1、 ICS 35.040 CCS L 80 34 安徽省地方标准 DB34/T 4091.12022 网络安全 等级保护 测评机构 第1 部分:测评质 量要求 Assessment organization of classified protection of cybersecurityPart 1:Evaluation quality requirements 2022-03-29 发布 2022-04-29 实施 安徽省市 场监督 管 理局 发 布 DB34/T 4091.12022 前 言 本文件 按照GB/T 1.12020 标准 化工 作导则 第1 部分:标准化 文件 的结构 和起草
2、 规则 的规 定起草。本文件 是DB34/T 4901 网 络安全 等级 保护 测评 机构 的第1部分。DB34/T 4901 已经 发布 了以 下部分:第1 部分:测 评质 量要 求;第2 部分:测评 质量 检查 规范。请注意 本文 件的 某些 内容 可能涉 及专 利。本文 件的 发布机 构不 承担 识别 这些 专利的 责任。本文件 由安 徽省 公安 厅提 出并归 口。本文件 起草 单位:安 徽省质 量 和标 准化 研究 院、安徽 省 公安 厅网 安总 队、铜陵 市 公安 局网 络安 全保卫 支 队、淮 北市 公安 局网络 安 全保 卫支 队、芜 湖市公 安 局网 络安 全保 卫支 队、安徽
3、 科测 信息 技术 有限公司、安 徽省 电子 产品 监督 检验所、合 肥天 帷信 息安 全技术 有限 公司、安徽 祥盾 信 息科 技有 限公司、安 徽等保信 息安 全测 评技 术有 限公司、安徽 安正 测评 技 术有限 公司、安徽 国康 网 络安全 测评 有限 公司、安 徽溯源电 子科 技有 限公 司、安徽风 雪网 络安 全测 评有 限公司、合 肥前 卫科 技有 限公司。本文件 主要 起草 人:冯响 林、刘 菖、杨波、袁 宁、张士骑、朱 冰、楚学 建、朱华斌、齐 艳丽、赵 家辉、蒋凡、何潇 宁、张婷、武建 双、程 苏秦、王 国朝、张 多福、陈传 宇、张松、陈 宗明、方成成、周天熠、刘 环。I
4、DB34/T 4091.12022 引 言 中华 人民 共和 国网 络安 全法 中规 定“国家 实行 网络安 全 等级 保护 制度”。网 络安 全等 级保护工作 要 求建 立健 全网 络安 全保 障 体系,重点 保护 涉及国 家 安全、国计 民生、社会公 共 利益 等的 关键 网络 信息 系 统的 基础 设施 安全、运 行 安全 和数 据安 全。网络 安 全等 级保 护测 评机 构根 据 国家 网络 安全等级保护制度规 定从事 等级 测评工 作,其 测评质 量直 接关系 到网络 安全防 护是 否规范、网络 安全管 理是 否落 实、网络安 全风 险意 识是 否得 到增强。DB34/T 4901旨
5、在规 定 网络 安全 等级 保护 测评 机 构的 测评 质量 要求和对测评 机构 的检 查规 范,以达到 提升 网络 安全 等级 保护测 评机 构的 测评 质量 为目的,由两 部分构成。第1 部 分:测评 质量 要求。目的 在于 规定 网络 安全 等级保 护测 评机 构测 评质 量要求,为 测评质量检 查确 立检 查内 容。第2 部 分:测评 质量 检查 规范。目的 在于 规定 对网 络安全 等级 保护 测评 机构 测评质 量检 查的组织、检查 方法、检 查流 程和评 价方 法。II DB34/T 4091.12022 网 络安全 等级保护 测评机 构 第 1 部分:测评质 量要求 1 范围
6、本文件 规定 了网 络安 全等 级保护 测评 机构(以 下简 称“测 评机 构”)的 测评 质量要 求。本文件 适用 于对 测评 机构 测评质 量的 检查 和评 价,也适用 于测 评机 构的 自查 活动。2 规范性 引用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款。其 中,注日 期的 引用 文件,仅该日 期对 应的 版本 适用 于本文 件;不注 日期 的引 用文件,其 最新 版本(包 括所有 的修 改单)适 用 于 本文件。GB/T 222392019 信息 安全技 术 网络 安全 等级 保护基 本要 求 GB/T 284482019 信息
7、安全技 术 网络 安全 等级 保护测 评要 求 GB/T 284492018 信息 安全技 术 网络 安全 等级 保护测 评过 程指 南 3 术语和 定义 GB/T 222392019、GB/T 284482019和GB/T 284492018 界定 的术 语和 定义适 用 于本 文件。4 质量要 求 测评准 备活 动 4.1 测评准 备活 动的 质量 要求 如表1 所 示。表1 测评准 备活 动的 质量 要求 项目 要求 人员 参与项目测评的测评师数量和等级应与被测对象等级保护级别相符:实施二级项目测评的测评师应不少于2 名;实施三级项目测 评的测评师应 不少于4 名,其中高级 测评师、中级
8、测评师应各不 少于1 名;实 施四级项目测评的测评师应不少于5 名,其中中级测评师应不少于1 名,高级测评师应不少于1 名。测评师的测评能力应得到保持,按要求参加培训,持等级测评师证上岗。需要开展渗透测试的测评项目,应配置专职渗透测试人员至少1 名。项目工作计划 应根据委托测评协议书的内容编制项目计划书。项目计划书应包括被测对象概述。项目计划书应分析测评的内容、规模。项目计划书应明确被测对象是否涉及云计算平台、物联网、移动互联、工业控制系统、大数据等新技术新应用。项目计划书应分析测评的实施计划、重点环节。1 DB34/T 4091.12022 表 1(续)项目 要求 项目工作计划 项目计划书应
9、说明测评人员要求。应为项目计划书设置符合测评机构管理规定要求的唯一标识,该标识能与测评任务实现关联。项目计划书应经过编制、审核和批准流程。等级测评资料收集 应收集项目测评 所需的测评 委 托单位的资料,包括但不限 于 委托单位管理架 构、技术体系、运行情况、建 设方案、建设过程中相关文档。应收集项目测评 所需的被测 对 象的资料,包括 但不限于安 全 保护等级、业务 情况、数据情 况、网络情况、软硬件情况、管理模式和安全部门及角色等。针对云计算平台 的等级测评,还应收集云计算 平台运营机 构 的管理架构、技 术实现机制及 架构、运行情况、云计算平台的定级情况、云计算平台的等级测评结果。针对云租
10、户系统 的等级测评,还应收集云计算 平台运营机 构 与租户的关系、云平台的服务 架构模式以及其 具体内容、定级对象的相关情况。针对物联网系统 的等级测评,还应收集各类感 知层设备的 检 测情况、感知层 设备部署情况、感知层物理环 境、感知层通信协议等信息。针对移动互联应 用的等级测 评,还应收集各类 无线接入设 备 部署情况、移动 终端使用情况、移动应用程序、移动通信协议等信息。针对工业控制系统的等级测评,还应收集工控设备类型、系 统架构、逻辑层次结构、工艺 流程、功能安全需求、业务安全保护等级、通信协议、安全组织架构、历史安全事件等信息。针对大数据的等级测评,还应收集大数据系统架构、数据出入
11、过程、基础设施位置等信息。应整理并分析收集到的所有资料,评估资料收集的完整性和资料的有效性,并记录评估过程和结果。系统调查 应使用统一格式 的系统调查 表 格(如:系统调 查表格模板),调查表格应具 有唯一性标识,该标识能与测 评任务实现关联。系统调查表格应调查测评委托单位的基本信息,包括但不限于:单位名称、单位地址、联系人、联系电话。系统调查表格应调查被测对象的基本情况,包括但不限于:采用的主要技术、主要功能、核心业务、关键数据、服务对象。系统调查表格应 调查承载的 业 务情况,包括但 不限于:被 测 对象名称、定级 等级、被测对 象形态(如:传 统系统、云计算平台、物联网、移动互联、工业控
12、制系统、大数据等)。系统调查 表格应 调查被 测对象 涉及的网 络结构 并绘制 网络拓 扑图,网 络拓扑 图应能 明确被 测对象涉 及的功 能/安全区域划分、隔离与防护 情 况、关键网络和 服务器设备 部 署情况、与其他 系统的互联情 况、边界网络设 备情况、网络管理工具以及本地备份或灾备中心的情况。应调查被测对象涉及的机房信息,包括但不限于:机房名称、位置、重要程度。应调查被测对象 涉及的网络 互 联设备信息,包 括但不限于:设备名称、设备 类型、品牌型 号、是否虚拟设 备、软件版本及补丁版本、所属网络区域、主要用途、重要程度、数量。应调查被测对象 涉及的安全 设 备信息,包括但 不限于:设
13、 备 名称、设备类型、品牌型号、软件版本及病毒 或规则库版本、所属网络区域、主要用途、重要程度、数量。应调查被测对象 涉及的服务 器 及存储设备信息,适用时,还 应调查宿主机、云管理服务器、云应用服务器 的信息。这些信息包 括但不限于:设备名称、设备 类型、品牌 型 号、是否虚拟设 备、操作系统 或存储管理系统 名称及版本、所承载的业务应用系统名称及版本、重要程度、数量。应调查被测对象 涉及的终端 设 备信息,包括但 不限于:设 备 名称、设备类型、品牌型号、操作系统或控制 系统名称及版本、设备用途、重要程度、数量。2 DB34/T 4091.12022 表 1(续)项目 要求 系统调查 应调
14、查被测对象 涉及的支撑 或 管理系统(如:数据库管理 系 统、中间件、网 管软件、安全 管理软件、云计 算管理软件)信息,适用时,还 应 调查云计算平台 安全管理系 统、云计算平台数 据库管理系统、云计算平台中 间件软件的信息。这些信息包括但不限于支撑或管理系统名称及版本、部署设备名称、主要功能、重要程度。应调查被测对象 涉及的业务 应 用系统信息,包 括但不限于:系统名称和版本、开发厂商、主要功能、处理 的核心数据、用户数量、系统架构、重要程度。应调查被测对象 涉及的数据 信 息,包括但不限 于:数据类 别(如:业务数据、重要个人信 息)、所属业务 应用系统、安全防护 需求(如:保 密性、完
15、整性、抗抵赖性、可 核查性、真实性)。使用大数 据处理技术处理 数据时,还应明确实现数据采集、存储、处理、应用、流动、销毁等环节的实施模块。应调查被测对象 涉及的安全 相 关人员信息,包 括但不限于:姓名、角色、主 要职责、联系 电话。相关人员 可以包括但不限于:安全主管、系 统建设负责人、系统运维负 责 人、网络(安全)管理员、设 备(资产)管理 员、软件开发人员、机房管理员、安全审计人员等。应调查被测对象涉及的安全管理制度信息,包括但不限于:文件名称、文件编号、适用范围、主要内容。应对调查到的信 息进行整理、分析,对不符合 要求的应重 新 调查,必要时应 安排现场调查,应对调查结果 进行评
16、估,并记录评估过程和结果。测评工具准备 应根据测评任务需要选择合适的测评工具(包括漏洞扫描工具、渗透性测试工具、Web 安全 评估工具、数据库扫描工具和协议分析工具等)。应对选择的测评工具软件进行维护(如:更新升级、设置、杀毒)。必要时,应对工具操作人员开展培训。测评表单准备 应根据测评任务 需要准备测 评 表,这些表单包 括但不限于:风险告知书、文 档交接单、会 议记录表单、会 议签到表单、测试记录表单。测评表单应具有唯一性标识,该标识能与测评任务实现关联。测评准备阶段使用的表单内容应准确,并应获得测评委托单位的确认。方案编 制活 动 4.2 方案编 制活 动的 质量 要求 如表2 所 示。
17、表2 方案编 制活 动的 质量 要求 项目 要求 测评对象确定 测评对象的选择应与定级结果相符,且符合GB/T 284492018 中附录D 的要求。应将面临威胁较大的涉及新技术新应用的设备或组件确定为测评对象。应将共享/互联设备确定为测评对象。应正确识别承载被测对象核心或重要业务、数据的服务器,并将其确定为测评对象。选择的测 评对象 种类(如:网 络互联设 备类型、安全 设备类 型、主机 操作系 统类型、数据 库系统类 型和应 用系统类型等)和数量符合测评等级的要求。对不能确 定为测 评对象 的重要 业务应用 系统、网络互 联设备、安全设 备、服 务器、管理制 度和记录 等,应 充分分析原因
18、,得到测评委托单位的确认,并保存相关记录。测评指标确定 测评对象的安全要求组合应与定级结果相符。相关行业规范中涉及的网络安全要求应作为测评指标。新技术新应用涉及的扩展要求应作为测评指标。对测评指标与被测对象、测评指标与测评对象的适应性进行分析,记录不适用的原因。3 DB34/T 4091.12022 表 2(续)项目 要求 测评内容确定 测评指标应映射到各测评对象上。测评对象的每个测评指标都应选择对应的测评方法。测评实施内容应符合 GB/T 28448 的要求,特别的应予以说明。适用时,应规定渗透测试的内容。测评力度应符合 GB/T 284482019 中附录A 的要求。工具测试方法确定 应根
19、据测评对象的特点选择测评工具,并规定测评工具的名称及版本。应根据 GB/T 28449 的要求选 择合适的测试路径。应根据测试路径的特点为测试工具选择合适的接入点。应规定具有操作能力的人员使用测试工具开展测试,并形成工具测试记录。测评指导书开发 应根据测评对象、测评指标、测评内容、测试方法的特点编制测评指导书。测评指导书应规定单项测评的测评项、测评方法、测评步骤、预期结果。测评指导书应规定整体测评的步骤和方法。适用时,应规定漏洞扫描和渗透测试的方法、步骤。测评指导书的内容应通俗易懂、准确、无歧义,必要时,应对测评指导书进行培训。风险规避实施方案编制 应从测评对象、测评内容、测评力度、测评方法的
20、特点着手,识别测评过程中可能存在的风险。当需要开 展工具 测试、渗透测 试时,应 编制针 对性的 风险规 避实施方 案,必 要时,应搭建 模拟环境,验证 漏洞扫描或者渗透测试的风险。应根据识别的风险制定具有针对性的风险规避实施方案。制定的风险规避实施方案应正确、有效、可实施,必要时,应对风险规避实施方案进行评审。测评方案编制 应根据等级保护过程中的等级测评实施要求,完整准确的罗列测评活动所依据的标准。应根据委托测评协议书和被测对象情况,估算现场测评工作量。应根据项目组人员组成和测评任务需要,编制任务分工。应编制测评计划,其内容应包括但不限于:人员组成及分工、设备设施、时间进度、停止/恢复条件。
21、应组织项 目组人 员对测 评方案 进行评审,评审 的内容 应包括 但不限于:方案 的针对 性、完 整性、正 确性、可实施性。测评方案应得到测评委托单位的确认。现场测 评活 动 4.3 现场测 评活 动的 质量 要求 如表3 所示。表3 现场测 评活 动的 质量 要求 项目 要求 现场测评准备 应向测评 委托单 位提交 风险告 知书,充 分告知 测评可 能引入 的风险及 可采取 的规避 措施,并获得测 评委托 单位的确认。应根据测评对象和测评内容编制现场测评授权书,现场测评授权应遵循最小必要的原则。现场测评授权书授权的内容应明确授权使用的被测对象(包括操作系统/管理系统/业务系统账户密码、管理制
22、度)、授 权范围(时间 段、权 限、操作 者)、授权目 的、可 能产生的 影响、规避风 险的措 施及建议 等。授 权使用的被 测对 象应 具有 唯一 性标 识(如:IP 地 址、设备 唯一 编 号)。适用 时,还应 规定 渗透 测试的 执行 时间、渗透范围。4 DB34/T 4091.12022 表 3(续)项目 要求 现场测评 准备 现场测评授权书应得到测评委托单位的确认。应根据测 评任务 的需要 申领相 关设备、借阅相 关文件(如:管理制度、安全 记录、过往的 测评报告),并 对设备状态、文档借阅信息进行确认。应召开测 评现场 首次会,编制 会议记录,会议 记录内 容应包 括但不限 于:现
23、 场测评 工作安 排、测评 计划和 测评内容。现场测评 应由两名以上具有资质的测评师开展现场测评,应由专职渗透测试人员开展渗透测试。测评师和 渗透测 试人员 应与测 评方案中 规定的 人员一 致,确 需变更时,应提 出书面 申请,并得到委 托测评 单位的确认。应根据测 评方案、测评 指导书、现场测 评授权 书的要 求按计 划实施现 场测评。不得 删减测 评对象、测评内 容,不得更改测评方法,确需变更时,应提出书面申请,并得到委托测评单位的确认。应详细记 录测评 过程信 息,这 些信息可 包括但 不限于:执行 时间、执 行人、审核人、测评 方法、测 评工具 唯一标识(适 用时)、测评 对象唯 一
24、标识、模块名 称(适 用时)、文件唯 一标识 及页面(适用 时)、实 际情况 描述(如:现状、配置情况、制度要求)。测评记录应清晰准确、客观公正,必要时应保存截图、照片或录像。应确保电子记录(如:工具测试结果、测试记录电子文档)在生成、转移、存储等过程中不能被篡改。测评记录应得到测评委托单位的确认。同一项目不同轮次的测评记录应使用版本控制,后一轮次的测评记录不应覆盖前一轮次的记录。应按照测评机构项目管理和保密管理的规定对测评过程、记录、结果进行管理。应按照测评机构项目管理和保密管理的规定对涉及的敏感信息进行处理。对于整改 后的测 评项应 按上述 要求进行 再次测 评,且 应分析 整改对其 他相
25、关 测评项 目的影 响,必要 时应对 受到影响的测评项再次开展测评。结果确认 应召开测评现场末次会,并形成会议记录,记录的内容包括但不限于:测评过程简介、发 现的问题及整改建议。应与测评委托单位沟通测评过程中发现的问题,并得到测评委托单位的确认。报告编 制活 动 4.4 报告编 制活 动的 质量 要求 如表4 所 示。表4 报告编 制活 动的 质量 要求 项目 要求 测评结果判定 应逐一核对“不适用”项,并准确分析不适用的原因。应根据测评记录准确判定单项测评结果和符合程度得分。应汇总和分析已有安全措施和主要安全问题,应罗列被测对象采用的安全保护措施,并客观评价其达到的效果。应按照 GB/T 2
26、84482019 中11.2的要求开展安全控制点测 评,且结果判定准确。应按照 GB/T 284482019 中11.3的要求开展安全控制点间 测评,并调整测评结果。应按照 GB/T 284482019 中11.4的要求开展区域间测评,并调整测评结果。应汇总整体测评结果,调整经整体测评后安全问题严重程度,并准确说明调整理由。安全问题风险分析 应对等级测评结果中存在的所有安全问题进行安全问题风险分析。应发掘关联资产和关联威胁,确定安全问题可能造成的最大安全危害(损失)。应根据安全危害(损失)准确确定风险等级。5 DB34/T 4091.12022 表 4(续)项目 要求 等级测评结论 应根据安全
27、问题风险分析结果和综合得分确定等级测评结论。综合得分公式使用正确,结果计算准确。安全整改建议 应对所有安全问题提出整改建议。所提出的 整改建 议应尽 可能直 接有效,且通过 利用现 有资源(如:软 硬件设 备、管 理制度)或追加 少量资 源即可实现。测评报告 测评报告格式应符合测评报告模板要求,测评报告的要素应符合 GB/T 28448和测评报告模 板的要求。测评机构应按照质量管理要求对测评报告进行评审,并形成评审记录。测评报告 应经过 三级审 核,并 加盖等级 测评专 用章、测评机 构测试专 用章(或公章)。测 评报告出 现影响 测评结果或测 评委托 单位使 用的情 况时,应 编制修 订页,必要时,应按照 质量管 理要求 收回原 报告,修 改完善 后重新审核发布。6
