什么叫网络安全等级保护,重点信息都在这里

2020-11-11 14:32:31 信息安全国家工程研究中心 295

  原标题: 等保系列之——网络安全等级保护测评(一)

  导语

  前面几篇文章介绍了等级保护工作的定级、备案、建设整改三个方面的工作流程和内容,前三个步骤工作是由系统运营使用单位完成的,等级测评的工作主体为测评机构,根据测评评估的结果可以指导系统运营使用单位下一步安全建设整改工作,也可以为公安机关监督检查工作提供参考。

  本文主要介绍网络安全等级保护测评工作的基本概念、目的、测评依据、风险、规避措施等内容。

  一、网络安全等级测评基本概念

  网络安全等级保护测评(简称“等级测评”)是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

  等级测评机构是指具备本规范的基本条件,经能力评估和审核,由省级以上网络安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。

  二、网络安全等级保护测评的目的和作用

  目的:

  通过进行网络安全等级保护测评活动,能够对信息系统安全防护体系能力进行分析与确认;发现存在的安全隐患;帮助运营使用单位认识不足,及时改进;有效提升其网络安全防护水平;遵循国家等级保护有关规定的要求,对信息系统安全建设进行符合性测评。

  作用:

  ① 掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。

  ② 衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。

  ③ 等级测评结果,为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。

  三、网络安全等级保护测评政策、标准依据

  《网络安全等级保护管理办法》第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评工作。

  ▪《信息安全技术 网络安全等级保护测评过程指南》GB∕T 28449-2018

  ▪《信息安全技术 网络安全等级保护基本要求》GB∕T 22239-2019

  ▪《信息安全技术 网络安全等级保护测评要求》GB∕T 28448-2019

  测评机构应当依据《管理办法》、《测评过程指南》、《基本要求》、《测评要求》等国家标准进行等级保护测评工作。

  其中《基本要求》阐述了等级测评工作的目标和内容,《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等,用来评定信息系统的安全保护措施是否符合《基本要求》。《测评过程指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等,规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用《测评要求》提出了指导建议。共同指导网络安全等级保护测评工作。

  四、网络安全等级保护测评工作内容

  网络安全等级保护测评内容覆盖组织的重要信息资产,分为技术和管理两个大的层面。

  技术层面主要是测评和分析在网络和主机上存在的安全技术风险,包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五项要求;

  管理层面包括从安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等保障措施,以及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。

  通过对以上各种安全威胁的分析和汇总,形成安全测评报告,根据安全测评报告和安全现状,提出相应的安全整改建议,指导下一步的网络安全建设。

  五、网络安全等级保护测评的风险介绍

  在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容,需要上机验证并查看一些信息,可能对系统运行造成影响,甚至存在操作失误的可能;

  使用测试工具进行漏洞扫描、性能测试及渗透测试等时,可能会对网络的系统的负载造成影响,渗透攻击测试还可能影响到服务器和系统的正常运行,渗透过程中用到的测试工具未清理或清理不彻底,或者测试者电脑中带有木马程序,存在植入木马的风险;

  测评人员有意或无意泄露被测系统状态信息,如网络拓扑、业务流程、业务数据、安全机制、安全隐患和有关文档信息,存在信息泄露的风险。

  六、网络安全等级保护测评风险规避措施

  签署委托测评协议

  在测试工作正式开始前,测评方和被测评单位需要已委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求以及双方的责任和义务等,使得测评双方对测评过程中的问题达成共识。

  签署保密协议

  测评相关方应签署合乎法律规范的保密协议,保密协议规定了测评相关方保密方面的权利和义务。

  现场测评风险规避

  现场测评之前,签署现场测评授权书,要求被测方对系统及数据进行备份,并对可能出现的事件制定应急处理方案;

  进行验证测试和工具测试时,避开业务高峰期,或是在与生产环境一致的模拟环境中进行;上机验证测试由测评人员指出需要验证的内容,系统运营技术人员进行实际操作。

  测评现场还原

  测评完成后,测试人员将测评过程中的所有权限交回,把测评过程中借阅的相关资料文档归还,恢复至测评前状态。

  声明:本文来自信息安全国家工程研究中心 ,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。

网络安全等级保护测评服务