信息系统进行等级保护测评,有哪些风险需要注意

2019-11-26 11:46:12 万方科技 53

  专业的等级保护测评机构开展等级保护测评工作前需要提前告知客户,由于等级保护测评哪些操作会给信息系统带来一些影响,而该如何避免这些风险发生,如果真的出现这些问题时需要如何处理,这些都是需要在签订等保测评服务合同时需要协商好的内容。那么,一般来说信息系统在进行等级保护测评的时候,有哪些风险需要注意?

  在进行等级测评过程中可能存在以下风险:

  1)验证测试对运行系统可能会造成影响

  在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。

  2)工具测试对运行系统可能会造成影响

  在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试。测试可能会对系统的负载造成一定的影响,漏洞扫描测试可能对服务器和网络通讯造成一定影响甚至伤害。

  3)敏感信息泄漏

  泄漏被检测单位信息系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。

  在等级测评过程中可以通过采取以下措施规避风险:

  1)现场测评工作风险的规避

  进行验证测试和工具测试时,测评机构需要与测评委托单位充分的协调,安排好测试时间,尽量避开业务高峰期,在系统资源处于空闲状态时进行,并需要被测系统运营、使用单位对整个测试过程进行监督;在进行验证测试和工具测试前,需要对关键数据做好备份工作,并对可能出现的影响制定相应的处理方案;上机验证测试原则上由被测系统运营、使用单位相应的技术人员进行操作,测评人员根据情况提出需要操作的内容,并进行查看和验证,避免由于测评人员对某些专用设备不熟悉造成误操作;测评机构使用的测试工具在使用前应事先告知被测系统运营、使用单位,并详细介绍这些工具的用途以及可能对信息系统造成的影响,征得其同意。必要时先进行一些试验。

  2)签署保密协议

  测评双方应签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将来的行为。保密协议规定了测评双方保密方面的权利与义务。测评工作的成果属被测系统运营、使用单位所有,测评机构对其的引用与公开应得到被测系统运营、使用单位的授权,否则被测系统运营、使用单位将按照保密协议的要求追究测评机构的法律责任。