1、等級保護測評相關知識分享為什么要進行測評？ 政策要求 信息安全等級保護管理辦法（公通字200743號)第十四條：信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據信息系統安全等級保護測評要求等技術標準，定期對信息系統安全等級狀況開展等級測評。 中央財政資金電子政務建設項目建設單位向審批部門提出項目竣工驗收申請時，要提供備案證明、測評報告風、險評估報告。(發改高技2008:2071號) 內部需求 確定當前安全保護能力水平 找出差距，為后續工作提供依據等級保護測評職責分工 國家信息安全等級保護協調小組辦公室負責隸屬國家信息安全職能部門和重點行業測評機構受理

2、各省等保辦負責本省測評機構的受理 公安部信息安全等級保護評估中心負責測評機構的能力評估和培訓等級保護測評機構業務職能 國字頭、職能部門測評機構可全國范圍內開展業務，到地方時應事先告知屬地等保辦。 行業測評機構，原則上開展本行業測評，到地方時，應與屬地省級等保辦協調 地方測評機構原則上本地開展測評，也可到異地開展測評工作，但需事先與當地等保辦協調 http:/ 測評機構查詢網址如下：測評機構查詢網址如下：等級保護測評機構的業務范圍 可以開展的業務 等級保護測評 等級保護整改方案的設計 不允許開展的業務 生產安全產品 承擔安全項目的集成、實施系統等級組合差異安全等級安全等級信息系統保護要求的組合信

3、息系統保護要求的組合第一級第一級S1A1G1第二級第二級S1A2G2，S2A2G2，S2A1G2第三級第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4業務信息安全類（S）系統服務保障類（A）通用安全保護類（G）u 測評時應明確具體級別組合等級保護測評相關標準 信息系統安全等級保護基本要求 信息系統安全等級保護測評要求 信息系統安全等級保護測評過程指南等級保護基本要求安全要求類層面一級二級三級四級技術要求物理安全9193233網絡安全9183332主機安全6193

4、236應用安全7193136數據安全及備份恢復24811管理要求安全管理制度371114安全管理機構492020人員安全管理7111618系統建設管理20284548系統運維管理18416270合計/85175290318級差/9011528等級保護基本要求的核心 基本要求的核心是安全保護能力。即需要達到的基本安全狀態。安全保護能力可分為對抗能力和恢復能力。 等級保護測評測評的重點就是信息系統的安全保護能力安全保護能力要求 第一級安全保護能力(自主) 經過安全建設整改，信息系統具有抵御一般性攻擊的能力，防范常見計算機病毒和惡意代碼危害的能力；系統遭到損害后，具有恢復系統主要功能的能力。 第二級

5、安全保護能力（指導） 經過安全建設整改，信息系統具有抵御小規模、較弱強度惡意攻擊的能力，抵抗一般的自然災害的能力，防范一般性計算機病毒和惡意代碼危害的能力；具有檢測常見的攻擊行為，并對安全事件進行記錄的能力；系統遭到損害后，具有恢復系統正常運行狀態的能力。安全保護能力要求 第三級安全保護能力（監督） 經過安全建設整改，信息系統在統一的安全保護策略下具有抵御大規模、較強惡意攻擊的能力，抵抗較為嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發現、報警、記錄入侵行為的能力；具有對安全事件進行響應處置，并能夠追蹤安全責任的能力；在系統遭到損害后，具有能夠較快恢復正常運行狀態的能力

6、；對于服務保障性要求高的系統，應能快速恢復正常運行狀態；具有對系統資源、用戶、安全機制等進行集中控管的能力 以上定義來自信息安全等級保護安全建設整改工作指南等級保護測評內容 單元測評 測評指標（依照基本要求） 測評實施（描述測評過程中使用的具體測評方法、涉及的測評對象） 結果判定（分為符合、不符合、部分符合、不適用） 整體測評 單元測評的基礎上，通過進一步分析信息系統的整體安全性，對信息系統實施的綜合安全測評等級保護測評方法 三種基本測評方法：訪談Interview檢查Examine測試Test等級保護測評方法-訪談 訪談的對象是人員。 典型的訪談包括：訪談信息安全主管、信息系統安全管理員、系

7、統管理員、網絡管理員、人力資源管理員、設備管理員和用戶等。 通過引導信息系統相關人員進行有目的的（有針對性的）交流以幫助測評人員理解、分析或取得證據的過程。目的是為了了解信息系統的全局性等級保護測評方法-檢查 檢查包括：評審、核查、審查、觀察、研究和分析等方式。 檢查對象包括文檔、機制、設備等。 適用情況： 對技術要求，檢查的內容應該是具體的、較為詳細的機制配置和運行實現 。 對管理要求，檢查方法主要用于規范性要求（檢查文檔）。訪談與檢查內容的區別以主機安全中身份鑒別要求為例a) 應訪談系統管理員和數據庫管理員，詢問操作系統和數據庫管理系統的身份標識與鑒別機制采取何種措施實現； b) 應檢查關

8、鍵服務器操作系統和關鍵數據庫管理系統，查看是否提供了身份鑒別措施。 等級保護測評方法-測試 測試包括：功能/性能測試、滲透測試等。 測評對象包括機制和設備等。 測試一般需要借助特定工具。 掃描檢測工具 網絡協議分析儀 攻擊工具 滲透工具 適用情況： 對技術要求，測試的目的是驗證信息系統當前的、具體的安全機制或運行的有效性或安全強度。 對管理要求，一般不采用測試技術。整體測評分析測評形成文檔 測評指導書 測評方案 測評報告測評指導書 測評對象準確 步驟描述準確詳細，預期結果明確測評方案測評方案系統等級測評報告1、項目概述。 主要內容包括：介紹本次測評工作目的，開展測評依據的政策和標準，明確等級測

9、評工作任務安排和時間要求，以及報告分發范圍。2、被測信息系統。 主要內容包括：以圖表形式簡要列出被測系統基本信息，描述被測評系統的業務應用情況，通過拓撲結構圖介紹系統網絡結構基本情況，按照常見的分類以表格形式列出系統的構成，描述被測信息系統的運行環境中與安全相關的部分。3、等級測評范圍與方法。 主要內容包括：一是測評指標，包括基本指標和特殊指標。依據信息系統確定的業務信息安全保護等級和系統服務安全保護等級，選擇基本要求中對應級別的安全要求作為等級測評的基本指標。結合行業和系統的實際，以列表形式給出特殊指標。二是測評對象，根據一定的規則和方法，以表格形式列出測評對象的選擇結果。三是測評方法，列出

10、現場測評（訪談、檢查、測試）的方法4、單元測評。包括測評指標涉及的物理安全、網絡安全、主機安全等10個方面，每一個方面的描述由結果記錄、問題分析和單元測評結果等三個部分構成。5、整體測評。參照測評要求從安全控制間、層面間、區域間和系統結構等方面對單元測評的結果進行驗證、分析和整體評價。6、測評結果匯總。一是以表格形式匯總測評結果。二是以柱狀圖形式統計不同設備和安全子類的測評結果。三是以表格形式匯總信息系統中存在的安全問題。7、風險分析和評價。依據等級保護的相關規范和標準，采用風險分析的方法分析信息系統等級測評結果中存在的安全問題（等級測評結果中部分符合項或不符合項的匯總結果）可能對信息系統安全造成的影響。系統等級測評報告模板8、等級測評結論、等級測評結論應表述為“符合、“基本符合”或者“不符合”。9、安全建設整改建議、安全建設整改建議后續應該在那些方面進行加強系統等級測評報告模板總結等級保護提出了安全防護達到的目標，沒有限定具等級保護提出了安全防護達到的目標，沒有限定具體的技術實現