配置检查是指利用上机验证的方式检查网络安全、主机安全、应用安全、数据安全的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),并记录测评结果。配置检查是衡量一家测评机构实力的重要体现。检查对象包括数据库系统、操作系统、中间件、网络设备、网络安全设备。
工具测试是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,通过查看、分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。
实地查看根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。如扫描探测、渗透测试、协议分析等手段。
2测评实施准备
由于信息系统安全测评受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响,因此,在测评实施前,应充分做好测评前的各项准备工作。测评实施准备工作主要包括如下内容:明确测评目标、确定测评范围、组建测评团队、召开测评实施工作启动会议、系统调研、确定系统测评标准、确定测评工具、制定测评方案、测评工作协调、文档管理和测评风险规避等11项准备工作。同时,信息系统安全测评涉及组织内部有关重要信息,被评估组织应慎重选择评估单位、评估人员的资质和资格,并遵从国家或行业相关管理要求。下面分别描述11项准备工作。
1明确测评目标:等级保护测评目标是验证信息信息系统是否达到定级基本要求。
2确定测评范围:信息系统测评范围,可以是系统组织全部信息及与信息处理相关的各类资产、管理机构,也可以是某个独立信息系统、关键业务流程等。通常依据下面几个原则来作为测评范围边界的界定方法:业务系统的业务逻辑边界、网络及设备载体边界、物理环境边界、组织管理权限边界等。在等级、分级测评中,如果出现在边界处共用设备,则通常将该设备划分到较高等级的范围内。
3组建测评团队:测评实施团队应由被测评组织、测评机构等共同组建测评小组;由被测评组织领导、相关部门负责人,以及测评机构相关人员成立测评工作领导小组;聘请相关专业的技术专家和技术骨干组成专家组。为确保测评的顺利有效进行,应采用合理的项目管理机制。通常测评机构角色主要包括测评组长、技术测评人员、管理测评人员、质量管控人员。被测评单位角色主要包括测评组长、信息安全管理人员、业务人员、运维人员、开发人员、协调人员。
4测评实施工作启动会议:为保障测评工作的顺利开展,确立工作目标、统一思想、协调各方资源,应召开测评实施工作启动会议。启动会一般由测评工作领导小组负责人组织召开,参与人员应该包括测评小组全体人员,相关业务部门主要负责人,如有必要可邀请相关专家组成员参加。启动会主要内容主要包括:被测评组织领导宣布此次评估工作的意义、目的、目标,以及评估工作中的责任分工;被测评组织项目组长说明本次评估工作的计划和各阶段工作任务,以及需配合的具体事项;测评机构项目组长介绍评估工作一般性方法和工作内容等。通过启动会可对被测评组织参与测评人员以及其他相关人员进行测评方法和技术培训,使全体人员了解和理解测评工作的重要性,以及各工作阶段所需配合的工作内容。测评实施启动会议需要进行会议记录,形成会议摘要。
5系统调研:系统调研是了解、熟悉被测评对象的过程,测评实施小组应进行充分的系统调研,以确定系统测评的依据和方法。系统调研可采取问卷调查、现场面谈、人员访谈、资料查阅、实地查看相结合的方式进行。
在等级保护测评工作中,系统调研主要收集与信息系统相关的物理环境信息、网络信息、主机信息、应用信息、管理信息。其中网络信息包括网络拓扑图、网络结构、系统外联、网络设备、安全设备。将上述信息通过表格方式进行保存,为下一步制定测评方案、开展现场测评、形成测评报告提供前提。
6确定系统测评标准:因业务、行业、主管部门、地区等不同,系统测评标准依据存在个性化差异。信息系统测评依据应包括:
适用的法律、法规。
现有国际标准、国家标准、行业标准。
行业主管机关的业务系统的要求和制度。
与信息系统安全保护等级相应的基本要求。
被测评组织的安全要求。
系统自身的实时性或性能要求等。
7确定测评工具:主要包括测评前的表格、文档、检测工具等各项准备工作。测评工作通常包括根据评估对象和评估内容合理选择相应的测评工具,测评工具的选择和使用应遵循以下原则:
脆弱性发现工具,应具备全面的已知系统脆弱性核查与检测能力。
测评工具的检测规则库应具备更新功能,能够及时更新。
测评工具使用的检测策略和检测方式不应对信息系统造成不正常影响。
可采用多种测评工具对同一测试对象进行检测,如果出现检测结果不一致的情况,应进一步采用必要的人工检测和关联分析,并给出与实际情况最为相符的结果判定。
评估工具的选择和使用必须符合国家有关规定。
测评工具应包括:主机检查、服务器检查、数据库检查、中间件检查、web检查、专用业务检查、协议检查、口令检查、安全设备检查、网络设备检查、性能压力检查等。
8制定测评方案:测评方案是测评工作实施活动总体计划,用于管理评估工作的开展,使测评各阶段工作可控。测评方案是测评项目验收的主要依据之一,是测评人员进行内部工作交流、明确工作任务的操作指南。通常测评方案给出具体的现场测评的工作思路、方法、方式和具体测评对象及其内容。测评方案应得到被评估组织的确认和认可。
9测评工作协调:为了确保测评工作的顺利开展,测评方案应得到被评估组织最高管理者的支持、批准。同时,须对管理层和技术人员进行传达,在组织范围内就测评相关内容进行培训,以明确有关人员在评估工作中的任务。在测评工作中,可能需要测评双方多次沟通,就测评具体细节进行协调。
10文档管理:文档是测评工作的最终体现方式。为确保文档资料的完整性、准确性和安全性,应遵循以下原则:
指派专人负责管理和维护项目进程中产生的各类文档,确保文档的完整性和准确性。
文档的存储应进行合理的分类和编目,确保文档结构清晰可控。
所有文档应注明项目名称、文档名称、版本号、审批人、编制日期、分发范围等信息。
不得泄露给与本项目无关的人员或组织,除非预先征得被评估组织项目负责人的同意。同时,测评组织需要有专门的存储介质、安全柜和人员,对测评所产生的记录文档进行一定时间的保存。如等级保护三级系统所产生的测评报告和记录需要保持3年以上。
?测评风险规避:测评工作自身也存在风险,一是结果是否准确有效,能够达到预先目标存在风险;二是测评中的某些测试操作可能给被测评组织或信息系统引入新的风险。应通过技术培训和保密教育、制定测评过程管理相关规定、编制应急预案等措施进行风险规避。同时双方应签署保密协议,测评单位和测评人员签署个人保密协议。
3测评方案编制
方案编制过程是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本过程的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
1确定测评对象。一般采用抽查的方法,即:抽查信息系统中具有代表性的组件作为测评对象。在确定测评对象时,需遵循以下原则:
重要性,应抽查对被测评系统来说重要的服务器、数据库和网络设备等。
安全性,应抽查对外暴露的网络边界。
共享性,应抽查共享设备和数据交换平台设备。
代表性,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。
恰当性,选择的设备、软件系统等应能符合相应等级的测评强度要求。
2确定测评指标及测评内容。根据被测系统调查表格,得出被测系统的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施asg组合情况。如,目标系统的安全保护等级为第三级(s3a3g3),其测评指标应包括《基本要求》71节“技术要求”和72节“管理要求”中的第三级通用指标类(g3)、第三级业务信息安全性指标类(s3)和第三级业务服务保证类(a3)要求。对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则。
3确定测评工具接入点。一般来说,测评工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入,即:测评工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。从被测系统边界外接入时,测评工具一般接在系统边界设备(通常为交换设备)上。在该点接入漏洞扫描器,扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况;从系统内部与测评对象不同网段接入时,测评工具一般接在与被测对象不在同一网段的内部核心交换设备上;在系统内部与测评对象同一网段内接入时,测评工具一般接在与被测对象在同一网段的交换设备上;结合网络拓扑图,采用图示的方式描述测评工具的接入点、测评目的、测评途径和测评对象等相关内容。
4确定测评内容与方法。将测评对象与测评指标进行映射构成测评内容,并针对不同的测评内容合理地选择测评方法形成具体的测评实施内容。
5确定测评指导书。测评指导书是指导和规范测评人员现场测评活动的文档,包括测评项、测评方法、操作步骤和预期结果等四部分。在测评对象和指标确定的基础上,将测评指标映射到各测评对象上,然后结合测评对象的特点,选择应采取的测评方法并确定测评步骤和预期结果,形成不同测评对象的具体测评指导书。
6确定测评方案。综合以上结果内容以及测评工作计划形成测评方案,测评方案主要内容包括测评概述、目标系统概述、定级情况、网络结构、主机设备情况、应用情况、测评方法与工具、测评内容、时间安排、风险揭示与规避等。