我的位置 首页  >  新闻动态  >  国内新闻

等级测评工作中的风险控制与测评报告主要内容

来源:科技成果转化中心时间:2018-06-29
      

等级测评工作中的风险控制

测评报告主要内容


分享传播总是一种美德

本期关键词

 风险控制  风险规避 

等级测评  主要内容 报告模板


其实做任何事都存在风险,特别是做的事情与安全相关,而信息安全又具有一定的隐蔽性,所以在测评过程中,难免存在一定的不确定性的风险。风险存在是正常的事情,如何规避风险才是我们要做的事情。今天这期内容,对存在的风险进行一个梳理,以便我们了解。风险包括网络敏感信息泄漏、验证测试可能会对网络运行造成影响、工具测试可能对网络运行造成影响,特别是工控系统可用性要求更高。了解风险也是为规避风险做准备,在了解风险的基础上进行风险规避,其中包括签署保密协议、签署委托测评协议、现场测评工作风险的规避、规范化的实施过程、沟通与交流等都是规避风险的重要内容。

存在的风险

等级测评过程中可能存在以下风险。

1.网络敏感信息泄漏

泄漏被检测单位网络状态信息,例如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。

2.验证测试可能会对网络运行造成影响

在现场进行测评时,需要对设备和网络进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对网络的运行造成一定的影响,甚至存在误操作的可能。

3.工具测试可能会对网络运行造成影响

在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对网络的负载造成一定的影响,漏洞扫描测试和渗透测试可能会对服务器和网络通信造成一定影响甚至伤害。

风险的规避

在等级测评过程中,可以采取以下措施规避风险。

1.签署保密协议

测评双方应签署完善的、合乎法律规范的保密协议,以约束测评双方现在和将来的行为。保密协议规定了测评双方在保密方面的权利与义务。测评工作的成果由被测网络的运营者所有,测评机构对其的引用和公开应得到被测网络的运营者的授权,否则被测网的运营者将按照保密协议的要求追究测评机构的法律责任。

2.签署委托测评协议

在测评工作正式开始之前,测评方和被测网络的运营者需要以委托测评协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求及双方的责任和义务等,使测评双方对测评过程中的基本问题达成共识,并以此为基础开展后续工作,避免在后续工作中出现大的分歧。

3.现场测评工作风险的规避

在进行验证测试和工具测试时,测评机构需要与测评委托单位充分协调,合理安排测试时间,尽量避开业务高峰期,例如在系统资源处于空闲状态时进行,被测网络的运营者需要对整个测试过程进行监督。

在进行验证测试和工具测试之前,需要对关键数据做好备份工作,并对可能出现的影响制定相应的处理方案。上机验证测试原则上由被测系统网络运营者的相应技术人员进行操作,测评人员根据情况提出需要操作的内容并进行查看和验证,避免由于测评人员对某些专用设备不熟悉造成误操作。测评机构应在使用测试丁具前将相关信息告知被测网络的运营者,详细介绍这些工具的用途及可能对网络造成的影响,并征得网络运营者的同意。

4.规范化的实施过程

为保证按计划、高质量地完成测评工作,应当明确测评记录和测评报告的要求,明确测评过程中每一阶段需要产生的相关文档,使测评有章可循。在委托测评协议、现场测评授权书和测评方案中,需要明确双方的人员职责、测评对象、时间计划、测评内容要求等。

5.沟通与交流

为避免测评工作中可能出现的争议,在测评开始前与测评过程中,双方需要进行积极有效的沟通和交流,及时解决测评中出现的问题,这对保证测评的过程质量和结果质量有重要作用。

测评过程与运行的网络系统打交道,自然也会引起网络运营者重视与关注,在日常运行过程中,一个系统的可用性是放在极高的地位的,那么保证系统的可持续运行是网络运营者工作中的最重要的一部分。测评过程中是否会引起风险,也是网络运营者最关心的问题之一。所以,在测评过程中沟通与交流也变的非常重要。一方面,测评人员对自己的操作或要求客户进行的操作,要有个清晰的认知,以及对操作过程中以及操作完成后,是否对系统产生影响,要有清晰的认知。只有自己思路清晰,能够把控系统风险,才能避免风险,才能够令网络运营者放心。

等级测评报告的主要内容

网络运营者选择测评机构完成等级测评工作后,应要求等级测评机构按照公安部制定的《信息系统安全等级测评报告模版(2015版)》(公信安[2014]2866号)出具等级测评报告。等级测评报告是等级测评工作的最终产品,直接体现测评的成果。

测评报告如何出,是需要参考信息系统安全等级测评报告模板(2015版)的,不可能是五花八门乱搞一通。在参照模板同时,充分发挥测评师的经验与知识,通过科学的测评手段,获得客观公正的测定结果,也就是我们整个测评过程中最终的成果。

按照公安部对等级测评报告的格式要求,测评报告应包括但不局限于以下内容:安全等级测评基本信息表;声明;等级测评结论;总体评价;主要安全问题;问题处置建议。

测评报告的目录大致如下

1测评项目概述

2被测系统情况

3等级测评范围和方法

      3.1测评指标

           3.1.1安全通用要求指标

           3.1.2安全扩展要求指标

           3.1.3其他安全要求指标

4单项测评

5整体测评

6总体安全状况分析

7问题处置建议

附录

……往期也精彩……

分享是美德,传播是善良

等级测评机构及测评人员的管理与监督、测评机构的业务范围和工作要求

等级测评业务的开展与应用等级测评标准的注意事项

等级测评依据的标准

等级测评工作的基本含义、目的、时机

网络安全等级保护工作的开展情况

健全完善网络安全等级保护制度的主要内容和任务

       (科技成果转化中心供稿)