§3测评方案的编制和审核要点
Categories:
少于1分钟
测评方案的编制要点
项目基本信息
| 编制要点 | 注意事项 |
|---|---|
| 具有被测系统简介 | 描述主要介绍被测系统基本情况。 |
| 具有项目工作目标 | 描述主要介绍项目的工作目标及测评目的等。 |
| 测评依据的标准准确合理 | 作为测评依据的标准应保证其是最新版,名称和年份注意和最新保持一致。 |
测评对象描述
| 编制要点 | 注意事项 |
|---|---|
| 系统定级结果 | 被测对象名称、安全保护等级、业务信息安全保护等级、系统服务安全保护等级。 |
| 业务和采用的技术 | 被测对象承载的业务和主要功能,以及采用云计算/移动互联/物联网/工业控制/大数据等技术情况。 |
| 网络结构 | 1. 网络拓扑图清晰可辨、安全区域划分清楚,整体结构清晰完整,关键设备信息完; |
| 2. 如果被测网络结构较为复杂、资产数量较多,可采用总、分图的方式绘制网络拓扑图,也可以结合网络结构描述和资产清单对网络拓扑图进行补充说明; | |
| 3. 网络结构描述要求全面准确,应包括区域的划分和描述、域间的连接和防护、外部连接、无法再拓扑图上描述清楚的内容(如核心交换机双主控、VPN、内置防火墙、双机热备)等。 | |
| 物理机房 | 机房名称、物理位置、重要程度。 |
| 网络设备 | 设备名称、是否虚拟设备、系统及版本、品牌及型号、用途、重要程度。 |
| 安全设备 | 设备名称、是否虚拟设备、系统及版本、品牌及型号、用途、重要程度。 |
| 服务器 | 设备名称、所属业务应用系统/平台、是否虚拟设备、操作系统及版本、数据库管理系统及版本、中间件及版本、重要程度。 |
| 终端 | 设备名称、是否虚拟设备、系统及版本、品牌及型号、用途、重要程度。 |
| 其他系统或设备 | 设备名称、是否虚拟设备、系统及版本、品牌及型号、用途、重要程度。 |
| 系统管理软件/平台 | 系统管理软件/平台名称、主要功能、版本、所在设备名称、重要程度。 |
| 业务应用系统/平台 | 业务应用系统/平台名称、主要功能、版本、所在设备名称、重要程度。 |
| 数据资源 | 数据类别(鉴别数据、业务数据、审计数据、配置数据、个人信息等)、所属业务应用、安全防护需求、重要程度。 |
| 安全相关人员 | 姓名、岗位/角色、联系方式、所属单位。 |
| 安全管理文档 | 文档名称、主要内容。 |
| ❗适用时 | 按《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)附录C“新技术新应用等级测评实施补充”的要求确定特有的测评对象及其相关资产。 |
测评方法和范围
| 编制要点 | 注意事项 |
|---|---|
| 测评指标 | 测评指标选取与被测系级情况相一致,根据测评对象的定级结果选择相应的测评指标,包括安全通用要求指标、安全扩展要求指标、其他安全要求指标。 |
| 测评对象选择方法 | 对不同级别的等级保护对象进行等级测评时,一般采用抽查的方法,并明确抽查原则。 |
| 测评对象选择结果 | 1. 依据《网络安全等级保护测评过程指南》(GB/T 28449-2018)附录D “测评对象确定准则和样例“,选择测评对象及抽样数量。 |
| 2. 热备设备要一句抽样原则抽选,不能仅抽选1台。 | |
| 3. 应结合测评对象的实际数量考察抽样结果,避免由于设备数量不足,抽样数量没有达到抽样要求的情况。 | |
| 测评方法 | 依据《网络安全等级保护测评过程指南》(GB/T 28449-2018),等级测评现场实施过程中将综合采用访谈、核查和测试等测评方法。 |
验证测试
| 编制要点 | 注意事项 |
|---|---|
| 验证测试工具 | 主要介绍使用的测试工具情况,如包括工具名称、功能介绍、升级计划(保证规则库处于最新状态)及其系统版本和规则库版本等内容。 |
| 漏洞扫描和渗透测试 | ❗明确测试接入示意图清晰,接入点设置合理,漏洞扫描和渗透测试目标全面。 |
| 1. 测试工具的接入采取从外到内,从其他网络到本地网络的逐步逐点接入,即:测试工具从被测定级对象边界外接入、在被测定级对象内部与测评对象不同区域网络及同一网络区域内接入等几种方式; | |
| 2. 漏洞扫描和渗透测试目际包括但不限于网络设备、安全设备、操作系统、数据库眚理系应用系中间件、重要终端(如业务应用管理终端、设备运维管理终端)以及新技术新应用相关的特征要素(如移动APP、PLC)等。 |
安全风险和规避措施
| 编制要点 | 注意事项 |
|---|---|
| 安全风险揭示 | 必须有漏洞扫描和渗透测试的风险揭示、规避措施及测评机构在风险意外发生后的应急处理方案。 |
| 规避措施 | ❗应综合利用风险规避手段,合理设计漏洞扫描和渗透测试方案。充分利用风险规避手段开展漏洞扫描和渗透测试,其主要手段包括但不限于: |
| 1.避开业务高峰期,在生产网络资源处于空闲状态时进行漏洞扫描和渗透测试; | |
| 2.具备模拟/仿真环境的情况下,确认其于生产环境一致,并在模拟/仿真环境下开展漏洞扫描和渗透测试; | |
| 3.非互联网服务的等级保护对象,限于正式的管理要求(如主管部门文件、行业标准等),无法开展漏洞扫描和渗透测试,也不具备模拟/仿真环境的情况下,应由测评委托单位正式声明放弃验证测试(漏洞扫描和渗透测试)。 |
测评方案的审核要点
测评方案中被测系统和调查对象的实质性内容是否与调查表一致?
- “实质性内容不一致”是指测评方案与调查表在调查对象的种类、数量有较大出入;
- 调查对象的描述有一定调整则不属于实质性内容不一致。
测评方案项目基本信息是否全面准确?
- 具有被系统简介描述;
- 具有项目工作目标描述;
- 测评依据的标准准确合理。
测评方案中抽选的被测对象的信息是否全面准确?
- 抽选的被测对象信息“全面”指方案中被测对象的类别及信息的描述完整,不能缺失有关信息,测评方案中应包括所有测评对象及相关信息;
- 方案内容“准确”是指测评方案中填写的内容要反映被抽选对象的实际情况,不能表述模糊、错误,不能应付工作;
- 针对数据资源,应关注方案中是否合理选取了鉴别数据、重要业务数据、重要审计数据、重要配置数据和重要个人信息等数据对象。
测评方案中漏洞扫描和渗透测试内容合理、全面?
- 必须有漏洞扫描和渗透测试的风险提示、规避措施及测评机构在风险意外发生后的应急处理方案;
- 应综合利用风险规避手段,合理设计漏洞扫描和渗透测试方案;若无法开展,应由测评委托单位正式声明放弃验证测试(漏洞扫描和渗透测试)。
- 方案中应包括工具升级计划,保证规则库处于最新状态;
- 漏洞扫描和渗透测试接入示意图清晰,且接入点设置合理,漏洞扫描和渗透测试目标全面。
测评方案关键内容是否准确?
- 测评指标选取与被测系统定级情况相一致;
- 网络拓扑图绘制规范、网络结构描述清晰准确、网络拓扑图和设备信息基本对应,可以反映出被测设备的基本部署情况;
- 被测对象的抽选结果满足测评要求。
测评方案是否具有业主方签字确认?
- 测试方案编制完成后入场前必须要求委托业主方签字。