等保测评是什么？（非常具体）零根本入门到醒目，收藏这一篇就够了 ...

等保测评是什么

等保测评用于评估网络体系或应用是否满足相应的安全保护等级要求，是网络安全等级保护工作的重要环节之一。开展等保测评可以或许帮助网络运营者识别体系存在的安全隐患，及时对体系举行整改加固。本文就等保测评的概念、流程以及测评内容举行简要先容。
1 等保测评概述
在讨论“等保测评是什么”之前，首先需要了解什么是“等保”。“等保”即网络安全等级保护，是指对网络信息和信息载体按照重要水中分别等级，并基于分级，针对性地开展安全保护工作。网络安全等级保护制度是我国网络安全范畴现行的基本制度。
等保的实行流程分为5个环节：体系定级、存案、建设整改、等级测评和监督查抄；而等保测评（也称等级测评）正是此中的一个重要环节。
等保测评是指由具有资质的测评机构，依据国家网络安全等级保护规范规定，按照有关管理规范和技能标准，对等保对象（如信息体系、数据资源、云计算、物联网、工业控制体系等）的安全等级保护状态举行检测评估的活动。简朴来说，等保测评用于验证网络体系或应用是否满足相应的安全保护等级要求，是落实等保制度的关键活动之一。
图1-1 等保实行流程

2 为什么要做等保测评
对于网络运营者，开展等保测评的须要性主要体如今如下几点：
●识别网络潜伏风险，提升自身防护能力：
日益专业化、智能化、隐蔽化的网络攻击为网络安全带来了更严峻的挑衅，网络运营者可以通过等保测评了瓦解系的安全防护近况，识别体系内、外部存在的安全隐患，并在此根本上通过加固整改进步体系的网络安全防护能力，低沉被攻击的风险。
●满足国家相干法律法规的要求：
法律层面上，国家《网络安全法》的第21条和第31条明确规定了网络运营者和关键信息根本设施运营者应当按照网络安全等级保护制度的要求，履行相干的安全保护义务。不依法开展等保工作为违法行为，将由有关主管部门责令整改并处以罚款、告诫等惩罚步伐。
●提升行业竞争力：
是否开展等保工作是衡量企业信息安全程度的一个重要标准。对于企业来说，举行等保测评不但可以或许有效地进步信息体系安全建设的团体程度，还可以或许在向外部客户提供业务服务时给出信息体系安全性承诺，增强客户、合作伙伴及利益相干方的信心。
3 等保测评等级分别
等保工作的核心在于“分级”，对于重要程度不同的网络体系，安全防护能力要求也有所不同。在举行等保测评之前，网络运营者需要先完成待测评对象的定级，以明确测评的维度和标准。
3.1 定级标准
当前我国实行的网络安全等级保护制度，将等级保护对象按照受破坏时所侵害的客体和对客体造成侵害的程度，从低到高分别了五个安全保护等级：
(1) 第一级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成侵害，但不侵害国家安全、社会秩序和公共利益；
(2) 第二级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重侵害，或者对社会秩序和公共利益造成侵害，但不侵害国家安全；
(3) 第三级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重侵害，或者对社会秩序和公共利益造成严重侵害，或者对国家安全造成侵害；
(4) 第四级：等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重侵害，或者对国家安全造成严重侵害；
(5) 第五级：等级保护对象受到破坏后，会对国家安全造成特别严重侵害。
图3-1 定级要素与安全保护等级关系

在实际应用中，定级主要参考行业要求和业务的发展体量，例如平凡的流派网站，定为二级已经足够，而存储较多敏感信息（如公民个人信息）的体系则需要定为三级或三级以上。大部门信息体系的安全保护等级处于二级或三级。
表3-1 常见的定级对象

二级等保对象	三级等保对象
●    不涉及敏感信息及重要信息的信息体系。 ●    单纯的展示网站，不涉及用户信息、交付生意业务、私密信息等。 ●    非核心业务体系，不存储个人隐私信息。 ●    内部管理体系，协同办公平台。	●    涉及到敏感、重要信息的办公体系和管理体系。 ●    涉及客户信息、付出、保密信息的体系。 ●    影响力比较大的政企官方网站。 ●    用户数据到达一定数量级的网络平台。
示例：学校的网站、教育体系、事业单元政企官方网站等。	示例：金融体系、财税体系、交通运输体系、医疗体系、物流体系、游戏、涉及用户注册和付出的APP和软件等。

3.2 定级流程
等保对象定级的一般工作流程包括：确定定级对象、开端确定定级、专家评审、主管部门核准和公安机关存案审核。
图3-2 等保对象定级工作的一般流程

对于安全保护等级开端确定为第一级的等级保护对象，其网络运营者可依据标准自行确定最终安全保护等级，无需举行专家评审、主管部门核准及存案审核。
而对于安全保护等级开端确定为第二级及以上的等级保护对象，网络运营者需组织网络安全专家和业务专家对定级结果的合理性举行评审，将定级结果报请行业主管（监管）部门核准，并按照相干管理规定，将定级结果提交公安机关举行存案审核。
4 等保测评流程
等保测评流程包括四个基本测评活动：测评预备活动、方案编制活动、现场测评活动和陈诉编制活动。
图4-1 等保测评流程

4.1 测评预备活动
作为等保测评流程中的预备步骤，该阶段的主要工作包括组建等保测评项目组、网络定级对象相干资料、预备测评工具等，目标是帮助测评人员认识测评对象和测评工具，对测评对象的安全状态做出开端分析，为后续等保测评的实行做好充分的预备。
在该阶段，测评委托单元（即网络运营者）需要配合测评机构提供过细的测评对象相干资料，为信息网络工作提供支持和帮忙。
4.2 方案编制活动
本阶段的目标是整理测评预备活动中获取的定级对象相干资料，为下一步的现场测评活动提供最基本的文档和引导方案。
在本阶段中，等保测评机构需要根据测评委托方提供的相干信息，通过分析测评对象的团体结构、边界、网络区域等环境，确定测评对象、测评指标、测评内容以及工具测试方法，并输出详实的测评方案和测评引导书。
4.3 现场测评活动
4.3.1 主要任务
现场测评活动是等保测评流程中的核心活动，测评人员利用访谈、文档审查、设置稽查、工具测试和实地查看的方法，按照测评引导书实行现场测评，并将测评过程中获取的证据源举行具体、精确纪录。
在这个过程中，评测委托单元通常需要完成以下工作：
●在现场测评前完成体系和数据的备份，并了解测评工作的基本环境。
●帮忙测评机构获得现场测评的授权。
●了解现场测评存在的风险，对风险告知书举行具名确认。
●配合测评人员完成业务相干内容的问询、验证和测试。
●在工具测试过程中提供相干建议，低沉测评过程对体系运行的影响。
4.3.2 测评内容
等保评测内容与等级保护要求相对应，分为安全通用要求和安全扩展要求两部门。
安全通用要求针对共性化保护需求提出，无论等级保护对象以何种形式出现，均需根据安全保护等级实现相应级别的安全通用要求。如表4-1所示，安全通用要求分为技能要求和管理要求；此中技能要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面；管理要求包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面。
安全扩展要求针对个性化保护需求提出，实用于采用特定技能或特定应用场景下的等级保护对象。目前相干标准提出的安全扩展要求主要面向云计算、移动互联、物联网和工业控制体系四类应用场景。
表4-1 安全通用要求阐明
|
|
安全控制要求
|
阐明
|
安全控制点（测评项）
|
| — | — | — | — |
|
技能要求
|
安全物理环境
|
● 针对物理机房提出的安全控制要求
● 主要对象为物理环境、物理设备和物理设施等
|
物理位置的选择
物理访问控制
防盗窃和防破坏
防雷击
防火
防水和防潮
温湿度控制
电力供应
电磁防护
|
|
安全通信网络
|
● 针对通信网络提出的安全控制要求
● 主要对象为广域网、城域网和局域网等
|
网络架构
通信传输
可信验证
|
|
安全区域边界
|
● 针对网络边界提出的安全控制要求
● 主要对象为体系边界和区域边界等
|
边界防护
访问控制
入侵防范
恶意代码和垃圾邮件防范
安全审计
可信验证
|
|
安全计算环境
|
● 针对边界内部提出的安全控制要求
● 主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用体系、数据对象和其他设备等
|
身份辨别
访问控制
安全审计
入侵防范
恶意代码防范
可信验证
数据完备性
数据保密性
数据备份与恢复
剩余信息保护
个人信息保护
|
|
安全管理中心
|
● 针对整个体系提出的安全管理方面的技能控制要求
● 要求通过技能本领实现会合管理
|
体系管理
审计管理
安全管理
会合管控
|
|
管理要求
|
安全管理制度
|
针对整个管理制度体系提出的安全控制要求
|
安全计谋
管理制度
订定和发布
评审和修订
|
|
安全管理机构
|
针对整个管理组织架构提出的安全控制要求
|
岗位设置
人员配备
授权和审批
沟通和合作
审核和查抄
|
|
安全管理人员
|
针对人员管理提出的安全控制要求
|
人员录用
人员离岗
安全意识教育和培训
外部人员访问管理
|
|
安全建设管理
|
针对安全建设过程提出的安全控制要求
|
定级和存案
安全方案设计
安全产品采购和使用
自行软件开辟
外包软件开辟
工程实行
测试验收
体系交付
等级测评
服务供应商管理
|
|
安全运维管理
|
针对安全运维过程提出的安全控制要求
|
环境管理
资产管理
介质管理
设备维护管理
漏洞和风险管理
网络和体系安全管理
恶意代码防范管理
设置管理
暗码管理
变动管理
备份与恢复管理
安全事件处理
应急预案管理
外包运维管理
|

---

阐明
关于等保测评内容的具体先容，请拜见《GB/T 22239-2019 信息安全技能 网络安全等级保护基本要求》《GB/T 28448-2018 信息安全技能 网络安全等级保护测评要求》标准。

---

4.4 陈诉编制活动
陈诉编制活动是等保测评流程的末了一个步骤，即在现场评测工作结束后，对现场测评获得的测评结果举行汇总分析，形成等保测评结论，并编制测评陈诉。
本阶段的工作流程分为7个环节：
(1) 单项测评结果判定：针对每个安全测评项，比对获取的测评证据是否满足预期要求，给出单项测评结果和符合程度得分。单项测评结果分为3类：符合、不符合以及部门符合。
(2) 单元测评结果判定：将单项测评结果举行汇总，分析每个安全控制点下所有测评项的符合环境，给出单元测评结果。
(3) 团体测评：针对单项测评结果中的“不符合”项及“部门符合”项，分析测评项间的关联关系，对测评对象的团体安全保护能力给出判定。团体测评可能影响单项测评结果，因此需要根据团体测评环境修正单项测评的符合程度得分和问题严重程度值。
(4) 体系安全保障评估：综合单项测评和团体测评结果，计算测评对象的安全性得分，并对测评对象的安全保障环境做出总体评价。
(5) 安全问题风险分析：针对测评结果中的“不符合”项及“部门符合”项，分析测评对象可能面临的安全问题以及最大危害结果；然后根据最大安全危害严重程度确定测评对象面临的风险等级。风险等级分为“高”“中”“低”三个级别。
(6) 等级测评结论形成：测评人员在完成体系安全保障评估和安全问题风险评估的根本上，找出测评对象与等级保护要求之间存在的差距，计算测评对象的综合得分，并形成等保测评结论。
等保测评结论分为以下三种：
○符合：测评对象不存在安全问题，所有测评项的结果均为“符合”，综合得分为100分。
○基本符合：测评对象存在安全问题，测评结果中包含“部门符合”或“不符合”项，但存在的安全问题不会导致测评对象面临高等级安全风险，且综合得分不低于等保要求阈值。
○不符合：测评对象存在安全问题，测评结果中包含“部门符合”或“不符合”项，而存在的安全问题会导致测评对象面临高等级安全风险，或者综合得分低于等保要求阈值。
(7) 测评陈诉编制：测评机构按照规范格式输出等级测评陈诉。等保测评活动所形成的等保测评陈诉是等保对象开展整改加固的重要依据。
5 总结
等保测评是检测评估等保对象的安全保护能力是否符合相应等级基本要求的过程，是落实网络安全等级保护制度的重要环节。网络的运营、使用单元依法开展等保工作，落实等保测评流程，以明确网络体系的安全保护近况和存在的安全问题，并在此根本上对体系举行整改加固，构建网络安全管理体系。
为了帮助各人更好的学习网络安全，我给各人预备了一份网络安全入门/进阶学习资料，里面的内容都是适合零根本小白的条记和资料，不懂编程也能听懂、看懂这些资料！
因篇幅有限，仅展示部门资料，需要点击下方链接即可前往获取
CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

因篇幅有限，仅展示部门资料，需要点击下方链接即可前往获取
CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。