网络安全等级保护测评实施过程

一、 等级保护概述与核心目标

1.1 等级保护基本概念

• 定义

  : 网络安全等级保护（简称“等保”）是我国关于网络安全的基本国策和基本制度。它要求非涉密信息系统根据其在国家安全、经济建设、社会生活中的重要程度，以及遭到破坏后可能对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的危害程度，划分不同的安全保护等级，并采取相应等级的安全保护措施。

• 等级划分
  • 一级 (自主保护级)

    对公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益。

  • 二级 (指导保护级)

    对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不危害国家安全。

  • 三级 (监督保护级)

    对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

  • 四级 (强制保护级)

    对国家安全造成严重损害。

  • 五级 (专控保护级)

    极重要系统的专用等级。

• 测评对象

  实际业务中，绝大多数测评对象为二级和三级系统。

1.2 等级保护的核心流程

等级保护工作遵循一个标准化的生命周期，测评是其中的关键验证环节。

1. 定级 (Classification)

   系统运营单位自主确定系统等级，并通过专家评审或上级主管部门审核的方式确认定级准确性。

2. 备案 (Filing)

   将定级报告等材料提交至当地公安机关网安部门进行备案，并获取《信息系统安全等级保护备案证明》（俗称“备案证”）。

3. 建设整改 (Construction & Rectification)

   依据相应等级的安全要求，进行安全建设或对现有系统进行整改。

4. 等级测评 (Evaluation)

   委托具有资质的等级保护测评机构对系统进行全面的安全测评。

5. 监督检查 (Supervision)

   公安机关对已备案系统进行定期的监督和检查。

1.3 测评工作的最终产物

• 核心目标

•  帮助客户获得由公安机关网安部门颁发的《信息系统安全等级保护备案证明》。

• 关键交付物
  • 《等级测评报告》

    : 由测评机构出具的、详细描述测评过程、发现问题、综合得分和最终结论的正式报告。

  • [扩展]

     报告通常包含“符合”、“基本符合”、“不符合”三种结论。通常“基本符合”及以上结论才能通过监管要求。

二、 作为测评方的角色与流程

2.1 角色定位

• 从“服务方”到“测评方”
  • 服务方/整改方

    帮助客户进行安全建设和整改，目标是帮助客户通过测评。

  • 测评方

    作为独立的第三方机构，依据国家标准对客户系统进行客观、公正的评估，目标是发现系统与标准要求的差距。

2.2 测评项目周期与对接

• 现场测评周期

  通常为 2-3 天。

• 对接方
  • 测评机构商务

    获取项目信息、客户联系方式、系统定级备案状态等。

  • 被测客户

    沟通测评时间、协调所需配合人员（运维、管理）、获取必要资料。

三、 等级保护测评的实施方法与维度

3.1 三大测评维度

测评工作围绕以下三个维度展开，全面评估系统的安全状况：

1. 技术测评:

   • 安全物理环境

     机房的物理访问控制、防盗、防火、防水、温湿度控制等。

   • 安全通信网络

     网络架构、区域边界防护（防火墙、入侵防御）、通信加密等。

   • 安全区域边界

     同上，强调不同安全域之间的访问控制。

   • 安全计算环境

     对服务器、终端、应用、数据库等主机的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等。

   • 内容

     检查技术层面的安全控制措施是否到位。

   • 分类 (等保2.0“一个中心，三重防护”框架)

   • [扩展]

      除了通用要求，还包括对云计算、大数据、物联网、移动互联等新技术的扩展要求。

2. 管理测评:

   • 安全管理制度

     是否有成文的、覆盖全面的安全管理制度体系（策略、制度、流程、记录）。

   • 安全管理机构

     是否设立了明确的安全管理组织架构，并定义了各角色职责。

   • 安全管理人员

     人员录用、离岗、考核、培训等是否符合安全要求。

   • 安全建设管理

     系统定级、备案、方案设计、产品采购、自行开发、外包开发等过程的管理。

   • 安全运维管理

     环境、资产、介质、设备、网络、系统、应急响应等日常运维管理。

   • 内容

     检查管理层面的安全制度、流程和人员职责是否健全并得到执行。

3. 工具测试 (漏洞验证):

   • 漏洞扫描

     使用自动化工具扫描系统、网络设备、数据库、中间件等，发现已知的配置缺陷和安全漏洞。

   • 渗透测试

     模拟黑客攻击，尝试利用发现的漏洞获取权限或数据，验证漏洞的实际危害性。三级及以上系统强制要求进行渗透测试。

3.2 测评的现场沟通与资料准备

• 前期沟通

  • 向客户介绍测评的三个维度和具体方法。

  • 明确需要配合的人员：运维人员（熟悉系统架构和配置）和管理人员（熟悉制度流程）。

• 所需资料
  • 关键文档

    网络拓扑图、设备资产清单、安全管理制度文件。

  • 授权文件

    必须获取客户签字盖章的《渗透测试授权书》和《现场测评授权书》。

  • 过程文件

    签署首次/末次会议纪要，确认测评范围和结论。

四、 测评实施与报告编写详解

4.1 测评实施要点

• 测评依据

  核心依据是《网络安全等级保护基本要求》（GB/T 22239-2019），测评人员会使用详细的《测评项核查表》逐项进行检查。

• 检查方式
  • 访谈

    与相关人员沟通了解情况。

  • 文档核查

    审查管理制度、操作手册、各类记录。

  • 实地查看/配置核查

    现场查看机房环境，登录设备后台检查安全配置。测评人员不直接操作客户设备，由客户运维人员展示。

• 记录要求

  测评记录必须详细。

  • 符合

    需注明依据哪个制度文件的哪一条款，或哪个配置截图证明其符合。

  • 不符合

    需明确描述现状与标准要求不符之处。

  • 不适用

    需给出合理的理由（如：未使用虚拟化技术，则虚拟化安全相关的测评项不适用）。

4.2 算分与整改

• 通过标准
  • 二级系统

    综合得分 ≥ 70分。

  • 三级系统

    综合得分 ≥ 80分。

  • 共同要求

    不存在高危风险项。高危风险主要来源于漏洞扫描和渗透测试发现的严重漏洞。

• 算分机制

  • 单项得分根据符合情况（符合=1，部分符合=0.5，不符合=0）乘以该项的权重计算。

  • 最终综合得分是所有测评项得分的加权平均值。

• 整改与复测

  • 初次测评后，若分数不达标或存在高危风险，测评机构会出具《整改建议报告》。

  • 客户完成整改后，测评机构需进行复测，确认问题已解决，才能进入最终报告编写阶段。

4.3 测评报告编写

• 复杂性

  编写测评报告是整个流程中工作量最大、最繁琐的环节，报告篇幅通常超过100页。

• 核心内容
  1. 基本信息

     :被测单位、系统概述、网络拓扑、资产清单等（信息主要来源于客户填写的《系统调研表》）。

  2. 问题汇总与整改建议

     提炼所有不符合项，并给出整改建议。

  3. 单项测评结果分析

     分章节详细描述每个技术和管理层面的测评情况。

  4. 工具测试结果

     附上漏洞扫描和渗透测试的详细报告。

  5. 综合得分与结论

     给出每个测评大类的得分和最终的综合得分，并明确测评结论（符合/基本符合/不符合）。

  6. 附录

     包含现场记录表、授权书等所有过程性文档。

•  云上系统测评

  如果系统部署在云平台（如阿里云、腾讯云），测评内容会增加云安全扩展要求。测评师需要核查客户对云服务的安全配置，同时客户需提供云平台自身已通过的等保测评报告作为支撑材料。