等级保护测评项目测评方案-2级和3级标准
信息安全等级保护测评项目
测
评
方
案
广州华南信息安全测评中心
二〇一六年
目录
第一章....................................................................................................................... 概述3
第二章....................................................................................................................... 测评基本原则4
一、客观性和公正性原则 (4)
二、经济性和可重用性原则 (4)
三、可重复性和可再现性原则 (4)
四、结果完善性原则 (4)
第三章....................................................................................................................... 测评安全目标(2 级). (5)
一、技术目标 (5)
二、管理目标 (6)
第四章....................................................................................................................... 测评内容9
一、资料审查 (10)
二、核查测试 (10)
三、综合评估 (10)
第五章..................................................................................................................... 项目实施12
一、实施流程 (12)
二、测评工具 (13)
2.1 调查问卷 (13)
2.2 系统安全性技术检查工具 (13)
2.3 测评工具使用原则 (13)
三、测评方法 (14)
第六章..................................................................................................................... 项目管理15
一、项目组织计划 (15)
二、项目成员组成与职责划分 (15)
三、项目沟通 (16)
3.1 日常沟通,记录和备忘录 (16)
3.2 报告 (16)
3.3 正式会议 (16)
第七章..................................................................................................................... 附录:等级保护评测准则. (19)
一、信息系统安全等级保护 2 级测评准则 (19)
1.1 基本要求 (19)
1.2 评估测评准则 (31)
二、信息系统安全等级保护 3 级测评准则 (88)
基本要求 (88)
评估测评准则 (108)
第一章概述
2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强
信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联
合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件
明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳
定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等
级保护的管理办法和技术指南。”
2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小
组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中
又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和
测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全
建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护
国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保
护测评和等级保护安全整改工作已经迫在眉睫。
第二章测评基本原则
一、客观性和公正性原则
虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
二、经济性和可重用性原则
基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应
基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。
三、可重复性和可再现性原则
不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。
四、结果完善性原则
测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过
程和结果应当服从正确的测评方法以确保其满足了测评项的要求。
第三章测评安全目标(2 级)一、技术目标
O2-1.应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力O2-2.应具有控制接触重要设备、介质的能力
O2-3.应具有对通信线路进行物理保护的能力
O2-4.应具有控制机房进出的能力
O2-5.应具有防止设备、介质等丢失的能力
O2-6.应具有控制机房内人员活动的能力
O2-7.应具有防止雷击事件导致重要设备被破坏的能力O2-8.应具有灭火的能力
O2-9.应具有检测火灾和报警的能力
O2-10. 应具有防水和防潮的能力
O2-11. 应具有防止静电导致重要设备被破坏的能力
O2-12. 应具有温湿度自动检测和控制的能力
O2-13. 应具有防止电压波动的能力
O2-14. 应具有对抗短时间断电的能力
O2-15. 具有基本的抗电磁干扰能力
O2-16. 应具有限制网络、操作系统和应用系统资源使用的能力
O2-17. 应具有能够检测对网络的各种攻击并记录其活动的能力O2-18. 应具有网络边界完整性检测能力
O2-19. 应具有对传输和存储数据进行完整性检测的能力
O2-20. 应具有对硬件故障产品进行替换的能力
O2-21. 应具有系统软件、应用软件容错的能力
O2-22. 应具有软件故障分析的能力
O2-23. 应具有合理使用和控制系统资源的能力
O2-24. 应具有记录用户操作行为的能力
O2-25. 应具有对用户的误操作行为进行检测和报警的能力
O2-26. 应具有对传输和存储中的信息进行保密性保护的能力O2-27. 应具有发现所有已知漏洞并及时修补的能力
O2-28. 应具有对网络、系统和应用的访问进行控制的能力
O2-29. 应具有对数据、文件或其他资源的访问进行控制的能力O2-30. 应具有对资源访问的行为进行记录的能力
O2-31. 应具有对用户进行唯一标识的能力
O2-32. 应具有对用户产生复杂鉴别信息并进行鉴别的能力O2-33. 应具有对恶意代码的检测、阻止和清除能力
O2-34. 应具有防止恶意代码在网络中扩散的能力
O2-35. 应具有对恶意代码库和搜索引擎及时更新的能力
O2-36. 应具有保证鉴别数据传输和存储保密性的能力
O2-37. 应具有对存储介质中的残余信息进行删除的能力
O2-38. 应具有非活动状态一段时间后自动切断连接的能力O2-39. 应具有重要数据恢复的能力
二、管理目标
O2-40. 应确保建立了安全职能部门,配备了安全管理人员,支持信息安全
管理工作
O2-41. 应确保配备了足够数量的管理人员,对系统进行运行维护O2-42. 应确保对主要的管理活动进行了制度化管理
O2-43. 应确保建立并不断完善、健全安全管理制度
O2-44. 应确保能协调信息安全工作在各功能部门的实施
O2-45. 应确保能控制信息安全相关事件的授权与审批
O2-46. 应确保建立恰当可靠的联络渠道,以便安全事件发生时能得到支持
O2-47. 应确保对人员的行为进行控制
O2-48. 应确保对人员的管理活动进行了指导
O2-49. 应确保安全策略的正确性和安全措施的合理性
O2-50. 应确保对信息系统进行合理定级
O2-51. 应确保安全产品的可信度和产品质量
O2-52. 应确保自行开发过程和工程实施过程中的安全
O2-53. 应确保能顺利地接管和维护信息系统
O2-54. 应确保安全工程的实施质量和安全功能的准确实现O2-55. 应确保机房具有良好的运行环境
O2-56. 应确保对信息资产进行标识管理
O2-57. 应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制
O2-58. 应确保各种网络设备、服务器正确使用和维护
O2-59. 应确保对网络、操作系统、数据库管理系统和应用系统进行安全管
理
O2-60. 应确保用户具有鉴别信息使用的安全意识
O2-61. 应确保定期地对通信线路进行检查和维护
O2-62. 应确保硬件设备、存储介质存放环境安全,并对其的使用进行控制
和保护
O2-63. 应确保对支撑设施、硬件设备、存储介质进行日常维护和管理O2-64. 应确保系统中使用的硬件、软件产品的质量
O2-65. 应确保各类人员具有与其岗位相适应的技术能力O2-66. 应确保对各类人员进行相关的技术培训
O2-67. 应确保提供的足够的使用手册、维护指南等资料O2-68. 应确保内部人员具有安全方面的常识和意识
O2-69. 应确保具有设计合理、安全网络结构的能力
O2-70. 应确保密码算法和密钥的使用符合国家有关法律、法规的规定O2-71. 应确保任何变更控制和设备重用要申报和审批,并对其实行制度化的管理
O2-72. 应确保在事件发生后能采取积极、有效的应急策略和措施O2-73. 应确保信息安全事件实行分等级响应、处置
第四章 测评内容
当根据信息系统的业务重要性及其他相关因素对信息系统进行划分,确定
了信息系统的安全保护等级后,需要了解不同级别的信息系统或子系统当前的安全保护与相应等级的安全保护基本要求之间存在的差距,这种差距是一种安全需求,是进行安全方案设计的基础。
传统的安全需求分析方法有很多,如风险分析法,但是作为了解信息系统或子系统当前的安全保护状况与相应等级的安全保护基本要求之间存在的差距的简便方法,莫过于等级评估测评法。
活动目标:
本活动的目标是通过信息安全等级测评机构对已经完成等级保护建设的信
息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要
求。
参与角色: 甲方\广州华南信息安全测评中心
活动输入: 信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统测评计
划,信息系统测评方案。
活动描述: 参见有关信息系统安全保护等级测评的规范或标准。
活动输出:
安全等级测评评估报告。
信息系统安全测评包括资料审查、核查测试、综合评估如下三个部分内容:
一、资料审查
a) 测评机构接受用户提供的测评委托书和测评资料;
b) 测评机构对用户提供的测评委托书和测评资料进行形式化审查,判断是否需要补充相关资料;
二、核查测试
a) 测评机构依据用户提供的资料、评估机构实地调研资料及定级报告等,制定系统安全评估测评计划;
b) 依据系统安全测评计划制定系统安全评估测评方案;
c) 依据系统安全测评方案实施现场核查测试;
d) 对核查测试结果进行数据整理记录,并形成核查测试报告。
三、综合评估
a) 对用户资料,评估机构实地调研资料和测试报告进行综合分析,形成分析意见;
b) 就分析意见与用户沟通确认,最终形成系统安全测评综合评估报告;
c) 对系统安全测评综合评估报告进行审定;
d) 出具最终《信息系统安全测评综合评估报告》
测评数据处理
a) 对信息系统现场核查记录进行汇总分析,完成信息系统现场核查报
告;
b) 对系统安全性测评过程得到的被测单位提供的申请资料、方案的形式化审查报告、信息系统现;
c)场核查记录、现场核查报告以及测试过程中所有的书面记录,经分析整理后,形成信息系统安全测评综合评估报告;
d)系统安全性测评过程所产生的全部数据、记录、资料应归档管理;
e) 系统安全性测评过程所产生的全部数据、记录、资料不得以任何方式向第三方透露;
f) 系统安全性测评过程所产生的全部数据、记录、资料的处置应符合相关法令法规的规定。
测评结论
a) 信息系统经测评机构安全测评后,向被测评单位出具信息系统安全测评综合评估报告;
b) 信息系统安全测评综合评估报告是客观反映被测单位信息系统在管理方面及技术方面的安全状况,其中包括了信息系统在安全性方面存在的漏洞、潜在的风险以及相应的建议性改进意见。
第五章项目实施一、实施流程
二、测评工具
2.1调查问卷
调查问卷是现场核查的方法之一。调查问卷根据本规范制定,其调查内容应
涵盖被测信息系统的各个方面,利用调查问卷对系统安全技术、安全管理措施等
进行逐项审核,将调查结果记录在相应的问卷上,供现场核查分析之用。2.2系统安全性技术检查工具
典型的系统安全性技术检查工具有以下几种:
a)Web 应用安全扫描器:主要扫描 Web 应用安全中存在的危
险函数调用、软件陷门;
b)基于主机的扫描器:检测主机操作系统中与系统密切相关的
安装配置问题及其他系统目标的安全策略漏洞情况;
c)基于网络的扫描器:通过网络扫描确定系统的状态及收集信
息,判断网络中是否存在安全隐患。
例如操作系统类型、开放的端口及服务、安全漏洞及木马程序等。检测范围
包括所有的信息系
设备:服务器、防火墙、交换机、路由器等网络中所有设备;
d)网络协议分析仪:分析信息系统传输数据流,检测信息系统异常
现象;
e)入侵检测工具:分析系统外部或内部的入侵行为及其行为特
征(根据用户需求);
f)其它检查工具。
2.3测评工具使用原则
a)根据信息系统安全要求配置测评工具,选择适用的、针对性强的测评工具;
b)应优先选用性能较好,由国内开发的测评工具或经过测评认证确认安全的测评工具;
c)对已经投入运行的系统不得使用攻击性测试工具,防止系统崩溃造成不必要的损失;
d)使用攻击性测试工具要经过被测评用户授权。
三、测评方法
图 6.1测评流程
在整个项目过程中,我中心将在不同阶段派遣不同人员参与项目,主要包
括以下几个角色:
管理人员,项目启动会、计划、监督、协调组织项目验收等管理性工作。
安全工程师,会议、座谈、现场走访、问卷调查、调查和收集现有单位相
关材料。
咨询师,交流安全需求、安全策略分析、网络规划、安全建议。
攻防人员,使用专业工具进行技术类指标的评定,对指标验证后提出建议。
文档人员,整理文档、书写报告。
等级保护测评试题
一、单选题 1、下列不属于网络安全测试范畴的是(C) A.结构安全B.便捷完整性检查C.剩余信息保护D.网络设备防护 2、下列关于安全审计的内容说法中错误的是(D) A.应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 B.审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 C.应能够根据记录数据进行分析,并生成审计报表 D.为了节约存储空间,审计记录可以随意删除、修改或覆盖 3、在思科路由器中,为实现超时10分钟后自动断开连接,实现的命令应为下列哪一个(A) A.exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标(A) A.ping扫描 B.操作系统扫描 C.端口扫描 D.漏洞扫描 ping扫描:用于发现攻击目标 操作系统识别扫描:对目标主机运行的操作系统进行识别 端口扫描:用于查看攻击目标处于监听或运行状态的。。。。。。 5、路由器工作在(C) A.应用层 B.链接层 C.网络层 D.传输层 6、防火墙通过____控制来阻塞邮件附件中的病毒。(A) A.数据控制 B.连接控制 C.ACL控制 D.协议控制 7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是(B) A.10.110.12.0 B.10.110.12.30 C.10.110.12.31 D.10.110.12.32 8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令:(A) A.show running-config B.show buffers C. show starup-config D.show memory 9、路由器命令“Router(config)#access-list 1 permit 192.168.1.1”的含义是:(B) A.不允许源地址为192.168.1.1的分组通过,如果分组不匹配,则结束 B.允许源地址为192.168.1.1的分组通过,如果分组不匹配,则结束 C.不允许目的地址为192.168.1.1的分组通过,如果分组不匹配,则结束 D.允许目的地址为192.168.1.1的分组通过,如果分组不匹配,则检查下一条语句。 10、配置如下两条访问控制列表:
安全测试考试题目(全)
软件安全性测试培训考试试卷 部门:姓名: 一、单选题(30分,每题2分) 1、信息安全系统安全保护等级分为( C )。 A、3级 B、4级 C、5级 D、6级 2、从信息安全发展角度,目前主要是确保什么安全( D )。 A、通信 B、计算机 C、人 D、信息和信息系统资产 3、防火墙的原则是什么( B )。 A、防攻击能力好 B、一切未被允许的就是禁止的! C、一切未被禁止的都是允许的! D、是否漏电 4、IDS和IPS的部署模式是( D )。 A、都是旁路模式 B、都是在线模式 C、IDS在线模式、IPS旁路模式 D、IDS旁路模式、IPS在线模式 5、VPN是什么( D )。 A、安全设备 B、防病毒软件 C、安全测试软件
D、虚拟专用网络 6、下列哪个不是常见的安全设计问题(A )。 A、数据库表太多 B、密码技术使用的败笔 C、创建自己的密码技术 D、错误的处理私密信息 7、下面哪个不是VPN分类包括的( A )。 A、主机对远程用户 B、主机对VPN 网关 C、VPN网关对VPN 网关 D、远程用户对VPN 网关 8、动态测试方法不包括( D )。 A、手动分析技术 B、安全扫描 C、渗透测试 D、用户测试 9、最新的WEB系统版本是( D )。 A、 B、 C、 D、 10、渗透测试模拟什么角色进行( A )。 A、模拟黑客 B、模拟用户 C、模拟系统管理员 D、模拟开发 11、信息系统安全问题产生的外因是什么( B )。 A、过程复杂 B、对手的威胁与破坏
C、结构复杂 D、使用复杂 12、关于测试的思想转变,描述正确的是( A )。 A、所有系统不允许的事件都去想办法允许。 B、所有系统允许的事件都去想办法不允许。 C、根据用户指定内容进行测试。 D、根据开发人员指定内容进行测试。 13、以下不属于安全测试的辅助工具的是( D )。 A、wireshark B、APPSCAN C、Zenmap D、QTP 14、下列哪种不属于WEB系统文件上传功能安全隐患(D)。 A、未限制扩展名 B、未检查文件内容 C、未查杀病毒文件 D、未检查文件大小 15、以下哪种说法是对的( B )。 A、关系数据库不需要进行安全测试。 B、通过软件安全测试能够降低安全隐患。 C、通过软件安全测试能够杜绝安全隐患。
《GB∕T28448-2019信息安全技术网络安全等级保护测评要求》试卷答案
《GB∕T28448-2019信息安全技术网络安全等级保护测评 要求》试卷 姓名:分数: 一、填空题(每空3分,共30分) 1.安全测评通用要求中安全物理环境的测评对象是__________和__________。 2.机房__________设在地下室。 3.二级测评通用要求对机房设置防盗报警系统或有专人值守的视频监控系统__________ (有或没有)作要求。 4.三级测评通用要求机房电力供应设置__________电力电缆线路。 5.三级测评通用要求网络设备的业务处理能力满足业务高峰期的要求,可通过查看网络设 备的__________使用率和__________使用率。 6.边界防护中,__________级测评要求内外网的非法互联进行检测和限制。 7.云计算安全测评扩展要求云计算基础设施位于__________。 8.工业控制系统与企业其他系统之间应划分为__________个区域。 二、不定项选择(每题5分,共30分) 1.三级测评通用要求机房出入口应__________。 A.安排专人值守B.放置灭火器 C.安装玻璃门D.配置电子门禁系统 2.三级测评通用要求防雷击除了将各类机柜、设施和设备等通过接地系统安全接地,还要 求设置__________。
A.照明灯具B.过压保护器 C.防雷保安器D.空气清新剂 9.身份鉴别要求采用__________等两种或两种以上的鉴别技术。 A.动态口令B.数字证书 C.生物技术D.设备指纹 10.三级测评通用要求安全计算环境中,访问控制的粒度应达到主体为__________。A.端口级B.用户级 C.进程级D.应用级 11.安全管理中心是《GB∕T28448-2019信息安全技术网络安全等级保护测评要求》新增加 的内容,三级测评通用要求安全管理中心内容包括__________。 A.系统管理B.审计管理 C.安全管理D.集中管控 12.工业控制系统内使用广域网进行进行控制指令或相关数据交换的应采用加密认证技术 手段实现__________加密传输。 A.身份认证B.访问控制 C.数据D.以上都不是 三、简答题(共40分) 3.三级测评通用要求数据备份恢复有哪些内容?(8分)
(完整版)XXXX等级保护测评工作方案
广州市XXXXXX 2015-2016年XXXXXXXXXXXX项目 等级保护差距测评实施方案 XXXXXXXXX信息安全有限公司 201X年X月
目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (3) 1.4.项目依据 (4) 2.测评实施内容 (4) 2.1.测评分析 (5) 2.1.1.测评范围 (5) 2.1.2.测评对象 (5) 2.1.3.测评内容 (5) 2.1.4.测评对象 (8) 2.1.5.测评指标 (9) 2.2.测评流程 (10) 2.2.1.测评准备阶段 (11) 2.2.2.方案编制阶段 (12) 2.2.3.现场测评阶段 (12) 2.2.4.分析与报告编制阶段 (14) 2.3.测评方法 (14) 2.3.1.工具测试 (14) 2.3.2.配置检查 (15) 2.3.3.人员访谈 (15) 2.3.4.文档审查 (16) 2.3.5.实地查看 (16) 2.4.测评工具 (17) 2.5.输出文档 (18) 2.5.1.等级保护测评差距报告....................... 错误!未定义书签。 2.5.2.等级测评报告............................... 错误!未定义书签。 2.5. 3.安全整改建议............................... 错误!未定义书签。 3.时间安排 (18)
4.人员安排 (19) 4.1.组织结构及分工 (19) 4.2.人员配置表 (20) 4.3.工作配合 (21) 5.其他相关事项 (22) 5.1.风险规避 (22) 5.2.项目信息管理 (24) 5.2.1.保密责任法律保证 (24) 5.2.2.现场安全保密管理 (24) 5.2.3.文档安全保密管理 (25) 5.2.4.离场安全保密管理 (25) 5.2.5.其他情况说明 (25) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息 系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的 要求,对XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评 估工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。(安全技术测 评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面 上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员 安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评),加大 测评与风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进行全面 评估,有效提升信心系统的安全防护能力,建立常态化的等级保护工作机制, 深化信息安全等级保护工作,提高XXXXXXXXXXXXXXXXXXX网络与信息系统的安全 保障与运维能力。
信息系统等级保护测评工作方案
XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全 201X年X月
目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (4) 1.4.项目依据 (4) 2.测评实施容 (6) 2.1.测评分析 (6) 2.1.1.测评围 (6) 2.1.2.测评对象 (6) 2.1.3.测评容 (7) 2.1.4.测评对象 (9) 2.1.5.测评指标 (10) 2.2.测评流程 (12) 2.2.1.测评准备阶段 (13) 2.2.2.方案编制阶段 (14) 2.2.3.现场测评阶段 (14) 2.2.4.分析与报告编制阶段 (17) 2.3.测评方法 (17) 2.3.1.工具测试 (17) 2.3.2.配置检查 (18) 2.3.3.人员访谈 (19) 2.3.4.文档审查 (19) 2.3.5.实地查看 (20)
2.4.测评工具 (21) 2.5.输出文档 (21) 2.5.1.等级保护测评差距报告................................................... 错误!未定义书签。 2.5.2.等级测评报告 ................................................................... 错误!未定义书签。 2.5. 3.安全整改建议 ................................................................... 错误!未定义书签。 3.时间安排 (22) 4.人员安排 (22) 4.1.组织结构及分工 (23) 4.2.人员配置表 (24) 4.3.工作配合 (25) 5.其他相关事项 (27) 5.1.风险规避 (27) 5.2.项目信息管理 (29) 5.2.1.责任法律保证 (30) 5.2.2.现场安全管理 (30) 5.2.3.文档安全管理 (30) 5.2.4.离场安全管理 (31) 5.2.5.其他情况说明 (31) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准
等级保护测评题型及考题
1.cisco的配置通过什么协议备份: A.ftp B.tftp C.telnet D.ssh 2.交换机收到未知源地址的帧时: A.广播所有相连的设备 B.丢弃 C.修改源地址转发 D..... 3.功能测试不能实现以下哪个功能: A.漏洞 B.补丁 C.口令策略 D.全网访问控制策略 4.等保3级别中,而已代码应该在___进行检测和清除 A.内网 B.网络边界 C.主机 D..... 5.____是作为抵抗外部人员攻击的最后防线 A.主机安全 B.网络安全 C... D... 6.按照等保要求,第几级开始增加“抗抵赖性”要求: A.一 B.二 C.三 D.四 7.哪项不是开展主机工具测试所必须了解的信息: A.操作系统 B.应用 C.ip D.物理位置 8.查询sql server中是否存在弱口令的sql语句是: A.select name from xx_logins where password is null B.... C..... D.... 9.Oracle查看是否开启审计功能的sql语句是: 10.linux查看目录权限的命令: A. ls -a B.ls -l C. dir -a D. dir -l 不定项: 1.应用的审计日志应包括: A.日期 B.时间 C.时间描述 D.事件结果 E... 2.鉴别信息描述正确的是:
A.鉴别信息就是用户名 B.鉴别信息时明文的 C.鉴别信息时加密的 D.xxx 3.鉴别信息一般包括: A.知道什么 B.具有什么 C.第三方信息 D... 4.以下哪些可以用来对oracle数据库进行配置管理: A.sqlplus B.手工修改实例名_init.ora C... D... 5.按照等保3级要求,应实现对网络上html,_______,pop3,smtp等协议命名级控制 A.ftp B.TELNET C.ssh D.tftp 6.一段cisco的命令信息,结合日志输出,给出4个选项的描述判定 判断题: 1.按三级要求,应对非法接入客户端进行检查、定位。 2.按三级要求,并对重要数据、鉴别信息等实现存储保密性。 3.sybase数据库中,未启用xxx则不具备审计功能 4.oracle数据库不能对密码进行复杂度进行设置 5.windows 的power users组具有对事件日志的删除权限 6. 给主机动态分配IP的协议是ARP协议 简答题: 1.给出一张检查表,有8条不符合项目,请结合等级保护要求,及你的理解,描述存在的风险,并给出解决建议 2.回答工具测试接入点的原则,及注意事项 3.回答你对安全审计的理解,并结合实际案例说明安全审计的部署(必要时可画图)
信息系统等级保护测评指标(二级与三级)
实用标准文档 1.信息系统等级保护测评指标 等级保护的测评技术指标至少覆盖各系统等保二级、等级保三级的全部指标 1.1.等级保护二级测评基本指标 分类子类基本要求 物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建(G2)筑内 物理访问控制机房出入口应安排专人值守,控制、鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程,并限制和监 (G2) 控其活动范围 应将主要设备放置在机房内 应将设备或主要部件进行固定,并设置明显的不易除去的标防盗窃和防破坏记 (G2)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中 应对介质分类标识,存储在介质库或档案室中 主机房应安装必要的防盗报警设施 防雷击(G2) 机房建筑应设置避雷装置 机房应设置交流电源地线 物理安全 防火(G2)机房应设置灭火设备和火灾自动报警系统。 水管安装,不得穿过机房屋顶和活动地板下 防水和防潮(G2)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电(G2)关键设备应采用必要的接地防静电措施 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 应在机房供电线路上配置稳压器和过电压防护设备 电力供应(A2)应提供短期的备用电力供应,至少满足关键设备在断电情况 下的正常运行要求 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰 应保证关键网络设备的业务处理能力具备冗余空间,满足业 务高峰期需要 应保证接入网络和核心网络的带宽满足业务高峰期需要 结构安全(G2)应绘制与当前运行情况相符的网络拓扑结构图 网络安全 应根据各部门的工作职能、重要性和所涉及信息的重要程度 等因素,划分不同的子网或网段,并按照方便管理和控制的 原则为各子网、网段分配地址段 应在网络边界部署访问控制设备,启用访问控制功能 访问控制(G2)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求; ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南; ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件, 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号) 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1
等级保护测评项目测评方案-2级和3级标准
信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年
目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标(2级) (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通,记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录:等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)
第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全 建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。
《GB∕T 28448-信息安全技术网络安全等级保护测评要求》试卷答案
《GB∕T 28448-2019信息安全技术网络安全等级保护测评 要求》试卷 姓名:分数: 一、填空题(每空3分,共30分) 1.安全测评通用要求中安全物理环境的测评对象是__________和__________。 2.机房__________设在地下室。 3.二级测评通用要求对机房设置防盗报警系统或有专人值守的视频监控系统__________ (有或没有)作要求。 4.三级测评通用要求机房电力供应设置__________电力电缆线路。 5.三级测评通用要求网络设备的业务处理能力满足业务高峰期的要求,可通过查看网络设 备的__________使用率和__________使用率。 6.边界防护中,__________级测评要求内外网的非法互联进行检测和限制。 7.云计算安全测评扩展要求云计算基础设施位于__________。 8.工业控制系统与企业其他系统之间应划分为__________个区域。 二、不定项选择(每题5分,共30分) 1.三级测评通用要求机房出入口应__________。 A.安排专人值守B.放置灭火器
C.安装玻璃门D.配置电子门禁系统 2.三级测评通用要求防雷击除了将各类机柜、设施和设备等通过接地系统安全接地,还要 求设置__________。 A.照明灯具B.过压保护器 C.防雷保安器D.空气清新剂 3.身份鉴别要求采用__________等两种或两种以上的鉴别技术。 A.动态口令B.数字证书 C.生物技术D.设备指纹 4.三级测评通用要求安全计算环境中,访问控制的粒度应达到主体为__________。A.端口级B.用户级 C.进程级D.应用级 5.安全管理中心是《GB∕T 28448-2019信息安全技术网络安全等级保护测评要求》新增加 的内容,三级测评通用要求安全管理中心内容包括__________。 A.系统管理B.审计管理 C.安全管理D.集中管控 6.工业控制系统内使用广域网进行进行控制指令或相关数据交换的应采用加密认证技术 手段实现__________加密传输。 A.身份认证B.访问控制 C.数据D.以上都不是
等级保护测评项目管理制度
精心整理 等级保护测评项目管理制度 一、 目的 为有效保障等级保护测评中心的测评质量,防止发生质量异常,提升效率,确保质量满足客户需求,特制定本制度。 二、 职责 等级保护测评中心的测评质量监督管理纳入公司总体质量管理体系,由公司法人代表授权的等? 1234 567 89作计划纳入年度计划; 12) 负责组织对《等级测评报告》进行评估活动,并批准签发《等级测评报告》; 13) 根据等保测评项目的论证签订等级保护测评合同,并批准等级保护测评总体计划; 14) 调研分析对设备供应单位质量保证能力,确定供应设备能满足工作需要; 15) 落实质量部的保密制度和保密防范措施,对人员的安全保密培训情况; 16) 负责与质量体系有关事宜的外部联络。 ? 质量部
1)履行企业法人代表赋予的职责; 2)贯彻执行等保测评中心应遵循的各种法律、法规及标准; 3)贯彻、执行质量方针、质量目标; 4)主持等级保护测评项目的论证,组织《等级测评方案》的评审; 5)管理并监督等级保护测评中心测评人员按国家有关保密规定保守相关秘密; 6)统筹安排等保测评中心资源,确保每项测评工作顺利完成; 7)制定等级保护测评中心测评人员技术培训计划,确保计划能与预期的任务相适应; 3、质量评定的方法
质量主管根据上述三项服务考察要素的质量评定结果,综合评定测评的质量等级。评定方式原则上取三个考察要素获得的等级最低的为综合质量评定结果。举例:如果进度等级为优,测评成果等级为良,用户反馈等级为优,则综合质量等级为良。 4、质量改进 质量评价后,对存在的不合格或潜在的不合格,质量主管将向测评组长提交《测评质量审核报告》,测评组长对报告上的不合格项或潜在的不合格项进行确认,测评组长填写《纠正预防措施报告》,采取相应的纠正和预防措施,质量主管根据《纠正预防措施报告》上的整改时间,进行跟 四、 1. 并 过程,并且执行所需要的测量、监视活动,以证实这些过程的成果及今后的持续改 进; ?质量部依照ISO9001:2000标准和等级保护测评相关法规、技术标准的要求管理这些过程,组织进行持续改进。 2.文件要求: 2.1各部门按国家/国际标准要求实施相关文件要求,并作好相关质量记录。 2.2质量管理体系的范围:测评中心按等级保护测评相关法规和技术标准的要求进行等级
信息安全等级保护初级测评师模拟试题
信息安全等级保护初级测评师模拟试题 集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题1.5分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是(c) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A) A.突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(B)A A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是(D) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5)
等级保护考试试题集
信息安全等级保护培训试题集 一、法律法规 一、单选题 1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 2.根据《信息安全等级保护管理办法》,(D)应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 3.计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A.经济价值经济损失 B.重要程度危害程度 C.经济价值危害程度 D.重要程度经济损失 4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A.第一级 B.第二级 C.第三级 D.第四级 5.一般来说,二级信息系统,适用于(D) A.乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。 C.适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。 D.地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。
信息系统等级保护测评工作设计方案
XX安全服务公司 2018-2019 年XXX项目 等级保护差距测评实施方案 XXXXXXXX信息安全有限公司 201X年X月
目录 1.1. 项目背景 .. 1. 2. 项目目标 1.3. 项目原则 1.4. 项目依据 1. 项目概述 目录 2. 测评实施内容 2.1.1. 测评范围 ..................... ......... 4 2.1.2 . 测评对象 ..................... (4) 2.1. 3. 测评内容 ..................... ......... 4 2.1.4. 测评对象 ..................... ......... 7 2.1.5 . 测评指标 ..................... ......... 8 2.2. 测评流程 .......................... ....... 9 2.2.1. 测评准备阶段 ................. ........... 10 2.2.2. 方案编制阶段 ................. ........... 11 2.2.3. 现场测评阶段 ................. ........... 11 2.2.4. 分析与报告编制阶段 ........... 2.3. 测评方法 .......................... ....... 13 2.3.1. 工具测试 ..................... ......... 13 2.3.2. 配置检查 ..................... ......... 14 2.3.3. 人员访谈 ..................... ......... 14 2.3.4. 文档审查 ..................... ......... 15 2.3.5 . 实地查看 ..................... ......... 15 2.4. 测评工具 ....................... ........ 16 2.5. 输出文档 ....................... ........ 17 2.5.1等级保护测评差距报告 ......... 2.5.2 . 等级测评报告 ................. 2.1. 测评分析 4 13 错误! 错误! 安全整改建议 2.5.3 . 未定义书签。 未定义书签。 错误! 未定义书签。
信息安全等级保护初级测评师模拟试题
信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题1.5分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是(C ) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A ) A.突出重要系统,涉及所有等级, 试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(A ) A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是(D ) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5) C.(2)、(3)、(4)、(5) D.全部
网络安全等级保护测评机构管理办法
网络安全等级保护测评机构管理办法 第一章总则 第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。 第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。 测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。 第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。 第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。 第五条测评机构应按照国家有关网络安全法律法规规
定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。 第二章测评机构申请 第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。 国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。 省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。 第七条申请单位应具备以下基本条件: (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位; (二)产权关系明晰,注册资金500万元以上,独立经营核算,无违法违规记录; (三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力; (四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;
等级保护测评师初级技术考试
目录 等级保护政策和相关标准应用部分 (1) 网络安全测评部分 (3) 主机安全部分 (4) 应用测评部分 (6) 数据库 (7) 工具测试 (13) 等级保护政策和相关标准应用部分 《中华人民共和国计算机信息系统安全保护条例》国务院令 147号 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定 《国家信息化领导小组关于加强信息安全保障工作的意见》中发办[2003] 27号 要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的中国特色的信息安全标准体系 什么是等级保护工作 信息安全等级保护工作是一项由信息系统主管部门、运营单位、使用单位、安全产品提供方、安全服务提供方、检测评估机构、信息安全监督管理部门等多方参与,涉及技术与管理两个领域的复杂系统工程 等级保护制度的地位和作用 是国家信息安全保障工作的基本制度、基本国策 是促进信息化、维护国家信息安全的根本保障 是开展信息安全工作的基本方法,有效抓手 等级保护的主要目的 明确重点、突出重点、保护重点 优化信息安全资源的配置 明确信息安全责任 拖动信息安全产业发展 公安机关组织开展等级保护工作的依据 1.《警察法》规定:警察履行“监督管理计算机信息系统的安全保护工作”的职责 2.国务院令147号“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定” 3.2008年国务院三定方案,公安部新增职能:“监督、检查、指导信息安全等级保护工作”机构 公安部网络安全保卫局
各省网络警察总队 地市网络警察支队 区县网络警察大队 部分职责 制定信息安全政策 打击网络违法犯罪 互联网安全管理 重要信息系统安全监督 网络与信息安全信息通报 国家信息安全职能部门职责分工 公安机关牵头部门,监督、检查、指导信息安全等级保护工作 国家保密部门负责等级保护工作中有关保密工作的监督、检查、指导。并负责涉及国家秘密信息系统分级保护 国家密码管理部门:负责等级保护工作中有关密码工作的监督、检查、指导 工业和信息化部门:负责等级保护工作中部门间的协调 定级备案建设整改测评监督检查 《关于信息安全等级保护工作的实施意见》公通字[2004] 66号 《计算机信息系统安全保护等级划分准则》 GB17859-1999 简称《划分准则》 《信息安全等级保护管理办法》公通字[2007] 43号简称《管理办法》 《信息系统安全等级保护实施指南》简称《实施指南》 《信息系统安全保护等级定级指南》 GB/T 22240-2008 简称《定级指南》 《信息系统安全等级保护基本要求》 GB/T22239-2008 简称《基本要求》 《信息系统安全等级保护测评要求》简称《测评要求》 《信息系统安全等级保护测评过程指南》简称《测评过程指南》 测评主要参照标准 信息系统安全等级保护基本要求 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 等级保护工作中用到的主要标准 基础 17859 实施指南 定级环节 定级指南 整改建设环节 基本要求 等级测评环节 测评要求 测评过程指南 定级方法PPT61 确定定级对象 确定业务信息安全受到破坏时所侵害的客体 综合评定业务信息系统安全被破坏对客体的侵害程度
三所等保测评工具服务版
1 产品背景及概述 1.1 产品背景 随着信息技术的迅猛发展和广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息网络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视信息安全问题,多次指示公安部会同有关部委制定有效措施,切实加强管理,提高我国计算机信息系统安全保护水平,以确保社会政治稳定和经济建设的顺利进行。 2003年8月,国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)明确指出信息安全保障工作要“实行信息安全等级保护”。信息安全等级保护制度已经成为我国信息安全保护工作的基本国策,实行信息安全等级保护具有重大的现实和战略意义。为了进一步推动等级保护工作的进展,公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室于2004年联合下发了《关于信息安全等级保护工作的实施意见》,明确指出要在三年内在全国范围内推广等级保护制度。 为了规范和指导各地的等级保护工作,公安部、全国信息安全标准化技术委员会委托公安部信息安全等级保护评估中心(以下简称评估中心)制定了一系列等级保护相关标准和文件。目前,国家推荐标准《信息系统安全保护等级定级指南》、《信息系统安全等级保护基本要求》和《信息系统安全等级保护实施指南》已经完成报批稿,《信息系统安全等级保护测评准则》已经完成征求意见稿。 2006年8月,公安部、国家保密局、国家密码局和国务院信息化办公室联合在北京举行了“信息安全等级保护工作会议”,向来自全国各地和各重要部委的近200名信息化工作主管、领导颁发了《信息安全等级保护试点工作实施方案》,涉及系统定级、等级测评、制度建设、系统改建、备案与监督检查等多项等级保护工作。同时,为了加强信息安全等级保护工作的组织领导,国家成立了由公安部副部长张新枫任组长,公安部、国家保密局、国家密码局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小组,协调小组办公室设在公安部公共信息网络安全监察局。 试点工作的经验表明,等级测评活动是确保信息安全等级保护工作的关键环节。等级测评能够帮助信息系统的运营、使用单位进行信息系统安全自查,了解系统的安全现状与国家要求之间的差距,明确安全整改的目标与方向。 市场调查表明,目前信息安全相关的商用测评工具主要集中在漏洞扫描和问卷评估系统等方面,无法准确、全面的提供信息系统安全等级保护的整体测评结论。 由于信息安全等级保护制度已经成为我国信息安全保护工作的基本国策,国家相关文件规定信息系统必须定期进行自查和定期委托专业测评机构进行等级符合性测评。为了确保信息安全等级保护工作的顺利开展,实现国家在三年内全面实施信息安全等级保护工作的目标,迫切需要信息系统等级保护测评的专用工具,作为信息系统等级测评支撑工具,为提供信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门,用于定期测试或符合性测评。 因此,专用测评工具将成为信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门的必备工具,是信息安全等级保护工作的顺利开展和完成不可或缺的保障。 1.2 产品概述 海盾系列信息系统安全等级保护测评工具软件是在国内领先的等保测评专家团队在深入分析等级保护技术要求、国内信息系统面临安全威胁和典型案例的基础上研制而成。作为国内领先的等保测评工具软件,不仅提供了详细的操作流程、步骤说明,还具有融合自动化工具和第三方安全检查工具检查、扫描的功能,能够有效协助使用者按照等级保护标准要求推进