国产 一极视频,国产精品 日韩无码 大秀视频,亚洲第一天堂m网站,精品久久久久中文字幕加勒比

等級保護(hù)相關(guān)技術(shù)基礎(chǔ)-《測評要求》簡介
2015-07-05 22:25:00 來源:本站 瀏覽:1822

?1.概念框架

等級測評的概念性框架由測評輸入、測評過程和測評輸出等三部分構(gòu)成。測評輸入包括《基本要求》第四級目錄(即安全控制點的唯一標(biāo)識符)和采用該安全控制點的信息系統(tǒng)的安全保護(hù)等級(含業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)保護(hù)等級)。過程組件為一組與輸入組件中所標(biāo)識的安全控制相關(guān)的特定測評對象和測評方法,輸出組件包括一組由測評人員使用的用于確定安全控制有效性的程序化陳述。
2.單元測評和整體測評
等級測評的實施過程由單元測評和整體測評兩部分構(gòu)成。針對基本要求各安全控制點的符合性測評稱為單元測評。單元測評是等級測評工作的基本活動,就是針對測評指標(biāo),完成測評實施并進(jìn)行結(jié)果判定。其中,測評指標(biāo)來源于GB/T 22239-2008第四級目錄下的各要求項,測評實施對測評活動輸入、測評對象、測評步驟和方法提出了要求,結(jié)果判定對測評人員執(zhí)行測評實施并產(chǎn)生各種測評輸出數(shù)據(jù)后,如何依據(jù)這些測評輸出數(shù)據(jù)來判定被測系統(tǒng)是否滿足測評指標(biāo)要求給出了原則和方法。
整體測評是在單元測評的基礎(chǔ)上,通過進(jìn)一步分析信息系統(tǒng)安全保護(hù)功能的整體相關(guān)性,對信息系統(tǒng)實施的綜合安全測評。整體測評主要包括安全控制點間、層面間和區(qū)域間相互作用的安全測評。整體測評需要與信息系統(tǒng)的實際情況相結(jié)合,因此全面地給出整體測評要求的全部輸入,測評實施的具體對象、步驟和方法以及明確的結(jié)果判定方法是非常困難的,測評人員應(yīng)根據(jù)被測系統(tǒng)的實際情況,結(jié)合本標(biāo)準(zhǔn)的要求,實施整體測評。
3.測評力度
測評力度是在測評過程中實施測評工作的力度,反映測評的廣度和深度,體現(xiàn)為測評工作的實際投入程度。測評廣度越大,測評實施的范圍越大,測評實施包含的測評對象就越多;測評深度越深,越需要在細(xì)節(jié)上展開,測評就越嚴(yán)格,因此就越需要更多的投入。投入越多,測評力度就越強(qiáng),測評就越有保證。測評的廣度和深度落實到訪談、檢查和測試三種不同的測評方法上,能體現(xiàn)出測評實施過程中訪談、檢查和測試的投入程度的不同。
信息安全等級保護(hù)要求不同安全保護(hù)等級的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力,滿足相應(yīng)等級的保護(hù)要求。為了檢驗不同安全保護(hù)等級的信息系統(tǒng)是否具有相應(yīng)等級的安全保護(hù)能力,是否滿足相應(yīng)等級的保護(hù)要求,需要實施與其安全保護(hù)等級相適應(yīng)的測評,付出相應(yīng)的工作投入,達(dá)到應(yīng)有的測評力度。第一級到第四級信息系統(tǒng)的測評力度反映在訪談、檢查和測試等三種基本測評方法的測評廣度和深度上,落實在不同單元測評中具體的測評實施上。
訪談、檢查和測試等三種基本測評方法的測評力度可以通過其測評的深度和廣度來描述,如下表所示。
測評方法
深度
廣度
訪談
訪談的深度體現(xiàn)在訪談過程的嚴(yán)格和詳細(xì)程度,可以分為四種:簡要的、充分的、較全面的和全面的。簡要訪談只包含通用和高級的問題;充分訪談包含通用和高級的問題以及一些較為詳細(xì)的問題;較全面訪談包含通用和高級的問題以及一些有難度和探索性的問題;全面訪談包含通用和高級的問題以及較多有難度和探索性的問題。
訪談的廣度體現(xiàn)在訪談人員的構(gòu)成和數(shù)量上。訪談覆蓋不同類型的人員和同一類人的數(shù)量多少,體現(xiàn)出訪談的廣度不同。
檢查
檢查的深度體現(xiàn)在檢查過程的嚴(yán)格和詳細(xì)程度,可以分為四種:簡要的、充分的、較全面的和全面的。簡要檢查主要是對功能級上的文檔、機(jī)制和活動,使用簡要的評審、觀察或檢查以及檢查列表和其他相似手段的簡短測評;充分檢查有詳細(xì)的分析、觀察和研究,除了功能級上的文檔、機(jī)制和活動外,還適當(dāng)需要一些總體/概要設(shè)計信息;較全面檢查有詳細(xì)、徹底分析、觀察和研究,除了功能級上的文檔、機(jī)制和活動外,還需要總體/概要和一些詳細(xì)設(shè)計以及實現(xiàn)上的相關(guān)信息;全面檢查有詳細(xì)、徹底分析、觀察和研究,除了功能級上的文檔、機(jī)制和活動外,還需要總體/概要和詳細(xì)設(shè)計以及實現(xiàn)上的相關(guān)信息。
檢查的廣度體現(xiàn)在檢查對象的種類(文檔、機(jī)制等)和數(shù)量上。檢查覆蓋不同類型的對象和同一類對象的數(shù)量多少,體現(xiàn)出對象的廣度不同。
測試
測試的深度體現(xiàn)在執(zhí)行的測試類型上:功能/性能測試和滲透測試。功能/性能測試只涉及機(jī)制的功能規(guī)范、高級設(shè)計和操作規(guī)程;滲透測試涉及機(jī)制的所有可用文檔,并試圖智取進(jìn)入信息系統(tǒng)。
測試的廣度體現(xiàn)在被測試的機(jī)制種類和數(shù)量上。測試覆蓋不同類型的機(jī)制以及同一類型機(jī)制的數(shù)量多少,體現(xiàn)出對象的廣度不同。
為了進(jìn)一步理解不同等級信息系統(tǒng)在測評力度上的不同,表格“不同安全保護(hù)等級信息系統(tǒng)的測評力度要求”從測評對象數(shù)量和種類以及測評深度等方面詳細(xì)分析了不同測評方法的測評力度在不同安全保護(hù)等級信息系統(tǒng)安全測評中的具體體現(xiàn)。
4.測評對象
構(gòu)成信息系統(tǒng)的所有組件都可能被選作測評對象。對應(yīng)《測評要求》的十個單元,可能的測評對象包括:
物理安全:主要測評對象為主機(jī)房,涉及機(jī)房相關(guān)的值守人員、門禁系統(tǒng)、消防設(shè)施、防盜報警設(shè)施、避雷裝置、溫濕度控制設(shè)備、電力線路等。
網(wǎng)絡(luò)安全:主要測評對象包括網(wǎng)絡(luò)結(jié)構(gòu)(邏輯對象)、路由器、交換機(jī)、防火墻、入侵檢測設(shè)備、入侵防御系統(tǒng)、網(wǎng)絡(luò)安全審計系統(tǒng)等。
主機(jī)安全:主要測評對象包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用平臺系統(tǒng)等。
應(yīng)用安全:主要測評對象包括商業(yè)現(xiàn)貨業(yè)務(wù)軟件系統(tǒng)和定制開發(fā)的業(yè)務(wù)軟件系統(tǒng);
數(shù)據(jù)安全與備份恢復(fù):主要測評對象包括加密機(jī)、VPN設(shè)備、備份軟/硬件系統(tǒng)以及災(zāi)備中心等;
安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等安全類單元測評的主要測評對象包括:安全相關(guān)人員(如安全主管、人事主管、運(yùn)維主管、網(wǎng)絡(luò)安全管理員、主機(jī)安全管理員、應(yīng)用安全管理員、機(jī)房值班人員、資產(chǎn)管理人員、文檔管理員等)、安全管理制度、操作規(guī)程以及相關(guān)的記錄類文檔(如空調(diào)維護(hù)記錄、網(wǎng)絡(luò)配置變更審批單、會議記錄等)。
5.測評方法
《測評要求》中規(guī)定了訪談、檢查和測試等三類測評方法。
1) ?訪談
訪談是指測評人員通過引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的(有針對性的)交流以幫助測評人員理解、澄清或取得證據(jù)的過程。訪談主要應(yīng)用于安全管理測評中獲取證據(jù),在安全技術(shù)測評方面訪談主要用于收集目標(biāo)系統(tǒng)的信息以輔助后續(xù)的檢查或者測試。
在安全管理類測評任務(wù)中,測評人員依據(jù)定制的測評指導(dǎo)書(訪談問題列表)對相關(guān)人員進(jìn)行訪談,獲取與安全管理有關(guān)的評估證據(jù)用于判斷特定的安全管理措施是否符合國家相關(guān)標(biāo)準(zhǔn)以及委托方的實際需求。例如,對于《基本要求》中關(guān)于“人員安全管理-人員考核”中相關(guān)要求項的測評,可以通過訪談特定崗位人員來獲取證據(jù)(如是否能夠正確回答考核記錄中的主要問題)。
2) ?檢查
檢查是指測評人員通過對測評對象(如制度文檔、各類設(shè)備、安全配置等)進(jìn)行觀察、查驗、分析以幫助測評人員理解、澄清或取得證據(jù)的過程。檢查方法的應(yīng)用范圍覆蓋了物理安全測評、主機(jī)安全測評、網(wǎng)絡(luò)安全測評、應(yīng)用安全測評和數(shù)據(jù)安全及備份恢復(fù)等方面的安全技術(shù)測評以及安全管理機(jī)構(gòu)測評、人員安全管理測評、系統(tǒng)建設(shè)管理測評和系統(tǒng)運(yùn)維管理等方面的安全管理測評。
在物理安全測評中,測評人員采用文檔查閱與分析和現(xiàn)場觀察等檢查操作來獲取測評證據(jù)(如機(jī)房的溫濕度情況),用于判斷目標(biāo)系統(tǒng)在機(jī)房安全方面采用的特定安全技術(shù)措施是否符合國家相關(guān)標(biāo)準(zhǔn)以及委托方的實際需求。
在主機(jī)安全測評、網(wǎng)絡(luò)安全測評、應(yīng)用安全測評和數(shù)據(jù)安全及備份恢復(fù)等方面的測評活動中,測評人員綜合采用文檔查閱與分析、安全配置核查和網(wǎng)絡(luò)監(jiān)聽與分析等檢查操作來獲取測評證據(jù)(如相關(guān)措施的部署和配置情況,特定設(shè)備的端口開放情況等),用于判斷目標(biāo)系統(tǒng)在主機(jī)、網(wǎng)絡(luò)和應(yīng)用層面采用的特定安全技術(shù)措施是否符合國家相關(guān)標(biāo)準(zhǔn)以及委托方的實際需求。
在安全管理測評中,測評人員主要采用文檔查閱與分析來獲取測評證據(jù)(如制度文件的編制情況),用于判斷特定的安全管理措施是否符合國家、行業(yè)相關(guān)標(biāo)準(zhǔn)的要求以及委托方的實際需求。
3) ?測試
測試是指測評人員使用預(yù)定的方法/工具使測評對象(各類設(shè)備或安全配置)產(chǎn)生特定的結(jié)果,將運(yùn)行結(jié)果與預(yù)期的結(jié)果進(jìn)行比對的過程,主要包括手工驗證、漏洞掃描、滲透測試等測試操作。
在網(wǎng)絡(luò)安全、主機(jī)安全和應(yīng)用安全等方面的測評活動中,測評人員可以采用手工驗證和工具測試(如漏洞掃描、滲透測試等)等測試操作對特定安全技術(shù)措施的有效性進(jìn)行測試,測試結(jié)果用于判斷目標(biāo)系統(tǒng)在網(wǎng)絡(luò)、主機(jī)或應(yīng)用層面采用的特定技術(shù)措施是否符合國家相關(guān)標(biāo)準(zhǔn)以及委托方的實際需求,并進(jìn)一步應(yīng)用于對目標(biāo)系統(tǒng)進(jìn)行安全性整體分析。

?

甘公網(wǎng)安備 62010002000517號

隴ICP備15001871號-1

聯(lián)系地址:甘肅省蘭州市城關(guān)區(qū)南濱河?xùn)|路58號

?版權(quán)所有 2011-2020 甘肅安信信息安全技術(shù)有限公司

Copyright ? 2011-2020 Gansu Anxin information Safe Technology Ltd