原標題: 等保系列之——網(wǎng)絡(luò)安全等級保護測評(一)
導語
前面幾篇文章介紹了等級保護工作的定級����、備案����、建設(shè)整改三個方面的工作流程和內(nèi)容,前三個步驟工作是由系統(tǒng)運營使用單位完成的����,等級測評的工作主體為測評機構(gòu),根據(jù)測評評估的結(jié)果可以指導系統(tǒng)運營使用單位下一步安全建設(shè)整改工作�����,也可以為公安機關(guān)監(jiān)督檢查工作提供參考�。
本文主要介紹網(wǎng)絡(luò)安全等級保護測評工作的基本概念、目的�����、測評依據(jù)���、風險����、規(guī)避措施等內(nèi)容。
一�����、網(wǎng)絡(luò)安全等級測評基本概念
網(wǎng)絡(luò)安全等級保護測評(簡稱“等級測評”)是指測評機構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護制度規(guī)定�,按照有關(guān)管理規(guī)范和技術(shù)標準,對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動����。
等級測評機構(gòu)是指具備本規(guī)范的基本條件,經(jīng)能力評估和審核�,由省級以上網(wǎng)絡(luò)安全等級保護工作協(xié)調(diào)(領(lǐng)導)小組辦公室(以下簡稱為“等保辦”)推薦,從事等級測評工作的機構(gòu)�。
二、網(wǎng)絡(luò)安全等級保護測評的目的和作用
目的:
通過進行網(wǎng)絡(luò)安全等級保護測評活動���,能夠?qū)π畔⑾到y(tǒng)安全防護體系能力進行分析與確認;發(fā)現(xiàn)存在的安全隱患;幫助運營使用單位認識不足��,及時改進;有效提升其網(wǎng)絡(luò)安全防護水平;遵循國家等級保護有關(guān)規(guī)定的要求��,對信息系統(tǒng)安全建設(shè)進行符合性測評�����。
作用:
?���、?掌握信息系統(tǒng)的安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)���、明確信息系統(tǒng)安全建設(shè)整改需求。
?����、?衡量信息系統(tǒng)的安全保護管理措施和技術(shù)措施是否符合等級保護基本要求�,是否具備了相應(yīng)的安全保護能力。
?���、?等級測評結(jié)果,為公安機關(guān)等安全監(jiān)管部門開展監(jiān)督���、檢查�、指導等工作提供參照�����。
三�、網(wǎng)絡(luò)安全等級保護測評政策�����、標準依據(jù)
《網(wǎng)絡(luò)安全等級保護管理辦法》第十四條規(guī)定:信息系統(tǒng)建設(shè)完成后����,運營�����、使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評機構(gòu)�����,依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準����,定期對信息系統(tǒng)安全等級狀況開展等級測評工作。
?《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評過程指南》GB∕T 28449-2018
?《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》GB∕T 22239-2019
?《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》GB∕T 28448-2019
測評機構(gòu)應(yīng)當依據(jù)《管理辦法》����、《測評過程指南》、《基本要求》��、《測評要求》等國家標準進行等級保護測評工作。
其中《基本要求》闡述了等級測評工作的目標和內(nèi)容�����,《測評要求》闡述了《基本要求》中各要求項的具體測評方法�����、步驟和判斷依據(jù)等���,用來評定信息系統(tǒng)的安全保護措施是否符合《基本要求》���?��!稖y評過程指南》規(guī)定了開展等級測評工作的基本過程���、流程、任務(wù)及工作產(chǎn)品等�����,規(guī)范測評機構(gòu)的等級測評工作��,并對在等級測評過程中何時如何使用《測評要求》提出了指導建議。共同指導網(wǎng)絡(luò)安全等級保護測評工作�����。
四����、網(wǎng)絡(luò)安全等級保護測評工作內(nèi)容
網(wǎng)絡(luò)安全等級保護測評內(nèi)容覆蓋組織的重要信息資產(chǎn),分為技術(shù)和管理兩個大的層面����。
技術(shù)層面主要是測評和分析在網(wǎng)絡(luò)和主機上存在的安全技術(shù)風險,包括安全物理環(huán)境����、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界�、安全計算環(huán)境、安全管理中心等五項要求;
管理層面包括從安全管理制度���、安全管理機構(gòu)�、安全管理人員����、安全建設(shè)管理、安全運維管理等保障措施,以及其他運行管理規(guī)范等角度��,分析業(yè)務(wù)運作和管理方面存在的安全缺陷�����。
通過對以上各種安全威脅的分析和匯總���,形成安全測評報告�����,根據(jù)安全測評報告和安全現(xiàn)狀��,提出相應(yīng)的安全整改建議���,指導下一步的網(wǎng)絡(luò)安全建設(shè)�����。
五����、網(wǎng)絡(luò)安全等級保護測評的風險介紹
在現(xiàn)場測評時,需要對設(shè)備和系統(tǒng)進行一定的驗證測試工作,部分測試內(nèi)容���,需要上機驗證并查看一些信息���,可能對系統(tǒng)運行造成影響,甚至存在操作失誤的可能;
使用測試工具進行漏洞掃描�、性能測試及滲透測試等時,可能會對網(wǎng)絡(luò)的系統(tǒng)的負載造成影響����,滲透攻擊測試還可能影響到服務(wù)器和系統(tǒng)的正常運行,滲透過程中用到的測試工具未清理或清理不徹底�����,或者測試者電腦中帶有木馬程序�����,存在植入木馬的風險;
測評人員有意或無意泄露被測系統(tǒng)狀態(tài)信息��,如網(wǎng)絡(luò)拓撲���、業(yè)務(wù)流程����、業(yè)務(wù)數(shù)據(jù)、安全機制��、安全隱患和有關(guān)文檔信息�,存在信息泄露的風險。
六����、網(wǎng)絡(luò)安全等級保護測評風險規(guī)避措施
簽署委托測評協(xié)議
在測試工作正式開始前,測評方和被測評單位需要已委托協(xié)議的方式明確測評工作的目標�����、范圍�����、人員組成���、計劃安排、執(zhí)行步驟和要求以及雙方的責任和義務(wù)等���,使得測評雙方對測評過程中的問題達成共識���。
簽署保密協(xié)議
測評相關(guān)方應(yīng)簽署合乎法律規(guī)范的保密協(xié)議����,保密協(xié)議規(guī)定了測評相關(guān)方保密方面的權(quán)利和義務(wù)�。
現(xiàn)場測評風險規(guī)避
現(xiàn)場測評之前,簽署現(xiàn)場測評授權(quán)書���,要求被測方對系統(tǒng)及數(shù)據(jù)進行備份����,并對可能出現(xiàn)的事件制定應(yīng)急處理方案;
進行驗證測試和工具測試時�����,避開業(yè)務(wù)高峰期��,或是在與生產(chǎn)環(huán)境一致的模擬環(huán)境中進行;上機驗證測試由測評人員指出需要驗證的內(nèi)容����,系統(tǒng)運營技術(shù)人員進行實際操作。
測評現(xiàn)場還原
測評完成后�����,測試人員將測評過程中的所有權(quán)限交回,把測評過程中借閱的相關(guān)資料文檔歸還�,恢復(fù)至測評前狀態(tài)。
聲明:本文來自信息安全國家工程研究中心
�����,版權(quán)歸作者所有�����。文章內(nèi)容僅代表作者獨立觀點���,不代表我們立場���,轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)����,請聯(lián)系刪除。
等保測評咨詢
