國家安全評測技術白皮書

1、信息系統(tǒng)安全測評信息系統(tǒng)安全測評業(yè)務白皮書業(yè)務白皮書中國信息安全測評中心2008 年 8 月第第 1 1 章章 信息系統(tǒng)安全測評信息系統(tǒng)安全測評信息系統(tǒng)安全是關乎國家穩(wěn)定、 企業(yè)生存與發(fā)展的重大課題，在信息技術日益發(fā)展的今天， 如何通過信息系統(tǒng)安全測評工作，最大限度使組織結(jié)構預知存在的安全隱患， 最大限度地保證國家重要基礎設施和重點行業(yè)的安全穩(wěn)定運營，已經(jīng)成為當前我國信息安全工作的重點。 信息技術作為支撐企業(yè)業(yè)務服務的重要基礎性設施，直接影響組織機構的對外服務。是否可以通過主動地、定期地系統(tǒng)安全測評， 做到事前規(guī)避？現(xiàn)實情況是很多組織機構在信息安全測評工作方面還存在巨大的誤區(qū)和盲區(qū)。信息系統(tǒng)安

2、全測評工作成為組織機構信息系統(tǒng)建設、運營過程中的短板。中國信息安全測評中心是經(jīng)中央批準成立的國家信息安全權威測評機構， 職能是開展信息安全漏洞分析和風險評估工作。開展信息系統(tǒng)安全測評工作，旨在引入信息系統(tǒng)安全測評方法，利用先進技術測試手段、風險度量方法和切實的測評角度， 確保組織機構將安全風險降低到可接受的程度，從而保障其業(yè)務安全穩(wěn)定運營。第第 2 2 章章 測評類型測評類型信息系統(tǒng)安全測評致力于為國家重要行業(yè)、部委提供科學、客觀、規(guī)范、務實的安全評估套餐式服務，經(jīng)過長期的標準研究、工具探索、項目實踐以及眾多信息安全專家的反復論證，現(xiàn)已形成系列服務產(chǎn)品，包括：1、信息安全風險評估2、信息系統(tǒng)安

3、全等級保護測評3、信息系統(tǒng)安全評估4、遠程滲透測試5、信息系統(tǒng)安全監(jiān)控6、信息系統(tǒng)安全方案評審2.12.1 信息安全風險評估信息安全風險評估2.1.12.1.1 評估目標評估目標由我中心高級測評工程師和咨詢專家共同組成的評估團隊， 采用眾多漏洞測試工具和工作模版，從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性， 評估安全事件一旦發(fā)生可能造成的危害程度， 提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風險， 將風險控制在可接受的水平， 從而最大限度地為保障信息安全提供科學依據(jù)。2.1.22.1.2 適用對象適用對象具有風險管理意識，關注信息

4、系統(tǒng)安全風險的國家重要行業(yè)、部委。2.1.32.1.3 評估依據(jù)評估依據(jù)1、gb/t 20984信息安全風險評估規(guī)范2、gb/t 20274信息系統(tǒng)安全保障評估框架3、行業(yè)信息安全標準4、用戶自身業(yè)務安全需求2.1.42.1.4 評估流程評估流程委托單位提出申請，測評機構按商務流程受理。受理申請委托單位按測評文檔準備指南提交資料。測評機構組織項目組審核提交的文檔指導委托單位修改完善相關材料靜態(tài)評估通過審核通過測評機構制定評估方案及計劃、準備評估工具，協(xié)調(diào)有關工作未通過現(xiàn)場評估按照評估計劃實施現(xiàn)場評估根據(jù)現(xiàn)場測評結(jié)果對風險分析，制定風險列表風險分析與委托單位共同確定可接受風險范圍，提出風險處置建

5、議2.1.52.1.5 評估內(nèi)容評估內(nèi)容評估信息系統(tǒng)存在的高中低風險的數(shù)量、可能性、影響。主要從安全技術和安全管理兩個角度：安全技術網(wǎng)絡層安全主機系統(tǒng)層安全應用層安全數(shù)據(jù)安全安全管理安全管理組織機構安全管理制度人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理物理安全2.1.62.1.6 評估方式評估方式配置核查-由測評人員在委托單位現(xiàn)場根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關鍵設備當時的安全配置參數(shù)。工具測試-由資深測評人員采用自動化工具對被評估系統(tǒng)進行漏洞檢測。專家訪談-由資深測評人員到委托單位同信息安全主管、it 審計部門、開發(fā)部門及運維部門按我中心調(diào)查模版要求進行面對面訪談。資料審閱-查閱信息系統(tǒng)建設、

6、運維過程中的過程文檔、記錄，采用分時段系統(tǒng)查閱和有針對性抽樣查閱的方法進行。專家評議-組織本中心行業(yè)專家運用恰當?shù)娘L險分析方法進行集體會診評議。2.1.72.1.7 評估成果評估成果我中心向委托機構提交信息系統(tǒng)安全風險評估報告，報告中包含整改建議。2.22.2 信息系統(tǒng)安全等級保護測評信息系統(tǒng)安全等級保護測評2.2.12.2.1 評估目標評估目標由我中心高級測評工程師組成的評估團隊，依據(jù)公安部 信息系統(tǒng)安全等級保護測評準則 中與信息系統(tǒng)備案等級相對應的測評項，進行信息系統(tǒng)安全等級符合性測評，出具是否滿足信息系統(tǒng)安全保護等級的測評結(jié)論。2.2.22.2.2 適用對象適用對象致力于國家信息系統(tǒng)安全

7、等級保護測評工作的國家重要行業(yè)、部委。2.2.32.2.3 評估依據(jù)評估依據(jù)1、信息系統(tǒng)安全保護等級測評準則2、行業(yè)信息安全標準3、用戶自身業(yè)務安全需求2.2.42.2.4 評估流程評估流程委托單位提出申請，測評機構按商務流程受理。受理申請委托單位按測評文檔準備指南提交資料。測評機構組織項目組審核提交的文檔指導委托單位修改完善相關材料靜態(tài)評估審核通過測評機構制定評估方案及計劃、準備評估工具，協(xié)調(diào)有關工作未通過現(xiàn)場評估按照評估計劃實施現(xiàn)場評估根據(jù)單項測評結(jié)果分析安全控制、系統(tǒng)結(jié)構間、層面、區(qū)域的關聯(lián)性測評整體關聯(lián)性分析與委托單位共同確定可接受風險范圍，提出風險處置建議2.2.52.2.5 評估內(nèi)

8、容評估內(nèi)容主要從安全技術和安全管理兩個角度：安全技術網(wǎng)絡層安全主機系統(tǒng)層安全應用層安全數(shù)據(jù)安全安全管理安全管理組織機構安全管理制度人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理物理安全2.2.62.2.6 評估方式評估方式配置核查-由測評人員根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關鍵設備當時的安全配置參數(shù)。工具測試-由資深測評人員采用自動化工具對被評估系統(tǒng)進行漏洞檢測。專家訪談-由資深測評人員到委托單位同信息安全主管、it 審計部門、開發(fā)部門及運維部門按我中心調(diào)查模版要求進行面對面訪談。資料審閱-查閱信息系統(tǒng)建設、運維過程中的過程文檔、記錄，采用分時段系統(tǒng)查閱和有針對性抽樣查閱的方法進行。專家評議-組織本中

9、心行業(yè)專家運用恰當?shù)娘L險分析方法進行集體會診評議。2.2.72.2.7 評估成果評估成果我中心向委托機構提交信息系統(tǒng)安全等級保護測評報告，報告中包含整改建議。2.32.3信息系統(tǒng)安全評估信息系統(tǒng)安全評估2.3.12.3.1 評估目標評估目標由我中心高級測評工程師組成的評估團隊，依據(jù) gb/t 20274 信息系統(tǒng)安全保障框架， 進行信息系統(tǒng)安全保障能力級的符合性測評，出具是否滿足信息系統(tǒng)安全保障能力級的測評結(jié)論。2.3.22.3.2 適用對象適用對象關注信息系統(tǒng)安全保障能力建設的國家重要行業(yè)、部委。2.3.32.3.3 評估依據(jù)評估依據(jù)1、gb/t 20274信息系統(tǒng)安全保障評估框架2、行業(yè)信

10、息安全標準3、用戶自身業(yè)務安全需求2.3.42.3.4 評估流程評估流程委托單位提出申請，測評機構按商務流程受理。受理申請委托單位按測評文檔準備指南提交資料。測評機構組織項目組審核提交的文檔指導委托單位修改完善相關材料靜態(tài)評估審核通過測評機構制定評估方案及計劃、準備評估工具，協(xié)調(diào)有關工作未通過現(xiàn)場評估按照評估計劃實施測試是否符合保障能力級別要求安全保障能力級分析符合不符合提出改進建議，委托單位整改編寫安全保障能力級報告，發(fā)放測評證書。2.3.52.3.5 評估內(nèi)容評估內(nèi)容主要從安全技術、安全管理和安全工程三個角度：安全技術網(wǎng)絡層安全主機系統(tǒng)層安全應用層安全數(shù)據(jù)安全安全管理風險管理信息安全策略安

11、全組織管理人員安全管理資產(chǎn)管理符合性管理物理安全信息安全規(guī)劃信息系統(tǒng)建設管理信息系統(tǒng)運維管理業(yè)務連續(xù)性管理事故響應安全工程風險過程工程過程保障過程2.3.62.3.6 評估方式評估方式配置核查-由測評人員根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關鍵設備當時的安全配置參數(shù)。工具測試-由資深測評人員采用自動化工具對被評估系統(tǒng)進行漏洞檢測。專家訪談-由資深測評人員到委托單位同信息安全主管、it 審計部門、開發(fā)部門及運維部門按我中心調(diào)查模版要求進行面對面訪談。資料審閱-查閱信息系統(tǒng)建設、運維過程中的過程文檔、記錄，采用分時段系統(tǒng)查閱和有針對性抽樣查閱的方法進行。專家評議-組織本中心行業(yè)專家運用恰當?shù)娘L險分析

12、方法和保障能力級判定方法進行集體會診評議。2.3.72.3.7 評估成果評估成果我中心向委托機構提交信息系統(tǒng)安全評估報告，并頒發(fā)“信息系統(tǒng)安全審定書”。2.42.4 遠程滲透測試遠程滲透測試2.4.12.4.1 工作目標工作目標由我中心滲透測試小組模擬黑客使用的漏洞發(fā)現(xiàn)技術和攻擊手段， 從攻擊者的角度對目標系統(tǒng)的網(wǎng)絡、 主機系統(tǒng)、 應用服務的安全性作深入的非破壞性探測，以發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)。滲透測試通常能以非常明顯、直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。2.4.22.4.2 適用對象適用對象委托單位關注來自互聯(lián)網(wǎng)的惡意攻擊。2.4.32.4.3 測試流程測試流程委托單位提出申請，并提供委托測試的i

13、p地址，測評機構按商務流程受理。提供滲透測試報告，包括滲透成功的截屏圖、危害分析和加固建議。受理申請?zhí)峁y試結(jié)果2.4.42.4.4 測試內(nèi)容測試內(nèi)容信息泄露：對外服務是否暴露了可能被黑客利用的敏感信息業(yè)務邏輯測試：系統(tǒng)是否在業(yè)務邏輯設計上存在被黑客利用的漏洞認證測試：系統(tǒng)是否存在弱口令、繞過身份認證、瀏覽器緩存管理等漏洞會話管理測試：系統(tǒng)是否存在會話劫持、csrf 等漏洞數(shù)據(jù)有效性驗證測試：系統(tǒng)是否存在 sql 注入、跨占腳本攻擊、ldap 注入等漏洞拒絕服務測試：系統(tǒng)是否易受 ddos 攻擊web 服務測試ajax 測試2.4.52.4.5 工作方式工作方式非現(xiàn)場監(jiān)控-由專門的滲透測試小組

14、通過互聯(lián)網(wǎng)進行遠程測試。2.4.62.4.6 評估成果評估成果我中心向委托機構提交信息系統(tǒng)遠程滲透測試報告。2.52.5 系統(tǒng)安全監(jiān)控系統(tǒng)安全監(jiān)控2.5.12.5.1 工作目標工作目標由我中心高級測評工程師組成的監(jiān)控團隊，采用我中心內(nèi)部的安全監(jiān)控模版，對委托單位信息系統(tǒng)進行黑客入侵、網(wǎng)站掛馬等安全監(jiān)控，經(jīng)過內(nèi)部分析向委托單位提交重大安全隱患分析報告和安全態(tài)勢分析報告。2.5.22.5.2 適用對象適用對象關注重要時間段（例如奧運期間）信息系統(tǒng)安全穩(wěn)定運營的國家重要行業(yè)、部委。2.5.32.5.3 監(jiān)控流程監(jiān)控流程委托單位提出申請，測評機構按商務流程受理。委托單位填寫測評文檔準備指南和系統(tǒng)安全監(jiān)

15、控需求表提交資料。受理申請測評機構組織項目組審核提交的文檔指導委托單位修改完善相關材料非現(xiàn)場準備通過審核通過測評機構制定監(jiān)控工作方案，準備監(jiān)控工具和模版未通過現(xiàn)場準備搭建監(jiān)控工作環(huán)境，了解監(jiān)控對象的管理方式采集監(jiān)控數(shù)據(jù)現(xiàn)場監(jiān)控分析監(jiān)控數(shù)據(jù)是否有安全事件無，進入下一工作日有安全事件預警綜合分析安全態(tài)勢分析2.5.42.5.4 監(jiān)控內(nèi)容監(jiān)控內(nèi)容門戶網(wǎng)站是否受到黑客威脅網(wǎng)站是否被掛馬網(wǎng)絡流量是否異常網(wǎng)絡中病毒泛濫趨勢網(wǎng)絡中是否存在入侵事件2.5.52.5.5 工作方式工作方式現(xiàn)場監(jiān)控-由測評人員根據(jù)監(jiān)控模版內(nèi)容獲取并分析信息系統(tǒng)關鍵設備當時的安全信息。非現(xiàn)場監(jiān)控-由資深測評人員采用日志分析工具對被監(jiān)

16、控系統(tǒng)的各種日志進行綜合分析。2.5.62.5.6 評估成果評估成果我中心向委托機構提交信息系統(tǒng)安全態(tài)勢分析報告。2.62.6 信息系統(tǒng)安全方案評審信息系統(tǒng)安全方案評審2.6.12.6.1 工作目標工作目標由我中心組織行業(yè)專家和滲透測試測評工程師， 對信息系統(tǒng)安全方案進行評估，幫助委托單位了解安全方案在實施后系統(tǒng)安全是否能實現(xiàn)最大預期值。2.6.22.6.2 適用對象適用對象 1、在信息系統(tǒng)投入建設之前，希望確定信息系統(tǒng)實施方案中的安全設計是否合理有效，可以申請信息系統(tǒng)安全方案評審。 2、在信息系統(tǒng)即將進行擴建之前，希望確定信息系統(tǒng)擴建方案中的安全設計是否合理有效，可以申請信息系統(tǒng)安全方案評審

17、。 3、在面對多種安全方案，無從選擇時，可以申請信息系統(tǒng)安全方案評審，由中心作為第三方對各個安全方案進行評估，委托單位根據(jù)評估結(jié)果和自身情況，選擇最佳方案。 4、在信息系統(tǒng)投入運行后，希望對系統(tǒng)采用的安全方案的合理性和有效性進行評估， 從而了解在方案實施后可能存在哪些安全問題， 以便作進一步的改進，可以申請信息系統(tǒng)安全方案評審。2.6.32.6.3 評審依據(jù)評審依據(jù)1、gb/t 20984信息安全風險評估規(guī)范2、gb/t 20274信息系統(tǒng)安全保障評估框架3、行業(yè)信息安全標準4、用戶自身業(yè)務安全需求2.6.42.6.4 評審流程評審流程委托單位提出申請，測評機構按商務流程受理。受理申請委托單位

18、提交待評審方案。測評機構組織項目組審核提交的文檔指導委托單位修改完善相關材料準備階段通過審核通過測評機構組織行業(yè)專家，準備召開專家評審會未通過專家評議整體分析，出具專家評審意見2.6.52.6.5 評審內(nèi)容評審內(nèi)容安全方案的設計是否滿足業(yè)務安全需求安全方案的設計是否滿足相關法律、法規(guī)以及行業(yè)標準的要求安全方案設計是否合理安全方案設計是否可行2.6.62.6.6 工作方式工作方式專家訪談-由資深測評人員通過電話遠程同方案設計者進行深層次的業(yè)務安全需求交流。專家評議-組織行業(yè)專家進行集體會診評議。2.6.72.6.7 評估成果評估成果我中心向委托機構提交信息系統(tǒng)安全方案評審報告。第第 3 3 章章

19、 測評內(nèi)容測評內(nèi)容每個項目的安全測評內(nèi)容可根據(jù)委托單位信息系統(tǒng)的實際情況定制。 下面介紹我中心可提供的測評內(nèi)容。3.13.1 安全技術安全技術網(wǎng)絡層安全網(wǎng)絡層安全信息系統(tǒng)網(wǎng)絡架構設計是否安全合理網(wǎng)絡訪問控制是否嚴格有效網(wǎng)絡安全審計是否有效是否存在“非法外聯(lián)”行為網(wǎng)絡入侵防范措施是否有效惡意代碼防范措施是否有效網(wǎng)絡設備、安全設備配置是否安全、有效主機系統(tǒng)安全主機系統(tǒng)安全（針對操作系統(tǒng)、數(shù)據(jù)庫、中間件）是否能對主機系統(tǒng)用戶設置恰當?shù)纳矸蓁b別手段后臺維護人員的權限是否是最小授權后臺維護人員的邏輯訪問路徑是否可信安全審計記錄是否完整入侵防范措施、惡意代碼防范是否充分有效主機系統(tǒng)資源使用是否可控應用系統(tǒng)

20、安全應用系統(tǒng)安全（針對應用軟件）是否能對應用軟件用戶設置恰當?shù)纳矸蓁b別手段用戶訪問權限是否是最小授權安全審計記錄是否完整剩余信息是否能夠被釋放或重新分配是否能保證通信過程中的完整性、保密性是否能保證交易的抗抵賴性是否能保證軟件容錯應用系統(tǒng)資源使用是否可控是否存在代碼安全缺陷信息流分析信息流分析根據(jù)業(yè)務流程和正確數(shù)據(jù)流向， 通過抓取數(shù)據(jù)包判斷信息系統(tǒng)范圍內(nèi)是否有非法數(shù)據(jù)流和異常連接網(wǎng)站掛馬監(jiān)測網(wǎng)站掛馬監(jiān)測網(wǎng)站是否被植入木馬無線安全檢測無線安全檢測無線局域網(wǎng)設備配置是否安全合理是否能夠通過無線網(wǎng)絡非法接入并非法訪問受保護系統(tǒng)日志分析日志分析分析系統(tǒng)安全威脅來源， 威脅源可能采用的攻擊方式，對疑似黑客行為進行分析并提供相應的解決方法3.23.2 安全管理安全管理風險管理風險管理是否能夠以信息安全風險管理思想為核心， 進行風險評估、風險控制等風險管理活動信息安全策略（管理制度）信息安全策略（管理制度）是否有恰當?shù)陌踩芾碇贫润w系安全管理制度體系的制定、審批、維護流程是否存在并能夠有效組織實施安全組織管