等保測評介紹
信息系統安全等級保護測評是指測評機構依據國家信息安全等級保護制度規定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级保护测评是标准符合性评判活动,即依据信息安全等级保护的国家标准或行业标准,按照特定方法对信息系统的安全防护能力进行科学公正的综合评判过程。
政策依據
《中华人民共和国计算机信息系统安全保护条例》([1994]国务院令第147号)
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
《信息安全等级保护备案实施细则》(公信安[2007]1360号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)
《信息安全等级保护管理办法》(公通字[2007]43号)
《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)
技術標準
GB/T 28448-2012《信息系统安全等级保护测评要求》
GB/T 28449-2012《信息系统安全等级保护测评过程指南》
GB/T 25058-2010《信息系统安全等级保护实施指南》
GB/T 25070-2010《信息系统等级保护安全设计技术要求》
GB/T 22240-2008《信息系统安全等级保护定级指南》
GB/T 22239-2008《信息系统安全等级保护基本要求》
GB 17859-1999《计算机信息系统安全保护等级划分准则》
測評過程
等級測評過程分爲四個基本測評活動:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
測評準備活動介紹
本活動是開展等級測評工作的前提和基礎,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,为实施测评做好文档及测试工具等方面的准备。
方案編制活動介紹
本活動是開展等級測評工作的關鍵活動,为现场测评提供最基本的文档和指导方案。本活动的主要任务是开发与被测信息系统相适应的测评内容、测评实施手册等,形成测评方案。
現場測評活動介紹
本活動是開展等級測評工作的核心活動。本活动的主要任务是按照测评方案的总体要求,严格执行测评实施手册,分步实施所有测评项目,包括单项测评和系统整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
分析與報告編制活動介紹
本活動是給出等級測評工作結果的活動,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和GB/T 22239-2008的有关要求,通过单项测评结果判定和系统整体测评分析等方法,分析整个系统的安全保护现状与相应等级的保护要求之间的差距,综合评价被测信息系统保护状况,并形成测评报告文本。
測評方法
測評方法一般包括訪談、文档审查、配置检查、工具测试和实地察看五个方面。
A)访谈
測評人員與被測系統有關人員(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
B)文档审查
1)检查GB/T 22239-2008中规定的必须具有的制度、策略、操作规程等文档是否齐备。
2)检查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。
3)对上述文档进行审核与分析,检查他们的完整性和这些文件之间的内部一致性。
C)配置检查
1)根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。
2)如果系统在输入无效命令时不能完成其功能,将要对其进行错误测试。
3)针对网络连接,应对连接规则进行验证。
D)工具测试
任務描述:
1)根据测评方案,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。
2)备份测试结果。
E)实地察看
任務描述:
根據被測系統的實際情況,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。