以往讲解了等级保护工作的定级、备案、建设和整改的工作流程和内容。前3个流程由系统运营商和用户完成,等级评定的主体是评定机构。根据评估结果,可以指导系统运营商和用户的下一步安全建设和整改工作,也可以为公安机关的监督检查工作提供参考。
文中分析关键经过讲解了网络信息安全等级保护环境评估的基本要素、目标、评估依据、风险及规避措施。
一、网络安全等级评估的基本概念
网络安全等级保护评估(以下简称等级评估)是指评估机构按照国家网络安全等级保护体系及相关管理规范和技术标准,对非国家秘密信息系统的安全等级保护状况进行检测和评估的活动。
等级评估机构是指具备本规范基本条件,经省级以上网络安全等级保护协调(领导)小组办公室(以下简称“候保办”)推荐,经过能力评估和审核,从事等级评估工作的机构。
二、网络安全等级保护评估的目的和作用
目的:
通过网络安全等级保护评估活动,可以分析和确认信息系统安全保护系统的能力,发现安全隐患,帮助运营商和用户认识不足,及时提高和有效提高网络安全保护水平,符合国家相关等级保护规定的要求,进行信息系统安全建设合规性评估。
角色:
(一)掌握信息系统的安全形势,检查信息系统的安全风险和薄弱环节,明确信息系统安全建设的整改要求。
(二)衡量企业信息进行系统网络安全防护管理控制措施和技术发展措施是否可以满足等级防护的基本要求,是否具有相应的安全防护能力。
等级评定结果为公安机关和其他安全监管部门进行监督、检查和指导提供参考。
三、网络安全等级保护评估的政策和标准依据
《网络安全等级保护管理办法》第14条规定,信息系统建设完成后,运行使用单位或者其主管部门应当根据《信息系统安全等级保护评估要求》等技术标准,选择符合本办法规定条件的评估机构,定期对信息系统安全等级进行评估。
《信息进行安全管理技术企业网络系统安全等级保护测评过程指南》 GBT 28449-2018
《信息安全技术网络安全等级保护基本要求》GB 22239-2019
《信息安全技术网络安全等级保护测评要求》gbt 28448-2019评价机构按照《管理办法》、《测评过程指南》、《基本要求》、《测评要求》、《基本要求》等国家标准进行等级保护评价。
其中,《测评技术要求》描述了等级开展评诂管理工作的目标和內容,《基本发展规定》描述了《基本能力规定》中各规定项的具体分析评诂研究思路、流程和分辨根据,用以评诂数据信息网络系统的安全防护措施是不是合乎《测评过程指南》。《测评规定》规定了等级评定的基本流程、流程、任务和工作产品,规范了评定机构的等级评定工作,对等级评定过程中何时及其如何使用0103010提出了指导性建议。相同具体指导网络安全等级保护评诂。四、网络安全等级保护评诂工作职责
网络安全等级保护的评诂內容包含了涉及到的重要信息资金,分成技术和监管两个层次。
技术性企业方面主要是对网络和主机存有的安全信息技术发展风险性问题开展评诂和剖析,包含国家安全物理教学环境、安全通信网络、安全地域边界、安全计算环境和安全生产监管活动中心五项规定;管理制度方面包含从安全质量管理理论体系、安全管理会计机构、安全管理专业人员、安全施工成本管理、安全运作维护社会管理、其他运作管理规范等角度剖析业务运作监管中的安全缺欠。
通过对上述安全威胁的剖析和总结,形成安全评估报告。根据安全评估报告和当前安全形势,提出相应的安全整改建议,具体指导下一步网络安全建设。
动态(verb的缩写)网络安全等级保护评诂的风险性引进
在现场评诂中,必须对设施和系统开展必须的验证检测,有些检测內容必须在计算机上开展验证,检查一些信息内容,很有可能会干扰系统运作,乃至有可能出现运行错误;当应用测试工具开展漏洞扫描、性能测试、渗透测试等时。很有可能会干扰网络系统的负荷,渗透攻击检测也很有可能会干扰服务器和系统的正常运作。渗透过程中应用的测试工具没有清洗干净或是清洗不彻底,或是测试人员的电脑有木马程序,存有植入木马的风险性;评诂人员有意或无意泄露被测系统的网络拓扑、业务流程、业务数据、安全机制、安全隐患及有关文本文档信息内容等状态信息内容,存有信息泄露风险性。
不及物动词网络安全等级保护评诂的风险规避措施
签署委托评诂协议
在检测工作正式开始以前,测试人员和被评诂单位必须以委托协议的方式明确目标、范围、人员组成、计划安排、实施流程和规定,及其双方的责任和义务,便于测试人员和被评诂单位双方就评诂过程中的问题达成共识。
签署保密协议
评诂有关方应当签订合乎法律规范的保密协议,保密协议规定了有关方在保密方面的权利和义务。
现场评诂风险规避
在开展现场评诂以前,签署现场评诂授权书,规定被检测方备份系统和数据,为很有可能发生的事件制订应急响应计划,在开展验证检测和工具检测时防止高峰工作时间或与生产环境一致的模拟环境中,在机器验证检测中,评估器指示必须验证的內容,系统操作技术人员执行实际操作。
评诂站点恢复
评诂完成后,测试人员将返回评诂过程中的所有权限,并将评诂过程中借用的有关数据和文本文档返回到预评诂状态。