等级保护测评(第八期).pptVIP

* 本标准适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。 * 本标准适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。 * 本标准适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。 * 本标准适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。 * 本标准适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。 * 第三部分 等级保护测评项目管理 第三部分 等级保护测评项目管理（1）等级保护测评过程分析（2）等级保护测评工作准备（3）等级保护测评案例分析（4）等级保护测评中常见问题 第三部分 等级保护测评项目管理（3）等级保护测评案例分析 3.3.1等级保护被测评系统说明 (1)某公司（简称“AAA”）用电信息系统承载着该公司的电力营销业务，由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成，是一个安全等级为三级的信息系统。 (2)现场测评时间为X年X月X日至X年X月X日，现场测评小组分为管理组（2人）和技术组（4人）两组，分别完成安全管理和安全技术方面的测评。 3.3.2等级保护被测评系统说明(2) (3)被测系统为承载着AAA公司电力营销业务，是AAA公司的重要信息系统，其安全等级定为三级（S3A2G3）。 (4)被测系统由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成.对外有可以为大客户单位、internet网、拨号用户等提供电费数据查询、交纳、业务扩充、投诉等服务的功能模块。数据存储功能区位于屏蔽机房，其它功能区域位于中心机房。 3.3.3测评对象 根据用电信息系统的实际情况，分别确定物理安全、网络安全、主机系统安全、应用安全等各层面的测评对象。 物理方面主要是测评屏蔽机房和主机房。 网络方面主要测评的设备有：路由器、交换机、防火墙、IDS、外联检测、防病毒等 。 3.3.4测评对象（2） 主机方面主要测评的主机服务器（包括数据库服务器） 。 3.3.5测评对象（3） 应用方面主要测评的应用系统 。 3.3.6测评对象（4） 安全管理，主要测评对象为与信息安全管理有关的策略、制度、操作规程、运行记录、管理人员、技术人员和相关设备设施等。 3.3.7测评指标选取 被测系统的定级结果为：安全保护等级为3级，业务信息安全等级为S3，系统服务安全等级为A2；则该系统的测评指标应包括GB/T 22239-2008“技术要求”中的3级通用指标类（G3），3级业务信息安全指标类（S3），2级系统服务安全指标类（A2），以及第3级“管理要求”中的所有指标类。 3.3.8测评工具和接入点 根据3级信息系统的测评强度要求，在测试的广度上，应基本覆盖不同类型的机制，在数量、范围上可以抽样；在测试的深度上，应执行功能测试和渗透测试，功能测试可能涉及机制的功能规范、高级设计和操作规程等文档，渗透测试可能涉及机制的所有可用文档，并试图智取进入信息系统等。因此，对其进行测评，应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具。 使用的测试工具主要有：网络漏洞扫描器、数据库安全扫描器、渗透测试工具集等。 3.3.9测评内容--物理安全 物理安全测评将通过访谈、文档审查和实地察看的方式测评信息系统的的物理安全保障情况。主要涉及对象为屏蔽机房和主机房。 3.3.10测评内容—网络安全 网络安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象。 3.3.11测评内容—主机安全 主机系统安全测评将通过访谈、配置检查和工具测试的方式测评主机系统安全保障情况。本次重点测评的操作系统包括各网站服务器、应用服务器和数据库服务器等的操作系统，数据库管理系统为数据库服务器Sybase。 。 3.3.12测评内容—应用安全和数据安全 应用安全测评将通过访谈、配置检查和工具测试的方式测评应用安全保障情况，主要涉及对象为用电信息系统、对外服务网站系统和远程客户服务系统。 3.3.13测评内容—安全管理部分 安全管理部分为全局性问题，涉及安全管理制度、安全管