信息系统安全等级保护--要求、资质、工具和收费课件

信息系统安全等级保护信息系统安全等级保护要求、资质、工具和收费要求、资质、工具和收费信息系统安全等级保护要求要求1资质资质2内容内容工具工具3收费收费4等级测评管理工具等级测评管理工具5要求1资质2内容工具3收费4等级测评管理工具51 1、测评机构要求、测评机构要求-基本条件基本条件（一）（一）在中华人民共和国境内注册成立（港澳台地区除外）；（二）（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（三）（三）产权关系明晰，注册资金100万元以上；（四）（四）从事信息系统检测评估相关工作两年以上；（五）（五）单位法人及主要工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（六）（六）具有胜任等级测评工作的专业技术人员和管理人员，大学本科（含）以上学历所占比例不低于80%。其中测评技术人员不少于10人；（七）（七）具备必要的办公环境、设备、设施及完备的安全管理制度；（八）（八）对国家安全、社会秩序、公共利益不构成威胁;（九）（九）应当具备的其他条件。1、测评机构要求-基本条件（一）在中华人民共和国境内注册成立1 1、测评机构要求、测评机构要求-申请材料申请材料（一）（一）信息安全等级保护测评机构申请书；（二）（二）当地公安网安部门的推荐意见；（三）（三）营业执照及其他注册证明文件；（四）（四）内设组织机构与岗位设置情况表；（五）（五）工作人员基本情况表、证明材料和声明；（六）（六）办公场地、设备与设施情况表；（七）（七）安全测评设备、工具配备情况表；（八）（八）信息系统安全测评能力报告；（九）（九）保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件；（十）（十）需要提供的其他材料。1、测评机构要求-申请材料（一）信息安全等级保护测评机构申1 1、测评机构要求、测评机构要求-业务范围业务范围地方测评机构地方测评机构在本地开展测评业务，行业测评机构行业测评机构在行业内开展测评业务。行业测评机构在地方开展测评业务前，应与本地等级保护协调（领导）小组办公室协调；承担有关部门委托的安全测评专项任务；配合当地公安网安部门对信息系统进行监督、检查；开展风险评估、信息安全培训、咨询服务和信息安全工程监理；为当地信息安全等级保护工作提供技术支持和服务；其他有关文件规定的职责任务。1、测评机构要求-业务范围地方测评机构在本地开展测评业务，行1 1、测评机构要求、测评机构要求-禁止开展的活动禁止开展的活动承担信息系统安全建设整改工作；将等级测评任务分包、外包；信息安全产品开发、营销和信息系统集成活动；限定被测评单位购买、使用其指定的信息安全产品；未经许可占有、使用有关测评信息、资料及数据文件；其他可能影响测评客观、公正的活动。1、测评机构要求-禁止开展的活动承担信息系统安全建设整改工作1 1、测评机构要求、测评机构要求-设施与设备设施与设备1、等级测评机构应具备必要的办公环境、设备、设施和管理系统。2、等级测评机构应具备满足等级测评工作需要的工具，如漏洞扫描器、协议分析仪、性能测试仪和渗透测试工具等。3、等级测评机构应具备符合相关要求的机房以及必要的软、硬件设备，用于满足信息系统仿真、技术培训和模拟测试的需要。1、测评机构要求-设施与设备1、等级测评机构应具备必要的办要求要求1资质资质2内容内容工具工具3收费收费4等级测评管理工具等级测评管理工具5要求1资质2内容工具3收费4等级测评管理工具52 2、测评机构资质、测评机构资质（1）注册资金最好在）注册资金最好在1000万元，营业执照。万元，营业执照。（2）测评机构能力评估报告。）测评机构能力评估报告。（3）测评机构能力评估合格证书。）测评机构能力评估合格证书。（4）测评机构推荐证书。）测评机构推荐证书。（5）测评机构）测评机构ISO9000质量管理体系证书。质量管理体系证书。（6）测评机构计量认证证书。）测评机构计量认证证书。（7）测评机构税务登记证。）测评机构税务登记证。（8）测评机构组织机构代码证。）测评机构组织机构代码证。2、测评机构资质（1）注册资金最好在1000万元，营业执照。2 2、测评机构资质、测评机构资质-注册资金，营业执照注册资金，营业执照2、测评机构资质-注册资金，营业执照2 2、测评机构资质、测评机构资质-测评机构能力评估报告测评机构能力评估报告2、测评机构资质-测评机构能力评估报告2 2、测评机构资质、测评机构资质-测评机构能力评估合格证书测评机构能力评估合格证书2、测评机构资质-测评机构能力评估合格证书2 2、测评机构资质、测评机构资质-测评机构推荐证书测评机构推荐证书2、测评机构资质-测评机构推荐证书2 2、测评机构资质、测评机构资质-测评机构推荐证书测评机构推荐证书2、测评机构资质-测评机构推荐证书2 2、测评机构资质、测评机构资质-测评人员认证证书测评人员认证证书2、测评机构资质-测评人员认证证书2 2、测评机构资质、测评机构资质-测评机构测评机构ISO9000ISO9000证书证书2、测评机构资质-测评机构ISO9000证书2 2、测评机构资质、测评机构资质-测评机构计量认证证书测评机构计量认证证书2、测评机构资质-测评机构计量认证证书2 2、测评机构资质、测评机构资质-测评机构税务登记证测评机构税务登记证2、测评机构资质-测评机构税务登记证2 2、测评机构资质、测评机构资质-测评机构组织机构代码证测评机构组织机构代码证2、测评机构资质-测评机构组织机构代码证要求要求1资质资质2内容内容工具工具3收费收费4等级测评管理工具等级测评管理工具5要求1资质2内容工具3收费4等级测评管理工具53 3、测评工具、测评工具等级测评最主要的手段是访谈，因此主观因素的干扰不可避免。自动化、规范化的等级测评工具必不可少。优秀的测评工具应能够清晰的梳理测评流程；合理分配测评项目到各个专业技术团队；通过丰富的测评知识库有效降低等级测评难度，提高等级测评效率；测评案例的模板化(如：门户网站、数据库等）；对测评结果自动进行分析，提取出不符合项，进行风险分析；安全趋势分析(对历年的自查与等级测评结果进行关联分析)。等级测评活动是确保信息安全等级保护工作的关键环节，通过测评能够了解系统的安全现状与等级保护要求之间的差距，明确安全整改的目标与方向。工具测试作为一种高灵活性的辅助测试手段，在测评活动中发挥着重要作用。3、测评工具等级测评最主要的手段是访谈，因此主观因素的干扰不3 3、测评工具、测评工具-分类分类根据在等级测评过程中任务的不同，等级测评工具可以分成如下三大类：1）等级测评安全测试工具：）等级测评安全测试工具：主要用于对信息系统的主要部件（如操作系统、数据库系统、网络设备等）的弱点进行分析，或实施基于弱点的攻击。此类工具又可进一步细分为脆弱性扫描工具、渗透测试工具和静态分析工具；2）等级测评辅助工具：）等级测评辅助工具：主要实现对数据的采集、现状分析和趋势分析等单项功能；3）等级测评管理工具：）等级测评管理工具：主要用于规范等级测评的过程和操作方法；或者是用于收集测评所需要的数据和资料，并根据测评知识库和推理专家知识库辅助测评人员进行测评结果判断。3、测评工具-分类根据在等级测评过程中任务的不同，等级测评工3 3、测评工具、测评工具-安全测试工具安全测试工具包括脆弱性扫描工具脆弱性扫描工具、渗透性测试工具渗透性测试工具和静态分析工具静态分析工具。脆弱性扫描工具又称为安全扫描器或漏洞扫描仪脆弱性扫描工具又称为安全扫描器或漏洞扫描仪，是目前应用比较广泛的测评工具之一，主要用于识别网络、操作系统、数据库系统的脆弱性。通常情况下，这些工具能够发现软件和硬件中已知的弱点，以决定系统是否易受已知攻击的影响。目前常见的脆弱性扫描工具有以下几种类型：1）基于网络的扫描器：）基于网络的扫描器：在网络中运行，能够检测如防火墙的错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞；2）基于主机的扫描器：）基于主机的扫描器：发现主机的操作系统、特殊服务和配置的细节，发现潜在的用户行为风险，如密码强度不够，也可实施对文件系统的检查；3）分布式网络扫描器：）分布式网络扫描器：由远程扫描代理、对这些代理的即插即用更新机制、中心管理点三部分构成，用于分布式网络的脆弱性扫描；4）数据库脆弱性扫描器：）数据库脆弱性扫描器：对数据库的授权、认证和完整性进行详细的分析，也可以识别数据库系统中潜在的弱点。当前比较流行的扫描工具有：天镜脆弱性扫描与管理系统、绿盟极光远程安全评估系统、明鉴数据库/WEB应用弱点扫描器、ISS Internet Scanner、Appscan、Nessus 等。脆弱性扫描工具脆弱性扫描工具主要的缺陷包括：需要人工干预（扫描工具容易产生漏洞及误报）；只能发现已知弱点（受漏洞库制约）。3、测评工具-安全测试工具包括脆弱性扫描工具、渗透性测试工具3 3、测评工具、测评工具-安全测试工具安全测试工具渗透性测试工具渗透性测试工具是根据脆弱性扫描工具扫描的结果进行模拟攻击测试，判断被非法访问者利用的可能性，从而进一步判断已知的脆弱性是否真正会给系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用，并可能会对被测评系统的运行（尤其是稳定性）带来一定影响。目前比较常用的渗透性测试工具有：Metasploit、Canvas、Threatex、CoreImpact、Webravor 等。静态分析静态分析是渗透测试的必要补充。静态分析工具在不执行程序的状态下，通过对被测软件进行建模，发现满足所有可能执行状态的软件属性，再藉由一组规则集分析并检测软件中存在的安全漏洞。在等级测评常用的静态分析工具是软件代码安全分析系统，它可以对软件源代码进行安全扫描和审计分析的信息汇总。此类工具有Fortify、Coverity 等。3、测评工具-安全测试工具渗透性测试工具是根据脆弱性扫描工具3 3、测评工具、测评工具-测评辅助工具测评辅助工具等级测评的过程中，可以利用一些辅助性的工具和方法来采集数据，帮助完成现状分析和趋势分析，如：1）性能测试工具：）性能测试工具：主要功能包括网络流量测试、数据拦截、IP 查询、流量分析、预测系统行为和性能的负载测试等。常见的此类工具有Smartbits、Avalanche、loadrunner；2）协议分析工具：）协议分析工具：主要用于IP网络流量分析、故障排除和长时间监测、对通讯协议进行解码和显示、对不同技术的数据流量和状态进行全面的物理层测试，并以图形化的方式显示结果。协议分析工具一般提供多种实用的分析功能对常用的协议进行流量分析，例如IP 地址对、源地址、目的地址、IP上层协议分布、TCP/UDP 端口号等，可长时间在线实时统计，并提供饼、表、线等多种形式的报表。此外，协议分析工具还可以对网络流量进行协议划分，如：Web 浏览（HTTP）、电子邮件（POP3、SMTP、WEB MAIL）、文件下载（FTP）、即时聊天（MSN、QQ等）、流媒体（MMS、RTSP）等。针对不同的网络应用协议进行流量监控和分析，如果某一个协议在一个时间段内出现超常占用可用带宽的情况，就有可能是攻击流量或蠕虫病毒出现。常用的协议分析工具包括：Radcom、Sniffer Pro、Wireshark 等；3）网络拓扑生成工具：）网络拓扑生成工具：通过接入点接入被测评网络，完成被测评网络中的资产发现和统计功能，并提供网络资产的相关信息，包括网络硬件设备的识别、操作系统版本、型号等。此类工具有：HP Openview 等。3、测评工具-测评辅助工具等级测评的过程中，可以利用一些辅助3 3、测评工具、测评工具-必须配置测试工具必须配置测试工具（一）（一）漏洞扫描探测工具。漏洞扫描探测工具。1.网络安全漏洞扫描系统。2.数据库安全扫描系统。（二）（二）等级保护测评管理工具等级保护测评管理工具（三）（三）木马检查工具。木马检查工具。1.专用木马检查工具。2.进程查看与分析工具。3、测评工具-必须配置测试工具（一）漏洞扫描探测工具。3 3、测评工具、测评工具-选用配置测试工具选用配置测试工具（一）（一）漏洞扫描探测工具。应用安全漏洞扫描工具。（二）（二）软件代码安全分析类。软件代码安全分析工具。（三）（三）安全攻击仿真工具（四）（四）网络协议分析工具（五）（五）系统性能压力测试工具 1.网络性能压力测试工具 2.应用软件性能压力测试工具（六）（六）网络拓扑生成工具（七）（七）物理安全测试工具 1.接地电阻测试仪 2.电磁屏蔽性能测试仪（八）（八）渗透测试工具集（九）（九）安全配置检查工具集 3、测评工具-选用配置测试工具（一）漏洞扫描探测工具。应用3 3、测评工具、测评工具-综合工具综合工具漏洞扫描器：漏洞扫描器：极光、Nessus、SSS 等 安全基线检测工具（配置审计等）安全基线检测工具（配置审计等）：见移动的人用过，能够检查信息系统中的主机操作 系统、数据库、网络设备等，看是不是配置规范安全要求 渗透测试相关工具：渗透测试相关工具：踩点、扫描、入侵涉及到的工具等。主机：主机：sysinspector、Metasploit、木马查杀工具、操作系统信息采集与分析工具(Win,Unix)、日志分析工具、数据取证工具（涉密）网络：网络：Nipper（网络设备配置分析）、SolarWinds、Omnipeek、laptop（无线检测工具）数据：数据：一些密码破解软件吧，Cain 里面有一些破解工具。应用：应用：AppScan、Webinspect、FotifySCA、injection tools、Sql 挂马检测工具、webravor 等3、测评工具-综合工具漏洞扫描器：极光、Nessus、SSS要求要求1资质资质2内容内容工具工具3收费收费4等级测评管理工具等级测评管理工具5要求1资质2内容工具3收费4等级测评管理工具54 4、测评收费、测评收费（1）参考北京市物价局）参考北京市物价局关于信息安全测评认证收费标准（试行）的关于信息安全测评认证收费标准（试行）的函函（京价（收）字（京价（收）字2003280号）号）（2）适当考虑物价上升因素和地域物价差距水平。）适当考虑物价上升因素和地域物价差距水平。适用范围：适用范围：信息系统等级保护验收阶段的测评。计算公式计算公式（1）安全测评费的取费一般按信息化项目总投资的1.52估算。（2）按照功能控制点计算收费。4、测评收费（1）参考北京市物价局关于信息安全测评认证收费4 4、测评收费、测评收费信息系统每个安全功能组件800元收费，适当考虑系统规模和复杂程度。计算公式：Ptest=QXCX800.00其中，Ptest指所有安全测评支出的总费用；Q指安全功能组件数量；C指系统规模和复杂程度。以一个二级信息系统为例，网络规模为小规模程度（信息化投资在500万左右），功能控制点为66个，网络规模复杂程度取为2。安全测评费用计算如下：Ptest=66X2X800.00=105600.004、测评收费信息系统每个安全功能组件800元收费，适当考虑系4 4、测评收费、测评收费参考表参考表-人员使用收费标准人员使用收费标准4、测评收费参考表-人员使用收费标准4 4、测评收费、测评收费-参考参考关于印发产品质量认证收费管理办法和收费标准的通知关于印发产品质量认证收费管理办法和收费标准的通知（计价格（计价格19991610号）号）4、测评收费-参考关于印发产品质量认证收费管理办法和收费标4 4、测评收费、测评收费-参考参考京价（收）字京价（收）字2003280号关于信息安全测评认证收费标准（试行）的函号关于信息安全测评认证收费标准（试行）的函一、申请、审核收费标准一、申请、审核收费标准执行国家计委、国家质量技术监督局关于印发产品质量认证收费管理办法和收费标准的通知（计价格19991610号）规定的收费管理办法和收费标准。二、测评收费标准二、测评收费标准按信息产品或信息系统每个安全功能组件500元收费。三、此项收费为经营性收费，按有关规定明码标价，依法纳税。三、此项收费为经营性收费，按有关规定明码标价，依法纳税。四、凡在北京地区从事此项工作的，一律执行此收费标准。四、凡在北京地区从事此项工作的，一律执行此收费标准。此收费标准自发布之日起试行，一年后另行审定。我局京价（收）字2002188号文件同时废止。4、测评收费-参考京价（收）字2003280号关于信息安4 4、测评收费、测评收费-参考参考第三十八条【第三十八条【测评费用】测评机构应当参照国家信息化工程建设项目人工计费标准合理收取测评服务费用。为防止恶意竞争，影响测评质量，测评机构开展测评业务收费应当不低于最低收费限额。信息安全等级保护等级测评实施细则信息安全等级保护等级测评实施细则4、测评收费-参考第三十八条【测评费用】测评机构应当参照国家4 4、测评收费、测评收费-参考参考省物价局关于信息安全等级保护测评服务省物价局关于信息安全等级保护测评服务收费有关问题的复函收费有关问题的复函湖北星野科技发展有限公司：你公司关于信息安全等级保护测评服务收费的请示（鄂星科发200801号）收悉。经研究，函复如下：一、根据湖北省关于公布的通知（鄂价法规200298号）有关规定，我省信息安全等级保护测评服务收费实行市场调节价，你公司收费标准可参考原国家计委、国家质量技术监督局关于印发产品质量认证收费管理办法和收费标准的通知计价格1999（1610）号文件有关内容以及北京、湖南、山东等同行业收费水平，计算机信息系统安全测评服务工作所提供的服务成本，自行确定。二、你公司对外提供信息系统安全测评服务，应当遵守公平、公正的原则，依法签订有关协议，并提供质价相符的服务。二八年四月二十五日湖北省物价局关于信息安全等级保护测评服务收费有关问题的复函湖北省物价局关于信息安全等级保护测评服务收费有关问题的复函4、测评收费-参考省物价局关于信息安全等级保护测评服务湖北省4 4、测评收费、测评收费-参考参考-讨论讨论3级系统给5w啊？那测评机构都活不了了！一般3级系统都在10w以上！差不多都在14、5w那样子吧这个还要具体看3级系统的规模！那个说5w的哥们儿！我记得部里针对恶性竞价的事情说过在10、11年的时候要严打的！三所培训的时候也提过这个事情据说某单位为了抢项目就恶性压低价钱！介个5w就算压价那波儿的！不好好控制系统测评的价格市场就没法做了！部里推等保也就不好推了！有的是按照“人/天”进行项目费用计算，二级系统收费在15万元左右，三级系统在20万元左右。按人工收费一般是1000元人日，包括现场和非现场工作时间。4、测评收费-参考-讨论3级系统给5w啊？那测评机构都活不了4 4、测评收费、测评收费-参考参考-收费实例收费实例2009 18万 广州市劳保和社保局核心业务信息系统安全等级保护差距评估2010 6万 温州市国土资源局2011 7万元 海南省人力资源开发局2011 9万 杭州市国土资源局信息系统安全等级保护测评2011 37万 中国人民银行信息系统安全等级保护测评2011 52万 广州港信息系统安全等级保护差距测评及安全整改2011 95万 国家知识产权局专利局局信息系统整改方案设计及测评2012 10万 杭州市卫生信息中心杭州市卫生局信息系统等级保护测评2012 10万 台州市信息中心信息系统安全等级保护测评项目2012 15万 广州市白云区人民政府办公室2012 19万 绍兴市公安局信息系统安全等级保护测评2012 21万 河北省农村信用社信息安全等级保护评测2012 25万 海关信息安全等级保护测评技术服务2012 25万 最高检计划财务装备局器材装备处安全等级保护测评2012 27万 海南海政招标有限公司-信息安全等级保护测评2012 28万 山东省纪委办公厅机关风险评估和等级保护测评2012 46万 河南省地税局信息安全等级保护评估和测评4、测评收费-参考-收费实例2009 18万 广州市劳保和社4 4、测评收费、测评收费-参考参考-收费实例收费实例2012 75万 广州市公安局信息系统安全等级保护实施项目之差距评估2012 101万 江苏省地方税务局信息系统等级保护测评项目2012 142万 新华社全球一体化项目建设安全服务与等级保护测评2012 36万 海南省工信厅信息安全等级保护测评2012 35万 河南省人力资源社会保障电子政务中心 2012 20万 湖南省财政厅信息中心信息系统等级保护测评2012 535万 海关信息安全等级保护测评 2012 36万 海南省工信厅信息安全等级保护测评 2012 116万 中国人民大学等级保护整改与测评项目2012 8万 山西省工商行政管理局信息安全等级保护测评2012 9万 广州医学院信息安全等级保护定级备案2012 285万 国家税务总局税务系统安全等级保护整改、测评2012 32万 苏州市立医院4、测评收费-参考-收费实例2012 75万 广州市公安局信要求要求1资质资质2内容内容工具工具3收费收费4等级测评管理工具等级测评管理工具5要求1资质2内容工具3收费4等级测评管理工具55 5、等级测评管理工具、等级测评管理工具等级测评管理工具等级测评管理工具是一套集成了等级测评各类知识和判据的管理信息系统，用以规范等级测评的过程和操作方法；或者是用于收集测评所需要的数据和资料，并根据测评知识库和推理专家知识库辅助测评人员进行测评结果判断。等级测评管理系统工具可以对信息系统、制度和人员等进行全面的安全性证据获取，并提供多种自动化的测试手段，测评人员通过接入客户的信息系统对目标网络进行信息调查，获取大量全面的系统安全性数据，同时测评人员在工具的引导下，手工输入非工具自动收集的证据数据，在知识库的辅助分析下，综合得出系统的安全现状和保护等级的符合度，并以多种格式的测评报告形式输出测评结果。5、等级测评管理工具等级测评管理工具是一套集成了等级测评各类信息系统安全等级保护测评工具信息系统安全等级保护测评工具公安部信息安全等级保护评估中心5 5、等级测评管理工具、等级测评管理工具信息系统安全等级保护测评工具 公安部信息安全等级保护评系统管理主界面系统管理主界面系统管理包括：人员管理、较色管理、管理员角色分配、测评机构管理、日志管理（系统日志，自审计日志）、备份与恢复管理（知识库，项目库）、项目管理平台管理、在线升级、系统配置（登陆模式，证书管理）5 5、等级测评管理工具、等级测评管理工具系统管理主界面5、等级测评管理工具项目管理主界面5 5、等级测评管理工具、等级测评管理工具项目管理主界面5、等级测评管理工具知识库管理界面5 5、等级测评管理工具、等级测评管理工具知识库管理界面5、等级测评管理工具项目主界面项目下操作包括：项目人员分配、调查表定制、调查结果导入、调查结果维护、关联关系维护、现场测评系统定制、测评数据导入、测评数据确认（测评数据浏览，扫描数据浏览）、测评报告录入、测评报告结果确认（测评报告文档输出，测评报告留存）等模块。5 5、等级测评管理工具、等级测评管理工具项目主界面项目下操作包括：项目人员分配、调查表定制、调查结果调查结果维护界面5 5、等级测评管理工具、等级测评管理工具调查结果维护界面5、等级测评管理工具数据维护与确认界面5 5、等级测评管理工具、等级测评管理工具数据维护与确认界面5、等级测评管理工具选择测评对象界面5 5、等级测评管理工具、等级测评管理工具选择测评对象界面5、等级测评管理工具选择测评工具界面5 5、等级测评管理工具、等级测评管理工具选择测评工具界面5、等级测评管理工具扫描任务管理界面5 5、等级测评管理工具、等级测评管理工具扫描任务管理界面5、等级测评管理工具编制测评方案界面5 5、等级测评管理工具、等级测评管理工具编制测评方案界面5、等级测评管理工具生成作业指导书界面生成作业指导书界面5 5、等级测评管理工具、等级测评管理工具生成作业指导书界面5、等级测评管理工具扫描数据浏览界面5 5、等级测评管理工具、等级测评管理工具扫描数据浏览界面5、等级测评管理工具渗透测试数据导入界面5 5、等级测评管理工具、等级测评管理工具渗透测试数据导入界面5、等级测评管理工具测评报告文档展示图5 5、等级测评管理工具、等级测评管理工具测评报告文档展示图5、等级测评管理工具睿智睿智勤勉勤勉和谐和谐睿智勤勉和谐