等保系列之——网络安全等级保护测评工作流程及工作内容

#等保测评##网络安全#

一、网络安全等级保护测评过程概述

网络安全等级保护测评工作过程包括四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评相关方之间的沟通与洽谈应贯穿整个测评过程。每一项活动有一定的工作任务。如下表。

01基本工作流程

①测评准备活动

本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。

②方案编制活动

本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书，形成测评方案。

③现场测评活动

本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。

④分析与报告编制活动

本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息安全技术网络安全等级保护测评要求》GB/T28448-2023的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。

02工作方法

网络安全等级保护测评主要工作方法包括访谈、文档审查、配置检查、工具测试和实地察看。

访谈是指测评人员与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。访谈的对象是人员，访谈涉及的技术安全和管理安全测评的测评结果，要提供记录或录音。典型的访谈人员包括：网络安全主管、信息系统安全管理员、系统管理员、网络管理员、资产管理员等。

文档审查主要是依据技术和管理标准，对被测评单位的安全方针文件，安全管理制度，安全管理的执行过程文档，系统设计方案，网络设备的技术资料，系统和产品的实际配置说明，系统的各种运行记录文档，机房建设相关资料，机房出入记录。检查信息系统建设必须具有的制度、策略、操作规程等文档是否齐备，制度执行情况记录是否完整，文档内容完整性和这些文件之间的内部一致性等问题。

配置检查是指利用上机验证的方式检查网络安全、主机安全、应用安全、数据安全的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），并记录测评结果。配置检查是衡量一家测评机构实力的重要体现。检查对象包括数据库系统、操作系统、中间件、网络设备、网络安全设备。

工具测试是利用各种测试工具，通过对目标系统的扫描、探测等操作，使其产生特定的响应等活动，通过查看、分析响应结果，获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。

实地查看根据被测系统的实际情况，测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。

二、网络安全等级保护测评工作流程

01测评准备活动阶段

首先，被测评单位在选定测评机构后，双方需要先签订《测评服务合同》，合同中对项目范围（系统数量）、项目内容（差距测评？验收测评？协助整改？）、项目周期（什么时间进场？项目计划做多长时间？）、项目实施方案（测评工作的步骤）、项目人员（项目实施团队人员）、项目验收标准、付款方式、违约条款等等内容逐一进行约定。

签订《测评服务合同》同时，测评机构应签署《保密协议》。《保密协议》一般分两种，一种是测评机构与被测单位（公对公）签署，约定测评机构在测评过程中的保密责任；一种是测评机构项目组成员与被测单位之间签署。

①项目启动会

在双方签完委托测评合同之后，双方即可约定召开项目启动会时间。项目启动会的目的，主要是由甲方领导对公司内部涉及的部门进行动员、提请各相关部门重视、协调内部资源、介绍测评方项目实施人员、计划安排等内容，为整个等级测评项目的实施做基本准备。

②系统情况调研

启动会后，测评方开展调研，通过填写《信息系统基本情况调查表》，掌握被测系统的详细情况，为编制测评方案做好准备。测评项目组进场前，应熟悉被测定级对象，调试测评工具，准备各种表单。

02方案编制活动阶段

方案编制活动的目的是整理测评准备活动中获取的定级对象资料，为现场测评活动提供最基础文档和测评方案。

方案编制活动包括测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发、测评方案编制六项主要任务。

①确定测评对象。根据系统调查结果，分析整个被测定级对象业务流程、数据流程、范围、特点确定测评对象，一般采用抽查的方法，即：抽查信息系统中具有代表性的组件作为测评对象。

②确定测评指标及测评内容。根据被测定级对象结果确定测评的基本指标，根据测评委托单位定级对象业务自身需求确定特殊测评指标。

③确定测评工具接入点。一般来说，测评工具的接入采取从外到内，从其他网络到本地网段的逐步逐点接入，即：测评工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。从被测系统边界外接入时，测评工具一般接在系统边界设备（通常为交换设备）上。在该点接入漏洞扫描器，扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况；从系统内部与测评对象不同网段接入时，测评工具一般接在与被测对象不在同一网段的内部核心交换设备上；在系统内部与测评对象同一网段内接入时，测评工具一般接在与被测对象在同一网段的交换设备上；结合网络拓扑图，采用图示的方式描述测评工具的接入点、测评目的、测评途径和测评对象等相关内容。

④确定测评内容与方法。将测评对象与测评指标进行映射构成测评内容，并针对不同的测评内容合理地选择测评方法形成具体的测评实施内容。

⑤确定测评指导书。测评指导书是指导和规范测评人员现场测评活动的文档，包括测评项、测评方法、操作步骤和预期结果等四部分。在测评对象和指标确定的基础上，将测评指标映射到各测评对象上，然后结合测评对象的特点，选择应采取的测评方法并确定测评步骤和预期结果，形成不同测评对象的具体测评指导书。

⑥确定测评方案。综合以上结果内容以及测评工作计划形成测评方案，测评方案主要内容包括测评概述、目标系统概述、定级情况、网络结构、主机设备情况、应用情况、测评方法与工具、测评内容、时间安排、风险揭示与规避等。

03现场测评活动

现场测评活动通过与测评委托单位进行沟通和协调，为现场测评的顺利开展打下良好基础，然后依据测评方案实施现场测评工作，将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。

现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。

①现场测评准备

为保证测评机构能够顺利实施测评，测评准备工作需要包括以下内容：

●测评委托单位签署现场测评授权书；

●召开测评现场首次会；

●测评双方确认现场测评需要的各种资源，包括测评委托单位的配合人员和需要提供的测评条件等，确认被测系统已备份过系统及数据；

●测评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。

②现场测评和结果记录

现场测评覆盖到被测系统安全技术的5个层面和安全管理的5方面。安全技术的5个层面具体为：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；安全管理的5方面具体为：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

③结果确认和资料归还

现场测评结束时，需要做好记录和确认工作，并将测评的结果征得评测双方认同确认。主要包括测评人员在现场测评完成之后，应首先汇总现场测评的测评记录，对漏掉和需要进一步验证的内容实施补充测评；召开测评现场结束会，测评双方对测评过程中发现的问题进行现场确认。测评机构归还测评过程中借阅的所有文档资料，并由测评委托单位文档资料提供者签字确认。

04报告编制活动

测评人员在初步判定单项测评结果后，还需进行单元测评结果判定、整体测评、系统安全保障评估等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。

三、测评委托单位需要配合的工作

测评准备阶段：

①被测方成立项目组，并任命项目经理；

②向测评机构介绍本单位的信息化建设状况与发展情况；

④为测评人员的信息收集提供支持和协调；

⑤准确填写信息系统基本信息调查表；

⑥根据被测系统的具体情况，如业务运行高峰期、网络布置情况等，为测评时间安排提供适宜的建议；

方案编制阶段：

①为测评机构完成测评方案提供有关信息和资料；

②评审和确认测评方案文本。

现场测评阶段：

①此阶段工作测评方人员需要在客户现场完成。需要被测方提供办公位（基本的办公环境）。

②备案单位需要机房管理员、网络管理员、安全主管、系统管理员、系统开发人员、运维人员等进行配合。

③测评前备份系统和数据，并确认被测设备状态完好；

④协调被测系统内部相关人员的关系，配合测评工作的开展；

⑤相关人员回答测评人员的问询，对一些需要验证的内容上机进行操作；

⑥相关人员确认测试前协助测评人员实施工具测试并提供有效建议，降低安全测评对系统运行的影响；

⑦相关人员对测评结果进行确认；

⑧相关人员确认工具测试后被测设备的状态完好。

报告编制阶段：

①签收测评报告；

②向公安机关递交测评报告。