信息安全技术信息系统安全等级保护测评要求word精品文档150页.docx
《信息安全技术信息系统安全等级保护测评要求word精品文档150页.docx》由会员分享,可在线阅读,更多相关《信息安全技术信息系统安全等级保护测评要求word精品文档150页.docx(200页珍藏版)》请在冰点文库上搜索。
信息安全技术信息系统安全等级保护测评要求word精品文档150页
信息安全技术信息系统安全等级保护基本要求
要练说,先练胆。
说话胆小是幼儿语言发展的障碍。
不少幼儿当众说话时显得胆怯:
有的结巴重复,面红耳赤;有的声音极低,自讲自听;有的低头不语,扯衣服,扭身子。
总之,说话时外部表现不自然。
我抓住练胆这个关键,面向全体,偏向差生。
一是和幼儿建立和谐的语言交流关系。
每当和幼儿讲话时,我总是笑脸相迎,声音亲切,动作亲昵,消除幼儿畏惧心理,让他能主动的、无拘无束地和我交谈。
二是注重培养幼儿敢于当众说话的习惯。
或在课堂教学中,改变过去老师讲学生听的传统的教学模式,取消了先举手后发言的约束,多采取自由讨论和谈话的形式,给每个幼儿较多的当众说话的机会,培养幼儿爱说话敢说话的兴趣,对一些说话有困难的幼儿,我总是认真地耐心地听,热情地帮助和鼓励他把话说完、说好,增强其说话的勇气和把话说好的信心。
三是要提明确的说话要求,在说话训练中不断提高,我要求每个幼儿在说话时要仪态大方,口齿清楚,声音响亮,学会用眼神。
对说得好的幼儿,即使是某一方面,我都抓住教育,提出表扬,并要其他幼儿模仿。
长期坚持,不断训练,幼儿说话胆量也在不断提高。
引言
一般说来,“教师”概念之形成经历了十分漫长的历史。
杨士勋(唐初学者,四门博士)《春秋谷梁传疏》曰:
“师者教人以不及,故谓师为师资也”。
这儿的“师资”,其实就是先秦而后历代对教师的别称之一。
《韩非子》也有云:
“今有不才之子……师长教之弗为变”其“师长”当然也指教师。
这儿的“师资”和“师长”可称为“教师”概念的雏形,但仍说不上是名副其实的“教师”,因为“教师”必须要有明确的传授知识的对象和本身明确的职责。
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2019]27号)、《关于信息系统安全等级保护工作的实施
要练说,得练看。
看与说是统一的,看不准就难以说得好。
练看,就是训练幼儿的观察能力,扩大幼儿的认知范围,让幼儿在观察事物、观察生活、观察自然的活动中,积累词汇、理解词义、发展语言。
在运用观察法组织活动时,我着眼观察于观察对象的选择,着力于观察过程的指导,着重于幼儿观察能力和语言表达能力的提高。
意见》(公通字[2019]66号)和《信息安全等级保护管理办法》(公通字[2019]43号)等有关文件要求,制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:
——GB/T22240-2019信息安全技术信息系统安全等级保护定级指南;
——GB/T22239-2019信息安全技术信息系统安全等级保护基本要求;
——GB/TAAAA-AAAA信息安全技术信息系统安全等级保护实施指南。
一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。
本标准针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指
导测评人员从信息安全等级保护的角度对信息系统进行测试评估。
单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。
整体测评根据安全控制点间、层面间和区域
间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。
本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。
如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。
在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。
信息系统安全等级保护测评要求
1范围
本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测
评要求。
本标准略去对第五级信息系统进行单元测评的具体内容要求。
本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。
信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使
用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否
可使用这些文件的最新版本。
不注日期的引用文件,其最新版本适用于本标准。
GB/T5271.8信息技术词汇第8部分:
安全
GB/T22239-2019信息安全技术信息系统安全等级保护基本要求
3术语和定义
GB/T5271.8和GB/T22239-2019所确立的以及下列术语和定义适用于本标准。
3.1测评力度testingandevaluationintensity
测评工作实际投入力量的表征,可以由测评广度和深度来描述。
4总则
4.1测评原则
a)客观性和公正性原则
测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
b)经济性和可重用性原则
基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。
所有重用的结果,都应基于这些结果还能适用于目前的系统,能反映
目前系统的安全状态。
c)可重复性和可再现性原则
无论谁执行测评,依照同样的要求,使用同样的方法,对每个测评实施过程的重复执行都应该得到同样的测评结果。
可再现性体现在不同测评者执行相同测评的结果的一致性。
可重复性体现在同一测评
者重复执行相同测评的结果的一致性。
d)符合性原则
测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。
测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。
4.2测评内容
信息系统安全等级测评主要包括单元测评和整体测评两部分。
单元测评是等级测评工作的基本活动,每个单元测评包括测评指标、测评实施和结果判定三部分。
其中,测评指标来源于GB/T22239-2019中的第五级目录中的各要求项(详见4.5节说明),测评实施描述测评过程中使用的具体测评方法、涉及的测评对象和具体测评取证过程的要求,结果判定描述测评
人员执行测评实施并产生各种测评数据后,如何依据这些测评数据来判定被测系统是否满足测评指标要求的原则和方法。
整体测评是在单元测评的基础上,通过进一步分析信息系统的整体安全性,对信息系统实施的综合安全测评。
整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评以及系统结构的安全
测评等。
整体测评需要与信息系统的实际情况相结合,因此全面地给出整体测评要求的全部内容、具体实施过程和明确的结果判定方法是非常困难的,测评人员应根据被测系统的实际情况,结合本标准的要求,实施整体测评。
测评方法指测评人员在测评实施过程中所使用的方法,主要包括访谈、检查和测试三种测评方法。
其中,访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员
理解、分析或取得证据的过程,检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程,测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程。
测评对象指测评实施的对象,即测评过程中涉及到的信息系统的相关人员、制度文档、各类设备及其安全配置等。
4.3测评力度
测评力度是在测评过程中实施测评工作的力度,反映测评的广度和深度,体现为测评工作的实际投入程度。
测评广度越大,测评实施的范围越大,测评实施包含的测评对象就越多;测评深度越深,越需要在细节上展开,测评就越严格,因此就越需要更多的投入。
投入越多,测评力度就越强,测评就越有保证。
测评的广度和深度落实到访谈、检查和测试三种不同的测评方法上,能体现出测评实施过程中谈、检查和测试的投入程度的不同。
信息安全等级保护要求不同安全保护等级的信息系统应具有不同的安全保护能力,满足相应等级的保护要求。
为了检验不同安全保护等级的信息系统是否具有相应等级的安全保护能力,是否满足相应等级的保护要求,需要实施与其安全保护等级相适应的测评,付出相应的工作投入,达到应有的测评力度。
第一级到第四级信息系统的测评力度反映在访谈、检查和测试等三种基本测评方法的测评广度和深度上,落实在不同单元测评中具体的测评实施上。
不同安全保护等级的信息系统在总体上所对应的测评力度在附录A中描述。
4.4结果重用
在信息系统中,有些安全控制可以不依赖于其所在的地点便可测评,即在其部署到运行环境之前便可以接受安全测评。
一些商用安全产品的测评就属于这种安全测评。
如果一个信息系统部署和安装在多个地点,且系统具有一组共同的软件、硬件、固件等组成部分,对这些安全控制的测评可以集中在一个集成测试环境中实施,如果没有这种环境,则可以在其中一个预定的运行地点实施,在其他运行地点的安全测评便可重用此测评结果。
在信息系统所有安全控制中,有一些安全控制与它所处于的运行环境紧密相关(如与人员或物理有关的某些安全控制),对其测评必须在分发到相应运行环境中才能进行。
如果多个信息系统处在地域临近的封闭场地内,系统所属的机构在同一个领导层管理之下,对这些安全控制在多个信息系统中进行重复测评,可能是对有效资源的一种浪费。
因此,可以在一个选定的信息系统中进行测评,其他相关信息系统可以直接重用这些测评结果。
4.5使用方法
本标准第5章到第8章分别描述了第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统所有单元测评的内容,在章节上分别对应国标GB/T22239-2019的第5章到第8章。
在国标GB/T
22239-2019第5章到第8章中,各章的二级目录都分为安全技术和安全管理两部分,三级目录从安全层面(如物理安全、网络安全、主机安全等)进行划分和描述,四级目录按照安全控制点进行划分和描
述(如主机安全层面下分为身份鉴别、访问控制、安全审计等),第五级目录是每一个安全控制点下面包括的具体安全要求项(以下简称“要求项”,这些要求项在本标准中被称为“测评指标”)。
本标准中
针对每一个安全控制点的测评就构成一个单元测评,单元测评中的每一个具体测评实施要求项(以下简称“测评要求项”)是与安全控制点下面所包括的要求项(测评指标)相对应的。
在对每一要求项进行
测评时,可能用到访谈、检查和测试三种测试方法,也可能用到其中一种或两种,为了描述简洁,在测评要求项中,没有针对每一个要求项分别进行描述,而是对具有相同测评方法的多个要求项进行了合
并描述,但测评实施的内容完全覆盖了GB/T22239-2019中所有要求项的测评要求,使用时,应当从单元测评的测评实施中抽取出对于GB/T22239-2019中每一个要求项的测评要求,并按照这些测评要求
开发测评指导书,以规范和指导安全等级测评活动。
测评过程中,测评人员应注意对测评记录和证据的采集、处理、存储和销毁,保护其在测评期间免遭破坏、更改或遗失,并保守秘密。
测评的最终输出是测评报告,测评报告应结合第11章的要求给出等级测评结论。
5第一级信息系统单元测评
5.1安全技术测评
5.1.1物理安全
5.1.1.1物理访问控制
5.1.1.1.1测评指标
见GB/T22239-20195.1.1.1。
5.1.1.1.2测评实施
本项要求包括:
a)应访谈物理安全负责人,了解部署了哪些控制人员进出机房的保护措施;
b)应检查是否有专人负责机房的出入控制且有进入机房人员的登记记录。
5.1.1.1.3结果判定
如果5.1.1.1.2b)为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.1.2防盗窃和防破坏
5.1.1.2.1测评指标
见GB/T22239-20195.1.1.2。
5.1.1.2.2测评实施
本项要求包括:
a)应访谈物理安全负责人,了解采取了哪些防止设备、介质等丢失的保护措施;
b)应检查关键设备是否放置在机房内或其它不易被盗窃和被破坏的可控范围内;
c)应检查关键设备或设备的主要部件的固定情况,查看其是否不易被移动或被搬走,是否设置明显的不易除去的标记。
5.1.1.2.3结果判定
如果5.1.1.2.2b)和c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.1.3防雷击
5.1.1.3.1测评指标
见GB/T22239-20195.1.1.3。
5.1.1.3.2测评实施
本项要求包括:
a)应访谈物理安全负责人,询问机房建筑是否设置了避雷装置,是否通过验收或国家有关部门的技术检测;
b)应检查机房建筑是否有避雷装置。
5.1.1.3.3结果判定
如果5.1.1.3.2b)为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.1.4防火
5.1.1.4.1测评指标
见GB/T22239-20195.1.1.4。
5.1.1.4.2测评实施
本项要求包括:
a)应访谈物理安全负责人,询问机房是否设置了灭火设备,是否制定了有关机房消防的管理制度和消防预案,是否进行了消防培训;
b)应检查机房是否设置了灭火设备,灭火设备摆放位置是否合理,其有效期是否合格。
5.1.1.4.3结果判定
如果5.1.1.4.2a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.1.5防水和防潮
5.1.1.5.1测评指标
见GB/T22239-20195.1.1.5。
5.1.1.5.2测评实施
本项要求包括:
a)应访谈物理安全负责人,询问机房是否部署了防水防潮措施,是否没有出现过漏水和返潮事件;如果机房内有上/下水管安装,则查看是否采取必要的保护措施;
b)应检查穿过主机房墙壁或楼板的管道是否采取必要的防渗防漏等防水保护措施;
c)应检查机房的窗户、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象,机房及其环境是否不存在明显的漏水和返潮的威胁;如果出现漏水、渗透和返潮现象是否能够及时修复解决。
5.1.1.5.3结果判定
如果5.1.1.5.2b)和c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.1.6温湿度控制
5.1.1.6.1测评指标
见GB/T22239-20195.1.1.6。
5.1.1.6.2测评实施
本项要求包括:
a)应访谈物理安全负责人,询问机房是否配备了空调等温湿度控制设施,保证温湿度能够满足计算机设备运行的要求,是否在机房管理制度中规定了温湿度控制的要求;
b)应检查空调设备是否能够正常运行,检查机房温湿度是否满足计算站场地的技术条件要求。
5.1.1.6.3结果判定
如果5.1.1.6.2b)为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.1.7电力供应
5.1.1.7.1测评指标
见GB/T22239-20195.1.1.7。
5.1.1.7.2测评实施
本项要求包括:
a)应访谈物理安全负责人,询问计算机系统供电线路上是否设置了稳压器和过电压防护设备;
b)应检查机房,查看计算机系统供电线路上是否设置了稳压器和过电压防护设备,这些设备是否正常运行。
5.1.1.7.3结果判定
如果5.1.1.7.2b)为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.2网络安全
5.1.2.1结构安全
5.1.2.1.1测评指标
见GB/T22239-20195.1.2.1。
5.1.2.1.2测评实施
本项要求包括:
a)应访谈网络管理员,询问关键网络设备的业务处理能力是否满足基本业务需求;
b)应访谈网络管理员,询问接入网络及核心网络的带宽是否满足基本业务需要;
c)应检查网络拓扑结构图,查看其与当前运行的实际网络系统是否一致。
5.1.2.1.3结果判定
本项要求包括:
a)如果5.1.2.1.2c)中缺少网络拓扑结构图,则为否定;
b)如果5.1.2.1.2a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.2.2访问控制
5.1.2.2.1测评指标
见GB/T22239-20195.1.2.2。
5.1.2.2.2测评实施
本项要求包括:
a)应访谈安全管理员,询问网络访问控制的措施有哪些;询问网络访问控制设备具备哪些访问控制功能;
b)应检查边界网络设备,查看是否有正确的访问控制列表,以通过源地址、目的地址、源端口、目的端口、协议等进行网络数据流控制,其控制粒度是否至少为用户组。
5.1.2.2.3结果判定
如果5.1.2.2.2b)为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.2.3网络设备防护
5.1.2.3.1测评指标
见GB/T22239-20195.1.2.3。
5.1.2.3.2测评实施
本项要求包括:
a)应访谈网络管理员,询问关键网络设备的防护措施有哪些;询问关键网络设备的登录和验证方式做过何种配置;询问远程管理的设备是否采取措施防止鉴别信息泄漏;
b)应检查边界和关键网络设备,查看是否配置了对登录用户进行身份鉴别的功能;
c)应检查边界和关键网络设备,查看是否配置了鉴别失败处理功能;
d)应检查边界和关键网络设备,查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能。
5.1.2.3.3结果判定
如果5.1.2.3.2b)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.3主机安全
5.1.3.1身份鉴别
5.1.3.1.1测评指标
见GB/T22239-20195.1.3.1。
5.1.3.1.2测评实施
本项要求包括:
a)应访谈系统管理员和数据库管理员,询问操作系统和数据库管理系统的身份标识与鉴别机制采取何种措施实现;
b)应检查关键服务器操作系统和关键数据库管理系统,查看是否提供了身份鉴别措施。
5.1.3.1.3结果判定
如果5.1.3.1.2b)为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.3.2访问控制
5.1.3.2.1测评指标
见GB/T22239-20195.1.3.2。
5.1.3.2.2测评实施
本项要求包括:
a)应检查关键服务器操作系统的安全策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等进行了禁用或删除;
b)应检查关键服务器操作系统和关键数据库管理系统,查看匿名/默认帐户的访问权限是否已被禁用或者限制,是否删除了系统中多余的、过期的以及共享的帐户;
c)应检查关键服务器操作系统和关键数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制。
5.1.3.2.3结果判定
如果5.1.3.2.2a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.3.3入侵防范
5.1.3.3.1测评指标
见GB/T22239-20195.1.3.3。
5.1.3.3.2测评实施
本项要求包括:
a)应访谈系统管理员,询问操作系统中所安装的系统组件和应用程序是否都是必须的,询问操作系统补丁更新的方式和周期;
b)应检查关键服务器操作系统和关键数据库管理系统的补丁是否得到了及时更新。
5.1.3.3.3结果判定
如果5.1.3.3.2b)肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.3.4恶意代码防范
5.1.3.4.1测评指标
见GB/T22239-20195.1.3.4。
5.1.3.4.2测评实施
本项要求包括:
a)应访谈系统安全管理员,询问主机系统是否采取恶意代码实时检测与查杀措施,恶意代码实时检测与查杀措施的部署覆盖范围如何;
b)应检查关键服务器,查看是否安装了实时检测与查杀恶意代码的软件产品并进行及时更新。
5.1.3.4.3结果判定
如果5.1.3.4.2b)为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.4应用安全
5.1.4.1身份鉴别
5.1.4.1.1测评指标
见GB/T22239-20195.1.4.1。
5.1.4.1.2测评实施
本项要求包括:
a)应访谈应用系统管理员,询问应用系统是否有专用的登录控制模块对登录的用户进行身份标识和鉴别,具体采取的鉴别措施是什么;
b)应访谈应用系统管理员,询问应用系统是否具有登录失败处理功能;
c)应访谈应用系统管理员,询问应用系统是否采取措施防止鉴别信息传输过程中被窃听,具体措施是什么;
d)应检查关键应用系统,查看其是否提供身份标识和鉴别功能;
e)应检查关键应用系统,查看其提供的登录失败处理功能,是否根据安全策略配置了相关参数。
5.1.4.1.3结果判定
如果5.1.4.1.2d)和e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.4.2访问控制
5.1.4.2.1测评指标
见GB/T22239-20195.1.4.2。
5.1.4.2.2测评实施
本项要求包括:
a)应访谈应用系统管理员,询问应用系统是否提供访问控制措施,以及具体措施和访问控制策略有哪些;
b)应检查关键应用系统,查看系统是否提供访问控制功能控制用户组/用户对系统功能和用户数据的访问;
c)应检查关键应用系统,查看其是否具有由授权用户设置其它用户访问系统功能和用户数据的权限的功能,是否限制默认用户的访问权限;
d)应测试关键应用系统,可通过以不同权限的用户登录系统,查看其拥有的权限是否与系统赋予的权限一致,验证应用系统访问控制功能是否有效。
5.1.4.2.3结果判定
如果5.1.4.2.2b)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.4.3通信完整性
5.1.4.3.1测评指标
见GB/T22239-20195.1.4.3。
5.1.4.3.2测评实施
本项要求包括:
a)应访谈安全管理员,询问应用系统是否具有在数据传输过程中保护其完整性的措施,具体措施是什么;
b)应检查设计或验收文档,查看其是否有关于保护通信完整性的说明。
升级会员 