等保测评是什么
等保测评用于评估网络系统或应用是否满足相应的安全保护等级要求,是网络安全等级保护工作的重要环节之一。开展等保测评能够帮助网络运营者识别系统存在的安全隐患,及时对系统进行整改加固。本文就等保测评的概念、流程以及测评内容进行简要介绍。
1 等保测评概述
在讨论“等保测评是什么”之前,首先需要了解什么是“等保”。“等保”即网络安全等级保护,是指对网络信息和信息载体按照重要程度划分等级,并基于分级,针对性地开展安全保护工作。网络安全等级保护制度是我国网络安全领域现行的基本制度。
等保的实施流程分为5个环节:系统定级、备案、建设整改、等级测评和监督检查;而等保测评(也称等级测评)正是其中的一个重要环节。
等保测评是指由具有资质的测评机构,依据国家网络安全等级保护规范规定,按照有关管理规范和技术标准,对等保对象(如信息系统、数据资源、云计算、物联网、工业控制系统等)的安全等级保护状况进行检测评估的活动。简单来说,等保测评用于验证网络系统或应用是否满足相应的安全保护等级要求,是落实等保制度的关键活动之一。
图1-1 等保实施流程
2 为什么要做等保测评
对于网络运营者,开展等保测评的必要性主要体现在如下几点:
●识别网络潜在风险,提升自身防护能力:
日益专业化、智能化、隐蔽化的网络攻击为网络安全带来了更严峻的挑战,网络运营者可以通过等保测评了解系统的安全防护现状,识别系统内、外部存在的安全隐患,并在此基础上通过加固整改提高系统的网络安全防护能力,降低被攻击的风险。
●满足国家相关法律法规的要求:
法律层面上,国家《网络安全法》的第21条和第31条明确规定了网络运营者和关键信息基础设施运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。不依法开展等保工作为违法行为,将由有关主管部门责令整改并处以罚款、警告等惩罚措施。
●提升行业竞争力:
是否开展等保工作是衡量企业信息安全水平的一个重要标准。对于企业来说,进行等保测评不仅能够有效地提高信息系统安全建设的整体水平,还能够在向外部客户提供业务服务时给出信息系统安全性承诺,增强客户、合作伙伴及利益相关方的信心。
3 等保测评等级划分
等保工作的核心在于“分级”,对于重要程度不同的网络系统,安全防护能力要求也有所不同。在进行等保测评之前,网络运营者需要先完成待测评对象的定级,以明确测评的维度和标准。
3.1 定级标准
当前我国实行的网络安全等级保护制度,将等级保护对象按照受破坏时所侵害的客体和对客体造成侵害的程度,从低到高划分了五个安全保护等级:
(1) 第一级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
(2) 第二级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
(3) 第三级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
(4) 第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
(5) 第五级:等级保护对象受到破坏后,会对国家安全造成特别严重损害。
图3-1 定级要素与安全保护等级关系
在实际应用中,定级主要参考行业要求和业务的发展体量,例如普通的门户网站,定为二级已经足够,而存储较多敏感信息(如公民个人信息)的系统则需要定为三级或三级以上。大部分信息系统的安全保护等级处于二级或三级。
表3-1 常见的定级对象
二级等保对象
三级等保对象
● 不涉及敏感信息及重要信息的信息系统。
● 单纯的展示网站,不涉及用户信息、交付交易、私密信息等。
● 非核心业务系统,不存储个人隐私信息。
● 内部管理系统,协同办公平台。
● 涉及到敏感、重要信息的办公系统和管理系统。
● 涉及客户信息、支付、保密信息的系统。
● 影响力比较大的政企官方网站。
● 用户数据达到一定数量级的网络平台。
示例:学校的网站、教育系统、事业单位政企官方网站等。
示例:金融系统、财税系统、交通运输系统、医疗系统、物流系统、游戏、涉及用户注册和支付的APP和软件等。
3.2 定级流程
等保对象定级的一般工作流程包括:确定定级对象、初步确定定级、专家评审、主管部门核准和公安机关备案审核。
图3-2 等保对象定级工作的一般流程
对于安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据标准自行确定最终安全保护等级,无需进行专家评审、主管部门核准及备案审核。
而对于安全保护等级初步确定为第二级及以上的等级保护对象,网络运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审,将定级结果报请行业主管(监管)部门核准,并按照相关管理规定,将定级结果提交公安机关进行备案审核。
4 等保测评流程
等保测评流程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动和报告编制活动。
图4-1 等保测评流程
4.1 测评准备活动
作为等保测评流程中的准备步骤,该阶段的主要工作包括组建等保测评项目组、收集定级对象相关资料、准备测评工具等,目标是帮助测评人员熟悉测评对象和测评工具,对测评对象的安全状况做出初步分析,为后续等保测评的实施做好充分的准备。
在该阶段,测评委托单位(即网络运营者)需要配合测评机构提供详尽的测评对象相关资料,为信息收集工作提供支持和协助。
4.2 方案编制活动
本阶段的目标是整理测评准备活动中获取的定级对象相关资料,为下一步的现场测评活动提供最基本的文档和指导方案。
在本阶段中,等保测评机构需要根据测评委托方提供的相关信息,通过分析测评对象的整体结构、边界、网络区域等情况,确定测评对象、测评指标、测评内容以及工具测试方法,并输出详实的测评方案和测评指导书。
4.3 现场测评活动
4.3.1 主要任务
现场测评活动是等保测评流程中的核心活动,测评人员利用访谈、文档审查、配置稽查、工具测试和实地查看的方法,按照测评指导书实施现场测评,并将测评过程中获取的证据源进行详细、准确记录。
在这个过程中,评测委托单位通常需要完成以下工作:
●在现场测评前完成系统和数据的备份,并了解测评工作的基本情况。
●协助测评机构获得现场测评的授权。
●了解现场测评存在的风险,对风险告知书进行签字确认。
●配合测评人员完成业务相关内容的问询、验证和测试。
●在工具测试过程中提供相关建议,降低测评过程对系统运行的影响。
4.3.2 测评内容
等保评测内容与等级保护要求相对应,分为安全通用要求和安全扩展要求两部分。
安全通用要求针对共性化保护需求提出,无论等级保护对象以何种形式出现,均需根据安全保护等级实现相应级别的安全通用要求。如表4-1所示,安全通用要求分为技术要求和管理要求;其中技术要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面;管理要求包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面。
安全扩展要求针对个性化保护需求提出,适用于采用特定技术或特定应用场景下的等级保护对象。目前相关标准提出的安全扩展要求主要面向云计算、移动互联、物联网和工业控制系统四类应用场景。
表4-1 安全通用要求说明
|
|
安全控制要求
|
说明
|
安全控制点(测评项)
|
| — | — | — | — |
|
技术要求
|
安全物理环境
|
● 针对物理机房提出的安全控制要求
● 主要对象为物理环境、物理设备和物理设施等
|
物理位置的选择
物理访问控制
防盗窃和防破坏
防雷击
防火
防水和防潮
温湿度控制
电力供应
电磁防护
|
|
安全通信网络
|
● 针对通信网络提出的安全控制要求
● 主要对象为广域网、城域网和局域网等
|
网络架构
通信传输
可信验证
|
|
安全区域边界
|
● 针对网络边界提出的安全控制要求
● 主要对象为系统边界和区域边界等
|
边界防护
访问控制
入侵防范
恶意代码和垃圾邮件防范
安全审计
可信验证
|
|
安全计算环境
|
● 针对边界内部提出的安全控制要求
● 主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等
|
身份鉴别
访问控制
安全审计
入侵防范
恶意代码防范
可信验证
数据完整性
数据保密性
数据备份与恢复
剩余信息保护
个人信息保护
|
|
安全管理中心
|
● 针对整个系统提出的安全管理方面的技术控制要求
● 要求通过技术手段实现集中管理
|
系统管理
审计管理
安全管理
集中管控
|
|
管理要求
|
安全管理制度
|
针对整个管理制度体系提出的安全控制要求
|
安全策略
管理制度
制定和发布
评审和修订
|
|
安全管理机构
|
针对整个管理组织架构提出的安全控制要求
|
岗位设置
人员配备
授权和审批
沟通和合作
审核和检查
|
|
安全管理人员
|
针对人员管理提出的安全控制要求
|
人员录用
人员离岗
安全意识教育和培训
外部人员访问管理
|
|
安全建设管理
|
针对安全建设过程提出的安全控制要求
|
定级和备案
安全方案设计
安全产品采购和使用
自行软件开发
外包软件开发
工程实施
测试验收
系统交付
等级测评
服务供应商管理
|
|
安全运维管理
|
针对安全运维过程提出的安全控制要求
|
环境管理
资产管理
介质管理
设备维护管理
漏洞和风险管理
网络和系统安全管理
恶意代码防范管理
配置管理
密码管理
变更管理
备份与恢复管理
安全事件处置
应急预案管理
外包运维管理
|
说明
关于等保测评内容的详细介绍,请参见《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》《GB/T 28448-2018 信息安全技术 网络安全等级保护测评要求》标准。
4.4 报告编制活动
报告编制活动是等保测评流程的最后一个步骤,即在现场评测工作结束后,对现场测评获得的测评结果进行汇总分析,形成等保测评结论,并编制测评报告。
本阶段的工作流程分为7个环节:
(1) 单项测评结果判定:针对每个安全测评项,比对获取的测评证据是否满足预期要求,给出单项测评结果和符合程度得分。单项测评结果分为3类:符合、不符合以及部分符合。
(2) 单元测评结果判定:将单项测评结果进行汇总,分析每个安全控制点下所有测评项的符合情况,给出单元测评结果。
(3) 整体测评:针对单项测评结果中的“不符合”项及“部分符合”项,分析测评项间的关联关系,对测评对象的整体安全保护能力给出判断。整体测评可能影响单项测评结果,因此需要根据整体测评情况修正单项测评的符合程度得分和问题严重程度值。
(4) 系统安全保障评估:综合单项测评和整体测评结果,计算测评对象的安全性得分,并对测评对象的安全保障情况做出总体评价。
(5) 安全问题风险分析:针对测评结果中的“不符合”项及“部分符合”项,分析测评对象可能面临的安全问题以及最大危害结果;然后根据最大安全危害严重程度确定测评对象面临的风险等级。风险等级分为“高”“中”“低”三个级别。
(6) 等级测评结论形成:测评人员在完成系统安全保障评估和安全问题风险评估的基础上,找出测评对象与等级保护要求之间存在的差距,计算测评对象的综合得分,并形成等保测评结论。
等保测评结论分为以下三种:
○符合:测评对象不存在安全问题,所有测评项的结果均为“符合”,综合得分为100分。
○基本符合:测评对象存在安全问题,测评结果中包含“部分符合”或“不符合”项,但存在的安全问题不会导致测评对象面临高等级安全风险,且综合得分不低于等保要求阈值。
○不符合:测评对象存在安全问题,测评结果中包含“部分符合”或“不符合”项,而存在的安全问题会导致测评对象面临高等级安全风险,或者综合得分低于等保要求阈值。
(7) 测评报告编制:测评机构按照规范格式输出等级测评报告。等保测评活动所形成的等保测评报告是等保对象开展整改加固的重要依据。
5 总结
等保测评是检测评估等保对象的安全保护能力是否符合相应等级基本要求的过程,是落实网络安全等级保护制度的重要环节。网络的运营、使用单位依法开展等保工作,落实等保测评流程,以明确网络系统的安全保护现状和存在的安全问题,并在此基础上对系统进行整改加固,构建网络安全管理体系。
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
根据以上网络安全技能表不难看出,网络安全需要接触的技术还远远很多,常见的技能需要学习:外围打点能力、钓鱼远控能力、域渗透能力、流量分析能力、漏洞挖掘能力、代码审计能力等。
网络安全学习路线&学习资源
网络安全的知识多而杂,怎么科学合理安排?
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级网工
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。
8、超级网工
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,可以【点这里】加我耗油发给你,大家也可以一起学习交流一下。
一些我自己买的、其他平台白嫖不到的视频教程:
需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!
标签:网络安全,入门,测评,对象,保护,就够,安全,等级 From: https://blog.csdn.net/2402_84205067/article/details/143874524