本文主要介绍测评工作的内容、流程、方法,介绍测评机构和测评人员,测评工作中的风险及其控制,最后介绍等级测评报告主要内容及说明。
一、基本工作
1、测评概念
测评(简称“等级测评”)是指测评机构依据国家网络安全等级保护管理制度规定,按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上网络安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
2、测评作用和目的
通过进行测评,能够对信息系统体系能力的分析与确认;发现存在的安全隐患;帮助运营使用单位认识不足,及时改进;有效提升其防护水平;遵循国家有关规定的要求,对信息系统安全建设进行符合性测评。测评的作用如下:
①掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。
②衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
③等级测评结果,为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。
为了达到上述目的,开展等级测评的最好时期是安全建设整改前、安全建设整改后,及其常规性定期开展测评,如三级系统每年至少开展一次等级测评。
3、测评标准依据
《管理办法》第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评;第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
测评机构应当依据《管理办法》、《测评机构管理办法》、《测评要求》、《测评过程指南》等国家标准进行等级测评,按照统一制订的《测评报告模版》格式出具测评报告。按照行业标准规范开展安全建设整改的信息系统,可以国家标准为依据开展等级测评,也可以行业标准规范为依据开展等级测评。
等级测评依据的两个主要标准分别是《GB/T28448—2012测评要求》和《GB/T28449—2012测评过程指南》。其中,《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等,用来评定信息系统的安全保护措施是否符合《基本要求》。《测评过程指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等,规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用《测评要求》提出了指导建议。二者共同指导等级测评工作。等级测评的测评对象是已经确定等级的信息系统。特定等级测评项目面对的被测评系统是由一个或多个不同安全保护等级的定级对象构成的信息系统。等级测评实施通常采用的测评方法是访谈、文档审查、配置检查、工具测试、实地查看。
4、测评工作规范
等级测评工作中,应遵循以下规范和原则。
②规范性原则:为用户提供规范的服务,工作中的过程和文档需具有良好的规范性,可以便于项目的跟踪和控制。
③可控性原则:测评过程和所使用的工具具备可控性,测评项目采用的工具都经过多次测评项目考验,或者是根据具体要求和组织的具体网络特点定制的,具有良好的可控性。
④整体性原则:测评服务从组织的实际需求出发,从业务角度进行测评,而不是局限于网络、主机等单个的安全层面,涉及安全管理和业务运营,保障整体性和全面性。
⑤最小影响原则:测评工作具备充分的计划性,不对现有的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行。
⑥保密性原则:从公司、人员、过程三方面进行保密控制——测评公司与甲方双方签署保密协议,不得利用测评中的任何数据进行其他有损甲方利益的活动;人员保密,公司内部签订保密协议;在测评过程中对测评数据严格保密。
⑦个性化原则:根据被测信息系统的实际业务需求、功能需求以及对应的安全建设情况,开展针对性较强的测评工作。
5、测评工作内容
等级测评内容覆盖组织的重要信息资产,分为技术和管理两大层面。技术层面主要是测评和分析在网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、、应用系统等软硬件设备;管理层面包括从组织的人员、组织结构、管理制度、系统运行保障措施,以及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。通过对以上各种安全威胁的分析和汇总,形成组织的安全测评报告,根据组织的安全测评报告和安全现状,提出相应的安全整改建议,指导下一步的建设。
二、测评工作流程
为确保等级测评工作的顺利开展,需要了解等级测评的工作流程和方法,以便对等级测评工作过程进行控制。
1、基本工作流程和方法
(1)基本工作流程
等级测评过程分为4个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。基本工作流程如图1所示。
图1等级测评工作流程
①测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
②方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
③现场测评活动
本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
④分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和GB/T28448—2012的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
(2)工作方法
测评主要工作方法包括访谈、文档审查、配置检查、工具测试和实地察看。
工具测试是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,通过查看、分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。
实地查看根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。如扫描探测、渗透测试、协议分析等手段。
2、测评实施准备
①明确测评目标:等级保护测评目标是验证信息系统是否达到定级基本要求。
⑤系统调研:系统调研是了解、熟悉被测评对象的过程,测评实施小组应进行充分的系统调研,以确定系统测评的依据和方法。系统调研可采取问卷调查、现场面谈、人员访谈、资料查阅、实地查看相结合的方式进行。
⑥确定系统测评标准:因业务、行业、主管部门、地区等不同,系统测评标准依据存在个性化差异。信息系统测评依据应包括:
●适用的法律、法规。
●现有国际标准、国家标准、行业标准。
●行业主管机关的业务系统的要求和制度。
●与信息系统安全保护等级相应的基本要求。
●被测评组织的安全要求。
●系统自身的实时性或性能要求等。
⑦确定测评工具:主要包括测评前的表格、文档、检测工具等各项准备工作。测评工作通常包括根据评估对象和评估内容合理选择相应的测评工具,测评工具的选择和使用应遵循以下原则:
●脆弱性发现工具,应具备全面的已知系统脆弱性核查与检测能力。
●测评工具的检测规则库应具备更新功能,能够及时更新。
●测评工具使用的检测策略和检测方式不应对信息系统造成不正常影响。
可采用多种测评工具对同一测试对象进行检测,如果出现检测结果不一致的情况,应进一步采用必要的人工检测和关联分析,并给出与实际情况最为相符的结果判定。
评估工具的选择和使用必须符合国家有关规定。
测评工具应包括:主机检查、检查、检查、中间件检查、检查、专用业务检查、协议检查、口令检查、安全设备检查、网络设备检查、性能压力检查等。
⑧制定测评方案:测评方案是测评工作实施活动总体计划,用于管理评估工作的开展,使测评各阶段工作可控。测评方案是测评项目验收的主要依据之一,是测评人员进行内部工作交流、明确工作任务的操作指南。通常测评方案给出具体的现场测评的工作思路、方法、方式和具体测评对象及其内容。测评方案应得到被评估组织的确认和认可。
⑩文档管理:文档是测评工作的最终体现方式。为确保文档资料的完整性、准确性和安全性,应遵循以下原则:
●指派专人负责管理和维护项目进程中产生的各类文档,确保文档的完整性和准确性。
●文档的存储应进行合理的分类和编目,确保文档结构清晰可控。
●所有文档应注明项目名称、文档名称、版本号、审批人、编制日期、分发范围等信息。
3、测评方案编制
方案编制过程是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本过程的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
①确定测评对象。一般采用抽查的方法,即:抽查信息系统中具有代表性的组件作为测评对象。在确定测评对象时,需遵循以下原则:
●重要性,应抽查对被测评系统来说重要的、和网络设备等。
●安全性,应抽查对外暴露的网络边界。
●共享性,应抽查共享设备和数据交换平台/设备。
●代表性,抽查应尽量覆盖系统各种设备类型、类型、系统类型和应用系统类型。
●恰当性,选择的设备、软件系统等应能符合相应等级的测评强度要求。
②确定测评指标及测评内容。根据被测系统调查表格,得出被测系统的定级结果,包括业务保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施ASG组合情况。如,目标系统的安全保护等级为第三级(S3A3G3),其测评指标应包括《基本要求》7.1节“技术要求”和7.2节“管理要求”中的第三级通用指标类(G3)、第三级业务性指标类(S3)和第三级业务服务保证类(A3)要求。对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则。
④确定测评内容与方法。将测评对象与测评指标进行映射构成测评内容,并针对不同的测评内容合理地选择测评方法形成具体的测评实施内容。
⑤确定测评指导书。测评指导书是指导和规范测评人员现场测评活动的文档,包括测评项、测评方法、操作步骤和预期结果等四部分。在测评对象和指标确定的基础上,将测评指标映射到各测评对象上,然后结合测评对象的特点,选择应采取的测评方法并确定测评步骤和预期结果,形成不同测评对象的具体测评指导书。
4、现场测评
现场测评是测评工作的重要阶段。风险评估中的风险识别阶段,对应现场测评,通过对组织和信息系统中资产、威胁、脆弱性等要素的识别,是进行信息系统安全风险分析的前提。现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。
(1)现场测评准备
(2)现场测评和结果记录
现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看5方面。现场测评覆盖到被测系统安全技术的5个层面和安全管理的5方面。安全技术的5个层面具体为:、、、、和备份恢复。安全管理的5方面具体为:安全管理制度、安全管理机构、人员安全管理、系统建设安全管理和系统安全管理。
检查将通过访谈和检查的方式评测目标系统的物理安全保障情况,主要涉及对象为机房。在内容上,物理安全层面测评实施过程涉及10个控制点。
检查将通过访谈、检查和测试的方式评测目标系统的网络安全保障情况,主要涉及对象包括网络设备、网络安全设备以及网络拓扑结构等三大类对象。在内容上,网络安全层面测评过程涉及8个控制点。
主机系统安全检查将通过访谈、检查和测试的方式评测目标系统的主机系统安全保障情况。在内容上,主机系统安全层面测评实施过程涉及7个控制点。
检查将通过访谈、检查和测试的方式评测目标系统的应用安全保障情况。在内容上,应用安全层面测评实施过程涉及9个控制点。
及备份恢复评估将通过访谈和检查的方式评测目标系统的数据安全及备份恢复保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全及安全备份恢复情况。在内容上,实施过程涉及3个控制点。
安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况,主要涉及安全主管人员、安全管理人员、各类其他人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程涉及3个控制点。
系统建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况,主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,系统建设管理测评实施过程涉及9个控制点。
系统管理测评将通过访谈和检查的形式评测系统管理过程中的安全控制情况,主要涉及安全主管人员、安全管理人员、各类人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,系统管理测评实施过程涉及13个控制点。
现场测评需要记录大量信息,产生各种文档,这些需要进行结果记录。
(3)结果确认和资料归还
现场测评结束时,需要做好记录和确认工作,并将测评的结果征得评测双方认同确认。主要包括测评人员在现场测评完成之后,应首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评;召开测评现场结束会,测评双方对测评过程中发现的问题进行现场确认。测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供者签字确认。需要注意的是现场测评中发现的问题要及时汇总,保留证据和证据源记录,同时提供测评委托单位的书面认可文件。
三、测评指标
二级基本要求:在一级基本要求的基础上,技术方面,二级要求在控制点上增加了物理位置的选择、防静电、电磁防护、审计、网络入侵防范、边界完整性检查、审计、主机资源控制、应用资源控制、审计、通信保密性以及数据保密性等。管理方面,增加了审核和检查、管理制度的评审和修订、人员考核、管理、变更管理和应急预案管理等控制点。
三级基本要求:在二级基本要求的基础上,技术方面,在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。管理方面,增加了系统备案、安全测评、监控管理和安全管理中心等控制点。
四级基本要求:在三级基本要求的基础上,技术方面,在系统和应用层面控制点上增加了安全标记、可信路径。
范围增大,如对物理安全的“防静电”,二级只要求“关键设备应采用必要的接地防静电措施”,三级则在对象的范围上发生了变化,为“主要设备应采用必要的接地防静电措施”。范围的扩大,表明了该要求项强度的增强。
要求细化:如人员安全管理中的“安全意识教育和培训”,二级要求“应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训”,三级在对培训计划进行了进一步的细化,为“应针对不同岗位制定不同培训计划”,培训计划有了针对性,更符合各个岗位人员的实际需要。
粒度细化:如网络安全中的“访问控制”,二级要求“控制粒度为网段级”,三级要求则将控制粒度细化,为“控制粒度为端口级”。由“网段级”到“端口级”,粒度上的细化,同样增强了要求的强度。
1、测评指标项数量
网络安全等级保护指标主要有技术层面和管理层面组成。测评指标随着保护等级的增高而要求增加、范围增大、测评细化和力度细化。1~4级的测评指标数量如表1所示。
表11~4级的测评指标数量
2、不同保护等级的控制点对比
技术层面主要包括、、、、及备份恢复5类;管理层面主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统管理5类。每个类别下面有若干控制点组成,如表2所示。控制点在1-4级测评标准中,数量分布如表3所示。
表2控制点分布
表3控制点在1~4级测评标准中的数量分布
四、测评结果研判
如何衡量给出最终测评结果,需要用到评估技术。在等级保护中,主要是通过量化手段进行测评分析。量化的好处在于保留符合性的特点、量化预期结果、量化判定标准、突出安全控制措施的效果验证、促进测评工具化等优点,便于数据展示和统计分析。
1、结果研判步骤
(1)单对象单测评项研判
在等级保护测评中,单项测评项根据测评项的符合程度进行赋值,采取5分制。根据测评证据符合程度(可参考判分标准)给每个测评对象的每个测评项判分,分为0~5分,6种结果;对测评符合的项,单项量化结果为5分,如测评结果部分符合的情况,则单项量化结果为1~4分,不符合为0分。针对每个测评对象对应的每个测评项,分析该测评项所对抗的威胁在被测系统中是否存在,如果不存在,则该测评项应标为不适用项。不适用项不进行计算和测评项的量化。
(2)测评项权重赋值
公安部联合多家测评机构,依据重要控制点和同一控制点下的重要测评项,将测评项分为三档权重,分别为1、0.5、0.2。
(3)控制点分析与量化
安全层面可能包括多个测评对象,因此控制点在计算时需要考虑测评项的多对象属性。安全控制点采用5分制得分。控制点得分为5分或0分,则对应该测评指标的单元测评结果为符合或不符合;控制点得分为1、2、3、4分,则对应该测评指标的单元测评结果为部分符合。控制点得分主要用于等级测评报告中控制点符合情况汇总。等级测评报告中要求以表格形式汇总测评结果,表格以不同颜色对测评结果进行区分,部分符合(安全控制点得分在0分和5分之间,不等于0分或5分)的安全控制点采用黄色标识,不符合(安全控制点得分为0分)的安全控制点采用红色标识。
(4)问题严重程度值计算
在等级保护测评报告中,需要针对单元测评结果中存在的部分符合项或不符合项加以汇总,形成安全问题汇总列表并计算其严重程度值。依其严重程度取值为1~5,最严重的取值为5。安全问题严重程度值是基于测评项权重、测评项的符合程度进行的。计算公式如下:
(5)修正后的严重程度值和符合程度的计算
在整体测评中,需要从安全控制间、层面间、区域间和验证测试等方面对单元测评的结果进行验证、分析和整体评价。在某个安全控制点或层面的安全问题,可以通过另一个或多个安全控制点或层面的安全设置进行加强或者弥补。因此,安全问题在修复后,需要给出修正后的问题严重程度值,并给出符合程度。
在整体测评结果,修改安全问题汇总表中的问题严重程度值及对应的修正后测评项符合程度得分,并形成修改后的安全问题汇总表(注意:仅包括有所修正的安全问题)。根据整体测评安全控制措施,通常将安全问题的弥补程度的修正因子设为0.5~0.9。计算方法如下:
(6)系统安全保障情况得分计算
计算方法是以算术平均合并同一安全层面下的所有安全控制点得分,并转换为安全层面的百分制得分。等级保护的10个安全层面得分就是系统安全保障情况得分。
2、测评整改结论和风险评估
依据国家提供的报告标准,编制测评报告。如针对被测系统存在的安全隐患,从系统安全角度提出相应的改进建议,编制测评报告的安全建设整改建议部分。列表给出现场测评的文档清单和单项测评记录,以及对各个测评项的单项测评结果判定情况,编制测评报告的单元测评的结果记录和问题分析部分。
五、谁来开展等级测评
等级测评分为自测评和委托测评机构开展。测评机构是指具备本规范的基本条件,经能力评估和审核,由省级以上网络安全等级保护工作协调(领导)小组办公室推荐,从事测评工作的机构。省级以上等保办负责等级测评机构的审核和推荐工作。公安部评估中心负责测评机构的能力评估和培训工作。
1、测评机构具备的基本条件和资质
《网络安全等级保护测评工作管理规范(试行)》第五条规定,等级测评机构应当具备以下基本条件:
①在中华人民共和国境内注册成立(港澳台地区除外)。
②由中国公民投资、中国法人投资或国家投资的企事业单位(港澳台地区除外)。
③产权关系明晰,注册资金100万元以上。
⑤工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。
⑥具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人。
⑦具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《管理办法》对产品的要求。
⑧具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。
⑨对国家安全、社会秩序、公共利益不构成威胁。
⑩应当具备的其他条件。
2、测评机构的业务范围和工作要求
测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
(1)业务范围
测评机构除从事等级测评活动以外,还可以从事定级、安全建设整改、宣传教育等工作的技术支持,以及、培训、咨询和工程监理等工作。
(2)工作要求
3、测评机构的禁止行为
测评机构及其测评人员不得从事下列活动:
①影响被测评信息系统正常运行,危害被测评信息系统安全。
②泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密。
③故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告。
④未按规定格式出具等级测评报告。
⑥分包或转包等级测评项目。
⑦网络安全产品开发、销售和信息系统安全集成。
⑧限定被测评单位购买、使用其指定的网络安全产品。
⑨其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
4、测评人员具备的基本要求和资质
测评人员实行等级测评师管理。等级测评师分为初级、中级和高级。测评人员参加专门的培训机构举办的专门培训和考试。考试合格的,由专门的培训机构向测评人员颁发相应等级的《等级测评师证书》。《等级测评师证书》是测评人员上岗的基本条件。从事第二级信息系统等级测评工作的测评机构至少应具有6名以上等级测评师,其中中级测评师不少于2名;第三级(含)以上信息系统等级测评工作的测评机构至少应具有10名以上等级测评师,其中中级测评师不少于4名,高级测评师不少于2名。
在具体开展测评工作中,测评人员要做到:
①不得伪造测评记录。
②不得泄露信息系统信息。
③不得收受贿赂。
④不得暗示被测评单位,如果提供某种利益就可以修改测评结果。
⑤遵从被测评信息系统的机房管理制度。
⑥使用测评专用的电脑和工具,并由有资格的测评人员使用。
⑦不该看的不看,不该问的不问。
⑧不得将测评结果复制给非测评人员。
⑨不即时擅自评价测评结果。
5、公安机关对测评机构和测评人员的监督管理
(1)定期检查
省级以上等保办每年对所推荐的测评机构进行检查,测评机构应提交《网络安全等级测评机构检查表》。
(2)变更
测评机构的名称、法人等事项发生变化,或者其等级测评师有变动,测评机构应在三十日内向受理申请的省级以上等保办办理变更手续。
(3)申诉处理
测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。
(4)违规处理
测评机构或测评人员违反《网络安全等级保护测评工作管理规范》的规定,给被测单位造成损失的,应当依法承担民事责任。
六、如何规避测评风险
网络安全测评行业是一个极具挑战性的行业,整个测评流程不单单局限于技术层面,还涉及单位的管理层面,整个测评工作的生命周期内会出现各种各样的问题,如何管理和规避测评工作中的风险,成为测评工作是否取得成功的关键。
1、常见风险
等级测评实施过程中,可能出现以下几方面的情况。
(1)验证测试影响系统正常运行
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。
(2)工具测试影响系统正常运行
在现场测评时,会使用一些技术测试工具进行扫描测试、性能测试甚至抗能力测试。测试可能会对系统的负载造成一定的影响,扫描测试和可能对和网络通讯造成一定影响甚至伤害。
(3)敏感信息泄露
泄露被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。
(4)测评工作进度风险
(5)测评工作中人力资源的风险
测评工作主要由不同岗位的测评人员对单位网路产品、安全产品、系统产品及管理进行的安全合规性检查活动。人力资源是测评实施过程中最为关键的资源。保证合适的人员以足够的精力参与到测评中来,是测评成功实施的基本保证。
(6)测评范围风险
合同中测评范围与实际实施过程中项目的结构规模有误而造成的。
(7)测评质量风险
由于在项目建设过程中未确立标准的质量考核体系以及对质量指标监控不严造成的。
(8)对测评认识不正确的风险
测评实施过程中,被测系统单位人员往往对测评本身不够重视,没有详尽地描述系统的基本安全状况,现场测评的访谈环节没有对测评人员的需求给予明确的解答,这样导致在测评过程中访谈和工具测试结果不吻合,使得测评结果不能反映系统存在的问题,甚至被测评单位不认可最后的测评报告。
(9)对实际环境不熟悉的风险
由于用户的网络环境及应用会由一定的差别,而且大部分网络应用是由软件开发商开发,不同的开发商所使用的开发工具、、协议等都不相同,并且网络设备如、也不尽相同,这就对测评的实施提出了很高的要求,各类设备的配置不可能千篇一律,要按实际环境而调整。
2、风险规避
风险规避,是指针对网络安全测评工作中可能出现的风险,对风险进行应对和规划,降低威胁的方法和行动。不论什么风险,最后都是降低消极风险,提高积极风险,才能使工作顺利有序进行。针对测评过程可以采取以下措施进行规避风险。
(1)制定测评计划书
充分考虑各种潜在因素,适当留有余地;任务分解详细度适中,便于考核;在执行过程中,强调测评按进度执行的重要性,在考虑任何问题时,都将保持进度作为先决条件;同时,合理利用赶工及快速跟进等方法,充分利用资源。
(2)制定质量管理计划
定义出项目各子系统需要满足的质量标准,对测评各阶段的输出文档、测评记录数据几方面进行控制,记录备案并以文件的形式下达,降低风险发生的概率。
(3)签署委托测评协议
在测评工作正式开始之前,以委托测评协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求,以及双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识,后续的工作也以此为基础,避免以后的工作出现大的分歧。
(4)签署保密协议
签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将来的行为。
(6)现场测评工作风险的规避
(7)测评现场还原
(8)规范化的实施过程
(9)沟通与交流
为避免测评工作中可能出现的争议,在测评开始前与测评过程中,需要进行积极有效的沟通和交流,及时解决测评过程中出现的问题,这对保证测评的过程质量和结果质量有重要的作用。
(10)测评实施中的风险监控
七、读懂测评报告
1、测评报告概述
(1)报告编号
每个备案信息系统单独出具测评报告,测评报告编号为四组数据,如1100092700400001-19-4105-01。各组含义和编码规则如下:
第一组为信息系统备案表编号,由2段16位数字组成,可以从公安机关颁发的信息系统备案证明(或备案回执)上获得。第1段即备案证明编号的前11位,如11000927004(前6位,110009为受理备案公安机关代码,后5位,27004为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号,如00001)。
第二组为年份,由2位数字组成,如19代表2019年。
第三组为测评机构代码,由4位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为北京,12为天津,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。90为国防科工局,91为电监会,92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。如11表明是北京,05序号为测评机构是第5家。
第四组为本年度信息系统测评次数,由2位构成。如01表示该信息系统本年度测评2次。
(2)信息系统等级测评基本信息表
主要是关于信息系统、被测单位、测评单位的描述。
本报告是XXX信息系统的等级测评报告。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
(4)等级测评结论
等级测评结论需要通过表4方式描述。
表4等级测评结论
(5)总体评价
(6)主要安全问题
主要描述被测信息系统存在的主要安全问题及其可能导致的后果。
(7)问题处置建议
针对系统存在的主要安全问题提出处置建议。
2、测评报告主要内容说明
下面通过分析测评报告,通过表5方式对测评报告主体撰写进行描述。