1、信息安全测试检测目录1、概述 .21.1 信息安全风险评估的概念与依据 21.2 信息安全等级保护的定义 21.3 涉密系统测评的两种形式 32、信息安全测试检测的重要性 .41.1 信息安全风险评估的意义和作用。 41.2 信息安全等级保护测评的意义 41.3 涉密系统测评的意义 53、涉密信息系统测评要点分析 .53.1 应首先核实管理体系文件能否被执行 53.2 应从全局角度确认管理体系的完整性 53.3 采用风险分析的方法来确认具体 63.4 应掌握评价管理制度可操作性的关键要素 63.5 管理体系应能够自我改进 74. 信息安全等级保护测评中应关注的几项问题 85、信息安全风险评估策
2、划阶段关键问题 .95.1 确定风险评估范围 95.2 确定风险评估目标 95.3 建立适当的组织机构 105.4 建立系统性风险评估方法 105.5 获得最高管理者对风险评估策划的批准 115.6 总结 11信息安全测试检测是一个统称的概念。用来概括信息系统风险评估、等级保护测评和涉密系统测评三项信息安全方面的测试检测工作。信息系统风险评估、等级保护测评和涉密系统测评这三种实现信息安全的方法都是当前我国进行信息安全保障工作的重要内容和手段,信息安全测试检测概念的提出对于规范和明确信息安全日常工作具有重要作用。1、概述通常来讲,信息安全测试检测包含风险评估、等级保护测评以及涉密系统测评。以上
3、3 种检测都需要相应的检测资质,例如风险评估工作需要风险评估资质,等级保护测评需要等级保护资质,资质不能混用,全国目前同时具备以上 3 种检测资质的单位并不多,具了解,山东省软件评测中心同时具备风险评估、等级保护、涉密系统 3 种检测资质。1.1 信息安全风险评估的概念与依据风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。风险评估是风险管理的最根本依据,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一。企业在进行网络安全设备选
4、型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前,进行风险评估会帮助组织在一个安全的框架下进行组织活动。它通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。1.2 信息安全等级保护的定义信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般
5、指信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。1.2.1 信息安全等级保护工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,山东省软件评测中心作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安
6、全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。1.3 涉密系统测评的两种形式涉密信息系统测评主要有两种形式,即自我检测和检查评估。一般意义上的委托评估从保密管理的要求来看不适用于涉密信息系统。自我检测是涉密信息系统拥有者主要进行的日常的检查测评,是保障涉密信
7、息系统日常安全的重要手段。因此在国家保密局指导和相关保密标准的指引下,各部门各单位对所拥有的涉密信息系统进行自我检测应成为涉密系统测评的重要方式。检查评估是国家保密局授权的,经中央批准成立的专门评估机构实施。可以在已建涉密信息系统安全改进方案设计之前进行,作为设计方案的依据;可以在已建涉密信息系统审批运行之前进行,作为保密局审批的依据;也可以在已建涉密信息系统开通运行一段时间之后进行,作为控制新的安全风险的依据。2、信息安全测试检测的重要性信息安全测试检测作为保障信息安全的重要措施有着不可替代的作用。合理有效的测试检测可以发现信息系统中存在的问题,防患于未然。1.1 信息安全风险评估的意义和作
8、用。(1).风险评估是信息系统安全的基础性工作,它是观察过程的一个持续的工作。(2).风险评估是分级防护和突出重点的具体体现。前面讲了等级保护,他有一个重要的思想,等级保护的出发点就是要突出重点,要突出重点要害部位,分级负责,分层实施。(3).加强风险评估工作是当前信息安全工作的客观需要和紧迫需求。风险评估对信息系统生命周期的支持,生命周期有几个阶段,有规划和启动阶段,设计开发或采购阶段等等。信息系统在设计阶段的时候,现在大家很关注的还是在设计阶段,国家对这方面也做了很多的工作。 信息安全风险评估的目标和目的,信息系统安全风险评估的总体目标是认清信息安全环境、信息安全状况,有助于达成公式,明确
9、责任,采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性,这是一个非常非常重要的问题。我们检查性的评估,都是为了使信息安全评估策略贯彻得到始终如一的支持。1.2 信息安全等级保护测评的意义当前信息系统安全保护等级的划分共分为五级,分别为自主保护级、指导保护级、监督保护级、强制保护级以及专控保护级。实施信息安全等级保护意义重大,不仅有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设协调发展,而且为信息系统安全建设和管理提供了系统性、针对性、可行性的指导和服务,有效控制了信息安全建设成本。同时,信息安全等级保护对信息安全资源的配置进行了优化,重点保障了
10、关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。需要重点提到的是,信息安全等级保护明确了国家、法人和其他组织、公民的信息安全责任,进一步加强了信息安全管理。1.3 涉密系统测评的意义涉密系统测评有利于在保障涉密系统在运行过程中的持续性,对于日常系统运行风险有良好的防范作用,另外涉密系统测评可以保护涉密信息的安全性,降低信息安全风险。3、涉密信息系统测评要点分析在涉密信息系统测评实践中,因测评人员对国家保密标准理解的差异性,导致在评价时存在不一致、不规范的情况。针对这种情况,根据参与涉密信息系统测评工作要求,对如何评价涉密信息系统安全保密管理体系的有效性进行分析,提出测评时应注意把握
11、的测评要点。3.1 应首先核实管理体系文件能否被执行在涉密信息系统测评中,涉密信息系统建设使用单位一般均会依据国家保密标准制定有关管理体系文件,并确定相关责任部门和人员。但其所建立的管理体系能否被执行,不能仅仅简单依靠涉密信息系统建设使用单位人员的情况介绍,而应要求建设使用单位提供证明。 测评实践中一种情况是涉密信息系统建设使用单位能够提供成型的管理体系文件,但这些文件却并未经过正式发布确认,甚至还只是讨论稿。另一种况是有的单位虽然正式发布了安全保密管理体系文件,但发布的部门不具备相应权限,只能保证管理体系在本部门内被执行,无法保证管理体系在整个单位内被执行。此外,测评实践中发现,涉密信息系统
12、建设使用单位往往将管理文件汇编并标定为涉密文件,按涉密文件进行管理,其印制的份数有限,也难于借阅。这样做虽然有利于对单位安全保密管理体系文件的保护,但同时也导致管理人员难以在需要时及时获得有关管理文件。3.2 应从全局角度确认管理体系的完整性 对于已建立的管理体系,在核查其是否能够覆盖涉密信息系统安全保密管理的各个方面时,测评人员往往简单地从标准的各项具体条款入手,逐条查找相应的管理文件中是否设立了相应的规定。这种方式不仅操作繁琐,而且容易导致难以从全局的角度审视其管理体系的完整性。实际测评时应首先请涉密信息系统建设使用单位熟悉其安全保密管理体系的人员介绍管理体系文件的组成、相互关系、与保密标
13、准的比对情况,之后再通过审视管理体系各个文件中所描述的适用范围,从全局的宏观角度确认其管理体系是否存在缺失。3.3 采用风险分析的方法来确认具体管理要求的合规性安全保密管理的具体要求与保密标准条款的符合性是系统测评时必须重点核查的内容。由于各项管理要求往往是根据涉密信息系统建设使用单位的具体情况制定的,若仅仅简单地核查管理要求的文字内容同标准中有关条款文字的符合性,则易于失去系统测评风险分析的本质,将合规性检查变成了文字核查。实际测评中,测评人员不仅要熟悉标准中各项条款的要求,更要明白各项要求中隐含的风险分析的思想与实质,采用风险分析的方法去判断各项管理要求同标准有关条款的符合性。对于具体管理
14、要求的合规性判定,测评人员一方面要深入理解标准有关要求背后所涉及的风险;另一方面要学会采用风险分析的方法,在涉密信息系统建设使用单位管理人员的充分配合下进行综合分析,而不应拘泥于具体的文字表述。3.4 应掌握评价管理制度可操作性的关键要素安全保密管理制度的可操作性是保证整个管理体系正常、有效运转的基础。实际测评中,可以从以下几方面考查相关管理制度的可操作性。(1) 是否明确了管理责任的主体任何一项管理制度首先应明确所规定的管理事项针对的责任主体,即谁对此项规定的执行负责。(2)是否明确了管理的客体关于具体事务的管理规定中各条款一般均会涉及被管理的对象,即管理的客体。清晰、明确的管理客体,是该项
15、制度可操作性强的重要前提。(3)是否明确了操作的流程关于具体事务的管理规定中若仅仅是提出要求,而没有详细的操作流程,则实际操作中容易因操作人员的水平、安全保密意识等的差异导致操作结果不同,甚至出现严重的安全保密事故。(4)是否明确了管理事项发生的具体时间、周期或触发条件保密标准中明确了必须定期开展的多项管理事项,但在涉密信息系统建设使用单位制定管理制度时,却很少结合自身情况确定开展相关事项的周期、时间或触发条件,这往往导致有关规定流于形式,不仅难以监督,而且还容易导致实际操作中必要环节的缺失。(5)管理事项应可审计涉密信息系统由于安全保密管理失当导致出现安全保密事故,其结果往往存在影响大、责任
16、重、处理严的特点。为杜绝出现安全保密管理责任事故、明确相关管理责任,也为发生事故后能够及时追查原因、减小事故造成的损失、定位责任人员或环节,以及提出合理的处理意见,必须加强涉密信息系统安全保密管理中重要事项、重点环节的审计。3.5 管理体系应能够自我改进涉密信息系统的安全保密管理不是一成不变的,而是随着技术的发展、网络结构的变化、用户的增减、人员安全保密认识的不断深入等情况动态变化的。涉密信息系统的安全保密管理体系只有具备了随着来自内部或外部的变化,不断自我适应、自我完善的能力,才能实现保护国家秘密这一最终目标。国家保密标准中也指出要通过分析异常事件、定期自评估和检查评估等手段,发现安全保密管
17、理的薄弱环节并不断改进完善。因此,在测评实践中,要分析被测涉密信息系统的安全保密管理体系是否具备自我改进的能力,以防止在涉密信息系统开通运行一段时间后,出现安全保密管理体系与实际的管理需求不相适应的情况。 4. 信息安全等级保护测评中应关注的几项问题保障信息安全已成为当前信息化发展中迫切需要解决的重大问题,信息系统安全等级保护的落实和实施势在必行。信息系统安全等级保护的核心是对信息系统分等级和按标准进行建设、管理和监督。要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责、谁使用谁负责的要求,有效落实等级保护责任和措施。(1)科学定级,严格备案。信息系统的运营、使用单位必须
18、按照等级保护的管理规范和技术标准,确定其信息系统的安全保护等级。对重要信息系统,其运营、使用单位及其主管部门应通过专家委员会的安全评审。安全保护等级在二级以上的信息系统,以及跨地域的信息系统应按要求向管辖公安机关备案。(2)建设整改,落实措施。对已有的信息系统,其运营、使用单位要根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,落实安全技术措施,完成系统整改。对新建、改建、扩建的信息系统,应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。(3)自查自纠,落实要求。信息系统的运营、使用单位及其主管部门要按照等级保护的管理规范和
19、技术标准,对已经完成安全等级保护建设的信息系统,定期进行安全状况检测评估,及时消除安全隐患和漏洞,发现问题及时整改,不断加强信息安全等级保护能力。(4)监督检查,完善保护。公安机关要按照等级保护的管理规范和技术标准的要求,重点对三级及以上安全等级的信息系统进行监督检查。发现安全保护不符合管理规范和技术标准的,要通知相关部门限期整改,确保信息安全等级保护的完善实施。在实施过程中,信息系统的运营、使用单位要谨防测评风险。尤其是金融系统要加强风险管控,严防测评过程中突发事故和泄密事件的发生。各级金融企业、单位要按照中国人民银行发布的有关标准要求,严格选择符合资质的测评机构和测评人员,同时要加强等级测
20、评的资源管理和过程管理,做好测评设备和过程的隔离和封闭,确保测评过程在安全可控的前提下规范化实施。对等级测评中发现的问题,要及时采取防范措施加以防控或缓释,并进一步制定和落实相应的整改方案,使信息系统的安全等级保护得以有效落实。5、信息安全风险评估策划阶段关键问题随着各类组织的信息化程度的提高,组织业务运作的过程中生成大量的数据,组织的发展对信息的依赖程度也越来越大,这样信息安全管理成了组织风险管理的重要组成部分。如何保障信息安全是每个现代组织所面临的共同问题,信息安全风险评估逐渐被引入组织的管理体系当中。信息安全风险评估作为一个过程,应该特别注意其策划阶段的活动。 5.1 确定风险评估范围风
21、险评估作为一个过程,或者说一个项目,在最初应确定其范围。组织进行风险评估可能是由于自身商业要求及战略目标的要求,相关方的要求或其他原因,因此应根据上述原因确定风险评估范围。范围可能是组织全部的信息和信息系统,可能是单独的信息系统,可能是组织的关键业务流程,也可能是客户的知识产权。这样在体系建立过程中的风险评估就针对这样的范围进行,以满足相关方的要求。组织在确定范围的时候,不应该是随便指定一个范围,而是应该清醒的分析组织业务战略的要求,否则整个风险评估可能耗费大量的资源,却没有达到预期的效果。如果风险评估的范围过大,经常会导致对于收集到的信息进行分析分析时感到困难,设定一个对于组织来说“易于管理
22、”的范围对于风险评估的项目安排及活动的实施都会降低其难度。5.2 确定风险评估目标组织应明确风险评估的目标,为风险评估的过程提供导向。组织内的信息、系统、应用软件和网络是组织重要的资产。资产的保密性,完整性和可用性对于维持竞争优势和组织形象是必要的。组织要面对来自四面八方日益增长的安全威胁。一个组织的系统、应用软件和网络可能是严重威胁的目标。同时,由于组织的信息化程度不断提高,对基于信息系统和服务技术的依赖日益增加,一个组织则可能出现更多的脆弱性。组织的风险评估的目标基本上来源于组织业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。5.3 建立适当的组织机构组织在进行风险评估时,
23、完全将其委托给外部的信息安全专家是不合适的,针对上面所定义的风险评估范围及目标,组织应建立适当的组织结构,以支持整个过程的推进,如成立由管理层、相关业务骨干、IT 技术人员等组成的风险评估小组。组织机构的建立应考虑其结构和复杂程度。完备的组织机构能够确保风险评估过程中的职责得到明确的定义,能够从管理和技术两方面认识组织的安全状态,能够保证风险评估过程中的沟通与决策。5.4 建立系统性风险评估方法我国目前也在积极应对各类组织日趋增长的风险评估、风险管理的需求,起草适应我国国情的风险评估、风险管理指南,立足于我国信息化建设现状,对我国当前信息安全风险评估实践工作的总结、归纳、简化与提升。笔者在这里
24、不想谈论各种标准指南的具体方法和过程。只希望对于组织在面对如此众多的标准及指南的时候如何选择的问题,提几点建议。风险评估的基本理论涉及到的要素及相互关系在各个标准及指南中的体现基本相同,但在各个标准及指南中都存在着一定的特殊性要求及过程。组织在风险评估策划阶段能够考虑范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定评估的方法,使之能够与组织的环境和安全要求相适应,对整个评估过程的成败具有决定性作用。在选择了参考的标准或指南之后,基本上确定了评估的方法论及评估流程,但是一些具体的准则的制定还是因组织的不同而不同的。因此选择适当的标准或指南制定明确的评估流程,策划适应组织的
25、评估方法及科学的评估参考准则,是组织应该多花一点时间的,必要时我中心建议可以在小范围内试点,以检验策划的评估流程。组织在选择自评估的指南时,在某些关键阶段引入外部专家的培训可能也是在策划时应该考虑的问题,毕竟风险评估还是一个专业性较强的过程。评估过程中还可能选择一些辅助的工具,这里所说的工具是指风险评估过程软件,不包括类似于漏洞扫描之类的工具。虽然目前的各种工具并不是太成熟,但工具的成本投入一般较高,在选择的时候应该与策划的评估方法相适应,可以通过试用版检验一下其适用性。5.5 获得最高管理者对风险评估策划的批准风险评估成败的关键性因素之一就是领导作用的体现。领导者的关注、资金的支持、资源的提
26、供是风险评估项目过程中,组织的领导层应该充当的角色。风险评估的策划应充分考虑组织的商业需求及战略目标、企业文化、业务流程、安全要求、规模和结构、员工素质等因素,因此作为组织的最高管理者应该从全局的角度对风险评估的策划结果进行评审。评估的范围和目的是否明确,是否合理;风险评估的流程及方法是否能够与企业文化及员工素质相适应;所提出的安全要求及所覆盖的业务流程是否符合组织的战略目标的要求,这些都应该得到最高管理者及管理层的认同。并且应该将批准的结果向评估范围所覆盖的部门及人员进行沟通,充分体现全员参与的原则也是保证风险评估过程及评估结果不出现较大偏差的保证。5.6 总结风险评估作为一个系统的过程,完善的策划过程十分重要,本文仅仅对一些重要的因素做了粗浅的讨论,希望能够对组织进行风险评估时的具体实施提供一点参考。相信通过大家的共同努力,我们必将建立适应我国国情、科学、系统的风险评估指南,使风险评估能够利用更科学的方法,不断提高水平,从而促进我国信息安全保障体系的建立,并进而推动我国信息化的建设历程。
