等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。
科学的手段和方法
采用6种方式,逐步深化的测试手段
· 调研访谈(业务、资产、安全技术和安全管理);
· 查看资料(管理制度、安全策略);
· 现场观察(物理环境、物理部署);
· 查看配置(主机、网络、安全设备);
· 技术测试(漏洞扫描);
· 评价(安全测评、符合性评价)。
安全技术测评:
安全技术测评包括:物理安全、网络安全、主机安全、应用安全、数据安全。
安全管理测评:
安全管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
信息系统全生命周期
信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止”等五个阶段。
信息系统定级
定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
总体安全规划
总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
安全设计与实施
安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施
安全运行维护
安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南
信息系统终止
信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时,正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中,有些系统并不是真正意义上的废弃,而是改进技术或转变业务到新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全
实施的基本流程
在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
等保测评工作流程
准备阶段
项目启动
· 组建评测项目组。
· 编制项目计划书。
· 确定评测委托单位应提供的资料。
信息收集分析
· 查阅定级报告、系统描述文件、系统安全设计方案、自查或上次等级测评报告(如果做过资产或等级测评)等资料。
· 根据查阅到的系统情况调整调查表内容。
· 发放调查表给测评委托单位。
工具和表单准备
· 调试测评工具。
· 模拟被测系统搭建测评环境。
· 模拟测评。
· 准备打印表单。
方案编制阶段
测评对象的确定
· 识别被测系统等级。
· 识别被测系统的整体结构。
· 识别被测系统的边界。
· 识别被测系统的网络区域。
测评指标确定
· 识别被测系统业务信息和系统服务安全保护等级。
· 选择对应等级的ASG三类安全要求作为测评指标。
注:ASG
A:保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求;--电力供应、资源控制、软件容错等。
S:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权修改的信息安全类要求;--物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等。
G:通用安全保护类要求。--技术类中的安全审计、管理制度等。
测试工具接入点确定
· 在测评中,需要使用测试工具进行测试,测试工具可能用到漏洞扫描器、渗透测试工具集、协议分析仪等。
· 确定需要进行测试的测评对象。
· 选择测试路径。
· 根据测试路径,确定测试工具的接入点。
测评指导书开发
测评指导书是具体指导测评人员如何进行测评活动的文档,是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动规范的根本。可从已有的测评指导书中选取与测评对象对应的手册。
测评方案编制
测试方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。测评方案应该包括但不局限于:项目概述、测评对象、测评指标、测评内容、测评方法等。
现场评测阶段
现场评测阶段通过与评测委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,依据测评方案实施现场测评工作,将测评方案和测评方法等内容具体落实到现场测评活动中。现场测评工作应取得报告编制活动所需的、足够的证据和资料。
现场评测准备
· 测评委托单位对风险告知书签字确认,了解测评过程中存在的安全风险,做好相应的应急和备份工作。
· 召开测评现场启动会,测评机构介绍现场测评工作安排,双方对测评计划和测评方案中的测评内容和方法进行沟通。
· 双方确认配合人员,环境等资源。
现场评测和结果记录
· 依据测评指导书实施测评。
· 记录测评获取的证据、资料等信息。
· 汇总测评记录,如果需要,实施补充测评。
实施测评
· 访谈
-访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
· 检查
-检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等),数量上可以抽样。
· 测试
-测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应,通过查看和分析响应的输出结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
结果确认和资料归还
· 召开现场测评结束会。
· 测评委托单位确认测评过程中获取的证据和资料的正确性,签字认可。
· 测评人员归还借阅的各种资料。
报告编制阶段
在现场测评工作结束后,测评机构应对现场测评获得的测评结果进行汇总分析,形成等级测评结论,并编制测评报告。
单项测评结果判定
· 分析测评项所对抗威胁的存在情况。
· 分析单个测评项对应的多个测评结果的符合情况。
单元测评结果判定
· 汇总每个测评对象在每个测评单元的单项测评结果。
· 判定每个测评对象的单元测评结果。
整体测评
分析不符合和部分符合的测评项与其他测评项(包括单元内、层面间、区域间)之间的关联关系及对结果的影响情况。
风险分析
· 判断整体评测后的单元测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性(取值范围为高、中、低)。
· 判断整体测评后的单元测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用后,对被测信息系统的业务信息安全和系统服务安全造成的影响程度,影响程度取值范围为高、中、低。
· 结合上两步结果,对评测信息系统面临的安全风险进行赋值,风险值的取值范围为高、中、低。
· 结合被测信息系统的安全保护等级和对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。
等级测评结论形成
统计再次汇总后的单项测评结果为部分符合和不符合项的项数,形成等级测评结论。
测评报告编制
测评报告应包括:测评项目概述、被测信息系统情况、等级测评范围和方法、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、安全建设整改建议等。
等保实施计划
测评内容和方法
物理安全
物理安全测评内容及方法:
物理安全测评基本要求和实现方法:
网络安全
网络安全测评内容及方法:
网络安全测评基本要求和实现方法 :
主机安全
主机安全测评内容及方法:
主机安全测评基本要求和实现方法:
应用安全
应用安全测评内容及方法:
应用安全测评基本要求和实现方法:
数据安全
数据安全测评内容及方法:
数据安全测评基本要求和实现方法:
提示:
网络安全、数据安全部分,通过用WAF实现防护。
主机安全通常用防火墙实现防护,防病毒,防DDOS等,可选择绿盟、启盟之类的防火墙。
安全管理
安全管理制度测评内容及方法:
安全管理机构测评内容及方法:
人员安全管理测评内容及方法:
系统方面
系统建设管理测评内容和方法:
系统运维管理测评内容和方法:
安全措施