<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 28449—2018 信息安全技術 網絡安全等級保護測評過程指南
    展開或關閉
    前言
    前??言
    引言
    引??言
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3 術語和定義 4.3 等級測評風險規避
    4 等級測評概述
    4.1 等級測評過程概述 4.2 等級測評風險
    5 測評準備活動
    5.1 測評準備活動工作流程 5.2 測評準備活動主要任務 5.2 測評準備活動輸出文檔 5.3 測評準備活動中雙方職責
    6 方案編制活動
    6.1 方案編制活動工作流程 6.2 方案編制活動主要任務 6.3 方案編制活動輸出文檔 6.4 方案編制活動中雙方職責
    7 現場測評活動
    7.1 現場測評活動工作流程 7.2 現場測評活動主要任務 7.3 現場測評活動輸出文檔 7.4 現場測評活動中雙方職責
    8 報告編制活動
    8.1 報告編制活動工作流程 8.2 報告編制活動主要任務 8.3 報告編制活動輸出文檔 8.4 報告編制活動中雙方職責
    附錄A(規范性附錄) 等級測評工作流程
    附 錄 A (規范性附錄) 等級測評工作流程
    附錄B(規范性附錄) 測評對象確定準則和樣例
    附 錄 B (規范性附錄) 測評對象確定準則和樣例
    附錄C(規范性附錄) 等級測評工作要求
    附 錄 C (規范性附錄) 等級測評工作要求
    附錄D(規范性附錄) 新技術新應用等級測評實施補充
    附 錄 D (規范性附錄) 新技術新應用等級測評實施補充
    附錄E(資料性附錄) 等級測評現場測評方式及工作任務
    附 錄 E (資料性附錄) 等級測評現場測評方式及工作任務
    附錄F(資料性附錄) 等級測評報告模版示例
    附 錄 F (資料性附錄) 等級測評報告模版示例
    參考文獻
    參?考?文?獻

    附 錄 E (資料性附錄) 等級測評現場測評方式及工作任務

    GB/T 28449—2018 信息安全技術 網絡安全等級保護測評過程指南 /

    測評人員根據測評指導書實施現場測評時一般包括訪談、核查和測試三種測評方式。

    E.1 訪談

    輸入:現場測評工作計劃,測評指導書,技術和管理安全測評的測評結果記錄表格。

    任務描述:

    測評人員與被測定級對象有關人員(個人/群體)進行交流、討論等活動,獲取相關證據,了解有關信息。在訪談范圍上,不同等級定級對象在測評時有不同的要求,一般應基本覆蓋所有的安全相關人員類型,在數量上抽樣。具體可參照《信息安全技術 網絡安全等級保護測評》要求各部分標準中的各級要求。

    輸出/產品:技術和管理安全測評的測評結果記錄。

    E.2 核查

    E.2.1 簡述

    核查可細分為文檔審查、實地察看和配置核查等幾種具體方法:

    E.2.2 文檔審查

    輸入:現場測評工作計劃,安全策略,安全方針文件,安全管理制度,安全管理的執行過程文檔,系統設計方案,網絡設備的技術資料,系統和產品的實際配置說明,系統的各種運行記錄文檔,機房建設相關資料,機房出入記錄等過程記錄文檔,測評指導書,管理安全測評的測評結果記錄表格。

    任務描述:

    a) 核查GB/T 22239中規定的制度、策略、操作規程等文檔是否齊備。

    b) 核查是否有完整的制度執行情況記錄,如機房出入登記記錄、電子記錄、高等級系統的關鍵設備的使用登記記錄等。

    c) 核查安全策略以及技術相關文檔是否明確說明相關技術要求實現方式。

    d) 對上述文檔進行審核與分析,核查他們的完整性和這些文件之間的內部一致性。

    下面列出對不同等級定級對象在測評實施時的不同強度要求。

    一級:符合GB/T 22239中的一級要求。

    二級:符合GB/T 22239中的二級要求,并且所有文檔之間應保持一致性,要求有執行過程記錄的,過程記錄文檔的記錄內容應與相應的管理制度和文檔保持一致,與實際情況保持一致。

    三級:符合GB/T 22239中的三級要求,所有文檔應具備且完整,并且所有文檔之間應保持一致性,要求有執行過程記錄的,過程記錄文檔的記錄內容應與相應的管理制度和文檔保持一致,與實際情況保持一致,安全管理過程應與系統設計方案保持一致且能夠有效地對系統進行管理。

    四級:符合GB/T 22239中的四級要求,所有文檔應具備且完整,并且所有文檔之間應保持一致性,要求有執行過程記錄的,過程記錄文檔的記錄內容應與相應的管理制度和文檔保持一致,與實際情況保持一致,安全管理過程應與系統設計方案保持一致且能夠有效地對系統進行管理。

    輸出/產品:技術和管理安全測評的測評結果記錄。

    E.2.3 實地察看

    輸入:測評指導書,技術安全和管理安全測評結果記錄表格。

    任務描述:

    根據被測定級對象的實際情況,測評人員到系統運行現場通過實地的觀察人員行為、技術設施和物理環境狀況判斷人員的安全意識、業務操作、管理程序和系統物理環境等方面的安全情況,測評其是否符合相應等級的安全要求。

    下面列出對不同等級定級對象在測評實施時的不同強度要求。

    一級:符合GB/T 22239中的一級要求。

    二級:符合GB/T 22239中的二級要求。

    三級:符合GB/T 22239中的三級要求,判斷實地觀察到的情況與制度和文檔中說明的情況是否一致,核查相關設備、設施的有效性和位置的正確性,與系統設計方案的一致性。

    四級:符合GB/T 22239中的四級要求,判斷實地觀察到的情況與制度和文檔中說明的情況是否一致,核查相關設備、設施的有效性和位置的正確性,與系統設計方案的一致性。

    輸出/產品:技術安全和管理安全測評結果記錄。

    E.2.4 配置核查

    輸入:測評指導書,技術安全測評結果記錄表格。

    任務描述:

    a) 根據測評結果記錄表格內容,利用上機驗證的方式核查應用系統、主機系統、數據庫系統以及各設備的配置是否正確,是否與文檔、相關設備和部件保持一致,對文檔審核的內容進行核實(包括日志審計等)。

    b) 如果系統在輸入無效命令時不能完成其功能,應測試其是否對無效命令進行錯誤處理。

    c) 針對網絡連接,應對連接規則進行驗證。

    下面列出對不同等級定級對象在測評實施時的不同強度要求。

    一級:符合GB/T 22239中的一級要求。

    二級:符合GB/T 22239中的二級要求,測評其實施的正確性和有效性,核查配置的完整性,測試網絡連接規則的一致性。

    三級:符合GB/T 22239中的三級要求,測評其實施的正確性和有效性,核查配置的完整性,測試網絡連接規則的一致性,測試系統是否符合可用性和可靠性的要求。

    四級:符合GB/T 22239中的四級要求,測評其實施的正確性和有效性,核查配置的完整性,測試網絡連接規則的一致性,測試系統是否符合可用性和可靠性的要求。

    輸出/產品:技術安全測評結果記錄。

    E.3 測試

    輸入:現場測評工作計劃,測評指導書,技術安全測評結果記錄表格。

    任務描述:

    a) 根據測評指導書,利用技術工具對系統進行測試,包括基于網絡探測和基于主機審計的漏洞掃描、滲透性測試、功能測試、性能測試、入侵檢測和協議分析等。

    b) 備份測試結果。

    下面列出對不同等級定級對象在測評實施時的不同強度要求。

    一級:符合GB/T 22239的一級要求。

    二級:符合GB/T 22239中的二級要求,針對服務器、數據庫管理系統、關鍵網絡設備、安全設備、應用系統等進行漏洞掃描等。

    三級:符合GB/T 22239中的三級要求,針對服務器、數據庫管理系統、網絡設備、安全設備、應用系統等進行漏洞掃描;針對應用系統完整性和保密性要求進行協議分析;滲透測試應包括基于一般脆弱性的內部和外部滲透攻擊;針對物理設施進行有效性測試等。

    四級:符合GB/T 22239中的四級要求,針對服務器、數據庫管理系統、網絡設備、安全設備、應用系統等進行漏洞掃描;針對應用系統完整性和保密性要求進行協議分析;滲透測試應包括基于一般脆弱性的內部和外部滲透攻擊;針對物理設施進行有效性測試等。

    輸出/產品:技術安全測評結果記錄,測試完成后的電子輸出記錄,備份的測試結果文件。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    Andrew
    1.9k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类