信息安全等級(jí)保護(hù)測(cè)評(píng)實(shí)施資料

1、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)實(shí)施張杰宏四川省軟件和信息系統(tǒng)工程測(cè)評(píng)中心2013年03月20日目錄第一篇 測(cè)評(píng)實(shí)施工作流程及主要內(nèi)容第二篇 GB/T 22239-2008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求介紹第一篇測(cè)評(píng)實(shí)施工作流程及主要內(nèi)容 測(cè)評(píng)流程測(cè)評(píng)準(zhǔn)備活動(dòng)的目標(biāo)測(cè)評(píng)機(jī)構(gòu)組建等級(jí)測(cè)評(píng)項(xiàng)目組，獲取測(cè)評(píng)委托單位及被測(cè)系統(tǒng)的基本情況，從基本資料、人員、計(jì)劃安排等方面為整個(gè)等級(jí)測(cè)評(píng)項(xiàng)目的實(shí)施做基本準(zhǔn)備。 測(cè)評(píng)準(zhǔn)備活動(dòng)項(xiàng)目啟動(dòng)：組建測(cè)評(píng)項(xiàng)目組編制項(xiàng)目計(jì)劃書(shū)確定測(cè)評(píng)委托單位應(yīng)提供的資料：總體描述文件、詳細(xì)描述文件、定級(jí)報(bào)告、自查報(bào)告和等級(jí)測(cè)評(píng)報(bào)告（如果曾做過(guò)的話），以及安全需求分析報(bào)告

2、、安全總體方案、系統(tǒng)驗(yàn)收?qǐng)?bào)告等信息系統(tǒng)設(shè)計(jì)和建設(shè)過(guò)程的文檔。信息收集和分析：收集、查閱被測(cè)系統(tǒng)已有定級(jí)報(bào)告、系統(tǒng)描述文件、系統(tǒng)安全設(shè)計(jì)方案、自查報(bào)告和等級(jí)測(cè)評(píng)報(bào)告（如果曾做過(guò)的話）等資料編制和發(fā)放調(diào)查表格協(xié)助測(cè)評(píng)單位填寫(xiě)調(diào)查表或現(xiàn)場(chǎng)調(diào)查（電話或郵件方式）收回和分析調(diào)查結(jié)果：整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析、定級(jí)對(duì)象邊界和系統(tǒng)構(gòu)成組件分析、定級(jí)對(duì)象的相互關(guān)聯(lián)分析工具和表單準(zhǔn)備：調(diào)試測(cè)評(píng)工具模擬被測(cè)系統(tǒng)，搭建測(cè)評(píng)環(huán)境模擬測(cè)評(píng)準(zhǔn)備和打印表單：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表單等測(cè)評(píng)準(zhǔn)備活動(dòng)任務(wù)之一-項(xiàng)目啟動(dòng)根據(jù)測(cè)評(píng)雙方簽訂的委托測(cè)評(píng)協(xié)議書(shū)和系統(tǒng)規(guī)模，測(cè)評(píng)機(jī)構(gòu)組建測(cè)評(píng)項(xiàng)目組，從人員方面做

3、好準(zhǔn)備，并編制項(xiàng)目計(jì)劃書(shū)。測(cè)評(píng)機(jī)構(gòu)要求測(cè)評(píng)委托單位提供基本資料，包括被測(cè)系統(tǒng)總體描述文件、詳細(xì)描述文件、安全需求分析報(bào)告、安全總體方案、系統(tǒng)驗(yàn)收?qǐng)?bào)告、安全保護(hù)等級(jí)定級(jí)報(bào)告、自查或上次等級(jí)測(cè)評(píng)報(bào)告（如果有）、測(cè)評(píng)委托單位的信息化建設(shè)狀況與發(fā)展以及聯(lián)絡(luò)方式等。測(cè)評(píng)準(zhǔn)備活動(dòng)任務(wù)之二-信息收集與分析的目標(biāo)通過(guò)查閱被測(cè)系統(tǒng)已有資料或使用調(diào)查表格的方式，了解整個(gè)系統(tǒng)的構(gòu)成和保護(hù)情況，為編寫(xiě)測(cè)評(píng)方案和開(kāi)展現(xiàn)場(chǎng)測(cè)評(píng)工作奠定基礎(chǔ)。測(cè)評(píng)準(zhǔn)備活動(dòng)任務(wù)之二-信息收集與分析測(cè)評(píng)機(jī)構(gòu)收集等級(jí)測(cè)評(píng)需要的各種資料。測(cè)評(píng)機(jī)構(gòu)將調(diào)查表格提交給測(cè)評(píng)委托單位， 促并協(xié)助相關(guān)人員準(zhǔn)確填寫(xiě)調(diào)查表格。測(cè)評(píng)機(jī)構(gòu)收回填寫(xiě)完成的調(diào)查表格，并初步

4、 析調(diào)查結(jié)果。根據(jù)調(diào)查表格填寫(xiě)情況安排現(xiàn)場(chǎng)調(diào)研。對(duì)調(diào)查了解到的信息進(jìn)行綜合分析及整理， 進(jìn)一步了解和熟悉信息系統(tǒng)的實(shí)際情況。信息收集與分析-調(diào)查表調(diào)查內(nèi)容全面調(diào)查項(xiàng)目順序合理保留項(xiàng)目之間的邏輯關(guān)聯(lián)信息收集與分析-調(diào)查表調(diào)查表清單表1-1 單位基本情況表1-2 參與人員名單表1-3 物理環(huán)境情況表1-4 信息系統(tǒng)基本情況表1-5 承載業(yè)務(wù)（服務(wù)）情況調(diào)查表1-6 信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況調(diào)查表1-7 外聯(lián)線路及設(shè)備端口（網(wǎng)絡(luò)邊界）情況調(diào)查表1-8 網(wǎng)絡(luò)設(shè)備情況調(diào)查表1-9 安全設(shè)備情況調(diào)查表1-10 服務(wù)器設(shè)備情況調(diào)查表1-11 終端設(shè)備情況調(diào)查表1-12 系統(tǒng)軟件情況調(diào)查表1-13 應(yīng)用系

5、統(tǒng)軟件情況調(diào)查表1-14 業(yè)務(wù)數(shù)據(jù)情況調(diào)查表1-15 數(shù)據(jù)備份情況調(diào)查表1-16 應(yīng)用系統(tǒng)軟件處理流程調(diào)查表1-17 業(yè)務(wù)數(shù)據(jù)流程調(diào)查表1-18 管理文檔情況調(diào)查表1-19 安全威脅情況調(diào)查信息收集與分析-調(diào)查內(nèi)容物理環(huán)境信息收集機(jī)房數(shù)量、物理位置辦公環(huán)境網(wǎng)絡(luò)信息收集網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)結(jié)構(gòu)系統(tǒng)外聯(lián)網(wǎng)絡(luò)設(shè)備安全設(shè)備信息收集與分析-調(diào)查內(nèi)容主機(jī)信息收集服務(wù)器、工作站終端業(yè)務(wù)終端、管理終端、設(shè)備控制臺(tái)應(yīng)用信息收集應(yīng)用系統(tǒng)業(yè)務(wù)數(shù)據(jù)管理信息收集機(jī)構(gòu)設(shè)置人員職責(zé)分配管理文檔信息收集與分析-調(diào)查結(jié)果分析整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析定級(jí)對(duì)象邊界和系統(tǒng)構(gòu)成組件分析定級(jí)對(duì)象的相互關(guān)聯(lián)分析調(diào)查結(jié)果分析-整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)

6、組成分析網(wǎng)絡(luò)結(jié)構(gòu)關(guān)注信息系統(tǒng)的支撐網(wǎng)絡(luò)，分析 網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)區(qū)域、對(duì)外邊界 等調(diào)查結(jié)果分析-整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析調(diào)查結(jié)果分析-整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析系統(tǒng)組成 關(guān)注信息系統(tǒng)中定級(jí)對(duì)象的數(shù)量 、每個(gè)定級(jí)對(duì)象的級(jí)別、每個(gè)定 級(jí)對(duì)象所處的網(wǎng)絡(luò)區(qū)域、每個(gè)定 級(jí)對(duì)象承載的應(yīng)用情況等調(diào)查結(jié)果分析-整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析邊界分析分析和確定每個(gè)定級(jí)對(duì)象的系統(tǒng)邊界，并確定其在網(wǎng)絡(luò)中的物理邊界，多個(gè)定級(jí)對(duì)象的物理邊界可能為一個(gè)，例如多個(gè)定級(jí)對(duì)象共用同一個(gè)防火墻或交換機(jī)作為其邊界設(shè)備。調(diào)查結(jié)果分析-整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析相互關(guān)聯(lián)如各自為獨(dú)立的應(yīng)用系統(tǒng)，沒(méi)有數(shù)據(jù)交換；或各自為獨(dú)立的應(yīng)用系統(tǒng)，但是通過(guò)特

7、定的設(shè)備交換數(shù)據(jù)；或整體為一個(gè)應(yīng)用系統(tǒng)，不同的定級(jí)對(duì)象中部署應(yīng)用系統(tǒng)的不同模塊，數(shù)據(jù)交換通過(guò)不同模塊乊間的數(shù)據(jù)通信實(shí)現(xiàn)等等。測(cè)評(píng)準(zhǔn)備活動(dòng)任務(wù)之三-工具和表單準(zhǔn)備測(cè)評(píng)人員熟悉被測(cè)系統(tǒng)應(yīng)用業(yè)務(wù)流程等。測(cè)評(píng)人員調(diào)試本次測(cè)評(píng)過(guò)程中將用到的測(cè)評(píng)工具，包括漏洞掃描工具、滲透性測(cè)試工具、性能測(cè)試工具和協(xié)議分析工具等。測(cè)評(píng)人員模擬被測(cè)系統(tǒng)搭建測(cè)評(píng)環(huán)境。準(zhǔn)備和打印表單，主要包括：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表單等。20方案編制活動(dòng)的目標(biāo)整理測(cè)評(píng)準(zhǔn)備活動(dòng)中獲取的 信息系統(tǒng)相關(guān)資料，為現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)提供最基本的文檔和指導(dǎo)方案。 方案編制活動(dòng)測(cè)評(píng)對(duì)象確定：識(shí)別被測(cè)系統(tǒng)等級(jí)識(shí)別被測(cè)系統(tǒng)的整體結(jié)構(gòu)識(shí)別

8、被測(cè)系統(tǒng)的邊界識(shí)別被測(cè)系統(tǒng)的網(wǎng)絡(luò)區(qū)域識(shí)別被測(cè)系統(tǒng)的重點(diǎn)節(jié)點(diǎn)和業(yè)務(wù)應(yīng)用確定測(cè)評(píng)對(duì)象測(cè)評(píng)指標(biāo)確定：識(shí)別被測(cè)系統(tǒng)業(yè)務(wù)信息和系統(tǒng)服務(wù)安全保護(hù)等級(jí)選擇對(duì)應(yīng)等級(jí)的ASG三類(lèi)安全要求作為測(cè)評(píng)指標(biāo)就高原則調(diào)整多個(gè)定級(jí)對(duì)象共用的某些物理安全或管理安全測(cè)評(píng)指標(biāo)測(cè)評(píng)內(nèi)容確定識(shí)別每個(gè)測(cè)評(píng)對(duì)象對(duì)應(yīng)的測(cè)評(píng)指標(biāo)識(shí)別每個(gè)測(cè)評(píng)對(duì)象對(duì)應(yīng)的每個(gè)測(cè)評(píng)指標(biāo)的測(cè)評(píng)方法工具測(cè)試方法確定確定工具測(cè)試的測(cè)評(píng)對(duì)象選擇測(cè)試路徑確定測(cè)試工具的接入點(diǎn)測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)從已有的測(cè)評(píng)指導(dǎo)書(shū)中選擇與測(cè)評(píng)對(duì)象對(duì)應(yīng)的手冊(cè)針對(duì)沒(méi)有現(xiàn)成測(cè)評(píng)指導(dǎo)書(shū)的測(cè)評(píng)對(duì)象，開(kāi)發(fā)新的測(cè)評(píng)指導(dǎo)書(shū)測(cè)評(píng)方案編制描述測(cè)評(píng)項(xiàng)目基本情況和工作依據(jù)描述被測(cè)系統(tǒng)的整體結(jié)構(gòu)、邊界和網(wǎng)絡(luò)區(qū)域描述被測(cè)系統(tǒng)重

9、要節(jié)點(diǎn)和業(yè)務(wù)應(yīng)用描述測(cè)評(píng)指標(biāo)描述測(cè)評(píng)對(duì)象描述測(cè)評(píng)內(nèi)容、方法和工具人員安排與進(jìn)度計(jì)劃 23方案編制活動(dòng)任務(wù)之一-確定測(cè)評(píng)對(duì)象 識(shí)別被測(cè)評(píng)系統(tǒng)的安全保護(hù)等級(jí) 識(shí)別被測(cè)評(píng)系統(tǒng)的整體結(jié)構(gòu) 識(shí)別被測(cè)評(píng)系統(tǒng)的邊界識(shí)別被測(cè)評(píng)系統(tǒng)的網(wǎng)絡(luò)區(qū)域識(shí)別被測(cè)評(píng)系統(tǒng)的重要節(jié)點(diǎn)和業(yè)務(wù)應(yīng)用根據(jù)上述級(jí)別、網(wǎng)絡(luò)結(jié)構(gòu)、邊界等情況確定測(cè) 評(píng)對(duì)象方案編制活動(dòng)任務(wù)之一-確定測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象的確定一般采用抽查的方法，即抽查信息系統(tǒng)中具有代表性的組件作為測(cè)評(píng)對(duì)象，并且在測(cè)評(píng)對(duì)象確定任務(wù)中應(yīng)兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。 方案編制活動(dòng)任務(wù)之一-確定測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象種類(lèi)上基本覆蓋、數(shù)量進(jìn)行抽樣，抽查的測(cè)評(píng)對(duì)象種類(lèi)主要考慮以下幾個(gè)方面：

10、主中心（包括其環(huán)境、設(shè)備和設(shè)施等)和部分輔機(jī)房 存儲(chǔ)被測(cè)系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境 辦公場(chǎng)地 整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 安全設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備和防病毒網(wǎng)關(guān)等 邊界網(wǎng)絡(luò)設(shè)備（可能會(huì)包含安全設(shè)備)，包括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備（如樓層交換機(jī))等 方案編制活動(dòng)任務(wù)之一-確定測(cè)評(píng)對(duì)象對(duì)整個(gè)信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、匯聚層交換機(jī)、路由器等 承載被測(cè)系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器（包括其操作系統(tǒng)和數(shù)據(jù)庫(kù)) 管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端 能完成被測(cè)系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng) 業(yè)務(wù)備份系統(tǒng) 信息安全主管人員、各方面的負(fù)責(zé)人員、具體負(fù)責(zé)安全管理的當(dāng)事

11、人、業(yè)務(wù)負(fù)責(zé)人 涉及到信息系統(tǒng)安全的所有管理制度和記錄27方案編制活動(dòng)任務(wù)之二-確定測(cè)評(píng)指標(biāo) 測(cè)評(píng)指標(biāo)來(lái)源于國(guó)家對(duì)不同安全保護(hù)等級(jí)信息系統(tǒng)的基本要求GB/T 22239-2008 。 依據(jù)定級(jí)情況確定定級(jí)對(duì)象應(yīng)采取的安全保護(hù)措施SAG組合情況，并從基本要求中選擇相應(yīng)等級(jí)的安全要求作為測(cè)評(píng)指標(biāo)。28方案編制活動(dòng)任務(wù)之三-確定測(cè)評(píng)內(nèi)容測(cè)評(píng)指標(biāo)測(cè)評(píng)對(duì)象物理安全機(jī)房、辦公環(huán)境、機(jī)房相關(guān)文 檔等網(wǎng)絡(luò)安全交換機(jī)、防火墻、路由器、IDS等主機(jī)安全操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等應(yīng)用安全應(yīng)用軟件、應(yīng)用平臺(tái)等管理安全文檔（制度、規(guī)程、記錄）、人員等方案編制活動(dòng)任務(wù)之四-確定工具測(cè)試方法 第一步，確定工具測(cè)試的測(cè)評(píng)對(duì)象第二

12、步，選擇測(cè)試路徑 從被測(cè)系統(tǒng)外部測(cè)試被測(cè)系統(tǒng) 在被測(cè)系統(tǒng)內(nèi)部，從與測(cè)評(píng)對(duì)象不同網(wǎng)段測(cè)試測(cè)評(píng)對(duì)象 在被測(cè)系統(tǒng)內(nèi)部，與測(cè)評(píng)對(duì)象同一網(wǎng)段測(cè)試測(cè)評(píng)對(duì)象第三步，確定接入點(diǎn)。方案編制活動(dòng)任務(wù)之五-開(kāi)發(fā)測(cè)評(píng)指導(dǎo)書(shū)對(duì)象明確（適用范圍）步驟描述準(zhǔn)確、詳細(xì)，預(yù)期結(jié)果明確經(jīng)過(guò)仿真環(huán)境驗(yàn)證方案編制活動(dòng)任務(wù)之六-編制測(cè)評(píng)方案1.根據(jù)委托測(cè)評(píng)協(xié)議書(shū)和填好的調(diào)研表格，提取項(xiàng)目來(lái)源、測(cè)評(píng)委托單位整體信息化建設(shè)情況及被測(cè)系統(tǒng)與單位其他系統(tǒng)之間的連接情況等。2.依據(jù)委托測(cè)評(píng)協(xié)議書(shū)和被測(cè)系統(tǒng)規(guī)模，估算現(xiàn)場(chǎng)測(cè)評(píng)工作量，確定人員分工和測(cè)評(píng)計(jì)劃。3.描述測(cè)評(píng)對(duì)象、測(cè)評(píng)方式和工具。4.描述測(cè)評(píng)指標(biāo)。5.描述現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施內(nèi)容，包括單項(xiàng)測(cè)評(píng)和

13、整體測(cè)評(píng)。6.匯總上述5個(gè)步驟的各類(lèi)文檔和資料形成測(cè)評(píng)方案文稿。7.評(píng)審和提交測(cè)評(píng)方案?，F(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的目標(biāo)按照測(cè)評(píng)方案的總體要求，嚴(yán)格執(zhí)行測(cè)評(píng)指導(dǎo)書(shū)，分步實(shí)施所有測(cè)評(píng)項(xiàng)目，了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題。 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng) 現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)簽署召開(kāi)現(xiàn)場(chǎng)測(cè)評(píng)啟動(dòng)會(huì)雙方確認(rèn)測(cè)評(píng)方案雙方確認(rèn)配合人員、環(huán)境等資源確認(rèn)信息系統(tǒng)已經(jīng)備份更新測(cè)評(píng)方案、結(jié)果記錄表格等資料現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄：進(jìn)場(chǎng)確認(rèn)依據(jù)測(cè)評(píng)指導(dǎo)書(shū)實(shí)施測(cè)評(píng)記錄測(cè)評(píng)獲取的證據(jù)、資料等信息匯總測(cè)評(píng)記錄，如果需要，實(shí)施補(bǔ)充測(cè)評(píng)離場(chǎng)確認(rèn)結(jié)果確認(rèn)和資料歸還召開(kāi)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)束會(huì)測(cè)評(píng)委托單位確認(rèn)測(cè)評(píng)過(guò)程中獲取的證據(jù)和資料的

14、正確性，并簽字認(rèn)可測(cè)評(píng)人員歸還借閱的各種資料 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)任務(wù)之一-現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備被測(cè)單位簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)。召開(kāi)測(cè)評(píng)現(xiàn)場(chǎng)首次會(huì)，測(cè)評(píng)機(jī)構(gòu)介縐測(cè)評(píng)工作，交流測(cè)評(píng)信息，進(jìn)一步明確測(cè)評(píng)計(jì)劃和方案中的內(nèi)容，說(shuō)明測(cè)評(píng)過(guò)程中具體的實(shí)施工作內(nèi)容，測(cè)評(píng)時(shí)間安排等。測(cè)評(píng)雙方對(duì)測(cè)評(píng)方案進(jìn)行最終審定。測(cè)評(píng)雙方確認(rèn)現(xiàn)場(chǎng)測(cè)評(píng)需要的各種資源，包括被測(cè)單位的配合人員和需要提供的測(cè)評(píng)條件等，確認(rèn)已備仹過(guò)系統(tǒng)及數(shù)據(jù)。測(cè)評(píng)人員根據(jù)會(huì)議溝通結(jié)果，對(duì)測(cè)評(píng)結(jié)果記錄表單和測(cè)評(píng)程序進(jìn)行必要的更新?，F(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)任務(wù)之二-現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄測(cè)評(píng)人員與被測(cè)系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息。測(cè)評(píng)人員查閱相

15、關(guān)文檔，獲取相關(guān)證據(jù)。測(cè)評(píng)人員通過(guò)上機(jī)驗(yàn)證方式獲取系統(tǒng)配置方面的相關(guān)證據(jù)。測(cè)評(píng)人員利用測(cè)試工具進(jìn)行測(cè)試獲取漏洞、通信安全性以及入侵防范等方面的證據(jù)。現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)任務(wù)之二-現(xiàn)場(chǎng)測(cè)評(píng)依據(jù)工具和實(shí)施過(guò)程的不同，測(cè)試可以進(jìn)一步細(xì)分為信息獲取、漏洞掃描、滲透測(cè)試、密碼分析等方式。信息獲取是指獲取存活主機(jī)/設(shè)備的名稱、IP 地址、操作系統(tǒng)、開(kāi)放的服務(wù)端口以及特定的數(shù)據(jù)包等信息內(nèi)容； 漏洞掃描是指利用漏洞掃描設(shè)備對(duì)目標(biāo)設(shè)備進(jìn)行自動(dòng)探測(cè)，發(fā)現(xiàn)這些主機(jī)/設(shè)備上各個(gè)對(duì)網(wǎng)絡(luò)開(kāi)放端口上存在的錯(cuò)誤配置和已知安全漏洞； 滲透測(cè)試是模擬黑客可能使用的攻擊技術(shù)，試圖侵入信息系統(tǒng)或取得信息系統(tǒng)上的更多資源，以直觀地測(cè)試信息系統(tǒng)

16、的安全狀況。從不同接入點(diǎn)對(duì)信息系統(tǒng)進(jìn)行漏洞掃描和滲透測(cè)試，可以反映出信息系統(tǒng)在不同角度、不同視野下的安全狀況。 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)任務(wù)之三-結(jié)果確認(rèn)和資料歸還測(cè)評(píng)人員在現(xiàn)場(chǎng)測(cè)評(píng)完成之后，應(yīng)首先匯總現(xiàn)場(chǎng)測(cè)評(píng)的測(cè)評(píng)記錄，對(duì)漏掉和需要進(jìn)一步驗(yàn)證的內(nèi)容實(shí)施補(bǔ)充測(cè)評(píng)。召開(kāi)測(cè)評(píng)現(xiàn)場(chǎng)結(jié)束會(huì)，測(cè)評(píng)雙方對(duì)測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的問(wèn)題進(jìn)行現(xiàn)場(chǎng)確認(rèn)。測(cè)評(píng)機(jī)構(gòu)歸還測(cè)評(píng)過(guò)程中借閱的所有文檔資料，并由被測(cè)單位文檔資料提供者簽字確認(rèn)?，F(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)可能遇到的問(wèn)題 配合、協(xié)調(diào)測(cè)評(píng)結(jié)果版本控制測(cè)試工具故障報(bào)告編制活動(dòng)的目標(biāo)分析測(cè)評(píng)結(jié)果，找出整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，綜合評(píng)價(jià)被測(cè)系統(tǒng)整體安全保護(hù)能力，給出等級(jí)測(cè)評(píng)結(jié)論

17、。 報(bào)告編制活動(dòng)單項(xiàng)測(cè)評(píng)結(jié)果判定分析測(cè)評(píng)項(xiàng)所對(duì)抗威脅的存在情況分析單個(gè)測(cè)評(píng)項(xiàng)是否有多方面的要求內(nèi)容，依據(jù)“優(yōu)勢(shì)證據(jù)”法選擇優(yōu)勢(shì)證據(jù)，并將優(yōu)勢(shì)證據(jù)與預(yù)期測(cè)評(píng)結(jié)果相比較綜合判定單個(gè)測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果單元測(cè)評(píng)結(jié)果判定匯總每個(gè)測(cè)評(píng)對(duì)象在每個(gè)測(cè)評(píng)單元的單項(xiàng)測(cè)評(píng)結(jié)果判定每個(gè)測(cè)評(píng)對(duì)象的單元測(cè)評(píng)結(jié)果整體測(cè)評(píng)分析不符合和部分符合的測(cè)評(píng)項(xiàng)與其他測(cè)評(píng)項(xiàng)（包括單元內(nèi)、層面間、區(qū)域間）之間的關(guān)聯(lián)關(guān)系及對(duì)結(jié)果的影響情況風(fēng)險(xiǎn)分析整體測(cè)評(píng)后的單元測(cè)評(píng)結(jié)果再次匯總分析部分符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問(wèn)題被威脅利用的可能性分析威脅利用安全問(wèn)題后造成的影響程度按照測(cè)評(píng)單位選定的風(fēng)險(xiǎn)分析方法對(duì)被測(cè)系統(tǒng)面臨的安全風(fēng)險(xiǎn)進(jìn)行賦值評(píng)價(jià)風(fēng)險(xiǎn)分析

18、結(jié)果等級(jí)測(cè)評(píng)結(jié)論形成統(tǒng)計(jì)再次匯總后的單元測(cè)評(píng)結(jié)果為部分符合和不符合項(xiàng)的項(xiàng)數(shù)形成等級(jí)測(cè)評(píng)結(jié)論測(cè)評(píng)報(bào)告編制概述測(cè)評(píng)項(xiàng)目情況描述被測(cè)系統(tǒng)情況描述測(cè)評(píng)范圍和方法描述單元測(cè)評(píng)情況描述整體測(cè)評(píng)情況匯總測(cè)評(píng)結(jié)果描述風(fēng)險(xiǎn)情況給出等級(jí)測(cè)評(píng)結(jié)論和整改建議 報(bào)告編制活動(dòng)任務(wù)之一-判定單項(xiàng)測(cè)評(píng)結(jié)果1.針對(duì)每個(gè)測(cè)評(píng)對(duì)象對(duì)應(yīng)的每個(gè)測(cè)評(píng)項(xiàng)，分析該測(cè)評(píng)項(xiàng)所對(duì)抗的威脅在被測(cè)系統(tǒng)中是否存在，如果不存在，則該測(cè)評(píng)項(xiàng)應(yīng)標(biāo)為不適用項(xiàng)。對(duì)于適用項(xiàng)，則2.分析單個(gè)測(cè)評(píng)項(xiàng)是否有多方面的要求內(nèi)容，依據(jù)“優(yōu)勢(shì)證據(jù)”法針對(duì)每一方面的要求內(nèi)容，從一個(gè)或多個(gè)測(cè)評(píng)證據(jù)中選擇出“優(yōu)勢(shì)證據(jù)”，并將“優(yōu)勢(shì)證據(jù)”與要求內(nèi)容的預(yù)期測(cè)評(píng)結(jié)果相比較；3.如果測(cè)評(píng)證據(jù)

19、表明所有要求內(nèi)容與預(yù)期測(cè)評(píng)結(jié)果一致，則判定該測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果為符合；如果測(cè)評(píng)證據(jù)表明所有要求內(nèi)容與預(yù)期測(cè)評(píng)結(jié)果不一致，判定該測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果為不符合；否則判定該測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果為部分符合。判定單項(xiàng)測(cè)評(píng)結(jié)果-關(guān)于優(yōu)勢(shì)證據(jù)優(yōu)勢(shì)證據(jù)多個(gè)測(cè)評(píng)證據(jù)中那個(gè)/些對(duì)于某方面要求內(nèi)容的符合性判定更具有證明力、說(shuō)服力的測(cè)評(píng)證據(jù)。優(yōu)勢(shì)證據(jù)順序物理安全測(cè)評(píng)，優(yōu)勢(shì)證據(jù)順序一般為：實(shí)地察看證 據(jù)文檔審查證據(jù)訪談證據(jù)；技術(shù)安全方面的測(cè)評(píng)，優(yōu)勢(shì)證據(jù)順序一般為：工具測(cè)試證據(jù)配置檢查證據(jù)訪談證據(jù)；管理安全方面的測(cè)評(píng)，則要根據(jù)實(shí)際情況分析確定優(yōu)勢(shì)證據(jù)。報(bào)告編制活動(dòng)任務(wù)之二-判定單元測(cè)評(píng)結(jié)果單元測(cè)評(píng)指標(biāo)包含的所有測(cè)評(píng)項(xiàng)均

20、為不適用項(xiàng)，則該測(cè)評(píng)對(duì)象對(duì)應(yīng)該測(cè)評(píng)指標(biāo)的單元測(cè)評(píng)結(jié)果為不適用；單元測(cè)評(píng)指標(biāo)包含的所有適用測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果均為符合或不符合，則該測(cè)評(píng)對(duì)象對(duì)應(yīng)該測(cè)評(píng)指標(biāo)的單元測(cè)評(píng)結(jié)果為符合或不符合；單元測(cè)評(píng)指標(biāo)包含的所有適用測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果不全為符合或不符合，則該測(cè)評(píng)對(duì)象對(duì)應(yīng)該測(cè)評(píng)指標(biāo)的單元測(cè)評(píng)結(jié)果為部分符合。報(bào)告編制活動(dòng)任務(wù)之三-整體測(cè)評(píng)針對(duì)測(cè)評(píng)對(duì)象“部分符合”及“不符合”要求的單個(gè)測(cè)評(píng)項(xiàng)，分析與該測(cè)評(píng)項(xiàng)相關(guān)的其他測(cè)評(píng)項(xiàng)能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的不足，以及該測(cè)評(píng)項(xiàng)的不足是否會(huì)影響與其有關(guān)聯(lián)關(guān)系的其他測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。針對(duì)測(cè)評(píng)對(duì)象“部分符合

21、”及“不符合”要求的單個(gè)測(cè)評(píng)項(xiàng)，分析與該測(cè)評(píng)項(xiàng)相關(guān)的其他層面的測(cè)評(píng)對(duì)象能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的不足，以及該測(cè)評(píng)項(xiàng)的不足是否會(huì)影響與其有關(guān)聯(lián)關(guān)系的其他測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。針對(duì)測(cè)評(píng)對(duì)象“部分符合”及“不符合”要求的單個(gè)測(cè)評(píng)項(xiàng)，分析與該測(cè)評(píng)項(xiàng)相關(guān)的其他區(qū)域的測(cè)評(píng)對(duì)象能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的不足，以及該測(cè)評(píng)項(xiàng)的不足是否會(huì)影響與其有關(guān)聯(lián)關(guān)系的其他測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。報(bào)告編制活動(dòng)任務(wù)之四-風(fēng)險(xiǎn)分析和評(píng)價(jià)1.結(jié)合單元測(cè)評(píng)的結(jié)果匯總和整體測(cè)評(píng)結(jié)果，將物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、

22、應(yīng)用安全等層面中各個(gè)測(cè)評(píng)對(duì)象的測(cè)評(píng)結(jié)果再次匯總分析，統(tǒng)計(jì)符合情況。2.判斷測(cè)評(píng)結(jié)果匯總中部分符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問(wèn)題被威脅利用的可能性，可能性的取值范圍為高、中和低。3.判斷測(cè)評(píng)結(jié)果匯總中部分符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問(wèn)題被威脅利用后，對(duì)被測(cè)系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成的影響程度，影響程度取值范圍為高、中和低。4.綜合2.和3.的結(jié)果，并按照選定的風(fēng)險(xiǎn)計(jì)算方法對(duì)被測(cè)系統(tǒng)面臨的安全風(fēng)險(xiǎn)進(jìn)行賦值，風(fēng)險(xiǎn)值的取值范圍為高、中和低。5.結(jié)合被測(cè)系統(tǒng)的安全保護(hù)等級(jí)對(duì)風(fēng)險(xiǎn)分析結(jié)果進(jìn)行評(píng)價(jià)，即對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險(xiǎn)。報(bào)告編制活動(dòng)任務(wù)之五-形

23、成等級(jí)測(cè)評(píng)結(jié)論等級(jí)測(cè)評(píng)結(jié)論：符合等級(jí)測(cè)評(píng)結(jié)果中不存在部分符合項(xiàng)或不符合項(xiàng)?；痉系燃?jí)測(cè)評(píng)結(jié)果中存在部分符合項(xiàng)或不符合項(xiàng)，但不會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)。不符合等級(jí)測(cè)評(píng)結(jié)果中存在部分符合項(xiàng)或不符合項(xiàng)，導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)。報(bào)告編制活動(dòng)任務(wù)之六-編制測(cè)評(píng)報(bào)告測(cè)評(píng)人員整理前面幾項(xiàng)任務(wù)的輸出/產(chǎn)品，編制測(cè)評(píng)報(bào)告相應(yīng)部分。針對(duì)被測(cè)系統(tǒng)存在的安全隱患，從系統(tǒng)安全角度提出相應(yīng)的改進(jìn)建議，編制測(cè)評(píng)報(bào)告的安全建設(shè)整改建議部分。列表給出現(xiàn)場(chǎng)測(cè)評(píng)的文檔清單和單項(xiàng)測(cè)評(píng)記錄，以及對(duì)各個(gè)測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果判定情況，編制測(cè)評(píng)報(bào)告的單元測(cè)評(píng)的結(jié)果記錄和問(wèn)題分析部分。評(píng)審測(cè)評(píng)報(bào)告。根據(jù)分發(fā)范圍分發(fā)報(bào)告。測(cè)評(píng)

24、報(bào)告的構(gòu)成報(bào)告摘要1 測(cè)評(píng)項(xiàng)目概述2被測(cè)信息系統(tǒng)情況3 等級(jí)測(cè)評(píng)范圍與方法4 單元測(cè)評(píng)5 整體測(cè)評(píng)6 測(cè)評(píng)結(jié)果匯總7 風(fēng)險(xiǎn)分析和評(píng)價(jià)8 等級(jí)測(cè)評(píng)結(jié)論9 安全建設(shè)整改建議第二篇GB/T 22239-2008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求介紹概述 “標(biāo)尺”、達(dá)標(biāo)線; 基本的安全狀態(tài); 保護(hù)的出發(fā)點(diǎn);基本要求組成技術(shù)要求： 物理安全 網(wǎng)絡(luò)安全 主機(jī)安全 應(yīng)用安全 數(shù)據(jù)安全及備份恢復(fù)管理要求： 安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理 物理安全物理安全要求主要由機(jī)房（包括主、輔機(jī)房、介質(zhì)存放間等）所部署的設(shè)備設(shè)施和采取的安全技術(shù)措施兩方面提供的功能來(lái)滿足。部分物理安全要求涉及到終端

25、所在的辦公場(chǎng)地。物理安全-控制點(diǎn)（三級(jí)S3A3G3）物理位置的選擇2物理訪問(wèn)控制 4防盜竊和防破壞6防雷擊 3防火 3防水和防潮4防靜電 2溫濕度控制1電力供應(yīng) 4電磁防護(hù) 3網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全要求中對(duì)廣域網(wǎng)絡(luò)、城域網(wǎng)絡(luò)等通信網(wǎng)絡(luò)的要求由構(gòu)成通信網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的網(wǎng)絡(luò)管理機(jī)制提供的功能來(lái)滿足。對(duì)局域網(wǎng)安全的要求主要通過(guò)采用防火墻、入侵檢測(cè)系統(tǒng)、惡意代碼防范系統(tǒng)、安全管理中心等設(shè)備提供的安全功能來(lái)滿足。網(wǎng)絡(luò)安全-控制點(diǎn)結(jié)構(gòu)安全 7訪問(wèn)控制 8安全審計(jì) 4邊界完整性檢查2入侵防范 2惡意代碼防范2網(wǎng)絡(luò)設(shè)備防護(hù)8 主機(jī)安全主機(jī)包括應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、安全軟件所安裝的服務(wù)器及管理終端、業(yè)務(wù)終端、辦公終端等。主機(jī)安全要求通過(guò)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)及其他安全軟件（包括防病毒、防入侵、木馬檢測(cè)等軟件）實(shí)現(xiàn)的安全功能來(lái)滿足。身份鑒別 6訪問(wèn)控制 7安全審計(jì) 6剩余信息保護(hù) 2入侵防范 3惡意代碼防范 3資源控制 5主機(jī)安全-控制點(diǎn)應(yīng)用安全應(yīng)用安全要求通過(guò)應(yīng)用系統(tǒng)、應(yīng)用平