作者:hacker发布时间:2022-07-14分类:黑客教程浏览:134评论:3
楼上说的对,等保这个和风险评估类似,都是搞人工测评,访谈、渗透、测试为主,工具类只能做为一个周期性的,日常运维使用。过等保是为了符合安全要求,日程使用软件可以让领导看到工作成绩,从这点出发,搞个工具还是比较省事的,毕竟报告不好写。辰锐、谷安天下都在做这类软件,谷安最近再搞市场活动,可免费使用,免费的干嘛不试试。
具体备案流程如下:
确定对象
各行业主管部门、运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,初步确定定级对象的安全保护等级。
备案材料准备
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》。
专家评审与审批
初步确定信息系统安全保护等级和准备好备案材料后,运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。
信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
备案材料提交及审核
定级备案单位将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及上述配套材料提交属地公安机关网安部门审核。对符合等级保护要求的,在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,在收到备案材料之日起的10个工作日内通知备案单位予以纠正。
信息系统安全等级保护测评准备活动的工作流程:
信息系统安全等级保护测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为顺利编制测评方案打下良好的基础。
信息系统安全等级保护测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见下图:
一、项目启动
在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。
输入:委托测评协议书。
任务描述:
a) 根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。
b) 测评机构要求测评委托单位提供基本资料,包括:被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。
输出/产品:项目计划书。
二、 信息收集和分析
测评机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。
输入:调查表格,被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有)。
任务描述:
a) 测评机构收集等级测评需要的各种资料,包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。
b) 测评机构将调查表格提交给测评委托单位,督促被测系统相关人员准确填写调查表格。
c) 测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。
d) 如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,测评机构应安排现场调查,与被测系统相关人员进行面对面的沟通和了解。
输出/产品:填好的调查表格。
三、工具和表单准备
测评项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。
输入:各种与被测系统相关的技术资料。
任务描述:
a) 测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
b) 测评人员模拟被测系统搭建测评环境。
c) 准备和打印表单,主要包括:现场测评授权书、文档交接单、会议记录表单、会议签到表单等。
输出/产品:选用的测评工具清单,打印的各类表单。
等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。
等级保护分为五个级别:
① 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
② 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
③ 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
④ 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
⑤ 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
办理等级保护备案的流程是:
一步:定级;(定级是等级保护的首要环节)
二步:备案;(备案是等级保护的核心)
三步:建设整改;(建设整改是等级保护工作落实的关键)
四步:等级测评;(等级测评是评价安全保护状况的方法)
五步:监督检查。(监督检查是保护能力不断提高的保障)
证书案例
等级保护工作遵循相关的法律法规,具备完善的政策流程支撑,有规定的流程动作。以下就是等级保护工作的基本流程
1.1 基本实施流程图
1.1.1 系统识别与定级
1. 确定定级对象:根据《信息系统等级保护管理办法》和《信息系统等级保护定级指南》的要求确定信息系统的安全等级确定保护对象。
2. 初步确定等级:通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度,确定系统被破坏后受侵害的客体以及侵害对客体的侵害程度,综合判定侵害程度。初步确定系统的等级。
3. 专家评审:定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。
4. 主管部门审核:完成专家评审后,应将初步定级结果上报行业主管部门或上级主管部门进行审核。
5. 公安机关审核:将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。
1.1.2 系统备案
1. 资料准备:由信息系统运营使用单位准备备案材料,填写《信息系统安全等级保护备案表》
2. 系统备案:由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续
3. 受理备案和审核:公安机关对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。发现定级不准的,通知备案单位重新审核确定
1.1.3 等级保护测评
信息系统运营使用单位需要聘请经过认证的安全测评机构,依据《信息系统安全等级保护管理办法》和《信息系统安全等级保护测评要求》及《信息系统安全等级保护测评过程指南》标准,对信息系统安全保护状况开展等级测评,按照《信息系统安全等级测评报告模板》(2019版)编写等级测评报告。
等级保护测评工作采取询问情况、查问和核对材料、调看记录和资料、现场查验、渗透测试、漏洞扫描等方式进行。通过等级测评,分析判断目前信息系统所采取的安全措施与等级保护标准要求之间的差距,分析安全方面存在的问题,查找信息系统安全保护建设整改需要解决的问题,形成安全建设整改的安全需求。
1.1.4 整改
根据等级保护测评结果和整改建议,运营单位按照等级保护要求和相关规范和标准,进行安全建设。制定安全管理制度、完善安全设施安全手段,落实安全技术措施。
1.1.5 周期性监督检查
公安机关依据管理办法和检查规范不定期对运营使用单位的信息系统进行安全监督、检查、指导,如发现未履行等级保护职责,公安机关可以依法进行相应处罚,处罚标准参考《中华人民共和国网络安全法》《中华人民共和国刑法》《网络安全等级保护条例》。
已有3位网友发表了看法:
访客 评论于 2022-07-15 02:48:03 回复
和公共利益;② 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;③ 第三级,等级保护对象
访客 评论于 2022-07-14 20:38:26 回复
定定级对象:根据《信息系统等级保护管理办法》和《信息系统等级保护定级指南》的要求确定信息系统的安全等级确定保护对象。2. 初步确定等级:通过分析系统所属类型、所属信息类别、服
访客 评论于 2022-07-15 01:05:02 回复
全需求。1.1.4 整改根据等级保护测评结果和整改建议,运营单位按照等级保护要求和相关规范和标准,进行安全建设。制定安全管理制度、完善安全设施安全手段,落实安全技术措施。1.1.5 周期性监督检查公安机关依据管理办法和检查规范不定期