信息安全等级保护测评项目实施方法.docx

信息安全等级保护测评项目实施方法 一、实施流程 二、测评工具 2.1 调查问卷 调查问卷是现场核查的方法之一。调查问卷根据本规范制定，其调查内容应 涵盖被测信息系统的各个方面，利用调查问卷对系统安全技术、安全管理措施等 进行逐项审核，将调查结果记录在相应的问卷上，供现场核查分析之用。 2.2 系统安全性技术检查工具 典型的系统安全性技术检查工具有以下几种： Web 应用安全扫描器：主要扫描 Web 应用安全中存在的危险函数调用、软件陷门； 基于主机的扫描器：检测主机操作系统中与系统密切相关的安装配置问题及其他系统目标的安全策略漏洞情况； 基于网络的扫描器：通过网络扫描确定系统的状态及收集信息，判断网络中是否存在安全隐患。 例如操作系统类型、开放的端口及服务、安全漏洞及木马程序等。检测范围 包括所有的信息系 设备：服务器、防火墙、交换机、路由器等网络中所有设备； 网络协议分析仪：分析信息系统传输数据流，检测信息系统异常现象； 入侵检测工具：分析系统外部或内部的入侵行为及其行为特征（根据用户需求）； 其它检查工具。 2.3 测评工具使用原则 根据信息系统安全要求配置测评工具，选择适用的、针对性强的测评工具； 应优先选用性能较好，由国内开发的测评工具或经过测评认证确认安全的测评工具； 对已经投入运行的系统不得使用攻击性测试工具，防止系统崩溃造成不必要的损失； 使用攻击性测试工具要经过被测评用户授权。 三、测评方法 图 6.1 测评流程 在整个项目过程中，我中心将在不同阶段派遣不同人员参与项目，主要包括以下几个角色： 管理人员，项目启动会、计划、监督、协调组织项目验收等管理性工作。 安全工程师，会议、座谈、现场走访、问卷调查、调查和收集现有单位相关材料。 咨询师，交流安全需求、安全策略分析、网络规划、安全建议。 攻防人员，使用专业工具进行技术类指标的评定，对指标验证后提出建议。 文档人员，整理文档、书写报告。