信息安全测试检测

信息安全测试检测目录1、概述21.1信息安全风险评估的概念与依据21.2信息安全等级保护的定义21.3涉密系统测评的两种形式32、信息安全测试检测的重要性41.1信息安全风险评估的意义和作用。41.2信息安全等级保护测评的意义41.3涉密系统测评的意义53、涉密信息系统测评要点分析53.1应首先核实管理体系文件能否被执行53.2应从全局角度确认管理体系的完整性53.3采用风险分析的方法来确认具体63.4应掌握评价管理制度可操作性的关键要素63.5管理体系应能够自我改进74. 信息安全等级保护测评中应关注的几项问题85、信息安全风险评估策划阶段关键问题95.1确定风险评估范围95.2确定风险评估目标95.3建立适当的组织机构105.4建立系统性风险评估方法105.5获得最高管理者对风险评估策划的批准115.6总结11信息安全测试检测是一种统称的概念。用来概括信息系统风险评估、级别保护测评和涉密系统测评三项信息安全面的测试检测工作。信息系统风险评估、级别保护测评和涉密系统测评这三种实现信息安全的措施都是目前国内进行信息安全保障工作的重要内容和手段，信息安全测试检测概念的提出对于规范和明确信息安全平常工作具有重要作用。1、概述一般来讲，信息安全测试检测涉及风险评估、级别保护测评以及涉密系统测评。以上3种检测都需要相应的检测资质，例如风险评估工作需要风险评估资质，级别保护测评需要级别保护资质，资质不能混用，全国目前同步具有以上3种检测资质的单位并不多，具理解，山东省软件评测中心同步具有风险评估、级别保护、涉密系统3种检测资质。1.1信息安全风险评估的概念与根据风险评估是对信息及信息解决设施的威胁、影响、脆弱性及三者发生的也许性的评估。它是确认安全风险及其大小的过程，即运用定性或定量的措施，借助于风险评估工具，拟定信息资产的风险级别和优先风险控制。风险评估是风险管理的最主线根据，是对既有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一。公司在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运营、内网与外网互联、与第三方业务伙伴进行网上业务数据传播、电子政务等业务之前，进行风险评估会协助组织在一种安全的框架下进行组织活动。它通过风险评估来辨认风险大小，通过制定信息安全方针，采用合适的控制目的与控制方式对风险进行控制，使风险被避免、转移或降至一种可被接受的水平。1.2信息安全级别保护的定义信息安全级别保护是对信息和信息载体按照重要性级别分级别进行保护的一种工作，在中国、美国等诸多国家都存在的一种信息安全领域的工作。在中国，信息安全级别保护广义上为波及到该工作的原则、产品、系统、信息等均根据级别保护思想的安全工作；狭义上称为的一般指信息系统安全级别保护，是指对国家安全、法人和其她组织及公民的专有信息以及公开信息和存储、传播、解决这些信息的信息系统分级别实行安全保护，对信息系统中使用的信息安全产品实行按级别管理，对信息系统中发生的信息安全事件分级别响应、处置的综合性工作。1.2.1信息安全级别保护工作内容信息安全级别保护工作涉及定级、备案、安全建设和整治、信息安全级别测评、信息安全检查五个阶段，山东省软件评测中心作为公安部授权的第三方测评机构，为企事业单位提供免费专业的信息安全级别测评征询服务。信息系统安全级别测评是验证信息系统与否满足相应安全保护级别的评估过程。信息安全级别保护规定不同安全级别的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全级别相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等互相关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的构造以及安全控制间、层面间和区域间的互相关联关系密切有关。因此，信息系统安全级别测评在安全控制测评的基本上，还要涉及系统整体测评。1.3涉密系统测评的两种形式涉密信息系统测评重要有两种形式，即自我检测和检查评估。一般意义上的委托评估从保密管理的规定来看不合用于涉密信息系统。自我检测是涉密信息系统拥有者重要进行的平常的检查测评，是保障涉密信息系统平常安全的重要手段。因此在国家保密局指引和有关保密原则的指引下，各部门各单位对所拥有的涉密信息系统进行自我检测应成为涉密系统测评的重要方式。检查评估是国家保密局授权的，经中央批准成立的专门评估机构实行。可以在已建涉密信息系统安全改善方案设计之迈进行，作为设计方案的根据；可以在已建涉密信息系统审批运营之迈进行，作为保密局审批的根据；也可以在已建涉密信息系统开通运营一段时间之后进行，作为控制新的安全风险的根据。2、信息安全测试检测的重要性信息安全测试检测作为保障信息安全的重要措施有着不可替代的作用。合理有效的测试检测可以发现信息系统中存在的问题，防患于未然。1.1信息安全风险评估的意义和作用。（1）.风险评估是信息系统安全的基本性工作，它是观测过程的一种持续的工作。（2）.风险评估是分级防护和突出重点的具体体现。前面讲了级别保护，她有一种重要的思想，级别保护的出发点就是要突出重点，要突出重点要害部位，分级负责，分层实行。（3）.加强风险评估工作是目前信息安全工作的客观需要和急切需求。风险评估对信息系统生命周期的支持，生命周期有几种阶段，有规划和启动阶段，设计开发或采购阶段等等。信息系统在设计阶段的时候，目前人们很关注的还是在设计阶段，国家对这方面也做了诸多的工作。 信息安全风险评估的目的和目的，信息系统安全风险评估的总体目的是认清信息安全环境、信息安全状况，有助于达到公式，明确责任，采用或完善安全保障措施，使其更加经济有效，并使信息安全方略保持一致性和持续性，这是一种非常非常重要的问题。我们检查性的评估，都是为了使信息安全评估方略贯彻得到始终如一的支持。1.2信息安全级别保护测评的意义目前信息系统安全保护级别的划分共分为五级，分别为自主保护级、指引保护级、监督保护级、强制保护级以及专控保护级。实行信息安全级别保护意义重大，不仅有助于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设协调发展，并且为信息系统安全建设和管理提供了系统性、针对性、可行性的指引和服务，有效控制了信息安全建设成本。同步，信息安全级别保护对信息安全资源的配备进行了优化，重点保障了关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。需要重点提到的是，信息安全级别保护明确了国家、法人和其她组织、公民的信息安全责任，进一步加强了信息安全管理。1.3涉密系统测评的意义涉密系统测评有助于在保障涉密系统在运营过程中的持续性，对于平常系统运营风险有良好的防备作用，此外涉密系统测评可以保护涉密信息的安全性，减少信息安全风险。3、涉密信息系统测评要点分析在涉密信息系统测评实践中，因测评人员对国家保密原则理解的差别性，导致在评价时存在不一致、不规范的状况。针对这种状况，根据参与涉密信息系统测评工作规定，对如何评价涉密信息系统安全保密管理体系的有效性进行分析，提出测评时应注意把握的测评要点。3.1应一方面核算管理体系文献能否被执行在涉密信息系统测评中，涉密信息系统建设使用单位一般均会根据国家保密原则制定有关管理体系文献，并拟定有关责任部门和人员。但其所建立的管理体系能否被执行，不能仅仅简朴依托涉密信息系统建设使用单位人员的状况简介，而应规定建设使用单位提供证明。 测评实践中一种状况是涉密信息系统建设使用单位可以提供成型的管理体系文献，但这些文献却并未通过正式发布确认，甚至还只是讨论稿。另一种况是有的单位虽然正式发布了安全保密管理体系文献，但发布的部门不具有相应权限，只能保证管理体系在本部门内被执行，无法保证管理体系在整个单位内被执行。此外，测评实践中发现，涉密信息系统建设使用单位往往将管理文献汇编并标定为涉密文献，按涉密文献进行管理，其印制的份数有限，也难于借阅。这样做虽然有助于对单位安全保密管理体系文献的保护，但同步也导致管理人员难以在需要时及时获得有关管理文献。3.2应从全局角度确认管理体系的完整性 对于已建立的管理体系，在核查其与否可以覆盖涉密信息系统安全保密管理的各个方面时，测评人员往往简朴地从原则的各项具体条款入手，逐条查找相应的管理文献中与否设立了相应的规定。这种方式不仅操作繁琐，并且容易导致难以从全局的角度审视其管理体系的完整性。实际测评时应一方面请涉密信息系统建设使用单位熟悉其安全保密管理体系的人员简介管理体系文献的构成、互相关系、与保密原则的比对状况，之后再通过审视管理体系各个文献中所描述的合用范畴，从全局的宏观角度确认其管理体系与否存在缺失。3.3采用风险分析的措施来确认具体管理规定的合规性安全保密管理的具体规定与保密原则条款的符合性是系统测评时必须重点核查的内容。由于各项管理规定往往是根据涉密信息系统建设使用单位的具体状况制定的，若仅仅简朴地核查管理规定的文字内容同原则中有关条款文字的符合性，则易于失去系统测评风险分析的本质，将合规性检查变成了文字核查。实际测评中，测评人员不仅要熟悉原则中各项条款的规定，更要明白各项规定中隐含的风险分析的思想与实质，采用风险分析的措施去判断各项管理规定同原则有关条款的符合性。对于具体管理规定的合规性鉴定，测评人员一方面要进一步理解原则有关规定背后所波及的风险；另一方面要学会采用风险分析的措施，在涉密信息系统建设使用单位管理人员的充足配合下进行综合分析，而不应拘泥于具体的文字表述。3.4应掌握评价管理制度可操作性的核心要素安全保密管理制度的可操作性是保证整个管理体系正常、有效运转的基本。实际测评中，可以从如下几方面考察有关管理制度的可操作性。（1） 与否明确了管理责任的主体任何一项管理制度一方面应明确所规定的管理事项针对的责任主体，即谁对此项规定的执行负责。（2）与否明确了管理的客体有关具体事务的管理规定中各条款一般均会波及被管理的对象，即管理的客体。清晰、明确的管理客体，是该项制度可操作性强的重要前提。（3）与否明确了操作的流程有关具体事务的管理规定中若仅仅是提出规定，而没有具体的操作流程，则实际操作中容易因操作人员的水平、安全保密意识等的差别导致操作成果不同，甚至浮现严重的安全保密事故。（4）与否明确了管理事项发生的具体时间、周期或触发条件保密原则中明确了必须定期开展的多项管理事项，但在涉密信息系统建设使用单位制定管理制度时，却很少结合自身状况拟定开展有关事项的周期、时间或触发条件，这往往导致有关规定流于形式，不仅难以监督，并且还容易导致实际操作中必要环节的缺失。（5）管理事项应可审计涉密信息系统由于安全保密管理失当导致浮现安全保密事故，其成果往往存在影响大、责任重、解决严的特点。为杜绝浮现安全保密管理责任事故、明确有关管理责任，也为发生事故后可以及时追查因素、减小事故导致的损失、定位负责人员或环节，以及提出合理的解决意见，必须加强涉密信息系统安全保密管理中重要事项、重点环节的审计。3.5管理体系应可以自我改善涉密信息系统的安全保密管理不是一成不变的，而是随着技术的发展、网络构造的变化、顾客的增减、人员安全保密结识的不断进一步等状况动态变化的。涉密信息系统的安全保密管理体系只有具有了随着来自内部或外部的变化，不断自我适应、自我完善的能力，才干实现保护国家秘密这一最后目的。国家保密原则中也指出要通过度析异常事件、定期自评估和检查评估等手段，发现安全保密管理的单薄环节并不断改善完善。因此，在测评实践中，要分析被测涉密信息系统的安全保密管理体系与否具有自我改善的能力，以避免在涉密信息系统开通运营一段时间后，浮现安全保密管理体系与实际的管理需求不相适应的状况。 4. 信息安全级别保护测评中应关注的几项问题保障信息安全已成为目前信息化发展中迫切需要解决的重大问题，信息系统安全级别保护的贯彻和实行势在必行。信息系统安全级别保护的核心是对信息系统分级别和按原则进行建设、管理和监督。要突出重点、分级负责、分类指引、分步实行，按照谁主管谁负责、谁运营谁负责、谁使用谁负责的规定，有效贯彻级别保护责任和措施。（1）科学定级，严格备案。信息系统的运营、使用单位必须按照级别保护的管理规范和技术原则，拟定其信息系统的安全保护级别。对重要信息系统，其运营、使用单位及其主管部门应通过专家委员会的安全评审。安全保护级别在二级以上的信息系统，以及跨地区的信息系统应按规定向管辖公安机关备案。（2）建设整治，贯彻措施。对已有的信息系统，其运营、使用单位要根据已经拟定的信息安全保护级别，按照级别保护的管理规范和技术原则，采购和使用相应级别的信息安全产品，贯彻安全技术措施，完毕系统整治。对新建、改建、扩建的信息系统，应当按照级别保护的管理规范和技术原则进行信息系统的规划设计、建设施工。（3）自查自纠，贯彻规定。信息系统的运营、使用单位及其主管部门要按照级别保护的管理规范和技术原则，对已经完毕安全级别保护建设的信息系统，定期进行安全状况检测评估，及时消除安全隐患和漏洞，发现问题及时整治，不断加强信息安全级别保护能力。（4）监督检查，完善保护。公安机关要按照级别保护的管理规范和技术原则的规定，重点对三级及以上安全级别的信息系统进行监督检查。发现安全保护不符合管理规范和技术原则的，要告知有关部门限期整治，保证信息安全级别保护的完善实行。在实行过程中，信息系统的运营、使用单位要谨防测评风险。特别是金融系统要加强风险管控，严防测评过程中突发事故和泄密事件的发生。各级金融公司、单位要按照中国人民银行发布的有关原则规定，严格选择符合资质的测评机构和测评人员，同步要加强级别测评的资源管理和过程管理，做好测评设备和过程的隔离和封闭，保证测评过程在安全可控的前提下规范化实行。对级别测评中发现的问题，要及时采用防备措施加以防控或缓释，并进一步制定和贯彻相应的整治方案，使信息系统的安全级别保护得以有效贯彻。5、信息安全风险评估筹划阶段核心问题随着各类组织的信息化限度的提高，组织业务运作的过程中生成大量的数据，组织的发展对信息的依赖限度也越来越大，这样信息安全管理成了组织风险管理的重要构成部分。如何保障信息安全是每个现代组织所面临的共同问题，信息安全风险评估逐渐被引入组织的管理体系当中。信息安全风险评估作为一种过程，应当特别注意其筹划阶段的活动。 5.1拟定风险评估范畴风险评估作为一种过程，或者说一种项目，在最初应拟定其范畴。组织进行风险评估也许是由于自身商业规定及战略目的的规定，有关方的规定或其她因素，因此应根据上述因素拟定风险评估范畴。范畴也许是组织所有的信息和信息系统，也许是单独的信息系统，也许是组织的核心业务流程，也也许是客户的知识产权。这样在体系建立过程中的风险评估就针对这样的范畴进行，以满足有关方的规定。组织在拟定范畴的时候，不应当是随便指定一种范畴，而是应当苏醒的分析组织业务战略的规定，否则整个风险评估也许耗费大量的资源，却没有达到预期的效果。如果风险评估的范畴过大，常常会导致对于收集到的信息进行分析分析时感到困难，设定一种对于组织来说“易于管理”的范畴对于风险评估的项目安排及活动的实行都会减少其难度。5.2拟定风险评估目的组织应明确风险评估的目的，为风险评估的过程提供导向。组织内的信息、系统、应用软件和网络是组织重要的资产。资产的保密性，完整性和可用性对于维持竞争优势和组织形象是必要的。组织要面对来自四周八方日益增长的安全威胁。一种组织的系统、应用软件和网络也许是严重威胁的目的。同步，由于组织的信息化限度不断提高，对基于信息系统和服务技术的依赖日益增长，一种组织则也许浮现更多的脆弱性。组织的风险评估的目的基本上来源于组织业务持续发展的需要、满足有关方的规定、满足法律法规的规定等方面。5.3建立合适的组织机构组织在进行风险评估时，完全将其委托给外部的信息安全专家是不合适的，针对上面所定义的风险评估范畴及目的，组织应建立合适的组织构造，以支持整个过程的推动，如成立由管理层、有关业务骨干、IT技术人员等构成的风险评估小组。组织机构的建立应考虑其构造和复杂限度。完备的组织机构可以保证风险评估过程中的职责得到明确的定义，可以从管理和技术两方面结识组织的安全状态，可以保证风险评估过程中的沟通与决策。5.4建立系统性风险评估措施国内目前也在积极应对各类组织日趋增长的风险评估、风险管理的需求，起草适应国内国情的风险评估、风险管理指南，立足于国内信息化建设现状，对国内目前信息安全风险评估实践工作的总结、归纳、简化与提高。笔者在这里不想谈论多种原则指南的具体措施和过程。只但愿对于组织在面对如此众多的原则及指南的时候如何选择的问题，提几点建议。风险评估的基本理论波及到的要素及互相关系在各个原则及指南中的体现基本相似，但在各个原则及指南中都存在着一定的特殊性规定及过程。组织在风险评估筹划阶段可以考虑范畴、目的、时间、效果、组织文化、人员素质以及具体开展的限度等因素来拟定评估的措施，使之可以与组织的环境和安全规定相适应，对整个评估过程的成败具有决定性作用。在选择了参照的原则或指南之后，基本上拟定了评估的措施论及评估流程，但是某些具体的准则的制定还是因组织的不同而不同的。因此选择合适的原则或指南制定明确的评估流程，筹划适应组织的评估措施及科学的评估参照准则，是组织应当多花一点时间的，必要时我中心建议可以在小范畴内试点，以检查筹划的评估流程。组织在选择自评估的指南时，在某些核心阶段引入外部专家的培训也许也是在筹划时应当考虑的问题，毕竟风险评估还是一种专业性较强的过程。评估过程中还也许选择某些辅助的工具，这里所说的工具是指风险评估过程软件，不涉及类似于漏洞扫描之类的工具。虽然目前的多种工具并不是太成熟，但工具的成本投入一般较高，在选择的时候应当与筹划的评估措施相适应，可以通过试用版检查一下其合用性。5.5获得最高管理者对风险评估筹划的批准风险评估成败的核心性因素之一就是领导作用的体现。领导者的关注、资金的支持、资源的提供是风险评估项目过程中，组织的领导层应当充当的角色。风险评估的筹划应充足考虑组织的商业需求及战略目的、公司文化、业务流程、安全规定、规模和构造、员工素质等因素，因此作为组织的最高管理者应当从全局的角度对风险评估的筹划成果进行评审。评估的范畴和目的与否明确，与否合理；风险评估的流程及措施与否可以与公司文化及员工素质相适应；所提出的安全规定及所覆盖的业务流程与否符合组织的战略目的的规定，这些都应当得到最高管理者及管理层的认同。并且应当将批准的成果向评估范畴所覆盖的部门及人员进行沟通，充足体现全员参与的原则也是保证风险评估过程及评估成果不浮现较大偏差的保证。5.6总结风险评估作为一种系统的过程，完善的筹划过程十分重要，本文仅仅对某些重要的因素做了粗浅的讨论，但愿可以对组织进行风险评估时的具体实行提供一点参照。相信通过人们的共同努力，我们必将建立适应国内国情、科学、系统的风险评估指南，使风险评估可以运用更科学的措施，不断提高水平，从而增进国内信息安全保障体系的建立，并进而推动国内信息化的建设历程。