电话:400-100-6757
Welcome To Tcnet Technology
安全服务
安全测评

等级测评内容

    依据《信息系统安全等级保护测评要求》对信息系统安全等级保护状况进行测试评估的要求,信息安全等级测评包括两个方面的内容:一是单元测评,主要测评信息安全等级保护要求的基本安全控制项在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。

    现场测评实施结束后,天创科技测评实施小组根据测评指导书各个单元测评项的结果记录进行单元测评分析,汇总测评结果,并进行整体测评分析,从而形成合理、可信任的测评结论,最后完成测评报告的编制。

单元测评

    单元测评中抽样工作单元覆盖安全技术测评和安全管理测评两大类10个方面。安全技术测评包括:物理安全技术、网络安全技术、主机系统安全技术应用软件安全技术、数据安全技术等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等五个方面的安全控制测评。单元测评两大类10个方面如下图所示:

整体测评

    整体测评是在单元测评的基础上,通过进一步分析信息系统的整体安全性,对信息系统实施的综合安全测评。整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。主要测评安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、信息系统不同子系统之间整体安全性等。

安全控制点间安全测评

    安全控制点间的安全测评主要考虑同一区域内、同一层面上的不同安全控制点间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱可能会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性,使其在特定环境中不能达到该等级信息系统的安全要求。

安全层面间安全测评

    层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。

安全区域间安全测评

    区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。安全功能上的增强和补充可以使两个不同区域上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个区域上的安全功能影响另一个区域安全功能的发挥或者给其带来新的脆弱性。

系统结构安全测评

    系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。从信息系统的物理布局、网络拓扑、业务逻辑(业务数据流)、系统实现和集成方式等基础上,结合不同位置上可能面临的威胁、可能暴露的脆弱性等,综合判定信息系统的整体布局是否合理、整体是否安全有效等。

等级测评方法

    等级测评方法是指测评人员在测评实施过程中所使用的方法,包人员访谈、文档审查、配置检查、工具测试和实地察看五个方面。

一、人员访谈。通过对相关人员进行访谈,了解和获取系统安全技术的功能、策略和机制的设置及其实际运行,以及系统安全管理的策略、措施的设置和执行实际

二、文档审查。通过检查设计资料、管理文档、运行日志、登记资料等安全技术和管理相关文档是否齐备,检查信息系统被测安全技术的功能、策略和机制的设置和实际运行,以及被测安全管理的策略、措施的设置和实际执行情况以及文件的完整性和这些文件之间的内部一致性。

三、配置检查根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。

四、工具测试。通过采用专业的安全工具,对信息系统安全功能的某些参数进行检测,测定被测安全功能的指标。

五、实地察看根据信息系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。

天创信息安全等级保护测评服务包括四个阶段:

测评申请阶段

    委托单位向测评机构提出测评申请,测评机构对被测单位的申请材料进行审查,在双方达成共识的情况下,双方签订保密协议、委托书、合同。

测评准备阶段

    测评机构成立项目组,工作人员至待测评单位了解待测评系统相关信息,编写信息系统业务调查报告,信息系统规划设计分析报告,与被测单位共同讨论测评方案,测评工作计划,达成共同认可的测评方案和测评工作计划。

测评检查、测试阶段

    在进入现场检测测试阶段时,测评机构项目组成员在参照系统体系建设相关资料(系统建设方案、技术资料、管理资料、日常维护资料)后,对测评单位进行安全管理机构检查、安全管理制度检查、系统备案依据检查、技术要求落实情况测评、定期评估执行情况检查、等级响应、处理检查、教育和培训检查,生成管理检查记录、技术检查记录和核查报告。

测评综合分析阶段

    测评机构最后进行核查结果分析,等级符合性分析、专家评审,生成等级测评报告和安全建议报告。具体流程如下图:  

等级测评服务流程