




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
等級保護培訓(xùn)目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護根本要求等級保護實施等級保護測評我公司開展的等級保護效勞等級保護標(biāo)準(zhǔn)制修訂背景2003年9月中辦國辦頒發(fā)?關(guān)于加強信息平安保障工作的意見?中辦發(fā)[2003]27號2005年9月國信辦文件?關(guān)于轉(zhuǎn)發(fā)?電子政務(wù)信息平安等級保護實施指南?的通知?國信辦[2004]25號2006年1月四部委會簽?關(guān)于印發(fā)?信息平安等級保護管理方法的通知?公通字[2006]7號2005年公安部標(biāo)準(zhǔn)?根本要求??定級指南??實施指南??測評準(zhǔn)那么?2004年11月四部委會簽?關(guān)于信息平安等級保護工作的實施意見?公通字[2004]66號云南云南省人民政府第130號令浙江浙江省人民政府令北京北京政府第9號令國家級政策文件國家級技術(shù)標(biāo)準(zhǔn)國家級政策文件地方政策文件什么是等級保護?信息系統(tǒng)平安等級保護是指對信息和信息系統(tǒng)劃分為五個平安保護和監(jiān)管等級,實行分等級保護?!耙粋€提高,四個有利于〞 有效地提高我國信息平安建設(shè)的整體水平有利于在信息化建設(shè)過程中同步建設(shè)信息平安設(shè)施,保障信息平安與信息化建設(shè)相協(xié)調(diào);有利于加強對涉及國家平安、經(jīng)濟秩序、社會穩(wěn)定和公共利益的信息系統(tǒng)的平安保護和管理監(jiān)督;為什么實行等級保護?有利于明確國家、法人和其他組織、公民的平安責(zé)任,強化政府監(jiān)管職能,共同落實各項平安建設(shè)和平安管理措施;有利于提高平安保護的科學(xué)性、整體性、針對性,推動信息平安產(chǎn)業(yè)水平,逐步探索一條適應(yīng)社會主義市場經(jīng)濟開展的信息平安開展模式。為什么實行等級保護?
為什么實行等級保護?2003-2007被篡改網(wǎng)站數(shù)量我國
為什么實行等級保護?真正的中國工商銀行網(wǎng)站假冒的中國工商銀行網(wǎng)站等保的對象及頻度系統(tǒng)新建發(fā)生過重大事件未進行過測評網(wǎng)絡(luò)或信息系統(tǒng)重大變更平安事件爆發(fā) 監(jiān)管部門提出要求〔重要時期前,例奧運會,亞運會〕每年〔三級〕進行一次每半年〔四級〕進行一次目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護根本要求等級保護實施等級保護測評我公司開展的等級保護效勞等級保護測評流程
等保測評參考標(biāo)準(zhǔn)GB/T22240信息系統(tǒng)平安等級保護定級指南GB/T22239信息系統(tǒng)平安等級保護根本要求信息系統(tǒng)平安等級保護測評過程指南信息系統(tǒng)平安等級保護實施指南等級保護測評準(zhǔn)那么〔已根本廢棄〕目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護根本要求等級保護實施等級保護驗收測評我公司開展的等級保護支持效勞等級保護定級維度等級保護對象受到破壞時所侵害的客體對客體造成侵害的程度定級階段-關(guān)于定級范圍〔一〕電信、廣電行業(yè)的公用通信網(wǎng)、播送電視傳輸網(wǎng)等根底信息網(wǎng)絡(luò),經(jīng)營性公眾互聯(lián)網(wǎng)信息效勞單位、互聯(lián)網(wǎng)接入效勞單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)?!捕宠F路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、開展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。
〔三〕市〔地〕級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)
一、定級對象的三個條件具有唯一確定的平安責(zé)任單位作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其平安責(zé)任單位,這個平安責(zé)任單位就是負(fù)責(zé)等級保護工作部署、實施的單位,也是完成等級保護備案和接受監(jiān)督檢查的直接責(zé)任單位。滿足信息系統(tǒng)的根本要素作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)那么組合而成的有形實體。應(yīng)防止將某個單一的系統(tǒng)組件,如單臺的效勞器、終端或網(wǎng)絡(luò)設(shè)備等作為定級對象。定級階段-關(guān)于定級對象確定一、定級對象的三個條件承載相對獨立的業(yè)務(wù)應(yīng)用定級對象承載“相對獨立〞的業(yè)務(wù)應(yīng)用是指其中的一個或多個業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、局部業(yè)務(wù)功能獨立,同時與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換,定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備,尤其是網(wǎng)絡(luò)傳輸設(shè)備?!跋鄬Κ毩ⅷ暤臉I(yè)務(wù)應(yīng)用并不意味著整個業(yè)務(wù)流程,可以是完整的業(yè)務(wù)流程的一局部。定級階段-關(guān)于定級對象確定二、定級對象的識別和劃分可能使定級要素賦值不同因素可能涉及不同客體的系統(tǒng)。可能對客體造成不同程度損害的系統(tǒng)。處理不同類型業(yè)務(wù)的系統(tǒng)。本身運行在不同的網(wǎng)絡(luò)環(huán)境中的系統(tǒng)。分不開的系統(tǒng),按照高級別保護。定級階段-關(guān)于定級對象確定識別單位根本信息了解單位根本信息有助于判斷單位的職能特點,單位所在行業(yè)及單位在行業(yè)所處的地位和所用,由此判斷單位主要信息系統(tǒng)的宏觀定位。識別業(yè)務(wù)種類、流程和效勞應(yīng)重點了解定級對象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的效勞在影響履行單位職能方面具體方式和程度,影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及對本單位以外機構(gòu)或個人的影響等方面。這些具體數(shù)據(jù)即可以為主管部門制定定級指導(dǎo)意見提供參照,也可以作為主管部門審批定級結(jié)果的重要依據(jù)。定級階段-關(guān)于定級過程識別信息調(diào)查了解定級對象信息系統(tǒng)所處理的信息,了解單位對信息的三個平安屬性的需求,了解不同業(yè)務(wù)數(shù)據(jù)在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽、人身平安等方面可能對國家、社會、本單位造成的影響,對影響程度的描述應(yīng)盡可能量化。識別網(wǎng)絡(luò)結(jié)構(gòu)和邊界調(diào)查了解定級對象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、平安防護和外部連接情況,目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點,以及該信息系統(tǒng)的網(wǎng)絡(luò)平安保護與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的平安保護的關(guān)系。定級階段-關(guān)于定級過程識別主要的軟硬件設(shè)備調(diào)查了解與定級對象信息系統(tǒng)相關(guān)的效勞器、網(wǎng)絡(luò)、終端、存儲設(shè)備以及平安設(shè)備等,設(shè)備所在網(wǎng)段,在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。識別用戶類型和分布調(diào)查了解各系統(tǒng)的管理用戶和一般用戶,內(nèi)部用戶和外部用戶,本地用戶和遠(yuǎn)程用戶等類型,了解用戶或用戶群的數(shù)量分布,判斷系統(tǒng)效勞中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。形成定級結(jié)果取各類信息和效勞的較高。定級階段-關(guān)于定級過程定級階段-關(guān)于三種危害程度
不同危害后果的三種危害程度描述如下:一般損害:工作職能受到局部影響,業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行,出現(xiàn)較輕的法律問題,較低的財產(chǎn)損失,有限的社會不良影響,對其他組織和個人造成較低損害。嚴(yán)重?fù)p害:工作職能受到嚴(yán)重影響,業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行,出現(xiàn)較嚴(yán)重的法律問題,較高的財產(chǎn)損失,較大范圍的社會不良影響,對其他組織和個人造成較嚴(yán)重?fù)p害。特別嚴(yán)重?fù)p害:工作職能受到特別嚴(yán)重影響或喪失行使能力,業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行,出現(xiàn)極其嚴(yán)重的法律問題,極高的財產(chǎn)損失,大范圍的社會不良影響,對其他組織和個人造成非常嚴(yán)重?fù)p害。等級保護對象受到破壞時所侵害的客體包括以下三個方面:公民、法人和其他組織的合法權(quán)益;社會秩序、公共利益;國家平安。定級階段-三種客體定級要素與平安保護等級的關(guān)系對?定級指南?中有關(guān)概念的補充說明:三種客體對客體侵害程度定級階段_關(guān)鍵概念的補充說明 三種受侵害的客體表達(dá)了三種不同層次、不同覆蓋范圍的社會關(guān)系。國家平安利益表達(dá)了國家層面、與全局相關(guān)的國家政治平安、軍事平安、經(jīng)濟平安、社會平安、科技平安和資源環(huán)境平安等方面利益。社會秩序包括社會的政治、經(jīng)濟、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會成員所共同享有的,維持其生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認(rèn)的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益,定級階段-三種客體說明對客體的侵害不是威脅直接作用的結(jié)果,而是通過對等級保護對象——信息系統(tǒng)的破壞而導(dǎo)致的,因此確定對客體侵害的程度時,必須考慮對等級保護對象所造成破壞的不同客觀表現(xiàn)形態(tài)以及不同程度的結(jié)果,也就是侵害的客觀方面。定級階段定級階段-關(guān)于損害的詳述安全保護級別信息和信息系統(tǒng)受到破壞后的影響1自主保護級不會損害國家安全、社會秩序和公共利益。2指導(dǎo)保護級會對社會秩序和公共利益造成輕微損害,但不損害國家安全。3監(jiān)督保護級會對國家安全、社會秩序和公共利益造成損害。4強制保護級會對國家安全、社會秩序和公共利益造成嚴(yán)重?fù)p害。5??乇Wo級會對國家安全、社會秩序和公共利益造成特別嚴(yán)重?fù)p害。定級階段-關(guān)于定級級別等級對象侵害客體侵害程度監(jiān)管強度第一級一般系統(tǒng)合法利益損害自主性保護第二級合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)性保護社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督性保護國家安全損害第四級社會秩序和公共利益特別嚴(yán)重?fù)p害強制性保護國家安全嚴(yán)重?fù)p害第五級極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害??匦员Wo定級階段-關(guān)于定級方法定級的一般方法信息系統(tǒng)平安包括業(yè)務(wù)信息平安和系統(tǒng)效勞平安,與之相關(guān)的受侵害客體和對客體的侵害程度可能不同,因此,信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息平安和系統(tǒng)效勞平安兩方面確定。從業(yè)務(wù)信息平安角度反映的信息系統(tǒng)平安保護等級稱業(yè)務(wù)信息平安保護等級。從系統(tǒng)效勞平安角度反映的信息系統(tǒng)平安保護等級稱系統(tǒng)效勞平安保護等級。定級階段-關(guān)于定級方法定級階段-關(guān)于定級方法與流程根據(jù)業(yè)務(wù)信息平安被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度,依據(jù)下表業(yè)務(wù)信息平安保護等級矩陣表,即可得到業(yè)務(wù)信息平安保護等級。四個主要因素決定等級系統(tǒng)所屬類型業(yè)務(wù)信息類別系統(tǒng)效勞范圍業(yè)務(wù)依賴程度業(yè)務(wù)信息平安性業(yè)務(wù)效勞保證性信息系統(tǒng)平安保護等級侵害的程度如何?〔對客體造成侵害的程度〕一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害受到破壞時侵害了什么?〔客體〕公民、法人社會秩序、公共利益國家平安定級階段-關(guān)于等級變更
在信息系統(tǒng)的運行過程中,平安保護等級應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進行適當(dāng)?shù)淖兏?,尤其是?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息平安或系統(tǒng)效勞受到破壞后的受侵害客體和對客體的侵害程度有較大的變化,可能影響到系統(tǒng)的平安保護等級時,應(yīng)根據(jù)定級標(biāo)準(zhǔn)給出的定級方法重新定級定級案例-三級系統(tǒng)定級
定級案例-三級系統(tǒng)定級
定級案例-三級系統(tǒng)定級
定級案例-三級系統(tǒng)定級
目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護根本要求等級保護實施等級保護測評我公司開展的等級保護效勞根本要求的作用信息系統(tǒng)平安等級保護根本要求運營、使用單位〔平安效勞商〕主管部門〔等級測評機構(gòu)〕平安保護測評檢查根本要求的定位是系統(tǒng)平安保護、等級測評的一個根本“標(biāo)尺〞,同樣級別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺〞來衡量,保證權(quán)威性,是一個達(dá)標(biāo)線;每個級別的信息系統(tǒng)按照根本要求進行保護后,信息系統(tǒng)具有相應(yīng)等級的根本平安保護能力,到達(dá)一種根本的平安狀態(tài);是每個級別信息系統(tǒng)進行平安保護工作的一個根本出發(fā)點,更加貼切的保護可以通過需求分析對根本要求進行補充,參考其他有關(guān)等級保護或平安方面的標(biāo)準(zhǔn)來實現(xiàn);根本要求的定位某級信息系統(tǒng)根本保護精確保護根本要求保護根本要求測評補充的平安措施GB17859-1999通用技術(shù)要求平安管理要求高級別的根本要求等級保護其他標(biāo)準(zhǔn)平安方面相關(guān)標(biāo)準(zhǔn)等等根本保護特殊需求補充措施根本要求根本思路不同級別信息系統(tǒng)重要程度不同應(yīng)對不同威脅的能力(威脅\弱點)具有不同的平安保護能力不同的根本要求各個要素之間的關(guān)系平安保護能力根本平安要求每個等級的信息系統(tǒng)根本技術(shù)措施根本管理措施具備包含包含滿足滿足實現(xiàn)根本要求核心思路某級系統(tǒng)技術(shù)要求管理要求根本要求建立平安技術(shù)體系建立平安管理體系具有某級平安保護能力的系統(tǒng)各級系統(tǒng)的保護要求差異〔宏觀〕平安保護模型PPDRR
Protection防護
PolicyDetection策略
檢測
Response響應(yīng)
Recovery恢復(fù)各級系統(tǒng)的保護要求差異〔宏觀〕一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)防護防護/監(jiān)測策略/防護/監(jiān)測/恢復(fù)策略/防護/監(jiān)測/恢復(fù)/響應(yīng)各級系統(tǒng)的保護要求差異〔宏觀〕成功的完成業(yè)務(wù)信息保障深度防御戰(zhàn)略人技術(shù)操作防御網(wǎng)絡(luò)與根底設(shè)施防御飛地邊界防御計算環(huán)境支撐性根底設(shè)施平安保護模型IATF各級系統(tǒng)的保護要求差異〔宏觀〕一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)通信/邊界〔根本〕通信/邊界/內(nèi)部〔關(guān)鍵設(shè)備〕通信/邊界/內(nèi)部〔主要設(shè)備〕通信/邊界/內(nèi)部/根底設(shè)施〔所有設(shè)備〕各級系統(tǒng)的保護要求差異〔宏觀〕一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)方案和跟蹤〔主要制度〕方案和跟蹤〔主要制度〕良好定義〔管理活動制度化〕持續(xù)改進〔管理活動制度化/及時改進〕等級保護根本要求構(gòu)架某級系統(tǒng)物理平安技術(shù)要求管理要求根本要求網(wǎng)絡(luò)平安主機平安應(yīng)用平安數(shù)據(jù)平安平安管理機構(gòu)平安管理制度人員平安管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理等級保護根本要求效果根本要求的主要內(nèi)容由9個章節(jié)2個附錄構(gòu)成1.適用范圍2.標(biāo)準(zhǔn)性引用文件3術(shù)語定義4.等級保護概述根本要求附錄A關(guān)于信息系統(tǒng)整體平安保護能力的要求附錄B根本平安要求的選擇和使用根本要求的組織方式某級系統(tǒng)類技術(shù)要求管理要求根本要求類控制點具體要求控制點具體要求………………………………根本要求-組織方式某級系統(tǒng)物理平安技術(shù)要求管理要求根本要求網(wǎng)絡(luò)平安主機平安應(yīng)用平安數(shù)據(jù)平安平安管理機構(gòu)平安管理制度人員平安管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理根本要求標(biāo)注方式根本要求技術(shù)要求管理要求要求標(biāo)注業(yè)務(wù)信息平安類要求〔標(biāo)記為S類〕系統(tǒng)效勞保證類要求〔標(biāo)記為A類〕通用平安保護類要求〔標(biāo)記為G類〕三類要求之間的關(guān)系通用平安保護類要求〔G〕業(yè)務(wù)信息平安類〔S〕系統(tǒng)效勞保證類〔A平安要求根本要求的選擇和使用一個3級系統(tǒng),定級結(jié)果為S3A2,保護類型應(yīng)該是S3A2G3第1步:選擇標(biāo)準(zhǔn)中3級根本要求的技術(shù)要求和管理要求;第2步:要求中標(biāo)注為S類和G類的不變;標(biāo)注為A類的要求可以選用2級根本要求中的A類作為根本要求;平安保護和系統(tǒng)定級的關(guān)系安全等級信息系統(tǒng)保護要求的組合第一級S1A1G1第二級S1A2G2,S2A2G2,S2A1G2第三級S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四級S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4定級指南要求按照“業(yè)務(wù)信息〞和“系統(tǒng)效勞〞的需求確定整個系統(tǒng)的平安保護等級定級過程反映了信息系統(tǒng)的保護要求不同級別系統(tǒng)控制點的差異安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運維管理9121313合計/48667377級差//1874不同級別系統(tǒng)要求項的差異安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運維管理18416270合計/85175290318級差//9011528目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護根本要求等級保護實施等級保護測評我公司開展的等級保護效勞等級保護角色和職責(zé)國家管理部門信息系統(tǒng)主管部門安全服務(wù)商安全產(chǎn)品提供商安全測評機構(gòu)部門系統(tǒng)定級安全保護檢測評估監(jiān)督檢查技術(shù)標(biāo)準(zhǔn)管理規(guī)范等級保護實施原那么自主保護原那么信息系統(tǒng)運營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn),自主確定信息系統(tǒng)的平安保護等級,自行組織實施平安保護。重點保護原那么根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點,通過劃分不同平安保護等級的信息系統(tǒng),實現(xiàn)不同強度的平安保護,集中資源優(yōu)先保護涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。同步建設(shè)原那么信息系統(tǒng)在新建、改建、擴建時應(yīng)當(dāng)同步規(guī)劃和設(shè)計平安方案,投入一定比例的資金建設(shè)信息平安設(shè)施,保障信息平安與信息化建設(shè)相適應(yīng)。動態(tài)調(diào)整原那么要跟蹤信息系統(tǒng)的變化情況,調(diào)整平安保護措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因,平安保護等級需要變更的,應(yīng)當(dāng)根據(jù)等級保護的管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)的要求,重新確定信息系統(tǒng)的平安保護等級,根據(jù)信息系統(tǒng)平安保護等級的調(diào)整情況,重新實施平安保護。等級保護實施流程目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護根本要求等級保護實施等級保護測評我公司開展的等級保護支持效勞等級保護測評中的角色關(guān)系系統(tǒng)承建單位主管\使用\運行單位測評機構(gòu)專家組支持測評提供技術(shù)、工程和質(zhì)量文檔實施的配合公安網(wǎng)監(jiān)部門測評工作組織協(xié)調(diào)確保技術(shù)、工程和質(zhì)量文檔、提供運營相關(guān)文檔的提供評審實施方案等相關(guān)文檔配合等級測評實施測評過程中的風(fēng)險管理和應(yīng)急管理制定測評方案和方案等相關(guān)文檔在相關(guān)單位支持下實施等級測評提交測評報告監(jiān)督方案評審和系統(tǒng)測評監(jiān)督確保遵守公正的測評原那么和方法對評估結(jié)論進行評審測評工作組織與監(jiān)管測評工具和接入點
根據(jù)3級信息系統(tǒng)的測評強度要求,在測試的廣度上,應(yīng)根本覆蓋不同類型的機制,在數(shù)量、范圍上可以抽樣;在測試的深度上,應(yīng)執(zhí)行功能測試和滲透測試,功能測試可能涉及機制的功能標(biāo)準(zhǔn)、高級設(shè)計和操作規(guī)程等文檔,滲透測試可能涉及機制的所有可用文檔,并試圖智取進入信息系統(tǒng)等。因此,對其進行測評,應(yīng)涉及到漏洞掃描工具、滲透測評工具集等多種測試工具。使用的測試工具主要有:網(wǎng)絡(luò)漏洞掃描器、數(shù)據(jù)庫平安掃描器、滲透測試工具集等。測評內(nèi)容--物理平安物理平安測評將通過訪談、文檔審查和實地觀察的方式測評信息系統(tǒng)的的物理平安保障情況。主要涉及對象為屏蔽機房和主機房。測評內(nèi)容—網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安測評將通過訪談、配置檢查和工具測試的方式測評信息系統(tǒng)的的網(wǎng)絡(luò)平安保障情況。主要涉及對象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)平安設(shè)備和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等三大類對象。測評內(nèi)容—主機平安主機系統(tǒng)平安測評將通過訪談、配置檢查和工具測試的方式測評主機系統(tǒng)平安保障情況。本次重點測評的操作系統(tǒng)包括各網(wǎng)站效勞器、應(yīng)用效勞器和數(shù)據(jù)庫效勞器等的操作系統(tǒng),數(shù)據(jù)庫管理系統(tǒng)為數(shù)據(jù)庫效勞器Sybase。。測評內(nèi)容—應(yīng)用平安和數(shù)據(jù)平安應(yīng)用平安測評將通過訪談、配置檢查和工具測試的方式測評應(yīng)用平安保障情況,主要涉及對象為用電信息系統(tǒng)、對外效勞網(wǎng)站系統(tǒng)和遠(yuǎn)程客戶效勞系統(tǒng)。測評內(nèi)容—平安管理局部平安管理局部為全局性問題,涉及平安管理制度、平安管理機構(gòu)、人員平安管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面。主要是審查相關(guān)管理文檔和記錄文件。等級保護測評實施—物理平安要求:對于溫濕度控制〔G3〕,在GB/T22239-2021中的描述為“機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施,使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。〞測評方法〔1〕應(yīng)檢查機房是否有溫濕度控制設(shè)計/驗收文檔,查看機房溫、濕度是否滿足GB2887-89?計算站場地技術(shù)條件?的要求,是否能夠滿足系統(tǒng)運行需要,是否與當(dāng)前實際情況相符合?!?〕應(yīng)訪談物理平安負(fù)責(zé)人,詢問機房是否配備了溫、濕度自動調(diào)節(jié)設(shè)施,保證溫濕度能夠滿足計算機設(shè)備運行的要求,是否在機房管理制度中規(guī)定了溫濕度控制的要求,是否有人負(fù)責(zé)此項工作〔3〕應(yīng)檢查溫、濕度自動調(diào)節(jié)設(shè)施是否能夠正常運行,查看溫濕度記錄、運行記錄和維護記錄?!?〕應(yīng)訪談機房維護人員,詢問是否認(rèn)期檢查和維護機房的溫濕度自動調(diào)節(jié)設(shè)施,詢問是否出現(xiàn)過溫濕度影響系統(tǒng)運行的事件。等級保護測評實施—網(wǎng)絡(luò)平安按照測評方案的要求,核心交換機SJ6509應(yīng)測評網(wǎng)絡(luò)訪問控制〔G3〕、網(wǎng)絡(luò)平安審計〔G3〕、網(wǎng)絡(luò)設(shè)備防護〔G3〕等局部的內(nèi)容。測評方法〔1〕檢查網(wǎng)絡(luò)設(shè)備測試報告,檢查是否符合國家關(guān)于交換機的平安要求;〔2〕應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備上的平安設(shè)置,查看是否對邊界和主要網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制;〔3〕應(yīng)測試邊界和主要網(wǎng)絡(luò)設(shè)備的平安設(shè)置,對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制〔如使用任意地址登錄,觀察網(wǎng)絡(luò)設(shè)備的動作等〕等功能是否有效。等級保護測評實施—主機平安要求:數(shù)據(jù)庫為Sybase應(yīng)測評身份鑒別〔S3〕、自主訪問控制〔S3〕、強制訪問控制〔S3〕、平安審計〔G3〕、資源控制〔A2〕、數(shù)據(jù)備份與恢復(fù)〔A2〕、數(shù)據(jù)完整性〔S3〕、數(shù)據(jù)保密性〔S3〕等局部的內(nèi)容。測評方法:應(yīng)檢查主要數(shù)據(jù)庫管理系統(tǒng),查看對管理用戶的身份鑒別是否采用兩個及兩個以上鑒別技術(shù)的組合來進行身份鑒別〔如采用用戶名/口令、挑戰(zhàn)應(yīng)答、動態(tài)口令、物理設(shè)備、生物識別技術(shù)和數(shù)字證書方式的身份鑒別技術(shù)中的任意兩個組合〕。等級保護測評實施—應(yīng)用和數(shù)據(jù)平安要求:業(yè)務(wù)應(yīng)用程序〔用戶自主開發(fā)〕應(yīng)測評身份鑒別〔S3〕、訪問控制〔S3〕、平安審計〔G3〕、剩余信息保護〔G3〕、通信完整性〔S3〕、通信保密性〔S3〕、抗抵賴〔S3〕、軟件容錯〔A3〕、資源控制〔A3〕、數(shù)據(jù)備份與恢復(fù)〔A3〕、數(shù)據(jù)完整性〔S3〕、數(shù)據(jù)保密性〔S3〕等局部的內(nèi)容。應(yīng)訪談平安管理員,查看相關(guān)設(shè)計文檔,檢查業(yè)務(wù)系統(tǒng)數(shù)據(jù)在通信過程中是否采取保密措施,具體措施有哪些;應(yīng)測試主要應(yīng)用系統(tǒng),通過查看通信雙方數(shù)據(jù)包的內(nèi)容,查看系統(tǒng)在通信過程中,對整個報文或會話過程進行加密的功能是否有效。等級保護測評實施—管理平安對于系統(tǒng)運維管理中的密碼管理“應(yīng)建立密碼使用管理制度,使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品〞的要求。測評方法:應(yīng)訪談平安員,詢問密碼技術(shù)和產(chǎn)品的使用是否遵照國家密碼管理規(guī)定;應(yīng)檢查是否具有密碼使用管理制度。目錄等級保護概念介紹等級保護流程介紹等級保護定級等級保護根本要求等級保護實施
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 考試心態(tài)調(diào)整特許金融分析師考試試題及答案
- 證券投資中的人機結(jié)合分析試題及答案
- 2025年財務(wù)報告標(biāo)準(zhǔn)變動試題及答案
- 2025年CFA考試資本市場操作試題及答案
- 微生物分析報告的撰寫技巧試題及答案
- 2024年項目管理新挑戰(zhàn)及應(yīng)對策略試題及答案
- 預(yù)備工作2025年證券從業(yè)資格證試題及答案
- 礦山安全應(yīng)急預(yù)案與演練-石墨滑石考核試卷
- 2025年審計審查重點試題及答案
- 礦山環(huán)境管理與生態(tài)斷層監(jiān)測考核試卷
- 數(shù)據(jù)中心運維服務(wù)投標(biāo)方案(技術(shù)標(biāo))
- 知識工程培訓(xùn)課件
- (高清版)DB32∕T 2770-2015 活性炭纖維通 用技術(shù)要求與測試方法
- 2023中國偏頭痛診斷與治療指南
- 水電站經(jīng)營權(quán)承包合同3篇
- RoHS供應(yīng)商環(huán)境稽核檢查表
- 2025中國華電集團限公司校招+社招高頻重點提升(共500題)附帶答案詳解
- 起重傷害應(yīng)急預(yù)案培訓(xùn)
- 手術(shù)室護士入科匯報
- 【MOOC】電視采訪報道-中國傳媒大學(xué) 中國大學(xué)慕課MOOC答案
- 精神科患者首次風(fēng)險評估單
評論
0/150
提交評論