信息安全等级测评机构能力要求使用说明(试 行)
信息安全等级保护测评体系建设与测评工作规范性文件
信息安全等级测评机构
能力要求使用说明
(试行)
200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心
信息安全等级测评机构能力要求使用说明
目录
1范围 (3)
2名词解释 (3)
3基本条件 (3)
4组织管理能力 (4)
5测评实施能力 (6)
6设施和设备安全与保障能力 (10)
7质量管理能力 (12)
8规范性保证能力 (13)
9风险控制能力 (16)
10可持续性发展能力 (17)
11测评机构能力约束性要求 (18)
信息安全等级测评机构能力要求使用说明
前言
公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容,为确保有效指导测评机构的能力建设,规范其测评活动,满足信息安全等级保护工作要求,特制定本规范。
《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。
信息安全等级测评机构能力要求使用说明
信息安全等级测评机构能力要求使用说明
1范围
本规范规定了测评机构的能力要求。
本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。
2名词解释
2.1等级测评
等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
2.2等级测评机构
等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。
3基本条件
依据《信息安全等级保护测评工作管理规范》(试行),信息安全等级测评机构(以下简称测评机构)应当具备以下基本条件:
a)在中华人民共和国境内注册成立(港澳台地区除外);
b)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(具
体要求参见8.2.1)
c)产权关系明晰,注册资金100万元以上;(具体要求参见8.2.2)
d)从事信息系统检测评估相关工作两年以上,无违法记录;(具体要求参见5.2.1)
e)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(具体要求参见
8.2.1)
f)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;
g)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等
级保护管理办法》对信息安全产品的要求;(具体要求参见6.1)
h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(具体要求参见4.5)
i)对国家安全、社会秩序、公共利益不构成威胁;
信息安全等级测评机构能力要求使用说明
j)应当具备的其他条件。
4组织管理能力
4.1测评机构管理者应掌握等级保护政策文件,熟悉相关的标准规范。
说明:
1.测评机构管理者等级保护相关的政策法规,如《中华人民共和国计算机信息系统安全
保护条例》(147号令)、《信息安全等级保护工作的实施意见》(66号文)、《信息安全等级保护管理办法》(43号文)、《信息安全等级保护测评工作管理规范》(公信安[2010]303号)等。
2.应熟悉《定级指南》、《基本要求》、《测评要求》等技术标准。
4.2测评机构应按一定方式组织并设立相关部门,明确其职责、权限和相互关系,保证
各项工作的有序开展。
说明:
1.机构应建立适应等级测评工作的组织形式,设置如测评部、管理部、市场部、质量管
理部等部门。
2.通过组织结构图及文字说明来描述其组织形式,包括外部关系与内部关系两方面。
4.3测评机构应具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以
上学历所占比例不低于60%。其中测评技术人员不少于10人。
说明:
机构应保证技术和管理人员具备开展测评工作的基本素质,以及开展测评工作的基本人力资源投入。
4.4测评机构应设置满足等级测评工作需要的岗位,如测评技术员、测评项目组长、技
术主管、质量主管、保密安全员和档案管理员等(不论称谓如何),并配备足够的、相对稳定并具备相应能力的工作人员。
说明:
1.机构应以文件化的形式明确其岗位名称和职责。
2.应保证行政管理人员(如人力资源、财务等)的数量,并满足岗位能力要求。
信息安全等级测评机构能力要求使用说明
4.5测评机构应制定完善的规章制度,包括但不限于以下内容:
说明:
1.各管理制度文档内容应覆盖相关要求。
2.各管理制度应按规范的审批流程在机构内发布、实施。
3.各管理制度应有配套的工作表单和执行记录。
a)保密管理制度
测评机构应根据国家有关保密规定制定保密管理制度,制度中应明确保密对象的范围、人员保密职责、各项保密措施与要求,以及违反保密制度的罚则等内容。
b)项目管理制度
测评机构应依据《信息安全技术信息系统安全等级保护测评过程指南》等技术标准制定符合自身特点的测评项目管理程序,主要应包括测评工作的组织形式、工作职责,测评各阶段的工作内容和管理要求等。
c)质量管理制度(包含设备管理和文件档案管理等)
应以保证质量为前提对测评机构的设备、文件档案等提出各项要求。设备管理制度应包括对于仪器设备的购置、使用和维护的质量管理要求。文件档案管理制度应包括机构人员在文件档案管理中的相关职责、文件档案借阅、保管直至销毁的各项规定等。
d)人员管理制度
应包括人员录用、考核、日常管理以及离职等方面的内容和要求。
e)培训教育制度
应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等的内容和要求。
f)申诉、投诉及争议处理制度
应明确包括测评机构各岗位人员在申、投诉和争议处理活动中相应的职责,建立从受理、确认到处置、答复等环节的完整程序。
信息安全等级测评机构能力要求使用说明
5测评实施能力
5.1人员能力
5.1.1测评机构从事等级测评工作的专业技术人员(以下简称测评人员)应具有把
握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。
5.1.2测评人员应参加由公安部信息安全等级保护评估中心举办的专门培训、考试
并取得中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持证上岗。
说明:
机构应按等级测评师培训工作的要求,派遣测评人员参加培训。培训不合格的,不得从事等级测评工作。
5.1.3初级、中级和高级等级测评师具体能力要求如下:
a)初级等级测评师
●了解信息安全等级保护的相关政策、标准;
●熟悉信息安全基础知识;
●熟悉信息安全产品分类,了解其功能、特点和操作方法;
●掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评
证据;
●掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;
●能够按照报告编制要求整理测评数据。
b)中级等级测评师
●熟悉信息安全等级保护相关政策、法规;
●正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际
信息安全相关标准的发展;
●掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的
基础和实践经验;
●具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,
具有较强的组织协调和沟通能力;
信息安全等级测评机构能力要求使用说明
●能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;
●能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评
方法;
●具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能
够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力;
●了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题,提出
合理化的整改建议。
c)高级等级测评师
●熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展;
●对信息安全等级保护标准体系及主要标准有较为深入的理解;
●具有信息安全理论研究的基础、实践经验和研究创新能力;
●具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能
力;
●熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作环节
的要求。
5.1.4测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等
级测评师证书,其比例应满足等级测评工作需要。
说明:
1.机构应按照等级测评工作的需要设定初、中、高级等级测评师的人员比例。其中初级
技术测评师与管理测评师比例不少于3:1。
2.测评技术员(包括安全呢技术测评和安全管理测评)、测评项目组长(或称项目负责人、
项目经理等)和技术主管(或称技术总监、总工等)岗位人员应分别获得初、中、高级等级测评师资格。
5.1.5测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。
说明:
1.机构应以文件化的形式任命一名技术主管,并明确其在等级测评技术方面的职责。
2.该技术主管应在测评活动中相关环节履行其职责。
信息安全等级测评机构能力要求使用说明
5.2测评能力
5.2.1测评机构应通过提供案例、过程记录等资料,证明其具有从事信息系统检测
评估相关工作两年以上的工作经验。
说明:
机构应提供完整的等级测评项目归档文件,证明其从事等级测评工作的年限和行业经验。
5.2.2测评机构应保证在其能力范围内从事测评工作,并有足够的资源来满足测评
工作要求,具体体现在以下方面:
a)安全技术测评实施能力,包括物理安全测评、网络安全测评、主机安全测评、
应用安全测评、数据安全及备份恢复测评等方面测评指导书的开发、使用、维护及
获取相关结果的专业判断;
说明:
1.机构应能在测评实施中根据物理安全测评、网络安全测评、主机系统安全测评、应用
安全和数据安全测评等方面的工作需求进行人员配置和工作分工,如成立主机测评、网络测评、应用测评等工作组,保证测评工作的专业化。
2.安全技术测评指导书是机构从事等级测评的最重要的文件,指导书应内容完备,可支
持等级测评的全部工作。
3.测评指导书应严格依据等级测评技术标准,完全覆盖测评要点,步骤详尽、文字严谨,
并保证测评结果判定标准的科学、可靠。
b)安全管理测评实施能力,包括安全管理制度测评、安全管理机构测评、人员安
全管理测评、系统建设管理测评、系统运维管理测评等方面测评指导书的开发、使
用、维护及获取相关结果的专业判断;
说明:
机构应能在测评实施中根据安全管理测评的工作需求配备相应的人员,可设置管理测评工作组,保证测评工作的专业化。
c)安全测试与分析能力,指根据实际测评要求,开发与测试相关的工作指导书,
借助专用测评设备和工具,实现主流协议分析、漏洞发现与验证等方面的能力;
说明:
1.机构应有从事信息系统的安全测试的专业人员、小组或部门,保证安全测试与分析工
信息安全等级测评机构能力要求使用说明
作的开展。
2.应能根据测评项目的具体情况开发相应的测试工作指导书,测评设备和工具应有操作
规程、手册。
3.测试人员应能熟练使用测评设备和工具获取数据,并通过对数据结果的分析发现或验
证信息系统存在的问题。
d)整体测评实施能力,指根据测评报告的单元测评的结果记录部分、结果汇总部
分和问题分析部分,从安全控制间、层面间和区域间出发考虑,给出整体测评的具
体结果的能力。
说明:
测评人员在作出测评结论时,应具备测评结果汇总统计、问题分析、整体综合判断的能力。
e)风险分析能力,指依据等级保护的相关规范和标准,采用风险分析的方法分析
等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力;
说明:
测评人员应能采用风险分析的方法,分析信息系统等级测评结果中存在的安全问题可能被威胁利用的可能性和后果,综合判定给出信息系统面临的风险值。
5.2.3测评机构应依据测评工作流程,有计划、按步骤地开展测评工作,并保证测
评活动的每个环节都得到有效的控制。
说明:
机构应建立完善的测评项目管理制度,划分测评各阶段,明确各阶段的工作内容。
a)测评准备阶段,收集被测系统的相关资料信息,填写规范的系统调查表,全面
掌握被测评系统的详细情况,为测评工作的开展打下基础;
说明:
对每个被测评信息系统,应有详细、准确的调查记录。调查记录的填写应规范严谨,通过信息收集和分析为正确选择测评对象提供依据。
b)方案编制阶段,正确合理地确定测评对象、测评指标及测评内容等,并依据现
行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评
信息安全等级测评机构能力要求使用说明
方案应通过技术评审并有相关记录,测评指导书应进行版本有效性维护,且满足以
下要求:
●符合相关的等级测评标准;
●提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。
说明:
1.测评人员应能正确的确定测评对象、测评指标、测评内容、工具测试方案等。
2.应通过评审、论证、验证等手段对测评方案进行技术确认,保证测评方法和实施方案
的正确性和可行性。
3.测评指导书应具备可操作性,指导书应进行版本维护。
c)现场测评阶段,严格执行测评方案和测评指导书中的内容和要求,并依据操作
规程熟练地使用测评设备和工具,规范、准确、完整的填写测评结果记录,获取足
够证据,客观、真实、科学地反映出系统的安全保护状况,测评过程应予以监督并
记录;
说明:
测评人员应保证现场测评工作的规范,不得擅自简化测评步骤、编造修改测评数据和记录。测评过程应有必要的监督、见证措施。
d)报告编制阶段,找出整个信息系统安全保护现状与相应等级的保护要求之间的
差距,分析差距可能导致被测评系统面临的风险,给出等级测评结论,形成测评报
告,测评报告应依据公安部统一制订的《信息系统安全等级测评报告模版(试行)》的格式和内容要求编写,测评报告应通过评审并有相关记录。
说明:
1.测评人员应严格按照《信息系统安全等级测评报告模版(试行)》编制测评报告。
2.应通过评审、论证等手段对测评报告中的结果判断、问题分析、测评结论等内容的正
确性进行确认。
6设施和设备安全与保障能力
6.1测评机构应具备必要的办公环境、设备、设施和管理系统,使用的技术装备、设施
原则上应当符合以下条件:
a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华
信息安全等级测评机构能力要求使用说明
人民共和国境内具有独立的法人资格;
b)产品的核心技术、关键部件具有我国自主知识产权;
c)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
d)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
e)对国家安全、社会秩序、公共利益不构成危害。
f)信息安全产品应获得公安部计算机信息安全产品销售许可证。
说明:
机构应保证其所配备的防火墙、IDS等安全产品获得销售许可证。
6.2测评机构应配备满足等级测评工作需要的测评设备和工具,如漏洞扫描器、协议分
析仪、渗透测试工具等。测评设备和工具应通过权威机构的检测并可提供检测报告(见附录《信息安全等级测评设备和工具指引》)。
说明:
1.机构可参考《信息安全等级测评设备和工具指引》,并结合自身的工作要求配备测评设
备和工具,以保证测评工作的开展。
2.设备和工具应通过检测或比对、校准等手段证明其满足测评要求。
6.3测评机构应具备符合相关要求的机房以及必要的软、硬件设备,用于满足信息系统
仿真、技术培训和模拟测试的需要。
说明:
机构应建设满足办公信息化运营和测评需要的计算机房,机房软硬件设备支持搭建仿真、模拟环境,满足测评验证和人员培训等工作的要求。
6.4测评机构应确保测评设备和工具运行状态良好,并通过校准或比对等手段保证其提
供准确的测评数据。
说明:
1.机构应制定测评设备和工具的管理制度或程序,并通过日常维护保证设备和工具始终
处于良好的运行状态。
2.机构应定期对测评设备和工具进行比对或校准,对于扫描器等网络测试设备,还可通
过标准版本库的同步更新,保证设备和工具的准确有效。
信息安全等级测评机构能力要求使用说明
6.5测评设备和工具均应有正确的标识。
说明:
机构测评设备和工具管理制度中应明确设备档案和标识管理的要求。对测评设备和工具应统一登记,统一标识,对于有故障的设备和工具应通过标识加以区分,并及时告知测评人员。
7质量管理能力
7.1管理体系建设
7.1.1测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系,
并确保测评机构各级人员能够理解和执行。
说明:
1.机构应建立一套完善的管理体系文件,该体系文件应能覆盖机构日常工作和测评活动
的各个方面。体系文件可以制度、手册、程序等形式发布执行,并应建立执行记录。
2.管理体系文件应在内部通过宣贯、培训、座谈等形式帮助机构人员理解和执行。
7.1.2测评机构应当制定相应的质量目标,不断提升自身的测评质量和管理水平。
说明:
机构应将质量管理的思想、理念和追求,通过精练的文字为全体工作人员所熟记,并贯彻于日常质量活动当中。
7.1.3测评机构应指定一名质量主管,明确其质量保证的职责。质量主管不应受可
能有损工作质量的影响或利益冲突,并有权直接与测评机构最高管理层沟通。
说明:
1.机构应任命一名质量主管,明确其职责,如负责质量管理体系的建立、运行和维护,
处理投、申诉等。
2.在职责中还应赋予其有权直接向机构管理层报告质量管理中存在的问题的权力。
7.2管理体系维护
7.2.1测评机构应保证管理体系的有效运行,发现问题及时反馈并采取纠正措施,
确保其有效性。
说明:
机构应建立质量管理问题反馈处理机制,发现日常管理和测评活动中的问题,及时
信息安全等级测评机构能力要求使用说明
纠正,并予以记录作为机构管理体系改进的输入。
7.2.2测评机构应当严格遵守申诉、投诉及争议处理制度,并应记录采取的措施。
说明:
建立申诉、投诉及争议处理机制的目的,是为了提高机构信誉和服务质量、维护客户利益。在制度中应明确申诉、投诉及争议的受理、处理和答复等各个环节的职责和工作要求,并对处理过程予以记录。
8规范性保证能力
8.1公正性保证能力
8.1.1测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、
公正、安全的测评服务。
说明:
机构应制定保证其公正性、客观性、诚实性的制度、程序或行为规范,并向客户和社会作出公正性声明或承诺,接受行为监督。
8.1.2测评机构的人员应不受可能影响其测评结果的来自于商业、财务和其他方面
的压力。
说明:
机构应制定制度、程序或行为规范,也可通过声明或承诺保证其测评工作的独立性。
8.2可信与保密性保证能力
8.2.1测评机构的单位法人及主要工作人员仅限于中华人民共和国境内的中国公
民,且无犯罪记录。
说明:
机构应保证其单位法人及主要工作人员身份的可信性,并可提供用于证明的机构注册资料和人员档案信息。
8.2.2测评机构应通过提供单位性质、股权结构、出资情况、法人及股东身份等信
息的文件材料,证明其机构合规、产权关系明晰,资金注册达到要求(100万元)。
说明:
1.机构应保证其资金投入足以完成基本运营和风险担保。
信息安全等级测评机构能力要求使用说明
2.机构应建立清晰的产权关系,防止可能发生的投机行为或利益关联等问题。
8.2.3测评机构应建立并保存工作人员的人员档案,包括人员基本信息、社会背景、
工作经历、培训记录、专业资格、奖惩情况等,保障人员的稳定和可靠。
说明:
机构应建立完善的人员管理制度和人事档案信息库。
8.2.4测评机构使用的测试设备和工具应具备全面的功能列表,且不存在功能列表
之外的隐蔽功能。
说明:
机构应防止由于不可信的测试设备和工具接入信息系统而带来的风险,应使用经过权威检测的市场通用的商用设备和工具。
8.2.5测评机构应重视安全保密工作,指派安全保密工作的责任人。
说明:
机构应从管理层就高度重视保密工作,并任命机构保密责任人。
8.2.6测评机构应依据保密管理制度,定期对工作人员进行保密教育,测评机构和
测评人员应当保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。
说明:
1.机构应制度保密管理制度,明确保密范围、各岗位的保密职责和保密要求。
2.应定期开展保密教育,并有相关的过程记录。
8.2.7测评机构应明确岗位保密要求,与全体人员签订《保密责任书》,规定其应
当履行的安全保密义务和承担的法律责任,并负责检查落实。
说明:
机构应与每个工作人员签订《保密责任书》。
8.2.8测评机构应采取技术和管理措施来确保等级测评相关信息的安全、保密和可
控,这些信息包括但不限于:
a)被测评单位提供的资料;
信息安全等级测评机构能力要求使用说明
b)等级测评活动生成的数据和记录;
c)依据上述信息做出的分析与专业判断。
说明:
机构应着重对被测单位的技术资料、测评数据、测评报告等信息进行保护。对上述信息资料应专门保管,对数据信息存储和借阅应严格控制。
8.2.9测评机构应借助有效的技术手段,确保等级测评相关信息的整个数据生命周
期的安全和保密。
说明:
机构应借助技术手段,如数据加密存储、传输、处理方式,保证数据的安全。同时防止存储测评数据信息的计算机非法外联、非受控移动存储设备接入、重要信息的互联网传输等问题的发生。
8.3测评方法与程序的规范性
测评机构应保证与等级测评工作有关的所有工作程序、指导书、标准规范、工作表格、核查记录表等现行有效并便于测评人员获得。
说明:
1.机构测评工作相关的规范性文件,应有严格的审批发布手续。
2.对于文件的修订,也应履行审批手续。
3.测评规范性文件应按统一规则进行标识,建立发放回收清单,使其始终处于受控并保
持版本有效。
8.4测评记录的规范性
a)测评记录应当清晰规范,并获得被测评方的书面确认;
说明:
1.测评过程中的记录应按规定的格式填写,字迹要求清晰。
2.数据结果应当现场记录,不得漏记、补记、追记。
3.记录的更正应有规范性要求。
4。测评记录应获得被测评方的确认。
b)测评机构应具有安全保管记录的能力,所有的测评记录应保存三年以上。
说明:
信息安全等级测评机构能力要求使用说明
为规避可能的对于测评结果的质疑或未知的责任风险,要求机构应妥善保管测评相关记录一段期限。
8.5测评报告的规范性
a)测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版(试行)》
格式出具测评报告;(参见5.2.3 d))
b)测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这
些结果所需要的所有信息,以上信息均应正确、准确、清晰地表述;(参见5.2.3 d))
c)测评报告由测评项目组长作为第一编制人,技术主管(或质量主管)负责审核,
机构管理者或其授权人员签发或批准;
说明:
机构应明确编制、审核和批准人的签字权限和签发流程。
d)能力评估合格的测评机构应依据《信息安全等级保护测评工作管理规范》第六条,
对出具的等级测评报告统一加盖等级测评机构能力合格专用标识并登记归档。
说明:
1.机构依据等级测评技术标准开展测评活动,所出具的测评报告应加盖等级测评机构能
力合格专用标识。
2.等级测评报告有统一的登记记录。
3.依据非等级测评技术标准测评出具的报告不得加盖专用标识。
9风险控制能力
9.1测评机构应充分估计测评可能给被测系统带来的风险,风险包括但不限于以下方
面:
a)测评机构由于自身能力或资源不足造成的风险;
b)测试验证活动可能对被测系统正常运行造成影响的风险;
c)测试设备和工具接入可能对被测系统正常运行造成影响的风险;
d)测评过程中可能发生的被测系统重要信息(如网络拓扑、IP地址、业务流程、安
全机制、安全隐患和有关文档等)泄漏的风险等。
说明:
人员能力、设备使用、测评方法、流程各环节以及安全保密意识等任何一个方面出现问题,都有可能给被测系统带来隐患,机构应全面分析评估,并做好防范和控制工作,
信息安全等级测评机构能力要求使用说明
避免为自身带来额外风险。
9.2测评机构应通过多种措施对上述被测系统可能面临的风险加以规避和控制。
说明:
针对不同风险,采取不同的规避和控制措施。包括合同评审、签署保密协议、风险告知确认、现场测评授权、系统备份、制定应急预案以及邀请全程监督等。
10可持续性发展能力
10.1测评机构应根据自身情况制定战略规划,通过不断的投入保证测评机构的持续建
设和发展。
说明:
机构应制定整体战略发展规划,从基础建设、人员与资金投入、技术能力提高等各方面提出发展目标、工作任务等。
10.2测评机构应定期对管理体系进行评审并持续改进,不断提高管理要求。设定中、
远期目标(如获得相应管理体系资质认可),通过目标的实现,逐步提升质量管理能力。
说明:
1.机构应始终保持管理体系运行的有效性,对日常工作、测评活动中的问题和建议及时
总结,作为管理体系改进的依据,逐步提高管理水平。
2.机构应建立质量管理体系方面的中、远期目标,如获得中国合格评定国家认可委员会
的检查机构(实验室)认可,获得该类认可标志着机构在管理体系建设方面已具备较高水平。
10.3测评机构应建立文件化的培训制度,以确保其工作人员在专业技术和管理方面持
续满足等级测评工作的需要。
说明:
机构应建立完善的培训制度,通过外部培训、内容培训、岗位专题培训、讲座等多种形式,不断提高人员的能力,以满足等级测评工作的需要,培训范围应覆盖所有测评相关工作人员。
信息安全等级测评机构能力要求使用说明
10.4测评机构应投入专门的力量来从事测评实践总结和测评技术研究工作,测评机构
间应进行经验交流和技术研讨,保持与测评技术发展的同步性。
说明:
机构应设立专门的部门或工作组,负责跟踪先进技术、总结测评经验、开展专业课题研究等工作,并通过技术研讨会、论坛等形式开展技术交流,共同促进等级测评技术水平的提高。
11测评机构能力约束性要求
测评机构不得从事下列活动:
a)影响被测评信息系统正常运行,危害被测评信息系统安全;
b)泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密;
c)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等
级测评报告;
d)未按规定格式出具等级测评报告;
e)非授权占有、使用等级测评相关资料及数据文件;
f)分包或转包等级测评项目;
g)信息安全产品(专用测评设备和工具以外)开发、销售和信息系统安全集成;
h)限定被测评单位购买、使用其指定的信息安全产品;
i)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
信息安全测评服务简介
信息安全测评和服务 1信息安全风险评估 对客户单位所有信息系统进行风险评估,每半年评估一次,评估后出具详细的评估报告。评估范围为所有业务系统及相关的网络安全资产,内容具体包括: (1)漏洞扫描:通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描, 发现各种可能遭到黑客利用的各种隐患,包括:端口扫描,漏洞扫描,密码破解,攻击测试等。 (2)操作系统核查:核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审 计、内核、恶意程序等内容,对用户当前采取的风险控制措施和管理手段的效果进行评估,在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。 (3)数据库核查:主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核 查。 (4)网络及安全设备核查:网络及安全设备核查主要是针对网络及安全设备的访问控制策 略进行检查,确定是否开放了网站服务以外的多余服务。 (5)病毒木马检查:通过多种方式对机器内异常进程、端口进行分析,判断是
否是木马或病毒,研究相关行为,并进行查杀。 (6)渗透测试:模拟黑客的各种攻击手段,对评估过程中发现的漏洞安全隐患进行攻击测 试,评估其危害程度,主要有:弱口令、本地权限提升、远程溢出、数据库查询等。 测评次数不低于两次,在有重大安全漏洞或隐患出现时,及时采取有针对性的渗透测试。 2、信息安全加固 针对评估的结果,协助客户单位对应用系统中存在的安全隐患进行安全加固。加固内容包括: 操作系统安全加固; 基本安全配置检测和优化 密码系统安全检测和增强 系统后门检测 提供访问控制策略和安全工具 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级与补丁安装 (1)网络设备安全加固; 严格的防控控制措施 安全审计 合理的vlan划分 不必要的IOS服务或潜在的安全问题 路由安全 抵抗拒绝服务的网络攻击和流量控制 广播限制 (2)网络安全设备安全加固; 防火墙的部署位置、区域划分 IDS、漏洞扫描系统的部署、VPN网关部署 安全设备的安全防护措施配置加固
信息安全技术 个人信息安全影响评估指南-编制说明
国家标准《信息安全技术个人信息安全影响评估指南》 (征求意见稿)编制说明 一、工作简况 1.1任务来源 GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用,其中,《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作,旨在发现、处置和持续监控个人信息处理过程中的安全风险。2017年3月,在信安标委会议周,云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》。本标准为自主制定标准,标准任务编号为:20180840-T-469。 1.2主要起草单位和工作组成员 标准由颐信科技有限公司牵头,中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技(杭州)有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想(北京)有限公司、清华大学、阿里巴巴(北京)软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制,归口单位为全国信息安全标准化技术委员会(简称信息安全标委会,TC260)。 本标准主要起草人:洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。 1.3 主要工作过程 1、2017年3月,在云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》,对个人信息安全影响评估方法、应用、政策和标准进行调研分析,确定标准化需求。 2、2017年5月初,成立正式的个人信息安全影响评估指南标准编制组,标
国家信息安全测评
国家信息安全测评 信息安全服务资质申请指南(安全工程类三级) ?版权2015—中国信息安全测评中心 2016年10月1 日
一、认定依据 (4) 二、级别划分 (4) 三、三级资质要求 (4) 3.1 基本资格要求 (5) 3.2 基本能力要求 (5) 3.3 质量管理要求 (6) 3.4安全工程过程能力要求 (6) 四、资质认定 (7) 4.1认定流程图 (7) 4.2申请阶段 (8) 4.3资格审查阶段 (8) 4.4能力测评阶段 (8) 4.4.1静态评估 (8) 4.4.2现场审核 (9) 4.4.3综合评定 (9) 4.4.4资质审定 (9) 4.5证书发放阶段 (9) 五、监督、维持和升级 (10) 六、处置 (10) 七、争议、投诉与申诉 (10) 八、获证组织档案 (11) 九、费用及周期 (11)
中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。 中国信息安全测评中心的主要职能是: 1.对国内外信息安全产品和信息技术进行测评; 2.对国内信息系统和工程进行安全性评估; 3.对提供信息系统安全服务的组织和单位进行评估; 4.对信息安全专业人员的资质进行评估。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。 本指南适用于所有向CNITSEC提出信息安全工程服务三级资质申请的境内外组织。
信息安全等级测评师测试(1)-管理初级
一、单选题(20分) 1、《基本要求》中管理要求中,下面那一个不是其中的内容?() A、安全管理机构。 B、安全管理制度。 C、人员安全管理。 D、病毒安全管 理。 2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的 恶意攻击、一般的自然灾难,所造成的重要资源损害,能够发现重要的安 全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能 是几级要求?() A、一级。 B、二级。 C、三级。 D、四级。 3、三级系统基本要求中管理要求控制类共有()项? A、32。 B、36。 C、37。 D、38。 4、《测评要求》和哪一个文件是对用户系统测评的依据? A、《信息系统安全等级保护实施指南》。 B、《信息系统安全保护等级定级指 南》。C、《信息系统安全等级保护基本要求》。D、《信息系统安全等级保护 管理办法》。 5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状 态监控、()、安全检查和持续改进、监督检查? A、安全事件处置和应急预案。 B、安全服务。 C、网络评估。 D、安全加固。 6、如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重 要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家 安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和 技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。这
应当属于等级保护的什么级别?() A、强制保护级。 B、监督保护级。 C、指导保护级。 D、自主保护级。 7、《信息系统安全等级保护实施指南》将()作为实施等级保护的第一项重 要内容? A、安全定级。 B、安全评估。 C、安全规划。 D、安全实施。 8、人员管理主要是对人员的录用、人员的离岗、()、安全意识教育和培训、 第三方人员访问管理5各方面。 A、人员教育。 B、人员裁减。 C、人员考核。 D、人员审核。 9、根据《信息安全等级保护管理办法》,由以下哪个部门应当依照相关规范和 标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作? A、公安机关。 B、国家保密工作部门。 C、国家密码管理部门。 D、信息系 统的主管部门。 10、计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、 社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。() A、经济价值经济损失。 B、重要程度危害程度。 C、经济价值危害程度。 D、重要程度经济损失。 11、新建_______信息系统,应当在投入运行后_______,由其运营、使用单位 到所在地设区的市级以上公安机关办理备案手续。() A、第一级以上30日内。 B、第二级以上60日内。 C、第一级以上60日内。 D、第二级以上30日内。
中国信息安全测评中心授权培训机构管理办法
中国信息安全测评中心授权培训机构管理办法 中国信息安全测评中心 二〇一七年一月
第一章 总 则 第一条随着国家信息化建设的高速发展,对信息安全专业人才的需求逐年增加。为贯彻中共中央办公厅、国务院办公厅中办发[2003]27号文件中关于“加快信息安全人才培养,增强全民信息安全意识”的精神,加强对授权培训机构的管理,规范授权培训机构的职能,中国信息安全测评中心(以下简称CNITSEC)根据相关管理规定制定本办法。 第二条CNITSEC为授权委托方,中国信息产业商会信息安全产业分会为授权运营管理机构(以下简称授权运营方),授权培训机构为CNITSEC授权的培训机构方。 第三条CNITSEC、授权运营方、授权培训机构关系如下: 1、CNITSEC及授权培训机构均为独立的法人单位,但两两之间不具有行政隶属及产权归属关系,各自对自己的行为承担法律责任; 2、授权运营方作为CNITSEC与授权培训机构之间的接口机构,按照授权委托方的要求对授权培训机构进行监督、指导和管理。授权运营方统一受理对授权培训机构的投诉,根据调查结果出具处理意见。 3、CNITSEC对授权运营方及授权培训机构具有监督管理的权利; 4、授权培训机构应严格遵守相关管理规定,开展双方协议规定的培训业务,按时向CNITSEC缴纳管理费。 第四条本办法由授权运营方具体执行。 第二章授权业务类型 授权培训机构应与CNITSEC及授权运营方签订授权协议书,明确
双方的责任与义务,依法开展培训业务。 第五条授权培训机构可以以“中国信息安全测评中心授权培训机构”的名义,根据授权协议中授权内容从事以下培训业务: 1、注册信息安全员(Certified Information Security Member 简称CISM)培训; 2、注册信息安全专业人员(Certified Information Security Professional,简称CISP)培训,根据工作领域和实际岗位工作的需要,CISP培训分为四类: ●注册信息安全工程师(Certified Information Security Engineer简称CISE)培训; ●注册信息安全管理员(Certified Information Security Officer简称CISO)培训; ●注册信息安全审计师(Certified Information Security Auditor简称CISP-A)培训; ●注册信息安全开发人员(Certified Information Security Developer 简称CISD)培训。 3、其他培训业务以双方协议具体规定为准。 第三章授权培训机构的管理 第六条授权培训机构必须遵守如下管理规定: 1、日常工作管理 (1)按CNITSEC统一规定的教材、教学大纲开展培训业务,并执行授权运营方制定的统一培训标准;
信息安全等级测评师初级试题
判断题(10×1=10分) 1、动态路由是网络管理员手工配置的路由信息,也可由路器自动地建立并且能够根据实际情况的变化适时地进行调整。(×) 2、星型网络拓扑结构中,对中心设备的性能要求比较高。(√ ) 3、访问控制就是防止未授权用户访问系统资源。(√ ) 4、考虑到经济成本,在机房安装过录像监控之后,可不再布置报警系统。(× ) 5、审计日志的主要功能是可以对安全事件进行追踪和发现入侵行为,降低安全事件的发生。(√ ) 6、在三级信息系统中,每个系统默认账户和口令原则上都是要进行修改的(√ ) 7、剩余信息保护是三级系统比二级系统新增内容。(√ ) 8、权限如果分配不合理,有可能会造成安全事件无从查找。(√ ) 9、三级信息系统中,为了数据的完整性,我们可以采用CRC的校验码措施(× ) 10、在进行信息安全测试中,我们一般不需要自己动手进行测试。(√ ) 二、单项选择题(15×2.5=30分) 1、测评单位开展工作的政策依据是( C ) A.公通字[2004] 66号 C.公信安[2010] 303号 B.公信安[2008] 736 D发改高技[2008]2071 2、当信息系统受到,破坏后我们首先要确定是否侵害客体。( B ) A.公民、法人其他组织的合法权益 B.国家安全 C.社会秩序、公共利益 3、cisco的配置通过什么协议备份( A )
A.ftp B.tftp C.telnet D.ssh 4、哪项不是开展主机工具测试所必须了解的信息(D ) A.操作系统 B.应用 C.ip D.物理位置 5、三级系统主机安全的访问控制有( B )个检查项。 A、6 B、7 C、8 D、9 6、某公司现有260台计算机,把子网掩码设计成多少最合适( A ) A.255.255.254.0 C. 255.255.0.0 B.255.255.168.0 D.255.255.255.0 7、数据传输过程中不被篡改和修改的特性,是( B ) A.保密性 B.完整性 C.可靠性 D.可用性 8、向有限的空间输入超长的字符串是哪一种攻击手段? ( A ) A、缓冲区溢出 B、网络监听 C、拒绝服务 D、IP欺骗 9、关于备份冗余以下说法错误的是( D ) A.三级信息系统应在异地建立备份站点 B.信息系统线路要有冗余 C.数据库服务器应冗余配置 D.应用软件应进行备份安装 10、下列不属于应用层的协议是( C ) A.FTP B.TELNET C.SSL D.POP3 三、多项选择题(10×2=20分) 1、常见的数据备份有哪些形式( ABC ) A、完全备份 B、差异备份 C、增量备份 D、日志备份 2、下列属于双因子认证的是( AD ) A.口令和虹膜扫描 B.令牌和门卡 C.两次输入密码 D. 门卡和笔记(迹)
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求; ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南; ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件, 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号) 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1
信息安全等级测评师测试题
信息安全等级测评师测试题
信息安全等级测评师测试 一、单选题(14分) 1、下列不属于网络安全测试范畴的是( C ) A. 结构安全 B. 边界完整性检查 C. 剩余信息保护 D. 网络设备防护 2、下列关于安全审计的内容说法中错误的是( D )。 A. 应对网络系统中的网络设备运行情况、网络流量、用户行为等进行 日志记录。 B. 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否 成功及其他与审计相关的信息。 C. 应能根据记录数据进行分析,并生成报表。 D. 为了节约存储空间,审计记录可以随意删除、修改或覆盖。 3、在思科路由器中,为实现超时10分钟后自动断开连接,实现的命令应 为下列哪一个。( A ) A. exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标。( A ) A. ping扫描 B. 操作系统扫描 C. 端口扫描 D. 漏洞扫描 5、防火墙提供的接入模式中包括。( ABCD ) A. 网关模式 B. 透明模式 C. 混合模式 D. 旁路接入模式 6、路由器工作在。( C ) A. 应用层 B. 链接层 C. 网络层 D. 传输层 7、防火墙通过__控制来阻塞邮件附件中的病毒。( A ) A.数据控制B.连接控制C.ACL控制D.协议控制 二、多选题(36分) 1、不同设VLAN之间要进行通信,可以通过__。( A B ) A交换机B路由器C网闸 D入侵检测 E入侵防御系统2、能够起到访问控制功能的设备有__。( ABD ) A网闸 B三层交换机 C入侵检测系统 D防火墙 3、路由器可以通过来限制带宽。( ABCD ) A.源地址 B.目的地址 C.用户 D.协议 4、IPSec通过实现密钥交换、管理及安全协商。(CD) A. AH B. ESP C. ISAKMP/Oakley D. SKIP 5、交换机可根据____来限制应用数据流的最大流量。( ACD ) A.IP地址 B.网络连接数 C.协议 D.端口 6、强制访问控制策略最显著的特征是_____。( BD ) A.局限性 B.全局性 C.时效性 D.永久性 7、防火墙管理中具有设定规则的权限。( CD ) A.用户 B.审计员 C.超级管理员 D.普通管理员 8、网络设备进行远程管理时,应采用协议的方式以防被窃听。 (AC) A. SSH B. HTTP C. HTTPS D. Telnet E.FTP 9、网络安全审计系统一般包括(ABC )。 A.网络探测引擎 B.数据管理中心C审计中心 D声光报警系统
信息安全测评工具
信息安全等级保护测评工具选用指引 一、必须配置测试工具 (一)漏洞扫描探测工具。 1.网络安全漏洞扫描系统。 2.数据库安全扫描系统。 (二)木马检查工具。 1.专用木马检查工具。 2.进程查看与分析工具。 二、选用配置测试工具 (一)漏洞扫描探测工具。 应用安全漏洞扫描工具。 (二)软件代码安全分析类。 软件代码安全分析工具。 (三)安全攻击仿真工具 (四)网络协议分析工具 (五)系统性能压力测试工具 1.网络性能压力测试工具 2.应用软件性能压力测试工具 (六)网络拓扑生成工具 (七)物理安全测试工具 1.接地电阻测试仪 2.电磁屏蔽性能测试仪 (八)渗透测试工具集 (九)安全配置检查工具集 (十)等级保护测评管理工具 综合工具: 漏洞扫描器:极光、Nessus、SSS等; 安全基线检测工具(配置审计等):能够检查信息系统中的主机操作系统、数据库、网络设备等; 渗透测试相关工具:踩点、扫描、入侵涉及到的工具等; 主机:sysinspector、Metasploit、木马查杀工具、操作系统信息采集与分析工具(Win,Unix)、日志分析工具、数据取证工具(涉密); 网络:Nipper(网络设备配置分析)、SolarWinds、Omnipeek、laptop(无线检测工具); 应用:AppScan、Webinspect、FotifySCA、Sql injection tools、挂马检测工具、webravor等。
信息安全测评工具 五大网络安全评估工具 1.Wireshark Wireshark(原名Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 工作流程 (1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 (2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。 (3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。 (4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。 (5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。 (6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。 (7)重组数据。Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。 Wireshark特性: ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 Wireshark不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark 不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 Wireshark不能提供如下功能: ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情,Wireshark不会警告您。但是如果发生了奇怪的事情,Wireshark可能对察看发生了什么会有所帮助。 ?Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络。Wireshark
中国信息安全测评中心授权培训机构申请书
中国信息安全测评中心 授权培训机构申请书 申请单位(公章): 填表日期: ?版权2020—中国信息安全测评中心 2020年2月
中国信息安全测评中心(CNITSEC) 授权培训机构资质申请书 目录 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位资产运营情况 (7) 四、申请单位人员情况 (9) 五、培训场所及设备设施情况 (14) 六、质量保证 (16) 七、信息安全及相关培训情况 (18) 八、信息安全培训宣传推广 (19)
填表须知 用户在正式填写本申请书前,须认真阅读并理解以下内容:授权培训机构申请单位(以下简称:申请单位)在正式填写本申请书前,须认真阅读以下内容: 1.申请单位应仔细阅读《授权培训机构申请指南》及《授权培训机构管理办法》, 并按要求认真、如实、详细地填写本申请书。 2.申请单位应按照申请书的原有格式进行填写,所有填报项目(含表格)页面不足 时,可另加附页。 3.填写本表时要求字迹清晰,请用签字笔正楷填写或计算机输入。 4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材 料是否完整。 5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方, 必须加盖公章,同时提交一份对应的电子文档(电子文档刻盘与纸板申请书一起邮寄)。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。 7.如有疑问,请与中国信息安全测评中心联系。 中国信息安全测评中心 地址:北京市海淀区上地西路8号院1号楼 邮编:100085 电话:(010)82341571或82341576 传真:82341100 网址:https://www.360docs.net/doc/2210863917.html, 电子邮箱:zhangxy@https://www.360docs.net/doc/2210863917.html,
信息安全等级保护制度
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
信息安全等级保护测评自查
信息系统安全等级保护测评自查 (三级) 单位全称:XXX 项目联系人:XX X :XXX :XXX 1被测信息系统情况 1.1承载的业务情况 市XXX系统,XX年投入使用,包括X台服务器、X台网络设备和X台安全设备。市XXX系统是为市XXX(系统简介)。 1.2网络结构 给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。 市XXX系统由边界安全域、核心安全域和服务器安全域等三个功能区域组成,主要有XXX功能。各功能区都位于XX机房。具体拓扑如下:
图2-1 市XXX系统拓扑图 备注:需注明网络出口(电信,电子资源政务中心、XXX等) 1.3系统备案情况 市XXX系统备案为X级,系统备案编号为X,备案软件显示系统防护为SXAXGX 2系统构成 2.1机房 2.2网络设备 以列表形式给出被测信息系统中的网络设备。
2.3安全设备 以列表形式给出被测信息系统中的安全设备。 2.4服务器/存储设备 以列表形式给出被测信息系统中的服务器和存储设备,描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。 1设备名称在本报告中应唯一,如xx业务主数据库服务器或xx-svr-db-1。
2.5终端 以列表形式给出被测信息系统中的终端,包括业务管理终端、业务终端和运维终端等。 2.6 业务应用软件 以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介。
国家信息安全测评
国家信息安全测评 工业控制系统产品安全测评服务 白皮书 ?版权2014—中国信息安全测评中心 二〇一四年八月
目录 1. 目的和意义 (2) 2. 业务范围 (2) 3. 业务类型 (2) 4. 业务实施 (3)
1. 目的和意义 工业控制系统产品(以下简称工控产品)安全测评的目的是促进高质量、安全和可控的工控产品的开发,具体目的和意义包括: 1)对工控产品依据相关标准规范进行测评; 2)判定工控产品是否满足安全要求; 3)有助于在涉及国家安全的工业自动化生产领域中加强工控产品的安全性和可控性,维护国家和用户的安全利益; 4)促进国内工控产品市场优胜劣汰机制的建立和完善,规范市场。 2. 业务范围 工控产品分为控制类产品(即工业控制设备)和安全类产品(工业安全设备)。 1)控制类产品包括可编程控制器(PLC)、离散控制系统(DCS)、远程终端单元(RTU)、智能电子设备(IED)、各行业控制系统等用于生产控制的产品。 2)安全类产品包括工业防火墙、工业安全网关、工业异常监测产品、工业应用软件漏洞扫描产品等用于工业环境安全防护的产品。 3. 业务类型 工控产品安全测评类型分为标准测试、选型测试和定制测试等。 1)标准测试 依据第三方标准规范(如国家标准、测评中心测试规范等),测评工控产品的功能、性能、安全等指标,通过后颁发“工业控制系统安全技术测评证书”。 2)选型测试 根据委托方提出的测评要求对工控产品进行测试,形成选型测试报告,为委托方在产品选型采购时提供技术依据。 选型测试内容包括:功能测试、性能测试、安全测试等,具体测试项目和指标由
委托方与中心共同确认。 3)定制测试 依据委托方要求对工控产品进行测试,形成定制测试报告。 4. 业务实施 4.1 测试依据 依据标准: 1)GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》; 2)《工业防火墙安全测评准则》 3)《工业安全网关安全测评准则》 4)《工业异常监测系统安全测评准则》 5)《工业漏洞扫描产品安全测评准则》 6)…… 4.2 证据需求 根据业务内容的要求,申请方需提交的证据包括: 1)测评申请书 2)测评所需文档 3)被测产品 4.3 业务流程 测评流程分为以下四个阶段:申请阶段、预测评阶段、测评阶段和报告与证书发放阶段(如下图所示)。
信息安全等级保护初级测评师模拟试题
信息安全等级保护初级测评师模拟试题 集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题1.5分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是(c) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A) A.突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(B)A A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是(D) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5)
信息安全风险评估服务
1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、标准《信息系统安全等级评测准则》等法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等面存在的脆弱性为诱因的信息安全风险评估综合法及操作模型。 1.2风险评估相关 资产,任对组织有价值的事物。 威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。
风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的法,去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段(60-70年代)以计算机为对象的信息保密阶段1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。 特点: 仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。 第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品,很少延拓至系统,婴儿在格意义上扔不是全面的风险评估。 第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段 随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个面;逐步形成了风险评估、自评估、认证认可的工作思路。
中国信息安全评测中心CISM认证模拟试题库-答案
中国信息安全测评中心CISM认证 模拟试题 中电运行信息安全网络技术测评中心 编辑
1.信息安全保障要素不包括以下哪一项? A.技术 B.工程 C.组织 D.管理 2.以下对信息安全问题产生的根源描述最准确的是: A.信息安全问题是由于信息技术的不断发展造成的 B.信息安全问题是由于黑客组织和犯罪集团追求名和利造成的 C.信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的 D.信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏 3.完整性机制可以防范以下哪种攻击? A.假冒源地址或用户的地址的欺骗攻击 B.抵赖做过信息的递交行为 C.数据传输中被窃听获取 D.数据传输中被篡改或破坏 4.PPDR模型不包括: A.策略 B.检测 C.响应 D.加密 5.关于信息安全策略的说法中,下面说法正确的是: A.信息安全策略的制定是以信息系统的规模为基础 B.信息安全策略的制定是以信息系统的网络拓扑结构为基础 C.信息安全策略是以信息系统风险管理为基础 D.在信息系统尚未建设完成之前,无法确定信息安全策略 6.“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中,“看不懂”是指下面哪种安全服务: A.数据加密 B.身份认证 C.数据完整性 D.访问控制 7.下面对ISO27001的说法最准确的是: A.该标准的题目是信息安全管理体系实施指南 B.该标准为度量信息安全管理体系的开发和实施过程提供的一套标准 C.该标准提供了一组信息安全管理相关的控制措施和最佳实践 D.该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型
信息安全等级保护测评工作管理规范(试行)完整篇.doc
信息安全等级保护测评工作管理规范(试 行)1 附件一: 信息安全等级保护测评工作管理规范 (试行) 第一条为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。 第二条本规范适用于等级测评机构和人员及其测评活动的管理。 第三条等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。 第四条省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。
第五条等级测评机构应当具备以下基本条件: (一)在中华人民共和国境内注册成立(港澳台地区除外); (二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外); (三)产权关系明晰,注册资金100万元以上; (四)从事信息系统检测评估相关工作两年以上,无违法记录; (五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人; (七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求; (八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; (九)对国家安全、社会秩序、公共利益不构成威胁; (十)应当具备的其他条件。 第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
国家信息安全等级保护制度第三级要求
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
国家信息安全测评信息安全服务资质申请书(安全工程类一级中国信息安全测评中心【模板】
编号: 国家信息安全测评 信息安全服务资质申请书 (安全工程类一级) 申请单位(公章): 填表日期: ?版权2011—中国信息安全测评中心 2011年1月1日
目录 填表须知 (3) 申请表 (4) 一、申请单位基本情况 (5) 二、申请单位概况 (5) 三、申请单位近三年资产运营情况 (5) 四、申请单位人员情况 (5) 五、申请单位技术能力基本情况 (5) 六、申请单位的信息系统安全工程过程能力 (5) 6.1评估系统安全威胁的能力 (5) 6.2评估系统脆弱性的能力 (5) 6.3评估安全对系统的影响的能力 (5) 6.4评估系统安全风险的能力 (5) 6.5确定系统的安全需求的能力 (5) 6.6确定系统的安全输入的能力 (5) 6.7进行管理安全控制的能力 (5) 6.8进行监测系统安全状况的能力 (5) 6.9进行安全性协调的能力 (5) 6.10进行检测和证实系统安全性的能力 (5) 6.11进行建立系统安全的保证证据的能力 (5) 七、申请单位的项目和组织过程能力 (5) 7.1实现质量保证的能力 (5) 7.2管理项目风险的能力 (5) 7.3规划项目技术活动的能力 (5) 7.4监控技术活动的能力 (5) 7.5提供不断发展的知识和技能的能力 (5) 7.6与供应商协调的能力 (5) 八、申请单位安全服务项目汇总 (5) 九、申请单位获奖、资格授权情况 (5) 十、申请单位在安全服务方面的发展规划 (5) 十一、申请单位其他说明情况 (5) 十二、申请单位附加信息 (5) 申请单位声明 (5)
填表须知 用户在正式填写本申请书前,须认真阅读并理解以下内容: 1.中国信息安全测评中心对下列对象进行测评: ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2.申请单位应仔细阅读《信息安全服务资质申请指南(安全工程类一级)》,并按照其要求如实、详细地填写本申请书所有项目。 3.申请单位应按照申请书原有格式进行填写。如填写内容较多,可另加附页。 4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。 5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。 7.如有疑问,请与中国信息安全测评中心联系。 中国信息安全测评中心 地址:XX市XX区上地西路8号院1号楼