一、網絡安全等級保護測評過程概述

     網絡安全等級保護測評工作過程包括四個基本測評活動：測評準備活動、方案編制活動、現場測評活動、報告編制活動。而測評相關方之間的溝通與洽談應貫穿整個測評過程。每一項活動有一定的工作任務。

    01、基本工作流程

    ① 測評準備活動

     本活動是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續工作能否順利開展。本活動的主要任務是掌握被測系統的詳細情況，準備測試工具，為編制測評方案做好準備。

    ② 方案編制活動

     本活動是開展等級測評工作的關鍵活動，為現場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等，并根據需要重用或開發測評指導書測評指導書，形成測評方案。

    ③ 現場測評活動

     本活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求，嚴格執行測評指導書測評指導書，分步實施所有測評項目，包括單元測評和整體測評兩個方面，以了解系統的真實保護情況，獲取足夠證據，發現系統存在的安全問題。

    ④ 分析與報告編制活動

     本活動是給出等級測評工作結果的活動，是總結被測系統整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和《信息安全技術 網絡安全等級保護測評要求》GB/T28448-2019的有關要求，通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法，找出整個系統的安全保護現狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統面臨的風險，從而給出等級測評結論，形成測評報告文本。

    02、工作方法

     網絡安全等級保護測評主要工作方法包括訪談、文檔審查、配置檢查、工具測試和實地察看。

     訪談是指測評人員與被測系統有關人員(個人/群體)進行交流、討論等活動，獲取相關證據，了解有關信息。訪談的對象是人員，訪談涉及的技術安全和管理安全測評的測評結果，要提供記錄或錄音。典型的訪談人員包括：網絡安全主管、信息系統安全管理員、系統管理員、網絡管理員、資產管理員等。

     文檔審查主要是依據技術和管理標準，對被測評單位的安全方針文件，安全管理制度，安全管理的執行過程文檔，系統設計方案，網絡設備的技術資料，系統和產品的實際配置說明，系統的各種運行記錄文檔，機房建設相關資料，機房出入記錄。檢查信息系統建設必須具有的制度、策略、操作規程等文檔是否齊備，制度執行情況記錄是否完整，文檔內容完整性和這些文件之間的內部一致性等問題。

     配置檢查是指利用上機驗證的方式檢查網絡安全、主機安全、應用安全、數據安全的配置是否正確，是否與文檔、相關設備和部件保持一致，對文檔審核的內容進行核實(包括日志審計等)，并記錄測評結果。配置檢查是衡量一家測評機構實力的重要體現。檢查對象包括數據庫系統、操作系統、中間件、網絡設備、網絡安全設備。

     工具測試是利用各種測試工具，通過對目標系統的掃描、探測等操作，使其產生特定的響應等活動，通過查看、分析響應結果，獲取證據以證明信息系統安全保護措施是否得以有效實施的一種方法。

     實地查看根據被測系統的實際情況，測評人員到系統運行現場通過實地的觀察人員行為、技術設施和物理環境狀況判斷人員的安全意識、業務操作、管理程序和系統物理環境等方面的安全情況，測評其是否達到了相應等級的安全要求。

    二、網絡安全等級保護測評工作流程

    01、測評準備活動階段

     首先，被測評單位在選定測評機構后，雙方需要先簽訂《測評服務合同》，合同中對項目范圍(系統數量)、項目內容(差距測評?驗收測評?協助整改?)、項目周期(什么時間進場?項目計劃做多長時間?)、項目實施方案(測評工作的步驟)、項目人員(項目實施團隊人員)、項目驗收標準、付款方式、違約條款等等內容逐一進行約定。

     簽訂《測評服務合同》同時，測評機構應簽署《保密協議》。《保密協議》一般分兩種，一種是測評機構與被測單位(公對公)簽署，約定測評機構在測評過程中的保密責任;一種是測評機構項目組成員與被測單位之間簽署。

    ①項目啟動會

     在雙方簽完委托測評合同之后，雙方即可約定召開項目啟動會時間。項目啟動會的目的，主要是由甲方領導對公司內部涉及的部門進行動員、提請各相關部門重視、協調內部資源、介紹測評方項目實施人員、計劃安排等內容，為整個等級測評項目的實施做基本準備。

    ②系統情況調研

     啟動會后，測評方開展調研，通過填寫《信息系統基本情況調查表》，掌握被測系統的詳細情況，為編制測評方案做好準備。測評項目組進場前，應熟悉被測定級對象，調試測評工具，準備各種表單。

    02、方案編制活動階段

     方案編制活動的目的是整理測評準備活動中獲取的定級對象資料，為現場測評活動提供最基礎文檔和測評方案。

     方案編制活動包括測評對象確定、測評指標確定、測評內容確定、工具測試方法確定、測評指導書開發、測評方案編制六項主要任務。

     ①確定測評對象。根據系統調查結果，分析整個被測定級對象業務流程、數據流程、范圍、特點確定測評對象，一般采用抽查的方法，即：抽查信息系統中具有代表性的組件作為測評對象。

     ② 確定測評指標及測評內容。根據被測定級對象結果確定測評的基本指標，根據測評委托單位定級對象業務自身需求確定特殊測評指標。

     ③ 確定測評工具接入點。一般來說，測評工具的接入采取從外到內，從其他網絡到本地網段的逐步逐點接入，即：測評工具從被測系統邊界外接入、在被測系統內部與測評對象不同網段及同一網段內接入等幾種方式。從被測系統邊界外接入時，測評工具一般接在系統邊界設備(通常為交換設備)上。在該點接入漏洞掃描器，掃描探測被測系統的主機、網絡設備對外暴露的安全漏洞情況;從系統內部與測評對象不同網段接入時，測評工具一般接在與被測對象不在同一網段的內部核心交換設備上;在系統內部與測評對象同一網段內接入時，測評工具一般接在與被測對象在同一網段的交換設備上;結合網絡拓撲圖，采用圖示的方式描述測評工具的接入點、測評目的、測評途徑和測評對象等相關內容。

     ④ 確定測評內容與方法。將測評對象與測評指標進行映射構成測評內容，并針對不同的測評內容合理地選擇測評方法形成具體的測評實施內容。

     ⑤ 確定測評指導書。測評指導書是指導和規范測評人員現場測評活動的文檔，包括測評項、測評方法、操作步驟和預期結果等四部分。在測評對象和指標確定的基礎上，將測評指標映射到各測評對象上，然后結合測評對象的特點，選擇應采取的測評方法并確定測評步驟和預期結果，形成不同測評對象的具體測評指導書。

     ⑥ 確定測評方案。綜合以上結果內容以及測評工作計劃形成測評方案，測評方案主要內容包括測評概述、目標系統概述、定級情況、網絡結構、主機設備情況、應用情況、測評方法與工具、測評內容、時間安排、風險揭示與規避等。

    03、現場測評活動

     現場測評活動通過與測評委托單位進行溝通和協調，為現場測評的順利開展打下良好基礎，然后依據測評方案實施現場測評工作，將測評方案和測評工具等具體落實到現場測評活動中。現場測評工作應取得分析與報告編制活動所需的、足夠的證據和資料。

     現場測評活動包括現場測評準備、現場測評和結果記錄、結果確認和資料歸還三項主要任務。

    ①現場測評準備

     為保證測評機構能夠順利實施測評，測評準備工作需要包括以下內容：

    ● 測評委托單位簽署現場測評授權書;

    ● 召開測評現場首次會;

     ● 測評雙方確認現場測評需要的各種資源，包括測評委托單位的配合人員和需要提供的測評條件等，確認被測系統已備份過系統及數據;

     ● 測評人員根據會議溝通結果，對測評結果記錄表單和測評程序進行必要的更新。

    ②現場測評和結果記錄

     現場測評覆蓋到被測系統安全技術的5個層面和安全管理的5方面。安全技術的5個層面具體為：安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心;安全管理的5方面具體為：安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

    ③結果確認和資料歸還

     現場測評結束時，需要做好記錄和確認工作，并將測評的結果征得評測雙方認同確認。主要包括測評人員在現場測評完成之后，應首先匯總現場測評的測評記錄，對漏掉和需要進一步驗證的內容實施補充測評;召開測評現場結束會，測評雙方對測評過程中發現的問題進行現場確認。測評機構歸還測評過程中借閱的所有文檔資料，并由測評委托單位文檔資料提供者簽字確認。

    04、報告編制活動

     測評人員在初步判定單項測評結果后，還需進行單元測評結果判定、整體測評、系統安全保障評估等方法，找出整個系統的安全保護現狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統面臨的風險，從而給出等級測評結論，形成測評報告文本。

    三、測評委托單位需要配合的工作

    測評準備階段：

    ①被測方成立項目組，并任命項目經理;

     ②向測評機構介紹本單位的信息化建設狀況與發展情況;

     ③準備測評機構需要的資料，比如系統定級報告、備案表、自查或上次測評報告、聯系方式等;

    ④為測評人員的信息收集提供支持和協調;

    ⑤準確填寫信息系統基本信息調查表;

     ⑥根據被測系統的具體情況，如業務運行高峰期、網絡布置情況等，為測評時間安排提供適宜的建議;

    方案編制階段：

     ①為測評機構完成測評方案提供有關信息和資料;

    ②評審和確認測評方案文本。

    現場測評階段：

     ①此階段工作測評方人員需要在客戶現場完成。需要被測方提供辦公位(基本的辦公環境)。

     ②備案單位需要機房管理員、網絡管理員、安全主管、系統管理員、系統開發人員、運維人員等進行配合。

     ③測評前備份系統和數據，并確認被測設備狀態完好;

     ④協調被測系統內部相關人員的關系，配合測評工作的開展;

     ⑤相關人員回答測評人員的問詢，對某些需要驗證的內容上機進行操作;

     ⑥相關人員確認測試前協助測評人員實施工具測試并提供有效建議，降低安全測評對系統運行的影響;

    ⑦相關人員對測評結果進行確認;

     ⑧相關人員確認工具測試后被測設備的狀態完好。

    報告編制階段：

    ①簽收測評報告;

    ②向公安機關遞交測評報告。