一、符合性评测工作要求
依据《通信网络安全防护管理办法》第十一条 通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并按照以下规定进行符合性评测:
三级及三级以上通信网络单元应当每年进行一次符合性评测;
二级通信网络单元应当每两年进行一次符合性评测。
通信网络单元的划分和级别调整的,应当自调整完成之日起九十日内重新进行符合性评测。
通信网络运行单位应当在评测结束后三十日内,将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。
二、符合性评测实施流程
(一)准备阶段
在开展符合性评测时,不同的网元类型会依据各自的特点和应用场景选择不同的标准进行安全评测。这种差异化的评估方法确保了每个系统都能根据其特定需求采用合适的检查要求。例如,信息社区服务系统依据《电信网和互联网信息服务业务系统安全防护要求》《电信网和互联网信息服务业务系统安全防护检测要求》等标准进行评测,而互联网网络交易系统则依据《互联网网络交易系统系统安全防护要求》《互联网网络交易系统系统安全防护检测要求》等标准。
在通信网络安全防护管理系统中以提供各网元类型符合性评测表,企业可自行下载使用。
(二)开展符合性评测
在选择评测范围时,除满足当前安全等级要求以外,还应满足低于该等级的全部要求。以信息社区服务系统举例,其检查内容包括业务及应用安全、网络安全、设备及软件系统安全、物理安全、管理安全以及特定业务相关要求。例如对安全等级为三级的信息社区服务系统开展符合性评测时,须同时满足一级、二级、三级的全部检测要求,特定业务相关要求中涉及信息社区服务系统的均需要进行检测。对于高安全等级的系统,评测范围通常会更加全面和深入,包括更为严格的保护措施、更复杂的用户身份验证机制以及更频繁的安全审计。
(图1:信息社区服务系统检查内容)
企业对照适用的符合性评测表中检查内容进行评测和取证,由资深检测人员与相关安全管理负责人、网络单元负责人或系统管理员进行面谈并开展技术评测,充分了解被测系统涉及的网络、系统、应用及管理层面的安全现状。通过人员访谈、资料查阅、技术检测等检查方法,检测范围须涉及网络架构、网络设备、安全配置、安全防护设施等,并在评测过程中做详细的记录。
(三)初评总结及整改
在完成初步的符合性评测后,需对初评中发现的问题进行汇总,并制定详细的整改计划,针对每个不符合项所需要采取的具体整改措施,包括但不限于技术修正、流程调整或制度更新等方面。
(四)整改后复评
在整改措施实施完成后,需对初评中指出的不符合项进行复评。复评的主要目的是验证整改措施的执行情况和有效性,确保所有已识别的安全问题都已得到妥善解决。此外,复评过程中还需评估整改措施是否引入了新的安全隐患。如果发现新的安全隐患,应及时进行二次整改。
(五)撰写符合性评测报告
完成上述符合性评测实施工作的内容后撰写详细的《符合性评测报告》,报告的基本框架及内容要求如下:
1、背景和目的
阐述符合性评测工作的背景和目的,明确评测对象以及网元类型。
2、内容及范围
介绍符合性评测对象的信息,包括企业介绍、系统介绍、网络拓扑图、涉及的设备资产统计等。
3、评测人员和角色
对本次评测参与的评测人员姓名、角色、工作内容进行概括。
4、评测结果
对本次符合性评测对评测结果进行总结,其中需包括检测项数量、符合项数量、不符合数量、不适用项数量。最终符合性评测结果(通过/不通过)。
5、附件
附件需要包含完整的符合性评测结果表以及证明材料。
三、符合性评测典型案例分析
以下列举3个较为典型的符合性评测问题案例作为经验分享:
案例一:评测结论表述模糊
某企业的符合性评测报告中,针对“25-03-03-01-01是否具备身份鉴别模块”,检查项的评测结论为:“数据库具备身份鉴别模板及访问控制模块”。
问题分析:未详细描述数据库实现身份鉴别的方式。
案例二:答非所问/佐证材料有误
某企业的符合性评测报告中,针对“25-03-04-01-01是否具备身份鉴别模块”,检查项的评测结论为:“中间件统一采用后台管理系统进行身份鉴别管理”。
问题分析:该检查项检查类型是中间件,但企业提供的答案描述和佐证材料均为后台系统,不符合检查要求。
案例三:答案描述前后矛盾
某企业的符合性评测报告中,针对“21-01-01-01-01对保留用户个人信息或用户服务信息的业务,是否对登录用户进行身份标识和鉴别”,检查项的评测结论为:“该系统为门户综合业务系统只提供对外展示,系统无用户登录功能”。针对“21-01-07-01-01是否禁止明文传输用户密码”,检查项的评测结论为:“用户登录时对账号密码使用HTTPS进行加密传输”。
问题分析:检查类型为“业务逻辑—身份鉴别”时描述无用户登录功能,但在检查类型为“Web安全—身份认证”时的描述有用户登录的情况,存在不同检查项之间前后矛盾。
四、结语
符合性评测是企业加强网络安全防护的重要手段之一。企业在进行符合性评测时,应依据相关标准和规定进行。通过符合性评测的实施,企业可以及时发现和解决网络安全问题,提升整体安全水平,保障业务的稳定运行和系统安全。
上海赛博网络安全产业创新研究院(简称赛博研究院)是上海市通信管理局首批数据安全评估服务机构、上海市通信管理局网络和数据安全支撑单位,具有丰富的通信网络单元定级备案实施经验,可为企业提供通信网络单元定级、符合性评测、安全风险评估等服务,协助企业顺利通过审核并取得定级备案证明。
作者|裴轶航/赛博研究院 安服工程师
上海赛博网络安全产业创新研究院(简称赛博研究院),是上海市级民办非企业机构,成立至今,赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。赛博研究院立足上海服务全国,是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构,同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能,并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。
欢迎联络咨询:邮件:[email protected];电话:021-61432693。
原文始发于微信公众号(赛博研究院):通保指引|(三)符合性评测要点解析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论