§4测评报告的编制和审核要点
Categories:
2 分钟阅读
测评报告模板
网络安全等级测评基本信息表
声明
等级测评结论
等级测评结论扩展表(云计算安全)
等级测评结论扩展表(大数据安全)
总体评价
主要安全问题及整改建议
目录
1 测评项目概述
1.1 测评目的
1.2 测评依据
1.3 测评过程
1.4 报告分发范围
2 被测对象描述
2.1 被测对象概述
2.2 测评指标
2.3 测评对象
3 单项测评结果分析(3.1-3.11子目录结构相同)
3.1 安全物理环境
3.1.1 已有安全控制措施汇总分析
3.1.2 已有安全控制措施汇总分析
3.2 安全通信环境
3.3 安全区域边界
3.4 安全计算环境
3.5 安全管理中心
3.6 安全管理制度
3.7 安全管理机构
3.8 安全管理人员
3.9 安全建设管理
3.10 安全运维管理
3.11 其他安全要求指标
3.12 验证测试
3.12.1 漏洞扫描
3.12.1.1 漏洞扫描结果统计
3.12.1.2 漏洞扫描问题描述
3.12.2 渗透测试
3.12.2.1 渗透测试过程说明
3.12.2.2 渗透测试问题描述
3.13 单项测评小结
3.13.1 控制点符合情况汇总
3.13.2 安全问题汇总
4 整体测评
4.1 安全控制点间安全测评
4.2 区域间安全测评
4.3 整体测评结果汇总
5 安全问题风险分析
6 等级测评结论
7 安全问题整改建议
附录A 被测对象资产
附录B 上次测评问题整改情况说明
附录C 单项测评结果汇总
附录D 单项测评结果记录
附录E 漏洞扫描结果记录
附录F 渗透测试结果记录
附录G 威胁列表
附录H 云计算平台测评及整改情况
附录I 大数据平台测评及整改情况
测评报告——网络安全等级测评基本信息表
| 编制要点 | 注意事项 |
|---|---|
| 被测对象基本信息 | 相关内容应严格按照备案证明材料(备案证明)进行填写。 |
| 安全保护等级信息 | 第(中文数据)级,并附上(SxAy),而不是(SAG)。 |
| 被测单位信息 | 严格按照信息系统调研表中的信息进行填写。 |
| 测评单位信息 | 按照本单位实际情况统一进行填写。 |
| 审批核准信息 | 1. 编制人由测评项目组织(中级及以上测评师)签字; |
| 2. 审核人由技术主管或其授权人(高级测评师)负责审核; | |
| 3. 批准人由机构管理者或其授权人员签字。 |
测评报告——声明
声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。
测评报告——等级测评结论
| 编制要点 | 注意事项 |
|---|---|
| 被测对象名称 安全保护等级 |
同“网络安全等级测评基本信息表”保持一致。 |
| 扩展要求应用情况 | 应视被测对象的实际情况选择相应的扩展要求,可多选。 |
| 被测对象描述 安全状况描述 |
参见报告模板“填写说明”。 |
| 综合得分 | 与报告中其他各处分数保持一致。 |
测评报告——等级测评结论扩展表(云计算安全)
| 编制要点 | 注意事项 |
|---|---|
| 被测对象云计算形态 | 用于明确被测对象是云计算平台还是云服务客户业务应用系统,此处为单选。 |
| 被测对象采用的云计算服务模式 | 用于描述被测对象采用的云计算服务模式,此处为单选。 |
| 云计算平台名称 | 当云计算形态为云服务客户业务应用系统是,此处应填写被测对象所使用的云计算平台名称。 |
| 云计算平台服务能力描述 | 给出了当前服务模式下云计算平台为云服务客户提供的服务能力符合情况,以及云计算平台得等级测评结论和综合得分。 能力描述需根据被测系统的等级,适时调整能力描述中的云扩展要求。 |
| ❗如果云服务客户业务应用系统同时部署在不同模式的云计算平台上,可以使用多个《等级测评结论扩展表(云计算安全)》来展示。 |
❗若被测对象非云计算平台或云上租户系统,此表格可删除。 ❗云服务客户系统所在的云计算平台测评结论和分数需来源于正式的云计算测评报告。 |
测评报告——等级测评结论扩展表(大数据安全)
| 编制要点 | 注意事项 |
|---|---|
| 被测对象大数据形态 | 用于明确被测对象的大数据形态是否包括大数据平台、大数据应用或大数据资源,此处为多选。 |
| 大数据平台名称 | 当大数据形态为大数据应用或大数据资源时,此处应填写承载大数据业务所使用的的大数据平台名称。 |
| 大数据平台服务能力描述 | 给出了大数据平台的服务能力符合情况,以及大数据平台的等级测评结论和综合得分。需要注意的是,应根据被测对象安全保护等级情况,参照模板中内容给出相应等级的大数据安全扩展主要要求。 |
| ❗若被测对象未采用大数据技术,此表可删除。 |
❗大数据应用和大数据资源所在的二大数据平台测评结论和分数需来源于正式的大数据平台测评报告。 |
测评报告——总体评价
- 根据被测对象测评结果和测评过程中了解的相关信息,从安全物理环境等十个安全类分别评价描述被测对象的安全保护状况,并给出被测对象的等级测评结论。
- 针对十大层面进行描述,需要分别进行总体安全措施到位情况的描述,此处不体现发现的安全问题。
测评报告——主要安全问题及整改建议
- 应描述被测对象存在的主要安全问题及整改建议。
- 主要描述各层面发现的重大安全问题,尤其是可能导致中高风险的问题,无需列出所有问题(若系统中高风险问题较少时,可列出部分低风险问题,除此情况低风险问题尽量不在此列出)。
- 若某一个层面没有主要的安全问题,可写:未发现明显的安全问题,最好不要省略不写。
- 安全问题描述不应过于抽象,安全整改建议需具备一定的落地指导意义,不能将标准条款原文搬抄。
测评报告——测评项目概述
| 编制要点 | 注意事项 |
|---|---|
| 测评目的 | 主要阐述本次测评工作的来源、背景等;可重点阐述本次测评的主要工作范围、所包含的被测对象以及本次工作目标。 |
| 测评依据 | 注意作为测评依据的标准应保证其是最新版,名称和年份注意和最新保持一致。 |
| 测评过程 | 简单扼要描述整个测评工作各个时间阶段的主要工作内容及工作成果;各工作阶段时间描述应与报告其他章节所出现的时间描述保持一致,尤其是报告编制阶段的时间段需与前述章节出现的报告编制时间保持一致。 |
| 报告分发范围 | 测评报告的分发份数应根据合同相关要求;若无合同约束,则以被测方的实际要求份数为准。 |
测评报告——被测对象描述
| 编制要点 | 注意事项 | |
|---|---|---|
| 被测对象概述 | 定级结果 | 应分别描述其业务信息安全保护等级和系统服务安全保护等级。 |
| 业务和采用的技术 | 主要描述被测对象承担的业务、所提供的服务、若采取云计算、大数据、移动互联等新技术,要具体说明; 如果被测对象采用了多种新技术,则不同新技术应单独成段描述。 |
|
| 网络结构 | 需根据网络拓扑图说明安全区域划分、隔离和防护情况、关键网络和服务器设备部署情况、与其它系统互联情况,以及网络管理方式和管理工具、本地备份和灾备中心情况等。 | |
| 网络拓扑图 | 应能反映出相关网络分区、主要设备部署(边界设备、安全设备、主要服务器、运维终端和业务管理终端)等情况,并且所反映出的主要设备与后续的设备清单能够对应; 只要能够结合网络结构描述和资产清单说明测评设备部署情况即可。 |
|
| 测评指标 | 安全通用指标 | 应根据相应等级选择安全通用要求。 |
| 安全扩展指标 | 根据被测对象采用新技术情况,进行单选或多种情况选择。 | |
| 其他安全指标 | 结合被测单位要求、被测对象的实际安全需求,以及安全最佳实践经验,以列表形式给出《基本要求》未覆盖或者高于被测对象安全保护等级的安全要求,如行业标准等。 | |
| 不使用指标 | 指所有被测对象均不适用的控制点和要求项。 1. 不适用项的判定原则是只有被测系统不存在此项安全需求时才可判定为不适用。 2. 不适用项应明确说明不适用原因,如部分测评对象不适用该要求项或控制点,不在此处说明,而应在相应的结果记录表中说明原因。 3. 不适用项的描述应包括被测系统的情况说明、不适用的原因说明,其中对于不适用的原因说明应经得起推敲,不能直接写“不适用”。 |
|
| 测评对象 | 选择方法 | 1. 依据GB/T 28449-2018中测评对象确定原则和方法,分别抽选机房、网络设备、安全设备、服务器、终端、系统管理软件/平台、业务应用系统/平台、数据资源、安全人员和管理文档等,和方案保持一致。 2. 所选的各类测评对象应覆盖系统资产的主要设备类型,关键设备和重要设备应作为首选,注意不要遗漏管理终端。 3. 系统管理软件/平台主要包括各类数据库系统、业务数据、审计数据、配置数据、音视频数据和个人敏感信息等。 |
| 选择结果 | 测评对象选择结果的实质性内容应与测评方案一致。 |
测评报告——单元测评结果分析
| 编制要点 | 注意事项 | |
|---|---|---|
| 安全物理环境(3.1) 至 其他安全问题汇总分析(3.11) |
已有安全控制措施汇总分析 | 1. 主要针对测评结果中符合项的内容以控制点为单位进行汇总和分析; 2. 若同一个要求项中,如一部分做到,一部分未做到,建议统一在安全问题中描述,而不是在已有安全控制措施和主要安全问题分别描述。 |
| 主要安全问题汇总分析 | 针对测评结果中部分符合项和不符合项内容进行问题汇总和危害分析;描述安全问题及其关联对象,形成被测对象的主要安全问题描述。 | |
| 关于数据资源 | 在“数据资源”只汇总应用系统涉及的重要业务数据、重要个人信息和大数据资源的测评证据,测评控制点包括数据完整性、数据保密性、剩余信息保护、备份和恢复和个人信息保护等。 | |
| 存在云计算安全扩展要求的 | 1. 建议将云扩展要求分别放在各层面最后描述,描述样例:“此外,云计算安全扩展要求方面还采取了一下安全措施……”; 2. 其中,安全计算环境中,关于云计算安全扩展要求的“身份鉴别、数据控制、入侵防范、镜像和快照保护”等控制点放在“业务应用系统/平台”最后描述; 3. “数据备份和恢复、数据完整性和保密性、剩余信息保护”放在“数据资源”最后描述。 |
|
| 其他安全要求指标 | 如被测对象选择了除等级保护之外的其他安全指标,则在此处描述指标实现情况。 | |
| 验证测试(3.12) | ❗明确漏洞扫描和渗透测试接入点,目标要全面。 ❗因被测方原因无法正常按照测评方案开展漏扫和渗透工作的,需在此处加以说明,并说明原因。 |
|
| 漏洞扫描 | 针对每个扫描点分别描述在该扫描点扫描到的设备及其发现的漏洞数量,并针对主要高危安全漏洞进行汇总分析。 | |
| 渗透测试 | 1. 针对渗透测试发现的安全问题进行汇总描述。第三级及以上系统作为重要信息系统,无论是纯内网系统还是互联网系统均需经过渗透测试(含内部测试和外部测试); 2. 渗透测试需说明所在的环境(生产环境还是测试环境)和渗透测试目标; 3. 渗透测试因甲方原因没有完成的,需提供无法做的说明材料,以图片方式提供,需有签字、盖章和日期。 |
|
| 渗透和漏扫的基线要求 | 1. 包括测试过程、结果展示、危害分析、整改建议等关键要素; 2. 渗透测试中漏洞利用手段包括但不限于:持久化、权限提升、防御绕过、凭据访问、发现、横向移动、收集、命令与控制。 |
|
| 单元测评小结(3.13) | 控制点符合程度汇总 | 根据单项测评结果汇总控制点情况,符合情况填写“√”。 |
| 安全问题汇总 | 根据被测对象在各测评项的部分符合项和不符合项汇总安全问题,各安全类中同意安全问题所关联的测评对象应进行合并。 | |
| 安全问题汇总表 | 第一列是问题编号而非序号。 |
测评报告——整体测评
| 编制要点 | 注意事项 |
|---|---|
| 安全控制点间安全测评 | 主要烤炉不同安全控制点间安全措施是否存在的功能增强(弥补)或削弱等关联作用。如: 1. 物理访问控制与防盗窃和防破坏(安全物理环境); 2. 身份鉴别与访问控制(安全计算环境)。 |
| 区域间安全测评 | 主要通过其在网络区域的位置及左右,考虑互联互通的不同区域之间,可系统分析系统中访问控制路径(如不同功能区域间的数据流流向和控制方式),是否存在区域间安全功能的相互补充。 |
| 整体测评结果汇总 | 1. 汇总安全控制点间测评、区域间测评结果,整体测评结果汇总表中的描述需和安全控制间和区域间描述一致; 2. 问题编号需与3.13.2中的问题编号保持一致。 |
| 整体分析方向 | 1. 需从“弥补”和“削弱”两个方向开展整体测评工作,不应仅考虑“弥补”因素; 2. 慎用“弥补”因素,中电关注各级别新增条款。 |
测评报告——安全问题风险分析
| 编制要点 | 注意事项 |
|---|---|
| 采用风险分析的方法 | 分析测评中发现的安全问题可能导致的安全事件及安全事件危害,并进行风险等级判定,风险等级结果为“高”、“中”、“低”。 |
| 以安全问题为导向 | 分析该安全问题关联的的资产,可能面临的威胁,可能产生的后果分析,并以风险分析的方法,判断风险值。 |
| 同一层面的相同安全问题 | 如关联的威胁和风险等级相同,可合并。 |
| 安全问题描述 | 描述需准确,且与测评记录反映的情况一致。 |
| 安全问题的风险分析准确 | 1. “高风险指引”结合场景不生搬硬套; 2. 结合场景,综合考虑威胁和脆弱性,问题描述及危害分析要内容清晰、论证充分等。 |
测评报告——等级测评结论
| 编制要点 | 注意事项 |
|---|---|
| 优 | 被测对象中存在安全问题,但不会导致被测对象面临中、高等级安全风险,且综合得分90分以上(含90分)。 |
| 良 | 被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且综合得分80分以上(含80分)。 |
| 中 | 被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且综合得分70分以上(含70分)。 |
| 差 | 被测对象中存在安全问题,但会导致被测对象面临高等级安全风险,且综合得分低于70分。 |
| ❗ 注意根据不同风险级别和分数情况,选择恰当的描述,具体描述可参见报告模板,确保测评结论准确。 |
设M为被测对象的综合得分,M=Vt+Vm,Vt和Vm根据下列公式计算:
Vt(技术方面得分)={100⋅y−∑k=1tf(ωk)⋅(1−xk)⋅SVt>00Vt≤0Vt(技术方面得分)={100⋅y−∑k=1tf(ωk)⋅(1−xk)⋅S0Vt>0Vt≤0
Vm(管理方面得分)={100⋅(1−y)−∑k=1tf(ωk)⋅(1−xk)⋅SVm>00Vm≤0Vm(管理方面得分)={100⋅(1−y)−∑k=1tf(ωk)⋅(1−xk)⋅S0Vm>0Vm≤0
0≤xk≤1,S=100⋅1n,f(ωk)={1,ωk=一般2,ωk=重要3,ωk=关键0≤xk≤1,S=100⋅n1,f(ωk)=⎩⎪⎨⎪⎧1,ωk=一般2,ωk=重要3,ωk=关键
t:技术方面测评总项;m:管理方面总测评项数;y:关系系数,默认0.5;n:总测评项数(不含不适用项);ωk:测评项的重要程度;xk:测评项k的得分,涉及多测评对象,取算术平均;t:技术方面测评总项;m:管理方面总测评项数;y:关系系数,默认0.5;n:总测评项数(不含不适用项);ωk:测评项的重要程度;xk:测评项k的得分,涉及多测评对象,取算术平均;
测评报告——安全问题及整改建议
- 安全问题的描述应与整改建议相对应。
- 整改建议中的安全问题的个数与位置应与第5章表中的描述保持一致。
- 整改建议应避免将问题的描述去掉“未”而形成,应针对当前系统的具体情况给出具有针对性的建议,建议应有可操作性,不能简单重复测评项内容。
测评报告——❗报告审核要点
| 编制要点 | 注意事项 |
|---|---|
| 被测系统和抽选对象的实质性内容是否与测评方案一致? | 保证一致性,测评方案必须全面围绕被测系统和抽选对象进行编制。 |
| 测评记录是否详细、准确、支持符合性判断? | 1. 明确记录测评方法和证据来源,记录必要的对象特征和细节描述; 2. 测评记录常见问题有:测评记录照抄测评项、测评记录直接下结论、测评记录间互相矛盾的情况、测评记录与测评项内容不相符、测评记录没有完全覆盖测评项、存在漏测的情况、不适用项的判断不准确等。 |
| 原始测评记录是否具有测评师及业主方签字确认? | 1. 测评记录应有业主签字; 2. 签字人应是测评报告中“安全相关人员”章节中的人员,且签字人名称和岗位角色与所签测评记录表一致; 3. 如配合人员为厂商等其他单位、部门人员、应标明配合人员,并由业主签字确认; 4. 编写测评记录的测评师可追溯至测评实施人员,且与其分工一致; 5. 如项目实施中发生人员变更,还应具有人员变更审批文件。 |
| 测评报告中工具漏洞扫描和渗透测试结果全面深入? | 1. 漏洞扫描和渗透测试接入点及目标的全面性; 2. 渗透测试符合等级保护渗透测试基线要求; 3. 漏洞扫描、渗透测试结果能够辅助验证基本要求的符合情况,并尽可能发现网络中的安全问题,保证测评结论准确。 |
| 安全问题描述的与评判是否准确? | 1. 安全问题描述准确,且与测评记录反映的情况一致; 2. 对于安全问题的整体测评分析合理; 3. 安全问题的风险分析准确性。 |
| 整改建议是否完整、准确、合理? | 1. 整改建议完整,覆盖所有安全问题; 2. 整改建议准确、合理、有针对性。 |
| 测评结论是否准确? | 参考《测评报告——等级测评结论》中测评结论的计算及优良中差的描述。 |
| 测评报告文档内容是否规范? | 1. 参照现行的测评报告模板,内容完整; 2. 基本没有错别字; 3. 格式统一,排版清晰; 4. 目录、页码无错误; 5. 测评报告中特定对象名称(如:单位名称、系统名称、备案证明号、系统等级等)应保持前后一致; 6. 测评报告具有编制人、审核人、批准人签字并加盖机构代码标识; 7. 测评报告由测评项目组长(中级及以上测评师)作为第一编制人,技术主管或其授权人(高级测评师)负责审核。 |