電話:400-100-6757
安全服務
安全測評

等級測評內容

时时彩计划交流群 www.qsehp.icu     依據《信息系統安全等級?;げ餛酪蟆范孕畔⑾低嘲踩燃侗;ぷ純黿脅饈云攔賴囊?,信息安全等級測評包括兩個方面的內容:一是單元測評,主要測評信息安全等級?;ひ蟮幕景踩刂葡鈐諦畔⑾低持械氖凳┡渲們榭?;二是系統整體測評,主要測評分析信息系統的整體安全性。

    現場測評實施結束后,天創科技測評實施小組根據測評指導書各個單元測評項的結果記錄進行單元測評分析,匯總測評結果,并進行整體測評分析,從而形成合理、可信任的測評結論,最后完成測評報告的編制。

單元測評

    單元測評中抽樣工作單元覆蓋安全技術測評和安全管理測評兩大類10個方面。安全技術測評包括:物理安全技術、網絡安全技術、主機系統安全技術應用軟件安全技術、數據安全技術等五個層面上的安全控制測評;安全管理測評包括:安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理等五個方面的安全控制測評。單元測評兩大類10個方面如下圖所示:

整體測評

    整體測評是在單元測評的基礎上,通過進一步分析信息系統的整體安全性,對信息系統實施的綜合安全測評。整體測評主要包括安全控制點間、層面間和區域間相互作用的安全測評以及系統結構的安全測評等。主要測評安全控制間、層面間以及區域間的相互關聯關系,測評安全控制間、層面間和區域間是否存在安全功能上的增強、補充和削弱作用以及信息系統整體結構安全性、信息系統不同子系統之間整體安全性等。

安全控制點間安全測評

    安全控制點間的安全測評主要考慮同一區域內、同一層面上的不同安全控制點間存在的功能增強、補充或削弱等關聯作用。安全功能上的增強和補充可以使兩個不同強度、不同等級的安全控制發揮更強的綜合效能,可以使單個低等級安全控制在特定環境中達到高等級信息系統的安全要求。安全功能上的削弱可能會使一個安全控制的引入影響另一個安全控制的功能發揮或者給其帶來新的脆弱性,使其在特定環境中不能達到該等級信息系統的安全要求。

安全層面間安全測評

    層面間的安全測評主要考慮同一區域內的不同層面之間存在的功能增強、補充和削弱等關聯作用。安全功能上的增強和補充可以使兩個不同層面上的安全控制發揮更強的綜合效能,可以使單個低等級安全控制在特定環境中達到高等級信息系統的安全要求。安全功能上的削弱會使一個層面上的安全控制影響另一個層面安全控制的功能發揮或者給其帶來新的脆弱性。

安全區域間安全測評

    區域間的安全測評主要考慮互連互通(包括物理上和邏輯上的互連互通等)的不同區域之間存在的安全功能增強、補充和削弱等關聯作用,特別是有數據交換的兩個不同區域。安全功能上的增強和補充可以使兩個不同區域上的安全控制發揮更強的綜合效能,可以使單個低等級安全控制在特定環境中達到高等級信息系統的安全要求。安全功能上的削弱會使一個區域上的安全功能影響另一個區域安全功能的發揮或者給其帶來新的脆弱性。

系統結構安全測評

    系統結構安全測評主要考慮信息系統整體結構的安全性和整體安全防范的合理性。從信息系統的物理布局、網絡拓撲、業務邏輯(業務數據流)、系統實現和集成方式等基礎上,結合不同位置上可能面臨的威脅、可能暴露的脆弱性等,綜合判定信息系統的整體布局是否合理、整體是否安全有效等。

等級測評方法

    等級測評方法是指測評人員在測評實施過程中所使用的方法,包人員訪談、文檔審查、配置檢查、工具測試和實地察看五個方面。

一、人員訪談。通過對相關人員進行訪談,了解和獲取系統安全技術的功能、策略和機制的設置及其實際運行,以及系統安全管理的策略、措施的設置和執行實際。

二、文檔審查。通過檢查設計資料、管理文檔、運行日志、登記資料等安全技術和管理相關文檔是否齊備,檢查信息系統被測安全技術的功能、策略和機制的設置和實際運行,以及被測安全管理的策略、措施的設置和實際執行情況以及文件的完整性和這些文件之間的內部一致性。

三、配置檢查。根據測評結果記錄表格內容,利用上機驗證的方式檢查應用系統、主機系統、數據庫系統以及網絡設備的配置是否正確,是否與文檔、相關設備和部件保持一致,對文檔審核的內容進行核實(包括日志審計等)。

四、工具測試。通過采用專業的安全工具,對信息系統安全功能的某些參數進行檢測,測定被測安全功能的指標。

五、實地察看。根據信息系統的實際情況,測評人員到系統運行現場通過實地的觀察人員行為、技術設施和物理環境狀況判斷人員的安全意識、業務操作、管理程序和系統物理環境等方面的安全情況,測評其是否達到了相應等級的安全要求。

天創信息安全等級?;げ餛?/span>服務包括四個階段:

測評申請階段

    委托單位向測評機構提出測評申請,測評機構對被測單位的申請材料進行審查,在雙方達成共識的情況下,雙方簽訂保密協議、委托書、合同。

測評準備階段

    測評機構成立項目組,工作人員至待測評單位了解待測評系統相關信息,編寫信息系統業務調查報告,信息系統規劃設計分析報告,與被測單位共同討論測評方案,測評工作計劃,達成共同認可的測評方案和測評工作計劃。

測評檢查、測試階段

    在進入現場檢測測試階段時,測評機構項目組成員在參照系統體系建設相關資料(系統建設方案、技術資料、管理資料、日常維護資料)后,對測評單位進行安全管理機構檢查、安全管理制度檢查、系統備案依據檢查、技術要求落實情況測評、定期評估執行情況檢查、等級響應、處理檢查、教育和培訓檢查,生成管理檢查記錄、技術檢查記錄和核查報告。

測評綜合分析階段

    測評機構最后進行核查結果分析,等級符合性分析、專家評審,生成等級測評報告和安全建議報告。具體流程如下圖:  

等級測評服務流程