前文回顾及本文介绍
上一篇【等保对象知多少】讲解了等保2.0中等保对象即:信息系统、通信网络设施、数据资源。
接下来我们将对测评过程中涉及到的对象进行分析,本文主要针对《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》中的附录 D(测评对象确定准则和样例)进行分析和梳理。
原标准内容概要
测评过程指南的附录 D主要是针对云计算、物联网、移动互联、工控系统、IPv6系统等新技术新应用的等级测评过程中的特殊实施关注点,帮助用户在这些新的等级保护对象展现形态上顺利、完备的实施等级测评。这些关注点就是本文要重点关注的测评对象,简单来说,我们单位的XX系统要进行等保测评,那么要对那些东西开展测评,即重点关注测评的范围覆盖系统的那些东西,至于怎么测/实施不在本文讨论范围。
测评对象确定准则
确定测评对象的方法是抽查。说是抽查,但貌似不是随机抽,而是要遵循以下原则(中级必背):
重要性,应抽查对被测定级对象来说重要的服务器、数据库和网络设备等;
安全性,应抽查对外暴露的网络边界;
共享性,应抽查共享设备和数据交换平台/设备;
全面性,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型;
符合性,选择的设备、软件系统等应能符合相应等级的测评强度要求。
测评对象确定步骤
测评对象抽查方法
确定测评对象时,可以将系统构成组件分类,再考虑重要性等其他属性。一般定级对象(就是要测评的系统)可以直接采用分层抽样方法(Stratified sampling),复杂系统建议采用多阶抽样方法(Multistage sampling)。
关于这两种方法,度娘解释如下:
一般地,在抽样时,将总体分成互不交叉的层,然后按照一定的比例,从各层独立地抽取一定数量的个体,将各层取出的个体合在一起作为样本,这种抽样的方法叫分层抽样法。
多阶抽样指在抽取样本的时候,按照抽样个体的隶属关系或层次关系,分为两个或两个以上的阶段从总体中抽取样本的一种抽样方式。其具体操作过程是:第一阶段.将总体划分为若干个一级抽样单位。从中抽选若干个一级抽样单位入样;第二阶段,将入样的每个一级单位分成若干个二级抽样单位,从入样的每个一级单位中抽选若干个二级抽样单位入样。从集体抽样到个体抽样,分成若干阶段逐步地进行。在社会研究中,当总体的规模特别大,或者总体分布的范围特别广时,研究者一般采取多阶段抽样的方法来抽取样本。
比如,为了调查某县人口的抽样,可以分为三段进行,首先以乡为抽样框,抽取一部分,然后在抽中的乡里面,以村为单位进行抽样,即抽出若干个,最后,再在抽取的村里面抽取一定的人口。整个过程中各阶段的抽样,则可以采取简单随机抽样或者分层抽样。
一般系统分层抽样方法就够了,如果系统太大先多阶,再分层,例如:如果系统大那么肯定有子系统,可以考虑按子系统先分类再进行分层。当然划分的方式还有很多种,具体看下面。
测评对象确定步骤
- 对系统构成组件进行分类,如可在粗粒度上分为客户端(主要考虑操作系统)、服务器(包括操作系统、数据库管理系统、应用平台和业务应用软件系统)、网络互联设备、安全设备、安全相关人员和安全管理文档,也可以在上述分类基础上继续细化;
- 对于每一类系统构成组件,应依据调研结果进行重要性分析,选择对被测定级对象而言重要程度高的服务器操作系统、数据库系统、网络互联设备、安全设备、安全相关人员以及安全管理文档等;
- 对于步骤b)获得的选择结果,分别进行安全性、共享性和全面性分析,进一步完善测评对象集合;
| 考量维度 | 选择对象 | 测评内容 |
|---|---|---|
| 从网络攻击技术的自动化和获取渠道的多样化考虑 | 选择部署在系统边界的网络互联或安全设备以测评暴露的系统边界的安全性 | 衡量定级对象被外界攻击的可能性 |
| 从新技术新应用的特点和安全隐患考虑 | 选择面临威胁较大的设备或组件作为测评对象 | 衡量这些设备被外界攻击的可能性 |
| 从不同等级互联的安全需求考虑 | 应选择共享/互联设备作为测评对象,以测评通过共享/互联设备与被测评定级对象互连的其他系统是否会增加不安全因素 | 衡量外界攻击以共享/互联设备为跳板攻击被测定级对象的可能性 |
| 从不同类型对象存在的安全问题不同考虑 | 选择的测评对象结果应尽量覆盖系统中具有的网络互联设备类型、安全设备类型、主机操作系统类型、数据库系统类型和应用系统类型等。 | 通过漏扫、渗透找出被测对象的漏洞 |
- 依据被测评定级对象的安全保护等级对应的测评力度进行恰当性分析,综合衡量测评投入和结果产出,恰当的确定测评对象的种类和数量。
测评对象确定样例
| 等级 | 测评对象范围 | 抽查范围 |
|---|---|---|
| 第一级 | 测评对象的种类和数量比较少 | 重点抽查关键的设备、设施、人员和文档等 |
| 第二级 | 测评对象的种类和数量都较多 | 重点抽查重要的设备、设施、人员和文档等 |
| 第三级 | 测评对象种类上基本覆盖、数量进行抽样 | 重点抽查主要的设备、设施、人员和文档等 |
| 第四级 | 测评对象种类上完全覆盖、数量进行抽样 | 重点抽查不同种类的设备、设施、人员和文档等 |
注意每个级别测评范围和抽查范围的区别,其实一级可以不用管,因为是自行管理。四级基本不会遇到,所以重点关注二级和三级即可,下面把二、三级抽查的测评对象的种类列出来:
| 测评对象种类 | 说明 | 与二级的差异 |
|---|---|---|
| 主机房(包括其环境、设备和设施等)和部分辅机房 | 应将放置了服务于定级对象的局部(包括整体)或对定级对象的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象 | 二级对于辅机房放置整个定级对象的,才作为测评对象,局部的不作为测评对象 |
| 存放环境 | 存储被测定级对象重要数据的介质的存放环境 | 与二级相同 |
| 办公场地 | 二级无此要求 | |
| 网络拓扑结构 | 整个系统的网络拓扑结构 | 与二级相同 |
| 安全设备 | 包括防火墙、入侵检测设备和防病毒网关等 | 与二级相同 |
| 边界网络设备 | (可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等 | 二级对边界接入设备不做要求,其他相同 |
| 网络互联设备 | 对整个定级对象或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等 | 二级对边界接入设备不做要求,其他相同 |
| 服务器 | 承载被测定级对象主要业务或数据的服务器(包括其操作系统和数据库) | 二级仅对核心或重要业务、数据的服务器做要求 |
| 管理终端和主要业务应用系统终端 | 二级仅对重要管理终端有要求 | |
| 业务应用系统 | 能够完成被测定级对象不同业务使命的业务应用系统 | 二级仅对代表被测定级对象主要使命的业务应用系统有要求 |
| 业务备份系统 | 二级无此要求 | |
| 信息安全相关人员 | 信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人 | 与二级相同 |
| 管理制度和记录 | 涉及到定级对象安全的所有管理制度和记录 | 与二级相同 |
小结
以上都是测评对象在测评过程中划分的理论,而实际测评过程中其实要根据测评对象确定步骤中的第4步来决定:
- 等保级别对应的评测力度;(等级越高,覆盖面越广,涉及对象越多)
- 投入和产出;(经费足够的情况下,当然可以适当的增加一些测评对象)
- 系统的复杂度。(系统越复杂,那么测评对象的数量当然会越多,例如大数据、云平台,这些系统可能涉及到大量的服务器,光服务器可能有好几百个,按1/3算都有百把台)