等級(jí)保護(hù)測(cè)評(píng)工具以及等級(jí)保護(hù)定級(jí)備案

  什么是等級(jí)保護(hù)測(cè)評(píng)工具？等級(jí)保護(hù)測(cè)評(píng)是一種標(biāo)準(zhǔn)合規(guī)性評(píng)估活動(dòng)，是根據(jù)國(guó)家或行業(yè)網(wǎng)絡(luò)安全分類保護(hù)標(biāo)準(zhǔn)，對(duì)網(wǎng)絡(luò)安全保護(hù)能力進(jìn)行科學(xué)、公正的綜合評(píng)估過(guò)程，那等級(jí)保護(hù)定級(jí)備案又該怎么操作呢？下面就隨新網(wǎng)小編來(lái)看下等級(jí)保護(hù)定級(jí)備案的申請(qǐng)材料。
  等級(jí)保護(hù)測(cè)評(píng)工具
  1.漏洞掃描器：極光、Nessus、SSS等
  2.安全基線檢測(cè)工具（配置審計(jì)等）：能夠檢查信息系統(tǒng)中的主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等，看是不是配置規(guī)范，符合安全要求。
  3.滲透測(cè)試相關(guān)工具：踩點(diǎn)、掃描、入侵涉及到的工具等等。
  4.主機(jī)：sysinspector、Metasploit、木馬查殺工具、操作系統(tǒng)信息采集與分析工具(Win,Unix)、日志分析工具、數(shù)據(jù)取證工具（涉密）。
  5.網(wǎng)絡(luò)：Nipper（網(wǎng)絡(luò)設(shè)備配置分析）、SolarWinds、Omnipeek、laptop（無(wú)線檢測(cè)工具）。
  6.數(shù)據(jù)：應(yīng)該是一些密碼破解軟件，Cain里面有一些破解工具。
  7.應(yīng)用：AppScan、Webinspect、FotifySCA、Sql injection tools、掛馬檢測(cè)工具、webravor等。

  選型測(cè)試：選型測(cè)試是根據(jù)國(guó)家相關(guān)產(chǎn)品信息安全標(biāo)準(zhǔn)、規(guī)范要求、行業(yè)規(guī)范以及客戶選型需要，對(duì)信息安全產(chǎn)品的功能、性能、安全性進(jìn)行檢測(cè)、比對(duì)和選型，為用戶選擇產(chǎn)品或整體解決方案提供重要依據(jù)。（選型對(duì)象包括防火墻、入侵檢測(cè)/防御（IDS/IPS）、安全路由器、安全交換機(jī)等）。

  安全性分級(jí)測(cè)試： 依據(jù)《GB/T18336-2008 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》對(duì)信息技術(shù)產(chǎn)品安全性進(jìn)行分級(jí)測(cè)評(píng)評(píng)估。（測(cè)試對(duì)象包括防火墻、入侵檢測(cè)/防御（IDS/IPS）、智能卡、網(wǎng)閘、桌面控制等）。

  電磁防泄漏測(cè)試（TEMPEST）：對(duì)電子設(shè)備發(fā)出的電磁信號(hào)中所攜帶的敏感信息進(jìn)行分析、測(cè)試、接收、還原，根據(jù)測(cè)試結(jié)果為用戶生成測(cè)試報(bào)告并提出防護(hù)措施。
  性能測(cè)試：檢測(cè)信息安全產(chǎn)品的吞吐量、檢測(cè)率、丟包率等特征，通過(guò)實(shí)驗(yàn)室技術(shù)手段綜合測(cè)評(píng)安全產(chǎn)品的各項(xiàng)性能指標(biāo)，生成測(cè)試報(bào)告。
 
  等保測(cè)評(píng)概述
  等級(jí)保護(hù)測(cè)評(píng)是標(biāo)準(zhǔn)符合性評(píng)判活動(dòng)，即依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)的國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)，按照特定方法對(duì)網(wǎng)絡(luò)的安全防護(hù)能力進(jìn)行科學(xué)公正的綜合評(píng)判過(guò)程。
  等保測(cè)評(píng)要求對(duì)安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全建設(shè)管理、安全運(yùn)維管理等方面的安全風(fēng)險(xiǎn)進(jìn)行判定。
  等保有一套完整的閉環(huán)體系，等保測(cè)評(píng)機(jī)構(gòu)需要取得測(cè)評(píng)資質(zhì)，才能開展測(cè)評(píng)業(yè)務(wù)。近些年來(lái)對(duì)等保測(cè)評(píng)機(jī)構(gòu)要求也逐漸提高，從2018年開始在測(cè)評(píng)服務(wù)中要求加入了部分滲透性測(cè)試，而且每年都有淘汰的、限期整改的測(cè)評(píng)機(jī)構(gòu)，以及除名的測(cè)評(píng)師。
  等保測(cè)評(píng)已經(jīng)上升到法律層面，依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，三級(jí)系統(tǒng)每年不開展一次測(cè)評(píng)就已經(jīng)涉嫌違法，風(fēng)險(xiǎn)評(píng)估則沒有。等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估二者共性就是查找網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是風(fēng)險(xiǎn)評(píng)估并不能代替等保測(cè)評(píng)。
 
等級(jí)保護(hù)測(cè)評(píng)工具
  等級(jí)保護(hù)定級(jí)備案的申請(qǐng)材料
  1、填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》(以下簡(jiǎn)稱《備案表》)，紙質(zhì)材料，一式兩份;包括：《單位基本情況》(表一)、《信息系統(tǒng)情況》(表二)、《信息系統(tǒng)定級(jí)情況》(表三)和《第三級(jí)以上信息系統(tǒng)提交材料情況》(表四)。第二級(jí)以上信息系統(tǒng)備案時(shí)需提交《備案表》中的表一、二、三;第三級(jí)以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、測(cè)評(píng)完成后30日內(nèi)提交《備案表》表四及其有關(guān)材料。
  《備案表》需通過(guò)“等級(jí)保護(hù)備案端軟件”填寫信息，并導(dǎo)出word文檔生成。另，在填寫表三“09 系統(tǒng)定級(jí)報(bào)告”時(shí)，需把《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》上傳到“附件”再導(dǎo)出word文檔。
  2、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》(以下簡(jiǎn)稱《定級(jí)報(bào)告》)，紙質(zhì)材料，一式兩份。每個(gè)備案的信息系統(tǒng)均需提供對(duì)應(yīng)的《定級(jí)報(bào)告》，《定級(jí)報(bào)告》參照模版格式填寫。
  3、備案電子數(shù)據(jù)，刻錄光盤。每個(gè)備案的信息系統(tǒng)，均需通過(guò)“等級(jí)保護(hù)備案端軟件”填寫信息，并保存為一個(gè)壓縮文件(壓縮文件需包含sysdata.xml、orgdata.xml及《定級(jí)報(bào)告》3個(gè)文件)。另，第三級(jí)以上系統(tǒng)備案電子數(shù)據(jù)還應(yīng)包括《備案表》表四所列的各項(xiàng)內(nèi)容。

  4、《信息安全等級(jí)保護(hù)工作小組名單表》，刻錄光盤。參照模版格式填寫。

  以上就是等級(jí)保護(hù)測(cè)評(píng)工具以及等級(jí)保護(hù)定級(jí)備案的內(nèi)容詳情，想必看完本文都已了解，如果還有不清楚的地方，歡迎來(lái)咨詢新網(wǎng)小編。