等保系列之——网络安全等级保护测评:工作流程及工作内容
一、网络安全等级保护测评过程概述
网络安全等级保护测评工作过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评相关方之间的沟通与洽谈应贯穿整个测评过程。每一项活动有一定的工作任务。如下表。
01 基本工作流程
① 测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
② 方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
③ 现场测评活动
本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
④ 分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息安全技术 网络安全等级保护测评要求》GB/T28448-2019的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
02 工作方法
网络安全等级保护测评主要工作方法包括访谈、文档审查、配置检查、工具测试和实地察看。
访谈是指测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。访谈的对象是人员,访谈涉及的技术安全和管理安全测评的测评结果,要提供记录或录音。典型的访谈人员包括:网络安全主管、信息系统安全管理员、系统管理员、网络管理员、资产管理员等。
文档审查主要是依据技术和管理标准,对被测评单位的安全方针文件,安全管理制度,安全管理的执行过程文档,系统设计方案,网络设备的技术资料,系统和产品的实际配置说明,系统的各种运行记录文档,机房建设相关资料,机房出入记录。检查信息系统建设必须具有的制度、策略、操作规程等文档是否齐备,制度执行情况记录是否完整,文档内容完整性和这些文件之间的内部一致性等问题。
配置检查是指利用上机验证的方式检查网络安全、主机安全、应用安全、数据安全的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),并记录测评结果。配置检查是衡量一家测评机构实力的重要体现。检查对象包括数据库系统、操作系统、中间件、网络设备、网络安全设备。
工具测试是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,通过查看、分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。
实地查看根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。
二、网络安全等级保护测评工作流程
01 测评准备活动阶段
首先,被测评单位在选定测评机构后,双方需要先签订《测评服务合同》,合同中对项目范围(系统数量)、项目内容(差距测评?验收测评?协助整改?)、项目周期(什么时间进场?项目计划做多长时间?)、项目实施方案(测评工作的步骤)、项目人员(项目实施团队人员)、项目验收标准、付款方式、违约条款等等内容逐一进行约定。
签订《测评服务合同》同时,测评机构应签署《保密协议》。《保密协议》一般分两种,一种是测评机构与被测单位(公对公)签署,约定测评机构在测评过程中的保密责任;一种是测评机构项目组成员与被测单位之间签署。
①项目启动会
在双方签完委托测评合同之后,双方即可约定召开项目启动会时间。项目启动会的目的,主要是由甲方领导对公司内部涉及的部门进行动员、提请各相关部门重视、协调内部资源、介绍测评方项目实施人员、计划安排等内容,为整个等级测评项目的实施做基本准备。
②系统情况调研
启动会后,测评方开展调研,通过填写《信息系统基本情况调查表》,掌握被测系统的详细情况,为编制测评方案做好准备。测评项目组进场前,应熟悉被测定级对象,调试测评工具,准备各种表单。
02 方案编制活动阶段
方案编制活动的目的是整理测评准备活动中获取的定级对象资料,为现场测评活动提供最基础文档和测评方案。
方案编制活动包括测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发、测评方案编制六项主要任务。
①确定测评对象。根据系统调查结果,分析整个被测定级对象业务流程、数据流程、范围、特点确定测评对象,一般采用抽查的方法,即:抽查信息系统中具有代表性的组件作为测评对象。
② 确定测评指标及测评内容。根据被测定级对象结果确定测评的基本指标,根据测评委托单位定级对象业务自身需求确定特殊测评指标。
③ 确定测评工具接入点。一般来说,测评工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入,即:测评工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。从被测系统边界外接入时,测评工具一般接在系统边界设备(通常为交换设备)上。在该点接入漏洞扫描器,扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况;从系统内部与测评对象不同网段接入时,测评工具一般接在与被测对象不在同一网段的内部核心交换设备上;在系统内部与测评对象同一网段内接入时,测评工具一般接在与被测对象在同一网段的交换设备上;结合网络拓扑图,采用图示的方式描述测评工具的接入点、测评目的、测评途径和测评对象等相关内容。
④ 确定测评内容与方法。将测评对象与测评指标进行映射构成测评内容,并针对不同的测评内容合理地选择测评方法形成具体的测评实施内容。
⑤ 确定测评指导书。测评指导书是指导和规范测评人员现场测评活动的文档,包括测评项、测评方法、操作步骤和预期结果等四部分。在测评对象和指标确定的基础上,将测评指标映射到各测评对象上,然后结合测评对象的特点,选择应采取的测评方法并确定测评步骤和预期结果,形成不同测评对象的具体测评指导书。
⑥ 确定测评方案。综合以上结果内容以及测评工作计划形成测评方案,测评方案主要内容包括测评概述、目标系统概述、定级情况、网络结构、主机设备情况、应用情况、测评方法与工具、测评内容、时间安排、风险揭示与规避等。
03 现场测评活动
现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。
①现场测评准备
为保证测评机构能够顺利实施测评,测评准备工作需要包括以下内容:
● 测评委托单位签署现场测评授权书;
● 召开测评现场首次会;
● 测评双方确认现场测评需要的各种资源,包括测评委托单位的配合人员和需要提供的测评条件等,确认被测系统已备份过系统及数据;
● 测评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新。
②现场测评和结果记录
现场测评覆盖到被测系统安全技术的5个层面和安全管理的5方面。安全技术的5个层面具体为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;安全管理的5方面具体为:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
③结果确认和资料归还
现场测评结束时,需要做好记录和确认工作,并将测评的结果征得评测双方认同确认。主要包括测评人员在现场测评完成之后,应首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评;召开测评现场结束会,测评双方对测评过程中发现的问题进行现场确认。测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供者签字确认。
04 报告编制活动
测评人员在初步判定单项测评结果后,还需进行单元测评结果判定、整体测评、系统安全保障评估等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
三、测评委托单位需要配合的工作
测评准备阶段:
①被测方成立项目组,并任命项目经理;
②向测评机构介绍本单位的信息化建设状况与发展情况;
③准备测评机构需要的资料,比如系统定级报告、备案表、自查或上次测评报告、联系方式等;
④为测评人员的信息收集提供支持和协调;
⑤准确填写信息系统基本信息调查表;
⑥根据被测系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议;
方案编制阶段:
①为测评机构完成测评方案提供有关信息和资料;
②评审和确认测评方案文本。
现场测评阶段:
①此阶段工作测评方人员需要在客户现场完成。需要被测方提供办公位(基本的办公环境)。
②备案单位需要机房管理员、网络管理员、安全主管、系统管理员、系统开发人员、运维人员等进行配合。
③测评前备份系统和数据,并确认被测设备状态完好;
④协调被测系统内部相关人员的关系,配合测评工作的开展;
⑤相关人员回答测评人员的问询,对某些需要验证的内容上机进行操作;
⑥相关人员确认测试前协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响;
⑦相关人员对测评结果进行确认;
⑧相关人员确认工具测试后被测设备的状态完好。
报告编制阶段:
①签收测评报告;
②向公安机关递交测评报告。
等保系列之——网络安全等级保护测评:工作流程及工作内容相关推荐
- 新版网络安全等级保护测评报告模板包含哪些内容?哪里可以找到?
为深入贯彻落实网络安全等级保护制度,进一步提升等级测评工作的标准化和规范化水平,推进网络安全等级保护2.0系列标准实施应用,公安部网络安全保卫局组织编制了<网络安全等级保护测评报告模板(2021 ...
- 信息安全技术 网络安全等级保护测评要求_【诚资讯】等保2.0版本出炉!信息安全技术 网络安全等级保护基本要求正式发布...
2019年5月10日,<信息安全技术 网络安全等级保护基本要求>.<信息安全技术 网络安全等级保护测评要求>.<信息安全技术 网络安全等级保护安全设计技术要求>(以 ...
- 等保测评--网络安全等级保护测评过程指南
GB/T 28449-2018 信息安全技术网络安全等级保护测评过程指南 范围 适用于测评机构.定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工作 规范等保测评工作过程,规定测评活动及工 ...
- 网络安全等级保护测评高风险判定指引_等保知识|测评高风险项详解:安全管理中心...
"安全管理中心"是等级保护2.0标准新增的层面,其要求侧重在对设备运行状况.审计数据.安全策略.恶意代码.补丁升级.安全事件等集中式的分析与管控.<网络安全法>第二十一 ...
- 我司工程师荣获2020年度网络安全等级保护测评体系建设工作表现突出个人
12月20日,2020中国网络安全等级保护和关键信息基础设施保护大会(以下简称大会)在南宁圆满召开.润成安全工程师麦卓群麦工,作为2020年度网络安全等级保护测评体系建设工作表现突出个人,在会上荣获表 ...
- 网络安全等级保护指南|网络安全等级保护测评周期需要多久
网民问:什么是等级保护? 回答:网络安全等级保护是指对国家安全.法人和其他组织及公民的专有信息以及公开信息和存储.传输.处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等 ...
- GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》之安全物理环境测评解读
文章目录 引言 一.物理位置选择 二.物理访问控制 三.防盗窃和破坏 四.防雷击 五.防火 六.防水和防潮 七.防静电 八.温湿度控制 九.电力供应 十.电磁防护 总结 引言 2019年12月1日,我 ...
- 网络安全等级保护测评——主机安全(三级)详解
网络安全等级保护测评--主机安全(三级)详解 最近去了项目组打杂,偷学了些对服务器做整改的等保要求,写下一篇废话,看完了就可以跟我一起打杂了. 一.主机安全概念 主机指我们整个系统里面的操作系统(wi ...
- 网络安全等级保护测评机构简介
加强公安等级保护测评工作,推动等级等级保护2.0学习全国测评机构联系名单. 全国等级保护测评机构推荐目录下载地址 链接:https://pan.baidu.com/s/10_WPRLXn13052TO ...
最新文章
- linux vscode vim,VSCode Vim进阶操作
- js去空格的三种方法
- xxl子任务_阿里面试官:聊一下分布式任务调度有那些解决方案?
- 四边形可以分为几类_学习知识:四边形有几种类型
- JavaScript学习笔记:你必须要懂的原生JS(一)
- 十大经典排序算法之冒泡排序及其优化
- 牛客题霸 NC21 链表内指定区间反转
- CMakeList下打印log
- python3中format函数列表_Python3之字符串格式化format函数详解(上)
- php计时器每过24小时结果加一倍,单片机时钟24小时慢了21.5秒 如何修改初值校正呢?...
- 【IOS-COCOS2D游戏开发之十九】游戏数据存储的四种常用方式NSKEYEDARCHIVER/NSUSERDEFAULTS/WRITE写入/SQLITE3...
- 深入浅出数据分析 Head First Data Analysis Code 一书中的文档下载
- HTML前端代码分析(查看网站黑链的几种方法)暗链是什么意思
- html旅游旅行游记攻略网页源码
- 外地户籍应届毕业生落户上海申请及办理流程(包括海外)
- linux趋势杀毒安装目录,Linux 杀毒软件ClamAV安装部署
- 应急响应--windows主机入侵排查思路
- 智慧城市同城V4 v2.2.5 [独立版全插件]同城 同城小程序 同城信息
- u盘乱码怎么办?数据丢失如何恢复?(详解)
- java 好学_java是什么?对于新手好学吗?