1 范圍

      本標(biāo)準(zhǔn)規(guī)范了網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)（以下簡稱“等級(jí)測評(píng)”）的工作過程，規(guī)定了測評(píng)活動(dòng)及其工作任務(wù)。

      本標(biāo)準(zhǔn)適用于測評(píng)機(jī)構(gòu)、定級(jí)對(duì)象的主管部門及運(yùn)營使用單位開展網(wǎng)絡(luò)安全等級(jí)保護(hù)測試評(píng)價(jià)工作。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB 17859 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

      GB/T 22239 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求

      GB/T 25069 信息安全技術(shù) 術(shù)語

      GB/T 28448 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求

3 術(shù)語和定義

      GB 17859、GB/T 22239、GB/T 25069和GB/T 28448界定的術(shù)語和定義適用于本文件。

4 等級(jí)測評(píng)概述

4.1 等級(jí)測評(píng)過程概述

      本標(biāo)準(zhǔn)中的測評(píng)工作過程及任務(wù)基于受委托測評(píng)機(jī)構(gòu)對(duì)定級(jí)對(duì)象的初次等級(jí)測評(píng)給出。運(yùn)營、使用單位的自查或受委托測評(píng)機(jī)構(gòu)已經(jīng)實(shí)施過一次以上等級(jí)測評(píng)的，測評(píng)機(jī)構(gòu)和測評(píng)人員根據(jù)實(shí)際情況調(diào)整部分工作任務(wù)（見附錄A）。開展等級(jí)測評(píng)的測評(píng)機(jī)構(gòu)應(yīng)嚴(yán)格按照附錄B中給出的等級(jí)測評(píng)工作要求開展相關(guān)工作。

      等級(jí)測評(píng)過程包括四個(gè)基本測評(píng)活動(dòng)：測評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場測評(píng)活動(dòng)、報(bào)告編制活動(dòng)。而測評(píng)相關(guān)方之間的溝通與洽談應(yīng)貫穿整個(gè)等級(jí)測評(píng)過程。每一測評(píng)活動(dòng)有一組確定的工作任務(wù)。具體如表1所示。

表1 等級(jí)測評(píng)過程

表1（續(xù)）

      本標(biāo)準(zhǔn)對(duì)其中每項(xiàng)活動(dòng)均給出相應(yīng)的工作流程、主要任務(wù)、輸出文檔及活動(dòng)中相關(guān)方的職責(zé)的規(guī)定，每項(xiàng)工作任務(wù)均有相應(yīng)的輸入、任務(wù)描述和輸出產(chǎn)品。

4.2 等級(jí)測評(píng)風(fēng)險(xiǎn)

4.2.1 影響系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)

      在現(xiàn)場測評(píng)時(shí)，需要對(duì)設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測試工作，部分測試內(nèi)容需要上機(jī)驗(yàn)證并查看一些信息，這就可能對(duì)系統(tǒng)運(yùn)行造成一定的影響，甚至存在誤操作的可能。

      此外，使用測試工具進(jìn)行漏洞掃描測試、性能測試及滲透測試等，可能會(huì)對(duì)網(wǎng)絡(luò)和系統(tǒng)的負(fù)載造成一定的影響，滲透性攻擊測試還可能影響到服務(wù)器和系統(tǒng)正常運(yùn)行，如出現(xiàn)重啟、服務(wù)中斷、滲透過程中植入的代碼未完全清理等現(xiàn)象。

4.2.2 敏感信息泄露風(fēng)險(xiǎn)

      測評(píng)人員有意或無意泄漏被測系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)洹P地址、業(yè)務(wù)流程、業(yè)務(wù)數(shù)據(jù)、安全機(jī)制、安全隱患和有關(guān)文檔信息等。

4.2.3 木馬植入風(fēng)險(xiǎn)

      測評(píng)人員在滲透測試完成后，有意或無意將滲透測試過程中用到的測試工具未清理或清理不徹底，或者測試電腦中帶有木馬程序，帶來在被測評(píng)系統(tǒng)中植入木馬的風(fēng)險(xiǎn)。

4.3 等級(jí)測評(píng)風(fēng)險(xiǎn)規(guī)避

      在等級(jí)測評(píng)過程中可以通過采取以下措施規(guī)避風(fēng)險(xiǎn)：

      a）簽署委托測評(píng)協(xié)議

      在測評(píng)工作正式開始之前，測評(píng)方和被測評(píng)單位需要以委托協(xié)議的方式明確測評(píng)工作的目標(biāo)、范圍、人員組成、計(jì)劃安排、執(zhí)行步驟和要求以及雙方的責(zé)任和義務(wù)等，使得測評(píng)雙方對(duì)測評(píng)過程中的基本問題達(dá)成共識(shí)。

      b）簽署保密協(xié)議

      測評(píng)相關(guān)方應(yīng)簽署合乎法律規(guī)范的保密協(xié)議，以約束測評(píng)相關(guān)方現(xiàn)在及將來的行為。保密協(xié)議規(guī)定了測評(píng)相關(guān)方保密方面的權(quán)利與義務(wù)。測評(píng)過程中獲取的相關(guān)系統(tǒng)數(shù)據(jù)信息及測評(píng)工作的成果屬被測評(píng)單位所有，測評(píng)方對(duì)其的引用與公開應(yīng)得到相關(guān)單位的授權(quán)，否則相關(guān)單位將按照保密協(xié)議的要求追究測評(píng)單位的法律責(zé)任。

      c）現(xiàn)場測評(píng)工作風(fēng)險(xiǎn)的規(guī)避

      現(xiàn)場測評(píng)之前，測評(píng)機(jī)構(gòu)應(yīng)與相關(guān)單位簽署現(xiàn)場測評(píng)授權(quán)書，要求相關(guān)方對(duì)系統(tǒng)及數(shù)據(jù)進(jìn)行備份，并對(duì)可能出現(xiàn)的事件制定應(yīng)急處理方案。

      進(jìn)行驗(yàn)證測試和工具測試時(shí)，避開業(yè)務(wù)高峰期，在系統(tǒng)資源處于空閑狀態(tài)時(shí)進(jìn)行，或配置與生產(chǎn)環(huán)境一致的模擬/仿真環(huán)境，在模擬/仿真環(huán)境下開展漏洞掃描等測試工作；上機(jī)驗(yàn)證測試由測評(píng)人員提出需要驗(yàn)證的內(nèi)容，系統(tǒng)運(yùn)營、使用單位的技術(shù)人員進(jìn)行實(shí)際操作。整個(gè)現(xiàn)場測評(píng)過程要求系統(tǒng)運(yùn)營、使用單位全程監(jiān)督。

      d）測評(píng)現(xiàn)場還原

      測評(píng)工作完成后，測評(píng)人員應(yīng)將測評(píng)過程中獲取的所有特權(quán)交回，把測評(píng)過程中借閱的相關(guān)資料文檔歸還，并將測評(píng)環(huán)境恢復(fù)至測評(píng)前狀態(tài)。

5 測評(píng)準(zhǔn)備活動(dòng)

5.1 測評(píng)準(zhǔn)備活動(dòng)工作流程

      測評(píng)準(zhǔn)備活動(dòng)的目標(biāo)是順利啟動(dòng)測評(píng)項(xiàng)目，收集定級(jí)對(duì)象相關(guān)資料，準(zhǔn)備測評(píng)所需資料，為編制測評(píng)方案打下良好的基礎(chǔ)。

      測評(píng)準(zhǔn)備活動(dòng)包括工作啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備三項(xiàng)主要任務(wù)。這三項(xiàng)任務(wù)的基本工作流程見圖1。

圖1 測評(píng)準(zhǔn)備活動(dòng)的基本工作流程

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。