信息安全等级保护过程指南培训.pdf-道客多多

资源描述

1、信息安全等级保护过程培训 2013年 9月广东省南方信息安全等级保护服务中心广州竞远系统网络技术有限公司信息安全等级保护测评机构专业诚信公正信息安全顾问专家版本所有：广州竞远系统网络技术有限公司技术总监胡欣目标定位测评过程指南作为一个对信息系统实施等级测评的指南性文件，其目标是介绉和描述实施信息系统等级测评过程中应该涉及的活动和从事的工作仸务，通过活动和仸务的介绉，使读者了解和知晓对信息系统实施等级测评的过程和内容，不同的角色在不同活动的作用，不同活动的参与角色、活动内容、输出文档等等。版本所有：广州竞远系统网络技术有限公司技术总监胡欣等级测评项目管理活动

2、版本所有：广州竞远系统网络技术有限公司技术总监胡欣测评项目组组建项目计划书编制信息系统调研工具和表单准备测评对象确定测评指标确定测评工具接入点确定测评内容确定测评实施手册开发物理安全人员访谈文档审查实地察看方式物理基础设施对象网络安全人员访谈配置检查工具测试方式互联设备安全设备网络拓扑对象主机安全人员访谈配置检查工具测试方式操作系统数据库系统对象应用安全人员访谈配置检查工具测试方式应用系统对象数据安全人员访谈配置检查方式管理数据业务数据对象安全管理

3、制度人员访谈文档审查实地察看方式安全管理机构人员访谈文档审查方式人员安全管理人员访谈文档审查方式系统建设管理人员访谈文档审查方式系统运维管理人员访谈文档审查方式单项测评结果分析单元测评结果判定整体测评风险分析等级测评结论形成测评准备阶段方案编制阶段现场测评阶段分析与报告编制阶段测评报告编制测评流程版本所有：广州竞远系统网络技术有限公司技术总监胡欣等级测评的主要活动测评准备活动（ 3个任务）方案编制活动（ 6个任务）现场测评活动（ 3个任务）报告编制活动（ 6个任务）活动包含的任务

4、活动的目标过程文档结构及内容可能遇到的问题版本所有：广州竞远系统网络技术有限公司技术总监胡欣测评准备活动测评准备活动的目标是顺利启动测评项目，准备测评所需的相关资料，为顺利编制测评方案打下良好的基础。测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。版本所有：广州竞远系统网络技术有限公司技术总监胡欣测评准备活动版本所有：广州竞远系统网络技术有限公司技术总监胡欣测评准备活动的目标测评机构组建等级测评项目组，获取测评委托单位及被测系统的基本情况，从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。输入：委托测

5、评协议书。版本所有：广州竞远系统网络技术有限公司技术总监胡欣项目启动任务描述： a) 根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组，从人员方面做好准备，并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。 b) 测评机构要求测评委托单位提供基本资料，包括：被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有），测评委托单位的信息化建设状况与发展以及联络方式等。输出 /产品：项目计划书。版本所有：广州竞远系统网络技术有限公司技术总监胡欣项目

6、计划书项目概述项目背景、项目目的、工作依据技术思路和工作内容技术思路、工作内容、工作产品项目实施方案项目实施过程划分、项目准备过程项目组织方案项目组织结构、人员构成和职责、项目实施计划项目质量管理和控制过程质量控制管理、变更控制管理、项目风险管理、保密控制管理版本所有：广州竞远系统网络技术有限公司技术总监胡欣信息收集和分析目标测评机构通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，为编写测评方案和开展现场测评工作奠定基础。输入：调查表格，被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求

7、分析报告，安全总体方案，自查或上次等级测评报告（如果有）。版本所有：广州竞远系统网络技术有限公司技术总监胡欣信息收集和分析任务描述： a) 测评机构收集等级测评需要的各种资料，包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。 b) 测评机构将调查表格提交给测评委托单位，督促被测系统相关人员准确填写调查表格。 c) 测评机构收回填写完成的调查表格，并分析调查结果，了解和熟悉被测系统的实际情况。分析的内容包

8、括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。 d) 如果调查表格填写不准确或不完善或存在相互矛盾的地方较多，测评机构应安排现场调查，与被测系统相关人员进行面对面的沟通和了解。输出 /产品：填好的调查表格。版本所有：广州竞远系统网络技术有限公司技术总监胡欣信息收集与分析 -调查表调查内容全面调查项目顺序合理保留项目间的逻辑关联版本所有：广

9、州竞远系统网络技术有限公司技术总监胡欣信息收集与分析 -调查表调查内容全面物理环境信息收集机房数量、物理位置、办公环境网络信息收集网络拓扑图、网络结构、系统外联、网络设备、安全设备主机信息收集服务器、工作站、终端业务终端、管理终端、设备控制台应用信息收集应用系统、业务数据管理信息收集机构设置、人员职责分配、管理文档调查项目顺序合理保留项目间的逻辑关联版本所有：广州竞远系统网络技术有限公司技术总监胡欣信息收集与分析 -调查结果分析整体网络结构和系统组成分析定级对象边界和系统构成组件分析定级对象的相互关联分析版本所有：广州竞远系统网络技术有限公司

10、技术总监胡欣信息收集与分析 -调查结果分析整体网络结构和系统组成分析应对信息系统的范围、构成和应用等总体情况进行分析，包括网络结构、对外边界、定级对象的数量和级别、不同安全保护等级定级对象的分布情况和承载应用情况等定级对象边界和系统构成组件分析定级对象的相互关联分析版本所有：广州竞远系统网络技术有限公司技术总监胡欣工具和表单准备测评项目组成员在进行现场测评之前，应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。输入：各种与被测系统相关的技术资料。任务描述： a) 测评人员调试本次测评过程中将用到的测评工具，包括漏洞扫描工具、渗透性测试工具

11、、性能测试工具和协议分析工具等。 b) 测评人员模拟被测系统搭建测评环境。 c) 准备和打印表单，主要包括：现场测评授权书、文档交接单、会议记录表单、会议签到表单等。输出 /产品：选用的测评工具清单，打印的各类表单。版本所有：广州竞远系统网络技术有限公司技术总监胡欣工具和表单准备测评工具清单打印的各类表单版本所有：广州竞远系统网络技术有限公司技术总监胡欣测评准备活动中双方的职责测评机构职责： a) 组建等级测评项目组。 b) 指出测评委托单位应提供的基本资料。 c) 准备被测系统基本情况调查表格，并提交给测评委托单位。 d) 向测评委托单位介绍安全测评工作流程和方法。

12、 e) 向测评委托单位说明测评工作可能带来的风险和规避方法。 f) 了解测评委托单位的信息化建设状况与发展，以及被测系统的基本情况。 g) 初步分析系统的安全情况。 h) 准备测评工具和文档。版本所有：广州竞远系统网络技术有限公司技术总监胡欣测评准备活动中双方的职责测评委托单位职责： a) 向测评机构介绍本单位的信息化建设状况与发展情况。 b) 准备测评机构需要的资料。 c) 为测评人员的信息收集提供支持和协调。 d) 准确填写调查表格。 e) 根据被测系统的具体情况，如业务运行高峰期、网络布置情况等，为测评时间安排提供适宜的建议。 f) 制定应急预案。版本所有：广州竞远系统网络技

13、术有限公司技术总监胡欣方案编制活动方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料，为现场测评活动提供最基本的文档和指导方案。方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书测评指导书开发及测评方案编制六项主要任务。版本所有：广州竞远系统网络技术有限公司技术总监胡欣方案编制活动版本所有：广州竞远系统网络技术有限公司技术总监胡欣测评对象确定根据已经了解到的被测系统信息，分析整个被测系统及其涉及的业务应用系统，确定出本次测评的测评对象。输入：填好的调查表格。任务描述： a) 识别并描述被测系统的整体结构 b) 识

14、别并描述被测系统的边界 c) 识别并描述被测系统的网络区域 d) 识别并描述被测系统的重要节点 e) 描述被测系统 f) 确定测评对象 g) 描述测评对象输出 /产品：测评方案的测评对象部分。版本所有：广州竞远系统网络技术有限公司技术总监胡欣测评指标确定根据已经了解到的被测系统定级结果，确定出本次测评的测评指标。输入：填好的调查表格， GB/T 22239-2008。任务描述： a) 根据被测系统调查表格，得出被测系统的定级结果，包括业务信息安全保护等级和系统服务安全保护等级，从而得出被测系统应采取的安全保护措施 ASG组合情况。 b) 从 GB/T 22239-2008中选择

15、相应等级的安全要求作为测评指标，包括对 ASG三类安全要求的选择。举例来说，假设某信息系统的定级结果为：安全保护等级为 3级，业务信息安全保护等级为 2级，系统服务安全保护等级为 3级；则该系统的测评指标将包括 GB/T 22239-2008“ 技术要求”中的 3级通用安全保护类要求（ G3）， 2级业务信息安全类要求（ S2）， 3级系统服务保证类要求（ A3），以及第 3级“管理要求”中的所有要求。 c) 对于由多个不同等级的信息系统组成的被测系统，应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系，而且测评指标不能分开，则不能分开的这些测评指标应采用就高原则。 d)

16、分别针对每个定级对象加以描述，包括系统的定级结果、指标选择两部分。其中，指标选择可以列表的形式给出。版本所有：广州竞远系统网络技术有限公司技术总监胡欣测试工具接入点确定在等级测评中，对二级和二级以上的信息系统应进行工具测试，工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。输入：填好的调查表格。任务描述： a) 确定需要进行工具测试的测评对象。 b) 选择测试路径。 c) 根据测试路径，确定测试工具的接入点。 d) 结合网络拓扑图，采用图示的方式描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。输出 /产品：测评方案的测评内容中关于测评工具接入点部

17、分。版本所有：广州竞远系统网络技术有限公司技术总监胡欣接入点选择 2 1 3 版本所有：广州竞远系统网络技术有限公司技术总监胡欣测评内容确定本部分确定现场测评的具体实施内容，即单元测评内容。输入：填好的调查表格，测评方案的测评对象、测评指标及测评工具接入点部分。任务描述： a) 确定单元测评内容具体做法就是把各层面上的测评指标结合到具体测评对象上，并说明具体的测评方法，如此构成一个个可以具体实施测评的单元。参照 GB/T DDDD-DDDD，结合已选定的测评指标和测评对象，概要说明现场单元测评实施的工作内容；涉及到工具测试部分，应根据确定的测试工具接入点，编制相应的测试

18、内容。在测评方案中，现场单元测评实施内容通常以表格的形式给出，表格包括测评指标、测评内容描述等内容。现场测评实施内容是项目组每个成员开发测评指导书测评指导书的基础。版本所有：广州竞远系统网络技术有限公司技术总监胡欣测评内容确定物理安全机房、办公环境、机房相关文档等网络安全交换机、防火墙、路由器、 IDS等主机安全操作系统、数据库系统等应用安全应用软件、应用平台等管理安全文档（制度、规程、记彔）、人员等版本所有：广州竞远系统网络技术有限公司技术总监胡欣测评指导书开发测评指导书是具体指导测评人员如何进行测评活动的文件，是现场测评的工具、方法和操作步骤等的详细

19、描述，是保证测评活动可以重现的根本。因此，测评指导书应当尽可能详尽、充分。输入：测评方案的测试工具接入点、单元测评实施部分。任务描述： a) 描述单个测评对象，包括测评对象的名称、 IP地址、用途、管理人员等信息。 b) 根据 GB/T DDDD-DDDD的单元测评实施确定测评活动，包括测评项、测评方法、操作步骤和预期结果等四部分。 c) 单元测评一般以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等内容。整体测评则一般以文字描述的方式表述，可以以测评用例的方式进行组织。输出 /产品：测评指导书，测评结果记录表格。版本所有：广州竞远系统网络技术有限公司技术总监胡欣测评方案

20、编制测评方案是等级测评工作实施的基础，指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下内容：项目概述、测评对象、测评指标、测评工具的接入点以及单元测评实施等。输入：委托测评协议书，填好的调研表格， GB/T 22239-2008中相应等级的基本要求，测评方案的测评对象、测评指标、测试工具接入点、测评内容部分。任务描述： a) 根据委托测评协议书和填好的调研表格，提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等。 b) 根据等级保护过程中的等级测评实施要求，将测评活动所依据的标准罗列出来。 c) 依据委托测评协议书和被测系统情况，估算现场测

21、评工作量。工作量可以根据配置检查的节点数量和工具测试的接入点及测试内容等情况进行估算。 d) 根据测评项目组成员安排，编制工作安排情况。 e) 根据以往测评经验以及被测系统规模，编制具体测评计划，包括现场工作人员的分工和时间安排。在进行时间计划安排时，应尽量避开被测系统的业务高峰期，避免给被测系统带来影响。同时，在测评计划中应将具体测评所需条件以及测评需要的配合人员也一并给出，便于测评实施之前双方沟通协调、合理安排。 f) 汇总上述内容及方案编制活动的其他任务获取的内容形成测评方案文稿。 g) 评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审，修改完成后形成提交稿。然后，测评机构将测评方案提交给测评委托单位签字认可。输出 /产品：经过评审和确认的测评方案文本。

展开阅读全文