原標(biāo)題: 等保系列之——網(wǎng)絡(luò)安全等級保護(hù)測評(一)
導(dǎo)語
前面幾篇文章介紹了等級保護(hù)工作的定級��、備案��、建設(shè)整改三個方面的工作流程和內(nèi)容����,前三個步驟工作是由系統(tǒng)運(yùn)營使用單位完成的��,等級測評的工作主體為測評機(jī)構(gòu)�,根據(jù)測評評估的結(jié)果可以指導(dǎo)系統(tǒng)運(yùn)營使用單位下一步安全建設(shè)整改工作,也可以為公安機(jī)關(guān)監(jiān)督檢查工作提供參考��。
本文主要介紹網(wǎng)絡(luò)安全等級保護(hù)測評工作的基本概念��、目的�����、測評依據(jù)�、風(fēng)險、規(guī)避措施等內(nèi)容��。
一���、網(wǎng)絡(luò)安全等級測評基本概念
網(wǎng)絡(luò)安全等級保護(hù)測評(簡稱“等級測評”)是指測評機(jī)構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)制度規(guī)定�����,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)��,對非涉及國家秘密信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動����。
等級測評機(jī)構(gòu)是指具備本規(guī)范的基本條件��,經(jīng)能力評估和審核�,由省級以上網(wǎng)絡(luò)安全等級保護(hù)工作協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室(以下簡稱為“等保辦”)推薦,從事等級測評工作的機(jī)構(gòu)�����。
二�、網(wǎng)絡(luò)安全等級保護(hù)測評的目的和作用
目的:
通過進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)測評活動,能夠?qū)π畔⑾到y(tǒng)安全防護(hù)體系能力進(jìn)行分析與確認(rèn);發(fā)現(xiàn)存在的安全隱患;幫助運(yùn)營使用單位認(rèn)識不足����,及時改進(jìn);有效提升其網(wǎng)絡(luò)安全防護(hù)水平;遵循國家等級保護(hù)有關(guān)規(guī)定的要求,對信息系統(tǒng)安全建設(shè)進(jìn)行符合性測評�。
作用:
① 掌握信息系統(tǒng)的安全狀況��、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)�����、明確信息系統(tǒng)安全建設(shè)整改需求。
?�、?衡量信息系統(tǒng)的安全保護(hù)管理措施和技術(shù)措施是否符合等級保護(hù)基本要求���,是否具備了相應(yīng)的安全保護(hù)能力�����。
?�、?等級測評結(jié)果����,為公安機(jī)關(guān)等安全監(jiān)管部門開展監(jiān)督����、檢查、指導(dǎo)等工作提供參照��。
三��、網(wǎng)絡(luò)安全等級保護(hù)測評政策����、標(biāo)準(zhǔn)依據(jù)
《網(wǎng)絡(luò)安全等級保護(hù)管理辦法》第十四條規(guī)定:信息系統(tǒng)建設(shè)完成后�����,運(yùn)營�、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu)���,依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評工作����。
?《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》GB∕T 28449-2018
?《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》GB∕T 22239-2019
?《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》GB∕T 28448-2019
測評機(jī)構(gòu)應(yīng)當(dāng)依據(jù)《管理辦法》、《測評過程指南》�、《基本要求》、《測評要求》等國家標(biāo)準(zhǔn)進(jìn)行等級保護(hù)測評工作�。
其中《基本要求》闡述了等級測評工作的目標(biāo)和內(nèi)容,《測評要求》闡述了《基本要求》中各要求項的具體測評方法���、步驟和判斷依據(jù)等�����,用來評定信息系統(tǒng)的安全保護(hù)措施是否符合《基本要求》��?�!稖y評過程指南》規(guī)定了開展等級測評工作的基本過程���、流程�、任務(wù)及工作產(chǎn)品等���,規(guī)范測評機(jī)構(gòu)的等級測評工作�,并對在等級測評過程中何時如何使用《測評要求》提出了指導(dǎo)建議����。共同指導(dǎo)網(wǎng)絡(luò)安全等級保護(hù)測評工作。
四�����、網(wǎng)絡(luò)安全等級保護(hù)測評工作內(nèi)容
網(wǎng)絡(luò)安全等級保護(hù)測評內(nèi)容覆蓋組織的重要信息資產(chǎn)���,分為技術(shù)和管理兩個大的層面��。
技術(shù)層面主要是測評和分析在網(wǎng)絡(luò)和主機(jī)上存在的安全技術(shù)風(fēng)險�,包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)�����、安全區(qū)域邊界���、安全計算環(huán)境����、安全管理中心等五項要求;
管理層面包括從安全管理制度��、安全管理機(jī)構(gòu)�����、安全管理人員���、安全建設(shè)管理、安全運(yùn)維管理等保障措施��,以及其他運(yùn)行管理規(guī)范等角度�����,分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷。
通過對以上各種安全威脅的分析和匯總�,形成安全測評報告,根據(jù)安全測評報告和安全現(xiàn)狀�,提出相應(yīng)的安全整改建議,指導(dǎo)下一步的網(wǎng)絡(luò)安全建設(shè)�。
五、網(wǎng)絡(luò)安全等級保護(hù)測評的風(fēng)險介紹
在現(xiàn)場測評時��,需要對設(shè)備和系統(tǒng)進(jìn)行一定的驗證測試工作�����,部分測試內(nèi)容�,需要上機(jī)驗證并查看一些信息,可能對系統(tǒng)運(yùn)行造成影響�����,甚至存在操作失誤的可能;
使用測試工具進(jìn)行漏洞掃描�、性能測試及滲透測試等時,可能會對網(wǎng)絡(luò)的系統(tǒng)的負(fù)載造成影響����,滲透攻擊測試還可能影響到服務(wù)器和系統(tǒng)的正常運(yùn)行,滲透過程中用到的測試工具未清理或清理不徹底���,或者測試者電腦中帶有木馬程序���,存在植入木馬的風(fēng)險;
測評人員有意或無意泄露被測系統(tǒng)狀態(tài)信息�����,如網(wǎng)絡(luò)拓?fù)?�、業(yè)務(wù)流程��、業(yè)務(wù)數(shù)據(jù)�����、安全機(jī)制�����、安全隱患和有關(guān)文檔信息,存在信息泄露的風(fēng)險�。
六、網(wǎng)絡(luò)安全等級保護(hù)測評風(fēng)險規(guī)避措施
簽署委托測評協(xié)議
在測試工作正式開始前����,測評方和被測評單位需要已委托協(xié)議的方式明確測評工作的目標(biāo)、范圍、人員組成�、計劃安排、執(zhí)行步驟和要求以及雙方的責(zé)任和義務(wù)等�,使得測評雙方對測評過程中的問題達(dá)成共識。
簽署保密協(xié)議
測評相關(guān)方應(yīng)簽署合乎法律規(guī)范的保密協(xié)議����,保密協(xié)議規(guī)定了測評相關(guān)方保密方面的權(quán)利和義務(wù)。
現(xiàn)場測評風(fēng)險規(guī)避
現(xiàn)場測評之前�����,簽署現(xiàn)場測評授權(quán)書�����,要求被測方對系統(tǒng)及數(shù)據(jù)進(jìn)行備份�����,并對可能出現(xiàn)的事件制定應(yīng)急處理方案;
進(jìn)行驗證測試和工具測試時��,避開業(yè)務(wù)高峰期�,或是在與生產(chǎn)環(huán)境一致的模擬環(huán)境中進(jìn)行;上機(jī)驗證測試由測評人員指出需要驗證的內(nèi)容,系統(tǒng)運(yùn)營技術(shù)人員進(jìn)行實際操作��。
測評現(xiàn)場還原
測評完成后,測試人員將測評過程中的所有權(quán)限交回�����,把測評過程中借閱的相關(guān)資料文檔歸還���,恢復(fù)至測評前狀態(tài)�。
等保測評咨詢
