发布网友 发布时间:2024-10-23 20:30
共1个回答
热心网友 时间:2024-11-05 23:18
评测依据
测评依据主要基于国家标准和行业标准,包括:《信息系统密码应用基本要求》、《信息系统密码测评要求》、《商用密码应用与安全性评估》等。部分参考标准涵盖:《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 信息系统安全等级保护定级指南》、《信息安全技术 信息系统安全等级保护实施指南》、《信息安全技术 信息系统安全等级保护测评过程指南》、《信息系统安全等级保护定级报告》等,以及其他行业规范如随机性检测、密码模块安全技术要求、服务器密码机技术规范等。
评测过程
测评过程分为四大部分:测评准备、方案编制、现场测评和分析报告编制。测评双方需保持持续沟通,未进行密码应用方案评估的,可委托测评机构或组织专家进行评估,通过评估的方案作为测评实施依据。
评测内容
测评对象的选择基于系统重要程度的分析,针对主机设备、网络设备、物理环境、安全设备、密码设备、服务器/存储设备、业务应用软件、访谈人员、安全管理文档等进行抽样评估。重点检查物理环境的安全措施,如门禁系统、视频监控系统、存储设备等。针对主要安全设备进行评估,包括防火墙、VPN、入侵检测与防御系统、堡垒主机等。对密码设备进行全面评估,确保合规性、正确性与有效性。服务器与存储设备,以及主要业务应用软件的评估,确保其安全性。访谈相关人员,包括安全管理员、系统管理员、数据库管理员等,审查安全管理文档,确保符合要求。
评测技术基线
测评技术基线包括物理与环境、网络与通信、设备与计算、应用与数据等方面,确保系统在技术层面符合安全要求。
评测管理基线
从管理制度、人员、建设运营和应急处置等方面进行全面评测,确保信息系统安全管理到位。
评测方式
测评方式包含访谈、文档审查、配置检查、工具测试和实地查看。通过访谈了解系统安全状况,审查文档确保合规性,配置检查确保设备与文档的一致性,工具测试验证系统安全性,实地查看确保环境符合标准要求。