有效的管理,对网络安全等级保护工作的开展,其实是非常有必要的。
等级测评体系的建设主要包括测评机构的建设和规范管理,以及测评人员和测评活动的规范和管理。测评机构自然是由测评人员以一定组织形式,组成的一个机构。对机构的管理,一定程度上是对一个整体的管理,这个是针对法人的;而针对测评师的管理,则是具体到个人,这个是具体到每一个参与等级保护工作的自然人。自然人的不确定性,自然会引发法人的不确定性。若管理缺失或管理失当,则会引入新的风险。我个人曾经感慨说,法律规则是防止人变坏,而道德责任鼓励人变好。
测评机构的业务范围和工作要求
1.业务范围
测评机构除了从事等级测评活动,还可以从事网络安全等级保护定级、等级保护安全建设整改、网络安全等级保护宣传教育等工作的技术支持,以及风险评估、网络安全培训、应急保障、安全运维、网络安全咨询和网络安全工程监理等工作。
从业务范围内,大家应该可以看到,网络安全等级保护定级、等级保护安全建设整改、网络安全等级保护教育等工作也是非常重要的,当然这也是独立出来的服务。网络安全是相对持续性的,没有网络安全就没有国家安全,然而网络安全是动态的,需要我们不断跟进技术发展,提升防护能力。
2.工作要求
从事等级测评工作的机构及其人员应当遵守国家有关法律法规,依据国家有关技术标准和《TRIMPS-SC13-001:2021 网络安全等级测评与检测评估机构服务认证实施规则》的相关规定,开展客观、公正、安全的测评服务,不得从事危害国家安全、社会秩序、公共利益及被测单位利益的活动。
测评机构应当按照公安部统一制定的《网络安全等级测评报告模版》规定的格式出具测评报告,根据网络规模和所投入的成本合理收取测评服务费用。
测评机构应严格按照网络安全等级保护标准规范独立开展等级测评工作,依据《网络安全等级测评报告模版》出具网络安全等级测评报告,确保测评质量,全面、客观地反映被测网络的安全保护状况。
测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订及项目完成后5个工作日内,向受理网络备案的公安机关报告等级测评项目的有关情况。
测评项目实施过程中,等级测评机构应接受等保办的监督、检查和指导。测评项目完成后,等级测评机构应请被测评网络运营者对测评服务情况进行评价,评价情况由被测单位反馈至等保办。等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践,于每年年底编制并报送网络安全状况分析报告。
其实做任何事都存在风险,特别是做的事情与安全相关,而网络安全又具有一定的隐蔽性,所以在测评过程中,难免存在一定的不确定性的风险。风险存在是正常的事情,如何规避风险才是我们要做的事情。
今天这期内容,对存在的风险进行一个梳理,以便我们了解。风险包括网络敏感信息泄漏、验证测试可能会对网络运行造成影响、工具测试可能对网络运行造成影响,特别是工控系统可用性要求更高。
了解风险也是为规避风险做准备,在了解风险的基础上进行风险规避,其中包括签署保密协议、签署委托测评协议、现场测评工作风险的规避、规范化的实施过程、沟通与交流等都是规避风险的重要内容。
存在的风险
等级测评过程中可能存在以下风险。
1.网络敏感信息泄露
泄漏被检测单位网络状态信息,例如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。
2.验证测试可能会对网络运行造成影响
在现场进行测评时,需要对设备和网络进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对网络的运行造成一定的影响,甚至存在误操作的可能。
3.工具测试可能会对网络运行造成影响
在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对网络的负载造成一定的影响,漏洞扫描测试和渗透测试可能会对服务器和网络通信造成一定影响甚至伤害。
风险的规避
在等级测评过程中,可以采取以下措施规避风险。
1.签署保密协议
测评双方应签署完善的、合乎法律规范的保密协议,以约束测评双方现在和将来的行为。保密协议规定了测评双方在保密方面的权利与义务。测评工作的成果由被测网络的运营者所有,测评机构对其的引用和公开应得到被测网络的运营者的授权,否则被测网的运营者将按照保密协议的要求追究测评机构的法律责任。
2.签署委托测评协议
在测评工作正式开始之前,测评方和被测网络的运营者需要以委托测评协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求及双方的责任和义务等,使测评双方对测评过程中的基本问题达成共识,并以此为基础开展后续工作,避免在后续工作中出现大的分歧。
3.现场测评工作风险的规避
在进行验证测试和工具测试时,测评机构需要与测评委托单位充分协调,合理安排测试时间,尽量避开业务高峰期,例如在系统资源处于空闲状态时进行,被测网络的运营者需要对整个测试过程进行监督。
在进行验证测试和工具测试之前,需要对关键数据做好备份工作,并对可能出现的影响制定相应的处理方案。上机验证测试原则上由被测系统网络运营者的相应技术人员进行操作,测评人员根据情况提出需要操作的内容并进行查看和验证,避免由于测评人员对某些专用设备不熟悉造成误操作。测评机构应在使用测试工具前将相关信息告知被测网络的运营者,详细介绍这些工具的用途及可能对网络造成的影响,并征得网络运营者的同意。
4.规范化的实施过程
为保证按计划、高质量地完成测评工作,应当明确测评记录和测评报告的要求,明确测评过程中每一阶段需要产生的相关文档,使测评有章可循。在委托测评协议、现场测评授权书和测评方案中,需要明确双方的人员职责、测评对象、时间计划、测评内容要求等。
5.沟通与交流
为避免测评工作中可能出现的争议,在测评开始前与测评过程中,双方需要进行积极有效的沟通和交流,及时解决测评中出现的问题,这对保证测评的过程质量和结果质量有重要作用。
测评过程与运行的网络系统打交道,自然也会引起网络运营者重视与关注,在日常运行过程中,一个系统的可用性是放在极高的地位的,那么保证系统的可持续运行是网络运营者工作中的最重要的一部分。测评过程中是否会引起风险,也是网络运营者最关心的问题之一。所以,在测评过程中沟通与交流也变得非常重要。一方面,测评人员对自己的操作或要求客户进行的操作,要有个清晰的认知,以及对操作过程中以及操作完成后,是否对系统产生影响,要有清晰的认知。只有自己思路清晰,能够把控系统风险,才能避免风险,才能够令网络运营者放心。
在等级测评过程中,等保机构包括现场测评的测评师应当遵循国家的有关法律法规,依据国家的技术标准和管理办法进行开展工作,并提出规范了禁止行为,不得从事危害国家安全、社会秩序、公共利益及被测评单位利益的活动。国家、社会、公共利益方面大家常识中都理解,而被测评单位有时对自身的利益还是倍加关注,从这起讲到的规范中,我们看到对保护被测评单位的利益上也是作出明确规定的。而我们的报告也不是随意性的,是要遵循模板格式,作到保证测评质量,做到客观、公正、安全。
测评机构,开展测评项目是不受地域、行业限制的。等保办对我们的监督、检查、指导,也为等级测评的客观公正提供了监管保障。
等级保护制度是我国网络安全领域的基本制度,等级保护制度的实行,是各方协作共同推进的一项事业。是我国网络安全工作中的的主线,每一个环节都非常重要,做好网络安全工作中的每一环,环环相扣才能把我国从网络大国打造成为一个网络强国。
各司其职,陈力就列,能者共进,为网络安全等级保护制度的实行而努力!