國家標準《GB/T 28448-2012信息安全技術 信息系統(tǒng)安全等級保護測評過程指南》自發(fā)布以來,為網絡運營者開展安全自查以及等級測評機構開展等級測評起到了很好的指導作用,較好地支撐了等級保護測評體系建設。
但是,隨著云計算技術、工業(yè)控制技術、移動互聯(lián)技術、大數據技術、IPv6技術等新技術新應用的蓬勃發(fā)展,相應的等級保護對象的存在形態(tài)發(fā)生了變化,很多等級保護對象的管理和運維涉及到多責任方。比如,某機構租用了IDC的機房,委托某云服務商在該機房內建設云計算平臺基礎設施,而應用層面則由機構管轄范圍內的多家單位負責建設。其建設和運維就涉及到了某機構、云服務商、下屬單位等三方。那么,針對這種多方參與管理的情況,等級測評涉及各方應該如何配合,新技術新應用定級對象在實施等級測評時的方法和測評對象都將發(fā)生變化。
為更好的指導新形勢下的等級測評實施,公安部信息安全等級保護評估中心于2013年申請修訂《GB/T 28448-2012信息安全技術 信息系統(tǒng)安全等級保護測評過程指南》(以下簡稱《測評過程指南》)。
一、標準修訂思路
本次修訂和調整《測評過程指南》,重點考慮了以下幾個方面:
研究分析基于無線網絡技術、云計算技術、IPv6等新技術,以及物聯(lián)網、工業(yè)控制系統(tǒng)等新應用的應用方式和應用場景,研究新環(huán)境和新技術下定級對象的存在形態(tài)、部署方式、安全設備和組件部署情況等對等級測評過程以及具體任務的影響,并給予相應的測評指導;
參考新修訂的《網絡安全等級保護基本要求》和《網絡安全等級保護測評要求》標準,調整本標準的相關內容,保持等級保護系列標準的一致性;
參考“關于傳發(fā)《信息安全等級保護測評報告模版(2015版)》的通知(公信安[2014]2866號)”,并與等級保護主管部門密切聯(lián)系,了解跟蹤國家網絡空間保衛(wèi)和等級保護制度完善發(fā)展的工作思路,將等級測評環(huán)節(jié)的相關要求落實在標準中;
根據幾年來的標準應用實踐和經驗,修訂原標準中不通用的等級測評過程及任務相關內容,標準正文內容全部改寫為通用性的規(guī)范內容,特殊性內容放在附錄中。
二、標準修訂主要內容
修訂后的《測評過程指南》從受委托測評機構對定級對象首次開展等級測評角度,描述了最全面的工作流程和任務。如果被測定級對象已經實施過一次(或多次)等級測評,測評機構和測評人員可根據上次等級測評中存在的問題和被測定級對象的實際情況調整部分工作任務內容。
本次標準修訂的主要內容分為以下幾個方面:
1.名稱的變化
《中華人民共和國網絡安全法》(以下簡稱“網絡安全法”)于2017年6月1日起實施。網絡安全法第21條明確“國家實行網絡安全等級保護制度”,第31條明確“國家對關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護”。為了與網絡安全法提出的“網絡安全等級保護制度”保持一致,作為支撐性的主要技術標準,GB/T 28449的名稱由原來的“信息系統(tǒng)安全等級保護測評過程指南”改為“網絡安全等級保護測評過程指南”。
2.等級測評基本流程的變化
等級測評實施的基本工作流程中,報告編制活動的工作任務從原來的6個調整為7個(見圖1),增加了系統(tǒng)安全保障評估的工作任務。該項任務主要是綜合單項測評和整體測評結果,計算修正后的安全控制點得分和層面得分,并根據得分情況從正向對被測定級對象的安全保障情況進行總體評價。
該圖片來源于安全評測聯(lián)盟
3.新技術新應用相關內容補充
考慮到云計算等新技術新應用造成的測評多方參與的情況,在測評準備活動、現(xiàn)場測評活動的雙方職責中增加了協(xié)調多方的職責,并且在一些涉及到多方的工作任務中也予以明確。
另外,針對云計算、物聯(lián)網、移動互聯(lián)網、工業(yè)控制系統(tǒng)、IPv6等定級對象開展安全測評需要額外重點關注的特殊任務及要求進行系統(tǒng)歸納,重點在以下方面給予補充指導:
信息收集和分析任務中應擴充收集的資料和了解的系統(tǒng)情況,例如針對云計算平臺的等級測評,還應收集運營機構的管理架構、技術實現(xiàn)機制及架構、運行情況、云計算平臺的定級情況、云計算平臺的等級測評結果等;針對云租戶系統(tǒng)的等級測評,測評機構收集的相關資料還應包括云計算平臺運營機構與租戶的關系、定級對象的相關情況等;
應補充的測評對象,例如云計算平臺涉及的虛擬設備(虛擬機、虛擬網絡設備、虛擬安全設備等)、云操作系統(tǒng)、云業(yè)務管理平臺、虛擬機監(jiān)視器、云租戶網絡控制器、云應用開發(fā)平臺等;
不同領域的特殊工具測試方法,例如物聯(lián)網工具測試時還應增加感知層滲透測試。即:應基于感知層應用場景,針對各類感知層設備(如智能卡、RFID標簽、讀寫器等)開展嵌入式軟件安全測試以及旁路攻擊、置亂攻擊等方面的測試。
4.與《等級測評報告模版》新版本保持一致
將《等級測評報告模版》新版本與老模版的變動考慮在內,比如單項測評結果判定方法中增加定量打分的內容;等級測評結論判定分為定性和定量兩種方式進行判定,若存在高風險漏洞或分數不及格,等級測評結論將判定為不符合。
另外,根據《測評要求》,對于單個要求項的測評方法包括了訪談、核查和測試三種,相應地,在單項測評結果判定時也應綜合考慮三種測評方法的結果,所以,本次修訂建議工具驗證測試結果應根據其測試內容和漏洞影響的要求項,將測試結果與訪談和核查結果融合,共同形成該項的單項測評結果。
5.提升標準內容的通用性
為保證標準內容具有更強的適用性,將標準中不通用的內容進行修改和完善。例如將原標準“a) 測評機構收集等級測評需要的相關資料,包括測評委托單位的管理架構、技術體系、運行情況等方針文件、規(guī)章制度及相關過程管理記錄、被測信息系統(tǒng)總體描述文件、詳細描述文件、定級報告、安全需求分析報告、安全總體方案、安全現(xiàn)狀評價報告、安全詳細設計方案、用戶指南、運行步驟、網絡圖表、配置管理文檔等。”改為“a)測評機構收集等級測評需要的相關資料,包括測評委托單位的管理架構、技術體系、運行情況等;”。
總之,《測評過程指南》規(guī)范了網絡安全等級保護測評的工作過程,規(guī)定了測評活動及其工作任務,希望修訂后的標準能夠更適用,對測評機構、定級對象的主管部門及網絡運營者開展測試評價工作有更強的指導作用。
作者:公安部信息安全等級保護評估中心 袁靜
