等保咨询服务
1.1.1 信息系统等级保护测评
1.1.1.1 工作目标
信息安全等级保护测评服务工作目标是:对已确定相应级别的信息系统依据国家信息安全等级保护基本要求和相关信息安全标准进行信息系统安全等级测评服务,并出具符合等级保护结论性的测评报告。
1.1.1.2 工作阶段
本次等级测评主要包括四个工作阶段,即:测评准备阶段、方案编制阶段、现场测评阶段、报告编制阶段。而测评相关方之间的沟通与洽谈应贯穿整个等级测评过程。每一测评阶段有一组确定的工作任务。具体如下表所示:
序号 | 工作阶段 | 主要工作任务 |
1 | 测评准备 | 工作启动 |
2 | 信息收集和分析 | |
3 | 工具和表单准备 | |
4 | 方案编制 | 测评对象确定 |
5 | 测评指标确定 | |
6 | 测评内容确定 | |
7 | 工具测试方法确定 | |
8 | 测评指导书开发 | |
9 | 测评方案编制 | |
10 | 现场测评 | 现场测评准备 |
11 | 现场测评和结果记录 | |
12 | 结果确认和资料归还 | |
13 | 报告编制 | 单项测评结果判定 |
14 | 单元测评结果判定 | |
15 | 整体测评 | |
16 | 系统安全保障评估 | |
17 | 安全问题风险分析 | |
18 | 等级测评结论形成 | |
19 | 测评报告编制 |
表1-2 等级测评工作阶段表
以下将对其中每项活动均给出相应的工作流程、主要任务、输出文档,每项工作任务均有相应的输入、任务描述和输出产品。
Ø测评准备
测评准备阶段的工作目标是顺利启动测评项目,收集被测信息系统相关资料,准备测评所需资料,为编制测评方案打下良好的基础。
测评准备活动包括工作启动、信息收集和分析、工具和表单准备三项主要任务。基本工作流程如下图所示:
图2-1 测评准备阶段工作流程图
Ø主要任务
(一) 工作启动
在工作启动任务中,我方将组建等级测评项目组,获取贵公司及被测信息系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做好充分准备。
输入:委托测评协议书。
任务描述:
a) 根据双方签订的委托测评协议书和系统规模,我方组建测评项目组,从人员方面做好准备,并编制项目计划书。
b) 贵公司提供基本资料,为全面初步了解被测信息系统准备资料。
输出/产品:项目计划书。
(二) 信息收集和分析
我方通过查阅被测信息系统已有资料或使用系统调查表格的方式,了解整个系统的构成和保护情况以及责任部门相关情况,为编写测评方案、开展现场测评和安全评估工作奠定基础。
输入:项目计划书,系统调查表格,被测信息系统相关资料。
任务描述:
a) 我方收集等级测评需要的相关资料,包括贵公司的管理架构、技术体系、运行情况等。
b) 我方将系统调查表格提交给贵公司,督促被测信息系统相关人员准确填写调查表格。
c) 我方收回填写完成的调查表格,并分析调查结果,了解和熟悉被测信息系统的实际情况。这些信息可以重用自查报告或上次等级测评报告中的可信结果。
d) 如果调查表格信息填写存在不准确、不完善或有相互矛盾的地方,我方将与填表人进行沟通和确认,必要时安排一次现场调查,与相关人员进行面对面的沟通和确认,确保系统信息调查的准确性和完整性。
输出/产品:填好的调查表格,各种与被测信息系统相关的技术资料。
(三) 工具和表单准备
测评项目组成员在进行现场测评之前,熟悉被测信息系统、调试测评工具、准备各种表单等。
输入:填好的调查表格,各种与被测信息系统相关的技术资料。
任务描述:
a) 测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
b) 测评人员在测评环境模拟被测信息系统架构,为开发相关的网络及主机设备等测评对象测评指导书做好准备,并进行必要的工具验证。
c) 准备和打印表单,主要包括:风险确认书、文档交接单、会议记录表单、会议签到表单等。
输出/产品:选用的测评工具清单,打印的各类表单。
■输出文档
测评准备阶段的输出文档及其内容如下表所示:
任务 | 输出文档 | 文档内容 |
工作启动 | 项目计划书 | 项目概述、工作依据、技术思路、工作内容和项目组织等 |
信息收集和分析 | 填好的调查表格,各种与被测信息系统相关的技术资料 | 被测信息系统的安全保护等级、业务情况、数据情况、网络情况、软硬件情况、管理模式和相关部门及角色等 |
工具和表单准备 | 选用的测评工具清单 打印的各类表单:风险确认书、文档交接单、会议记录表单、会议签到表单 | 风险告知、交接的文档名称、会议记录、会议签到表 |
表2-2 测评准备阶段输出文档及内容表
方案编制阶段的工作目标是整理测评准备阶段中获取的信息系统相关资料,为现场测评活动提供最基本的文档和指导方案。
方案编制阶段包括测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制六项主要任务。这六项任务的基本工作流程见下图:
图2-2 方案编制阶段工作流程图
■主要任务
(一) 测评对象确定
根据系统调查结果,分析整个被测信息系统业务流程、数据流程、范围、特点及各个设备及组件的主要功能,确定出本次测评的测评对象。
输入:填好的调查表格,各种与被测信息系统相关的技术资料。
任务描述:
a) 识别并描述被测信息系统的整体结构
根据调查表格获得的被测信息系统基本情况,识别出被测信息系统的整体结构并加以描述。
b) 识别并描述被测信息系统的边界
根据填好的调查表格,识别出被测信息系统边界及边界设备并加以描述。
c) 识别并描述被测信息系统的网络区域
一般信息系统都会根据业务类型及其重要程度将信息系统划分为不同的区域。根据区域划分情况描述每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。
d) 识别并描述被测信息系统的主要设备
描述系统中的设备时以区域为线索,具体描述各个区域内部署的设备,并说明各个设备主要承载的业务、软件安装情况以及各个设备之间的主要连接情况等。
e) 确定测评对象
结合被测信息系统的安全级别和重要程度,综合分析系统中各个设备和组件的功能、特点,从被测信息系统构成组件的重要性、安全性、共享性、全面性和恰当性等几方面属性确定出技术层面的测评对象,并将与被测信息系统相关的人员及管理文档确定为测评对象。
f) 描述测评对象
描述测评对象时,根据类别加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备、安全设备、访谈人员及安全管理文档等。
输出/产品:测评方案的测评对象部分。
(二) 测评指标确定
根据被测信息系统定级结果确定出本次测评的基本测评指标,根据贵公司及被测信息系统业务自身需求确定出本次测评的特殊测评指标。
输入:填好的调查表格,GB/T 22239-2008、业务需求文档。
任务描述:
a) 根据被测信息系统的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,得出被测信息系统的系统服务保证类(A类)基本安全要求、业务信息安全类(S类)基本安全要求以及通用安全保护类(G类)基本安全要求的组合情况。
b) 根据被测信息系统的A类、S类及G类基本安全要求的组合情况,从GB/T 22239-2008中选择相应等级的基本安全要求作为基本测评指标。
c) 根据被测信息系统实际情况,确定不适用测评指标。
d) 根据贵公司及被测信息系统业务自身需求,确定特殊测评指标。
e) 对确定的基本测评指标和特殊测评指标进行描述,并分析给出指标不适用的原因。
输出/产品:测评方案的测评指标部分。
(三) 测评内容确定
本部分确定现场测评的具体实施内容,即单项测评内容。
输入:填好的系统调查表格,测评方案的测评对象部分,测评方案的测评指标部分。
任务描述:
依据GB/T 28448-2012,将前面已经得到的测评指标和测评对象结合起来,将测评指标映射到各测评对象上,然后结合测评对象的特点,说明各测评对象所采取的测评方法。如此构成一个个可以具体实施测评的单项测评内容。测评内容是测评人员开发测评指导书的基础。
输出/产品:测评方案的测评实施部分。
(四) 工具测试方法确定
在等级测评中,需要使用测试工具进行测试,测试工具可能用到漏洞扫描器、渗透测试工具集、协议分析仪等。
输入:测评方案的测评实施部分,GB/T 28448-2012,选用的测评工具清单。
任务描述:
a) 确定工具测试环境,对于7×24小时运行的重要被测系统进行工具测试时,可选择与生产环境各项安全配置相同的备份环境、生产验证环境或测试环境作为工具测试环境。
b) 确定需要进行测试的测评对象。
c) 选择测试路径。一般来说,测试工具的接入采取从外到内,从其他网络到本地网络的逐步逐点接入,即:测试工具从被测信息系统边界外接入、在被测信息系统内部与测评对象不同区域网络及同一网络区域内接入等几种方式。
d) 根据测试路径,确定测试工具的接入点。
从被测信息系统边界外接入时,测试工具一般接在系统边界设备(通常为交换设备)上。在该点接入漏洞扫描器,扫描探测被测信息系统设备对外暴露的安全漏洞情况。在该接入点接入协议分析仪,捕获应用程序的网络数据包,查看其安全加密和完整性保护情况。在该接入点使用渗透测试工具集,试图利用被测信息系统设备的安全漏洞,跨过系统边界,侵入被测信息系统设备。
从系统内部与测评对象不同网络区域接入时,测试工具一般接在与被测对象不在同一网络区域的内部核心交换设备上。在该点接入扫描器,直接扫描测试内部各设备对本单位其他不同网络所暴露的安全漏洞情况。在该接入点接入网络拓扑发现工具,探测信息系统的网络拓扑情况。
在系统内部与测评对象同一网络区域内接入时,测试工具一般接在与被测对象在同一网络区域的交换设备上。在该点接入扫描器,在本地直接测试各被测设备对本地网络暴露的安全漏洞情况。一般来说,该点扫描探测出的漏洞数应该是最多的,它说明设备在没有网络安全保护措施下的安全状况。
e) 结合网络拓扑图,描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。
输出/产品:测评方案的工具测试方法及内容部分。
(五) 测评指导书开发
测评指导书是具体指导测评人员如何进行测评活动的文档,是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动规范的根本。因此,测评指导书应当尽可能详尽、充分。
输入:测评方案的单项测评实施部分、工具测试内容及方法部分。
任务描述:
a) 描述单个测评对象,包括测评对象的名称、位置信息、用途、管理人员等信息。
b) 根据GB/T 28448-2012的单项测评实施确定测评活动,包括测评项、测评方法、操作步骤和预期结果等四部分。
c) 单项测评一般以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等内容。整体测评则一般以文字描述的方式表述,以测评用例的方式进行组织。
d) 根据测评指导书,形成测评结果记录表格。
输出/产品:测评指导书,测评结果记录表格。
(六) 测评方案编制
测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下内容:项目概述、测评对象、测评指标、测评内容、测评方法等等。
输入:委托测评协议书,填好的调研表格,各种与被测信息系统相关的技术资料,选用的测评工具清单,GB/T 22239-2008中相应等级的基本要求,测评方案的测评对象、测评指标、单项测评实施部分、工具测试方法及内容部分等。
任务描述:
a) 根据委托测评协议书和填好的调研表格,提取项目来源、贵公司整体信息化建设情况及被测信息系统与单位其他系统之间的连接情况等。
b) 根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来。
c) 参阅委托测评协议书和被测信息系统情况,估算现场测评工作量。工作量根据测评对象的数量和工具测试的接入点及测试内容等情况进行估算。
d) 根据测评项目组成员安排,编制工作安排情况。
e) 根据以往测评经验以及被测信息系统规模,编制具体测评计划,包括现场工作人员的分工和时间安排。
f) 汇总上述内容及方案编制活动的其他任务获取的内容形成测评方案文稿。
g) 评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿。然后,我方将测评方案提交给贵公司签字认可。
h) 根据测评方案制定风险规避实施方案。
输出/产品:经过评审和确认的测评方案文本。
■输出文档
方案编制阶段的输出文档及其内容如下表所示:
任务 | 输出文档 | 文档内容 |
现场测评准备 | 会议记录,确认的风险确认书、测评方案和现场测评工作计划,现场测评授权书 | 工作计划和内容安排,双方人员的协调,测评委托单位应提供的配合 |
访谈 | 技术和管理安全测评的测评结果记录 | 访谈记录 |
文档审查 | 技术和管理安全测评的测评结果记录 | 安全策略、技术文档、管理制度和管理执行过程文档的记录 |
实地察看 | 技术安全和管理安全测评结果记录 | 检查内容的记录 |
配置检查 | 技术安全测评的测评结果记录 | 检查内容的记录 |
工具测试 | 技术安全测评的测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件 | 漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等内容的技术测试结果 |
测评结果确认和资料归还 | 经过贵公司确认的测评证据和证据源记录 | 测评中获取的证据和证据源 |
表2-3 方案编制阶段输出文档及内容表
现场测评阶段通过与贵公司进行沟通和协调,为现场测评的顺利开展打下良好基础,依据测评方案实施现场测评工作,将测评方案和测评方法等内容具体落实到现场测评活动中。现场测评工作主要是取得报告编制活动所需的、足够的证据和资料。
现场测评阶段工作包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。基本工作流程见下图:
图2-3 现场测评阶段工作流程图
■主要任务
(一) 现场测评准备
本任务启动现场测评,是保证我方能够顺利实施测评的前提。
输入:经过评审和确认的测评方案文本,风险确认书,现场测评工作计划。
任务描述:
a) 贵公司对风险确认书签字确认,了解测评过程中存在的安全风险,做好相应的应急和备份工作。
b) 贵公司协助我方获得信息系统相关方的现场测评授权。
c) 召开测评现场首次会,我方介绍现场测评工作安排,相关方对测评计划和测评方案中的测评内容和方法等进行沟通。
d) 测评相关方确认现场测评需要的各种资源,包括测评配合人员和需要提供的测评环境等。
输出/产品:会议记录,测评方案,现场测评工作计划和风险确认书,现场测评授权书等。
(二) 现场测评和结果记录
本任务主要是测评人员按照测评指导书实施测评,并将测评过程中获取的证据源进行详细、准确记录。
输入:现场测评工作计划,现场测评授权书,测评指导书,测评结果记录表格。
任务描述:
a) 测评人员与测评配合人员确认测评对象中的关键数据已经进行了备份。
b) 测评人员确认具备测评工作开展的条件,测评对象工作正常,系统处于一个相对良好的状况。
c) 测评人员根据测评指导书实施现场测评,获取相关证据和信息。现场测评一般包括访谈、检查和测试三种测评方式。
d) 测评结束后,测评人员与测评配合人员及时确认测评工作是否对测评对象造成不良影响,测评对象及系统是否工作正常。
输出/产品:各类测评结果记录。
(三) 结果确认和资料归还
本任务主要是将测评过程中得到的证据源记录进行确认,并将测评过程中借阅的文档归还。
输入:各类测评结果记录,工具测试完成后的电子输出记录。
任务描述:
a) 测评人员在现场测评完成之后,首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评。
b) 召开测评现场结束会,测评双方对测评过程中得到的证据源记录进行现场沟通和确认。
c) 我方归还测评过程中借阅的所有文档资料,并由贵公司文档资料提供者签字确认。
输出/产品:经过贵公司确认的测评证据和证据源记录。
■输出文档
现场测评阶段的输出文档及其内容如下表所示:
任务 | 输出文档 | 文档内容 |
现场测评准备 | 会议记录,确认的风险确认书、测评方案和现场测评工作计划,现场测评授权书 | 工作计划和内容安排,双方人员的协调,测评委托单位应提供的配合 |
访谈 | 技术和管理安全测评的测评结果记录 | 访谈记录 |
文档审查 | 技术和管理安全测评的测评结果记录 | 安全策略、技术文档、管理制度和管理执行过程文档的记录 |
实地察看 | 技术安全和管理安全测评结果记录 | 检查内容的记录 |
配置检查 | 技术安全测评的测评结果记录 | 检查内容的记录 |
工具测试 | 技术安全测评的测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件 | 漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等内容的技术测试结果 |
测评结果确认和资料归还 | 经过贵公司确认的测评证据和证据源记录 | 测评中获取的证据和证据源 |
表2-4 现场测评阶段输出文档及内容表
在现场测评工作结束后,测评机构应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初步判定单项测评结果后,还需进行单元测评结果判定、整体测评、系统安全保障评估,经过整体测评后,有的单项测评结果可能会有所变化,需进一步修订单项测评结果,而后针对安全问题进行风险评估,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险评估、等级测评结论形成及测评报告编制七项主要任务。这七项任务的基本工作流程见下图:
图2-4 报告编制阶段工作流程图
■主要任务
(一) 单项测评结果判定
本任务主要是针对单个测评项,结合具体测评对象,客观、准确地分析测评证据,形成初步单项测评结果,单项测评结果是形成等级测评结论的基础。
输入:经过贵公司确认的测评证据和证据源记录,测评指导书。
任务描述:
a) 针对每个测评项,分析该测评项所对抗的威胁在被测信息系统中是否存在,如果不存在,则该测评项应标为不适用项。
b) 分析单个测评项的测评证据,并与要求内容的预期测评结果相比较,给出单项测评结果和符合程度得分。
c) 如果测评证据表明所有要求内容与预期测评结果一致,则判定该测评项的单项测评结果为符合;如果测评证据表明所有要求内容与预期测评结果不一致,判定该测评项的单项测评结果为不符合;否则判定该测评项的单项测评结果为部分符合。
输出/产品:测评报告的等级测评结果记录部分。
(二) 单元测评结果判定
本任务主要是将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果。
输入:测评报告的等级测评结果记录部分。
任务描述:
a) 按层面分别汇总不同测评对象对应测评指标的单项测评结果情况,包括测评多少项,符合要求的多少项等内容。
b) 分析每个控制点下所有测评项的符合情况,给出单元测评结果。单元测评结果判定规则如下:
——控制点包含的所有适用测评项的单项测评结果均为符合,则对应该控制点的单元测评结果为符合;
——控制点包含的所有适用测评项的单项测评结果均为不符合,则对应该控制点的单元测评结果为不符合;
——控制点包含的所有测评项均为不适用项,则对应该控制点的单元测评结果为不适用;
——控制点包含的所有适用测评项的单项测评结果不全为符合或不符合,则对应该控制点的单元测评结果为部分符合。
输出/产品:测评报告的单元测评小结部分。
(三) 整体测评
针对单项测评结果的不符合项及部分符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果。
输入:测评报告的等级测评结果记录部分和单项测评结果。
任务描述:
a) 针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他测评项能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
b) 针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他层面的测评对象能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
c) 针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他区域的测评对象能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
d) 根据上述三方面的整体测评分析情况,修正单项测评结果符合程度得分和问题严重程度值。
输出/产品:测评报告的整体测评部分。
(四) 系统安全保障评估
综合单项测评和整体测评结果,计算修正后的安全控制点得分和层面得分,并根据得分情况对被测信息系统的安全保障情况进行总体评价。
输入:测评报告的等级测评结果记录部分和整体测评部分。
任务描述:
a) 根据整体测评结果,计算修正后的每个测评对象的单项测评结果和符合程度得分。
b) 根据各对象的单项符合程度得分,计算安全控制点得分。
c) 根据安全控制点得分,计算安全层面得分。
d) 根据安全控制点得分和安全层面得分,总体评价被测信息系统已采取的有效保护措施和存在的主要安全问题情况。
输出:测评报告的系统安全保障评估部分。
(五) 安全问题风险分析
测评人员依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测信息系统安全造成的影响。
输入:填好的调查表格,测评报告的单项测评结果、整体测评部分。
任务描述:
a) 针对整体测评后的单项测评结果中部分符合项或不符合项所产生的安全问题,结合关联测评对象和威胁,分析可能对信息系统、单位、社会及国家造成的安全危害。
b) 结合安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等综合分析可能造成的安全危害中的最大安全危害(损失)结果。
c) 根据最大安全危害严重程度进一步确定信息系统面临的风险等级,结果为“高”、“中”或“低”。
输出:测评报告的安全问题风险分析部分。
(六) 等级测评结论形成
测评人员在系统安全保障评估、安全问题风险评估的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。
输入:测评报告的系统安全保障评估部分、安全问题风险评估部分。
任务描述:
根据单项测评结果和风险评估结果,计算信息系统综合得分,并得出等级测评结论。
等级测评结论分为三种情况:
a) 符合:信息系统中未发现安全问题,等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0,综合得分为100分。
b) 基本符合:信息系统中存在安全问题,部分符合和不符合项的统计结果不全为0,但存在的安全问题不会导致信息系统面临高等级安全风险,且综合得分不低于60分。
c) 不符合:信息系统中存在安全问题,部分符合项和不符合项的统计结果不全为0,而且存在的安全问题会导致信息系统面临高等级安全风险,或者综合得分低于60分。
输出/产品:测评报告的等级测评结论部分。
(七) 测评报告编制
根据报告编制活动各分析过程形成等级测评报告。等级测评报告格式应符合公安部发布的最新版《信息安全等级保护测评报告模版》。
输入:测评方案,《信息系统安全等级测评报告模版》,测评结果分析内容。
任务描述:
a) 测评人员整理前面几项任务的输出/产品,按照《信息系统安全等级测评报告模版》编制测评报告相应部分。每个被测信息系统应单独出具测评报告。
b) 针对被测信息系统存在的安全隐患,从系统安全角度提出相应的改进建议,编制测评报告的问题处置建议部分。
c) 测评报告编制完成后,测评机构应根据测评协议书、测评委托单位提交的相关文档、测评原始记录和其他辅助信息,对测评报告进行评审。
d) 评审通过后,由项目负责人签字确认并提交给测评委托单位。
输出/产品:经过评审和确认的被测信息系统等级测评报告。
■输出文档
报告编制阶段的输出文档及其内容如下表所示:
任务 | 输出文档 | 文档内容 |
单项测评结果判定 | 等级测评报告的等级测评结果记录部分 | 分析测评对象的安全现状与标准中相应等级基本要求项的符合情况,给出单项测评结果和符合程度得分 |
单元测评结果判定 | 等级测评报告的单元测评小结部分 | 汇总统计单项测评结果,分析计算控制点符合情况、存在的安全问题 |
整体测评 | 等级测评报告的整体测评部分 | 分析被测信息系统整体安全状况及对单项测评结果的影响情况,给出安全问题严重程度及对应的要求项符合程度得分修正值 |
系统安全保障评估 | 测评报告的系统安全保障评估部分 | 汇总被测信息系统已采取的安全保护措施情况,计算安全控制点得分及安全层面得分,并总体评价被测信息系统已采取的有效保护措施和存在的主要安全问题情况 |
安全问题风险分析 | 等级测评报告的安全问题风险评估部分 | 分析被测信息系统存在安全问题可能对信息系统、单位、社会及国家造成的最大安全危害(损失),并给出风险等级 |
等级测评结论形成 | 等级测评报告的等级测评结论部分 | 对测评结果进行分析,形成等级测评结论,并给出综合得分 |
测评报告编制 | 经过评审和确认的被测信息系统等级测评报告 | 等级测评结果记录,单元测评结果汇总及结果分析,整体测评过程及结果,风险分析过程及结果,等级测评结论,问题处置建议等 |
表2-5 报告编制阶段输出文档及内容表
1.1.1.3 测评指标
本次测评主要指标包括系统服务保证类(A类)基本安全要求、业务信息安全类(S类)基本安全要求、通用安全保护类(G类)基本安全要求。
本次安全测评是对贵公司信息系统是否符合国家信息系统安全等级保护相关技术标准要求的一次评判活动。相关标准规范中,对信息系统的安全等级保护从技术和管理方面提出了基本要求,本次对贵公司信息系统的安全测评选择了技术和管理方面等多个类别的单元测评内容和4个类别的整体测评。
Ø 单元测评
■安全技术测评
物理安全测评将通过访谈和检查结合的方式评测信息系统的物理安全保障情况。主要涉及对象为机房。在内容上,物理安全层面测评实施过程涉及的工作单元具体如下表:
表2-6 物理安全测评表
序号 | 工作单元名称 | 工作单元描述 |
1 | 物理位置的选择 | 通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
2 | 物理访问控制 | 检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
3 | 防盗窃和防破坏 | 检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
4 | 防雷击 | 检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
5 | 防火 | 检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
6 | 防水和防潮 | 检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
7 | 防静电 | 检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 |
8 | 温湿度控制 | 检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 |
9 | 电力供应 | 检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。 |
10 | 电磁防护 | 检查电源和通信线缆,测评信息系统是否具备一定的电磁防护能力。 |
网络安全测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及机房的网络设备、网络安全设备以及网络拓扑结构三大类对象。在内容上,网络安全层面测评过程涉及的工作单元具体如下表:
表2-7 网络安全测评表
序号 | 工作单元名称 | 工作单元描述 |
1 | 结构安全 | 检查网络拓扑情况、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 |
2 | 访问控制 | 检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。 |
3 | 安全审计 | 检查核心交换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。 |
4 | 边界完整性检查 | 检查边界完整性检查设备,接入边界完整性检查设备进行测试等过程,测评分析信息系统私自联到外部网络的行为。 |
5 | 入侵防范 | 测评分析信息系统对攻击行为的识别和处理情况。 |
6 | 恶意代码防范 | 检查网络防恶意代码产品等过程,测评分析信息系统网络边界和核心网段对病毒等恶意代码的防护情况。 |
7 | 网络设备防护 | 检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。 |
主机安全测评将通过访谈、检查的方式评测信息系统的主机安全保障情况。在内容上,主机安全层面测评实施过程涉及的工作单元具体如下表:
表2-8 主机安全测评表
序号 | 工作单元名称 | 工作单元描述 |
1 | 身份鉴别 | 检查服务器的身份标识与鉴别和用户登录的配置情况。 |
2 | 访问控制 | 检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 |
3 | 安全审计 | 检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 |
4 | 剩余信息保护 | 检查服务器鉴别信息的存储空间,被释放或再分配给其他用户前得到完全清除。 |
5 | 入侵防范 | 检查服务器在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
6 | 恶意代码防范 | 检查服务器的恶意代码防范情况。 |
7 | 资源控制 | 检查服务器对单个用户的登录方式、网络地址范围、会话数量等的限制情况。 |
应用安全测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。为信息系统整体安全性进行综合评估做准备。在内容上,应用安全层面测评实施过程涉及的工作单元具体如下表:
表2-9 应用安全测评表
序号 | 工作单元名称 | 工作单元描述 |
1 | 身份鉴别 | 检查应用系统的身份标识与鉴别功能设置和使用配置情况; 检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。 |
2 | 访问控制 | 检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。 |
3 | 安全审计 | 检查应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等; 检查应用系统安全审计进程和记录的保护情况。 |
4 | 剩余信息保护 | 检查应用系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。 |
5 | 通信完整性 | 检查应用系统客户端和服务器端之间的通信完整性保护情况。 |
6 | 通信保密性 | 检查应用系统客户端和服务器端之间的通信保密性保护情况。 |
7 | 抗抵赖 | 检查应用系统对原发方和接收方的抗抵赖实现情况。 |
8 | 软件容错 | 检查应用系统的软件容错能力,如输入输出格式检查、自我状态监控、自我保护、回退等能力。 |
9 | 资源控制 | 检查应用系统的资源控制情况,如会话限定、用户登录限制、最大并发连接以及服务优先级设置等。 |
(五) 数据安全及备份恢复
数据安全测评将通过访谈、检查结合的方式评测信息系统的数据安全保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全。在内容上,数据安全层面测评实施过程涉及的工作单元具体如下表:
表2-10 数据安全及备份恢复测评表
序号 | 工作单元名称 | 工作单元描述 |
1 | 数据完整性 | 检查鉴别信息和用户数据在传输和保存过程中的完整性保护情况等。 |
2 | 数据保密性 | 检查鉴别信息在传输和保存过程中的保密性保护情况等。 |
3 | 备份和恢复 | 检查信息系统的安全备份情况,如重要信息的备份情况。 |
■安全管理测评
安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程涉及的工作单元具体如下表:
表11 安全管理制度测评表
序号 | 工作单元名称 | 工作单元描述 |
1 | 管理制度 | 通过访谈安全主管,检查有关管理制度文档和重要操作规程,测评信息系统管理制度在内容覆盖上是否全面、完善。 |
2 | 制定和发布 | 通过访谈安全主管,检查有关制度制定和发布程序的文档,测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 |
3 | 评审和修订 | 通过访谈安全主管,检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
安全管理机构测评将通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上,安全管理机构测评实施过程涉及的工作单元具体如下表:
表12 安全管理机构测评表
序号 | 工作单元名称 | 工作单元描述 |
1 | 岗位设置 | 通过访谈安全主管,检查部门/岗位职责文件,测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
2 | 人员配备 | 通过访谈安全主管,检查人员名单等文档,测评信息系统各个岗位人员配备情况。 |
3 | 授权和审批 | 通过访谈安全主管,检查相关文档,测评信息系统对关键活动的授权和审批情况。 |
4 | 沟通和合作 | 通过访谈安全主管,检查相关文档,测评与外部单位间的沟通与合作情况。 |
5 | 审核和检查 | 通过访谈安全主管,检查记录文档等过程,测评信息系统安全工作的审核和检查情况。 |
人员安全管理测评将通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上,人员安全管理测评实施过程涉及5个工作单元,具体如下表:
表13 人员安全管理测评表
序号 | 工作单元名称 | 工作单元描述 |
1 | 人员录用 | 通过访谈人事负责人,检查人员录用文档,测评信息系统录用人员时是否对人员提出要求、是否对其进行各种审查和考核。 |
2 | 人员离岗 | 通过访谈人事负责人,检查人员离岗记录,测评信息系统人员离岗时是否按照一定的规程办理手续。 |
3 | 通过访谈安全主管,检查有关考核的记录,测评是否定期对人员进行安全技能及安全认知的考核。 | |
4 | 安全意识教育和培训 | 通过访谈安全主管,检查培训计划和执行记录等文档,测评是否对人员进行了安全方面的教育和培训。 |
5 | 外部人员访问管理 | 通过访谈安全主管,检查有关文档等过程,测评对外部人员访问受控区域是否采取必要控制措施。 |
系统建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,系统建设管理测评实施过程涉及的工作单元具体如下表:
表14 系统建设管理测评表
序号 | 工作单元名称 | 工作单元描述 |
1 | 系统定级 | 通过访谈安全主管,检查系统定级相关文档等过程,测评是否按照一定要求确定系统的安全等级。 |
2 | 安全方案设计 | 通过访谈系统建设负责人,检查系统安全建设方案等文档,测评系统整体的安全规划设计是否按照一定流程进行。 |
3 | 产品采购和使用 | 通过访谈安全主管、系统建设负责人和安全产品等过程,测评是否按照一定的要求进行系统的产品采购。 |
4 | 自行软件开发 | 通过访谈系统建设负责人,检查相关软件开发文档等,测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
5 | 外包软件开发 | 通过访谈系统建设负责人,检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
6 | 工程实施 | 通过访谈系统建设负责人,检查相关文档,测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
7 | 测试验收 | 通过访谈系统建设负责人,检查测试验收等相关文档,测评系统运行前是否对其进行测试验收工作。 |
8 | 系统交付 | 通过访谈系统运维负责人,检查系统交付清单等过程,测评是否采取必要的措施对系统交付过程进行有效控制。 |
9 | 安全服务商选择 | 通过访谈系统运维负责人,测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
系统运维管理测评将通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,系统运维管理测评实施过程涉及的工作单元具体如下表:
表15 系统运维管理测评表
序号 | 工作单元名称 | 工作单元描述 |
1 | 环境管理 | 通过访谈物理安全负责人,检查机房安全管理制度,机房和办公环境等过程,测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
2 | 资产管理 | 通过访谈资产管理员,检查资产清单,检查系统、网络设备等过程,测评是否采取必要的措施对系统的资产进行分类标识管理。 |
3 | 介质管理 | 通过访谈资产管理员,检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
4 | 设备管理 | 通过访谈资产管理员、系统管理员,检查设备使用管理文档和设备操作规程等过程,测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
5 | 网络安全管理 | 通过访谈安全主管、系统管理员,检查系统安全管理制度、系统审计日志和系统漏洞扫描报告等过程,测评是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。 |
6 | 系统安全管理 | 通过访谈安全主管、网络管理员,检查网络安全管理制度、网络审计日志和网络漏洞扫描报告等过程,测评是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。 |
7 | 恶意代码防护管理 | 通过访谈系统运维负责人,检查恶意代码防范管理文档和恶意代码检测记录等过程,测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
8 | 密码管理 | 通过访谈安全员,测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
9 | 变更管理 | 通过访谈系统运维负责人,检查变更方案和变更管理制度等过程,测评是否采取必要的措施对系统发生的变更进行有效管理。 |
10 | 备份与恢复管理 | 通过访谈系统管理员、网络管理员,检查系统备份管理文档和记录等过程,测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
11 | 安全事件处置 | 通过访谈系统运维负责人,检查安全事件记录分析文档、安全事件报告和处置管理制度等过程,测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。 |
12 | 应急预案管理 | 通过访谈系统运维负责人,检查应急响应预案文档等过程,测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
Ø 整体测评
信息系统整体安全测评与被测系统组成结构密切相关,本章从信息系统‘水平分区域,垂直分层面’的思路出发对区域和层面进行了较为详细的描述,阐述被测系统在区域、层面间存在的构成关系。通过区域和层面的描述,可以进一步理解系统整体测评的内容和要求,使系统整体测评落实到具体的测试评估内容和过程中,确保系统整体测评能够恰当充分地反映出信息系统的整体安全状况。
信息系统是由计算机及其相关配套设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,是一个复杂系统。进行安全测评时,需要对这样一个复杂的系统进行合理剖分,恰当描述。‘水平分区域,垂直分层面’的思路是对复杂的信息系统进行剖分、描述的一种可委托方法。
Ø 安全控制间安全测评
安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。例如,可以通过物理层面上的物理访问控制来增强其安全防盗窃功能等。安全功能上的削弱会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性。例如,应用安全层面的代码安全与访问控制,如果代码安全没有做好,很可能会使应用系统的访问控制被旁路。
在测评安全控制间的增强和补充作用时,应先根据安全控制的具体实现和部署方式以及信息系统的实际环境,分析出位于物理安全、网络安全、主机系统安全、应用安全和数据安全等同一层面内的哪些安全技术控制间可能存在安全功能上的增强和补充作用,分析出处在安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等同一方面内的哪些安全管理控制间可能存在安全功能上的增强和补充作用。如果增强和补充作用是可以进行测评验证的,则应设计出具体测评过程,进行测评验证。最后根据测评分析结果,综合判断安全控制相互作用后,是否发挥出更强的综合效能,使其功能增强或得到补充。
在测评安全控制间的削弱作用时,应先根据安全控制的具体实现方式和部署方式以及信息系统的实际环境,分析出位于物理安全、网络安全、主机系统安全、应用安全和数据安全等同一层面内的哪些安全技术控制间可能会存在安全功能上的削弱作用,分析出处在安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等同一方面内的哪些安全管理控制间可能存在安全功能上的削弱作用。如果功能削弱是可以进行测评验证的,则应设计出具体测评过程进行测评验证。最后根据测评分析结果,综合判断安全控制相互作用后,一个安全控制是否影响另一个安全控制的功能发挥或者给其带来新的脆弱性,使其功能削弱。
如果安全控制间优势互补,使单个低等级安全控制发挥的安全功能达到信息系统相应等级的安全要求,则可认为该安全控制没有影响信息系统的整体安全保护能力。如果安全控制间存在削弱作用,使某个安全控制的功能等级降低到其安全功能已不能达到信息系统相应等级的安全要求,则可认为该安全控制影响到信息系统的整体安全保护能力。
Ø 层面间安全测评
安全控制措施的功能发挥总是作用在信息系统的具体层面上的,这些层面主要包括物理安全、网络安全、主机系统安全、应用安全和数据安全等技术上的五个层面以及安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等管理上的五个方面。管理方面通过建立合理的人员组织、恰当的安全管理制度和操作规程等来保障安全技术能够综合有效地实现、正确地运行。
a)物理安全
物理安全是支持信息系统运行的设施环境以及构成信息系统的计算机、设备和介质等物理层面的安全。物理层面构成组件可能分布在被测单位物理控制范围内,也可能位于被测单位物理控制范围外。一般来说,大部分物理层面构成组件位于被测单位(被测系统的运营使用单位)的物理控制范围内,主要分布在机房、介质存放地和终端运行场地等空间范围内。两个或者多个相连相通的不同区域物理空间的物理安全控制措施,因为有空间上的连接连通,可能会发生关联关系,使其安全功能相互作用。
b)网络安全
网络层面构成组件负责支撑信息系统进行网络互联,为信息系统各个构成组件进行通信提供安全传输服务,一般包括计算机、网络设备(包括网络安全设备)、连接线路以及它们构成的网络拓扑等。这些网络构成组件可能位于被测单位的物理控制范围内,也可能处于被测单位物理控制范围外。一般来说,大部分网络层面构成组件位于被测单位的物理控制范围内,形成一个或者多个局域网的形式,它们是网络层面安全保护的重点。位于被测单位的物理控制范围外的网络层面组成部分通常是由通信线路和通信设备共同构成,其中,通信线路包括由骨干网、城域网等网络构成的虚拟逻辑通信线路。
位于被测单位物理控制范围内的局域网上的构成组件,根据其承载业务的情况,按照其物理和逻辑位置,划分到相应的网络区域上。位于同一区域上的不同网络设备,通过协调、协同或者依赖等相互关系,发挥出不同的功能作用,共同作用到一个区域上。
两个不同区域可能需要在网络层面上进行互联互通,交换信息。两个不同区域一般来说有不同权限的用户,面临不同的危险,有不同的安全问题,网络互联互通后,这些安全问题可能会交叉出现,给另一个区域带来相同或相似的安全问题。两个不同区域互联互通的通信线路也可能给它们的通信带来威胁。如果互联互通是经过由骨干网、城域网等网络构成的通信线路,则面临的威胁将会更不确定,更大。为了节约资源,两个不同区域可能需要共用一些网络设备资源,构成网络设备和通信线路共用的情况。网络设备和通信线路共用的两个区域可能不需要直接交换信息,但是,这同样会使得两个不同区域因共用网络设备而出现安全问题交叉的可能,给不同区域带来相同或相似的安全问题。
c)主机系统安全
主机系统层面构成的组件主要有服务器、终端/工作站等所有计算机设备上的操作系统、数据库管理系统及其相关环境等,它们直接为信息系统对信息进行采集、加工、存储、传输、检索等处理提供环境,包括为信息系统用户提供人机交互的环境。
分布在同一服务器和终端/工作站等主机系统上身份鉴别、访问控制、安全审计、系统资源控制等安全功能,需要相互协作,共同发挥作用,才能保证系统的安全。同时,为了进一步加强操作系统环境的安全,还可以在服务器和终端/工作站上安装主机入侵防范和主机恶意代码防范软件等。这使得操作系统的安全环境变得更为复杂,因此,有必要分析这些安全控制的引入对其他安全控制的影响。
d)应用安全
从功能上看,大多数应用系统主要是完成三种任务:获取用户输入,将输入存储为数据,按预定的操作规则处理这些数据。在应用系统中,用户一般需要和系统中的数据进行交互。因此,可以根据用户与数据之间所具有的层次把信息系统划分为三种:单层应用体系结构、两层应用体系结构和多层(三层以上)应用体系结构。
在单层应用体系结构中,用户界面、商业规则和数据管理等都在单一的应用层内实现。对数据本身来说,它可以是物理上位于一个远端位置,但是存取数据的逻辑却是应用系统的一部分。在这样的体系结构中,数据处理主要不是通过数据库,而是文件来存取数据,应用系统自己定义如何进行数据的存储、查询、读取等运算逻辑。应用安全和数据安全直接相关。
在两层应用体系结构模型中,商业规则和用户界面仍然结合在一起构成应用系统的客户端。但是数据的存取和管理独立出来由单独的通常是运行在不同的系统上的程序来完成,这样的数据存取和管理程序通常是数据库管理系统,如MS SQL Server、Sybase和Oracle等。数据库管理系统的安全相对独立于应用安全,但是应用安全仍然会威胁到数据安全。
在多层应用体系结构模型中,商业规则被进一步从客户端独立出来,运行在一个介于用户界面和数据存储的单独的系统之上。客户端程序提供应用系统的用户界面,用户输入数据,查看反馈回来的请求结果。商业中间层由封装了商业逻辑的组件构成,这些商业逻辑组件模拟日常的商业任务。数据层可以是数据库管理系统,也可以是事务处理或消息队列服务等。数据库管理系统离前端应用较远,中间有业务逻辑的隔离。应用层面的安全对数据库管理系统的安全影响较小。
e)数据安全
数据安全构成组件主要为信息系统安全功能数据和用户数据提供安全保护。这些数据可能处于传输和处理过程中,也可能处于存储状态。对于传输和处理过程中的数据,一般有机密性和完整性的安全要求,而对于存储中的数据,还需要有备份恢复的安全要求。
安全功能数据主要用于控制和管理信息系统的安全配置设置,使信息系统的安全功能能得到正确有效的执行。传输中的安全功能数据最常见的是用户鉴别信息,一般来说,它需要通过网络从客户端传输到认证服务器来进行鉴别。存储中的安全功能数据常见的有ACL列表、安全检测策略、审计配置等信息。用户数据主要是用于完成应用系统的使命,由应用系统按照应用目标和规则对其进行采集、加工、存储、传输、检索等处理的数据信息。
f)安全管理机构
安全管理机构包括安全管理的岗位设置、人员配备、授权和审批、沟通和合作等方面内容,严格的安全管理应该由相对独立的职能部门和岗位来完成。安全管理机构从组织上保证了信息系统的安全。
g)安全管理制度
在被测系统中,安全管理制度一般是文档化的,被正式制定、评审、发布和修订,内容包括策略、制度、规程、表格和记录等,构成一个塔字结构的文档体系,如下图所示:
图2-5 文档结构图
安全管理制度规范了各种安全管理制度的制修订和发布行为。安全管理制度直接关系到各种安全控制技术的正确、安全配置和合理使用。因此,安全管理制度的制修订和发布行为也将间接影响到信息系统的整体安全。
h)人员安全管理
人员安全管理包括信息系统用户、安全管理人员和第三方人员的管理,覆盖人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员管理等方面内容。工作人员直接运行、管理和维护信息系统的各种设备、设施和相关技术手段,与他们直接发生关联关系。因此,他们的知识结构和工作能力直接影响到信息系统其他层面的安全。
i)系统建设管理
系统建设管理包括系统定级、安全风险分析、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全测评、系统备案等信息系统安全等级建设的各个方面。信息系统的安全是一个过程,是一项工程,它不但涉及到当前的运行状态,而且还关系到信息系统安全建设的各个阶段。只有在信息系统安全建设的各个阶段确保安全,才能使得运行中的信息系统有安全保证。
j)系统运维管理
系统运维管理包括运行环境管理、资产管理、介质管理、设备使用管理、运行监控管理、恶意代码防护管理、网络安全管理、系统安全管理、密码管理、变更管理、备份和恢复管理、安全事件处置和应急计划管理等方面内容。系统运维各个方面都直接关系到相关安全控制技术的正确、安全配置和合理使用。对信息系统运维各个方面提出具体的安全要求,可以为工作人员进行正确管理和运行提供工作准绳,直接影响到整个信息系统的安全。
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。
在测评层面间的功能增强和补充作用时,应先根据层面的整合集成方式和信息系统的实际环境,重点研究不同层面上相同或相似的安全控制(如主机系统层面与应用层面上的身份鉴别之间的关系),以及技术与管理上各层面的关联关系,分析出哪些安全控制间可能会存在安全功能上的增强和补充作用。如果增强和补充作用是可以进行测评验证的,则应设计出具体测评过程,进行测评验证。最后根据测评分析结果,综合判断层面间整合后,是否发挥出更强的综合效能,使其功能增强或得到补充。
在测评层面间的功能削弱作用时,应先根据层面的整合集成方式和信息系统的实际环境,分析出哪些安全技术层面间和安全管理方面可能存在安全功能上的削弱作用。如果功能削弱是可以进行测评验证的,则应设计出具体测评过程,进行测评验证。最后根据测评分析结果,综合判断不同层面整合后,一个层面是否影响另一个层面安全功能的发挥或者给其带来新的脆弱性,使其功能削弱。
如果层面间安全功能增强或优势互补,使单个或部分低等级安全控制发挥的安全功能达到信息系统的安全要求,则可认为这些安全控制没有影响信息系统的整体安全保护能力。如果层面间存在削弱作用,使某个或某些安全控制的功能等级降低到其安全功能已不能满足信息系统相应等级的安全要求,则可认为这些安全控制影响到信息系统的整体安全保护能力。
Ø 区域间安全测评
信息系统中的计算机、设备和设施等都有其物理和逻辑位置,根据其所处的物理和逻辑位置范围可以把信息系统划分为一个或者多个不同的区域。区域具有一个相对独立的物理、逻辑范围,区域内的信息系统组件一般位于同一局域网内,面临相同或相似的物理、网络、主机、应用和管理等安全环境,采取相同或相似的安全措施,整体对外呈现一定的安全功能,使信息系统在整体安全性上表现出分区域的集成特性。
根据区域所处的网络拓扑逻辑位置,可以把信息系统的区域分为内部区域、边界区域和外部区域三大类。内部区域一般位于信息系统运营使用单位的物理控制范围内的局域网内,是信息系统进行信息处理的主体,是安全测评的一个重点。可以进一步根据业务处理功能,对内部区域进行细分,如终端区域、服务器区域等。边界区域处在两个不同的区域之间,通常是处在内部区域和信息系统外部区域之间(如连接内外区域的防火墙DMZ区),也属于信息系统的边界。信息系统外部区域通常是信息系统提供通信的公共网络(如Internet、PSTN、ISDN、公共无线网络等)和专用网络(如DDN等)。在一般意义上,信息系统外部区域不属于信息系统的一个部分,而是信息系统外的其他网络系统。在进行安全测评时,可以暂时不考虑提供通信服务的外部区域的具体实现细节,可以认为外部区域是由通信线路连接网络设备构成的,具有通信能力的抽象线路模型。通过对外部区域模型化抽象处理后,对外部区域的安全测评关注点将放在外部区域的网络安全管理上。
不同区域之间可能需要进行信息交换,特别是有业务交互、数据通信的两个区域。为了进行信息交换,保证信息交换和交换信息的安全,区域之间会产生连接、交互、依赖、协调、协同等相互关联关系,使得区域之间安全功能发生相互作用,进而相互影响。如,在有数据通信的内部区域和边界区域之间,从信息系统外对边界区域构成一定的威胁,进而可以通过边界区域和内部区域之间的数据通信关系,进一步攻击信息系统的内部区域,影响到信息系统内部区域的安全。
不同区域之间相互作用会影响到区域的安全功能,可能使一个区域的安全功能得到增强、补充,或者被削弱,或者出现依赖。发生增强作用说明两个区域发生关联关系后,一个区域已有的安全功能得到进一步增强,发挥更好的安全保护功能,具有更好的安全保护能力。发生补充作用说明两个区域发生关联关系后,一个区域原本没有的一部分安全功能,通过另一个区域的相互作用,得到补充,使其具备这些安全功能。发生削弱作用说明两个区域发生关联关系后,一个区域已有的安全功能被削弱,不能很好地发挥原有的安全保护功能。出现依赖说明一个区域的安全功能依赖于另一个区域配合,才能发挥应有的作用。依赖作用一般需要在安全控制的实现过程中事先设定,对其进行的安全测评,在安全控制工作单元的测试实施过程中已有体现。
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。例如,流入某个区域的所有网络数据都已经在另一个区域上做过网络安全审计,则可以认为该区域通过区域互连后具备网络安全审计功能。安全功能上的增强和补充可以使两个不同区域上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个区域上的安全功能影响另一个区域安全功能的发挥或者给其带来新的脆弱性。
在测评区域间的功能增强和补充作用时,应先根据区域间互连互通的集成方式和信息系统的实际环境,特别是区域间的数据流流向和控制方式,分析出哪些区域间可能会存在安全功能上的增强和补充作用。如果增强和补充作用是可以进行测评验证的,则应设计出具体测评过程,进行测评验证。最后根据测评分析结果,综合判断区域间互连互通后,是否发挥出更强的综合效能,使其功能增强或得到补充。
在测评区域间的功能削弱作用时,应先根据区域间互连互通的集成方式和信息系统的实际环境,特别是区域间的数据流流向和控制方式,分析出哪些区域间可能会存在安全功能上的削弱作用。如果功能削弱是可以进行测评验证的,则应设计出具体测评过程,进行测评验证。最后根据测评分析结果,综合判断不同区域互连互通后,一个区域是否影响另一个区域安全功能的发挥或者给其带来新的脆弱性,使其功能削弱。
如果区域间安全功能增强或优势互补,使单个或部分低等级安全控制发挥的安全功能达到信息系统的安全要求,则可认为这些安全控制没有影响信息系统的整体安全保护能力。如果区域间存在削弱作用,使某个或某些安全控制的功能等级降低到其安全功能已不能满足信息系统相应等级的安全要求,则可认为这些安全控制影响到信息系统的整体安全保护能力。
Ø 系统结构安全测评
系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。例如,由于信息系统边界上的网络入侵防范设备的管理接口连接方式不当,可能使网络访问控制出现旁路,出现信息系统整体安全防范不当。测评分析信息系统整体结构的安全性,主要是指从信息安全的角度,分析信息系统的物理布局、网络结构和业务逻辑等在整体结构上是否合理、简单、安全有效。测评信息系统整体安全防范的合理性,主要是指从系统的角度,分析研究信息系统安全防范在整体上是否遵循纵深防御的思路,明晰系统边界,确定重点保护对象,在适当的位置部署恰当的安全技术和安全管理措施等。
在测评分析信息系统整体结构的安全性时,应掌握信息系统的物理布局、网络拓扑、业务逻辑(业务数据流)、系统实现和集成方式等各种情况,结合业务数据流分析物理布局与网络拓扑之间、网络拓扑与业务逻辑之间、物理布局与业务逻辑之间、不同信息系统之间存在的各种关系,明确物理、网络和业务系统等不同位置上可能面临的威胁、可能暴露的脆弱性等,考虑信息系统的实际情况,综合判定信息系统的整体布局是否合理、主要关系是否简单、整体是否安全有效等。
在测评分析信息系统整体安全防范的合理性时,应熟悉信息系统安全保护措施的具体实现方式和部署情况等,结合业务数据流分析不同区域和不同边界与安全保护措施的关系、重要业务和关键信息与安全保护措施的关系等,参照纵深防御的要求,识别信息系统的安全防范是否突出重点、层层深入,综合判定信息系统的整体安全防范是否恰当合理等。
1.1.1.4 信息系统等级测评的组成说明
根据对被测系统区域和层面的分析描述,可以看出,信息系统的安全控制综合集成到信息系统之后,会在层面内、层面间和区域间产生连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。如果相互关联关系具有相容性质,则综合集成后,安全控制间、层面间和区域间的安全控制可能会产生功能增强、补充等良性关联作用。如果相互关联关系具有互斥性质,则综合集成后,安全控制间、层面间和区域间的安全控制可能会产生功能削弱的劣性关联作用。
在信息系统在安全控制部署、层面整合和区域互连等系统集成后呈现出的安全集成特性,在安全控制的工作单元中是没有体现的。因此,安全控制测评的基础上,有必要对集成系统和运行环境进行整体测评,以确定安全控制部署、层面整合、区域互连乃至整体系统结构等是否会增强或者削弱信息系统的整体安全保护能力;缺失或者低等级的安全控制是否会影响到系统的整体安全功能,在高等级的信息系统使用低等级的安全控制是否达到相应等级的安全要求等。
在测评内容上,在安全控制测评基础上,信息系统整体安全性测评应重点测评分析不同安全控制的部署、层面的整合和区域的互连后其安全功能的相互作用和对信息系统整体安全功能的影响,具体应包括:安全控制间安全测评、层面间安全测评、区域间安全测评和系统结构安全测评等。因此,整个信息系统的等级测评内容构成如下图表示:
图2-6 信息系统等级测评内容构成图