?有效的管理，對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開(kāi)展，其實(shí)是非常有必要的。

等級(jí)測(cè)評(píng)體系的建設(shè)主要包括測(cè)評(píng)機(jī)構(gòu)的建設(shè)和規(guī)范管理，以及測(cè)評(píng)人員和測(cè)評(píng)活動(dòng)的規(guī)范和管理。測(cè)評(píng)機(jī)構(gòu)自然是由測(cè)評(píng)人員以一定組織形式，組成的一個(gè)機(jī)構(gòu)。對(duì)機(jī)構(gòu)的管理，一定程度上是對(duì)一個(gè)整體的管理，這個(gè)是針對(duì)法人的；而針對(duì)測(cè)評(píng)師的管理，則是具體到個(gè)人，這個(gè)是具體到每一個(gè)參與等級(jí)保護(hù)工作的自然人。自然人的不確定性，自然會(huì)引發(fā)法人的不確定性。若管理缺失或管理失當(dāng)，則會(huì)引入新的風(fēng)險(xiǎn)。我個(gè)人曾經(jīng)感慨說(shuō)，法律規(guī)則是防止人變壞，而道德責(zé)任鼓勵(lì)人變好。

測(cè)評(píng)機(jī)構(gòu)的業(yè)務(wù)范圍和工作要求

1．業(yè)務(wù)范圍

測(cè)評(píng)機(jī)構(gòu)除了從事等級(jí)測(cè)評(píng)活動(dòng)，還可以從事網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)、等級(jí)保護(hù)安全建設(shè)整改、網(wǎng)絡(luò)安全等級(jí)保護(hù)宣傳教育等工作的技術(shù)支持，以及風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)安全培訓(xùn)、應(yīng)急保障、安全運(yùn)維、網(wǎng)絡(luò)安全咨詢和網(wǎng)絡(luò)安全工程監(jiān)理等工作。

從業(yè)務(wù)范圍內(nèi)，大家應(yīng)該可以看到，網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)、等級(jí)保護(hù)安全建設(shè)整改、網(wǎng)絡(luò)安全等級(jí)保護(hù)教育等工作也是非常重要的，當(dāng)然這也是獨(dú)立出來(lái)的服務(wù)。網(wǎng)絡(luò)安全是相對(duì)持續(xù)性的，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，然而網(wǎng)絡(luò)安全是動(dòng)態(tài)的，需要我們不斷跟進(jìn)技術(shù)發(fā)展，提升防護(hù)能力。

2.工作要求

從事等級(jí)測(cè)評(píng)工作的機(jī)構(gòu)及其人員應(yīng)當(dāng)遵守國(guó)家有關(guān)法律法規(guī)，依據(jù)國(guó)家有關(guān)技術(shù)標(biāo)準(zhǔn)和《TRIMPS-SC13-001：2021 網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證實(shí)施規(guī)則》的相關(guān)規(guī)定，開(kāi)展客觀、公正、安全的測(cè)評(píng)服務(wù)，不得從事危害國(guó)家安全、社會(huì)秩序、公共利益及被測(cè)單位利益的活動(dòng)。

測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)按照公安部統(tǒng)一制定的《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告模版》規(guī)定的格式出具測(cè)評(píng)報(bào)告，根據(jù)網(wǎng)絡(luò)規(guī)模和所投入的成本合理收取測(cè)評(píng)服務(wù)費(fèi)用。

測(cè)評(píng)機(jī)構(gòu)應(yīng)嚴(yán)格按照網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范獨(dú)立開(kāi)展等級(jí)測(cè)評(píng)工作，依據(jù)《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告模版》出具網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告，確保測(cè)評(píng)質(zhì)量，全面、客觀地反映被測(cè)網(wǎng)絡(luò)的安全保護(hù)狀況。

測(cè)評(píng)機(jī)構(gòu)開(kāi)展測(cè)評(píng)項(xiàng)目不受地域、行業(yè)限制。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在測(cè)評(píng)項(xiàng)目合同簽訂及項(xiàng)目完成后5個(gè)工作日內(nèi)，向受理網(wǎng)絡(luò)備案的公安機(jī)關(guān)報(bào)告等級(jí)測(cè)評(píng)項(xiàng)目的有關(guān)情況。

測(cè)評(píng)項(xiàng)目實(shí)施過(guò)程中，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導(dǎo)。測(cè)評(píng)項(xiàng)目完成后，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)請(qǐng)被測(cè)評(píng)網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)測(cè)評(píng)服務(wù)情況進(jìn)行評(píng)價(jià)，評(píng)價(jià)情況由被測(cè)單位反饋至等保辦。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)定期向等保辦報(bào)送測(cè)評(píng)工作開(kāi)展情況。根據(jù)測(cè)評(píng)實(shí)踐，于每年年底編制并報(bào)送網(wǎng)絡(luò)安全狀況分析報(bào)告。

其實(shí)做任何事都存在風(fēng)險(xiǎn)，特別是做的事情與安全相關(guān)，而網(wǎng)絡(luò)安全又具有一定的隱蔽性，所以在測(cè)評(píng)過(guò)程中，難免存在一定的不確定性的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)存在是正常的事情，如何規(guī)避風(fēng)險(xiǎn)才是我們要做的事情。

今天這期內(nèi)容，對(duì)存在的風(fēng)險(xiǎn)進(jìn)行一個(gè)梳理，以便我們了解。風(fēng)險(xiǎn)包括網(wǎng)絡(luò)敏感信息泄漏、驗(yàn)證測(cè)試可能會(huì)對(duì)網(wǎng)絡(luò)運(yùn)行造成影響、工具測(cè)試可能對(duì)網(wǎng)絡(luò)運(yùn)行造成影響，特別是工控系統(tǒng)可用性要求更高。

了解風(fēng)險(xiǎn)也是為規(guī)避風(fēng)險(xiǎn)做準(zhǔn)備，在了解風(fēng)險(xiǎn)的基礎(chǔ)上進(jìn)行風(fēng)險(xiǎn)規(guī)避，其中包括簽署保密協(xié)議、簽署委托測(cè)評(píng)協(xié)議、現(xiàn)場(chǎng)測(cè)評(píng)工作風(fēng)險(xiǎn)的規(guī)避、規(guī)范化的實(shí)施過(guò)程、溝通與交流等都是規(guī)避風(fēng)險(xiǎn)的重要內(nèi)容。

存在的風(fēng)險(xiǎn)

等級(jí)測(cè)評(píng)過(guò)程中可能存在以下風(fēng)險(xiǎn)。

1．網(wǎng)絡(luò)敏感信息泄露

泄漏被檢測(cè)單位網(wǎng)絡(luò)狀態(tài)信息，例如網(wǎng)絡(luò)拓?fù)洹P地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔信息。

2．驗(yàn)證測(cè)試可能會(huì)對(duì)網(wǎng)絡(luò)運(yùn)行造成影響

在現(xiàn)場(chǎng)進(jìn)行測(cè)評(píng)時(shí)，需要對(duì)設(shè)備和網(wǎng)絡(luò)進(jìn)行一定的驗(yàn)證測(cè)試工作，部分測(cè)試內(nèi)容需要上機(jī)查看一些信息，這就可能對(duì)網(wǎng)絡(luò)的運(yùn)行造成一定的影響，甚至存在誤操作的可能。

3．工具測(cè)試可能會(huì)對(duì)網(wǎng)絡(luò)運(yùn)行造成影響

在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，會(huì)使用一些技術(shù)測(cè)試工具進(jìn)行漏洞掃描測(cè)試、性能測(cè)試甚至抗?jié)B透能力測(cè)試。測(cè)試可能會(huì)對(duì)網(wǎng)絡(luò)的負(fù)載造成一定的影響，漏洞掃描測(cè)試和滲透測(cè)試可能會(huì)對(duì)服務(wù)器和網(wǎng)絡(luò)通信造成一定影響甚至傷害。

風(fēng)險(xiǎn)的規(guī)避

在等級(jí)測(cè)評(píng)過(guò)程中，可以采取以下措施規(guī)避風(fēng)險(xiǎn)。

1．簽署保密協(xié)議

測(cè)評(píng)雙方應(yīng)簽署完善的、合乎法律規(guī)范的保密協(xié)議，以約束測(cè)評(píng)雙方現(xiàn)在和將來(lái)的行為。保密協(xié)議規(guī)定了測(cè)評(píng)雙方在保密方面的權(quán)利與義務(wù)。測(cè)評(píng)工作的成果由被測(cè)網(wǎng)絡(luò)的運(yùn)營(yíng)者所有，測(cè)評(píng)機(jī)構(gòu)對(duì)其的引用和公開(kāi)應(yīng)得到被測(cè)網(wǎng)絡(luò)的運(yùn)營(yíng)者的授權(quán)，否則被測(cè)網(wǎng)的運(yùn)營(yíng)者將按照保密協(xié)議的要求追究測(cè)評(píng)機(jī)構(gòu)的法律責(zé)任。

2．簽署委托測(cè)評(píng)協(xié)議

在測(cè)評(píng)工作正式開(kāi)始之前，測(cè)評(píng)方和被測(cè)網(wǎng)絡(luò)的運(yùn)營(yíng)者需要以委托測(cè)評(píng)協(xié)議的方式明確測(cè)評(píng)工作的目標(biāo)、范圍、人員組成、計(jì)劃安排、執(zhí)行步驟和要求及雙方的責(zé)任和義務(wù)等，使測(cè)評(píng)雙方對(duì)測(cè)評(píng)過(guò)程中的基本問(wèn)題達(dá)成共識(shí)，并以此為基礎(chǔ)開(kāi)展后續(xù)工作，避免在后續(xù)工作中出現(xiàn)大的分歧。

3．現(xiàn)場(chǎng)測(cè)評(píng)工作風(fēng)險(xiǎn)的規(guī)避

在進(jìn)行驗(yàn)證測(cè)試和工具測(cè)試時(shí)，測(cè)評(píng)機(jī)構(gòu)需要與測(cè)評(píng)委托單位充分協(xié)調(diào)，合理安排測(cè)試時(shí)間，盡量避開(kāi)業(yè)務(wù)高峰期，例如在系統(tǒng)資源處于空閑狀態(tài)時(shí)進(jìn)行，被測(cè)網(wǎng)絡(luò)的運(yùn)營(yíng)者需要對(duì)整個(gè)測(cè)試過(guò)程進(jìn)行監(jiān)督。

在進(jìn)行驗(yàn)證測(cè)試和工具測(cè)試之前，需要對(duì)關(guān)鍵數(shù)據(jù)做好備份工作，并對(duì)可能出現(xiàn)的影響制定相應(yīng)的處理方案。上機(jī)驗(yàn)證測(cè)試原則上由被測(cè)系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)者的相應(yīng)技術(shù)人員進(jìn)行操作，測(cè)評(píng)人員根據(jù)情況提出需要操作的內(nèi)容并進(jìn)行查看和驗(yàn)證，避免由于測(cè)評(píng)人員對(duì)某些專用設(shè)備不熟悉造成誤操作。測(cè)評(píng)機(jī)構(gòu)應(yīng)在使用測(cè)試工具前將相關(guān)信息告知被測(cè)網(wǎng)絡(luò)的運(yùn)營(yíng)者，詳細(xì)介紹這些工具的用途及可能對(duì)網(wǎng)絡(luò)造成的影響，并征得網(wǎng)絡(luò)運(yùn)營(yíng)者的同意。

4．規(guī)范化的實(shí)施過(guò)程

為保證按計(jì)劃、高質(zhì)量地完成測(cè)評(píng)工作，應(yīng)當(dāng)明確測(cè)評(píng)記錄和測(cè)評(píng)報(bào)告的要求，明確測(cè)評(píng)過(guò)程中每一階段需要產(chǎn)生的相關(guān)文檔，使測(cè)評(píng)有章可循。在委托測(cè)評(píng)協(xié)議、現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)和測(cè)評(píng)方案中，需要明確雙方的人員職責(zé)、測(cè)評(píng)對(duì)象、時(shí)間計(jì)劃、測(cè)評(píng)內(nèi)容要求等。

5．溝通與交流

為避免測(cè)評(píng)工作中可能出現(xiàn)的爭(zhēng)議，在測(cè)評(píng)開(kāi)始前與測(cè)評(píng)過(guò)程中，雙方需要進(jìn)行積極有效的溝通和交流，及時(shí)解決測(cè)評(píng)中出現(xiàn)的問(wèn)題，這對(duì)保證測(cè)評(píng)的過(guò)程質(zhì)量和結(jié)果質(zhì)量有重要作用。

測(cè)評(píng)過(guò)程與運(yùn)行的網(wǎng)絡(luò)系統(tǒng)打交道，自然也會(huì)引起網(wǎng)絡(luò)運(yùn)營(yíng)者重視與關(guān)注，在日常運(yùn)行過(guò)程中，一個(gè)系統(tǒng)的可用性是放在極高的地位的，那么保證系統(tǒng)的可持續(xù)運(yùn)行是網(wǎng)絡(luò)運(yùn)營(yíng)者工作中的最重要的一部分。測(cè)評(píng)過(guò)程中是否會(huì)引起風(fēng)險(xiǎn)，也是網(wǎng)絡(luò)運(yùn)營(yíng)者最關(guān)心的問(wèn)題之一。所以，在測(cè)評(píng)過(guò)程中溝通與交流也變得非常重要。一方面，測(cè)評(píng)人員對(duì)自己的操作或要求客戶進(jìn)行的操作，要有個(gè)清晰的認(rèn)知，以及對(duì)操作過(guò)程中以及操作完成后，是否對(duì)系統(tǒng)產(chǎn)生影響，要有清晰的認(rèn)知。只有自己思路清晰，能夠把控系統(tǒng)風(fēng)險(xiǎn)，才能避免風(fēng)險(xiǎn)，才能夠令網(wǎng)絡(luò)運(yùn)營(yíng)者放心。

在等級(jí)測(cè)評(píng)過(guò)程中，等保機(jī)構(gòu)包括現(xiàn)場(chǎng)測(cè)評(píng)的測(cè)評(píng)師應(yīng)當(dāng)遵循國(guó)家的有關(guān)法律法規(guī)，依據(jù)國(guó)家的技術(shù)標(biāo)準(zhǔn)和管理辦法進(jìn)行開(kāi)展工作，并提出規(guī)范了禁止行為，不得從事危害國(guó)家安全、社會(huì)秩序、公共利益及被測(cè)評(píng)單位利益的活動(dòng)。國(guó)家、社會(huì)、公共利益方面大家常識(shí)中都理解，而被測(cè)評(píng)單位有時(shí)對(duì)自身的利益還是倍加關(guān)注，從這起講到的規(guī)范中，我們看到對(duì)保護(hù)被測(cè)評(píng)單位的利益上也是作出明確規(guī)定的。而我們的報(bào)告也不是隨意性的，是要遵循模板格式，作到保證測(cè)評(píng)質(zhì)量，做到客觀、公正、安全。

測(cè)評(píng)機(jī)構(gòu)，開(kāi)展測(cè)評(píng)項(xiàng)目是不受地域、行業(yè)限制的。等保辦對(duì)我們的監(jiān)督、檢查、指導(dǎo)，也為等級(jí)測(cè)評(píng)的客觀公正提供了監(jiān)管保障。

等級(jí)保護(hù)制度是我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基本制度，等級(jí)保護(hù)制度的實(shí)行，是各方協(xié)作共同推進(jìn)的一項(xiàng)事業(yè)。是我國(guó)網(wǎng)絡(luò)安全工作中的的主線，每一個(gè)環(huán)節(jié)都非常重要，做好網(wǎng)絡(luò)安全工作中的每一環(huán)，環(huán)環(huán)相扣才能把我國(guó)從網(wǎng)絡(luò)大國(guó)打造成為一個(gè)網(wǎng)絡(luò)強(qiáng)國(guó)。

各司其職，陳力就列，能者共進(jìn)，為網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的實(shí)行而努力！?