0%

01 中级等级测评师应具备哪些能力要求?

GB/T 36959-2018的相关描述,如下:

  1. 应熟悉网络安全等级保护相关政策、法规;
  2. 正确理解网络安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
  3. 掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
  4. 具有较丰富的项目管理经验,熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;
  5. 能够独立开发测评作业指导书,熟悉测评指导书的开发、版本控制和评审流程;
  6. 能够根据等级保护对象的特点,编制测评方案,确定测评对象,测评指标和测评方法;
  7. 具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。具有较强的文字表达能力;
  8. 了解等级保护各个工作环节的相关要求,能够针对测评中发现的问题,提出合理化的整改建议。

02 系统定级

2.1 定级要素概述

等级保护对象的定级要素包括:

  1. 受侵害的客体;
  2. 对客体的侵害程度。

2.2 受侵害的客体

  1. 公民、法人和其他组织的合法权益;
  2. 社会秩序、公共利益;
  3. 国家安全。

2.3 定级要素与安全保护等级的关系

定级要素与安全保护等级的关系

2.4 定级流程

针对二级及以上系统:

  1. 确定定级对象
  2. 初步确定等级
  3. 专家评审
  4. 主管部门核准
  5. 备案审核

2.5 定级方法

定级对象的安全主要包括业务信息安全系统服务安全,首先确定各自方面的受侵害客体对客体的侵害程度,然后确定各自方面的等级保护等级,其中较高等级作为整体的等级保护等级。流程如下:

定级方法流程示意图

2.6 业务信息安全、系统服务安全控制点

2.6.1 系统服务安全控制点(A):

安全物理环境:

  • 电力供应

    • 一级:提供稳定电压供应及过电压保护。
    • 二级:提供短期的备用电力供应,满足关键设备需求。
    • 三级:提供冗余供电线路和备用供电系统,保证为主要设备供电。
    • 四级:要求提供应急供电设施。

安全计算环境:

  • 数据备份恢复

    • 要求提供重要数据的本地数据备份与恢复功能。
    • 增加提供异地数据备份功能的要求。
    • 增加提供异地数据实时备份重要数据处理系统热冗余的要求。

2.6.2 业务信息安全控制点(S):

安全物理安全:

  • 电磁防护

    • 一级:无
    • 二级:要求具有基本的防电磁干扰能力,如电源线和通信线缆应隔离铺设。
    • 三级:做到关键设备和磁介质的电磁屏蔽。
    • 四级:屏蔽范围扩展到关键区域。

安全通信网络:

  • 可信验证

    • 一级:要求对系统引导程序、系统程序等进行可信验证并报警。
    • 二级:增加对重要配置参数和通信应用程序等进行可信验证并报警,同时送安全管理中心
    • 三级:增加对应用程序关键执行环节进行动态可信验证
    • 四级:对应用程序所有执行环节进行动态可信验证,同时送安全管理中心,并进行动态关联感知

安全区域边界:

  • 可信验证

    • 一级:要求网络边界设备基于可信根,对系统引导程序、系统程序等进行可信验证并报警。
    • 二级:增加边界设备对重要配置参数和通信应用程序等进行可信验证并报警,同时送安全管理中心
    • 三级:对应用程序关键执行环节进行动态可信验证
    • 四级:对应用程序所有执行环节进行动态可信验证,同时送安全管理中心,并进行动态关联分析、报警

安全计算环境:

  • 身份鉴别

    • 一级:要求对登录的用户进行身份标识和鉴别,并且对用户鉴别信息进行了严格的要求;同时,对用户登录过程及登录后的操作行为进行必要的安全防护
    • 二级:进行远程管理时,应采用加密措施防止鉴别信息在网络传输过程中被窃听。
    • 三级:要求用户在登录时应采用两种或两种以上的鉴别措施对用户进行身份认证
    • 四级:同上。
  • 访问控制

    • 一级:要求实现一般的访问控制授权,修改系统默认配置并使账号避免共享
    • 二级:要求执行最小授权原则并实现管理用户的权限分离
    • 三级:要求具有负责配置访问控制策略的授权主体;配置主体对客体的访问控制粒度;并对重要的主、客体设置安全标记
    • 四级:要求对所有的主体、客体实现基于安全标记的强制访问控制。
  • 可信验证
    • 一级:要求基于可信根对系统引导程序、系统程序等进行可信验证并报警。
    • 二级:在重要配置和应用程序等进行可信验证并报警,并送至安全管理中心
    • 三级:要求在应用程序的关键执行环节进行动态可信验证
    • 四级:要求在应用程序的所有执行环节进行动态科学验证,并将验证结果进行动态关联感知
  • 数据完整性

    • 一级:保证重要数据在传输过程中的完整性。
    • 二级:同上。
    • 三级:增加数据存储过程中的完整性要求。
    • 四级:增加抗抵赖的要求。
  • 数据保密性

    • 一级:无
    • 二级:无
    • 三级:要求保证数据在传输和存储过程中的保密性
    • 四级:同上。
  • 剩余信息保护

    • 一级:无
    • 二级:要求鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
    • 三级:增加敏感数据的存储空间被释放或重新分配前得到完全清除要求。
    • 四级:同上。
  • 个人信息保护

    • 一级:无
    • 二级:要求仅采集和保存业务必须的用户个人信息,并禁止未授权访问和非法使用用户个人信息。
    • 三级:同上。
    • 四级:同上。

03 等级测评中可能出现的风险及其规避措施

3.1 等级测评中可能出现的风险

  1. 可能影响系统正常运行

验证测试工作误操作的可能,测试工具漏洞扫描、性能测试及渗透测试等,都可能影响服务器和系统正常有哪些。

  1. 可能泄露敏感信息

测评人员有意或无意泄露被测系统状态信息。

  1. 木马植入风险

渗透测试完成后,有意或无意将测试工具未清理或清理不彻底,或者测试电脑中带有木马程序,带来在被测评系统中植入木马的风险。

3.2 风险规避手段

  1. 签署委托测评协议
  2. 签署保密协议
  3. 签署现场测评授权书
  4. 现场测评工作风险的规避

测评之前,要求相关方对系统及数据进行备份,并对可能出现的事件制定应急处理方案。

  1. 测评现场还原

测评完成后,测评人员将测评过程中获取的所有特权交回,把测评过程中借阅的相关资料文档归还,并将测评环境恢复到测评前状态。

  1. 规范化实施过程
  2. 沟通与交流

04 等级测评过程

4.1 测评准备活动

收集被测定级对象相关资料、准备测评所需资料,为编制方案打下良好基础。

  • 工作启动

    • 测评机构组建等级测评项目组,获取测评委托单位及定级对象的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做好充分准备。
  • 信息收集和分析

    • 通过查阅被测定级对象已有资料或使用系统调查表格的方式,了解整个系统的构成和保护情况以及责任部门相关情况,为编写测评方案、开展现场测评和安全评估工作奠定基础。
  • 工具和表单准备

    • 测评项目组成员在进行现场测评之前,应熟悉被测定级对象,测试测评工具,准备各种表单等。

4.2 方案编制活动

选取测评对象、测评指标、测评方法,规划现场测评实施方案,为现场测评活动提供最基本的文档和指导方案

  • 测评对象确定
    • 识别并描述被测定级对象的整体结构
    • 识别并描述被测定级对象的边界
    • 识别并描述被测定级对象的网络区域(根据区域划分情况描述每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等)
    • 识别并描述被测定级对象的主要设备(各个设备主要承载的业务,软件安装情况以及各个设备之间的主要连接情况等)
    • 确定测评对象(结合被测定级对象的安全级别和重要程度,综合分析系统中各个设备和组件的功能、特点,从被测定级对象构成组件的重要性、安全性、共享性、全面性、恰当性等几方面属性确定出技术层面的测评对象,并将与被测定级对象相关的人员管理文档确定为测评对象)
    • 描述测评对象(根据类别加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互连设备、安全设备、访谈人员及安全管理文档等)
  • 测评指标确定
    • 根据定级结果,得出系统A类(系统服务保证类)、S类(业务信息安全类)、G类(通用安全保护类)基本要求的组合情况
    • 根据组合情况,从基本要求中选择相应等级的基本安全要求作为基本测评指标。
    • 根据被测定级对象实际情况,确定不适用测评指标
    • 根据测评委托单位级被测定级对象业务自身需求,确定特殊测评指标
    • 对确定的基本测评指标和特殊测评指标进行描述,并分析给出指标不适用的原因。
  • 测评内容确定
    • 确定现场测评的具体实施内容,将测评指标和测评对象结合起来,将测评指标映射到各测评对象上,然后结合测评对象的特点,说明各测评对象所采取的测评方法。
  • 工具测试方法确定
    • 确定工具测试环境(与被测系统配置相同的备份环境、生产验证环境或测试环境作为工具测试环境)
    • 确定需要进行测试的测评对象
    • 选择测试路径(由外到内、从其他网络到本地网络的逐步逐点接入)
    • 根据测试路径,确定工具接入点
    • 结合网络拓扑图,描述工具的接入点、测试目的、测试途径和测试对象等内容
  • 测评指导书开发
    • 描述单个测评对象,包括测评对象的名称、位置信息、用途、管理人员等信息。
    • 根据28448确定测评活动,包括测评项、测评方法、测评步骤和预期结果等四部分。
    • 单项测评一般以表格形式设计和描述测评项、测评方法、测评步骤和预期结果等。整体测评一般以文字描述的方式表述,以测评用例的方式进行组织、
    • 根据测评指导书,形成测评结果记录表格。
  • 测评方案编制
    • 根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测定级对象与单位其他系统之间的连接情况等。
    • 根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来。
    • 估算现场测评工作量、工作量根据测评对象的数量和工具测试的接入点及测试内容等情况进行估算。
    • 根据测评项目组成员安排,编制工作安排情况。
    • 根据以往测评经验以及被测定级对象规模,编制具体的测评计划,包括现场工作人员的分工和时间安排。
    • 汇总以上内容及方案编制活动的其他任务获取的内容形成测评方案文稿。
    • 评审和提交测评方案,内部审核,客户签字认可。
    • 根据测评方案制定风险规避实施方案。

4.3 现场测评活动
现场测评准备、现场测评和结果记录

  • 现场测评准备
  • 现场测评和结果记录
  • 结果确认和资料归还

4.4 报告编制活动
通过单项测评结果判定和整体测评分析等方法,分析整个定级对象的安全保护状况与相应等级的保护要求之间的差距,编制测评报告

  • 单项测评结果判定
  • 单元测评结果判定
  • 整体测评
  • 系统安全保障评估
  • 安全问题风险分析
  • 等级测评结论形成
  • 测评报告编制

秋风木叶
2020-9-13

目前三级以上系统的等级测评中包含渗透测试的内容,有很多朋友对于渗透测试与安全性测试的区别还分不清,故征集一篇优秀文章来帮大家解除迷惑

特别声明:
1.本站所有文章除特殊说明外均默认开源
2.文章必须为原创
3.本站暂无收入来源,无力向您支付稿费,但您可以享受如下待遇:

  • 如果愿意,您后续还可以通过本站发表文章,当然前提是要通过审核
  • 您将有机会获得一个tacgib.club的邮箱账号

这是本站发布的首次征文活动,如果您有兴趣欢迎来搞,稿件请发送至邮箱:f@tacgib.club,文章要求Markdown格式,邮件主题:投稿+文章标题


秋风木叶
2020-9-7

很久没有动过笔了,今天有新的感觉,索性就记录下来吧。

虽然来公司已经有两个多月了,但是我还在努力适应环境之中,这与我的慢热性格有极大关系,最近心情还时常处于紧绷的状态下。

而今天却有不同。

阅读全文 »

虽不能加入web安全小组,但是仍然非常感谢晚风,遥祝考研顺利。


秋风木叶
2020-8-26

0. 概述

漏扫工具扫描DVWA,没扫到SQL注入,分析发现是DVWA默认为impossible级别,想要检验漏扫工具的能力,将DVWA手动调整为low级别,以下是进行操作用到的一些操作,防火墙命令其实没有用到,列在这里当做备用吧。

阅读全文 »

现在是8月中旬,到年底还有很重的学习任务。

  1. 公司申请等保资质,为此专门出台了等保测评师的考试激励制度,中级测评师通过考试奖励3000元,不通过罚款一半,传闻测评师中级考试通过率很低,并且同时参加考试的同事水平都很强,如果通过名额有限制,竞争可谓非常激烈。

  2. 我报考了软考下半年11月份的网络工程师考试,目前复习还没有开始、

  3. 在学习渗透测试技术,需要耗费大量的业余时间。

  4. 另外还想考驾照,还想有时间的时候去练练车。

  5. 国庆节回家补办婚礼,因此失去了国庆节复习的机会。
    ……

凡事预则立,不预则废。必须制定学习计划来合理的安排学习时间,以免手忙脚乱,顾此失彼。

阅读全文 »

01 拥有这样一个网站的目的

我喜欢拥有自己的一个网站,就像在网络中的一片自由天地,也是存在于网络的一种标志,一个对外展示自我的窗口。

阅读全文 »