網(wǎng)絡(luò)與信息安全測(cè)評(píng)課件

網(wǎng)絡(luò)與信息平安測(cè)評(píng)內(nèi)容安全測(cè)評(píng)在信息安全保障工作中的基礎(chǔ)性作用在世界各國(guó)獲得廣泛共識(shí)TCSECITSECCCSSE-CMMBS7799

…

…FIPS65NISTSP800IATFOCTAVE

…

…COBRABDSSCRAMM@RISK

…

…標(biāo)準(zhǔn)指南工具測(cè)評(píng)類型測(cè)評(píng)對(duì)象測(cè)評(píng)目標(biāo)安全認(rèn)證差距分析風(fēng)險(xiǎn)評(píng)估隱患排查通過(guò)綜合評(píng)判系統(tǒng)各個(gè)層面的脆弱性，分析遭受入侵的脆弱性利用路徑及其可能性，從而為系統(tǒng)的安全防護(hù)提供參考和依據(jù)的一種安全測(cè)評(píng)技術(shù)。概述技術(shù)介紹系統(tǒng)建模目標(biāo)建模（1）模型化（2）脆弱性分析脆弱性探測(cè)脆弱性規(guī)范化描述脆弱性利用圖生成（3）脆弱性評(píng)估評(píng)估指標(biāo)評(píng)估算法評(píng)估結(jié)果展現(xiàn)SMV檢測(cè)NuSMV檢測(cè)拓?fù)渚W(wǎng)絡(luò)分析最小平安措施分析可靠性分析入侵成功概率計(jì)算代表工作：

Kuang&NetKuang

攻擊模版匹配攻擊路徑開(kāi)掘代表工作：攻擊樹(shù)

特權(quán)圖

利用依賴圖

狀態(tài)轉(zhuǎn)移圖攻擊行為表示脆弱性評(píng)估及量化分析代表技術(shù)概述技術(shù)介紹代表技術(shù)概述技術(shù)介紹資產(chǎn)脆弱性威脅風(fēng)險(xiǎn)外因內(nèi)因構(gòu)成存在于暴露利用增加增加資產(chǎn)分析威脅分析脆弱性分析資產(chǎn)價(jià)值脆弱性程度威脅頻率業(yè)務(wù)影響可能性安全風(fēng)險(xiǎn)代表技術(shù)概述技術(shù)介紹合規(guī)性測(cè)評(píng)依據(jù)滲透測(cè)試是在用戶授權(quán)情況下，通過(guò)模擬黑客的攻擊方法（包括對(duì)系統(tǒng)任何弱點(diǎn)、缺陷和漏洞的分析以及系統(tǒng)缺點(diǎn)/缺陷/漏洞利用），來(lái)評(píng)估目標(biāo)系統(tǒng)安全的一種評(píng)估方法。評(píng)估過(guò)程可假定從任何攻擊者可能的位置出發(fā)對(duì)系統(tǒng)進(jìn)行攻擊。評(píng)估的目的在于發(fā)掘目標(biāo)系統(tǒng)的薄弱環(huán)節(jié)，為安全加固提供參考依據(jù)。概述技術(shù)介紹滲透點(diǎn)挖掘遠(yuǎn)程利用/本地利用權(quán)限提升脆弱性掃描弱點(diǎn)探測(cè)網(wǎng)絡(luò)監(jiān)聽(tīng)腳本注入緩沖區(qū)溢出攻擊拒絕效勞攻擊木馬注入口令破解會(huì)話劫持攻擊JPEG漏洞：在處理JPEG圖像格式時(shí)存在緩沖區(qū)溢出漏洞，此漏洞可能允許在受影響的系統(tǒng)上遠(yuǎn)程執(zhí)行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統(tǒng)。漏洞存在于系統(tǒng)圖像處理的根底庫(kù)程序中，所有涉及圖像編輯和處理的軟件均存在問(wèn)題，包括IE、資源管理器等用戶普遍認(rèn)為圖像文件中僅存數(shù)據(jù)，不會(huì)存在病毒等惡意代碼，因此用戶對(duì)圖像文件的警惕性差，滲透測(cè)試的成功率較高例如一：利用軟件漏洞文件頭：圖像顏色信息、圖像大小信息等附屬信息：附屬信息大小、附屬信息文本等用戶不可見(jiàn)數(shù)據(jù)用戶不可見(jiàn)數(shù)據(jù)圖像數(shù)據(jù)，用戶可見(jiàn)數(shù)據(jù)JPEG文件根本結(jié)構(gòu)文件頭：特殊構(gòu)造的文件頭，以觸發(fā)漏洞附屬信息：惡意代碼，用戶不可見(jiàn)包含惡意代碼的圖片文件X處理函數(shù)接口指針附屬區(qū)域預(yù)分配內(nèi)存大小根據(jù)文件頭信息分配附屬信息載入并造成溢出X處理函數(shù)接口指針X處理函數(shù)……Moveax,ecx……惡意代碼圖像處理程序內(nèi)存空間×文本文本內(nèi)外網(wǎng)間信息交換通過(guò)移動(dòng)存儲(chǔ)介質(zhì)〔U盤〕來(lái)實(shí)現(xiàn)。在傳統(tǒng)理念下，一般認(rèn)為這種離線交換方式可以保證內(nèi)網(wǎng)信息的平安。

內(nèi)外網(wǎng)信息交換方式1例如二：利用擺渡木馬本文本傳統(tǒng)木馬病毒傳統(tǒng)木馬病毒如SUB7、BO2000、冰河等攻擊時(shí)需要建立網(wǎng)絡(luò)連接以竊取信息網(wǎng)絡(luò)上的木馬病毒擺渡木馬病毒不需要網(wǎng)絡(luò)連接，通過(guò)存儲(chǔ)介質(zhì)建立連接通路

網(wǎng)絡(luò)上存在“擺渡”木馬安全隱患2

傳統(tǒng)木馬病毒攻擊原理示意圖3本文本“擺渡”木馬攻擊原理示意圖4二、平安測(cè)評(píng)工具與支撐平臺(tái)2.1信息獲取類工具信息獲取類工具類型用途示例典型工具1配置信息獲取類安全配置檢查微軟基線分析工具、配置獲取腳本2脆弱性分析類主機(jī)安全掃描啟明天鏡、綠盟極光、安氏領(lǐng)信、Nessus、X-Scan、AppScan等漏洞掃描器數(shù)據(jù)庫(kù)安全掃描應(yīng)用安全掃描3網(wǎng)絡(luò)信息獲取類網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)第三方開(kāi)源工具網(wǎng)絡(luò)連接可視化安全元素感知工具，多為原型系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)分析SnifferPro4其它安全審計(jì)SOC2.2平安測(cè)試類工具安全測(cè)試類工具類型用途示例典型工具1產(chǎn)品測(cè)試類芯片安全檢測(cè)廠商自測(cè)或機(jī)構(gòu)自備檢測(cè)工具防火墻安全檢測(cè)2性能測(cè)試類網(wǎng)絡(luò)性能測(cè)試Spirent

SmartBits,IXIA網(wǎng)絡(luò)測(cè)試儀3密碼檢測(cè)類密碼算法檢測(cè)密碼算法檢測(cè)分析平臺(tái)、可信計(jì)算機(jī)密碼檢測(cè)工具密碼模塊檢測(cè)4基線檢測(cè)類等保合規(guī)性檢驗(yàn)NERCIS等級(jí)保護(hù)測(cè)評(píng)工具配置基線檢測(cè)主機(jī)配置審計(jì)工具2.3測(cè)評(píng)管理類平臺(tái)測(cè)評(píng)管理類平臺(tái)類型用途示例說(shuō)明1測(cè)評(píng)流程類風(fēng)險(xiǎn)評(píng)估流程面向風(fēng)險(xiǎn)評(píng)估流程的軟件平臺(tái)，如NERCIS風(fēng)險(xiǎn)評(píng)估支撐平臺(tái)等級(jí)測(cè)評(píng)流程面向等級(jí)測(cè)評(píng)流程管理的工具平臺(tái)，如NERCIS等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)管理核查流程面向管理評(píng)估的支撐系統(tǒng)2管理支撐類等級(jí)保護(hù)管理面向等級(jí)備案及等級(jí)數(shù)據(jù)信息管理的支撐平臺(tái)風(fēng)險(xiǎn)管理面向風(fēng)險(xiǎn)管理生命周期的支撐平臺(tái)2.4滲透測(cè)試類工具滲透測(cè)試類工具類型用途示例典型工具1綜合類綜合性滲透測(cè)試MetaSploit、Webravor2口令破解類FTP口令破解ftpspy郵件口令破解pop3spyWindows口令破解SAMInside、winkeydSQL口令破解EnterpriseManagerPassView遠(yuǎn)程終端口令破解RemoteDesktopPassView3數(shù)據(jù)恢復(fù)類IE口令獲取IEPasRec14磁盤數(shù)據(jù)恢復(fù)Badcopy、Easyrecovery、Raidfix等4SQL注入類SQL破解SQLCrackerSQL探測(cè)SQLScanner、SQLPing等滲透測(cè)試類工具類型用途示例典型工具5網(wǎng)絡(luò)監(jiān)聽(tīng)類網(wǎng)絡(luò)監(jiān)聽(tīng)分析Uhack、Listen、jcsend、HYWirelessSnifferDNS協(xié)議交換監(jiān)聽(tīng)DNSsniffer賬號(hào)密碼捕獲Pwsniffer、psmonitor路由器密碼掃描登錄BdsFastNetportScanner6掃描類遠(yuǎn)程或本地掃描Nmap、SuperScan、NBSI、pangolin、明小子注入7遠(yuǎn)程注入工具Asp注入Asp解密機(jī)ASP木馬aspbackdoorJsp木馬注入jspcmdPerl注入perlcmdPhp注入phpcmd等級(jí)保護(hù)生命周期等級(jí)保護(hù)生命周期等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng)2.5等級(jí)測(cè)評(píng)配套工具等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng)工程啟動(dòng)信息收集與分析工具和表單準(zhǔn)備目標(biāo)系統(tǒng)信息探測(cè)測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)實(shí)施手冊(cè)開(kāi)發(fā)測(cè)評(píng)方案編制測(cè)評(píng)實(shí)施準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還單項(xiàng)測(cè)評(píng)結(jié)果判定單項(xiàng)測(cè)評(píng)結(jié)果匯總分析系統(tǒng)整體測(cè)評(píng)分析綜合測(cè)評(píng)結(jié)論形成測(cè)評(píng)報(bào)告編制安全功能深度測(cè)試專項(xiàng)掃描工具滲透測(cè)試工具單項(xiàng)測(cè)評(píng)結(jié)果分析單元測(cè)評(píng)結(jié)果分析安全配置信息獲取報(bào)告文檔生成報(bào)告文檔生成報(bào)告文檔生成報(bào)告文檔生成信息管理信息管理信息管理性能測(cè)試工具信息管理等保測(cè)評(píng)工具序號(hào)工具備注1等保測(cè)評(píng)工具定制開(kāi)發(fā)，兼容等級(jí)測(cè)評(píng)流程，信息處理與信息管理并重2脆弱性掃描工具啟明天鏡、Nmap、Nessus、X-Scan、中科網(wǎng)威漏洞掃描、天融信漏洞掃描、數(shù)據(jù)庫(kù)安全掃描、應(yīng)用安全掃描3安全配置獲取工具安全配置獲取腳本、微軟基線分析工具4網(wǎng)絡(luò)信息獲取工具網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)工具（第三方開(kāi)源）、防火墻安全策略可視化工具、安全審計(jì)管理工具4管理評(píng)估工具定制開(kāi)發(fā)管理評(píng)估類工具5安全功能驗(yàn)證工具研究性質(zhì)原型工具，例如：強(qiáng)制訪問(wèn)控制功能測(cè)試工具、安全策略一致性檢驗(yàn)工具6性能測(cè)試工具IXIA性能測(cè)試儀7滲透測(cè)試工具口令破解、遠(yuǎn)程掃描、遠(yuǎn)程注入、漏洞利用，可以使用的任何攻擊性質(zhì)工具安全基線測(cè)評(píng)模式：

標(biāo)準(zhǔn)符合性測(cè)評(píng)

安全隱患排查

風(fēng)險(xiǎn)量化評(píng)估

安全狀況檢查報(bào)告模版庫(kù)項(xiàng)目信息管理表單方案生成測(cè)評(píng)數(shù)據(jù)獲取單項(xiàng)測(cè)評(píng)分析單元測(cè)評(píng)分析風(fēng)險(xiǎn)分析整體測(cè)評(píng)分析等級(jí)測(cè)評(píng)報(bào)告測(cè)評(píng)方案生成測(cè)評(píng)標(biāo)準(zhǔn)庫(kù)測(cè)評(píng)方法庫(kù)測(cè)評(píng)信息庫(kù)拓?fù)浒l(fā)現(xiàn)工具脆弱性掃描工具配置檢查工具性能測(cè)試儀滲透測(cè)試工具網(wǎng)絡(luò)信息平安信息節(jié)點(diǎn)信息GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》平安威脅脆弱性技術(shù)原理舉例：強(qiáng)制訪問(wèn)控制功能測(cè)評(píng)強(qiáng)訪機(jī)制存在與否強(qiáng)訪身份鑒別強(qiáng)訪主客體粒度強(qiáng)訪主客體覆蓋范圍能力覆蓋范圍策略有效性強(qiáng)訪策略存儲(chǔ)加密強(qiáng)訪審計(jì)模擬仿真驗(yàn)證強(qiáng)訪測(cè)評(píng)指標(biāo)強(qiáng)訪測(cè)評(píng)關(guān)鍵技術(shù)（策略有效性）日志庫(kù)提取策略信息提取強(qiáng)訪審計(jì)信息有效提取信息組合有效性判斷日志相關(guān)主客體還原主客體相關(guān)訪問(wèn)實(shí)現(xiàn)性判斷日志結(jié)果記錄與判斷結(jié)果比對(duì)強(qiáng)訪測(cè)評(píng)關(guān)鍵技術(shù)（策略有效性）隨機(jī)抽取帶敏感標(biāo)記主客體模擬強(qiáng)訪的訪問(wèn)規(guī)則判定生成測(cè)試用例進(jìn)行操作帶有等級(jí)改變情況下判定程序模擬結(jié)果與實(shí)際操作結(jié)果比對(duì)強(qiáng)訪測(cè)評(píng)關(guān)鍵技術(shù)（模擬仿真驗(yàn)證）審計(jì)策略提取主客體信息提取訪問(wèn)策略提取等級(jí)改變策略提取強(qiáng)訪仿真驗(yàn)證訪問(wèn)用例生成強(qiáng)訪程序仿真強(qiáng)訪實(shí)現(xiàn)驗(yàn)證元素描述標(biāo)準(zhǔn)強(qiáng)訪模擬仿真結(jié)果滿足信息系統(tǒng)平安等級(jí)保護(hù)標(biāo)準(zhǔn)的合規(guī)性流程管理---?信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南?測(cè)評(píng)標(biāo)準(zhǔn)---?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?測(cè)評(píng)方法---?信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)要求?自動(dòng)化文檔支持等保測(cè)評(píng)方案文檔等級(jí)測(cè)評(píng)方案測(cè)評(píng)作業(yè)指導(dǎo)書(shū)等級(jí)測(cè)評(píng)報(bào)告各類統(tǒng)計(jì)報(bào)表三、平安測(cè)評(píng)業(yè)務(wù)實(shí)踐3.1信息系統(tǒng)等級(jí)測(cè)評(píng)定義政策要求系統(tǒng)定級(jí)規(guī)劃設(shè)計(jì)安全運(yùn)維集成實(shí)施等級(jí)測(cè)評(píng)系統(tǒng)終止定級(jí)指南基本要求方案指南實(shí)施指南測(cè)評(píng)準(zhǔn)則測(cè)評(píng)流程基本要求方案指南實(shí)施指南措施調(diào)整等級(jí)變更系統(tǒng)調(diào)查系統(tǒng)定級(jí)定級(jí)報(bào)告定級(jí)備案安全需求分析安全策略設(shè)計(jì)解決方案設(shè)計(jì)安全建設(shè)規(guī)劃安全產(chǎn)品采購(gòu)技術(shù)措施實(shí)施管理措施實(shí)施安全建設(shè)集成安全評(píng)估加固安全狀態(tài)監(jiān)控安全應(yīng)急響應(yīng)安全持續(xù)改進(jìn)測(cè)評(píng)準(zhǔn)備方案編制現(xiàn)場(chǎng)測(cè)評(píng)報(bào)告編制等級(jí)保護(hù)標(biāo)準(zhǔn)建設(shè)實(shí)施流程各階段工作等級(jí)測(cè)評(píng)測(cè)評(píng)準(zhǔn)則測(cè)評(píng)流程測(cè)評(píng)準(zhǔn)備方案編制現(xiàn)場(chǎng)測(cè)評(píng)報(bào)告編制工作環(huán)節(jié)訪談－通過(guò)與信息系統(tǒng)用戶〔個(gè)人/群體〕進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)證明信息系統(tǒng)平安保護(hù)措施是否落實(shí)的一種方法。檢查－通過(guò)對(duì)測(cè)評(píng)對(duì)象〔設(shè)備、文檔、現(xiàn)場(chǎng)等〕進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取相關(guān)證據(jù)證明信息系統(tǒng)平安保護(hù)措施是否有效的一種方法。測(cè)試－利用預(yù)定的方法/工具使測(cè)評(píng)對(duì)象產(chǎn)生特定的行為活動(dòng)，查看輸出結(jié)果與預(yù)期結(jié)果的差異，以獲取證據(jù)證明信息系統(tǒng)平安保護(hù)措施是否有效的一種方法。測(cè)評(píng)工作方式工作方式測(cè)評(píng)對(duì)象工具說(shuō)明訪談人員調(diào)查問(wèn)卷、管理核查表主要針對(duì)信息安全主管、信息系統(tǒng)安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、資產(chǎn)管理員等檢查文檔、環(huán)境、設(shè)備、機(jī)制各類核查表測(cè)試設(shè)備、機(jī)制掃描檢測(cè)工具、網(wǎng)絡(luò)協(xié)議分析儀、滲透工具可進(jìn)行安全功能測(cè)試、性能測(cè)試或滲透測(cè)試測(cè)評(píng)強(qiáng)度測(cè)評(píng)流程測(cè)評(píng)準(zhǔn)備階段工作內(nèi)容項(xiàng)目?jī)?nèi)容工作詳細(xì)內(nèi)容成果輸出實(shí)施周期項(xiàng)目啟動(dòng)1.組建測(cè)評(píng)項(xiàng)目組向用戶提交

《項(xiàng)目計(jì)劃書(shū)》

《提供資料清單》一周2.編制《項(xiàng)目計(jì)劃書(shū)》3.確定測(cè)評(píng)委托單位應(yīng)提供的資料信息收集分析

1.定級(jí)報(bào)告分析《系統(tǒng)基本情況分析報(bào)告》2.整理調(diào)查表單3.發(fā)放調(diào)查表單給測(cè)評(píng)委托單位4.協(xié)助測(cè)評(píng)委托單位填寫(xiě)調(diào)查表5.收回調(diào)查結(jié)果6.分析調(diào)查結(jié)查工具和表單準(zhǔn)備1.調(diào)試測(cè)評(píng)工具確定測(cè)評(píng)工具（測(cè)評(píng)工具清單）

《現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)》

《測(cè)評(píng)結(jié)果記錄表》

《文檔交接單》2.模擬被測(cè)系統(tǒng)搭建測(cè)評(píng)環(huán)境3.模擬測(cè)評(píng)4.準(zhǔn)備打印表單現(xiàn)狀調(diào)研表單方案編制階段工作內(nèi)容項(xiàng)目工作內(nèi)容工作詳細(xì)任務(wù)輸出成果實(shí)施周期一、測(cè)評(píng)對(duì)象確認(rèn)識(shí)別被測(cè)系統(tǒng)等級(jí)《測(cè)評(píng)方案》的測(cè)評(píng)對(duì)象部分兩天識(shí)別被測(cè)系統(tǒng)的整體結(jié)構(gòu)識(shí)別被測(cè)系統(tǒng)的邊界識(shí)別被測(cè)系統(tǒng)的網(wǎng)絡(luò)區(qū)域識(shí)別被測(cè)系統(tǒng)的重要節(jié)點(diǎn)和業(yè)務(wù)應(yīng)用確定測(cè)評(píng)對(duì)象二、測(cè)評(píng)指標(biāo)確定識(shí)別被測(cè)系統(tǒng)業(yè)務(wù)信息和系統(tǒng)服務(wù)安全保護(hù)等級(jí)《測(cè)評(píng)方案》的測(cè)評(píng)指標(biāo)部分選擇對(duì)應(yīng)等級(jí)的ASG三類安全要求作為測(cè)評(píng)指標(biāo)就高原則調(diào)整多個(gè)定級(jí)對(duì)象共用的某些物理安全或管理安全測(cè)評(píng)指標(biāo)三、工具測(cè)試點(diǎn)確定確定工具測(cè)試的測(cè)評(píng)對(duì)象《測(cè)評(píng)方案》的測(cè)試工具接入點(diǎn)部分選擇測(cè)試路徑確定測(cè)試工具的接入點(diǎn)四、測(cè)試內(nèi)容確定識(shí)別每個(gè)測(cè)評(píng)對(duì)象對(duì)象的測(cè)評(píng)指標(biāo)《測(cè)評(píng)方案》的單項(xiàng)測(cè)評(píng)實(shí)施和系統(tǒng)測(cè)評(píng)實(shí)施部分三天識(shí)別每個(gè)測(cè)評(píng)對(duì)象對(duì)應(yīng)的每個(gè)測(cè)試指標(biāo)的測(cè)試方法五、測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)從已有的測(cè)評(píng)指導(dǎo)書(shū)中選擇與測(cè)評(píng)對(duì)象對(duì)應(yīng)的手冊(cè)《測(cè)評(píng)方案》的測(cè)評(píng)實(shí)施手冊(cè)部分針對(duì)沒(méi)有現(xiàn)成測(cè)評(píng)指導(dǎo)書(shū)的測(cè)評(píng)對(duì)象，開(kāi)發(fā)新的測(cè)評(píng)指導(dǎo)書(shū)六、測(cè)評(píng)方案編制描述測(cè)評(píng)項(xiàng)目基本情況和工作依據(jù)向用戶提交

《測(cè)評(píng)方案》兩天描述被測(cè)系統(tǒng)的整體結(jié)構(gòu)、邊界和網(wǎng)絡(luò)區(qū)域描述被測(cè)系統(tǒng)的重要節(jié)點(diǎn)和業(yè)務(wù)應(yīng)用描述測(cè)評(píng)指標(biāo)描述測(cè)評(píng)對(duì)象描述測(cè)評(píng)內(nèi)容和方法測(cè)評(píng)方案與測(cè)評(píng)指導(dǎo)書(shū)現(xiàn)場(chǎng)測(cè)評(píng)過(guò)程管理內(nèi)容項(xiàng)目工作內(nèi)容工作詳細(xì)任務(wù)輸出實(shí)施周期1.現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)簽署會(huì)議記錄、確認(rèn)的授權(quán)委托書(shū)、更新后的測(cè)評(píng)計(jì)劃和測(cè)評(píng)方案二天召開(kāi)現(xiàn)場(chǎng)測(cè)評(píng)啟動(dòng)會(huì)雙方確認(rèn)測(cè)評(píng)方案雙方確認(rèn)配合人員、環(huán)境等資源確認(rèn)信息系統(tǒng)已經(jīng)備份測(cè)評(píng)方案、結(jié)構(gòu)記錄表格等資料更新2.現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)構(gòu)記錄依據(jù)測(cè)評(píng)指導(dǎo)書(shū)實(shí)施測(cè)評(píng)訪談結(jié)果：技術(shù)安全和管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄或錄音

文檔審查結(jié)果：管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄

配置檢查結(jié)果：技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格

工具測(cè)試結(jié)果：技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄，工具測(cè)試完成后的電子輸出記錄，備份的測(cè)試結(jié)果文件

實(shí)地察看結(jié)果：技術(shù)安全測(cè)評(píng)的物理安全和管理安全測(cè)評(píng)結(jié)果記錄

測(cè)評(píng)結(jié)果確認(rèn)：現(xiàn)場(chǎng)核查中發(fā)現(xiàn)的問(wèn)題匯總、證據(jù)和證據(jù)源記錄、被測(cè)單位的書(shū)面認(rèn)可文件一周記錄測(cè)評(píng)獲取的證據(jù)、資料等信息匯總測(cè)評(píng)記錄，如果需要，實(shí)施補(bǔ)充測(cè)評(píng)3.結(jié)果確認(rèn)和資料歸還召開(kāi)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)束會(huì)測(cè)評(píng)委托單位確認(rèn)測(cè)評(píng)過(guò)程中獲取的證據(jù)和資料的正確性，并簽字認(rèn)可測(cè)評(píng)人員歸還借閱的各種資料測(cè)評(píng)結(jié)果表單測(cè)評(píng)報(bào)告編制過(guò)程管理內(nèi)容項(xiàng)目工作內(nèi)容工作詳細(xì)任務(wù)工作依據(jù)（模版)實(shí)施周期1.單項(xiàng)測(cè)評(píng)結(jié)果判定分析測(cè)評(píng)項(xiàng)所對(duì)抗威脅的存在情況等級(jí)測(cè)評(píng)報(bào)告的單項(xiàng)測(cè)評(píng)結(jié)果部分五天分析單個(gè)測(cè)評(píng)項(xiàng)是否有多方面的要求內(nèi)容，依據(jù)“優(yōu)勢(shì)證據(jù)”法選擇優(yōu)勢(shì)證據(jù)，并將優(yōu)勢(shì)證據(jù)與預(yù)期測(cè)評(píng)結(jié)果相比較綜合判定單個(gè)測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果2.單元測(cè)評(píng)結(jié)果判定匯總每個(gè)測(cè)評(píng)對(duì)象在每個(gè)測(cè)評(píng)單元的單項(xiàng)測(cè)評(píng)結(jié)果等級(jí)測(cè)評(píng)報(bào)告的單項(xiàng)測(cè)評(píng)結(jié)果匯總分析部分判定每個(gè)測(cè)評(píng)對(duì)象的單元測(cè)評(píng)結(jié)果3.整體測(cè)評(píng)分析不符合和部分符合的測(cè)評(píng)項(xiàng)與其他測(cè)評(píng)項(xiàng)（包括單元內(nèi)、層面間、區(qū)域間）之間的關(guān)聯(lián)關(guān)系及對(duì)結(jié)果的影響情況等級(jí)測(cè)評(píng)報(bào)告的系統(tǒng)整體測(cè)評(píng)分析部分分析被測(cè)系統(tǒng)整體結(jié)構(gòu)的安全性對(duì)結(jié)果的影響情況4.風(fēng)險(xiǎn)分析整體測(cè)評(píng)后的單項(xiàng)測(cè)評(píng)結(jié)果再次匯總等級(jí)測(cè)評(píng)報(bào)告的風(fēng)險(xiǎn)分析部分分析部分符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問(wèn)題被威脅利用的可能性分析威脅利用安全問(wèn)題后造成的影響程度為被測(cè)系統(tǒng)面臨的風(fēng)險(xiǎn)驚醒賦值評(píng)價(jià)風(fēng)險(xiǎn)分析結(jié)果5.等級(jí)測(cè)評(píng)結(jié)論形成統(tǒng)計(jì)再次匯總后的單項(xiàng)測(cè)評(píng)結(jié)果為部分符合和不符合項(xiàng)的項(xiàng)數(shù)等級(jí)測(cè)評(píng)報(bào)告的等級(jí)測(cè)評(píng)結(jié)論部分形成等級(jí)測(cè)評(píng)結(jié)論6.測(cè)評(píng)報(bào)告編制概述測(cè)評(píng)項(xiàng)目情況等級(jí)測(cè)評(píng)報(bào)告

提交用戶兩天描述被測(cè)系統(tǒng)情況描述測(cè)評(píng)范圍和方法描述整體測(cè)評(píng)情況匯總測(cè)評(píng)結(jié)果描述風(fēng)險(xiǎn)情況給出等級(jí)測(cè)評(píng)結(jié)論和整改建議等級(jí)測(cè)評(píng)報(bào)告單項(xiàng)與單元測(cè)評(píng)

序號(hào)測(cè)評(píng)對(duì)象測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo)1測(cè)評(píng)指標(biāo)2測(cè)評(píng)指標(biāo)31對(duì)象1

（或×）符合項(xiàng)數(shù)/在對(duì)象1上測(cè)評(píng)的測(cè)評(píng)指標(biāo)1包含的測(cè)評(píng)項(xiàng)總數(shù)2對(duì)象23對(duì)象3小計(jì)符合項(xiàng)數(shù)/在上述對(duì)象上測(cè)評(píng)的測(cè)評(píng)指標(biāo)1包含的測(cè)評(píng)項(xiàng)總數(shù)注：“

”表示“符合”，“

”表示部分符合，“×”表示“不符合”，“N/A”表示“不適用”。整體測(cè)評(píng)

整體測(cè)評(píng)

序號(hào)安全控制測(cè)評(píng)對(duì)象單項(xiàng)判定不符合項(xiàng)能否進(jìn)行關(guān)聯(lián)互補(bǔ)說(shuō)明1測(cè)評(píng)指標(biāo)1對(duì)象1對(duì)象2。。。2測(cè)評(píng)指標(biāo)1對(duì)象1。。。。。。。。。。。。項(xiàng)目小計(jì)測(cè)評(píng)結(jié)果匯總

序號(hào)安全分類安全子類符合情況符合部分符合不符合1物理安全物理位置的選擇ü2物理訪問(wèn)控制ü3防盜竊和防破壞ü4防雷擊ü5防火ü6防水和防潮ü7防靜電ü8溫濕度控制ü9電力供應(yīng)ü10電磁防護(hù)ü………………統(tǒng)計(jì)721風(fēng)險(xiǎn)分析

序號(hào)問(wèn)題描述關(guān)聯(lián)資產(chǎn)關(guān)聯(lián)威脅風(fēng)險(xiǎn)值風(fēng)險(xiǎn)評(píng)價(jià)一二三…

重點(diǎn)針對(duì)單項(xiàng)測(cè)評(píng)中的不符合項(xiàng)進(jìn)行風(fēng)險(xiǎn)分析測(cè)評(píng)結(jié)論

測(cè)評(píng)結(jié)論判別依據(jù)符合等級(jí)測(cè)評(píng)結(jié)果中不存在部分符合項(xiàng)或不符合項(xiàng)基本符合等級(jí)測(cè)評(píng)結(jié)果中存在部分符合項(xiàng)或不符合項(xiàng)，但不會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)不符合等級(jí)測(cè)評(píng)結(jié)果中存在部分符合項(xiàng)或不符合項(xiàng)，導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)幫助用戶單位準(zhǔn)確了解信息系統(tǒng)平安現(xiàn)狀,識(shí)別平安風(fēng)險(xiǎn)；在平安事故發(fā)生之前防止、減少或轉(zhuǎn)移風(fēng)險(xiǎn)，確保系統(tǒng)平安；為用戶信息平安決策和管理，包括進(jìn)一步的平安規(guī)劃、建設(shè)、運(yùn)維提供依據(jù)；滿足國(guó)家信息平安相關(guān)政策、法規(guī)和標(biāo)準(zhǔn)的要求。3.2信息平安風(fēng)險(xiǎn)評(píng)估目標(biāo)和作用風(fēng)險(xiǎn)評(píng)估的開(kāi)展風(fēng)險(xiǎn)產(chǎn)生的原因風(fēng)險(xiǎn)評(píng)估要素風(fēng)險(xiǎn)評(píng)估內(nèi)容

問(wèn)卷調(diào)查人員訪談文檔審查

……

配置檢查現(xiàn)場(chǎng)核查平安漏洞檢查滲透性測(cè)試……

管理核查風(fēng)險(xiǎn)評(píng)估手段風(fēng)險(xiǎn)評(píng)估流程現(xiàn)狀調(diào)研階段調(diào)研項(xiàng)目調(diào)研重點(diǎn)關(guān)注內(nèi)容調(diào)研成果機(jī)房環(huán)境調(diào)研機(jī)房進(jìn)出登記記錄，機(jī)柜上鎖，顯示器鎖屏，線纜編號(hào)，機(jī)柜前后距離《機(jī)房資產(chǎn)調(diào)研表》網(wǎng)絡(luò)資產(chǎn)調(diào)研依據(jù)甲方提供的網(wǎng)絡(luò)資產(chǎn)清單表與拓?fù)浜藢?shí)網(wǎng)絡(luò)設(shè)備物理位置與邏輯連接《網(wǎng)絡(luò)資產(chǎn)調(diào)研表》主機(jī)資產(chǎn)調(diào)研依據(jù)甲方提供的主機(jī)資產(chǎn)清單表核實(shí)主機(jī)設(shè)備物理位置與邏輯連接《主機(jī)資產(chǎn)調(diào)研表》應(yīng)用業(yè)務(wù)調(diào)研業(yè)務(wù)內(nèi)容，應(yīng)用情況，使用現(xiàn)狀，物理及邏輯連接《應(yīng)用資產(chǎn)調(diào)研表》管理制度調(diào)研人員訪談的方式完成各問(wèn)卷的調(diào)研工作，核查用戶管理制度文檔，列出管理制度文檔主機(jī)目錄結(jié)構(gòu)

《管理核查問(wèn)卷》

《技術(shù)核查問(wèn)卷》

《人員資產(chǎn)調(diào)研表》

《網(wǎng)絡(luò)整體安全評(píng)估表》

《服務(wù)器整體安全評(píng)估表》現(xiàn)場(chǎng)評(píng)估階段評(píng)估項(xiàng)目評(píng)估重點(diǎn)工作內(nèi)容與工作方式調(diào)研成果主機(jī)配置檢查依據(jù)主機(jī)配置評(píng)估表與操作手冊(cè)，結(jié)合利用主機(jī)配置提取腳本完成主機(jī)系統(tǒng)的評(píng)估

（系統(tǒng)配置抓圖與腳本工具配置提?。吨鳈C(jī)評(píng)估表單》《重要問(wèn)題列表》網(wǎng)絡(luò)配置檢查依據(jù)甲方提供的設(shè)備配置文檔，利用網(wǎng)絡(luò)設(shè)備評(píng)估表分析設(shè)備安全狀況（安全設(shè)備配置抓圖）《網(wǎng)絡(luò)設(shè)備評(píng)估表單》《重要問(wèn)題列表》系統(tǒng)漏洞掃描對(duì)主機(jī)系統(tǒng)實(shí)施現(xiàn)場(chǎng)掃描（單線程）《主機(jī)漏洞掃描報(bào)告》管理制度核查與主機(jī)、網(wǎng)絡(luò)配置檢查人員配合，識(shí)別管理制度的現(xiàn)狀核查，發(fā)現(xiàn)管理脆弱性，識(shí)別安全防護(hù)措施的有效性《脆弱性問(wèn)題匯總報(bào)告》資產(chǎn)分析平安防護(hù)措施有效性分析脆弱性分析威脅分析風(fēng)險(xiǎn)值計(jì)算報(bào)告編寫(xiě)階段資產(chǎn)價(jià)值脆弱性嚴(yán)重程度威脅發(fā)生頻率平安事件的損失平安事件可能性風(fēng)險(xiǎn)值風(fēng)險(xiǎn)值計(jì)算風(fēng)險(xiǎn)值1-67-1213-1819-2324-25風(fēng)險(xiǎn)等級(jí)12345風(fēng)險(xiǎn)值計(jì)算由于在對(duì)資產(chǎn)價(jià)值、脆弱性嚴(yán)重程度、威脅發(fā)生頻率進(jìn)行賦值時(shí)，是根據(jù)GB20984中推薦的5級(jí)方法進(jìn)行賦值，所以各項(xiàng)資產(chǎn)的風(fēng)險(xiǎn)值為1-25之間的數(shù)值。把所有風(fēng)險(xiǎn)值劃分為5個(gè)等級(jí)。對(duì)所有資產(chǎn)的風(fēng)險(xiǎn)值進(jìn)行比較，給出柱狀圖，界定中高風(fēng)險(xiǎn)資產(chǎn)，以輔助被評(píng)估方?jīng)Q定進(jìn)行有針對(duì)性整改。3.3信息系統(tǒng)滲透測(cè)試識(shí)別系統(tǒng)被入侵的可能性；發(fā)現(xiàn)系統(tǒng)存在的平安隱患；驗(yàn)證系統(tǒng)現(xiàn)在平安措施的防護(hù)強(qiáng)度；在入侵者發(fā)起攻擊前封堵可能被利用的攻擊途徑。滲透測(cè)試目標(biāo)黑箱測(cè)試〔“zero-knowledgetesting〞〕

滲透者完全處于對(duì)系統(tǒng)一無(wú)所知的狀態(tài)。通常這種類型的測(cè)試其最初的信息來(lái)自DNS、Web、Email及各種公開(kāi)對(duì)外的效勞器。白盒測(cè)試

測(cè)試者可以通過(guò)正常渠道向被測(cè)單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)洹T工資料甚至網(wǎng)站或其他程序的代碼片段，也能與單位其他員工進(jìn)行面對(duì)面的溝通，這類測(cè)試的目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作。隱秘測(cè)試隱秘是針對(duì)被測(cè)單位而言的。通常，接受滲透測(cè)試的單位網(wǎng)絡(luò)管理部門會(huì)收到通知：在某些時(shí)間段進(jìn)行測(cè)試。因此能夠檢測(cè)網(wǎng)絡(luò)中出現(xiàn)的變化。但在隱秘測(cè)試中，被測(cè)單位也僅有極少數(shù)人知曉測(cè)試的存在，因此能夠有效地檢驗(yàn)單位中的信息平安事件監(jiān)控、響應(yīng)、恢復(fù)工作做得是否到位。滲透測(cè)試分類滲透測(cè)試對(duì)象滲透測(cè)試位置滲透測(cè)試流程四、第一測(cè)評(píng)實(shí)驗(yàn)室簡(jiǎn)介電力行業(yè)采取測(cè)試、評(píng)審別離的工作模式開(kāi)展工作電力行業(yè)信息平安等級(jí)保護(hù)測(cè)評(píng)中心電監(jiān)會(huì)公安部認(rèn)可華北電力大學(xué)與中科院軟件所（信息安全共性技術(shù)國(guó)家工程研究中心）聯(lián)合成立的實(shí)驗(yàn)室公安部信息安全等級(jí)保護(hù)評(píng)估中心業(yè)務(wù)指導(dǎo)管理第一測(cè)評(píng)實(shí)驗(yàn)室定位第一測(cè)評(píng)實(shí)驗(yàn)室主營(yíng)業(yè)務(wù)第一測(cè)評(píng)實(shí)驗(yàn)室能力介紹實(shí)驗(yàn)室能力質(zhì)量管理能力標(biāo)準(zhǔn)性保證能力組織管理能力測(cè)評(píng)實(shí)施能力設(shè)施和設(shè)備能力4.1組織管理能力組織架構(gòu)4.1組織管理能力一、質(zhì)量手冊(cè)Q/EISE-QM9000-2021質(zhì)量手冊(cè)二、程序文件清單編號(hào)名稱Q/EISE-QP401-2021文件控制程序Q/EISE-QP402-2021質(zhì)量記錄的控制程序Q/EISE-QP501-2021管理評(píng)審控制程序Q/EISE-QP601-2021人力資源控制程序Q/EISE-QP701-2021信息平安效勞控制程序Q/EISE-QP801-2021內(nèi)部審核控制程序Q/EISE-QP802-2021不合格品控制程序Q/EISE-QP803-2021改進(jìn)控制程序三、管理制度清單編號(hào)名稱RL001-2021保密管理制度RL002-2021