等級保護測評

1、廣東計安信息網(wǎng)絡(luò)培訓中心廣東計安信息網(wǎng)絡(luò)培訓中心信息安全等級保護測評講師：傅欲華講師：傅欲華目錄第一部分 等級保護測評基礎(chǔ) 第二部分 等級保護測評要求 第三部分 等級保護測評項目管理 第四部分 等級保護測評探討第一部分 等級保護測評基礎(chǔ)（1）國家和廣東省對測評機構(gòu)的要求回顧（2）測評和測評機構(gòu)的概念（3）等級保護測評方法和技術(shù)（4）等級保護標準體系當前的信息安全等級保護有關(guān)法規(guī) 信息安全等級保護管理辦法信息安全等級保護管理辦法（公通字（公通字200743號）號） 廣東省計算機信息系統(tǒng)安全保護條例廣東省計算機信息系統(tǒng)安全保護條例 廣東省公安廳關(guān)于計算機信息系統(tǒng)安全保護的實施辦法廣東省公安廳關(guān)于計

2、算機信息系統(tǒng)安全保護的實施辦法 關(guān)于貫徹關(guān)于貫徹廣東省計算機信息系統(tǒng)安全保護條例廣東省計算機信息系統(tǒng)安全保護條例和和廣東省公廣東省公安廳關(guān)于計算機信息系統(tǒng)安全保護的實施辦法安廳關(guān)于計算機信息系統(tǒng)安全保護的實施辦法的通知的通知 廣公廣公（網(wǎng)監(jiān)）（網(wǎng)監(jiān)）2008633號號 關(guān)于開展信息安全等級保護測評體系建設(shè)試點工作的通知關(guān)于開展信息安全等級保護測評體系建設(shè)試點工作的通知（公信安（公信安2009812號）號） 關(guān)于明確信息安全等級保護測評機構(gòu)管理有關(guān)事項的通知（廣公關(guān)于明確信息安全等級保護測評機構(gòu)管理有關(guān)事項的通知（廣公（網(wǎng)監(jiān)）（網(wǎng)監(jiān)）2009421號）號） 關(guān)于推動信息安全等級保護測評體系建設(shè)和

3、開展等級測評工作的關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知（公信安通知（公信安2010303號號 ） 信息安全等級保護測評工作管理規(guī)范信息安全等級保護測評工作管理規(guī)范(試行試行) 信息安全等級測評機構(gòu)能力要求（試行）信息安全等級測評機構(gòu)能力要求（試行） 等級測評師培訓和考試指南等級測評師培訓和考試指南1.1.3國家對等級保護測評的要求 管理辦法”等級保護的實施與管理“第十四條 信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評單位，依據(jù)信息系統(tǒng)安全等級保護測評要求等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。 第三級信息系統(tǒng)應(yīng)當每年至少進

4、行一次等級測評，第四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評。1.1.4國家對測評機構(gòu)的基本要求第三級以上信息系統(tǒng)應(yīng)當選擇符合下列條件的等級保護測評機構(gòu)進行測評：在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；從事相關(guān)檢測評估工作兩年以上，無違法記錄；工作人員僅限于中國公民；法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；使用的技術(shù)裝備、設(shè)施應(yīng)當符合本辦法對信息安全產(chǎn)品的要求； 具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；對國家安全、社會秩序、公共利益不構(gòu)成

5、威脅。廣東省公安廳關(guān)于計算機信息系統(tǒng)安全保護的實施辦法廣東省公安廳關(guān)于計算機信息系統(tǒng)安全保護的實施辦法（一）（一） 第二十二條 我省對測評機構(gòu)實施備案制度。符合第二十一條規(guī)定的條件，承擔第二級以上的計算機信息系統(tǒng)測評工作的機構(gòu)應(yīng)當?shù)绞」矎d公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案。 第二十五條 第二級以上的計算機信息系統(tǒng)建設(shè)完成后，使用單位應(yīng)當委托符合規(guī)定的測評機構(gòu)安全測評合格方可投入使用。測評活動應(yīng)當接受公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督。 1.1.10廣東省信息安全等級測評工作細則廣東省信息安全等級測評工作細則（試行）計算機信息系統(tǒng)投入使用后，存在下列情形之一的，應(yīng)當進行安全自查，同時委托安全測評

6、機構(gòu)進行安全測評： （一）變更關(guān)鍵部件； （二）安全測評時間滿一年；（三）發(fā)生危害計算機信系統(tǒng)安全的案件或安全事故；（四）公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門根據(jù)應(yīng)急處置工作的需要認為應(yīng)當進行安全測評； （五）其他應(yīng)當進行安全自查和安全測評的情形。 申請單位認為安全測評報告的合法性和真實性存在重大問題的，可以向本單位所在地公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申訴，提交異議申訴書及有關(guān)證明材料。 1.1.11廣東省轉(zhuǎn)發(fā)開展電子政務(wù)信息安全風險評估廣東省轉(zhuǎn)發(fā)開展電子政務(wù)信息安全風險評估省發(fā)改委、省公安廳、省保密局轉(zhuǎn)發(fā)關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知（粵發(fā)改高2009182號文

7、） 省電子政務(wù)項目應(yīng)開展信息安全等級測評和風險評估工作，作為項目竣工驗收的重要內(nèi)容。 非涉密項目在完成后試運行期間，向相關(guān)評測機構(gòu)提出評估申請。 評測機構(gòu)與承建單位原則上不能為同一家。 等級測評和風險評估費用計入項目總投資。1.1.12公安部對測評機構(gòu)的明確要求公安部對測評機構(gòu)的明確要求對等級測評機構(gòu)管理相關(guān)問題進行了明確，要求開展等級測評的單位不得從事下列活動：一是承擔信息系統(tǒng)安全建設(shè)整改工作；二是將等級測評任務(wù)分包、外包；三是信息安全產(chǎn)品開發(fā)、營銷和信息系統(tǒng)集成活動；四是限定被測評單位購買、試用其指定的信息安全產(chǎn)品；五是未經(jīng)許可占有、使用被測評單位有關(guān)信息、資料及數(shù)據(jù)文件。 1.1.13關(guān)

8、于明確信息安全等級保護測評機構(gòu)管理有關(guān)事項的通知關(guān)于明確信息安全等級保護測評機構(gòu)管理有關(guān)事項的通知 一、進一步規(guī)范測評服務(wù)管理。一、進一步規(guī)范測評服務(wù)管理。根據(jù)公安部十一局要求，為確保測評活動的公正性，承擔測評工作的機構(gòu)不宜從事信息安全整改、集成服務(wù)。 二、提高測評工作裝備水平。二、提高測評工作裝備水平。為統(tǒng)一工具標準，我總隊制定了信息安全等級保護測評工具選用指引（以下簡稱指引），對測評所需的必備工具和選用工具進行了明確。 三、推動信息安全等級保護整改。三、推動信息安全等級保護整改。各級公安網(wǎng)監(jiān)部門要按照廣東省深化信息系統(tǒng)安全等級保護工作方案要求，加大各類測評機構(gòu)和安全服務(wù)機構(gòu)的監(jiān)督指導力度，

9、發(fā)揮其作用，為信息系統(tǒng)運營、使用單位、主管部門提供差距評估、整改方案制訂和實施、安全測評等服務(wù)，大力推動信息系統(tǒng)的安全整改，切實推動我省信息安全等級保護工作深入開展。 1.1.15廣東省等級保護測評機構(gòu)廣東省等級保護測評機構(gòu)關(guān)于發(fā)布廣東省信息安全等級保護測評機構(gòu)的公關(guān)于發(fā)布廣東省信息安全等級保護測評機構(gòu)的公告告（粵等保辦（粵等保辦20103號）號）供我省信息系統(tǒng)運營、使用單位、主管部門選用提供各類測評服務(wù)（差距評估、驗收性測評、年度測評工作）。 1、廣州競遠系統(tǒng)網(wǎng)絡(luò)技術(shù)有限公司 2、中國賽寶實驗室（工業(yè)和信息化部電子第五研究所） 3、廣州華南信息安全測評中心 4、深圳市信息安全測評中心 5、深

10、圳市網(wǎng)安計算機安全檢測技術(shù)有限公司 1.2.8等級測評師管理 測評人員參加由評估中心舉辦的專門培訓、考試并取得評估中心頒發(fā)的等級測評師證書（等級測評師分為初級、中級和高級）。等級測評人員需持等級測評師證上崗。1.2.9測評報告 測評機構(gòu)應(yīng)按照公安部統(tǒng)一制訂的信息系統(tǒng)安全等級測評報告模版（試行）格式出具測評報告1.3.1等級保護測評流程（1）1.3.1等級保護測評流程（1）測評過程測評準備活動本活動是開展等級測評工作的前提和基礎(chǔ),是整個等級測評過程有效性的保證。測評準 備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動的主要任務(wù)是掌握被測系統(tǒng)的詳 細情況,準備測試工具,為編制測評方案做好準備。

11、方案編制活動本活動是開展等級測評工作的關(guān)鍵活動,為現(xiàn)場測評提供最基本的文檔和指導方案。本 活動的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標及測評內(nèi)容等,并根據(jù) 需要重用或開發(fā)測評指導書測評指導書,形成測評方案。 現(xiàn)場測評活動本活動是開展等級測評工作的核心活動。本活動的主要任務(wù)是按照測評方案的總體要 求,嚴格執(zhí)行測評指導書測評指導書,分步實施所有測評項目,包括單元測評和整體測評兩 個方面,以了解系統(tǒng)的真實保護情況,獲取足夠證據(jù),發(fā)現(xiàn)系統(tǒng)存在的安全問題。 分析與報告編制活動本活動是給出等級測評工作結(jié)果的活動,是總結(jié)被測系統(tǒng)整體安全保護能力的綜合評價 活動。本活動的主要任務(wù)是根據(jù)現(xiàn)場測評

12、結(jié)果和信息系統(tǒng)安全等級保護測評要求的有關(guān)要求,通過單項 測評結(jié)果判定、單元測評結(jié)果判定、整體測評和風險分析等方法,找出整個系統(tǒng)的安全保護 現(xiàn)狀與相應(yīng)等級的保護要求之間的差距,并分析這些差距導致被測系統(tǒng)面臨的風險,從而給 出等級測評結(jié)論,形成測評報告文本。1.3.3等級保護測評方法（1）測評方法 測評采用訪談、檢查和測試三種方法，測評對象是測評實施過程中涉及到的信息系統(tǒng)的構(gòu)成成份，包括人員、文檔、機制、軟件、設(shè)備。測評的層面涉及物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全以及安全管理。測評要求 使用測評表進行具體檢查時，首先按詢問、查驗、檢測等工作方式將所有檢查項目分類。 所有以詢問方式

13、檢查的項目，在與有關(guān)人員的談話或會議上進行； 所有以查驗方式檢查的項目，將需要的文檔清單在檢查現(xiàn)場提交給被檢查方，請被檢查方當前提供并進行查驗； 所有需要以檢測方式檢查的項目，按檢測部門或設(shè)備分類后，根據(jù)具體情況選擇檢測順序。 1.3.4等級保護測評方法（2） 對技術(shù)要求對技術(shù)要求 訪談訪談方法：方法：目的是是了解信息系統(tǒng)的全局性信息系統(tǒng)的全局性。范圍一般不覆蓋所有要求內(nèi)容。一般不覆蓋所有要求內(nèi)容。 檢查檢查方法：方法：目的是是確認信息系統(tǒng)當前具體信息系統(tǒng)當前具體安全機制和運行的配置是否符合要求安全機制和運行的配置是否符合要求 。范圍一般要覆蓋所有要求內(nèi)容。一般要覆蓋所有要求內(nèi)容。 測試測試方

14、法：方法：目的是驗證信息系統(tǒng)安全機制是驗證信息系統(tǒng)安全機制有效性和安全強度。有效性和安全強度。范圍不覆蓋所有要求內(nèi)容。不覆蓋所有要求內(nèi)容。1.3.5等級保護測評方法（3） 對管理要求對管理要求對人員方面的要求，重點通過對人員方面的要求，重點通過訪談訪談的方式的方式來測評，檢查為輔；來測評，檢查為輔；對過程方面的要求，通過對過程方面的要求，通過訪談訪談和和檢查檢查的方式來測評；的方式來測評；對規(guī)范方面的要求，以對規(guī)范方面的要求，以檢查檢查文檔為主，文檔為主，訪談訪談為輔為輔優(yōu)勢證據(jù) 對單一測評項實施等級測評過程中獲得的多個測評結(jié)果之間存在矛盾,且都沒有足夠的 證據(jù)否定與之矛盾的測評結(jié)果的,則測評

15、結(jié)果的證明力明顯大于其他測評結(jié)果的證明力的那個(些)測評結(jié)果即為優(yōu)勢證據(jù)。 檢查測試訪談測評準備活動測評計劃方案編制活動的基本工作流程測評指標確定 從GB/T 22239-2008中選擇相應(yīng)等級的安全要求作為測評指標,包括對SAG三類 安全要求的選擇。 舉例來說,假設(shè)某信息系統(tǒng)的定級結(jié)果為:安全保護等級為 3 級,業(yè)務(wù)信息安全保護等級為 2 級,系統(tǒng)服務(wù)安全保護等級為 3 級;則該系統(tǒng)的測評指標將包括 GB/T 22239-2008“技術(shù)要求”中的 3 級通用安全保護類要求(G3), 2級業(yè)務(wù)信息安全類要求(S2),3級系統(tǒng)服務(wù)保證類要求(A3),以及第 3級“管 理要求”中的所有要求。測評指

16、標測試工具接入點確定現(xiàn)場測評活動的基本工作流程檢查方式 訪談 文檔審查 配置檢查 工具測試 實地察看分析與報告編制活動的基本工作流程安全單元測評結(jié)果匯總表測評對象確定原則和方法（二級）1. 主機房(包括其環(huán)境、設(shè)備和設(shè)施等),如果某一輔機房中放置了服務(wù)于整個信息 系統(tǒng)或?qū)π畔⑾到y(tǒng)的安全性起決定作用的設(shè)備、設(shè)施,那么也應(yīng)該作為測評對象;2. 存儲被測系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境存儲被測系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境; 3. 整個系統(tǒng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu); 4. 安全設(shè)備,包括防火墻、入侵檢測設(shè)備、防病毒網(wǎng)關(guān)等; 5. 邊界網(wǎng)絡(luò)設(shè)備(可能會包含安全設(shè)備),包括路由器、防火墻和認證網(wǎng)關(guān)等; 6. 對整個信息

17、系統(tǒng)或其局部的安全性或其局部的安全性起決定作用的網(wǎng)絡(luò)互聯(lián)設(shè)備,如核心交換機、匯聚層交換機、核心路由器等; 7. 承載被測系統(tǒng)核心或重要業(yè)務(wù)、數(shù)據(jù)的服務(wù)器(包括其操作系統(tǒng)和數(shù)據(jù)庫); 8. 重要管理終端; 9. 能夠代表被測系統(tǒng)主要使命的業(yè)務(wù)應(yīng)用系統(tǒng); 10. 信息安全主管人員、各方面的負責人員; 11. 涉及到信息系統(tǒng)安全的所有管理制度和記錄。在本級信息系統(tǒng)測評時,信息系統(tǒng)中配置相同的安全設(shè)備、邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)互聯(lián)設(shè)備以及服務(wù)器應(yīng)至少抽查兩臺作為測評對象。測評對象確定原則和方法（三級）1. 主機房(包括其環(huán)境、設(shè)備和設(shè)施等)和部分輔機房,應(yīng)將放置了服務(wù)于信息系統(tǒng) 的局部(包括整體)或?qū)π畔⑾?/p>

18、統(tǒng)的局部(包括整體)安全性起重要作用的設(shè)備、 設(shè)施的輔機房選取作為測評對象;2. 存儲被測系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境; 3. 辦公場地;4. 整個系統(tǒng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu); 5. 安全設(shè)備,包括防火墻、入侵檢測設(shè)備和防病毒網(wǎng)關(guān)等; 6. 邊界網(wǎng)絡(luò)設(shè)備(可能會包含安全設(shè)備),包括路由器、防火墻、認證網(wǎng)關(guān)和邊界接入設(shè)備(如樓層交換機)等; 7. 對整個信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備,如核心交換機、匯聚層交換機、路由器等; 測評對象確定原則和方法（三級）8. 承載被測系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器(包括其操作系統(tǒng)和數(shù)據(jù)庫); 9. 管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端; 10. 能夠完成被測系統(tǒng)不同

19、業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng); 11. 業(yè)務(wù)備份系統(tǒng); 12. 信息安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業(yè)務(wù)負責人;13. 涉及到信息系統(tǒng)安全的所有管理制度和記錄。在本級信息系統(tǒng)測評時,信息系統(tǒng)中配置相同的安全設(shè)備、邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)互聯(lián)設(shè) 備、服務(wù)器、終端以及備份設(shè)備,每類應(yīng)至少抽查兩臺作為測評對象。系統(tǒng)系統(tǒng)承建單位承建單位主管主管 使用使用 運行單位運行單位測評機構(gòu)測評機構(gòu)專家組專家組l支持測評l提供技術(shù)、工程和質(zhì)量文檔l實施的配合公安公安網(wǎng)監(jiān)部門網(wǎng)監(jiān)部門l測評工作組織協(xié)調(diào)l確保技術(shù)、工程和質(zhì)量文檔、提供運營相關(guān)文檔的提供l評審實施方案等相關(guān)文檔l配合等級測評實施l測評過程

20、中的風險管理和應(yīng)急管理l制定測評計劃和方案等相關(guān)文檔l在相關(guān)單位支持下實施等級測評l提交測評報告l對方案評審l對評估結(jié)論進行評審l測評工作 組織與監(jiān)管.6等級保護測評中的角色和職責關(guān)系等級保護測評中的角色和職責關(guān)系1.3.8等級保護測評工作實施步驟 首次會議 （1）參加人員：主管領(lǐng)導、技術(shù)人員、測評機構(gòu)人員 （2）被測評機構(gòu)工作匯報 測評實施 被測評單位派人負責測評過程聯(lián)絡(luò)和協(xié)助。 末次會議 （1）參加人員：主管領(lǐng)導、技術(shù)人員、測評機構(gòu)人員 （2）測評機構(gòu)進行測試情況匯報1.3.9等級保護測評項目組的構(gòu)成測評項目組構(gòu)成 組長職責：管理測評過程、主持編制測評計劃、主持設(shè)計測評方案

21、、負責訪談、檢查、組織分析測評結(jié)果、主持編制測評總結(jié)報告； 訪談和查看組：負責訪談、執(zhí)行測試，記錄和分析測評結(jié)果； 測試組：執(zhí)行測試、記錄和分析測評結(jié)果?？陀^性和公正性原則 經(jīng)濟性和可重用性原則可重復性和可再現(xiàn)性原則符合性原則測評原則1.3.14等級保護測評的一些注意事項 信息安全產(chǎn)品采購對于產(chǎn)品的功能和性能指標，可以依據(jù)國家認可的測試機構(gòu)所出具的產(chǎn)品測試報告，也可以根據(jù)用戶自行組織的信息安全產(chǎn)品功能和性能選型測試所出具的報告。 應(yīng)用系統(tǒng)安全控制開發(fā) 應(yīng)用系統(tǒng)的安全控制開發(fā)應(yīng)當與應(yīng)用開發(fā)同步設(shè)計、同步實施，而應(yīng)用系統(tǒng)一旦開發(fā)完成后，再增加安全措施會造成很大的成本投入。需要軟件測評機構(gòu)參與。 基

22、本要求的管理：借鑒了ISO/IEC 17799:2005等國際上流行的信息安全管理方面的標準，盡量做到全方位的安全管理。所以在落實和測評“管理要求”時，就必須結(jié)合ISO/IEC 17799:2005、ISO/IEC27001等信息安全管理體系的要求進行。1.3.16等級測評實施過程中可能存在的風險等級測評實施過程中可能存在的風險 驗證測試影響系統(tǒng)正常運行驗證測試影響系統(tǒng)正常運行 在現(xiàn)場測評時，需要對設(shè)備和系統(tǒng)進行一定的驗證測試工作，部分測試內(nèi)容需要上機查看一些信息，這就可能對系統(tǒng)的運行造成一定的影響，甚至存在誤操作的可能。 工具測試影響系統(tǒng)正常運行工具測試影響系統(tǒng)正常運行 在現(xiàn)場測評時，會使用

23、一些技術(shù)測試工具進行漏洞測試、性能測試甚至抗?jié)B透能力測試。測試可能會對系統(tǒng)的負載造成一定的影響，漏洞測試和滲透測試可能對服務(wù)器和網(wǎng)絡(luò)通訊造成一定影響甚至傷害。 敏感信息泄漏敏感信息泄漏 泄漏被測系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓撲、IP地址、業(yè)務(wù)流程、安全機制、安全隱患和有關(guān)文檔信息。 1.3.17等級測評方式測試 功能功能/性能測試、滲透測試等。性能測試、滲透測試等。 測試對象包括機制和設(shè)備等。測試對象包括機制和設(shè)備等。 測試一般需要借助特定工具。測試一般需要借助特定工具。 掃描檢測工具掃描檢測工具 網(wǎng)絡(luò)協(xié)議分析儀網(wǎng)絡(luò)協(xié)議分析儀 攻擊工具攻擊工具 滲透工具滲透工具1.3.18等級保護實施中的有關(guān)測評活動

24、 物理安全 建筑防雷測試（含接地電阻測試） 機房火災消防驗收測試 綜合布線系統(tǒng)驗收測試 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)與信息安全產(chǎn)品選型測試 應(yīng)用安全 應(yīng)進行應(yīng)用系統(tǒng)軟件驗收測試?？偨Y(jié)：在系統(tǒng)整改階段，進行了充分測試，并且有詳細的測試報告和測試記錄，可保證等級保護工程質(zhì)量。測評結(jié)果統(tǒng)計（紅綠燈）測評結(jié)果民政公共服務(wù)系統(tǒng)0481216202428物理安全網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)備份與恢復安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理符合部分符合不符合N/A第一部分 等級保護測評基礎(chǔ) （4）等級保護標準體系信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護基本要求計算機信息系統(tǒng)安全保護等級劃分準則

25、（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類技術(shù)類其他技術(shù)類標準信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標準信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護基本要求的行業(yè)細則信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護測評要求信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求管理類管理類產(chǎn)品類產(chǎn)品類數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標準信息系統(tǒng)安全等級保護行業(yè)定級細則操作系統(tǒng)安全技術(shù)要求信息安全等級信息安全等級保護安全建設(shè)保護安全建設(shè)整改工作整改工作網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求安全等級基線要求狀況分析方法指導信息系統(tǒng)安全等級保護實施指南測

26、評類標準測評類標準設(shè)計類標準設(shè)計類標準等級保護標準體系等級保護標準體系1.4.4等級保護設(shè)計標準等級保護設(shè)計標準 （2）設(shè)計）設(shè)計信息系統(tǒng)安全等級保護基本要求GB/T22239-2008 指南GB/T27058-2010信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求GB/T27070-2010信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20271-2006信息安全風險評估規(guī)范GB/T 20984-2007信息安全技術(shù) 信息系統(tǒng)安全管理要求GB/T20269-20061.4.5等級保護設(shè)計標準（續(xù)）等級保護設(shè)計標準（續(xù)）信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20270-2006信息系統(tǒng)物理安全技術(shù)要求 G

27、B/T 21052-2007 信息安全技術(shù) 信息系統(tǒng)災難恢復規(guī)范GB/T 20988-2007信息安全技術(shù) 信息安全事件分類分級指南GB/Z 20986-2007 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求GB/T 22080-2008，ISO/IEC27001信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則 (GB/T 22081-2008,ISO/IEC27002, GB/T 19716-2005的更新基于互聯(lián)網(wǎng)電子政務(wù)信息安全實施指南（報批稿）.7等級保護測評等級保護測評信息系統(tǒng)安全等級保護測評要求 信息系統(tǒng)安全等級保護測評過程指南信息安全技術(shù) 信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試

28、評價方法（GB/T 20945-2007）信息安全技術(shù) 入侵檢測系統(tǒng)技術(shù)要求和測試評價方法 （GB/T 20275-2006） 信息安全技術(shù) 網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價方法 （GB/T 20277-2006） 信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法 （GB/T 20280-2006） 信息安全技術(shù) 防火墻技術(shù)要求和測試評價方法 （GB/T 20281-2006） 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GB/T 20272-2006） 信息安全技術(shù) 操作系統(tǒng)安全評估準則（GB/T 20008-2005）1.4.8等級保護產(chǎn)品標準信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)通用安全技術(shù)要求 GB/T 20

29、273-2006信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全評估準則 （GB/T 20009-2005）信息安全技術(shù) 網(wǎng)絡(luò)交換機安全技術(shù)要求評估保證級3 （GB/T 21050-2007） 信息安全技術(shù)公鑰基礎(chǔ)設(shè)施 PKI系統(tǒng)安全等級保護評估準則（GB/T 21054-2007） 信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求（GA/T671-2006） 服務(wù)器安全技術(shù)要求 GB/T 21028-2007 1.4.9等級保護產(chǎn)品標準（續(xù)）（a）機房工程 ： GB/T 2887-2000電子計算機場地通用規(guī)范 GB 50174-2008電子信息系統(tǒng)機房設(shè)計規(guī)范 SJ/T 31469-2002 防靜電地面施工及

30、驗收規(guī)范 GB 9361-88 計算站場地安全要求 GB50057 建筑物防雷設(shè)計規(guī)范 GB/T 50314 智能建筑設(shè)計標準 1.4.10等級保護其它參考標準 （5）其它標準（b）綜合布線系統(tǒng)：GB/T 50311-2007建筑與建筑群綜合布線工程系統(tǒng)設(shè)計規(guī)范 GB/T 50312-2007 建筑與建筑群綜合布線系統(tǒng)工程驗收規(guī)范（c）網(wǎng)絡(luò)基礎(chǔ)平臺： YD505197 本地網(wǎng)通信線路工程驗收規(guī)范 YD5070-98 公用計算機互聯(lián)網(wǎng)工程驗收規(guī)范（d）信息應(yīng)用系統(tǒng)： GB/T 17544-1998 信息技術(shù) 軟件包 質(zhì)量要求和測試 GB/T 16260-1996 軟件工程 產(chǎn)品質(zhì)量 GB/T 1

31、8905-2002軟件工程 產(chǎn)品評價1.4.11等級保護其它參考標準（續(xù)） GB/T 19668.1-2005 信息化工程監(jiān)理規(guī)范 第1部分：總則 GB/T 19668.2-2007 信息化工程監(jiān)理規(guī)范 第2部分：通用布纜系統(tǒng)工程監(jiān)理規(guī)范 GB/T 19668.3-2007 信息化工程監(jiān)理規(guī)范 第3部分：電子設(shè)備機房系統(tǒng)工程監(jiān)理規(guī)范 GB/T 19668.4-2007 信息化工程監(jiān)理規(guī)范 第4部分：計算機網(wǎng)絡(luò)系統(tǒng)工程監(jiān)理規(guī)范 GB/T 19668.5-2007 信息化工程監(jiān)理規(guī)范 第5部分: 軟件工程監(jiān)理規(guī)范 GB/T 19668.6-2007 信息化工程監(jiān)理規(guī)范 第6部分: 信息化工程安全監(jiān)

32、理規(guī)范1.4.12等級保護工程監(jiān)理參考標準1.4.13 網(wǎng)絡(luò)信任體系標準PKI/PMI安全機制安全機制密碼算法密碼算法GB/T 15843-2008 信息技術(shù) 安全技術(shù) 實體鑒別GB/T 17902-2005信息技術(shù) 安全技術(shù) 帶附錄的數(shù)字簽名GB/T 17903-2008信息技術(shù) 安全技術(shù) 抗抵賴 分組算法應(yīng)用接口規(guī)范（征求意見稿）CA密碼設(shè)備應(yīng)用程序接口（征求意見稿）雜湊算法應(yīng)用接口規(guī)范（征求意見稿）隨機性檢測標準（征求意見稿）網(wǎng)絡(luò)密碼機通用技術(shù)規(guī)范（征求意見稿）ECC算法應(yīng)用接口規(guī)范（征求意見稿） GB/T 16264.8-2005 信息技術(shù) 開放系統(tǒng)互連 目錄 第8部分：公鑰和屬性證書

33、框架GB/T 20518-2006 信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式GB/T 19714-2005 信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 證書管理協(xié)議GB/T 20519-2006 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 特定權(quán)限管理中心技術(shù)規(guī)范GB/T 19713-2005 信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書狀態(tài)協(xié)議GB/T 20520-2006 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 時間戳規(guī)范 第二部分 等級保護測評要求第二部分 等級保護測評要求（1）等級保護測評要求的理解（2）等級保護測評內(nèi)容分析（3）等級保護測評要求部分解讀 （物理安全）（4）等級保護測評要求部分解讀 （網(wǎng)絡(luò)安全）（5）等

34、級保護測評要求部分解讀 （主機安全操作系統(tǒng)）（6）等級保護測評要求部分解讀 （應(yīng)用安全）第二部分 等級保護測評要求（1）等級保護測評要求的理解2.1.3等級保護測評的內(nèi)容某級系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理2.1.4測評要求編制思路信息系統(tǒng)測評系統(tǒng)測評（對安全控制、層面、區(qū)域間關(guān)聯(lián)關(guān)系以及系統(tǒng)整體結(jié)構(gòu)，分層次綜合分析、測評）安全控制測評（以測評單元組織的測評實施）2.1.5安全控制測評思路 在內(nèi)容上，與在內(nèi)容上，與基本要求基本要求一一對應(yīng)，針對一一對應(yīng)，針對基本要求基本要求的每一個控的每一個控制項，

35、開發(fā)具體的測評實施方法。制項，開發(fā)具體的測評實施方法。 在結(jié)構(gòu)上，以在結(jié)構(gòu)上，以“測評單元測評單元”為基本工作單位，分等級進行組織。為基本工作單位，分等級進行組織。測評單元測評單元測評項測評項測評方式測評方式測評對象測評對象測評實施測評實施結(jié)果判定結(jié)果判定具體技術(shù)和管理要求具體技術(shù)和管理要求訪談訪談/檢查檢查/測試測試人員人員/文檔文檔/機制機制/設(shè)備設(shè)備測評方式對象操作測評方式對象操作是否符合測評項要求是否符合測評項要求第二部分 等級保護測評要求（3）等級保護測評要求部分解讀 （物理安全）2.3.5防雷擊本項要求包括：1. 機房建筑應(yīng)設(shè)置避雷裝置；2. 應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；應(yīng)設(shè)置防

36、雷保安器，防止感應(yīng)雷；3. 機房應(yīng)設(shè)置交流電源地線。2.3.6防雷擊實施討論在南方地區(qū)，夏季多雨水，雷擊發(fā)生的可能性很大，需要重點檢測。1. 電子信息系統(tǒng)機房施工及驗收規(guī)范GB50462-2008 2. 電子信息系統(tǒng)機房設(shè)計規(guī)范GB50174-20083. 建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范GB50343-20044. 建筑物防雷裝置檢測技術(shù)規(guī)范 GB/T21431-20082.3.7防雷擊測評實施1. 應(yīng)檢查機房建筑是否有避雷裝置，是否有交流地線；2. 應(yīng)檢查機房是否安裝防雷保安器等裝置。應(yīng)檢查機房是否安裝防雷保安器等裝置。2.3.8防雷擊結(jié)果記錄1. 機房建筑有避雷裝置，有交流地線；2. 機房

37、電源和信號線上安裝防雷保安器等裝機房電源和信號線上安裝防雷保安器等裝置置；3. 機房計算機系統(tǒng)接地設(shè)置了專用地線；機房計算機系統(tǒng)接地設(shè)置了專用地線； 4. 通過驗收或國家有關(guān)部門的技術(shù)檢測（有檢測報告）第二部分 等級保護測評要求（4）等級保護測評要求部分解讀 （網(wǎng)絡(luò)安全）2.4.1 結(jié)構(gòu)安全 本項要求包括：1.應(yīng)保證主要網(wǎng)絡(luò)設(shè)備主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2.應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；3.應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；4.應(yīng)繪制與當前運行

38、情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；5.應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6.應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；7.應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。發(fā)生擁堵的時候優(yōu)先保護重要主機。2.4.2 結(jié)構(gòu)安全要求:1.應(yīng)保證主要

39、網(wǎng)絡(luò)設(shè)備主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；測評實施:訪談網(wǎng)絡(luò)管理員，詢問主要網(wǎng)絡(luò)設(shè)備的性能及業(yè)務(wù)高峰流量。訪談網(wǎng)絡(luò)管理員，詢問采用何種手段對網(wǎng)絡(luò)設(shè)備進行監(jiān)控。通過網(wǎng)絡(luò)管理軟件,或IT資源監(jiān)控系統(tǒng),確認主要網(wǎng)絡(luò)設(shè)備主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要。應(yīng)檢查網(wǎng)絡(luò)設(shè)計/驗收文檔，查看是否有主要主要網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力、接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期的需要以及不存在帶寬瓶頸不存在帶寬瓶頸等方面等方面的設(shè)計或描述。2.4.3 結(jié)構(gòu)安全要求: 2.應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；測評實施測評實施:應(yīng)訪談網(wǎng)絡(luò)管理員，詢問

40、網(wǎng)絡(luò)中帶寬控制情況以及帶寬分配的原則應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)中帶寬控制情況以及帶寬分配的原則;詢問當前網(wǎng)絡(luò)各部分的帶寬是否滿足業(yè)務(wù)高峰需要。詢問當前網(wǎng)絡(luò)各部分的帶寬是否滿足業(yè)務(wù)高峰需要。如果無法滿足業(yè)務(wù)高峰期需要，則需迚行帶寬分配。檢查主要網(wǎng)絡(luò)設(shè)如果無法滿足業(yè)務(wù)高峰期需要，則需迚行帶寬分配。檢查主要網(wǎng)絡(luò)設(shè)備是否進行行帶寬分配。以備是否進行行帶寬分配。以CISCO IOS 為例為例:檢查配置是否類似如下配置項檢查配置是否類似如下配置項: 輸入命令輸入命令:show running-config class-map:class-1 bandwidth:percent 50 bandwith 50

41、00(kbps) max threshold 64(packets)2.4.4 結(jié)構(gòu)安全要求: 3.應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；條款理解條款理解:靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。勱態(tài)路由是指路由器能靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。勱態(tài)路由是指路由器能夠自勱地建立自己的路由表。夠自勱地建立自己的路由表。路由器之間的路由信息交換是基亍路由協(xié)議實現(xiàn)的，如路由器之間的路由信息交換是基亍路由協(xié)議實現(xiàn)的，如OSPF路由協(xié)議是路由協(xié)議是一種典型的鏈路狀態(tài)的路由協(xié)議。一種典型的鏈路狀態(tài)的路由協(xié)議

42、。如果使用動態(tài)路由協(xié)議應(yīng)配置使用路由協(xié)議認證功能，保證網(wǎng)絡(luò)路由安全。如果使用動態(tài)路由協(xié)議應(yīng)配置使用路由協(xié)議認證功能，保證網(wǎng)絡(luò)路由安全。測評實施測評實施:應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置路由控制策略以建立安全的訪應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置路由控制策略以建立安全的訪問路徑；問路徑； 以CISCO IOS為例，輸入命令：show running-config 檢查配置文件中應(yīng)當存在類似如下配置項： iproute 93 （靜態(tài)） router ospf100 （動態(tài)） ipospfmessage-digest

43、-key 1 md5 7 XXXXXX（認證碼）（認證碼） 測試：使用tracert路由命令2.4.5 結(jié)構(gòu)安全要求: 4.應(yīng)繪制與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；測評實施:登錄網(wǎng)絡(luò)管理軟件,檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，查看其與當前運行的實際網(wǎng)絡(luò)系統(tǒng)是否一致；如果沒有網(wǎng)絡(luò)管理軟件,使用其它的網(wǎng)絡(luò)管理軟件查看。如HP OPENVIEW、游龍網(wǎng)管等。2.4.6 結(jié)構(gòu)安全要求: 5.應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；條款理解：根據(jù)實際情況和區(qū)域安全防護要求，應(yīng)在主要網(wǎng)絡(luò)設(shè)備上進行VLAN劃分或子網(wǎng)劃分。不同

44、VLAN內(nèi)的報文在傳輸時是相互隔離的。如果丌同VLAN要迚行通信，則需要通過路由器或三層交換機等三層設(shè)備實現(xiàn)。使用防火墻，或使用網(wǎng)絡(luò)隔離與交換產(chǎn)品網(wǎng)絡(luò)進行劃分網(wǎng)段。測評實施：測評實施：應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)段劃分情況以及劃分的原則；詢問重要網(wǎng)段有哪些，其應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)段劃分情況以及劃分的原則；詢問重要網(wǎng)段有哪些，其具體的部署位置，與其他網(wǎng)段的隔離措施有哪些；具體的部署位置，與其他網(wǎng)段的隔離措施有哪些； 以CISCO IOS為例，輸入命令：show vlan 檢查配置文件中應(yīng)當存在類似如下配置項： vlan2 name info Int e0/2 vlan-membership st

45、atic 22.4.7 結(jié)構(gòu)安全要求: 6.應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；條款理解條款理解為了保證信息系統(tǒng)的安全，應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，防止來自外部信息系統(tǒng)的攻擊。在重要網(wǎng)段和其它網(wǎng)段之間配置安全策略進行行訪問控制。測評實施檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)，查看是否將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處，重要網(wǎng)段和其它網(wǎng)段之間是否配置安全策略進行行訪問控制，如防火墻。2.4.8 結(jié)構(gòu)安全要求: 7. 7.應(yīng)按照對業(yè)務(wù)

46、服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。測評實施：測評實施：應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置對帶寬進行控制的策略，這應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置對帶寬進行控制的策略，這些策略是否能夠保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務(wù)。些策略是否能夠保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務(wù)。 以CISCO IOS為例，檢查配置文件中是否存在類似如下配置項： policy-map barpolicy-map bar class voice class voice

47、 priority percent 10 priority percent 10 class data class data bandwidth percent 30 bandwidth percent 30 class video class video bandwidth percent 20 bandwidth percent 202.4.9 訪問控制 本項要求包括：1.應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；2.應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級控制粒度為端口級；3.應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行

48、過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；等協(xié)議命令級的控制；4.應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；5.應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6.重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7.應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；8.應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。 2.4.10 訪問控制 要求:1.應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；條款理解條款理

49、解o在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,防御來自其他網(wǎng)絡(luò)的攻擊，保護內(nèi)部網(wǎng)絡(luò)的安全。測評實施o檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)，查看是否在網(wǎng)絡(luò)邊界處部署了訪問控制設(shè)備，是否啟用了訪問控制功能。2.4.11 訪問控制 要求:2.應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制，控制粒度為端口級粒度為端口級；條款理解條款理解o在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,對進出網(wǎng)絡(luò)的流量進行過濾，保護內(nèi)部網(wǎng)絡(luò)的安全。o配置的訪問控制列表應(yīng)有明確的源/目的地址、源/目的、協(xié)議及服務(wù)等。測評實施（以路由器，或防火墻） 以CISCO IOS為例，輸入命令：show ipaccess-list 檢查配置文件中應(yīng)當存在類似如下配置項

50、： no access-list 111 ipaccess-list extended 111 deny ipx.x.x.0 55 any log interface eth 0/0 ipaccess-group 111 in2.4.12 訪問控制 以防火墻檢查為例，應(yīng)有明確的訪問控制策略，如下圖所示：2.4.13 訪問控制 要求:3.應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；等協(xié)議命令級的控制；條款理解條款理解o對亍一些常用的應(yīng)用層協(xié)議，能夠在訪問控制設(shè)備上實現(xiàn)應(yīng)

51、用層協(xié)議命令級的控制和內(nèi)容檢查，從而增強訪問控制粒度。測評實施測評實施o該測評項一般在防火墻、入侵防御系統(tǒng)上檢查。o首先查看防火墻、入侵防御系統(tǒng)是否具有該功能，然后登錄設(shè)備查看是否啟用了相應(yīng)的功能。2.4.14 訪問控制 以聯(lián)想網(wǎng)御防火墻為例，如下圖所示：2.4.15 訪問控制 要求:4.應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；條款理解條款理解o當惡意用戶迚行網(wǎng)絡(luò)攻擊時，有時會發(fā)起大量會話連接，建立會話后長時間保持狀態(tài)連接從而占用大量網(wǎng)絡(luò)資源，最終將網(wǎng)絡(luò)資源耗盡的情況。o應(yīng)在會話終止或長時間無響應(yīng)的情況下終止網(wǎng)絡(luò)連接，釋放被占用網(wǎng)

52、絡(luò)資源，保證業(yè)務(wù)可以被正常訪問。測評實施o該測評項一般在防火墻上檢查。o登錄防火墻，查看是否設(shè)置了會話連接超時，設(shè)置的超時時間是多少，判斷是否合理。2.4.16 訪問控制 以天融信防火墻為例，如下圖所示：2.4.17 訪問控制 要求:5.應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；條款理解條款理解o可根據(jù)IP地址、端口、協(xié)議來限制應(yīng)用數(shù)據(jù)流的最大流量，還可以根據(jù)IP地址來限制網(wǎng)絡(luò)連接數(shù)，從而保證業(yè)務(wù)帶寬丌被占用，業(yè)務(wù)系統(tǒng)可以對外正常提供業(yè)務(wù)。測評實施o該測評項一般在防火墻上檢查。訪談系統(tǒng)管理員，依據(jù)實際網(wǎng)絡(luò)狀況是否需要限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。o登錄設(shè)備查看是否設(shè)

53、置了最大流量數(shù)和連接數(shù)，并做好記錄。2.4.18 訪問控制 以天融信防火墻為例，如下圖所示：2.4.19 訪問控制 要求:6.重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；o條款理解條款理解o地址欺騙在網(wǎng)絡(luò)安全中比較重要的一個問題,這里的地址,可以是MAC地址,也可以是IP地址。在關(guān)鍵設(shè)備上，采用IP/MAC地址綁定方式防止地址欺騙。測評實施以CISCO IOS為例，輸入show ip arp 檢查配置文件中應(yīng)當存在類似如下配置項： arp 0000.e268.9980 arpa2.4.20 訪問控制 以聯(lián)想網(wǎng)御防火墻為例，如下圖所示：2.4.2

54、1 訪問控制 要求:7.應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；條款理解條款理解o對亍進程撥號用戶，應(yīng)在相關(guān)設(shè)備上提供用戶認證功能。o通過配置用戶、用戶組，并結(jié)合訪問控制規(guī)則可以實現(xiàn)對認證成功的用戶允許訪問受控資源。測評實施o登錄相關(guān)設(shè)備查看是否對撥號用戶迚行身份認證，是否配置訪問控制規(guī)則對認證成功的用戶允許訪問受控資源。2.4.22 訪問控制 要求:8.應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。條款理解條款理解o應(yīng)限制通過進程采用撥號方式或通過其他方式連入系統(tǒng)內(nèi)部的用戶數(shù)量。測評實施o詢問系統(tǒng)管理員，是否有進程撥號用戶，采用什么方式接入系統(tǒng)部，

55、采用何種方式迚行身份認證，具體用戶數(shù)量有多少。 2.4.23 安全審計本項要求包括：1. 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；2. 審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；3. 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；4. 應(yīng)對審計記錄進行保護，避免受到未預期的刪除、應(yīng)對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。修改或覆蓋等。第二部分 等級保護測評要求（5）等級保護測評要求部分解讀 （主機安全操作系統(tǒng)）2.5.1 身份鑒別本項要求包括：1.應(yīng)對登錄操作系統(tǒng)和

56、數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；2.操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應(yīng)具有不易被冒用的特點，口令應(yīng)有復雜度要求并定期更換；3.應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；4.當對服務(wù)器進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；5.應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。6.應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。2.5.2 身份鑒別要求:1.應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；條款理解用戶的身份標識和鑒別

57、，就是用戶向系統(tǒng)以一種安全的方式提交自己的身份證實，然后由系統(tǒng)確認用戶的身份是否屬實的過程。2.5.3 身份鑒別測評實施 Window：訪談系統(tǒng)管理員，系統(tǒng)用戶是否已設(shè)置密碼，并查看登錄過程中系統(tǒng)賬戶是否使用了密碼進行驗證登錄。 Linux：采用查看方式，在root權(quán)限下，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用戶名狀態(tài)2.5.4 身份鑒別要求:2.操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應(yīng)具有不易被冒用的特點，口令應(yīng)有復雜度要求并定期更換；測評實施 Windows:本地安全策略-帳戶策略-密碼策略中的相關(guān)項目 Linux:采用查看方式，在root

58、權(quán)限下，使用命令more、cat或vi查看/etc/login.defs文件中相關(guān)配置參數(shù)2.5.5 身份鑒別2.5.6 身份鑒別2.5.7 身份鑒別要求:3.應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；條款理解要求系統(tǒng)應(yīng)具有一定的登錄控制功能?？梢酝ㄟ^適當?shù)呐渲谩皫翩i定策略”來對用戶的登錄進行限制。如帳戶鎖定閾值，帳戶鎖定時間等。測評實施Windows:本地安全策略-帳戶策略-帳戶鎖定策略中的相關(guān)項目Linux:采用查看方式，在root權(quán)限下，使用命令more、cat或vi查看/etc/pam.d/system-auth文件中相關(guān)配置參數(shù)2.5.8 身份鑒別2

59、.5.9 身份鑒別2.5.10 身份鑒別要求:4.當對服務(wù)器進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；條款理解為方便管理員進行管理操作，眾多服務(wù)器采用了網(wǎng)絡(luò)登錄的方式進行遠程管理操作，例如Linux可以使用telnet登錄，Windows使用遠程終端服務(wù)?；疽笠?guī)定了這些傳輸?shù)臄?shù)據(jù)需要進行加密處理過，目的是為了保障帳戶與口令的安全。測評實施Windows: 確認操作系統(tǒng)版本 確認終端服務(wù)器使用了SSL加密 確認RDP客戶端使用SSL加密2.5.11 身份鑒別 Linux: 在root權(quán)限下，使用命令more、cat或vi查看是否運行了sshd服務(wù)：service s

60、tatus-all | grep sshd 若未使用ssh方式進行遠程管理，則查看是否使用了telnet方式進行遠程管理：service status-all | grep running2.5.12 身份鑒別要求:5.應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。條款理解條款理解對于操作系統(tǒng)來說，用戶管理是操作系統(tǒng)應(yīng)具備的基本功能。用戶管理由創(chuàng)建用戶和組以及定義它們的屬性構(gòu)成。用戶的一個主要屬性是如何對他們進行認證。用戶是系統(tǒng)的主要代理。其屬性控制他們的訪問權(quán)、環(huán)境、如何對他們進行認證以及如何、何時、在哪里可以訪問他們的帳戶。因此，用戶標識的唯一性至關(guān)重要。如果系