1 等保測評概述

在討論“等保測評是什么”之前，首先需要了解什么是“等?！?。“等保”即網絡安全等級保護，是指對網絡信息和信息載體按照重要程度劃分等級，并基于分級，針對性地開展安全保護工作。網絡安全等級保護制度是我國網絡安全領域現(xiàn)行的基本制度。

等保的實施流程分為5個環(huán)節(jié)：系統(tǒng)定級、備案、建設整改、等級測評和監(jiān)督檢查；而等保測評（也稱等級測評）正是其中的一個重要環(huán)節(jié)。

等保測評是指由具有資質的測評機構，依據(jù)國家網絡安全等級保護規(guī)范規(guī)定，按照有關管理規(guī)范和技術標準，對等保對象（如信息系統(tǒng)、數(shù)據(jù)資源、云計算、物聯(lián)網、工業(yè)控制系統(tǒng)等）的安全等級保護狀況進行檢測評估的活動。簡單來說，等保測評用于驗證網絡系統(tǒng)或應用是否滿足相應的安全保護等級要求，是落實等保制度的關鍵活動之一。

圖1-1 等保實施流程

2 為什么要做等保測評對于網絡運營者，開展等保測評的必要性主要體現(xiàn)在如下幾點：

●識別網絡潛在風險，提升自身防護能力：日益專業(yè)化、智能化、隱蔽化的網絡攻擊為網絡安全帶來了更嚴峻的挑戰(zhàn)，網絡運營者可以通過等保測評了解系統(tǒng)的安全防護現(xiàn)狀，識別系統(tǒng)內、外部存在的安全隱患，并在此基礎上通過加固整改提高系統(tǒng)的網絡安全防護能力，降低被攻擊的風險。

●滿足國家相關法律法規(guī)的要求：法律層面上，國家《網絡安全法》的第21條和第31條明確規(guī)定了網絡運營者和關鍵信息基礎設施運營者應當按照網絡安全等級保護制度的要求，履行相關的安全保護義務。不依法開展等保工作為違法行為，將由有關主管部門責令整改并處以罰款、警告等懲罰措施。

●提升行業(yè)競爭力：是否開展等保工作是衡量企業(yè)信息安全水平的一個重要標準。對于企業(yè)來說，進行等保測評不僅能夠有效地提高信息系統(tǒng)安全建設的整體水平，還能夠在向外部客戶提供業(yè)務服務時給出信息系統(tǒng)安全性承諾，增強客戶、合作伙伴及利益相關方的信心。
?3 等保測評等級劃分等保工作的核心在于“分級”，對于重要程度不同的網絡系統(tǒng)，安全防護能力要求也有所不同。在進行等保測評之前，網絡運營者需要先完成待測評對象的定級，以明確測評的維度和標準。

3.1? ?定級標準當前我國實行的網絡安全等級保護制度，將等級保護對象按照受破壞時所侵害的客體和對客體造成侵害的程度，從低到高劃分了五個安全保護等級：(1) 第一級：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；(2) 第二級：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；(3) 第三級：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；(4) 第四級：等級保護對象受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；(5) 第五級：等級保護對象受到破壞后，會對國家安全造成特別嚴重損害。

圖3-1 定級要素與安全保護等級關系

在實際應用中，定級主要參考行業(yè)要求和業(yè)務的發(fā)展體量，例如普通的門戶網站，定為二級已經足夠，而存儲較多敏感信息（如公民個人信息）的系統(tǒng)則需要定為三級或三級以上。大部分信息系統(tǒng)的安全保護等級處于二級或三級。表3-1 常見的定級對象

二級等保對象

三級等保對象

●????不涉及敏感信息及重要信息的信息系統(tǒng)。

●????單純的展示網站，不涉及用戶信息、交付交易、私密信息等。

●????非核心業(yè)務系統(tǒng)，不存儲個人隱私信息。

●????內部管理系統(tǒng)，協(xié)同辦公平臺。

●????涉及到敏感、重要信息的辦公系統(tǒng)和管理系統(tǒng)。

●????涉及客戶信息、支付、保密信息的系統(tǒng)。

●????影響力比較大的政企官方網站。

●????用戶數(shù)據(jù)達到一定數(shù)量級的網絡平臺。

示例：學校的網站、教育系統(tǒng)、事業(yè)單位政企官方網站等。

示例：金融系統(tǒng)、財稅系統(tǒng)、交通運輸系統(tǒng)、醫(yī)療系統(tǒng)、物流系統(tǒng)、游戲、涉及用戶注冊和支付的APP和軟件等。

?3.2? ?定級流程等保對象定級的一般工作流程包括：確定定級對象、初步確定定級、專家評審、主管部門核準和公安機關備案審核。圖3-2 等保對象定級工作的一般流程

對于安全保護等級初步確定為第一級的等級保護對象，其網絡運營者可依據(jù)標準自行確定最終安全保護等級，無需進行專家評審、主管部門核準及備案審核。而對于安全保護等級初步確定為第二級及以上的等級保護對象，網絡運營者需組織網絡安全專家和業(yè)務專家對定級結果的合理性進行評審，將定級結果報請行業(yè)主管（監(jiān)管）部門核準，并按照相關管理規(guī)定，將定級結果提交公安機關進行備案審核。
4 等保測評流程等保測評流程包括四個基本測評活動：測評準備活動、方案編制活動、現(xiàn)場測評活動和報告編制活動。圖4-1 等保測評流程

4.1? ?測評準備活動作為等保測評流程中的準備步驟，該階段的主要工作包括組建等保測評項目組、收集定級對象相關資料、準備測評工具等，目標是幫助測評人員熟悉測評對象和測評工具，對測評對象的安全狀況做出初步分析，為后續(xù)等保測評的實施做好充分的準備。在該階段，測評委托單位（即網絡運營者）需要配合測評機構提供詳盡的測評對象相關資料，為信息收集工作提供支持和協(xié)助。

4.2? ?方案編制活動本階段的目標是整理測評準備活動中獲取的定級對象相關資料，為下一步的現(xiàn)場測評活動提供最基本的文檔和指導方案。在本階段中，等保測評機構需要根據(jù)測評委托方提供的相關信息，通過分析測評對象的整體結構、邊界、網絡區(qū)域等情況，確定測評對象、測評指標、測評內容以及工具測試方法，并輸出詳實的測評方案和測評指導書。

4.3? ?現(xiàn)場測評活動

4.3.1? 主要任務現(xiàn)場測評活動是等保測評流程中的核心活動，測評人員利用訪談、文檔審查、配置稽查、工具測試和實地查看的方法，按照測評指導書實施現(xiàn)場測評，并將測評過程中獲取的證據(jù)源進行詳細、準確記錄。在這個過程中，評測委托單位通常需要完成以下工作：

●在現(xiàn)場測評前完成系統(tǒng)和數(shù)據(jù)的備份，并了解測評工作的基本情況。

●協(xié)助測評機構獲得現(xiàn)場測評的授權。

●了解現(xiàn)場測評存在的風險，對風險告知書進行簽字確認。

●配合測評人員完成業(yè)務相關內容的問詢、驗證和測試。

●在工具測試過程中提供相關建議，降低測評過程對系統(tǒng)運行的影響。

4.3.2? 測評內容等保評測內容與等級保護要求相對應，分為安全通用要求和安全擴展要求兩部分。安全通用要求針對共性化保護需求提出，無論等級保護對象以何種形式出現(xiàn)，均需根據(jù)安全保護等級實現(xiàn)相應級別的安全通用要求。如表4-1所示，安全通用要求分為技術要求和管理要求；其中技術要求包括安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心五個方面；管理要求包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理五個方面。安全擴展要求針對個性化保護需求提出，適用于采用特定技術或特定應用場景下的等級保護對象。目前相關標準提出的安全擴展要求主要面向云計算、移動互聯(lián)、物聯(lián)網和工業(yè)控制系統(tǒng)四類應用場景。表4-1 安全通用要求說明

安全控制要求

說明

安全控制點（測評項）

技術要求

安全物理環(huán)境

●????針對物理機房提出的安全控制要求

●????主要對象為物理環(huán)境、物理設備和物理設施等

物理位置的選擇

物理訪問控制

防盜竊和防破壞

防雷擊

防火

防水和防潮

溫濕度控制

電力供應

電磁防護

安全通信網絡

●????針對通信網絡提出的安全控制要求

●????主要對象為廣域網、城域網和局域網等

網絡架構

通信傳輸

可信驗證

安全區(qū)域邊界

●????針對網絡邊界提出的安全控制要求

●????主要對象為系統(tǒng)邊界和區(qū)域邊界等

邊界防護

訪問控制

入侵防范

惡意代碼和垃圾郵件防范

安全審計

可信驗證

安全計算環(huán)境

●????針對邊界內部提出的安全控制要求

●????主要對象為邊界內部的所有對象，包括網絡設備、安全設備、服務器設備、終端設備、應用系統(tǒng)、數(shù)據(jù)對象和其他設備等

身份鑒別

訪問控制

安全審計

入侵防范

惡意代碼防范

可信驗證

數(shù)據(jù)完整性

數(shù)據(jù)保密性

數(shù)據(jù)備份與恢復

剩余信息保護

個人信息保護

安全管理中心

●????針對整個系統(tǒng)提出的安全管理方面的技術控制要求

●????要求通過技術手段實現(xiàn)集中管理

系統(tǒng)管理

審計管理

安全管理

集中管控

管理要求

安全管理制度

針對整個管理制度體系提出的安全控制要求

安全策略

管理制度

制定和發(fā)布

評審和修訂

安全管理機構

針對整個管理組織架構提出的安全控制要求

崗位設置

人員配備

授權和審批

溝通和合作

審核和檢查

安全管理人員

針對人員管理提出的安全控制要求

人員錄用

人員離崗

安全意識教育和培訓

外部人員訪問管理

安全建設管理

針對安全建設過程提出的安全控制要求

定級和備案

安全方案設計

安全產品采購和使用

自行軟件開發(fā)

外包軟件開發(fā)

工程實施

測試驗收

系統(tǒng)交付

等級測評

服務供應商管理

安全運維管理

針對安全運維過程提出的安全控制要求

環(huán)境管理

資產管理

介質管理

設備維護管理

漏洞和風險管理

網絡和系統(tǒng)安全管理

惡意代碼防范管理

配置管理

密碼管理

變更管理

備份與恢復管理

安全事件處置

應急預案管理

外包運維管理

?4.4? ?報告編制活動報告編制活動是等保測評流程的最后一個步驟，即在現(xiàn)場評測工作結束后，對現(xiàn)場測評獲得的測評結果進行匯總分析，形成等保測評結論，并編制測評報告。本階段的工作流程分為7個環(huán)節(jié)：

(1) 單項測評結果判定：針對每個安全測評項，比對獲取的測評證據(jù)是否滿足預期要求，給出單項測評結果和符合程度得分。單項測評結果分為3類：符合、不符合以及部分符合。

(2) 單元測評結果判定：將單項測評結果進行匯總，分析每個安全控制點下所有測評項的符合情況，給出單元測評結果。

(3) 整體測評：針對單項測評結果中的“不符合”項及“部分符合”項，分析測評項間的關聯(lián)關系，對測評對象的整體安全保護能力給出判斷。整體測評可能影響單項測評結果，因此需要根據(jù)整體測評情況修正單項測評的符合程度得分和問題嚴重程度值。

(4) 系統(tǒng)安全保障評估：綜合單項測評和整體測評結果，計算測評對象的安全性得分，并對測評對象的安全保障情況做出總體評價。

(5) 安全問題風險分析：針對測評結果中的“不符合”項及“部分符合”項，分析測評對象可能面臨的安全問題以及最大危害結果；然后根據(jù)最大安全危害嚴重程度確定測評對象面臨的風險等級。風險等級分為“高”“中”“低”三個級別。

(6) 等級測評結論形成：測評人員在完成系統(tǒng)安全保障評估和安全問題風險評估的基礎上，找出測評對象與等級保護要求之間存在的差距，計算測評對象的綜合得分，并形成等保測評結論。等保測評結論分為以下三種：○符合：測評對象不存在安全問題，所有測評項的結果均為“符合”，綜合得分為100分?！鸹痉希簻y評對象存在安全問題，測評結果中包含“部分符合”或“不符合”項，但存在的安全問題不會導致測評對象面臨高等級安全風險，且綜合得分不低于等保要求閾值?！鸩环希簻y評對象存在安全問題，測評結果中包含“部分符合”或“不符合”項，而存在的安全問題會導致測評對象面臨高等級安全風險，或者綜合得分低于等保要求閾值。(7) 測評報告編制：測評機構按照規(guī)范格式輸出等級測評報告。等保測評活動所形成的等保測評報告是等保對象開展整改加固的重要依據(jù)。

?5 總結等保測評是檢測評估等保對象的安全保護能力是否符合相應等級基本要求的過程，是落實網絡安全等級保護制度的重要環(huán)節(jié)。網絡的運營、使用單位依法開展等保工作，落實等保測評流程，以明確網絡系統(tǒng)的安全保護現(xiàn)狀和存在的安全問題，并在此基礎上對系統(tǒng)進行整改加固，構建網絡安全管理體系。