网络安全等级保护之等级测评
一次性付费进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:460500587
微信公众号:计算机与网络安全
ID:Computer-network
本文主要介绍测评工作的内容、流程、方法,介绍测评机构和测评人员,测评工作中的风险及其控制,最后介绍等级测评报告主要内容及说明。
一、基本工作
1、测评概念
信息系统安全等级保护测评(简称“等级测评”)是指测评机构依据国家网络安全等级保护管理制度规定,按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上网络安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
等级测评是合规性评判活动,基本依据不是个人或者测评机构的经验,而是网络安全等级保护的国家有关标准,无论是测评指标来源,还是测评方法的选择、测评内容的确定以及结果判定等活动均应依据国家相关的标准进行,按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。
2、测评作用和目的
通过进行等级保护测评,能够对信息系统安全防护体系能力的分析与确认;发现存在的安全隐患;帮助运营使用单位认识不足,及时改进;有效提升其网络安全防护水平;遵循国家等级保护有关规定的要求,对信息系统安全建设进行符合性测评。测评的作用如下:
① 掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。
② 衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
③ 等级测评结果,为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。
为了达到上述目的,开展等级测评的最好时期是安全建设整改前、安全建设整改后,及其常规性定期开展测评,如三级系统每年至少开展一次等级测评。
3、测评标准依据
《网络安全等级保护管理办法》第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评;第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
测评机构应当依据《信息系统安全等级保护管理办法》、《网络安全等级保护测评机构管理办法》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等国家标准进行等级测评,按照公安部统一制订的《网络安全等级保护测评报告模版》格式出具测评报告。按照行业标准规范开展安全建设整改的信息系统,可以国家标准为依据开展等级测评,也可以行业标准规范为依据开展等级测评。
等级测评依据的两个主要标准分别是《GB/T28448—2012 信息系统安全等级保护测评要求》和《GB/T28449—2012 信息系统安全等级保护测评过程指南》。其中,《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等,用来评定信息系统的安全保护措施是否符合《基本要求》。《测评过程指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等,规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用《测评要求》提出了指导建议。二者共同指导等级测评工作。等级测评的测评对象是已经确定等级的信息系统。特定等级测评项目面对的被测评系统是由一个或多个不同安全保护等级的定级对象构成的信息系统。等级测评实施通常采用的测评方法是访谈、文档审查、配置检查、工具测试、实地查看。
4、测评工作规范
等级测评工作中,应遵循以下规范和原则。
① 标准性原则:测评工作的开展、方案的设计和具体实施均需依据我国等级保护的相关标准进行。
② 规范性原则:为用户提供规范的服务,工作中的过程和文档需具有良好的规范性,可以便于项目的跟踪和控制。
③ 可控性原则:测评过程和所使用的工具具备可控性,测评项目采用的工具都经过多次测评项目考验,或者是根据具体要求和组织的具体网络特点定制的,具有良好的可控性。
④ 整体性原则:测评服务从组织的实际需求出发,从业务角度进行测评,而不是局限于网络、主机等单个的安全层面,涉及安全管理和业务运营,保障整体性和全面性。
⑤ 最小影响原则:测评工作具备充分的计划性,不对现有的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行。
⑥ 保密性原则:从公司、人员、过程三方面进行保密控制——测评公司与甲方双方签署保密协议,不得利用测评中的任何数据进行其他有损甲方利益的活动;人员保密,公司内部签订保密协议;在测评过程中对测评数据严格保密。
⑦ 个性化原则:根据被测信息系统的实际业务需求、功能需求以及对应的安全建设情况,开展针对性较强的测评工作。
5、测评工作内容
等级测评内容覆盖组织的重要信息资产,分为技术和管理两大层面。技术层面主要是测评和分析在网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、数据库、应用系统等软硬件设备;管理层面包括从组织的人员、组织结构、管理制度、系统运行保障措施,以及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。通过对以上各种安全威胁的分析和汇总,形成组织的安全测评报告,根据组织的安全测评报告和安全现状,提出相应的安全整改建议,指导下一步的网络安全建设。
二、测评工作流程
为确保等级测评工作的顺利开展,需要了解等级测评的工作流程和方法,以便对等级测评工作过程进行控制。
1、基本工作流程和方法
(1)基本工作流程
等级测评过程分为4个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。基本工作流程如图1所示。
图1 等级测评工作流程
① 测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
② 方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
③ 现场测评活动
本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
④ 分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和GB/T28448—2012的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
(2)工作方法
测评主要工作方法包括访谈、文档审查、配置检查、工具测试和实地察看。
访谈是指测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。访谈的对象是人员,访谈涉及的技术安全和管理安全测评的测评结果,要提供记录或录音。典型的访谈人员包括:网络安全主管、信息系统安全管理员、系统管理员、网络管理员、资产管理员等。
文档审查主要是依据技术和管理标准,对被测评单位的安全方针文件,安全管理制度,安全管理的执行过程文档,系统设计方案,网络设备的技术资料,系统和产品的实际配置说明,系统的各种运行记录文档,机房建设相关资料,机房出入记录。检查信息系统建设必须具有的制度、策略、操作规程等文档是否齐备,制度执行情况记录是否完整,文档内容完整性和这些文件之间的内部一致性等问题。
配置检查是指利用上机验证的方式检查网络安全、主机安全、应用安全、数据安全的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),并记录测评结果。配置检查是衡量一家测评机构实力的重要体现。检查对象包括数据库系统、操作系统、中间件、网络设备、网络安全设备。
工具测试是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,通过查看、分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。
实地查看根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。如扫描探测、渗透测试、协议分析等手段。
2、测评实施准备
由于信息系统安全测评受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响,因此,在测评实施前,应充分做好测评前的各项准备工作。测评实施准备工作主要包括如下内容:明确测评目标、确定测评范围、组建测评团队、召开测评实施工作启动会议、系统调研、确定系统测评标准、确定测评工具、制定测评方案、测评工作协调、文档管理和测评风险规避等 11 项准备工作。同时,信息系统安全测评涉及组织内部有关重要信息,被评估组织应慎重选择评估单位、评估人员的资质和资格,并遵从国家或行业相关管理要求。下面分别描述11项准备工作。
① 明确测评目标:等级保护测评目标是验证信息系统是否达到定级基本要求。
② 确定测评范围:信息系统测评范围,可以是系统组织全部信息及与信息处理相关的各类资产、管理机构,也可以是某个独立信息系统、关键业务流程等。通常依据下面几个原则来作为测评范围边界的界定方法:业务系统的业务逻辑边界、网络及设备载体边界、物理环境边界、组织管理权限边界等。在等级、分级测评中,如果出现在边界处共用设备,则通常将该设备划分到较高等级的范围内。
③ 组建测评团队:测评实施团队应由被测评组织、测评机构等共同组建测评小组;由被测评组织领导、相关部门负责人,以及测评机构相关人员成立测评工作领导小组;聘请相关专业的技术专家和技术骨干组成专家组。为确保测评的顺利有效进行,应采用合理的项目管理机制。通常测评机构角色主要包括测评组长、技术测评人员、管理测评人员、质量管控人员。被测评单位角色主要包括测评组长、网络安全管理人员、业务人员、运维人员、开发人员、协调人员。
④ 测评实施工作启动会议:为保障测评工作的顺利开展,确立工作目标、统一思想、协调各方资源,应召开测评实施工作启动会议。启动会一般由测评工作领导小组负责人组织召开,参与人员应该包括测评小组全体人员,相关业务部门主要负责人,如有必要可邀请相关专家组成员参加。启动会主要内容主要包括:被测评组织领导宣布此次评估工作的意义、目的、目标,以及评估工作中的责任分工;被测评组织项目组长说明本次评估工作的计划和各阶段工作任务,以及需配合的具体事项;测评机构项目组长介绍评估工作一般性方法和工作内容等。通过启动会可对被测评组织参与测评人员以及其他相关人员进行测评方法和技术培训,使全体人员了解和理解测评工作的重要性,以及各工作阶段所需配合的工作内容。测评实施启动会议需要进行会议记录,形成会议摘要。
⑤ 系统调研:系统调研是了解、熟悉被测评对象的过程,测评实施小组应进行充分的系统调研,以确定系统测评的依据和方法。系统调研可采取问卷调查、现场面谈、人员访谈、资料查阅、实地查看相结合的方式进行。
在等级保护测评工作中,系统调研主要收集与信息系统相关的物理环境信息、网络信息、主机信息、应用信息、管理信息。其中网络信息包括网络拓扑图、网络结构、系统外联、网络设备、安全设备。将上述信息通过表格方式进行保存,为下一步制定测评方案、开展现场测评、形成测评报告提供前提。
⑥ 确定系统测评标准:因业务、行业、主管部门、地区等不同,系统测评标准依据存在个性化差异。信息系统测评依据应包括:
● 适用的法律、法规。
● 现有国际标准、国家标准、行业标准。
● 行业主管机关的业务系统的要求和制度。
● 与信息系统安全保护等级相应的基本要求。
● 被测评组织的安全要求。
● 系统自身的实时性或性能要求等。
⑦ 确定测评工具:主要包括测评前的表格、文档、检测工具等各项准备工作。测评工作通常包括根据评估对象和评估内容合理选择相应的测评工具,测评工具的选择和使用应遵循以下原则:
● 脆弱性发现工具,应具备全面的已知系统脆弱性核查与检测能力。
● 测评工具的检测规则库应具备更新功能,能够及时更新。
● 测评工具使用的检测策略和检测方式不应对信息系统造成不正常影响。
可采用多种测评工具对同一测试对象进行检测,如果出现检测结果不一致的情况,应进一步采用必要的人工检测和关联分析,并给出与实际情况最为相符的结果判定。
评估工具的选择和使用必须符合国家有关规定。
测评工具应包括:主机检查、服务器检查、数据库检查、中间件检查、Web检查、专用业务检查、协议检查、口令检查、安全设备检查、网络设备检查、性能压力检查等。
⑧ 制定测评方案:测评方案是测评工作实施活动总体计划,用于管理评估工作的开展,使测评各阶段工作可控。测评方案是测评项目验收的主要依据之一,是测评人员进行内部工作交流、明确工作任务的操作指南。通常测评方案给出具体的现场测评的工作思路、方法、方式和具体测评对象及其内容。测评方案应得到被评估组织的确认和认可。
⑨ 测评工作协调:为了确保测评工作的顺利开展,测评方案应得到被评估组织最高管理者的支持、批准。同时,须对管理层和技术人员进行传达,在组织范围内就测评相关内容进行培训,以明确有关人员在评估工作中的任务。在测评工作中,可能需要测评双方多次沟通,就测评具体细节进行协调。
⑩ 文档管理:文档是测评工作的最终体现方式。为确保文档资料的完整性、准确性和安全性,应遵循以下原则:
● 指派专人负责管理和维护项目进程中产生的各类文档,确保文档的完整性和准确性。
● 文档的存储应进行合理的分类和编目,确保文档结构清晰可控。
● 所有文档应注明项目名称、文档名称、版本号、审批人、编制日期、分发范围等信息。
● 不得泄露给与本项目无关的人员或组织,除非预先征得被评估组织项目负责人的同意。同时,测评组织需要有专门的存储介质、安全柜和人员,对测评所产生的记录文档进行一定时间的保存。如等级保护三级系统所产生的测评报告和记录需要保持3年以上。
⑪ 测评风险规避:测评工作自身也存在风险,一是结果是否准确有效,能够达到预先目标存在风险;二是测评中的某些测试操作可能给被测评组织或信息系统引入新的风险。应通过技术培训和保密教育、制定测评过程管理相关规定、编制应急预案等措施进行风险规避。同时双方应签署保密协议,测评单位和测评人员签署个人保密协议。
3、测评方案编制
方案编制过程是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本过程的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
① 确定测评对象。一般采用抽查的方法,即:抽查信息系统中具有代表性的组件作为测评对象。在确定测评对象时,需遵循以下原则:
● 重要性,应抽查对被测评系统来说重要的服务器、数据库和网络设备等。
● 安全性,应抽查对外暴露的网络边界。
● 共享性,应抽查共享设备和数据交换平台/设备。
● 代表性,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。
● 恰当性,选择的设备、软件系统等应能符合相应等级的测评强度要求。
② 确定测评指标及测评内容。根据被测系统调查表格,得出被测系统的定级结果,包括业务网络安全保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施 ASG 组合情况。如,目标系统的安全保护等级为第三级(S3A3G3),其测评指标应包括《基本要求》7.1 节“技术要求”和 7.2 节“管理要求”中的第三级通用指标类(G3)、第三级业务信息安全性指标类(S3)和第三级业务服务保证类(A3)要求。对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则。
③ 确定测评工具接入点。一般来说,测评工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入,即:测评工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。从被测系统边界外接入时,测评工具一般接在系统边界设备(通常为交换设备)上。在该点接入漏洞扫描器,扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况;从系统内部与测评对象不同网段接入时,测评工具一般接在与被测对象不在同一网段的内部核心交换设备上;在系统内部与测评对象同一网段内接入时,测评工具一般接在与被测对象在同一网段的交换设备上;结合网络拓扑图,采用图示的方式描述测评工具的接入点、测评目的、测评途径和测评对象等相关内容。
④ 确定测评内容与方法。将测评对象与测评指标进行映射构成测评内容,并针对不同的测评内容合理地选择测评方法形成具体的测评实施内容。
⑤ 确定测评指导书。测评指导书是指导和规范测评人员现场测评活动的文档,包括测评项、测评方法、操作步骤和预期结果等四部分。在测评对象和指标确定的基础上,将测评指标映射到各测评对象上,然后结合测评对象的特点,选择应采取的测评方法并确定测评步骤和预期结果,形成不同测评对象的具体测评指导书。
⑥ 确定测评方案。综合以上结果内容以及测评工作计划形成测评方案,测评方案主要内容包括测评概述、目标系统概述、定级情况、网络结构、主机设备情况、应用情况、测评方法与工具、测评内容、时间安排、风险揭示与规避等。
4、现场测评
现场测评是测评工作的重要阶段。风险评估中的风险识别阶段,对应现场测评,通过对组织和信息系统中资产、威胁、脆弱性等要素的识别,是进行信息系统安全风险分析的前提。现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。
(1)现场测评准备
为保证测评机构能够顺利实施测评,测评准备工作需要包括以下内容:① 测评委托单位签署现场测评授权书;② 召开测评现场首次会,测评机构介绍测评工作,交流测评信息,进一步明确测评计划和方案中的内容,说明测评过程中具体的实施工作内容,测评时间安排等,以便于后面的测评工作开展;③ 测评双方确认现场测评需要的各种资源,包括测评委托单位的配合人员和需要提供的测评条件等,确认被测系统已备份过系统及数据;④ 测评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新。
(2)现场测评和结果记录
现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看5方面。现场测评覆盖到被测系统安全技术的5个层面和安全管理的5方面。安全技术的5个层面具体为:物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复。安全管理的5方面具体为:安全管理制度、安全管理机构、人员安全管理、系统建设安全管理和系统运维安全管理。
物理安全检查将通过访谈和检查的方式评测目标系统的物理安全保障情况,主要涉及对象为机房。在内容上,物理安全层面测评实施过程涉及10个控制点。
网络安全检查将通过访谈、检查和测试的方式评测目标系统的网络安全保障情况,主要涉及对象包括网络设备、网络安全设备以及网络拓扑结构等三大类对象。在内容上,网络安全层面测评过程涉及8个控制点。
主机系统安全检查将通过访谈、检查和测试的方式评测目标系统的主机系统安全保障情况。在内容上,主机系统安全层面测评实施过程涉及7个控制点。
应用安全检查将通过访谈、检查和测试的方式评测目标系统的应用安全保障情况。在内容上,应用安全层面测评实施过程涉及9个控制点。
数据安全及备份恢复评估将通过访谈和检查的方式评测目标系统的数据安全及备份恢复保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全及安全备份恢复情况。在内容上,实施过程涉及3个控制点。
安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况,主要涉及安全主管人员、安全管理人员、各类其他人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程涉及3个控制点。
安全管理机构测评将通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况,主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上,安全管理机构测评实施过程涉及5个控制点。
人员安全管理测评将通过访谈和检查的形式评测人员安全方面的情况,主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上,人员安全管理测评实施过程涉及5个控制点。
系统建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况,主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,系统建设管理测评实施过程涉及9个控制点。
系统运维管理测评将通过访谈和检查的形式评测系统运维管理过程中的安全控制情况,主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,系统运维管理测评实施过程涉及13个控制点。
现场测评需要记录大量信息,产生各种文档,这些需要进行结果记录。
(3)结果确认和资料归还
现场测评结束时,需要做好记录和确认工作,并将测评的结果征得评测双方认同确认。主要包括测评人员在现场测评完成之后,应首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评;召开测评现场结束会,测评双方对测评过程中发现的问题进行现场确认。测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供者签字确认。需要注意的是现场测评中发现的问题要及时汇总,保留证据和证据源记录,同时提供测评委托单位的书面认可文件。
三、测评指标
二级基本要求:在一级基本要求的基础上,技术方面,二级要求在控制点上增加了物理位置的选择、防静电、电磁防护、网络安全审计、网络入侵防范、边界完整性检查、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信保密性以及数据保密性等。管理方面,增加了审核和检查、管理制度的评审和修订、人员考核、密码管理、变更管理和应急预案管理等控制点。
三级基本要求:在二级基本要求的基础上,技术方面,在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。管理方面,增加了系统备案、安全测评、监控管理和安全管理中心等控制点。
四级基本要求:在三级基本要求的基础上,技术方面,在系统和应用层面控制点上增加了安全标记、可信路径。
要求项增多,如对“身份鉴别”,一级要求“进行身份标识和鉴别”,二级增加要求“口令复杂度、登录失败保护等”,三级则要求“采用两种或两种以上组合的鉴别技术”。项目增加,要求增强。
范围增大,如对物理安全的“防静电”,二级只要求“关键设备应采用必要的接地防静电措施”,三级则在对象的范围上发生了变化,为“主要设备应采用必要的接地防静电措施”。范围的扩大,表明了该要求项强度的增强。
要求细化:如人员安全管理中的“安全意识教育和培训”,二级要求“应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训”,三级在对培训计划进行了进一步的细化,为“应针对不同岗位制定不同培训计划”,培训计划有了针对性,更符合各个岗位人员的实际需要。
粒度细化:如网络安全中的“访问控制”,二级要求“控制粒度为网段级”,三级要求则将控制粒度细化,为“控制粒度为端口级”。由“网段级”到“端口级”,粒度上的细化,同样增强了要求的强度。
1、测评指标项数量
网络安全等级保护指标主要有技术层面和管理层面组成。测评指标随着保护等级的增高而要求增加、范围增大、测评细化和力度细化。1~4级的测评指标数量如表1所示。
表1 1~4级的测评指标数量
2、不同保护等级的控制点对比
技术层面主要包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复5类;管理层面主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5类。每个类别下面有若干控制点组成,如表2所示。控制点在1-4级测评标准中,数量分布如表3所示。
表2 控制点分布
表3 控制点在1~4级测评标准中的数量分布
四、测评结果研判
如何衡量给出最终测评结果,需要用到评估技术。在等级保护中,主要是通过量化手段进行测评分析。量化的好处在于保留符合性的特点、量化预期结果、量化判定标准、突出安全控制措施的效果验证、促进测评工具化等优点,便于数据展示和统计分析。
1、结果研判步骤
(1)单对象单测评项研判
在等级保护测评中,单项测评项根据测评项的符合程度进行赋值,采取5分制。根据测评证据符合程度(可参考判分标准)给每个测评对象的每个测评项判分,分为0~5分,6种结果;对测评符合的项,单项量化结果为5分,如测评结果部分符合的情况,则单项量化结果为 1~4 分,不符合为 0 分。针对每个测评对象对应的每个测评项,分析该测评项所对抗的威胁在被测系统中是否存在,如果不存在,则该测评项应标为不适用项。不适用项不进行计算和测评项的量化。
(2)测评项权重赋值
公安部联合多家测评机构,依据重要控制点和同一控制点下的重要测评项,将测评项分为三档权重,分别为1、0.5、0.2。
(3)控制点分析与量化
安全层面可能包括多个测评对象,因此控制点在计算时需要考虑测评项的多对象属性。安全控制点采用5分制得分。控制点得分为5分或0分,则对应该测评指标的单元测评结果为符合或不符合;控制点得分为 1、2、3、4 分,则对应该测评指标的单元测评结果为部分符合。控制点得分主要用于等级测评报告中控制点符合情况汇总。等级测评报告中要求以表格形式汇总测评结果,表格以不同颜色对测评结果进行区分,部分符合(安全控制点得分在0分和5分之间,不等于0分或5分)的安全控制点采用黄色标识,不符合(安全控制点得分为0分)的安全控制点采用红色标识。
(4)问题严重程度值计算
在等级保护测评报告中,需要针对单元测评结果中存在的部分符合项或不符合项加以汇总,形成安全问题汇总列表并计算其严重程度值。依其严重程度取值为1~5,最严重的取值为5。安全问题严重程度值是基于测评项权重、测评项的符合程度进行的。计算公式如下:
(5)修正后的严重程度值和符合程度的计算
基本出发点在于:针对存在的安全问题,分析与该测评项相关的其他测评项能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
在整体测评中,需要从安全控制间、层面间、区域间和验证测试等方面对单元测评的结果进行验证、分析和整体评价。在某个安全控制点或层面的安全问题,可以通过另一个或多个安全控制点或层面的安全设置进行加强或者弥补。因此,安全问题在修复后,需要给出修正后的问题严重程度值,并给出符合程度。
在整体测评结果,修改安全问题汇总表中的问题严重程度值及对应的修正后测评项符合程度得分,并形成修改后的安全问题汇总表(注意:仅包括有所修正的安全问题)。根据整体测评安全控制措施,通常将安全问题的弥补程度的修正因子设为0.5~0.9。计算方法如下:
(6)系统安全保障情况得分计算
计算方法是以算术平均合并同一安全层面下的所有安全控制点得分,并转换为安全层面的百分制得分。等级保护的10个安全层面得分就是系统安全保障情况得分。
2、测评整改结论和风险评估
应在报告中针对系统存在的主要安全问题提出安全建设和整改意见。通过总结单元测评、整体测评、风险分析和评论中的相关缺陷,严格依据等级保护基本要求,提出切合工作实际的整改思路和方法。
针对等级测评结果中存在的所有安全问题,结合关联资产和威胁分别分析安全危害,找出可能对信息系统、单位、社会及国家造成的最大安全危害(损失),并根据最大安全危害严重程度进一步确定信息系统面临的风险等级,结果为“高”、“中”或“低”。并以列表形式给出等级测评发现安全问题以及风险分析和评价情况,其中,最大安全危害(损失)结果应结合安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等进行综合分析。在等保测评报告中指出,如风险值和评价相同,可填写多个关联资产。对于多个威胁关联同一个问题的情况,应分别填写。
依据国家提供的报告标准,编制测评报告。如针对被测系统存在的安全隐患,从系统安全角度提出相应的改进建议,编制测评报告的安全建设整改建议部分。列表给出现场测评的文档清单和单项测评记录,以及对各个测评项的单项测评结果判定情况,编制测评报告的单元测评的结果记录和问题分析部分。
五、谁来开展等级测评
等级测评分为自测评和委托测评机构开展。测评机构是指具备本规范的基本条件,经能力评估和审核,由省级以上网络安全等级保护工作协调(领导)小组办公室推荐,从事测评工作的机构。省级以上等保办负责等级测评机构的审核和推荐工作。公安部网络安全等级保护评估中心负责测评机构的能力评估和培训工作。
1、测评机构具备的基本条件和资质
《网络安全等级保护测评工作管理规范(试行)》第五条规定,等级测评机构应当具备以下基本条件:
① 在中华人民共和国境内注册成立(港澳台地区除外)。
② 由中国公民投资、中国法人投资或国家投资的企事业单位(港澳台地区除外)。
③ 产权关系明晰,注册资金100万元以上。
④ 从事信息系统检测评估相关工作两年以上,无违法记录。
⑤ 工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。
⑥ 具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人。
⑦ 具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《网络安全等级保护管理办法》对网络安全产品的要求。
⑧ 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。
⑨ 对国家安全、社会秩序、公共利益不构成威胁。
⑩ 应当具备的其他条件。
2、测评机构的业务范围和工作要求
测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
(1)业务范围
测评机构除从事等级测评活动以外,还可以从事信息系统安全等级保护定级、等级保护安全建设整改、网络安全等级保护宣传教育等工作的技术支持,以及风险评估、网络安全培训、网络安全咨询和网络安全工程监理等工作。
(2)工作要求
从事等级测评工作的机构及其人员应当遵守国家有关法律法规,依据国家有关技术标准和本规范的相关规定,开展客观、公正、安全的测评服务,不得从事危害国家、社会秩序、公共利益以及被测单位利益的活动。测评机构应当按照公安部统一制订的《信息系统安全等级测评报告模版》格式出具测评报告,根据信息系统规模和所投入的成本,合理收取测评服务费用。
3、测评机构的禁止行为
测评机构及其测评人员不得从事下列活动:
① 影响被测评信息系统正常运行,危害被测评信息系统安全。
② 泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密。
③ 故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告。
④ 未按规定格式出具等级测评报告。
⑤ 非授权占有、使用等级测评相关资料及数据文件。
⑥ 分包或转包等级测评项目。
⑦ 网络安全产品开发、销售和信息系统安全集成。
⑧ 限定被测评单位购买、使用其指定的网络安全产品。
⑨ 其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
4、测评人员具备的基本要求和资质
测评人员实行等级测评师管理。等级测评师分为初级、中级和高级。测评人员参加专门的培训机构举办的专门培训和考试。考试合格的,由专门的培训机构向测评人员颁发相应等级的《等级测评师证书》。《等级测评师证书》是测评人员上岗的基本条件。从事第二级信息系统等级测评工作的测评机构至少应具有6名以上等级测评师,其中中级测评师不少于2名;第三级(含)以上信息系统等级测评工作的测评机构至少应具有 10 名以上等级测评师,其中中级测评师不少于4名,高级测评师不少于2名。
在具体开展测评工作中,测评人员要做到:
① 不得伪造测评记录。
② 不得泄露信息系统信息。
③ 不得收受贿赂。
④ 不得暗示被测评单位,如果提供某种利益就可以修改测评结果。
⑤ 遵从被测评信息系统的机房管理制度。
⑥ 使用测评专用的电脑和工具,并由有资格的测评人员使用。
⑦ 不该看的不看,不该问的不问。
⑧ 不得将测评结果复制给非测评人员。
⑨ 不即时擅自评价测评结果。
5、公安机关对测评机构和测评人员的监督管理
(1)定期检查
省级以上等保办每年对所推荐的测评机构进行检查,测评机构应提交《网络安全等级测评机构检查表》。
(2)变更
测评机构的名称、法人等事项发生变化,或者其等级测评师有变动,测评机构应在三十日内向受理申请的省级以上等保办办理变更手续。
(3)申诉处理
测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。
(4)违规处理
测评机构、测评人员违法或年度检查未通过的,由省级以上等保办责令其限期整改;逾期不改正的,给予警告,直至取消测评机构的推荐证书或等级测评证书,并向社会公告;造成严重损害的,由相关部门依照有关法律、法规予以处理。
测评机构或测评人员违反《网络安全等级保护测评工作管理规范》的规定,给被测单位造成损失的,应当依法承担民事责任。
六、如何规避测评风险
网络安全测评行业是一个极具挑战性的行业,整个测评流程不单单局限于技术层面,还涉及单位的管理层面,整个测评工作的生命周期内会出现各种各样的问题,如何管理和规避测评工作中的风险,成为测评工作是否取得成功的关键。
1、常见风险
等级测评实施过程中,可能出现以下几方面的情况。
(1)验证测试影响系统正常运行
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。
(2)工具测试影响系统正常运行
在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。
(3)敏感信息泄露
泄露被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。
(4)测评工作进度风险
由于测评涉及范围广,测评进度的控制绝非易事,不仅取决公司的技术能力,服务水平,同时在很大程度上受到对范围控制是否有效、对测评投入(包括人员时间的投入和资金等的投入)是否足够等方面的影响。在实际实施过程中,并非所有用户对本次安全等级测评测评实施理解与认同,因此,在测评实施时,可能一味在测评进度计划时求快,甚或刻意追求某个具有特殊意义的日期作为测评里程碑,将对测评进度控制造成很大压力。当然,可能由于种种原因,如测评环境不具备、人员没有到位,测评工具问题等,造成测评进度拖延。
(5)测评工作中人力资源的风险
测评工作主要由不同岗位的测评人员对单位网路产品、安全产品、系统产品及管理进行的安全合规性检查活动。人力资源是测评实施过程中最为关键的资源。保证合适的人员以足够的精力参与到测评中来,是测评成功实施的基本保证。
(6)测评范围风险
合同中测评范围与实际实施过程中项目的结构规模有误而造成的。
(7)测评质量风险
由于在项目建设过程中未确立标准的质量考核体系以及对质量指标监控不严造成的。
(8)对测评认识不正确的风险
测评实施过程中,被测系统单位人员往往对测评本身不够重视,没有详尽地描述系统的基本安全状况,现场测评的访谈环节没有对测评人员的需求给予明确的解答,这样导致在测评过程中访谈和工具测试结果不吻合,使得测评结果不能反映系统存在的问题,甚至被测评单位不认可最后的测评报告。
(9)对实际环境不熟悉的风险
由于用户的网络环境及应用会由一定的差别,而且大部分网络应用是由软件开发商开发,不同的开发商所使用的开发工具、数据库、协议等都不相同,并且网络设备如交换机、路由器也不尽相同,这就对测评的实施提出了很高的要求,各类设备的配置不可能千篇一律,要按实际环境而调整。
2、风险规避
风险规避,是指针对网络安全测评工作中可能出现的风险,对风险进行应对和规划,降低威胁的方法和行动。不论什么风险,最后都是降低消极风险,提高积极风险,才能使工作顺利有序进行。针对测评过程可以采取以下措施进行规避风险。
(1)制定测评计划书
充分考虑各种潜在因素,适当留有余地;任务分解详细度适中,便于考核;在执行过程中,强调测评按进度执行的重要性,在考虑任何问题时,都将保持进度作为先决条件;同时,合理利用赶工及快速跟进等方法,充分利用资源。
(2)制定质量管理计划
定义出项目各子系统需要满足的质量标准,对测评各阶段的输出文档、测评记录数据几方面进行控制,记录备案并以文件的形式下达,降低风险发生的概率。
(3)签署委托测评协议
在测评工作正式开始之前,以委托测评协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求,以及双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识,后续的工作也以此为基础,避免以后的工作出现大的分歧。
(4)签署保密协议
签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将来的行为。
(5)签署现场测评授权书
在现场测评工作开始之前,以测评授权的方式明确测评工作中双方的责任,揭示可能的风险,避免可能出现的纠纷和分歧。
(6)现场测评工作风险的规避
进行验证测试和工具测试时,安排好测试时间,尽量避开业务高峰期,在系统资源处于空闲状态时进行,并需要相关技术人员对整个测评过程进行监督;在进行工具测试前,需要对关键数据做好备份工作,并对可能出现的影响制定相应的处理方案。
(7)测评现场还原
测评工作完成后,测评人员应交回测评工程中获取的所有特权,归还测评过程中借阅的相关文档,并严格清理测评过程中植入被测系统中的相关代码\程序。
(8)规范化的实施过程
为保证按实施计划、高质量地完成测评工作,需明确测评记录和测评报告要求,需明确测评过程中每一阶段需要产生的相关文档,使测评工作有章可循。在委托测评协议、现场测评授权书和测评方案中,明确双方的人员职责、测评对象、时间计划、测评内容要求等。
(9)沟通与交流
为避免测评工作中可能出现的争议,在测评开始前与测评过程中,需要进行积极有效的沟通和交流,及时解决测评过程中出现的问题,这对保证测评的过程质量和结果质量有重要的作用。
(10)测评实施中的风险监控
采取以下措施对测评实施中的风险进行监控,以防止危及测评成败的风险发生。建立并及时更新测评风险列表及风险排序。测评管理人员随时关注与关键风险相关因素的变化情况,及时决定何时、采用何种风险应对措施。
七、读懂测评报告
1、测评报告概述
(1)报告编号
每个备案信息系统单独出具测评报告,测评报告编号为四组数据,如1100092700400001-19-4105-01。各组含义和编码规则如下:
第一组为信息系统备案表编号,由 2 段 16 位数字组成,可以从公安机关颁发的信息系统备案证明(或备案回执)上获得。第1段即备案证明编号的前11位,如11000927004(前6位,110009为受理备案公安机关代码,后5位,27004为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号,如00001)。
第二组为年份,由2位数字组成,如19代表2019年。
第三组为测评机构代码,由4位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为北京,12为天津,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。90为国防科工局,91为电监会,92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。如11表明是北京,05序号为测评机构是第5家。
第四组为本年度信息系统测评次数,由2位构成。如01表示该信息系统本年度测评2次。
(2)信息系统等级测评基本信息表
主要是关于信息系统、被测单位、测评单位的描述。
(3)声明
声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明。声明格式要求如下:
本报告是XXX信息系统的等级测评报告。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
(4)等级测评结论
等级测评结论需要通过表4方式描述。
表4 等级测评结论
(5)总体评价
根据被测系统测评结果和测评过程中了解的相关信息,从用户角度对被测信息系统的安全保护状况进行评价。例如,可以从安全责任制、管理制度体系、基础设施与网络环境、安全控制措施、数据保护、系统规划与建设、系统运维管理、应急保障等方面,分别评价描述信息系统安全保护状况。综合上述评价结果,对信息系统的安全保护状况给出总括性结论,如信息系统总体安全保护状况较好。
(6)主要安全问题
主要描述被测信息系统存在的主要安全问题及其可能导致的后果。
(7)问题处置建议
针对系统存在的主要安全问题提出处置建议。
2、测评报告主要内容说明
下面通过分析测评报告,通过表5方式对测评报告主体撰写进行描述。
微信公众号:计算机与网络安全
ID:Computer-network