发布日期:2023-03-26 16:52 浏览次数:
本标准规范了网络安全等级保护测评(以下简称“等级测评”)的工作过程,规定了测评活动及其工作任务。
本标准适用于测评机构、定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工作。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859 计算机信息系统安全保护等级划分准则
GB/T 22239 信息安全技术 信息系统安全等级保护基本要求
GB/T 25069 信息安全技术 术语
GB/T 28448 信息安全技术 信息系统安全等级保护测评要求
GB 17859、GB/T 22239、GB/T 25069和GB/T 28448界定的术语和定义适用于本文件。
4.1 等级测评过程概述
本标准中的测评工作过程及任务基于受委托测评机构对定级对象的初次等级测评给出。运营、使用单位的自查或受委托测评机构已经实施过一次以上等级测评的,测评机构和测评人员根据实际情况调整部分工作任务(见附录A)。开展等级测评的测评机构应严格按照附录B中给出的等级测评工作要求开展相关工作。
等级测评过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评相关方之间的沟通与洽谈应贯穿整个等级测评过程。每一测评活动有一组确定的工作任务。具体如表1所示。
表1 等级测评过程
测评活动 | 主要工作任务 |
测评准备活动 | 工作启动 |
信息收集和分析 | |
工具和表单准备 |
表1(续)
测评活动 | 主要工作任务 |
方案编制活动 | 测评对象确定 |
测评指标确定 | |
测评内容确定 | |
工具测试方法确定 | |
测评指导书开发 | |
测评方案编制 | |
现场测评活动 | 现场测评准备 |
现场测评和结果记录 | |
结果确认和资料归还 | |
报告编制活动 | 单项测评结果判定 |
单元测评结果判定 | |
整体测评 | |
系统安全保障评估 | |
安全问题风险分析 | |
等级测评结论形成 | |
测评报告编制 |
本标准对其中每项活动均给出相应的工作流程、主要任务、输出文档及活动中相关方的职责的规定,每项工作任务均有相应的输入、任务描述和输出产品。
4.2 等级测评风险
4.2.1 影响系统正常运行的风险
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机验证并查看一些信息,这就可能对系统运行造成一定的影响,甚至存在误操作的可能。
此外,使用测试工具进行漏洞扫描测试、性能测试及渗透测试等,可能会对网络和系统的负载造成一定的影响,渗透性攻击测试还可能影响到服务器和系统正常运行,如出现重启、服务中断、渗透过程中植入的代码未完全清理等现象。
4.2.2 敏感信息泄露风险
测评人员有意或无意泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、业务数据、安全机制、安全隐患和有关文档信息等。
4.2.3 木马植入风险
测评人员在渗透测试完成后,有意或无意将渗透测试过程中用到的测试工具未清理或清理不彻底,或者测试电脑中带有木马程序,带来在被测评系统中植入木马的风险。
4.3 等级测评风险规避
在等级测评过程中可以通过采取以下措施规避风险:
a)签署委托测评协议
在测评工作正式开始之前,测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求以及双方的责任和义务等,使得测评双方对测评过程中的基本问题达成共识。
b)签署保密协议
测评相关方应签署合乎法律规范的保密协议,以约束测评相关方现在及将来的行为。保密协议规定了测评相关方保密方面的权利与义务。测评过程中获取的相关系统数据信息及测评工作的成果属被测评单位所有,测评方对其的引用与公开应得到相关单位的授权,否则相关单位将按照保密协议的要求追究测评单位的法律责任。
c)现场测评工作风险的规避
现场测评之前,测评机构应与相关单位签署现场测评授权书,要求相关方对系统及数据进行备份,并对可能出现的事件制定应急处理方案。
进行验证测试和工具测试时,避开业务高峰期,在系统资源处于空闲状态时进行,或配置与生产环境一致的模拟/仿真环境,在模拟/仿真环境下开展漏洞扫描等测试工作;上机验证测试由测评人员提出需要验证的内容,系统运营、使用单位的技术人员进行实际操作。整个现场测评过程要求系统运营、使用单位全程监督。
d)测评现场还原
测评工作完成后,测评人员应将测评过程中获取的所有特权交回,把测评过程中借阅的相关资料文档归还,并将测评环境恢复至测评前状态。
5.1 测评准备活动工作流程
测评准备活动的目标是顺利启动测评项目,收集定级对象相关资料,准备测评所需资料,为编制测评方案打下良好的基础。
测评准备活动包括工作启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见图1。
图1 测评准备活动的基本工作流程
以上为标准部分内容,如需看标准全文,请到相关授权网站购买标准正版。
