等保測評概述

等級測評是測評機構依據國家信息安全等級保護制度規定，受有關單位委託，按照有關管理規範和技術標準，運用科學的手段和方法，對處理特定應用的信息系統，採用安全技術測評和安全管理測評方式，對保護狀況進行檢測評估，判定受測系統的技術和管理級別與所定安全等級要求的符合程度，基於符合程度給出是否滿足所定安全等級的結論，針對安全不符合項提出安全整改建議。

科學的手段和方法採用6種方式，逐步深化的測試手段

· 調研訪談（業務、資產、安全技術和安全管理）；

· 查看資料（管理制度、安全策略）；· 現場觀察（物理環境、物理部署）；· 查看配置（主機、網路、安全設備）；· 技術測試（漏洞掃描）；· 評價（安全測評、符合性評價）。

安全技術測評:安全技術測評包括：物理安全、網路安全、主機安全、應用安全、數據安全。

安全管理測評:

安全管理測評包括：安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

信息系統全生命周期

信息系統全生命周期分為「信息系統定級、總體安全規劃、安全設計與實施、安全運行維護、信息系統終止」等五個階段。

信息系統定級定級備案是信息安全等級保護的首要環節。信息系統定級工作應按照「自主定級、專家評審、主管部門審批、公安機關審核」的原則進行。在等級保護工作中，信息系統運營使用單位和主管部門按照「誰主管誰負責，誰運營誰負責」的原則開展工作，並接受信息安全監管部門對開展等級保護工作的監管。總體安全規劃總體安全規劃階段的目標是根據信息系統的劃分情況、信息系統的定級情況、信息系統承載業務情況，通過分析明確信息系統安全需求，設計合理的、滿足等級保護要求的總體安全方案，並制定出安全實施計劃，以指導後續的信息系統安全建設工程實施。對於已運營（運行）的信息系統，需求分析應當首先分析判斷信息系統的安全保護現狀與等級保護要求之間的差距。安全設計與實施

安全設計與實施階段的目標是按照信息系統安全總體方案的要求，結合信息系統安全建設項目計劃，分期分步落實安全措施

安全運行維護安全運行與維護是等級保護實施過程中確保信息系統正常運行的必要環節，涉及的內容較多，包括安全運行與維護機構和安全運行與維護機制的建立，環境、資產、設備、介質的管理，網路、系統的管理，密碼、密鑰的管理，運行、變更的管理，安全狀態監控和安全事件處置，安全審計和安全檢查等內容。本標準並不對上述所有的管理過程進行描述，希望全面了解和控制安全運行與維護階段各類過程的本標準使用者可以參見其它標準或指南信息系統終止信息系統終止階段是等級保護實施過程中的最後環節。當信息系統被轉移、終止或廢棄時，正確處理系統內的敏感信息對於確保機構信息資產的安全是至關重要的。在信息系統生命周期中，有些系統並不是真正意義上的廢棄，而是改進技術或轉變業務到新的信息系統，對於這些信息系統在終止處理過程中應確保信息轉移、設備遷移和介質銷毀等方面的安全實施的基本流程在安全運行與維護階段，信息系統因需求變化等原因導致局部調整，而系統的安全保護等級並未改變，應從安全運行與維護階段進入安全設計與實施階段，重新設計、調整和實施安全措施，確保滿足等級保護的要求；但信息系統發生重大變更導致系統安全保護等級變化時，應從安全運行與維護階段進入信息系統定級階段，重新開始一輪信息安全等級保護的實施過程。

等保測評工作流程

準備階段項目啟動· 組建評測項目組。· 編製項目計劃書。· 確定評測委託單位應提供的資料。信息收集分析· 查閱定級報告、系統描述文件、系統安全設計方案、自查或上次等級測評報告(如果做過資產或等級測評)等資料。· 根據查閱到的系統情況調整調查表內容。· 發放調查表給測評委託單位。

工具和表單準備

· 調試測評工具。· 模擬被測系統搭建測評環境。· 模擬測評。· 準備列印表單。方案編製階段測評對象的確定· 識別被測系統等級。· 識別被測系統的整體結構。· 識別被測系統的邊界。

· 識別被測系統的網路區域。

測評指標確定· 識別被測系統業務信息和系統服務安全保護等級。· 選擇對應等級的ASG三類安全要求作為測評指標。註：ASGA:保護系統連續正常的運行，免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求;--電力供應、資源控制、軟體容錯等。S:保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權修改的信息安全類要求;--物理訪問控制、邊界完整性檢查、身份鑒別、通信完整性、保密性等。G:通用安全保護類要求。--技術類中的安全審計、管理制度等。測試工具接入點確定· 在測評中，需要使用測試工具進行測試，測試工具可能用到漏洞掃描器、滲透測試工具集、協議分析儀等。

· 確定需要進行測試的測評對象。

· 選擇測試路徑。· 根據測試路徑，確定測試工具的接入點。測評指導書開發測評指導書是具體指導測評人員如何進行測評活動的文檔，是現場測評的工具、方法和操作步驟等的詳細描述，是保證測評活動規範的根本。可從已有的測評指導書中選取與測評對象對應的手冊。測評方案編製測試方案是等級測評工作實施的基礎，指導等級測評工作的現場實施活動。測評方案應該包括但不局限於:項目概述、測評對象、測評指標、測評內容、測評方法等。現場評測階段現場評測階段通過與評測委託單位進行溝通和協調，為現場測評的順利開展打下良好基礎，依據測評方案實施現場測評工作，將測評方案和測評方法等內容具體落實到現場測評活動中。現場測評工作應取得報告編製活動所需的、足夠的證據和資料。現場評測準備

· 測評委託單位對風險告知書籤字確認，了解測評過程中存在的安全風險，做好相應的應急和備份工作。

· 召開測評現場啟動會，測評機構介紹現場測評工作安排，雙方對測評計劃和測評方案中的測評內容和方法進行溝通。· 雙方確認配合人員，環境等資源。現場評測和結果記錄· 依據測評指導書實施測評。· 記錄測評獲取的證據、資料等信息。· 匯總測評記錄，如果需要，實施補充測評。

實施測評

· 訪談-訪談是指測評人員通過與信息系統有關人員（個人/群體）進行交流、討論等活動，獲取相關證據以表明信息系統安全保護措施是否有效落實的一種方法。在訪談範圍上，應基本覆蓋所有的安全相關人員類型，在數量上可以抽樣。

· 檢查

-檢查是指測評人員通過對測評對象進行觀察、查驗、分析等活動，獲取相關證據以證明信息系統安全保護措施是否有效實施的一種方法。在檢查範圍上，應基本覆蓋所有的對象種類（設備、文檔、機制等），數量上可以抽樣。· 測試-測試是指測評人員針對測評對象按照預定的方法/工具使其產生特定的響應，通過查看和分析響應的輸出結果，獲取證據以證明信息系統安全保護措施是否得以有效實施的一種方法。在測試範圍上，應基本覆蓋不同類型的機制，在數量上可以抽樣。

結果確認和資料歸還

· 召開現場測評結束會。· 測評委託單位確認測評過程中獲取的證據和資料的正確性，簽字認可。· 測評人員歸還借閱的各種資料。

報告編製階段

在現場測評工作結束後，測評機構應對現場測評獲得的測評結果進行匯總分析，形成等級測評結論，並編製測評報告。

單項測評結果判定

· 分析測評項所對抗威脅的存在情況。· 分析單個測評項對應的多個測評結果的符合情況。

單元測評結果判定

· 匯總每個測評對象在每個測評單元的單項測評結果。· 判定每個測評對象的單元測評結果。

整體測評

分析不符合和部分符合的測評項與其他測評項(包括單元內、層面間、區域間)之間的關聯關係及對結果的影響情況。

風險分析

· 判斷整體評測後的單元測評結果匯總中部分符合項或不符合項所產生的安全問題被威脅利用的可能性(取值範圍為高、中、低)。· 判斷整體測評後的單元測評結果匯總中部分符合項或不符合項所產生的安全問題被威脅利用後，對被測信息系統的業務信息安全和系統服務安全造成的影響程度，影響程度取值範圍為高、中、低。· 結合上兩步結果，對評測信息系統面臨的安全風險進行賦值，風險值的取值範圍為高、中、低。· 結合被測信息系統的安全保護等級和對風險分析結果進行評價，即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成的風險。

等級測評結論形成

統計再次匯總後的單項測評結果為部分符合和不符合項的項數，形成等級測評結論。

測評報告編製

測評報告應包括：測評項目概述、被測信息系統情況、等級測評範圍和方法、單元測評、整體測評、測評結果匯總、風險分析和評價、等級測評結論、安全建設整改建議等。

等保實施計劃

測評內容和方法

物理安全

物理安全測評內容及方法：物理安全測評基本要求和實現方法：

網路安全

網路安全測評內容及方法：

網路安全測評基本要求和實現方法 ：

主機安全

主機安全測評內容及方法：

主機安全測評基本要求和實現方法：

應用安全

應用安全測評內容及方法：

應用安全測評基本要求和實現方法：

數據安全

數據安全測評內容及方法：

數據安全測評基本要求和實現方法：

提示：

網路安全、數據安全部分，通過用WAF實現防護，如：ShareWAF。ShareWAF - 不只是WAF！?

www.sharewaf.com

主機安全通常用防火牆實現防護，防病毒，防DDOS等，可選擇綠盟、啟盟之類的防火牆。

綠盟科技官網?

www.nsfocus.com.cn

安全管理

安全管理制度測評內容及方法：

安全管理機構測評內容及方法：

人員安全管理測評內容及方法：

系統方面

系統建設管理測評內容和方法：

系統運維管理測評內容和方法：

安全措施

總結：

等保即將進入2.0時代，並且預測等保2.0帶來的新增市場需求超過200億，因此本人通過收集資料整理了這篇簡單了解等級保護測評！

推薦閱讀：

相关文章