1. 首页
  2. 新闻中心

等保2.0|如何进行网络安全等级保护测评?

作者:企划组 时间:2020-07-15 阅读:2761

网络安全等级保护测评(简称“等级测评”)是指测评机构依据国家网络安全等级保护管理制度规定,按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。等级测评是合规性评判活动,无论是测评指标来源,还是测评方法的选择、测评内容的确定以及结果判定等活动均要依据国家相关的标准进行,按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。

图片1.png 

今天我们介绍测评工作的内容、流程、方法,以及测评中的风险和控制,帮助大家更好地理解等级测评报告中的内容,做好等保合规建设。

一、测评工作内容

等级测评内容覆盖组织的重要信息资产,分为技术和管理两大层面。技术层面主要是测评和分析在网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、应用系统等软硬件设备;管理层面包括从组织的人员、组织结构、管理制度、系统运行保障措施以及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。通过对以上各种安全威胁的分析和汇总,形成组织的安全测评报告。根据组织的安全测评报告和安全现状,提出相应的安全整改建议,指导下一步的建设。

二、基本工作流程

等级测评过程分为4个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。

作为开展等级测评工作前提和基础的测评准备活动,主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备;方案编制活动是开展等级测评工作的关键活动,该活动主要为现场测评提供最基本的文档和指导方案;现场测评活动是开展等级测评工作的核心活动。按照测评方案的总体要求,现场测评活动严格执行测评指导书的测评指导,分步实施所有测评项目;分析与报告编制活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。

三、工作方法

测评主要工作方法包括访谈、文档审查、配置检查、工具测试和实地察看。

1.访谈是指测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。

2.文档审查主要是依据技术和管理标准,对被测评单位的安全方针文件,安全管理制度,安全管理的执行过程文档,系统设计方案,网络设备的技术资料,系统和产品的实际配置说明,系统的各种运行记录文档,机房建设相关资料,机房出入记录。

3.配置检查是指利用上机验证的方式检查配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),并记录测评结果。

4.工具测试是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,通过查看、分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。

5.实地查看是根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。如扫描探测、渗透测试、协议分析等手段。

由于信息系统安全测评受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响,因此,在测评实施前,需要做好测评前的各项准备工作。

测评实施准备工作主要包括如下内容:明确测评目标、确定测评范围、组建测评团队、召开测评实施工作启动会议、系统调研、确定系统测评标准、确定测评工具、制定测评方案、测评工作协调、文档管理和测评风险规避等 11 项准备工作。

四、测评中的风险和控制

网络安全测评行业是一个极具挑战性的行业,整个测评流程不单单局限于技术层面,还涉及单位的管理层面,整个测评工作的生命周期内会出现各种各样的问题,如何管理和规避测评工作中的风险,成为测评工作是否取得成功的关键。

1.常见风险

等级测评过程中的常见风险有:验证测试影响系统正常运行、工具测试影响系统正常运行、敏感信息泄露、测评工作进度风险、测评工作中人力资源的风险、测评范围风险、测评质量风险、测评认识不正确的风险和对实际环境不熟悉的风险等。

2.风险规避

针对测评过程可以采取以下措施进行规避风险:制定测评计划书;制定质量管理计划;签署委托测评协议;签署保密协议;签署现场测评授权书;现场测评工作风险的规避;测评现场还原;规范化的实施过程;沟通与交流;测评实施中的风险监控。

通过进行测评,能够对信息系统体系能力进行分析与确认,发现存在的安全隐患,帮助运营单位认识不足,及时改进并有效提升其防护水平。开展等级测评的最好时期是安全建设整改前、安全建设整改后,及其常规性定期开展测评。

网络安全等级保护工作不仅是一个测评,而是包含:定级、备案、测评、系统安全建设和监督检查五项内容。等级保护制度已经进入了“2.0”的时代,需求越来越细致,对安全的要求越来越高,部署有效的综合防空系统的工作越来越复杂。

为解决企事业单位等保合规建设难题,葫芦娃集团依据国内相关的法律法规,比如《信息系统安全等级保护实施指南》《信息系统安全等级保护定级指南》等要求,制定了一整套等保服务流程,帮助完善企业网络安全防护体系,提高信息系统的安全保障能力和防护水平,达到国家网络安全等级保护相关标准要求,促使企业业务信息系统安全、稳定并且持续运行。

葫芦娃集团.png 

【版权提示】葫芦娃集团尊重并保护版权。部分图片/素材来源于网络,如有侵权请及时告知我们处理。