?有效的管理，對網(wǎng)絡(luò)安全等級保護(hù)工作的開展，其實(shí)是非常有必要的。

等級測評體系的建設(shè)主要包括測評機(jī)構(gòu)的建設(shè)和規(guī)范管理，以及測評人員和測評活動的規(guī)范和管理。測評機(jī)構(gòu)自然是由測評人員以一定組織形式，組成的一個(gè)機(jī)構(gòu)。對機(jī)構(gòu)的管理，一定程度上是對一個(gè)整體的管理，這個(gè)是針對法人的；而針對測評師的管理，則是具體到個(gè)人，這個(gè)是具體到每一個(gè)參與等級保護(hù)工作的自然人。自然人的不確定性，自然會引發(fā)法人的不確定性。若管理缺失或管理失當(dāng)，則會引入新的風(fēng)險(xiǎn)。我個(gè)人曾經(jīng)感慨說，法律規(guī)則是防止人變壞，而道德責(zé)任鼓勵(lì)人變好。

測評機(jī)構(gòu)的業(yè)務(wù)范圍和工作要求

1．業(yè)務(wù)范圍

測評機(jī)構(gòu)除了從事等級測評活動，還可以從事網(wǎng)絡(luò)安全等級保護(hù)定級、等級保護(hù)安全建設(shè)整改、網(wǎng)絡(luò)安全等級保護(hù)宣傳教育等工作的技術(shù)支持，以及風(fēng)險(xiǎn)評估、網(wǎng)絡(luò)安全培訓(xùn)、應(yīng)急保障、安全運(yùn)維、網(wǎng)絡(luò)安全咨詢和網(wǎng)絡(luò)安全工程監(jiān)理等工作。

從業(yè)務(wù)范圍內(nèi)，大家應(yīng)該可以看到，網(wǎng)絡(luò)安全等級保護(hù)定級、等級保護(hù)安全建設(shè)整改、網(wǎng)絡(luò)安全等級保護(hù)教育等工作也是非常重要的，當(dāng)然這也是獨(dú)立出來的服務(wù)。網(wǎng)絡(luò)安全是相對持續(xù)性的，沒有網(wǎng)絡(luò)安全就沒有國家安全，然而網(wǎng)絡(luò)安全是動態(tài)的，需要我們不斷跟進(jìn)技術(shù)發(fā)展，提升防護(hù)能力。

2.工作要求

從事等級測評工作的機(jī)構(gòu)及其人員應(yīng)當(dāng)遵守國家有關(guān)法律法規(guī)，依據(jù)國家有關(guān)技術(shù)標(biāo)準(zhǔn)和《TRIMPS-SC13-001：2021 網(wǎng)絡(luò)安全等級測評與檢測評估機(jī)構(gòu)服務(wù)認(rèn)證實(shí)施規(guī)則》的相關(guān)規(guī)定，開展客觀、公正、安全的測評服務(wù)，不得從事危害國家安全、社會秩序、公共利益及被測單位利益的活動。

測評機(jī)構(gòu)應(yīng)當(dāng)按照公安部統(tǒng)一制定的《網(wǎng)絡(luò)安全等級測評報(bào)告模版》規(guī)定的格式出具測評報(bào)告，根據(jù)網(wǎng)絡(luò)規(guī)模和所投入的成本合理收取測評服務(wù)費(fèi)用。

測評機(jī)構(gòu)應(yīng)嚴(yán)格按照網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)規(guī)范獨(dú)立開展等級測評工作，依據(jù)《網(wǎng)絡(luò)安全等級測評報(bào)告模版》出具網(wǎng)絡(luò)安全等級測評報(bào)告，確保測評質(zhì)量，全面、客觀地反映被測網(wǎng)絡(luò)的安全保護(hù)狀況。

測評機(jī)構(gòu)開展測評項(xiàng)目不受地域、行業(yè)限制。等級測評機(jī)構(gòu)應(yīng)在測評項(xiàng)目合同簽訂及項(xiàng)目完成后5個(gè)工作日內(nèi)，向受理網(wǎng)絡(luò)備案的公安機(jī)關(guān)報(bào)告等級測評項(xiàng)目的有關(guān)情況。

測評項(xiàng)目實(shí)施過程中，等級測評機(jī)構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導(dǎo)。測評項(xiàng)目完成后，等級測評機(jī)構(gòu)應(yīng)請被測評網(wǎng)絡(luò)運(yùn)營者對測評服務(wù)情況進(jìn)行評價(jià)，評價(jià)情況由被測單位反饋至等保辦。等級測評機(jī)構(gòu)應(yīng)定期向等保辦報(bào)送測評工作開展情況。根據(jù)測評實(shí)踐，于每年年底編制并報(bào)送網(wǎng)絡(luò)安全狀況分析報(bào)告。

其實(shí)做任何事都存在風(fēng)險(xiǎn)，特別是做的事情與安全相關(guān)，而網(wǎng)絡(luò)安全又具有一定的隱蔽性，所以在測評過程中，難免存在一定的不確定性的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)存在是正常的事情，如何規(guī)避風(fēng)險(xiǎn)才是我們要做的事情。

今天這期內(nèi)容，對存在的風(fēng)險(xiǎn)進(jìn)行一個(gè)梳理，以便我們了解。風(fēng)險(xiǎn)包括網(wǎng)絡(luò)敏感信息泄漏、驗(yàn)證測試可能會對網(wǎng)絡(luò)運(yùn)行造成影響、工具測試可能對網(wǎng)絡(luò)運(yùn)行造成影響，特別是工控系統(tǒng)可用性要求更高。

了解風(fēng)險(xiǎn)也是為規(guī)避風(fēng)險(xiǎn)做準(zhǔn)備，在了解風(fēng)險(xiǎn)的基礎(chǔ)上進(jìn)行風(fēng)險(xiǎn)規(guī)避，其中包括簽署保密協(xié)議、簽署委托測評協(xié)議、現(xiàn)場測評工作風(fēng)險(xiǎn)的規(guī)避、規(guī)范化的實(shí)施過程、溝通與交流等都是規(guī)避風(fēng)險(xiǎn)的重要內(nèi)容。

存在的風(fēng)險(xiǎn)

等級測評過程中可能存在以下風(fēng)險(xiǎn)。

1．網(wǎng)絡(luò)敏感信息泄露

泄漏被檢測單位網(wǎng)絡(luò)狀態(tài)信息，例如網(wǎng)絡(luò)拓?fù)洹P地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔信息。

2．驗(yàn)證測試可能會對網(wǎng)絡(luò)運(yùn)行造成影響

在現(xiàn)場進(jìn)行測評時(shí)，需要對設(shè)備和網(wǎng)絡(luò)進(jìn)行一定的驗(yàn)證測試工作，部分測試內(nèi)容需要上機(jī)查看一些信息，這就可能對網(wǎng)絡(luò)的運(yùn)行造成一定的影響，甚至存在誤操作的可能。

3．工具測試可能會對網(wǎng)絡(luò)運(yùn)行造成影響

在現(xiàn)場測評時(shí)，會使用一些技術(shù)測試工具進(jìn)行漏洞掃描測試、性能測試甚至抗?jié)B透能力測試。測試可能會對網(wǎng)絡(luò)的負(fù)載造成一定的影響，漏洞掃描測試和滲透測試可能會對服務(wù)器和網(wǎng)絡(luò)通信造成一定影響甚至傷害。

風(fēng)險(xiǎn)的規(guī)避

在等級測評過程中，可以采取以下措施規(guī)避風(fēng)險(xiǎn)。

1．簽署保密協(xié)議

測評雙方應(yīng)簽署完善的、合乎法律規(guī)范的保密協(xié)議，以約束測評雙方現(xiàn)在和將來的行為。保密協(xié)議規(guī)定了測評雙方在保密方面的權(quán)利與義務(wù)。測評工作的成果由被測網(wǎng)絡(luò)的運(yùn)營者所有，測評機(jī)構(gòu)對其的引用和公開應(yīng)得到被測網(wǎng)絡(luò)的運(yùn)營者的授權(quán)，否則被測網(wǎng)的運(yùn)營者將按照保密協(xié)議的要求追究測評機(jī)構(gòu)的法律責(zé)任。

2．簽署委托測評協(xié)議

在測評工作正式開始之前，測評方和被測網(wǎng)絡(luò)的運(yùn)營者需要以委托測評協(xié)議的方式明確測評工作的目標(biāo)、范圍、人員組成、計(jì)劃安排、執(zhí)行步驟和要求及雙方的責(zé)任和義務(wù)等，使測評雙方對測評過程中的基本問題達(dá)成共識，并以此為基礎(chǔ)開展后續(xù)工作，避免在后續(xù)工作中出現(xiàn)大的分歧。

3．現(xiàn)場測評工作風(fēng)險(xiǎn)的規(guī)避

在進(jìn)行驗(yàn)證測試和工具測試時(shí)，測評機(jī)構(gòu)需要與測評委托單位充分協(xié)調(diào)，合理安排測試時(shí)間，盡量避開業(yè)務(wù)高峰期，例如在系統(tǒng)資源處于空閑狀態(tài)時(shí)進(jìn)行，被測網(wǎng)絡(luò)的運(yùn)營者需要對整個(gè)測試過程進(jìn)行監(jiān)督。

在進(jìn)行驗(yàn)證測試和工具測試之前，需要對關(guān)鍵數(shù)據(jù)做好備份工作，并對可能出現(xiàn)的影響制定相應(yīng)的處理方案。上機(jī)驗(yàn)證測試原則上由被測系統(tǒng)網(wǎng)絡(luò)運(yùn)營者的相應(yīng)技術(shù)人員進(jìn)行操作，測評人員根據(jù)情況提出需要操作的內(nèi)容并進(jìn)行查看和驗(yàn)證，避免由于測評人員對某些專用設(shè)備不熟悉造成誤操作。測評機(jī)構(gòu)應(yīng)在使用測試工具前將相關(guān)信息告知被測網(wǎng)絡(luò)的運(yùn)營者，詳細(xì)介紹這些工具的用途及可能對網(wǎng)絡(luò)造成的影響，并征得網(wǎng)絡(luò)運(yùn)營者的同意。

4．規(guī)范化的實(shí)施過程

為保證按計(jì)劃、高質(zhì)量地完成測評工作，應(yīng)當(dāng)明確測評記錄和測評報(bào)告的要求，明確測評過程中每一階段需要產(chǎn)生的相關(guān)文檔，使測評有章可循。在委托測評協(xié)議、現(xiàn)場測評授權(quán)書和測評方案中，需要明確雙方的人員職責(zé)、測評對象、時(shí)間計(jì)劃、測評內(nèi)容要求等。

5．溝通與交流

為避免測評工作中可能出現(xiàn)的爭議，在測評開始前與測評過程中，雙方需要進(jìn)行積極有效的溝通和交流，及時(shí)解決測評中出現(xiàn)的問題，這對保證測評的過程質(zhì)量和結(jié)果質(zhì)量有重要作用。

測評過程與運(yùn)行的網(wǎng)絡(luò)系統(tǒng)打交道，自然也會引起網(wǎng)絡(luò)運(yùn)營者重視與關(guān)注，在日常運(yùn)行過程中，一個(gè)系統(tǒng)的可用性是放在極高的地位的，那么保證系統(tǒng)的可持續(xù)運(yùn)行是網(wǎng)絡(luò)運(yùn)營者工作中的最重要的一部分。測評過程中是否會引起風(fēng)險(xiǎn)，也是網(wǎng)絡(luò)運(yùn)營者最關(guān)心的問題之一。所以，在測評過程中溝通與交流也變得非常重要。一方面，測評人員對自己的操作或要求客戶進(jìn)行的操作，要有個(gè)清晰的認(rèn)知，以及對操作過程中以及操作完成后，是否對系統(tǒng)產(chǎn)生影響，要有清晰的認(rèn)知。只有自己思路清晰，能夠把控系統(tǒng)風(fēng)險(xiǎn)，才能避免風(fēng)險(xiǎn)，才能夠令網(wǎng)絡(luò)運(yùn)營者放心。

在等級測評過程中，等保機(jī)構(gòu)包括現(xiàn)場測評的測評師應(yīng)當(dāng)遵循國家的有關(guān)法律法規(guī)，依據(jù)國家的技術(shù)標(biāo)準(zhǔn)和管理辦法進(jìn)行開展工作，并提出規(guī)范了禁止行為，不得從事危害國家安全、社會秩序、公共利益及被測評單位利益的活動。國家、社會、公共利益方面大家常識中都理解，而被測評單位有時(shí)對自身的利益還是倍加關(guān)注，從這起講到的規(guī)范中，我們看到對保護(hù)被測評單位的利益上也是作出明確規(guī)定的。而我們的報(bào)告也不是隨意性的，是要遵循模板格式，作到保證測評質(zhì)量，做到客觀、公正、安全。

測評機(jī)構(gòu)，開展測評項(xiàng)目是不受地域、行業(yè)限制的。等保辦對我們的監(jiān)督、檢查、指導(dǎo)，也為等級測評的客觀公正提供了監(jiān)管保障。

等級保護(hù)制度是我國網(wǎng)絡(luò)安全領(lǐng)域的基本制度，等級保護(hù)制度的實(shí)行，是各方協(xié)作共同推進(jìn)的一項(xiàng)事業(yè)。是我國網(wǎng)絡(luò)安全工作中的的主線，每一個(gè)環(huán)節(jié)都非常重要，做好網(wǎng)絡(luò)安全工作中的每一環(huán)，環(huán)環(huán)相扣才能把我國從網(wǎng)絡(luò)大國打造成為一個(gè)網(wǎng)絡(luò)強(qiáng)國。

各司其職，陳力就列，能者共進(jìn)，為網(wǎng)絡(luò)安全等級保護(hù)制度的實(shí)行而努力！?