信息安全应急处理服务专业评价要求
申请组织应满足申请级别和低于申请低级别的对应要求。
条 款 |
三级要求 |
二级要求 |
一级要求 |
| 1.准备阶段 | 具有处理一般信息安全事件的能力(注:参考国家标准GB/Z 20985-2007《信息安全事件分类分级指南》,或参考组织所提供应急处理服务的对象所处的行业对信息安全事件的等级划分标准,主要考察有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件几类),具体见以下要求:
a)明确客户的应急需求。 b)了解客户应急预案的内容。 c)可提供本地2小时应急响应服务能力。 d)对在应急处理服务过程中可能会采取的操作、处理等行为,获得用户的书面授权。 |
e)在客户应急需求基础上制定应急服务方案,应急服务方案应涉及客户应急预案的启动与执行;若客户未建立应急预案,可协助客户建立;应急处理方案应包含实施方案失败的应变和回退措施。
f)可提供本地1小时、外地8小时应急响应服务能力。 |
g)可提供本地7*24小时、外地4小时应急响应服务能力。 |
| 2.检测阶段 | a)确定检测对象及范围。
b)对发生异常的系统进行信息的收集与分析,判断是否真正发生了安全事件。 c)与客户共同确定应急处理方案,应急处理方案应明确检测范围与检测行为规范,其检测范围应仅限于客户已授权的与安全事件相关的数据,对客户的机密性数据信息未经授权不得访问。 |
d)协助客户确定安全事件等级。 | e)对确认的安全事件启动安全事件管理程序。
f)应急处理方案中应对可能造成的影响进行分析,包括社会影响。 |
| 3.抑制阶段 | a)抑制措施应能够限制受攻击的范围,抑制潜在的或进一步的攻击和破坏行为。 | b)应使用可信的工具进行安全事件的抑制处理,不得使用受害系统已有的不可信文件。 | |
| 4.根除阶段 | a)协助客户检查所有受影响的系统,提出根除的方案建议,并协助客户进行具体实施。 | b)应使用可信的工具进行安全事件的根除处理,不得使用受害系统已有的不可信文件。 | |
| 5.恢复阶段 | a)告知客户网络或信息安全事件的恢复方法及可能存在的风险。
b)对于不能彻底恢复配置和彻底清除系统上的恶意文件,或不能确定系统经过根除处理后是否可恢复正常时,应选择重建系统,具体要求如下:。 1、应协助客户按照系统的初始化安全策略恢复系统。 2、应协助客户验证恢复后的系统是否运行正常,并确认与原有系统配置保持一致。 3、在帮助客户重建系统前需进行全面的数据备份,备份的数据要确保是没有被攻击者改变过的数据。 |
c)与客户共同制定系统恢复方案,根据实际情况协助客户选择合理的恢复方法。
d)(如需重建系统时适用该条款)帮助客户为重建后的系统建立系统快照。 |
e)(如需重建系统时适用该条款)帮助客户对重建后的系统进行全面的安全加固。 |
| 6. 总结阶段 | a) 应保存完整的网络或信息安全事件处理记录,并对事件处理过程进行总结和分析。
b)提供网络或信息安全事件处理报告。 c)提供网络或信息安全方面的建议和意见,必要时指导和协助客户实施。 |
D)网络与信息安全事件处理记录应具备可追溯性。
e)提供详实的网络与信息安全事件处理报告,完整展现应急处理服务的整个过程。 |
f)对网络与信息安全事件进行总结和分析后,针对典型案例存入事件知识库。 |
附件:信息安全服务人员能力要求
信息安全服务人员能力要求
从事信息安全服务的相关人员,应具备技术和管理能力并通过考试,各服务类别的笔试科目及范围如下:
序号 |
应急处理方向考试科目和范围 |
|
1. |
信息安全保障人员基本素质
(1)职业素养:深刻理解从事信息安全保障工作必备的职业素养、特殊责任。 (2)知识结构:理解信息安全保障工作所需基础知识结构,深刻理解信息安全保障本质含义。 (3)工作技能:理解从事信息安全保障工作所需的基本技能、信息安全保障工作的特殊困难。 |
|
2. |
信息安全意识教育
(1)信息安全保障概念:了解信息安全发展历程,理解通信保密、网络安全、信息安全、信息安全保障等概念,准确理解信息安全属性,掌握什么时候需要分别考虑信息安全属性。 (2)信息安全形势:了解国内外信息安全形势、最新的典型信息安全问题、应对典型信息安全问题的方法。 (3)信息安全需求识别:了解形势发展的需要,理解社会责任的需求、组织业务保障的需要,了解现实信息技术环境的需求,指导如何提出实际需要,了解法律法规的要求、客户合同的要求、强制标准的要求、风险评估的要求、日常保障的要求、新技术和新措施应用的要求。 |
|
3. |
渗透测试技术与应用
(1)渗透测试的基本概念:熟悉信息安全威胁、设备渗透测试、渗透测试流程、渗透测试的目标、渗透测试的分类、渗透测试的限制。 (2)渗透测试法律问题:熟悉渗透测试的法律依据、渗透测试的法律框架、与客户签订渗透测试协议。 (3)渗透测试方法论:熟悉组织、个人、技术和道德的相关要求,掌握渗透测试的方法论、渗透测试五个步骤。 (4)实施渗透测试与报告撰写:熟悉渗透测试的准备,掌握对渗透目标的预查,熟悉信息及风险的分析方法,熟知启动渗透测试,熟悉最后分析及消除影响、渗透测试报告的撰写。 (5)Unix渗透测试方法与工具使用:熟知Unix缓冲区溢出渗透、Unix Shell渗透技术、Unix系统提权、Apache安全渗透、Unix后门技术。 (6)Windows系统渗透测试方法与工具使用:熟悉网络协议安全、网络端口扫描与漏洞扫描、嗅探技术与密码截获及破解、缓冲区溢出渗透、病毒与木马技术。 (7)Web应用系统渗透测试方法与工具使用:熟悉HTTP协议基本概念、SQL注入渗透技术与工具、XSS跨站脚本技术、CSRF渗透技术、Web Service渗透技术,了解Web安全编程。 (8)数据库渗透测试与工具使用:熟悉数据库系统的威胁、Oracle渗透测试、各种PL/SQL Injection漏洞利用、Lateral SQL Injection,了解其他数据库渗透测试。 |
|
4. |
信息安全法律法规体系
(1)法律法规结构体系:了解我国信息安全法律法规结构、基本分类。 (2)国内外信息安全法律法规建设概况:了解中国、美国及其他国家信息安全相关法律法规建设情况。 (3)国内外信息安全标准建设概况:了解国外信息安全标准化相关机构以及相互关系,如ISO、IEC、ITU和国发达家的信息安全标准相关组织机构,如美国、英国等,了解我国信息安全标准相关组织及其关系,如国家标准化管理委员会、全国信息安全标准化技术委员会(TC260)等,了解ISO、IEC和ITU信息安全相关标准建设情况,了解美国特有的信息安全相关标准建设情况,了解我国信息安全相关标准建设情况。 (4)我国信息安全管理概况:了解我国信息安全相关管理机构、管理模式、主要的信息安全管理手段。 (5)典型信息安全法律法规:了解刑法中与信息安全相关的条款,了解《保守国家秘密法》、《商用密码管理条例》,了解我国互联网相关管理规定、信息安全产品相关管理规定。 |
|
5. |
通信技术基础
(1)通信的基本概念:理解通信的本质含义及电信概念、通信网络形成过程,了解通信网络结构、通信网络中的安全属性、通信网络应用分类、“网络”习惯分类、通信网络安全问题本质成因。 (2)通信协议及应用:熟悉OSI七层模型、TCP/IP协议族的基本协议及TCP/IP协议族存在的固有安全问题、IPv6、移动互联网等技术及应用,了解典型的通信网络及设备。 (3)安全通信协议:了解典型的安全通信协议,了解典型的安全通信协议在通信过程中的应用。 |
|
6. |
风险管理基础
(1)基本概念:理解风险的定义,风险管理的基本思想。 (2)常见风险评估方法:各类风险评估方法的基本思路、应用场景。 (3)典型风险评估方法:掌握1种风险评估方法。 (4)风险处置方法:了解各种风险处置方法及其应用场景。 (5)风险管理相关标准:了解风险管理相关国际标准、国家标准。 |
|
7. |
应急服务技术与应用
(1)应急服务的相关规范:了解YD/T 1799、业务连续性标准ISO/IEC 22301、应急服务的相关安全要求。 (2)应急服务过程管理:了解应急服务的全过程、应急服务准备工作(如组织与规划)的主要方法、应急服务的回退过程、应急服务的风险评估、应急服务的资源协调、应急服务的升级机制、应急服务的现场保护与取证方法。 (3)安全技术工具的使用:了解典型的安全监测工具、典型的安全检测工具(渗透工具)、典型的安全分析工具、典型的安全管理工具。 (4)典型应急案例分析:了解1-2个行业的典型管理实例。 |
|
8. |
项目管理基础
(1)项目管理基本概念:正确理解项目的本质、管理的本质,掌握项目管理的基本分类,熟练掌握项目管理的生命周期与流程,掌握项目管理相对其他管理的特性。 (2)项目管理的发展历史与现状:了解项目管理的发展过程、国际项目管理发展现状、国际国内项目管理人员认证情况。 (3)九大项目管理知识领域:熟练掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理和项目采购管理思想与方法;掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理和项目采购管理工具和实施技巧。 (4)开发类项目管理技巧:掌握开发类项目管理的特点、项目生命周期,正确掌握开发类项目九大管理知识领域特性,掌握并实践完整的开发类项目过程。 (5)集成类项目管理技巧:掌握集成类项目管理的特点、项目生命周期,正确掌握集成类项目九大管理知识领域特性,掌握并实践完整的集成类项目过程。 |
|
9. |
信息安全技术
(1)信息安全技术发展:了解信息安全技术结构及相互关系、最新进展、应用基本方法。 (2)密码学及其应用:了解密码学发展历史、密码学在信息安全中的特殊地位,基本理解密码学的基本原理,基本掌握典型密码算法(对称、非对称、HASH函数)、典型密码算法的作用与应用方法、典型应用中如何采用密码技术,了解密钥管理方法。 (3)网络安全技术:了解网络安全技术的范畴、网络边界划分原则与方法、典型的网络安全问题、典型的网络攻击手段、网络边界防御原理与方法、典型的网络边界防御设备的系统原理与应用方法(网关防御、网络监控、网络交换)、网络通讯安全原理与方法、了解典型的网络通讯安全设备的系统原理与应用方法(访问控制、通讯加密)。 (4)平台安全技术:了解常用系统平台(UNIX、Linux、Windows等)的典型安全问题、常用的应用支撑平台(WEB、数据库等)的典型安全问题、各类安全漏洞的管理标准与方法、典型的对平台攻击手段、主机安全防护的主要手段(安全加固、安全监控、安全审计、主机保护等)的原理与实施方法及其工具、桌面系统的典型安全问题、桌面系统的安全保障方法与工具。 (5)应用安全技术:了解各类常用应用系统(通用应用系统、专业应用系统、特殊业务系统等)的典型安全问题、安全软件开发过程管理与控制、典型的应用安全漏洞、应用软件安全测试方法与工具。 (6)数据安全技术:了解数据安全的范畴、数据生命周期的各阶段安全需求、数据生命周期的各阶段安全保障技术与方法、灾难备份与恢复技术。 (7)物理安全技术:了解信息安全保障中物理安全的范畴、典型的物理安全问题、典型的物理安全防范技术与方法、支持性基础设施的物理安全问题及保护措施。 |
