《信息安全体系结构与安全测评》实验报告
姓名:
学号:
班级:
指导教师:
****年**月**日
目录
1 实验目的 (3)
2 实验环境 (3)
3 实验内容 (3)
4 实验步骤 (4)
4.1主机运行状态评估 (4)
4.2主机安全扫描 (5)
4.3主机攻击扫描 (8)
4.4安全评估测试 (9)
5 评估报告 (10)
6 安全建议 (10)
7 附件1........................................................................................................ 错误!未定义书签。
8 附件2........................................................................................................ 错误!未定义书签。
9 附件3........................................................................................................ 错误!未定义书签。
10 附件4........................................................................................................ 错误!未定义书签。
1实验目的
掌握利用SecAnalyst对本地主机运行状态评估
掌握利用MBSA 对本地状态综合评估掌握利用X-scan 模拟外部攻击对本地主机攻击扫描评估
掌握利用MSAT 对主机进行安全评估
掌握对网络进行安全评估分析的基本要点,并进行相关的安全措施改进,以实现对网络安全的整体规划及实现
2实验环境
Windows 7系统主机
网络拓扑如图2.1所示;分别对不同网段进行扫描评估等操作,评估整个网络架构的安全性。
图 2.1
3实验内容
利用实验的网络环境,首先学习利用工具对本地主机运行状态进行安全评估,分析本地主机安全隐患,并生成相应的报告文件。对系统进行综合评估,发现主机应用服务状态,对外安全隐患。利用X-Scan 扫描系统漏洞并分析,对漏洞进行防御。
最后,形成一个完整的评估报告,并对被分析的网络系统进行改进,提升其整体安全性。
4实验步骤
4.1主机运行状态评估
(1)查看扫描内容
点击“插件”标签,即可查看本地运行状态评估所要检测的项目,列表如图4.1.1所示。其中主要包括服务扫描、进程扫描、IE 安全扫描、驱动文件扫描、启动文件扫描。
图4.1.1
(2) 扫描系统
运行安全分析专家,点击“扫描”标签,开始对系统进行运行状态评估;点击“开始分析”即开始对系统进行扫描;扫描过程中会把扫描结果显示在软件中,其中包括非系统自带服务扫描、IE 被篡改的首页及其配置、非系统自带的驱动文件、自启动程序扫描,并会显示所属安全不同的危险等级,为管理员提供优先的解决方案的选择。具体如图 4.1.2所示。
图4.1.2
扫描结果如下:
#T0 SecAnalyst分析报告版本:0, 4, 0, 47
#操作系统: Professional Service Pack 1 (Build 7601) (CHS)
#T2 请把报告贴到安全救援中心https://www.doczj.com/doc/641269262.html,,我们的专家会为你做出诊断,另外,报告中的安全风险值仅仅表示可疑程度。
#O4 警告自启动:[hkey_local_machine\software\microsoft\windows\ currentversion\shell extensions\approved\360软件管家右键卸载Shell Extensnio]-d:\360安全卫士\360safe\softmgr\softmgrext.dll
#O4 低风险自启动:[hkey_local_machine\software\microsoft\active setup\installedcomponents\BrowsingEnhancements]-"%programfiles(x86)%\windows mail\winmail.exe" ocinstalluserconfigoe [file not found]
#O4 低风险自启动:[hkey_local_machine\software\microsoft\active setup\installed components\Internet Explorer Setup "%programfiles(x86)%
\windows mail\winmail.exe" ocinstalluserconfigoe [file not found]
#P0 危险进程:c:\windows\syswow64\vmnat.exe
#P0 警告进程:d:\360安全卫士\360safe\deepscan\zhudongfangyu.exe
#P0 警告进程:d:\program files (x86)\tencent\qq\bin\qq.exe
#P0 警告进程:c:\program files (x86)\lenovo\lps\lpsz.exe
#P0 低风险进程:c:\windows\syswow64\vmnetdhcp.exe
#P0 低风险进程:d:\program files (x86)\sogouexplorer\sogexplor.exe
#P0 低风险进程:c:\program files (x86)\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe
#P0 低风险进程:c:\program files (x86)\intel\intel(r) rapid storage technology\iastordatamgrsvc.exe
#P0 低风险进程:d:\vmware\vmware-authd.exe
#S0 警告NT 服务: XLServicePlatform - ServiceDll - C:\Program Files (x86)\Common Files\Thunder Network\ServicePlatform\XLSP.dll
#S0 警告NT 服务: fussvc - 启动方式: 手动- 当前状态: 已停止-
- C:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
#S0 低风险NT 服务: RegSrvc - 启动方式: 自动- 当前状态: 已启动- C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
4.2主机安全扫描
(1) 启动扫描
启动MBSA,并对 1 台主机进行扫描,如图 4.2.1所示。
图 4.2.1
(2) 设置扫描选项,开始扫描
选择需要进行扫描的选项,其中包括Windows 本身漏洞,弱口令,IIS、sql 漏洞以及系统的安全更新,如图 4.2.2所示。配置之后点击“Start scan”对系统进行扫描。
图 4.2.2
(3) 更新扫描
更新扫描会列举出系统是否安装的最新补丁,如图 4.2.3所示。最新补丁为微软针对网络攻击和漏洞发布的修补程序,通过及时安装补丁程序,可以降低主机的遭遇攻击的风险性。
图 4.2.3
(4) 系统扫描
图 4.2.4
系统扫描出扫描出系统常见的安全隐患,例如:文件系统是否为较为安全的NTFS 格式、本地帐户口令是否存在弱口令和空口令、是否开启自动更新、是否开启防火墙等等。从如图 4.2.4所示的报告中我们可以看到,目标系统(即本机)采用的并非NTFS 格式,这是不安全的,容易让攻击者获得最大的文件读取权限。
(5) 系统组件扫描
图 4.2.5
如图 4.2.5所示,扫描报告会提示,系统安装了一些其它应用服务,并开启了一些文件共享目录。这些警告提示,在网络攻击中,经常会被攻击者利用,从而可以进一步的控制系统。管理员尽可能减少这些安全隐患,可以使主机更好的避免攻击者的攻击。
(6) 其它应用服务扫描
图4.2.6
当系统装有IIS 和SQL 的应用服务,MBSA会扫描出针对这些服务的安全隐患和漏洞,如图 4.2.6所示。
4.3主机攻击扫描
针对由企业典型网络安全架构部署实验搭建的安全体系,启动X-Scan(如未安装WinPCap,先安装WinPCap 3.1 beta4 以上版本)。
(1) 填写需要扫描的IP(依次扫描主机和虚拟机),如图4.3.1 所示。
图 4.3.1
(2) 选择需要扫描的模块,如图4.3.2 所示。
图 4.3.2
(3) 其它设置可以自己进行设置以适合不同的情况。
(4) 设置完成后点击开始扫描。
扫描完毕后,X-Scan 会自动生成扫描报告(可以设置文件类型);扫描报告
会列举所有端口/服务以及对应的安全漏洞和解决方案。每一种安全漏洞都有具体描述、风险等级并给出了解决方案。常见的安全漏洞有各种开放的服务/端口安全设置不妥带来的安全漏洞等(比如FTP 弱口令)。
4.4安全评估测试
(1) 新建并编辑主机配置文件。
(2) 新建配置文件,并根据向导配置主机信息。主要分为基本信息、基础架构安全、应用程序安全、运作安全、人员安全、环境配置。
(3) 通过勾选的方式,配置主机。每一部分的配置会有 10 个不等的题目,需要完成这写题目,才能进行下一步的评估工作。
(4) 新建针对主机的评估,如图 4.4.1 所示。
图 4.4.1
(5) 评估会根据以上几个部分进行安全评估,并最终生成报表文件。
(6) 填写评估配置。
评估主要针对一下几部分进行评估测试:
基础架构:此部分的重点是网络应该如何工作,它必须支持哪些(内部或外部)业务流程,如何构建和部署计算机主机,以及如何有效管理和维护网络。通过建立员工能够理解并遵循的健全的基础架构设计,组织可以轻松找出存在风险的区域并设计出缓解威胁的方法。
应用程序:此部分着眼于您环境中对业务起关键作用的应用程序,并从安全和可用性角度对它们进行评估。此部分将对环境中所采用的增强纵深防御的技术进行检查。
运作:此部分会对组织在增强纵深防御战略,使其不仅仅包括技术防御时所遵循的运作经验、过程和准则进行评估。它将检查环境中管理系统构建、网络文档、备份和恢复的区域。
人员:此部分会复查企业中用于管理公司安全策略、HR 流程、员工安全意识及培训的那些流程。它还会关注如何对待安全的事宜,因为安全与日常运作相关。此部分帮助评估如何缓解“人员”区域的风险。
评估报告从基础架构、应用程序、运作、人员四个领域的各个方面生成安全
报告,有利于安全隐患评估结果与防御建议;其中验证部分的报告举例如图4.4.2 所示。
图 4.4.2
5评估报告
风险评估/安全评估是在防火墙、入侵检测、VPN 等专项安全技术之上必须考虑的一个问题,因为安全并不是点的概念,而是整体的立体概念。在各种专项技术的基础上,有必要对整个网络信息系统的安全性进行分析评估,以改进系统整体的安全。
(1) SecAnalyst运行状态评估
存在警告、危险、低风险等问题,涉及自启动进程、系统进程以及NT服务等。
(2) MBSA 综合评估
系统存在安全更新和防火墙都未打开,密钥管理漏洞和系统权限等安全问题。
(3) X-scan 攻击扫描评估
存在诸多警告与提示,135、445和3306TCP端口都是开放状态,可能有安全威胁。
(4) MSAT 安全评估
在人员、运作、应用程序、基础架构方面均存在较大安全威胁。
6安全建议
(1)禁止危险的自启动项、进程,卸载有威胁的驱动,禁用存在安全风险的网络服务。
(2)打开安全更新和防火墙,定期检查自动更新,注销掉多余的超级用户。(3)关闭存在安全风险的TCP端口。
(4)在人员、运作、应用程序、基础架构方面可以做以下改善:人员:所有决策人员应当清楚地了解安全要求,以便他们做出的技术决定和
业务决定可以增强安全性,并由第三方定期进行评估可帮助公司复查、评价和找出要改进的区域。
员工应该接受安全培训,从而不会因疏忽而使公司面临更大的风险。
运作:组织的安全性与环境中采用的运作过程、流程和准则息息相关。这些流程和准则包含的不仅仅是技术防御,因而使组织的安全性得到加强。正确制定环境文档和准则对于运作团队能否支持和维护环境的安全性来说至关重要。
妥善管理补丁和更新是保护组织IT 环境的重要措施。要帮助防范已知漏洞和可利用的漏洞,请务必及时应用补丁与更新。
若要在发生灾难事件或出现硬件/软件故障时保持业务连续性,执行数据备份与恢复至关重要。缺乏合适的备份和恢复过程可能会对数据和工作效率带来重大损失。
应用程序:在生产中部署业务关键应用程序时,必须确保这些应用程序和服务器的安全性和可用性。持续进行维护是帮助确保安全缺陷得到修补并且不为环境引入新安全漏洞的重要措施。
数据的完整性和机密性是任何企业最为关注的问题之一。数据丢失或被盗可损害组织的收入以及信誉。因此,请务必清楚地了解应用程序是如何处理业务关键数据以及如何保护这些数据的。
基础架构:周边防御可解决内部网络与外部世界连接处的网络边界的安全问题。它构成了抵制入侵者的第一道防线。
对用户、管理员和远程用户执行严格的验证过程,可帮助确保不相关人员无法通过使用本地或远程攻击,未经授权访问此网络。
管理、监视和正确记录对于维护和分析IT 环境来说特别重要。当出现攻击并且需要进行事件分析时,这些工具更加重要。
一、单选题(20分) 1、《基本要求》中管理要求中,下面那一个不是其中的内容?() A、安全管理机构。 B、安全管理制度。 C、人员安全管理。 D、病毒安全管 理。 2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的 恶意攻击、一般的自然灾难,所造成的重要资源损害,能够发现重要的安 全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能 是几级要求?() A、一级。 B、二级。 C、三级。 D、四级。 3、三级系统基本要求中管理要求控制类共有()项? A、32。 B、36。 C、37。 D、38。 4、《测评要求》和哪一个文件是对用户系统测评的依据? A、《信息系统安全等级保护实施指南》。 B、《信息系统安全保护等级定级指 南》。C、《信息系统安全等级保护基本要求》。D、《信息系统安全等级保护 管理办法》。 5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状 态监控、()、安全检查和持续改进、监督检查? A、安全事件处置和应急预案。 B、安全服务。 C、网络评估。 D、安全加固。 6、如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重 要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家 安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和 技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。这
应当属于等级保护的什么级别?() A、强制保护级。 B、监督保护级。 C、指导保护级。 D、自主保护级。 7、《信息系统安全等级保护实施指南》将()作为实施等级保护的第一项重 要内容? A、安全定级。 B、安全评估。 C、安全规划。 D、安全实施。 8、人员管理主要是对人员的录用、人员的离岗、()、安全意识教育和培训、 第三方人员访问管理5各方面。 A、人员教育。 B、人员裁减。 C、人员考核。 D、人员审核。 9、根据《信息安全等级保护管理办法》,由以下哪个部门应当依照相关规范和 标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作? A、公安机关。 B、国家保密工作部门。 C、国家密码管理部门。 D、信息系 统的主管部门。 10、计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、 社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。() A、经济价值经济损失。 B、重要程度危害程度。 C、经济价值危害程度。 D、重要程度经济损失。 11、新建_______信息系统,应当在投入运行后_______,由其运营、使用单位 到所在地设区的市级以上公安机关办理备案手续。() A、第一级以上30日内。 B、第二级以上60日内。 C、第一级以上60日内。 D、第二级以上30日内。
信息安全测评和服务 1信息安全风险评估 对客户单位所有信息系统进行风险评估,每半年评估一次,评估后出具详细的评估报告。评估范围为所有业务系统及相关的网络安全资产,内容具体包括: (1)漏洞扫描:通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描, 发现各种可能遭到黑客利用的各种隐患,包括:端口扫描,漏洞扫描,密码破解,攻击测试等。 (2)操作系统核查:核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审 计、内核、恶意程序等内容,对用户当前采取的风险控制措施和管理手段的效果进行评估,在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。 (3)数据库核查:主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核 查。 (4)网络及安全设备核查:网络及安全设备核查主要是针对网络及安全设备的访问控制策 略进行检查,确定是否开放了网站服务以外的多余服务。 (5)病毒木马检查:通过多种方式对机器内异常进程、端口进行分析,判断是
否是木马或病毒,研究相关行为,并进行查杀。 (6)渗透测试:模拟黑客的各种攻击手段,对评估过程中发现的漏洞安全隐患进行攻击测 试,评估其危害程度,主要有:弱口令、本地权限提升、远程溢出、数据库查询等。 测评次数不低于两次,在有重大安全漏洞或隐患出现时,及时采取有针对性的渗透测试。 2、信息安全加固 针对评估的结果,协助客户单位对应用系统中存在的安全隐患进行安全加固。加固内容包括: 操作系统安全加固; 基本安全配置检测和优化 密码系统安全检测和增强 系统后门检测 提供访问控制策略和安全工具 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级与补丁安装 (1)网络设备安全加固; 严格的防控控制措施 安全审计 合理的vlan划分 不必要的IOS服务或潜在的安全问题 路由安全 抵抗拒绝服务的网络攻击和流量控制 广播限制 (2)网络安全设备安全加固; 防火墙的部署位置、区域划分 IDS、漏洞扫描系统的部署、VPN网关部署 安全设备的安全防护措施配置加固
工业控制系统信息安全管理制度 1 适用范围 为了规范公司工业控制系统的使用和操作,防止发生人为或意外损坏系统事故以及误操作引起的设备停运,保证工控系统的稳定运行,特制定本制度。 本制度适用于DCS及DEH系统以及辅控网DCS。 2 计算机使用管理 2.1 工程师站严格按照权限进行操作,无关人员不准使用。 2.2 工程师站、操作员站等人机接口系统应分级授权使用。严禁非授权人员使用工程师站的系统组态功能,工程师站用户的权限可以实施逻辑修改和系统管理工作;操作员站用户权限,查看运行状态画面,实施监控。 2.3 每三个月更改一次口令,同时检查每一级用户口令的权限设置应正确。口令字长应大于6个字符并由字母数字混合组成。修改后的口令应填写《DCS系统机器密码记录》,妥善保管。 2.4 计算机在使用过程中发生异常情况,立即停止当前操作,通知集控室负责人和相关维修人员。如服务器发生故障,按各《信息系统故障应急预案》操作,维修人员记录《软件故障处理和修改记录》。 2.5 使用工程师站计算机后,需详细填写《工程师站出入及机器使用记录》后方可离开。 3 软件保护 3.1 严禁在计算机控制系统中使用其他无关软件。除非软件升级或补丁的需要,严禁在计算机控制系统中使用U盘、光盘等。 3.2 禁止向DCS网络中连接系统外接计算机、手机。
3.3 在连接到DCS中的计算机上进行操作时,使用的可读写存储介质必须是固定的一个设备,并且在每次使用前对其进行格式化处理,然后才可以接入以上计算机。 4 软件的修改、保存及维护 4.1 更新、升级计算机系统软件、应用软件或下载数据,其存储介质须是本计算机控制系统专用存储介质,不允许与其他计算机系统交换使用。 4.2进行计算机软件、系统组态、设定值等修改工作,必须严格执行相关审批手续后方可工作,同时填写《组态及参数修改记录》,并及时做好修改后的数据备份工作。 5 软件和数据库备份 5.1 计算机控制系统的软件和数据库、历史数据应定期进行备份,完全备份间隔三个月一次,系统备份必须使用专用的U盘备份,并且由系统管理员进行相关操作。 5.2 对系统软件(包括操作系统和应用软件)的任何修改,包括版本升级和安装补丁,都应及时进行备份。 5.3备份结束后,在备份件上正确标明备份内容、对象,并做好记录,填写《DCS系统备份记录》。 5.4 DCS中各系统的备份必须由系统管理员定期手动进行,具体要求同上。 有限公司 2017年1月 1日
中国工控安全厂商分析 1.厂商综合实力分析 1.1工控安全厂商概况 中国工控安全厂商,根据其历史背景可以分为三种类型: 1)自动化背景厂商 这类厂商原来从事自动化相关的业务,后来看好工控安全的市场机遇,成立工控安全部门或子公司进入工控安全领域。 典型厂商包括:青岛海天炜业自动化控制系统有限公司、北京力控华康科技有限公司、珠海市鸿瑞软件技术有限公司、中京天裕科技(北京)有限公司。这类公司的特点是对工控系统有比较深刻的理解,有现成的客户资源。所以,目前青岛海天炜业自动化控制系统有限公司、北京力控华康科技有限公司在工控安全市场上有较大的影响力,珠海市鸿瑞软件技术有限公司在电力行业有较大的影响力。 其他自动化厂商,如和利时集团、浙江中控技术股份有限公司、北京四方继保自动化股份有限公司等,主要是OEM第三方的产品,不作为主要的工控安全厂商进行分析。 2)传统IT安全厂商 这类厂商原来从事IT信息安全的业务,工控安全作为信息安全市场的一个新兴的细分市场得到关注,成立工控安全部门进入工控安全领域。 典型厂商包括:启明星辰信息技术有限公司/北京网御星云信息技术有限公司、北京神州绿盟信息安全科技股份有限公司、北京中科网威信息技术有限公司、上海三零卫士信息安全有限公司。这类公司的特点是信息安全技术积累较多,但对工控系统缺乏深刻的理解,并且由于当前业绩的压力,在工控安全方面的投入较小。目前启明星辰信息技术有限公司、北京神州绿盟信息安全科技股份有限公司在工控安全市场上有一定的影响力。 3)专业工控安全厂商 这类厂商基本属于近两年成立的创业公司,整合了信息安全与自动化方面的人才,100%专注于工控安全领域。 典型厂商包括:北京威努特技术有限公司、北京匡恩网络科技有限公司、谷神星网络科技(北京)有限公司。这类公司的特点是专注,他们100%的业务都是工控安全,工控安全业务的成败决定了公司的生死存亡,因此能够全力投入。目前北京威努特技术有限公司、北京匡恩网络科技有限公司在工控安全市场上有较大的影响力。
编号: 国家信息安全测评认证 信息系统安全服务资质认证申请书 (一级) 申请单位(公章): 填表日期: 中国信息安全产品测评认证中心
目录 填表须知 (3) 申请表 (4) 一,申请单位基本情况 (5) 二,企业组织结构 (6) 三,企业近三年资产运营情况 (7) 四,企业主要负责人情况 (9) 五,企业技术能力基本情况 (13) 六,企业的信息系统安全工程过程能力 (18) 七,企业的项目和组织过程能力 (41) 八,企业安全服务项目汇总 (58) 九,企业安全培训软硬件情况 (60) 十,企业获奖、资格授权情况 (62) 十一,企业在安全服务方面的发展规划 (63) 十二,企业其他说明情况 (64) 十三,其他附件 (65) 申请单位声明 (66)
填表须知 用户在正式填写本申请书前,须认真阅读并理解以下内容: 1.中国信息安全产品测评认证中心对下列对象进行测评认证: ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2.申请单位应仔细阅读《信息系统安全服务资质认证指南》,并按照其要求如实、详细地填写本申请书所有项目。 3.申请单位应按照申请书原有格式进行填写。如填写内容较多,可另加附页。4.申请单位须提交《信息系统安全服务资质认证申请书》(含附件及证明材料)纸板一式叁份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。5.不申请安全工程服务类资质认证的单位无需填写《企业的信息系统安全工程过程能力》此项内容。 6.不申请安全培训服务类资质认证的单位无需填写《企业安全培训软硬件情况》此项内容。 7.如有疑问,请与中国信息安全产品测评认证中心联系。 中国信息安全产品测评认证中心 地址:北京市西三环北路27号北科大厦9层 邮编:100091 电话:86-10-68428899 传真:86-10-68462942 网址:https://www.doczj.com/doc/641269262.html, 电子邮箱:cnitsec@https://www.doczj.com/doc/641269262.html,
国家信息安全测评 信息安全服务资质申请指南(安全工程类三级) ?版权2015—中国信息安全测评中心 2016年10月1 日
一、认定依据 (4) 二、级别划分 (4) 三、三级资质要求 (4) 3.1 基本资格要求 (5) 3.2 基本能力要求 (5) 3.3 质量管理要求 (6) 3.4安全工程过程能力要求 (6) 四、资质认定 (7) 4.1认定流程图 (7) 4.2申请阶段 (8) 4.3资格审查阶段 (8) 4.4能力测评阶段 (8) 4.4.1静态评估 (8) 4.4.2现场审核 (9) 4.4.3综合评定 (9) 4.4.4资质审定 (9) 4.5证书发放阶段 (9) 五、监督、维持和升级 (10) 六、处置 (10) 七、争议、投诉与申诉 (10) 八、获证组织档案 (11) 九、费用及周期 (11)
中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。 中国信息安全测评中心的主要职能是: 1.对国内外信息安全产品和信息技术进行测评; 2.对国内信息系统和工程进行安全性评估; 3.对提供信息系统安全服务的组织和单位进行评估; 4.对信息安全专业人员的资质进行评估。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。 本指南适用于所有向CNITSEC提出信息安全工程服务三级资质申请的境内外组织。
信息安全等级保护测评工具选用指引 一、必须配置测试工具 (一)漏洞扫描探测工具。 1.网络安全漏洞扫描系统。 2.数据库安全扫描系统。 (二)木马检查工具。 1.专用木马检查工具。 2.进程查看与分析工具。 二、选用配置测试工具 (一)漏洞扫描探测工具。 应用安全漏洞扫描工具。 (二)软件代码安全分析类。 软件代码安全分析工具。 (三)安全攻击仿真工具 (四)网络协议分析工具 (五)系统性能压力测试工具 1.网络性能压力测试工具 2.应用软件性能压力测试工具 (六)网络拓扑生成工具 (七)物理安全测试工具 1.接地电阻测试仪 2.电磁屏蔽性能测试仪 (八)渗透测试工具集 (九)安全配置检查工具集 (十)等级保护测评管理工具 综合工具: 漏洞扫描器:极光、Nessus、SSS等; 安全基线检测工具(配置审计等):能够检查信息系统中的主机操作系统、数据库、网络设备等; 渗透测试相关工具:踩点、扫描、入侵涉及到的工具等; 主机:sysinspector、Metasploit、木马查杀工具、操作系统信息采集与分析工具(Win,Unix)、日志分析工具、数据取证工具(涉密); 网络:Nipper(网络设备配置分析)、SolarWinds、Omnipeek、laptop(无线检测工具); 应用:AppScan、Webinspect、FotifySCA、Sql injection tools、挂马检测工具、webravor等。
信息安全测评工具 五大网络安全评估工具 1.Wireshark Wireshark(原名Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 工作流程 (1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 (2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。 (3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。 (4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。 (5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。 (6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。 (7)重组数据。Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。 Wireshark特性: ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 Wireshark不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark 不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 Wireshark不能提供如下功能: ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情,Wireshark不会警告您。但是如果发生了奇怪的事情,Wireshark可能对察看发生了什么会有所帮助。 ?Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络。Wireshark
中国信息安全测评中心授权培训机构管理办法 中国信息安全测评中心 二〇一七年一月
第一章 总 则 第一条随着国家信息化建设的高速发展,对信息安全专业人才的需求逐年增加。为贯彻中共中央办公厅、国务院办公厅中办发[2003]27号文件中关于“加快信息安全人才培养,增强全民信息安全意识”的精神,加强对授权培训机构的管理,规范授权培训机构的职能,中国信息安全测评中心(以下简称CNITSEC)根据相关管理规定制定本办法。 第二条CNITSEC为授权委托方,中国信息产业商会信息安全产业分会为授权运营管理机构(以下简称授权运营方),授权培训机构为CNITSEC授权的培训机构方。 第三条CNITSEC、授权运营方、授权培训机构关系如下: 1、CNITSEC及授权培训机构均为独立的法人单位,但两两之间不具有行政隶属及产权归属关系,各自对自己的行为承担法律责任; 2、授权运营方作为CNITSEC与授权培训机构之间的接口机构,按照授权委托方的要求对授权培训机构进行监督、指导和管理。授权运营方统一受理对授权培训机构的投诉,根据调查结果出具处理意见。 3、CNITSEC对授权运营方及授权培训机构具有监督管理的权利; 4、授权培训机构应严格遵守相关管理规定,开展双方协议规定的培训业务,按时向CNITSEC缴纳管理费。 第四条本办法由授权运营方具体执行。 第二章授权业务类型 授权培训机构应与CNITSEC及授权运营方签订授权协议书,明确
双方的责任与义务,依法开展培训业务。 第五条授权培训机构可以以“中国信息安全测评中心授权培训机构”的名义,根据授权协议中授权内容从事以下培训业务: 1、注册信息安全员(Certified Information Security Member 简称CISM)培训; 2、注册信息安全专业人员(Certified Information Security Professional,简称CISP)培训,根据工作领域和实际岗位工作的需要,CISP培训分为四类: ●注册信息安全工程师(Certified Information Security Engineer简称CISE)培训; ●注册信息安全管理员(Certified Information Security Officer简称CISO)培训; ●注册信息安全审计师(Certified Information Security Auditor简称CISP-A)培训; ●注册信息安全开发人员(Certified Information Security Developer 简称CISD)培训。 3、其他培训业务以双方协议具体规定为准。 第三章授权培训机构的管理 第六条授权培训机构必须遵守如下管理规定: 1、日常工作管理 (1)按CNITSEC统一规定的教材、教学大纲开展培训业务,并执行授权运营方制定的统一培训标准;
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
发电厂工控系统网络信息安全防护典型部署列表 序号安全设备 (系统) 名称 部署位置 部署模 式 参考 数量 备注 1.1 工业防火 墙(接口 机) 安全区I 和安全区 II边界 网络串 联 3台 (依 接口 机数 量定) 安全区I向SIS传输数据 的业务系统需单独部署 工业防火墙 1.2 工业防火 墙(日志/ 网络审 计) 安全区I 和安全区 II边界 网络串 联 1 台 此防火墙应具备高吞吐 量的性能 1.3 工业防火 墙(生产 控制大区 网络安全 监测装 置) 安全区I 和安全区 II边界 网络串 联 1 台 安全区I传输数据至厂 级生产控制大区网络安 全监测装置处,须单独部 署工业防火墙 2.1 日志审计 功能安全区I 内 此功能实现对安全区I 机组主控辅控系统及NCS
(安全区I)控制系统的日志审计,并保留至少6个月的日志数据 2.2 日志审计 (安全区 II) 安全区 II核心 交换机 网络可 达 1台 在安全区II应单独部署 一台日志审计 3 入侵检测安全区 II核心 交换机 旁路镜 像 1台 4 网络审计 安全区I 内旁路镜 像 3台 在安全区I机组主控DCS 及辅控系统中应单独部 署一台网络审计 5 生产控制 大区网络 安全监测 装置 安全区 II核心 交换机 网络串 联 1套 实现对工控系统网络安 全数据的采集存储 6 网络安全 监测装置 (涉网 侧) 安全区I /安全区 II和电 力调度数 据网边界 网络串 联 2套 满足电网侧安全监控需 求,同时数据需同步上传 到厂级生产安全监测平 台 7.1 正向隔离生产控制网络串1台此设备为电力专用横向
信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 (试行) 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心
信息安全等级测评机构能力要求使用说明 目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (10) 7质量管理能力 (12) 8规范性保证能力 (13) 9风险控制能力 (16) 10可持续性发展能力 (17) 11测评机构能力约束性要求 (18)
信息安全等级测评机构能力要求使用说明 前言 公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容,为确保有效指导测评机构的能力建设,规范其测评活动,满足信息安全等级保护工作要求,特制定本规范。 《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。
信息安全等级测评机构能力要求使用说明 信息安全等级测评机构能力要求使用说明 1范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构 等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。 3基本条件 依据《信息安全等级保护测评工作管理规范》(试行),信息安全等级测评机构(以下简称测评机构)应当具备以下基本条件: a)在中华人民共和国境内注册成立(港澳台地区除外); b)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(具 体要求参见8.2.1) c)产权关系明晰,注册资金100万元以上;(具体要求参见8.2.2) d)从事信息系统检测评估相关工作两年以上,无违法记录;(具体要求参见5.2.1) e)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(具体要求参见 8.2.1) f)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人; g)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等 级保护管理办法》对信息安全产品的要求;(具体要求参见6.1) h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; (具体要求参见4.5) i)对国家安全、社会秩序、公共利益不构成威胁;
中国信息安全测评中心 授权培训机构申请书 申请单位(公章): 填表日期: ?版权2020—中国信息安全测评中心 2020年2月
中国信息安全测评中心(CNITSEC) 授权培训机构资质申请书 目录 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位资产运营情况 (7) 四、申请单位人员情况 (9) 五、培训场所及设备设施情况 (14) 六、质量保证 (16) 七、信息安全及相关培训情况 (18) 八、信息安全培训宣传推广 (19)
填表须知 用户在正式填写本申请书前,须认真阅读并理解以下内容:授权培训机构申请单位(以下简称:申请单位)在正式填写本申请书前,须认真阅读以下内容: 1.申请单位应仔细阅读《授权培训机构申请指南》及《授权培训机构管理办法》, 并按要求认真、如实、详细地填写本申请书。 2.申请单位应按照申请书的原有格式进行填写,所有填报项目(含表格)页面不足 时,可另加附页。 3.填写本表时要求字迹清晰,请用签字笔正楷填写或计算机输入。 4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材 料是否完整。 5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方, 必须加盖公章,同时提交一份对应的电子文档(电子文档刻盘与纸板申请书一起邮寄)。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。 7.如有疑问,请与中国信息安全测评中心联系。 中国信息安全测评中心 地址:北京市海淀区上地西路8号院1号楼 邮编:100085 电话:(010)82341571或82341576 传真:82341100 网址:https://www.doczj.com/doc/641269262.html, 电子邮箱:zhangxy@https://www.doczj.com/doc/641269262.html,
工业控制系统信息 安全
工业控制系统信息安全 一、工业控制系统安全分析 工业控制系统(Industrial Control Systems, ICS),是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。 典型的ICS 控制过程一般由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI 执行信息交互,远程诊断与维护工具确保ICS能够稳定持续运行。 1.1 工业控制系统潜在的风险 1. 操作系统的安全漏洞问题 由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行。 2. 杀毒软件安装及升级更新问题 用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,一般不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。 3. 使用U盘、光盘导致的病毒传播问题。
由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。 4. 设备维修时笔记本电脑的随便接入问题 工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁。 5. 存在工业控制系统被有意或无意控制的风险问题 如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。 6. 工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题 对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。 1.2 “两化融合”给工控系统带来的风险 工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的方便,经过逻辑隔离的方式,使工业控制系统和企业管理系统能够直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统接入的范围不但扩展到了企业网,而且面临着来自Internet的威胁。
文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持. 1文档收集于互联网,如有不妥请联系删除. 信息系统安全 等级测评工具 【服务版】 产品规格说明书(PSI ) Product Specification Instructions 公安部第三研究所 2020年07月02日 版权所有 侵权必究 文档编码 CRBJ-PMD-PSI 项目管理号 1001-GFCSP-Tech
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. [文档信息] [版本变更记录] [文档送呈] 目录 1 产品背景及概述 ................................................ 错误!未定义书签。 1.1 产品背景.................................................... 错误!未定义书签。 1.2 产品概述.................................................... 错误!未定义书签。 2 产品目标及策略 ................................................ 错误!未定义书签。 2.1 产品目标.................................................... 错误!未定义书签。 2.2 产品策略.................................................... 错误!未定义书签。 3 产品执行标准.................................................... 错误!未定义书签。 4 产品说明 ........................................................... 错误!未定义书签。 5 结论 .................................................................. 错误!未定义书签。 I文档收集于互联网,如有不妥请联系删除.
关于加强工业控制系统信息安全管理的通知【发布时间:2011年10月27日】【来源:信息安全协调司】【字号:大中小】 工信部协[2011]451号 各省、自治区、直辖市人民政府,国务院有关部门,有关国有大型企业: 工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,为切实加强工业控制系统信息安全管理,经国务院同意,现就有关事项通知如下: 一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性 数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。与此同时,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。对此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。 二、明确重点领域工业控制系统信息安全管理要求 加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。各地区、各部门、各单位要结合实际,明确加强工业控制系统信息安全管理的重点领域和重点环节,切实落实以下要求。 (一)连接管理要求。 1. 断开工业控制系统同公共网络之间的所有不必要连接。
信息安全等级保护测评工作管理规范(试 行)1 附件一: 信息安全等级保护测评工作管理规范 (试行) 第一条为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。 第二条本规范适用于等级测评机构和人员及其测评活动的管理。 第三条等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。 第四条省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。
第五条等级测评机构应当具备以下基本条件: (一)在中华人民共和国境内注册成立(港澳台地区除外); (二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外); (三)产权关系明晰,注册资金100万元以上; (四)从事信息系统检测评估相关工作两年以上,无违法记录; (五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人; (七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求; (八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; (九)对国家安全、社会秩序、公共利益不构成威胁; (十)应当具备的其他条件。 第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
国家信息安全测评 工业控制系统产品安全测评服务 白皮书 ?版权2014—中国信息安全测评中心 二〇一四年八月
目录 1. 目的和意义 (2) 2. 业务范围 (2) 3. 业务类型 (2) 4. 业务实施 (3)
1. 目的和意义 工业控制系统产品(以下简称工控产品)安全测评的目的是促进高质量、安全和可控的工控产品的开发,具体目的和意义包括: 1)对工控产品依据相关标准规范进行测评; 2)判定工控产品是否满足安全要求; 3)有助于在涉及国家安全的工业自动化生产领域中加强工控产品的安全性和可控性,维护国家和用户的安全利益; 4)促进国内工控产品市场优胜劣汰机制的建立和完善,规范市场。 2. 业务范围 工控产品分为控制类产品(即工业控制设备)和安全类产品(工业安全设备)。 1)控制类产品包括可编程控制器(PLC)、离散控制系统(DCS)、远程终端单元(RTU)、智能电子设备(IED)、各行业控制系统等用于生产控制的产品。 2)安全类产品包括工业防火墙、工业安全网关、工业异常监测产品、工业应用软件漏洞扫描产品等用于工业环境安全防护的产品。 3. 业务类型 工控产品安全测评类型分为标准测试、选型测试和定制测试等。 1)标准测试 依据第三方标准规范(如国家标准、测评中心测试规范等),测评工控产品的功能、性能、安全等指标,通过后颁发“工业控制系统安全技术测评证书”。 2)选型测试 根据委托方提出的测评要求对工控产品进行测试,形成选型测试报告,为委托方在产品选型采购时提供技术依据。 选型测试内容包括:功能测试、性能测试、安全测试等,具体测试项目和指标由
委托方与中心共同确认。 3)定制测试 依据委托方要求对工控产品进行测试,形成定制测试报告。 4. 业务实施 4.1 测试依据 依据标准: 1)GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》; 2)《工业防火墙安全测评准则》 3)《工业安全网关安全测评准则》 4)《工业异常监测系统安全测评准则》 5)《工业漏洞扫描产品安全测评准则》 6)…… 4.2 证据需求 根据业务内容的要求,申请方需提交的证据包括: 1)测评申请书 2)测评所需文档 3)被测产品 4.3 业务流程 测评流程分为以下四个阶段:申请阶段、预测评阶段、测评阶段和报告与证书发放阶段(如下图所示)。
中卫科技信息安全等级测评师考试 一、判断题(10×1=10分) 1、动态路由是网络管理员手工配置的路由信息,也可由路器自动地建立 并且能够根据实际情况的变化适时地进行调整。(×) 2、星型网络拓扑结构中,对中心设备的性能要求比较高。(√) 3、访问控制就是防止未授权用户访问系统资源。(√) 4、考虑到经济成本,在机房安装过录像监控之后,可不再布置报警系统。(×) 5、审计日志的主要功能是可以对安全事件进行追踪和发现入侵行为降低 安全事件的发生。(√) 6、在三级信息系统中,每个系统默认账户和口令原则上都是要进行修改的(√) 7、剩余信息保护是三级系统比二级系统新增内容。(√) 8、权限如果分配不合理,有可能会造成安全事件无从查找。(√) 9、三级信息系统中,为了数据的完整性,我们可以采用CRC的校验码措施(×) 10、在进行信息安全测试中,我们一般不需要自己动手进行测试。(√) 二、单项选择题(15×2.5=30分) 1、测评单位开展工作的政策依据是( C ) A.公通字[2004] 66号 B.公信安[2008] 736 C.公信安[2010] 303号 D发改高技[2008]2071 2、当信息系统受到,破坏后我们首先要确定是否侵害客体。( B ) A.公民、法人其他组织的合法权益 B.国家安全 C.社会秩序、公共利益 3、cisco的配置通过什么协议备份( A ) A.ftp B.tftp C.telnet D.ssh
4、哪项不是开展主机工具测试所必须了解的信息( D ) A.操作系统 B.应用 C.ip D.物理位置 5、三级系统主机安全的访问控制有( B )个检查项。 A、6 B、7 C、8 D、9 6、某公司现有260台计算机,把子网掩码设计成多少最合适( A ) A.255.255.254.0 B.255.255.168.0 C. 255.255.0.0 D.255.255.255.0 7、数据传输过程中不被篡改和修改的特性,是属性。( B ) A.保密性 B.完整性 C.可靠性 D.可用性 8、向有限的空间输入超长的字符串是哪一种攻击手段? ( A ) A、缓冲区溢出 B、网络监听 C、拒绝服务 D、IP欺骗 9、关于备份冗余以下说法错误的是( D ) A.三级信息系统应在异地建立备份站点 B.信息系统线路要有冗余 C.数据库服务器应冗余配置 D.应用软件应进行备份安装 10、下列不属于应用层的协议是( C ) A.FTP B.TELNET C.SSL D.POP3 三、多项选择题(10×2=20分) 1、常见的数据备份有哪些形式( ABC ) A、完全备份 B、差异备份 C、增量备份 D、日志备份 2、下列属于双因子认证的是( AD ) A.口令和虹膜扫描 B.令牌和门卡 C.两次输入密码 D. 门卡和笔记(迹)