附件:
报告编号:XXXXXXXXXXX-XXXXX-XX-XXXX-XX
信息系统安全等级测评报告
模版(2015年版)
系统名称:
委托单位:
测评单位:
报告时间:年月日
说明:
一、每个备案信息系统单独出具测评报告。
二、测评报告编号为四组数据。各组含义和编码规则如下:
第一组为信息系统备案表编号,由2段16位数字组成,可以从公安机关颁发的信息系统备案证明(或备案回执)上获得。第1段即备案证明编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号)。
第二组为年份,由2位数字组成。例如09代表2009年。
第三组为测评机构代码,由四位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为北京,12为天津,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。90为国防科工局,91为电监会,92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。
第四组为本年度信息系统测评次数,由两位构成。例如02表示该信息系统本年度测评2次。
信息系统等级测评基本信息表
注:单位代码由受理测评机构备案的公安机关给出。
声明
(声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明。)
本报告是xxx信息系统的等级测评报告。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
单位名称(加盖单位公章)
年月
等级测评结论
总体评价
根据被测系统测评结果和测评过程中了解的相关信息,从用户角度对被测信息系统的安全保护状况进行评价。例如可以从安全责任制、管理制度体系、基础设施与网络环境、安全控制措施、数据保护、系统规划与建设、系统运维管理、应急保障等方面分别评价描述信息系统安全保护状况。
综合上述评价结果,对信息系统的安全保护状况给出总括性结论。例如:信息系统总体安全保护状况较好。
主要安全问题
描述被测信息系统存在的主要安全问题及其可能导致的后果。
问题处置建议针对系统存在的主要安全问题提出处置建议。
目录
等级测评结论......................................................................................................................................... I II 总体评价 ................................................................................................................................................ I V 主要安全问题.......................................................................................................................................... V 问题处置建议......................................................................................................................................... V I 1测评项目概述 . (1)
1.1测评目的 (1)
1.2测评依据 (1)
1.3测评过程 (1)
1.4报告分发范围 (1)
2被测信息系统情况 (1)
2.1承载的业务情况 (1)
2.2网络结构 (1)
2.3系统资产 (1)
2.3.1机房 (2)
2.3.2网络设备 (2)
2.3.3安全设备 (2)
2.3.4服务器/存储设备 (2)
2.3.5终端 (3)
2.3.6业务应用软件 (3)
2.3.7关键数据类别 (3)
2.3.8安全相关人员 (4)
2.3.9安全管理文档 (4)
2.4安全服务 (4)
2.5安全环境威胁评估 (5)
2.6前次测评情况 (5)
3等级测评范围与方法 (5)
3.1测评指标 (5)
3.1.1基本指标 (5)
3.1.2不适用指标 (6)
3.1.3特殊指标 (6)
3.2测评对象 (6)
3.2.1测评对象选择方法 (7)
3.2.2测评对象选择结果 (7)
3.3测评方法 (8)
4单元测评 (9)
4.1物理安全 (9)
4.1.1结果汇总 (9)
4.1.2结果分析 (9)
4.2网络安全 (10)
4.2.1结果汇总 (10)
4.2.2结果分析 (10)
4.3主机安全 (10)
4.3.1结果汇总 (10)
4.3.2结果分析 (10)
4.4应用安全 (10)
4.4.1结果汇总 (10)
4.4.2结果分析 (10)
4.5数据安全及备份恢复 (10)
4.5.1结果汇总 (10)
4.5.2结果分析 (10)
4.6安全管理制度 (10)
4.6.1结果汇总 (10)
4.6.2结果分析 (11)
4.7安全管理机构 (11)
4.7.1结果汇总 (11)
4.7.2结果分析 (11)
4.8人员安全管理 (11)
4.8.1结果汇总 (11)
4.8.2结果分析 (11)
4.9系统建设管理 (11)
4.9.1结果汇总 (11)
4.9.2结果分析 (11)
4.10系统运维管理 (11)
4.10.1结果汇总 (11)
4.10.2结果分析 (11)
4.11××××(特殊指标) (11)
4.11.1结果汇总 (11)
4.11.2结果分析 (11)
4.12单元测评小结 (12)
4.12.1控制点符合情况汇总 (12)
4.12.2安全问题汇总 (13)
5整体测评 (13)
5.1安全控制间安全测评 (13)
5.2层面间安全测评 (13)
5.3区域间安全测评 (13)
5.4验证测试 (13)
5.5整体测评结果汇总 (14)
6总体安全状况分析 (14)
6.1系统安全保障评估 (14)
6.2安全问题风险评估 (18)
6.3等级测评结论 (19)
7问题处置建议 (20)
附录A等级测评结果记录 (21)
A.1物理安全 (21)
A.2网络安全 (21)
A.3主机安全 (21)
A.4应用安全 (21)
A.5数据安全及备份恢复 (21)
A.6安全管理制度 (21)
A.7安全管理机构 (21)
A.8人员安全管理 (21)
A.9系统建设管理 (22)
A.10系统运维管理 (22)
A.11××××(特殊指标安全层面) (22)
A.12验证测试 (22)
1测评项目概述
1.1测评目的
1.2测评依据
列出开展测评活动所依据的文件、标准和合同等。
如果有行业标准的,行业标准的指标作为基本指标。报告中的特殊指标属于用户自愿增加的要求项。
1.3测评过程
描述等级测评工作流程,包括测评工作流程图、各阶段完成的关键任务和工作的时间节点等内容。
1.4报告分发范围
说明等级测评报告正本的份数与分发范围。
2被测信息系统情况
参照备案信息简要描述信息系统。
2.1承载的业务情况
描述信息系统承载的业务、应用等情况。
2.2网络结构
给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。
2.3系统资产
系统资产包括被测信息系统相关的所有软硬件、人员、数据及文档等。
2.3.1机房
以列表形式给出被测信息系统的部署机房。
2.3.2网络设备
以列表形式给出被测信息系统中的网络设备。
2.3.3安全设备
以列表形式给出被测信息系统中的安全设备。
2.3.4服务器/存储设备
以列表形式给出被测信息系统中的服务器和存储设备,描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。
2.3.5终端
以列表形式给出被测信息系统中的终端,包括业务管理终端、业务终端和运维终端等。
2.3.6业务应用软件
以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介。
2.3.7关键数据类别
以列表形式描述具有相近业务属性和安全需求的数据集合。
1设备名称在本报告中应唯一,如xx业务主数据库服务器或xx-svr-db-1。
2如鉴别数据、管理信息和业务数据等,而业务数据可从安全防护需求(保密、完整等)的角度进一步细分。3保密性,完整性等。
2.3.8安全相关人员
以列表形式给出与被测信息系统安全相关的人员情况。相关人员包括(但不限于)安全主管、系统建设负责人、系统运维负责人、网络(安全)管理员、主机(安全)管理员、数据库(安全)管理员、应用(安全)管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。
2.3.9安全管理文档
以列表形式给出与信息系统安全相关的文档,包括管理类文档、记录类文档和其他文档。
2.4安全服务
1安全服务包括系统集成、安全集成、安全运维、安全测评、应急响应、安全监测等所有相关安全服务。
2.5安全环境威胁评估
描述被测信息系统的运行环境中与安全相关的部分,并以列表形式给出被测信息系统的威胁列表。
2.6前次测评情况
简要描述前次等级测评发现的主要问题和测评结论。
3等级测评范围与方法
3.1测评指标
测评指标包括基本指标和特殊指标两部分。
3.1.1基本指标
依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级,选择《基本要求》中对应级别的安全要求作为等级测评的基本指标,以表格形式在表3-1中列出。
表3-1 基本指标
3.1.2不适用指标
鉴于信息系统的复杂性和特殊性,《基本要求》的某些要求项可能不适用于整个信息系统,对于这些不适用项应在表后给出不适用原因。
表3-2 不适用指标
3.1.3特殊指标
结合被测评单位要求、被测信息系统的实际安全需求以及安全最佳实践经验,以列表形式给出《基本要求》(或行业标准)未覆盖或者高于《基本要求》(或行业标准)的安全要求。
3.2测评对象
1安全层面对应基本要求中的物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等10个安全要求类别。
2安全控制点是对安全层面的进一步细化,在《基本要求》目录级别中对应安全层面的下一级目录。
3.2.1测评对象选择方法
依据GB/T 28449-2012信息系统安全等级保护测评过程指南的测评对象确定原则和方法,结合资产重要程度赋值结果,描述本报告中测评对象的选择规则和方法。
3.2.2测评对象选择结果
1)机房
2)网络设备
3)安全设备
4)服务器/存储设备
5)终端
1设备名称在本报告中应唯一,如xx业务主数据库服务器或xx-svr-db-1。
6)数据库管理系统
7)业务应用软件
8)访谈人员
9)安全管理文档
3.3测评方法
描述等级测评工作中采用的访谈、检查、测试和风险分析等方法。
信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南; ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求; ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。
叮叮小文库 XX单位 信息安全事件应急处理报告 XXX公司 2017年X月XX日
目录 一、概述 (1) 1.1应急处理服务背景 (1) 1.2应急处理服务目的 (1) 1.3应急处理服务范围 (1) 1.4应急处理服务依据 (2) 1.4.1应急处理服务委托协议 (2) 1.4.2基础标准与法律文件 (2) 1.4.3参考文件 (2) 二、应急处理服务流程 (3) 三、应急处理服务内容和方法 (5) 3.1准备阶段 (5) 3.1.1准备阶段工作流程 (5) 3.1.2准备阶段处理过程 (5) 3.1.3准备阶段现场处理记录表 (6) 3.2检测阶段 (7) 3.2.1检测阶段工作流程 (7) 3.2.2检测阶段处理过程 (7) 3.2.3检测阶段现场处理记录表 (8) 3.3抑制阶段 (9) 3.3.1抑制阶段工作流程 (9) 3.3.2抑制阶段处理过程 (9) 3.3.3抑制阶段现场处理记录表 (10) 3.4根除阶段 (11) 3.4.1根除阶段工作流程 (11) 3.4.2根除阶段处理过程 (11) 3.5恢复阶段 (13) 3.5.1恢复阶段工作流程 (13) 3.5.2恢复阶段处理过程 (13) 3.5.3恢复阶段现场记录表 (13) 3.6总结阶段 (14) 3.6.1总结阶段工作流程 (14) 3.6.2总结阶段现场记录表 (15) 四、结论与建议 (16)
信息安全事件应急处理报告 应急处理单位 XX单位 委托单位 服务类别委托应急处理 受理日期2017 年 X 月 XX日处理日期2017 年 X 月 XX日服务成员监督人 处理结论: 通过本次应急处理服务,解决了XX单位存在的网站漏洞,修补后,经测试有效。 建议委托单位针对报告中提出的建议,增强安全控制措施,切实提高信息安全 水平,降低相关风险。 XX公司 2017 年 X 月 XX 日 批准人: 应急处理服务人员: 审核人:
目录 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 总则 (2) 4.1 测评原则 (2) 4.2 测评内容 (2) 4.2.1基本内容 (2) 4.2.2工作单元 (3) 4.2.3测评强度 (4) 4.3 结果重用 (4) 4.4 使用方法 (4) 5 第一级安全控制测评 (5) 5.1安全技术测评 (5) 5.1.1物理安全 (5) 5.1.2网络安全 (7) 5.1.3 主机系统安全 (9) 5.1.4 应用安全 (11) 5.1.5 数据安全 (13) 5.2 安全管理测评 (15) 5.2.1 安全管理机构 (15) 5.2.2 安全管理制度 (17) 5.2.3 人员安全管理 (17) 5.2.4 系统建设管理 (19) 5.2.5 系统运维管理 (23) 6 第二级安全控制测评 (27) 6.1 安全技术测评 (27) 6.1.1 物理安全 (27) 6.1.2 网络安全 (33) 6.1.3 主机系统安全 (37) 6.1.4 应用安全 (42) 6.1.5 数据安全 (47) 6.2 安全管理测评 (50) 6.2.1 安全管理机构 (50) 6.2.2 安全管理制度 (52) 6.2.3 人员安全管理 (54) 6.2.4 系统建设管理 (56) 6.2.5 系统运维管理 (61) 7 第三级安全控制测评 (69) 7.1 安全技术测评 (69) 7.1.1 物理安全 (69) 7.1.2 网络安全 (76)
7.1.3 主机系统安全 (82) 7.1.4 应用安全 (90) 7.1.5 数据安全 (97) 7.2 安全管理测评 (99) 7.2.1 安全管理机构 (99) 7.2.2 安全管理制度 (104) 7.2.3 人员安全管理 (106) 7.2.4 系统建设管理 (109) 7.2.5 系统运维管理 (115) 8 第四级安全控制测评 (126) 8.1 安全技术测评 (126) 8.1.1 物理安全 (126) 8.1.2 网络安全 (134) 8.1.3 主机系统安全 (140) 8.1.4 应用安全 (149) 8.1.5 数据安全 (157) 8.2 安全管理测评 (160) 8.2.1 安全管理机构 (160) 8.2.2 安全管理制度 (164) 8.2.3 人员安全管理 (166) 8.2.4 系统建设管理 (169) 8.2.5 系统运维管理 (176) 9 第五级安全控制测评 (188) 10 系统整体测评 (188) 10.1 安全控制间安全测评 (188) 10.2 层面间安全测评 (189) 10.3 区域间安全测评 (189) 10.4 系统结构安全测评 (190) 附录A(资料性附录)测评强度 (191) A.1测评方式的测评强度描述 (191) A.2信息系统测评强度 (191) 附录B(资料性附录)关于系统整体测评的进一步说明 (197) B.1区域和层面 (197) B.1.1区域 (197) B.1.2层面 (198) B.2信息系统测评的组成说明 (200) B.3系统整体测评举例说明 (201) B.3.1被测系统和环境概述 (201) B.3.1安全控制间安全测评举例 (202) B.3.2层面间安全测评举例 (202) B.3.3区域间安全测评举例 (203) B.3.4系统结构安全测评举例 (203)
xxx有限公司 信息安全评估报告(管理信息系统) x年x月
1目标 xxxxxxxxx公司信息安全检查工作的主要目标是通过自评估工作,发现本公司电子设备当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 《信息安全技术信息安全风险评估规范》(GB/T 20984-2007) 《信息技术信息技术安全管理指南》 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。 4安全事件 对公司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记 录,形成本公司的安全事件列表。 本公司至今没有发生较大安全事故。 5安全检查项目评估 5.1 规章制度与组织管理评估 规章制度详见《计算机信息系统及设备管理办法》 5.1.1组织机构
5.1.1.1 评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2 现状描述 本公司已成立了信息安全领导机构,但尚未成立信息安全工作机构。 5.1.1.3 评估结论 完善信息安全组织机构,成立信息安全工作机构。 5.1.2岗位职责 5.1.2.1 评估标准 岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。 5.1.2.2 现状描述 我公司没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。 5.1.2.3 评估结论 我公司已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全 201X年X月
目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (4) 1.4.项目依据 (4) 2.测评实施容 (6) 2.1.测评分析 (6) 2.1.1.测评围 (6) 2.1.2.测评对象 (6) 2.1.3.测评容 (7) 2.1.4.测评对象 (9) 2.1.5.测评指标 (10) 2.2.测评流程 (12) 2.2.1.测评准备阶段 (13) 2.2.2.方案编制阶段 (14) 2.2.3.现场测评阶段 (14) 2.2.4.分析与报告编制阶段 (17) 2.3.测评方法 (17) 2.3.1.工具测试 (17) 2.3.2.配置检查 (18) 2.3.3.人员访谈 (19) 2.3.4.文档审查 (19) 2.3.5.实地查看 (20)
2.4.测评工具 (21) 2.5.输出文档 (21) 2.5.1.等级保护测评差距报告................................................... 错误!未定义书签。 2.5.2.等级测评报告 ................................................................... 错误!未定义书签。 2.5. 3.安全整改建议 ................................................................... 错误!未定义书签。 3.时间安排 (22) 4.人员安排 (22) 4.1.组织结构及分工 (23) 4.2.人员配置表 (24) 4.3.工作配合 (25) 5.其他相关事项 (27) 5.1.风险规避 (27) 5.2.项目信息管理 (29) 5.2.1.责任法律保证 (30) 5.2.2.现场安全管理 (30) 5.2.3.文档安全管理 (30) 5.2.4.离场安全管理 (31) 5.2.5.其他情况说明 (31) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准
《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 (一)该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 (三)该信息系统业务主要包含:等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利 —9 —
益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —
-案例分享--信息安全风险评估报告(模板)
————————————————————————————————作者:————————————————————————————————日期:
安全风险评估报告 系统名称:xxxxxxxxxxx 送检单位:xxxxxxxxxxxxxxxxxxxx 合同编号: 评估时间:2011年10月10日~2011年10月25日
目录 报告声明 (3) 委托方信息 (4) 受托方信息 (4) 风险评估报告单 (5) 1.风险评估项目概述 (7) 1.1.建设项目基本信息 (7) 1.2.风险评估实施单位基本情况 (7) 1.3.风险评估活动概述 (7) 1.3.1.风险评估工作组织过程 7 1.3. 2.风险评估技术路线 9 1.3.3.依据的技术标准及相关法规文件 9 2.评估对象构成 (11) 2.1.评估对象描述 (11) 2.2.网络拓扑结构 (11) 2.3.网络边界描述 (12) 2.4.业务应用描述 (12) 2.5.子系统构成及定级 (13) 3.资产调查 (14) 3.1.资产赋值 (14) 3.2.关键资产说明 (17) 4.威胁识别与分析 (21) 4.1.关键资产安全需求 (21)
4.3.威胁描述汇总 (43) 4.4.威胁赋值 (56) 5.脆弱性识别与分析 (58) 5.1.常规脆弱性描述 (58) 5.1.1.管理脆弱性 58 5.1.2.网络脆弱性 58 5.1.3.系统脆弱性 58 5.1.4.应用脆弱性 59 5.1.5.数据处理和存储脆弱性 59 5.1. 6.灾备与应急响应脆弱性 59 5.1.7.物理脆弱性 60 5.2.脆弱性专项检查 (60) 5.2.1.木马病毒专项检查 60 5.2.2.服务器漏洞扫描专项检测 60 5.2.3.安全设备漏洞扫描专项检测 73 5.3.脆弱性综合列表 (75) 6.风险分析 (82)
1信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景 本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析 本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如: ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems(美国国家标准和技术研究所) ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual(美国国防部) ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation(美国国防 部) ●Information Assurance Technology Framework3.1(美国国家安全局) 这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。但仔细分析起来,这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准,依据2002年通过的联邦信息安全管理法,适用于所有联邦政府内的信息(除其它规定外的)和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199,信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的
信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求; ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南; ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件, 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号) 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1
信息系统安全测评工具 一、测评工具分类 一)安全测试工具 1、脆弱性扫描工具 脆弱性扫描工具又称安全扫描器或漏洞扫描仪,是目前应用比较广泛的安全测试工具之一,主要用于识别网络、操作系统、数据库、应用的脆弱性,给出修补建议。 1)基于网络的扫描工具:通过网络实现扫描,可以看作是一钟漏洞信息收集工具,根据不同漏洞的特征,构造网络数据包,发给网络中的一个或多个目标,以判断某个特定的漏洞是否存在,能够检测防火墙、IDS等网络层设备的错误配置或者链接到网络中的网络服务器的关键漏洞。 常用工具:天镜脆弱性扫描与管理系统、极光远程安全评估系统、榕基网络隐患扫描系统、Nessus和Nmap等。 2)基于主机的扫描工具:通常在目标系统上安装一个代理(Agent)或者是服务(Services),以便能够访问所有的主机文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多系统层面的漏洞。 常用工具:微软基线安全分析器、日志分析工具和木马查杀工具等。 3)数据库安全扫描工具:通过授权或非授权模式,自动、深入地识别数据库系统中存在的多种安全隐患,包括数据库的鉴别、授权、认证、配置等一系列安全问题,也可识别数据库系统中潜在的弱点,并依据内置的知识库对违背和不遵循数据库安全性策略的做法推荐修正措施。 常用工具:安信通数据库安全扫描工具、明鉴数据库弱点扫描器等商业产品,还有oscanner、Mysqlweak等专项审核工具。 4)Web应用安全扫描工具:通过构造多种形式的Web访问请求,远程访问目标应用特定端口的服务,记录反馈信息,并与内置的漏洞库进行匹配,判断确认Web应用程序中的安全缺陷,确认Web应用程序遭受恶意攻击的危险。 常用工具:AppScan、WebRavor、WebInspect、Acunetix Web Vulnerability Scanner、N-Stealth 等。 2、渗透测试工具 渗透测试需要以脆弱性扫描工具扫描的结果为基础信息,结合专用的渗透测试工具开展模拟探测和入侵,判断被非法访问者利用的可能性,从而进一步判断已知的脆弱性是否真正会给系统或网络带来影响。 常用工具:流光(Fluxay)、Pangolin、Canvas、SQLMap、SQLIer、SQL Power Injector和SQLNinja等。 3、静态分析工具 静态程序分析是指使用自动化或半自动化工具软件对程序源代码进行检查,以分析程序行为的技术,广泛应用于程序的正确性检查、安全缺陷检测、程序优化等。 常用工具:FortifySCA、Checkmark CxSuite、IBM Rational AppScan Source Edition、PC-Lint、KlocWork公司的K7,以及其他的开源软件及商业软件。 二)测评辅助工具 测评辅助工具主要实现对原始数据的采集、现状分析和趋势分析等单项功能,其输出结果可作为了解被测系统某方面特性或现状、进一步开展相关安全测试的输入,也可以直接作为系统安全评估的技术依据。 1、性能测试工具 性能测试工具是通过自动化手段模拟多种正常、峰值以及异常负载条件来对系统或网络
附件乐3:乐山《信息系统安全等级保护定级报告》模 金阳县人民医院 《信息系统安全等级保护定级报告》 一、金阳县人民医院信息系统描述 金阳县人民医院信息系统主要有医院信息管理系统(HIS)、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理,对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总,为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担,医院始终将信息安全建设作为安全重中之重建设和管理,将其确定为定级对象进行监督,网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成,提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础,其主要为保障数据的传输和程序文件的运行;数据控制文件系统、程序源码成为信息表现的载体,二者共同完成院内医疗、办公等信息的综合管理。 二、金阳县人民医院信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性,需要不定时进行对该系统进行程序升级和漏洞防范,所以很容易受到“黑客”攻击和破坏,可能会影响医疗、办公正常秩序和正常行使工作职能,导致业务能力下降,从某种角度可侵害患者、医院和医院职工的合法权益,造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后,会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:可以对患者、法人和医院职工的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起医患法律纠纷等)。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为:患者、医院和医院职工的合法权益造成一般损害,即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。
信息系统安全等级保护测评准则
目录 1 范围1 2 规范性引用文件1 3 术语和定义1 4 总则2 4.1 测评原则2 4.2 测评内容2 4.2.1基本内容2 4.2.2工作单元3 4.2.3测评强度4 4.3 结果重用4 4.4 使用方法4 5 第一级安全控制测评5 5.1安全技术测评5 5.1.1物理安全5 5.1.2网络安全7 5.1.3 主机系统安全9 5.1.4 应用安全11 5.1.5 数据安全13 5.2 安全管理测评15 5.2.1 安全管理机构15 5.2.2 安全管理制度17 5.2.3 人员安全管理17 5.2.4 系统建设管理19 5.2.5 系统运维管理23 6 第二级安全控制测评27 6.1 安全技术测评27 6.1.1 物理安全27 6.1.2 网络安全33 6.1.3 主机系统安全37 6.1.4 应用安全42 6.1.5 数据安全47 6.2 安全管理测评50 6.2.1 安全管理机构50 6.2.2 安全管理制度52 6.2.3 人员安全管理54 6.2.4 系统建设管理56 6.2.5 系统运维管理61 7 第三级安全控制测评69 7.1 安全技术测评69 7.1.1 物理安全69 7.1.2 网络安全76
7.1.3 主机系统安全82 7.1.4 应用安全90 7.1.5 数据安全97 7.2 安全管理测评99 7.2.1 安全管理机构99 7.2.2 安全管理制度104 7.2.3 人员安全管理106 7.2.4 系统建设管理109 7.2.5 系统运维管理115 8 第四级安全控制测评126 8.1 安全技术测评126 8.1.1 物理安全126 8.1.2 网络安全134 8.1.3 主机系统安全140 8.1.4 应用安全149 8.1.5 数据安全157 8.2 安全管理测评160 8.2.1 安全管理机构160 8.2.2 安全管理制度164 8.2.3 人员安全管理166 8.2.4 系统建设管理169 8.2.5 系统运维管理176 9 第五级安全控制测评188 10 系统整体测评188 10.1 安全控制间安全测评188 10.2 层面间安全测评189 10.3 区域间安全测评189 10.4 系统结构安全测评190 附录A(资料性附录)测评强度190 A.1测评方式的测评强度描述190 A.2信息系统测评强度191 附录B(资料性附录)关于系统整体测评的进一步说明196 B.1区域和层面196 B.1.1区域196 B.1.2层面197 B.2信息系统测评的组成说明199 B.3系统整体测评举例说明200 B.3.1被测系统和环境概述200 B.3.1安全控制间安全测评举例201 B.3.2层面间安全测评举例201 B.3.3区域间安全测评举例202 B.3.4系统结构安全测评举例202
信息安全风险评估报告格式 附件: 国家电子政务工程建设项目非涉密信息系统项目名称: 项目建设单位: 风险评估单位: 年月日
目录
一、风险评估项目概述 1.1 工程项目概况 1.1.1 建设项目基本信息 工程项目名称 非涉密信息系 统部分的建设 工程项目内容批复的建 相应的信息安设内容 全保护系统建 设内容 项目完成时间 项目试运行时间 1.1.2 建设单位基本信息 工程建设牵头部门 部门名称 工程责任人 通信地址 联系电话 电子邮件 工程建设参与部门 部门名称 工程责任人 通信地址 联系电话
电子邮件 如有多个参与部门,分别填写上 1 1.1.3承建单位基本信息 如有多个承建单位~分别填写下表。企业名称企业性质是国内企业/还是国外企业 法人代表通信地址联系电话电子邮件 1.2 风险评估实施单位基本情况 评估单位名称 法人代表 通信地址 联系电话 电子邮件 二、风险评估活动概述 2.1 风险评估工作组织管理 描述本次风险评估工作的组织体系,含评估人员构成,、工作原则和采取的 保密措施。 2.2 风险评估工作过程 工作阶段及具体工作内容. 2.3 依据的技术标准及相关法规文件 2 2.4 保障与限制条件 需要被评估单位提供的文档、工作条件和配合人员等必要条件~以及可能的限制条件。 三、评估对象 3.1 评估对象构成与定级
3.1.1 网络结构 文字描述网络构成情况、分区情况、主要功能等~提供网络拓扑图。 3.1.2 业务应用 文字描述评估对象所承载的业务~及其重要性。 3.1.3 子系统构成及定级 描述各子系统构成。根据安全等级保护定级备案结果~填写各子系统的安全保护等级定级情况表: 各子系统的定级情况表 其中业务信息安全其中系统服务安全序号子系统名称安全保护等级等级等级 3.2 评估对象等级保护措施 按照工程项目安全域划分和保护等级的定级情况~分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施~以及等级保护的测评结果。 根据需要~以下子目录按照子系统重复。 3.2.1 XX子系统的等级保护措施 根据等级测评结果~XX子系统的等级保护管理措施情况见附表一。 根据等级测评结果~XX子系统的等级保护技术措施情况见附表二。 3.2.2 子系统N的等级保护措施 3 四、资产识别与分析 4.1 资产类型与赋值 4.1.1资产类型 按照评估对象的构成~分类描述评估对象的资产构成。详细的资产分类与赋值~以附件形式附在评估报告后面~见附件3《资产类型与赋值表》。 4.1.2资产赋值 填写《资产赋值表》。
成都农业科技职业学院 信息系统安全等级保护测评及服务要求 一、投标人资质要求 1.在中华人民共和国境内注册成立(港澳台地区除外),具有独立承担民事责任的能力;由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)。(提供营业执照副本、组织机构代码证副本、税务登记证副本复印件); 2.测评机构应为成都市本地机构或在成都有常驻服务机构; 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》; 4. 参选人必须具有近3年内1例以上,市级以上企事业单位信息安全等级保护测评项目的实施业绩(以合同或协议为准); 5. 参选人须具有良好的商业信誉和健全的财务会计制度;具有履行合同所必需的设备和专业技术能力;具有依法缴纳税收和社会保障资金的良好记录;有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态,有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。 二、信息系统安全等级保护测评目标 本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全
等级保护测评准则》和有关规定及要求,对我单位的重要业务信息系统开展信息安全等级保护测评工作,通过开展测评,了解与《信息系统安全等级保护基本要求》的差距,出具相应的测评报告、整改建议,根据测评结果,协助招标方完成信息安全等级保护后期整改工作,落实等级保护的各项要求,提高信息安全水平和安全防范能力,并配合完成公安系统等级保护备案。 等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容,其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容;安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容,配合相应等级的安全技术措施,提供相应的安全管理措施和安全保障。 三、测评内容及要求 1.完成上述信息系统的等级保护定级工作,协助学院编写相应的《信息系统安全等级保护定级报告》; 2.完成上述信息系统安全等级测评工作,测评后经用户方确认,出具符合信息系统等级测评要求的测评报告; 3.协助完成上述信息系统安全等级保护备案工作; 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术
信息系统安全等级保护定级报告 一、中国农业大学www服务系统描述 (一) 该系统由中国农业大学网络中心搭建并负责运行维 护。中国农业大学网络中心为该信息系统的主管部门 和定级的责任单位。 (二) 该系统是由三台核心服务器系统及其相关配套的设 备、设施构成的。该系统在校园网内,有两个出口, 第一个出口处部署了流控设备和控制网关,再通过 Extreme6808三层交换机接入教育网,在校园网和教 育网的边界设备是思科防火墙设备;第二个出口处部 署了阿姆瑞特防火墙设备,该出口通过该防火墙直接 接入公网。 (三) 该系统的主要业务是为学校各部门、学院、重点实验 室、优秀社团提供网站动、静态数据存储、网站浏览 和虚拟主机服务。 (四) 二、中国农业大学www服务系统安全保护等级确定 (一)信息安全保护等级的确定 1(业务信息描述 www服务系统传输、存贮的信息主要是学校各部 门、学院、重点实验室、优秀社团网站的动、静态信息。 2(业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、 法人和其他组织的合法权益。
侵害的客观方面表现为:一旦信息系统的业务信息 遭到入侵、修改、增加、删除等不明侵害,会对公民、 法人和其他组织的合法权益造成影响和损害,可以表 现为:影响正常工作的开展,导致业务能力下降,泄 露公民隐私,有的甚至给公民造成经济或其它损失。 3(信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为严重损害。 4(确定业务信息安全等级 查《定级指南》表2知,业务信息安全保护等级为 第二级。 对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 (二) 系统服务安全保护等级的确定 1(系统服务描述 该系统服务的主要功能是为用户提供网站数据存 贮和浏览服务。其服务范围为学校各部门、学院、重 点实验室、优秀社团。 2(系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,客观方面表现的侵害结果 为:1可能对公民、法人和其他组织的合法权益造成侵害; 2可能对公共利益造成侵害。根据《定级指南》的要求, 出现上述两个侵害客体时,优先考虑社会秩序和公共利 益,另外一个不做考虑。
XXXXXXXX信息系统 信息安全风险评估报告模板 项目名称: 项目建设单位: 风险评估单位: ****年**月**日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
信息系统安全评测与风险评估试题 姓名分数 一:填空题(36分) 1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的(),严谨的(),严格的()以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域。 2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据()性和数据的()与恢复三个环节来考虑。 3.资产分类的方法较多,大体归纳为2种,一种是“自然形态”,即按照系统组成成分和服务内容来分类,如分成“数据,软件(),服务(),其他”六大类,还可以按照“信息形态”将资产分为“信息,()和()三大类。 4.资产识别包括资产分类和()两个环节。 5.威胁的识别可以分为重点识别和() 6.脆弱性识别分为脆弱性发现()脆弱性验证和() 7.风险的三个要素是资产()和() 8.应急响应计划应包含准则,()预防和预警机制()()和附件6个基本要素。
二:问答题:(64分) 1.什么是安全域?目前中国划分安全域的方法大致有哪些?(10 分) 2.数据安全评测是主要应用哪三种方法进行评测?你如何理 解?(10分)
3.国家标准中把主机评测分为哪八个环节?你如何理解?(10 分) 4.什么是资产和资产价值?什么是威胁和威胁识别?什么是脆 弱性?(14分)
5.什么是风险评估?如何进行风险计算?(20分) 答案 一:填空题答案: 1.科学精神工作作风 2.保密性备份 3.硬件人员信息载体和信息环境 4.资产赋值 5.全面识别 6.脆弱性分类脆弱性赋值 7.脆弱性威胁 8.角色及职责应急响应流程 二:问答题答案: 1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在 一起。目前,中国划分安全域的方法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域。 2.国家标准中要求信息安全评测工程师使用“访谈”,“检查”和“测