信息系统密码应用测评过程指南
信息系统安全评测与风险评估试题及答案(精选.)
信息系统安全评测与风险评估试题姓名分数19716-200520269 信息系统安全管理要求20270 网络基础安全技术要求20271 信息系统通用安全技术要求资产赋值风险赋值一:填空题(36分)1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的(),严谨的(),严格的()以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域。
2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据(保密性)和数据的(备份)与恢复三个环节来考虑。
3.资产分类的方法较多,大体归纳为2种,一种是“自然形态”,即按照系统组成成分和服务内容来分类,如分成“数据,软件(硬件),服务(人员),其他”六大类,还可以按照“信息形态”将资产分为“信息,(信息载体)和(信息环境)三大类。
4.资产识别包括资产分类和(资产赋值)两个环节。
5.威胁的识别可以分为重点识别和(全面识别)6.脆弱性识别分为脆弱性发现(脆弱性分类)脆弱性验证和(脆弱性赋值)7.风险的三个要素是资产(脆弱性)和(威胁)8.应急响应计划应包含准则,()预防和预警机制()()和附件6个基本要素。
9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程,它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二:问答题:(64分)1.什么是安全域?目前中国划分安全域的方法大致有哪些?(10分)1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。
等级保护测评-完全过程(非常全面)
以三级为例
主题一
1 2 3 4
等级保护测评概述 等级保护测评方法论 等级保护测评内容与方法
等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法, 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度给出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议。
等保测评工作流程
等级测评的工作流程,依据《信息系统安全等级保护测评过程指南》,具体内容 参见:等保测评工作流程图
准备阶段
方案编制阶段
现场测评阶段
报告编制阶段
等保实施计划
项目 准备
现状调研
安全管理调研
风险与差距分析
控制风险分析 信息安全 愿景制定
体系规划与建立
管理体系
项目 验收
项目 准备
运维体系 安全技术调研 信息安全总体 框架设计 等保差距分析 高危问题整改 技术体系
0
0 0
0
0 0
11
28 27
16
41 51
5
13 42
4
18 54
5
9 12
4
18 54
16
41 69
合
计
66
73
236 389
等保测评方法
访谈 • 访谈是指测评人员通过与信息系统有关人员(个人/群体)进 行交流、讨论等活动,获取相关证据以表明信息系统安全保护 措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所 有的安全相关人员类型,在数量上可以抽样。 检查 • 检查是指测评人员通过对测评对象进行观察、查验、分析等活 动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。 测试 • 测试是指测评人员针对测评对象按照预定的方法/工具使其产 生特定的响应,通过查看和分析响应的输出结果,获取证据以 证明信息系统安全保护措施是否得以有效实施的一种方法。在 测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
国家标准《信息安全风险评估实施指南》
国家标准《信息安全风险评估实施指南》(送审稿)编制说明1、工作简况1.1 任务来源2009年12月,信息安全标准化技术委员会正式下达任务书,将《信息安全风险评估实施指南》作为2010年度的国家标准制定项目,定性为国家推荐性标准,由国家信息中心承担,标准制定任务正式启动。
国家信息安全标准化技术委员会已下拨标准研制经费,并签署任务合同书。
1.2 起草单位和人员组成本项目由国家信息中心负责进行标准的起草,北京信息安全测评中心、国家保密技术研究所、上海市信息安全测评认证中心、沈阳东软系统集成工程有限公司、国和信诚(北京)信息安全有限公司等单位参与起草。
1.3 编制过程(1)标准草案编制阶段标准草案编制工作于2010年1月启动,通过前期准备阶段、提纲编制阶段、任务细化阶段、整合完成阶段,在全面了解我国信息安全风险评估实践状况的基础上,经过反复修改完善,于2010年6月形成《信息安全风险评估实施指南》征求意见稿。
(2)意见征求阶段2010年7月-10月,将《信息安全风险评估实施指南》征求意见稿向专家与一些一线信息安全服务机构(公司)征求意见。
根据各试点单位的反馈意见,标准编制小组组织了两次大规模的修改过程;同时向相关单位以发放了标准文本,征求对标准的意见,根据修改意见进行了修改。
(3)修改完善阶段2010年11月、12月,国家信息中心组织编写组成员对征求来的各意见进行讨论、采纳、修改,并于2011年3月正式形成《信息安全风险评估实施指南》标准草案修改稿。
(4)专家评审阶段2011年3月、6月,国家信息中心委托信安标委聘请专家,对《信息安全风险评估实施指南》标准草案修改稿进行专家评审,收到专家意见多条,并通过了专家评审。
(5)WG7成员单位决议阶段2011年8月5日,安标委WG7组组织全体成员单位对国家信息中心承担的《信息安全风险评估实施指南》标准草案稿进行全体投票决议,最后该标准草案稿高票获得通过,获准向社会公布,以进一步广泛征求社会各界的意见与建议。
CISP-1-信息安全测评认证概述
测评认证中心的建设过程 Nhomakorabea1997年初,国务院信息化工作领导小组委托筹建
“中国互联网络安全产品测评认证中心” 1998年7月, 该中心挂牌运行 1998年10月,国家质量技术监督局授权成立“中 国国家信息安全测评认证中心”
1999年2月9日,该中心挂牌运行 2001年5月,中编办根据党中央、国务院有关领
cnitsec
信息安全测评认证体系模式
信息安全认证管理委员会 认证机构 Lab认可机构 CB认可机构
信息技术安全认证中心
认 可
授权
认证
信息技术安全测试实验室
证书
信息技术安全测试实验室
信息技术安全测试实验室 信息技术安全测试实验室
cnitsec
美国(NIAP)
负责管理和运行美国的信息安全测评认证体系
行业性授权测评机构
1、计算机测评中心:由信产部(15所)2000年列编设立 2、广电测评中心:由广电部2000年列编设立 3、银行、证券、电信等行业,2001年起开始测评认证 cnitsec
二、信息安全测评认证标准
1 、通用准则CC(GB/T 18336 idt ISO/IEC 15408) 2、信息系统安全保障通用评估准则 3、其他标准
机密性 隐蔽信息 无条件 机密性 强制性 机密性 目标重用
范围 CC-0 到 CC-3 CD-0 到 CD-4 CM-0 到 CM-4 CR-0 到 CR-4
cnitsec
标准名称 TCSEC 绿皮书
功能级别
保证级别
D,C1,C2,B1,B2,B3,A1 F1~F10 Q1~Q8 L1~L66 F1~F10 E0~E7
国际上安全测评标准的发展
电子政务涉密信息系统的分级保护建设
电子政务涉密信息系统的分级保护建设作者:姜楚江来源:《信息化建设》2009年第01期当前,我国电子政务建设取得了显著成效。
同时,由于国际国内形势特点,信息安全保密问题日益突出,病毒、木马、网络攻击等越来越多,给国家安全带来威胁。
很多单位开始准备涉及国家秘密的信息系统(以下简称涉密信息系统)建设,但由于对政策的不了解,加之建设标准的复杂和操作难度等问题,导致一些单位感到无从下手,建设进度缓慢。
本文从涉密信息系统准备、实施、测评、监管等方面作了阐述,供大家参考。
2003年9月7日,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》,明确提出了开展信息安全等级保护的任务,指出涉密信息系统要按照党和国家的有关保密规定进行保护。
中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》,明确提出要建立健全涉密信息系统分级保护制度。
2006年1月17日,公安部等四部门下发了《信息安全等级保护管理办法(试行)》,其中规定:涉密信息系统应当依据国家信息安全等级保护的基本要求,按照涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
从广义上来讲, 涉密信息系统分级保护是信息安全等级保护的一个重要内容和组成部分,但两者有区别也有联系,从表一可以看出,涉密信息系统分级保护三个等级的防护水平不低于国家等级保护的第三、四、五级要求。
涉密信息系统分级保护是指建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
按照处理信息的最高密级确定,涉密信息系统由低到高划分为秘密、机密和绝密三个等级。
绝密级信息系统应限定在封闭、安全可控的独立建筑群内。
下面谈下建设过程。
一、涉密信息系统分级保护实施过程(一)学习相关文件和标准。
近年来,由于信息安全技术的快速发展,涉密信息系统的建设标准也不断变化。
密码应用安全性评估服务项目合同
XXX服务项目XXX服务合同甲方:XXX乙方:XXX目录一、采购合同二、合同附件1、项目需求2、竞标声明3、竞标报价表4、商务条款偏离表5、技术需求偏离表6、售后服务方案7、售后服务团队人员信息一览表8、磋商记录9、最后报价记录10、最后报价11、成交通知书《采购合同》合同编号:XXXXXXXX采购单位(甲方):XXXXXXX供应商(乙方):XXXXX项目编号:XXXXXX签订地点:XXXXXX签订时间: 2023年月日根据《中华人民共和国民法典》等法律、法规规定,按照磋商文件(采购文件)规定条款和乙方承诺,甲乙双方签订本合同。
第一条合同标的2.合同金额已包含乙方完成本项目服务所有内容及相关其他相关服务的投入,本项目为交钥匙工程,含评估服务费用、乙方在实施项目过程中派出工作人员的交通费、住宿费、差旅费、伙食费、通讯费、税金及其他与评估服务相关的一切费用所有费用均已包含在合同金额中,甲方无需支付其他任何费用。
成交乙方履行合同期间如出现人员人身、财产安全事故、损失等由成交乙方全部负责,甲方不负任何责任。
第二条质量要求1.乙方所提供的服务必须与磋商文件规定及响应文件承诺相一致。
第三条权利保证1.乙方应保证所提供服务在使用时不会侵犯任何第三方的专利权、商标权、工业设计权或其他权利。
如甲方因使用乙方提供的服务而侵犯他人的知识产权或致使除本合同各方以外的第三人向其提出索赔或权利请求,应由乙方负责处理和赔偿,并保证甲方系统的正常依法运行和免受上述赔偿请求。
2.乙方应在合同签订后六个月内完成待测系统的XXX工作。
认定项目完成的标准以乙方出具正式的《XXX》且项目密码评估的结果经甲方组织验收在合格及以上为准3.没有甲方事先书面同意,乙方不得将由甲方提供的有关合同或任何合同条文、规格、计划、图纸、样品或资料提供给与履行本合同无关的任何其他人。
即使向履行本合同有关的人员提供,也应注意保密并限于履行合同的必需范围。
乙方的保密义务不因本合同的解除、终止而终止。
信息系统等级保护测评指标(二级与三级)
工作的总体目标、范围、原则和安全框架等
管理制度(G2) 应对安全管理活动中重要的管理内容建立安全管理制度
应对安全管理人员或操作人员执行的重要管理操作建立操
作规程
应指定或授权专门的部门或人员负责安全管理制度的制定
制定和发布(G2) 应组织相关人员对制定的安全管理制度进行论证和审定
应将安全管理制度以某种方式发布到相关人员手中
分类 应用安全
子类 安全审计(G2) 入侵防范(G2) 恶意代码防范
(G2) 资源控制(A2)
身份鉴别(S2)
访问控制(S2)
安全审计(G2)
基本要求 些帐户的默认口令 应及时删除多余的、过期的帐户、避免共享帐户的存在 审计范围应覆盖到服务器上的每个操作系统用户和数据库 用户 审计内容应包括重要用户行为、系统资源的异常使用和重要 系统命令的使用等系统内重要的安全相关事件 审计记录应包括事件的日期、时间、类型、主体标识、客体 标识和结果等 应保护审计记录,避免受到未预期的删除、修改或覆盖等 操作系统应遵循最小安装的原则,仅安装需要的组件和应用 程序,并通过设置升级服务器等方式保持系统补丁及时得到 更新 应安装防恶意代码软件,并及时更新防恶意代码软件版本和 恶意代码库 应支持防恶意代码软件的统一管理 应通过设定终端接入方式、网络地址范围等条件限制终端登 录 应根据安全策略设置登录终端的操作超时锁定 应限制单个用户对系统资源的最大或最小使用限度 应提供专用的登录控制模块对登录用户进行身份标识和鉴 别 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证 应用系统中不存在重复用户身份标识,身份鉴别信息不易被 冒用 应提供登录失败处理功能,可采取结束会话、限制非法登录 次数和自动退出等措施 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别 信息复杂度检查以及登录失败处理功能,并根据安全策略配 置相关参数 应提供访问控制功能,依据安全策略控制用户对文件、数据 库表等客体的访问 访问控制的覆盖范围应包括与资源访问相关的主体、客体及 它们之间的操作 应由授权主体配置访问控制策略,并严格限制默认帐户的访 问权限 应授予不同帐户为完成各自承担任务所需的最小权限,并在 它们之间形成相互制约的关系 应提供覆盖到每个用户的安全审计功能,对应用系统重要安 全事件进行审计 应保证无法删除、修改或覆盖审计记录 审计记录的内容至少应包括事件日期、时间、发起者信息、 类型、描述和结果等
政务云密码池应用共享服务平台建设方案
X X政务云密码池应用共享服务平台建设方案目录1. 建设背景 ........................................................................................ - 4 -1.1. 背景概述 ............................................................................. - 4 -1.2. 国家政策要求...................................................................... - 5 -1.2.1. 国家法律法规要求 ................................................... - 5 -1.2.2. 国家标准规范要求 ................................................... - 5 -1.2.3. 政务信息化项目建设管理办法................................ - 5 -1.3. 参考依据 ............................................................................. - 6 -2. 密码应用需求分析 ........................................................................ - 7 -2.1. 密码应用合规性对照表 ...................................................... - 7 -2.2. 密码应用需求...................................................................... - 8 -2.2.1. 物理和环境安全密码应用需求................................ - 9 -2.2.2. 网络和通信安全密码应用需求................................ - 9 -2.2.3. 应用和数据安全密码应用需求................................ - 9 -2.2.4. 设备和计算安全密码应用需求................................ - 9 -3. 建设方案 ...................................................................................... - 10 -3.1. 建设范围及目标................................................................ - 10 -3.1.1. 建设范围................................................................. - 10 -3.1.2. 建设目标................................................................. - 11 -3.1.3. 建设内容................................................................. - 11 -3.2. 设计原则及设计思路........................................................ - 12 -3.2.1. 设计原则................................................................. - 12 -3.2.2. 设计思路................................................................. - 13 -3.3. 方案总体设计.................................................................... - 14 -3.3.1. 系统总体框图......................................................... - 14 -3.3.2. 系统网络拓扑图 ..................................................... - 16 -3.3.3. 系统主要能力......................................................... - 18 -3.3.4. 密码池建设方案 ..................................................... - 19 -3.3.5. 通道安全建设方案 ................................................. - 20 -4. 方案主要价值 .............................................................................. - 22 -4.1. 集约建设、资源共享........................................................ - 22 -4.2. 统一运维、合规安全........................................................ - 22 -4.3. 统一服务、灵活扩容........................................................ - 22 -4.4. 运营管理、合理收益........................................................ - 23 -5. 系统建设清单及投入估算........................................................... - 23 -5.1. 建设清单 ........................................................................... - 23 -5.2. 投入估算 ........................................................................... - 24 -1.建设背景1.1. 背景概述数字政府自20世纪80年代初期政府机关推广计算机电脑的使用伊始,就伴随着中国信息化发展进程不断演进。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统密码应用测评过程指南
1、信息系统密码应用测评过程
信息系统密码应用测评过程,就是为了评估当前系统中密码安全保护的程度,以确定现有的密码控制是否符合安全要求。
测评过程包括识别对密码安全重要的应用程序、任务或对象,对密码设置的策略进行评估,以及检查安全威胁。
2、识别重要应用程序、任务或对象
要识别那些对系统安全重要的应用程序、任务或对象,测评人员需要分析所有可能受影响的应用程序,并识别这些应用程序和数据是否存在风险。
一旦发现重要的功能、任务或对象,应立即对其密码规范进行重点评估。
3、对密码设置策略进行评估
对现有系统中的密码设置策略进行评估,使客户可以经过深入评估,确定其现有的密码安全保护的策略是否符合客户的安全需求,以及是否符合当今流行的安全最佳实践。
4、检查存在的安全威胁
在评估过程中,测评人员需要检查存在的安全威胁,包括:潜在的未保护的登录,是否使用加密数据传输,是否可以阻止恶意程序和未经授权的篡改,是否对密码存储采用安全管理等。
5、整体安全评估
针对上述测评内容,在完成评估后,测评人员会将所有安全评估信息汇总整理,包括评估的重要文件、任务、对象的结果,安全性和操作的结果以及可能的优化建议等内容,充分了解系统的安全性、可靠性和功能性,并做出有建议性的修改意见。
6、最终报告
将最终测评结果汇总入报告,有效地展示信息系统密码应用的安全情况,提供系统安全保护实施的参考和建议,及时进行解决或改进,最大限度地抵御各类安全威胁,保护系统安全。