网络安全等级保护:等级保护测评的目的、时机
本期关键词:测评时机 测评目的 测评含义 等级测评
其实做任何事都存在风险,特别是做的事情与安全相关,而信息安全又具有一定的隐蔽性,所以在测评过程中,难免存在一定的不确定性的因素。风险存在是正常的事情,如何规避风险才是我们要做的事情。这期内容,对存在的风险进行一个梳理,以便我们了解。风险包括网络敏感信息泄漏、验证测试可能会对网络运行造成影响、工具测试可能对网络运行造成影响,特别是工控系统可用性要求更高。了解风险也是为规避风险做准备,在了解风险的基础上进行风险规避,其中包括签署保密协议、签署委托测评协议、现场测评工作风险的规避、规范化的实施过程、沟通与交流等都是规避风险的重要内容。含义是什么?网络安全等级保护测评工作(下称“等级测评”)是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。等级测评包括标准符合性评判活动和风险评估活动,即依据网络安全等级保护的国家标准或行业标准,按照特定方法对网络的安全保护能力进行科学、公正的综合评判过程。
目的是什么?根据《网络安全法》和《管理办法》的规定,网络按照《基本要求》等技术标准安全建设完成后,网络运营者应当选择符合规定条件的测评机构,定期对网络的安全保护状况开展等级测评。通过测评,一是可以发现网络存在的安全问题,掌握网络的安全状况、排查网络的安全隐患和薄弱环节、明确网络安全建设整改需求;二是衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力。等级测评结果是公安机关等安全监管部门进行监督、检查、指导的参照。什么时间是开展等级测评的时机,这也是很多人比较关注的一个问题。1.安全建设整改前在开展网络安全建设整改之前,网络运营者可以通过等级测评,分析判断目前网络所采取的安全措施与等级保护标准要求之间的差距,分析安全方面存在的问题,查找网络安全保护建设整改需要解决的问题,形成安全建设整改的安全需求。2.安全建设整改后网络安全建设整改完成后,网络运营者应通过等级测评对网络的等级保护措施落实情况与《基本要求》的要求之间的符合程度进行评判,形成网络安全等级测评报告,如果发现问题将继续整改。3.定期开展等级测评网络运行维护期间,应定期进行安全等级测评,及时发现和分析网络存在的安全问题。《管理办法》要求网络建设完成后,网络运营者当选择符合规定条件的测评机构,依据《测评要求》等技术标准,定期对网络的安全保护状况开展等级测评。第三级(含)以上网络应当每年至少进行一次等级测评,重要部门的第二级网络可以参照上述要求开展等级测评工作。等级测评机构的业务范围又有哪些呢?等级保护测评机构有三类,分别是由国家信息安全等级保护工作协调小组办公室推荐的网络安全职能部门测评机构、行业性测评机构及由省级等保办推荐的地方性测评机构。测评机构提供测评服务不受地域、行业、领域的限制。属于异地测评项目的,测评机构应从项目管理系统中生成测评项目基本情况表,并于测评项目实施前报送或传至被测评网络备案公安机关。测评过程与运行的网络系统打交道,自然也会引起网络运营者重视与关注,在日常运行过程中,一个系统的可用性是放在极高的地位的,那么保证系统的可持续运行是网络运营者工作中的最重要的一部分。测评过程中是否会引入新的风险,也是网络运营者最关心的问题之一。在测评过程中沟通与交流也变得非常重要。测评人员对自己的操作或要求客户进行的操作,要有个清晰的认知,以及对操作过程中以及操作完成后,是否对系统产生影响,要有清晰的认知。只有思路清晰,能够识别系统风险,才能把控系统风险、避免风险,才能够令网络运营者放心。
存在的风险等级测评过程中可能存在以下风险。1.网络敏感信息泄漏泄漏被检测单位网络状态信息,例如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。2.验证测试可能会对网络运行造成影响在现场进行测评时,需要对设备和网络进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对网络的运行造成一定的影响,甚至存在误操作的可能。3.工具测试可能会对网络运行造成影响在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对网络的负载造成一定的影响,漏洞扫描测试和渗透测试可能会对服务器和网络通信造成一定影响甚至伤害。
网络安全等级保护:测评机构业务范围和工作要求及风险控制网络安全等级保护:等级保护测评工作要求及业务开展注意事项网络安全等级保护:网络安全等级保护基本技术网络安全十大安全漏洞等级保护、等级保护测评、分级保护测评、密码保护测评之间的区别与联系