等保测评之安全物理环境、安全管理_安全物理环境测评 ...

测评方法

测评工具

• 安全管理测评指导书
  
• 安全物理环境测评作业指导书
  

作业指导书开辟基本步调

• 第一步：从《基本要求中》选择‘控制点’（测评指标）和要求项（测评项）
  
• 第二步：从《测评要求》中选择”测评方法“
  
• 第三步：联合信息系统实际环境调整”测评方法“
  
• 第四步最终形成作业指导书
  

测评方式

• 访谈
  
• 核查
  

核查与访谈的关系

• 通过访谈获得肯定的答案，通过核查验证访谈效果。
  

访谈技巧

• 基于作业指导书开展
  
• 访谈对象的选择，覆盖得当的条理和职能；
  
• 访谈应在正常的工作时间和工作地点
  
• 说明访谈和做记录的缘故原由
  
• 访谈可以从请对方描述工作开始
  
• 尽量制止有倾向性答案的题目
  
• 感谢对方配合
  

题目

• 开放式和非开放式
  

核查

• 是指测评人员通过对测评对象进行观察、查验、分析等运动，获取证据以证实其安全保护措施是否有用的一种方法
  

核查对象

• 各类文件-制度文档
  
• 操作规程-实验记录
  
• 物理环境-基础础办法
  

网络安全发展门路图

这个方向初期比力容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不外，要想从脚本小子变成hei客大神，这个方向越往后，必要学习和掌握的东西就会越来越多，以下是学习网络安全必要走的方向：

1. # 网络安全学习方法

复制代码

​ 上面先容了技术分类和学习门路，这里来谈一放学习方法：
​ 无论你是去B站大概是油管上面都有很多网络安全的相关视频可以学习，固然如果你还不知道选择那套学习，我这里也整理了一套和上述发展门路图挂钩的视频教程，必要的可以在文章末端领取。
安全管理测评流程

基本运动

• 核查是否存在有关的规定、制度或规程文档；
  
• 核查文档的描述细节是否计划相关的内容；
  
• 核查是否存在有关实验过程的记录文件或说明文件（证据）
  
• 核查文件的记录内容是否与规定、制度或规程要求一致；
  
• 访谈相关人员，要求其对描述不明白大概记录不明白内容的解释或说明
  
• 访谈相关人员，要求其对管理过程或实验过程解释和说明。
  

测评流程

• 第一步，根据现场配合人员名单，进一步明确协调人员、访谈人员实时间
  
• 第二步，根据检查文档列表，获得制度、记录、规程等各类文档，并填写文档交代单；
  
• 第三步，审阅各类文档，并在现场测评作业指导书的相关项中进行效果记录
  
• 第四步，针对不确定项访谈相关人员或获得额外证据并记录；
  
• 第五步，整理作业指导书的效果记录，并确认签字
  
• 第六步，归还所有文档，并在文档交代单中签字。
  

安全物理环境测评流程

基本运动

• 实地察看园地条件、环境条件是否符合要求
  
• 实地察看设备、办法是否工作正常
  
• 实地查看是否存在有关设备、办法、标签、标识等；
  
• 核查设备、办法的检查报告或维护日志、核查机房计划验收文档
  
• 访谈相关人员，要求对不明白之处进行解释说明；
  
• 访谈相关人员，要求对管理过程或实验过程补充解释和说明
  

测评流程

• 第一步，针对安全物理环境的测评项访谈相关人员
  
• 第二步，实地查看园地、环境条件以及设备、办法运行状态；
  
• 第三步，实地查看存在的有关设备、办法运行状态；
  
• 第四步，检查检测报告或维护日志、检查机房计划验收文档（可在进机房前完成）；
  
• 第五步，针对不确定项访谈相关人员；
  
• 第六步，整理作业指导书，整理效果记录并确认签字
  

测评要点

• 机房、建筑的各类计划/验收文档（机房位置选择说明、机房建筑承受能力、机房建筑防雷、机房综合布线及接地、自动消防系统、机房防火和新风系统、电力供应和电磁防护等）；
  
• 机房配备电子门禁系统、分区管理、登录记录、专人伴随；
  
• 设备和线路贴不易去除标识；
  
• 设置专人值守的视频监控系统或机房报警系统；
  
• 电源线和信号线上的防雷措施（光纤接入除外）
  
• 自动消防报警系统运行状态、手提式或便携式灭火器的摆放位置及有用期、消防演习记录
  
• 机房天花板及墙壁是否存在防潮及结露征象，机房屋顶或运动办下面是否有水管、对为开放窗户的防雨措施；
  
• 机房空调温度显示、机房一样平常巡检温度记录；
  
• 双路师电接入、ups满负荷时最大负载、备用供电系统，电力供应应急演练记录。
  

测评难点

• 机房防盗报警系统
  
• 机房区域防火隔离
  
• 双路市电供电或备用供电系统。
  

安全物理环境测评留意事项

• 事项一：现场查看机房基础办法建设环境时，办法的有无并不能反映落实与否，关键查看办法是否有用的、正常运行；
  
• 事项二：当机房根据用途差别分为多个房间，处于差别位置时，各个机房应按相关的物理要求分别检查。
  

安全管理制度

测评要点

总体方针政策文件、各类管理制度、各种操作规范及记录表单四类文档；

• 四类文档间的连贯性、完备性以及管理制度的覆盖面
  
• 管理制度文件格式、版本、装订记录、各种评审记录以及发放等级记录；
  
• 制定和修订方面的文字具体要求，修订计划，修订流程；
  
• 安全管理制度、修订的责任人、具体制定、发布流程。
  

管理制度文件体系

• 第一层 安全方针政策 信息啊暖方针政策，总体安全，说明机构安全工作的总体目的、范围、原则和安全框架等
  
• 第二层 安全管理制度 对安全管理运动中的各类管理建立安全制度管理，约束管理行为。
  
• 第三层 技术标准、规范 安全管理制度的具体技术实现细节，对管理人员大概操作人员的一样平常管理操作建立操作规程
  
• 第四层 流程、表单、记录 安全制度、规范实施所需推行的流程，及需填写的表单，用于记录数据、监控实施。
  

测评难点

• 安全方针、管理制度、操作规程以及记录表单四类文件形成管理制度文件体系；
  
• 管理制度定期的评审、修订、完善。
  

安全管理机构

测评要点

• 查看岗位职责文件了解：安全管理组织构成环境，信息安全领导小组-信息安全管理工作的职能部门-具体岗位，具体职责分工环境；
  
• 机构人员及岗位人员配备环境(如安全管理员、系统管理员、网络管理员、审计员）；
  
• 根据岗位人员配备名单了解安全管理员是否时专职人员，其它岗位人员配备环境。
  
• 审批事项、审批部门、批准人及审批程序等（制度），审批过程实际实验记录，了解授权和审批环境；
  
• 沟通和合作环境，了解部门表里沟通和合作环境，各类会议纪要、外协单元接洽档案等；
  
• 安全检查周期、内容、程序等，各类安全检查表格、以往安全检查记录或总结了解对信息系统的安全检查环境。
  

测试难点

• 网络安全领导小组或网络安全管理委员会的发布文件或授权文件；
  
• 专职安全管理员
  
• 对重要运动的逐级审批制度
  
• 定期的全面安全检查
  

安全管理人员

测评要点

• 录用、离岗、安全意识教育和培训方面的管理要求；
  
• 安全保密协议和关键岗位的安全协议；
  
• 离岗交代记录；
  
• 安全技能考核记录
  
• 培训计划和培训记录
  
• 外部人员访问方面的管控措施
  

测评难点

• 关键岗位人员的社会背景审查，关键岗位安全协议
  
• 安全技能和安全认知的考核
  
• 对外部人员允许访问的区域、系统、设备、信息等内容的具体书面规定。
  

安全建设管理

测评要点

• 测评对象的定级报告、存案证书；
  
• 测评对象的安全保护等级与其它级别保护对象关系的团体规划方案；
  
• 安全计划方案、工程实施方案
  
• 软件开辟、产物采购、工程实施、测试验收、系统交付等方面的管控措施；
  
• 过程控制记录、各个阶段产物评审记录、测试验收报告；与服务供应商签订的保密协议或安全责任书。
  

测评难点

• 对主要的运动均必要遵照制度要求，规范化地实验各种运动，留有记录文件；
  
• 外包开辟软件安装前的恶意代码检测和后门程序审查。
  

安全运维管理

环境管理

• 指定专门的部门大概人员负责机房安全
  
• 机房安全管理制度，机房基础办法定期维护记录、机房收支登记记录；
  
• 重要的区域安全管理
  

资产管理

• 体例与保护对象相关事务资产清单；
  
• 根据资产清单以及重要程度，经行标识和选择相应的管理措施；
  
• 对信息分类标识的原则和方法进行说明的文档
  

介质管理

• 介质当地、异地存储环境条件，分类和标识；
  
• 介质物理传输过程进行控制，并对查询和归档进行等级。
  

设备维护管理

• 指定设备万里负责人或负责部门
  
• 建立配套办法、软硬件维护方面的管理制度
  
• 设备带离机房大概办公环境的管控措施
  
• 含有存储介质的设备在报废或重用前，应进行完全的清除或被安全覆盖。
  

漏洞和风险管理

• 采取必要的措施识别安全漏洞和隐患，采取相应的控制手段和措施；
  
• 应定期开展安全测评，采取措施应对测评发现的安全题目。
  

网络和系统安全管理

• 应划分差别的管理员脚色进行网络和系统的运维管理
  
• 应建立网络和系统方面的安全管理制度、操作手册、规程；
  
• 一样平常工作，包括当地用户和远程用户的访问管理、网络接入管理、网络设备管理、漏洞扫描、网络状态监控、检测和报警、账户管理、脚色权限管理、补丁管理、日志或审计信息分析、一样平常维护等；
  
• 应严格控制变更性运维（运维工具、运程运维的开通）
  

恶意代码防范管理

• 进步所有用户的恶意代码防范意识，对外来盘算机或存储设备接入需进行检查
  
• 应定期验证防范恶意代码攻击的技术措施的有用性
  

设置管理

• 应记录和生存基本设置信息，如网络拓扑布局、各设备安装的软件组件、版本、设置参数等；
  
• 基本设置信息改变纳入变更范畴，实施对设置信息改变进行控制并实时更新。
  

密码管理

• 应遵照密码相关国家标准和行业标准
  
• 利用密码主管部门认证批准的密码技术产物。
  

变更管理

• 应明确变更控制计谋；
  
• 应建立变更的申报和审批控制程序
  
• 变更审批记录
  
• 变更后相关的管理制度和操作规程的变化
  
• 失败变更的恢复文件化程度及恢复过程的演练记录
  

备份和恢复管理

• 识别必要定期备份的重要业务信息、数据、系统等
  
• 备份和恢复的计谋文档及操作规程，如备份方式、频度、介质、生存周期等；
  
• 数据的备份计谋和恢复计谋以及备份程序和恢复程序；
  
• 备份介质的有用性检查记录。
  

安全变乱处理

• 应实时向安全管理部门报告所发现的安全弱点和可疑变乱；
  
• 安全变乱报告和处理管理制度，包括安全变乱界说、定级、报告流程、差别变乱的相应和处理流程；
  
• 安全变乱处理过程的记录
  
• 应急预案管理
  
• 应急预案总体框架
  
• 各类主要变乱的具体应急预案；
  
• 应急预案涉及人员、设备等的资源满足环境
  
• 应急预案的培训记录、演练记录。
  

外包运维管理

• 外包运维服务商的选择符合规定；
  
• 签订协议，明确外包运维范围、工作内容、明确相关安全要求；
  
• 在技术方面和管理方面均具有按照等级保护要求开展运维工作能力。
  

测评难点

• 重要区域的安全管理
  
• 信息分类标识的原则和方法；
  
• 重要介质中数据或软件的加密存储；
  
• 安全审计的集中管理；
  
• 定期的网络和系统的漏洞扫描
  
• 对移动时、便携式设备接入网络安全管理
  
• 对违规联网行为的管理。
  
• 系统运行日志和审计数据分析
  
• 系统脚色权限的划分和管理
  
• 变更失败的文件化恢复程序，变更失败的恢复演练
  
• 变更后对相关制度和操作规程修订
  
• 数据恢复或系统切换操作记录，备份介质的有用性检查；
  
• 信息安全变乱的应急预案，应急预案培训和演练；
  
• 应急预案文档的维护和更新
  

安全管理测评留意事项

• 事项一：系统某控制点或某条要求不得当该级别的基本要求（如外包开辟、自行软件开辟）；一定不要滥用“不适用”若果某条没达到要求，由于下面一条要求预期是有关联关系，那么这条要求不能说不适用而是不符合。大概说只能由不是用推到到不适用，而不能由不符合推到为不适用
  
• 事项二、当访谈效果与检查效果不一致，应综合分析，不能片面采信托一方。
  
• 事项三:访谈以具体对象睁开，而不以控制点或要求睁开;
  
• 事项四:访谈是获得证据不可或缺的手段，但往往访谈答复信息的客观性、准确性，依被访谈脚色对相关内容了解程度、以及双方的有用沟通而定，因此必要测评人员准确引导和判定;
  
• 事项五:在检查文档时发现差别文档针对同一方面内容要求不一致，应分析缘故原由，联合其他测评方式所获证据来判定;事项六:所检查的文档应是机构现在已正式发布实施的有用文档;
  
• 事项七:制度文档的审阅一方面要检查制度文档的规范内容，另外应通过审阅记录文档检查制度文档的落实，若二者存在不致，应进一步探求证据，最终确认是制度未得到有用落实还是制度文档必要修订有用落实还是制度文档必要修订;
  
• 事项八:其他测评项获取的证据，也可能会成为某一测评项判定的依据;
  
• 事项九:当由于某种缘故原由机构无法提供原有的所要求的证据时其他证据效力等同时，可采纳;
  
• 事项十:文档名称可能差别，需进一步确认文档具体内容。
  

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~
黑客/网络安全学习门路

本日只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料，希望对想学习 网络安全的小伙伴们有帮助！
零基础入门

对于从来没有打仗过网络安全的同砚，我们帮你准备了具体的学习发展门路图。可以说是最科学最系统的学习门路，大家跟着这个大的方向学习准没题目。
读者福利 |  CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）

1.网络安全学习门路图

要学习一门新的技术，作为新手一定要先学习发展门路图，方向不对，努力白费。
对于从来没有打仗过网络安全的同砚，我们帮你准备了具体的学习发展门路图&学习规划。可以说是最科学最系统的学习门路，大家跟着这个大的方向学习准没题目。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面门路图的每一个知识点，我都有配套的视频解说。
技术文档也是我自己整理的，包括我到场大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本【点击领取技术文档】

（都打包成一块的了，不能逐一睁开，统共300多集）
3.技术文档和电子书

技术文档也是我自己整理的，包括我到场大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本【点击领取书籍】

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受接待的几十款款黑客工具。涉及范围主要集中在 信息网络、Android黑客工具、自动化工具、网络垂纶等，感兴趣的同砚不容错过。

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯大概其它大厂面试时经常碰到的，如果大家有好的题目大概好的看法接待分享。
参考解析：深信服官网、奇安信官网、Freebuf、csdn等
内容特点：条理清楚，含图像化表示更加易懂。
内容概要：包括 内网、操作系统、协议、渗出测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

读者福利 |  CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。