等级测评项目质量评价指标体系简介 - 2022/06/27
本文是 2022 年 06 月 27 日公安部信息安全等级保护评估中心视频课程《等级测评项目质量评价指标体系简介》培训笔记,仅供学习交流,切勿作为官方文档。
调查类
辅助类描述信息是否必须填写?
原则上都要填写,不填写应写明原因。
业务数据流是否只要把业务数据流经的物理设备(网络设备、安全设备、服务器、存储等)的处理流程介绍清楚即可?
画业务数据流程图的初始粒度应为测评对象,不能仅限于物理设备。测评对象包括物理设备、中间件、业务系统等等。专家建议细化到部署级,即如果是模块化开发的,要画清楚模块之间的流程。另外业务数据流程图里应包含网络设备和安全设备。
第三方运维公司(集成公司)人员是否要选择为调查对象?
选择调查对象的目的是为了确定测评对象,测评对象在 28448 中定义,选择测评对象是以他承担的职责和角色作为依据,而不是以他是否是第三方人员来作为选择依据。
工业控制系统中有操作员站、工程师站、历史站等上位机,有 DCS 控制器、PLC、RTU 等下位机,如何分类?
22239 里把工控系统分为了五层:企业资源层、生产管理层、过程监控层、现场控制层和现场设备层。其中企业资源层和生产管理层中的系统和我们普通的信息系统比较类似。建议分类结合系统的体系结构来分。以电力监控系统为例,上位机一般位于过程监控层和现场控制层,也就是工程师站和历史站是服务器;操作员站是终端,控制器和 PLC 是现场设备,要放到其他设备调查表中。
方案类
放弃验证测试的前置条件?
- 非互联网服务的等级保护对象
- 不具备模拟/仿真环境
- 正式的管理要求(如主管部门文件、行业标准等)不开展实网在线漏洞扫描和渗透测试
放弃验证测试时,怎么认定什么是正式的管理要求?
- 国家、地区或者行业的法律法规
- 国家、地方或者行业的技术标准
- 主管部门的规范性文件
- 地方或者单位的规章制度
二级系统需要做渗透测试吗?
等保测评标准不要求对二级系统进行渗透测试,但是提倡和建议对接入互联网或者与三级系统有交互的二级系统进行渗透测试。
“漏洞扫描和渗透测试方案中应包括工具升级计划,保证规则库处于最新状态”,在实际工作中,应如何落地?
建议以报告发布日期作为评判规则库是否为最新版本的依据。测评机构要对测评报告发布时间的安全状态负责。
如何评价接入点的合理性以及扫描目标的全面性?
在 28449 中要求有三类接入点
- 被测定级对象边界外接入,包含互联网边界、上级部门边界、下级单位边界和第三方合作单位的边界
- 在被测定级对象内部与测评对象不同区域网络接入
- 被测定级对象同意网络区域内接入
如果客户系统中某一接入点专门为扫描设备配置,策略全通,可以扫描所有区域的资产,是否还需要各个区域设置接入点?
28449 中设置接入点的目的有两个
- 检查被测系统对各个接入点的漏洞暴露情况
- 确认不同位置上安全保护措施的有效性,如果仅设置一个接入点,则无法验证保护措施的有效性
报告类
“不适用”该如何判定?
该测评项所对抗的威胁在被测定级对象中不存在,则该测评项应标为不适用项。
