网络安全等级保护测评机构测评能力要求
首次申请的测评机构应通过提供案例、过程记录等资料,证明其具有从事网络安全相关工作两年以上的工作经验。
测评机构应保证在其能力范围内从事测评工作,并有足够的资源来满足测评工作要求,具体体现在以下方面:
a.安全技术测评实施能力,包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
b.安全管理测评实施能力,包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
c.测评综合实施能力,包括扩展要求(如云计算、移动互联、物联网、工业控制系统、大数据等)、 行业特殊要求、其他测评新技术等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
d.安全测试与分析能力,指根据实际测评要求,开发与测试相关的工作指导书,借助专用测评设备和工具,实现漏洞发现与问题分析等方面的能力;
e.整体测评实施能力,指根据测评报告单元测评的结果记录部分、结果汇总部分和问题分析部分,从安全控制点间、层面间和区域间出发考虑,给出整体测评具体结果的能力;
f.风险分析能力,指依据等级保护的相关规范和标准,采用风险分析的方法分析等级保护测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力。
测评机构应依据GB/T 28449的相关要求,有计划、按步骤地开展测评工作,并保证测评活动的每 个环节都得到有效的控制,具体要求如下:
1)测评准备阶段,应收集被测系统的相关资料信息,填写规范的信息系统调查表,全面掌握被测 评系统的详细情况,为测评工作的开展打下基础,信息系统调查表的填写至少满足以下要求:
a.资产对象及对象的基本信息应完整,无重要资产或重要内容缺失,收集的信息足以用于支撑等级测评后续各项活动;
b.网络拓扑图应绘制规范、内容清晰可辨、安全区域划分清楚、整体结构清晰完整,关键设备信息完整;
c.网络结构描述应全面准确,如包括但不限于区域的划分和描述、域间的连接和防护、外部连接、无法在拓扑图上表达清楚的内容(如内置VPN/防火墙/IPS/防病毒等安全功能模块、双机热备等);
d.适用时,对云计算、物联网、移动互联、工控、大数据等新技术新应用的资产开展有针对性的调查;
e.资产重要程度赋值应准确。
2)方案编制阶段,应正确合理地确定测评对象、测评指标及测评内容等,并依据现行有效的技术 标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录, 测评指导书应进行版本有效性维护,且满足以下要求:
a.需符合相关的等级保护测评标准,符合的等级保护测评标准,包括但不限于GB 17859 、GB/T 22239、 GB/T 28448、GB/T 28449、GB/T 20984;
b.提供足够详细的信息以确保测评数据获取过程的规范性和可操作性;
c.测评方案中应合理设计漏洞扫描和渗透测试路径和对象。具体要求包括但不限于:
(1)测试工具的接入宜采取从外到内, 从其他网络到本地网络的逐步逐点接入, 即测试工具从被测定级对象边界外接入、在被测定级对象内部与测评对象不同区域网络及同一网络区域内接入等方式;
(2)漏洞扫描和渗透测试目标包括但不限于网络设备、安全设备、操作系统、数据库管理系统、应用系统、中间件以及新技术新应用相关的特征要素等。
3)现场测评阶段,应严格执行测评方案和测评指导书中的内容和要求,并依据操作规程熟练地使 用测评设备和工具,规范、准确、完整的填写测评结果记录,获取足够证据,客观、真实、科学地反映出系统的安全保护状况,测评过程应予以监督并记录;其中渗透测试人员亦应遵循测评方案开展验证测试工作,并完整记录验证测试过程;
4)报告编制阶段,应客观描述等级保护对象已采取的有效保护措施和存在的主要安全问题情况, 指出等级保护对象安全保护现状与相应等级的保护要求之间的差距,分析差距可能导致被测评系统面临 的风险,给出等级保护测评结论,形成测评报告,测评报告应依据公安行政主管部门统一制订的网络安 全等级保护测评报告模版的格式和内容要求编写,测评报告应通过评审并有相关记录。测评报告要求如下:
a)测评记录内容应详细(覆盖测评项的所有要求)、准确,支持符合性判断;
b)不适用项的判定应准确,且详细说明判定理由;
c)安全问题描述及风险分析应准确,且与测评记录反映的情况一致;
d)整体测评分析应合理,从“弥补”和“削弱”两个方向开展分析;
e)整改建议完整,覆盖所有安全问题;
f)验证测试部分内容应包括漏洞扫描和渗透测试接入点及目标,并覆盖测试方法、测试结果、危害分析、整改建议等关键要素;
g)测评结论应准确。