当前位置:文档之家 › 等级保护测评-完全过程(非常全面)

等级保护测评-完全过程(非常全面)

  • 格式:pptx
  • 大小:987.59 KB
  • 文档页数:45

下载文档原格式

  / 45

合集下载

等级保护测评流程

等级保护测评流程

小学音乐教育中的音乐性格培养实践引言音乐是人类文化的重要组成部分,对于儿童的成长和发展具有重要影响。

小学音乐教育作为儿童音乐素养的基础阶段,不仅要培养学生的音乐技能,更重要的是培养学生的音乐性格。

本文将探讨小学音乐教育中的音乐性格培养实践,从培养学生的音乐情感、音乐表达和音乐创造能力等方面进行论述。

一、培养学生的音乐情感音乐情感是音乐艺术的灵魂,也是小学音乐教育中的重要目标之一。

通过音乐欣赏、音乐游戏等形式,可以培养学生对音乐的情感体验。

首先,教师可以选择具有情感表达力的音乐作品,如古典音乐中的贝多芬《命运交响曲》等,通过欣赏这些作品,引导学生感受音乐所传递的情感。

其次,音乐游戏也是培养学生音乐情感的有效途径。

例如,教师可以组织学生进行音乐表情游戏,让学生通过模仿音乐中的情感表达,培养他们对音乐情感的敏感性。

二、培养学生的音乐表达能力音乐表达是小学音乐教育中的重要内容,通过培养学生的音乐表达能力,可以提升他们的自信心和创造力。

首先,教师可以通过声音模仿、节奏演唱等方式,引导学生用声音来表达情感。

例如,教师可以教导学生模仿鸟鸣声、风声等自然声音,让他们通过声音来表达自己的情感。

其次,教师还可以通过舞蹈、戏剧等形式,让学生通过身体语言来表达音乐。

例如,教师可以组织学生进行音乐舞蹈创作,让他们通过舞蹈的形式来展现音乐所传递的情感。

三、培养学生的音乐创造能力音乐创造是小学音乐教育中的重要环节,通过培养学生的音乐创造能力,可以激发他们的创造潜能和想象力。

首先,教师可以引导学生进行音乐即兴创作。

例如,教师可以给学生一个简单的音乐主题,让他们自由发挥,创作出自己的音乐作品。

其次,教师还可以组织学生进行音乐合作创作。

例如,教师可以将学生分成小组,让他们共同创作一首音乐作品,培养他们的团队合作和创造力。

结语小学音乐教育中的音乐性格培养实践是一项综合性的工作,需要教师具备丰富的音乐知识和教育经验。

通过培养学生的音乐情感、音乐表达和音乐创造能力,可以提升他们的艺术修养和综合素质。

等级保护测评-完全过程(非常全面)[优质ppt]

等级保护测评-完全过程(非常全面)[优质ppt]

组合分析
1、等级测评是测评机构依据国家信息安全等级保护制度规定: 《国家信息化领导小组关于加强信息安全保障工作的意见》、《保护安全建设整改工作的指导意见》 、《信
息安全等级保护管理办法》。
2、受有关单位委托,按照有关管理规范和技术标准(相关标准关系图参见图1、图2) 定级标准: 《信息系统安全保护等级定级指南》、 《计算机信息系统安全保护等级划分准则》 ; 建设标准:《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安
等级保护测评过程 以三级为例
主题一
1 等级保护测评概述 2 等级保护测评方法论 3 等级保护测评内容与方法 4 等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法 ,对处理特定应用的信息系统,采用安全技术测评和安全管理测评 方式,对保护状况进行检测评估,判定受测系统的技术和管理级别 与所定安全等级要求的符合程度,基于符合程度给出是否满足所定 安全等级的结论,针对安全不符合项提出安全整改建议。
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。

等保测评的大致流程及每个步骤需要做的工作

等保测评的大致流程及每个步骤需要做的工作

等保测评的大致流程及每个步骤需要做的工作等保测评是指信息系统安全等级保护测评,是根据我国《信息安全等级保护管理办法》要求,对信息系统进行评估划分安全等级的过程。

下面将为大家介绍等保测评的大致流程及每个步骤需要做的工作。

一、准备阶段:1.明确测评需求:确定需进行等保测评的信息系统,明确测评的目的和范围。

2.组建测评团队:由具备相关背景知识和经验的专业人员组成测评团队。

3.准备测评工具:选择适合的测评工具,如安全扫描工具、漏洞评估工具等。

二、信息搜集阶段:1.系统架构分析:对待测评的信息系统进行架构分析,了解系统的整体结构和关键组件。

2.详细资料收集:收集相关的系统文档、安全策略、操作手册等资料,以了解系统的功能和安全要求。

三、漏洞评估阶段:1.漏洞扫描:使用相关工具对系统进行漏洞扫描,发现存在的系统漏洞和安全隐患。

2.漏洞分析:对扫描结果进行分析,确认漏洞的严重性和影响范围。

3.漏洞修复:根据漏洞分析结果,制定相应的修复方案,对漏洞进行修复。

四、安全防护评估阶段:1.安全策略评估:检查系统的安全策略设置,包括访问控制、身份鉴别、加密等措施是否符合要求。

2.安全防护措施评估:对系统的安全防护措施进行评估,包括防火墙、入侵检测系统、安全审计等措施的配置和运行情况。

3.安全措施完善:根据评估结果,完善系统的安全防护措施,确保系统的安全性和可靠性。

五、报告编写和汇总阶段:1.撰写测评报告:根据前面的工作结果,综合编写测评报告,包括系统的安全等级划分、发现的漏洞和隐患、修复和完善的措施等内容。

2.报告汇总:将测评报告提交给相关部门或单位,供其参考和决策。

六、报告验证和回访阶段:1.报告验证:由相关部门或单位对测评报告进行验证,确认测评结果的准确性和可信度。

2.回访与追踪:回访与追踪系统的后续改进措施,确保问题的解决和措施的落地实施。

以上就是等保测评的大致流程及每个步骤需要做的工作。

在进行等保测评时,需要根据具体情况进行调整和细化,以确保测评过程的有效性和全面性。

等保测评流程程

等保测评流程程

等保测评流程程
等保测评流程可以大致分为以下几个步骤:
1. 需求分析阶段:了解客户的业务需求、系统架构和网络环境等关键信息,并确定等级保护要求。

2. 准备阶段:收集和整理相关的安全政策、规程和标准,编写测评计划、测试方案和测试流程。

3. 系统分析阶段:对待测评系统进行整体分析,包括系统拓扑结构、硬件设备、软件配置和安全策略等。

4. 风险评估阶段:评估系统中存在的安全风险,并根据评估结果确定漏洞的优先级和影响程度。

5. 漏洞挖掘阶段:使用各种技术手段对系统进行主动和被动的漏洞挖掘,如漏洞扫描、渗透测试和安全审计等。

6. 安全评估阶段:对系统采取各种渗透攻击和漏洞利用技术进行评估,如网络攻击、脆弱性利用和社会工程等。

7. 结果报告阶段:撰写详细的测评结果报告,包括漏洞分析、风险评估和修复建议等,向客户提供全面的安全评估结果。

8. 修复验证阶段:对系统中发现的漏洞进行修复,并再次进行测试验证,确保漏洞已经得到有效的修复。

9. 结束阶段:撰写测评总结报告,对测评过程中的经验教训进行总结,并提出改进措施,以提高整体的安全水平。

需要注意的是,不同的等级保护要求对测评流程和内容会有所不同,具体流程还需要根据实际情况进行调整。

同时,测评过程中需要与客户密切合作,确保测试活动的顺利进行。

等级保护流程

等级保护流程

等级保护测评
等级保护测评步骤:
一、确定信息系统的个数以及每个系统的等保级别、信息系统的资产数量(主机、网络设备、安全设备等)、机房的模式(自建、云平台、托管等);
二、对每个目标系统,按照《信息系统定级指南》的要求和标准,分别填写《系统定级报告》,《系统基础信息调研表》;
三、对所定级的系统进行专家评审;(二级系统也需要专家评审)
四、向属地公安机关网监部门提交《系统定级报告》和《系统基础信息调研表》,获取《信息系统等级保护定级备案证明》,每个系统一份;
五、依据确定的等级标准,选取等保测评机构,对目标系统开展等级保护测评工作。

(实际工作中,可能需要一开始就要选定测评机构)
六、完成等级测评工作,获得《信息系统等级保护测评报告》(每个系统一份)后,将《测评报告》提交网监部门进行备案。

七、结合《测评报告》整体情况,针对报告提出的待整改项,制定本单位下一年度的“等级保护工作计划”,并依照计划推进下一阶段的信息安全工作。

等级保护分级要求:
第一级:用户自主保护级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级:系统审计保护级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级:安全标记保护级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级:结构化保护级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害
,或者对国家安全造成严重损害。

第五级:访问验证保护级:信息系统受到破坏后,会对国家安全造成特别严重损害。

等级保护测评-完全过程(非常全面)

等级保护测评-完全过程(非常全面)
等级保护测评过程
以三级为例
主题一
1 2 3 4
等级保护测评概述 等级保护测评方法论 等级保护测评内容与方法
等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法, 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度给出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议。
等保测评工作流程
等级测评的工作流程,依据《信息系统安全等级保护测评过程指南》,具体内容 参见:等保测评工作流程图
准备阶段
方案编制阶段
现场测评阶段
报告编制阶段
等保实施计划
项目 准备
现状调研
安全管理调研
风险与差距分析
控制风险分析 信息安全 愿景制定
体系规划与建立
管理体系
项目 验收
项目 准备
运维体系 安全技术调研 信息安全总体 框架设计 等保差距分析 高危问题整改 技术体系
0
0 0
0
0 0
11
28 27
16
41 51
5
13 42
4
18 54
5
9 12
4
18 54
16
41 69


66
73
236 389
等保测评方法
访谈 • 访谈是指测评人员通过与信息系统有关人员(个人/群体)进 行交流、讨论等活动,获取相关证据以表明信息系统安全保护 措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所 有的安全相关人员类型,在数量上可以抽样。 检查 • 检查是指测评人员通过对测评对象进行观察、查验、分析等活 动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。 测试 • 测试是指测评人员针对测评对象按照预定的方法/工具使其产 生特定的响应,通过查看和分析响应的输出结果,获取证据以 证明信息系统安全保护措施是否得以有效实施的一种方法。在 测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。

等级保护测评流程

等级保护测评流程一、背景介绍。

等级保护测评是指对特定人员或特定信息进行等级保护的评定过程,旨在保护国家机密和重要利益的安全。

等级保护测评流程是非常重要的,它可以有效地保障国家机密信息的安全,保护国家利益,防范各种安全风险。

二、测评对象。

等级保护测评的对象主要包括国家机关工作人员、军队人员、科研人员、重要岗位人员等。

这些人员在工作中可能接触到国家机密信息,因此需要进行等级保护测评,以确定其对机密信息的保密能力和保密意识。

三、测评流程。

1. 提交申请。

测评对象首先需要向相关部门提交等级保护测评申请。

申请需要包括个人基本信息、工作单位、申请等级保护的原因等内容。

2. 资料审核。

相关部门收到申请后,将对申请人提交的资料进行审核。

主要包括个人身份证明、工作单位证明、申请等级保护的理由等。

3. 资格审查。

通过资料审核的申请人将接受资格审查。

资格审查主要包括个人背景调查、工作单位调查、个人信誉调查等内容。

4. 面试评估。

通过资格审查的申请人将接受面试评估。

面试评估由相关部门的专业人员组成,他们将对申请人的保密意识、保密能力进行评估。

5. 等级确定。

经过面试评估的申请人将被确定为特定等级的保护对象。

根据其工作性质和需要接触的机密信息等因素,申请人将被确定为特定的等级保护对象。

6. 周期复审。

等级保护测评并不是一劳永逸的,保密等级会随着时间和工作内容的变化而进行周期复审。

周期复审的目的是确保保密等级的准确性和有效性。

四、测评标准。

等级保护测评的标准主要包括保密意识、保密能力、工作需要等因素。

保密意识是指申请人对保密工作的认识和理解程度,保密能力是指申请人在工作中保守机密信息的能力,工作需要是指申请人所从事工作的特殊性和对机密信息的需求程度。

五、测评结果。

测评结果将根据申请人的实际情况进行评定,包括通过测评、不通过测评等结果。

通过测评的申请人将获得相应的保密等级,不通过测评的申请人将需要进一步提高保密意识和保密能力后再次申请。

等保测评的流程

等保测评的流程
等保测评的流程如下:
1. 确定等保测评的范围和目标:确定需要评估的系统、网络或应用程序等。

2. 收集相关信息和材料:收集需要进行等保测评的系统或应用程序的相关文档、配置信息、运行日志等。

3. 制定等保测评方案:根据等级保护要求,制定相应的等保测评方案,包括测试方法、评估指标、测试工具和环境等。

4. 进行等保测评:按照制定的方案,进行等保测评活动,包括对系统和网络进行实地考察和检查、对应用程序进行安全扫描和漏洞测试等。

5. 分析和评估测试结果:根据测试活动的结果,对系统或应用程序的安全性进行评估和分析,发现安全漏洞和风险。

6. 提供等保测评报告:根据评估结果,撰写等保测评报告,包括评估发现、漏洞和风险的等级评定、相关建议和改进措施等。

7. 安全推进:将等保测评报告交给相关部门或个人,并按照报告中的建议和措施进行安全改进、修复漏洞和强化安全措施等。

8. 定期复测和监控:定期对系统进行复测,以确保安全措施的有效性和持续性,并做好安全监控和预警工作。

需要注意的是,以上流程仅为等保测评的一般步骤,具体的流程可能会根据实际情况有所调整和变化。

信息安全等级保护测评流程

信息安全等级保护测评流程信息安全等级保护测评(简称等保测评)是指根据信息安全等级保护的要求,对信息系统进行评估,评价其安全性等级的过程。

等保测评的目的是为了验证信息系统的安全等级是否符合相关规定,以确保信息系统在运行中能够有效保护信息资源的安全性。

下面将详细介绍信息安全等级保护测评的流程。

1.准备阶段:在等保测评开始之前,需要进行准备工作。

首先,制定测评计划,明确测评的目标、范围和测评方法。

其次,确定测评的等级,根据国家标准和相关政策要求,确定评估的等级标准。

然后,组织测评团队,由具备相关专业知识和经验的人员组成,负责测评工作的实施。

最后,收集相关资料,包括信息系统的安全策略、安全方案、技术文档等。

2.系统调查阶段:在系统调查阶段,测评团队根据测评计划,对信息系统进行调查和分析。

首先,了解信息系统的组成,包括硬件设备、软件应用、网络结构等。

然后,分析信息系统的安全策略和安全方案,评估其与等保要求的符合程度。

同时,对信息系统的网络拓扑、数据流转、权限控制等方面进行分析,确定其潜在的安全风险。

3.安全漏洞评估阶段:在安全漏洞评估阶段,测评团队通过安全扫描、漏洞分析等方式,主要针对信息系统的网络设备、操作系统、数据库等进行漏洞的发现和分析。

通过对漏洞的评估,确定其对信息系统的安全性造成的影响和潜在威胁。

同时,对已有的安全措施进行评估,如防火墙、入侵检测系统等,评估其有效性和可靠性。

4.安全性能评估阶段:在安全性能评估阶段,测评团队通过性能测试、压力测试等方式,评估信息系统对抗各种攻击的能力和性能。

通过这些测试,可以评估信息系统的可靠性、可用性和可扩展性,判断其在面对安全威胁时的应对能力。

5.安全等级评估阶段:在安全等级评估阶段,根据国家标准和相关政策要求,对信息系统的安全等级进行评估。

根据各个安全要素的得分,综合判断信息系统的安全等级,并给出评估结论。

6.编写测评报告:在完成测评工作后,测评团队需要编写测评报告。

等级保护测评-完全过程(非常全面)

防水和防潮
防静电
温湿度控制
电力供应
电磁防护
物理安全
调研访谈:专人值守、进出记录、申请和审批记录、物理隔离、门禁系统;现场查看:进出登记记录、物理区域化管理、电子门禁系统运行和维护记录。
调研访谈:设备固定和标识、隐蔽布线、介质分类存储标识、部署防盗监控系统;现场查看:设备固定和标识、监控报警系统安全材料、测试和验收报告。
等级保护测评指标
测评指标
技术/管理
安全类
安全子类数量
S类(2级)
S类(3级)
A类(2级)
A类(3级)
G类(2级)
G类(3级)
F类(2级)
F类(3级)
要求项
控制点
二级
三级
二级
三级
技术类
物理安全
1
1
1
1
8
29
4
18
10
18
23
47
网络安全
1
1
0
0
5
31
6
7
6
7
24
40
主机安全
2
3
1
1
3
12
0
3
6
3
20
调研访谈:网络入侵防范措施、防范规则库升级方式、网络入侵防范的设备;测评判断:检查网络入侵防范设备,查看检测的攻击行为和安全警告方式。
调研访谈:网络恶意代码防范措施、恶意代码库的更新策略;测评判断:网络设计或验收文档,网络边界对恶意代码采取的措施和防恶意代码产品更新。
调研访谈:两种用户身份鉴别、地址限制、用户唯一、口令复杂度要求、登录失败验证等;测评判断:用户唯一和地址限制、密码复杂度和两种身份鉴别方式、特权用户权限分配。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
A:保护系统连续正常的运行,免受对 系统的未授权修改、破坏而导致系统不可 用的服务保证类要求;--电力供应、资源控 制、软件容错等
G:通用安全保护类要求。--技术类中 的安全审计、管理制度等
等级保护测评指标
技术/ 管理
安全类
测评指标 安全子类数量
S类 S类 A类 A类 G类 G类 F类 F类 (2级) (3级) (2级) (3级) (2级) (3级) (2级) (3级)
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。
等级保护完全实施过程
信息系统定级

安全总体规划



安全设计与实施
局 部 调
整 安全运行维护
安全等级整改
安全整改设计
安全要求整改
等级符合性检查 应急预案及演练
安全等级测评 信息系统备案
信息系统终止
信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与 实施、安全运行维护、信息系统终止”等五个阶段。
物理基本要求中控制点与要求项各级分布:
安全等级 控制点 要求项
第一级
7
9
第二级
9
19
第三级
10
32
第四级
10
39
• 物理位置的选择 (2项)
• 物理访问控制 (4项)
• 防盗窃和防破坏 (6项)
• 防雷击
(3项)

• 防火
(3项)

• 防水和防潮
(4项)


• 防静电
(2项)
• 温湿度控制
(1项)
要求项 二三 级级
物理安全
1 11 1
8 29 4 18 10 18
技术 类
网络安全 主机安全 应用安全
1 10 0 2 31 1 4 52 2
5 31 6 3 12 0 162
7 67 3 63 6 76
数据安全
2 21 1
0 0 0 3 33
安全管理制度
0
0
7 10 0
2 32
安全管理机构
0
管理
扫描报告 基础培训PPT
风险与差距分析
体系规划与建立
控制风险分析
信息安全 愿景制定
管理体系
信息安全总体 框架设计
运维体系 技术体系
等保差距分析
高危问题整改
交流、知识转移、培训、宣传
等保测评
项目 验收
项目 验收
等保差距报告 风险评估报告 技能和意识培训
规划报告 体系文件 ……….
主题三
1 等级保护测评概述 2 等级保护测评方法论 3 等级保护测评内容与方法 4 等保测评安全措施
• 调研访谈:专人值守、进出记录、申请和审批记录、物理隔离、门禁系统; • 现场查看:进出登记记录、物理区域化管理、电子门禁系统运行和维护记录。
• 调研访谈:设备固定和标识、隐蔽布线、介质分类存储标识、部署防盗监控系统; • 现场查看:设备固定和标识、监控报警系统安全材料、测试和验收报告。
• 调研访谈:安装避雷装置、专业地线、防雷感应器; • 现场查看:机房防雷设计/验收文档、接地设计/验收文档,交流地线和防雷设备
• 调研访谈:温、湿度自动调节设施,专人负责; • 现场查看:温湿度控制设计/验收文档,温湿度记录、运行记录和维护记录。 • 调研访谈:部署稳压器和过电压防护设备,UPS和市电冗余; • 现场查看:电源设备的检查和维护记录,备用供电系统运行记录,市电切换记录。
• 调研访谈:安全接地,关键设备和磁介质实施电磁屏蔽; • 现场查看:查看安全接地、电源线和通讯线隔离,电磁屏蔽容器。
等级保护综合测评
物理安全
网络安全


主机系统安全


应用安全
数据安全
综合测评
信息 系统
安全管理机构
安全管理制度


人员安全管理


系统建设管理
系统运维管理
G AS
等级保护测评类型
等保基本要求的三种技术类型 (S/A/G)
S:保护数据在存储、传输、处理过程 中不被泄漏、破坏和免受未授权修改的信 息安全类要求;--物理访问控制、边界完整 性检查、身份鉴别、通信完整性、保密性 等;
• 调研访谈:网络冗余、带宽情况、安全路径、子网和网段分配原则、重要网段隔离; • 测评判断:网络设计或验收文档,路由控制策略,网络设计或验收文档,网络隔离手段。
• 调研访谈:网络边界控制策略, • 测评判断:会话对数据流进行控制,应用层协议控制,自动终止网络连接的配置等。
• 调研访谈:开启安全审计功能、审计内容、审计报表、审计记录保护; • 测评判断:审计全面监测、查看审计报表、审计记录处理方式。
人员安全管理
0

系统建设管理
0
0
9 19 2 8 5 8
0
11 16 5 4 5 4
0
28 41 13 18 9 18
系统运维管理
0
0
27 51 42 54 12 54
控制点 二三 级级 23 47 24 40 20 34 21 37 48 7 12 11 27 16 20 41 59 69 105
7
33
第四级
7
32• 结构安全( Nhomakorabea项)• 访问控制
(8项)

• 安全审计
(4项)

• 边界完整性检查 (2项)

• 入侵防范
(2项)

• 恶意代码防范 (2项)
• 网络设备防护 (8项)
以第三级为例
结构安全
网 络 安 全
访问控制 安全审计 边界完整性检查 入侵检测
恶意代码防护
网络设备防护
网络安全测评内容和方法
2020/4/19
等级保护测评过程
以三级为例
主题一
1 等级保护测评概述 2 等级保护测评方法论 3 等级保护测评内容与方法 4 等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法, 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度给出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议。
动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。
➢ 测试 • 测试是指测评人员针对测评对象按照预定的方法/工具使其产
生特定的响应,通过查看和分析响应的输出结果,获取证据以 证明信息系统安全保护措施是否得以有效实施的一种方法。在 测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
信息系统定级 定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、 公安机关审核”的原则进行。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁 运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。 总体安全规划 总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分 析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导 后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的 安全保护现状与等级保护要求之间的差距。 安全设计与实施 安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步 落实安全措施 安全运行维护 安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与 维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的 管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。本标准并不对上述所 有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准 或指南 信息系统终止 信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时,正确处理系统内的 敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中,有些系统并不是真正意义上的 废弃,而是改进技术或转变业务到新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移、设备 迁移和介质销毁等方面的安全
• 调研访谈:外网接入内网行为监控、内网私自联到外网行为监控,并进行阻断处理; • 测评判断:查看外网接入内网行为和内网私自联到外网行为进行监控的配置。