返回
信息系统安全等级保护检查

信息系统安全等级保护检查

ID:46365786

大小:79.00 KB

页数:9页

时间:2019-11-23

信息系统安全等级保护检查_第1页
信息系统安全等级保护检查_第2页
信息系统安全等级保护检查_第3页
信息系统安全等级保护检查_第4页
信息系统安全等级保护检查_第5页
资源描述:

《信息系统安全等级保护检查》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、信息系统安全等级保护检查信息系统的检查工作时信息系统等级保护工作的重要组成部分之一。系统的检查涉及系统管理和技术的方方面面,是对信息系统安全保障措施能否切实保障系统安全的检查和确认。本章屮将详细叙述检查重要性、分类和实施方式。14.1.1概述信息系统检查是保障信息系统安全性的重要任务之一,通过对建立的信息系统进行安全性检查,能够发现系统的不足,并及时补救和改进。所以,各国为了解决信息系统的安全性问题,对系统的检查都提出了相应的要求,并且建立了相关的法律、法规、标准和规范等来保障安全检查的正常运行。14.1.2检查的工作形势检查的工作形式

2、,可以分为自检查、监督检查和委托检查。(1)自检查:指信息系统所有者或运营、使用单位发起的对本单位信息系统的安全状态进行的检查。若系统所有者的自检查有周期性,则不必每次都执行完整的检查流程,而只是自检查系统变化的部分和重要部位。(2)监督检查:指信息系统的上级管理部门组织的,或由国家相关部门依法开展的检查。监督检查一般需要执行完整的检查流程,但特殊情况下,也可在自检查的基础上,只执行关键部门的检查。(3)委托检查:受检单位或监督检查的组织部门不具备检查能力的,可委托经相关主管部门认可的机构来检查。14.1.3检查的分类信息系统的安全性检

3、查按照起因和组织形式可分为常规检查、专项检查、事件检查、安全检查和自查五类;按照内容划分可分为管理类检查和技术类检查两类。本章将从内容划分进行描述。(1)管理类检查:针对信息系统的管理过程施行的检查称为管理类检查,主要分为组织安全检查、人员安全检杳、系统建设检查和系统运维检查等几个部分。(2)技术类检查:针对支持和保障信息系统安全运行使用的技术和操作施行的检查称为技术类检查,主要包括物理安全检查、网络安全检查、主机安全检查和应用安全检查等几个部分。14.2检查的日标和内容14.2.1检查目标信息系统的检查,无论是自检还是监督检查,实质上

4、都是一种持续性的风险评估和风险规避过程。美国《联邦信息安全管理法案》中明确要求了联邦各机构需要对每一个系统实施“定期的有效性测试与评估”,考察信息安全的策略、流程和措施“。维持这样一个风险评估和风险规避过程,能够有效地将系统的安全风险控制在可接受的范围之内,这也就是信息系统安全性检查和目标。14.2.2检查内容通过细化信息系统安全性检查冃标,可以很容易地得到系统检查相应的检查内容,如表所示。表14・1系统检查内容14.3检查的实施14.3.1管理类检查1.组织安全检查检查对象:信息安全组织机构相关文档和管理制度。检查条目和结果判定可参照

5、组织安全管理检查表,如表14・2所示。表14-2组织机构安全管理检查2.人员安全检查检查对象:人员管理的制度和记录。检查条目和结果判定可参照人员安全管理检查表,如表14-3所示。表14・3人员安全管理检查表3.系统建设检查检查对象:系统顶级管理中的制度、记录文档和相关的合同及文档等。检查条目和结果判定参照系统建设管理检查表,如表14・4所示。表14-4系统建设管理检查表4.系统运维检查14.3.2技术类检查1.物理安全检查检查对象:机房环境安全、设备安全、系统安全保障措施实施情况和检测验收报告。检查条目:1)物理环境安全(1)检查机房安

6、全环境,包括机房布线、防静电和防盗防毁措施的实施情况;(2)检查机房防水、防火和温湿度调节等保障措施和设备是否完全符合标准,以及其运行维护情况;(3)检查机房管理制度和相关的记录文件;(4)检查机房的门禁机监控系统运行情况和相关记录文件;(5)检查屏幕和办公桌面。2)设备物理安全(1)检查物理设备的防电磁干扰和泄露措施;(2)检查物理设备的维护情况和相关记录文档。3)介质物理安全(1)检查物理介质存放、管理措施和相关文档记录文件;(2)检查物理介质信息消除措施的实施情况和相关记录;(3)检查介质信息加密措施实施情况。检查条目和结果判定可

7、参照物理安全检查表,如表14-6所示。1.网络安全措施检查对象:网络拓扑、安全策略、设备和网络安全的各类保障措施。如访问控制等的实施情况以及相关的记录和市计文件等。检查条目:1)结构安全(1)网络拓扑结构图与当前网络系统结构的符合性;(2)网络结构设计和区域划分的合理性;(3)重要区域和网段、业务、职能部门的隔离性;(4)重要业务系统的带宽优先级;(5)路由控制;(6)网络冗余性配置。2)访问控制(1)检查身份认证系统运行情况和相关记录文件;(2)检查访问控制措施实施情况以及相关的监控和记录文件。3)安全审计(1)检查市计数据保护措施实

8、施情况;(2)检查审计数据的审查记录文件;(3)检查审计工具使用情况。4)边界检测带宽控制、非授权连接行为检查和阻断。5)入侵防范(1)检查入侵检测技术实施情况以及相关监控和记录文件;(2)检查攻击情况和相

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。