信息系统安全测评业务介绍客户版新版.pptVIP

1 关于信息系统的安全测评 上海市信息安全测评认证中心 2 目 录 1 、测评简介 2 、测评内容 3 、测评方法 4 、工作流程 3 1 、测评简介 （一）定义 系统安全测评是由具备 检验技术能力和 政府授权资格 的权威机构，规范，按依 据国家标准、行业标准、地方标准或相 关技术照严格程序对信息系统的安全保 障能力进行的科学公正的综合测试评估 活动。 4 ? 系统安全测评旨在为以前没有安全保障或 安全保障体系不完善的系统（网络）提供改 进服务，从而降低系统的安全风险。 ? 测评程序能确保系统的安全风险降低到国 家标准规定和公众可接受的水平，达到测评 要求的信息系统只是达到了国家规定的管理 及控制安全风险的能力，并不表明该系统完 全消除了安全风险。 5 （二）授权资质 ? 经中国合格评定国家认可委员会 (CNAS ）的实 验室认可（ L0754 ）和检查机构认可（ IB0039 ）， 上海测评中心具备对信息系统进行安全测评的 资质 。 ? 经 上海市信息化委员会授权，上海测评中心对 本市政务、金融、媒体、证券等关系国计民生 的公共信息系统开展安全测评。 6 ? 经国家保密局涉密信息系统安全保密测评中心 和上海市国家保密局授权，上海测评中心可对本 市各类涉密系统实施安全保密测评。 ? 此外，上海测评中心还获得了中国信息安全产品 测评认证中心对安全产品的测评认证授权、国家 密码管理局在华东地区商密产品质量检测的授权 资质。 7 （三） 测评依据 政策法规依据： ? 《国家信息化领导小组关于加强信息安全保障工 作的意见》（中办发 [2003]27 号文） －－“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱 环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度 和面临的信息安全风险等因素，进行相应等级的安全建设和管理。” ? 上海市人民政府 第 58 号令 《上海市公共信息系统 安全测评管理办法》 [2006] －－“上海市信息安全测评认证中心作为本市专门从事信息安全测评认证机构， 具体负责本市公共信息系统安全测评工作 。 ” 8 技术标准依据： ? GB/T 18336-2001 《信息技术 安全技术 信息 技术安全性评估准则》（ CC ） ? ISO/IEC 17799-2000 《 Information technology – Code of practice for information security management 》 （ GB/T 19716-2005 信息技术 信息安 全管理实用规则 ） ? DB31/T 272-2002 《计算机信息系统安全测 评通用技术规范》 9 2 、测评内容 2.1 物理安全 2.2 网络安全 2.3 主机安全 2.4 应用安全 2.5 数据安全 2.6 管理体系 10 2.1 物理安全 物理安全的测评主要包括 机房环境安全、硬件设施物 理安全 等方面的内容 。 ? 机房环境安全： 具体内容见 GB9361 － 1988 《计算站场地安全 要求》、 GB50174 － 1993 《电子计算机机房设计规范》、 GB2887 － 2000 《计算站场地技术条件》。 ? 硬件设施物理安全： 包括设备防盗、防毁、介质存放、防电 磁信息辐射泄漏（ TEMPEST ）、防止线路截获、电磁兼容能 力（ EMC ）、抗电磁干扰（ EMI ）及电源保护、零部件的选 购和使用等。设备的 EMI 能力应符合 GB9254 － 1998 《信息技 术设备的无线电干扰极限值和测量方法》等要求。 11 2.2 网络安全 网络安全测评包括 网络结构、访问控制、安全审计、 边界完整性、入侵防范、网络设备防护等 的安全 测评 。 ? 网络结构 : ? 系统与外部网络的隔离与交换：分析内部网络与外部 之间访问控制设备和逻辑隔离设备的配置情况 ? 系统内部网络结构的安全：内部核心交换机和防火墙 的访问控制的配置。 ? 网络设备防护： 对路由器、交换机、代理服务器 等网络设备及防火墙、 VPN 、入侵检测等安全设 备的安全配置及安全管理 。 12 2.3 主机安全 主机安全测评包括 身份鉴别 、访问控制 、安全审计 、入 侵防范、病毒防范、系统资源控制等 的安全测评 。 主要对象包括对 ? 操作系统 ? 数据库 ? 中间件及通用软件（如 Websphere 、 FTP Server 、 E-Mail Server 、 DNS Server 、 Web Server 等 ） 等内容的安全配置和脆弱性进行测评。 13 2.4 应用安全 ? 应用平台的安全测评包括身份鉴别、访 问控制、安全审计、软件容错、资源控 制等。