等级保护测评介绍于海翔主要内容等级保护测评简介等级保护测评内容等级保护测评流程等级保护测评方式、技术和工具等级保护测评原则等级保护测评简介等级保护测评原则等级保护测评简介等级保护测评目的对信息系统安全防护体系能力的分析与确认,发现存在的安全隐患,帮助运营使用单位认识不足,及时改进,有效提升其信息安全防护水平;等级保护测评的主要目的是:遵循国家等级保护有关规定的要求,对信息系统安全建设进行符合性测评;等级保护测评原则等级保护测评简介等级保护测评依据1.信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评;2.第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评;3.信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查;4.经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改《信息安全等级保护管理办法》(公通字[2007]43号)等级保护测评依据GB17859-1999计算机信息系统安全保护等级划分准则GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T20008-2005信息安全技术操作系统安全测评准则GB/T20009-2005信息安全技术数据库管理系统安全测评准则GB/T20010-2005信息安全技术包过滤防火墙测评准则GB/T20011-2005信息安全技术路由器安全测评准则相关标准测评主要标准参考技术标准GB/TXXXX-XXXX信息安全技术信息系统安全等级保护测评要求(报批稿)GB/T24856-2009信息安全技术信息系统等级保护安全设计技术要求等级保护测评原则等级保护测评简介等级保护测评原则标准性原则测评工作的开展、方案的设计和具体实施均需依据我国等级保护的相关标准进行。等级保护测评原则标准性原则规范性原则为用户提供规范的服务,工作中的过程和文档需具有良好的规范性,可以便于项目的跟踪和控制。等级保护测评原则标准性原则可控性原则规范性原则为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制测评过程和所使用的工具具备可控性,测评项目所采用的工具都经过多次测评项目考验,或者是根据具体要求和组织的具体网络特点定制的,具有良好的可控性。等级保护测评原则标准性原则可控性原则整体性原则规范性原则为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制测评服务从组织的实际需求出发,从业务角度进行测评,而不是局限于网络、主机等单个的安全层面,涉及到安全管理和业务运营,保障整体性和全面性。等级保护测评原则标准性原则可控性原则整体性原则最小影响原则规范性原则为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制测评工作具备充分的计划性,不对现有的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行。等级保护测评原则标准性原则可控性原则整体性原则最小影响原则规范性原则保密性原则从公司、人员、过程三个方面进行保密控制:1.测评公司与甲方双方签署保密协议,不得利用测评中的任何数据进行其他有损甲方利益的活动;2.人员保密,公司内部签订保密协议;3.在测评过程中对测评数据严格保密。等级保护测评原则标准性原则可控性原则整体性原则最小影响原则规范性原则保密性原则根据被测信息系统的实际业务需求、功能需求、以及对应的安全建设情况,开展针对性较强的测评工作。个性化原则主要内容等级保护测评简介等级保护测评内容等级保护测评流程等级保护测评方式、技术和工具等级保护相关政策介绍等级保护测评内容18测评内容测评内容覆盖组织的重要信息资产技术层面:测评和分析在网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、数据库、应用系统等软硬件设备管理层面:从组织的人员、组织结构、管理制度、系统运行保障措施,以及其它运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷通过对以上各种安全威胁的分析和汇总,形成组织的安全测评报告根据组织的安全测评报告和安全现状,提出相应的安全整改建议,指导下一步的信息安全建设主要内容等级保护测评简介等级保护测评内容等级保护测评流程等级保护测评方式、技术和工具等级保护相关政策介绍等级保护测评流程20进行培训交流前期沟通制定计划与培训确定项目范围和目标提出工作限制要求项目进度安排确定项目协调会制度等级保护测评流程21基本信息调查前期沟通制定计划与培训前期客户沟通交流小组讨论文档查看现场勘查收集资料基本信息业务应用网络结构系统构成等级保护测评流程22确定测评范围前期沟通制定计划与培训获得被测评系统的信息确定具体测评对象确定测评工作的方法制定测评工作计划收集资料测评规划形成测评指标制定测评方案等级保护测评流程23前期沟通制定计划与培训收集资料测评规划测评实施等级测评实施物理安全网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理访谈检查测试等级保护测评流程24判断安全管理与测评指标的符合度前期沟通制定计划与培训收集资料测评规划测评实施等级测评实施分析系统差距判断安全技术与测评指标的符合度等级保护测评流程25前期沟通制定计划与培训收集资料测评规划测评实施等级测评实施分析系统差距形成报告编制安全测评报告等级保护测评流程---各阶段提交物26前期沟通制定计划与培训收集资料测评规划测评实施形成报告系统名称主管机构系统承载业务情况业务类型1生产作业2指挥调度3管理控制4内部办公5公众服务9其他业务描述系统服务情况服务范围10全国11跨省(区、市)跨个20全省(区、市)21跨地(市、区)跨个30地(市、区)内99其它服务对象1单位内部人员2社会公众人员3两者均包括9其他系统网络平台覆盖范围1局域网2城域网3广域网9其他网络性质1业务专网2互联网9其它系统互联情况1与其他行业系统连接2与本行业其他单位系统连接3与本单位其他系统连接9其它业务信息安全保护等级系统服务安全保护等级信息系统安全保护等级[1]本报告模板针对作为单一定级对象的信息系统制定。等级保护测评流程---各阶段提交物27前期沟通制定计划与培训收集资料测评规划测评实施形成报告[1]本报告模板针对作为单一定级对象的信息系统制定。序号软件名称主要功能重要程度…………序号数据类型所属业务应用主机/存储设备重要程度…………序号设备名称操作系统/数据库管理系统业务应用软件………等级保护测评流程---各阶段提交物28前期沟通制定计划与培训收集资料测评规划测评实施形成报告序号设备名称用途重要程度…………序号姓名岗位/角色联系方式…………序号文档名称主要内容………序号威胁分(子)类描述威胁赋值………等级保护测评流程---各阶段提交物29前期沟通制定计划与培训收集资料测评规划测评实施形成报告1、项目概述2、工作依据3、工作内容4、任务分工5、时间计划6、项目评审测评工作计划1、项目概述2、测评对象3、测评指标4、测评方式和工具5、层面测评实施6、系统测评实施测评方案等级保护测评流程---各阶段提交物30前期沟通测评实施形成报告类别测评内容结果记录符合情况网络访问控制a)应在网络边界部署访问控制设备,启用访问控制功能;b)……c)……d)……e)……f)……g)……h)………………………………等级测评实施分析系统差距等级保护测评流程---各阶段提交物31前期沟通测评实施形成报告序号名称测评指标子类网络结构安全网络访问控制网络安全审计边界完整性检查网络入侵防范恶意代码防范网络设备防护1IOS_路由器_内部_1部分符合4/7符合0/4符合0/6符合0/2不符合2/2不符合2/2部分符合6/92IOS_路由器_VPN_1………………………等级测评实施分析系统差距等级保护测评流程---各阶段提交物32前期沟通测评实施形成报告编制安全测评报告序号分类子类符合情况符合部分符合不符合1物理安全物理位置的选择2物理访问控制3防盗窃和防破坏4防雷击5防火6防水和防潮7防静电8温湿度控制9电力供应10电磁防护11网络安全结构安全12访问控制13安全审计14边界完整性检查15入侵防范16恶意代码防范17网络设备防护18主机安全身份鉴别19安全标记20访问控制21可信路径22安全审计23剩余信息保护24入侵防范25恶意代码防范26资源控制27应用安全身份鉴别28安全标记29访问控制30可信路径31安全审计32剩余信息保护33通信完整性34通信保密性35抗抵赖36软件容错37资源控制38数据安全及备份恢复数据完整性39数据保密性40备份和恢复41安全管理制度管理制度42制定和发布43评审和修订44安全管理机构岗位设置45人员配备46授权和审批47沟通和合作48审核和检查49人员安全管理人员录用50人员离岗51人员考核52安全意识教育和培训53外部人员访问管理54系统建设管理系统定级55安全方案设计56产品采购和使用57自行软件开发58外包软件开发59工程实施60测试验收61系统交付62系统备案63等级测评64安全服务商选择65系统运维管理环境管理66资产管理67介质管理68设备管理69监控管理和安全管理中心70网络安全管理71系统安全管理72恶意代码防范管理73密码管理74变更管理75备份与恢复管理76安全事件处置77应急预案管理等级保护测评流程---各阶段提交物33前期沟通测评实施形成报告编制安全测评报告序号分类子类符合情况符合部分符合不符合1物理安全物理位置的选择2物理访问控制3防盗窃和防破坏4防雷击5防火6防水和防潮7防静电8温湿度控制9电力