################################################################################
GB/T 28449-2019《信息安全技术 网络安全等级保护测评过程指南》是规定了等级测评过程,是纵向的流程,包罗:四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。
上一章我们展开说明了 测评准备活动,包罗工作启动、信息网络和分析、工具和表单准备三项重要任务,本章我们说明剩下的三个基本测评活动内容。
################################################################################
6 方案编制活动
6.1 方案编制活动工作流程
方案编制活动的目标是整理测评准备活动中获取的定级对象相干资料,为现场测评活动提供最基本的文档和指导方案。
方案编制活动包罗测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制六项重要任务,基本工作流程见图2。
6.2 方案编制活动重要任务
6.2.1 测评对象确定
- 根据系统调查效果,分析整个被测定级对象业务流程、数据流程、范围、特点及各个设备及组件的重要功能,确定出本次测评的测评对象。
- 输入:填好的调查表格,各种与被测定级对象相干的技术资料。
- 任务形貌:
- a) 辨认并形貌被测定级对象的团体结构
- 根据调查表格得到的被测定级对象基本情况,辨认出被测定级对象的团体结构并加以形貌。
- b) 辨认并形貌被测定级对象的边界
- 根据填好的调查表格,辨认出被测定级对象边界及边界设备并加以形貌。
- c) 辨认并形貌被测定级对象的网络地区
- 一般定级对象都会根据业务类型及其重要程度将定级对象划分为不同的地区。
- 根据地区划分情况形貌每个地区内的重要业务应用、业务流程、地区的边界以及它们之间的连接情况等。
- d) 辨认并形貌被测定级对象的重要设备
- 形貌系统中的设备时以地区为线索,具体形貌各个地区内部署的设备,并说明各个设备重要承载的业务、软件安装情况以及各个设备之间的重要连接情况等。
- e) 确定测评对象
- 结合被测定级对象的安全级别和重要程度,综合分析系统中各个设备和组件的功能、特点,从被测定级对象构成组件的重要性、安全性、共享性、全面性和恰当性等几方面属性确定出技术层面的测评对象,并将与被测定级对象相干的人员及管理文档确定为测评对象。
- 测评对象确定准则和样例见附录 D。
- f) 形貌测评对象
- 形貌测评对象时,根据种别加以形貌,包罗机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备、安全设备、访谈人员及安全管理文档等。
- 输出/产品:测评方案的测评对象部门。
6.2.2 测评指标确定
- 根据被测定级对象定级效果确定出本次测评的基本测评指标,根据测评委托单元及被测定级对象业务自身需求确定出本次测评的特别测评指标。
- 输入:填好的调查表格,GB17859,GB/T22239,行业规范,业务需求文档。
- 任务形貌:
- a) 根据被测定级对象的定级效果,包罗业务信息安全保护等级和系统服务安全保护等级,得出被测定级对象的系统服务保证类(A 类)基本安全要求、业务信息安全类(S类)基本安全要求以及通用安全保护类(G 类)基本安全要求的组合情况。
- b) 根据被测定级对象的 A 类、S类及 G 类基本安全要求的组合情况,从 GB/T22239、行业规范中选择相应等级的基本安全要求作为基本测评指标。
- c) 根据被测定级对象实际情况,确定不适用测评指标。
- d) 根据测评委托单元及被测定级对象业务自身需求,确定特别测评指标。
- e) 对确定的基本测评指标和特别测评指标举行形貌,并分析给出指标不适用的原因。
- 输出/产品:测评方案的测评指标部门。
6.2.3 测评内容确定
- 本条确定现场测评的具体实施内容,即单项测评内容。
- 输入:填好的系统调查表格,测评方案的测评对象部门,测评方案的测评指标部门。
- 任务形貌:
- 依据 GB/T22239,将前面已经得到的测评指标和测评对象结合起来,将测评指标映射到各测评对象上,然后结合测评对象的特点,说明各测评对象所采取的测评方法。
- 由此构成可以具体实施测评的单项测评内容。
- 测评内容是测评人员开发测评指导书的底子。
- 输出/产品:测评方案的测评实施部门。
6.2.4 工具测试方法确定
- 在等级测评中,应利用测试工具举行测试,测试工具大概用到漏洞扫描器、排泄测试工具集、协议分析仪等。
- 物联网、移动互联、工业控制系统的增补测试内容见附录 C。
- 输入:测评方案的测评实施部门,GB/T22239,选用的测评工具清单。
- 任务形貌:
- a) 确定工具测试环境,根据被测系统的实时性要求,可选择生产环境或与生产环境各项安全设置雷同的备份环境、生产验证环境或测试环境作为工具测试环境。
- b) 确定须要举行测试的测评对象。
- c) 选择测试路径。
- 测试工具的接入采取从外到内,从其他网络到本地网络的逐步逐点接入,即:测试工具从被测定级对象边界外接入、在被测定级对象内部与测评对象不同地区网络及同一网络地区内接入等几种方式。
- d) 根据测试路径,确定测试工具的接入点。
- 从被测定级对象边界外接入时,测试工具一般接在系统边界设备(通常为交换设备)上。
- 在该点接入漏洞扫描器,扫描探测被测定级对象设备对外袒露的安全漏洞情况。
- 在该接入点接入协议分析仪,捕获应用步伐的网络数据包,查看其安全加密和完备性保护情况。
- 在该接入点利用渗透测试工具集,试图利用被测定级对象设备的安全漏洞,跨过系统边界,侵入被测定级对象设备。
- 从系统内部与测评对象不同网络地区接入时,测试工具一般接在与被测对象不在同一网络地区的内部核心交换设备上。
- 在该点接入扫描器,直接扫描测试内部各设备对本单元其他不同网络所袒露的安全漏洞情况。
- 在该接入点接入网络拓扑发现工具,探测定级对象的网络拓扑情况。
- 在系统内部与测评对象同一网络地区内接入时,测试工具一般接在与被测对象在同一网络地区的交换设备上。
- 在该点接入扫描器,在本地直接测试各被测设备对本地网络袒露的安全漏洞情况。
- 一般来说,该点扫描探测出的漏洞数应该是最多的,它说明设备在没有网络安全保护步伐下的安全状况。
- e) 结合网络拓扑图,形貌测试工具的接入点、测试目标、测试途径和测试对象等相干内容。
- 输出/产品:测评方案的工具测试方法及内容部门。
6.2.5 测评指导书开发
- 测评指导书是具体指导测评人员怎样举行测评活动的文档,应尽大概详实、充分。
- 输入:测评方案的单项测评实施部门、工具测试内容及方法部门。
- 任务形貌:
- a) 形貌单个测评对象,包罗测评对象的名称、位置信息、用途、管理人员等信息。
- b) 根据 GB/T28448的单项测评实施确定测评活动,包罗测评项、测评方法、操作步调和预期效果等四部门。
- 测评项是指 GB/T22239中对该测评对象在该用例中的要求,在 GB/T28448中对应每个单项测评中的“测评指标”。
- 测评方法是指访谈、核查和测试三种方法,具体参见附录 E。核查具体到测评对象上可细化为文档审查、实地察看和设置核查,每个测评项大概对应多个测评方法。
- 操作步调是指在现场测评活动中应执行的命令或步调,涉及到测试时,应形貌工具测试路径及接入点等。
- 预期效果是指按照操作步调在正常的情况下应得到的效果和获取的证据。
- c) 单项测评一般以表格形式设计和形貌测评项、测评方法、操作步调和预期效果等内容。
- 团体测评则一般以文字形貌的方式表述,以测评用例的方式举行构造。
- d) 根据测评指导书,形成测评效果记录表格。
- 输出/产品:测评指导书,测评效果记录表格。
6.2.6 测评方案编制
- 测评方案是等级测评工作实施的底子,指导等级测评工作的现场实施活动。
- 测评方案应包罗但不局限于以下内容:项目概述、测评对象、测评指标、测评内容、测评方法等。
- 输入:委托测评协议书,填好的调研表格,各种与被测定级对象相干的技术资料,选用的测评工具清单,GB/T22239或行业规范中相应等级的基本要求,测评方案的测评对象、测评指标、单项测评实施部门、工具测试方法及内容部门等。
- 任务形貌:
- a) 根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单元团体信息化建设情况及被测定级对象与单元其他系统之间的连接情况等。
- b) 根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来。
- c) 参阅委托测评协议书和被测定级对象情况,估算现场测评工作量。
- 工作量根据测评对象的数量和工具测试的接入点及测试内容等情况举行估算。
- d) 根据测评项目组成员安排,编制工作安排情况。
- e) 根据以往测评履历以及被测定级对象规模,编制具体测评筹划,包罗现场工作人员的分工和时间安排。
- f) 汇总上述内容及方案编制活动的其他任务获取的内容形成测评方案文稿。
- g) 评审和提交测评方案。
- 测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿。
- 然后,测评机构将测评方案提交给测评委托单元签字认可。
- h) 根据测评方案制定风险规避实施方案。
- 输出/产品:颠末评审和确认的测评方案文本,风险规避实施方案文本。
6.3 方案编制活动输出文档
方案编制活动的输出文档及其内容如表3所示。
6.4 方案编制活动中双方职责
- 测评机构职责:
- a) 具体分析被测定级对象的团体结构、边界、网络地区、设备部署情况等。
- b) 初步判断被测定级对象的安全单薄点。
- c) 分析确定测评对象、测评指标、确定测评内容和工具测试方法。
- d) 编制测评方案文本,并对其举行内部评审。
- e) 制定风险规避实施方案。
- 测评委托单元职责:
- a) 为测评机构完成测评方案提供有关信息和资料。
- b) 评审和确认测评方案文本。
- c) 评审和确认测评机构提供的风险规避实施方案。
- d) 若确定不在生产环境开展测评,则部署设置与生产环境各项安全设置雷同的备份环境、生产验证环境或测试环境作为测试环境。
######################################################################################
愿各位在进步中安心。
2025.05.23禾木
可接洽作者付费获取,订价69.9元。包罗如下内容: 1. 信息安全技术全套标准指南
- ———GB/T 22239-2019 《信息安全技术 网络安全等级保护底子要求》
- ———GB/T25058 信息安全技术 信息系统安全等级保护实施指南;
- ———GB/T22240 信息安全技术 信息系统安全等级保护定级指南;
- ———GB/T25070 信息安全技术 网络安全等级保护安全设计技术要求;
- ———GB/T28448 信息安全技术 网络安全等级保护测评要求;
- ———GB/T28449 信息安全技术 网络安全等级保护测评过程指南。
2. 等保2.0标准执行之高风险判断
3. GBT 22239-2019 《信息安全技术 网络安全等级保护底子要求》一到四级对比表格(按照十大方面整理,每方面包含四级要求并标志高风险项)
4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术 网络安全等级保护底子要求》+《信息安全技术 网络安全等级保护安全设计技术要求》一到四级对比表格(在底子要求中添加安全设计技术要求,安全设计技术要求重要用于开发人员和产品司理)
5. GBT 36958—2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》一到四级对比表格(说明安全管理中心技术要求:系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求)
6. GBT 22239-2019+GBT 28448-2019 《信息安全技术 网络安全等级保护底子要求》+《信息安全技术 网络安全等级保护测评要求》一到四级对比表格(在底子要求中添加等保测评要求,可用于实施过程)
7. 等保项目预调研情况汇报表(博主整理word,用于项现在期调研和高风险项判断,分为2级和3级两个文档,并根据项目履历整理和标准整理前期项目调研内容)
部门质料下载链接:
1、等保二级高风险项查对表下载链接:
https://download.csdn.net/download/qq_42591962/90878930?spm=1001.2014.3001.5503
https://files.cnblogs.com/files/hemukg/%E7%AD%89%E4%BF%9D2%E7%BA%A7%E9%AB%98%E9%A3%8E%E9%99%A9%E9%A1%B9%E6%A0%B8%E5%AF%B9%E8%A1%A8.zip?t=1747979835&download=true
2、GBT 36958-2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》1~4级拆分表下载链接:
https://download.csdn.net/download/qq_42591962/90879022?spm=1001.2014.3001.5503
https://files.cnblogs.com/files/hemukg/%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E4%B8%AD%E5%BF%83%E6%8A%80%E6%9C%AF%E8%A6%81%E6%B1%821~4%E7%BA%A7%E8%A6%81%E6%B1%82%E6%8B%86%E5%88%86%E8%A1%A8.zip?t=1747625995&download=true
######################################################################################
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
