等保测评之安全物理环境、安全管理

测评方法

测评工具

• 安全管理测评指导书
• 安全物理环境测评作业指导书

作业指导书开发基本步骤

• 第一步：从《基本要求中》选择‘控制点’（测评指标）和要求项（测评项）
• 第二步：从《测评要求》中选择”测评方法“
• 第三步：结合信息系统实际情况调整”测评方法“
• 第四步最终形成作业指导书

测评方式

• 访谈
• 核查

核查与访谈的关系

• 通过访谈获得肯定的答案，通过核查验证访谈结果。

访谈技巧

• 基于作业指导书开展
• 访谈对象的选择，覆盖适当的层次和职能；
• 访谈应在正常的工作时间和工作地点
• 说明访谈和做记录的原因
• 访谈可以从请对方描述工作开始
• 尽量避免有倾向性答案的问题
• 感谢对方配合

问题

• 开放式和非开放式

核查

• 是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明其安全保护措施是否有效的一种方法

核查对象

• 各类文件-制度文档
• 操作规程-执行记录
• 物理环境-基础础设施

网络安全成长路线图

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成hei客大神，这个方向越往后，需要学习和掌握的东西就会越来越多，以下是学习网络安全需要走的方向：

# 网络安全学习方法

​ 上面介绍了技术分类和学习路线，这里来谈一下学习方法：

​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习，当然如果你还不知道选择那套学习，我这里也整理了一套和上述成长路线图挂钩的视频教程，需要的可以在文章末尾领取。

安全管理测评流程

基本活动

• 核查是否存在有关的规定、制度或规程文档；
• 核查文档的描述细节是否设计相关的内容；
• 核查是否存在有关执行过程的记录文件或说明文件（证据）
• 核查文件的记录内容是否与规定、制度或规程要求一致；
• 访谈相关人员，要求其对描述不理解或者记录不理解内容的解释或说明
• 访谈相关人员，要求其对管理过程或执行过程解释和说明。

测评流程

• 第一步，根据现场配合人员名单，进一步明确协调人员、访谈人员及时间
• 第二步，根据检查文档列表，获得制度、记录、规程等各类文档，并填写文档交接单；
• 第三步，审阅各类文档，并在现场测评作业指导书的相关项中进行结果记录
• 第四步，针对不确定项访谈相关人员或获得额外证据并记录；
• 第五步，整理作业指导书的结果记录，并确认签字
• 第六步，归还所有文档，并在文档交接单中签字。

安全物理环境测评流程

基本活动

• 实地察看场地条件、环境条件是否符合要求
• 实地察看设备、设施是否工作正常
• 实地查看是否存在有关设备、设施、标签、标识等；
• 核查设备、设施的检查报告或维护日志、核查机房设计验收文档
• 访谈相关人员，要求对不理解之处进行解释说明；
• 访谈相关人员，要求对管理过程或执行过程补充解释和说明

测评流程

• 第一步，针对安全物理环境的测评项访谈相关人员
• 第二步，实地查看场地、环境条件以及设备、设施运行状态；
• 第三步，实地查看存在的有关设备、设施运行状态；
• 第四步，检查检测报告或维护日志、检查机房设计验收文档（可在进机房前完成）；
• 第五步，针对不确定项访谈相关人员；
• 第六步，整理作业指导书，整理结果记录并确认签字

测评要点

• 机房、建筑的各类设计/验收文档（机房位置选择说明、机房建筑承受能力、机房建筑防雷、机房综合布线及接地、自动消防系统、机房防火和新风系统、电力供应和电磁防护等）；
• 机房配备电子门禁系统、分区管理、登录记录、专人陪同；
• 设备和线路贴不易去除标识；
• 设置专人值守的视频监控系统或机房报警系统；
• 电源线和信号线上的防雷措施（光纤接入除外）
• 自动消防报警系统运行状态、手提式或便携式灭火器的摆放位置及有效期、消防演习记录
• 机房天花板及墙壁是否存在防潮及结露现象，机房屋顶或活动办下面是否有水管、对为开放窗户的防雨措施；
• 机房空调温度显示、机房日常巡检温度记录；
• 双路师电接入、ups满负荷时最大负载、备用供电系统，电力供应应急演练记录。

测评难点

• 机房防盗报警系统
• 机房区域防火隔离
• 双路市电供电或备用供电系统。

安全物理环境测评注意事项

• 事项一：现场查看机房基础设施建设情况时，设施的有无并不能反映落实与否，关键查看设施是否有效的、正常运行；
• 事项二：当机房根据用途不同分为多个房间，处于不同位置时，各个机房应按相关的物理要求分别检查。

安全管理制度

测评要点

总体方针政策文件、各类管理制度、各种操作规范及记录表单四类文档；

• 四类文档间的连贯性、完备性以及管理制度的覆盖面
• 管理制度文件格式、版本、装订记录、各种评审记录以及发放等级记录；
• 制定和修订方面的文字具体要求，修订计划，修订流程；
• 安全管理制度、修订的责任人、具体制定、发布流程。

管理制度文件体系

• 第一层 安全方针政策 信息啊暖方针政策，总体安全，说明机构安全工作的总体目标、范围、原则和安全框架等
• 第二层 安全管理制度 对安全管理活动中的各类管理建立安全制度管理，约束管理行为。
• 第三层 技术标准、规范 安全管理制度的具体技术实现细节，对管理人员或者操作人员的日常管理操作建立操作规程
• 第四层 流程、表单、记录 安全制度、规范实施所需履行的流程，及需填写的表单，用于记录数据、监控实施。

测评难点

• 安全方针、管理制度、操作规程以及记录表单四类文件形成管理制度文件体系；
• 管理制度定期的评审、修订、完善。

安全管理机构

测评要点

• 查看岗位职责文件了解：安全管理组织构成情况，信息安全领导小组-信息安全管理工作的职能部门-具体岗位，具体职责分工情况；
• 机构人员及岗位人员配备情况(如安全管理员、系统管理员、网络管理员、审计员）；
• 根据岗位人员配备名单了解安全管理员是否时专职人员，其它岗位人员配备情况。
• 审批事项、审批部门、批准人及审批程序等（制度），审批过程实际执行记录，了解授权和审批情况；
• 沟通和合作情况，了解部门内外沟通和合作情况，各类会议纪要、外协单位联系档案等；
• 安全检查周期、内容、程序等，各类安全检查表格、以往安全检查记录或总结了解对信息系统的安全检查情况。

测试难点

• 网络安全领导小组或网络安全管理委员会的发布文件或授权文件；
• 专职安全管理员
• 对重要活动的逐级审批制度
• 定期的全面安全检查

安全管理人员

测评要点

• 录用、离岗、安全意识教育和培训方面的管理要求；
• 安全保密协议和关键岗位的安全协议；
• 离岗交接记录；
• 安全技能考核记录
• 培训计划和培训记录
• 外部人员访问方面的管控措施

测评难点

• 关键岗位人员的社会背景审查，关键岗位安全协议
• 安全技能和安全认知的考核
• 对外部人员允许访问的区域、系统、设备、信息等内容的详细书面规定。

安全建设管理

测评要点

• 测评对象的定级报告、备案证书；
• 测评对象的安全保护等级与其它级别保护对象关系的整体规划方案；
• 安全设计方案、工程实施方案
• 软件开发、产品采购、工程实施、测试验收、系统交付等方面的管控措施；
• 过程控制记录、各个阶段产品评审记录、测试验收报告；与服务供应商签订的保密协议或安全责任书。

测评难点

• 对主要的活动均需要遵循制度要求，规范化地执行各种活动，留有记录文件；
• 外包开发软件安装前的恶意代码检测和后门程序审查。

安全运维管理

环境管理

• 指定专门的部门或者人员负责机房安全
• 机房安全管理制度，机房基础设施定期维护记录、机房进出登记记录；
• 重要的区域安全管理

资产管理

• 编制与保护对象相关事务资产清单；
• 根据资产清单以及重要程度，经行标识和选择相应的管理措施；
• 对信息分类标识的原则和方法进行说明的文档

介质管理

• 介质本地、异地存储环境条件，分类和标识；
• 介质物理传输过程进行控制，并对查询和归档进行等级。

设备维护管理

• 指定设备万里负责人或负责部门
• 建立配套设施、软硬件维护方面的管理制度
• 设备带离机房或者办公环境的管控措施
• 含有存储介质的设备在报废或重用前，应进行完全的清除或被安全覆盖。

漏洞和风险管理

• 采取必要的措施识别安全漏洞和隐患，采取相应的控制手段和措施；
• 应定期开展安全测评，采取措施应对测评发现的安全问题。

网络和系统安全管理

• 应划分不同的管理员角色进行网络和系统的运维管理
• 应建立网络和系统方面的安全管理制度、操作手册、规程；
• 日常工作，包括本地用户和远程用户的访问管理、网络接入管理、网络设备管理、漏洞扫描、网络状态监控、检测和报警、账户管理、角色权限管理、补丁管理、日志或审计信息分析、日常维护等；
• 应严格控制变更性运维（运维工具、运程运维的开通）

恶意代码防范管理

• 提高所有用户的恶意代码防范意识，对外来计算机或存储设备接入需进行检查
• 应定期验证防范恶意代码攻击的技术措施的有效性

配置管理

• 应记录和保存基本配置信息，如网络拓扑结构、各设备安装的软件组件、版本、配置参数等；
• 基本配置信息改变纳入变更范畴，实施对配置信息改变进行控制并及时更新。

密码管理

• 应遵循密码相关国家标准和行业标准
• 使用密码主管部门认证核准的密码技术产品。

变更管理

• 应明确变更控制策略；
• 应建立变更的申报和审批控制程序
• 变更审批记录
• 变更后相关的管理制度和操作规程的变化
• 失败变更的恢复文件化程度及恢复过程的演练记录

备份和恢复管理

• 识别需要定期备份的重要业务信息、数据、系统等
• 备份和恢复的策略文档及操作规程，如备份方式、频度、介质、保存周期等；
• 数据的备份策略和恢复策略以及备份程序和恢复程序；
• 备份介质的有效性检查记录。

安全事件处理

• 应及时向安全管理部门报告所发现的安全弱点和可疑事件；
• 安全事件报告和处置管理制度，包括安全事件定义、定级、报告流程、不同事件的响应和处置流程；
• 安全事件处置过程的记录
• 应急预案管理
• 应急预案总体框架
• 各类主要事件的具体应急预案；
• 应急预案涉及人员、设备等的资源满足情况
• 应急预案的培训记录、演练记录。

外包运维管理

• 外包运维服务商的选择符合规定；
• 签订协议，明确外包运维范围、工作内容、明确相关安全要求；
• 在技术方面和管理方面均具有按照等级保护要求开展运维工作能力。

测评难点

• 重要区域的安全管理
• 信息分类标识的原则和方法；
• 重要介质中数据或软件的加密存储；
• 安全审计的集中管理；
• 定期的网络和系统的漏洞扫描
• 对移动时、便携式设备接入网络安全管理
• 对违规联网行为的管理。
• 系统运行日志和审计数据分析
• 系统角色权限的划分和管理
• 变更失败的文件化恢复程序，变更失败的恢复演练
• 变更后对相关制度和操作规程修订
• 数据恢复或系统切换操作记录，备份介质的有效性检查；
• 信息安全事件的应急预案，应急预案培训和演练；
• 应急预案文档的维护和更新

安全管理测评注意事项

• 事项一：系统某控制点或某条要求不适合该级别的基本要求（如外包开发、自行软件开发）；一定不要滥用“不适用”若果某条没达到要求，由于下面一条要求预期是有关联关系，那么这条要求不能说不适用而是不符合。或者说只能由不是用推到到不适用，而不能由不符合推到为不适用
• 事项二、当访谈结果与检查结果不一致，应综合分析，不能片面采信任一方。
• 事项三:访谈以具体对象展开，而不以控制点或要求展开;
• 事项四:访谈是获得证据不可或缺的手段，但往往访谈回答信息的客观性、准确性，依被访谈角色对相关内容了解程度、以及双方的有效沟通而定，因此需要测评人员正确引导和判断;
• 事项五:在检查文档时发现不同文档针对同一方面内容要求不一致，应分析原因，结合其他测评方式所获证据来判断;事项六:所检查的文档应是机构目前已正式发布实施的有效文档;
• 事项七:制度文档的审阅一方面要检查制度文档的规范内容，另外应通过审阅记录文档检查制度文档的落实，若二者存在不致，应进一步寻找证据，最终确认是制度未得到有效落实还是制度文档需要修订有效落实还是制度文档需要修订;
• 事项八:其他测评项获取的证据，也可能会成为某一测评项判定的依据;
• 事项九:当由于某种原因机构无法提供原有的所要求的证据时其他证据效力等同时，可采纳;
• 事项十:文档名称可能不同，需进一步确认文档具体内容。

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，

那么你需要的话可以点击这里网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析