################################################################################
GB/T 28449-2019《信息安全技术 网络安全等级保护测评过程指南》是规定了等级测评过程,是纵向的流程,包括:四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。
上一章我们展开说明了 测评准备活动,包括工作启动、信息收集和分析、工具和表单准备三项主要任务,本章我们说明剩下的三个基本测评活动内容。
################################################################################
6 方案编制活动
6.1 方案编制活动工作流程
方案编制活动的目标是整理测评准备活动中获取的定级对象相关资料,为现场测评活动提供最基本的文档和指导方案。
方案编制活动包括测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制六项主要任务,基本工作流程见图2。
6.2 方案编制活动主要任务
6.2.1 测评对象确定
-
- 根据系统调查结果,分析整个被测定级对象业务流程、数据流程、范围、特点及各个设备及组件的主要功能,确定出本次测评的测评对象。
- 输入:填好的调查表格,各种与被测定级对象相关的技术资料。
- 任务描述:
- a) 识别并描述被测定级对象的整体结构
- 根据调查表格获得的被测定级对象基本情况,识别出被测定级对象的整体结构并加以描述。
- b) 识别并描述被测定级对象的边界
- 根据填好的调查表格,识别出被测定级对象边界及边界设备并加以描述。
- c) 识别并描述被测定级对象的网络区域
- 一般定级对象都会根据业务类型及其重要程度将定级对象划分为不同的区域。
- 根据区域划分情况描述每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。
- d) 识别并描述被测定级对象的主要设备
- 描述系统中的设备时以区域为线索,具体描述各个区域内部署的设备,并说明各个设备主要承载的业务、软件安装情况以及各个设备之间的主要连接情况等。
- e) 确定测评对象
- 结合被测定级对象的安全级别和重要程度,综合分析系统中各个设备和组件的功能、特点,从被测定级对象构成组件的重要性、安全性、共享性、全面性和恰当性等几方面属性确定出技术层面的测评对象,并将与被测定级对象相关的人员及管理文档确定为测评对象。
- 测评对象确定准则和样例见附录 D。
- f) 描述测评对象
- 描述测评对象时,根据类别加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备、安全设备、访谈人员及安全管理文档等。
- 输出/产品:测评方案的测评对象部分。
6.2.2 测评指标确定
-
- 根据被测定级对象定级结果确定出本次测评的基本测评指标,根据测评委托单位及被测定级对象业务自身需求确定出本次测评的特殊测评指标。
- 输入:填好的调查表格,GB17859,GB/T22239,行业规范,业务需求文档。
- 任务描述:
- a) 根据被测定级对象的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,得出被测定级对象的系统服务保证类(A 类)基本安全要求、业务信息安全类(S类)基本安全要求以及通用安全保护类(G 类)基本安全要求的组合情况。
- b) 根据被测定级对象的 A 类、S类及 G 类基本安全要求的组合情况,从 GB/T22239、行业规范中选择相应等级的基本安全要求作为基本测评指标。
- c) 根据被测定级对象实际情况,确定不适用测评指标。
- d) 根据测评委托单位及被测定级对象业务自身需求,确定特殊测评指标。
- e) 对确定的基本测评指标和特殊测评指标进行描述,并分析给出指标不适用的原因。
- 输出/产品:测评方案的测评指标部分。
6.2.3 测评内容确定
-
- 本条确定现场测评的具体实施内容,即单项测评内容。
- 输入:填好的系统调查表格,测评方案的测评对象部分,测评方案的测评指标部分。
- 任务描述:
- 依据 GB/T22239,将前面已经得到的测评指标和测评对象结合起来,将测评指标映射到各测评对象上,然后结合测评对象的特点,说明各测评对象所采取的测评方法。
- 由此构成可以具体实施测评的单项测评内容。
- 测评内容是测评人员开发测评指导书的基础。
- 输出/产品:测评方案的测评实施部分。
6.2.4 工具测试方法确定
-
- 在等级测评中,应使用测试工具进行测试,测试工具可能用到漏洞扫描器、渗透测试工具集、协议分析仪等。
- 物联网、移动互联、工业控制系统的补充测试内容见附录 C。
- 输入:测评方案的测评实施部分,GB/T22239,选用的测评工具清单。
- 任务描述:
- a) 确定工具测试环境,根据被测系统的实时性要求,可选择生产环境或与生产环境各项安全配置相同的备份环境、生产验证环境或测试环境作为工具测试环境。
- b) 确定需要进行测试的测评对象。
- c) 选择测试路径。
- 测试工具的接入采取从外到内,从其他网络到本地网络的逐步逐点接入,即:测试工具从被测定级对象边界外接入、在被测定级对象内部与测评对象不同区域网络及同一网络区域内接入等几种方式。
- d) 根据测试路径,确定测试工具的接入点。
- 从被测定级对象边界外接入时,测试工具一般接在系统边界设备(通常为交换设备)上。
- 在该点接入漏洞扫描器,扫描探测被测定级对象设备对外暴露的安全漏洞情况。
- 在该接入点接入协议分析仪,捕获应用程序的网络数据包,查看其安全加密和完整性保护情况。
- 在该接入点使用渗透测试工具集,试图利用被测定级对象设备的安全漏洞,跨过系统边界,侵入被测定级对象设备。
- 从系统内部与测评对象不同网络区域接入时,测试工具一般接在与被测对象不在同一网络区域的内部核心交换设备上。
- 在该点接入扫描器,直接扫描测试内部各设备对本单位其他不同网络所暴露的安全漏洞情况。
- 在该接入点接入网络拓扑发现工具,探测定级对象的网络拓扑情况。
- 在系统内部与测评对象同一网络区域内接入时,测试工具一般接在与被测对象在同一网络区域的交换设备上。
- 在该点接入扫描器,在本地直接测试各被测设备对本地网络暴露的安全漏洞情况。
- 一般来说,该点扫描探测出的漏洞数应该是最多的,它说明设备在没有网络安全保护措施下的安全状况。
- e) 结合网络拓扑图,描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。
- 输出/产品:测评方案的工具测试方法及内容部分。
6.2.5 测评指导书开发
-
- 测评指导书是具体指导测评人员如何进行测评活动的文档,应尽可能详实、充分。
- 输入:测评方案的单项测评实施部分、工具测试内容及方法部分。
- 任务描述:
- a) 描述单个测评对象,包括测评对象的名称、位置信息、用途、管理人员等信息。
- b) 根据 GB/T28448的单项测评实施确定测评活动,包括测评项、测评方法、操作步骤和预期结果等四部分。
- 测评项是指 GB/T22239中对该测评对象在该用例中的要求,在 GB/T28448中对应每个单项测评中的“测评指标”。
- 测评方法是指访谈、核查和测试三种方法,具体参见附录 E。核查具体到测评对象上可细化为文档审查、实地察看和配置核查,每个测评项可能对应多个测评方法。
- 操作步骤是指在现场测评活动中应执行的命令或步骤,涉及到测试时,应描述工具测试路径及接入点等。
- 预期结果是指按照操作步骤在正常的情况下应得到的结果和获取的证据。
- c) 单项测评一般以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等内容。
- 整体测评则一般以文字描述的方式表述,以测评用例的方式进行组织。
- d) 根据测评指导书,形成测评结果记录表格。
- 输出/产品:测评指导书,测评结果记录表格。
6.2.6 测评方案编制
-
- 测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。
- 测评方案应包括但不局限于以下内容:项目概述、测评对象、测评指标、测评内容、测评方法等。
- 输入:委托测评协议书,填好的调研表格,各种与被测定级对象相关的技术资料,选用的测评工具清单,GB/T22239或行业规范中相应等级的基本要求,测评方案的测评对象、测评指标、单项测评实施部分、工具测试方法及内容部分等。
- 任务描述:
- a) 根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测定级对象与单位其他系统之间的连接情况等。
- b) 根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来。
- c) 参阅委托测评协议书和被测定级对象情况,估算现场测评工作量。
- 工作量根据测评对象的数量和工具测试的接入点及测试内容等情况进行估算。
- d) 根据测评项目组成员安排,编制工作安排情况。
- e) 根据以往测评经验以及被测定级对象规模,编制具体测评计划,包括现场工作人员的分工和时间安排。
- f) 汇总上述内容及方案编制活动的其他任务获取的内容形成测评方案文稿。
- g) 评审和提交测评方案。
- 测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿。
- 然后,测评机构将测评方案提交给测评委托单位签字认可。
- h) 根据测评方案制定风险规避实施方案。
-
- 输出/产品:经过评审和确认的测评方案文本,风险规避实施方案文本。
6.3 方案编制活动输出文档
方案编制活动的输出文档及其内容如表3所示。
6.4 方案编制活动中双方职责
- 测评机构职责:
- a) 详细分析被测定级对象的整体结构、边界、网络区域、设备部署情况等。
- b) 初步判断被测定级对象的安全薄弱点。
- c) 分析确定测评对象、测评指标、确定测评内容和工具测试方法。
- d) 编制测评方案文本,并对其进行内部评审。
- e) 制定风险规避实施方案。
- 测评委托单位职责:
- a) 为测评机构完成测评方案提供有关信息和资料。
- b) 评审和确认测评方案文本。
- c) 评审和确认测评机构提供的风险规避实施方案。
- d) 若确定不在生产环境开展测评,则部署配置与生产环境各项安全配置相同的备份环境、生产验证环境或测试环境作为测试环境。
######################################################################################
愿各位在进步中安心。
2025.05.23禾木
可联系作者付费获取,定价69.9元。包括如下内容:1. 信息安全技术全套标准指南
- ———GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》
- ———GB/T25058 信息安全技术 信息系统安全等级保护实施指南;
- ———GB/T22240 信息安全技术 信息系统安全等级保护定级指南;
- ———GB/T25070 信息安全技术 网络安全等级保护安全设计技术要求;
- ———GB/T28448 信息安全技术 网络安全等级保护测评要求;
- ———GB/T28449 信息安全技术 网络安全等级保护测评过程指南。
2. 等保2.0标准执行之高风险判定
3. GBT 22239-2019 《信息安全技术 网络安全等级保护基础要求》一到四级对比表格(按照十大方面整理,每方面包含四级要求并标记高风险项)
4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护安全设计技术要求》一到四级对比表格(在基础要求中添加安全设计技术要求,安全设计技术要求主要用于开发人员和产品经理)
5. GBT 36958—2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》一到四级对比表格(说明安全管理中心技术要求:系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求)
6. GBT 22239-2019+GBT 28448-2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护测评要求》一到四级对比表格(在基础要求中添加等保测评要求,可用于实施过程)
7. 等保项目预调研情况汇报表(博主整理word,用于项目前期调研和高风险项判定,分为2级和3级两个文档,并根据项目经验整理和标准整理前期项目调研内容)
部分材料下载链接:
1、等保二级高风险项核对表下载链接:
2、GBT 36958-2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》1~4级拆分表下载链接:
######################################################################################
