网络安全等级保护测评实施-测评师培训
等保测评师工作职责
等保测评师工作职责
摘要:
一、等保测评师的职责概述
二、等保测评师的工作内容
1.信息安全检查
2.安全评估与等级保护
3.安全体系设计与实施
4.安全培训与宣传教育
三、等保测评师的技能要求
1.专业知识和技能
2.沟通协调能力
3.分析判断和解决问题的能力
四、等保测评师的发展前景与挑战
正文:
等保测评师,即信息安全等级保护测评师,是我国信息安全领域的重要职业。
他们主要负责对信息系统进行安全检查、评估和等级保护,以确保信息系统的安全可靠。
等保测评师的主要工作内容包括:
1.信息安全检查:定期对信息系统进行安全检查,发现安全隐患并及时整改,以降低安全风险。
2.安全评估与等级保护:依据国家相关法律法规和标准,对信息系统的安
全性能进行评估,并根据评估结果提出合理的等级保护措施。
3.安全体系设计与实施:协助单位建立完善的信息安全体系,制定信息安全策略,并推动其实施。
4.安全培训与宣传教育:组织开展信息安全培训和宣传教育活动,提高全员的信息安全意识,提升单位的信息安全防护能力。
成为一名优秀的等保测评师,需要具备以下技能要求:
1.专业知识和技能:熟悉国家有关信息安全的法律法规、政策和标准,掌握信息安全的基本原理和技术,具备一定的网络安全攻防能力。
2.沟通协调能力:与其他部门和团队保持良好的沟通,确保信息安全工作的顺利开展。
3.分析判断和解决问题的能力:在面临复杂的安全问题时,能够迅速分析判断,并提出有效的解决方案。
随着信息化程度的不断提高,等保测评师的发展前景十分广阔。
等级保护测评师培训及考试指南
等级测评师培训及考试指南为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作的顺利开展,公安部下发了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),对等级测评工作、等级测评机构建设以及等级测评人员进行了规范和要求。
要求开展等级测评的人员参加专门培训和考试,并取得《信息安全等级测评师证书》(等级测评师分为初级、中级和高级)。
等级测评人员需持等级测评师证上岗。
公安部信息安全等级保护评估中心(以下简称“评估中心”)是由公安部为建立信息安全等级保护制度,构建国家信息安全保障体系而专门批准成立的专业技术支撑机构,评估中心受国家信息安全等级保护工作协调小组办公室委托,对从事等级测评的人员进行培训和考试,对考试合格人员颁发相应的《信息安全等级测评师》证书。
1.等级测评师的分类及能力要求信息安全等级测评师分为初级等级测评师、中级等级测评师和高级等级测评师三级。
其中,初级等级测评师又分为技术和管理两类。
三级等级测评师能力要求如下:•初级等级测评师o了解信息安全等级保护的相关政策、标准;o熟悉信息安全基础知识;o熟悉信息安全产品分类,了解其功能、特点和操作方法;o掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;o掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;o能够按照报告编制要求整理测评数据。
•中级等级测评师o熟悉信息安全等级保护相关政策、法规;o正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;o掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;o具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;o能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;o能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评方法;o具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。
网络安全等级保护2.0基础知识培训
云安全问题
身份与访问管理:缺乏统一、集中、标准的访问控制数据集中控制:系统、租户的数据安全防护难度加大云与虚拟化:攻击从终端转向云端,安全边界趋于模糊自动化安全管理:安全自动化管理要求更高、防护盲点数据泄漏威胁:数据集中、共享与多样化加大了泄漏风险安全监管合规:国家标准、行业规范、监管要求
云安全新需求
确定定级对象:
具有唯一确定的安全责任单位;满足信息系统的基本要素;承载相对独立的业务应用
安全保护等级定级参考
1)一级,小型私营、个体企业、中小学,乡镇所属信息系统,县级单位一般的信息系统2)二级,县级某些单位重要信息系统;地市级以上国家机关、企事业单位内部一般信息系统(例如非涉及工作、商业秘密,敏感信息的办公系统和管理系统)3)三级,地市级以上国家机关、企事业单位内部重要信息系统(例如涉及工作、商业秘密,敏感信息的办公系统和管理系统)。跨省或全国联网运行的用于生产、调度、管理、控制等方面的重要系统及在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站4)四级,国家重要领域、重要部门中的特别重要系统以及核心系统,电力、电信、广电、税务等5)五级,国家重要领域、重要部门中的极端重要系统
VPN
IDS
流量控制
防火墙
桌面APT防御
堡垒机
运营合规咨询服务
软件服务合规咨询
云计算架构
虚拟安全接入
SOC安全平台
智能分析中心
流量审计平台
用户行为分析
面向云服务架构提供全方位、可靠云安全防护体系
云计算安全体系
APT安全
威胁态势感知 — 大数据与人工智能分析平台
国家高度重视信息安全问题 政策密集出台
等级保护的主要工作流程
自主定级和审批
等级保护_网络安全测评(于东升)
内容目录
1.前言
标准概述
标准概述
标准概述
标准概述
内容目录
2.检查范围
检查范围
案编制、现场测评、分析及报告编制。
检查范围
检查范围
Si Si
内容目录
33.检查内容
检查内容
检查内容
检查内容
结构安全
结构安全
结构安全
结构安全
结构安全
结构安全
结构安全
结构安全
结构安全
结构安全
bandwidth percent 20
访问控制
访问控制
访问控制
访问控制
访问控制
访问控制
访问控制
以联想网域防火墙为例,如下图所示:
访问控制
访问控制
访问控制
以天融信防火墙为例,如下图所示:
访问控制
访问控制
访问控制
访问控制
访问控制
访问控制
安全审计
安全审计
安全审计
安全审计
安全审计
安全审计
安全审计
边界完整性检查
边界完整性检查。
网络安全等级保护测评
网络安全等级保护测评
网络安全等级保护测评是一项重要的安全措施。
它旨在评估网络系统的安全性,并根据评估结果对其进行级别保护。
网络安全等级保护测评的过程中,需要通过对网络系统进行全面检测和分析,确定其存在的安全隐患和问题,并提出相应的解决方案。
在进行网络安全等级保护测评时,可采用以下几个步骤:
1. 安全需求分析:首先,需要明确网络系统的安全需求,包括数据保密性、完整性、可用性等方面。
根据需求确定测评的范围和目标。
2. 安全测评准备:准备工作包括确定测评的时间、地点、人员等资源,并制定详细的测评计划,明确测评的方法、流程和评估指标。
3. 安全测评执行:执行测评活动,包括对网络系统进行漏洞扫描、安全配置审计、安全策略检查等。
同时,对系统中的身份认证、访问控制、日志审计等关键安全控制进行细致检查。
4. 安全测评分析:对测评结果进行分析,确定系统中存在的安全问题和风险。
根据问题的严重程度和影响范围,给出相应的等级保护建议。
5. 安全测评报告:编写测评报告,对测评过程、结果和建议进行详细描述。
报告应该清晰、准确地反映系统中存在的问题,
并给出具体的解决方案。
6. 安全测评改进:根据测评结果和建议,对网络系统进行相应的安全改进。
改进包括修补系统漏洞、加强身份认证、优化访问控制等方面。
通过网络安全等级保护测评,可以及时发现和解决网络系统中存在的安全问题,提升系统的整体安全等级,保护重要信息的安全。
同时,测评结果和建议可以作为制定安全策略和规范的依据,指导网络系统的安全管理和运维工作。
网络安全等级保护2 0:定级、测评、实施与运维
5.3安全区域边界
5.5安全运营管理 中心
5.4安全计算环境 设计
5.6整体安全防护 效果
5.1.1安全物理环境技术标准 5.1.2物理位置选择 5.1.3物理访问控制 5.1.4防盗窃和防破坏 5.1.5防雷击 5.1.6防火 5.1.7防水和防潮 5.1.8防静电 5.1.9温湿度控制
5.2.1网络和通信安全技术标准 5.2.2安全体系架构 5.2.3网络通信安全
3.2.1信息系统 3.2.2通信网络设施 3.2.3数据资源
3.3.1定级方法概述 3.3.2确定受侵害的客体 3.3.3确定对客体的侵害程度 3.3.4初步确定等级
4.1总体安全
1
规划工作流程
4.2系统安全 2
风险及需求分 析
3 4.3总体设计
原则和思路
4 4.4安全防护
体系总体设计
5 4.5安全建设
9.1等级测评
1
概述
9.2测评准备
2
活动
3 9.3方案编制
活动
4 9.4现场测评
活动
5 9.5报告编制
活动
9.1.1等级测评风险 9.1.2等级测评风险规避
9.2.1测评准备活动工作流程 9.2.2测评准备活动主要任务 9.2.3测评准备活动输出文档 9.2.4测评活动中双方职责
9.3.1测评对象确定 9.3.2方案编制活动主要任务 9.3.3方案编制活动输出文档 9.3.4方案编制活动中双方职责
读书笔记
这书老实说很一般啊,大段大段抄标准,各种重复,不说人话,唯一有点看头的可能就是最后一章。
编者的等保测评以及网络安全工程建设经验丰富,尤其是实践案例部分很有借鉴意义。
这本书还是很不错的,表格将等级保护要求归纳的很好。
等级保护测评师(整理重点)文字版
网络全局
1.1结构安全(G3)
a)应保证主要网络设裕的业务处理能力具狢冗余空间,满足业务高峰期需要;
b)应保证网络各个部分的带宽满足业务高峰期需要;
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;(静态路由, 动态路由)
d)应绘制与当前运行情况相符的网络拓扑结构图;
b)应能够对内部网络Hj户私自联到外部网络的行为进行检杏,准确定出位置,并对其 进行有效阻断。(方法:非法外联监控功能、非法外联软件)
1.3入侵防范(G3)
a)应在M络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服 务攻击、缓冲R溢出攻击、IP碎片攻击和网络蠕虫攻击等;(入侵防范的技术:入侵 检测系统IDS,包含入侵防范模块的多功能安企网关UTM)
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生 严重入侵事件时应提供报瞥。(报释方式:短信、邮件、声光报脊等)
注释:
I)入侵检测的分类:主动入侵检测、被动入侵检测。
主动入侵检测:在攻山•的同时检测到。它会査找己知的攻击模式或命令,并阻止这#命令的执行。
被动入侵检测:攻击之后的检测。只有通过检査II忐文件,攻击才得以根据11忐信息进行复查和再现。
访问控制(G3)(路由器、交换机、防火墙、入侵检测系统/防御系统)
a)应在网络边界部署访问控制设缶,启川访问控制功能;(访问控制设备:MM、防火墙、 路山器、三层路由交换机等)
b)应能根据会话状态信总为数据流提供明确的允许/拒绝访问的能力,控制粒度为端 口级;(路由器通过配置合理的访问控制列表ACL)
利川虚拟终端(VTY)通过TCP/IP N络进行远程Telnet登泶等。
等级保护测评实施方案
等级保护测评实施方案1. 引言等级保护测评是一种用于评估和验证特定系统或网络的安全性的方法。
它通过评估系统的安全等级,确定系统可能面临的威胁和弱点,并提供相应的安全建议和措施。
本文档旨在提供一个实施等级保护测评的方案,以帮助组织保护其信息系统和网络免受潜在威胁的影响。
2. 测评目标等级保护测评的主要目标是评估系统或网络的安全性,确定其安全等级,并为组织提供针对不同等级的安全建议。
具体目标包括:•评估系统或网络的安全架构、安全策略和安全控制措施的有效性;•确定系统或网络可能存在的威胁和弱点,并评估其对组织运行的影响;•为组织提供针对不同安全等级的安全建议和措施,帮助其加强系统和网络的安全性。
3. 测评方法等级保护测评采用以下方法进行实施:3.1 收集信息首先,需要收集有关系统或网络的相关信息,包括但不限于:•系统或网络的架构图和拓扑结构;•安全策略、安全控制措施和流程等相关文档;•系统或网络的漏洞扫描和安全审计报告等。
3.2 分析评估在收集信息的基础上,对系统或网络进行全面的安全分析和评估。
主要包括:•评估系统或网络的安全架构和设计,检查是否存在安全隐患和漏洞;•分析系统或网络的安全策略和控制措施,评估其有效性和合规性;•针对系统或网络的重要组件和功能进行安全风险评估,确定可能的威胁和攻击路径;•对系统或网络进行安全性能测试,检查其抵御安全攻击的能力。
3.3 确定安全等级根据评估结果,确定系统或网络的安全等级。
等级保护通常分为不同级别,如低、中、高等。
根据组织的具体需求,可以自定义安全等级划分标准。
一般来说,安全等级的划分应考虑到系统或网络的重要性、敏感性以及面临的威胁和风险。
3.4 提供安全建议针对不同安全等级的系统或网络,提供相应的安全建议和措施。
具体包括:•建议加强系统或网络的身份认证和访问控制;•提供网络安全设备和防护机制的选择指南;•建议改进系统或网络的安全配置和强化措施;•提供应急响应和事件处置的建议。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7.1 安全技术测评
7.1.1 物理安全
7.1.1.1 物理位置的选择
7.1.1.1.1 测评指标
7 第三级基本要求
7.1 技术要求
7.1.1 物理安全
7.1.1.1 物理位置的选择(G3)
本项要求包括:
a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
符合或部分符合本单项测评指标要求。
8.1.1.1.2 测评单元(L3-PES1-02)
该测评单元包括以下要求:
a) 测评指标:机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
b) 测评对象:机房。
c) 测评实施包括以下内容:
1) 应检查是否不位于所在建筑物的顶层或地下室;
2) 如果机房位于所在建筑物的顶层或地下室,应检查是否采取了防水和防潮措施。
安全保护能力从纵深防护和措施互补二个角度评判。
11
单元测评
单项测评
单元测评
针对基本要求各安全控制点的测评称为单元测评。
单项测评
针对基本要求各安全要求项的测评称为单项测评。
单元测评(旧版标准)=若干个单项测评(新版标准)
12
测评实施作用面不同
某级系统
基本要求
技术要求
管理要求
……
层面
……
层面
旧版测评要求
等级保护测评
要求
标准名称
+
信息安全技术
网络安全等级
保护测评要求
+
+
02
信息安全技术
信息安全等级
保护测评要求
7
测评实施内容变化
01
旧版标准:
安全通用测评要求。
新版标准:
安全测评通用要求和安全测评扩展要求。
02
安全测评通用要求
不管等级保护对象形态,均需使用通用测评要求。
安全测评扩展要求
针对云计算、移动互联、物联网和工业控制系统提出了特殊安全测评要求。
风险分析
等级测评结论形成
23
实施过程-准备阶段
单项符合性判定
整体测评
选择测评对象
选择测评指标
运行环境及潜在威胁
确定测评方法
安全问题分析
编制测评计划
网络(拓扑、外联、设备)
提出整改建议
形成测评结论
主机(OS、DBMS、MID、终端)
应用(业务流、数据流和部署)
c) 测评实施包括以下内容:
1) 应检查所在建筑物是否具有建筑物抗震设防审批文档;
2) 应检查是否存在雨水渗漏;
3) 应检查门窗是否因风导致的尘土严重;
4) 应检查屋顶、墙体、门窗和地面等是否破损开裂。
d) 单项判定:如果1)-4)均为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不
换和数据销毁。
大数据平台/系统可参考安全测评扩展要求
安全物理环境、安全通信网络、安全计算环境、安全
建设管理和安全运维管理
19
增加附录C
C.1 测评指标编码规则
测评单元编号为三组数据,格式为XX-XXXX-XX
示例:测评单元编号为L1-PES1-01,代表源自安全测评
通用要求部分的第一级安全物理环境类的第1个指标。
第2部分:云计算安全测评扩展要求(国家信息中心)
第3部分:移动互联安全测评扩展要求(公安部信息安全等级保护评估中心)
2013年12月
第4部分:物联网安全测评扩展要求(信息产业信息安全测评中心)
成立标准编制组
第5部分:工业控制安系统安全测评扩展要求(能源局信息中心)
调研国内外其他标准
研究新技术、新应用
在单元测评的基础上,通过进一步分析信息系统安全保护功能的整体相关性,对
信息系统实施的综合安全测评。
GB/T 28448-20XX
单项测评
针对各安全要求项的测评,支持测评结果的可重复性和可再现性。本标准中单项
测评由测评指标、测评对象、测评实施和单元判定构成。
整体测评
整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。整体
等计算机设备,包括他们的操作系统、数据库系统及其相关环
境等
操作系统, 如Windows / Linux系列 / 类UNIX系列 / IBM Z/os
/Unisys MCP等
数据库管理系统,如DB2 / Oracle / Sybase / MS SQL Server等
中间件平台,如Weblogic / Tuxedo / Websphere等
控制点
要求项
……
……
……
新版测评要求
……
控制点
要求项
13
测评指标细化
GB/T 28448-2012
测评指标
见GB/T 22239-2008 7.1.1.1。(控制点)
GB/T 28448-20XX
测评指标
机房场地应选择在具有防震、防风和防雨等能力的建筑内;(要求项)
14
单元测评(旧版标准)
护制度规定,按照有关管理规范和技术标准,对未涉及
国家秘密的等级保护对象进行安全等级保护状况进行检
测评估的活动。
10
测评技术框架变化
GB/T 28448-2012
单元测评
针对基本要求各安全控制点的测评为单元测评。支持测评结果的可重复性和可再
现性,由测评指标、测评实施和结果判定构成。
整体测评
《信息安全技术 网络安全等级保护测评过程指南》GB/T28449-XXXX
4
标准修订工作里程碑
2018年6月
形成标准报批稿
2017年9月
形成合稿后的标准送审稿
2017年4月
5个分册形成标准送审稿
2016年11月
形成标准征求意见稿
2014年5月
第1部分:通用安全测评要求(公安部信息安全等级保护评估中心)
该测评单元包括以下要求:
a) 测评指标: 机房场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 测评对象: 机房。
c) 测评实施包括以下内容:
1) 应检查所在建筑物是否具有建筑物抗震设防审批文档;
2) 应检查是否存在雨水渗漏;
3) 应检查门窗是否因风导致的尘土严重;
4) 应检查屋顶、墙体、门窗和地面等是否破损开裂。
网络安全等级保护培训
网络安全等级保护测评实施
公安部信息安全等级保护评估中心
马力
目录
13
等级测评使用的主要标准
23
等级测评采用的标准流程
33
新标准下等级测评的变化
43
重点关注内容解读(通用部分)
2
一、等级测评使用的主要标准
3
等级测评主要参照的标准
《信息安全技术 信息系统安全等级保护基本要求》GB/T22239-2008
28
28
测评内容-应用安全
测评对象包括:
见GB/T 22239-2008 7.1.1.1。
安全控制点
7.1.1.1.2 测评实施
本项要求包括:
a) 应访谈物理安全负责人,询问机房和办公场地所在建筑物是否具有防震、防风和防雨等能力;
b) 应检查是否有机房和办公场地所在建筑物抗震设防审批文档;
c) 应检查机房和办公场地所在建筑物是否具有防风和防雨等能力;
整体测评
选择测评对象
选择测评指标
安全问题分析
确定测评方法
形成测评结论
编制测评计划 行业要求
企业需求
提出整改建议
运行环境、业务特色
综合正向与反向:
单项符合性判定
安全配置检查
测评
渗透测试与漏洞验证
准备
方案
编制
现场
测评
报告
编制
制度体系化,贯彻落实
基本情况调研
GB/T 28448-2012
安全控制点间测评
层面间测评(删除)
区域间测评
GB/T 28448-20XX
安全控制点测评(新增)
安全控制点间测评
区域间测评
18
增加附录B
大数据可参考安全测评扩展要求
数据生命周期可参考安全测评扩展要求
数据采集、数据分类、数据存储、数据应用、数据交
c) 测评实施包括以下内容:
1) 应检查是否不位于所在建筑物的顶层或地下室;
2) 如果机房位于所在建筑物的顶层或地下室,应检查是否采取了防水和防潮措施。
d) 单项判定:如果1)或2)为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对
象不符合或部分符合本单项测评指标要求。
8
17
整体测评内容变化
8
测评实施内容变化
某级安全要求
某级测评要求
安全通用要求
安全测评通用要求
云计算安全扩展要求
云计算安全测评扩展要求
移动互联安全扩展要求
移动互联安全测评扩展要求
物联网安全扩展要求
物联网安全测评扩展要求
工业控制系统安全扩展要求
工业控制系统安全测评扩展
要求
9
增加等级测评定义
等级测评是指测评机构依据国家信息安全等级保
测评
准备
方案
编制
现场
管理(机构设置、人员职责、管理
相关文档等)
测评
项目启动
人员访谈
基本情况调研
安全配置核查
结果数据分析(层次模型)
网络抓包与分析