3-信息安全等级保护技术概论(朱建平)

信息安全等级保护培训信息安全等级保护技术概论------等级测评技术公安部信息安全等级保护评估中心朱建平内容目录(一)等级测评概述(二)等级测评过程(三)等级测评技术(四)等级测评报告2等级测评在等级保护中的作用和地位通过信息安全等级保护的工作流程可以看出，定级是首要的环节，是等级保护工作的开始环节，但不是核心环节。定级只是手段，目的是保护。国家对已经确定安全保护等级的系统，根据信息技术发展，根据现在的黑客攻击能力，对1-5级的系统在技术和管理两个方面十个部分已经规定最低保护要求，如果满足了基本要求，系统就具备了相应等级的基本安全保护能力，达到了一个基本的安全状态。基本要求这个环节是信息安全等级保护的核心。已经确定安全保护等级的系统是否满足基本要求是需要信息安全等级测评来判断的。等级测评在等级保护中的作用和地位信息系统安全等级测评不同于一般的安全检测和风险评估，等级测评活动的完成首先是依据系统安全保护等级和该级别系统的基本保护要求；同时还需要测评人员具有把握国家政策，理解和掌握相关技术标准，熟悉等级测评的方法、流程和工作规范等方面的能力及知识；最为重要的是等级测评的结果将是国家信息安全监督管理部门依法行政管理的技术依据。因此等级测评活动是一项政策性很强和技术专业化的信息安全服务。由此可见，信息安全等级测评是开展信息安全等级保护工作的重要环节，是在国家管理意志下的技术支撑服务活动，和纯粹的商业化评估有明显的区别。信息安全等级测评首先要满足国家管理需要，但可以采取市场化的运作模式。测评机构的选择5应选择具有等级保护测评能力的机构，也就是国家和各地等级保护协调办公室推荐的测评机构。67测评机构的选择8盖有DJCP徽章的等级测评报告表明出具该报告的测评机构已经通过了能力评估，具备《信息安全等级测评机构能力要求（试行）》中对于测评能力的要求。9(一)测评机构的选择101)计量认证是指由政府计量行政部门对第三方产品合格认证机构或其他技术机构的检定、测试能力和可靠性的认证。2)计量认证是对检测机构的法制性强制考核，是政府权威部门对检测机构进行规定类型检测所给予的正式承认。3)取得计量认证合格证书的检测机构，允许其在检验报告上使用CMA标识。(CMA分别由英文ChinaMetrologyAccreditation三个词的第一个大写字母组成，意为“中国计量认证”)。有CMA标记的检验报告可用于产品质量评价、成果及司法鉴定，具有法律效力。(一)测评机构的选择111)检查机构认可是正式表明检查机构具备实施特定检查工作能力的第三方证明。2)获准认可的检查机构由中国合格评定国家认可委员会（简称“认可委员会”，英文缩写为：CNAS）授予资格证书。3)获准认可的检查机构由CNAS授予资格证书，并允许在其出具的报告上使用“中国合格评定国家认可标识”。其中，其中，“IB”代表检查机构（INSPECTIONBODY）认可，“XXXX”为认可流水号。(一)测评机构的选择12计量认证与实验室认可的比较共性：计量认证与实验室认可的目的都是通过评审提高实验室的管理水平和技术能力。区别：计量认证是我国通过计量立法，对凡是社会出具公证数据的检验机构（实验室）进行强制考核的一种手段；CNAS实验室认可是自愿性的，是实验室采取的由权威部门对其认可，对其能力给予证明的方法，以达到提高实验室在检验用户中的可信度并提高其在检验市场的竞争能力。内容目录(一)等级测评概述(二)等级测评过程(三)等级测评技术(四)等级测评报告13信息系统等级测评过程带病运行某级信息系统基本保护标准《定级指南》GB/T22240-2008标准《基本要求》GB/T22239-2008第二次测评(符合性测评)达到基本的安全保护风险分析定级整改存在缺陷项第一次测评(现状测评)测评合格测评第三次测评(监督性测评)(三)等级测评过程15等级测评的主要工作分为：测评准备方案编制现场测评报告编制内容目录(一)等级测评概述(二)等级测评过程(三)等级测评技术(四)等级测评报告16信息系统等级测评-测评简介对信息系统安全等级保护状况进行测试评估，应包括三个方面的内容：单元测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；整体测评，主要测评分析信息系统的整体安全性。结果判定信息系统等级测评-基本方法三种基本测评方法：访谈Interview检查Examine测试Test(三)等级测评技术19访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、澄清或取得证据的过程。检查是指测评人员通过对测评对象（如制度文档、各类设备、安全配置等）进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。测试是指测评人员使用预定的方法/工具使测评对象（各类设备或安全配置）产生特定的结果，将运行结果与预期的结果进行比对的过程。等级测评技术-基本方法访谈的对象是人员。典型的访谈包括：访谈信息安全主管、信息系统安全管理员、系统管理员、网络管理员、人力资源管理员、设备管理员和用户等。工具：管理核查表（checklist）。适用情况：对技术要求，使用‘访谈’方法进行测评的目的是为了了解信息系统的全局性(包括局部，但不是细节)、方向/策略性和过程性信息，一般不涉及到具体的实现细节和具体技术措施。对管理要求，访谈的内容应该较为详细和明确的。等级测评技术-基本方法检查包括：评审、核查、审查、观察、研究和分析等方式。检查对象包括文档、机制、设备等。工具：技术核查表（checklist）。适用情况：对技术要求，‘检查’的内容应该是具体的、较为详细的机制配置和运行实现。对管理要求，‘检查’方法主要用于规范性要求（检查文档）。等级测评技术-基本方法测试包括：功能/性能测试、渗透测试等。测评对象包括机制和设备等。测试一般需要借助特定工具。扫描检测工具网络协议分析仪攻击工具渗透工具适用情况：对技术要求，‘测试’的目的是验证信息系统当前的、具体的安全机制或运行的有效性或安全强度。对管理要求，一般不采用测试技术。等级测评技术-测评强度对信息系统的要求：安全等级级别越高，基本要求强度越强，体现为安全控制点越多，安全控制要求越细。对信息系统的测评：安全等级级别越高，测评强度越强，测评强度体现测评工作的努力程度，反映出测评的广度和深度。第4级信息系统第3级信息系统第2级信息系统第1级信息系统测评强度等级测评技术-测评强度测评强度体现测评工作的努力程度，反映出测评的广度和深度。测评广度越大，范围越大，包含的测评对象就越多，就需要更大的努力。测评的深度越深，越需要在细节上展开，就越需要更大的努力。越大的努力程度就越能为测评提供更好的保证，体现测评强度越强。等级测评技术-等级测评内容等级测评的实施过程由单元测评和整体测评两部分构成。针对基本要求各安全控制点的测评称为单元测评。单元测评是等级测评工作的基本活动，支持测评结果的可重复性和可再现性。每个单元测评包括测评指标、测评实施和结果判定三部分。测评指标：来源于GB/T22239-2008第四级目录下的各要求项；测评实施：描述对测评活动输入、测评对象、测评步骤和方法的要求；结果判定：描述测评人员执行测评实施并产生各种测评输出数据后，如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法。等级测评技术-等级测评内容整体测评是在单元测评的基础上，通过进一步分析信息系统安全保护功能的整体相关性，对信息系统实施的综合安全测评。整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评。整体测评需要与信息系统的实际情况相结合，因此全面地给出整体测评要求的全部输入，测评实施的具体对象、步骤和方法以及明确的结果判定方法是非常困难的，测评人员应根据被测系统的实际情况，结合《测评要求》标准的要求，实施整体测评。等级测评技术-结果判定风险分析单项测评符合/部分符合/不符合系统测评（分析保护能力）符合部分符合/不符合低风险高风险不符合基本符合整改满足其他措施降低保护能力缺失等级测评技术-系统测评符合不符合系统测评安全控制间安全测评存在缺陷项其他安全控制措施其他层面措施区域互补符合符合层面间安全测评区域间安全测评通过功能增强、补充和削弱等关联作用分析,验证保护能力没有缺失等级测评技术-等级测评内容区域间测评在单元测评完成后，如果信息系统的某个安全控制点中的要求项存在不符合或部分符合，应进行区域间安全测评，重点分析系统中访问控制路径（如不同功能区域间的数据流流向和控制方式），是否存在区域间安全功能的相互补充。根据测评分析结果，综合判断该安全控制点所对应的系统安全保护能力是否缺失，如果经过综合分析单元测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失，则该安全控制点对应的单元测评结论应调整为符合。等级测评技术-整体测评（区域）区域：根据在信息系统保护中所提供的安全功能，可以把信息系统划分为一个或者多个不同的区域。每个区域内的安全功能即可以为本区域提供服务，也可以为其它区域提供服务，使信息系统在整体安全性上表现出分区域的集成特性。例如，可以把信息系统分为内部计算环境、区域边界和外部通信网络三大类。而基于统一的安全策略对计算环境、区域边界和通信网络的安全机制实施统一管理的设备可以在内部计算环境内，也可以独立构成一个功能区，即安全管理区。等级测评技术-整体测评（区域）区域：不同区域之间可能需要进行信息交换，为了进行信息交换，保证信息交换的安全，区域之间会产生连接、交互、依赖、协调、协同等相互关联关系，使得区域之间安全功能发生相互作用，进而相互影响。不同区域之间相互作用会影响到区域的安全功能，可能使一个区域的安全功能得到增强、补充或依赖。增强：两个区域发生关联关系后，一个区域已有的安全功能得到进一步增强，发挥更好的安全保护功能，具有更好的安全保护能力。补充：两个区域发生关联关系后，一个区域原本没有的一部分安全功能，通过另一个区域的相互作用，得到补充，使其具备这些安全功能。依赖：一个区域的安全功能依赖于另一个区域配合，才能发挥应有的作用。等级测评技术-测评实例区域间安全测评实例实例：计算环境与安全管理区的测评分析某定级信息系统的计算环境中包括三种业务，分别由三个独立的应用程序进行业务数据处理，三个应用程序都不提供身份鉴别功能，而由安全管理区的统一认证服务器提供统一的用户登录和身份认证。安全管理区提供的身份认证功能可以替代三个应用程序应用层面身份鉴别控制点的功能缺失。等级测评技术-风险分析风险值(高、中、低)风险分析（参考风险评估标准）脆弱性抵抗威胁能力缺失综合评价基本符合被威胁利用后的影响程度被威胁利用的可能性不符合结合信息系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。部分符合/不符合项(存在安全隐患)内容目录(一)等级测评概述(二)等级测评过程(三)等级测评技术(四)等级测评报告34(四)等级测评报告351．测评项目概述。描述本次测评的主要测评目的和依据，测评过程，报告分发范围。2．被测信息系统情况。简要描述本次测评的被测系统情况，包括承载的业务情况、网络结构、系统构成情况（包括业务应用软件、关键数据类别、主机/存储设备、网络互联设备、安全设备、安全相关人员、安全管理文档、安全环境等）、前一次测评发现的主要问题和测评结论等。3．等级测评范围与方法。描述本次测评的测评指标、测评对象选择方法及选中的测评对象、测评过程中用到的测评方法等。(四)等级测评报告364．单元测评。主要是针对测评指标，结合测评对象（网络设备、主机和业务应用系统等），分层面描述单元测评指标的符合情况，包括现场测评中获取的测评证据记录、结果汇总以及发现的问题分析等。5．整体测评。针对单项测评结果的不符合项，从安全控制间、层面间、区域间和系统结构等方面对单元测评的结果进行验证、分析和整体评价。6．测评结果汇总。以不同的表现形式汇总测评结果，