信息系統(tǒng)安全等級保護(hù)測評的流程，濟南等保測試

二、測評工作流程

為確保等級測評工作的順利開展，需要了解等級測評的工作流程和方法，以便對等級測評工作過程進(jìn)行控制。

1、基本工作流程和方法

（1）基本工作流程

等級測評過程分為4個基本測評活動：測評準(zhǔn)備活動、方案編制活動、現(xiàn)場測評活動、分析及報告編制活動。測評雙方之間的溝通與洽談應(yīng)貫穿整個等級測評過程?；竟ぷ髁鞒倘鐖D1所示。

圖1 等級測評工作流程
① 測評準(zhǔn)備活動

本活動是開展等級測評工作的前提和基礎(chǔ)，是整個等級測評過程有效性的保證。測評準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動的主要任務(wù)是掌握被測系統(tǒng)的詳細(xì)情況，準(zhǔn)備測試工具，為編制測評方案做好準(zhǔn)備。

② 方案編制活動

本活動是開展等級測評工作的關(guān)鍵活動，為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。本活動的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標(biāo)及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導(dǎo)書測評指導(dǎo)書，形成測評方案。

③ 現(xiàn)場測評活動

本活動是開展等級測評工作的核心活動。本活動的主要任務(wù)是按照測評方案的總體要求，嚴(yán)格執(zhí)行測評指導(dǎo)書測評指導(dǎo)書，分步實施所有測評項目，包括單元測評和整體測評兩個方面，以了解系統(tǒng)的真實保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。

配置檢查是指利用上機驗證的方式檢查網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對文檔審核的內(nèi)容進(jìn)行核實（包括日志審計等），并記錄測評結(jié)果。配置檢查是衡量一家測評機構(gòu)實力的重要體現(xiàn)。檢查對象包括數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備。

工具測試是利用各種測試工具，通過對目標(biāo)系統(tǒng)的掃描、探測等操作，使其產(chǎn)生特定的響應(yīng)等活動，通過查看、分析響應(yīng)結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實施的一種方法。

實地查看根據(jù)被測系統(tǒng)的實際情況，測評人員到系統(tǒng)運行現(xiàn)場通過實地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是否達(dá)到了相應(yīng)等級的安全要求。如掃描探測、滲透測試、協(xié)議分析等手段。
2、測評實施準(zhǔn)備

● 適用的法律、法規(guī)。
● 現(xiàn)有國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。
● 行業(yè)主管機關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度。
● 與信息系統(tǒng)安全保護(hù)等級相應(yīng)的基本要求。
● 被測評組織的安全要求。
● 系統(tǒng)自身的實時性或性能要求等。

⑦ 確定測評工具：主要包括測評前的表格、文檔、檢測工具等各項準(zhǔn)備工作。測評工作通常包括根據(jù)評估對象和評估內(nèi)容合理選擇相應(yīng)的測評工具，測評工具的選擇和使用應(yīng)遵循以下原則：

● 脆弱性發(fā)現(xiàn)工具，應(yīng)具備全面的已知系統(tǒng)脆弱性核查與檢測能力。
● 測評工具的檢測規(guī)則庫應(yīng)具備更新功能，能夠及時更新。
● 測評工具使用的檢測策略和檢測方式不應(yīng)對信息系統(tǒng)造成不正常影響。

可采用多種測評工具對同一測試對象進(jìn)行檢測，如果出現(xiàn)檢測結(jié)果不一致的情況，應(yīng)進(jìn)一步采用必要的人工檢測和關(guān)聯(lián)分析，并給出與實際情況最為相符的結(jié)果判定。

評估工具的選擇和使用必須符合國家有關(guān)規(guī)定。

測評工具應(yīng)包括：主機檢查、服務(wù)器檢查、數(shù)據(jù)庫檢查、中間件檢查、Web檢查、專用業(yè)務(wù)檢查、協(xié)議檢查、口令檢查、安全設(shè)備檢查、網(wǎng)絡(luò)設(shè)備檢查、性能壓力檢查等。

⑧ 制定測評方案：測評方案是測評工作實施活動總體計劃，用于管理評估工作的開展，使測評各階段工作可控。測評方案是測評項目驗收的主要依據(jù)之一，是測評人員進(jìn)行內(nèi)部工作交流、明確工作任務(wù)的操作指南。通常測評方案給出具體的現(xiàn)場測評的工作思路、方法、方式和具體測評對象及其內(nèi)容。測評方案應(yīng)得到被評估組織的確認(rèn)和認(rèn)可。

⑩ 文檔管理：文檔是測評工作的最終體現(xiàn)方式。為確保文檔資料的完整性、準(zhǔn)確性和安全性，應(yīng)遵循以下原則：

● 指派專人負(fù)責(zé)管理和維護(hù)項目進(jìn)程中產(chǎn)生的各類文檔，確保文檔的完整性和準(zhǔn)確性。

● 文檔的存儲應(yīng)進(jìn)行合理的分類和編目，確保文檔結(jié)構(gòu)清晰可控。

● 所有文檔應(yīng)注明項目名稱、文檔名稱、版本號、審批人、編制日期、分發(fā)范圍等信息。

● 不得泄露給與本項目無關(guān)的人員或組織，除非預(yù)先征得被評估組織項目負(fù)責(zé)人的同意。同時，測評組織需要有專門的存儲介質(zhì)、安全柜和人員，對測評所產(chǎn)生的記錄文檔進(jìn)行一定時間的保存。如等級保護(hù)三級系統(tǒng)所產(chǎn)生的測評報告和記錄需要保持3年以上。

? 測評風(fēng)險規(guī)避：測評工作自身也存在風(fēng)險，一是結(jié)果是否準(zhǔn)確有效，能夠達(dá)到預(yù)先目標(biāo)存在風(fēng)險；二是測評中的某些測試操作可能給被測評組織或信息系統(tǒng)引入新的風(fēng)險。應(yīng)通過技術(shù)培訓(xùn)和保密教育、制定測評過程管理相關(guān)規(guī)定、編制應(yīng)急預(yù)案等措施進(jìn)行風(fēng)險規(guī)避。同時雙方應(yīng)簽署保密協(xié)議，測評單位和測評人員簽署個人保密協(xié)議。

3、測評方案編制

方案編制過程是開展等級測評工作的關(guān)鍵活動，為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。本過程的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標(biāo)及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導(dǎo)書測評指導(dǎo)書，形成測評方案。

① 確定測評對象。一般采用抽查的方法，即：抽查信息系統(tǒng)中具有代表性的組件作為測評對象。在確定測評對象時，需遵循以下原則：

● 重要性，應(yīng)抽查對被測評系統(tǒng)來說重要的服務(wù)器、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備等。
● 安全性，應(yīng)抽查對外暴露的網(wǎng)絡(luò)邊界。
● 共享性，應(yīng)抽查共享設(shè)備和數(shù)據(jù)交換平臺/設(shè)備。
● 代表性，抽查應(yīng)盡量覆蓋系統(tǒng)各種設(shè)備類型、操作系統(tǒng)類型、數(shù)據(jù)庫系統(tǒng)類型和應(yīng)用系統(tǒng)類型。
● 恰當(dāng)性，選擇的設(shè)備、軟件系統(tǒng)等應(yīng)能符合相應(yīng)等級的測評強度要求。

② 確定測評指標(biāo)及測評內(nèi)容。根據(jù)被測系統(tǒng)調(diào)查表格，得出被測系統(tǒng)的定級結(jié)果，包括業(yè)務(wù)網(wǎng)絡(luò)安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級，從而得出被測系統(tǒng)應(yīng)采取的安全保護(hù)措施 ASG 組合情況。如，目標(biāo)系統(tǒng)的安全保護(hù)等級為第三級（S3A3G3），其測評指標(biāo)應(yīng)包括《基本要求》7.1 節(jié)“技術(shù)要求”和 7.2 節(jié)“管理要求”中的第三級通用指標(biāo)類（G3）、第三級業(yè)務(wù)信息安全性指標(biāo)類（S3）和第三級業(yè)務(wù)服務(wù)保證類（A3）要求。對于由多個不同等級的信息系統(tǒng)組成的被測系統(tǒng)，應(yīng)分別確定各個定級對象的測評指標(biāo)。如果多個定級對象共用物理環(huán)境或管理體系，而且測評指標(biāo)不能分開，則不能分開的這些測評指標(biāo)應(yīng)采用就高原則。

③ 確定測評工具接入點。一般來說，測評工具的接入采取從外到內(nèi)，從其他網(wǎng)絡(luò)到本地網(wǎng)段的逐步逐點接入，即：測評工具從被測系統(tǒng)邊界外接入、在被測系統(tǒng)內(nèi)部與測評對象不同網(wǎng)段及同一網(wǎng)段內(nèi)接入等幾種方式。從被測系統(tǒng)邊界外接入時，測評工具一般接在系統(tǒng)邊界設(shè)備（通常為交換設(shè)備）上。在該點接入漏洞掃描器，掃描探測被測系統(tǒng)的主機、網(wǎng)絡(luò)設(shè)備對外暴露的安全漏洞情況；從系統(tǒng)內(nèi)部與測評對象不同網(wǎng)段接入時，測評工具一般接在與被測對象不在同一網(wǎng)段的內(nèi)部核心交換設(shè)備上；在系統(tǒng)內(nèi)部與測評對象同一網(wǎng)段內(nèi)接入時，測評工具一般接在與被測對象在同一網(wǎng)段的交換設(shè)備上；結(jié)合網(wǎng)絡(luò)拓?fù)鋱D，采用圖示的方式描述測評工具的接入點、測評目的、測評途徑和測評對象等相關(guān)內(nèi)容。

④ 確定測評內(nèi)容與方法。將測評對象與測評指標(biāo)進(jìn)行映射構(gòu)成測評內(nèi)容，并針對不同的測評內(nèi)容合理地選擇測評方法形成具體的測評實施內(nèi)容。

⑤ 確定測評指導(dǎo)書。測評指導(dǎo)書是指導(dǎo)和規(guī)范測評人員現(xiàn)場測評活動的文檔，包括測評項、測評方法、操作步驟和預(yù)期結(jié)果等四部分。在測評對象和指標(biāo)確定的基礎(chǔ)上，將測評指標(biāo)映射到各測評對象上，然后結(jié)合測評對象的特點，選擇應(yīng)采取的測評方法并確定測評步驟和預(yù)期結(jié)果，形成不同測評對象的具體測評指導(dǎo)書。

⑥ 確定測評方案。綜合以上結(jié)果內(nèi)容以及測評工作計劃形成測評方案，測評方案主要內(nèi)容包括測評概述、目標(biāo)系統(tǒng)概述、定級情況、網(wǎng)絡(luò)結(jié)構(gòu)、主機設(shè)備情況、應(yīng)用情況、測評方法與工具、測評內(nèi)容、時間安排、風(fēng)險揭示與規(guī)避等。

4、現(xiàn)場測評

現(xiàn)場測評是測評工作的重要階段。風(fēng)險評估中的風(fēng)險識別階段，對應(yīng)現(xiàn)場測評，通過對組織和信息系統(tǒng)中資產(chǎn)、威脅、脆弱性等要素的識別，是進(jìn)行信息系統(tǒng)安全風(fēng)險分析的前提。現(xiàn)場測評活動通過與測評委托單位進(jìn)行溝通和協(xié)調(diào)，為現(xiàn)場測評的順利開展打下良好基礎(chǔ)，然后依據(jù)測評方案實施現(xiàn)場測評工作，將測評方案和測評工具等具體落實到現(xiàn)場測評活動中?，F(xiàn)場測評工作應(yīng)取得分析與報告編制活動所需的、足夠的證據(jù)和資料。

現(xiàn)場測評活動包括現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還三項主要任務(wù)。

（1）現(xiàn)場測評準(zhǔn)備

為保證測評機構(gòu)能夠順利實施測評，測評準(zhǔn)備工作需要包括以下內(nèi)容：① 測評委托單位簽署現(xiàn)場測評授權(quán)書；② 召開測評現(xiàn)場首次會，測評機構(gòu)介紹測評工作，交流測評信息，進(jìn)一步明確測評計劃和方案中的內(nèi)容，說明測評過程中具體的實施工作內(nèi)容，測評時間安排等，以便于后面的測評工作開展；③ 測評雙方確認(rèn)現(xiàn)場測評需要的各種資源，包括測評委托單位的配合人員和需要提供的測評條件等，確認(rèn)被測系統(tǒng)已備份過系統(tǒng)及數(shù)據(jù)；④ 測評人員根據(jù)會議溝通結(jié)果，對測評結(jié)果記錄表單和測評程序進(jìn)行必要的更新。

（2）現(xiàn)場測評和結(jié)果記錄

現(xiàn)場測評一般包括訪談、文檔審查、配置檢查、工具測試和實地察看5方面?，F(xiàn)場測評覆蓋到被測系統(tǒng)安全技術(shù)的5個層面和安全管理的5方面。安全技術(shù)的5個層面具體為：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全和備份恢復(fù)。安全管理的5方面具體為：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理和系統(tǒng)運維安全管理

在線詢盤/留言

*您的姓名：

*聯(lián)系手機：

固定電話：

*聯(lián)系郵箱：

所在單位：

*需求數(shù)量：

*咨詢內(nèi)容：

您要求給廠家提供：

免責(zé)聲明：以上所展示的信息由企業(yè)自行提供，內(nèi)容的真實性、準(zhǔn)確性和合法性由發(fā)布企業(yè)負(fù)責(zé)，本網(wǎng)對此不承擔(dān)任何保證責(zé)任。我們原則上建議您選擇本網(wǎng)高級會員或VIP會員。

企業(yè)信息

濟南恒標(biāo)知識產(chǎn)權(quán)咨詢有限公司

會員級別：

------------ 聯(lián)系方式 ------------

聯(lián)系人：李景行（先生）

聯(lián)系電話：-

聯(lián)系手機：18854128585

傳真號碼：-

企業(yè)郵箱：152184192@qq.com

網(wǎng)址：18854128585.jdzj.com

郵編：250000

企業(yè)網(wǎng)站

進(jìn)入商鋪

最新供應(yīng)

推薦供應(yīng)

WWW国产精品内射老熟女,亚洲无码成人综合网,AV美女主播高潮,无码图片二区

信息系統(tǒng)安全等級保護(hù)測評的流程，濟南等保測試

信息系統(tǒng)安全等級保護(hù)測評的流程，濟南等保測試