等保測評(píng)工作流程
準(zhǔn)備階段
項(xiàng)目啟動(dòng)
· 組建評(píng)測項(xiàng)目組。
· 編制項(xiàng)目計(jì)劃書。
· 確定評(píng)測委托單位應(yīng)提供的資料。
信息收集分析
· 查閱定級(jí)報(bào)告、系統(tǒng)描述文件、系統(tǒng)安全設(shè)計(jì)方案、自查或上次等級(jí)測評(píng)報(bào)告(如果做過資產(chǎn)或等級(jí)測評(píng))等資料。
· 根據(jù)查閱到的系統(tǒng)情況調(diào)整調(diào)查表內(nèi)容。
· 發(fā)放調(diào)查表給測評(píng)委托單位。
工具和表單準(zhǔn)備
· 調(diào)試測評(píng)工具。
· 模擬被測系統(tǒng)搭建測評(píng)環(huán)境。
· 模擬測評(píng)。
· 準(zhǔn)備打印表單。
方案編制階段
測評(píng)對象的確定
· 識(shí)別被測系統(tǒng)等級(jí)。
· 識(shí)別被測系統(tǒng)的整體結(jié)構(gòu)。
· 識(shí)別被測系統(tǒng)的邊界。
· 識(shí)別被測系統(tǒng)的網(wǎng)絡(luò)區(qū)域。
測評(píng)指標(biāo)確定
· 識(shí)別被測系統(tǒng)業(yè)務(wù)信息和系統(tǒng)服務(wù)安全保護(hù)等級(jí)。
· 選擇對應(yīng)等級(jí)的ASG三類安全要求作為測評(píng)指標(biāo)。
注:ASG
A:保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行,免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求;--電力供應(yīng)、資源控制、軟件容錯(cuò)等。
S:保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)修改的信息安全類要求;--物理訪問控制、邊界完整性檢查、身份鑒別、通信完整性、保密性等。
G:通用安全保護(hù)類要求。--技術(shù)類中的安全審計(jì)、管理制度等。
測試工具接入點(diǎn)確定
· 在測評(píng)中,需要使用測試工具進(jìn)行測試,測試工具可能用到漏洞掃描器、滲透測試工具集、協(xié)議分析儀等。
· 確定需要進(jìn)行測試的測評(píng)對象。
· 選擇測試路徑。
· 根據(jù)測試路徑,確定測試工具的接入點(diǎn)。
測評(píng)指導(dǎo)書開發(fā)
測評(píng)指導(dǎo)書是具體指導(dǎo)測評(píng)人員如何進(jìn)行測評(píng)活動(dòng)的文檔,是現(xiàn)場測評(píng)的工具、方法和操作步驟等的詳細(xì)描述,是保證測評(píng)活動(dòng)規(guī)范的根本。可從已有的測評(píng)指導(dǎo)書中選取與測評(píng)對象對應(yīng)的手冊。
測評(píng)方案編制
測試方案是等級(jí)測評(píng)工作實(shí)施的基礎(chǔ),指導(dǎo)等級(jí)測評(píng)工作的現(xiàn)場實(shí)施活動(dòng)。測評(píng)方案應(yīng)該包括但不局限于:項(xiàng)目概述、測評(píng)對象、測評(píng)指標(biāo)、測評(píng)內(nèi)容、測評(píng)方法等。
現(xiàn)場評(píng)測階段
現(xiàn)場評(píng)測階段通過與評(píng)測委托單位進(jìn)行溝通和協(xié)調(diào),為現(xiàn)場測評(píng)的順利開展打下良好基礎(chǔ),依據(jù)測評(píng)方案實(shí)施現(xiàn)場測評(píng)工作,將測評(píng)方案和測評(píng)方法等內(nèi)容具體落實(shí)到現(xiàn)場測評(píng)活動(dòng)中。現(xiàn)場測評(píng)工作應(yīng)取得報(bào)告編制活動(dòng)所需的、足夠的證據(jù)和資料。
現(xiàn)場評(píng)測準(zhǔn)備
· 測評(píng)委托單位對風(fēng)險(xiǎn)告知書簽字確認(rèn),了解測評(píng)過程中存在的安全風(fēng)險(xiǎn),做好相應(yīng)的應(yīng)急和備份工作。
· 召開測評(píng)現(xiàn)場啟動(dòng)會(huì),測評(píng)機(jī)構(gòu)介紹現(xiàn)場測評(píng)工作安排,雙方對測評(píng)計(jì)劃和測評(píng)方案中的測評(píng)內(nèi)容和方法進(jìn)行溝通。
· 雙方確認(rèn)配合人員,環(huán)境等資源。
現(xiàn)場評(píng)測和結(jié)果記錄
· 依據(jù)測評(píng)指導(dǎo)書實(shí)施測評(píng)。
· 記錄測評(píng)獲取的證據(jù)、資料等信息。
· 匯總測評(píng)記錄,如果需要,實(shí)施補(bǔ)充測評(píng)。
實(shí)施測評(píng)
· 訪談
-訪談是指測評(píng)人員通過與信息系統(tǒng)有關(guān)人員(個(gè)人/群體)進(jìn)行交流、討論等活動(dòng),獲取相關(guān)證據(jù)以表明信息系統(tǒng)安全保護(hù)措施是否有效落實(shí)的一種方法。在訪談范圍上,應(yīng)基本覆蓋所有的安全相關(guān)人員類型,在數(shù)量上可以抽樣。
· 檢查
-檢查是指測評(píng)人員通過對測評(píng)對象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng),獲取相關(guān)證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效實(shí)施的一種方法。在檢查范圍上,應(yīng)基本覆蓋所有的對象種類(設(shè)備、文檔、機(jī)制等),數(shù)量上可以抽樣。
· 測試
-測試是指測評(píng)人員針對測評(píng)對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng),通過查看和分析響應(yīng)的輸出結(jié)果,獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法。在測試范圍上,應(yīng)基本覆蓋不同類型的機(jī)制,在數(shù)量上可以抽樣。
結(jié)果確認(rèn)和資料歸還
· 召開現(xiàn)場測評(píng)結(jié)束會(huì)。
· 測評(píng)委托單位確認(rèn)測評(píng)過程中獲取的證據(jù)和資料的正確性,簽字認(rèn)可。
· 測評(píng)人員歸還借閱的各種資料。
報(bào)告編制階段
在現(xiàn)場測評(píng)工作結(jié)束后,測評(píng)機(jī)構(gòu)應(yīng)對現(xiàn)場測評(píng)獲得的測評(píng)結(jié)果進(jìn)行匯總分析,形成等級(jí)測評(píng)結(jié)論,并編制測評(píng)報(bào)告。
單項(xiàng)測評(píng)結(jié)果判定
· 分析測評(píng)項(xiàng)所對抗威脅的存在情況。
· 分析單個(gè)測評(píng)項(xiàng)對應(yīng)的多個(gè)測評(píng)結(jié)果的符合情況。
單元測評(píng)結(jié)果判定
· 匯總每個(gè)測評(píng)對象在每個(gè)測評(píng)單元的單項(xiàng)測評(píng)結(jié)果。
· 判定每個(gè)測評(píng)對象的單元測評(píng)結(jié)果。
整體測評(píng)
分析不符合和部分符合的測評(píng)項(xiàng)與其他測評(píng)項(xiàng)(包括單元內(nèi)、層面間、區(qū)域間)之間的關(guān)聯(lián)關(guān)系及對結(jié)果的影響情況。
風(fēng)險(xiǎn)分析
· 判斷整體評(píng)測后的單元測評(píng)結(jié)果匯總中部分符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問題被威脅利用的可能性(取值范圍為高、中、低)。
· 判斷整體測評(píng)后的單元測評(píng)結(jié)果匯總中部分符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問題被威脅利用后,對被測信息系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成的影響程度,影響程度取值范圍為高、中、低。
· 結(jié)合上兩步結(jié)果,對評(píng)測信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)進(jìn)行賦值,風(fēng)險(xiǎn)值的取值范圍為高、中、低。
· 結(jié)合被測信息系統(tǒng)的安全保護(hù)等級(jí)和對風(fēng)險(xiǎn)分析結(jié)果進(jìn)行評(píng)價(jià),即對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險(xiǎn)。
等級(jí)測評(píng)結(jié)論形成
統(tǒng)計(jì)再次匯總后的單項(xiàng)測評(píng)結(jié)果為部分符合和不符合項(xiàng)的項(xiàng)數(shù),形成等級(jí)測評(píng)結(jié)論。
測評(píng)報(bào)告編制
測評(píng)報(bào)告應(yīng)包括:測評(píng)項(xiàng)目概述、被測信息系統(tǒng)情況、等級(jí)測評(píng)范圍和方法、單元測評(píng)、整體測
