4现场测评
现场测评是测评工作的重要阶段。风险评估中的风险识别阶段,对应现场测评,通过对组织和信息系统中资产、威胁、脆弱性等要素的识别,是进行信息系统安全风险分析的前提。现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。
(1)现场测评准备
为保证测评机构能够顺利实施测评,测评准备工作需要包括以下内容:1测评委托单位签署现场测评授权书;2召开测评现场首次会,测评机构介绍测评工作,交流测评信息,进一步明确测评计划和方案中的内容,说明测评过程中具体的实施工作内容,测评时间安排等,以便于后面的测评工作开展;3测评双方确认现场测评需要的各种资源,包括测评委托单位的配合人员和需要提供的测评条件等,确认被测系统已备份过系统及数据;4测评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新。
(2)现场测评和结果记录
现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看5方面。现场测评覆盖到被测系统安全技术的5个层面和安全管理的5方面。安全技术的5个层面具体为:物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复。安全管理的5方面具体为:安全管理制度、安全管理机构、人员安全管理、系统建设安全管理和系统运维安全管理。
物理安全检查将通过访谈和检查的方式评测目标系统的物理安全保障情况,主要涉及对象为机房。在内容上,物理安全层面测评实施过程涉及10个控制点。
网络安全检查将通过访谈、检查和测试的方式评测目标系统的网络安全保障情况,主要涉及对象包括网络设备、网络安全设备以及网络拓扑结构等三大类对象。在内容上,网络安全层面测评过程涉及8个控制点。
主机系统安全检查将通过访谈、检查和测试的方式评测目标系统的主机系统安全保障情况。在内容上,主机系统安全层面测评实施过程涉及7个控制点。
应用安全检查将通过访谈、检查和测试的方式评测目标系统的应用安全保障情况。在内容上,应用安全层面测评实施过程涉及9个控制点。
数据安全及备份恢复评估将通过访谈和检查的方式评测目标系统的数据安全及备份恢复保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全及安全备份恢复情况。在内容上,实施过程涉及3个控制点。
安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况,主要涉及安全主管人员、安全管理人员、各类其他人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程涉及3个控制点。
安全管理机构测评将通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况,主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上,安全管理机构测评实施过程涉及5个控制点。
人员安全管理测评将通过访谈和检查的形式评测人员安全方面的情况,主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上,人员安全管理测评实施过程涉及5个控制点。
系统建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况,主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,系统建设管理测评实施过程涉及9个控制点。
系统运维管理测评将通过访谈和检查的形式评测系统运维管理过程中的安全控制情况,主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,系统运维管理测评实施过程涉及13个控制点。
现场测评需要记录大量信息,产生各种文档,这些需要进行结果记录。
(3)结果确认和资料归还
现场测评结束时,需要做好记录和确认工作,并将测评的结果征得评测双方认同确认。主要包括测评人员在现场测评完成之后,应首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评;召开测评现场结束会,测评双方对测评过程中发现的问题进行现场确认。测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供者签字确认。需要注意的是现场测评中发现的问题要及时汇总,保留证据和证据源记录,同时提供测评委托单位的书面认可文件。
643测评指标知多少
二级基本要求:在一级基本要求的基础上,技术方面,二级要求在控制点上增加了物理位置的选择、防静电、电磁防护、网络安全审计、网络入侵防范、边界完整性检查、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信保密性以及数据保密性等。管理方面,增加了审核和检查、管理制度的评审和修订、人员考核、密码管理、变更管理和应急预案管理等控制点。
三级基本要求:在二级基本要求的基础上,技术方面,在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。管理方面,增加了系统备案、安全测评、监控管理和安全管理中心等控制点。
四级基本要求:在三级基本要求的基础上,技术方面,在系统和应用层面控制点上增加了安全标记、可信路径。
要求项增多,如对“身份鉴别”,一级要求“进行身份标识和鉴别”,二级增加要求“口令复杂度、登录失败保护等”,三级则要求“采用两种或两种以上组合的鉴别技术”。项目增加,要求增强。
范围增大,如对物理安全的“防静电”,二级只要求“关键设备应采用必要的接地防静电措施”,三级则在对象的范围上发生了变化,为“主要设备应采用必要的接地防静电措施”。范围的扩大,表明了该要求项强度的增强。
要求细化:如人员安全管理中的“安全意识教育和培训”,二级要求“应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训”,三级在对培训计划进行了进一步的细化,为“应针对不同岗位制定不同培训计划”,培训计划有了针对性,更符合各个岗位人员的实际需要。
粒度细化:如网络安全中的“访问控制”,二级要求“控制粒度为网段级”,三级要求则将控制粒度细化,为“控制粒度为端口级”。由“网段级”到“端口级”,粒度上的细化,同样增强了要求的强度。
3不同保护等级的控制点对比
技术层面主要包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复51测评指标项数量
信息安全等级保护指标主要有技术层面和管理层面组成。测评指标随着保护等级的增高而要求增加、范围增大、测评细化和力度细化。1~4级的测评指标数量如表6-4所示。
2测评指标要求
表6-41~4级的测评指标数量
类;管理层面主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5类。每个类别下面有若干控制点组成,如表6-5所示。控制点在1-4级测评标准中,数量分布如表6-6所示。
表6-5控制点分布
表6-6控制点在1~4级测评标准中的数量分布
644测评结果是如何研判的
如何衡量给出最终测评结果,需要用到评估技术。在等级保护中,主要是通过量化手段进行测评分析。量化的好处在于保留符合性的特点、量化预期结果、量化判定标准、突出安全控制措施的效果验证、促进测评工具化等优点,便于数据展示和统计分析。
1结果研判步骤
(1)单对象单测评项研判
在等级保护测评中,单项测评项根据测评项的符合程度进行赋值,采取5分制。根据测评证据符合程度(可参考判分标准)给每个测评对象的每个测评项判分,分为0~5分,6种结果;对测评符合的项,单项量化结果为5分,如测评结果部分符合的情况,则单项量化结果为1~4分,不符合为0分。针对每个测评对象对应的每个测评项,分析该测评项所对抗的威胁在被测系统中是否存在,如果不存在,则该测评项应标为不适用项。不适用项不进行计算和测评项的量化。
(2)测评项权重赋值
公安部联合多家测评机构,依据重要控制点和同一控制点下的重要测评项,将测评项分为三档权重,分别为1、05、02。
(3)控制点分析与量化
安全层面可能包括多个测评对象,因此控制点在计算时需要考虑测评项的多对象属性。安全控制点采用5分制得分。控制点得分为5分或0分,则对应该测评指标的单元测评结果为符合或不符合;控制点得分为1、2、3、4分,则对应该测评指标的单元测评结果为部分符合。控制点得分主要用于等级测评报告中控制点符合情况汇总。等级测评报告中要求以表格形式汇总测评结果,表格以不同颜色对测评结果进行区分,部分符合(安全控制点得分在0分和5分之间,不等于0分或5分)的安全控制点采用黄色标识,不符合(安全控制点得分为0分)的安全控制点采用红色标识。
(4)问题严重程度值计算