#每日三件事,第736天#
网络安全等级保护测评有四项活动:测评准备活动、方案编制活动、现场测评活动和报告编制活动。
测评准备活动的主要工作任务有:工作启动、信息收集和分析、工具和表单准备。
有的测评人员在测评准备活动阶段,对信息收集和分析方面做的比较粗躁。这可能会遗漏掉重要的设备设施,导致重要资产面临的威胁在测评过程中无法暴露出来,给网络系统带来巨大的安全隐患。
方案编制活动的主要工作任务有:测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发以及测评方案编制。
测评对象的的确定原则是恰当选取,保证强度。恰当选取是指对具体测评对象的选择要恰当,既要避免重要的对象、可能存在安全隐患的对象没有被选择,也要避免过多选择,使得工作量增大。保证强度是指对被测定级对象应实施与其等级相适应的测评强度。
这个阶段可能会忽略的就是测评指标确定。测评指标根据系统的级别来确定,但是在测评指标确定的时候,会有很多不适用项。不适用项的选取必须有合适的理由,否则就是偷工减料。等保2.0测评指标中,非常重要的一点就是可信验证。由于大部分网络系统都无法满足这一指标,很多测评机构就把可信验证选为不适用项。在测评结果的计算中,不适用项和测评结果符合要求的得分是一样的。也就是说,测评指标选为不适用项后,就意味着网络系统的得分会更高一些。
如果对一个安全防护能力很差的网络系统尽可能多的选择不适用项,那么这个网络系统最终的测评结果可能也会比较好。貌似防护能力还不错。
现场测评活动的主要任务有现场测评准备,现场测评和结果记录、结果确认和资料归还。
测评活动过程中,最重要的就是依据测评指标项检查测评对象是否满足要求。虽然说是“结果记录”,其实更多的应该是记录测评过程,记录的结果可重复、可再现。测评人员不应该直接记录结果,更不能简单的记录某测评对象在某方面满足什么要求。而是应该记录通过某测评方法,获得什么成果。至于结果如何,应该是任何人通过查看结论都能够通过自己的判断得到。
当然,测评记录的结果应该得到网络系统运营者的确认。
最后一个活动是报告编制,主要任务是单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估,安全问题风险分析、等级测评结论形成以及测评报告编制。
测评结果的判定是在报告编制活动阶段进行的。报告编制活动的重点就是对网络系统的整体测评分析,对安全问题的风险等级、弥补情况、修订情况进行综合分析。最终给出一个科学、准确的报告。
整个测评工作从准备活动到最后编写测评报告,大概会持续1个月左右。如果涉及到用户对系统的安全整改,时间可能还会更长一些。
网友评论