最近,协助各地检查过程中,发现很多单位将网络安全完全假手于人了,认为这样自己就没有安全责任了。其实不然,这只是转移了风险,但并未消除风险,自身风险也只是可以通过合同来降低,而不能完全消除。同时对于第三方安全服务机构,网络运营者应该如何开展工作、如何监管第三方呢?
那么在等级保护测评过程中,我们应该监管什么,依据又在哪里呢?要想掌握等级保护测评过程,需要静下来看一下《网络安全等级保护测评过程指南》GB/T 28449-2018(以下简称“《测评过程指南》”)这个国家标准。
首先,测评过程分为测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。
《测评过程指南》的主要内容以测评机构对第三级网络的首次等级测评活动过程为主要线索,定义等级测评的主要活动和任务,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动四项活动。四项活动又各对应若干项,每一项活动,有对应工作流程、主要的工作任务、输出文档、双方职责等。对各工作任务,描述了任务内容和输入/输出产品等。
测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项任务;
| 测评过程活动 |
任务 |
测评机构职责 |
|
| 测评准备活动 | 工作启动 | 1.组建等级测评项目组; 2.指出测评委托单位应该提供的基本资料; 3.准备被测单位基本情况调查表格,并提交给测评委托单位; 4.向测评委托单位介绍安全测评工作的流程和方法; 5.向测评委托单位介绍安全测评工作可能带来的风险和规避方法; 6.了解被测单位的信息化建设和被测对象的基本情况; 7.初步分析测评对象的安全状况; 8.准备测评工具和文档。 |
1.向测评机构介绍本单位的信息化建设及发展情况; 2.提供测评机构需要的基本资料; 3.为测评人员信息收集工作做好支持和协调工作; 4.准备填写调查表格; 5.根据被测对象的具体情况,比如业务高峰期的时间,网络布置的情况,为测评的时间提供适宜的建议; 6.制定应急的预案。
|
| 信息收集和分析 | |||
| 工具和表单准备 |
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评实施手册开发、测评方案编制六项任务;
| 测评过程活动 | 任务 | 测评机构职责 | 测评委托单位职责 |
| 方案编制活动 | 测评对象确定 | 1.详细分析被测定级对象的整体结构、边界、网络区域、设备部署情况等; 2.初步判断定级对象的安全薄弱点; 3.分析确定测评对象、测评指标、测评内容和工具测试方法; 4.编制测评方案文本,并评审; 5.制定风险规避实施方案。 |
1.为测评机构完成测评方案提供信息和资料; 2.评审和确认测评实施方案文本; 3.评审和确认测评机构提供的风险规避实施方案。 4.若不在生产环境开展测评,则配置和生产环境各项安全配置相同的备份环境、生产验证环境或测试环境作为测试环境。 |
| 测评指标确定 | |||
| 测评内容确定 | |||
| 工具测评方法确定 | |||
| 测评指导书开发 | |||
| 测评方案编制 |
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项任务;
| 测评过程活动 | 任务 | 测评机构职责 | 测评委托单位职责 |
| 现场测评活动 | 现场测评准备 | 1.测评人员开展测评工作前确认被测等级对象具备测评工作开展的条件,测评对象工作正常; 2.测评人员利用访谈、文档审查、配置核查、工具测试和实地查看的方法开展现场测评工作,并获取相关证据。 |
1.测评前备份系统和数据,并了解测评工作的基本情况; 2.协助测评机构获取现场测评授权; 3.安全人员配合测评工作开展; 4.对风险告知书签名确认; 5.配合人员如实回答测评人员的问询,对某些需要上机确认的内容上机进行操作; 6.配合人员协助测评人员实施工具测试并提出有效的建议,降低安全测评对系统运行的影响; 7.配合人员协助测评人员完成业务相关内容的问询、验证和测试。 8.配合人员对测评证据和证据源进行确认; 9.配合人员确认被测设备状态完好。 |
| 现场测评和结果记录 | |||
| 结果确认和资料归还 |
分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成、测评报告编制六项任务。
| 测评过程活动 |
任务 |
测评机构职责 |
测评委托单位职责 |
| 报告编制活动 | 单项测评结果判定 | 1.分析并判定单项测评结果和整体测评结果; 2.分析评价被测定级对象存在的安全情况; 3.根据测评结果形成等级测评结论; 4.编制等级测评报告,说明系统存在的安全风险和隐患,并给出安全建议; 5.评审等级测评报告,并将评审过的等级测评报告安装分发范围进行分发; 6.将生产的过程文档归档保存,并将测评过程中在测评用介质和测评工具中生产或存放的所有电子文档清除。 |
1.签收测评报告; 2.向分管公安机关备案测评报告。 |
| 单元测评结果判定 | |||
| 整体测评 | |||
| 等级测评结论形成 | |||
| 测评报告编制 |
《测评过程指南》针对已定级的网络给出等级测评工作过程,而且工作流程及任务是针对第三级网络的首次测评活动过程而言的。对其他网络或者再次实施等级测评的工作过程与该过程的差异及关系,应参考标准中的调整原则予以调整。
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机验证并查看一些信息,这就可能对系统运行造成一定的影响,甚至存在误操作的可能。
敏感信息泄露风险
木马植入风险
测评人员在渗透测试完成后,有意或无意将渗透测试过程中用到的测试工具未清理或清理不彻底,或者测试电脑中带有木马程序,带来在被测评系统中植入木马的风险。
前面说了,《测评过程指南》是网络运营者、等级测评机构参考的重要文件,作为网络运营者可以根据《测评过程指南》,梳理出自身需要承担的责任和义务,以便更好配合测评机构人员服务好自己单位的等级保护测评工作。另外,网络运营者对该标准理解和把握不见得准确,需要在国家标准的大框架下与测评机构人员保持沟通,使之对《测评过程指南》有个清晰的认知,也能够在测评过程中更好地彼此配合,促进等级保护测评工作开展,特别是促进等级保护现场测评工作的开展。
-
《信息安全技术 网络安全等级保护测评过程指南》
-
《信息安全技术 网络安全等级保护基本要求》
原文始发于微信公众号(河南等级保护测评):周末谈等保:等级保护测评过程及各方责任
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论