《信息项目安全技术信息系统项目安全等级保护测评过程指南送审稿.doc》由会员分享,可在线阅读,更多相关《信息项目安全技术信息系统项目安全等级保护测评过程指南送审稿.doc(46页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、|信息安全技术 信息系统安全等级保护测评过程指南送审稿引 言依据中华人民共和国计算机信息系统安全保护条例(国务院 147 号令)、国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327 号)、关于信息安全等级保护工作的实施意见 (公通字200466 号)和信息安全等级保护管理办法 (公通字 200743 号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南; GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求; GB/T CCCC-CCCC
2、信息安全技术 信息系统安全等级保护实施指南; GB/T DDDD-DDDD 信息安全技术 信息系统安全等级保护测评要求。信息安全技术 信息系统安全等级保护测评过程指南1 范围本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。2 规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容
3、)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术 词汇 第 8 部分:安全 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T CCCC-CCCC 信息安全技术 信息系统安全等级保护实施指南 GB/T DDDD-DDDD 信息安全技术 信息系统安全等级保护测评要求 信息安全等级保护管理办法(公通
4、字200743 号)|3 术语和定义GB/T 5271.8、GB 17859-1999、 GB/T CCCC-CCCC 和 GB/T DDDD-DDDD 确立的以及下列的术语和定义适用于本标准。3.1优势证据 superior evidence 对单一测评项实施等级测评过程中获得的多个测评结果之间存在矛盾,且都没有足够的证据否定与之矛盾的测评结果的,则测评结果的证明力明显大于其他测评结果的证明力的那个(些)测评结果即为优势证据。4 等级测评概述4.1 等级测评的作用依据信息安全等级保护管理办法(公通字200743 号),信息系统运营、使用单位在进行信息系统备案后,都应当选择测评机构进行等级测评
5、。等级测评是测评机构依据信息系统安全等级保护测评要求等管理规范和技术标准,检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程,是落实信息安全等级保护制度的重要环节。 在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。在信息系统运维过程中,信息系统运营、使用单位定期委托测评机构开展等级测评,对信息系统安全等级保护状况进行安全测试,对信息安全管控能力进行考察和评价,从而判定信息系统是否具备 GB/T 22239-2008 中相应等级安全保护能力。而且,等级测评报告是信息系统开展整改加固的重
6、要指导性文件,也是信息系统备案的重要附件材料。等级测评结论为信息系统未达到相应等级的基本安全保护能力的,运营、使用单位应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。4.2 等级测评执行主体可以为三级及以上等级信息系统实施等级测评的等级测评执行主体应具备如下条件:在中华人民共和国境内注册成立(港澳台地区除外);由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);从事相关检测评估工作两年以上,无违法记录;工作人员仅限于中国公民;法人及主要业务、技术人员无犯罪记录;使用的技术装备、设施应当符合信息安全等级保护管理办法(公通字200743 号)对信息安全产
7、品的要求;具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;对国家安全、社会秩序、公共利益不构成威胁。(摘自信息安全等级保护管理办法(公通字200743 号) 等级测评执行主体应履行如下义务:遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。|4.3 等级测评风险等级测评实施过程中,被测系统可能面临以下风险。4.3.1 验证测试影响系统正常运行在现场测评时
8、,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。4.3.2 工具测试影响系统正常运行在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。4.3.3 敏感信息泄漏泄漏被测系统状态信息,如网络拓扑、IP 地址、业务流程、安全机制、安全隐患和有关文档信息。4.4 等级测评过程本标准中的测评工作过程及任务基于受委托测评机构对信息系统的初次等级测评给出。运营、使用单位的自查或受委托测评机
9、构对已经实施过一次(或以上)等级测评的被测系统的等级测评,测评机构和测评人员可以根据实际情况调整部分工作任务,具体原则见附录 A。 等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。4.4.1 测评准备活动本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。4.4.2 方案编制活动本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案
10、。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。4.4.3 现场测评活动|本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。4.4.4 分析与报告编制活动本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和 GB/T DDDD-DDDD 的有关要求,通过单项测评结果判定、
11、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。5 测评准备活动5.1 测评准备活动的工作流程测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为顺利编制测评方案打下良好的基础。 测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见图 1:5.2 测评准备活动的主要任务5.2.1 项目启动在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个
12、等级测评项目的实施做基本准备。 输入:委托测评协议书。 任务描述:a) 根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,|并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。 b) 测评机构要求测评委托单位提供基本资料,包括:被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。输出/产品:项目计划书。5.2.2 信息收集和分析测评机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个
13、系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。 输入:调查表格,被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有)。 任务描述:a) 测评机构收集等级测评需要的各种资料,包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。 b) 测评机构将调查表格提交给测评委托单位,督促被测系统相关人员准确填写调查表格。 c) 测
14、评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。 d) 如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,测评机构应安排现场调查,与被测系统相关人员进行面对面的沟通和了解。输出/产品:填好的调查表格。5.2.3 工具和表单准备测评项目组成员在进行现场测评之前,应熟悉
15、与被测系统相关的各种组件、调试测评工具、准备各种表单等。 输入:各种与被测系统相关的技术资料。 任务描述:a) 测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。 b) 测评人员模拟被测系统搭建测评环境。 c) 准备和打印表单,主要包括:现场测评授权书、文档交接单、会议记录表单、会议签到表单等。|输出/产品:选用的测评工具清单,打印的各类表单。5.3 测评准备活动的输出文档测评准备活动的输出文档及其内容如表 1 所示: 5.4 测评准备活动中双方的职责测评机构职责:a) 组建等级测评项目组。 b) 指出测评委托单位应提供的基本资料。 c
16、) 准备被测系统基本情况调查表格,并提交给测评委托单位。 d) 向测评委托单位介绍安全测评工作流程和方法。 e) 向测评委托单位说明测评工作可能带来的风险和规避方法。 f) 了解测评委托单位的信息化建设状况与发展,以及被测系统的基本情况。 g) 初步分析系统的安全情况。 h) 准备测评工具和文档。测评委托单位职责:a) 向测评机构介绍本单位的信息化建设状况与发展情况。 b) 准备测评机构需要的资料。 c) 为测评人员的信息收集提供支持和协调。 d) 准确填写调查表格。 |e) 根据被测系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议。 f) 制定应急预案。6 方案
17、编制活动6.1 方案编制活动的工作流程方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料,为现场测评活动提供最基本的文档和指导方案。方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书测评指导书开发及测评方案编制六项主要任务。这六项任务的基本工作流程见图2:6.2 方案编制活动的主要任务6.2.1 测评对象确定根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。 |输入:填好的调查表格。 任务描述:a) 识别并描述被测系统的整体结构根据调查表格获得的被测系统基本情况,识别出被测系统的整体结构并加以描述。描
18、述内容应包括被测系统的标识(名称),物理环境,网络拓扑结构和外部边界连接情况等,并给出网络拓扑图。b) 识别并描述被测系统的边界根据填好的调查表格,识别出被测系统边界并加以描述。描述内容应包括被测系统与其他网络进行外部连接的边界连接方式,如采用光纤、无线和专线等;描述各边界主要设备,如防火墙、路由器或服务器等。如果在被测系统边界连接处有共用设备,一般可以把该设备划到等级较高的那个信息系统中。c) 识别并描述被测系统的网络区域一般信息系统都会根据业务类型及其重要程度将信息系统划分为不同的区域。对于没有进行区域划分的系统,应首先根据被测系统实际情况进行大致划分并加以描述。描述内容主要包括区域划分、
19、每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。d) 识别并描述被测系统的重要节点描述系统节点时可以以区域为线索,具体描述各个区域内包括的计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)、网络硬件设备(包括交换机、路由器、各种适配器等)等,并说明各个节点之间的主要连接情况和节点上安装的应用系统软件情况等。e) 描述被测系统对上述描述内容进行整理,确定被测系统并加以描述。描述被测系统时,一般以被测系统的网络拓扑结构为基础,采用总分式的描述方法,先说明整体结构,然后描述外部边界连接情况和边界主要设备,最后介绍被测系统的网络区域组成、主要业务功能及相关的
20、设备节点等。f) 确定测评对象分析各个作为定级对象的信息系统,包括信息系统的重要程度及其相关设备、组件,在此基础上,确定出各测评对象。|g) 描述测评对象描述测评对象时,一般针对每个定级对象分门别类加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备及其操作系统、安全设备及其操作系统、访谈人员及其安全管理文档等。在对每类测评对象进行描述时则一般采用列表的方式,包括测评对象所属区域、设备名称、用途、设备信息等内容。 输出/产品:测评方案的测评对象部分。6.2.2 测评指标确定根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。 输入:填好的调查表格,GB/T 22
21、239-2008。 任务描述:a) 根据被测系统调查表格,得出被测系统的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施 ASG 组合情况。 b) 从 GB/T 22239-2008 中选择相应等级的安全要求作为测评指标,包括对 ASG 三类安全要求的选择。举例来说,假设某信息系统的定级结果为:安全保护等级为 3 级,业务信息安全保护等级为 2 级,系统服务安全保护等级为 3 级;则该系统的测评指标将包括 GB/T 22239-2008“技术要求”中的 3 级通用安全保护类要求(G3),2 级业务信息安全类要求(S2),3 级系统服务保证类要求(A
22、3 ),以及第 3 级“管理要求”中的所有要求。 c) 对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则。d) 分别针对每个定级对象加以描述,包括系统的定级结果、指标选择两部分。其中,指标选择可以列表的形式给出。例如,一个安全保护等级和系统服务安全保护等级均为三级、业务信息安全保护等级为 2 级的定级对象,测评指标可以列出下表:|6.2.3 测试工具接入点确定在等级测评中,对二级和二级以上的信息系统应进行工具测试,工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析
23、仪等测试工具。 输入:填好的调查表格,GB/T DDDD-DDDD。 任务描述:a) 确定需要进行工具测试的测评对象。 b) 选择测试路径。一般来说,测试工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入,即:测试工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。c) 根据测试路径,确定测试工具的接入点。从被测系统边界外接入时,测试工具一般接在系统边界设备(通常为交换设备)上。在该点接入漏洞扫描器,扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况。在该接入点接入协议分析仪,可以捕获应用程序的网络数据包,查看其安全加密和完整性保护情况。在该接入点使用渗透测试工具集,试图利用被测试系统的主机或网络设备的安全漏洞,跨过系统边界,侵入被测系统主机或网络设备。 从系统内部与测评对象不同网段接入时,测试工具一般接在与被测对象不在同一网段的内部核心交换设备
黑公网安备:91230400333293403D