文档介绍:等级保护测评保障方案
根据公安部出台的有关等级保护的政策,对信息系统的等级保护 已经是 国家的一项基本国策和信息安全的基本保障,同时等级保护工 作的开展也是 各行各业信息化建设的内在需求。
等级保护测评的目的在于对当前建设的信息系统的安蔽的情况。
主要涉及对象为网络设备以及网络拓扑结构等二大类对象。在内 容
上,测评过程涉及以下几个安全子类。
序号 安全子类
测评指标描述
1 网络架构
检查网络拓扑情况、核查核心交换机、测评分析网络架构
与网段划分、设备冗余等情况的合理性和有效性。
2 通信传输
检查通信过程中数据的完整性。
3 可信验证
检查关键执行环节的动态可信验证。
.
配合项目
配合内容
网络架构
提供系统网络结构拓扑图。
通信传输
提供核心交换机配置策略、IP地址规划和边界访问策略。
可信验证
提供核心交换机和接入层交换机端口绑定和IP地址绑定
主要涉及对象为网络安全设备,包含防火墙、入侵检测、安全审
计等产品。在内容上,
测评过程涉及以下几个安全子类。
序号 安全子类
测评指标描述
1 边界防护
检查边界完整性,检查设备接入边界完整性,检查设备 进 行测试等过程,测评分析信息系统私自联到外部网络
的行为。
2
访问控制
检查防火墙等网络访问控制设备,测试系统对外暴露安全 漏洞情况等,测评分析信息系统对网络区域边界相关的网 络隔离与访问控制能力。
3
入侵防范
测评分析信息系统对攻击行为的识别和处理情况。
4
恶意代码防
检查网络恶意代码防范情况。
5
安全审计
检杳网络安全审计的配置情况,如覆盖范围、记录的项目
和內容等;检查安全审计进程和记录的保护情况。
・2・需求配合
配合项目
配合内容
边界防护
提供防火墙边界防护控制策略,介绍釆用的手段以防止
非授权接入和非法外联行为。
访问控制
提供防火墙访问控制策略。
入侵防范
提供入侵检测配置策略以及防火墙端口、协议管理策
略。介绍防止网络入侵攻击防范措施。
恶意代码防范
提供防毒墙控制策略,介绍防毒墙病毒特征加更新策
略。
安全审计
提供日志审计、网络审计安全配置策略。
主要涉及对象为网络安全设备和安全管理系统,包含身份鉴别系 统、
安全审计、入侵检测、防病毒软件、数据备份软件等产品。在内 容上,测
评过程涉及以下几个安全子类。
序号
安全子类
测评指标描述
1
身份鉴别
检查登陆用户信息鉴别情况,检查身份鉴别措施及鉴别 有效性、准确性。
2
访问控制
检查访问控制设置情况,包括安全策略覆盖、控制粒度 以及权限设置情况等。
3
安全审计
检杳安全审计的配置情况,如覆盖范围、记录的项目和
内容等;检查安全审计进程和记录的保护情况。
4
入侵防范
检查网络系统运行过程中的入侵防范措施,如关闭不需 要的端口和服务、最小化安装、部署入侵防范产品等。
5
恶意代码防范
检查服务器和终端设备的恶意代码防范情况。
6
数据备