發(fā)布時間：2021/12/30 17:12:13   發(fā)布來源：www.bzshu.cn    作者：通翔顧問

  網(wǎng)絡安全等級測評工作具體怎么實施呢?需要注意哪些問題呢?怎么快速高效的完成等級測評工作呢?

  本期文章將具體介紹網(wǎng)絡安全等級保護測評工作的工作流程及工作內(nèi)容。

  一、網(wǎng)絡安全等級保護測評過程概述

  網(wǎng)絡安全等級保護測評工作過程包括四個基本測評活動：測評準備活動、方案編制活動、現(xiàn)場測評活動、報告編制活動。而測評相關方之間的溝通與洽談應貫穿整個測評過程。每一項活動有一定的工作任務。

  01、基本工作流程

  ① 測評準備活動

  本活動是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續(xù)工作能否順利開展。本活動的主要任務是掌握被測系統(tǒng)的詳細情況，準備測試工具，為編制測評方案做好準備。

  ② 方案編制活動

  本活動是開展等級測評工作的關鍵活動，為現(xiàn)場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統(tǒng)相適應的測評對象、測評指標及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導書測評指導書，形成測評方案。

  ③ 現(xiàn)場測評活動

  本活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求，嚴格執(zhí)行測評指導書測評指導書，分步實施所有測評項目，包括單元測評和整體測評兩個方面，以了解系統(tǒng)的真實保護情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。

  ④ 分析與報告編制活動

  本活動是給出等級測評工作結果的活動，是總結被測系統(tǒng)整體安全保護能力的綜合評價活動。本活動的主要任務是根據(jù)現(xiàn)場測評結果和《信息安全技術 網(wǎng)絡安全等級保護測評要求》GB/T28448-2019的有關要求，通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法，找出整個系統(tǒng)的安全保護現(xiàn)狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統(tǒng)面臨的風險，從而給出等級測評結論，形成測評報告文本。

  02、工作方法

  網(wǎng)絡安全等級保護測評主要工作方法包括訪談、文檔審查、配置檢查、工具測試和實地察看。

  訪談是指測評人員與被測系統(tǒng)有關人員(個人/群體)進行交流、討論等活動，獲取相關證據(jù)，了解有關信息。訪談的對象是人員，訪談涉及的技術安全和管理安全測評的測評結果，要提供記錄或錄音。典型的訪談人員包括：網(wǎng)絡安全主管、信息系統(tǒng)安全管理員、系統(tǒng)管理員、網(wǎng)絡管理員、資產(chǎn)管理員等。

  文檔審查主要是依據(jù)技術和管理標準，對被測評單位的安全方針文件，安全管理制度，安全管理的執(zhí)行過程文檔，系統(tǒng)設計方案，網(wǎng)絡設備的技術資料，系統(tǒng)和產(chǎn)品的實際配置說明，系統(tǒng)的各種運行記錄文檔，機房建設相關資料，機房出入記錄。檢查信息系統(tǒng)建設必須具有的制度、策略、操作規(guī)程等文檔是否齊備，制度執(zhí)行情況記錄是否完整，文檔內(nèi)容完整性和這些文件之間的內(nèi)部一致性等問題。

  配置檢查是指利用上機驗證的方式檢查網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全的配置是否正確，是否與文檔、相關設備和部件保持一致，對文檔審核的內(nèi)容進行核實(包括日志審計等)，并記錄測評結果。配置檢查是衡量一家測評機構實力的重要體現(xiàn)。檢查對象包括數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)、中間件、網(wǎng)絡設備、網(wǎng)絡安全設備。

  工具測試是利用各種測試工具，通過對目標系統(tǒng)的掃描、探測等操作，使其產(chǎn)生特定的響應等活動，通過查看、分析響應結果，獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否得以有效實施的一種方法。

  實地查看根據(jù)被測系統(tǒng)的實際情況，測評人員到系統(tǒng)運行現(xiàn)場通過實地的觀察人員行為、技術設施和物理環(huán)境狀況判斷人員的安全意識、業(yè)務操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是否達到了相應等級的安全要求。

  二、網(wǎng)絡安全等級保護測評工作流程

  01、測評準備活動階段

  首先，被測評單位在選定測評機構后，雙方需要先簽訂《測評服務合同》，合同中對項目范圍(系統(tǒng)數(shù)量)、項目內(nèi)容(差距測評?驗收測評?協(xié)助整改?)、項目周期(什么時間進場?項目計劃做多長時間?)、項目實施方案(測評工作的步驟)、項目人員(項目實施團隊人員)、項目驗收標準、付款方式、違約條款等等內(nèi)容逐一進行約定。

  簽訂《測評服務合同》同時，測評機構應簽署《保密協(xié)議》?！侗Ｃ軈f(xié)議》一般分兩種，一種是測評機構與被測單位(公對公)簽署，約定測評機構在測評過程中的保密責任;一種是測評機構項目組成員與被測單位之間簽署。

  ①項目啟動會

  在雙方簽完委托測評合同之后，雙方即可約定召開項目啟動會時間。項目啟動會的目的，主要是由甲方領導對公司內(nèi)部涉及的部門進行動員、提請各相關部門重視、協(xié)調(diào)內(nèi)部資源、介紹測評方項目實施人員、計劃安排等內(nèi)容，為整個等級測評項目的實施做基本準備。

  ②系統(tǒng)情況調(diào)研

  啟動會后，測評方開展調(diào)研，通過填寫《信息系統(tǒng)基本情況調(diào)查表》，掌握被測系統(tǒng)的詳細情況，為編制測評方案做好準備。測評項目組進場前，應熟悉被測定級對象，調(diào)試測評工具，準備各種表單。

  02、方案編制活動階段

  方案編制活動的目的是整理測評準備活動中獲取的定級對象資料，為現(xiàn)場測評活動提供最基礎文檔和測評方案。

  方案編制活動包括測評對象確定、測評指標確定、測評內(nèi)容確定、工具測試方法確定、測評指導書開發(fā)、測評方案編制六項主要任務。

  ①確定測評對象。根據(jù)系統(tǒng)調(diào)查結果，分析整個被測定級對象業(yè)務流程、數(shù)據(jù)流程、范圍、特點確定測評對象，一般采用抽查的方法，即：抽查信息系統(tǒng)中具有代表性的組件作為測評對象。

  ② 確定測評指標及測評內(nèi)容。根據(jù)被測定級對象結果確定測評的基本指標，根據(jù)測評委托單位定級對象業(yè)務自身需求確定特殊測評指標。

  ③ 確定測評工具接入點。一般來說，測評工具的接入采取從外到內(nèi)，從其他網(wǎng)絡到本地網(wǎng)段的逐步逐點接入，即：測評工具從被測系統(tǒng)邊界外接入、在被測系統(tǒng)內(nèi)部與測評對象不同網(wǎng)段及同一網(wǎng)段內(nèi)接入等幾種方式。從被測系統(tǒng)邊界外接入時，測評工具一般接在系統(tǒng)邊界設備(通常為交換設備)上。在該點接入漏洞掃描器，掃描探測被測系統(tǒng)的主機、網(wǎng)絡設備對外暴露的安全漏洞情況;從系統(tǒng)內(nèi)部與測評對象不同網(wǎng)段接入時，測評工具一般接在與被測對象不在同一網(wǎng)段的內(nèi)部核心交換設備上;在系統(tǒng)內(nèi)部與測評對象同一網(wǎng)段內(nèi)接入時，測評工具一般接在與被測對象在同一網(wǎng)段的交換設備上;結合網(wǎng)絡拓撲圖，采用圖示的方式描述測評工具的接入點、測評目的、測評途徑和測評對象等相關內(nèi)容。

  ④ 確定測評內(nèi)容與方法。將測評對象與測評指標進行映射構成測評內(nèi)容，并針對不同的測評內(nèi)容合理地選擇測評方法形成具體的測評實施內(nèi)容。

  ⑤ 確定測評指導書。測評指導書是指導和規(guī)范測評人員現(xiàn)場測評活動的文檔，包括測評項、測評方法、操作步驟和預期結果等四部分。在測評對象和指標確定的基礎上，將測評指標映射到各測評對象上，然后結合測評對象的特點，選擇應采取的測評方法并確定測評步驟和預期結果，形成不同測評對象的具體測評指導書。

  ⑥ 確定測評方案。綜合以上結果內(nèi)容以及測評工作計劃形成測評方案，測評方案主要內(nèi)容包括測評概述、目標系統(tǒng)概述、定級情況、網(wǎng)絡結構、主機設備情況、應用情況、測評方法與工具、測評內(nèi)容、時間安排、風險揭示與規(guī)避等。

  03、現(xiàn)場測評活動

  現(xiàn)場測評活動通過與測評委托單位進行溝通和協(xié)調(diào)，為現(xiàn)場測評的順利開展打下良好基礎，然后依據(jù)測評方案實施現(xiàn)場測評工作，將測評方案和測評工具等具體落實到現(xiàn)場測評活動中?，F(xiàn)場測評工作應取得分析與報告編制活動所需的、足夠的證據(jù)和資料。

  現(xiàn)場測評活動包括現(xiàn)場測評準備、現(xiàn)場測評和結果記錄、結果確認和資料歸還三項主要任務。

  ①現(xiàn)場測評準備

  為保證測評機構能夠順利實施測評，測評準備工作需要包括以下內(nèi)容：

  ● 測評委托單位簽署現(xiàn)場測評授權書;

  ● 召開測評現(xiàn)場首次會;

  ● 測評雙方確認現(xiàn)場測評需要的各種資源，包括測評委托單位的配合人員和需要提供的測評條件等，確認被測系統(tǒng)已備份過系統(tǒng)及數(shù)據(jù);

  ● 測評人員根據(jù)會議溝通結果，對測評結果記錄表單和測評程序進行必要的更新。

  ②現(xiàn)場測評和結果記錄

  現(xiàn)場測評覆蓋到被測系統(tǒng)安全技術的5個層面和安全管理的5方面。安全技術的5個層面具體為：安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心;安全管理的5方面具體為：安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

  ③結果確認和資料歸還

  現(xiàn)場測評結束時，需要做好記錄和確認工作，并將測評的結果征得評測雙方認同確認。主要包括測評人員在現(xiàn)場測評完成之后，應首先匯總現(xiàn)場測評的測評記錄，對漏掉和需要進一步驗證的內(nèi)容實施補充測評;召開測評現(xiàn)場結束會，測評雙方對測評過程中發(fā)現(xiàn)的問題進行現(xiàn)場確認。測評機構歸還測評過程中借閱的所有文檔資料，并由測評委托單位文檔資料提供者簽字確認。

  04、報告編制活動

  測評人員在初步判定單項測評結果后，還需進行單元測評結果判定、整體測評、系統(tǒng)安全保障評估等方法，找出整個系統(tǒng)的安全保護現(xiàn)狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統(tǒng)面臨的風險，從而給出等級測評結論，形成測評報告文本。

  三、測評委托單位需要配合的工作

  測評準備階段：

  ①被測方成立項目組，并任命項目經(jīng)理;

  ②向測評機構介紹本單位的信息化建設狀況與發(fā)展情況;

  ③準備測評機構需要的資料，比如系統(tǒng)定級報告、備案表、自查或上次測評報告、聯(lián)系方式等;

  ④為測評人員的信息收集提供支持和協(xié)調(diào);

  ⑤準確填寫信息系統(tǒng)基本信息調(diào)查表;

  ⑥根據(jù)被測系統(tǒng)的具體情況，如業(yè)務運行高峰期、網(wǎng)絡布置情況等，為測評時間安排提供適宜的建議;

  方案編制階段：

  ①為測評機構完成測評方案提供有關信息和資料;

  ②評審和確認測評方案文本。

  現(xiàn)場測評階段：

  ①此階段工作測評方人員需要在客戶現(xiàn)場完成。需要被測方提供辦公位(基本的辦公環(huán)境)。

  ②備案單位需要機房管理員、網(wǎng)絡管理員、安全主管、系統(tǒng)管理員、系統(tǒng)開發(fā)人員、運維人員等進行配合。

  ③測評前備份系統(tǒng)和數(shù)據(jù)，并確認被測設備狀態(tài)完好;

  ④協(xié)調(diào)被測系統(tǒng)內(nèi)部相關人員的關系，配合測評工作的開展;

  ⑤相關人員回答測評人員的問詢，對某些需要驗證的內(nèi)容上機進行操作;

  ⑥相關人員確認測試前協(xié)助測評人員實施工具測試并提供有效建議，降低安全測評對系統(tǒng)運行的影響;

  ⑦相關人員對測評結果進行確認;

  ⑧相關人員確認工具測試后被測設備的狀態(tài)完好。

  報告編制階段：

  ①簽收測評報告;

  ②向公安機關遞交測評報告。

  聲明：本文來自信息安全國家工程研究中心微信公眾號 ，版權歸作者所有。文章內(nèi)容僅代表作者獨立觀點，不代表通翔顧問立場，轉載目的在于傳遞更多信息。如有侵權，請聯(lián)系刪除。