(精选)网络与信息安全测评　课件课件.ppt

测评报告编制过程管理内容 项目工作内容 工作详细任务 工作依据（模版) 实施周期 1.单项测评结果判定 分析测评项所对抗威胁的存在情况 等级测评报告的单项测评结果部分 五天 分析单个测评项是否有多方面的要求内容，依据“优势证据”法选择优势证据，并将优势证据与预期测评结果相比较 综合判定单个测评项的测评结果 2.单元测评结果判定 汇总每个测评对象在每个测评单元的单项测评结果 等级测评报告的单项测评结果汇总分析部分 判定每个测评对象的单元测评结果 3.整体测评 分析不符合和部分符合的测评项与其他测评项（包括单元内、层面间、区域间）之间的关联关系及对结果的影响情况 等级测评报告的系统整体测评分析部分 分析被测系统整体结构的安全性对结果的影响情况 4.风险分析 整体测评后的单项测评结果再次汇总 等级测评报告的风险分析部分 分析部分符合项或不符合项所产生的安全问题被威胁利用的可能性 分析威胁利用安全问题后造成的影响程度 为被测系统面临的风险惊醒赋值 评价风险分析结果 5.等级测评结论形成 统计再次汇总后的单项测评结果为部分符合和不符合项的项数 等级测评报告的等级测评结论部分 形成等级测评结论 6.测评报告编制 概述测评项目情况 等级测评报告提交用户 两天 描述被测系统情况 描述测评范围和方法 描述整体测评情况 汇总测评结果 描述风险情况 给出等级测评结论和整改建议 等级测评报告 单项与单元测评 序号 测评对象 测评指标 测评指标1 测评指标2 测评指标3 1 对象1 ?（或×） 符合项数/在对象1上测评的测评指标1包含的测评项总数 2 对象2 3 对象3 小 计 符合项数/在上述对象上测评的测评指标1包含的测评项总数 注：“?”表示“符合”，“?”表示部分符合，“×”表示“不符合”，“N/A”表示“不适用”。 整体测评 整体测评 序号 安全控制 测评对象 单项判定 不符合项 能否进行关联互补 说明 1 测评指标1 对象1 对象2 。。。 2 测评指标1 对象1 。。。 。。。 。。。 。。。 项 目 小 计 测评结果汇总  序号 安全分类 安全子类 符合情况 符合 部分符合 不符合 1 物理安全 物理位置的选择 ü 2 物理访问控制 ü 3 防盗窃和防破坏 ü 4 防雷击 ü 5 防火 ü 6 防水和防潮 ü 7 防静电 ü 8 温湿度控制 ü 9 电力供应 ü 10 电磁防护 ü … … … … … … 统计 7 2 1 风险分析 序号 问题描述 关联资产 关联威胁 风险值 风险评价 一 二 三 …  重点针对单项测评中的不符合项进行风险分析 测评结论  测评结论 判别依据 符合 等级测评结果中不存在部分符合项或不符合项 基本符合 等级测评结果中存在部分符合项或不符合项，但不会导致信息系统面临高等级安全风险 不符合 等级测评结果中存在部分符合项或不符合项，导致信息系统面临高等级安全风险 帮助用户单位准确了解信息系统安全现状,识别安全风险； 在安全事故发生之前避免、减少或转移风险，确保系统安全； 为用户信息安全决策和管理，包括进一步的安全规划、建设、运维提供依据； 满足国家信息安全相关政策、法规和标准的要求。 3.2 信息安全风险评估 目标和作用 风险评估的发展 风险产生的原因 风险评估要素 风险评估内容 问卷调查 人员访谈 文档审查 …… 配置检查 现场核查 安全漏洞检查 渗透性测试 …… 　管理核查 技术测试 风险评估手段 风险评估流程 现状调研阶段 调研项目 调研重点关注内容 调研成果 机房环境调研 机房进出登记记录，机柜上锁，显示器锁屏，线缆编号，机柜前后距离 《机房资产调研表》 网络资产调研 依据甲方提供的网络资产清单表与拓扑核实网络设备物理位置与逻辑连接 《网络资产调研表》 主机资产调研 依据甲方提供的主机资产清单表核实主机设备物理位置与逻辑连接 《主机资产调研表》 应用业务调研 业务内容，应用情况，使用现状，物理及逻辑连接 《应用资产调研表》 管理制度调研 人员访谈的方式完成各问卷的调研工作，核查用户管理制度文档，列出管理制度文档主机目录结构 《管理核查问卷》《技术核查问卷》《人员资产调研表》《网络整体安全评估表》《服务器整体安全评估表》 现场评估阶段 评估项目 评估重点工作内容与工作方式 调研成果 主机配置检查 依据主机配置评估表与操作手册，结合利用主机配置提取脚本完成主机系统的评估（系统配置抓图与脚本工具配置提取） 《主机评估表单》 《重要问题列表》 网络配置检查 依据甲方提供的设备配置文档，利用网络设备评估表分析设备安全状况 （安全设备配置抓图） 《网络设备评估表单》 《重要问题列表》 系统漏洞扫描 对主机系统实施现