1、 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心信息系統(tǒng)安全信息系統(tǒng)安全等級保護等級保護測評實施測評實施張杰宏張杰宏四川省軟件和信息系統(tǒng)工程測評中心四川省軟件和信息系統(tǒng)工程測評中心2013年年03月月20日日 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心目錄n第一篇第一篇 測評實施工作流程及主要

2、內(nèi)容測評實施工作流程及主要內(nèi)容n第二篇第二篇 GB/T 22239-2008 信息系統(tǒng)信息系統(tǒng)安全等級保護基本要求安全等級保護基本要求介紹介紹 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心第一篇第一篇測評實施工作流程及主要內(nèi)容測評實施工作流程及主要內(nèi)容 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心 測評流程測評流程 中

3、國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心測評準(zhǔn)備活動的目標(biāo)測評準(zhǔn)備活動的目標(biāo)測評機構(gòu)組建等級測評測評機構(gòu)組建等級測評項目組，項目組，獲取獲取測評委托單位及被測系統(tǒng)的測評委托單位及被測系統(tǒng)的基本情況基本情況，從基本資料、人員、，從基本資料、人員、計劃安排等方面為整個等級測評計劃安排等方面為整個等級測評項目的實施做項目的實施做基本準(zhǔn)備基本準(zhǔn)備。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409

4、NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心 測評準(zhǔn)備活動測評準(zhǔn)備活動n項目啟動：項目啟動：n組建測評項目組n編制項目計劃書n確定測評委托單位應(yīng)提供的資料：總體描述文件、詳細(xì)描述文件、定級報告、自查報告和等級測評報告（如果曾做過的話），以及安全需求分析報告、安全總體方案、系統(tǒng)驗收報告等信息系統(tǒng)設(shè)計和建設(shè)過程的文檔。n信息收集和分析：信息收集和分析：n收集、查閱被測系統(tǒng)已有定級報告、系統(tǒng)描述文件、系統(tǒng)安全設(shè)計方案、自查報告和等級測評報告（如果曾做過的話）等資料n編制和發(fā)放調(diào)查表格n協(xié)助測評單位填寫調(diào)查表或現(xiàn)場調(diào)查（電話或郵件方式）n收回和分析調(diào)查結(jié)果：整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)

5、組成分析、定級對象邊界和系統(tǒng)構(gòu)成組件分析、定級對象的相互關(guān)聯(lián)分析n工具和表單準(zhǔn)備：工具和表單準(zhǔn)備：n調(diào)試測評工具n模擬被測系統(tǒng)，搭建測評環(huán)境n模擬測評n準(zhǔn)備和打印表單：現(xiàn)場測評授權(quán)書、文檔交接單、會議記錄表單、會議簽到表單等 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心測評準(zhǔn)備活動任務(wù)之一測評準(zhǔn)備活動任務(wù)之一-項目啟動項目啟動n根據(jù)測評雙方簽訂的委托測評協(xié)議書和系根據(jù)測評雙方簽訂的委托測評協(xié)議書和系統(tǒng)規(guī)模，測評機構(gòu)組建測評項目組，從人統(tǒng)規(guī)模，測評機構(gòu)組建測

6、評項目組，從人員方面做好準(zhǔn)備，并編制項目計劃書。員方面做好準(zhǔn)備，并編制項目計劃書。n測評機構(gòu)要求測評委托單位提供基本資測評機構(gòu)要求測評委托單位提供基本資料，包括被測系統(tǒng)總體描述文件、詳細(xì)描料，包括被測系統(tǒng)總體描述文件、詳細(xì)描述文件、安全需求分析報告、安全總體方述文件、安全需求分析報告、安全總體方案、系統(tǒng)驗收報告、安全保護等級定級報案、系統(tǒng)驗收報告、安全保護等級定級報告、自查或上次等級測評報告（如果有）告、自查或上次等級測評報告（如果有）、測評委托單位的信息化建設(shè)狀況與發(fā)展、測評委托單位的信息化建設(shè)狀況與發(fā)展以及聯(lián)絡(luò)方式等。以及聯(lián)絡(luò)方式等。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電

7、子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心測評準(zhǔn)備活動任務(wù)之二測評準(zhǔn)備活動任務(wù)之二-信息收集與分析的目標(biāo)信息收集與分析的目標(biāo)p通過查閱被測系統(tǒng)已有資料或使用調(diào)查表格的方式，了解整個系統(tǒng)的構(gòu)成和保護情況，為編寫測評方案和開展現(xiàn)場測評工作奠定基礎(chǔ)。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心測評準(zhǔn)備活動任務(wù)之二測評準(zhǔn)備活動任務(wù)之二-信息收集與分析信息收集與分析n測評機構(gòu)收

8、集等級測評需要的各種資料。測評機構(gòu)收集等級測評需要的各種資料。n測評機構(gòu)將調(diào)查表格提交給測評委托單位，測評機構(gòu)將調(diào)查表格提交給測評委托單位， 促并協(xié)助相關(guān)人員準(zhǔn)確填寫調(diào)查表格。促并協(xié)助相關(guān)人員準(zhǔn)確填寫調(diào)查表格。n測評機構(gòu)收回填寫完成的調(diào)查表格，并初步測評機構(gòu)收回填寫完成的調(diào)查表格，并初步 析調(diào)查結(jié)果。析調(diào)查結(jié)果。n根據(jù)調(diào)查表格填寫情況安排現(xiàn)場調(diào)研。根據(jù)調(diào)查表格填寫情況安排現(xiàn)場調(diào)研。n對調(diào)查了解到的信息進行綜合分析及整理，對調(diào)查了解到的信息進行綜合分析及整理， 進一步了解和熟悉信息系統(tǒng)的實際情況。進一步了解和熟悉信息系統(tǒng)的實際情況。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)

9、督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心信息收集與分析信息收集與分析-調(diào)查表調(diào)查表n調(diào)查內(nèi)容全面調(diào)查內(nèi)容全面n調(diào)查項目順序合理調(diào)查項目順序合理n保留項目之間的邏輯關(guān)聯(lián)保留項目之間的邏輯關(guān)聯(lián) 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心信息收集與分析信息收集與分析-調(diào)查表調(diào)查表調(diào)查表清單調(diào)查表清單n表表1-1 單位基本情況單位基本情況n表表1-2 參與人員名單參與人員名單n表表

10、1-3 物理環(huán)境情況物理環(huán)境情況n表表1-4 信息系統(tǒng)基本情況信息系統(tǒng)基本情況n表表1-5 承載業(yè)務(wù)（服務(wù)）情況調(diào)查承載業(yè)務(wù)（服務(wù)）情況調(diào)查n表表1-6 信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況調(diào)查信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況調(diào)查n表表1-7 外聯(lián)線路及設(shè)備端口（網(wǎng)絡(luò)邊界）情況調(diào)查外聯(lián)線路及設(shè)備端口（網(wǎng)絡(luò)邊界）情況調(diào)查n表表1-8 網(wǎng)絡(luò)設(shè)備情況調(diào)查網(wǎng)絡(luò)設(shè)備情況調(diào)查n表表1-9 安全設(shè)備情況調(diào)查安全設(shè)備情況調(diào)查n表表1-10 服務(wù)器設(shè)備情況調(diào)查服務(wù)器設(shè)備情況調(diào)查n表表1-11 終端設(shè)備情況調(diào)查終端設(shè)備情況調(diào)查n表表1-12 系統(tǒng)軟件情況調(diào)查系統(tǒng)軟件情況調(diào)查n表表1-13 應(yīng)用系統(tǒng)軟件情況調(diào)查應(yīng)用系統(tǒng)軟件情況

11、調(diào)查n表表1-14 業(yè)務(wù)數(shù)據(jù)情況調(diào)查業(yè)務(wù)數(shù)據(jù)情況調(diào)查n表表1-15 數(shù)據(jù)備份情況調(diào)查數(shù)據(jù)備份情況調(diào)查n表表1-16 應(yīng)用系統(tǒng)軟件處理流程調(diào)查應(yīng)用系統(tǒng)軟件處理流程調(diào)查n表表1-17 業(yè)務(wù)數(shù)據(jù)流程調(diào)查業(yè)務(wù)數(shù)據(jù)流程調(diào)查n表表1-18 管理文檔情況調(diào)查管理文檔情況調(diào)查n表表1-19 安全威脅情況調(diào)查安全威脅情況調(diào)查 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心信息收集與分析信息收集與分析-調(diào)查內(nèi)容調(diào)查內(nèi)容p物理環(huán)境信息收集機房數(shù)量、物理位置辦公環(huán)境p網(wǎng)絡(luò)信息收集網(wǎng)

12、絡(luò)拓?fù)鋱D網(wǎng)絡(luò)結(jié)構(gòu)系統(tǒng)外聯(lián)網(wǎng)絡(luò)設(shè)備安全設(shè)備 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心信息收集與分析信息收集與分析-調(diào)查內(nèi)容調(diào)查內(nèi)容p主機主機信息收集信息收集服務(wù)器、工作站服務(wù)器、工作站終端終端業(yè)務(wù)終端、管理終端、設(shè)備控制臺業(yè)務(wù)終端、管理終端、設(shè)備控制臺p應(yīng)用信息收集應(yīng)用信息收集應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)業(yè)務(wù)數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)p管理信息收集管理信息收集機構(gòu)設(shè)置機構(gòu)設(shè)置人員職責(zé)分配人員職責(zé)分配管理文檔管理文檔 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督

13、檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心信息收集與分析信息收集與分析-調(diào)查結(jié)果分析調(diào)查結(jié)果分析n整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析n定級對象邊界和系統(tǒng)構(gòu)成組件分析定級對象邊界和系統(tǒng)構(gòu)成組件分析n定級對象的相互關(guān)聯(lián)分析定級對象的相互關(guān)聯(lián)分析 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心調(diào)查結(jié)果分析調(diào)查結(jié)果分析-整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析

14、p網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)關(guān)注信息系統(tǒng)的支撐網(wǎng)絡(luò)，分析 網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)區(qū)域、對外邊界 等 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心調(diào)查結(jié)果分析調(diào)查結(jié)果分析-整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心調(diào)查結(jié)果分析調(diào)查結(jié)果分析-整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)

15、組成分析p系統(tǒng)組成系統(tǒng)組成 關(guān)注信息系統(tǒng)中定級對象的數(shù)量關(guān)注信息系統(tǒng)中定級對象的數(shù)量 、每個定級對象的級別、每個定、每個定級對象的級別、每個定 級對象所處的網(wǎng)絡(luò)區(qū)域、每個定級對象所處的網(wǎng)絡(luò)區(qū)域、每個定 級對象承載的應(yīng)用情況等級對象承載的應(yīng)用情況等 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心調(diào)查結(jié)果分析調(diào)查結(jié)果分析-整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析p邊界分析邊界分析分析和確定每個定級對象的系統(tǒng)分析和確定每個定級對象的系統(tǒng)邊界，并確定其在

16、網(wǎng)絡(luò)中的物理邊界，并確定其在網(wǎng)絡(luò)中的物理邊界，多個定級對象的物理邊界邊界，多個定級對象的物理邊界可能為一個，例如多個定級對象可能為一個，例如多個定級對象共用同一個防火墻或交換機作為共用同一個防火墻或交換機作為其邊界設(shè)備。其邊界設(shè)備。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心調(diào)查結(jié)果分析調(diào)查結(jié)果分析-整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析整體網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)組成分析p相互關(guān)聯(lián)如各自為獨立的應(yīng)用系統(tǒng)，沒有數(shù)據(jù)交換；或各自為獨立的應(yīng)用系統(tǒng)，但是通過特定的設(shè)備交換數(shù)據(jù)；或整

17、體為一個應(yīng)用系統(tǒng)，不同的定級對象中部署應(yīng)用系統(tǒng)的不同模塊，數(shù)據(jù)交換通過不同模塊乊間的數(shù)據(jù)通信實現(xiàn)等等。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心測評準(zhǔn)備活動任務(wù)測評準(zhǔn)備活動任務(wù)之之三三-工具和表單準(zhǔn)備工具和表單準(zhǔn)備n測評人員熟悉被測系統(tǒng)應(yīng)用業(yè)務(wù)流程等。測評人員熟悉被測系統(tǒng)應(yīng)用業(yè)務(wù)流程等。n測評人員調(diào)試本次測評過程中將用到的測評測評人員調(diào)試本次測評過程中將用到的測評工具，包括漏洞掃描工具、滲透性測試工具工具，包括漏洞掃描工具、滲透性測試工具、性能測試工具

18、和協(xié)議分析工具等。、性能測試工具和協(xié)議分析工具等。n測評人員模擬被測系統(tǒng)搭建測評環(huán)境。測評人員模擬被測系統(tǒng)搭建測評環(huán)境。n準(zhǔn)備和打印表單，主要包括：現(xiàn)場測評授權(quán)準(zhǔn)備和打印表單，主要包括：現(xiàn)場測評授權(quán)書、文檔交接單、會議記錄表單、會議簽到書、文檔交接單、會議記錄表單、會議簽到表單等。表單等。20 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心方案編制活動的目標(biāo)方案編制活動的目標(biāo)p整理測評準(zhǔn)備活動中獲取的 信息系統(tǒng)相關(guān)資料，為現(xiàn)場測評活動提供最基本的文檔和指導(dǎo)方

19、案。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心 方案編制活動方案編制活動n測評對象確定：測評對象確定：n識別被測系統(tǒng)等級n識別被測系統(tǒng)的整體結(jié)構(gòu)n識別被測系統(tǒng)的邊界n識別被測系統(tǒng)的網(wǎng)絡(luò)區(qū)域n識別被測系統(tǒng)的重點節(jié)點和業(yè)務(wù)應(yīng)用n確定測評對象n測評指標(biāo)確定：測評指標(biāo)確定：n識別被測系統(tǒng)業(yè)務(wù)信息和系統(tǒng)服務(wù)安全保護等級n選擇對應(yīng)等級的ASG三類安全要求作為測評指標(biāo)n就高原則調(diào)整多個定級對象共用的某些物理安全或管理安全測評指標(biāo)n測評內(nèi)容確定測評內(nèi)容確定n識別每個測

20、評對象對應(yīng)的測評指標(biāo)n識別每個測評對象對應(yīng)的每個測評指標(biāo)的測評方法n工具測試方法確定工具測試方法確定n確定工具測試的測評對象n選擇測試路徑n確定測試工具的接入點n測評指導(dǎo)書開發(fā)測評指導(dǎo)書開發(fā)n從已有的測評指導(dǎo)書中選擇與測評對象對應(yīng)的手冊n針對沒有現(xiàn)成測評指導(dǎo)書的測評對象，開發(fā)新的測評指導(dǎo)書n測評方案編制測評方案編制n描述測評項目基本情況和工作依據(jù)n描述被測系統(tǒng)的整體結(jié)構(gòu)、邊界和網(wǎng)絡(luò)區(qū)域n描述被測系統(tǒng)重要節(jié)點和業(yè)務(wù)應(yīng)用n描述測評指標(biāo)n描述測評對象n描述測評內(nèi)容、方法和工具n人員安排與進度計劃 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L

21、0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心23方案編制活動任務(wù)之一方案編制活動任務(wù)之一-確定測評對象確定測評對象p 識別被測評系統(tǒng)的安全保護等級p 識別被測評系統(tǒng)的整體結(jié)構(gòu)p 識別被測評系統(tǒng)的邊界p識別被測評系統(tǒng)的網(wǎng)絡(luò)區(qū)域p識別被測評系統(tǒng)的重要節(jié)點和業(yè)務(wù)應(yīng)用p根據(jù)上述級別、網(wǎng)絡(luò)結(jié)構(gòu)、邊界等情況確定測 評對象 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心方案編制活動任務(wù)之一方案編制活動任務(wù)之一-確定測評對象確定測評對象n

22、測評對象的確定一般采用抽查的方法，即抽查信息系統(tǒng)中具有代表性的組件作為測評對象，并且在測評對象確定任務(wù)中應(yīng)兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心方案編制活動任務(wù)之一方案編制活動任務(wù)之一- -確定測評對象確定測評對象p測評對象種類上基本覆蓋、數(shù)量進行抽樣，抽查的測評對象種類主要考慮以下幾個方面： n主中心（包括其環(huán)境、設(shè)備和設(shè)施等)和部分輔機房 n存儲被測系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境 n辦公場地 n整個系統(tǒng)的網(wǎng)絡(luò)

23、拓?fù)浣Y(jié)構(gòu) n安全設(shè)備，包括防火墻、入侵檢測設(shè)備和防病毒網(wǎng)關(guān)等 n邊界網(wǎng)絡(luò)設(shè)備（可能會包含安全設(shè)備)，包括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備（如樓層交換機)等 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心方案編制活動任務(wù)之一方案編制活動任務(wù)之一-確定測評對象確定測評對象n對整個信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機、匯聚層交換機、路由器等 n承載被測系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器（包括其操作系統(tǒng)和數(shù)據(jù)庫) n管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端

24、 n能完成被測系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng) n業(yè)務(wù)備份系統(tǒng) n信息安全主管人員、各方面的負(fù)責(zé)人員、具體負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人 n涉及到信息系統(tǒng)安全的所有管理制度和記錄 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心27方案編制活動任務(wù)之二方案編制活動任務(wù)之二-確定測評指標(biāo)確定測評指標(biāo)p 測評指標(biāo)來源于國家對不同測評指標(biāo)來源于國家對不同安全保護等級信息系統(tǒng)的基本要安全保護等級信息系統(tǒng)的基本要求求GB/T 22239-2008 。p 依據(jù)定級情況確定

25、定級對象依據(jù)定級情況確定定級對象應(yīng)采取的安全保護措施應(yīng)采取的安全保護措施SAG組合組合情況，并從基本要求中選擇相應(yīng)情況，并從基本要求中選擇相應(yīng)等級的安全要求作為測評指標(biāo)。等級的安全要求作為測評指標(biāo)。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心28方案編制活動任務(wù)之三方案編制活動任務(wù)之三-確定測評內(nèi)容確定測評內(nèi)容測評指標(biāo)測評指標(biāo)測評對象測評對象p物理安全物理安全機房、辦公環(huán)境、機房相關(guān)文機房、辦公環(huán)境、機房相關(guān)文 檔等檔等p網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全交換機、防火墻、

26、路由器、交換機、防火墻、路由器、IDS等等p主機安全主機安全操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等p應(yīng)用安全應(yīng)用安全應(yīng)用軟件、應(yīng)用平臺等應(yīng)用軟件、應(yīng)用平臺等p管理安全管理安全文檔（制度、規(guī)程、記錄）、文檔（制度、規(guī)程、記錄）、人員等人員等 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心方案編制活動任務(wù)之四方案編制活動任務(wù)之四-確定工具測試方法確定工具測試方法n 第一步，確定工具測試的測評對象第一步，確定工具測試的測評對象n第二步，選擇測試路徑第二步，選

27、擇測試路徑 從被測系統(tǒng)外部測試被測系統(tǒng)從被測系統(tǒng)外部測試被測系統(tǒng) 在被測系統(tǒng)內(nèi)部，從與測評對象不同在被測系統(tǒng)內(nèi)部，從與測評對象不同網(wǎng)段測試測評對象網(wǎng)段測試測評對象 在被測系統(tǒng)內(nèi)部，與測評對象同一網(wǎng)在被測系統(tǒng)內(nèi)部，與測評對象同一網(wǎng)段測試測評對象段測試測評對象n第三步，確定接入點。第三步，確定接入點。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心方案編制活動任務(wù)之五方案編制活動任務(wù)之五-開發(fā)測評指導(dǎo)書開發(fā)測評指導(dǎo)書n對象明確（適用范圍）對象明確（適用范圍）n步

28、驟描述準(zhǔn)確、詳細(xì)，預(yù)期結(jié)果明確步驟描述準(zhǔn)確、詳細(xì)，預(yù)期結(jié)果明確n經(jīng)過仿真環(huán)境驗證經(jīng)過仿真環(huán)境驗證 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心方案編制活動任務(wù)之六方案編制活動任務(wù)之六-編制測評方案編制測評方案n1.根據(jù)委托測評協(xié)議書和填好的調(diào)研表格，提取項目來根據(jù)委托測評協(xié)議書和填好的調(diào)研表格，提取項目來源、測評委托單位整體信息化建設(shè)情況及被測系統(tǒng)與單位源、測評委托單位整體信息化建設(shè)情況及被測系統(tǒng)與單位其他系統(tǒng)之間的連接情況等。其他系統(tǒng)之間的連接情況等。n

29、2.依據(jù)委托測評協(xié)議書和被測系統(tǒng)規(guī)模，估算現(xiàn)場測評依據(jù)委托測評協(xié)議書和被測系統(tǒng)規(guī)模，估算現(xiàn)場測評工作量，確定人員分工和測評計劃。工作量，確定人員分工和測評計劃。n3.描述測評對象、測評方式和工具。描述測評對象、測評方式和工具。n4.描述測評指標(biāo)。描述測評指標(biāo)。n5.描述現(xiàn)場測評實施內(nèi)容，包括單項測評和整體測評。描述現(xiàn)場測評實施內(nèi)容，包括單項測評和整體測評。n6.匯總上述匯總上述5個步驟的各類文檔和資料形成測評方案文個步驟的各類文檔和資料形成測評方案文稿。稿。n7.評審和提交測評方案。評審和提交測評方案。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢

30、驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心現(xiàn)場測評活動的目標(biāo)現(xiàn)場測評活動的目標(biāo)p按照測評方案的總體要求，嚴(yán)格執(zhí)按照測評方案的總體要求，嚴(yán)格執(zhí)行測評指導(dǎo)書，分步實施所有測評行測評指導(dǎo)書，分步實施所有測評項目，了解系統(tǒng)的真實保護情況，項目，了解系統(tǒng)的真實保護情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。全問題。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心 現(xiàn)場測評活動現(xiàn)場測評活動

31、 n現(xiàn)場測評準(zhǔn)備：現(xiàn)場測評準(zhǔn)備：n現(xiàn)場測評授權(quán)書簽署n召開現(xiàn)場測評啟動會n雙方確認(rèn)測評方案n雙方確認(rèn)配合人員、環(huán)境等資源n確認(rèn)信息系統(tǒng)已經(jīng)備份n更新測評方案、結(jié)果記錄表格等資料n現(xiàn)場測評和結(jié)果記錄：現(xiàn)場測評和結(jié)果記錄：n進場確認(rèn)n依據(jù)測評指導(dǎo)書實施測評n記錄測評獲取的證據(jù)、資料等信息n匯總測評記錄，如果需要，實施補充測評n離場確認(rèn)n結(jié)果確認(rèn)和資料歸還結(jié)果確認(rèn)和資料歸還n召開現(xiàn)場測評結(jié)束會n測評委托單位確認(rèn)測評過程中獲取的證據(jù)和資料的正確性，并簽字認(rèn)可n測評人員歸還借閱的各種資料 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 N

32、O.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心現(xiàn)場測評活動任務(wù)之一現(xiàn)場測評活動任務(wù)之一-現(xiàn)場測評準(zhǔn)備現(xiàn)場測評準(zhǔn)備n被測單位簽署現(xiàn)場測評授權(quán)書。被測單位簽署現(xiàn)場測評授權(quán)書。n召開測評現(xiàn)場首次會，測評機構(gòu)介縐測評工作召開測評現(xiàn)場首次會，測評機構(gòu)介縐測評工作，交流測評信息，進一步明確測評計劃和方案中，交流測評信息，進一步明確測評計劃和方案中的內(nèi)容，說明測評過程中具體的實施工作內(nèi)容，的內(nèi)容，說明測評過程中具體的實施工作內(nèi)容，測評時間安排等。測評時間安排等。n測評雙方對測評方案進行最終審定。測評雙方對測評方案進行最終審定。n測評雙方確認(rèn)現(xiàn)場測評需要的各種資源，包括測評雙方確認(rèn)現(xiàn)場測

33、評需要的各種資源，包括被測單位的配合人員和需要提供的測評條件等，被測單位的配合人員和需要提供的測評條件等，確認(rèn)已備仹過系統(tǒng)及數(shù)據(jù)。確認(rèn)已備仹過系統(tǒng)及數(shù)據(jù)。n測評人員根據(jù)會議溝通結(jié)果，對測評結(jié)果記錄測評人員根據(jù)會議溝通結(jié)果，對測評結(jié)果記錄表單和測評程序進行必要的更新。表單和測評程序進行必要的更新。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心現(xiàn)場測評活動任務(wù)之二現(xiàn)場測評活動任務(wù)之二-現(xiàn)場測評和結(jié)果記錄現(xiàn)場測評和結(jié)果記錄n測評人員與被測系統(tǒng)有關(guān)人員（個人測評人

34、員與被測系統(tǒng)有關(guān)人員（個人/群體）群體）進行交流、討論等活動，獲取相關(guān)證據(jù)，了解進行交流、討論等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。有關(guān)信息。n測評人員查閱相關(guān)文檔，獲取相關(guān)證據(jù)。測評人員查閱相關(guān)文檔，獲取相關(guān)證據(jù)。n測評人員通過上機驗證方式獲取系統(tǒng)配置方面測評人員通過上機驗證方式獲取系統(tǒng)配置方面的相關(guān)證據(jù)。的相關(guān)證據(jù)。n測評人員利用測試工具進行測試獲取漏洞、通測評人員利用測試工具進行測試獲取漏洞、通信安全性以及入侵防范等方面的證據(jù)。信安全性以及入侵防范等方面的證據(jù)。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L040

35、9 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心現(xiàn)場測評活動任務(wù)之二現(xiàn)場測評活動任務(wù)之二-現(xiàn)場測評現(xiàn)場測評p 依據(jù)工具和實施過程的不同，測試可以進一步細(xì)分為依據(jù)工具和實施過程的不同，測試可以進一步細(xì)分為信息獲取、漏洞掃描、滲透測試、密碼分析等方式。信息獲取、漏洞掃描、滲透測試、密碼分析等方式。 信息獲取是指獲取存活主機信息獲取是指獲取存活主機/設(shè)備的名稱、設(shè)備的名稱、IP 地址、操作系地址、操作系統(tǒng)、開放的服務(wù)端口以及特定的數(shù)據(jù)包等信息內(nèi)容；統(tǒng)、開放的服務(wù)端口以及特定的數(shù)據(jù)包等信息內(nèi)容； 漏洞掃描是指利用漏洞掃描設(shè)備對目標(biāo)設(shè)備進行自動探測，漏洞掃描是指利用漏洞掃描設(shè)備對目標(biāo)設(shè)備進行自動

36、探測，發(fā)現(xiàn)這些主機發(fā)現(xiàn)這些主機/設(shè)備上各個對網(wǎng)絡(luò)開放端口上存在的錯誤配置設(shè)備上各個對網(wǎng)絡(luò)開放端口上存在的錯誤配置和已知安全漏洞；和已知安全漏洞； 滲透測試是模擬黑客可能使用的攻擊技術(shù)，試圖侵入信息系滲透測試是模擬黑客可能使用的攻擊技術(shù)，試圖侵入信息系統(tǒng)或取得信息系統(tǒng)上的更多資源，以直觀地測試信息系統(tǒng)的統(tǒng)或取得信息系統(tǒng)上的更多資源，以直觀地測試信息系統(tǒng)的安全狀況。安全狀況。p 從不同接入點對信息系統(tǒng)進行漏洞掃描和滲透測試，從不同接入點對信息系統(tǒng)進行漏洞掃描和滲透測試，可以反映出信息系統(tǒng)在不同角度、不同視野下的安全可以反映出信息系統(tǒng)在不同角度、不同視野下的安全狀況。狀況。 中國賽寶（四川）實驗室中

37、國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心現(xiàn)場測評活動任務(wù)之三現(xiàn)場測評活動任務(wù)之三-結(jié)果確認(rèn)和資料歸還結(jié)果確認(rèn)和資料歸還n測評人員在現(xiàn)場測評完成之后，應(yīng)首先測評人員在現(xiàn)場測評完成之后，應(yīng)首先匯總現(xiàn)場測評的測評記錄，對漏掉和需匯總現(xiàn)場測評的測評記錄，對漏掉和需要進一步驗證的內(nèi)容實施補充測評。要進一步驗證的內(nèi)容實施補充測評。n召開測評現(xiàn)場結(jié)束會，測評雙方對測評召開測評現(xiàn)場結(jié)束會，測評雙方對測評過程中發(fā)現(xiàn)的問題進行現(xiàn)場確認(rèn)。過程中發(fā)現(xiàn)的問題進行現(xiàn)場確認(rèn)。n測評機構(gòu)歸還測評過程中借閱的

38、所有文測評機構(gòu)歸還測評過程中借閱的所有文檔資料，并由被測單位文檔資料提供者檔資料，并由被測單位文檔資料提供者簽字確認(rèn)。簽字確認(rèn)。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心現(xiàn)場測評活動現(xiàn)場測評活動可能遇到的問題可能遇到的問題n 配合、協(xié)調(diào)配合、協(xié)調(diào)n測評結(jié)果版本控制測評結(jié)果版本控制n測試工具故障測試工具故障 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工

39、程測評中心四川省信息系統(tǒng)工程測評中心報告編制活動的目標(biāo)報告編制活動的目標(biāo)n分析測評結(jié)果，找出整個系統(tǒng)的安全保分析測評結(jié)果，找出整個系統(tǒng)的安全保護現(xiàn)狀與相應(yīng)等級的保護要求之間的差護現(xiàn)狀與相應(yīng)等級的保護要求之間的差距，綜合評價被測系統(tǒng)整體安全保護能距，綜合評價被測系統(tǒng)整體安全保護能力，給出等級測評結(jié)論。力，給出等級測評結(jié)論。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心 報告編制活動報告編制活動n單項測評結(jié)果判定單項測評結(jié)果判定n分析測評項所對抗威脅的存在情況

40、n分析單個測評項是否有多方面的要求內(nèi)容，依據(jù)“優(yōu)勢證據(jù)”法選擇優(yōu)勢證據(jù)，并將優(yōu)勢證據(jù)與預(yù)期測評結(jié)果相比較n綜合判定單個測評項的測評結(jié)果n單元測評結(jié)果判定單元測評結(jié)果判定n匯總每個測評對象在每個測評單元的單項測評結(jié)果n判定每個測評對象的單元測評結(jié)果n整體測評整體測評n分析不符合和部分符合的測評項與其他測評項（包括單元內(nèi)、層面間、區(qū)域間）之間的關(guān)聯(lián)關(guān)系及對結(jié)果的影響情況n風(fēng)險分析風(fēng)險分析n整體測評后的單元測評結(jié)果再次匯總n分析部分符合項或不符合項所產(chǎn)生的安全問題被威脅利用的可能性n分析威脅利用安全問題后造成的影響程度n按照測評單位選定的風(fēng)險分析方法對被測系統(tǒng)面臨的安全風(fēng)險進行賦值n評價風(fēng)險分析結(jié)果

41、n等級測評結(jié)論形成等級測評結(jié)論形成n統(tǒng)計再次匯總后的單元測評結(jié)果為部分符合和不符合項的項數(shù)n形成等級測評結(jié)論n測評報告編制測評報告編制n概述測評項目情況n描述被測系統(tǒng)情況n描述測評范圍和方法n描述單元測評情況n描述整體測評情況n匯總測評結(jié)果n描述風(fēng)險情況n給出等級測評結(jié)論和整改建議 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心報告編制活動任務(wù)之一報告編制活動任務(wù)之一-判定單項測評結(jié)果判定單項測評結(jié)果n1.針對每個測評對象對應(yīng)的每個測評項，分析該測評針對每個

42、測評對象對應(yīng)的每個測評項，分析該測評項所對抗的威脅在被測系統(tǒng)中是否存在，如果不存在項所對抗的威脅在被測系統(tǒng)中是否存在，如果不存在，則該測評項應(yīng)標(biāo)為不適用項。對于適用項，則，則該測評項應(yīng)標(biāo)為不適用項。對于適用項，則n2.分析單個測評項是否有多方面的要求內(nèi)容，依據(jù)分析單個測評項是否有多方面的要求內(nèi)容，依據(jù)“優(yōu)勢證據(jù)優(yōu)勢證據(jù)”法針對每一方面的要求內(nèi)容，從一個或法針對每一方面的要求內(nèi)容，從一個或多個測評證據(jù)中選擇出多個測評證據(jù)中選擇出“優(yōu)勢證據(jù)優(yōu)勢證據(jù)”，并將，并將“優(yōu)勢證優(yōu)勢證據(jù)據(jù)”與要求內(nèi)容的預(yù)期測評結(jié)果相比較；與要求內(nèi)容的預(yù)期測評結(jié)果相比較；n3.如果測評證據(jù)表明所有要求內(nèi)容與預(yù)期測評結(jié)果如果測

43、評證據(jù)表明所有要求內(nèi)容與預(yù)期測評結(jié)果一致，則判定該測評項的單項測評結(jié)果為符合；如果一致，則判定該測評項的單項測評結(jié)果為符合；如果測評證據(jù)表明所有要求內(nèi)容與預(yù)期測評結(jié)果不一致，測評證據(jù)表明所有要求內(nèi)容與預(yù)期測評結(jié)果不一致，判定該測評項的單項測評結(jié)果為不符合；否則判定該判定該測評項的單項測評結(jié)果為不符合；否則判定該測評項的單項測評結(jié)果為部分符合。測評項的單項測評結(jié)果為部分符合。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心判定單項測評結(jié)果判定單項測評結(jié)果-關(guān)于

44、優(yōu)勢證據(jù)關(guān)于優(yōu)勢證據(jù)p優(yōu)勢證據(jù)優(yōu)勢證據(jù)多個測評證據(jù)中那個多個測評證據(jù)中那個/些對于某方面要求內(nèi)容的符合些對于某方面要求內(nèi)容的符合性判定更具有證明力、說服力的測評證據(jù)。性判定更具有證明力、說服力的測評證據(jù)。p優(yōu)勢證據(jù)順序優(yōu)勢證據(jù)順序物理安全測評，優(yōu)勢證據(jù)順序一般為：實地察看證物理安全測評，優(yōu)勢證據(jù)順序一般為：實地察看證 據(jù)據(jù)文檔審查證據(jù)文檔審查證據(jù)訪談證據(jù)；訪談證據(jù)；技術(shù)安全方面的測評，優(yōu)勢證據(jù)順序一般為：工具技術(shù)安全方面的測評，優(yōu)勢證據(jù)順序一般為：工具測試證據(jù)測試證據(jù)配置檢查證據(jù)配置檢查證據(jù)訪談證據(jù)；訪談證據(jù)；管理安全方面的測評，則要根據(jù)實際情況分析確定管理安全方面的測評，則要根據(jù)實際情況分析

45、確定優(yōu)勢證據(jù)。優(yōu)勢證據(jù)。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心報告編制活動任務(wù)之二報告編制活動任務(wù)之二-判定單元測評結(jié)果判定單元測評結(jié)果n單元測評指標(biāo)包含的所有測評項均為不適用項單元測評指標(biāo)包含的所有測評項均為不適用項，則該測評對象對應(yīng)該測評指標(biāo)的單元測評結(jié)，則該測評對象對應(yīng)該測評指標(biāo)的單元測評結(jié)果為不適用；果為不適用；n單元測評指標(biāo)包含的所有適用測評項的單項測單元測評指標(biāo)包含的所有適用測評項的單項測評結(jié)果均為符合或不符合，則該測評對象對應(yīng)評結(jié)果均

46、為符合或不符合，則該測評對象對應(yīng)該測評指標(biāo)的單元測評結(jié)果為符合或不符合；該測評指標(biāo)的單元測評結(jié)果為符合或不符合；n單元測評指標(biāo)包含的所有適用測評項的單項測單元測評指標(biāo)包含的所有適用測評項的單項測評結(jié)果不全為符合或不符合，則該測評對象對評結(jié)果不全為符合或不符合，則該測評對象對應(yīng)該測評指標(biāo)的單元測評結(jié)果為部分符合。應(yīng)該測評指標(biāo)的單元測評結(jié)果為部分符合。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心報告編制活動任務(wù)之三報告編制活動任務(wù)之三-整體測評整體測評n針對

47、測評對象針對測評對象“部分符合部分符合”及及“不符合不符合”要求的單個測評項，分要求的單個測評項，分析與該測評項相關(guān)的析與該測評項相關(guān)的其他測評項其他測評項能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補彌補”該該測評項的不足，以及該測評項的不足是否會影響與其有關(guān)聯(lián)關(guān)系測評項的不足，以及該測評項的不足是否會影響與其有關(guān)聯(lián)關(guān)系的其他測評項的測評結(jié)果。的其他測評項的測評結(jié)果。n針對測評對象針對測評對象“部分符合部分符合”及及“不符合不符合”要求的單個測評項，要求的單個測評項，分析與該測評項相關(guān)

48、的分析與該測評項相關(guān)的其他層面其他層面的測評對象能否和它發(fā)生關(guān)聯(lián)關(guān)的測評對象能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補彌補”該測評項的不足，以及該測評項的不足是否會影響與其該測評項的不足，以及該測評項的不足是否會影響與其有關(guān)聯(lián)關(guān)系的其他測評項的測評結(jié)果。有關(guān)聯(lián)關(guān)系的其他測評項的測評結(jié)果。n針對測評對象針對測評對象“部分符合部分符合”及及“不符合不符合”要求的單個測評項，要求的單個測評項，分析與該測評項相關(guān)的分析與該測評項相關(guān)的其他區(qū)域其他區(qū)域的測評對象能否和它發(fā)生關(guān)聯(lián)關(guān)的測評對象能否和它發(fā)生關(guān)聯(lián)關(guān)系，

49、發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補彌補”該測評項的不足，以及該測評項的不足是否會影響與其該測評項的不足，以及該測評項的不足是否會影響與其有關(guān)聯(lián)關(guān)系的其他測評項的測評結(jié)果。有關(guān)聯(lián)關(guān)系的其他測評項的測評結(jié)果。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心報告編制活動任務(wù)之四報告編制活動任務(wù)之四-風(fēng)險分析和評價風(fēng)險分析和評價n1.結(jié)合單元測評的結(jié)果匯總和整體測評結(jié)果，將物理安全、網(wǎng)絡(luò)

50、安結(jié)合單元測評的結(jié)果匯總和整體測評結(jié)果，將物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全等層面中各個測評對象的測評結(jié)果再次匯全、主機安全、應(yīng)用安全等層面中各個測評對象的測評結(jié)果再次匯總分析，統(tǒng)計符合情況?？偡治?，統(tǒng)計符合情況。n2.判斷測評結(jié)果匯總中部分符合項或不符合項所產(chǎn)生的安全問題被判斷測評結(jié)果匯總中部分符合項或不符合項所產(chǎn)生的安全問題被威脅利用的可能性，可能性的取值范圍為高、中和低。威脅利用的可能性，可能性的取值范圍為高、中和低。n3.判斷測評結(jié)果匯總中部分符合項或不符合項所產(chǎn)生的安全問題被判斷測評結(jié)果匯總中部分符合項或不符合項所產(chǎn)生的安全問題被威脅利用后，對被測系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全

51、造成的影威脅利用后，對被測系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成的影響程度，影響程度取值范圍為高、中和低。響程度，影響程度取值范圍為高、中和低。n4.綜合綜合2.和和3.的結(jié)果，并按照選定的風(fēng)險計算方法對被測系統(tǒng)面臨的結(jié)果，并按照選定的風(fēng)險計算方法對被測系統(tǒng)面臨的安全風(fēng)險進行賦值，風(fēng)險值的取值范圍為高、中和低。的安全風(fēng)險進行賦值，風(fēng)險值的取值范圍為高、中和低。n5.結(jié)合被測系統(tǒng)的安全保護等級對風(fēng)險分析結(jié)果進行評價，即對國結(jié)合被測系統(tǒng)的安全保護等級對風(fēng)險分析結(jié)果進行評價，即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成

52、的風(fēng)險。益造成的風(fēng)險。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心報告編制活動任務(wù)之五報告編制活動任務(wù)之五-形成等級測評結(jié)論形成等級測評結(jié)論等級測評結(jié)論：等級測評結(jié)論：p符合符合等級測評結(jié)果中不存在部分符合項或不符合項。等級測評結(jié)果中不存在部分符合項或不符合項。p基本符合基本符合等級測評結(jié)果中存在部分符合項或不符合項，但不會等級測評結(jié)果中存在部分符合項或不符合項，但不會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。p不符合不符合等級測評

53、結(jié)果中存在部分符合項或不符合項，導(dǎo)致信等級測評結(jié)果中存在部分符合項或不符合項，導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。息系統(tǒng)面臨高等級安全風(fēng)險。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心報告編制活動任務(wù)之六報告編制活動任務(wù)之六-編制測評報告編制測評報告n測評人員整理前面幾項任務(wù)的輸出測評人員整理前面幾項任務(wù)的輸出/產(chǎn)品，編制測評報產(chǎn)品，編制測評報告相應(yīng)部分。告相應(yīng)部分。n針對被測系統(tǒng)存在的安全隱患，從系統(tǒng)安全角度提出針對被測系統(tǒng)存在的安全隱患，從系統(tǒng)安全角度提

54、出相應(yīng)的改進建議，編制測評報告的安全建設(shè)整改建議相應(yīng)的改進建議，編制測評報告的安全建設(shè)整改建議部分。部分。n列表給出現(xiàn)場測評的文檔清單和單項測評記錄，以及列表給出現(xiàn)場測評的文檔清單和單項測評記錄，以及對各個測評項的單項測評結(jié)果判定情況，編制測評報對各個測評項的單項測評結(jié)果判定情況，編制測評報告的單元測評的結(jié)果記錄和問題分析部分。告的單元測評的結(jié)果記錄和問題分析部分。n評審測評報告。評審測評報告。n根據(jù)分發(fā)范圍分發(fā)報告。根據(jù)分發(fā)范圍分發(fā)報告。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評

55、中心四川省信息系統(tǒng)工程測評中心測評報告的構(gòu)成測評報告的構(gòu)成n報告摘要報告摘要n1 測評項目概述測評項目概述n2被測信息系統(tǒng)情況被測信息系統(tǒng)情況n3 等級測評范圍與方法等級測評范圍與方法n4 單元測評單元測評n5 整體測評整體測評n6 測評結(jié)果匯總測評結(jié)果匯總n7 風(fēng)險分析和評價風(fēng)險分析和評價n8 等級測評結(jié)論等級測評結(jié)論n9 安全建設(shè)整改建議安全建設(shè)整改建議 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心第二篇第二篇GB/T 22239-2008 GB/T

56、22239-2008 信息系統(tǒng)安信息系統(tǒng)安全等級保護基本要求全等級保護基本要求介紹介紹 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心概述概述n “標(biāo)尺”、達標(biāo)線;n 基本的安全狀態(tài);n 保護的出發(fā)點; 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心基本要求組成基本要求組成p技術(shù)要求：技術(shù)要求： 物理安全物理安全 網(wǎng)絡(luò)安全

57、網(wǎng)絡(luò)安全 主機安全主機安全 應(yīng)用安全應(yīng)用安全 數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)安全及備份恢復(fù)p管理要求：管理要求： 安全管理制度安全管理制度安全管理機構(gòu)安全管理機構(gòu)人員安全管理人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理系統(tǒng)運維管理 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心物理安全n物理安全要求主要由機房（包括主、輔機房、介質(zhì)存放間等）所部署的設(shè)備設(shè)施和采取的安全技術(shù)措施兩方面提供的功能來滿足。n部分物理安全要求涉及到終端所在的辦公場地。 中國賽寶（四川）實

58、驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心物理安全-控制點（三級S3A3G3）n物理位置的選擇2n物理訪問控制 4n防盜竊和防破壞6n防雷擊 3n防火 3n防水和防潮4n防靜電 2n溫濕度控制1n電力供應(yīng) 4n電磁防護 3 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心網(wǎng)絡(luò)安全n網(wǎng)絡(luò)安全要求中對廣域網(wǎng)絡(luò)、城域網(wǎng)絡(luò)等通信網(wǎng)絡(luò)的要求由構(gòu)成通

59、信網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的網(wǎng)絡(luò)管理機制提供的功能來滿足。n對局域網(wǎng)安全的要求主要通過采用防火墻、入侵檢測系統(tǒng)、惡意代碼防范系統(tǒng)、安全管理中心等設(shè)備提供的安全功能來滿足。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心網(wǎng)絡(luò)安全-控制點n結(jié)構(gòu)安全 7n訪問控制 8n安全審計 4n邊界完整性檢查2n入侵防范 2n惡意代碼防范2n網(wǎng)絡(luò)設(shè)備防護8 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO

60、.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心主機安全n主機包括應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、安全軟件所安裝的服務(wù)器及管理終端、業(yè)務(wù)終端、辦公終端等。n主機安全要求通過操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)及其他安全軟件（包括防病毒、防入侵、木馬檢測等軟件）實現(xiàn)的安全功能來滿足。 中國賽寶（四川）實驗室中國賽寶（四川）實驗室 四川省電子產(chǎn)品監(jiān)督檢驗所四川省電子產(chǎn)品監(jiān)督檢驗所 NO.L0409 NO.L0409 四川省信息系統(tǒng)工程測評中心四川省信息系統(tǒng)工程測評中心n身份鑒別 6n訪問控制 7n安全審計 6n剩余信息保護 2n入侵防范 3n惡意代碼防范 3n資源控制 5主機安全-控制點 中國賽寶