信息系统安全测评业务(客户版)新版…要点.ppt

* 关于信息系统的安全测评 上海市信息安全测评认证中心 * 目 录 1、测评简介 2、测评内容 3、测评方法 4、工作流程 * 1、测评简介（一）定义 系统安全测评是由具备检验技术能力和政府授权资格的权威机构，规范，按依据国家标准、行业标准、地方标准或相关技术照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动。 * 系统安全测评旨在为以前没有安全保障或安全保障体系不完善的系统（网络）提供改进服务，从而降低系统的安全风险。 测评程序能确保系统的安全风险降低到国家标准规定和公众可接受的水平，达到测评要求的信息系统只是达到了国家规定的管理及控制安全风险的能力，并不表明该系统完全消除了安全风险。 * （二）授权资质 经中国合格评定国家认可委员会(CNAS）的实验室认可（L0754）和检查机构认可（IB0039），上海测评中心具备对信息系统进行安全测评的资质 。 经上海市信息化委员会授权，上海测评中心对本市政务、金融、媒体、证券等关系国计民生的公共信息系统开展安全测评。 * 经国家保密局涉密信息系统安全保密测评中心和上海市国家保密局授权，上海测评中心可对本市各类涉密系统实施安全保密测评。 此外，上海测评中心还获得了中国信息安全产品测评认证中心对安全产品的测评认证授权、国家密码管理局在华东地区商密产品质量检测的授权资质。 * （三） 测评依据 政策法规依据： 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号文） －－“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。” 上海市人民政府 第58号令 《上海市公共信息系统安全测评管理办法》[2006] －－“上海市信息安全测评认证中心作为本市专门从事信息安全测评认证机构，具体负责本市公共信息系统安全测评工作 。 ” * 技术标准依据： GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》（CC） ISO/IEC 17799-2000《Information technology – Code of practice for information security management》（GB/T 19716-2005 信息技术 信息安全管理实用规则 ） DB31/T 272-2002《计算机信息系统安全测评通用技术规范》 * 2、测评内容 2.1 物理安全 2.2 网络安全 2.3 主机安全 2.4 应用安全 2.5 数据安全 2.6 管理体系 * 2.1 物理安全 物理安全的测评主要包括机房环境安全、硬件设施物理安全等方面的内容 。 机房环境安全：具体内容见GB9361－1988《计算站场地安全要求》、GB50174－1993《电子计算机机房设计规范》、GB2887－2000《计算站场地技术条件》。 硬件设施物理安全：包括设备防盗、防毁、介质存放、防电磁信息辐射泄漏（TEMPEST）、防止线路截获、电磁兼容能力（EMC）、抗电磁干扰（EMI）及电源保护、零部件的选购和使用等。设备的EMI能力应符合GB9254－1998《信息技术设备的无线电干扰极限值和测量方法》等要求。 * 2.2 网络安全 网络安全测评包括网络结构、访问控制、安全审计、边界完整性、入侵防范、网络设备防护等的安全测评 。 网络结构: 系统与外部网络的隔离与交换：分析内部网络与外部之间访问控制设备和逻辑隔离设备的配置情况 系统内部网络结构的安全：内部核心交换机和防火墙的访问控制的配置。 网络设备防护：对路由器、交换机、代理服务器等网络设备及防火墙、VPN、入侵检测等安全设备的安全配置及安全管理 。 * 2.3 主机安全 主机安全测评包括身份鉴别 、访问控制 、安全审计 、入侵防范、病毒防范、系统资源控制等的安全测评 。 主要对象包括对 操作系统 数据库 中间件及通用软件（如Websphere、FTP Server、E-Mail Server、DNS Server、Web Server等 ） 等内容的安全配置和脆弱性进行测评。 * 2.4 应用安全 应用平台的安全测评包括身份鉴别、访问控制、安全审计、软件容错、资源控制等。 不同类别应用系统的安全功能要求不尽相同，测评内容视系统实际情况确定。 * 2.5 数据安全 数据安全的测评指系统内信息生成、处理、传输和存储等环节在保密性、完整性、可用性等系