1、等级保护测评,程晓峰,目录,等级保护测评基本概念等级保护测评法律法规等级保护测评基本内容等级保护测评案例介绍,等级保护测评基本概念,等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。通过信息安全等级测评机构对已完成的等级保护建设的信息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要求。,测评机构承担的主要义务,从事信息系统安全等级测评的机构,应当履行下列义务:(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;(二)保守在测评活动中知
2、悉的国家秘密、商业秘密和个人隐私,防范测评风险;(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。,测评机构不得从事的工作,(1)影响被测评信息系统正常运行,危害被测评信息系统安全;(2)泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密;(3)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;(4)未按规定格式出具等级测评报告;(5)非授权占有、使用等级测评相关资料及数据文件;(6)分包或转包等级测评项目;(7)信息安全产品开发、销售和信息系统安全集成;(8)限定被测评单位购买、使用其
3、指定的信息安全产品;(9)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。,等级测评师管理,测评人员参加由等级保护评估中心举办的专门培训、考试并取得评估中心颁发的等级测评师证书(等级测评师分为初级、中级和高级)。等级测评人员需持等级测评师证上岗。高级测评师一般是测评机构技术负责人中级测评师一般是测评项目经理初级测评师一般是测评实施工程师(分为技术和管理两类),测评报告,测评机构应按照公安部统一制订的信息系统安全等级测评报告模版(试行)格式出具测评报告,等级保护测评适用的阶段,在实施等级保护建设工作前,一般在系统备案后,信息系统运营、使用单位可以开展一次等级测评以确定信息系统安全现状
4、与等级保护基本要求间差距,也称为差距测评或差距分析。在等级保护建设整改完成后,通过等级测评判定信息系统是否按照预先设定的安全模式运行,安全控制措施是否得到合理的应用,信息系统是否达到相关标准的要求,是否具备相应等级的安全防护能力等,也称为第三方测评或验收测评。,测评原则,a) 客观性和公正性原则 测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。 b) 经济性和可重用性原则 基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评
5、结果。所有重用的结果,都应基于这些结果还能适用于目前的系统,能反映目前系统的安全状态。 c) 可重复性和可再现性原则 无论谁执行测评,依照同样的要求,使用同样的方法,对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性。 d) 符合性原则 测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。,当前的信息安全等级测评有关法规,信息安全等级保护管理办法(公通字200743号) 广东省计算机信息系统安全保护条例广东省公安
6、厅关于计算机信息系统安全保护的实施办法关于贯彻广东省计算机信息系统安全保护条例和广东省公安厅关于计算机信息系统安全保护的实施办法的通知 广公(网监)2008633号关于开展信息安全等级保护测评体系建设试点工作的通知(公信安2009812号)关于明确信息安全等级保护测评机构管理有关事项的通知(广公(网监)2009421号)关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安2010303号 )信息安全等级保护测评工作管理规范(试行)信息安全等级测评机构能力要求(试行)等级测评师培训和考试指南,国家对等级保护测评的要求,管理办法”等级保护的实施与管理“第十四条信息系统建设完成后,运
7、营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。,国家对测评机构的基本要求,在中华人民共和国境内注册成立(港澳台地区除外);由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);从事相关检测评估工作两年以上,无违法记录;工作人员仅限于中国公民;法人代表及主要业务、技术人员无犯罪记录;使用的技术装备、设施应当符合本办法对信息安全产品的要求; 具
8、有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;对国家安全、社会秩序、公共利益不构成威胁。,广东省安全保护条例对测评要求,第十二条 第二级以上计算机信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。第十三条 计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评,并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。计算机信息系统安全状况经测评或者自查,未达到安全等级保护要求的,运营、使用单位
9、应当进行整改。,广东省公安厅关于计算机信息系统安全保护的实施办法,第二十二条 我省对测评机构实施备案制度。符合第二十一条规定的条件,承担第二级以上的计算机信息系统测评工作的机构应当到省公安厅公共信息网络安全监察部门备案。第二十五条 第二级以上的计算机信息系统建设完成后,使用单位应当委托符合规定的测评机构安全测评合格方可投入使用。测评活动应当接受公安机关公共信息网络安全监察部门的监督。,广东省公安厅关于计算机信息系统安全保护的实施办法,第二十六条 计算机信息系统运营、使用单位委托安全测评机构测评,应当提交下列资料:(一)安全测评委托书;(二)定级报告(三)计算机信息系统应用需求、系统结构拓扑及说
10、明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。(四)安全策略文档,广东省信息安全等级测评工作细则(试行),计算机信息系统投入使用后,存在下列情形之一的,应当进行安全自查,同时委托安全测评机构进行安全测评: (一)变更关键部件; (二)安全测评时间满一年;(三)发生危害计算机信系统安全的案件或安全事故;(四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评; (五)其他应当进行安全自查和安全测评的情形。 申请单位认为安全测评报告的合法性和真实性存在重大问题的,可以向本单位所在地公安机关公共信息网络安全监察部门提
11、出申诉,提交异议申诉书及有关证明材料。,广东省转发开展电子政务信息安全风险评估,省发改委、省公安厅、省保密局转发关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(粤发改高2009182号文)省电子政务项目应开展信息安全等级测评和风险评估工作,作为项目竣工验收的重要内容。非涉密项目在完成后试运行期间,向相关评测机构提出评估申请。评测机构与承建单位原则上不能为同一家。等级测评和风险评估费用计入项目总投资。,公安部对测评机构的明确要求,对等级测评机构管理相关问题进行了明确,要求开展等级测评的单位不得从事下列活动:一是承担信息系统安全建设整改工作;二是将等级测评任务分包、外包;三是信息安全产
12、品开发、营销和信息系统集成活动;四是限定被测评单位购买、试用其指定的信息安全产品;五是未经许可占有、使用被测评单位有关信息、资料及数据文件。,关于明确信息安全等级保护测评机构管理有关事项的通知,一、进一步规范测评服务管理。根据公安部十一局要求,为确保测评活动的公正性,承担测评工作的机构不宜从事信息安全整改、集成服务。 二、提高测评工作装备水平。为统一工具标准,我总队制定了信息安全等级保护测评工具选用指引(以下简称指引),对测评所需的必备工具和选用工具进行了明确。 三、推动信息安全等级保护整改。各级公安网监部门要按照广东省深化信息系统安全等级保护工作方案要求,加大各类测评机构和安全服务机构的监督
13、指导力度,发挥其作用,为信息系统运营、使用单位、主管部门提供差距评估、整改方案制订和实施、安全测评等服务,大力推动信息系统的安全整改,切实推动我省信息安全等级保护工作深入开展。,信息安全等级保护测评工具选用指引,一、必须配置测试工具 (一)漏洞扫描探测工具。 1网络安全漏洞扫描系统。 2数据库安全扫描系统。 (二)木马检查工具。 1专用木马检查工具。 2进程查看与分析工具。,信息安全等级保护测评工具选用指引,二、选用配置测试工具 (一)漏洞扫描探测工具。 应用安全漏洞扫描工具。 (二)软件代码安全分析类。 软件代码安全分析工具。 (三)安全攻击仿真工具 (四)网络协议分析工具 (五)系统性能压
14、力测试工具 1网络性能压力测试工具 2应用软件性能压力测试工具,(六)网络拓扑生成工具 (七)物理安全测试工具 1接地电阻测试仪 2电磁屏蔽性能测试仪 (八)渗透测试工具集 (九)安全配置检查工具集 (十)等级保护测评管理工具,广东省成立等级保护专家委员会,广东省成立信息安全等级保护专家委员会参与对我省重要单位和行业信息安全等级保护定级和安全设计、整改、测评方案的审查、论证和指导。,广东省等级保护验收测评机构,关于发布广东省信息安全等级保护测评机构的公告(粤等保办20103号)供我省信息系统运营、使用单位、主管部门选用提供各类测评服务(差距评估、验收性测评、年度测评工作)。 1、广州竞远系统网
15、络技术有限公司 2、中国赛宝实验室(工业和信息化部电子第五研究所) 3、广州华南信息安全测评中心 4、深圳市信息安全测评中心 5、深圳市网安计算机安全检测技术有限公司 6、广东南方信息安全研究院,等级保护测评流程,等级保护测评流程,等级保护测评方法,测评方法测评采用访谈、检查和测试三种方法,测评对象是测评实施过程中涉及到的信息系统的构成成份,包括人员、文档、机制、软件、设备。测评的层面涉及物理安全、网络安全、主机安全、应用系统安全、数据安全以及安全管理。测评要求使用测评表进行具体检查时,首先按询问、查验、检测等工作方式将所有检查项目分类。所有以询问方式检查的项目,在与有关人员的谈话或会议上进行
16、;所有以查验方式检查的项目,将需要的文档清单在检查现场提交给被检查方,请被检查方当前提供并进行查验;所有需要以检测方式检查的项目,按检测部门或设备分类后,根据具体情况选择检测顺序。,等级保护测评方法(续),对技术要求访谈方法:目的是了解信息系统的全局性。范围一般不覆盖所有要求内容。检查方法:目的是确认信息系统当前具体安全机制和运行的配置是否符合要求 。范围一般要覆盖所有要求内容。测试方法:目的是验证信息系统安全机制有效性和安全强度。范围不覆盖所有要求内容。,等级保护测评方法(续),对管理要求对人员方面的要求,重点通过访谈的方式来测评,检查为辅;对过程方面的要求,通过访谈和检查的方式来测评;对规
17、范方面的要求,以检查文档为主,访谈为辅,等级保护测评部位,被测评部门 领导办公场所 机房 介质保管室 设备管理部门 一般工作场所 监控室等,等级保护测评设备,被测评检查设备各类服务器抽查部分个人计算机(包括台式机、笔记本)通信线路交换机、路由器防火墙、入侵检测、杀毒软件等安全防护设备存储设备网络管理软件应用软件,等级保护测评相关配合人员,测评所需要的相关配合人员单位领导部门领导系统管理员安全管理员系统审计员一般工作人员(抽查)等。,等级测评实施过程中可能存在的风险,验证测试影响系统正常运行 在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的
18、运行造成一定的影响,甚至存在误操作的可能。 工具测试影响系统正常运行 在现场测评时,会使用一些技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。 敏感信息泄漏 泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。,等级保护被测评系统说明,(1)某公司(简称“AAA”)用电信息系统承载着该公司的电力营销业务,由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成,是一个安全等级为三级的信息系统。(2)现场测评时间为X年X月X日至X年X月X日,现场测评小
19、组分为管理组(2人)和技术组(4人)两组,分别完成安全管理和安全技术方面的测评。,等级保护被测评系统说明(2),(3)被测系统为承载着AAA公司电力营销业务,是AAA公司的重要信息系统,其安全等级定为三级(S3A2G3)。 (4)被测系统由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成.对外有可以为大客户单位、internet网、拨号用户等提供电费数据查询、交纳、业务扩充、投诉等服务的功能模块。数据存储功能区位于屏蔽机房,其它功能区域位于中心机房。,等级保护被测评系统说明(2),(5)与被测系统相连的外部连接有Internet、外联单位(包括DDN单位和PSTN用户)和控制网三处。
20、在Internet、外联单位的边界连接处设置了防火墙;与控制网连接是通过交换机SJ6506以共用服务器方式进行的。整个网络拓扑结构示意图如图所示。,测评对象,根据用电信息系统的实际情况,分别确定物理安全、网络安全、主机系统安全、应用安全等各层面的测评对象。物理方面主要是测评屏蔽机房和主机房。网络方面主要测评的设备有:路由器、交换机、防火墙、IDS、外联检测、防病毒等 。,测评对象(2),主机方面主要测评的主机服务器(包括数据库服务器) 。,测评对象(3),应用方面主要测评的应用系统 。,测评对象(4),安全管理,主要测评对象为与信息安全管理有关的策略、制度、操作规程、运行记录、管理人员、技术人
21、员和相关设备设施等。,测评指标选取,被测系统的定级结果为:安全保护等级为3级,业务信息安全等级为S3,系统服务安全等级为A2;则该系统的测评指标应包括GB/T 22239-2008“技术要求”中的3级通用指标类(G3),3级业务信息安全指标类(S3),2级系统服务安全指标类(A2),以及第3级“管理要求”中的所有指标类。,测评工具和接入点,根据3级信息系统的测评强度要求,在测试的广度上,应基本覆盖不同类型的机制,在数量、范围上可以抽样;在测试的深度上,应执行功能测试和渗透测试,功能测试可能涉及机制的功能规范、高级设计和操作规程等文档,渗透测试可能涉及机制的所有可用文档,并试图智取进入信息系统等
22、。因此,对其进行测评,应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具。使用的测试工具主要有:网络漏洞扫描器、数据库安全扫描器、渗透测试工具集等。,接入点选取,测评内容-物理安全,物理安全测评将通过访谈、文档审查和实地察看的方式测评信息系统的的物理安全保障情况。主要涉及对象为屏蔽机房和主机房。,测评内容网络安全,网络安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象。,测评内容主机安全,主机系统安全测评将通过访谈、配置检查和工具测试的方式测评主机系统安全保障情况。本次重点测评的操作系统包括各网站服务
23、器、应用服务器和数据库服务器等的操作系统,数据库管理系统为数据库服务器Sybase。 。,测评内容应用安全和数据安全,应用安全测评将通过访谈、配置检查和工具测试的方式测评应用安全保障情况,主要涉及对象为用电信息系统、对外服务网站系统和远程客户服务系统。,测评内容安全管理部分,安全管理部分为全局性问题,涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。主要是审查相关管理文档和记录文件。,测评中存在的一些问题-物理安全,机房接地系统没有没有充分测试,接地电阻达不到GB/T 2887-2000要求。机房防静电系统不能满足SJ/T 31469-2002 的要求。综合布
24、线系统的检测没有严格按照GB/T 50312 建筑与建筑群综合布线系统工程验收规范进行检测。 机房及综合布线系统验收文档不齐全、规范、完整。,测评中存在的一些问题网络安全,没有绘制与实际网络相一致的网络拓扑结构图。有一份与实际网络相一致的网络拓扑结构图对网络管理相当重要,可以方便工作人员掌握网络的整体情况,便于网络故障的排除,便于网络安全设备的策略配置等。网络设备和安全防护产品,没有进行充分配置,存在配置错误或系统漏洞,如SNMP漏洞。安全策略文档普遍缺乏。安全防护体系不健全。没有对重要网段采取网络层地址与数据链路层地址绑定措施。进行MAC地址和IP地址的绑定,有助于防止地址欺骗。,测评中存在
25、的一些问题主机安全,操作系统和数据库管理系统,没有进行充分配置,存在配置错误或系统漏洞,系统补丁大多没有升级。安全策略文档普遍缺乏。,测评中存在的一些问题应用安全,应用系统没有将身份认证、访问控制、日志审计等安全控制在设计阶段充分考虑;在软件代码编程实现没有考虑软件安全漏洞;在验收时没有进行充分测试。普遍没有应用软件的安全策略文档。,测评中存在的一些问题数据安全,没有完整的数据安全备份策略;数据安全备份与恢复没有经过演练。,测评中存在的一些问题管理安全,与安全管理制度相配套的总体信息安全策略还没有正式制定,且有部分管理制度没有制定,如工程实施安全管理制度等。总体性安全策略文件是整个机构开展信息安全工作的纲领,对机构近期和远期的安全规划起着重要的指导作用。没有方针性文件的指引和统一规划,机构的信息安全工作则会有工作方向不明确的问题 管理机构不健全、管理人员不到位;对信息安全关键岗位的人员管理缺乏更细粒度的要求。没有明确对这些岗位的人员是否有区别于其他岗位的更严格的录用要求、日常信用审查等管理要求。关键岗位所从事的工作是信息安全工作的重中之重,加强对这些岗位人员的管理,对做好信息安全工作起到了关键的作用。,测评结果,测评结果统计(红绿灯),典型测评报告示例,
