网络安全-等级保护(等保) 3-2-4 **GB/T 28449-2019 附 录 D (规范性附录) 测评对象确定准则和样例、附 录 E(资料性附录)等级测评现场测评方式及工作任务
################################################################################
本章的附录D和附录E个人感觉是很重要的两个说明,对开始等保对象的选择和等保测评过程中访谈、核查、测试三种方法给出了说明。
上一章我们说明了附录A~C。本章我们展开附录D~E。
- 附录 A (规范性附录) 等级测评工作流程
- 首次测评和测评一次以上的四大活动一致,但具体任务内容有所变化。
- 附录 B (规范性附录) 等级测评工作要求
- 附录 C (规范性附录) 新技术新应用等级测评实施补充
- 云大物移工的测评实施补充内容。
- 附录 D (规范性附录) 测评对象确定准则和样例
- 个人感觉附录D才是等级保护建设的第一步—等保测评对象确认
- 附录 E (资料性附录) 等级测评现场测评方式及工作任务
- 附录 F (资料性附录) 等级测评报告模版示例
################################################################################
附 录 D (规范性附录) 测评对象确定准则和样例
D.1 测评对象确定准则
- 测评对象是等级测评的直接工作对象,也是在被测定级对象中实现特定测评指标所对应的安全功能的具体系统组件,因此,选择测评对象是编制测评方案的必要步骤,也是整个测评工作的重要环节。
- 恰当选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测定级对象的真实安全保护状况的重要保证。
- 测评对象的确定一般采用抽查的方法,即:抽查定级对象中具有代表性的组件作为测评对象。
- 并且,在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。
- 在确定测评对象时,需遵循以下原则:
- ———重要性,应抽查对被测定级对象来说重要的服务器、数据库和网络设备等;
- ———安全性,应抽查对外暴露的网络边界;
- ———共享性,应抽查共享设备和数据交换平台/设备;
- ———全面性,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型;
- ———符合性,选择的设备、软件系统等应能符合相应等级的测评强度要求。
D.2 测评对象确定步骤
- 确定测评对象时,可以将系统构成组件分类,再考虑重要性等其他属性。一般定级对象可以直接采用分层抽样方法,复杂系统建议采用多阶抽样方法。
- 在确定测试对象时可参考以下步骤:
- a) 对系统构成组件进行分类,如可在粗粒度上分为
- 客户端(主要考虑操作系统)、
- 服务器(包括操作系统、
- 数据库管理系统、
- 应用平台和业务应用软件系统)、
- 网络互联设备、
- 安全设备、
- 安全相关人员和
- 安全管理文档,也可以在上述分类基础上继续细化;
- b) 对于每一类系统构成组件,应依据调研结果进行重要性分析,
- 选择对被测定级对象而言重要程度高的服务器操作系统、数据库系统、网络互联设备、安全设备、安全相关人员以及安全管理文档等;
- c) 对于步骤b)获得的选择结果,分别进行安全性、共享性和全面性分析,进一步完善测评对象集合;
- 考虑到网络攻击技术的自动化和获取渠道的多样化,应选择部署在系统边界的网络互联或安全设备以测评暴露的系统边界的安全性,衡量定级对象被外界攻击的可能性。
- 考虑到新技术新应用的特点和安全隐患,应选择面临威胁较大的设备或组件作为测评对象,衡量这些设备被外界攻击的可能性。
- 考虑不同等级互联的安全需求,应选择共享/互联设备作为测评对象,以测评通过共享/互联设备与被测评定级对象互连的其他系统是否会增加不安全因素,衡量外界攻击以共享/互联设备为跳板攻击被测定级对象的可能性。
- 考虑不同类型对象存在的安全问题不同,选择的测评对象结果应尽量覆盖系统中具有的网络互联设备类型、安全设备类型、主机操作系统类型、数据库系统类型和应用系统类型等。
- d) 依据被测评定级对象的安全保护等级对应的测评力度进行恰当性分析,综合衡量测评投入和结果产出,恰当的确定测评对象的种类和数量。
D.3 测评对象确定样例
D.3.1 第一级定级对象
- 第一级定级对象的等级测评,测评对象的种类和数量比较少,重点抽查关键的设备、设施、人员和文档等。
- 抽查的测评对象种类主要考虑以下几个方面:
- ———主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个定级对象或对定级对象的安全性起决定作用的设备、设施,那么也应该作为测评对象;
- ———整个系统的网络拓扑结构;
- ———安全设备,包括防火墙、入侵检测设备、防病毒网关等;
- ———边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等;
- ———对整个定级对象的安全性起决定作用的网络互联设备,如核心交换机、路由器等;
- ———承载最能够代表被测定级对象使命的业务或数据的核心服务器(包括其操作系统和数据库);
- ———最能够代表被测定级对象使命的重要业务应用系统;
- ———信息安全主管人员;
- ———涉及到定级对象安全的主要管理制度和记录,包括进出机房的登记记录、定级对象相关设计验收文档等。
- ———主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个定级对象或对定级对象的安全性起决定作用的设备、设施,那么也应该作为测评对象;
- 在本级定级对象测评时,定级对象中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查一台作为测评对象。
- 云计算平台、物联网、移动互联、工业控制系统、IPv6系统的补充选择的测评对象见附录 C。
D.3.2 第二级定级对象
- 第二级定级对象的等级测评,测评对象的种类和数量都较多,重点抽查重要的设备、设施、人员和文档等。
- 抽查的测评对象种类主要考虑以下几个方面:
- ———主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个定级对象或对定级对象的安全性起决定作用的设备、设施,那么也应该作为测评对象;
- ———存储被测定级对象重要数据的介质的存放环境;
- ———整个系统的网络拓扑结构;
- ———安全设备,包括防火墙、入侵检测设备、防病毒网关等;
- ———边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等;
- ———对整个定级对象或其局部的安全性起决定作用的网络互联设备,如核心交换机、汇聚层交换机、核心路由器等;
- ———承载被测定级对象核心或重要业务、数据的服务器(包括其操作系统和数据库);
- ———重要管理终端;
- ———能够代表被测定级对象主要使命的业务应用系统;
- ———信息安全主管人员、各方面的负责人员;
- ———涉及到定级对象安全的所有管理制度和记录。
- ———主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个定级对象或对定级对象的安全性起决定作用的设备、设施,那么也应该作为测评对象;
- 在本级定级对象测评时,定级对象中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查两台作为测评对象。
D.3.3 第三级定级对象
- 第三级定级对象的等级测评,测评对象种类上基本覆盖、数量进行抽样,重点抽查主要的设备、设施、人员和文档等。
- 抽查的测评对象种类主要考虑以下几个方面:
- ———主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于定级对象的局部(包括整体)或对定级对象的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;
- ———存储被测定级对象重要数据的介质的存放环境;
- ———办公场地;
- ———整个系统的网络拓扑结构;
- ———安全设备,包括防火墙、入侵检测设备和防病毒网关等;
- ———边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
- ———对整个定级对象或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;
- ———承载被测定级对象主要业务或数据的服务器(包括其操作系统和数据库);
- ———管理终端和主要业务应用系统终端;
- ———能够完成被测定级对象不同业务使命的业务应用系统;
- ———业务备份系统;
- ———信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;
- ———涉及到定级对象安全的所有管理制度和记录。
- ———主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于定级对象的局部(包括整体)或对定级对象的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;
- 在本级定级对象测评时,定级对象中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查两台作为测评对象。
D.3.4 第四级定级对象
- 第四级定级对象的等级测评,测评对象种类上完全覆盖、数量进行抽样,重点抽查不同种类的设备、设施、人员和文档等。
- 抽查的测评对象种类主要考虑以下几个方面:
- ———主机房和全部辅机房(包括其环境、设备和设施等);
- ———介质的存放环境;
- ———办公场地;
- ———整个系统的网络拓扑结构;
- ———安全设备,包括防火墙、入侵检测设备和防病毒网关等;
- ———边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
- ———主要网络互联设备,包括核心和汇聚层交换机;
- ———主要服务器(包括其操作系统和数据库);
- ———管理终端和主要业务应用系统终端;
- ———全部应用系统;
- ———业务备份系统;
- ———信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;
- ———涉及到定级对象安全的所有管理制度和记录。
- ———主机房和全部辅机房(包括其环境、设备和设施等);
- 在本级定级对象测评时,定级对象中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查三台作为测评对象。
附 录 E(资料性附录)等级测评现场测评方式及工作任务
E.1 概述
- 测评人员根据测评指导书实施现场测评时一般包括访谈、核查和测试三种测评方式。
E.2 访谈
- 输入:现场测评工作计划,测评指导书,技术和管理安全测评的测评结果记录表格。
- 任务描述:
- 测评人员与被测定级对象有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。
- 在访谈范围上,不同等级定级对象在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上抽样。
- 具体可参照《信息安全技术 网络安全等级保护测评》要求各部分标准中的各级要求。
- 输出/产品:技术和管理安全测评的测评结果记录。
E.3 核查
E.3.1 概述
核查可细分为文档审查、实地察看和配置核查等几种具体方法。
E.3.2 文档审查
-
-
输入:现场测评工作计划,安全策略,安全方针文件,安全管理制度,安全管理的执行过程文档,系统设计方案,网络设备的技术资料,系统和产品的实际配置说明,系统的各种运行记录文档,机房建设相关资料,机房出入记录等过程记录文档,测评指导书,管理安全测评的测评结果记录表格。
- 任务描述:
- a) 核查 GB/T22239中规定的制度、策略、操作规程等文档是否齐备。
- b) 核查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。
- c) 核查安全策略以及技术相关文档是否明确说明相关技术要求实现方式。
- d) 对上述文档进行审核与分析,核查他们的完整性和这些文件之间的内部一致性。
- 下面列出对不同等级定级对象在测评实施时的不同强度要求。
- 一级:符合 GB/T22239中的一级要求。
- 二级:符合 GB/T22239中的二级要求,并且所有文档之间应保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致。
- 三级:符合 GB/T22239中的三级要求,所有文档应具备且完整,并且所有文档之间应保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致,安全管理过程应与系统设计方案保持一致且能够有效地对系统进行管理。
- 四级:符合 GB/T22239中的四级要求,所有文档应具备且完整,并且所有文档之间应保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致,安全管理过程应与系统设计方案保持一致且能够有效地对系统进行管理。
- 下面列出对不同等级定级对象在测评实施时的不同强度要求。
- a) 核查 GB/T22239中规定的制度、策略、操作规程等文档是否齐备。
- 输出/产品:技术和管理安全测评的测评结果记录。
-
E.3.3 实地察看
- 输入:测评指导书,技术安全和管理安全测评结果记录表格。
- 任务描述:
- 根据被测定级对象的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否符合相应等级的安全要求。
- 下面列出对不同等级定级对象在测评实施时的不同强度要求。
- 一级:符合 GB/T22239中的一级要求。
- 二级:符合 GB/T22239中的二级要求。
- 三级:符合 GB/T22239中的三级要求,判断实地观察到的情况与制度和文档中说明的情况是否一致,核查相关设备、设施的有效性和位置的正确性,与系统设计方案的一致性。
- 四级:符合 GB/T22239中的四级要求,判断实地观察到的情况与制度和文档中说明的情况是否一致,核查相关设备、设施的有效性和位置的正确性,与系统设计方案的一致性。
- 一级:符合 GB/T22239中的一级要求。
- 根据被测定级对象的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否符合相应等级的安全要求。
- 输出/产品:技术安全和管理安全测评结果记录。
E.3.4 配置核查
- 输入:测评指导书,技术安全测评结果记录表格。
- 任务描述:
- a) 根据测评结果记录表格内容,利用上机验证的方式核查应用系统、主机系统、数据库系统以及各设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。
- b) 如果系统在输入无效命令时不能完成其功能,应测试其是否对无效命令进行错误处理。
- c) 针对网络连接,应对连接规则进行验证。
- 下面列出对不同等级定级对象在测评实施时的不同强度要求。
- 一级:符合 GB/T22239中的一级要求。
- 二级:符合 GB/T22239中的二级要求,测评其实施的正确性和有效性,核查配置的完整性,测试网络连接规则的一致性。
- 三级:符合 GB/T22239中的三级要求,测评其实施的正确性和有效性,核查配置的完整性,测试网络连接规则的一致性,测试系统是否符合可用性和可靠性的要求。
- 四级:符合 GB/T22239中的四级要求,测评其实施的正确性和有效性,核查配置的完整性,测试网络连接规则的一致性,测试系统是否符合可用性和可靠性的要求。
- 下面列出对不同等级定级对象在测评实施时的不同强度要求。
- a) 根据测评结果记录表格内容,利用上机验证的方式核查应用系统、主机系统、数据库系统以及各设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。
- 输出/产品:技术安全测评结果记录。
E.4 测试
- 输入:现场测评工作计划,测评指导书,技术安全测评结果记录表格。
- 任务描述:
- a) 根据测评指导书,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、功能测试、性能测试、入侵检测和协议分析等。
- b) 备份测试结果。
- 下面列出对不同等级定级对象在测评实施时的不同强度要求。
- 一级:符合 GB/T22239中的一级要求。
- 二级:符合 GB/T22239中的二级要求,针对服务器、数据库管理系统、关键网络设备、安全设备、应用系统等进行漏洞扫描等。
- 三级:符合 GB/T22239中的三级要求,针对服务器、数据库管理系统、网络设备、安全设备、应用系统等进行漏洞扫描;针对应用系统完整性和保密性要求进行协议分析;渗透测试应包括基于一般脆弱性的内部和外部渗透攻击;针对物理设施进行有效性测试等。
- 四级:符合 GB/T22239中的四级要求,针对服务器、数据库管理系统、网络设备、安全设备、应用系统等进行漏洞扫描;针对应用系统完整性和保密性要求进行协议分析;渗透测试应包括基于一般脆弱性的内部和外部渗透攻击;针对物理设施进行有效性测试等。
- 输出/产品:技术安全测评结果记录,测试完成后的电子输出记录,备份的测试结果文件。
######################################################################################
到这里 GB/T 28449-2019 《信息安全技术 网络安全等级保护测评过程指南》所有内容就介绍完毕了。
后面还有一个:GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》,所有目前与等级保护相关的内容就全部完成。
愿各位在进步中安心。
2025.05.28禾木
可联系作者付费获取,定价69.9元。包括如下内容:1. 信息安全技术全套标准指南
- ———GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》
- ———GB/T25058 信息安全技术 信息系统安全等级保护实施指南;
- ———GB/T22240 信息安全技术 信息系统安全等级保护定级指南;
- ———GB/T25070 信息安全技术 网络安全等级保护安全设计技术要求;
- ———GB/T28448 信息安全技术 网络安全等级保护测评要求;
- ———GB/T28449 信息安全技术 网络安全等级保护测评过程指南。
2. 等保2.0标准执行之高风险判定
3. GBT 22239-2019 《信息安全技术 网络安全等级保护基础要求》一到四级对比表格(按照十大方面整理,每方面包含四级要求并标记高风险项)
4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护安全设计技术要求》一到四级对比表格(在基础要求中添加安全设计技术要求,安全设计技术要求主要用于开发人员和产品经理)
5. GBT 36958—2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》一到四级对比表格(说明安全管理中心技术要求:系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求)
6. GBT 22239-2019+GBT 28448-2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护测评要求》一到四级对比表格(在基础要求中添加等保测评要求,可用于实施过程)
7. 等保项目预调研情况汇报表(博主整理word,用于项目前期调研和高风险项判定,分为2级和3级两个文档,并根据项目经验整理和标准整理前期项目调研内容)
部分材料下载链接:
1、等保二级高风险项核对表下载链接:
2、GBT 36958-2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》1~4级拆分表下载链接:
######################################################################################
浙公网安备 33010602011771号