1、 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心信息系統安全信息系統安全等級保護等級保護測評實施測評實施張杰宏張杰宏四川省軟件和信息系統工程測評中心四川省軟件和信息系統工程測評中心2013年年03月月20日日 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心目錄n第一篇第一篇 測評實施工作流程及主要

2、內容測評實施工作流程及主要內容n第二篇第二篇 GB/T 22239-2008 信息系統信息系統安全等級保護基本要求安全等級保護基本要求介紹介紹 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心第一篇第一篇測評實施工作流程及主要內容測評實施工作流程及主要內容 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心 測評流程測評流程 中

3、國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心測評準備活動的目標測評準備活動的目標測評機構組建等級測評測評機構組建等級測評項目組，項目組，獲取獲取測評委托單位及被測系統的測評委托單位及被測系統的基本情況基本情況，從基本資料、人員、，從基本資料、人員、計劃安排等方面為整個等級測評計劃安排等方面為整個等級測評項目的實施做項目的實施做基本準備基本準備。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409

4、NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心 測評準備活動測評準備活動n項目啟動：項目啟動：n組建測評項目組n編制項目計劃書n確定測評委托單位應提供的資料：總體描述文件、詳細描述文件、定級報告、自查報告和等級測評報告（如果曾做過的話），以及安全需求分析報告、安全總體方案、系統驗收報告等信息系統設計和建設過程的文檔。n信息收集和分析：信息收集和分析：n收集、查閱被測系統已有定級報告、系統描述文件、系統安全設計方案、自查報告和等級測評報告（如果曾做過的話）等資料n編制和發放調查表格n協助測評單位填寫調查表或現場調查（電話或郵件方式）n收回和分析調查結果：整體網絡結構和系統

5、組成分析、定級對象邊界和系統構成組件分析、定級對象的相互關聯分析n工具和表單準備：工具和表單準備：n調試測評工具n模擬被測系統，搭建測評環境n模擬測評n準備和打印表單：現場測評授權書、文檔交接單、會議記錄表單、會議簽到表單等 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心測評準備活動任務之一測評準備活動任務之一-項目啟動項目啟動n根據測評雙方簽訂的委托測評協議書和系根據測評雙方簽訂的委托測評協議書和系統規模，測評機構組建測評項目組，從人統規模，測評機構組建測

6、評項目組，從人員方面做好準備，并編制項目計劃書。員方面做好準備，并編制項目計劃書。n測評機構要求測評委托單位提供基本資測評機構要求測評委托單位提供基本資料，包括被測系統總體描述文件、詳細描料，包括被測系統總體描述文件、詳細描述文件、安全需求分析報告、安全總體方述文件、安全需求分析報告、安全總體方案、系統驗收報告、安全保護等級定級報案、系統驗收報告、安全保護等級定級報告、自查或上次等級測評報告（如果有）告、自查或上次等級測評報告（如果有）、測評委托單位的信息化建設狀況與發展、測評委托單位的信息化建設狀況與發展以及聯絡方式等。以及聯絡方式等。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電

7、子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心測評準備活動任務之二測評準備活動任務之二-信息收集與分析的目標信息收集與分析的目標p通過查閱被測系統已有資料或使用調查表格的方式，了解整個系統的構成和保護情況，為編寫測評方案和開展現場測評工作奠定基礎。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心測評準備活動任務之二測評準備活動任務之二-信息收集與分析信息收集與分析n測評機構收

8、集等級測評需要的各種資料。測評機構收集等級測評需要的各種資料。n測評機構將調查表格提交給測評委托單位，測評機構將調查表格提交給測評委托單位， 促并協助相關人員準確填寫調查表格。促并協助相關人員準確填寫調查表格。n測評機構收回填寫完成的調查表格，并初步測評機構收回填寫完成的調查表格，并初步 析調查結果。析調查結果。n根據調查表格填寫情況安排現場調研。根據調查表格填寫情況安排現場調研。n對調查了解到的信息進行綜合分析及整理，對調查了解到的信息進行綜合分析及整理， 進一步了解和熟悉信息系統的實際情況。進一步了解和熟悉信息系統的實際情況。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監

9、督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心信息收集與分析信息收集與分析-調查表調查表n調查內容全面調查內容全面n調查項目順序合理調查項目順序合理n保留項目之間的邏輯關聯保留項目之間的邏輯關聯 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心信息收集與分析信息收集與分析-調查表調查表調查表清單調查表清單n表表1-1 單位基本情況單位基本情況n表表1-2 參與人員名單參與人員名單n表表

10、1-3 物理環境情況物理環境情況n表表1-4 信息系統基本情況信息系統基本情況n表表1-5 承載業務（服務）情況調查承載業務（服務）情況調查n表表1-6 信息系統網絡結構（環境）情況調查信息系統網絡結構（環境）情況調查n表表1-7 外聯線路及設備端口（網絡邊界）情況調查外聯線路及設備端口（網絡邊界）情況調查n表表1-8 網絡設備情況調查網絡設備情況調查n表表1-9 安全設備情況調查安全設備情況調查n表表1-10 服務器設備情況調查服務器設備情況調查n表表1-11 終端設備情況調查終端設備情況調查n表表1-12 系統軟件情況調查系統軟件情況調查n表表1-13 應用系統軟件情況調查應用系統軟件情況

11、調查n表表1-14 業務數據情況調查業務數據情況調查n表表1-15 數據備份情況調查數據備份情況調查n表表1-16 應用系統軟件處理流程調查應用系統軟件處理流程調查n表表1-17 業務數據流程調查業務數據流程調查n表表1-18 管理文檔情況調查管理文檔情況調查n表表1-19 安全威脅情況調查安全威脅情況調查 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心信息收集與分析信息收集與分析-調查內容調查內容p物理環境信息收集機房數量、物理位置辦公環境p網絡信息收集網

12、絡拓撲圖網絡結構系統外聯網絡設備安全設備 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心信息收集與分析信息收集與分析-調查內容調查內容p主機主機信息收集信息收集服務器、工作站服務器、工作站終端終端業務終端、管理終端、設備控制臺業務終端、管理終端、設備控制臺p應用信息收集應用信息收集應用系統應用系統業務數據業務數據p管理信息收集管理信息收集機構設置機構設置人員職責分配人員職責分配管理文檔管理文檔 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督

13、檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心信息收集與分析信息收集與分析-調查結果分析調查結果分析n整體網絡結構和系統組成分析整體網絡結構和系統組成分析n定級對象邊界和系統構成組件分析定級對象邊界和系統構成組件分析n定級對象的相互關聯分析定級對象的相互關聯分析 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心調查結果分析調查結果分析-整體網絡結構和系統組成分析整體網絡結構和系統組成分析

14、p網絡結構網絡結構關注信息系統的支撐網絡，分析 網絡結構、網絡區域、對外邊界 等 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心調查結果分析調查結果分析-整體網絡結構和系統組成分析整體網絡結構和系統組成分析 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心調查結果分析調查結果分析-整體網絡結構和系統組成分析整體網絡結構和系統

15、組成分析p系統組成系統組成 關注信息系統中定級對象的數量關注信息系統中定級對象的數量 、每個定級對象的級別、每個定、每個定級對象的級別、每個定 級對象所處的網絡區域、每個定級對象所處的網絡區域、每個定 級對象承載的應用情況等級對象承載的應用情況等 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心調查結果分析調查結果分析-整體網絡結構和系統組成分析整體網絡結構和系統組成分析p邊界分析邊界分析分析和確定每個定級對象的系統分析和確定每個定級對象的系統邊界，并確定其在

16、網絡中的物理邊界，并確定其在網絡中的物理邊界，多個定級對象的物理邊界邊界，多個定級對象的物理邊界可能為一個，例如多個定級對象可能為一個，例如多個定級對象共用同一個防火墻或交換機作為共用同一個防火墻或交換機作為其邊界設備。其邊界設備。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心調查結果分析調查結果分析-整體網絡結構和系統組成分析整體網絡結構和系統組成分析p相互關聯如各自為獨立的應用系統，沒有數據交換；或各自為獨立的應用系統，但是通過特定的設備交換數據；或整

17、體為一個應用系統，不同的定級對象中部署應用系統的不同模塊，數據交換通過不同模塊乊間的數據通信實現等等。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心測評準備活動任務測評準備活動任務之之三三-工具和表單準備工具和表單準備n測評人員熟悉被測系統應用業務流程等。測評人員熟悉被測系統應用業務流程等。n測評人員調試本次測評過程中將用到的測評測評人員調試本次測評過程中將用到的測評工具，包括漏洞掃描工具、滲透性測試工具工具，包括漏洞掃描工具、滲透性測試工具、性能測試工具

18、和協議分析工具等。、性能測試工具和協議分析工具等。n測評人員模擬被測系統搭建測評環境。測評人員模擬被測系統搭建測評環境。n準備和打印表單，主要包括：現場測評授權準備和打印表單，主要包括：現場測評授權書、文檔交接單、會議記錄表單、會議簽到書、文檔交接單、會議記錄表單、會議簽到表單等。表單等。20 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心方案編制活動的目標方案編制活動的目標p整理測評準備活動中獲取的 信息系統相關資料，為現場測評活動提供最基本的文檔和指導方

19、案。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心 方案編制活動方案編制活動n測評對象確定：測評對象確定：n識別被測系統等級n識別被測系統的整體結構n識別被測系統的邊界n識別被測系統的網絡區域n識別被測系統的重點節點和業務應用n確定測評對象n測評指標確定：測評指標確定：n識別被測系統業務信息和系統服務安全保護等級n選擇對應等級的ASG三類安全要求作為測評指標n就高原則調整多個定級對象共用的某些物理安全或管理安全測評指標n測評內容確定測評內容確定n識別每個測

20、評對象對應的測評指標n識別每個測評對象對應的每個測評指標的測評方法n工具測試方法確定工具測試方法確定n確定工具測試的測評對象n選擇測試路徑n確定測試工具的接入點n測評指導書開發測評指導書開發n從已有的測評指導書中選擇與測評對象對應的手冊n針對沒有現成測評指導書的測評對象，開發新的測評指導書n測評方案編制測評方案編制n描述測評項目基本情況和工作依據n描述被測系統的整體結構、邊界和網絡區域n描述被測系統重要節點和業務應用n描述測評指標n描述測評對象n描述測評內容、方法和工具n人員安排與進度計劃 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L

21、0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心23方案編制活動任務之一方案編制活動任務之一-確定測評對象確定測評對象p 識別被測評系統的安全保護等級p 識別被測評系統的整體結構p 識別被測評系統的邊界p識別被測評系統的網絡區域p識別被測評系統的重要節點和業務應用p根據上述級別、網絡結構、邊界等情況確定測 評對象 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心方案編制活動任務之一方案編制活動任務之一-確定測評對象確定測評對象n

22、測評對象的確定一般采用抽查的方法，即抽查信息系統中具有代表性的組件作為測評對象，并且在測評對象確定任務中應兼顧工作投入與結果產出兩者的平衡關系。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心方案編制活動任務之一方案編制活動任務之一- -確定測評對象確定測評對象p測評對象種類上基本覆蓋、數量進行抽樣，抽查的測評對象種類主要考慮以下幾個方面： n主中心（包括其環境、設備和設施等)和部分輔機房 n存儲被測系統重要數據的介質的存放環境 n辦公場地 n整個系統的網絡

23、拓撲結構 n安全設備，包括防火墻、入侵檢測設備和防病毒網關等 n邊界網絡設備（可能會包含安全設備)，包括路由器、防火墻、認證網關和邊界接入設備（如樓層交換機)等 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心方案編制活動任務之一方案編制活動任務之一-確定測評對象確定測評對象n對整個信息系統或其局部的安全性起作用的網絡互聯設備，如核心交換機、匯聚層交換機、路由器等 n承載被測系統主要業務或數據的服務器（包括其操作系統和數據庫) n管理終端和主要業務應用系統終端

24、 n能完成被測系統不同業務使命的業務應用系統 n業務備份系統 n信息安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業務負責人 n涉及到信息系統安全的所有管理制度和記錄 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心27方案編制活動任務之二方案編制活動任務之二-確定測評指標確定測評指標p 測評指標來源于國家對不同測評指標來源于國家對不同安全保護等級信息系統的基本要安全保護等級信息系統的基本要求求GB/T 22239-2008 。p 依據定級情況確定

25、定級對象依據定級情況確定定級對象應采取的安全保護措施應采取的安全保護措施SAG組合組合情況，并從基本要求中選擇相應情況，并從基本要求中選擇相應等級的安全要求作為測評指標。等級的安全要求作為測評指標。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心28方案編制活動任務之三方案編制活動任務之三-確定測評內容確定測評內容測評指標測評指標測評對象測評對象p物理安全物理安全機房、辦公環境、機房相關文機房、辦公環境、機房相關文 檔等檔等p網絡安全網絡安全交換機、防火墻、

26、路由器、交換機、防火墻、路由器、IDS等等p主機安全主機安全操作系統、數據庫系統等操作系統、數據庫系統等p應用安全應用安全應用軟件、應用平臺等應用軟件、應用平臺等p管理安全管理安全文檔（制度、規程、記錄）、文檔（制度、規程、記錄）、人員等人員等 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心方案編制活動任務之四方案編制活動任務之四-確定工具測試方法確定工具測試方法n 第一步，確定工具測試的測評對象第一步，確定工具測試的測評對象n第二步，選擇測試路徑第二步，選

27、擇測試路徑 從被測系統外部測試被測系統從被測系統外部測試被測系統 在被測系統內部，從與測評對象不同在被測系統內部，從與測評對象不同網段測試測評對象網段測試測評對象 在被測系統內部，與測評對象同一網在被測系統內部，與測評對象同一網段測試測評對象段測試測評對象n第三步，確定接入點。第三步，確定接入點。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心方案編制活動任務之五方案編制活動任務之五-開發測評指導書開發測評指導書n對象明確（適用范圍）對象明確（適用范圍）n步

28、驟描述準確、詳細，預期結果明確步驟描述準確、詳細，預期結果明確n經過仿真環境驗證經過仿真環境驗證 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心方案編制活動任務之六方案編制活動任務之六-編制測評方案編制測評方案n1.根據委托測評協議書和填好的調研表格，提取項目來根據委托測評協議書和填好的調研表格，提取項目來源、測評委托單位整體信息化建設情況及被測系統與單位源、測評委托單位整體信息化建設情況及被測系統與單位其他系統之間的連接情況等。其他系統之間的連接情況等。n

29、2.依據委托測評協議書和被測系統規模，估算現場測評依據委托測評協議書和被測系統規模，估算現場測評工作量，確定人員分工和測評計劃。工作量，確定人員分工和測評計劃。n3.描述測評對象、測評方式和工具。描述測評對象、測評方式和工具。n4.描述測評指標。描述測評指標。n5.描述現場測評實施內容，包括單項測評和整體測評。描述現場測評實施內容，包括單項測評和整體測評。n6.匯總上述匯總上述5個步驟的各類文檔和資料形成測評方案文個步驟的各類文檔和資料形成測評方案文稿。稿。n7.評審和提交測評方案。評審和提交測評方案。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢

30、驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心現場測評活動的目標現場測評活動的目標p按照測評方案的總體要求，嚴格執按照測評方案的總體要求，嚴格執行測評指導書，分步實施所有測評行測評指導書，分步實施所有測評項目，了解系統的真實保護情況，項目，了解系統的真實保護情況，獲取足夠證據，發現系統存在的安獲取足夠證據，發現系統存在的安全問題。全問題。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心 現場測評活動現場測評活動

31、 n現場測評準備：現場測評準備：n現場測評授權書簽署n召開現場測評啟動會n雙方確認測評方案n雙方確認配合人員、環境等資源n確認信息系統已經備份n更新測評方案、結果記錄表格等資料n現場測評和結果記錄：現場測評和結果記錄：n進場確認n依據測評指導書實施測評n記錄測評獲取的證據、資料等信息n匯總測評記錄，如果需要，實施補充測評n離場確認n結果確認和資料歸還結果確認和資料歸還n召開現場測評結束會n測評委托單位確認測評過程中獲取的證據和資料的正確性，并簽字認可n測評人員歸還借閱的各種資料 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 N

32、O.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心現場測評活動任務之一現場測評活動任務之一-現場測評準備現場測評準備n被測單位簽署現場測評授權書。被測單位簽署現場測評授權書。n召開測評現場首次會，測評機構介縐測評工作召開測評現場首次會，測評機構介縐測評工作，交流測評信息，進一步明確測評計劃和方案中，交流測評信息，進一步明確測評計劃和方案中的內容，說明測評過程中具體的實施工作內容，的內容，說明測評過程中具體的實施工作內容，測評時間安排等。測評時間安排等。n測評雙方對測評方案進行最終審定。測評雙方對測評方案進行最終審定。n測評雙方確認現場測評需要的各種資源，包括測評雙方確認現場測

33、評需要的各種資源，包括被測單位的配合人員和需要提供的測評條件等，被測單位的配合人員和需要提供的測評條件等，確認已備仹過系統及數據。確認已備仹過系統及數據。n測評人員根據會議溝通結果，對測評結果記錄測評人員根據會議溝通結果，對測評結果記錄表單和測評程序進行必要的更新。表單和測評程序進行必要的更新。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心現場測評活動任務之二現場測評活動任務之二-現場測評和結果記錄現場測評和結果記錄n測評人員與被測系統有關人員（個人測評人

34、員與被測系統有關人員（個人/群體）群體）進行交流、討論等活動，獲取相關證據，了解進行交流、討論等活動，獲取相關證據，了解有關信息。有關信息。n測評人員查閱相關文檔，獲取相關證據。測評人員查閱相關文檔，獲取相關證據。n測評人員通過上機驗證方式獲取系統配置方面測評人員通過上機驗證方式獲取系統配置方面的相關證據。的相關證據。n測評人員利用測試工具進行測試獲取漏洞、通測評人員利用測試工具進行測試獲取漏洞、通信安全性以及入侵防范等方面的證據。信安全性以及入侵防范等方面的證據。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L040

35、9 四川省信息系統工程測評中心四川省信息系統工程測評中心現場測評活動任務之二現場測評活動任務之二-現場測評現場測評p 依據工具和實施過程的不同，測試可以進一步細分為依據工具和實施過程的不同，測試可以進一步細分為信息獲取、漏洞掃描、滲透測試、密碼分析等方式。信息獲取、漏洞掃描、滲透測試、密碼分析等方式。 信息獲取是指獲取存活主機信息獲取是指獲取存活主機/設備的名稱、設備的名稱、IP 地址、操作系地址、操作系統、開放的服務端口以及特定的數據包等信息內容；統、開放的服務端口以及特定的數據包等信息內容； 漏洞掃描是指利用漏洞掃描設備對目標設備進行自動探測，漏洞掃描是指利用漏洞掃描設備對目標設備進行自動

36、探測，發現這些主機發現這些主機/設備上各個對網絡開放端口上存在的錯誤配置設備上各個對網絡開放端口上存在的錯誤配置和已知安全漏洞；和已知安全漏洞； 滲透測試是模擬黑客可能使用的攻擊技術，試圖侵入信息系滲透測試是模擬黑客可能使用的攻擊技術，試圖侵入信息系統或取得信息系統上的更多資源，以直觀地測試信息系統的統或取得信息系統上的更多資源，以直觀地測試信息系統的安全狀況。安全狀況。p 從不同接入點對信息系統進行漏洞掃描和滲透測試，從不同接入點對信息系統進行漏洞掃描和滲透測試，可以反映出信息系統在不同角度、不同視野下的安全可以反映出信息系統在不同角度、不同視野下的安全狀況。狀況。 中國賽寶（四川）實驗室中

37、國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心現場測評活動任務之三現場測評活動任務之三-結果確認和資料歸還結果確認和資料歸還n測評人員在現場測評完成之后，應首先測評人員在現場測評完成之后，應首先匯總現場測評的測評記錄，對漏掉和需匯總現場測評的測評記錄，對漏掉和需要進一步驗證的內容實施補充測評。要進一步驗證的內容實施補充測評。n召開測評現場結束會，測評雙方對測評召開測評現場結束會，測評雙方對測評過程中發現的問題進行現場確認。過程中發現的問題進行現場確認。n測評機構歸還測評過程中借閱的

38、所有文測評機構歸還測評過程中借閱的所有文檔資料，并由被測單位文檔資料提供者檔資料，并由被測單位文檔資料提供者簽字確認。簽字確認。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心現場測評活動現場測評活動可能遇到的問題可能遇到的問題n 配合、協調配合、協調n測評結果版本控制測評結果版本控制n測試工具故障測試工具故障 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工

39、程測評中心四川省信息系統工程測評中心報告編制活動的目標報告編制活動的目標n分析測評結果，找出整個系統的安全保分析測評結果，找出整個系統的安全保護現狀與相應等級的保護要求之間的差護現狀與相應等級的保護要求之間的差距，綜合評價被測系統整體安全保護能距，綜合評價被測系統整體安全保護能力，給出等級測評結論。力，給出等級測評結論。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心 報告編制活動報告編制活動n單項測評結果判定單項測評結果判定n分析測評項所對抗威脅的存在情況

40、n分析單個測評項是否有多方面的要求內容，依據“優勢證據”法選擇優勢證據，并將優勢證據與預期測評結果相比較n綜合判定單個測評項的測評結果n單元測評結果判定單元測評結果判定n匯總每個測評對象在每個測評單元的單項測評結果n判定每個測評對象的單元測評結果n整體測評整體測評n分析不符合和部分符合的測評項與其他測評項（包括單元內、層面間、區域間）之間的關聯關系及對結果的影響情況n風險分析風險分析n整體測評后的單元測評結果再次匯總n分析部分符合項或不符合項所產生的安全問題被威脅利用的可能性n分析威脅利用安全問題后造成的影響程度n按照測評單位選定的風險分析方法對被測系統面臨的安全風險進行賦值n評價風險分析結果

41、n等級測評結論形成等級測評結論形成n統計再次匯總后的單元測評結果為部分符合和不符合項的項數n形成等級測評結論n測評報告編制測評報告編制n概述測評項目情況n描述被測系統情況n描述測評范圍和方法n描述單元測評情況n描述整體測評情況n匯總測評結果n描述風險情況n給出等級測評結論和整改建議 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心報告編制活動任務之一報告編制活動任務之一-判定單項測評結果判定單項測評結果n1.針對每個測評對象對應的每個測評項，分析該測評針對每個

42、測評對象對應的每個測評項，分析該測評項所對抗的威脅在被測系統中是否存在，如果不存在項所對抗的威脅在被測系統中是否存在，如果不存在，則該測評項應標為不適用項。對于適用項，則，則該測評項應標為不適用項。對于適用項，則n2.分析單個測評項是否有多方面的要求內容，依據分析單個測評項是否有多方面的要求內容，依據“優勢證據優勢證據”法針對每一方面的要求內容，從一個或法針對每一方面的要求內容，從一個或多個測評證據中選擇出多個測評證據中選擇出“優勢證據優勢證據”，并將，并將“優勢證優勢證據據”與要求內容的預期測評結果相比較；與要求內容的預期測評結果相比較；n3.如果測評證據表明所有要求內容與預期測評結果如果測

43、評證據表明所有要求內容與預期測評結果一致，則判定該測評項的單項測評結果為符合；如果一致，則判定該測評項的單項測評結果為符合；如果測評證據表明所有要求內容與預期測評結果不一致，測評證據表明所有要求內容與預期測評結果不一致，判定該測評項的單項測評結果為不符合；否則判定該判定該測評項的單項測評結果為不符合；否則判定該測評項的單項測評結果為部分符合。測評項的單項測評結果為部分符合。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心判定單項測評結果判定單項測評結果-關于

44、優勢證據關于優勢證據p優勢證據優勢證據多個測評證據中那個多個測評證據中那個/些對于某方面要求內容的符合些對于某方面要求內容的符合性判定更具有證明力、說服力的測評證據。性判定更具有證明力、說服力的測評證據。p優勢證據順序優勢證據順序物理安全測評，優勢證據順序一般為：實地察看證物理安全測評，優勢證據順序一般為：實地察看證 據據文檔審查證據文檔審查證據訪談證據；訪談證據；技術安全方面的測評，優勢證據順序一般為：工具技術安全方面的測評，優勢證據順序一般為：工具測試證據測試證據配置檢查證據配置檢查證據訪談證據；訪談證據；管理安全方面的測評，則要根據實際情況分析確定管理安全方面的測評，則要根據實際情況分析

45、確定優勢證據。優勢證據。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心報告編制活動任務之二報告編制活動任務之二-判定單元測評結果判定單元測評結果n單元測評指標包含的所有測評項均為不適用項單元測評指標包含的所有測評項均為不適用項，則該測評對象對應該測評指標的單元測評結，則該測評對象對應該測評指標的單元測評結果為不適用；果為不適用；n單元測評指標包含的所有適用測評項的單項測單元測評指標包含的所有適用測評項的單項測評結果均為符合或不符合，則該測評對象對應評結果均

46、為符合或不符合，則該測評對象對應該測評指標的單元測評結果為符合或不符合；該測評指標的單元測評結果為符合或不符合；n單元測評指標包含的所有適用測評項的單項測單元測評指標包含的所有適用測評項的單項測評結果不全為符合或不符合，則該測評對象對評結果不全為符合或不符合，則該測評對象對應該測評指標的單元測評結果為部分符合。應該測評指標的單元測評結果為部分符合。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心報告編制活動任務之三報告編制活動任務之三-整體測評整體測評n針對

47、測評對象針對測評對象“部分符合部分符合”及及“不符合不符合”要求的單個測評項，分要求的單個測評項，分析與該測評項相關的析與該測評項相關的其他測評項其他測評項能否和它發生關聯關系，發生什能否和它發生關聯關系，發生什么樣的關聯關系，這些關聯關系產生的作用是否可以么樣的關聯關系，這些關聯關系產生的作用是否可以“彌補彌補”該該測評項的不足，以及該測評項的不足是否會影響與其有關聯關系測評項的不足，以及該測評項的不足是否會影響與其有關聯關系的其他測評項的測評結果。的其他測評項的測評結果。n針對測評對象針對測評對象“部分符合部分符合”及及“不符合不符合”要求的單個測評項，要求的單個測評項，分析與該測評項相關

48、的分析與該測評項相關的其他層面其他層面的測評對象能否和它發生關聯關的測評對象能否和它發生關聯關系，發生什么樣的關聯關系，這些關聯關系產生的作用是否可以系，發生什么樣的關聯關系，這些關聯關系產生的作用是否可以“彌補彌補”該測評項的不足，以及該測評項的不足是否會影響與其該測評項的不足，以及該測評項的不足是否會影響與其有關聯關系的其他測評項的測評結果。有關聯關系的其他測評項的測評結果。n針對測評對象針對測評對象“部分符合部分符合”及及“不符合不符合”要求的單個測評項，要求的單個測評項，分析與該測評項相關的分析與該測評項相關的其他區域其他區域的測評對象能否和它發生關聯關的測評對象能否和它發生關聯關系，

49、發生什么樣的關聯關系，這些關聯關系產生的作用是否可以系，發生什么樣的關聯關系，這些關聯關系產生的作用是否可以“彌補彌補”該測評項的不足，以及該測評項的不足是否會影響與其該測評項的不足，以及該測評項的不足是否會影響與其有關聯關系的其他測評項的測評結果。有關聯關系的其他測評項的測評結果。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心報告編制活動任務之四報告編制活動任務之四-風險分析和評價風險分析和評價n1.結合單元測評的結果匯總和整體測評結果，將物理安全、網絡

50、安結合單元測評的結果匯總和整體測評結果，將物理安全、網絡安全、主機安全、應用安全等層面中各個測評對象的測評結果再次匯全、主機安全、應用安全等層面中各個測評對象的測評結果再次匯總分析，統計符合情況。總分析，統計符合情況。n2.判斷測評結果匯總中部分符合項或不符合項所產生的安全問題被判斷測評結果匯總中部分符合項或不符合項所產生的安全問題被威脅利用的可能性，可能性的取值范圍為高、中和低。威脅利用的可能性，可能性的取值范圍為高、中和低。n3.判斷測評結果匯總中部分符合項或不符合項所產生的安全問題被判斷測評結果匯總中部分符合項或不符合項所產生的安全問題被威脅利用后，對被測系統的業務信息安全和系統服務安全

51、造成的影威脅利用后，對被測系統的業務信息安全和系統服務安全造成的影響程度，影響程度取值范圍為高、中和低。響程度，影響程度取值范圍為高、中和低。n4.綜合綜合2.和和3.的結果，并按照選定的風險計算方法對被測系統面臨的結果，并按照選定的風險計算方法對被測系統面臨的安全風險進行賦值，風險值的取值范圍為高、中和低。的安全風險進行賦值，風險值的取值范圍為高、中和低。n5.結合被測系統的安全保護等級對風險分析結果進行評價，即對國結合被測系統的安全保護等級對風險分析結果進行評價，即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成

52、的風險。益造成的風險。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心報告編制活動任務之五報告編制活動任務之五-形成等級測評結論形成等級測評結論等級測評結論：等級測評結論：p符合符合等級測評結果中不存在部分符合項或不符合項。等級測評結果中不存在部分符合項或不符合項。p基本符合基本符合等級測評結果中存在部分符合項或不符合項，但不會等級測評結果中存在部分符合項或不符合項，但不會導致信息系統面臨高等級安全風險。導致信息系統面臨高等級安全風險。p不符合不符合等級測評

53、結果中存在部分符合項或不符合項，導致信等級測評結果中存在部分符合項或不符合項，導致信息系統面臨高等級安全風險。息系統面臨高等級安全風險。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心報告編制活動任務之六報告編制活動任務之六-編制測評報告編制測評報告n測評人員整理前面幾項任務的輸出測評人員整理前面幾項任務的輸出/產品，編制測評報產品，編制測評報告相應部分。告相應部分。n針對被測系統存在的安全隱患，從系統安全角度提出針對被測系統存在的安全隱患，從系統安全角度提

54、出相應的改進建議，編制測評報告的安全建設整改建議相應的改進建議，編制測評報告的安全建設整改建議部分。部分。n列表給出現場測評的文檔清單和單項測評記錄，以及列表給出現場測評的文檔清單和單項測評記錄，以及對各個測評項的單項測評結果判定情況，編制測評報對各個測評項的單項測評結果判定情況，編制測評報告的單元測評的結果記錄和問題分析部分。告的單元測評的結果記錄和問題分析部分。n評審測評報告。評審測評報告。n根據分發范圍分發報告。根據分發范圍分發報告。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評

55、中心四川省信息系統工程測評中心測評報告的構成測評報告的構成n報告摘要報告摘要n1 測評項目概述測評項目概述n2被測信息系統情況被測信息系統情況n3 等級測評范圍與方法等級測評范圍與方法n4 單元測評單元測評n5 整體測評整體測評n6 測評結果匯總測評結果匯總n7 風險分析和評價風險分析和評價n8 等級測評結論等級測評結論n9 安全建設整改建議安全建設整改建議 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心第二篇第二篇GB/T 22239-2008 GB/T

56、22239-2008 信息系統安信息系統安全等級保護基本要求全等級保護基本要求介紹介紹 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心概述概述n “標尺”、達標線;n 基本的安全狀態;n 保護的出發點; 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心基本要求組成基本要求組成p技術要求：技術要求： 物理安全物理安全 網絡安全

57、網絡安全 主機安全主機安全 應用安全應用安全 數據安全及備份恢復數據安全及備份恢復p管理要求：管理要求： 安全管理制度安全管理制度安全管理機構安全管理機構人員安全管理人員安全管理系統建設管理系統建設管理系統運維管理系統運維管理 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心物理安全n物理安全要求主要由機房（包括主、輔機房、介質存放間等）所部署的設備設施和采取的安全技術措施兩方面提供的功能來滿足。n部分物理安全要求涉及到終端所在的辦公場地。 中國賽寶（四川）實

58、驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心物理安全-控制點（三級S3A3G3）n物理位置的選擇2n物理訪問控制 4n防盜竊和防破壞6n防雷擊 3n防火 3n防水和防潮4n防靜電 2n溫濕度控制1n電力供應 4n電磁防護 3 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心網絡安全n網絡安全要求中對廣域網絡、城域網絡等通信網絡的要求由構成通

59、信網絡的網絡設備、安全設備等的網絡管理機制提供的功能來滿足。n對局域網安全的要求主要通過采用防火墻、入侵檢測系統、惡意代碼防范系統、安全管理中心等設備提供的安全功能來滿足。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心網絡安全-控制點n結構安全 7n訪問控制 8n安全審計 4n邊界完整性檢查2n入侵防范 2n惡意代碼防范2n網絡設備防護8 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO

60、.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心主機安全n主機包括應用服務器、數據庫服務器、安全軟件所安裝的服務器及管理終端、業務終端、辦公終端等。n主機安全要求通過操作系統、數據庫管理系統及其他安全軟件（包括防病毒、防入侵、木馬檢測等軟件）實現的安全功能來滿足。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產品監督檢驗所四川省電子產品監督檢驗所 NO.L0409 NO.L0409 四川省信息系統工程測評中心四川省信息系統工程測評中心n身份鑒別 6n訪問控制 7n安全審計 6n剩余信息保護 2n入侵防范 3n惡意代碼防范 3n資源控制 5主機安全-控制點 中國賽寶