WWW国产精品内射老熟女,亚洲无码成人综合网,AV美女主播高潮,无码图片二区

產(chǎn)品簡介
信息系統(tǒng)安全等級保護(hù)測評的流程,濟南等保測試
產(chǎn)品價格:¥999
上架日期:2019-12-18 18:19:37
產(chǎn)地:本地
發(fā)貨地:本地至全國
供應(yīng)數(shù)量:不限
最少起訂:1件
瀏覽量:126
資料下載:暫無資料下載
其他下載:暫無相關(guān)下載
詳細(xì)說明

    信息系統(tǒng)安全等級保護(hù)測評的流程,濟南等保測試


    二、測評工作流程 


    為確保等級測評工作的順利開展,需要了解等級測評的工作流程和方法,以便對等級測評工作過程進(jìn)行控制。 

    1、基本工作流程和方法 

    (1)基本工作流程 

    等級測評過程分為4個基本測評活動:測評準(zhǔn)備活動、方案編制活動、現(xiàn)場測評活動、分析及報告編制活動。測評雙方之間的溝通與洽談應(yīng)貫穿整個等級測評過程?;竟ぷ髁鞒倘鐖D1所示。 

    圖1  等級測評工作流程 
    ① 測評準(zhǔn)備活動 

    本活動是開展等級測評工作的前提和基礎(chǔ),是整個等級測評過程有效性的保證。測評準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動的主要任務(wù)是掌握被測系統(tǒng)的詳細(xì)情況,準(zhǔn)備測試工具,為編制測評方案做好準(zhǔn)備。 

    ② 方案編制活動 

    本活動是開展等級測評工作的關(guān)鍵活動,為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。本活動的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標(biāo)及測評內(nèi)容等,并根據(jù)需要重用或開發(fā)測評指導(dǎo)書測評指導(dǎo)書,形成測評方案。 

    ③ 現(xiàn)場測評活動 

    本活動是開展等級測評工作的核心活動。本活動的主要任務(wù)是按照測評方案的總體要求,嚴(yán)格執(zhí)行測評指導(dǎo)書測評指導(dǎo)書,分步實施所有測評項目,包括單元測評和整體測評兩個方面,以了解系統(tǒng)的真實保護(hù)情況,獲取足夠證據(jù),發(fā)現(xiàn)系統(tǒng)存在的安全問題。 



    配置檢查是指利用上機驗證的方式檢查網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全的配置是否正確,是否與文檔、相關(guān)設(shè)備和部件保持一致,對文檔審核的內(nèi)容進(jìn)行核實(包括日志審計等),并記錄測評結(jié)果。配置檢查是衡量一家測評機構(gòu)實力的重要體現(xiàn)。檢查對象包括數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備。 

    工具測試是利用各種測試工具,通過對目標(biāo)系統(tǒng)的掃描、探測等操作,使其產(chǎn)生特定的響應(yīng)等活動,通過查看、分析響應(yīng)結(jié)果,獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實施的一種方法。 

    實地查看根據(jù)被測系統(tǒng)的實際情況,測評人員到系統(tǒng)運行現(xiàn)場通過實地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況,測評其是否達(dá)到了相應(yīng)等級的安全要求。如掃描探測、滲透測試、協(xié)議分析等手段。 
    2、測評實施準(zhǔn)備 


    ● 適用的法律、法規(guī)。 
    ● 現(xiàn)有國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。 
    ● 行業(yè)主管機關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度。 
    ● 與信息系統(tǒng)安全保護(hù)等級相應(yīng)的基本要求。 
    ● 被測評組織的安全要求。 
    ● 系統(tǒng)自身的實時性或性能要求等。 

    ⑦ 確定測評工具:主要包括測評前的表格、文檔、檢測工具等各項準(zhǔn)備工作。測評工作通常包括根據(jù)評估對象和評估內(nèi)容合理選擇相應(yīng)的測評工具,測評工具的選擇和使用應(yīng)遵循以下原則: 

    ● 脆弱性發(fā)現(xiàn)工具,應(yīng)具備全面的已知系統(tǒng)脆弱性核查與檢測能力。 
    ● 測評工具的檢測規(guī)則庫應(yīng)具備更新功能,能夠及時更新。 
    ● 測評工具使用的檢測策略和檢測方式不應(yīng)對信息系統(tǒng)造成不正常影響。 

    可采用多種測評工具對同一測試對象進(jìn)行檢測,如果出現(xiàn)檢測結(jié)果不一致的情況,應(yīng)進(jìn)一步采用必要的人工檢測和關(guān)聯(lián)分析,并給出與實際情況最為相符的結(jié)果判定。 

    評估工具的選擇和使用必須符合國家有關(guān)規(guī)定。 

    測評工具應(yīng)包括:主機檢查、服務(wù)器檢查、數(shù)據(jù)庫檢查、中間件檢查、Web檢查、專用業(yè)務(wù)檢查、協(xié)議檢查、口令檢查、安全設(shè)備檢查、網(wǎng)絡(luò)設(shè)備檢查、性能壓力檢查等。 

    ⑧ 制定測評方案:測評方案是測評工作實施活動總體計劃,用于管理評估工作的開展,使測評各階段工作可控。測評方案是測評項目驗收的主要依據(jù)之一,是測評人員進(jìn)行內(nèi)部工作交流、明確工作任務(wù)的操作指南。通常測評方案給出具體的現(xiàn)場測評的工作思路、方法、方式和具體測評對象及其內(nèi)容。測評方案應(yīng)得到被評估組織的確認(rèn)和認(rèn)可。 


    ⑩ 文檔管理:文檔是測評工作的最終體現(xiàn)方式。為確保文檔資料的完整性、準(zhǔn)確性和安全性,應(yīng)遵循以下原則: 

    ● 指派專人負(fù)責(zé)管理和維護(hù)項目進(jìn)程中產(chǎn)生的各類文檔,確保文檔的完整性和準(zhǔn)確性。 

    ● 文檔的存儲應(yīng)進(jìn)行合理的分類和編目,確保文檔結(jié)構(gòu)清晰可控。 

    ● 所有文檔應(yīng)注明項目名稱、文檔名稱、版本號、審批人、編制日期、分發(fā)范圍等信息。 

    ● 不得泄露給與本項目無關(guān)的人員或組織,除非預(yù)先征得被評估組織項目負(fù)責(zé)人的同意。同時,測評組織需要有專門的存儲介質(zhì)、安全柜和人員,對測評所產(chǎn)生的記錄文檔進(jìn)行一定時間的保存。如等級保護(hù)三級系統(tǒng)所產(chǎn)生的測評報告和記錄需要保持3年以上。 

    ? 測評風(fēng)險規(guī)避:測評工作自身也存在風(fēng)險,一是結(jié)果是否準(zhǔn)確有效,能夠達(dá)到預(yù)先目標(biāo)存在風(fēng)險;二是測評中的某些測試操作可能給被測評組織或信息系統(tǒng)引入新的風(fēng)險。應(yīng)通過技術(shù)培訓(xùn)和保密教育、制定測評過程管理相關(guān)規(guī)定、編制應(yīng)急預(yù)案等措施進(jìn)行風(fēng)險規(guī)避。同時雙方應(yīng)簽署保密協(xié)議,測評單位和測評人員簽署個人保密協(xié)議。 

    3、測評方案編制 

    方案編制過程是開展等級測評工作的關(guān)鍵活動,為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。本過程的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標(biāo)及測評內(nèi)容等,并根據(jù)需要重用或開發(fā)測評指導(dǎo)書測評指導(dǎo)書,形成測評方案。 

    ① 確定測評對象。一般采用抽查的方法,即:抽查信息系統(tǒng)中具有代表性的組件作為測評對象。在確定測評對象時,需遵循以下原則: 

    ● 重要性,應(yīng)抽查對被測評系統(tǒng)來說重要的服務(wù)器、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備等。 
    ● 安全性,應(yīng)抽查對外暴露的網(wǎng)絡(luò)邊界。 
    ● 共享性,應(yīng)抽查共享設(shè)備和數(shù)據(jù)交換平臺/設(shè)備。 
    ● 代表性,抽查應(yīng)盡量覆蓋系統(tǒng)各種設(shè)備類型、操作系統(tǒng)類型、數(shù)據(jù)庫系統(tǒng)類型和應(yīng)用系統(tǒng)類型。 
    ● 恰當(dāng)性,選擇的設(shè)備、軟件系統(tǒng)等應(yīng)能符合相應(yīng)等級的測評強度要求。 

    ② 確定測評指標(biāo)及測評內(nèi)容。根據(jù)被測系統(tǒng)調(diào)查表格,得出被測系統(tǒng)的定級結(jié)果,包括業(yè)務(wù)網(wǎng)絡(luò)安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級,從而得出被測系統(tǒng)應(yīng)采取的安全保護(hù)措施 ASG 組合情況。如,目標(biāo)系統(tǒng)的安全保護(hù)等級為第三級(S3A3G3),其測評指標(biāo)應(yīng)包括《基本要求》7.1 節(jié)“技術(shù)要求”和 7.2 節(jié)“管理要求”中的第三級通用指標(biāo)類(G3)、第三級業(yè)務(wù)信息安全性指標(biāo)類(S3)和第三級業(yè)務(wù)服務(wù)保證類(A3)要求。對于由多個不同等級的信息系統(tǒng)組成的被測系統(tǒng),應(yīng)分別確定各個定級對象的測評指標(biāo)。如果多個定級對象共用物理環(huán)境或管理體系,而且測評指標(biāo)不能分開,則不能分開的這些測評指標(biāo)應(yīng)采用就高原則。 

    ③ 確定測評工具接入點。一般來說,測評工具的接入采取從外到內(nèi),從其他網(wǎng)絡(luò)到本地網(wǎng)段的逐步逐點接入,即:測評工具從被測系統(tǒng)邊界外接入、在被測系統(tǒng)內(nèi)部與測評對象不同網(wǎng)段及同一網(wǎng)段內(nèi)接入等幾種方式。從被測系統(tǒng)邊界外接入時,測評工具一般接在系統(tǒng)邊界設(shè)備(通常為交換設(shè)備)上。在該點接入漏洞掃描器,掃描探測被測系統(tǒng)的主機、網(wǎng)絡(luò)設(shè)備對外暴露的安全漏洞情況;從系統(tǒng)內(nèi)部與測評對象不同網(wǎng)段接入時,測評工具一般接在與被測對象不在同一網(wǎng)段的內(nèi)部核心交換設(shè)備上;在系統(tǒng)內(nèi)部與測評對象同一網(wǎng)段內(nèi)接入時,測評工具一般接在與被測對象在同一網(wǎng)段的交換設(shè)備上;結(jié)合網(wǎng)絡(luò)拓?fù)鋱D,采用圖示的方式描述測評工具的接入點、測評目的、測評途徑和測評對象等相關(guān)內(nèi)容。 

    ④ 確定測評內(nèi)容與方法。將測評對象與測評指標(biāo)進(jìn)行映射構(gòu)成測評內(nèi)容,并針對不同的測評內(nèi)容合理地選擇測評方法形成具體的測評實施內(nèi)容。 

    ⑤ 確定測評指導(dǎo)書。測評指導(dǎo)書是指導(dǎo)和規(guī)范測評人員現(xiàn)場測評活動的文檔,包括測評項、測評方法、操作步驟和預(yù)期結(jié)果等四部分。在測評對象和指標(biāo)確定的基礎(chǔ)上,將測評指標(biāo)映射到各測評對象上,然后結(jié)合測評對象的特點,選擇應(yīng)采取的測評方法并確定測評步驟和預(yù)期結(jié)果,形成不同測評對象的具體測評指導(dǎo)書。 

    ⑥ 確定測評方案。綜合以上結(jié)果內(nèi)容以及測評工作計劃形成測評方案,測評方案主要內(nèi)容包括測評概述、目標(biāo)系統(tǒng)概述、定級情況、網(wǎng)絡(luò)結(jié)構(gòu)、主機設(shè)備情況、應(yīng)用情況、測評方法與工具、測評內(nèi)容、時間安排、風(fēng)險揭示與規(guī)避等。 

    4、現(xiàn)場測評 

    現(xiàn)場測評是測評工作的重要階段。風(fēng)險評估中的風(fēng)險識別階段,對應(yīng)現(xiàn)場測評,通過對組織和信息系統(tǒng)中資產(chǎn)、威脅、脆弱性等要素的識別,是進(jìn)行信息系統(tǒng)安全風(fēng)險分析的前提。現(xiàn)場測評活動通過與測評委托單位進(jìn)行溝通和協(xié)調(diào),為現(xiàn)場測評的順利開展打下良好基礎(chǔ),然后依據(jù)測評方案實施現(xiàn)場測評工作,將測評方案和測評工具等具體落實到現(xiàn)場測評活動中?,F(xiàn)場測評工作應(yīng)取得分析與報告編制活動所需的、足夠的證據(jù)和資料。 

    現(xiàn)場測評活動包括現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還三項主要任務(wù)。 

    (1)現(xiàn)場測評準(zhǔn)備 

    為保證測評機構(gòu)能夠順利實施測評,測評準(zhǔn)備工作需要包括以下內(nèi)容:① 測評委托單位簽署現(xiàn)場測評授權(quán)書;② 召開測評現(xiàn)場首次會,測評機構(gòu)介紹測評工作,交流測評信息,進(jìn)一步明確測評計劃和方案中的內(nèi)容,說明測評過程中具體的實施工作內(nèi)容,測評時間安排等,以便于后面的測評工作開展;③ 測評雙方確認(rèn)現(xiàn)場測評需要的各種資源,包括測評委托單位的配合人員和需要提供的測評條件等,確認(rèn)被測系統(tǒng)已備份過系統(tǒng)及數(shù)據(jù);④ 測評人員根據(jù)會議溝通結(jié)果,對測評結(jié)果記錄表單和測評程序進(jìn)行必要的更新。 

    (2)現(xiàn)場測評和結(jié)果記錄 

    現(xiàn)場測評一般包括訪談、文檔審查、配置檢查、工具測試和實地察看5方面?,F(xiàn)場測評覆蓋到被測系統(tǒng)安全技術(shù)的5個層面和安全管理的5方面。安全技術(shù)的5個層面具體為:物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全和備份恢復(fù)。安全管理的5方面具體為:安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理和系統(tǒng)運維安全管理
在線詢盤/留言
  • 免責(zé)聲明:以上所展示的信息由企業(yè)自行提供,內(nèi)容的真實性、準(zhǔn)確性和合法性由發(fā)布企業(yè)負(fù)責(zé),本網(wǎng)對此不承擔(dān)任何保證責(zé)任。我們原則 上建議您選擇本網(wǎng)高級會員或VIP會員。
    企業(yè)信息
    濟南恒標(biāo)知識產(chǎn)權(quán)咨詢有限公司
    會員級別:
    ------------ 聯(lián)系方式 ------------
    聯(lián)系人:李景行(先生)
    聯(lián)系電話:-
    聯(lián)系手機:18854128585
    傳真號碼:-
    企業(yè)郵箱:152184192@qq.com
    網(wǎng)址:18854128585.jdzj.com
    郵編:250000
    推薦供應(yīng)
    0571-87774297  
    亚洲美女高潮久久久久91| 免费福利试看视频| 丰满丝袜熟女HD二区| 成人最新精品AV网址在线看| 亚洲美日韩一区 二区 三区| 亚洲高潮婷婷| 日韩欧美在线一区排行| 国产二区午夜精品一区| 国产精品v毛片一区二区三区| 狠狠V日韩V欧美v| 中文亚洲字幕| 日韩一级操屄视频| 蜜桃天天总合网| 久久一区二区日本| 久久久久久久久站| 日本日本久久久久| thd久久| 男生和女生久久一区二区精品| 欧美中文字幕黄色电影| 。爽爽爽av| 在线 无码一区| 久久狠狠激情婷婷| 自在自线粉嫩av| 色呦呦视频网| 久久伊人福利网| 色呦呦网站一区| 久久99久久亚洲国产| 一起c 国产| 欧美后入人妻| 少妇AV在| 99人妻555| av不卡手机免费在线观看| 免费3级黄色片| 干b免费视频| 日本成人一区久久免费电影| 国产日本精华一区在线观看| 亚洲熟女一二三区国内精品| 搞AV青草| 日本一二三区污| AV黄色精品| 欧美在线这里只有精品区|