等级保护测评相关知识分享 北京网咖信息技术有限公司.pptVIP

* * * * * * * * * * * * * * * * * * * * * 等级保护测评相关知识分享 为什么要进行测评？ 政策要求 信息安全等级保护管理办法（公通字[2007]43号)第十四条：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。 中央财政资金电子政务建设项目建设单位向审批部门提出项目竣工验收申请时，要提供备案证明、测评报告风、险评估报告。(发改高技[2008]:2071号) 内部需求 确定当前安全保护能力水平 找出差距，为后续工作提供依据 等级保护测评职责分工 国家信息安全等级保护协调小组办公室负责隶属国家信息安全职能部门和重点行业测评机构受理 各省等保办负责本省测评机构的受理 公安部信息安全等级保护评估中心负责测评机构的能力评估和培训 等级保护测评机构业务职能 国字头、职能部门测评机构可全国范围内开展业务，到地方时应事先告知属地等保办。 行业测评机构，原则上开展本行业测评，到地方时，应与属地省级等保办协调 地方测评机构原则上本地开展测评，也可到异地开展测评工作，但需事先与当地等保办协调 /webdev/web/LevelTestOrgAction.do?p=nlbdLv3id=402885cb35d11a540135d168e41e000c 测评机构查询网址如下： 等级保护测评机构的业务范围 可以开展的业务 等级保护测评 等级保护整改方案的设计 不允许开展的业务 生产安全产品 承担安全项目的集成、实施 系统等级组合差异 安全等级 信息系统保护要求的组合 第一级 S1A1G1 第二级 S1A2G2，S2A2G2，S2A1G2 第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4 业务信息安全类（S） 系统服务保障类（A） 通用安全保护类（G） 测评时应明确具体级别组合 等级保护测评相关标准 信息系统安全等级保护基本要求 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 等级保护基本要求 安全要求类 层面 一级 二级 三级 四级 技术要求 物理安全 9 19 32 33 网络安全 9 18 33 32 主机安全 6 19 32 36 应用安全 7 19 31 36 数据安全及备份恢复 2 4 8 11 管理要求 安全管理制度 3 7 11 14 安全管理机构 4 9 20 20 人员安全管理 7 11 16 18 系统建设管理 20 28 45 48 系统运维管理 18 41 62 70 合计 / 85 175 290 318 级差 / / 90 115 28 等级保护基本要求的核心 基本要求的核心是安全保护能力。即需要达到的基本安全状态。安全保护能力可分为对抗能力和恢复能力。 等级保护测评测评的重点就是信息系统的安全保护能力 安全保护能力要求 第一级安全保护能力(自主) 经过安全建设整改，信息系统具有抵御一般性攻击的能力，防范常见计算机病毒和恶意代码危害的能力；系统遭到损害后，具有恢复系统主要功能的能力。 第二级安全保护能力（指导） 经过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。 安全保护能力要求 第三级安全保护能力（监督） 经过安全建设整改，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力 以上定义来自《信息安全等级保护安全建设整改工作指南》 等级保护测评内容 单元测评 测评指标（依照基本要求） 测评实施（描述测评过程中使用的具体测评方法、涉及的测评对象） 结果判定（分为符合、不符合、部分符合、不适用） 整体测评 单元测评的基础上，通过进一步分析信息系统的整体安全性，对信息系统实施的综合安全测评 等级保护测评方法 三种基本测评方法： 访谈Interview 检查Examine 测试Test 等级保护测评方法----访谈 访谈的对象是人员。 典型的访谈包括：访谈