Table of Contents

《信息安全技术 网络安全等级保护测评过程指南》(GB∕T 28449-2018)

2025-10-01
2025-10-01
13 min read
GB
djbh
Hits

  本文摘录了《信息安全技术 网络安全等级保护测评过程指南》(GB∕T 28449-2018)的部分内容。

等级测评过程

  1. 测评准备活动
    1. 工作启动
    2. 信息收集和分析
    3. 工具和表单准备
  2. 方案编制活动
    1. 测评对象确定
    2. 测评指标确定
    3. 测评内容确定
    4. 工具测试方法确定
    5. 测评指导书开发
    6. 测评方案编制
  3. 现场测评活动
    1. 现场测评准备
    2. 现场测评和结果记录
    3. 结果确认和资料归还
  4. 报告编制活动
    1. 单项测评结果判定
    2. 单元测评结果判定
    3. 整体测评
    4. 系统安全保障评估
    5. 安全问题风险分析
    6. 等级测评结论形成
    7. 测评报告编制

等级测评风险

影响系统正常运行的风险

  在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机验证并查看一些信息,这就可能对系统运行造成一定的影响,甚至存在误操作的可能。

  此外,使用测试工具进行漏洞扫描测试、性能测试及渗透测试等,可能会对网络和系统的负载造成一定的影响,渗透性攻击测试还可能影响到服务器和系统正常运行,如出现重启、服务中断、渗透过程中植入的代码未完全清理等现象。

敏感信息泄漏风险

  测评人员有意或无意泄漏被测系统状态信息,如网络拓扑、IP 地址、业务流程、业务数据、安全机制、安全隐患和有关文档信息等。

木马植入风险

  测评人员在渗透测试完成后,有意或无意将渗透测试过程中用到的测试工具未清理或清理不彻底,或者测试电脑中带有木马程序,带来在被测系统中植入木马的风险。

等级测评风险规避

  1. 签署委托测评协议
  2. 签署保密协议
  3. 现场测评工作风险的规避
  4. 测评现场还原

测评准备活动的输出文档及其内容

任务输出文档文档内容
工作启动项目计划书项目概述、工作依据、技术思路、工作内容和项目组织等
信息收集和分析填好的调查表格,各种与被测定级对象相关的技术资料被测定级对象的安全保护等级、业务情况、数据情况、网络情况、软硬件情况、管理模式和相关部门及角色等
工具和表单准备选用的测评工具清单;打印的各类表单:风险告知书、文档交接单、会议记录表单、会议签到表单风险告知、交接的文档名称、会议记录、会议签到表

测评准备活动中双方职责

  1. 测评机构职责:
    1. 组建等级测评项目组。
    2. 指出测评委托单位应提供的基本资料。
    3. 准备被测定级对象基本情况调查表格,并提交给测评委托单位。
    4. 向测评委托单位介绍安全测评工作流程和方法。
    5. 向测评委托单位说明测评工作可能带来的风险和规避方法。
    6. 了解测评委托单位的信息化建设以及被测定级对象的基本情况。
    7. 初步分析系统的安全状况。
    8. 准备测评工具和文档。
  2. 测评委托单位职责:
    1. 向测评机构介绍本单位的信息化建设及发展情况。
    2. 提供测评机构需要的相关资料。
    3. 为测评人员的信息收集工作提供支持和协调。
    4. 准确填写调查表格。
    5. 根据被测定级对象的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议。
    6. 制定应急预案。

方案编制活动主要任务

  1. 测评对象确定
    1. 识别并描述被测定级对象的整体结构
    2. 识别并描述被测定级对象的边界
    3. 识别并描述被测定级对象的网络区域
    4. 识别并描述被测定级对象的主要设备
    5. 确定测评对象
    6. 描述测评对象
  2. 测评指标确定
    1. 根据被测定级对象的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,得出被测定级对象的系统服务保证类(A 类)基本安全要求、业务信息安全类(S 类)基本安全要求以及通用安全保护类(G 类)基本安全要求的组合情况。
    2. 根据被测定级对象的 A 类、S 类及 G 类基本安全要求的组合情况,从 GB/T 22239、行业规范中选择相应等级的基本安全要求作为基本测评指标。
    3. 根据被测定级对象实际情况,确定不适用测评指标。
    4. 根据测评委托单位及被测定级对象业务自身需求,确定特殊测评指标
    5. 对确定的基本测评指标和特殊测评指标进行描述,并分析给出指标不适用的原因。
  3. 测评内容确定
  4. 工具测评方法确定
    1. 确定工具测试环境,根据被测系统的实时性要求,可选择生产环境或与生产环境各项安全配置相同的备份环境、生产验证环境或测试环境作为工具测试环境。
    2. 确定需要进行测试的测评对象。
    3. 选择测试路径。测试工具的接入采取从外到内,从其他网络到本地网络的逐步逐点接入,即:测试工具从被测定级对象边界外接入、在被测定级对象内部与测评对象不同区域网络及同一网络区域内接入等几种方式。
    4. 根据测试路径,确定测试工具的接入点。
    5. 结合网络拓扑图,描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。
  5. 测评指导书开发
    1. 描述单个测评对象,包括测评对象的名称、位置信息、用途、管理人员等信息。
    2. 根据 GB/T 28448 的单项测评实施确定测评活动,包括测评项、测评方法、操作步骤和预期结果等四部分。
    3. 单项测评一般以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等内容。整体测评则一般以文字描述的方式表述,以测评用例的方式进行组织。
    4. 根据测评指导书,形成测评结果记录表格。
  6. 测评方案编制
    1. 根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测定级对象与单位其他系统之间的连接情况等。
    2. 根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来。
    3. 参与委托测评协议书和被测定级对象情况,估算现场测评工作量。工作量根据测评对象的数量和工具测试的接入点及测试内容情况进行估算。
    4. 根据测评项目组成员安排,编制工作安排情况。
    5. 根据以往测评经验以及被测定级对象规模,编制具体测评计划,包括现场工作人员的分工和时间安排。
    6. 汇总上述内容及方案编制活动的其他任务获取的内容形成测评方案文稿。
    7. 评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿。然后,测评机构将测评方案提交给测评委托单位签字认可。
    8. 根据测评方案制定风险规避实施方案。

方案编制活动的输出文档及其内容

任务输出文档文档内容
测评对象确定测评方案的测评对象部分被测定级对象的整体结构、边界、网络区域、重要节点、测评对象等
测评指标确定测评方案的测评指标部分被测定级对象定级结果、测评指标
测评内容确定测评方案的单项测评实施部分单项测评实施内容
工具测试方法确定测评方案的工具测试方法及内容部分工具测试接入点及测试方法
测评指导书开发测评指导书、测评结果记录表格各测评对象的测评内容及方法、测评结果记录表格表头
测评方案编制经过评审和确认的测评方案文本、风险规避实施方案文本项目概述、测评对象、测评指标、测试工具接入点、单项测评实施内容等、风险规避措施等

方案编制活动中双方职责

  1. 测评机构职责:
    1. 详细分析被测定级对象的整体结构、边界、网络区域、设备部署情况等。
    2. 初步判断被测定级对象的安全薄弱点。
    3. 分析确定测评对象、测评指标、确定测评内容和工具测试方法。
    4. 编制测评方案文本,并对其进行内部评审。
    5. 制定风险规避实施方案。
  2. 测评委托单位职责:
    1. 为测评机构完成测评方案提供有关信息和资料。
    2. 评审和确认测评方案文本。
    3. 评审和确认测评机构提供的风险规避实施方案。
    4. 若确定不在生产环境开展测评,则部署配置与生产环境各项安全配置相同的备份环境、生产验证环境或测试环境作为测试环境。

现场测评活动主要任务

  1. 现场测评准备
    1. 测评委托单位对风险告知书签字确认,了解测评过程中存在的安全风险,做好相应的应急和备份工作。
    2. 测评委托单位协助测评机构获得定级对象相关方的现场测评授权。
    3. 召开测评现场首次会,测评机构介绍现场测评工作安排,相关方对测评计划和测评方案中的测评内容和方法进行沟通。
    4. 测评相关方确认现场测评需要的各种资源,包括测评配合人员和需要提供的测评环境等。
  2. 现场测评和结果记录
    1. 测评人员与测评配合人员确认测评对象中的关键数据已经进行了备份。
    2. 测评人员确认具备测评工作开展的条件,测评对象工作正常,系统处于一个相对良好的状况。
    3. 测评人员根据测评指导书实施现场测评,获取相关证据和信息。现场测评一般包括访谈、核查和测试三种测评方式,具体参见附录 E。
    4. 测评结束后,测评人员与测评配合人员及时确认测评工作是否对测评对象造成不良影响,测评对象及系统是否工作正常。
  3. 结果确认和资料归还
    1. 测评人员在现场测评完成之后,应首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评。
    2. 召开测评现场结束会,测评双方对测评过程中得到的证据源记录进行现场沟通和确认。
    3. 测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供者签字确认。

现场测评活动的输出文档及其内容

任务输出文档文档内容
现场测评准备会议记录,确认的风险告知书、测评方案和现场测评工作计划,现场测评授权书工作计划和内容安排,双方人员的协调,测试委托单位应提供的配合
访谈技术和管理安全测评的测评结果记录访谈记录
文档审查技术和管理安全测评的测评结果记录安全策略、技术文档、管理制度和管理执行过程文档的记录
实地察看技术安全和管理安全测评结果记录核查内容的记录
配置核查技术安全测试的测评结果记录核查内容的记录
工具测试技术安全测评的测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等内容的技术测试结果
测评结果确认和资料归还经过测评委托单位确认的测评证据和证据源记录测评中获取的证据和证据源

现场测评活动中双方职责

  1. 测评机构职责:
    1. 测评人员开展测评前确认被测定级对象具备测评工作开展的条件,测评对象工作正常。
    2. 测评人员利用访谈、文件审查、配置核查、工具测试和实地察看的方法开展现场测评工作,并获取相关证据。
  2. 测评委托单位职责(系统部署在公有云的测评委托单位职责还包括附录 C 中相关内容):
    1. 测评前备份系统和数据,并了解测评工作基本情况
    2. 协助测评机构获得现场测评授权。
    3. 安排测评配合人员,配合测评工作的开展。
    4. 对风险告知书进行签字确认。
    5. 配合人员如实回答测评人员的问询,对某些需要验证的内容上机进行操作。
    6. 配合人员协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响。
    7. 配合人员协助测评人员完成业务相关内容的问询、验证和测试。
    8. 配合人员对测评证据和证据源进行确认。
    9. 配合人员确认测试后被测设备状态完好。

报告编制活动

  1. 单项测评结果判定
    1. 针对每个测评项,分析该测评项所对抗的威胁在被测定级对象中是否存在,如果不存在,则该测评项应标为不适用项。
    2. 分析单个测评项的测评证据,并与要求内容的预期测评结果相比较,给出单项测评结果和符合程度得分。
    3. 如果测评证据表明所有要求内容与预期测试结果一致,则判定该测评项的单项测评结果为符合;如果测评证据表明所有要求内容与预期测评结果不一致,判定该测评项的单项测评结果为不符合;否则判定该测评项的单项测评结果为部分符合。
  2. 单元测评结果判定
    1. 按层面分别汇总不同测评对象对应测评指标的单项测评结果情况,包括测评多少项,符合要求的多少项等内容。
    2. 分析每个控制点下所有测评项的符合情况,给出单元测评结果。单元测评结果判定规则如下:
      1. 控制点包含的所有适用测评项的单项测评结果均为符合,则对应该控制点的单元测评结果为符合;
      2. 控制点包含的所有适用测评项的单项测评结果均为不符合,则对应该控制点的单元测评结果为不符合;
      3. 控制点包含的所有测评项均为不适用项,则对应该控制点的单元测评结果为不适用;
      4. 控制点包含的所有适用测评项的单项测评结果不全为符合或不符合,则对应该控制点的单元测评结果为部分符合。
  3. 整体测评
    1. 针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他测评项能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足或“削弱”该测评项实现的保护能力,以及该测评项的测评结果是否会影响与其有关联关系的其他测评项的测评结果。具体整体测评方法参见 GB/T 28448.
    2. 针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他层面的测评对象能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足或“削弱”该测评项实现的保护能力,以及该测评项的测评结果是否会影响与其有关联关系的其他测评项的测评结果。
    3. 根据整体测评分析情况,修正单项测评结果符合程度得分和问题严重程度值。
  4. 系统安全保障评估
    1. 根据整体测评结果,计算修正后的每个测评对象的单项测评结果和符合程度得分。
    2. 根据各对象的单项符合程度得分,计算安全控制点得分。
    3. 根据安全控制点得分,计算安全层面得分。
    4. 根据安全控制点得分和安全层面得分,总体评价被测定级对象已采取的有效保护措施和存在的主要安全问题情况。
  5. 安全问题风险分析
    1. 针对整体测评后的单项测评结果中部分符合项或不符合项所产生的安全问题,结合关联测评对象和威胁,分析可能对定级对象、单位、社会及国家造成的安全危害。
    2. 结合安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等综合分析可能造成的安全危害中的最大安全危害(损失)结果。
    3. 根据最大安全危害严重程度进一步确定定级对象面临的风险等级,结果为“高”“中”或“低”。
  6. 等级测评结论形成
    1. 符合:定级对象中未发现安全问题,等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为 0,综合得分为 100 分。
    2. 基本符合:定级对象中存在安全问题,部分符合和不符合项的统计结果不全为 0,但存在的安全问题不会导致定级对象面临高等级安全风险,且综合得分不低于阈值。
    3. 不符合:定级对象中存在安全问题,部分符合项和不符合项的统计结果不全为 0,而且存在的安全问题会导致定级对象面临高等级安全风险,或者综合得分低于阈值。
  7. 测评报告编制
    1. 测评人员整理前面几项任务的输出/产品,按照《信息系统安全等级测评报告模版》编制测评报告相应部分。每个被测定级对象应单独出具测评报告。
    2. 针对被测定级对象存在的安全隐患,从系统安全角度提出相应的改进建议,编制测评报告的问题处置建议部分。
    3. 测评报告编制完成后,测评机构应根据测评协议书、测评委托单位提交的相关文档、测评原始记录和其他辅助信息,对测评报告进行评审。
    4. 评审通过后,由项目负责人签字确认并提交给测评委托单位。

报告编制活动的输出文档及其内容

任务输出文档文档内容
单项测评结果判定等级测评报告的等级测评结果记录部分分析测评对象的安全现状与标准中相应等级基本要求项的符合情况,给出单项测评结果和符合程度得分
单元测评结果判定等级测评报告的单元测评小结部分汇总统计单项测评结果,分析计算控制点符合情况、存在的安全问题
整体测评等级测评报告的整体测评部分分析被测定级对象整体安全状况及对单项测评结果的影响情况,给出安全问题严重程度及对应的要求项符合程度得分修正值
系统安全保障评估测评报告的系统安全保证评估部分汇总被测定级对象已采取的安全保护措施情况,计算安全控制点得分及安全层面得分,并总体评价被测定级对象已采取的有效保护措施和存在的主要安全问题情况
安全问题风险分析等级测评报告的安全问题风险评估部分分析被测定级对象存在安全问题可能对定级对象、单位、社会及国家造成的最大安全危害(损失),并给出风险等级
等级测评结论形成等级测评报告的等级测评结论部分对测评结果进行分析,形成等级测评结论,并给出综合得分
测评报告编制经过评审和确认的被测定级对象等级测评报告等级测评结果记录,单元测评结果汇总及结果分析,整体测评过程及结果,风险分析过程及结果,等级测评结论,问题处置建议等

报告编制活动中双方职责

  1. 测评机构职责:
    1. 分析并判定单项测评结果和整体测评结果。
    2. 分析评价被测定级对象存在的风险情况。
    3. 根据测评结果形成等级测评结论。
    4. 编制等级测评报告,说明系统存在的安全隐患和缺陷,并给出改进建议。
    5. 评审等级测评报告,并将评审过的等级测评报告按照分发范围进行分发。
    6. 将生成的过程文档(包括电子文档)归档保存,并将测评过程中在测评用介质和测试工具中生成或存放的所有电子文档清除。
  2. 测评委托单位职责:
    1. 签收测评报告。
    2. 向分管公安机关备案测评报告。
Avatar

Safé.Café - 安全咖

❤ Cyber Security | Safety is a priority.
Next 《信息安全技术 网络安全等级保护实施指南》(GB∕T 25058-2019)