1、ICS 35.020 L 80 中华人民ft -、不日国远B国家标准GB/T 28449-2012 信息安全技术信息系统安全等级保护测评过程指南Information security technology-Testing and evaluation process guide for classified protection of information system security 2012-06-29发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会2012-10-01实施发布GS/T 28449-2012 目次前言.v 引言. VI 1 范围2 规范性引用文件.
2、3 术语和定义4 符号和缩略语15 等级测评概述.5. 1 等级测评的作用. 5. 2 等级测评风险25.2.1 可能影响系统正常运行25.2.2 可能泄漏敏感信息25. 3 等级测评风险的规避25.4 等级测评过程概述36 测评准备活动. 6. 1 测评准备活动的工作流程36. 2 测评准备活动的主要任务46.2.1 项目启动46.2.2 信息收集和分析.6. 2. 3 工具和表单准备6. 3 测评准备活动的输出文档6.4 测评准备活动中双方的职责. 7 方案编制活动7.1 方案编制活动的工作流程67.2 方案编制活动的主要任务7.2.1 测评对象确定67.2.2 测评指标确定77.2.3
3、测评内容确定87.2.4 工具测试方法确定87.2.5 测评指导书开发7.2.6 测评方案编制107.3 方案编制活动的输出文档11i1i1iqfuq臼Ti-4lA1i 主只职程务的流任方作要双工主备中的的准动动动评活活活测制动评评场编活测测现案评场场方测现现J场14现128勺06口6nxu GB/T 28449-2012 8. 2. 2 现场测评和结果记录四8.2.2.1 访谈128.2.2.2 检查138.2.2.3测i式148. 2. 3 结果确认和资料归还148. 3 现场测评活动的输出文档148.4 现场测评活动中双方的职责9 报告编制活动m9. 1 报告编制活动的工作流程159.
4、2 报告编制活动的主要任务9.2.1 单项测评结果判定169.2.2 单元测评结果判定169.2.3 整体测评179.2.4 风险分析9.2.5 等级测评结论形成. 9.2.6 测评报告编制199. 3 报告编制活动的输出文档9.4 报告编制活动中双方的职责20附录A(资料性附录)等级测评工作流程n附录B(资料性附录)测评对象确定准则和样例nB.1 测评对象确定准则 n B.2 测评对象确定样例 n B. 2. 1 第一级信息系统 n B. 2. 2 第二级信息系统. 23 B. 2. 3 第二级信息系统 M B. 2. 4 第四级信息系统 25 附录c(资料性附录)等级测评工作要求26C.1
5、 依据标准,遵循原则mC.2 恰当选取,保证强度mC.3 规范行为,规避风险m附录D(资料性附录)测评方案与测评报告编制示例27D.1 测评方案编制示例27D. 1. 1 系统描述27D. 1. 2 测评对象nD. 1. 3 测评指标mD. 1. 4 测评工具和接入点 m D. 1. 5 测评内容nD. l. 6 测评指导书D.2 测评报告编制示例H D. 2. 1 整体测评39D.2.2 安全建设整改建议钊GB/T 28449一2012附录E(资料性附录)信息系统基本情况调查表模版. . . . .,. . . . . . . . . . .,.,. . 42 E.1 说明,.,. 42 E
6、.2 单位基本情况,.,.,.,. 42 E.3 参与人员名单. . . . . . . . . . . . . . . . . . .,. . . . 43 E.4 物理环境情况 T ., . . . . . . , . . ., , . . . . . . . . , . . . . . . . . . , . . . . . . . , . . .川。E.5 信息系统基本情况.,. 43 E.6 信息系统承载业务(服务)情况.,. 44 E.7 信息系统网络结构(环境)情况 U E.8 外联线路及设备端口(网络边界)情况 45 E.9 网络设备情况 G E.10 安全设备情况E.ll 服
7、务器设备情况.46 E. 12 终端设备情况.47 E.13 系统软件情况UE.14 应用系统软件情况UE.15 业务数据情况.,.48E.16 数据备份情况48E.17 应用系统软件处理流程(多表)49E.18 业务数据流程(多表). 49 E.19 管理文档情况mE.20 安全威胁情况52附录F(资料性附录)信息系统安全等级测评报告模版(试行)M参考文献.70 而皿 GBjT 28449-2012 目。昌本标准按照GBjT1. 12009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会CSACjTC260)提
8、出并归口。本标准起草单位:公安部信息安全等级保护评估中心。本标准主要起草人:袁静、任卫红、陈雪秀、曲洁、刘静、毕马宁、朱建平、马力、李明、李升、黄洪。V GB/T 28449一2012引依据中华人民共和国计算机信息系统安全保护条例)(国务院147号令)、国家信息化领导小组关于加强信息安全保障工作的意见)(中办发2003J27号)、关于信息安全等级保护工作的实施意见)(公通宇2004J66号)和信息安全等级保护管理办法)(公通宇2007J43号),制定本标准。vl 本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括:GB/T 22239-2008 信息安全技术信息系统安全等级保
9、护基本要求;一GB/T22240-2008 信息安全技术信息系统安全等级保护定级指南;一-GB/T28448-2012 信息安全技术信息系统安全等级保护测评要求。GB/T .28449-2012 信息安全技术信息系统安全等级保护测评过程指南1 范围本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,对等级测评的活动、工作任务以及每项任务的输入输出芦品等提出指更:性建议。本标准适用于测评机构、信岛奈磊前正营部门及运吾夜的安全测试评价。2 规范性引用文+3. 1 优势证据4 符号和缩略语DDN:数字数据网CDigitalData Network) PSTN:公共交换电话网络CP
10、ublicSwitched Telephone Network) SDH:同步数字体系CSynchronous Digital Hierarchy) 5 等级测评概述5.1 等级测评的作用._证据。它可用于平衡实施等依据信息安全等级保护管理办法)C公通字2007J43号),信息系统运营、使用单位在进行信息系GB/T 28449-2012 统备案后,都应当选择测评机构进行等级测评。等级测评是测评机构依据GB/T22239-2008、GB/T 28448-2012等技术标准,检测评估信息系统安全等级保护状况是否符合相应等级基本要求的过程,是落实信息安全等级保护制度的重要环节。在信息系统建设、整改时
11、,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。在信息系统运维过程中,信息系统运营、使用单位定期对信息系统安全等级保护状况进行自查或委托测评机构开展等级测评,对信息安全管控能力进行考察和评价,从而判定信息系统是否具备GB/T 22239-2008中相应等级安全保护能力。而且,等级测评报告是信息系统开展整改加固的重要指导性文件.也是信息系统备案的重要附件材料,是判断系统是否可批准开通运行的依据。等级测评结论为不符合的信息系统,其运营、使用单位应当根据等级测评报告,制定方案进行整改。5.2 等级测评风险5.2. 1 可能
12、影晌系统正常运行在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机验证并查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。另外,还会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对网络和系统的负载造成一定的影响,渗透测试还可能影响到服务器和系统正常运行,如出现重启、服务中断、渗透过程中植人的代码未完全清理等现象。5.2.2 可能泄漏敏感信息泄漏被测信息系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。5. 3 等级测评风险的规避2 在等级测评过程中可以通过采取以下措施规避风险:a) 签署委
13、托测评协议。在测评工作正式开始之前,测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求、双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识,后续的工作以此为基础,避免以后的工作出现大的分歧。b) 签署保密协议。测评双方应签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将来的行为。保密协议规定了测评双方保密方面的权利与义务。测评工作的成果属被测评单位所有,测评方对其的引用与公开应得到被测评单位的授权,否则被测评单位将按照保密协议的要求追究测评单位的法律责任。c) 现场测评工作风险的规避。进行验证测试和工具测试之前,测评机构要求运
14、营、使用单位对系统及数据进行备份,并对可能出现的事件制定处理方案。进行验证测试和工具测试时,避开业务高峰期,在系统资源处于空闲状态时进行;上机验证测试由测评人员提出需要验证的内容,系统运营、使用单位的技术人员进行实际操作。整个现场测评过程要求系统运营、使用单位全程监督。d) 测评现场还原。测评工作完成后,测评人员应将测评过程中获取的所有特权交回,把测评过程中借阔的相关资料文档归还,并将在测评过程中植入被测信息系统中的相关代码/程序等进行严格清理。GB/T 28449-2012 5.4 等级测评过程概述本标准中的测评工作过程及任务基于受委托测评机构对信息系统的初次等级测评给出。运营、使用单位的自
15、查或受委托测评机构已经实施过一次以上等级测评的,却11J评机构和测评人员根据实际情况调整部分工作任务,具体原则见附录A。等级测评过程分为4个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。每一测评活动有组确定的工作任务。具体如表l所示。表1等级测评过程测评活动主要工作任务项目启动测评准备活动信息收集和分析工具和表单准备m评对象确定测评指标确定i则评内容确定方案编制活动工具测试方法确定测评指导书开发测评方案编制现场测评准备现场测评活动现场测评和结果记录结果确认和资料归还单项测评结果判定单元测评结果判定整体液评报告编制活动风险
16、分析等级测评结论形成测评报告编制其中每项活动均有相应的工作流程、主要任务、输出文档及活动中双方的职责,每项工作任务均有相应的输入、任务描述和输出产品。6 测评准备活动6. 1 测评准备活动的工作流程测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为编制测评方案打下良好的基础。测评准备活动包括项目启动、信息收集和分析、工具和表单准备3项主要任务。这3项任务的基本工作流程见图1。3 GB/T 28449-2012 图1测评准备活动的基本工作流程6.2 测评准备活动的主要任务二6.2.1 项目启动4 体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档
17、等。b) 测评机构将系统调查表格提交给测评委托单位,督促被测信息系统相关人员准确填写调查表格。c) 测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测信息系统的实际情况。分析的内容包括被测信息系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测信息系统所处的运行环境及面临的威胁等。这些信息可以重用自查报告或上次等级测评报告中的可信结果。d) 如果调查表格信息填写存在不准确、不完善或有相互矛盾的地方,测评机构应与填表人进行沟通和确认,必要时安
18、排一次现场调查,与相关人员进行面对面的沟通和确认,确保系统信息调GB/T 28449一2012查的准确性和完整性。输出/产品:填好的调查表格,各种与被测信息系统相关的技术资料。6.2.3 工具和表单准备测评项目组成员在进行现场测评之前,应熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。输入:填好的调查表格,各种与被测信息系统相关的技术资料。任务描述:b) c) 、会议签到表单等。/ 输出j立时ft J 文怕内容1项目启动l项目慨廷、工作依据、技术思路、工内严忖?划tl: J j: 同叫组织等; i叫主户叫吨?山吨4快陆5玲忖守?问、苟叶忖争叫测叶告! 1 罩目司E乒二阳I辛苦盟
19、g毛二甲择罩芷、_- I I , V i相关部门及角6.4 测评准备活动中双测评机构职责:a) 组建等级测评项目组。b) 指出测评委托单位应提供的基本资料。c) 准备被测信息系统基本情况调查表格,并提交给测评委托单位。d) 向测评委托单位介绍安全测评工作流程和方法。e) 向测评委托单位说明测评工作可能带来的风险和规避方法。f) 了解测评委托单位的信息化建设以及被测信息系统的基本情况。g) 初步分析系统的安全状况。h) 准备测评工具和文档。测评委托单位职责:a) 向测评机构介绍本单位的信息化建设及发展情况。b) 提供测评机构需要的相关资料。5 GB/T 28449-2012 c) 为测评人员的信
20、息收集工作提供支持和协调。d) 准确填写调查表格。e) 根据被测信息系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议。f) 制定应急预案。7 方案编制活动7. 1 方案编制活动的工作流程方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料,为现场测评活动提供最基本的文档和指导方案。方案编制活动包括测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制6项主要任务。这6项任务的基本工作流程见图2。测评内容确定工具测试方法确定测评指导书开发测评方案编制图2方案编制活动的基本工作流程7.2 方案编制活动的主要任务7.2. 1 测
21、评对象确定根据系统调查结果,分析整个被测信息系统业务流程、范围、特点及各个设备的主要功能,确定出本次测评的测评对象。6 输入:填好的调查表格,各种与被测信息系统相关的技术资料。任务描述:a) 识别并描述被测信息系统的整体结构。根据调查表格获得的被测信息系统基本情况,识别出被测信息系统的整体结构并加以描述。描述内容应包括被测信息系统的名称、物理环境、主要设备、网络结构和外部边界连接情况等,并画出完整的网络拓扑图。b) 识别并描述被测信息系统的边界。根据填好的调查表格,识别出被测信息系统边界并加以描述。描述内容应包括被测信息系统与其他系统或网络的边界连接方式,如DDN、SDH等;描述各边界主要设备
22、,如防火墙、路由器或服务器等。GB/T 28449-2012 c) 识别并描述被测信息系统的网络区域。一般信息系统都会根据业务类型及其重要程度将信息系统划分为不同的区域。根据区域划分情况描述每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。d) 识别并描述被测信息系统的主要设备。描述系统中的设备时以区域为线索,具体描述各个区域内部署的服务器、客户端、网络设备(包括交换机、路由器、各种适配器等)和安全设备等,并说明各个设备主要承载的业务、软件安装情况以及各个设备之间的主要连接情况等。e) 描述被测信息系统。对上述描述内容进行整理,确定被测信息系统并加以描述。描述被测信息系统
23、时,一般以被测信息系统的网络拓扑结构为基础,先说明整体结构、网络区域组成,描述外部边界连接情况和边界设备,然后介绍各网络区域的主要业务功能及部署的主要设备等。f) 确定测评对象。参阅标准GB/T28448-2012中关于测评对象的选取原则,结合被测信息系统的安全级别和重要程度,分析系统中各个设备的功能、特点,确定出各测评对象。g) 描述测评对象。描述测评对象时,根据类别加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备、安全设备、访谈人员及其安全管理文档等。在对每类测评对象进行描述时采用列表的方式,包括测评对象所属区域、设备名称、用途、设备信息等内容。输出/产品:测评
24、方案的测评对象部分。7.2.2 测评指标确定根据被测信息系统定级结果,确定出本次测评的测评指标。输入:填好的调查表格,GB/T 22239-20080 任务描述:a) 根据被测信息系统的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,从而得出被测信息系统的系统服务保证类(A类)基本安全要求、业务信息安全类(S类)基本安全要求以及通用安全保护类(G类)基本安全要求的组合情况。b) 根据被测信息系统的A类、S类及G类基本安全要求的组合情况,从GB/T22239-2008中选择相应等级的基本安全要求作为测评指标,分别对A、S和G三类基本安全要求进行选择。举例来说,假设某信息系统的定级结果:
25、安全保护等级为3级,业务信息安全保护等级为2级,系统服务安全保护等级为3级;则该系统的测评指标将包括GB/T22239-2008技术要求中的3级通用安全保护类要求(G3),2级业务信息安全类要求(S2),3级系统服务保证类要求(A3) ,以及第3级管理要求中的所有要求。c) 对确定的测评指标加以描述,指标说明列表的形式给出。例如,一个安全保护等级和系统服务安全保护等级均为3级、业务信息安全保护等级为2级的定级对象,测评指标如表3所示。表3测评指标数量技术/管理层面S类(2级)A类(3级)G类(3级)小计物理安全1 1 8 10 网络安全。6 7 技术安全主机安全2 1 3 6 应用安全4 2
26、2 8 数据安全2 l 。3 7 GB/T 28449一2012技术/管理层面安全管理制度安全管理机构管理安全人员安全管理系统建设管理系统运维管理合计序号2 表3(续)数量S类(2级)A类(3级)G类(3级)。3 。5 。5 。11 。13 /二/已表4单元测评实施内窑测评指标J测评指标l测评指标2输出/产品:测评方案的单元测评实施部分。7.2.4 工具测试方法确定小t十3 5 5 11 13 71类在等级测评中,需要使用测试工具进行测试,测试工具可能用到漏洞扫描器、渗透测试工具集、协议分析仪等。8 输入:测评方案的单元测评实施部分,GB/T28448-2012,选用的测评工具清单。任务描述:
27、a) 确定需要进行测试的测评对象。GB/T 28449-2012 b) 选择测试路径。一般来说,测试工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接人,即:测试工具从被测信息系统边界外接入、在被测信息系统内部与测评对象不同网段及同一网段内接入等几种方式。c) 根据测试路径,确定测试工具的接入点。从被测信息系统边界外接入时,测试工具一般接在系统边界设备(通常为交换设备)上。在该点接人漏洞扫描器,扫描探测被测信息系统的主机、网络设备对外暴露的安全漏洞情况。在该接入点接入协议分析仪,捕获应用程序的网络数据包,查看其安全加密和完整性保护情况。在该接入点使用渗透测试工具集,试图利用被测试系统的主
28、机或网络设备的安全漏洞,跨过系统边界,侵入被测信息系统主机或网络设备。从系统内部与测评对象不同网民毛交换设备上。在该点接人扫描费7直接扫描删武南嚣在挑起网络设资才本单位其他不同网络所暴露的安全漏洞情况。在该以报J将扑发现工具,探时良制敝拓扑情况。在系统内部与现阴阳才象用乙网段内接入时,测试工具一般接在与被视止对象同一网段的交换设备上。在该点接入扫锚器,在本地直接测试各被测主机、网络设备对本地网络暴露的氧全漏洞情况。一般来说,该点扫描持测出伪漏洞数应该是最多的,它说明主机、网络设备在没有网鸿安A保护措施下的安全状况。旷、 d)结仰扑图,采用酥的方式描选时吨的接入,点、测试日、测相提内容。/二/7
29、 .,_,_ ; 1 / /_飞 输出/叫JW评方案?真叫她胁夺附: / 7.2.5 测评指导书开发r之一牛仔如I - -, Jr 1./1-、XL JJ/ ,l _LJ,1口,气:-r;-1 f;:;t _/ -J.I-IJ:-_r.M_,-r_.L.L .t.r.I.J.11 ,-, YJi1; . .r.w-r:-,r. 测评fl叫具体指导邮址:人员揄iW呗j归功的吟是现刷刷工具叫和操作步骤等的详细描述i是保证测评活动A规范的根本。茵_tI-测评摇字在应当尽可能详尽J充分输入:贝岭方知单动i评实施部分、四时陆及方法部分。J任务描述 L_一-一一一一-一一一一一一一二一一/指在现场测评活动
30、中应执行的命令或步骤,是按照GB/T28448-2012中的每个测评实施项目开发的操作步骤,涉及到工具测试时,应描述工具测试路径及接入点等;预期结果是指按照操作步骤在正常的情况下应得到的结果和获取的证据。c) 单元测评一般以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等内容。整体测评则一般以文字描述的方式表述,以测评用例的方式进行组织。单元测评的测评指导书描述的基本格式如表5所示。9 GB/T 28449-2012 表5单元现tl评指导书序号测评指标评项a)2 测评指标l测评项b)3 测评项c)4 5 测评项a)测评指标26 d) 根据测评指导书,形成测评结果记录表格。输出/产品:测
31、评指导书,测评结果记录表格。7.2.6 测评方案编制L一操作步骤预期结果l. Z. 2. 测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下内容:项目概述、测评对象、测评指标、测评内容、测评方法等等。输入:委托测评协议书,填好的调研表格,各种与被测信息系统相关的技术资料,选用的测评工具清单,GB/T22239-2008中相应等级的基本要求,测评方案的测评对象、测评指标、单元测评实施部分、工具测试方法及内容部分等。任务描述:a) 根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测信息系统与单位其他系统之间的连接情况等
32、。b) 根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来。c) 参阅委托测评协议书和被测信息系统情况,估算现场测评工作量。工作量根据测评对象的数量和工具测试的接入点及测试内容等情况进行估算。d) 根据测评项目组成员安排,编制工作安排情况。e) 根据以往测评经验以及被测信息系统规模,编制具体测评计划,包括现场工作人员的分工和时间安排。在进行时间计划安排时.应尽量避开被测信息系统的业务高峰期,避免给被测信息系统带来影响。同时,在测评计划中应将具体测评所需条件以及测评需要的配合人员也一并给出,便于测评实施之前双方沟通协调、合理安排。f) 汇总上述内容及方案编制活动的其他任务获取的
33、内容形成测评方案文稿。g) 评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿。然后,测评机构将测评方案提交给测评委托单位签字认可。h) 根据测评方案制定风险规避实施方案。输出/产品:经过评审和确认的测评方案文本,风险规避实施方案文本。10 GS/T 28449一20127.3 方案编制活动的输出文档方案编制活动的输出文档及其内容如表6所示。表6方案编制活动的输出文档及其内容任务输出文档文档内容测评对象确定测评方案的测评对象部分被测信息系统的整体结构、边界、网络区域、重要节点、测评对象等测评指标确定测评方案的测评指标部分被测信息系统定级结果、测评指标测评内容确定
34、i则评方案的单元i则评实施部分单元测评实施内容工具测试方法测评方案的工具测试方法及内容部分工具测试接入点及测试方法测评指导书开发测评指导书、测评结果记录表格各测评对象的测评内容及方法测评结果记录表格表头经过评审和确认的视评方案文本项目概述、测评对象、测评指标、测试工测评方案编制风险规避实施方案文本具接入点、单元测评实施内容等风险规避措施等7.4 方案编制活动中双方的职责测评机构职责:a) 详细分析被测信息系统的整体结构、边界、网络区域、设备部署情况等。b) 初步判断被测信息系统的安全薄弱点。c) 分析确定测评对象、测评指标、确定测评内容和工具测试方法。d) 编制测评方案文本,并对其进行内部评审
35、。e) 制定风险规避实施方案。测评委托单位职责:a) 为测评机构完成测评方案提供有关信息和资料。b) 认可测评方案文本。c) 认可测评机构提供的风险规避实施方案。8 现场测评活动8. 1 现场测评活动的工作流程现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,依据测评方案实施现场测评工作,将测评方案和测评方法等内容具体落实到现场测评活动中。现场测评工作应取得报告编制活动所需的、足够的证据和资料。现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还3项主要任务。这3项任务的基本工作流程见图3。11 GB/T 28449-2012 图3现场测评活动的基
36、本工作流程8.2 现场测评活动的主要任务输出/产品:各类测评结果记录。其中,测评人员根据测评指导书实施现场测评时一般包括访谈、检查和测试3种测评方式。8.2.2.1 访谈输入:现场测评工作计划,测评指导书,技术和管理安全测评的测评结果记录表格。任务描述:测评人员与被测信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上抽样。具体可参照GB/T28448-2012中的各级要求。输出/产品:技术和管理安全测评的测评结果记录。12 G/T 28449-2012 8.2.2.2
37、 检查检查可细分为文档审查、配置检查和实地查看等几种具体方法:a) 文档审查输入:现场测评工作计划,安全方针文件,安全管理制度,安全管理的执行过程文档,系统设计方案,网络设备的技术资料,系统和产品的实际配置说明,系统的各种运行记录文档,机房建设相关资料,机房出人记录等过程记录文档,测评指导书,管理安全测评的测评结果记录表格。任务描述:三级:符合GB/T22239-2008中的三级要求,测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,测试系统是否符合可用性和可靠性的要求。四级:符合GB/T22239一2008中的四级要求,测评其实施的正确性和有效性,检查配置的完整性,测试
38、网络连接规则的一致性,测试系统是否符合可用性和可靠性的要求。输出/产品:技术安全测评的网络、主机、应用测评结果记录。c) 实地察看输入:测评指导书,物理安全和管理安全测评结果记录表格。任务描述:13 、-G/T 28449-2012 根据被测信息系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否符合相应等级的安全要求。下面列出对不同等级信息系统在测评实施时的不同强度要求。一级:符合GB/T22239一-2008中的一级要求。二级:符合GB/T22239-2008中的二级要求。三级:
39、符合GB/T22239-2008中的三级要求,判断实地观察到的情况与制度和文档中说明的情况是否一致,检查相关设备、设施的有效性和位置的正确性,与系统设计方案的一致性。四级:符合GB/T22239-2008中的四级要求,判断实地观察到的情况与制度和文档中说明的情况是否一致,检查相关设备、设施的有效性和位置的正确性,与系统设计方案的一致性。输出/产品:技术安全测评的物理安全和管理安全测评结果记录。8.2.2.3 测试输入:现场测评工作计划,测评指导书,技术安全测评的网络、主机、应用测评结果记录表格。任务描述:的根据测评指导书,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗
40、透性测试、功能测试、性能测试、入侵检测和协议分析等。b) 备份测试结果。下面列出对不同等级信息系统在测评实施时的不同强度要求。一级:符合GB/T22239-2008中的一级要求。二级:符合GB/T22239-2008中的二级要求,针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描等。三级:符合GB/T22239-2008中的三级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。四级:符合GB/T22239-2008中的四级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一
