收藏
下载资源 加入VIP免费专享

等级保护测评讲解ppt课件.ppt

上传人:小飞机 文档编号:2107528 上传时间:2023-01-11 格式:PPT 页数:43 大小:1.12MB
返回 下载 相关 举报
等级保护测评讲解ppt课件.ppt_第1页
第1页 / 共43页
等级保护测评讲解ppt课件.ppt_第2页
第2页 / 共43页
等级保护测评讲解ppt课件.ppt_第3页
第3页 / 共43页
等级保护测评讲解ppt课件.ppt_第4页
第4页 / 共43页
等级保护测评讲解ppt课件.ppt_第5页
第5页 / 共43页
点击查看更多>>
资源描述

《等级保护测评讲解ppt课件.ppt》由会员分享,可在线阅读,更多相关《等级保护测评讲解ppt课件.ppt(43页珍藏版)》请在三一办公上搜索。

1、等级保护测评介绍,于海翔,2,主要内容,1.等级保护测评目的2.等级保护测评依据3.等级保护测评原则,等级保护测评简介,1.等级保护测评目的2.等级保护测评依据3.等级保护测评原则,等级保护测评简介,5,等级保护测评目的,对信息系统安全防护体系能力的分析与确认,发现存在的安全隐患,帮助运营使用单位认识不足,及时改进,有效提升其信息安全防护水平;,等级保护测评的主要目的是:,遵循国家等级保护有关规定的要求,对信息系统安全建设进行符合性测评;,1.等级保护测评目的2.等级保护测评依据3.等级保护测评原则,等级保护测评简介,7,等级保护测评依据,1.信息系统建设完成后,运营、使用单位或者其主管部门应

2、当选择符合本办法规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评;2.第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评;3.信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查;4.经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改,信息安全等

3、级保护管理办法(公通字200743号),8,等级保护测评依据,GB17859-1999 计算机信息系统安全保护等级划分准则,GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求,GB/T 20008-2005 信息安全技术 操作系统安全测评准则GB/T 20009-2005 信息安全技术 数据库管理系统安全测评准则GB/T 20010-2005 信息安全技术 包过滤防火墙测评准则GB/T 20011-2005 信息安全技术 路由器安全测评准则,相 关 标 准,测评主要标准,参考技术标准,GB/TXXXX-XXXX信息安全技术信息系统安全等级保护测评要求(报批稿),GB/T24

4、856-2009信息安全技术 信息系统等级保护安全设计技术要求,1.等级保护测评目的2.等级保护测评依据3.等级保护测评原则,等级保护测评简介,10,等级保护测评原则,标准性原则,测评工作的开展、方案的设计和具体实施均需依据我国等级保护的相关标准进行。,11,等级保护测评原则,标准性原则,规范性原则,为用户提供规范的服务,工作中的过程和文档需具有 良好的规范性,可以便于项目的跟踪和控制。,12,等级保护测评原则,标准性原则,可控性原则,规范性原则,为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制,测评过程和所使用的工具具备可控性,测评项目所采用的工具都经过多

5、次测评项目考验,或者是根据具体要求和组织的具体网络特点定制的,具有良好的可控性。,13,等级保护测评原则,标准性原则,可控性原则,整体性原则,规范性原则,为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制,测评服务从组织的实际需求出发,从业务角度进行测评,而不是局限于网络、主机等单个的安全层面,涉及到安全管理和业务运营,保障整体性和全面性。,14,等级保护测评原则,标准性原则,可控性原则,整体性原则,最小影响原则,规范性原则,为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制,测评工作具备充分的计划性,不对现有的运行和业务的正

6、常提供产生显著影响,尽可能小地影响系统和网络的正常运行。,15,等级保护测评原则,标准性原则,可控性原则,整体性原则,最小影响原则,规范性原则,保密性原则,从公司、人员、过程三个方面进行保密控制:1.测评公司与甲方双方签署保密协议,不得利用测评中的任何数据进行其他有损甲方利益的活动;2.人员保密,公司内部签订保密协议;3.在测评过程中对测评数据严格保密。,16,等级保护测评原则,标准性原则,可控性原则,整体性原则,最小影响原则,规范性原则,保密性原则,根据被测信息系统的实际业务需求、功能需求、以及对应的安全建设情况,开展针对性较强的测评工作。,个性化原则,17,主要内容,18,等级保护测评内容

7、,19,主要内容,20,等级保护测评流程,进行培训交流,前期沟通,制定计划与培训,确定项目范围和目标,提出工作限制要求,项目进度安排,确定项目协调会制度,21,等级保护测评流程,基本信息调查,前期沟通,制定计划与培训,前期客户沟通交流,小组讨论,文档查看,现场勘查,收集资料,基本信息,业务应用,网络结构,系统构成,22,等级保护测评流程,确定测评范围,前期沟通,制定计划与培训,获得被测评系统的信息,确定具体测评对象,确定测评工作的方法,制定测评工作计划,收集资料,测评规划,形成测评指标,制定测评方案,23,等级保护测评流程,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,等级测评实施,

8、物理安全,网络安全,主机安全,应用安全,数据安全及备份恢复,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,访 谈,检 查,测 试,24,等级保护测评流程,判断安全管理与测评指标的符合度,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,等级测评实施,分析系统差距,判断安全技术与测评指标的符合度,25,等级保护测评流程,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,等级测评实施,分析系统差距,形成报告,编制安全测评报告,26,等级保护测评流程-各阶段提交物,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,形成报告,1 本报告模板针对作为单一定级对象

9、的信息系统制定。,被测系统基本信息采集表,27,等级保护测评流程-各阶段提交物,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,形成报告,1 本报告模板针对作为单一定级对象的信息系统制定。,业务应用软件统计表,关键数据类别统计表,主机/存储设备统计表,28,等级保护测评流程-各阶段提交物,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,形成报告,网络互联及安全设备统计表,安全相关人员统计表,安全管理文档统计表,威胁统计表,29,等级保护测评流程-各阶段提交物,前期沟通,制定计划与培训,收集资料,测评规划,测评实施,形成报告,测评工作计划,测评方案,30,等级保护测评流程-各阶段

10、提交物,前期沟通,测评实施,形成报告,等级测评实施,分析系统差距,现场测评结果记录表,31,等级保护测评流程-各阶段提交物,前期沟通,测评实施,形成报告,等级测评实施,分析系统差距,单元测评结果汇总表,32,等级保护测评流程-各阶段提交物,前期沟通,测评实施,形成报告,编制安全测评报告,测评结果统计表,33,等级保护测评流程-各阶段提交物,前期沟通,测评实施,形成报告,编制安全测评报告,测评结果统计表,34,等级保护测评流程-各阶段提交物,前期沟通,测评实施,形成报告,制定安全测评报告,安全测评报告,35,主要内容,等级保护测评方式、技术和工具,访谈是测评人员通过与信息系统有关人员(个人/群体

11、)进行交流、讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。在访谈的广度上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样;在访谈的深度上,应较全面,需包含通用和高级的问题以及一些有难度和探索性的问题。,等级保护测评方式、技术和工具,检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。在检查的广度上,应基本覆盖所有的对象种类(文档、机制等),数量上可以抽样;在检查的深度上,应较为全面,要有详细、彻底的分析、观察和研究。,等级保护测评方式、技术和工具,测试是指测评人员通过对测评对象按照预定的方法/工具使其产

12、生特定的响应等活动,查看、分析响应输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。在测试的广度上,应基本覆盖不同类型的机制,在数量、范围上可以抽样;在测试的深度上,应执行安全测试和渗透测试,安全测试可能涉及机制的功能规范、高级设计和操作规程等文档,渗透测试可能涉及机制的所有可用文档,并试图智取进入信息系统。,等级保护测评方式、技术和工具,网络扫描,网络扫描用于本地或远程检测系统可能存在的弱点。弱点扫描工具(Scanner)是一个或一组自动化工具,使用弱点扫描工具能够高效率地收集业务系统的信息。例如,一个网络端口扫描工具可以快速识别大量主机开放的服务,获得业务系统所涉及的每个

13、IT 设备的运行状态。网络扫描遵循扫描时间段选择、单点试扫、主备分开等原则。扫描结束后,提交经过分析的扫描报告,以及扫描原始报告。,等级保护测评方式、技术和工具,网络扫描,渗透测试利用人工模拟黑客攻击方式发现网络、系统的弱点。需要注意,渗透测试的风险较其它几种手段要大得多,在实际测评中需要斟酌使用。,渗透测试,等级保护测评方式、技术和工具,网络扫描,系统分析主要指网络结构和边界分析,它是测评中对业务系统安全性进行全面了解的基础。一个业务系统的网络结构是整个业务系统的承载基础,及时发现网络结构存在的安全性、网络负载问题,网络设备存在的安全性,抗攻击的问题是整个业务系统测评的重要环节。对测评对象的物理网络结构,逻辑网络结构及网络的关键设备进行测评(基本信息包括网络带宽、协议、硬件、Internet 接入、地理分布方式和网络管理),发现存在的安全性,合理性,使用效率等方面的问题。结合业务体系、系统体系等结构的检查逻辑网络,由什么物理网络组成以及网络的关键设备的位置所在对于保持网络的安全是非常重要的。,渗透测试,系统分析,等级保护测评方式、技术和工具,网络扫描,测评人员的经验积累、技术实力同样是等级保护测评的重要因素。,渗透测试,系统分析,人员经验,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号