等級(jí)保護(hù)測(cè)評(píng)幾年一次

等級(jí)保護(hù)0.5-2年測(cè)評(píng)一次。

創(chuàng)新互聯(lián)建站10多年成都企業(yè)網(wǎng)站定制服務(wù);為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁(yè)設(shè)計(jì)及高端網(wǎng)站定制服務(wù),成都企業(yè)網(wǎng)站定制及推廣,對(duì)軟裝設(shè)計(jì)等多個(gè)領(lǐng)域擁有豐富的網(wǎng)站運(yùn)維經(jīng)驗(yàn)的網(wǎng)站建設(shè)公司。

等保測(cè)評(píng)是一項(xiàng)周期性、連續(xù)性的工作，不同等級(jí)要求0.5-2年做一次。

等保測(cè)評(píng)的全稱(chēng)是信息安全等級(jí)保護(hù)測(cè)評(píng)，是公安部認(rèn)證的有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)。根據(jù)國(guó)家信息安全等級(jí)保護(hù)規(guī)范，受相關(guān)單位委托，按照相關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)和評(píng)估。

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)流程是什么？

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)備活動(dòng)的工作流程：

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)備活動(dòng)的目標(biāo)是順利啟動(dòng)測(cè)評(píng)項(xiàng)目，準(zhǔn)備測(cè)評(píng)所需的相關(guān)資料，為順利編制測(cè)評(píng)方案打下良好的基礎(chǔ)。

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)備活動(dòng)包括項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備三項(xiàng)主要任務(wù)。這三項(xiàng)任務(wù)的基本工作流程見(jiàn)下圖：

一、項(xiàng)目啟動(dòng)

在項(xiàng)目啟動(dòng)任務(wù)中，測(cè)評(píng)機(jī)構(gòu)組建等級(jí)測(cè)評(píng)項(xiàng)目組，獲取測(cè)評(píng)委托單位及被測(cè)系統(tǒng)的基本情況，從基本資料、人員、計(jì)劃安排等方面為整個(gè)等級(jí)測(cè)評(píng)項(xiàng)目的實(shí)施做基本準(zhǔn)備。

輸入：委托測(cè)評(píng)協(xié)議書(shū)。

任務(wù)描述：

a) 根據(jù)測(cè)評(píng)雙方簽訂的委托測(cè)評(píng)協(xié)議書(shū)和系統(tǒng)規(guī)模，測(cè)評(píng)機(jī)構(gòu)組建測(cè)評(píng)項(xiàng)目組，從人員方面做好準(zhǔn)備，并編制項(xiàng)目計(jì)劃書(shū)。項(xiàng)目計(jì)劃書(shū)應(yīng)包含項(xiàng)目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織等。

b) 測(cè)評(píng)機(jī)構(gòu)要求測(cè)評(píng)委托單位提供基本資料，包括：被測(cè)系統(tǒng)總體描述文件，詳細(xì)描述文件，安全保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)驗(yàn)收?qǐng)?bào)告，安全需求分析報(bào)告，安全總體方案，自查或上次等級(jí)測(cè)評(píng)報(bào)告（如果有），測(cè)評(píng)委托單位的信息化建設(shè)狀況與發(fā)展以及聯(lián)絡(luò)方式等。

輸出/產(chǎn)品：項(xiàng)目計(jì)劃書(shū)。

二、 信息收集和分析

測(cè)評(píng)機(jī)構(gòu)通過(guò)查閱被測(cè)系統(tǒng)已有資料或使用調(diào)查表格的方式，了解整個(gè)系統(tǒng)的構(gòu)成和保護(hù)情況，為編寫(xiě)測(cè)評(píng)方案和開(kāi)展現(xiàn)場(chǎng)測(cè)評(píng)工作奠定基礎(chǔ)。

輸入：調(diào)查表格，被測(cè)系統(tǒng)總體描述文件，詳細(xì)描述文件，安全保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)驗(yàn)收?qǐng)?bào)告，安全需求分析報(bào)告，安全總體方案，自查或上次等級(jí)測(cè)評(píng)報(bào)告（如果有）。

任務(wù)描述：

a) 測(cè)評(píng)機(jī)構(gòu)收集等級(jí)測(cè)評(píng)需要的各種資料，包括測(cè)評(píng)委托單位的各種方針文件、規(guī)章制度及相關(guān)過(guò)程管理記錄、被測(cè)系統(tǒng)總體描述文件、詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、安全需求分析報(bào)告、安全總體方案、安全現(xiàn)狀評(píng)價(jià)報(bào)告、安全詳細(xì)設(shè)計(jì)方案、用戶(hù)指南、運(yùn)行步驟、網(wǎng)絡(luò)圖表、配置管理文檔等。

b) 測(cè)評(píng)機(jī)構(gòu)將調(diào)查表格提交給測(cè)評(píng)委托單位，督促被測(cè)系統(tǒng)相關(guān)人員準(zhǔn)確填寫(xiě)調(diào)查表格。

c) 測(cè)評(píng)機(jī)構(gòu)收回填寫(xiě)完成的調(diào)查表格，并分析調(diào)查結(jié)果，了解和熟悉被測(cè)系統(tǒng)的實(shí)際情況。分析的內(nèi)容包括被測(cè)系統(tǒng)的基本信息、物理位置、行業(yè)特征、管理框架、管理策略、網(wǎng)絡(luò)及設(shè)備部署、軟硬件重要性及部署情況、范圍及邊界、業(yè)務(wù)種類(lèi)及重要性、業(yè)務(wù)流程、業(yè)務(wù)數(shù)據(jù)及重要性、業(yè)務(wù)安全保護(hù)等級(jí)、用戶(hù)范圍、用戶(hù)類(lèi)型、被測(cè)系統(tǒng)所處的運(yùn)行環(huán)境及面臨的威脅等。這些信息可以重用自查或上次等級(jí)測(cè)評(píng)報(bào)告中的可信結(jié)果。

d) 如果調(diào)查表格填寫(xiě)不準(zhǔn)確或不完善或存在相互矛盾的地方較多，測(cè)評(píng)機(jī)構(gòu)應(yīng)安排現(xiàn)場(chǎng)調(diào)查，與被測(cè)系統(tǒng)相關(guān)人員進(jìn)行面對(duì)面的溝通和了解。

輸出/產(chǎn)品：填好的調(diào)查表格。

三、工具和表單準(zhǔn)備

測(cè)評(píng)項(xiàng)目組成員在進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)之前，應(yīng)熟悉與被測(cè)系統(tǒng)相關(guān)的各種組件、調(diào)試測(cè)評(píng)工具、準(zhǔn)備各種表單等。

輸入：各種與被測(cè)系統(tǒng)相關(guān)的技術(shù)資料。

任務(wù)描述：

a) 測(cè)評(píng)人員調(diào)試本次測(cè)評(píng)過(guò)程中將用到的測(cè)評(píng)工具，包括漏洞掃描工具、滲透性測(cè)試工具、性能測(cè)試工具和協(xié)議分析工具等。

b) 測(cè)評(píng)人員模擬被測(cè)系統(tǒng)搭建測(cè)評(píng)環(huán)境。

c) 準(zhǔn)備和打印表單，主要包括：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表單等。

輸出/產(chǎn)品：選用的測(cè)評(píng)工具清單，打印的各類(lèi)表單。

如何進(jìn)行WEB安全性測(cè)試

安全性測(cè)試

產(chǎn)品滿(mǎn)足需求提及的安全能力

n 應(yīng)用程序級(jí)別的安全性，包括對(duì)數(shù)據(jù)或業(yè)務(wù)功能的訪問(wèn)，應(yīng)

用程序級(jí)別的安全性可確保：在預(yù)期的安全性情況下，主角

只能訪問(wèn)特定的功能或用例，或者只能訪問(wèn)有限的數(shù)據(jù)。例

如，可能會(huì)允許所有人輸入數(shù)據(jù)，創(chuàng)建新賬戶(hù)，但只有管理

員才能刪除這些數(shù)據(jù)或賬戶(hù)。如果具有數(shù)據(jù)級(jí)別的安全性，

測(cè)試就可確保“用戶(hù)類(lèi)型一” 能夠看到所有客戶(hù)消息（包括

財(cái)務(wù)數(shù)據(jù)），而“用戶(hù)二”只能看見(jiàn)同一客戶(hù)的統(tǒng)計(jì)數(shù)據(jù)。

n 系統(tǒng)級(jí)別的安全性，包括對(duì)系統(tǒng)的登錄或遠(yuǎn)程訪問(wèn)。

系統(tǒng)級(jí)別的安全性可確保只有具備系統(tǒng)訪問(wèn)權(quán)限的用戶(hù)才能

訪問(wèn)應(yīng)用程序，而且只能通過(guò)相應(yīng)的網(wǎng)關(guān)來(lái)訪問(wèn)。

安全性測(cè)試應(yīng)用

防SQL漏洞掃描

– Appscan

n防XSS、防釣魚(yú)

– RatProxy、Taint、Netsparker

nget、post - 防止關(guān)鍵信息顯式提交

– get：顯式提交

– post：隱式提交

ncookie、session

– Cookie欺騙

分享文章：服務(wù)器安全等級(jí)測(cè)試 服務(wù)器安全等級(jí)a,b,c
文章網(wǎng)址：http://chinadenli.net/article36/dojissg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供電子商務(wù)、云服務(wù)器、網(wǎng)站制作、標(biāo)簽優(yōu)化、建站公司、用戶(hù)體驗(yàn)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)