下载文档原格式
一.物理安全测评指导书1.物理安全测评序号测评指标测评项检查方法1)应检查机房和办公场所的设计/查收文档,预期结果备注说明物理地址1的选择物理接见2控制a)机房和办公场所应选择在拥有防震、防风和防雨等能力的建筑内。
b)机房场所应防范设在建筑物的高层或地下室,以及用水设施的基层或近邻。
a)机房出入口应有专人值守,控制、鉴别和记录进入的人员。
查察能否拥有机房场所的选址备注说明,查察能否备注说明机房和办公场所所在的建筑拥有防震、防风和防雨等能力。
2)应检查机房和办公场所所在的建筑物,查察其能否拥有防震、防风和防雨等能力的基本条件。
1)应检查机房场所能否防范在建筑物的高层或地下室,以及用水设施的基层或近邻。
1)应检查能否拥有对进入机房人员的身份鉴别措施,如戴有可见的身份鉴别表记。
1)拥有建筑物抗震设防审批文档。
2)机房拥有防风、防雨能力。
1)机房场所不在用水地区的垂直下方。
1)机房全部开放的出入口有专人值守。
2)能够鉴别出入人员身份。
序号测评指标测评项检查方法2)应检查机房全部开放的出入口能否拥有专人值守,进入机房的人员登记记录。
1)应检查机房安全管理制度,查察其能否具相关于外来人员出入机房方面的规定,如需b)需进入机房的来访人员应经过要审批和专人陪伴样。
申请和审批流程,并限制和监控其活动范围。
2)应检查能否拥有来访人员进入机房的审批记录,进入机房能否拥有人员陪伴。
1)应访谈物理安全负责人,假如业务或安全管理需要,能否对机房进行了划分地区管理,c)对付机房划分地区进行管理,能否对各个地区都有特意的管理要求。
地区和地区之间设置物理间隔装2)应检查机房地区划分能否合理,能否在机置,在重要地区前设置交付或安房重要地区前设置交付或安装等过渡地区。
装等过渡地区。
能否对同一机房的不一样样地区之间设置有效的物理间隔装置(如隔墙等)。
d)重要地区应配置电子门禁系1)应检查能否拥有电子门禁系统,能否正常统,控制、鉴别和记录进入的人工作(不考虑断电后的工作状况),能否能员。
二级等保测评的主要内容是什么
1、物理安全:包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。
2、网络安全:包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。
3、主机安全:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。
4、应用安全:包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。
5、数据安全:包括数据完整性和保密性、数据的备份和恢复。
为什么要做等保
1、安全标准:信息安全等级保护(简称等保)是目前检验一个系统安全性的重要标准,是对系统是否满足相应安全保护的评估方法。
2、法律要求:《网络安全法》和《信息安全等级保护管理办法》明确规定网络运营者应当履行安全保护义务,如果拒不履行,将会受到相应处罚。
3、自我检查:开展等保可对系统进行一次全面检测,全面发现系统内部的安全隐患与不足之处。
1物理安全测评指导书1.1机房安全测评序号测评指标测评项检查方法预期结果1物理位置的选择a)通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
访谈:询问物理安全负责人,现有机房和办公场地的环境条件是否具有基本的防震、防风和防雨能力。
检查:检查机房和办公场地的设计/验收文档,查看机房和办公场所的物理位置选择是否符合要求。
机房和办公场地的设计/验收文档中有关于机房和办公场所的物理位置选择的内容,并符合防震、防风和防雨能力要求。
b)通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
检查:检查机房场地是否避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;检查机房场地是否避免设在强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生水灾、火灾、易遭受雷击的地区。
1)机房没有在建筑物的高层或地下室,附近无用水设备; 2)机房附近无强电场、强磁场、强震动源、强噪声源、重度环境污染,机房建筑地区不发生水灾、火灾,不易遭受雷击。
2物理访问控制a)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。
访谈: 1)询问物理安全负责人,了解具有哪些控制机房进出的能力,是否安排专人值守; 2)访谈机房值守人员,询问是否认真执行有关机房出入的管理制度,是否对进入机房的人员记录在案。
1)有专人值守和电子门禁系统; 2)出入机房需要登记,有相关记录。
b)检查机房出入口等过程,测评信息系统在物访谈:询问物理安全负责人,了解是否有关于机房来访人员的申请和审批流程,是1)来访人员进入机房需经过申请、审批流程并记录; 2)进入机房有机房管理人员理访问控制方面的安全防范能力。
否限制和监控其活动范围。
检查:检查是否有来访人员进入机房的审批记录。
陪同并监控和限制其活动范围。
c)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。
等保测评师工作内容
摘要:
一、等保测评师的职责和任务
二、等保测评的物理安全测评
三、主机安全测评
四、数据安全测评
五、应用安全测评
六、安全管理测评
七、信息安全解决方案和规划
八、信息安全咨询服务
九、等保测评师的工作流程
十、等保测评师的专业素养和技能要求
正文:
等保测评师是专门从事信息安全等级保护测评工作的人员,他们主要负责对信息系统进行安全评估和检测,以确保信息系统的安全性和可靠性。
等保测评师的职责和任务包括物理安全测评、主机安全测评、数据安全测评、应用安全测评、安全管理测评等。
在物理安全测评方面,等保测评师需要对信息系统的物理安全措施进行检查和评估,包括防盗、防火、防水、防震等措施。
主机安全测评是评估主机的安全性,包括操作系统、网络设备、安全设备等。
数据安全测评是评估信息系统中的数据安全性,包括数据的备份、恢复、
访问控制等措施。
应用安全测评是评估信息系统中的应用程序的安全性,包括输入验证、身份认证、访问控制等措施。
安全管理测评是评估信息系统的安全管理措施,包括安全策略、安全培训、安全演练等。
等保测评师还需要根据客户需求设计信息安全解决方案、信息安全规划方案、信息安全体系建设方案,并按照文档规范整理编写相关技术支持文档,为客户提供信息安全等级保护、信息安全风险评估以及其他信息安全知识的培训。
等保测评师的工作流程包括了解客户需求、收集信息、进行安全评估、编写评估报告、提供安全建议等。
2023等保三级测评标准简介2023年等级保护测评标准(以下简称“等保三级标准”)是根据国家网络安全等级保护的要求,为评估和测定网络安全保护能力而制定的标准。
等保三级标准是我国网络安全行业的重要参考依据,对于提升网络安全保护水平和防范网络安全威胁具有重要意义。
标准要求等保三级标准包括六个方面的要求,分别为:物理安全、主机安全、网络安全、应用安全、数据安全和管理安全。
物理安全物理安全是指防止物理设备和资源遭受不恰当访问、破坏和干扰的措施。
等保三级标准要求加强物理安全管理,包括安全围墙、门禁系统、监控设备等控制措施的建设和运维。
主机安全主机安全是指保护主机资源免受未经授权的访问和破坏的控制措施。
等保三级标准要求加强主机安全管理,包括操作系统安全、软件安全更新、远程登录管理等方面的要求。
网络安全网络安全是指保护网络免受未经授权的访问和攻击的控制措施。
等保三级标准要求加强网络安全管理,包括网络边界防护、入侵检测与防御系统、虚拟专用网络等方面的要求。
应用安全应用安全是指保护应用程序免受未经授权的访问和攻击的控制措施。
等保三级标准要求加强应用安全管理,包括代码审查、访问控制、漏洞扫描等方面的要求。
数据安全数据安全是指保护重要数据免受泄露、篡改和毁坏的控制措施。
等保三级标准要求加强数据安全管理,包括数据备份与恢复、加密传输、权限管理等方面的要求。
管理安全管理安全是指保护信息系统运营过程中的管理活动不被未经授权的个人或实体干扰和破坏的控制措施。
等保三级标准要求加强管理安全管理,包括安全培训、安全策略与规程、事件响应等方面的要求。
实施步骤根据等保三级标准,组织需要按照以下步骤进行测评实施: 1. 准备工作:明确测评的目标,组织相关人员和资源,制定测试计划和时间表。
2. 测评准备:完成测评相关的文档准备、设备配置和网络环境准备。
3. 测评执行:根据标准要求,依次对物理安全、主机安全、网络安全、应用安全、数据安全和管理安全进行测评。
等级保护测评二级要求一、物理安全1.物理访问控制:应能够根据需要控制不同区域之间的访问,并能够实现对重要区域或设备进行物理保护,如设置门禁系统、视频监控等。
2.物理安全审计:应能够对重要区域或设备的物理安全事件进行审计记录,如对进出重要区域的人员进行记录,对重要设备的操作进行记录等。
二、网络安全1.网络架构安全:应能够根据系统等级保护二级的要求,设计合理的网络架构,包括拓扑结构、设备选型、区域划分等,以确保网络的安全性和可用性。
2.网络安全管理:应能够制定并执行有效的网络安全管理策略和规定,以确保网络的安全性和可用性。
三、主机安全1.主机系统安全:应能够对主机系统进行安全配置,如用户管理、访问控制、安全审计等,以确保主机系统的安全性和可用性。
2.防病毒与防恶意软件:应能够安装并更新防病毒软件和防恶意软件,以防止病毒和恶意软件的入侵。
四、数据库安全1.数据库系统安全:应能够对数据库系统进行安全配置,如用户管理、访问控制、审计等,以确保数据库系统的安全性和可用性。
2.数据备份与恢复:应能够制定并执行有效的数据备份与恢复计划,以确保数据的完整性和可用性。
五、应用安全1.应用系统安全:应能够根据系统等级保护二级的要求,设计应用系统的安全架构,包括输入输出验证、访问控制、加密解密等,以确保应用系统的安全性和可用性。
2.数据传输安全:应能够采取措施保证数据传输的安全性,如加密传输、完整性校验等。
六、数据安全及备份恢复1.数据安全:应能够采取措施保证数据的机密性、完整性、可用性等,如加密存储、备份恢复等。
2.数据备份与恢复:应能够制定并执行有效的数据备份与恢复计划,以确保数据的完整性和可用性。
七、安全管理1.安全组织与规划:应能够建立完善的安全组织架构和规章制度,明确各级人员的职责和权限,确保信息安全的全面管理和控制。
2.安全培训与意识提升:应能够定期开展安全培训和意识提升活动,提高员工的安全意识和技能水平。
等保测评的定义等保测评,全称为信息安全等级保护测评,是指根据国家相关法律法规和标准要求,对信息系统安全等级保护状况进行评估和验证,以确保其满足相应等级的安全要求。
等保测评涵盖了多个方面,包括物理安全、网络安全、主机安全、应用安全、数据安全、安全管理、技术管理和制度管理等。
1.物理安全:等保测评中的物理安全涉及硬件安全、机房安全和人员安全管理等方面。
硬件安全包括设备本身的可靠性、防盗窃和防破坏等;机房安全则需要考虑机房的物理环境,如防火、防水、防雷等;人员安全管理则涉及人员访问控制和安全培训等方面。
2.网络安全:网络安全是等保测评的重要环节之一,涉及网络架构、网络隔离和网络监管等方面。
网络架构应合理设计,符合安全策略;网络隔离则通过技术手段将不同安全等级的网络隔离开来,防止信息泄露;网络监管则需要对网络流量进行监控和分析,及时发现和处理安全事件。
3.主机安全:主机安全主要涉及主机管理、主机保护和日志管理等方面。
主机管理需确保只有授权人员才能访问主机;主机保护则需要采取措施,如安装杀毒软件、定期更新补丁等;日志管理则需要对系统日志进行分析和监控,以便及时发现异常行为。
4.应用安全:应用安全包括应用程序安全、数据传输安全和行为监控等方面。
应用程序应避免存在漏洞和恶意代码;数据传输过程中需确保数据的机密性和完整性;行为监控则需要对用户行为进行监控和分析,防止非法操作和恶意攻击。
5.数据安全:数据安全是等保测评的核心内容之一,涉及数据备份、数据存储和数据使用等方面。
数据备份应做到可靠、完整和及时;数据存储则需要考虑数据的机密性、完整性和可用性;数据使用则需确保数据的合法访问和使用。
6.安全管理:安全管理是等保测评中的重要环节之一,涉及权限管理、密码策略和访问控制等方面。
权限管理需确保用户权限的合理分配和授权;密码策略则需建立严格的密码管理制度,防止密码泄露;访问控制则需要对不同用户进行分级管理,严格控制访问权限。
等级保护三级测评要求等级保护三级测评要求主要包括以下几个方面:1. 物理安全:机房应区域划分至少分为主机房和监控区两个部分;机房应配备电子门禁系统、防盗报警系统、监控系统;机房不应该有窗户,应配备专用的气体灭火、ups供电系统。
2. 网络安全:应绘制与当前运行情况相符合的拓扑图;交换机、防火墙等设备配置应符合要求,例如应进行Vlan划分并各Vlan逻辑隔离,应配置Qos流量控制策略,应配备访问控制策略,重要网络设备和服务器应进行IP/MAC绑定等;应配备网络审计设备、入侵检测或防御设备。
交换机和防火墙的身份鉴别机制要满足等保要求,例如用户名密码复杂度策略,登录访问失败处理机制、用户角色和权限控制等;网络链路、核心网络设备和安全设备,需要提供冗余性设计。
3. 主机安全:服务器的自身配置应符合要求,例如身份鉴别机制、访问控制机制、安全审计机制、防病毒等,必要时可购买第三方的主机和数据库审计设备;服务器应具有冗余性,例如需要双机热备或集群部署等;服务器和重要网络设备需要在上线前进行漏洞扫描评估,不应有中高级别以上的漏洞;应配备专用的日志服务器保存主机、数据库的审计日志。
4. 应用安全:应用自身的功能应符合等保要求,例如身份鉴别机制、审计日志、通信和存储加密等;应用处应考虑部署网页防篡改设备;应用的安全评估,应不存在中高级风险以上的漏洞;应用系统产生的日志应保存至专用的日志服务器。
5. 数据安全备份:应提供数据的本地备份机制,每天备份至本地,且场外存放;如系统中存在核心关键数据,应提供异地数据备份功能,通过网络等将数据传输至异地进行备份。
请注意,等级保护三级的要求可能会根据具体政策和标准有所调整。
在实际操作中,建议您参照国家政策和标准文件,并与专业的网络安全团队进行合作,以确保满足等级保护三级的要求。
一.安全物理环境1 物理位置选择测评单元(L3-PES1-01)该测评单元包括以下要求:a) 测评指标:机房场地应选择在具有防震、防风和防雨等能力的建筑内。
b) 测评对象:记录类文档和机房。
c) 测评实施包括以下内容:1) 应核查所在建筑物是否具有建筑物抗震设防审批文档;2) 应核查机房是否不存在雨水渗漏;3) 应核查门窗是否不存在因风导致的尘土严重;4) 应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。
d) 单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元(L3-PES1-02)该测评单元包括以下要求:a) 测评指标:机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
b) 测评对象:机房。
c) 测评实施:应核查机房是否不位于所在建筑物的顶层或地下室,如果否,则核查机房是否采取了防水和防潮措施。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
2 物理访问控制测评单元(L3-PES1-03)该测评单元包括以下要求:a) 测评指标:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
b) 测评对象:机房电子门禁系统。
c) 测评实施包括以下内容:1) 应核查出入口是否配置电子门禁系统;2) 应核查电子门禁系统是否可以鉴别、记录进入的人员信息。
d) 单元判定:如果1)和2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
3 防盗窃和防破坏测评单元(L3-PES1-04)该测评单元包括以下要求:a) 测评指标:应将设备或主要部件进行固定,并设置明显的不易除去的标识。
b) 测评对象:机房设备或主要部件。
c) 测评实施包括以下内容:1) 应核查机房内设备或主要部件是否固定;2) 应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。
d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
等保测评流程全面介绍等保测评流程包括系统定级→系统备案→整改实施→系统测评→运维检查这5大阶段。
一、等级保护测评的依据:依据《信息系统安全等级保护基本要求》“等级保护的实施与管理”中的第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
运营单位确定要开展信息系统等级保护工作后,应按照以下步骤逐步推进工作:1、确定信息系统的个数、每个信息系统的等保级别。
2、对每个目标系统,按照《信息系统定级指南》的要求和标准,分别进行等级保护的定级工作,填写《系统定级报告》、《系统基础信息调研表》(每个系统一套)。
运营单位也可委托具备资质的等保测评机构协助填写上述表格。
3、向属地公安机关部门提交《系统定级报告》和《系统基础信息调研表》,获取《信息系统等级保护定级备案证明》(每个系统一份),完成系统定级备案阶段工作。
4、依据确定的等级标准,选取等保测评机构,对目标系统开展等级保护测评工作(具体测评流程见第三条)5、完成等级测评工作,获得《信息系统等级保护测评报告》(每个系统一份)后,将《报告》提交相关部门进行备案。
6、结合《测评报告》整体情况,针对报告提出的待整改项,制定本单位下一年度的“等级保护工作计划”,并依照计划推进下一阶段的信息安全工作。
三、等级测评的流程:差距测评阶段又分为以下内容:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动,整改阶段、验收测评阶段。
签订《合同》与《保密协议》首先,被测评单位在选定测评机构后,双方需要先签订《测评服务合同》,合同中对项目范围(哪些系统?)、项目内容(差距测评?验收测评?协助整改?)、项目周期(什么时间进场?项目计划做多长时间?)、项目实施方案(测评工作的步骤)、项目人员(项目实施团队人员)、项目验收标准、付款方式、违约条款等等内容逐一进行约定。
