件吧,Cain里面有一些破解工具。应用:AppScan、Webinspect、FotifySCA、injectiontools、Sql挂马检测工具、webravor等suansin@163.com要求1资质2内容工具3收费4等级测评管理工具5suansin@163.com4、测评收费(1)参考北京市物价局《关于信息安全测评认证收费标准(试行)的函》(京价(收)字〔2003〕280号)(2)适当考虑物价上升因素和地域物价差距水平。适用范围:信息系统等级保护验收阶段的测评。计算公式(1)安全测评费的取费一般按信息化项目总投资的1.5%~2%估算。(2)按照功能控制点计算收费。suansin@163.com4、测评收费信息系统每个安全功能组件800元收费,适当考虑系统规模和复杂程度。计算公式:Ptest=QXCX800.00其中,Ptest指所有安全测评支出的总费用;Q指安全功能组件数量;C指系统规模和复杂程度。以一个二级信息系统为例,网络规模为小规模程度(信息化投资在500万左右),功能控制点为66个,网络规模复杂程度取为2。安全测评费用计算如下:Ptest=66X2X800.00=