等保測評介紹

信息系統安全等級保護測評是指測評機構依據國家信息安全等級保護制度規定，按照有關管理規范和技術標準，對未涉及國家秘密的信息系統安全等級保護狀況進行檢測評估的活動。等級保護測評是標準符合性評判活動，即依據信息安全等級保護的國家標準或行業標準，按照特定方法對信息系統的安全防護能力進行科學公正的綜合評判過程。

政策依據

《中華人民共和國計算機信息系統安全保護條例》（[1994]國務院令第147號）

《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）

《信息安全等級保護備案實施細則》（公信安[2007]1360號）

《關于開展全國重要信息系統安全等級保護定級工作的通知》（公通字[2007]861號）

《信息安全等級保護管理辦法》（公通字[2007]43號）

《關于開展信息系統等級保護安全建設整改工作的指導意見》（公信安[2009]1429號）

《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2010]303號）

技術標準

GB/T 28448-2012《信息系統安全等級保護測評要求》

GB/T 28449-2012《信息系統安全等級保護測評過程指南》

GB/T 25058-2010《信息系統安全等級保護實施指南》

GB/T 25070-2010《信息系統等級保護安全設計技術要求》

GB/T 22240-2008《信息系統安全等級保護定級指南》

GB/T 22239-2008《信息系統安全等級保護基本要求》

GB 17859-1999《計算機信息系統安全保護等級劃分準則》

測評過程

等級測評過程分為四個基本測評活動：測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。而測評雙方之間的溝通與洽談應貫穿整個等級測評過程。

 測評準備活動介紹

本活動是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續工作能否順利開展。本活動的主要任務是掌握被測系統的詳細情況，為實施測評做好文檔及測試工具等方面的準備。

方案編制活動介紹

本活動是開展等級測評工作的關鍵活動，為現場測評提供最基本的文檔和指導方案。本活動的主要任務是開發與被測信息系統相適應的測評內容、測評實施手冊等，形成測評方案。

現場測評活動介紹

本活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求，嚴格執行測評實施手冊，分步實施所有測評項目，包括單項測評和系統整體測評兩個方面，以了解系統的真實保護情況，獲取足夠證據，發現系統存在的安全問題。

分析與報告編制活動介紹

本活動是給出等級測評工作結果的活動，是總結被測系統整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和GB/T 22239-2008的有關要求，通過單項測評結果判定和系統整體測評分析等方法，分析整個系統的安全保護現狀與相應等級的保護要求之間的差距，綜合評價被測信息系統保護狀況，并形成測評報告文本。

測評方法

測評方法一般包括訪談、文檔審查、配置檢查、工具測試和實地察看五個方面。

A）訪談

測評人員與被測系統有關人員（個人/群體）進行交流、討論等活動，獲取相關證據，了解有關信息。在訪談范圍上，不同等級信息系統在測評時有不同的要求，一般應基本覆蓋所有的安全相關人員類型，在數量上可以抽樣。

B）文檔審查

1）檢查GB/T 22239-2008中規定的必須具有的制度、策略、操作規程等文檔是否齊備。

2）檢查是否有完整的制度執行情況記錄，如機房出入登記記錄、電子記錄、高等級系統的關鍵設備的使用登記記錄等。

3）對上述文檔進行審核與分析，檢查他們的完整性和這些文件之間的內部一致性。

C）配置檢查

1）根據測評結果記錄表格內容，利用上機驗證的方式檢查應用系統、主機系統、數據庫系統以及網絡設備的配置是否正確，是否與文檔、相關設備和部件保持一致，對文檔審核的內容進行核實（包括日志審計等）。

2）如果系統在輸入無效命令時不能完成其功能，將要對其進行錯誤測試。

3）針對網絡連接，應對連接規則進行驗證。

D）工具測試

任務描述：

1）根據測評方案，利用技術工具對系統進行測試，包括基于網絡探測和基于主機審計的漏洞掃描、滲透性測試、性能測試、入侵檢測和協議分析等。

2）備份測試結果。

E）實地察看

任務描述：

根據被測系統的實際情況，測評人員到系統運行現場通過實地的觀察人員行為、技術設施和物理環境狀況判斷人員的安全意識、業務操作、管理程序和系統物理環境等方面的安全情況，測評其是否達到了相應等級的安全要求。