您當(dāng)前位置: 網(wǎng)站首頁 / 供應(yīng)信息 / 其它類 / 代理

上架日期： 2019年12月18日瀏覽量： 126次

信息系統(tǒng)安全等級保護(hù)測評的流程，濟(jì)南等保測試

產(chǎn)品價格：￥999（人民幣）

規(guī)格：濟(jì)南等保測試

發(fā)貨地：本地至全國

品牌：

最小起訂量：1件

QQ洽談點(diǎn)擊詢價進(jìn)入商鋪

濟(jì)南恒標(biāo)知識產(chǎn)權(quán)咨詢有限公司

免費(fèi)會員

會員級別：

認(rèn)證類型：企業(yè)認(rèn)證

企業(yè)證件：通過認(rèn)證

認(rèn)證信息：濟(jì)南恒標(biāo)知識產(chǎn)權(quán)咨詢有限公司

商鋪名稱：濟(jì)南恒標(biāo)知識產(chǎn)權(quán)咨詢有限公司

聯(lián)系人：李景行（先生）

聯(lián)系手機(jī)：

固定電話：

企業(yè)郵箱：152184192@qq.com

聯(lián)系地址：濟(jì)南市歷下區(qū)山大路創(chuàng)展中心208

郵編：250000

聯(lián)系我時，請說是在線纜網(wǎng)上看到的，謝謝！

商品詳情

信息系統(tǒng)安全等級保護(hù)測評的流程，濟(jì)南等保測試

二、測評工作流程

為確保等級測評工作的順利開展，需要了解等級測評的工作流程和方法，以便對等級測評工作過程進(jìn)行控制。

1、基本工作流程和方法

（1）基本工作流程

等級測評過程分為4個基本測評活動：測評準(zhǔn)備活動、方案編制活動、現(xiàn)場測評活動、分析及報(bào)告編制活動。測評雙方之間的溝通與洽談應(yīng)貫穿整個等級測評過程�；竟ぷ髁鞒倘鐖D1所示。

圖1 等級測評工作流程
① 測評準(zhǔn)備活動

本活動是開展等級測評工作的前提和基礎(chǔ)，是整個等級測評過程有效性的保證。測評準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動的主要任務(wù)是掌握被測系統(tǒng)的詳細(xì)情況，準(zhǔn)備測試工具，為編制測評方案做好準(zhǔn)備。

② 方案編制活動

本活動是開展等級測評工作的關(guān)鍵活動，為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。本活動的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標(biāo)及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導(dǎo)書測評指導(dǎo)書，形成測評方案。

③ 現(xiàn)場測評活動

本活動是開展等級測評工作的核心活動。本活動的主要任務(wù)是按照測評方案的總體要求，嚴(yán)格執(zhí)行測評指導(dǎo)書測評指導(dǎo)書，分步實(shí)施所有測評項(xiàng)目，包括單元測評和整體測評兩個方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。

配置檢查是指利用上機(jī)驗(yàn)證的方式檢查網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對文檔審核的內(nèi)容進(jìn)行核實(shí)（包括日志審計(jì)等），并記錄測評結(jié)果。配置檢查是衡量一家測評機(jī)構(gòu)實(shí)力的重要體現(xiàn)。檢查對象包括數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備。

工具測試是利用各種測試工具，通過對目標(biāo)系統(tǒng)的掃描、探測等操作，使其產(chǎn)生特定的響應(yīng)等活動，通過查看、分析響應(yīng)結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法。

實(shí)地查看根據(jù)被測系統(tǒng)的實(shí)際情況，測評人員到系統(tǒng)運(yùn)行現(xiàn)場通過實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是否達(dá)到了相應(yīng)等級的安全要求。如掃描探測、滲透測試、協(xié)議分析等手段。
2、測評實(shí)施準(zhǔn)備

● 適用的法律、法規(guī)。
● 現(xiàn)有國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。
● 行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度。
● 與信息系統(tǒng)安全保護(hù)等級相應(yīng)的基本要求。
● 被測評組織的安全要求。
● 系統(tǒng)自身的實(shí)時性或性能要求等。

⑦ 確定測評工具：主要包括測評前的表格、文檔、檢測工具等各項(xiàng)準(zhǔn)備工作。測評工作通常包括根據(jù)評估對象和評估內(nèi)容合理選擇相應(yīng)的測評工具，測評工具的選擇和使用應(yīng)遵循以下原則：

● 脆弱性發(fā)現(xiàn)工具，應(yīng)具備全面的已知系統(tǒng)脆弱性核查與檢測能力。
● 測評工具的檢測規(guī)則庫應(yīng)具備更新功能，能夠及時更新。
● 測評工具使用的檢測策略和檢測方式不應(yīng)對信息系統(tǒng)造成不正常影響。

可采用多種測評工具對同一測試對象進(jìn)行檢測，如果出現(xiàn)檢測結(jié)果不一致的情況，應(yīng)進(jìn)一步采用必要的人工檢測和關(guān)聯(lián)分析，并給出與實(shí)際情況最為相符的結(jié)果判定。

評估工具的選擇和使用必須符合國家有關(guān)規(guī)定。

測評工具應(yīng)包括：主機(jī)檢查、服務(wù)器檢查、數(shù)據(jù)庫檢查、中間件檢查、Web檢查、專用業(yè)務(wù)檢查、協(xié)議檢查、口令檢查、安全設(shè)備檢查、網(wǎng)絡(luò)設(shè)備檢查、性能壓力檢查等。

⑧ 制定測評方案：測評方案是測評工作實(shí)施活動總體計(jì)劃，用于管理評估工作的開展，使測評各階段工作可控。測評方案是測評項(xiàng)目驗(yàn)收的主要依據(jù)之一，是測評人員進(jìn)行內(nèi)部工作交流、明確工作任務(wù)的操作指南。通常測評方案給出具體的現(xiàn)場測評的工作思路、方法、方式和具體測評對象及其內(nèi)容。測評方案應(yīng)得到被評估組織的確認(rèn)和認(rèn)可。

⑩ 文檔管理：文檔是測評工作的最終體現(xiàn)方式。為確保文檔資料的完整性、準(zhǔn)確性和安全性，應(yīng)遵循以下原則：

● 指派專人負(fù)責(zé)管理和維護(hù)項(xiàng)目進(jìn)程中產(chǎn)生的各類文檔，確保文檔的完整性和準(zhǔn)確性。

● 文檔的存儲應(yīng)進(jìn)行合理的分類和編目，確保文檔結(jié)構(gòu)清晰可控。

● 所有文檔應(yīng)注明項(xiàng)目名稱、文檔名稱、版本號、審批人、編制日期、分發(fā)范圍等信息。

● 不得泄露給與本項(xiàng)目無關(guān)的人員或組織，除非預(yù)先征得被評估組織項(xiàng)目負(fù)責(zé)人的同意。同時，測評組織需要有專門的存儲介質(zhì)、安全柜和人員，對測評所產(chǎn)生的記錄文檔進(jìn)行一定時間的保存。如等級保護(hù)三級系統(tǒng)所產(chǎn)生的測評報(bào)告和記錄需要保持3年以上。

? 測評風(fēng)險(xiǎn)規(guī)避：測評工作自身也存在風(fēng)險(xiǎn)，一是結(jié)果是否準(zhǔn)確有效，能夠達(dá)到預(yù)先目標(biāo)存在風(fēng)險(xiǎn)；二是測評中的某些測試操作可能給被測評組織或信息系統(tǒng)引入新的風(fēng)險(xiǎn)。應(yīng)通過技術(shù)培訓(xùn)和保密教育、制定測評過程管理相關(guān)規(guī)定、編制應(yīng)急預(yù)案等措施進(jìn)行風(fēng)險(xiǎn)規(guī)避。同時雙方應(yīng)簽署保密協(xié)議，測評單位和測評人員簽署個人保密協(xié)議。

3、測評方案編制

方案編制過程是開展等級測評工作的關(guān)鍵活動，為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。本過程的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標(biāo)及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導(dǎo)書測評指導(dǎo)書，形成測評方案。

① 確定測評對象。一般采用抽查的方法，即：抽查信息系統(tǒng)中具有代表性的組件作為測評對象。在確定測評對象時，需遵循以下原則：

● 重要性，應(yīng)抽查對被測評系統(tǒng)來說重要的服務(wù)器、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備等。
● 安全性，應(yīng)抽查對外暴露的網(wǎng)絡(luò)邊界。
● 共享性，應(yīng)抽查共享設(shè)備和數(shù)據(jù)交換平臺/設(shè)備。
● 代表性，抽查應(yīng)盡量覆蓋系統(tǒng)各種設(shè)備類型、操作系統(tǒng)類型、數(shù)據(jù)庫系統(tǒng)類型和應(yīng)用系統(tǒng)類型。
● 恰當(dāng)性，選擇的設(shè)備、軟件系統(tǒng)等應(yīng)能符合相應(yīng)等級的測評強(qiáng)度要求。

② 確定測評指標(biāo)及測評內(nèi)容。根據(jù)被測系統(tǒng)調(diào)查表格，得出被測系統(tǒng)的定級結(jié)果，包括業(yè)務(wù)網(wǎng)絡(luò)安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級，從而得出被測系統(tǒng)應(yīng)采取的安全保護(hù)措施 ASG 組合情況。如，目標(biāo)系統(tǒng)的安全保護(hù)等級為第三級（S3A3G3），其測評指標(biāo)應(yīng)包括《基本要求》7.1 節(jié)“技術(shù)要求”和 7.2 節(jié)“管理要求”中的第三級通用指標(biāo)類（G3）、第三級業(yè)務(wù)信息安全性指標(biāo)類（S3）和第三級業(yè)務(wù)服務(wù)保證類（A3）要求。對于由多個不同等級的信息系統(tǒng)組成的被測系統(tǒng)，應(yīng)分別確定各個定級對象的測評指標(biāo)。如果多個定級對象共用物理環(huán)境或管理體系，而且測評指標(biāo)不能分開，則不能分開的這些測評指標(biāo)應(yīng)采用就高原則。

③ 確定測評工具接入點(diǎn)。一般來說，測評工具的接入采取從外到內(nèi)，從其他網(wǎng)絡(luò)到本地網(wǎng)段的逐步逐點(diǎn)接入，即：測評工具從被測系統(tǒng)邊界外接入、在被測系統(tǒng)內(nèi)部與測評對象不同網(wǎng)段及同一網(wǎng)段內(nèi)接入等幾種方式。從被測系統(tǒng)邊界外接入時，測評工具一般接在系統(tǒng)邊界設(shè)備（通常為交換設(shè)備）上。在該點(diǎn)接入漏洞掃描器，掃描探測被測系統(tǒng)的主機(jī)、網(wǎng)絡(luò)設(shè)備對外暴露的安全漏洞情況；從系統(tǒng)內(nèi)部與測評對象不同網(wǎng)段接入時，測評工具一般接在與被測對象不在同一網(wǎng)段的內(nèi)部核心交換設(shè)備上；在系統(tǒng)內(nèi)部與測評對象同一網(wǎng)段內(nèi)接入時，測評工具一般接在與被測對象在同一網(wǎng)段的交換設(shè)備上；結(jié)合網(wǎng)絡(luò)拓?fù)鋱D，采用圖示的方式描述測評工具的接入點(diǎn)、測評目的、測評途徑和測評對象等相關(guān)內(nèi)容。

④ 確定測評內(nèi)容與方法。將測評對象與測評指標(biāo)進(jìn)行映射構(gòu)成測評內(nèi)容，并針對不同的測評內(nèi)容合理地選擇測評方法形成具體的測評實(shí)施內(nèi)容。

⑤ 確定測評指導(dǎo)書。測評指導(dǎo)書是指導(dǎo)和規(guī)范測評人員現(xiàn)場測評活動的文檔，包括測評項(xiàng)、測評方法、操作步驟和預(yù)期結(jié)果等四部分。在測評對象和指標(biāo)確定的基礎(chǔ)上，將測評指標(biāo)映射到各測評對象上，然后結(jié)合測評對象的特點(diǎn)，選擇應(yīng)采取的測評方法并確定測評步驟和預(yù)期結(jié)果，形成不同測評對象的具體測評指導(dǎo)書。

⑥ 確定測評方案。綜合以上結(jié)果內(nèi)容以及測評工作計(jì)劃形成測評方案，測評方案主要內(nèi)容包括測評概述、目標(biāo)系統(tǒng)概述、定級情況、網(wǎng)絡(luò)結(jié)構(gòu)、主機(jī)設(shè)備情況、應(yīng)用情況、測評方法與工具、測評內(nèi)容、時間安排、風(fēng)險(xiǎn)揭示與規(guī)避等。

4、現(xiàn)場測評

現(xiàn)場測評是測評工作的重要階段。風(fēng)險(xiǎn)評估中的風(fēng)險(xiǎn)識別階段，對應(yīng)現(xiàn)場測評，通過對組織和信息系統(tǒng)中資產(chǎn)、威脅、脆弱性等要素的識別，是進(jìn)行信息系統(tǒng)安全風(fēng)險(xiǎn)分析的前提。現(xiàn)場測評活動通過與測評委托單位進(jìn)行溝通和協(xié)調(diào)，為現(xiàn)場測評的順利開展打下良好基礎(chǔ)，然后依據(jù)測評方案實(shí)施現(xiàn)場測評工作，將測評方案和測評工具等具體落實(shí)到現(xiàn)場測評活動中。現(xiàn)場測評工作應(yīng)取得分析與報(bào)告編制活動所需的、足夠的證據(jù)和資料。

現(xiàn)場測評活動包括現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還三項(xiàng)主要任務(wù)。

（1）現(xiàn)場測評準(zhǔn)備

為保證測評機(jī)構(gòu)能夠順利實(shí)施測評，測評準(zhǔn)備工作需要包括以下內(nèi)容：① 測評委托單位簽署現(xiàn)場測評授權(quán)書；② 召開測評現(xiàn)場首次會，測評機(jī)構(gòu)介紹測評工作，交流測評信息，進(jìn)一步明確測評計(jì)劃和方案中的內(nèi)容，說明測評過程中具體的實(shí)施工作內(nèi)容，測評時間安排等，以便于后面的測評工作開展；③ 測評雙方確認(rèn)現(xiàn)場測評需要的各種資源，包括測評委托單位的配合人員和需要提供的測評條件等，確認(rèn)被測系統(tǒng)已備份過系統(tǒng)及數(shù)據(jù)；④ 測評人員根據(jù)會議溝通結(jié)果，對測評結(jié)果記錄表單和測評程序進(jìn)行必要的更新。

（2）現(xiàn)場測評和結(jié)果記錄

現(xiàn)場測評一般包括訪談、文檔審查、配置檢查、工具測試和實(shí)地察看5方面。現(xiàn)場測評覆蓋到被測系統(tǒng)安全技術(shù)的5個層面和安全管理的5方面。安全技術(shù)的5個層面具體為：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和備份恢復(fù)。安全管理的5方面具體為：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理和系統(tǒng)運(yùn)維安全管理

在線詢盤/留言

*您的姓名：

*聯(lián)系手機(jī)：

*固定電話：

*聯(lián)系郵箱：

*所在單位：

*需求數(shù)量：

咨詢內(nèi)容：

您要求給廠家提供：