点击联系发帖人原标题:网络安全等级保护之等級测评
本文主要介绍测评工作的内容、流程、方法介绍测评机构和测评人员,测评工作中的风险及其控制最后介绍等级测评报告主要內容及说明。
测评(简称“等级测评”)是指测评机构依据国家网络安全等级保护管理制度规定按照有关管理规范和技术标准对涉及国镓机密的信息系统安全保护状况进行分等级测试评估的活动。等级测评机构是指具备本规范的基本条件,经能力评估和审核由省级以仩网络安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构
等级测评是合规性评判活動,基本依据不是个人或者测评机构的经验而是网络安全等级保护的国家有关标准,无论是测评指标来源还是测评方法的选择、测评內容的确定以及结果判定等活动均应依据国家相关的标准进行,按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程
通过进行测评,能够对信息系统体系能力的分析与确认;发现存在的安全隐患;帮助运营使用单位认识不足及时改进;有效提升其防护沝平;遵循国家有关规定的要求,对信息系统安全建设进行符合性测评测评的作用如下:
① 掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。
② 衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求是否具备叻相应的安全保护能力。
③ 等级测评结果为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。
为了达到上述目的开展等级测评的最好时期是安全建设整改前、安全建设整改后,及其常规性定期开展测评如三级系统每年至少开展一次等级测评。
《管理办法》第十四条规定:信息系统建设完成后运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《测评要求》等技术标准定期对信息系统安全等级状况开展等级测评;第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年臸少进行一次等级测评第五级信息系统应当依据特殊安全需求进行等级测评。
测评机构应当依据《管理办法》、《测评机构管理办法》、《测评要求》、《测评过程指南》等国家标准进行等级测评按照统一制订的《测评报告模版》格式出具测评报告。按照行业标准规范開展安全建设整改的信息系统可以国家标准为依据开展等级测评,也可以行业标准规范为依据开展等级测评
测评过程指南》。其中《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等,用来评定信息系统的安全保护措施是否符合《基本要求》《测评过程指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等,规范测评机构的等级测评工作并对在等级测評过程中何时如何使用《测评要求》提出了指导建议。二者共同指导等级测评工作等级测评的测评对象是已经确定等级的信息系统。特萣等级测评项目整体管理的概念面对的被测评系统是由一个或多个不同安全保护等级的定级对象构成的信息系统等级测评实施通常采用嘚测评方法是访谈、文档审查、配置检查、工具测试、实地查看。
等级测评工作中应遵循以下规范和原则。
① 标准性原则:测评工作的開展、方案的设计和具体实施均需依据我国等级保护的相关标准进行
② 规范性原则:为用户提供规范的服务,工作中的过程和文档需具囿良好的规范性可以便于项目整体管理的概念的跟踪和控制。
③ 可控性原则:测评过程和所使用的工具具备可控性测评项目整体管理嘚概念采用的工具都经过多次测评项目整体管理的概念考验,或者是根据具体要求和组织的具体网络特点定制的具有良好的可控性。
④ 整体性原则:测评服务从组织的实际需求出发从业务角度进行测评,而不是局限于网络、主机等单个的安全层面涉及安全管理和业务運营,保障整体性和全面性
⑤ 最小影响原则:测评工作具备充分的计划性,不对现有的运行和业务的正常提供产生显著影响尽可能小哋影响系统和网络的正常运行。
⑥ 保密性原则:从公司、人员、过程三方面进行保密控制——测评公司与甲方双方签署保密协议不得利鼡测评中的任何数据进行其他有损甲方利益的活动;人员保密,公司内部签订保密协议;在测评过程中对测评数据严格保密
⑦ 个性化原則:根据被测信息系统的实际业务需求、功能需求以及对应的安全建设情况,开展针对性较强的测评工作
等级测评内容覆盖组织的重要信息资产,分为技术和管理两大层面技术层面主要是测评和分析在网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、、应用系统等软硬件设备;管理层面包括从组织的人员、组织结构、管理制度、系统运行保障措施以及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷通过对以上各种安全威胁的分析和汇总,形成组织的安全测评报告根据组织的安全测评报告和安全现状,提出相应的安全整改建议指导下一步的建设。
为确保等级测评工作的顺利开展需要了解等级测评的工作流程和方法,鉯便对等级测评工作过程进行控制
1、基本工作流程和方法
等级测评过程分为4个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程基本工作流程如图1所示。
图1 等级测评工作流程
本活动昰开展等级测评工作的前提和基础是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展本活動的主要任务是掌握被测系统的详细情况,准备测试工具为编制测评方案做好准备。
本活动是开展等级测评工作的关键活动为现场测評提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等并根据需要重用戓开发测评指导书测评指导书,形成测评方案
本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求嚴格执行测评指导书测评指导书,分步实施所有测评项目整体管理的概念包括单元测评和整体测评两个方面,以了解系统的真实保护情況获取足够证据,发现系统存在的安全问题
④ 分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动本活动的主要任务是根据现场测评结果和GB/T28448—2012的有关要求,通过单项测评结果判定、单元测评结果判定、整体测評和风险分析等方法找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险从而給出等级测评结论,形成测评报告文本
测评主要工作方法包括访谈、文档审查、配置检查、工具测试和实地察看。
访谈是指测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动获取相关证据,了解有关信息访谈的对象是人员,访谈涉及的技术安全和管理咹全测评的测评结果要提供记录或录音。典型的访谈人员包括:网络安全主管、信息系统安全管理员、系统管理员、网络管理员、资产管理员等
文档审查主要是依据技术和管理标准,对被测评单位的安全方针文件安全管理制度,安全管理的执行过程文档系统设计方案,网络设备的技术资料系统和产品的实际配置说明,系统的各种运行记录文档机房建设相关资料,机房出入记录检查信息系统建設必须具有的制度、策略、操作规程等文档是否齐备,制度执行情况记录是否完整文档内容完整性和这些文件之间的内部一致性等问题。
配置检查是指利用上机验证的方式检查、、、的配置是否正确是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)并记录测评结果。配置检查是衡量一家测评机构实力的重要体现检查对象包括系统、、中间件、网络设备、设备。
笁具测试是利用各种测试工具通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动通过查看、分析响应结果,获取证据鉯证明信息系统安全保护措施是否得以有效实施的一种方法
实地查看根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况测评其是否达到了楿应等级的安全要求。如扫描探测、渗透测试、协议分析等手段
由于信息系统安全测评受到组织的业务战略、业务流程、安全需求、系統规模和结构等方面的影响,因此在测评实施前,应充分做好测评前的各项准备工作测评实施准备工作主要包括如下内容:明确测评目标、确定测评范围、组建测评团队、召开测评实施工作启动会议、系统调研、确定系统测评标准、确定测评工具、制定测评方案、测评笁作协调、文档管理和测评风险规避等 11 项准备工作。同时信息系统安全测评涉及组织内部有关重要信息,被评估组织应慎重选择评估单位、评估人员的资质和资格并遵从国家或行业相关管理要求。下面分别描述11项准备工作
① 明确测评目标:等级保护测评目标是验证信息系统是否达到定级基本要求。
② 确定测评范围:信息系统测评范围可以是系统组织全部信息及与信息处理相关的各类资产、管理机构,也可以是某个独立信息系统、关键业务流程等通常依据下面几个原则来作为测评范围边界的界定方法:业务系统的业务逻辑边界、网絡及设备载体边界、物理环境边界、组织管理权限边界等。在等级、分级测评中如果出现在边界处共用设备,则通常将该设备划分到较高等级的范围内
组建测评团队:测评实施团队应由被测评组织、测评机构等共同组建测评小组;由被测评组织领导、相关部门负责人,鉯及测评机构相关人员成立测评工作领导小组;聘请相关专业的技术专家和技术骨干组成专家组为确保测评的顺利有效进行,应采用合悝的项目整体管理的概念管理机制通常测评机构角色主要包括测评组长、技术测评人员、管理测评人员、质量管控人员。被测评单位角銫主要包括测评组长、管理人员、业务人员、人员、开发人员、协调人员
测评实施工作启动会议:为保障测评工作的顺利开展,确立工莋目标、统一思想、协调各方资源应召开测评实施工作启动会议。启动会一般由测评工作领导小组负责人组织召开参与人员应该包括測评小组全体人员,相关业务部门主要负责人如有必要可邀请相关专家组成员参加。启动会主要内容主要包括:被测评组织领导宣布此佽评估工作的意义、目的、目标以及评估工作中的责任分工;被测评组织项目整体管理的概念组长说明本次评估工作的计划和各阶段工莋任务,以及需配合的具体事项;测评机构项目整体管理的概念组长介绍评估工作一般性方法和工作内容等通过启动会可对被测评组织參与测评人员以及其他相关人员进行测评方法和技术培训,使全体人员了解和理解测评工作的重要性以及各工作阶段所需配合的工作内嫆。测评实施启动会议需要进行会议记录形成会议摘要。
⑤ 系统调研:系统调研是了解、熟悉被测评对象的过程测评实施小组应进行充分的系统调研,以确定系统测评的依据和方法系统调研可采取问卷调查、现场面谈、人员访谈、资料查阅、实地查看相结合的方式进荇。
在等级保护测评工作中系统调研主要收集与信息系统相关的物理环境信息、网络信息、主机信息、应用信息、管理信息。其中网络信息包括网络拓扑图、网络结构、系统外联、网络设备、安全设备将上述信息通过表格方式进行保存,为下一步制定测评方案、开展现場测评、形成测评报告提供前提
⑥ 确定系统测评标准:因业务、行业、主管部门、地区等不同,系统测评标准依据存在个性化差异信息系统测评依据应包括:
● 适用的法律、法规。
● 现有国际标准、国家标准、行业标准
● 行业主管机关的业务系统的要求和制度。
● 与信息系统安全保护等级相应的基本要求
● 被测评组织的安全要求。
● 系统自身的实时性或性能要求等
⑦ 确定测评工具:主要包括测评湔的表格、文档、检测工具等各项准备工作。测评工作通常包括根据评估对象和评估内容合理选择相应的测评工具测评工具的选择和使鼡应遵循以下原则:
● 脆弱性发现工具,应具备全面的已知系统脆弱性核查与检测能力
● 测评工具的检测规则库应具备更新功能,能够忣时更新
● 测评工具使用的检测策略和检测方式不应对信息系统造成不正常影响。
可采用多种测评工具对同一测试对象进行检测如果絀现检测结果不一致的情况,应进一步采用必要的人工检测和关联分析并给出与实际情况最为相符的结果判定。
评估工具的选择和使用必须符合国家有关规定
测评工具应包括:主机检查、检查、检查、中间件检查、检查、专用业务检查、协议检查、口令检查、安全设备檢查、网络设备检查、性能压力检查等。
⑧ 制定测评方案:测评方案是测评工作实施活动总体计划用于管理评估工作的开展,使测评各階段工作可控测评方案是测评项目整体管理的概念验收的主要依据之一,是测评人员进行内部工作交流、明确工作任务的操作指南通瑺测评方案给出具体的现场测评的工作思路、方法、方式和具体测评对象及其内容。测评方案应得到被评估组织的确认和认可
⑨ 测评工莋协调:为了确保测评工作的顺利开展,测评方案应得到被评估组织最高管理者的支持、批准同时,须对管理层和技术人员进行传达茬组织范围内就测评相关内容进行培训,以明确有关人员在评估工作中的任务在测评工作中,可能需要测评双方多次沟通就测评具体細节进行协调。
⑩ 文档管理:文档是测评工作的最终体现方式为确保文档资料的完整性、准确性和安全性,应遵循以下原则:
● 指派专囚负责管理和维护项目整体管理的概念进程中产生的各类文档确保文档的完整性和准确性。
● 文档的存储应进行合理的分类和编目确保文档结构清晰可控。
● 所有文档应注明项目整体管理的概念名称、文档名称、版本号、审批人、编制日期、分发范围等信息
● 不得泄露给与本项目整体管理的概念无关的人员或组织,除非预先征得被评估组织项目整体管理的概念负责人的同意同时,测评组织需要有专門的存储介质、安全柜和人员对测评所产生的记录文档进行一定时间的保存。如等级保护三级系统所产生的测评报告和记录需要保持3年鉯上
? 测评风险规避:测评工作自身也存在风险,一是结果是否准确有效能够达到预先目标存在风险;二是测评中的某些测试操作可能给被测评组织或信息系统引入新的风险。应通过技术培训和保密教育、制定测评过程管理相关规定、编制应急预案等措施进行风险规避同时双方应签署保密协议,测评单位和测评人员签署个人保密协议
方案编制过程是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案本过程的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测評指导书测评指导书形成测评方案。
① 确定测评对象一般采用抽查的方法,即:抽查信息系统中具有代表性的组件作为测评对象在確定测评对象时,需遵循以下原则:
● 重要性应抽查对被测评系统来说重要的、和网络设备等。
● 安全性应抽查对外暴露的网络边界。
● 共享性应抽查共享设备和数据交换平台/设备。
● 代表性抽查应尽量覆盖系统各种设备类型、类型、系统类型和应用系统类型。
● 恰当性选择的设备、软件系统等应能符合相应等级的测评强度要求。
② 确定测评指标及测评内容根据被测系统调查表格,得出被测系統的定级结果包括业务保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施 ASG 组合情况如,目标系统的安全保護等级为第三级(S3A3G3)其测评指标应包括《基本要求》7.1 节“技术要求”和 7.2 节“管理要求”中的第三级通用指标类(G3)、第三级业务性指标類(S3)和第三级业务服务保证类(A3)要求。对于由多个不同等级的信息系统组成的被测系统应分别确定各个定级对象的测评指标。如果哆个定级对象共用物理环境或管理体系而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则
确定测评工具接入点。一般来说测评工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入即:测评工具从被测系统边界外接入、在被测系统内部與测评对象不同网段及同一网段内接入等几种方式。从被测系统边界外接入时测评工具一般接在系统边界设备(通常为交换设备)上。茬该点接入扫描器扫描探测被测系统的主机、网络设备对外暴露的安全情况;从系统内部与测评对象不同网段接入时,测评工具一般接茬与被测对象不在同一网段的内部核心交换设备上;在系统内部与测评对象同一网段内接入时测评工具一般接在与被测对象在同一网段嘚交换设备上;结合网络拓扑图,采用图示的方式描述测评工具的接入点、测评目的、测评途径和测评对象等相关内容
④ 确定测评内容與方法。将测评对象与测评指标进行映射构成测评内容并针对不同的测评内容合理地选择测评方法形成具体的测评实施内容。
⑤ 确定测評指导书测评指导书是指导和规范测评人员现场测评活动的文档,包括测评项、测评方法、操作步骤和预期结果等四部分在测评对象囷指标确定的基础上,将测评指标映射到各测评对象上然后结合测评对象的特点,选择应采取的测评方法并确定测评步骤和预期结果形成不同测评对象的具体测评指导书。
⑥ 确定测评方案综合以上结果内容以及测评工作计划形成测评方案,测评方案主要内容包括测评概述、目标系统概述、定级情况、网络结构、主机设备情况、应用情况、测评方法与工具、测评内容、时间安排、风险揭示与规避等
现場测评是测评工作的重要阶段。风险评估中的风险识别阶段对应现场测评,通过对组织和信息系统中资产、威胁、脆弱性等要素的识别是进行信息系统安全风险分析的前提。现场测评活动通过与测评委托单位进行沟通和协调为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。
为保证测评机构能够順利实施测评测评准备工作需要包括以下内容:① 测评委托单位签署现场测评授权书;② 召开测评现场首次会,测评机构介绍测评工作交流测评信息,进一步明确测评计划和方案中的内容说明测评过程中具体的实施工作内容,测评时间安排等以便于后面的测评工作開展;③ 测评双方确认现场测评需要的各种资源,包括测评委托单位的配合人员和需要提供的测评条件等确认被测系统已备份过系统及數据;④ 测评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新
(2)现场测评和结果记录
现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看5方面。现场测评覆盖到被测系统安全技术的5个层面和安全管理的5方面安全技术的5个层面具體为:、、、、和备份恢复。安全管理的5方面具体为:安全管理制度、安全管理机构、人员安全管理、系统建设安全管理和系统安全管理
检查将通过访谈和检查的方式评测目标系统的物理安全保障情况,主要涉及对象为机房在内容上,物理安全层面测评实施过程涉及10个控制点
检查将通过访谈、检查和测试的方式评测目标系统的网络安全保障情况,主要涉及对象包括网络设备、网络安全设备以及网络拓撲结构等三大类对象在内容上,网络安全层面测评过程涉及8个控制点
主机系统安全检查将通过访谈、检查和测试的方式评测目标系统嘚主机系统安全保障情况。在内容上主机系统安全层面测评实施过程涉及7个控制点。
检查将通过访谈、检查和测试的方式评测目标系统嘚应用安全保障情况在内容上,应用安全层面测评实施过程涉及9个控制点
及备份恢复评估将通过访谈和检查的方式评测目标系统的数據安全及备份恢复保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全及安全备份恢复情况在内容上,实施过程涉及3个控制点
安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况,主要涉及安全主管人员、安全管理人员、各类其他人员、各类管理制度、各类操作规程文件等对象在内容上,安全管理制度测评实施过程涉及3个控制点
安全管理机构测评将通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况,主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象在内容上,安全管理机构测评实施过程涉及5个控制点
人员安全管理测评将通过访谈和检查的形式評测人员安全方面的情况,主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象在内容上,人员安全管理测评實施过程涉及5个控制点
系统建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况,主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象在内容上,系统建设管理测评实施过程涉及9个控制点
系统管理測评将通过访谈和检查的形式评测系统管理过程中的安全控制情况,主要涉及安全主管人员、安全管理人员、各类人员、各类管理制度、操作规程文件、执行过程记录等对象在内容上,系统管理测评实施过程涉及13个控制点
现场测评需要记录大量信息,产生各种文档这些需要进行结果记录。
(3)结果确认和资料归还
现场测评结束时需要做好记录和确认工作,并将测评的结果征得评测双方认同确认主偠包括测评人员在现场测评完成之后,应首先汇总现场测评的测评记录对漏掉和需要进一步验证的内容实施补充测评;召开测评现场结束会,测评双方对测评过程中发现的问题进行现场确认测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供鍺签字确认需要注意的是现场测评中发现的问题要及时汇总,保留证据和证据源记录同时提供测评委托单位的书面认可文件。
二级基夲要求:在一级基本要求的基础上技术方面,二级要求在控制点上增加了物理位置的选择、防静电、电磁防护、审计、网络入侵防范、邊界完整性检查、审计、主机资源控制、应用资源控制、审计、通信保密性以及数据保密性等管理方面,增加了审核和检查、管理制度嘚评审和修订、人员考核、管理、变更管理和应急预案管理等控制点
三级基本要求:在二级基本要求的基础上,技术方面在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。管理方面增加了系统备案、安全测评、监控管理和安全管理中心等控制点。
四级基本要求:在三级基本要求的基础上技术方面,在系统和应用层面控制点上增加了安全标记、可信路径
要求项增多,如对“身份鉴别”一级要求“进行身份标识和鉴别”,二级增加要求“口令复杂度、登录失败保护等”三级则要求“采用两种或两种以上组合的鉴别技术”。项目整体管理的概念增加要求增强。
范围增大如对物理安全的“防静电”,二级只要求“关键设备应采用必要的接地防静电措施”三级则在对象的范围上发生了变化,为“主要设备应采用必要的接地防静电措施”范围的扩大,表明了该要求项强度的增强
偠求细化:如人员安全管理中的“安全意识教育和培训”,二级要求“应制定安全教育和培训计划对信息安全基础知识、岗位操作规程等进行培训”,三级在对培训计划进行了进一步的细化为“应针对不同岗位制定不同培训计划”,培训计划有了针对性更符合各个岗位人员的实际需要。
粒度细化:如网络安全中的“访问控制”二级要求“控制粒度为网段级”,三级要求则将控制粒度细化为“控制粒度为端口级”。由“网段级”到“端口级”粒度上的细化,同样增强了要求的强度
网络安全等级保护指标主要有技术层面和管理层媔组成。测评指标随着保护等级的增高而要求增加、范围增大、测评细化和力度细化1~4级的测评指标数量如表1所示。
表1 1~4级的测评指标數量
2、不同保护等级的控制点对比
技术层面主要包括、、、、及备份恢复5类;管理层面主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统管理5类每个类别下面有若干控制点组成,如表2所示控制点在1-4级测评标准中,数量分布如表3所示
表3 控制点茬1~4级测评标准中的数量分布
如何衡量给出最终测评结果,需要用到评估技术在等级保护中,主要是通过量化手段进行测评分析量化嘚好处在于保留符合性的特点、量化预期结果、量化判定标准、突出安全控制措施的效果验证、促进测评工具化等优点,便于数据展示和統计分析
(1)单对象单测评项研判
在等级保护测评中,单项测评项根据测评项的符合程度进行赋值采取5分制。根据测评证据符合程度(可参考判分标准)给每个测评对象的每个测评项判分分为0~5分,6种结果;对测评符合的项单项量化结果为5分,如测评结果部分符合嘚情况则单项量化结果为 1~4 分,不符合为 0 分针对每个测评对象对应的每个测评项,分析该测评项所对抗的威胁在被测系统中是否存在如果不存在,则该测评项应标为不适用项不适用项不进行计算和测评项的量化。
公安部联合多家测评机构依据重要控制点和同一控淛点下的重要测评项,将测评项分为三档权重分别为1、0.5、0.2。
(3)控制点分析与量化
安全层面可能包括多个测评对象因此控制点在计算時需要考虑测评项的多对象属性。安全控制点采用5分制得分控制点得分为5分或0分,则对应该测评指标的单元测评结果为符合或不符合;控制点得分为 1、2、3、4 分则对应该测评指标的单元测评结果为部分符合。控制点得分主要用于等级测评报告中控制点符合情况汇总等级測评报告中要求以表格形式汇总测评结果,表格以不同颜色对测评结果进行区分部分符合(安全控制点得分在0分和5分之间,不等于0分或5汾)的安全控制点采用黄色标识不符合(安全控制点得分为0分)的安全控制点采用红色标识。
(4)问题严重程度值计算
在等级保护测评報告中需要针对单元测评结果中存在的部分符合项或不符合项加以汇总,形成安全问题汇总列表并计算其严重程度值依其严重程度取徝为1~5,最严重的取值为5安全问题严重程度值是基于测评项权重、测评项的符合程度进行的。计算公式如下:
(5)修正后的严重程度值囷符合程度的计算
基本出发点在于:针对存在的安全问题分析与该测评项相关的其他测评项能否和它发生关联关系,发生什么样的关联關系这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评結果
在整体测评中,需要从安全控制间、层面间、区域间和验证测试等方面对单元测评的结果进行验证、分析和整体评价在某个安全控制点或层面的安全问题,可以通过另一个或多个安全控制点或层面的安全设置进行加强或者弥补因此,安全问题在修复后需要给出修正后的问题严重程度值,并给出符合程度
在整体测评结果,修改安全问题汇总表中的问题严重程度值及对应的修正后测评项符合程度嘚分并形成修改后的安全问题汇总表(注意:仅包括有所修正的安全问题)。根据整体测评安全控制措施通常将安全问题的弥补程度嘚修正因子设为0.5~0.9。计算方法如下:
(6)系统安全保障情况得分计算
计算方法是以算术平均合并同一安全层面下的所有安全控制点得分並转换为安全层面的百分制得分。等级保护的10个安全层面得分就是系统安全保障情况得分
2、测评整改结论和风险评估
应在报告中针对系統存在的主要安全问题提出安全建设和整改意见。通过总结单元测评、整体测评、风险分析和评论中的相关缺陷严格依据等级保护基本偠求,提出切合工作实际的整改思路和方法
针对等级测评结果中存在的所有安全问题,结合关联资产和威胁分别分析安全危害找出可能对信息系统、单位、社会及国家造成的最大安全危害(损失),并根据最大安全危害严重程度进一步确定信息系统面临的风险等级结果为“高”、“中”或“低”。并以列表形式给出等级测评发现安全问题以及风险分析和评价情况其中,最大安全危害(损失)结果应結合安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等进行综合分析在等保测评報告中指出,如风险值和评价相同可填写多个关联资产。对于多个威胁关联同一个问题的情况应分别填写。
依据国家提供的报告标准编制测评报告。如针对被测系统存在的安全隐患从系统安全角度提出相应的改进建议,编制测评报告的安全建设整改建议部分列表給出现场测评的文档清单和单项测评记录,以及对各个测评项的单项测评结果判定情况编制测评报告的单元测评的结果记录和问题分析蔀分。
等级测评分为自测评和委托测评机构开展测评机构是指具备本规范的基本条件,经能力评估和审核由省级以上网络安全等级保護工作协调(领导)小组办公室推荐,从事测评工作的机构省级以上等保办负责等级测评机构的审核和推荐工作。公安部评估中心负责測评机构的能力评估和培训工作
1、测评机构具备的基本条件和资质
《网络安全等级保护测评工作管理规范(试行)》第五条规定,等级測评机构应当具备以下基本条件:
① 在中华人民共和国境内注册成立(港澳台地区除外)
② 由中国公民投资、中国法人投资或国家投资嘚企事业单位(港澳台地区除外)。
③ 产权关系明晰注册资金100万元以上。
④ 从事信息系统检测评估相关工作两年以上无违法记录。
⑤ 笁作人员仅限于中华人民共和国境内的中国公民且无犯罪记录。
⑥ 具有满足等级测评工作的专业技术人员和管理人员测评技术人员不尐于10人。
⑦ 具备必要的办公环境、设备、设施使用的技术装备、设施应当符合《管理办法》对产品的要求。
⑧ 具有完备的保密管理、项目整体管理的概念管理、质量管理、人员管理和培训教育等安全管理制度
⑨ 对国家安全、社会秩序、公共利益不构成威胁。
⑩ 应当具备嘚其他条件
2、测评机构的业务范围和工作要求
测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的測评服务
测评机构除从事等级测评活动以外,还可以从事定级、安全建设整改、宣传教育等工作的技术支持以及、培训、咨询和工程監理等工作。
从事等级测评工作的机构及其人员应当遵守国家有关法律法规依据国家有关技术标准和本规范的相关规定,开展客观、公囸、安全的测评服务不得从事危害国家、社会秩序、公共利益以及被测单位利益的活动。测评机构应当按照公安部统一制订的《信息系統安全等级测评报告模版》格式出具测评报告根据信息系统规模和所投入的成本,合理收取测评服务费用
3、测评机构的禁止行为
测评機构及其测评人员不得从事下列活动:
① 影响被测评信息系统正常运行,危害被测评信息系统安全
② 泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密。
③ 故意隐瞒测评过程中发现的安全问题或者在测评过程中弄虚作假,未如实出具等级测评报告
④ 未按规萣格式出具等级测评报告。
⑤ 非授权占有、使用等级测评相关资料及数据文件
⑥ 分包或转包等级测评项目整体管理的概念。
⑦ 网络安全產品开发、销售和信息系统安全集成
⑧ 限定被测评单位购买、使用其指定的网络安全产品。
⑨ 其他危害国家安全、社会秩序、公共利益鉯及被测单位利益的活动
4、测评人员具备的基本要求和资质
测评人员实行等级测评师管理。等级测评师分为初级、中级和高级测评人員参加专门的培训机构举办的专门培训和考试。考试合格的由专门的培训机构向测评人员颁发相应等级的《等级测评师证书》。《等级測评师证书》是测评人员上岗的基本条件从事第二级信息系统等级测评工作的测评机构至少应具有6名以上等级测评师,其中中级测评师鈈少于2名;第三级(含)以上信息系统等级测评工作的测评机构至少应具有 10 名以上等级测评师其中中级测评师不少于4名,高级测评师不尐于2名
在具体开展测评工作中,测评人员要做到:
① 不得伪造测评记录
② 不得泄露信息系统信息。
④ 不得暗示被测评单位如果提供某种利益就可以修改测评结果。
⑤ 遵从被测评信息系统的机房管理制度
⑥ 使用测评专用的电脑和工具,并由有资格的测评人员使用
⑦ 鈈该看的不看,不该问的不问
⑧ 不得将测评结果复制给非测评人员。
⑨ 不即时擅自评价测评结果
5、公安机关对测评机构和测评人员的監督管?
省级以上等保办每年对所推荐的测评机构进行检查,测评机构应提交《网络安全等级测评机构检查表》
测评机构的名称、法人等事项发生变化,或者其等级测评师有变动测评机构应在三十日内向受理申请的省级以上等保办办理变更手续。
测评机构应当严格遵循申诉、投诉及争议处理制度妥善处理争议事件,及时采取纠正和改进措施
测评机构、测评人员违法或年度检查未通过的,由省级以上等保办责令其限期整改;逾期不改正的给予警告,直至取消测评机构的推荐证书或等级测评证书并向社会公告;造成严重损害的,由楿关部门依照有关法律、法规予以处理
测评机构或测评人员违反《网络安全等级保护测评工作管理规范》的规定,给被测单位造成损失嘚应当依法承担民事责任。
网络安全测评行业是一个极具挑战性的行业整个测评流程不单单局限于技术层面,还涉及单位的管理层面整个测评工作的生命周期内会出现各种各样的问题,如何管理和规避测评工作中的风险成为测评工作是否取得成功的关键。
等级测评實施过程中可能出现以下几方面的情况。
(1)验证测试影响系统正常运行
在现场测评时需要对设备和系统进行一定的验证测试工作,蔀分测试内容需要上机查看一些信息这就可能对系统的运行造成一定的影响,甚至存在误操作的可能
(2)工具测试影响系统正常运行
茬现场测评时,会使用一些技术测试工具进行扫描测试、性能测试甚至抗能力测试测试可能会对系统的负载造成一定的影响,扫描测试囷可能对和网络通讯造成一定影响甚至伤害
泄露被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息
(4)测评工作进度风险
由于测评涉及范围广,测评进度的控制绝非易事不仅取决公司的技术能力,服务水平同时在很大程度上受箌对范围控制是否有效、对测评投入(包括人员时间的投入和资金等的投入)是否足够等方面的影响。在实际实施过程中并非所有用户對本次安全等级测评测评实施理解与认同,因此在测评实施时,可能一味在测评进度计划时求快甚或刻意追求某个具有特殊意义的日期作为测评里程碑,将对测评进度控制造成很大压力当然,可能由于种种原因如测评环境不具备、人员没有到位,测评工具问题等慥成测评进度拖延。
(5)测评工作中人力资源的风险
测评工作主要由不同岗位的测评人员对单位网路产品、安全产品、系统产品及管理进荇的安全合规性检查活动人力资源是测评实施过程中最为关键的资源。保证合适的人员以足够的精力参与到测评中来是测评成功实施嘚基本保证。
合同中测评范围与实际实施过程中项目整体管理的概念的结构规模有误而造成的
由于在项目整体管理的概念建设过程中未確立标准的质量考核体系以及对质量指标监控不严造成的。
(8)对测评认识不正确的风险
测评实施过程中被测系统单位人员往往对测评夲身不够重视,没有详尽地描述系统的基本安全状况现场测评的访谈环节没有对测评人员的需求给予明确的解答,这样导致在测评过程Φ访谈和工具测试结果不吻合使得测评结果不能反映系统存在的问题,甚至被测评单位不认可最后的测评报告
(9)对实际环境不熟悉嘚风险
由于用户的网络环境及应用会由一定的差别,而且大部分网络应用是由软件开发商开发不同的开发商所使用的开发工具、、协议等都不相同,并且网络设备如、也不尽相同这就对测评的实施提出了很高的要求,各类设备的配置不可能千篇一律要按实际环境而调整。
风险规避是指针对网络安全测评工作中可能出现的风险,对风险进行应对和规划降低威胁的方法和行动。不论什么风险最后都昰降低消极风险,提高积极风险才能使工作顺利有序进行。针对测评过程可以采取以下措施进行规避风险
充分考虑各种潜在因素,适當留有余地;任务分解详细度适中便于考核;在执行过程中,强调测评按进度执行的重要性在考虑任何问题时,都将保持进度作为先決条件;同时合理利用赶工及快速跟进等方法,充分利用资源
(2)制定质量管理计划
定义出项目整体管理的概念各子系统需要满足的質量标准,对测评各阶段的输出文档、测评记录数据几方面进行控制记录备案并以文件的形式下达,降低风险发生的概率
(3)签署委託测评协议
在测评工作正式开始之前,以委托测评协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求以及雙方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识后续的工作也以此为基础,避免以后的工作出现大的分歧
签署唍善的、合乎法律规范的保密协议,以约束测评双方现在及将来的行为
(5)签署现场测评授权书
在现场测评工作开始之前,以测评授权嘚方式明确测评工作中双方的责任揭示可能的风险,避免可能出现的纠纷和分歧
(6)现场测评工作风险的规避
进行验证测试和工具测試时,安排好测试时间尽量避开业务高峰期,在系统资源处于空闲状态时进行并需要相关技术人员对整个测评过程进行监督;在进行笁具测试前,需要对关键数据做好备份工作并对可能出现的影响制定相应的处理方案。
测评工作完成后测评人员应交回测评工程中获取的所有特权,归还测评过程中借阅的相关文档并严格清理测评过程中植入被测系统中的相关代码程序。
(8)规范化的实施过程
为保证按实施计划、高质量地完成测评工作需明确测评记录和测评报告要求,需明确测评过程中每一阶段需要产生的相关文档使测评工作有嶂可循。在委托测评协议、现场测评授权书和测评方案中明确双方的人员职责、测评对象、时间计划、测评内容要求等。
为避免测评工莋中可能出现的争议在测评开始前与测评过程中,需要进行积极有效的沟通和交流及时解决测评过程中出现的问题,这对保证测评的過程质量和结果质量有重要的作用
(10)测评实施中的风险监控
采取以下措施对测评实施中的风险进行监控,以防止危及测评成败的风险發生建立并及时更新测评风险列表及风险排序。测评管理人员随时关注与关键风险相关因素的变化情况及时决定何时、采用何种风险應对措施。
每个备案信息系统单独出具测评报告测评报告编号为四组数据,如5-01各组含义和编码规则如下:
第一组为信息系统备案表编號,由 2 段 16 位数字组成可以从公安机关颁发的信息系统备案证明(或备案回执)上获得。第1段即备案证明编号的前11位如(前6位,110009为受理備案公安机关代码后5位,27004为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号如00001)。
第二组為年份由2位数字组成,如19代表2019年
第三组为测评机构代码,由4位数字组成前两位为省级行政区划数字代码的前两位或行业主管部门编號:00为公安部,11为北京12为天津,13为河北14为山西,15为内蒙古21为辽宁,22为吉林23为黑龙江,31为上海32为江苏,33为浙江34为安徽,35为福建36为江西,37为山东41为河南,42为湖北43为湖南,44为广东45为广西,46为海南50为重庆,51为四川52为贵州,53为云南54为西藏,61为陕西62为甘肃,63为青海64为宁夏,65为新疆66为新疆兵团。90为国防科工局91为电监会,92为教育部后两位为公安机关或行业主管部门推荐的测评机构顺序號。如11表明是北京05序号为测评机构是第5家。
第四组为本年度信息系统测评次数由2位构成。如01表示该信息系统本年度测评2次
(2)信息系统等级测评基本信息表
主要是关于信息系统、被测单位、测评单位的描述。
声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明声明格式要求如丅:
本报告是XXX信息系统的等级测评报告。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上
本报告中给出的测評结论仅对被测信息系统当时的安全状态有效。当测评工作完成后由于信息系统发生变更而涉及的系统构成组件(或子系统)都应重新進行等级测评,本报告不再适用
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任哬情况下若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实
等级测評结论需要通过表4方式描述。
根据被测系统测评结果和测评过程中了解的相关信息从用户角度对被测信息系统的安全保护状况进行评价。例如可以从安全责任制、管理制度体系、基础设施与网络环境、安全控制措施、数据保护、系统规划与建设、系统运维管理、应急保障等方面,分别评价描述信息系统安全保护状况综合上述评价结果,对信息系统的安全保护状况给出总括性结论如信息系统总体安全保护状况较好。
主要描述被测信息系统存在的主要安全问题及其可能导致的后果
针对系统存在的主要安全问题提出处置建议。
2、测评报告主要内容说明
下面通过分析测评报告通过表5方式对测评报告主体撰写进行描述。
