信息安全测试检测.doc

信息安全测试检测目录1、概述2..1.1 信息安全风险评估的概念与依据21.2 信息安全等级保护的定义21.3 涉密系统测评的两种形式32、信息安全测试检测的重要性4.1.1. 信息安全风险评估的意义和作用41.2. 信息安全等级保护测评的意义4.1.3. 涉密系统测评的意义5.3、涉密信息系统测评要点分析5.应首先核实管理体系文件能否被执行5应从全局角度确认管理体系的完整性5采用风险分析的方法来确认具体6应掌握评价管理制度可操作性的关键要素.6管理体系应能够自我改进7.4.信息安全等级保护测评中应关注的几项问题75、信息安全风险评估策划阶段关键问题9确定风险评估范围9.确定风险评估目标9.建立适当的组织机构10建立系统性风险评估方法1.0获得最高管理者对风险评估策划的批准11总结1.1信息安全测试检测是一个统称的概念用来概括信息系统风险评估、等级保护测评和涉密系统测评三项信息安全方面的测试检测工作信息系统风险评估、等级保护测评和涉密系统测评这三种实现信息安全的方法都是当前我国进行信息安全保障工作的重要内容和手段，信息安全测试检测概念的提出对于规范和明确信息安全日常工作具有重要作用1、概述通常来讲，信息安全测试检测包含风险评估、等级保护测评以及涉密系统测评。

以上3种检测都需要相应的检测资质，例如风险评估工作需要风险评估资质，等级保护测评需要等级保护资质，资质不能混用，全国目前同时具备以上3种检测资质的单位并不多，具了解，山东省软件评测中心同时具备风险评估、等级保护、涉密系统3种检测资质信息安全风险评估的概念与依据风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估它是确认安全风险及其大小的过程，即利用定性或定量的方法，借助于风险评估工具，确定信息资产的风险等级和优先风险控制风险评估是风险管理的最根本依据，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前，进行风险评估会帮助组织在一个安全的框架下进行组织活动它通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平信息安全等级保护的定义信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。

在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称为的一股指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作信息安全等级保护工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段，山东省软件评测中心作为公安部授权的第三方测评机构，为企事业单位提供免费专业的信息安全等级测评咨询服务信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。

因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评涉密系统测评的两种形式涉密信息系统测评主要有两种形式，即自我检测和检查评估一般意义上的委托评估从保密管理的要求来看不适用于涉密信息系统自我检测是涉密信息系统拥有者主要进行的日常的检查测评，是保障涉密信息系统日常安全的重要手段因此在国家保密局指导和相关保密标准的指引下，各部门各单位对所拥有的涉密信息系统进行自我检测应成为涉密系统测评的重要方式检查评估是国家保密局授权的，经中央批准成立的专门评估机构实施可以在已建涉密信息系统安全改进方案设计之前进行，作为设计方案的依据；可以在已建涉密信息系统审批运行之前进行，作为保密局审批的依据；也可以在已建涉密信息系统开通运行一段时间之后进行，作为控制新的安全风险的依据2、信息安全测试检测的重要性信息安全测试检测作为保障信息安全的重要措施有着不可替代的作用合理有效的测试检测可以发现信息系统中存在的问题，防患于未然信息安全风险评估的意义和作用风险评估是信息系统安全的基础性工作，它是观察过程的一个持续的工作风险评估是分级防护和突出重点的具体体现前面讲了等级保护，他有一个重要的思想，等级保护的出发点就是要突出重点，要突出重点要害部位，分级负责，分层实施。

加强风险评估工作是当前信息安全工作的客观需要和紧迫需求风险评估对信息系统生命周期的支持，生命周期有几个阶段，有规划和启动阶段，设计开发或采购阶段等等信息系统在设计阶段的时候，现在大家很关注的还是在设计阶段，国家对这方面也做了很多的工作信息安全风险评估的目标和目的，信息系统安全风险评估的总体目标是认清信息安全环境、信息安全状况，有助于达成公式，明确责任，采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性，这是一个非常非常重要的问题我们检查性的评估，都是为了使信息安全评估策略贯彻得到始终如一的支持信息安全等级保护测评的意义当前信息系统安全保护等级的划分共分为五级，分别为自主保护级、指导保护级、监督保护级、强制保护级以及专控保护级实施信息安全等级保护意义重大，不仅有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设协调发展，而且为信息系统安全建设和管理提供了系统性、针对性、可行性的指导和服务，有效控制了信息安全建设成本同时，信息安全等级保护对信息安全资源的配置进行了优化，重点保障了关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全需要重点提到的是，信息安全等级保护明确了国家、法人和其他组织、公民的信息安全责任，进一步加强了信息安全管理。

涉密系统测评的意义涉密系统测评有利于在保障涉密系统在运行过程中的持续性，对于日常系统运行风险有良好的防范作用，另外涉密系统测评可以保护涉密信息的安全性，降低信息安全风险3、涉密信息系统测评要点分析在涉密信息系统测评实践中，因测评人员对国家保密标准理解的差异性，导致在评价时存在不一致、不规范的情况针对这种情况，根据参与涉密信息系统测评工作要求，对如何评价涉密信息系统安全保密管理体系的有效性进行分析，提出测评时应注意把握的测评要点应首先核实管理体系文件能否被执行在涉密信息系统测评中，涉密信息系统建设使用单位一般均会依据国家保密标准制定有关管理体系文件，并确定相关责任部门和人员但其所建立的管理体系能否被执行，不能仅仅简单依靠涉密信息系统建设使用单位人员的情况介绍，而应要求建设使用单位提供证明测评实践中一种情况是涉密信息系统建设使用单位能够提供成型的管理体系文件，但这些文件却并未经过正式发布确认，甚至还只是讨论稿另一种况是有的单位虽然正式发布了安全保密管理体系文件，但发布的部门不具备相应权限，只能保证管理体系在本部门内被执行，无法保证管理体系在整个单位内被执行此外，测评实践中发现，涉密信息系统建设使用单位往往将管理文件汇编并标定为涉密文件，按涉密文件进行管理，其印制的份数有限，也难于借阅。

这样做虽然有利于对单位安全保密管理体系文件的保护，但同时也导致管理人员难以在需要时及时获得有关管理文件应从全局角度确认管理体系的完整性对于已建立的管理体系，在核查其是否能够覆盖涉密信息系统安全保密管理的各个方面时，测评人员往往简单地从标准的各项具体条款入手，逐条查找相应的管理文件中是否设立了相应的规定这种方式不仅操作繁琐，而且容易导致难以从全局的角度审视其管理体系的完整性实际测评时应首先请涉密信息系统建设使用单位熟悉其安全保密管理体系的人员介绍管理体系文件的组成、相互关系、与保密标准的比对情况，之后再通过审视管理体系各个文件中所描述的适用范围，从全局的宏观角度确认其管理体系是否存在缺失采用风险分析的方法来确认具体管理要求的合规性安全保密管理的具体要求与保密标准条款的符合性是系统测评时必须重点核查的内容由于各项管理要求往往是根据涉密信息系统建设使用单位的具体情况制定的，若仅仅简单地核查管理要求的文字内容同标准中有关条款文字的符合性，则易于失去系统测评风险分析的本质，将合规性检查变成了文字核查实际测评中，测评人员不仅要熟悉标准中各项条款的要求，更要明白各项要求中隐含的风险分析的思想与实质，采用风险分析的方法去判断各项管理要求同标准有关条款的符合性。

对于具体管理要求的合规性判定，测评人员一方面要深入理解标准有关要求背后所涉及的风险；另一方面要学会采用风险分析的方法，在涉密信息系统建设使用单位管理人员的充分配合下进行综合分析，而不应拘泥于具体的文字表述应掌握评价管理制度可操作性的关键要素安全保密管理制度的可操作性是保证整个管理体系正常、有效运转的基础实际测评中，可以从以下几方面考查相关管理制度的可操作性1)是否明确了管理责任的主体任何一项管理制度首先应明确所规定的管理事项针对的责任主体，即谁对此项规定的执行负责2)是否明确了管理的客体关于具体事务的管理规定中各条款一般均会涉及被管理的对象，即管理的客体清晰、明确的管理客体，是该项制度可操作性强的重要前提3)是否明确了操作的流程关于具体事务的管理规定中若仅仅是提出要求，而没有详细的操作流程，则实际操作中容易因操作人员的水平、安全保密意识等的差异导致操作结果不同，甚至出现严重的安全保密事故4)是否明确了管理事项发生的具体时间、周期或触发条件保密标准中明确了必须定期开展的多项管理事项，但在涉密信息系统建设使用单位制定管理制度时，却很少结合自身情况确定开展相关事项的周期、时间或触发条件，这往往导致有关规定流于形式，不仅难以监督，而且还容易导致实际操作中必要环节的缺失。

5)管理事项应可审计涉密信息系统由于安全保密管理失当导致出现安全保密事故，其结果往往存在影响大、责任重、处理严的特点为杜绝出现安全保密管理责任事故、明确相关管理责任，也为发生事故后能够及时追查原因、减小事故造成的损失、定位责任人员或环节，以及提出合理的处理意见，必须加强涉密信息系统安全保密管理中重要事项、重点环节的审计管理体系应能够自我改进涉密信息系统的安全保密管理不是一成不变的，而是随着技术的发展、网络结构的变化、用户的增减、人员安全保密认识的不断深入等情况动态变化的涉密信息系统的安全保密管理体系只有具备了随着来自内部或外部的变化，不断自我适应、自我完善的能力，才能实现保护国家秘密这一最终目标国家保密标准中也指出要通过分析异常事件、定期自评估和检查评估等手段，发现安全保密管理的薄弱环节并不断改进完善因此，在测评实践中，要分析被测涉密信息系统的安全保密管理体系是否具备自我改进的能力，以防止在涉密信息系统开通运行一段时间后，出现安全保密管理体系与实际的管理需求不相适应的情况4.信息安全等级保护测评中应关注的几项问题保障信息安全已成为当。