等級保護知識培訓(xùn)

等級保護培訓(xùn).目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護基本要求等級保護實施等級保護測評我公司開展的等級保護服務(wù).等級保護標(biāo)準(zhǔn)制修訂背景2003年9月中辦國辦頒發(fā)《關(guān)于加強信息安全保障工作的意見》中辦發(fā)[2003]27號2005年9月國信辦文件《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級保護實施指南》的通知》國信辦[2004]25號2006年1月四部委會簽《關(guān)于印發(fā)《信息安全等級保護管理辦法的通知》公通字[2006]7號2005年公安部標(biāo)準(zhǔn)《基本要求》《定級指南》《實施指南》《測評準(zhǔn)則》2004年11月四部委會簽《關(guān)于信息安全等級保護工作的實施意見》公通字[2004]66號云南云南省人民政府第130號令浙江浙江省人民政府令北京北京政府第9號令國家級政策文件國家級技術(shù)標(biāo)準(zhǔn)國家級政策文件地方政策文件.什么是等級保護？信息系統(tǒng)安全等級保護是指對信息和信息系統(tǒng)劃分為五個安全保護和監(jiān)管等級，實行分等級保護。.“一個提高，四個有利于”

有效地提高我國信息安全建設(shè)的整體水平

有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于加強對涉及國家安全、經(jīng)濟秩序、社會穩(wěn)定和公共利益的信息系統(tǒng)的安全保護和管理監(jiān)督；為什么實行等級保護？.

有利于明確國家、法人和其他組織、公民的安全責(zé)任，強化政府監(jiān)管職能，共同落實各項安全建設(shè)和安全管理措施；有利于提高安全保護的科學(xué)性、整體性、針對性，推動信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會主義市場經(jīng)濟發(fā)展的信息安全發(fā)展模式。為什么實行等級保護？.

為什么實行等級保護？.2003-2007被篡改網(wǎng)站數(shù)量我國.

為什么實行等級保護？真正的中國工商銀行網(wǎng)站假冒的中國工商銀行網(wǎng)站.等保的對象及頻度

系統(tǒng)新建發(fā)生過重大事件未進行過測評網(wǎng)絡(luò)或信息系統(tǒng)重大變更安全事件爆發(fā) 監(jiān)管部門提出要求（重要時期前，例奧運會，亞運會）每年（三級）進行一次每半年（四級）進行一次.目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護基本要求等級保護實施等級保護測評我公司開展的等級保護服務(wù).等級保護測評流程

.等保測評參考標(biāo)準(zhǔn)GB/T22240信息系統(tǒng)安全等級保護定級指南GB/T22239信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護實施指南等級保護測評準(zhǔn)則（已基本廢棄）.目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護基本要求等級保護實施等級保護驗收測評我公司開展的等級保護支持服務(wù).等級保護定級維度等級保護對象受到破壞時所侵害的客體對客體造成侵害的程度.定級階段-關(guān)于定級范圍（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。（二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。

（三）市（地）級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)

.一、定級對象的三個條件具有唯一確定的安全責(zé)任單位作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位，這個安全責(zé)任單位就是負責(zé)等級保護工作部署、實施的單位，也是完成等級保護備案和接受監(jiān)督檢查的直接責(zé)任單位。滿足信息系統(tǒng)的基本要素作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件，如單臺的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級對象。定級階段-關(guān)于定級對象確定.一、定級對象的三個條件承載相對獨立的業(yè)務(wù)應(yīng)用定級對象承載“相對獨立”的業(yè)務(wù)應(yīng)用是指其中的一個或多個業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、部分業(yè)務(wù)功能獨立，同時與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備?！跋鄬Κ毩ⅰ钡臉I(yè)務(wù)應(yīng)用并不意味著整個業(yè)務(wù)流程，可以是完整的業(yè)務(wù)流程的一部分。定級階段-關(guān)于定級對象確定.二、定級對象的識別和劃分可能使定級要素賦值不同因素可能涉及不同客體的系統(tǒng)?？赡軐腕w造成不同程度損害的系統(tǒng)。處理不同類型業(yè)務(wù)的系統(tǒng)。本身運行在不同的網(wǎng)絡(luò)環(huán)境中的系統(tǒng)。分不開的系統(tǒng)，按照高級別保護。定級階段-關(guān)于定級對象確定.識別單位基本信息了解單位基本信息有助于判斷單位的職能特點，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。識別業(yè)務(wù)種類、流程和服務(wù)應(yīng)重點了解定級對象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及對本單位以外機構(gòu)或個人的影響等方面。這些具體數(shù)據(jù)即可以為主管部門制定定級指導(dǎo)意見提供參照，也可以作為主管部門審批定級結(jié)果的重要依據(jù)。定級階段-關(guān)于定級過程.識別信息調(diào)查了解定級對象信息系統(tǒng)所處理的信息，了解單位對信息的三個安全屬性的需求，了解不同業(yè)務(wù)數(shù)據(jù)在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽、人身安全等方面可能對國家、社會、本單位造成的影響，對影響程度的描述應(yīng)盡可能量化。識別網(wǎng)絡(luò)結(jié)構(gòu)和邊界調(diào)查了解定級對象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、安全防護和外部連接情況，目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點，以及該信息系統(tǒng)的網(wǎng)絡(luò)安全保護與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護的關(guān)系。定級階段-關(guān)于定級過程.識別主要的軟硬件設(shè)備調(diào)查了解與定級對象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終端、存儲設(shè)備以及安全設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。識別用戶類型和分布調(diào)查了解各系統(tǒng)的管理用戶和一般用戶，內(nèi)部用戶和外部用戶，本地用戶和遠程用戶等類型，了解用戶或用戶群的數(shù)量分布，判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。形成定級結(jié)果取各類信息和服務(wù)的較高。定級階段-關(guān)于定級過程.定級階段-關(guān)于三種危害程度

不同危害后果的三種危害程度描述如下：一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。嚴(yán)重損害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴(yán)重損害。特別嚴(yán)重損害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴(yán)重損害。.等級保護對象受到破壞時所侵害的客體包括以下三個方面：公民、法人和其他組織的合法權(quán)益；社會秩序、公共利益；國家安全。定級階段-三種客體.定級要素與安全保護等級的關(guān)系

.對《定級指南》中有關(guān)概念的補充說明：三種客體對客體侵害程度定級階段_關(guān)鍵概念的補充說明. 三種受侵害的客體體現(xiàn)了三種不同層次、不同覆蓋范圍的社會關(guān)系。國家安全利益體現(xiàn)了國家層面、與全局相關(guān)的國家政治安全、軍事安全、經(jīng)濟安全、社會安全、科技安全和資源環(huán)境安全等方面利益。社會秩序包括社會的政治、經(jīng)濟、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會成員所共同享有的，維持其生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益，定級階段-三種客體說明.對客體的侵害不是威脅直接作用的結(jié)果，而是通過對等級保護對象——信息系統(tǒng)的破壞而導(dǎo)致的，因此確定對客體侵害的程度時，必須考慮對等級保護對象所造成破壞的不同客觀表現(xiàn)形態(tài)以及不同程度的結(jié)果，也就是侵害的客觀方面。定級階段.定級階段-關(guān)于損害的詳述安全保護級別信息和信息系統(tǒng)受到破壞后的影響1自主保護級不會損害國家安全、社會秩序和公共利益。2指導(dǎo)保護級會對社會秩序和公共利益造成輕微損害，但不損害國家安全。3監(jiān)督保護級會對國家安全、社會秩序和公共利益造成損害。4強制保護級會對國家安全、社會秩序和公共利益造成嚴(yán)重損害。5?？乇Ｗo級會對國家安全、社會秩序和公共利益造成特別嚴(yán)重損害。.定級階段-關(guān)于定級級別等級對象侵害客體侵害程度監(jiān)管強度第一級一般系統(tǒng)合法利益損害自主性保護第二級合法權(quán)益嚴(yán)重損害指導(dǎo)性保護社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重損害監(jiān)督性保護國家安全損害第四級社會秩序和公共利益特別嚴(yán)重損害強制性保護國家安全嚴(yán)重損害第五級極端重要系統(tǒng)國家安全特別嚴(yán)重損害?？匦员Ｗo.定級階段-關(guān)于定級方法定級的一般方法信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護等級稱業(yè)務(wù)信息安全保護等級。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護等級稱系統(tǒng)服務(wù)安全保護等級。.定級階段-關(guān)于定級方法.定級階段-關(guān)于定級方法與流程根據(jù)業(yè)務(wù)信息安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)下表業(yè)務(wù)信息安全保護等級矩陣表，即可得到業(yè)務(wù)信息安全保護等級。

.四個主要因素決定等級系統(tǒng)所屬類型業(yè)務(wù)信息類別系統(tǒng)服務(wù)范圍業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性業(yè)務(wù)服務(wù)保證性信息系統(tǒng)安全保護等級侵害的程度如何？（對客體造成侵害的程度）一般損害

嚴(yán)重損害

特別嚴(yán)重損害受到破壞時侵害了什么？（客體）公民、法人

社會秩序、公共利益

國家安全.定級階段-關(guān)于等級變更

在信息系統(tǒng)的運行過程中，安全保護等級應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進行適當(dāng)?shù)淖兏绕涫钱?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害客體和對客體的侵害程度有較大的變化，可能影響到系統(tǒng)的安全保護等級時，應(yīng)根據(jù)定級標(biāo)準(zhǔn)給出的定級方法重新定級.定級案例-三級系統(tǒng)定級

.定級案例-三級系統(tǒng)定級

.定級案例-三級系統(tǒng)定級

.定級案例-三級系統(tǒng)定級

.目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護基本要求等級保護實施等級保護測評我公司開展的等級保護服務(wù).基本要求的作用信息系統(tǒng)安全等級保護基本要求運營、使用單位（安全服務(wù)商）主管部門（等級測評機構(gòu)）安全保護測評檢查.基本要求的定位是系統(tǒng)安全保護、等級測評的一個基本“標(biāo)尺”，同樣級別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來衡量，保證權(quán)威性，是一個達標(biāo)線；每個級別的信息系統(tǒng)按照基本要求進行保護后，信息系統(tǒng)具有相應(yīng)等級的基本安全保護能力，達到一種基本的安全狀態(tài);是每個級別信息系統(tǒng)進行安全保護工作的一個基本出發(fā)點，更加貼切的保護可以通過需求分析對基本要求進行補充，參考其他有關(guān)等級保護或安全方面的標(biāo)準(zhǔn)來實現(xiàn);.基本要求的定位某級信息系統(tǒng)基本保護精確保護基本要求保護基本要求測評補充的安全措施GB17859-1999通用技術(shù)要求安全管理要求高級別的基本要求等級保護其他標(biāo)準(zhǔn)安全方面相關(guān)標(biāo)準(zhǔn)等等基本保護特殊需求補充措施.基本要求基本思路不同級別信息系統(tǒng)重要程度不同應(yīng)對不同威脅的能力(威脅\弱點)具有不同的安全保護能力不同的基本要求.各個要素之間的關(guān)系安全保護能力基本安全要求每個等級的信息系統(tǒng)基本技術(shù)措施基本管理措施具備包含包含滿足滿足實現(xiàn).基本要求核心思路某級系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級安全保護能力的系統(tǒng).各級系統(tǒng)的保護要求差異（宏觀）安全保護模型PPDRR

Protection防護

PolicyDetection策略

檢測

Response響應(yīng)

Recovery恢復(fù).各級系統(tǒng)的保護要求差異（宏觀）一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)防護防護/監(jiān)測策略/防護/監(jiān)測/恢復(fù)策略/防護/監(jiān)測/恢復(fù)/響應(yīng).各級系統(tǒng)的保護要求差異（宏觀）成功的完成業(yè)務(wù)信息保障深度防御戰(zhàn)略人技術(shù)操作防御網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御飛地邊界防御計算環(huán)境支撐性基礎(chǔ)設(shè)施安全保護模型IATF.各級系統(tǒng)的保護要求差異（宏觀）一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)通信/邊界（基本）通信/邊界/內(nèi)部（關(guān)鍵設(shè)備）通信/邊界/內(nèi)部（主要設(shè)備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）.各級系統(tǒng)的保護要求差異（宏觀）一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)計劃和跟蹤（主要制度）計劃和跟蹤（主要制度）良好定義（管理活動制度化）持續(xù)改進（管理活動制度化/及時改進）.等級保護基本要求構(gòu)架某級系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理.等級保護基本要求效果.基本要求的主要內(nèi)容由9個章節(jié)2個附錄構(gòu)成1.適用范圍2.規(guī)范性引用文件3術(shù)語定義4.等級保護概述5.基本要求附錄A關(guān)于信息系統(tǒng)整體安全保護能力的要求附錄B基本安全要求的選擇和使用.基本要求的組織方式某級系統(tǒng)類技術(shù)要求管理要求基本要求類控制點具體要求控制點具體要求……………………………….基本要求-組織方式某級系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理.基本要求標(biāo)注方式基本要求技術(shù)要求管理要求要求標(biāo)注業(yè)務(wù)信息安全類要求（標(biāo)記為S類）系統(tǒng)服務(wù)保證類要求（標(biāo)記為A類）通用安全保護類要求（標(biāo)記為G類）

.三類要求之間的關(guān)系通用安全保護類要求（G）業(yè)務(wù)信息安全類（S）系統(tǒng)服務(wù)保證類（A安全要求.基本要求的選擇和使用一個3級系統(tǒng),定級結(jié)果為S3A2，保護類型應(yīng)該是S3A2G3第1步:選擇標(biāo)準(zhǔn)中3級基本要求的技術(shù)要求和管理要求;第2步:要求中標(biāo)注為S類和G類的不變;標(biāo)注為A類的要求可以選用2級基本要求中的A類作為基本要求;.安全保護和系統(tǒng)定級的關(guān)系安全等級信息系統(tǒng)保護要求的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定級指南要求按照“業(yè)務(wù)信息”和“系統(tǒng)服務(wù)”的需求確定整個系統(tǒng)的安全保護等級定級過程反映了信息系統(tǒng)的保護要求.不同級別系統(tǒng)控制點的差異安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運維管理9121313合計/48667377級差//1874.不同級別系統(tǒng)要求項的差異安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運維管理18416270合計/85175290318級差//9011528.目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護基本要求等級保護實施等級保護測評我公司開展的等級保護服務(wù).等級保護角色和職責(zé)國家管理部門信息系統(tǒng)主管部門安全服務(wù)商安全產(chǎn)品提供商安全測評機構(gòu)部門系統(tǒng)定級安全保護檢測評估監(jiān)督檢查技術(shù)標(biāo)準(zhǔn)管理規(guī)范.等級保護實施原則自主保護原則信息系統(tǒng)運營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護等級，自行組織實施安全保護。重點保護原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點，通過劃分不同安全保護等級的信息系統(tǒng)，實現(xiàn)不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。同步建設(shè)原則信息系統(tǒng)在新建、改建、擴建時應(yīng)當(dāng)同步規(guī)劃和設(shè)計安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。動態(tài)調(diào)整原則要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應(yīng)當(dāng)根據(jù)等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護等級，根據(jù)信息系統(tǒng)安全保護等級的調(diào)整情況，重新實施安全保護。.等級保護實施流程.目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護基本要求等級保護實施等級保護測評我公司開展的等級保護支持服務(wù).等級保護測評中的角色關(guān)系系統(tǒng)承建單位主管\使用\運行單位測評機構(gòu)專家組支持測評提供技術(shù)、工程和質(zhì)量文檔實施的配合公安網(wǎng)監(jiān)部門測評工作組織協(xié)調(diào)確保技術(shù)、工程和質(zhì)量文檔、提供運營相關(guān)文檔的提供評審實施方案等相關(guān)文檔配合等級測評實施測評過程中的風(fēng)險管理和應(yīng)急管理制定測評計劃和方案等相關(guān)文檔在相關(guān)單位支持下實施等級測評提交測評報告監(jiān)督方案評審和系統(tǒng)測評監(jiān)督確保遵守公正的測評原則和方法對評估結(jié)論進行評審測評工作組織與監(jiān)管.測評工具和接入點

根據(jù)3級信息系統(tǒng)的測評強度要求，在測試的廣度上，應(yīng)基本覆蓋不同類型的機制，在數(shù)量、范圍上可以抽樣；在測試的深度上，應(yīng)執(zhí)行功能測試和滲透測試，功能測試可能涉及機制的功能規(guī)范、高級設(shè)計和操作規(guī)程等文檔，滲透測試可能涉及機制的所有可用文檔，并試圖智取進入信息系統(tǒng)等。因此，對其進行測評，應(yīng)涉及到漏洞掃描工具、滲透測評工具集等多種測試工具。使用的測試工具主要有：網(wǎng)絡(luò)漏洞掃描器、數(shù)據(jù)庫安全掃描器、滲透測試工具集等。.測評內(nèi)容--物理安全

物理安全測評將通過訪談、文檔審查和實地察看的方式測評信息系統(tǒng)的的物理安全保障情況。主要涉及對象為屏蔽機房和主機房。.測評內(nèi)容—網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全測評將通過訪談、配置檢查和工具測試的方式測評信息系統(tǒng)的的網(wǎng)絡(luò)安全保障情況。主要涉及對象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)拓撲結(jié)構(gòu)等三大類對象。.測評內(nèi)容—主機安全

主機系統(tǒng)安全測評將通過訪談、配置檢查和工具測試的方式測評主機系統(tǒng)安全保障情況。本次重點測評的操作系統(tǒng)包括各網(wǎng)站服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器等的操作系統(tǒng)，數(shù)據(jù)庫管理系統(tǒng)為數(shù)據(jù)庫服務(wù)器Sybase。。.測評內(nèi)容—應(yīng)用安全和數(shù)據(jù)安全

應(yīng)用安全測評將通過訪談、配置檢查和工具測試的方式測評應(yīng)用安全保障情況，主要涉及對象為用電信息系統(tǒng)、對外服務(wù)網(wǎng)站系統(tǒng)和遠程客戶服務(wù)系統(tǒng)。.測評內(nèi)容—安全管理部分安全管理部分為全局性問題，涉及安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面。主要是審查相關(guān)管理文檔和記錄文件。.等級保護測評實施—物理安全要求：對于溫濕度控制（G3），在GB/T22239-2008中的描述為“機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)?！睖y評方法（1）應(yīng)檢查機房是否有溫濕度控制設(shè)計/驗收文檔，查看機房溫、濕度是否滿足GB2887-89《計算站場地技術(shù)條件》的要求，是否能夠滿足系統(tǒng)運行需要，是否與當(dāng)前實際情況相符合。（2）應(yīng)訪談物理安全負責(zé)人，詢問機房是否配備了溫、濕度自動調(diào)節(jié)設(shè)施，保證溫濕度能夠滿足計算機設(shè)備運行的要求，是否在機房管理制度中規(guī)定了溫濕度控制的要求，是否有人負責(zé)此項工作（3）應(yīng)檢查溫、濕度自動調(diào)節(jié)設(shè)施是否能夠正常運行，查看溫濕度記錄、運行記錄和維護記錄。（4）應(yīng)訪談機房維護人員，詢問是否定期檢查和維護機房的溫濕度自動調(diào)節(jié)設(shè)施，詢問是否出現(xiàn)過溫濕度影響系統(tǒng)運行的事件。.等級保護測評實施—網(wǎng)絡(luò)安全按照測評方案的要求，核心交換機SJ6509應(yīng)測評網(wǎng)絡(luò)訪問控制（G3）、網(wǎng)絡(luò)安全審計（G3）、網(wǎng)絡(luò)設(shè)備防護（G3）等部分的內(nèi)容。測評方法（1）檢查網(wǎng)絡(luò)設(shè)備測試報告，檢查是否符合國家關(guān)于交換機的安全要求；（2）應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備上的安全設(shè)置，查看是否對邊界和主要網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；（3）應(yīng)測試邊界和主要網(wǎng)絡(luò)設(shè)備的安全設(shè)置，對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制（如使用任意地址登錄，觀察網(wǎng)絡(luò)設(shè)備的動作等）等功能是否有效。.等級保護測評實施—主機安全要求：數(shù)據(jù)庫為Sybase應(yīng)測評身份鑒別（S3）、自主訪問控制（S3）、強制訪問控制（S3）、安全審計（G3）、資源控制（A2）、數(shù)據(jù)備份與恢復(fù)（A2）、數(shù)據(jù)完整性（S3）、數(shù)據(jù)保密性（S3）等部分的內(nèi)容。測評方法：應(yīng)檢查主要數(shù)據(jù)庫管理系統(tǒng)，查看對管理用戶的身份鑒別是否采用兩個及兩個以上鑒別技術(shù)的組合來進行身份鑒別（如采用用戶名/口令、挑戰(zhàn)應(yīng)答、動態(tài)口令、物理設(shè)備、生物識別技術(shù)和數(shù)字證書方式的身份鑒別技術(shù)中的任意兩個組合）。.等級保護測評實施—應(yīng)用和數(shù)據(jù)安全要求：業(yè)務(wù)應(yīng)用程序（用戶自主開發(fā)）應(yīng)測評身份鑒別（S3）、訪問控制（S3）、安全審計（G3）、剩余信息保護（G3）、通信完整性（S3）、通信保密性（S3）、抗抵賴（S3）、軟件容錯（A3）、資源控制（A3）、數(shù)據(jù)備份與恢復(fù)（A3）、數(shù)據(jù)完整性（S3）、數(shù)據(jù)保密性（S3）等部分的內(nèi)容。應(yīng)訪談安全管理員，查看相關(guān)設(shè)計文檔，檢查業(yè)務(wù)系統(tǒng)數(shù)據(jù)在通信過程中是否采取保密措施，具體措施有哪些；應(yīng)測試主要應(yīng)用系統(tǒng)，通過查看通信雙方數(shù)據(jù)包的內(nèi)容，查看系統(tǒng)在通信過程中，對整個報文或會話過程進行加密的功能是否有效。.等級保護測評實施—管理安全對于系統(tǒng)運維管理中的密碼管理“應(yīng)建立密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品”的要求。測評方法：應(yīng)訪談安全員，詢問密碼技術(shù)和產(chǎn)品的使用是否遵照國家密碼管理規(guī)定；應(yīng)檢查是否具有密碼使用管理制度。.目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護基本要求等級保護實施等級保護測評我公司