【文章內(nèi)容簡介】 代碼防范 8. 備份與恢復(fù) 9. 強制訪問控制 10. 密碼技術(shù)應(yīng)用 11. 環(huán)境與設(shè)施安全 21 核心技術(shù)要求分布狀況： 安全管理中心 廣域網(wǎng) 局域網(wǎng) 深圳市信息安全測評中心 等級測評的內(nèi)容－ 主要核心技術(shù) 實現(xiàn)方式（參考） ? 身份認(rèn)證、防火墻訪問控制 ? 流量與行為審計、數(shù)據(jù)庫審計 ? IPSec VPN、 SSL VPN ? 終端防外聯(lián)、接入認(rèn)證 ? 負(fù)載均衡、流量控制 ? IPS、防病毒、終端桌面管理 ? SIEM、安全事件智能分析聯(lián)動 ? IP－ SAN、 CDP、 WSAN ? 操作系統(tǒng)文件訪問控制 ? 產(chǎn)品選購符合國密辦規(guī)定 ? 按照國標(biāo) GB5017393《 電子計算機機房設(shè)計規(guī)范 》 GB288789《 計算站場地技術(shù)條件 》 、 GB936188《 計算站場地安全要求 》 建設(shè) 22 核心技術(shù)要求 ? 1 身份鑒別和自主訪問控制 ? 2 安全審計 ? 3 完整性和保密性保護 ? 4 邊界保護 ? 5 資源控制 ? 6 入侵防范和惡意代碼防范 ? 7 安全管理平臺設(shè)置 ? 8 備份與恢復(fù) ? 9 強制訪問控制 ? 10 密碼技術(shù)應(yīng)用 ? 11 環(huán)境與設(shè)施安全 深圳市信息安全測評中心 等級測評的流程 等級測評項目啟動 測評準(zhǔn)備階段 編制測評方案 工具和文檔準(zhǔn)備 現(xiàn)場實施階段 分析測評結(jié)果 報告編制階段 交流與洽談 形成等級測評結(jié)論 編制測評報告 結(jié)果確認(rèn)和資料歸還 現(xiàn)場測評和結(jié)果記錄 方案確認(rèn)和資源協(xié)調(diào) 信息收集和分析 深圳市信息安全測評中心 測評準(zhǔn)備階段 項目啟動 ? 向被測單位介紹等級測評的意義和作用，測評工作的基本流程和工作方法。 ? 了解被測單位的信息化建設(shè)狀況與發(fā)展。包括被測系統(tǒng)的行業(yè)特征、主管機構(gòu)、業(yè)務(wù)范圍、地理位置以及被測系統(tǒng)基本情況，獲得被測系統(tǒng)的背景信息和聯(lián)絡(luò)方式，填寫 《 系統(tǒng)基本情況調(diào)查表 》 。 ? 指出被測單位應(yīng)提供的基本資料，包括：被測系統(tǒng)總體描述文件，被測系統(tǒng)詳細(xì)描述文件，被測系統(tǒng)安全保護等級定級報告，系統(tǒng)驗收報告，安全需求分析報告，被測系統(tǒng)安全總體方案等。 ? 根據(jù)測評雙方簽訂的委托測評協(xié)議書和系統(tǒng)規(guī)模，測評機構(gòu)組建測評項目組，從人員方面做好準(zhǔn)備，并編制項目計劃。 24 深圳市信息安全測評中心 測評準(zhǔn)備階段 信息收集與分析 ? 被測單位積極配合測評機構(gòu)，為測評機構(gòu)提供其所需要的各種資料，包括被測單位的各種方針文件、規(guī)章制度及相關(guān)過程管理記錄、被測系統(tǒng)總體描述文件、被測系統(tǒng)詳細(xì)描述文件、被測系統(tǒng)安全保護等級定級報告、安全需求分析報告、被測系統(tǒng)安全總體方案、安全現(xiàn)狀評價報告、被測系統(tǒng)安全詳細(xì)設(shè)計方案、用戶指南、運行步驟、網(wǎng)絡(luò)圖表、配置管理文檔等。 ? 測評機構(gòu)分析被測單位提供的系統(tǒng)相關(guān)文件和初步了解到的系統(tǒng)基本情況，將需要補充了解的內(nèi)容編制成調(diào)查表并發(fā)放給被測系統(tǒng)運行維護人員。 ? 測評機構(gòu)收回填寫完成的調(diào)查表單，并分析調(diào)查結(jié)果，以進一步了解和熟悉被測系統(tǒng)的實際情況。分析的內(nèi)容包括被測系統(tǒng)的基本信息、管理框架、被測系統(tǒng)的網(wǎng)絡(luò)及設(shè)備部署、業(yè)務(wù)種類和特性、業(yè)務(wù)系統(tǒng)處理的信息資產(chǎn)、用戶范圍和用戶類型等。 25 深圳市信息安全測評中心 測評準(zhǔn)備階段 系統(tǒng) 調(diào)查表 ? 內(nèi)容全面 ? 順序合理 ? 保留邏輯關(guān)聯(lián) ? 內(nèi)容至少包括被測系統(tǒng)的行業(yè)特征、主管機構(gòu)、業(yè)務(wù)范圍、地理位置、背景信息、聯(lián)絡(luò)方式、組織管理結(jié)構(gòu)、管理策略、部門設(shè)置和部門在業(yè)務(wù)運行中的作用、崗位職責(zé)、物理環(huán)境、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、硬件設(shè)備部署情況、范圍及邊界、業(yè)務(wù)種類及特性、業(yè)務(wù)流程、業(yè)務(wù)安全保護等級等。 26 深圳市信息安全測評中心 測評準(zhǔn)備階段 編制測評方案 ? 根據(jù)被測系統(tǒng)基本情況描述被測系統(tǒng)，包括被測系統(tǒng)基本信息、管理框架、被測系統(tǒng)的網(wǎng)絡(luò)及設(shè)備部署、業(yè)務(wù)種類和特性、業(yè)務(wù)信息安全等級、系統(tǒng)服務(wù)安全等級、業(yè)務(wù)流程相關(guān)設(shè)備、部件和數(shù)據(jù)、管理模式、用戶范圍和用戶類型等。 ? 根據(jù)被測系統(tǒng)規(guī)模確定人員分工和測評計劃。對于一般規(guī)模且業(yè)務(wù)種類較少的被測系統(tǒng)，分組負(fù)責(zé)主機、網(wǎng)絡(luò)、應(yīng)用安全測評和工具測試。測評計劃可以列表的形式給出，包括總體時間安排、分項測評時間安排等。 ? 選擇適當(dāng)?shù)臏y評對象、方式和工具。 ? 確定測評指標(biāo)。 ? 確定現(xiàn)場測評實施內(nèi)容，包括單項測評和系統(tǒng)整體測評。 ? 匯總上述 6個步驟的各類文檔和資料形成測評方案文稿。 ? 評審和提交測評方案。測評方案初稿應(yīng)通過測評項目組全體成員評審，修改完成后形成提交稿。然后，測評機構(gòu)將測評方案提交給被測單位。被測單位應(yīng)對該測評方案簽字認(rèn)可。 27 深圳市信息安全測評中心 測評準(zhǔn)備階段 工具和文檔準(zhǔn)備 ? 測評人員熟悉被測系統(tǒng)相關(guān)的操作系統(tǒng)、數(shù)據(jù)庫及業(yè)務(wù)流程等。 ? 測評人員調(diào)試、熟悉本次測評過程中將用到的測評工具，包括作業(yè)指導(dǎo)書、漏洞掃描工具、滲透性測試工具、性能測試工具和協(xié)議分析工具等。 ? 準(zhǔn)備和打印文檔，主要包括：測評方案、現(xiàn)場測評授權(quán)書、作業(yè)指導(dǎo)書、測評結(jié)果記錄表格（含測評人員入場和離場確認(rèn)）、文檔接收 /歸還確認(rèn)單等。 28 深圳市信息安全測評中心 現(xiàn)場測評階段 方案確認(rèn)與資源協(xié)調(diào) ? 召開測評現(xiàn)場首次會，測評機構(gòu)介紹測評工作