等保测评对象的选择应遵循五个核心原则:重要性、安全性、共享性、全面性和符合性。同时,还要结合系统等级、测评强度和资源投入进行综合决策。以下是具体原则及实施要点:
-
重要性原则
1、优先考虑核心组件
应优先检查对系统安全至关重要的服务器、数据库、网络设备(例如核心交换机和路由器)以及业务应用系统。
2、业务连续性保障
确保在突发事件或危机情况下,企业能够持续运营和提供服务的措施和策略。
选择承载核心业务或敏感数据的组件,以确保其关键功能不受评估的影响。
-
安全性原则
1、暴露面覆盖
重点检查对外开放的网络边界设备(如防火墙和入侵检测系统),以验证其抵御外部攻击的能力。
2、风险点聚焦
针对历史漏洞或攻击频发区域,提高抽样的比例,例如Web应用防火墙和API接口等。
-
共享性原则
1、跨系统交互点
对共享设备(如存储阵列)和数据交换平台(如中间件)进行抽查,以确保跨系统的数据传输安全。
2、供应链安全
如果系统依赖于第三方服务(例如云平台),则需要对相关的接口和协议进行抽查。
-
全面性原则
1、类型覆盖
尽量涵盖多种设备类型(如服务器、终端、安全设备)、操作系统(如Windows、Linux)、数据库(如Oracle、MySQL)以及应用系统(如Web应用和移动应用)。
2、场景模拟
通过抽样方式验证在多种场景下的安全控制,例如高并发访问和异常流量等情况。
-
符合性原则
等级匹配
所选设备和系统必须满足所测评等级的强度要求(例如,三级系统需要具备强制访问控制的能力)。
标准对齐
优先选择已经获得相关安全认证(如等保认证、ISO 27001)的组件进行抽查。
-
分层抽样法
1、适用场景
一般系统(例如单体应用程序)。
2、操作步骤
对系统组件进行分类,例如将其分为客户端、服务器和网络设备。
按比例从各类别中抽取样本,例如服务器抽取20%,网络设备抽取30%。
3、优势
确保各类组件得到均匀覆盖,以降低遗漏的风险。
-
多阶抽样法
1、适用场景
复杂系统(例如云计算平台和大数据集群)。
2、操作步骤
按照子系统或物理区域进行抽样(例如,选择3个数据中心)。然后,在每个子系统内再进行进一步抽样(例如,每个数据中心抽取5台服务器)。
3、优势
降低大规模系统测试的成本,同时确保关键领域得到充分覆盖。
-
系统等级关键要点提取
1、一级
关键设备(例如核心服务器)、基础安全设施(如防火墙)、核心人员及相关文档。
2、二级
重要设备(例如数据库集群)、关键网络设备(例如边界路由器)以及主要管理制度。
3、三级
全面覆盖主要设备(如所有服务器)、核心应用系统以及跨部门共享平台。
4、四级
全面涵盖设备类型(如存储设备、终端设备)、完整的应用系统以及全链路的安全协议。
-
测评力度
等级越高,需要覆盖的组件类型数量也越多(例如,三级系统必须覆盖超过90%的设备类型)。
-
投入产出比
在预算允许的情况下,可以提高高风险组件的抽样比例,比如将其从10%增加到20%。
-
系统复杂度
简单系统(例如单台服务器应用):抽样比例可低于10%。而复杂系统(如分布式架构):需要对30%以上的组件进行抽样,并确保覆盖所有关键链路。
-
工具辅助
利用自动化工具(例如漏洞扫描器)来识别高风险组件,并优化抽样策略。
-
文档验证
请根据系统设计文档和安全策略,确认抽样对象与实际部署相符。
-
动态更新
根据测评结果调整抽样方法(例如,如果某类设备多次出现问题,则在下次测评中应提高该类设备的抽样比例)。
遵循上述原则和方法,可以确保等保测评对象的抽取具有科学性、全面性和经济性,从而为系统安全的增强提供准确的依据。
国源天顺科技产业集团成立于2017年,是公安部推荐的专业等级保护测评机构,致力于提供网络安全整体解决方案。
现有客户类型涵盖政府、医疗、连锁、纺织、能源、金融、教育及运营商、互联网等行业领域,赢得网络完全服务市场优异口碑,并凭借自身专业能力,积极参与网络安全相关制度建设。
我们拥有专业等级保护测评师团队、丰富的等级保护项目服务经验,实施周期短,一站式高效率通过等保测评,欢迎咨询交流。热线:13263158653
国源天顺科技产业集团TEL:13263158653
北京市东城区启达大厦5层
原文始发于微信公众号(国源天顺):等保测评对象的选择应遵循五个核心原则
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论