上海网络安全等级保护测评要求和等保测评的流程

2025-05-27 09:58 210.22.98.27 3次
发布企业
上海道商企业服务中心商铺
认证
资质核验:
已通过营业执照认证
入驻顺企:
6
主体名称:
上海道商企业服务中心
组织机构代码:
91310230MA1K1TXQ4C
报价
请来电询价
关键词
等保测评
所在地
上海市浦东新区金沪路99弄3号
手机
15021594806
联系人
卢小姐  请说明来自顺企网,优惠更多
请卖家联系我
15021594806

产品详细介绍

  等级保护主要从技术要求和管理要求两方面进行综合测评,而根
据等级保护测评的三种不同技术类型,其测评的指标要求也有所不同
。注册小编整理了网络安全等级保护测评要求和等保测评的流程
相关内容分享给大家。


  等级保护测评主要测什么


  安全技术测评:安全物理环境、安全通信网络、安全区域边界、
安全计算环境、安全管理中心。


  安全管理测评:安全管理制度、安全管理机构、人员安全管理、
系统建设管理、系统运维管理。


  网络安全等级保护测评要求,等级保护测评有哪些技术类型?等
保基本要求的三种技术类型(S/A/G)


  S:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受
未授权修改的信息安全类要求;物理访问控制、边界完整性检查、身
份鉴别、通信完整性、保密性等;


  A:保护系统连续正常的运行,免受对系统的未授权修改、破坏
而导致系统不可用的服务保证类要求;电力供应、资源控制、软件容
错等


  G:通用安全保护类要求。技术类中的安全审计、管理制度等


  等保测评的流程


  等级保护2.0的工作流程包括定级、备案、建设整改、等级测评



  1.测评准备阶段:合同保密协议签署,定级报告,备案表,测评
方案,检测表准备。


  系统备案(填备案表,如下两份)


  向市级公安机关主管部门提交材料:《信息系统安全等级保护定
级报告》,《信息系统安全等级保护备案表》


  2、调研与方案编制:业务调研、资产调研与确认、扫描方案编
制测评机构成立项目组后,工作人员到被检测的单位进行调研,了解
被测评系统,并整理出相关的材料,达成共识后以便开展的测
评工作。


  3、现场测评:测评工具准备、现场测评准备、脆弱性检测、安
全技术测评、安全管理测评进入检测阶段后,测评机构项目组成员根
据之前整理好的材料完成测评工作。


  测评方法:1.访谈,查看(了解环境)2.配置核查(看标准配置
文件是否配置正确)3.安全测试:漏洞检测(针对web),渗透测试
(以绕开被测评项目为目的,从而获取信息文件,进行测评被测评项
目的安全性)4.测评工具:等保工具箱,应用扫描器,主机扫描,协
议分析,嗅探,木马,日志分析。


  判定依据:(等保2.0)测评采用通用安全要求+扩展安全要求形
式,两部分均通过才允许测评通过。


  了解高危风险的高危漏洞有哪些:勒**索病毒入侵,文件上传漏洞
,SQL注入,XSS跨站脚本,Struts2远程命令执行漏洞,Java反程序
化远程命令执行漏洞,弱口令等。


  4、测评报告:综合分析与结论、测评报告编制测评结束后,测
评机构会根据测评的实际情况生成等级测评报告和安全建议报告


  整改建设(优化建议)


  网络安全:构架,访问控制缺陷,网络层防护严重不足


  应用安全:网络安全功能严重缺失,代码层未考虑安全机制(可
能存在注入漏洞)


  数据安全:无数据备份,核心设备,链路缺少冗余(坏一个地方
,全网瘫痪)


  安全整改:(需要用户配合事项)


  应用安全:设备采购,程序二次开发,配置变更


  安全管理:制度更新,流程规范化


  主机安全:策略变更,备份恢复


  网络安全:设备采购,策略变更,区域划分


  注:低成本整改项优先整改,高危风险必须整改(要得到用户授
权),中低危酌情整改(会影响系统得分)