Table of Contents

【中级】等级测评实施

2023-04-20
2023-04-20
8 min read
GB
djbh
Hits

  本文是去年公安三所给中级测评师培训的第二课《等级测评实施》的笔记。

网络安全政策法律法规体系

  1. 《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
  2. 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
  3. 《信息安全等级保护管理办法》(公通字[2007]43号)
  4. 《信息安全等级保护备案类实施细则》(公信安[2007]1360号)
  5. 《公安机关信息安全等级保护检查工作规范》(公信安[2008]736号)
  6. 《网络安全等级保护测评机构管理办法》(2018 年 5 月)
  7. 《关于推动信息安全等级保护测评体系和开展等级测评工作的通知》(公信安[2010]303号)
  8. 《中华人民共和国网络安全法》(2017 年 6 月 1 日执行)
  9. 《中华人民共和国密码法》(2020 年 1 月 1 日执行)
  10. 《中华人民共和国数据安全法》(2021 年 9 月 1 日执行)
  11. 《中华人民共和国个人信息保护法》(2021 年11 月 1 日执行)
  12. 《网络安全等级保护条例》(征求意见稿)
  13. 《关键信息基础设施安全保护条例》(2021 年 9 月 1 日执行)
  14. 《商用密码管理条例》(修订草案征求意见稿)
  15. 《网络数据安全管理条例》(征求意见稿)
  16. 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安[2020]1960号)

关键信息基础设施保护标准体系

  1. 《关键信息基础设施保护条例》(上位文件)
  2. 《关键信息基础设施识别认定指南》(国标立项中)
  3. 《关键信息基础设施安全保护要求》(报批稿)
  4. 《关键信息基础设施安全测评要求》(国标立项中)
  5. 《关键信息基础设施安全测评过程指南》(国标立项中)
  6. 《关键信息基础设施安全监测预警要求》(国标立项中)
  7. 《关键信息基础设施安全技术对抗要求》(国标立项中)
  8. 《关键信息基础设施安全事件处置要求》(国标立项中)

密码应用安全标准体系

  1. 《商用密码管理条例》(修订草案征求意见中)(上位文件)
  2. 《信息系统密码应用基本要求》(GM/T 0054-2018)
  3. 《信息系统密码应用基本要求》(GB/T 39786-2021)
  4. 《信息系统密码应用测评要求》(GM/T 0115-2021)
  5. 《信息系统密码应用测评过程指南》(GM/T 0116-2021)
  6. 《信息系统密码应用高风险判定指引》(行标,制定中)

测评准备阶段

项目启动

  根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。

  测评机构要求测评委托单位提供基本资料,为全面初步了解被测定级对象准备资料,包括:

  1. 被测系统总体描述文件
  2. 详细描述文件
  3. 安全需求分析报告
  4. 安全总体方案
  5. 系统验收报告
  6. 定级报告,自查或上次等级测评报告(如有)
  7. 测评委托单位的信息化建设状况与发展以及联络方式等

信息收集与分析

  1. 测评机构收集等级测评需要的相关资料,包括测评委托单位的管理架构、技术体系、运行情况、建设方案(包括密码应用安全方案)、建设过程中相关测试文档等
  2. 测评机构将系统调查表格提交给测评委托单位,督促被测定级对象相关人员准确填写调查表格
  3. 测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测定级对象的实际情况
  4. 如果调查表格信息填写存在不准确、不完善或有相互矛盾的地方,测评机构与填表人进行沟通和确认,必要时安排一次现场调查

云计算相关调研工作

  针对云计算平台的等级测评,测评机构手机的相关资料还应包括云计算平台运营机构的管理架构、技术实现机制及架构、运行情况、云计算平台的定级情况、云计算平台的等级测评结果等。

  针对云租户系统的等级测评,测评机构收集的相关资料还应包括云计算平台运营机构与租户的关系、定级对象的相关情况等。

  在云租户系统的等级测评中,云租户应督促被测定级对象相关人员及云计算平台运营机构相关人员准确填写调查表格。

移动互联

  收集等级测评需要的相关资料还应包括各类无线接入设备部署情况、移动终端使用情况、移动应用程序、移动通信协议等。

物联网

  收集等级测评需要的相关资料还应包括各类感知层设备的检测情况、感知层设备部署情况、感知层物理环境、感知层通信协议等。

工业控制系统

  注意收集特有的信息,如工控设备类型、系统架构、逻辑层级结构、工艺流程、功能安全需求、业务安全保护等级、通信协议、安全组织架构、历史安全事件等。

调研关键点总结

  1. 物理机房的位置及运行情况
  2. 采用新技术、新应用情况
  3. 系统整个网络拓扑情况及关键设备部署情况
  4. 网络边界及安全隔离情况(包括互联网边界、内部安全区域边界和不同等级的系统边界等)
  5. 各种设备或系统的详细情况
  6. 应用系统架构及授权认证等情况
  7. 定制开发的应用系统软件源代码相关安全工作情况
  8. 对于云计算平台
    1. 云上租户系统的东西向和南北向隔离情况
    2. 统一 VPC 内不同 VLAN 间的安全隔离需求情况
  9. 定级对象相关情况
    1. 是否进行定级备案工作,安全保护等级
    2. 是否进行等级测评情况,等级测评结论
    3. 上次等级测评的安全问题汇总及安全整改情况

工具和表单准备

  调试测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。

  在测评环境模拟被测定级对象架构,为开发相关的网络及主机设备等测评对象测评指导书做好准备,并进行必要的工具验证。

  准备和答应表单,主要包括:风险告知书、文档交接单、会议记录表单、会议签到表单等。

方案编制阶段

测评指标选择

  1. 根据被测定级对象的 A 类、S 类及 G 类基本安全要求的组合情况,从 GB/T 22239、行业标准规范中选择相应等级的基本安全要求作为基本测评指标
  2. 根据被测定级对象实际情况,确定不适用测评指标,并分析给出指标不适用的原因
  3. 根据测评委托单位及被测定级对象业务自身需求,确定其他安全测评指标。包括但不限于:
    1. JRT 0071.2-2020 金融行业网络安全等级保护实施指引 第2部分:基本要求
    2. GYT 352-2021 广播电视网络安全等级保护基本要求
    3. JRT 0060-2021 证券期货业网络安全等级保护基本要求
    4. MHT 0076-2020 民用航空网络安全等级保护基本要求
    5. QCR 772-2020 铁路网络安全等级保护基本要求安全通用要求

测评对象确定

  测评对象的确定一般采用抽查的方法,即:抽查定级对象中具有代表性的组件作为测评对象。

  在确定测评对象时,需遵循以下原则:

  1. 重要性:应抽查对被测定级对象来说重要的服务器、数据库和网络设备等

  2. 安全性:应抽查对外暴露的网络边界

  3. 共享性:应抽查共享设备和数据交换平台/设备

  4. 全面性:抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型

  5. 符合性:选择的设备、软件系统等应能符合相应等级的测评强度要求

  6. 云计算

    1. 虚拟设备,包括虚拟机、虚拟网络设备、虚拟安全设备等
    2. 云操作系统、云业务管理平台、虚拟机监视器
    3. 云租户网络控制器
    4. 云应用开发平台等

  7. 移动互联

    1. 无线接入设备工作环境
    2. 移动终端、移动应用软件、移动终端管理系统
    3. 对整个定级对象的安全性起决定作用的网络互联设备,无线接入设备
    4. 无线接入网关等

  8. 物联网

    1. 感知节点工作环境(包括感知节点和网关等感知层节点工作环境)
    2. 边界网络设备,认证网关、感知层网关等
    3. 对整个定级对象的安全性起决定作用的网络互联设备,感知层网关等

  9. 工业控制系统

    1. 现场设备工作环境
    2. 工程师站、操作员站、OPC 服务器、实时数据库服务器和控制器嵌入式软件等
    3. 对整个定级对象的安全性起决定作用的网络互联设备,无线接入设备等

  10. 数据资源

    1. 鉴别数据、重要业务数据、个人信息
    2. 大数据平台、大数据应用,大数据

安全通用要求测评指标选取

  1. 安全计算环境和安全区域边界中的访问控制的测评指标落在设备或系统上
  2. 安全物理环境、安全通信网络、安全区域边界(除访问控制外)、安全管理中心和所有安全管理全部为全局性测评指标
  3. 数据资源可作为单独的对象进行测评

安全计算环境

  1. 设备或系统相关:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和可信验证
  2. 数据资源相关:包括数据完整性、数据保密性、备份恢复、剩余信息保护和个人信息保护
/业务应用系统设备或系统数据库
数据完整性鉴别数据和配置数据鉴别数据和配置数据鉴别数据和配置数据
数据保密性鉴别数据、业务数据和个人信息鉴别数据鉴别数据
备份恢复业务数据、个人信息和配置数据配置数据配置数据
剩余信息保护鉴别数据和敏感数据//
个人信息保护保密性和完整性//

云计算安全扩展要求测评指标选取原则

  用于保障云平台自身安全能力,或云平台提供云服务客户使用无需云服务客户进行自主配置的安全能力的基本要求条款,只适用于云平台。

  云平台为云客户提供的云计算服务,为保障云计算服务能够提供使其相应的安全能力,且需云服务客户自主进行配置的基本要求条款,同时适用于云平台和云服务客户业务系统。

  用于保障云平台和云服务客户业务系统对各自保护对象进行安全防护的基本要求条款,适用于云平台和云服务客户业务系统。

  针对云服务商选择的基本要求条款,只适用于云服务客户业务系统。

测评方案编制

  1. 根据委托测评协议书和填好的调研表格,提取项目来源、被测定级对象与单位其他系统之间的连接情况等

  2. 罗列测评活动所依据的标准

  3. 根据测评项目组成员安排,编制工作安排情况。编制具体测评计划,包括现场工作人员的分工和时间安排

  4. 汇总上述内容形成测评方案

  5. 评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿。然后,测评机构将测评方案提交给测评委托单位签字认可

  6. 根据测评方案制定风险规避实施方案

  7. 测评对象选择的合理性

  8. 测评指标选择的准确性

  9. 测试工具与手段先进、可溯源

  10. 工具测试接入点及扫描路径的合理性及完备性

  11. 测评内容完整性

  12. 风险点查找的全面性

  13. 风险规避措施的合理性及完备性

  14. 时间计划与资源安排合理性

Avatar

Hui.Ke

❤ Cyber Security | Safety is a priority.
Next 【中级】网络安全等级保护政策标准和主要工作