logo资料库

GB_T28449-2018 信息安全技术 网络安全等级保护测评过程指南.doc

发布时间:2022-06-26 发布人:admin 分类:说明书 资料大小:1.50M 资料格式:doc 举报 版权申诉
第1页 / 共50页
第2页 / 共50页
第3页 / 共50页
第4页 / 共50页
第5页 / 共50页
第6页 / 共50页
第7页 / 共50页
第8页 / 共50页
资料共50页,剩余部分请下载后查看
    目  次
    前  言
    引  言
    信息安全技术 网络安全等级保护测评过程指南
    1 范围
    2 规范性引用文件
    3 术语和定义
    4 等级测评概述
    4.1 等级测评过程概述
    4.2 等级测评风险
    4.2.1 影响系统正常运行的风险
    4.2.2 敏感信息泄露风险
    4.2.3 木马植入风险
    4.3 等级测评风险规避
    5 测评准备活动
    5.1 测评准备活动工作流程
    5.2 测评准备活动主要任务
    5.2.1 工作启动
    5.2.2 信息收集和分析
    5.2.3 工具和表单准备
    5.3 测评准备活动输出文档
    5.4 测评准备活动中双方职责
    6 方案编制活动
    6.1 方案编制活动工作流程
    6.2 方案编制活动主要任务
    6.2.1 测评对象确定
    6.2.2 测评指标确定
    6.2.3 测评内容确定
    6.2.4 工具测试方法确定
    6.2.5 测评指导书开发
    6.2.6 测评方案编制
    6.3 方案编制活动输出文档
    6.4 方案编制活动中双方职责
    7 现场测评活动
    7.1 现场测评活动工作流程
    7.2 现场测评活动主要任务
    7.2.1 现场测评准备
    7.2.2 现场测评和结果记录
    7.2.3 结果确认和资料归还
    7.3 现场测评活动输出文档
    7.4 现场测评活动中双方职责
    8 报告编制活动
    8.1 报告编制活动工作流程
    8.2 报告编制活动主要任务
    8.2.1 单项测评结果判定
    8.2.2 单元测评结果判定
    8.2.3 整体测评
    8.2.4 系统安全保障评估
    8.2.5 安全问题风险分析
    8.2.6 等级测评结论形成
    8.2.7 测评报告编制
    8.3 报告编制活动输出文档
    8.4 报告编制活动中双方职责
    附 录 A(规范性附录)等级测评工作流程
    附 录 B(规范性附录)测评对象确定准则和样例
    B.1 测评对象确定准则
    B.2 测评对象确定步骤
    B.3 测评对象确定样例
    B.3.1 第一级定级对象
    B.3.2 第二级定级对象
    B.3.3 第三级定级对象
    B.3.4 第四级定级对象
    附 录 C(规范性附录)等级测评工作要求
    C.1 依据标准,遵循原则
    C.2 恰当选取,保证强度
    C.3 规范行为,规避风险
    附 录 D(规范性附录)新技术新应用等级测评实施补充
    D.1 云计算等级测评实施补充
    D.1.1 测评准备活动
    D.1.1.1 信息收集和分析
    D.1.1.2 测评准备活动中双方职责
    D.1.2 现场测评活动
    D.1.2.1 现场测评活动中双方职责
    D.1.3 测评对象确定样例
    D.2 物联网等级测评实施补充
    D.2.1 测评准备活动
    D.2.1.1 信息收集和分析
    D.2.2 方案编制活动
    D.2.2.1 工具测试方法确定
    D.2.3 测评对象确定样例
    D.3 移动互联等级测评实施补充
    D.3.1 测评准备活动
    D.3.2 方案编制活动
    D.3.2.1 工具测试方法确定
    D.3.3 测评对象确定样例
    D.4 工业控制系统等级测评实施补充
    D.4.1 工业控制系统等级测评整体要求
    D.4.1.1 完整性原则
    D.4.1.2 最小影响原则
    D.4.2 测评准备活动
    D.4.2.1 信息收集和分析
    D.4.3 方案编制活动
    D.4.3.1 工具测试方法确定
    D.4.3.2 测评对象确定
    D.4.4 测评对象确定样例
    D.5 IPv6 系统等级测评实施补充
    D.5.1 测评对象确定样例
    附 录 E(资料性附录)等级测评现场测评方式及工作任务
    E.1 访谈
    E.2 核查
    E.2.1 简述
    E.2.2 文档审查
    E.2.3 实地察看
    E.2.4 配置核查
    E.3 测试
    附 录 F(资料性附录)等级测评报告模版示例
    F.1 封面
    F.2 说明
    F.3 信息系统等级测评基本信息表
    F.4 声明
    F.5 等级测评结论
    F.6 总体评价
    F.7 主要安全问题
    F.8 问题处置建议
    F.9 测评项目概述
    F.9.1 测评目的
    F.9.2 测评依据
    F.9.3 测评过程
    F.9.4 报告分发范围
    F.10 被测信息系统情况
    F.10.1 承载的业务情况
    F.10.2 网络结构
    F.10.3 系统资产
    F.10.3.1 机房
    F.10.3.2 网络设备
    F.10.3.3 安全设备
    F.10.3.4 服务器/存储设备
    F.10.3.5 终端
    F.10.3.6 业务应用软件
    F.10.3.7 关键数据类别
    F.10.3.8 安全相关人员
    F.10.3.9 安全管理文档
    F.10.4 安全服务
    F.10.5 安全环境威胁评估
    F.10.6 前次测评情况
    F.11 等级测评范围与方法
    F.11.1 测评指标
    F.11.1.1 基本指标
    F.11.1.2 不适用指标
    F.11.1.3 特殊指标
    F.11.2 测评对象
    F.11.2.1 测评对象选择方法
    F.11.2.2 测评对象选择结果
    F.11.2.2.1 机房
    F.11.2.2.2 网络设备
    F.11.2.2.3 安全设备
    F.11.2.2.4 服务器/存储设备
    F.11.2.2.5 终端
    F.11.2.2.6 数据库管理系统
    F.11.2.2.7 业务应用软件
    F.11.2.2.8 访谈人员
    F.11.2.2.9 安全管理文档
    F.11.3 测评方法
    F.12 单元测评
    F.12.1 物理安全
    F.12.1.1 结果汇总
    F.12.1.2 结果分析
    F.12.2 网络安全
    F.12.12.2 安全问题汇总
    F.13 整体测评
    F.13.1 安全控制间安全测评
    F.13.2 层面间安全测评
    F.13.3 区域间安全测评
    F.13.4 验证测试
    F.13.5 整体测评结果汇总
    F.14 总体安全状况分析
    F.14.1 系统安全保障评估
    F.14.2 安全问题风险评估
    F.14.3 等级测评结论
    F.15 问题处置建议
    F.16 附录A等级测评结果记录
    F.16.1 A.1物理安全
    F.16.2 A.2网络安全
    F.16.3 A.3 主机安全
    F.16.4 A.4 应用安全
    F.16.5 A.5 数据安全及备份恢复
    F.16.6 A.6 安全管理制度
    F.16.7 A.7 安全管理机构
    F.16.8 A.8 人员安全管理
    F.16.9 A.9 系统建设管理
    F.16.10 A.10 系统运维管理
    F.16.11 A.11 ××××(特殊指标安全层面)
    F.16.12 A.12验证测试
    F.17 附件 第三级信息系统测评项权重赋值表
    参 考 文 献
    ICS 35.040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 28449—XXXX 代替 GB/T 28449-2012 信息安全技术 网络安全等级保护测评过程指南 Information security technology-Testing and evaluation process guide for classified cybersecurity protection 点击此处添加与国际标准一致性程度的标识 (报批稿) (本稿完成日期:2017-9-15) XXXX - XX - XX 发布 XXXX - XX - XX 实施
    GB/T 28449—XXXX 目  次 前言 ................................................................................ III 引言 ................................................................................. IV 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 等级测评概述 ....................................................................... 1 4.1 等级测评过程概述 ............................................................... 1 4.2 等级测评风险 ................................................................... 2 4.2.1 影响系统正常运行的风险 ..................................................... 2 4.2.2 敏感信息泄露风险 ........................................................... 2 4.2.3 木马植入风险 ............................................................... 2 4.3 等级测评风险规避 ............................................................... 2 5 测评准备活动 ....................................................................... 3 5.1 测评准备活动工作流程 ........................................................... 3 5.2 测评准备活动主要任务 ........................................................... 3 5.2.1 工作启动 ................................................................... 3 5.2.2 信息收集和分析 ............................................................. 4 5.2.3 工具和表单准备 ............................................................. 4 5.3 测评准备活动输出文档 ........................................................... 4 5.4 测评准备活动中双方职责 ......................................................... 5 6 方案编制活动 ....................................................................... 5 6.1 方案编制活动工作流程 ........................................................... 5 6.2 方案编制活动主要任务 ........................................................... 6 6.2.1 测评对象确定 ............................................................... 6 6.2.2 测评指标确定 ............................................................... 6 6.2.3 测评内容确定 ............................................................... 7 6.2.4 工具测试方法确定 ........................................................... 7 6.2.5 测评指导书开发 ............................................................. 8 6.2.6 测评方案编制 ............................................................... 8 6.3 方案编制活动输出文档 ........................................................... 9 6.4 方案编制活动中双方职责 ......................................................... 9 7 现场测评活动 ....................................................................... 9 7.1 现场测评活动工作流程 ........................................................... 9 7.2 现场测评活动主要任务 .......................................................... 10 I
    GB/T 28449—XXXX 7.2.1 现场测评准备 .............................................................. 10 7.2.2 现场测评和结果记录 ........................................................ 10 7.2.3 结果确认和资料归还 ........................................................ 10 7.3 现场测评活动输出文档 .......................................................... 11 7.4 现场测评活动中双方职责 ........................................................ 11 8 报告编制活动 ...................................................................... 11 8.1 报告编制活动工作流程 .......................................................... 11 8.2 报告编制活动主要任务 .......................................................... 12 8.2.1 单项测评结果判定 .......................................................... 12 8.2.2 单元测评结果判定 .......................................................... 12 8.2.3 整体测评 .................................................................. 13 8.2.4 系统安全保障评估 .......................................................... 13 8.2.5 安全问题风险分析 .......................................................... 14 8.2.6 等级测评结论形成 .......................................................... 14 8.2.7 测评报告编制 .............................................................. 14 8.3 报告编制活动输出文档 .......................................................... 14 8.4 报告编制活动中双方职责 ........................................................ 15 附录 A(规范性附录) 等级测评工作流程 ................................................16 附录 B(规范性附录) 测评对象确定准则和样例 ..........................................18 附录 C(规范性附录) 等级测评工作要求 ................................................21 附录 D(规范性附录) 新技术新应用等级测评实施补充 ....................................22 附录 E(资料性附录) 等级测评现场测评方式及工作任务 ..................................25 附录 F(资料性附录) 等级测评报告模版示例 ............................................28 参考文献 ............................................................................. 44 II
    GB/T 28449—XXXX 前  言 本标准按照GB/T 1.1—2009《标准化工作导则 第1部分:标准的结构和编写》给出的规则起草。 本标准代替GB/T 28449—2012《信息安全技术 信息系统安全等级保护测评过程指南》,与GB/T 28449 —2012相比,主要技术变化如下: ——标准名称由“信息安全技术 信息系统安全等级保护测评过程指南”变更为“信息安全技术 网 络安全等级保护测评过程指南”。 ——修改了报告编制活动中的任务,由原来的六个任务修改为七个任务(见4.3,2012版的5.4)。 ——在测评准备活动、现场测评活动的双方职责中增加了协调多方的职责,并且在一些涉及到多方 的工作任务中也予以明确(见7.4,2012版的8.4)。 ——在信息收集和分析工作任务中增加了“信息分析方法”的内容(见5.2.2)。 ——增加了利用云计算、物联网、移动互联网、工控系统、IPv6系统等构建的等级保护对象开展安 全测评需要额外重点关注的特殊任务及要求(见附录D)。 ——删除了测评方案示例(见2012版的附录D);删除了信息系统基本情况调查表模版(见2012版 的附录E)。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准起草单位:公安部第三研究所、中国电子科技集团公司第十五研究所、北京信息安全测评中 心。 本标准主要起草人:袁静、任卫红、江雷、李升、张宇翔、毕马宁、李明、马力、朱建平、张益、 刘凯俊、赵泰、王然、刘海峰、曲洁、刘静、朱建平、马力、陈广勇等。 本标准所代替标准的历次版本发布情况: ——GB/T 28449-2012。 III
    GB/T 28449—XXXX 引  言 本标准中的等级测评是测评机构依据GB/T 22239以及GB/T 28448等技术标准,检测评估定级对象安 全等级保护状况是否符合相应等级基本要求的过程,是落实网络安全等级保护制度的重要环节。 在定级对象建设、整改时,定级对象运营、使用单位通过等级测评进行现状分析,确定系统的安全 保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。 在定级对象运维过程中,定级对象运营、使用单位定期对定级对象安全等级保护状况进行自查或委 托测评机构开展等级测评,对信息安全管控能力进行考察和评价,从而判定定级对象是否具备GB/T 22239中相应等级要求的安全保护能力。因此,等级测评活动所形成的等级测评报告是定级对象开展整 改加固的重要依据,也是第三级以上定级对象备案的重要附件材料。等级测评结论为不符合或基本符合 的定级对象,其运营、使用单位应当根据等级测评报告,制定方案进行整改。 本标准是网络安全等级保护相关系列标准之一。 与本标准相关的标准包括: ——GB/T 25058 信息安全技术 网络安全等级保护实施指南; ——GB/T 22240 信息安全技术 网络安全等级保护定级指南; ——GB/T 22239 信息安全技术 网络安全等级保护基本要求; ——GB/T 28448 信息安全技术 网络安全等级保护测评要求。 IV
    GB/T 28449—XXXX 信息安全技术 网络安全等级保护测评过程指南 1 范围 本标准规范了网络安全等级保护测评(以下简称“等级测评”)的工作过程,规定了测评活动及其 工作任务。 本标准适用于测评机构、定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工 作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 GB/T 28448 信息安全技术 信息系统安全等级保护测评要求 3 术语和定义 GB 17859-1999、GB/T 22239、GB/T 25069和GB/T 28448界定的术语和定义适用于本文件。 4 等级测评概述 4.1 等级测评过程概述 本标准中的测评工作过程及任务基于受委托测评机构对定级对象的初次等级测评给出。运营、使用 单位的自查或受委托测评机构已经实施过一次以上等级测评的,测评机构和测评人员根据实际情况调整 部分工作任务(见附录A)。开展等级测评的测评机构应严格按照附录C中给出的等级测评工作要求开展 相关工作。 等级测评过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活 动。而测评相关方之间的沟通与洽谈应贯穿整个等级测评过程。每一测评活动有一组确定的工作任务。 具体如表1所示。 表 1 等级测评过程 测评活动 主要工作任务 工作启动 测评准备活动 信息收集和分析 方案编制活动 工具和表单准备 测评对象确定 测评指标确定 1
    GB/T 28449—XXXX 测评内容确定 工具测试方法确定 测评指导书开发 测评方案编制 现场测评准备 现场测评活动 现场测评和结果记录 结果确认和资料归还 单项测评结果判定 单元测评结果判定 整体测评 报告编制活动 系统安全保障评估 安全问题风险分析 等级测评结论形成 测评报告编制 本标准对其中每项活动均给出相应的工作流程、主要任务、输出文档及活动中相关方的职责的规定, 每项工作任务均有相应的输入、任务描述和输出产品。 4.2 等级测评风险 4.2.1 影响系统正常运行的风险 在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机验证并查看一 些信息,这就可能对系统运行造成一定的影响,甚至存在误操作的可能。 此外,使用测试工具进行漏洞扫描测试、性能测试及渗透测试等,可能会对网络和系统的负载造成 一定的影响,渗透性攻击测试还可能影响到服务器和系统正常运行,如出现重启、服务中断、渗透过程 中植入的代码未完全清理等现象。 4.2.2 敏感信息泄露风险 测评人员有意或无意泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、业务数据、安全机 制、安全隐患和有关文档信息等。 4.2.3 木马植入风险 测评人员在渗透测试完成后,有意或无意将渗透测试过程中用到的测试工具未清理或清理不彻底, 或者测试电脑中带有木马程序,导致在被测评系统中植入木马的风险。 4.3 等级测评风险规避 在等级测评过程中可以通过采取以下措施规避风险: a) 签署委托测评协议 在测评工作正式开始之前,测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、 人员组成、计划安排、执行步骤和要求以及双方的责任和义务等,使得测评双方对测评过程中的基本问 题达成共识。 b) 签署保密协议 测评相关方应签署合乎法律规范的保密协议,以约束测评相关方现在及将来的行为。保密协议规定 了测评相关方保密方面的权利与义务。测评过程中获取的相关系统数据信息及测评工作的成果属被测评 2
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料