GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf

所需积分/C币:50 2019-07-23 13:31:00 988KB PDF
收藏 收藏
举报

广播电视行业进行网络安全等级保护的测评要求,2012年发布
GD/J0442012 目次 前言 III 1范围 2规范性引用文件 3术语和定义 3.1测评力度 4总则 4.1测评原贝 4.2测评内容 4.3测评流程 44测评方法 4.5测评力度. 11122444 ····鲁 4.6使用方法 5第一级信息系统单元测评 5.1基础网终安全 5.2边界安全 5.3终端系统安全 5.4服务端系统安全 44556780 5.5应用安全 5.6数据安全及备份恢复 6第二级信息系统单元测评. 1基础网络安仝 6.2边界安全 6.3终端系统安全 6.4服务端系统安全.. 6.5应用安全 6.6数据安仝与备份恢复 7第三级信息系统单元测评. 26 7.1基础网络安全 7.2边界安全 7.3终端系统安全 7.4服务端系统安仝 31 7.5应用妄全 6数据安全与备份恢复 41 7.7安全管理中心 ,,,,42 8第四级信息系统单元测评.. 44 8.1基础网络安仝 8.2边界安全 GD/J0442012 8.3终端系统安全 8.4服务端系统安全 8.5应用安仝, ,,,,,55 8.6数据安全与备份恢复.. 8.7安全管理中心 9第五级信息系统单元测评...... 10通用物理安全测评. · 10.1物理位置的选择.. 10.2物理访问控制 10.3防盜窃和防破坏.. 63 10.4机房环, 64 10.5机房消防设施 10.6电力供应, 通用管理安全测评 11.1安全管理总体要求 11.2安仝管理机构. 11.3人员安全管理 11.4系统建设管理. 7 11.5系统运维管理. 12信息系统整体沨评结论 12.1概述 12.2安全控制点间测评 ....84 12.3层面间测评. 12.4区域间测评 85 12.5系统结构安全测评 12.6各层面测评结论 ,,,,,,,,85 12.7整体保护能力的测评结论 85 附录A(资料性附录)测评力度 A.1测评方法的测评力度措述 A.2信息系统测评力度 87 参考文執 LI GD/J0442012 前 本技术文件依据《中华人民共和国计算机信息系统安全休护条例》(国务院147号令)、《国家信 息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、GD/J037-2011《广播电视 相关信息系统安全等级保护定级指南》、G/J0.38-2011《广播电视相关信息系统安全等级保护基本要 求》、《广播电视安全播出管理规定》(总局62号令)及实施细则等有关文件要求,制定本技术文件。 木技术文件是广播电视相关信息系统安全等级保护技术文件之一。 与本技术文件相关的系列文件包括: GD/J037-2011广播电视相关信息系统安全等级保护定级指南 G/J038-2011广播电视相关信息系统安全等级保护基本要求 在本标准文本中,黑体字的测评要求衣示该要求出现在当前等级而在低于当前等级信息系统的测评 要求中没有出现过。 本技术文件给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指 标 本技术文件按照GB/T1.1-2009给出的规则起草 木技术文件由国家广播电影电视总局科技司归口。 本技术文件起草单位:国家广播电影电视总局监管中心、北京数字认证股份有限公司。 本技术文件主要起草人:张瑞芝、姜峰、李炎、杨波、段垚、蒋晓敏、柴晓瑜、彭海龙、翟建军、 罗桂民、亡旭东、郝佥鹏 III GD/J0442012 广播电视相关信息系统安全等级保护测评要求 1范围 本技术文件规定了对广播电视相关信息系统安全等级保护状况进行安全测试评估的要求,包括对第 纵信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求 和信息系统整体测评要求。 本技术文件指导测评单位人员从信息安全等级保护的角度对信息系统进行测试评,指导广播电视 相关信息系统运营使用单位对信息系统安全等级保护状况进行安全等级测试自评估,信息安全监管职能 部门进行信息安全等级保护监督检查。 2规范性引用文件 下列文件对于本技术文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于 本技术文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本技术文件。 GB/T5271.8信息技术词汇第8部分:安全 GB/T25069信息安全技术术语 GB50171电子信息系统机房设计规范 GY5067广播电视建筑设计防火规范 G/J037-2011广播电视相关信息系统安全等级保护定级指南 GD/J038-2011广播电视相关信息系统安全等级保护基本要求 3术语和定义 GB/T5271.8、GBT25069、GD/J037-2011和GD/038-2011所界定的以及下列术语和定义适用于 本标准 3.1测评力度 测评T作实际投入力量的表征,可以山测评广度和深度来描述。 4总则 4.1测评原则 a)最小影响原则 测评工作应服从安全播出管理的相关要求,测评工作可管可控。测评机构应围绕广播电视安全播出 科学化和规沱化管坦,结合广播电视信息系统特点,开展广播电视信息系统安全等级测评工作。测评机 GD/J0442012 构人员应熟悉广播电视信息系统特点和吡务流程,规避因测评引入安全播岀风险。测评实施过稈所使用 的测评工具、测评方式应不影响安全播出 b)客观性和公正性原则 测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定 义的测评方法和过程,实施测评活动。 c)可重复性和可再现性原则 不同的测评人员,依照同样的要求,使用同样的方法,对同样的测评实施过程的重复执行都应该得 到同样的测评结果。可重复性体现在同一测评者重复执行相同测评的结果的一致性。可再现性体现在不 同测评者执行相同测评的结果的一致性 d)符合性原则 测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用 正确的方法以确保其满足了测评指标的要求 4.2测评内容 信息系统安全等级测评主要包括单元测评和整体测评两部分 单元测评是等级测评上作的基本活动,每个单元测评包括测评指标、测评实施和结果判定二个要素 与环节。其中,测评指标来源于GD/J038-2011中的各基本婁求项,测评实施则是使用具体的测评方法, 进行测评取证的活动,结果判定分为符合、部分符合、不符合三种类别。访谈不作为判定项,以检查、 测试结果作为判定项。针对每一个单元测评,所有测评指标结果判定均为是,则该单元测评结果判定为 符合;根据广播电视业务系统特点及安全播出要求,影响该安全控制点基本防护能力的测评指标一项或 多项结果判定为否,则该单元测评结果判定为不符合;测评结果判定为符合、不符合之外的其它情况判 定为部分符合 整体测评是在单元测评的基础上,结合信息系统的实际情况和安全播出要求,进一步分析信息系统 的整体安全性,对信息系统的综合安全测评。整体测评主要包括安全控制点间、层面间和区域间相互作 用的安全测评以及系统结构的安全测评。 4.3测评流程 等级测评过程分为四个基本测评活动:测评准各、方案编制、现场测评、分析及报告编制。测泙双 方之间的沟通与洽谈应贯穿整个测评过程。等级测评过程见图1 测评准备 方案编制 现场测评 通与洽谈 分析及报告编制 图1等级测评过程 GD/J0442012 a)测评准备活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准 备活动是否充分直接关系到后续工作能否顺利展丌。本活动的主要仼务是掌握被测系统的详细 凊况,准备测评所需的相关材料(资料主要是信息方面的,材料可以包含工具类),为实施测 评做好文档及测试工具等方面的准备。 测评准备活动的基本上作流程见图2。 等级测评项目启动 信息收集和分析 工具和表单准备 图2测评准备活动的基本工作流程 b)方案编制活动是开展等级测评工作的关键,为现场测评提供最基木的文档和指导方案。木活动 的主要仟务是整理测评准备活动中获取的信息系统相关资料,开发与被测信息系统相应的测 评内谷、测评实施手册等,为现场测评活动提供最基本的文档和指导方案。 方案编制活动的基本工作流程见图3 测评对象确定 测评指标确定 测评工具接入点确定 测评内容确定 测评实施手册开发 测评方案编 图3方案编制活动的基本工作流程 c)现场测评活动是丌展等级测评上作的核心。本活动的主要任务是按照测评方案的总体要求,严 格执行测评实施于册,分步实施所有测评指标,包括单元测评和系统整体测评两个方面,以了 解系统的真实保护情况,取得分析与报告编制活动所需的、足够的证据和资料,发现系统可能 存在的安全问题。 现场测评活动的基本工作流程见图4。 现场测评准备 现场测评和结果记录 结果确认和资料归还 图4现场测评活动的基本工作流程 GD/J0442012 d)分析及报告编制活动是等级测评工作的结果,是总结被测系统整体安全保护能力的综合评价活 动。本活动的主要任务是根据现场测评结果和本测评要求,通过单元测评结果判定和整体测评 分析等方法,分析整个系统的安仝保护现状与相应等级的保护要求之间可能存在的差距,综合 评价被测信息系统保护状况,并形成等级测评结论,编制测评报告 分析与报告编制活动的基本工作流程见图5: 单元测评结果判定 单元测评结果汇总分析 。整体测评分析 匚综合测评结论形成 测评报告编制 图5分析与报告编制活动的基本工作流程 4.4测评方法 测评方法主要包括访诙、检査和测试三种测评方法。其中,访诙是指测评人员通过引导信息系统相 关人员进行有针对性的交流以帮助测评亼员理解、分析和取得证据的过程,检查是指测评人员通过对测 评对象(如管理匋度、操作记录、安全配置等)进行观察、调阅、查验、分析以帮助测评人员理解、分 析和取得证据的过程,测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和 分析对象反馈以帮助测评人员获取证据的过程。需要使用测试测评方法时,应根据广播电视业务系统运 行情况,在被测系统小范围内使用 4.5测评力度 测评力度反映测评的广度和深度,体现为测评工作的实你投入程度。测评广度越大,测评实施的范 围越大,测评实施包含的测评对象就越多;测评深度越深,越需要在细节上展开,测评就趁严格,因此 就越需要更多的投入。测评的广度和深度落实到访谈、检查和测试三和不同的测评方法上,能体现出测 评实施过程中访谈、检查和测试的投入程度的不同。 为了检验不同安全保护等级的信息系统是否具有相应等级的安全保护能力,是否满足相应等级的保 护妻求,需要实施与其安全保护等级相适应的测评,达到应有的测评力度。第一级到第四级信息系统的 测评力度反映在访谈、检查和测试等三种基本测评方法的测评广度和深度上,落实在不同单元测评中具 体的测评实施上。不同安全保护等级的信息系统在总体上所对应的测评力度在附录A中描述。 4.6使用方法 根据技术文件⊕/J038-2011信息系统技术安全层面测评分为基础网络安全、边界安全、终端系统 安全、服务端系统安全、应用安全、数据安全与备份恢复六部分。基础网络安全的安全控制点包括结构 安全、安全审计、网络设备防护等;边界安全的安全控制点包括访问控制、安全数据交换、入侵防范等:

...展开详情
试读 95P GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
    抢沙发
    一个资源只可评论一次,评论内容不能少于5个字
    img
    gudongddd
    • 分享精英

      成功上传11个资源即可获取

    关注 私信 TA的资源

    上传资源赚积分,得勋章
    最新推荐
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf 50积分/C币 立即下载
    1/95
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第1页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第2页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第3页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第4页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第5页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第6页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第7页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第8页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第9页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第10页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第11页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第12页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第13页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第14页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第15页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第16页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第17页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第18页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第19页
    GDJ 044-2012广播电视相关信息系统安全等级保护测评要求.pdf第20页

    试读已结束,剩余75页未读...

    50积分/C币 立即下载 >