上海网络安全等级保护测评要求和等保测评的流程

　　等级保护主要从技术要求和管理要求两方面进行综合测评，而根
据等级保护测评的三种不同技术类型，其测评的指标要求也有所不同
。注册小编整理了网络安全等级保护测评要求和等保测评的流程
相关内容分享给大家。


　　等级保护测评主要测什么


　　安全技术测评：安全物理环境、安全通信网络、安全区域边界、
安全计算环境、安全管理中心。


　　安全管理测评：安全管理制度、安全管理机构、人员安全管理、
系统建设管理、系统运维管理。


　　网络安全等级保护测评要求，等级保护测评有哪些技术类型？等
保基本要求的三种技术类型（S/A/G）


　　S：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受
未授权修改的信息安全类要求；物理访问控制、边界完整性检查、身
份鉴别、通信完整性、保密性等；


　　A：保护系统连续正常的运行，免受对系统的未授权修改、破坏
而导致系统不可用的服务保证类要求；电力供应、资源控制、软件容
错等


　　G：通用安全保护类要求。技术类中的安全审计、管理制度等


　　等保测评的流程


　　等级保护2.0的工作流程包括定级、备案、建设整改、等级测评
。


　　1.测评准备阶段：合同保密协议签署，定级报告，备案表，测评
方案，检测表准备。


　　系统备案（填备案表，如下两份）


　　向市级公安机关主管部门提交材料:《信息系统安全等级保护定
级报告》,《信息系统安全等级保护备案表》


　　2、调研与方案编制：业务调研、资产调研与确认、扫描方案编
制测评机构成立项目组后，工作人员到被检测的单位进行调研，了解
被测评系统，并整理出相关的材料，达成共识后以便开展的测
评工作。


　　3、现场测评：测评工具准备、现场测评准备、脆弱性检测、安
全技术测评、安全管理测评进入检测阶段后，测评机构项目组成员根
据之前整理好的材料完成测评工作。


　　测评方法：1.访谈，查看（了解环境）2.配置核查（看标准配置
文件是否配置正确）3.安全测试：漏洞检测（针对web），渗透测试
（以绕开被测评项目为目的，从而获取信息文件，进行测评被测评项
目的安全性）4.测评工具：等保工具箱，应用扫描器，主机扫描，协
议分析，嗅探，木马，日志分析。


　　判定依据：（等保2.0）测评采用通用安全要求+扩展安全要求形
式，两部分均通过才允许测评通过。


　　了解高危风险的高危漏洞有哪些：勒**索病毒入侵，文件上传漏洞
，SQL注入，XSS跨站脚本，Struts2远程命令执行漏洞，Java反程序
化远程命令执行漏洞，弱口令等。


　　4、测评报告：综合分析与结论、测评报告编制测评结束后，测
评机构会根据测评的实际情况生成等级测评报告和安全建议报告


　　整改建设（优化建议）


　　网络安全：构架，访问控制缺陷，网络层防护严重不足


　　应用安全：网络安全功能严重缺失，代码层未考虑安全机制（可
能存在注入漏洞）


　　数据安全：无数据备份，核心设备，链路缺少冗余（坏一个地方
，全网瘫痪）


　　安全整改:（需要用户配合事项）


　　应用安全：设备采购，程序二次开发，配置变更


　　安全管理：制度更新，流程规范化


　　主机安全：策略变更，备份恢复


　　网络安全：设备采购，策略变更，区域划分


　　注：低成本整改项优先整改，高危风险必须整改（要得到用户授
权），中低危酌情整改（会影响系统得分）