等保测评概念.doc

《等保测评概念.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、等保测评测评基本内容对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。对安全控制测评的描述，使用测评单元方式组织。测评单元分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方

2、面的安全控制测评。具体见下图：测评过程等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。测评准备活动方案编制活动现场测评活动报告编制活动测评方法编号测试方法测试方法说明1人员访谈与被测信息系统相关管理人员进行交流、讨论等活动，获取相关证据，了解相关信息。2文档审查检查被测信息系统是否具有GB/T22239-2008中规定的的制度、策略、操作规程等文档，检查是否有完整的制度执行情况记录。对上述文档进行审核与分析，检查他们的完整性和这些文件之间的内部一致性

3、3配置核查根据测评结果记录表格内容，利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实。如果系统在输入无效命令时不能完成其功能，将要对其进行错误测试，针对网络连接，应对连接规则进行验证。4工具测试根据测评指导书，利用技术工具对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等，备份测试结果。5实地查看根据被测系统的实际情况，测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、

4、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求测评具体流程古希腊哲学大师亚里士多德说：人有两种，一种即“吃饭是为了活着”,一种是“活着是为了吃饭”.一个人之所以伟大，首先是因为他有超于常人的心。“志当存高远”,“风物长宜放眼量”,这些古语皆鼓舞人们要树立雄无数个自己，万千种模样，万千愫情怀。有的和你心手相牵，有的和你对抗，有的给你雪中送炭，有的给你烦忧……　　与其说人的一生是同命运抗争，与性格妥协，不如说是与自己抗争，与自己妥协。　　人最终要寻找的，就是最爱的那个自己。只是这个自己，有人终其一生也未找到；有人

5、只揭开了冰山的一角，有人有幸会晤一次，却已用尽一生。人生最难抵达的其实就是自己。　　我不敢恭维我所有的自己都是美好的，因为总有个对抗的声音：“你还没有这样的底气。”　　很惭愧，坦白说，自己就是这个样子：卑微过，像一棵草，像一只蚁，甚至像一粒土块，但拒绝猥琐！懦弱过，像掉落下来的果实，被人掸掉的灰尘，但拒绝屈膝，宁可以卵击石，以渺小决战强大。　　自私过，比如遇到喜欢的人或物，也想不择手段，据为己有。　　贪婪过，比如面对名利、金钱、豪宅名车，风花雪月，也会心旌摇摇，浮想联翩。　　倔强过，比如面对误解、轻蔑，有泪也待到无人处再流，有委屈也不诉说，不申辩

6、，直到做好，给自己证明，给自己看！　　温柔过，当爱如春风袭来，当情如花朵芳醇，黄昏月下，你侬我侬。　　强大过，内刚外柔，和风雨搏击，和坎坷宣战，不失初心，不忘梦想，虽败犹荣。　　这样的自己一个个站到镜中来，千面万孔。有的隐着，有的浮着，有的张扬，有的压抑，有的狂狷，有的沉寂，有的暴躁，有的温良……　　庸俗的自己，逐流的自己，又兼点若仙的自己，美的自己，丑的自己，千篇一律的自己，独一无二的自己。　　我们总想寻一座庙宇，来安放尘世的疲惫，寻一种宗教，来稀释灵魂里的荒凉。到头来，却发现，苦苦向往的湖光山色，原来一直在自己的心里，我就是自己的庙宇，我就是

7、自己的信仰。　　渺小如己，伟大如己！　　王是自己，囚是自己。庙堂是自己，陋室是自己。上帝是自己，庶民是自己。　　别人身上或多或少都投射着一个自己，易被影响又不为所动的自己。万物的折痕里都会逢到一个缩小版的自己，恍如隔世相逢，因此，会痴爱某一物，也会痛恨某一物的自己。万事的细节里都会找到自己的影子，或喜或忧的自己。　　自己，无处不在。它和大海一样广阔，和天空一样无垠。有时似尘埃泛滥拥挤，有时又似山谷空洞留白。但它却从不曾逃出拳拳之心，忠诚于心的自己。