【文章內(nèi)容簡(jiǎn)介】 代碼防范 8. 備份與恢復(fù) 9. 強(qiáng)制訪問(wèn)控制 10. 密碼技術(shù)應(yīng)用 11. 環(huán)境與設(shè)施安全 21 核心技術(shù)要求分布狀況： 安全管理中心 廣域網(wǎng) 局域網(wǎng) 深圳市信息安全測(cè)評(píng)中心 等級(jí)測(cè)評(píng)的內(nèi)容－ 主要核心技術(shù) 實(shí)現(xiàn)方式（參考） ? 身份認(rèn)證、防火墻訪問(wèn)控制 ? 流量與行為審計(jì)、數(shù)據(jù)庫(kù)審計(jì) ? IPSec VPN、 SSL VPN ? 終端防外聯(lián)、接入認(rèn)證 ? 負(fù)載均衡、流量控制 ? IPS、防病毒、終端桌面管理 ? SIEM、安全事件智能分析聯(lián)動(dòng) ? IP－ SAN、 CDP、 WSAN ? 操作系統(tǒng)文件訪問(wèn)控制 ? 產(chǎn)品選購(gòu)符合國(guó)密辦規(guī)定 ? 按照國(guó)標(biāo) GB5017393《 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 》 GB288789《 計(jì)算站場(chǎng)地技術(shù)條件 》 、 GB936188《 計(jì)算站場(chǎng)地安全要求 》 建設(shè) 22 核心技術(shù)要求 ? 1 身份鑒別和自主訪問(wèn)控制 ? 2 安全審計(jì) ? 3 完整性和保密性保護(hù) ? 4 邊界保護(hù) ? 5 資源控制 ? 6 入侵防范和惡意代碼防范 ? 7 安全管理平臺(tái)設(shè)置 ? 8 備份與恢復(fù) ? 9 強(qiáng)制訪問(wèn)控制 ? 10 密碼技術(shù)應(yīng)用 ? 11 環(huán)境與設(shè)施安全 深圳市信息安全測(cè)評(píng)中心 等級(jí)測(cè)評(píng)的流程 等級(jí)測(cè)評(píng)項(xiàng)目啟動(dòng) 測(cè)評(píng)準(zhǔn)備階段 編制測(cè)評(píng)方案 工具和文檔準(zhǔn)備 現(xiàn)場(chǎng)實(shí)施階段 分析測(cè)評(píng)結(jié)果 報(bào)告編制階段 交流與洽談 形成等級(jí)測(cè)評(píng)結(jié)論 編制測(cè)評(píng)報(bào)告 結(jié)果確認(rèn)和資料歸還 現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄 方案確認(rèn)和資源協(xié)調(diào) 信息收集和分析 深圳市信息安全測(cè)評(píng)中心 測(cè)評(píng)準(zhǔn)備階段 項(xiàng)目啟動(dòng) ? 向被測(cè)單位介紹等級(jí)測(cè)評(píng)的意義和作用，測(cè)評(píng)工作的基本流程和工作方法。 ? 了解被測(cè)單位的信息化建設(shè)狀況與發(fā)展。包括被測(cè)系統(tǒng)的行業(yè)特征、主管機(jī)構(gòu)、業(yè)務(wù)范圍、地理位置以及被測(cè)系統(tǒng)基本情況，獲得被測(cè)系統(tǒng)的背景信息和聯(lián)絡(luò)方式，填寫(xiě) 《 系統(tǒng)基本情況調(diào)查表 》 。 ? 指出被測(cè)單位應(yīng)提供的基本資料，包括：被測(cè)系統(tǒng)總體描述文件，被測(cè)系統(tǒng)詳細(xì)描述文件，被測(cè)系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)驗(yàn)收?qǐng)?bào)告，安全需求分析報(bào)告，被測(cè)系統(tǒng)安全總體方案等。 ? 根據(jù)測(cè)評(píng)雙方簽訂的委托測(cè)評(píng)協(xié)議書(shū)和系統(tǒng)規(guī)模，測(cè)評(píng)機(jī)構(gòu)組建測(cè)評(píng)項(xiàng)目組，從人員方面做好準(zhǔn)備，并編制項(xiàng)目計(jì)劃。 24 深圳市信息安全測(cè)評(píng)中心 測(cè)評(píng)準(zhǔn)備階段 信息收集與分析 ? 被測(cè)單位積極配合測(cè)評(píng)機(jī)構(gòu)，為測(cè)評(píng)機(jī)構(gòu)提供其所需要的各種資料，包括被測(cè)單位的各種方針文件、規(guī)章制度及相關(guān)過(guò)程管理記錄、被測(cè)系統(tǒng)總體描述文件、被測(cè)系統(tǒng)詳細(xì)描述文件、被測(cè)系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告、安全需求分析報(bào)告、被測(cè)系統(tǒng)安全總體方案、安全現(xiàn)狀評(píng)價(jià)報(bào)告、被測(cè)系統(tǒng)安全詳細(xì)設(shè)計(jì)方案、用戶(hù)指南、運(yùn)行步驟、網(wǎng)絡(luò)圖表、配置管理文檔等。 ? 測(cè)評(píng)機(jī)構(gòu)分析被測(cè)單位提供的系統(tǒng)相關(guān)文件和初步了解到的系統(tǒng)基本情況，將需要補(bǔ)充了解的內(nèi)容編制成調(diào)查表并發(fā)放給被測(cè)系統(tǒng)運(yùn)行維護(hù)人員。 ? 測(cè)評(píng)機(jī)構(gòu)收回填寫(xiě)完成的調(diào)查表單，并分析調(diào)查結(jié)果，以進(jìn)一步了解和熟悉被測(cè)系統(tǒng)的實(shí)際情況。分析的內(nèi)容包括被測(cè)系統(tǒng)的基本信息、管理框架、被測(cè)系統(tǒng)的網(wǎng)絡(luò)及設(shè)備部署、業(yè)務(wù)種類(lèi)和特性、業(yè)務(wù)系統(tǒng)處理的信息資產(chǎn)、用戶(hù)范圍和用戶(hù)類(lèi)型等。 25 深圳市信息安全測(cè)評(píng)中心 測(cè)評(píng)準(zhǔn)備階段 系統(tǒng) 調(diào)查表 ? 內(nèi)容全面 ? 順序合理 ? 保留邏輯關(guān)聯(lián) ? 內(nèi)容至少包括被測(cè)系統(tǒng)的行業(yè)特征、主管機(jī)構(gòu)、業(yè)務(wù)范圍、地理位置、背景信息、聯(lián)絡(luò)方式、組織管理結(jié)構(gòu)、管理策略、部門(mén)設(shè)置和部門(mén)在業(yè)務(wù)運(yùn)行中的作用、崗位職責(zé)、物理環(huán)境、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、硬件設(shè)備部署情況、范圍及邊界、業(yè)務(wù)種類(lèi)及特性、業(yè)務(wù)流程、業(yè)務(wù)安全保護(hù)等級(jí)等。 26 深圳市信息安全測(cè)評(píng)中心 測(cè)評(píng)準(zhǔn)備階段 編制測(cè)評(píng)方案 ? 根據(jù)被測(cè)系統(tǒng)基本情況描述被測(cè)系統(tǒng)，包括被測(cè)系統(tǒng)基本信息、管理框架、被測(cè)系統(tǒng)的網(wǎng)絡(luò)及設(shè)備部署、業(yè)務(wù)種類(lèi)和特性、業(yè)務(wù)信息安全等級(jí)、系統(tǒng)服務(wù)安全等級(jí)、業(yè)務(wù)流程相關(guān)設(shè)備、部件和數(shù)據(jù)、管理模式、用戶(hù)范圍和用戶(hù)類(lèi)型等。 ? 根據(jù)被測(cè)系統(tǒng)規(guī)模確定人員分工和測(cè)評(píng)計(jì)劃。對(duì)于一般規(guī)模且業(yè)務(wù)種類(lèi)較少的被測(cè)系統(tǒng)，分組負(fù)責(zé)主機(jī)、網(wǎng)絡(luò)、應(yīng)用安全測(cè)評(píng)和工具測(cè)試。測(cè)評(píng)計(jì)劃可以列表的形式給出，包括總體時(shí)間安排、分項(xiàng)測(cè)評(píng)時(shí)間安排等。 ? 選擇適當(dāng)?shù)臏y(cè)評(píng)對(duì)象、方式和工具。 ? 確定測(cè)評(píng)指標(biāo)。 ? 確定現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施內(nèi)容，包括單項(xiàng)測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)。 ? 匯總上述 6個(gè)步驟的各類(lèi)文檔和資料形成測(cè)評(píng)方案文稿。 ? 評(píng)審和提交測(cè)評(píng)方案。測(cè)評(píng)方案初稿應(yīng)通過(guò)測(cè)評(píng)項(xiàng)目組全體成員評(píng)審，修改完成后形成提交稿。然后，測(cè)評(píng)機(jī)構(gòu)將測(cè)評(píng)方案提交給被測(cè)單位。被測(cè)單位應(yīng)對(duì)該測(cè)評(píng)方案簽字認(rèn)可。 27 深圳市信息安全測(cè)評(píng)中心 測(cè)評(píng)準(zhǔn)備階段 工具和文檔準(zhǔn)備 ? 測(cè)評(píng)人員熟悉被測(cè)系統(tǒng)相關(guān)的操作系統(tǒng)、數(shù)據(jù)庫(kù)及業(yè)務(wù)流程等。 ? 測(cè)評(píng)人員調(diào)試、熟悉本次測(cè)評(píng)過(guò)程中將用到的測(cè)評(píng)工具，包括作業(yè)指導(dǎo)書(shū)、漏洞掃描工具、滲透性測(cè)試工具、性能測(cè)試工具和協(xié)議分析工具等。 ? 準(zhǔn)備和打印文檔，主要包括：測(cè)評(píng)方案、現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)、作業(yè)指導(dǎo)書(shū)、測(cè)評(píng)結(jié)果記錄表格（含測(cè)評(píng)人員入場(chǎng)和離場(chǎng)確認(rèn)）、文檔接收 /歸還確認(rèn)單等。 28 深圳市信息安全測(cè)評(píng)中心 現(xiàn)場(chǎng)測(cè)評(píng)階段 方案確認(rèn)與資源協(xié)調(diào) ? 召開(kāi)測(cè)評(píng)現(xiàn)場(chǎng)首次會(huì)，測(cè)評(píng)機(jī)構(gòu)介紹測(cè)評(píng)工作