信息系統安全等級保護測評的流程，濟南等保測試

產品價格：	999/人民幣
最后更新：	2019-12-18 18:19:37
產品產地：	本地
發貨地：	本地至全國 (發貨期：當天內發貨)
供應數量：	不限
有效期：	長期有效
最少起訂：	1
瀏覽次數：	138

公司基本資料信息

濟南恒標知識產權咨詢有限公司
李景行先生高級顧問
會員[試用會員產品]
郵件152184192@qq.com
手機18854128585
電話
傳真
地址濟南市歷下區山大路創展中心208

產品詳細說明

信息系統安全等級保護測評的流程，濟南等保測試

二、測評工作流程

為確保等級測評工作的順利開展，需要了解等級測評的工作流程和方法，以便對等級測評工作過程進行控制。

1、基本工作流程和方法

（1）基本工作流程

等級測評過程分為4個基本測評活動：測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。測評雙方之間的溝通與洽談應貫穿整個等級測評過程?；竟ぷ髁鞒倘鐖D1所示。

圖1 等級測評工作流程
① 測評準備活動

本活動是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續工作能否順利開展。本活動的主要任務是掌握被測系統的詳細情況，準備測試工具，為編制測評方案做好準備。

② 方案編制活動

本活動是開展等級測評工作的關鍵活動，為現場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等，并根據需要重用或開發測評指導書測評指導書，形成測評方案。

③ 現場測評活動

本活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求，嚴格執行測評指導書測評指導書，分步實施所有測評項目，包括單元測評和整體測評兩個方面，以了解系統的真實保護情況，獲取足夠證據，發現系統存在的安全問題。

配置檢查是指利用上機驗證的方式檢查網絡安全、主機安全、應用安全、數據安全的配置是否正確，是否與文檔、相關設備和部件保持一致，對文檔審核的內容進行核實（包括日志審計等），并記錄測評結果。配置檢查是衡量一家測評機構實力的重要體現。檢查對象包括數據庫系統、操作系統、中間件、網絡設備、網絡安全設備。

工具測試是利用各種測試工具，通過對目標系統的掃描、探測等操作，使其產生特定的響應等活動，通過查看、分析響應結果，獲取證據以證明信息系統安全保護措施是否得以有效實施的一種方法。

實地查看根據被測系統的實際情況，測評人員到系統運行現場通過實地的觀察人員行為、技術設施和物理環境狀況判斷人員的安全意識、業務操作、管理程序和系統物理環境等方面的安全情況，測評其是否達到了相應等級的安全要求。如掃描探測、滲透測試、協議分析等手段。
2、測評實施準備

● 適用的法律、法規。
● 現有國際標準、國家標準、行業標準。
● 行業主管機關的業務系統的要求和制度。
● 與信息系統安全保護等級相應的基本要求。
● 被測評組織的安全要求。
● 系統自身的實時性或性能要求等。

⑦ 確定測評工具：主要包括測評前的表格、文檔、檢測工具等各項準備工作。測評工作通常包括根據評估對象和評估內容合理選擇相應的測評工具，測評工具的選擇和使用應遵循以下原則：

● 脆弱性發現工具，應具備全面的已知系統脆弱性核查與檢測能力。
● 測評工具的檢測規則庫應具備更新功能，能夠及時更新。
● 測評工具使用的檢測策略和檢測方式不應對信息系統造成不正常影響。

可采用多種測評工具對同一測試對象進行檢測，如果出現檢測結果不一致的情況，應進一步采用必要的人工檢測和關聯分析，并給出與實際情況最為相符的結果判定。

評估工具的選擇和使用必須符合國家有關規定。

測評工具應包括：主機檢查、服務器檢查、數據庫檢查、中間件檢查、Web檢查、專用業務檢查、協議檢查、口令檢查、安全設備檢查、網絡設備檢查、性能壓力檢查等。

⑧ 制定測評方案：測評方案是測評工作實施活動總體計劃，用于管理評估工作的開展，使測評各階段工作可控。測評方案是測評項目驗收的主要依據之一，是測評人員進行內部工作交流、明確工作任務的操作指南。通常測評方案給出具體的現場測評的工作思路、方法、方式和具體測評對象及其內容。測評方案應得到被評估組織的確認和認可。

⑩ 文檔管理：文檔是測評工作的最終體現方式。為確保文檔資料的完整性、準確性和安全性，應遵循以下原則：

● 指派專人負責管理和維護項目進程中產生的各類文檔，確保文檔的完整性和準確性。

● 文檔的存儲應進行合理的分類和編目，確保文檔結構清晰可控。

● 所有文檔應注明項目名稱、文檔名稱、版本號、審批人、編制日期、分發范圍等信息。

● 不得泄露給與本項目無關的人員或組織，除非預先征得被評估組織項目負責人的同意。同時，測評組織需要有專門的存儲介質、安全柜和人員，對測評所產生的記錄文檔進行一定時間的保存。如等級保護三級系統所產生的測評報告和記錄需要保持3年以上。

? 測評風險規避：測評工作自身也存在風險，一是結果是否準確有效，能夠達到預先目標存在風險；二是測評中的某些測試操作可能給被測評組織或信息系統引入新的風險。應通過技術培訓和保密教育、制定測評過程管理相關規定、編制應急預案等措施進行風險規避。同時雙方應簽署保密協議，測評單位和測評人員簽署個人保密協議。

3、測評方案編制

方案編制過程是開展等級測評工作的關鍵活動，為現場測評提供最基本的文檔和指導方案。本過程的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等，并根據需要重用或開發測評指導書測評指導書，形成測評方案。

① 確定測評對象。一般采用抽查的方法，即：抽查信息系統中具有代表性的組件作為測評對象。在確定測評對象時，需遵循以下原則：

● 重要性，應抽查對被測評系統來說重要的服務器、數據庫和網絡設備等。
● 安全性，應抽查對外暴露的網絡邊界。
● 共享性，應抽查共享設備和數據交換平臺/設備。
● 代表性，抽查應盡量覆蓋系統各種設備類型、操作系統類型、數據庫系統類型和應用系統類型。
● 恰當性，選擇的設備、軟件系統等應能符合相應等級的測評強度要求。

② 確定測評指標及測評內容。根據被測系統調查表格，得出被測系統的定級結果，包括業務網絡安全保護等級和系統服務安全保護等級，從而得出被測系統應采取的安全保護措施 ASG 組合情況。如，目標系統的安全保護等級為第三級（S3A3G3），其測評指標應包括《基本要求》7.1 節“技術要求”和 7.2 節“管理要求”中的第三級通用指標類（G3）、第三級業務信息安全性指標類（S3）和第三級業務服務保證類（A3）要求。對于由多個不同等級的信息系統組成的被測系統，應分別確定各個定級對象的測評指標。如果多個定級對象共用物理環境或管理體系，而且測評指標不能分開，則不能分開的這些測評指標應采用就高原則。

③ 確定測評工具接入點。一般來說，測評工具的接入采取從外到內，從其他網絡到本地網段的逐步逐點接入，即：測評工具從被測系統邊界外接入、在被測系統內部與測評對象不同網段及同一網段內接入等幾種方式。從被測系統邊界外接入時，測評工具一般接在系統邊界設備（通常為交換設備）上。在該點接入漏洞掃描器，掃描探測被測系統的主機、網絡設備對外暴露的安全漏洞情況；從系統內部與測評對象不同網段接入時，測評工具一般接在與被測對象不在同一網段的內部核心交換設備上；在系統內部與測評對象同一網段內接入時，測評工具一般接在與被測對象在同一網段的交換設備上；結合網絡拓撲圖，采用圖示的方式描述測評工具的接入點、測評目的、測評途徑和測評對象等相關內容。

④ 確定測評內容與方法。將測評對象與測評指標進行映射構成測評內容，并針對不同的測評內容合理地選擇測評方法形成具體的測評實施內容。

⑤ 確定測評指導書。測評指導書是指導和規范測評人員現場測評活動的文檔，包括測評項、測評方法、操作步驟和預期結果等四部分。在測評對象和指標確定的基礎上，將測評指標映射到各測評對象上，然后結合測評對象的特點，選擇應采取的測評方法并確定測評步驟和預期結果，形成不同測評對象的具體測評指導書。

⑥ 確定測評方案。綜合以上結果內容以及測評工作計劃形成測評方案，測評方案主要內容包括測評概述、目標系統概述、定級情況、網絡結構、主機設備情況、應用情況、測評方法與工具、測評內容、時間安排、風險揭示與規避等。

4、現場測評

現場測評是測評工作的重要階段。風險評估中的風險識別階段，對應現場測評，通過對組織和信息系統中資產、威脅、脆弱性等要素的識別，是進行信息系統安全風險分析的前提。現場測評活動通過與測評委托單位進行溝通和協調，為現場測評的順利開展打下良好基礎，然后依據測評方案實施現場測評工作，將測評方案和測評工具等具體落實到現場測評活動中?，F場測評工作應取得分析與報告編制活動所需的、足夠的證據和資料。

現場測評活動包括現場測評準備、現場測評和結果記錄、結果確認和資料歸還三項主要任務。

（1）現場測評準備

為保證測評機構能夠順利實施測評，測評準備工作需要包括以下內容：① 測評委托單位簽署現場測評授權書；② 召開測評現場首次會，測評機構介紹測評工作，交流測評信息，進一步明確測評計劃和方案中的內容，說明測評過程中具體的實施工作內容，測評時間安排等，以便于后面的測評工作開展；③ 測評雙方確認現場測評需要的各種資源，包括測評委托單位的配合人員和需要提供的測評條件等，確認被測系統已備份過系統及數據；④ 測評人員根據會議溝通結果，對測評結果記錄表單和測評程序進行必要的更新。

（2）現場測評和結果記錄

現場測評一般包括訪談、文檔審查、配置檢查、工具測試和實地察看5方面。現場測評覆蓋到被測系統安全技術的5個層面和安全管理的5方面。安全技術的5個層面具體為：物理安全、網絡安全、主機安全、應用安全、數據安全和備份恢復。安全管理的5方面具體為：安全管理制度、安全管理機構、人員安全管理、系統建設安全管理和系統運維安全管理

在線詢盤/留言 請仔細填寫準確及時的聯系到你!

您的姓名：	您的姓名沒有寫*	預計需求數量：	* 請輸入整數請填寫數量
聯系手機：	*請填寫你的手機號碼	移動電話或傳真：
電子郵件：	*郵箱格式不正確請填寫你的電子郵件	所在單位：
咨詢內容：	我想了解：《信息系統安全等級保護測評的流程，濟南等保測試》的詳細信息.請商家盡快與我聯系。 * 請填相關內容