等保測評是什么

等保測評用于評估網絡系統或應用是否滿足相應的安全保護等級要求，是網絡安全等級保護工作的重要環節之一。開展等保測評能夠幫助網絡運營者識別系統存在的安全隱患，及時對系統進行整改加固。本文就等保測評的概念、流程以及測評內容進行簡要介紹。

發布時間：2022-11-28
點擊量：
點贊：

分享至

我想評論

1 等保測評概述

在討論“等保測評是什么”之前，首先需要了解什么是“等保”。“等保”即網絡安全等級保護，是指對網絡信息和信息載體按照重要程度劃分等級，并基于分級，針對性地開展安全保護工作。網絡安全等級保護制度是我國網絡安全領域現行的基本制度。

等保的實施流程分為5個環節：系統定級、備案、建設整改、等級測評和監督檢查；而等保測評（也稱等級測評）正是其中的一個重要環節。

等保測評是指由具有資質的測評機構，依據國家網絡安全等級保護規范規定，按照有關管理規范和技術標準，對等保對象（如信息系統、數據資源、云計算、物聯網、工業控制系統等）的安全等級保護狀況進行檢測評估的活動。簡單來說，等保測評用于驗證網絡系統或應用是否滿足相應的安全保護等級要求，是落實等保制度的關鍵活動之一。

圖1-1 等保實施流程

說明

本文所闡述的等保相關內容，均基于我國目前實施的《GB/T 22239-2019 信息安全技術網絡安全等級保護基本要求》《GB/T 28449-2018 信息安全技術網絡安全等級保護測評過程指南》等相關標準，即“網絡安全等級保護2.0”標準體系（簡稱“等保2.0”）。

2 為什么要做等保測評

對于網絡運營者，開展等保測評的必要性主要體現在如下幾點：

●識別網絡潛在風險，提升自身防護能力：

日益專業化、智能化、隱蔽化的網絡攻擊為網絡安全帶來了更嚴峻的挑戰，網絡運營者可以通過等保測評了解系統的安全防護現狀，識別系統內、外部存在的安全隱患，并在此基礎上通過加固整改提高系統的網絡安全防護能力，降低被攻擊的風險。

●滿足國家相關法律法規的要求：

法律層面上，國家《網絡安全法》的第21條和第31條明確規定了網絡運營者和關鍵信息基礎設施運營者應當按照網絡安全等級保護制度的要求，履行相關的安全保護義務。不依法開展等保工作為違法行為，將由有關主管部門責令整改并處以罰款、警告等懲罰措施。

●提升行業競爭力：

是否開展等保工作是衡量企業信息安全水平的一個重要標準。對于企業來說，進行等保測評不僅能夠有效地提高信息系統安全建設的整體水平，還能夠在向外部客戶提供業務服務時給出信息系統安全性承諾，增強客戶、合作伙伴及利益相關方的信心。

3 等保測評等級劃分

等保工作的核心在于“分級”，對于重要程度不同的網絡系統，安全防護能力要求也有所不同。在進行等保測評之前，網絡運營者需要先完成待測評對象的定級，以明確測評的維度和標準。

3.1 定級標準

當前我國實行的網絡安全等級保護制度，將等級保護對象按照受破壞時所侵害的客體和對客體造成侵害的程度，從低到高劃分了五個安全保護等級：

(1) 第一級：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；

(2) 第二級：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；

(3) 第三級：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；

(4) 第四級：等級保護對象受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；

(5) 第五級：等級保護對象受到破壞后，會對國家安全造成特別嚴重損害。

圖3-1 定級要素與安全保護等級關系

在實際應用中，定級主要參考行業要求和業務的發展體量，例如普通的門戶網站，定為二級已經足夠，而存儲較多敏感信息（如公民個人信息）的系統則需要定為三級或三級以上。大部分信息系統的安全保護等級處于二級或三級。

表3-1 常見的定級對象

二級等保對象

三級等保對象

● 不涉及敏感信息及重要信息的信息系統。

● 單純的展示網站，不涉及用戶信息、交付交易、私密信息等。

● 非核心業務系統，不存儲個人隱私信息。

● 內部管理系統，協同辦公平臺。

● 涉及到敏感、重要信息的辦公系統和管理系統。

● 涉及客戶信息、支付、保密信息的系統。

● 影響力比較大的政企官方網站。

● 用戶數據達到一定數量級的網絡平臺。

示例：學校的網站、教育系統、事業單位政企官方網站等。

示例：金融系統、財稅系統、交通運輸系統、醫療系統、物流系統、游戲、涉及用戶注冊和支付的APP和軟件等。

3.2 定級流程

等保對象定級的一般工作流程包括：確定定級對象、初步確定定級、專家評審、主管部門核準和公安機關備案審核。

圖3-2 等保對象定級工作的一般流程

對于安全保護等級初步確定為第一級的等級保護對象，其網絡運營者可依據標準自行確定最終安全保護等級，無需進行專家評審、主管部門核準及備案審核。

而對于安全保護等級初步確定為第二級及以上的等級保護對象，網絡運營者需組織網絡安全專家和業務專家對定級結果的合理性進行評審，將定級結果報請行業主管（監管）部門核準，并按照相關管理規定，將定級結果提交公安機關進行備案審核。

4 等保測評流程

等保測評流程包括四個基本測評活動：測評準備活動、方案編制活動、現場測評活動和報告編制活動。

圖4-1 等保測評流程

4.1 測評準備活動

作為等保測評流程中的準備步驟，該階段的主要工作包括組建等保測評項目組、收集定級對象相關資料、準備測評工具等，目標是幫助測評人員熟悉測評對象和測評工具，對測評對象的安全狀況做出初步分析，為后續等保測評的實施做好充分的準備。

在該階段，測評委托單位（即網絡運營者）需要配合測評機構提供詳盡的測評對象相關資料，為信息收集工作提供支持和協助。

4.2 方案編制活動

本階段的目標是整理測評準備活動中獲取的定級對象相關資料，為下一步的現場測評活動提供最基本的文檔和指導方案。

在本階段中，等保測評機構需要根據測評委托方提供的相關信息，通過分析測評對象的整體結構、邊界、網絡區域等情況，確定測評對象、測評指標、測評內容以及工具測試方法，并輸出詳實的測評方案和測評指導書。

4.3 現場測評活動

4.3.1 主要任務

現場測評活動是等保測評流程中的核心活動，測評人員利用訪談、文檔審查、配置稽查、工具測試和實地查看的方法，按照測評指導書實施現場測評，并將測評過程中獲取的證據源進行詳細、準確記錄。

在這個過程中，評測委托單位通常需要完成以下工作：

●在現場測評前完成系統和數據的備份，并了解測評工作的基本情況。

●協助測評機構獲得現場測評的授權。

●了解現場測評存在的風險，對風險告知書進行簽字確認。

●配合測評人員完成業務相關內容的問詢、驗證和測試。

●在工具測試過程中提供相關建議，降低測評過程對系統運行的影響。

4.3.2 測評內容

等保評測內容與等級保護要求相對應，分為安全通用要求和安全擴展要求兩部分。

安全通用要求針對共性化保護需求提出，無論等級保護對象以何種形式出現，均需根據安全保護等級實現相應級別的安全通用要求。如表4-1所示，安全通用要求分為技術要求和管理要求；其中技術要求包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心五個方面；管理要求包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理五個方面。

安全擴展要求針對個性化保護需求提出，適用于采用特定技術或特定應用場景下的等級保護對象。目前相關標準提出的安全擴展要求主要面向云計算、移動互聯、物聯網和工業控制系統四類應用場景。

表4-1 安全通用要求說明

	安全控制要求	說明	安全控制點（測評項）
技術要求	安全物理環境	● 針對物理機房提出的安全控制要求 ● 主要對象為物理環境、物理設備和物理設施等	物理位置的選擇物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮溫濕度控制電力供應電磁防護
	安全通信網絡	● 針對通信網絡提出的安全控制要求 ● 主要對象為廣域網、城域網和局域網等	網絡架構通信傳輸可信驗證
	安全區域邊界	● 針對網絡邊界提出的安全控制要求 ● 主要對象為系統邊界和區域邊界等	邊界防護訪問控制入侵防范惡意代碼和垃圾郵件防范安全審計可信驗證
	安全計算環境	● 針對邊界內部提出的安全控制要求 ● 主要對象為邊界內部的所有對象，包括網絡設備、安全設備、服務器設備、終端設備、應用系統、數據對象和其他設備等	身份鑒別訪問控制安全審計入侵防范惡意代碼防范可信驗證數據完整性數據保密性數據備份與恢復剩余信息保護個人信息保護
	安全管理中心	● 針對整個系統提出的安全管理方面的技術控制要求 ● 要求通過技術手段實現集中管理	系統管理審計管理安全管理集中管控
管理要求	安全管理制度	針對整個管理制度體系提出的安全控制要求	安全策略管理制度制定和發布評審和修訂
	安全管理機構	針對整個管理組織架構提出的安全控制要求	崗位設置人員配備授權和審批溝通和合作審核和檢查
	安全管理人員	針對人員管理提出的安全控制要求	人員錄用人員離崗安全意識教育和培訓外部人員訪問管理
	安全建設管理	針對安全建設過程提出的安全控制要求	定級和備案安全方案設計安全產品采購和使用自行軟件開發外包軟件開發工程實施測試驗收系統交付等級測評服務供應商管理
	安全運維管理	針對安全運維過程提出的安全控制要求	環境管理資產管理介質管理設備維護管理漏洞和風險管理網絡和系統安全管理惡意代碼防范管理配置管理密碼管理變更管理備份與恢復管理安全事件處置應急預案管理外包運維管理