一、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程概述
網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作過(guò)程包括四個(gè)基本測(cè)評(píng)活動(dòng):測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、報(bào)告編制活動(dòng)。而測(cè)評(píng)相關(guān)方之間的溝通與洽談應(yīng)貫穿整個(gè)測(cè)評(píng)過(guò)程。每一項(xiàng)活動(dòng)有一定的工作任務(wù)。
01、基本工作流程
① 測(cè)評(píng)準(zhǔn)備活動(dòng)
本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的前提和基礎(chǔ),是整個(gè)等級(jí)測(cè)評(píng)過(guò)程有效性的保證。測(cè)評(píng)準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動(dòng)的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況,準(zhǔn)備測(cè)試工具,為編制測(cè)評(píng)方案做好準(zhǔn)備。
② 方案編制活動(dòng)
本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的關(guān)鍵活動(dòng),為現(xiàn)場(chǎng)測(cè)評(píng)提供最基本的文檔和指導(dǎo)方案。本活動(dòng)的主要任務(wù)是確定與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容等,并根據(jù)需要重用或開發(fā)測(cè)評(píng)指導(dǎo)書測(cè)評(píng)指導(dǎo)書,形成測(cè)評(píng)方案。
③ 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)
本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的核心活動(dòng)。本活動(dòng)的主要任務(wù)是按照測(cè)評(píng)方案的總體要求,嚴(yán)格執(zhí)行測(cè)評(píng)指導(dǎo)書測(cè)評(píng)指導(dǎo)書,分步實(shí)施所有測(cè)評(píng)項(xiàng)目,包括單元測(cè)評(píng)和整體測(cè)評(píng)兩個(gè)方面,以了解系統(tǒng)的真實(shí)保護(hù)情況,獲取足夠證據(jù),發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題。
④ 分析與報(bào)告編制活動(dòng)
本活動(dòng)是給出等級(jí)測(cè)評(píng)工作結(jié)果的活動(dòng),是總結(jié)被測(cè)系統(tǒng)整體安全保護(hù)能力的綜合評(píng)價(jià)活動(dòng)。本活動(dòng)的主要任務(wù)是根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》GB/T28448-2019的有關(guān)要求,通過(guò)單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)和風(fēng)險(xiǎn)分析等方法,找出整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距,并分析這些差距導(dǎo)致被測(cè)系統(tǒng)面臨的風(fēng)險(xiǎn),從而給出等級(jí)測(cè)評(píng)結(jié)論,形成測(cè)評(píng)報(bào)告文本。
02、工作方法
網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)主要工作方法包括訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看。
訪談是指測(cè)評(píng)人員與被測(cè)系統(tǒng)有關(guān)人員(個(gè)人/群體)進(jìn)行交流、討論等活動(dòng),獲取相關(guān)證據(jù),了解有關(guān)信息。訪談的對(duì)象是人員,訪談涉及的技術(shù)安全和管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果,要提供記錄或錄音。典型的訪談人員包括:網(wǎng)絡(luò)安全主管、信息系統(tǒng)安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、資產(chǎn)管理員等。
文檔審查主要是依據(jù)技術(shù)和管理標(biāo)準(zhǔn),對(duì)被測(cè)評(píng)單位的安全方針文件,安全管理制度,安全管理的執(zhí)行過(guò)程文檔,系統(tǒng)設(shè)計(jì)方案,網(wǎng)絡(luò)設(shè)備的技術(shù)資料,系統(tǒng)和產(chǎn)品的實(shí)際配置說(shuō)明,系統(tǒng)的各種運(yùn)行記錄文檔,機(jī)房建設(shè)相關(guān)資料,機(jī)房出入記錄。檢查信息系統(tǒng)建設(shè)必須具有的制度、策略、操作規(guī)程等文檔是否齊備,制度執(zhí)行情況記錄是否完整,文檔內(nèi)容完整性和這些文件之間的內(nèi)部一致性等問(wèn)題。
配置檢查是指利用上機(jī)驗(yàn)證的方式檢查網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全的配置是否正確,是否與文檔、相關(guān)設(shè)備和部件保持一致,對(duì)文檔審核的內(nèi)容進(jìn)行核實(shí)(包括日志審計(jì)等),并記錄測(cè)評(píng)結(jié)果。配置檢查是衡量一家測(cè)評(píng)機(jī)構(gòu)實(shí)力的重要體現(xiàn)。檢查對(duì)象包括數(shù)據(jù)庫(kù)系統(tǒng)、操作系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備。
工具測(cè)試是利用各種測(cè)試工具,通過(guò)對(duì)目標(biāo)系統(tǒng)的掃描、探測(cè)等操作,使其產(chǎn)生特定的響應(yīng)等活動(dòng),通過(guò)查看、分析響應(yīng)結(jié)果,獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法。
實(shí)地查看根據(jù)被測(cè)系統(tǒng)的實(shí)際情況,測(cè)評(píng)人員到系統(tǒng)運(yùn)行現(xiàn)場(chǎng)通過(guò)實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況,測(cè)評(píng)其是否達(dá)到了相應(yīng)等級(jí)的安全要求。
二、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作流程
01、測(cè)評(píng)準(zhǔn)備活動(dòng)階段
首先,被測(cè)評(píng)單位在選定測(cè)評(píng)機(jī)構(gòu)后,雙方需要先簽訂《測(cè)評(píng)服務(wù)合同》,合同中對(duì)項(xiàng)目范圍(系統(tǒng)數(shù)量)、項(xiàng)目?jī)?nèi)容(差距測(cè)評(píng)?驗(yàn)收測(cè)評(píng)?協(xié)助整改?)、項(xiàng)目周期(什么時(shí)間進(jìn)場(chǎng)?項(xiàng)目計(jì)劃做多長(zhǎng)時(shí)間?)、項(xiàng)目實(shí)施方案(測(cè)評(píng)工作的步驟)、項(xiàng)目人員(項(xiàng)目實(shí)施團(tuán)隊(duì)人員)、項(xiàng)目驗(yàn)收標(biāo)準(zhǔn)、付款方式、違約條款等等內(nèi)容逐一進(jìn)行約定。
簽訂《測(cè)評(píng)服務(wù)合同》同時(shí),測(cè)評(píng)機(jī)構(gòu)應(yīng)簽署《保密協(xié)議》。《保密協(xié)議》一般分兩種,一種是測(cè)評(píng)機(jī)構(gòu)與被測(cè)單位(公對(duì)公)簽署,約定測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)過(guò)程中的保密責(zé)任;一種是測(cè)評(píng)機(jī)構(gòu)項(xiàng)目組成員與被測(cè)單位之間簽署。
①項(xiàng)目啟動(dòng)會(huì)
在雙方簽完委托測(cè)評(píng)合同之后,雙方即可約定召開項(xiàng)目啟動(dòng)會(huì)時(shí)間。項(xiàng)目啟動(dòng)會(huì)的目的,主要是由甲方領(lǐng)導(dǎo)對(duì)公司內(nèi)部涉及的部門進(jìn)行動(dòng)員、提請(qǐng)各相關(guān)部門重視、協(xié)調(diào)內(nèi)部資源、介紹測(cè)評(píng)方項(xiàng)目實(shí)施人員、計(jì)劃安排等內(nèi)容,為整個(gè)等級(jí)測(cè)評(píng)項(xiàng)目的實(shí)施做基本準(zhǔn)備。
②系統(tǒng)情況調(diào)研
啟動(dòng)會(huì)后,測(cè)評(píng)方開展調(diào)研,通過(guò)填寫《信息系統(tǒng)基本情況調(diào)查表》,掌握被測(cè)系統(tǒng)的詳細(xì)情況,為編制測(cè)評(píng)方案做好準(zhǔn)備。測(cè)評(píng)項(xiàng)目組進(jìn)場(chǎng)前,應(yīng)熟悉被測(cè)定級(jí)對(duì)象,調(diào)試測(cè)評(píng)工具,準(zhǔn)備各種表單。
02、方案編制活動(dòng)階段
方案編制活動(dòng)的目的是整理測(cè)評(píng)準(zhǔn)備活動(dòng)中獲取的定級(jí)對(duì)象資料,為現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)提供最基礎(chǔ)文檔和測(cè)評(píng)方案。
方案編制活動(dòng)包括測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、測(cè)評(píng)內(nèi)容確定、工具測(cè)試方法確定、測(cè)評(píng)指導(dǎo)書開發(fā)、測(cè)評(píng)方案編制六項(xiàng)主要任務(wù)。
①確定測(cè)評(píng)對(duì)象。根據(jù)系統(tǒng)調(diào)查結(jié)果,分析整個(gè)被測(cè)定級(jí)對(duì)象業(yè)務(wù)流程、數(shù)據(jù)流程、范圍、特點(diǎn)確定測(cè)評(píng)對(duì)象,一般采用抽查的方法,即:抽查信息系統(tǒng)中具有代表性的組件作為測(cè)評(píng)對(duì)象。
② 確定測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容。根據(jù)被測(cè)定級(jí)對(duì)象結(jié)果確定測(cè)評(píng)的基本指標(biāo),根據(jù)測(cè)評(píng)委托單位定級(jí)對(duì)象業(yè)務(wù)自身需求確定特殊測(cè)評(píng)指標(biāo)。
③ 確定測(cè)評(píng)工具接入點(diǎn)。一般來(lái)說(shuō),測(cè)評(píng)工具的接入采取從外到內(nèi),從其他網(wǎng)絡(luò)到本地網(wǎng)段的逐步逐點(diǎn)接入,即:測(cè)評(píng)工具從被測(cè)系統(tǒng)邊界外接入、在被測(cè)系統(tǒng)內(nèi)部與測(cè)評(píng)對(duì)象不同網(wǎng)段及同一網(wǎng)段內(nèi)接入等幾種方式。從被測(cè)系統(tǒng)邊界外接入時(shí),測(cè)評(píng)工具一般接在系統(tǒng)邊界設(shè)備(通常為交換設(shè)備)上。在該點(diǎn)接入漏洞掃描器,掃描探測(cè)被測(cè)系統(tǒng)的主機(jī)、網(wǎng)絡(luò)設(shè)備對(duì)外暴露的安全漏洞情況;從系統(tǒng)內(nèi)部與測(cè)評(píng)對(duì)象不同網(wǎng)段接入時(shí),測(cè)評(píng)工具一般接在與被測(cè)對(duì)象不在同一網(wǎng)段的內(nèi)部核心交換設(shè)備上;在系統(tǒng)內(nèi)部與測(cè)評(píng)對(duì)象同一網(wǎng)段內(nèi)接入時(shí),測(cè)評(píng)工具一般接在與被測(cè)對(duì)象在同一網(wǎng)段的交換設(shè)備上;結(jié)合網(wǎng)絡(luò)拓?fù)鋱D,采用圖示的方式描述測(cè)評(píng)工具的接入點(diǎn)、測(cè)評(píng)目的、測(cè)評(píng)途徑和測(cè)評(píng)對(duì)象等相關(guān)內(nèi)容。
④ 確定測(cè)評(píng)內(nèi)容與方法。將測(cè)評(píng)對(duì)象與測(cè)評(píng)指標(biāo)進(jìn)行映射構(gòu)成測(cè)評(píng)內(nèi)容,并針對(duì)不同的測(cè)評(píng)內(nèi)容合理地選擇測(cè)評(píng)方法形成具體的測(cè)評(píng)實(shí)施內(nèi)容。
⑤ 確定測(cè)評(píng)指導(dǎo)書。測(cè)評(píng)指導(dǎo)書是指導(dǎo)和規(guī)范測(cè)評(píng)人員現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的文檔,包括測(cè)評(píng)項(xiàng)、測(cè)評(píng)方法、操作步驟和預(yù)期結(jié)果等四部分。在測(cè)評(píng)對(duì)象和指標(biāo)確定的基礎(chǔ)上,將測(cè)評(píng)指標(biāo)映射到各測(cè)評(píng)對(duì)象上,然后結(jié)合測(cè)評(píng)對(duì)象的特點(diǎn),選擇應(yīng)采取的測(cè)評(píng)方法并確定測(cè)評(píng)步驟和預(yù)期結(jié)果,形成不同測(cè)評(píng)對(duì)象的具體測(cè)評(píng)指導(dǎo)書。
⑥ 確定測(cè)評(píng)方案。綜合以上結(jié)果內(nèi)容以及測(cè)評(píng)工作計(jì)劃形成測(cè)評(píng)方案,測(cè)評(píng)方案主要內(nèi)容包括測(cè)評(píng)概述、目標(biāo)系統(tǒng)概述、定級(jí)情況、網(wǎng)絡(luò)結(jié)構(gòu)、主機(jī)設(shè)備情況、應(yīng)用情況、測(cè)評(píng)方法與工具、測(cè)評(píng)內(nèi)容、時(shí)間安排、風(fēng)險(xiǎn)揭示與規(guī)避等。
03、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)
現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)通過(guò)與測(cè)評(píng)委托單位進(jìn)行溝通和協(xié)調(diào),為現(xiàn)場(chǎng)測(cè)評(píng)的順利開展打下良好基礎(chǔ),然后依據(jù)測(cè)評(píng)方案實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)工作,將測(cè)評(píng)方案和測(cè)評(píng)工具等具體落實(shí)到現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中。現(xiàn)場(chǎng)測(cè)評(píng)工作應(yīng)取得分析與報(bào)告編制活動(dòng)所需的、足夠的證據(jù)和資料。
現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)包括現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還三項(xiàng)主要任務(wù)。
①現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備
為保證測(cè)評(píng)機(jī)構(gòu)能夠順利實(shí)施測(cè)評(píng),測(cè)評(píng)準(zhǔn)備工作需要包括以下內(nèi)容:
● 測(cè)評(píng)委托單位簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書;
● 召開測(cè)評(píng)現(xiàn)場(chǎng)首次會(huì);
● 測(cè)評(píng)雙方確認(rèn)現(xiàn)場(chǎng)測(cè)評(píng)需要的各種資源,包括測(cè)評(píng)委托單位的配合人員和需要提供的測(cè)評(píng)條件等,確認(rèn)被測(cè)系統(tǒng)已備份過(guò)系統(tǒng)及數(shù)據(jù);
● 測(cè)評(píng)人員根據(jù)會(huì)議溝通結(jié)果,對(duì)測(cè)評(píng)結(jié)果記錄表單和測(cè)評(píng)程序進(jìn)行必要的更新。
②現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄
現(xiàn)場(chǎng)測(cè)評(píng)覆蓋到被測(cè)系統(tǒng)安全技術(shù)的5個(gè)層面和安全管理的5方面。安全技術(shù)的5個(gè)層面具體為:安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心;安全管理的5方面具體為:安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。
③結(jié)果確認(rèn)和資料歸還
現(xiàn)場(chǎng)測(cè)評(píng)結(jié)束時(shí),需要做好記錄和確認(rèn)工作,并將測(cè)評(píng)的結(jié)果征得評(píng)測(cè)雙方認(rèn)同確認(rèn)。主要包括測(cè)評(píng)人員在現(xiàn)場(chǎng)測(cè)評(píng)完成之后,應(yīng)首先匯總現(xiàn)場(chǎng)測(cè)評(píng)的測(cè)評(píng)記錄,對(duì)漏掉和需要進(jìn)一步驗(yàn)證的內(nèi)容實(shí)施補(bǔ)充測(cè)評(píng);召開測(cè)評(píng)現(xiàn)場(chǎng)結(jié)束會(huì),測(cè)評(píng)雙方對(duì)測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的問(wèn)題進(jìn)行現(xiàn)場(chǎng)確認(rèn)。測(cè)評(píng)機(jī)構(gòu)歸還測(cè)評(píng)過(guò)程中借閱的所有文檔資料,并由測(cè)評(píng)委托單位文檔資料提供者簽字確認(rèn)。
04、報(bào)告編制活動(dòng)
測(cè)評(píng)人員在初步判定單項(xiàng)測(cè)評(píng)結(jié)果后,還需進(jìn)行單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、系統(tǒng)安全保障評(píng)估等方法,找出整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距,并分析這些差距導(dǎo)致被測(cè)系統(tǒng)面臨的風(fēng)險(xiǎn),從而給出等級(jí)測(cè)評(píng)結(jié)論,形成測(cè)評(píng)報(bào)告文本。
三、測(cè)評(píng)委托單位需要配合的工作
測(cè)評(píng)準(zhǔn)備階段:
①被測(cè)方成立項(xiàng)目組,并任命項(xiàng)目經(jīng)理;
②向測(cè)評(píng)機(jī)構(gòu)介紹本單位的信息化建設(shè)狀況與發(fā)展情況;
③準(zhǔn)備測(cè)評(píng)機(jī)構(gòu)需要的資料,比如系統(tǒng)定級(jí)報(bào)告、備案表、自查或上次測(cè)評(píng)報(bào)告、聯(lián)系方式等;
④為測(cè)評(píng)人員的信息收集提供支持和協(xié)調(diào);
⑤準(zhǔn)確填寫信息系統(tǒng)基本信息調(diào)查表;
⑥根據(jù)被測(cè)系統(tǒng)的具體情況,如業(yè)務(wù)運(yùn)行高峰期、網(wǎng)絡(luò)布置情況等,為測(cè)評(píng)時(shí)間安排提供適宜的建議;
方案編制階段:
①為測(cè)評(píng)機(jī)構(gòu)完成測(cè)評(píng)方案提供有關(guān)信息和資料;
②評(píng)審和確認(rèn)測(cè)評(píng)方案文本。
現(xiàn)場(chǎng)測(cè)評(píng)階段:
①此階段工作測(cè)評(píng)方人員需要在客戶現(xiàn)場(chǎng)完成。需要被測(cè)方提供辦公位(基本的辦公環(huán)境)。
②備案單位需要機(jī)房管理員、網(wǎng)絡(luò)管理員、安全主管、系統(tǒng)管理員、系統(tǒng)開發(fā)人員、運(yùn)維人員等進(jìn)行配合。
③測(cè)評(píng)前備份系統(tǒng)和數(shù)據(jù),并確認(rèn)被測(cè)設(shè)備狀態(tài)完好;
④協(xié)調(diào)被測(cè)系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系,配合測(cè)評(píng)工作的開展;
⑤相關(guān)人員回答測(cè)評(píng)人員的問(wèn)詢,對(duì)某些需要驗(yàn)證的內(nèi)容上機(jī)進(jìn)行操作;
⑥相關(guān)人員確認(rèn)測(cè)試前協(xié)助測(cè)評(píng)人員實(shí)施工具測(cè)試并提供有效建議,降低安全測(cè)評(píng)對(duì)系統(tǒng)運(yùn)行的影響;
⑦相關(guān)人員對(duì)測(cè)評(píng)結(jié)果進(jìn)行確認(rèn);
⑧相關(guān)人員確認(rèn)工具測(cè)試后被測(cè)設(shè)備的狀態(tài)完好。
報(bào)告編制階段:
①簽收測(cè)評(píng)報(bào)告;
②向公安機(jī)關(guān)遞交測(cè)評(píng)報(bào)告。