• QQ咨询

  • 在线咨询
  • 技术支持QQ
  • welcome
  • 培训咨询QQ
  • welcome

. 首页 > 关于SBR > 新闻中心

《网络安全等级保护测评过程指南》修订解读

 

 

文章来源于公安部信息安全等级保护评估中心 袁静

 

国家标准《GB/T 28448-2012信息安全技术 信息系统安全等级保护测评过程指南》自发布以来,为网络运营者开展安全自查以及等级测评机构开展等级测评起到了很好的指导作用,较好地支撑了等级保护测评体系建设。

但是,随着云计算技术、工业控制技术、移动互联技术、大数据技术、IPv6技术等新技术新应用的蓬勃发展,相应的等级保护对象的存在形态发生了变化,很多等级保护对象的管理和运维涉及到多责任方。比如,某机构租用了IDC的机房,委托某云服务商在该机房内建设云计算平台基础设施,而应用层面则由机构管辖范围内的多家单位负责建设。其建设和运维就涉及到了某机构、云服务商、下属单位等三方。那么,针对这种多方参与管理的情况,等级测评涉及各方应该如何配合,新技术新应用定级对象在实施等级测评时的方法和测评对象都将发生变化。

为更好的指导新形势下的等级测评实施,公安部信息安全等级保护评估中心于2013年申请修订《GB/T 28448-2012信息安全技术 信息系统安全等级保护测评过程指南》(以下简称《测评过程指南》)。

一、标准修订思路

本次修订和调整《测评过程指南》,重点考虑了以下几个方面:

研究分析基于无线网络技术、云计算技术、IPv6等新技术,以及物联网、工业控制系统等新应用的应用方式和应用场景,研究新环境和新技术下定级对象的存在形态、部署方式、安全设备和组件部署情况等对等级测评过程以及具体任务的影响,并给予相应的测评指导;

参考新修订的《网络安全等级保护基本要求》和《网络安全等级保护测评要求》标准,调整本标准的相关内容,保持等级保护系列标准的一致性;

参考“关于传发《信息安全等级保护测评报告模版(2015版)》的通知(公信安[2014]2866号)”,并与等级保护主管部门密切联系,了解跟踪国家网络空间保卫和等级保护制度完善发展的工作思路,将等级测评环节的相关要求落实在标准中;

根据几年来的标准应用实践和经验,修订原标准中不通用的等级测评过程及任务相关内容,标准正文内容全部改写为通用性的规范内容,特殊性内容放在附录中。

二、标准修订主要内容

修订后的《测评过程指南》从受委托测评机构对定级对象首次开展等级测评角度,描述了最全面的工作流程和任务。如果被测定级对象已经实施过一次(或多次)等级测评,测评机构和测评人员可根据上次等级测评中存在的问题和被测定级对象的实际情况调整部分工作任务内容。

本次标准修订的主要内容分为以下几个方面:

1.名称的变化

《中华人民共和国网络安全法》(以下简称“网络安全法”)于2017年6月1日起实施。网络安全法第21条明确“国家实行网络安全等级保护制度”,第31条明确“国家对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。为了与网络安全法提出的“网络安全等级保护制度”保持一致,作为支撑性的主要技术标准,GB/T 28449的名称由原来的“信息系统安全等级保护测评过程指南”改为“网络安全等级保护测评过程指南”。

2.等级测评基本流程的变化

等级测评实施的基本工作流程中,报告编制活动的工作任务从原来的6个调整为7个(见图1),增加了系统安全保障评估的工作任务。该项任务主要是综合单项测评和整体测评结果,计算修正后的安全控制点得分和层面得分,并根据得分情况从正向对被测定级对象的安全保障情况进行总体评价。

微信图片_20171012154505.png

3.新技术新应用相关内容补充

考虑到云计算等新技术新应用造成的测评多方参与的情况,在测评准备活动、现场测评活动的双方职责中增加了协调多方的职责,并且在一些涉及到多方的工作任务中也予以明确。

另外,针对云计算、物联网、移动互联网、工业控制系统、IPv6等定级对象开展安全测评需要额外重点关注的特殊任务及要求进行系统归纳,重点在以下方面给予补充指导:

信息收集和分析任务中应扩充收集的资料和了解的系统情况,例如针对云计算平台的等级测评,还应收集运营机构的管理架构、技术实现机制及架构、运行情况、云计算平台的定级情况、云计算平台的等级测评结果等;针对云租户系统的等级测评,测评机构收集的相关资料还应包括云计算平台运营机构与租户的关系、定级对象的相关情况等;

应补充的测评对象,例如云计算平台涉及的虚拟设备(虚拟机、虚拟网络设备、虚拟安全设备等)、云操作系统、云业务管理平台、虚拟机监视器、云租户网络控制器、云应用开发平台等;

不同领域的特殊工具测试方法,例如物联网工具测试时还应增加感知层渗透测试。即:应基于感知层应用场景,针对各类感知层设备(如智能卡、RFID标签、读写器等)开展嵌入式软件安全测试以及旁路攻击、置乱攻击等方面的测试。

4.与《等级测评报告模版》新版本保持一致

将《等级测评报告模版》新版本与老模版的变动考虑在内,比如单项测评结果判定方法中增加定量打分的内容;等级测评结论判定分为定性和定量两种方式进行判定,若存在高风险漏洞或分数不及格,等级测评结论将判定为不符合。

另外,根据《测评要求》,对于单个要求项的测评方法包括了访谈、核查和测试三种,相应地,在单项测评结果判定时也应综合考虑三种测评方法的结果,所以,本次修订建议工具验证测试结果应根据其测试内容和漏洞影响的要求项,将测试结果与访谈和核查结果融合,共同形成该项的单项测评结果。

5.提升标准内容的通用性

为保证标准内容具有更强的适用性,将标准中不通用的内容进行修改和完善。例如将原标准“a) 测评机构收集等级测评需要的相关资料,包括测评委托单位的管理架构、技术体系、运行情况等方针文件、规章制度及相关过程管理记录、被测信息系统总体描述文件、详细描述文件、定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。”改为“a)测评机构收集等级测评需要的相关资料,包括测评委托单位的管理架构、技术体系、运行情况等;”。

总之,《测评过程指南》规范了网络安全等级保护测评的工作过程,规定了测评活动及其工作任务,希望修订后的标准能够更适用,对测评机构、定级对象的主管部门及网络运营者开展测试评价工作有更强的指导作用。