等级化信息系统安全建设实验环境与.doc

信息系统等级测评 业务白皮书 电力行业等级保护测评中心华电卓识实验室 2009年 月目 录 第1章 信息系统等级测评 3 第2章 等级测评 4 2.1 测评目标 4 2.2 适用对象 4 2.3 测评依据 4 2.4 测评内容 5 2.5 测评流程 6 2.6 测评方法 7 2.7 测评成果 7 第3章 风险评估 8 3.1 评估目标 8 3.2 适用对象 8 3.3 评估依据 9 3.4 评估内容 9 3.5 评估流程 11 3.6 评估方法 11 3.7 评估成果 12 第4章 渗透测试 13 4.1 测试目标 13 4.2 适用对象 13 4.3 测试流程 14 4.4 测试工具 14 4.5 测试成果 15 第5章 方案咨询 16 5.1 服务目标 16 5.2 适用对象 16 5.3 服务内容 16 5.4 服务成果 17 信息系统等级测评 信息安全等级保护是我国信息安全领域的基本制度，在电力行业内开展等级保护工作，是提高电力行业网络与信息安全防护能力、保障电力行业网络与信息安全、促进电力行业信息化健康发展的重要举措。 在电监会领导下，电力行业内重点信息系统已经完成了等保定级备案的工作。根据等级保护的相关政策要求，信息系统在完成定级工作后，将依据等级保护标准开展系统的测评、整改、建设及运维工作，以保证信息系统达到安全等级所规定的技术要求和管理要求。等级测评是依据《信息系统安全等级保护测评要求》等技术标准，确定信息系统安全保护能力是否达到相应等级基本要求的过程，是落实信息安全等级保护制度的重要环节，为信息系统进行等级保护规划、设计、实施、运维提供全面的技术支持和监管保障，推动电力行业信息安全工作的全面、深入开展。 电力行业等级保护测评中心是公安部授权的电力行业唯一的信息安全等级保护测评中心，主要使命是电力企业重要信息系统的等级测评，为电力行业信息安全监管提供帮助。电力行业信息安全测评中心采取测试、评审分离的工作模式，严把评审关，测试则委托电力行业内具备等保测评资格的实验室，按照电力行业统一的电力行业等保实施细则、工作流程和指南等规范性文件开展工作。 华电卓识实验室是电力行业信息安全等级保护测评中心首批授权的测评实验室，是一家专职于电力行业信息安全等级测评的第三方专业机构，经过标准研究、工具探索、项目实践以及众多信息安全专家的反复论证，现已形成电力行业等级保护测评系统服务产品，包括： 1．等级测评 2. 风险评估 3. 渗透测试 4. 方案咨询 等级测评 测评目标 等保测评又可以称为等级符合性检验，是等级保护测评工作的核心环节，通过检测、评估信息系统安全状况，识别用户信息系统的安全保护能力与国家等级保护要求之间的安全等级差距，为信息系统的建设、整改、检查与监督工作提供依据。 适用对象 按照国家等级保护要求，《信息安全等级保护管理办法》（公通字[2003]43号报告 测评方法 等保测评涉及三种基本测评工作方式：访谈、检查和测试。 访谈 是测评人员通过与信息系统有关人员进行交流、讨论等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。管理上的要求主要使用访谈方法进行测评。 检查 是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。检查的范围一般要覆盖测评项中所有要求的内容。 测试 是测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看、分析这些行为的结果，获取证据以证明信息系统安全保护措施是否有效的一种方法。测试方法主要用于验证信息系统当前的、具体的安全机制以及运行的配置和实现情况的有效性或安全强度。 测评成果 通过等保测评服务可以判定信息系统的安全状态是否符合等级保护相应等级的安全要求，是否达到了与其安全等级相适应的安全防护能力。通过对信息系统等级符合性检验，最终出具等级测评报告，可以帮助用户发现信息系统的安全防护能力与国家等级保护要求之间的差距，指导用户下一步的具体安全建设、整改工作，最终使系统达到国家等级保护的相关要求，避免相关安全风险事件的发生。 输出成果：《信息系统安全等级测评报告》 风险评估 评估目标 风险评估服务是通过对信息资产的识别与赋值、威胁评估、系统脆弱点评估、现有安全措施评估、综合风险分析等若干环节，对信息系统的安全风险进行半定量分析，清晰的展现信息系统当前的安全现状，提供公正、客观、翔实的数据作为决策参考，为下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。 等级保护是一项信息系统防护的制度。测评《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目