经典案例
信息系统等级保护测评

案例简介:

概要:

受客户委托,我中心2015年、2016年对40家单位的100多个信息系统,进行了等级保护测评。

测评结论,符合的有0个系统,基本符合的有82个系统,不符合的有0个系统,18个系统正在进行中。

整体而言,银行系统除个别个评分在90分以上,证券公司分数介于80-90分,北斗监控公司评分介于70-80分之间,机关事业单位评分相对偏低。

其他安全服务开展情况除等级保护测评以外,本中心的执业范围还包括开展等级保护工作的咨询、信息安全风险评估、信息安全咨询与培训、安全检查、安全运维、渗透测试、应急响应服务。


湖南金盾等级保护测评服务内容包括:

1、协助用户进行定级,协助编写定级报告。

2、对定级系统进行差距分析,如差距分析结果不能通过测试,则出具整改方案指导系统运维单位进行安全整改,待安全整改后进行复测试。

3、出具等级测评报告。

4、协助用户单位向所在地区的公安机关办理备案手续,获得备案证。



1.1定级

湖南金盾协助用户单位,依据《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级,编写定级报告。

系统定级阶段需完成以下工作:

1)等级保护的培训:在进行测评服务之前,需要对信息技术人员进行等级保护的内容培训。

2)系统业务安全域划分:进行信息收集和资产调研,明确业务系统的范围、边界、功能以及重要性等。

3)召开专家评审会、获得备案证明:定级和备案是等级保护工作开展的前提,如果级别定错了,或者专家有不同的评审意见,则后续的测评将无法进行。

1.2差距评估

差距评估是以国际安全标准、行业最佳实践、国家安全法规及标准为依据,对客户网络与信息系统的资产价值、潜在的安全威胁、薄弱环节、现有安全防护措施等进行综合分析,以发现信息系统中存在的主要安全问题,并找到解决这些问题的方法。

湖南金盾依据差距分析表中的各项安全要求,通过人员访谈、现场检查和测试对比现状和安全要求之间的差距,确定不满足要求的安全项。通过等级差距评估,可以明确客户信息系统的现状,确定不符合安全项,找出目前信息系统与等级保护安全要求之间的差距,有针对性地提出整改建议。

1.3安全整改方案设计

参考国家标准《信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》,依据差距分析的结论,在与客户充分沟通后,结合客户实际情况,给出《安全整改方案》。

1.4等级测评

用户根据整改方案进行整改后,湖南金盾对信息系统开展信息系统等级保护测评工作,并出具《等级测评报告》。

1.5备案

准备定级备案表和定级报告,协助用户单位向所在地区的公安机关办理备案手续,获得备案证。

湖南金盾等级保护测评服务方案

2.1等级保护测评依据

测评过程中主要依据的标准:

1)GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

2)GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》

测评过程中还参考的文件和标准:

1)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)

2)《信息安全等级保护管理办法》(公通字[2007]43号)

3)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)

4) 关于印发《信息系统安全等级测评报告模版(试行)》的通知(公信安[2009]1487号)

5) GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》(简称《定级指南》)

6) GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》(简称《实施指南》)

7) 《信息安全技术信息系统安全等级保护测评过程指南》(国标即将发布,简称《测评过程指南》)

8) GB/T20984-2007信息安全技术信息安全风险评估规范(简称《风险评估规范》)

9)《信息安全技术信息系统等级保护安全设计技术要求》(GB/T24856-2009)

2.2 等级保护测评的主要内容

等级测评主要包括物理(机房)、网络(网络结构、网络设备、安全设备)、主机(操作系统、数据库)、应用(应用软件、中间件)、数据和管理六个层面。还需进行工具测试和渗透测试。(在现场测评和工具测试和验证测试前需签署现场测评授权书和验证测试授权书。用户可以选择不进行渗透测试,但需要签署自动放弃验证测评申明。如需进行工具测试和渗透测试,请在测试前备份相关系统和数据,并确认被测系统和设备状态完好。)

2.3 等级保护测评的工作方法

测评方法是指检查人员依据技术标准在实施等级测评时采取操作的方法,测评方法包括现场访谈、文档审查、配置检查、工具检查和实地检查5种。这5种等级测评方法的具体描述如下表:

序号

检查方法

任务描述

1

查阅文档

通过查阅设计资料、管理文档、运行日志、登记资料或其他相关文档,检查信息系统安全技术要素的安全技术功能、策略和机制的设置和实际运行情况或安全管理要素的安全管理策略和措施的设置和执行情况;

2

人员访谈

通过对相关人员进行访谈,了解和获取信息系统安全技术要素的安全技术功能、策略和机制的设置及其实际运行情况或安全管理要素的安全管理策略、措施的设置和执行情况;

3

实地考察

通过实地察看,了解信息系统被检查安全技术要素的安全技术功能、策略和机制的设置及其实际运行情况或被检查安全管理要素的安全管理策略和措施的设置和执行情况;

4

配置检查

通过系统所提供操作界面,对运行中的信息系统被检查安全技术要素的安全技术功能或安全管理要素的安全管理措施进行实际使用操作,考察被检查安全技术功能或安全管理措施的实际作用;

5

工具检查

通过采用专业工具,对信息系统被检查安全技术要素的安全技术功能技术参数进行检测、漏洞扫描等。

2.4 等级测评的基本工作流程

等级测评基本测评过程分为四个:测评准备过程、方案编制过程、测评实施过程、分析及报告编制过程。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

(一)测评准备过程

本过程是开展现场测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本过程的主要任务是掌握被测系统的详细情况,为实施测评做好文档及测试工具等方面的准备。

(二)方案编制过程

本过程是开展测评实施的关键过程,为测评实施提供最基本的文档和指导方案。本过程的主要任务是开发与被测信息系统相适应的测评内容及实施方法等。

(三)测评实施过程

本过程是开展等级测评工作的核心过程。本过程的主要任务是按照测评方案的总体要求,严格执行测评实施手册,分步实施所有测评项目,包括单项测评和系统整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。

(四)分析与报告编制过程

本过程是等级测评工作的最后过程,是总结被测系统整体安全保护能力的综合评价过程。本过程的主要任务是根据现场测评结果,通过单项测评结果判定和系统整体测评分析等方法,分析整个系统的安全保护现状与相应等级的保护要求之间的差距,综合评价被测信息系统保护状况,并形成测评报告文本。



2.5 测评结果判断方案

等级测评结判定方法:等级测评结论有三种:符合、基本符合和不符合,报告采用风险分析和打分机制,判定标准为:

1、100分结果为符合

2、60分以上且无高风险,结果为基本符合

3、60分以下或存在高风险,结果判定为不符合

2.6 项目组织结构

项目组织包括评估中心在测评准备活动中组建的测评项目组与测评委托单位组建的配合项目组。测评委托单位应安排配合人员,建议以下人员参加:机房管理员、网络管理员、系统管理员、安全管理员、第三方服务及开发人员1-2人,配合回答测评人员的问询。项目组织结构图如下:

2.7 项目实施计划

根据信息系统的等级与规模,如系统不需要整改时间大约在30个工作日左右,如系统需进行整改,测评时间将由整改时间决定。如不需整改,时间计划如下图所示:

标识号

名称

工期

1

测评准备

3个工作日

1.1

项目启动会

1个工作日

1.2

基本情况调研

2个工作日

2

方案编制

4个工作日

2.1

测评方案编制

2个工作日

2.2

测评方案审核

2个工作日

3

现场测评

6个工作日

3.1

现场测评准备

1个工作日

3.2

现场测评和结果记录

5个工作日

4

结果分析及报告编制

12个工作日

4.1

测评报告编制

9个工作日

4.2

测评报告审核

3个工作日

5

总结汇报

5个工作日

5.1

制作汇报胶片

2个工作日

5.2

进行测评结论汇报总结

2个工作日

5.3

确认验收

1个工作日