一、網路安全等級保護測評程序概述
網路安全等級保護測評作業程序包括四個基本測評活動:測評準備活動、方案編制活動、現場測評活動、報告編制活動,而測評相關方之間的溝通與洽談應貫穿整個測評程序,每一項活動有一定的作業任務,如下表,
01 基本作業流程
① 測評準備活動
本活動是開展等級測評作業的前提和基礎,是整個等級測評程序有效性的保證,測評準備作業是否充分直接關系到后續作業能否順利開展,本活動的主要任務是掌握被測系統的詳細情況,準備測驗工具,為編制測評方案做好準備,
② 方案編制活動
本活動是開展等級測評作業的關鍵活動,為現場測評提供最基本的檔案和指導方案,本活動的主要任務是確定與被測資訊系統相適應的測評物件、測評指標及測評內容等,并根據需要重用或開發測評指導書測評指導書,形成測評方案,
③ 現場測評活動
本活動是開展等級測評作業的核心活動,本活動的主要任務是按照測評方案的總體要求,嚴格執行測評指導書測評指導書,分步實施所有測評專案,包括單元測評和整體測評兩個方面,以了解系統的真實保護情況,獲取足夠證據,發現系統存在的安全問題,
④ 分析與報告編制活動
本活動是給出等級測評作業結果的活動,是總結被測系統整體安全保護能力的綜合評價活動,本活動的主要任務是根據現場測評結果和《資訊安全技術 網路安全等級保護測評要求》GB/T28448-2019的有關要求,通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法,找出整個系統的安全保護現狀與相應等級的保護要求之間的差距,并分析這些差距導致被測系統面臨的風險,從而給出等級測評結論,形成測評報告文本,
02 作業方法
網路安全等級保護測評主要作業方法包括訪談、檔案審查、配置檢查、工具測驗和實地察看,
訪談是指測評人員與被測系統有關人員(個人/群體)進行交流、討論等活動,獲取相關證據,了解有關資訊,訪談的物件是人員,訪談涉及的技術安全和管理安全測評的測評結果,要提供記錄或錄音,典型的訪談人員包括:網路安全主管、資訊系統安全管理員、系統管理員、網路管理員、資產管理員等,
檔案審查主要是依據技術和管理標準,對被測評單位的安全方針檔案,安全管理制度,安全管理的執行程序檔案,系統設計方案,網路設備的技術資料,系統和產品的實際配置說明,系統的各種運行記錄檔案,機房建設相關資料,機房出入記錄,檢查資訊系統建設必須具有的制度、策略、操作規程等檔案是否齊備,制度執行情況記錄是否完整,檔案內容完整性和這些檔案之間的內部一致性等問題,
配置檢查是指利用上機驗證的方式檢查網路安全、主機安全、應用安全、資料安全的配置是否正確,是否與檔案、相關設備和部件保持一致,對檔案審核的內容進行核實(包括日志審計等),并記錄測評結果,配置檢查是衡量一家測評機構實力的重要體現,檢查物件包括資料庫系統、作業系統、中間件、網路設備、網路安全設備,
工具測驗是利用各種測驗工具,通過對目標系統的掃描、探測等操作,使其產生特定的回應等活動,通過查看、分析回應結果,獲取證據以證明資訊系統安全保護措施是否得以有效實施的一種方法,
實地查看根據被測系統的實際情況,測評人員到系統運行現場通過實地的觀察人員行為、技術設施和物理環境狀況判斷人員的安全意識、業務操作、管理程式和系統物理環境等方面的安全情況,測評其是否達到了相應等級的安全要求,
二、網路安全等級保護測評作業流程
01 測評準備活動階段
首先,被測評單位在選定測評機構后,雙方需要先簽訂《測評服務合同》,合同中對專案范圍(系統數量)、專案內容(差距測評?驗收測評?協助整改?)、專案周期(什么時間進場?專案計劃做多長時間?)、專案實施方案(測評作業的步驟)、專案人員(專案實施團隊人員)、專案驗收標準、付款方式、違約條款等等內容逐一進行約定,
簽訂《測評服務合同》同時,測評機構應簽署《保密協議》,《保密協議》一般分兩種,一種是測評機構與被測單位(公對公)簽署,約定測評機構在測評程序中的保密責任;一種是測評機構專案組成員與被測單位之間簽署,
①專案啟動會
在雙方簽完委托測評合同之后,雙方即可約定召開專案啟動會時間,專案啟動會的目的,主要是由甲方領導對公司內部涉及的部門進行動員、提請各相關部門重視、協調內部資源、介紹測評方專案實施人員、計劃安排等內容,為整個等級測評專案的實施做基本準備,
②系統情況調研
啟動會后,測評方開展調研,通過填寫《資訊系統基本情況調查表》,掌握被測系統的詳細情況,為編制測評方案做好準備,測評專案組進場前,應熟悉被測定級物件,除錯測評工具,準備各種表單,
02 方案編制活動階段
方案編制活動的目的是整理測評準備活動中獲取的定級物件資料,為現場測評活動提供最基礎檔案和測評方案,
方案編制活動包括測評物件確定、測評指標確定、測評內容確定、工具測驗方法確定、測評指導書開發、測評方案編制六項主要任務,
①確定測評物件,根據系統調查結果,分析整個被測定級物件業務流程、資料流程、范圍、特點確定測評物件,一般采用抽查的方法,即:抽查資訊系統中具有代表性的組件作為測評物件,
② 確定測評指標及測評內容,根據被測定級物件結果確定測評的基本指標,根據測評委托單位定級物件業務自身需求確定特殊測評指標,
③ 確定測評工具接入點,一般來說,測評工具的接入采取從外到內,從其他網路到本地網段的逐步逐點接入,即:測評工具從被測系統邊界外接入、在被測系統內部與測評物件不同網段及同一網段內接入等幾種方式,從被測系統邊界外接入時,測評工具一般接在系統邊界設備(通常為交換設備)上,在該點接入漏洞掃描器,掃描探測被測系統的主機、網路設備對外暴露的安全漏洞情況;從系統內部與測評物件不同網段接入時,測評工具一般接在與被測物件不在同一網段的內部核心交換設備上;在系統內部與測評物件同一網段內接入時,測評工具一般接在與被測物件在同一網段的交換設備上;結合網路拓撲圖,采用圖示的方式描述測評工具的接入點、測評目的、測評途徑和測評物件等相關內容,
④ 確定測評內容與方法,將測評物件與測評指標進行映射構成測評內容,并針對不同的測評內容合理地選擇測評方法形成具體的測評實施內容,
⑤ 確定測評指導書,測評指導書是指導和規范測評人員現場測評活動的檔案,包括測評項、測評方法、操作步驟和預期結果等四部分,在測評物件和指標確定的基礎上,將測評指標映射到各測評物件上,然后結合測評物件的特點,選擇應采取的測評方法并確定測評步驟和預期結果,形成不同測評物件的具體測評指導書,
⑥ 確定測評方案,綜合以上結果內容以及測評作業計劃形成測評方案,測評方案主要內容包括測評概述、目標系統概述、定級情況、網路結構、主機設備情況、應用情況、測評方法與工具、測評內容、時間安排、風險揭示與規避等,
03 現場測評活動
現場測評活動通過與測評委托單位進行溝通和協調,為現場測評的順利開展打下良好基礎,然后依據測評方案實施現場測評作業,將測評方案和測評工具等具體落實到現場測評活動中,現場測評作業應取得分析與報告編制活動所需的、足夠的證據和資料,
現場測評活動包括現場測評準備、現場測評和結果記錄、結果確認和資料歸還三項主要任務,
①現場測評準備
為保證測評機構能夠順利實施測評,測評準備作業需要包括以下內容:
● 測評委托單位簽署現場測評授權書;
● 召開測評現場首次會;
● 測評雙方確認現場測評需要的各種資源,包括測評委托單位的配合人員和需要提供的測評條件等,確認被測系統已備份過系統及資料;
● 測評人員根據會議溝通結果,對測評結果記錄表單和測評程式進行必要的更新,
②現場測評和結果記錄
現場測評覆寫到被測系統安全技術的5個層面和安全管理的5方面,安全技術的5個層面具體為:安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心;安全管理的5方面具體為:安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理,
③結果確認和資料歸還
現場測評結束時,需要做好記錄和確認作業,并將測評的結果征得評測雙方認同確認,主要包括測評人員在現場測評完成之后,應首先匯總現場測評的測評記錄,對漏掉和需要進一步驗證的內容實施補充測評;召開測評現場結束會,測評雙方對測評程序中發現的問題進行現場確認,測評機構歸還測評程序中借閱的所有檔案資料,并由測評委托單位檔案資料提供者簽字確認,
04 報告編制活動
測評人員在初步判定單項測評結果后,還需進行單元測評結果判定、整體測評、系統安全保障評估等方法,找出整個系統的安全保護現狀與相應等級的保護要求之間的差距,并分析這些差距導致被測系統面臨的風險,從而給出等級測評結論,形成測評報告文本,
三、測評委托單位需要配合的作業
測評準備階段:
①被測方成立專案組,并任命專案經理;
②向測評機構介紹本單位的資訊化建設狀況與發展情況;
③準備測評機構需要的資料,比如系統定級報告、備案表、自查或上次測評報告、聯系方式等;
④為測評人員的資訊收集提供支持和協調;
⑤準確填寫資訊系統基本資訊調查表;
⑥根據被測系統的具體情況,如業務運行高峰期、網路布置情況等,為測評時間安排提供適宜的建議;
方案編制階段:
①為測評機構完成測評方案提供有關資訊和資料;
②評審和確認測評方案文本,
現場測評階段:
①此階段作業測評方人員需要在客戶現場完成,需要被測方提供辦公位(基本的辦公環境),
②備案單位需要機房管理員、網路管理員、安全主管、系統管理員、系統開發人員、運維人員等進行配合,
③測評前備份系統和資料,并確認被測設備狀態完好;
④協調被測系統內部相關人員的關系,配合測評作業的開展;
⑤相關人員回答測評人員的問詢,對某些需要驗證的內容上機進行操作;
⑥相關人員確認測驗前協助測評人員實施工具測驗并提供有效建議,降低安全測評對系統運行的影響;
⑦相關人員對測評結果進行確認;
⑧相關人員確認工具測驗后被測設備的狀態完好,
報告編制階段:
①簽收測評報告;
②向公安機關遞交測評報告,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/310449.html
標籤:其他