金盾等级保护服务手册..doc

公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心(以下简称为评估中心)成立于2003年7月28日，是依托公安部第三研究所，由国家信息安全主管部门为建立信息安全等级保护制度，构建国家信息安全保障体系而专门批准成立的专业技术支撑机构。评估中心的主要任务：一是按照国家信息安全等级保护的要求，依据信息安全等级保护的相关标准和规范，为国家管理部门在推进信息安全等级保护工作过程中的监督、检查、指导等行政执法工作提供专业技术支持；二是对国家基础网络和重点信息系统的安全保护状况进行权威测评并提出改进建议；三是作为国家实行信息安全等级保护制度的骨干技术支撑单位，负责全国信息安全等级测评体系和技术支撑体系建设的技术管理及技术指导。 评估中心自成立以来，积极参与国家信息安全等级保护管理规范制定以及信息安全等级保护行政执法体系建设；承担国家信息安全等级保护标准体系设计和重要技术标准的编制及宣贯；作为国家信息安全专控队伍之一，积极配合主管部门的各项信息安全检查工作，开展针对重点领域、重要行业信息系统的安全评估和等级测评，截至目前为止,已先后完成了上百个重要系统的信息安全等级测评。等级保护概念 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 信息安全等级保护是国家信息安全保障工作的基本制度、基本国策，是开展信息安全工作的基本方法，是促进信息化、维护国家信息安全的根本保障。 等级保护工作依据 《中华人民共和国计算机信息系统安全保护条例》 《国家信息化领导小组关于加强信息安全保障工作的意见》 《关于信息安全等级保护工作的实施意见》 《信息安全等级保护管理办法》 《信息安全技术 信息系统安全等级保护实施指南》 《信息安全技术 信息系统安全等级保护定级指南》 《信息安全技术 信息系统安全等级保护基本要求》 《信息安全技术 信息系统安全等级保护测评要求》 《信息安全技术 信息系统安全等级保护测评过程指南》 《计算机信息系统安全保护等级划分准则》 等级保护工作流程 等级保护咨询服务 等级保护测评服务 建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。天创科技提供的测评服务将协助用户完成等级保护测评工作。 5.1等级测评概述 对信息安全等级保护状况进行测评，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。 对安全控制测评的描述，使用测评单元方式组织。测评单元分为安全技术测评和安全管理测评两大类。安全技术测评包括：：物理安全、网络安全、主机安全、应用安全和数据安全五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。具体见下图： 5.2等级测评方法与工具 主要采用访谈、检查、测试等方法进行等级保护测评： 访谈Interview 测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息安全等级保护措施是否有效的一种方法。使用各类调查问卷和访谈大纲。 检查Examine 不同于行政执法意义上的监督检查，是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息安全等级保护措施是否有效的一种方法。可以使用各种检查表和相应的安全调查工具。 测试Test 测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动，查看、分析输出结果，获取证据以证明信息安全等级保护措施是否有效的一种方法。包括功能测试和渗透性测试、系统漏洞扫描等。 渗透性测试：等级保护的一个重要内容是对TOE进行脆弱性分析，探知产品或系统安全脆弱性的存在，其主要目的是确定TOE能够抵抗具有不同等级攻击潜能的攻击者发起的穿透性攻击。因此，渗透性测试就是在TOE预期使用环境下进行的测试，以确定TOE中潜在的脆弱性的可利用程度。 系统漏洞扫描：主要是利用扫描工具对系统进行自动检查，根据漏洞库的描述对系统进行模拟攻击测试，如果系统被成功入侵，说明存在漏洞。主要分为网络漏洞扫描和主机漏洞扫描等方式。 5.3等级测评流程 信息安全等级保护测评过程包括四个阶段： 测评申请阶段 被测单位向测评机构提出测评申请，测评机构对被测单位的申请材料进行审查，在双方达成共识的情况下，双方签订保密协议、委托书、合同。 测评准备阶段 测评机构成立项目组，工作人员至待测评单位了解待测评系统相关信息，编写信息系统业务调查报告，信