3-信息安全等级保护技术概论（朱建平）.pptVIP

等级测评技术-整体测评（区域） 区域： 根据在信息系统保护中所提供的安全功能，可以把信息系统划分为一个或者多个不同的区域。每个区域内的安全功能即可以为本区域提供服务，也可以为其它区域提供服务，使信息系统在整体安全性上表现出分区域的集成特性。 例如，可以把信息系统分为内部计算环境、区域边界和外部通信网络三大类。而基于统一的安全策略对计算环境、区域边界和通信网络的安全机制实施统一管理的设备可以在内部计算环境内，也可以独立构成一个功能区，即安全管理区。 等级测评技术-整体测评（区域） 区域： 不同区域之间可能需要进行信息交换，为了进行信息交换，保证信息交换的安全，区域之间会产生连接、交互、依赖、协调、协同等相互关联关系，使得区域之间安全功能发生相互作用，进而相互影响。 不同区域之间相互作用会影响到区域的安全功能，可能使一个区域的安全功能得到增强、补充或依赖。 增强：两个区域发生关联关系后，一个区域已有的安全功能得到进一步增强，发挥更好的安全保护功能，具有更好的安全保护能力。 补充：两个区域发生关联关系后，一个区域原本没有的一部分安全功能，通过另一个区域的相互作用，得到补充，使其具备这些安全功能。 依赖：一个区域的安全功能依赖于另一个区域配合，才能发挥应有的作用。 等级测评技术-测评实例 区域间安全测评实例 实例：计算环境与安全管理区的测评分析 某定级信息系统的计算环境中包括三种业务，分别由三个独立的应用程序进行业务数据处理，三个应用程序都不提供身份鉴别功能，而由安全管理区的统一认证服务器提供统一的用户登录和身份认证。安全管理区提供的身份认证功能可以替代三个应用程序应用层面身份鉴别控制点的功能缺失。 等级测评技术- 风险分析 风险值 (高、中、低) 风险分析 （参考风险评估标准） 脆弱性 抵抗威胁能力缺失 综合评价 基本符合 被威胁利用后 的影响程度 被威胁利用的 可能性 不符合 结合信息系统的安全保护 等级对风险分析结果进行 评价，即对国家安全、社 会秩序、公共利益以及 公民、法人和其他组织的 合法权益造成的风险。 部分符合/不符合项 (存在安全隐患) 内容目录 (一) 等级测评概述 (二) 等级测评过程 (三) 等级测评技术 (四) 等级测评报告 * (四)等级测评报告 * 1．测评项目概述。描述本次测评的主要测评目的和依据，测评过程，报告分发范围。 2．被测信息系统情况。简要描述本次测评的被测系统情况，包括承载的业务情况、网络结构、系统构成情况（包括业务应用软件、关键数据类别、主机/存储设备、网络互联设备、安全设备、安全相关人员、安全管理文档、安全环境等）、前一次测评发现的主要问题和测评结论等。 3．等级测评范围与方法。描述本次测评的测评指标、测评对象选择方法及选中的测评对象、测评过程中用到的测评方法等。 (四)等级测评报告 * 4．单元测评。主要是针对测评指标，结合测评对象（网络设备、主机和业务应用系统等），分层面描述单元测评指标的符合情况，包括现场测评中获取的测评证据记录、结果汇总以及发现的问题分析等。 5．整体测评。针对单项测评结果的不符合项，从安全控制间、层面间、区域间和系统结构等方面对单元测评的结果进行验证、分析和整体评价。 6．测评结果汇总。以不同的表现形式汇总测评结果，包括单元测评结果汇总、不同设备和安全子类的测评结果汇总、安全问题汇总等。 (四)等级测评报告 * 7．风险分析和评价。分析等级测评结果中部分符合项和不符合项产生的安全问题可能对信息系统安全造成的影响以及风险情况。 8．等级测评结论和整改建议。综合上述几章的分析，给出等级测评结论和安全建设整改建议。信息系统等级测评结论分为符合、基本符合和不符合。如果等级测评过程中没有发现安全问题，全部测评项均为符合，则等级测评结论为符合，否则采用风险评估技术对等级测评中发现的安全问题进行风险分析和评价，给出可能的风险等级，风险等级分为高、中、低，如果没有风险等级为“高”的安全问题，则等级测评结论为基本符合，否则为不符合。 谢谢！ * * * * * * * * * * * 计量认证分为两级实施。一级为国家级，由国家认可认证监督管理委员会组织实施；一级为省级，由省级质量技术监督局负责组织实施，具体工作由计量认证办公室（计量处）承办；而实验室认可是一级管理，实施机构是中国合格评定国家认可委员会（CNAS）。 * * * * * * * * 等级测评中风险分析技术是一种辅助分析手段，确定信息系统存在的残余风险。通过分析等级测评结果中部分符合项和不符合项产生的安全问题可能对信息系统安全造成的影响以及风险情况，来确定信息系统可能存在的残余风险。 信息安全等级保护培训 信息安全等级保护技术概论 ------等级测评技术 公安