等級(jí)保護(hù)咨詢及評(píng)估-

等級(jí)保護(hù)咨詢及評(píng)估

服務(wù)概述
政策依據(jù)
技術(shù)標(biāo)準(zhǔn)
測(cè)評(píng)過(guò)程
測(cè)評(píng)方法

服務(wù)概述

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)未涉及國(guó)家秘密的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。等級(jí)保護(hù)測(cè)評(píng)是標(biāo)準(zhǔn)符合性評(píng)判活動(dòng)，即依據(jù)信息安全等級(jí)保護(hù)的國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)，按特定方法對(duì)信息系統(tǒng)安全防護(hù)能力進(jìn)行科學(xué)公正的綜合評(píng)判過(guò)程。

政策依據(jù)

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（[1994]國(guó)務(wù)院令第147號(hào)）

《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）

《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安[2007]1360號(hào)）

《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公通字[2007]861號(hào)）

《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）

《關(guān)于開展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》（公信安[2009]1429號(hào)）

《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)評(píng)工作的通知》（公信安[2010]303號(hào)

技術(shù)標(biāo)準(zhǔn)

GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》

GB/T 28448-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》

GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》

GB 17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分標(biāo)準(zhǔn)》

GB/T 28449-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》

GB/T 36627-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)評(píng)估技術(shù)指南》

測(cè)評(píng)過(guò)程

等級(jí)測(cè)評(píng)過(guò)程分為四個(gè)測(cè)評(píng)階段：

測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)及分析和報(bào)告編制測(cè)評(píng)雙方之間的溝通與洽談貫穿整個(gè)等級(jí)測(cè)評(píng)過(guò)程

測(cè)評(píng)準(zhǔn)備
本階段是開展等級(jí)測(cè)評(píng)工作的前提和基礎(chǔ)，是整個(gè)等級(jí)測(cè)評(píng)過(guò)程有效性的保證。測(cè)評(píng)準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本階段的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況，為實(shí)施測(cè)評(píng)做好文檔及測(cè)試工具等方面的準(zhǔn)備。
方案編制
本階段是開展等級(jí)測(cè)評(píng)工作的關(guān)鍵，為現(xiàn)場(chǎng)測(cè)評(píng)提供最基本的文檔和指導(dǎo)方案。本階段的主要任務(wù)是開發(fā)與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)內(nèi)容、測(cè)評(píng)實(shí)施手冊(cè)等，形成測(cè)評(píng)方案。
現(xiàn)場(chǎng)測(cè)評(píng)
本階段是開展等級(jí)測(cè)評(píng)工作的核心活動(dòng)。主要任務(wù)是依據(jù)測(cè)評(píng)方案的總體要求，嚴(yán)格執(zhí)行測(cè)評(píng)實(shí)施手冊(cè)，分步實(shí)施所有測(cè)評(píng)項(xiàng)目，包括單項(xiàng)測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題。
分析與報(bào)告編制
本階段是給出等級(jí)測(cè)評(píng)工作結(jié)果的活動(dòng)，是總結(jié)被測(cè)系統(tǒng)整體安全保護(hù)能力的綜合評(píng)價(jià)活動(dòng)。本階段的主要任務(wù)是根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果和GB/T 22239-2019的有關(guān)要求，通過(guò)單項(xiàng)測(cè)評(píng)結(jié)果判定和系統(tǒng)整體測(cè)評(píng)分析等方法，分析整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，綜合評(píng)價(jià)被測(cè)信息系統(tǒng)保護(hù)狀況，并形成測(cè)評(píng)報(bào)告文本。

測(cè)評(píng)方法

測(cè)評(píng)方法一般包括訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看五個(gè)方面

訪談
測(cè)評(píng)人員與被測(cè)系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級(jí)信息系統(tǒng)在測(cè)評(píng)時(shí)有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。
文檔審查
1）檢查GB/T 22239-2019中規(guī)定的必須具有的制度、策略、操作規(guī)程等文檔是否齊備。
2）檢查是否有完整的制度執(zhí)行情況記錄，如機(jī)房出入登記記錄、電子記錄、高等級(jí)系統(tǒng)的關(guān)鍵設(shè)備的使用登記記錄等。
3）對(duì)上述文檔進(jìn)行審核與分析，檢查他們的完整性和這些文件之間的內(nèi)部一致性。
配置檢查
1）根據(jù)測(cè)評(píng)結(jié)果記錄表格內(nèi)容，利用上機(jī)驗(yàn)證的方式檢查應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對(duì)文檔審核的內(nèi)容進(jìn)行核實(shí)（包括日志審計(jì)等）。
2）如果系統(tǒng)在輸入無(wú)效命令時(shí)不能完成其功能，將要對(duì)其進(jìn)行錯(cuò)誤測(cè)試。
3）針對(duì)網(wǎng)絡(luò)連接，應(yīng)對(duì)連接規(guī)則進(jìn)行驗(yàn)證。
工具測(cè)試
1）根據(jù)測(cè)評(píng)方案，利用技術(shù)工具對(duì)系統(tǒng)進(jìn)行測(cè)試，包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)的漏洞掃描、滲透性測(cè)試、性能測(cè)試、入侵檢測(cè)和協(xié)議分析等。
2）備份測(cè)試結(jié)果。
實(shí)地察看
1）根據(jù)被測(cè)系統(tǒng)的實(shí)際情況，測(cè)評(píng)人員到系統(tǒng)運(yùn)行現(xiàn)場(chǎng)通過(guò)實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測(cè)評(píng)其是否達(dá)到了相應(yīng)等級(jí)的安全要求。