等保2.0測評團(tuán)隊組建、測評分工及測評過程管理

張穩(wěn)

摘要：在信息安全等級保護(hù)測評1.0標(biāo)準(zhǔn)的工作模型基礎(chǔ)上，將管理條線合并，將兩技術(shù)條線相同測評內(nèi)容歸一并劃分子條線，采用噴泉模型對測評工作宏觀建模，采用增量模型對技術(shù)子條線微觀建模，采用迭代模型對滲透測試全程建模，進(jìn)而形成2.0標(biāo)準(zhǔn)的團(tuán)隊組建、測評分工及測評過程管理模型。

關(guān)鍵詞：信息安全等級保護(hù)測評;1.0標(biāo)準(zhǔn);2.0標(biāo)準(zhǔn);團(tuán)隊組建;測評分工;過程管理

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）11-0001-02

隨著2019年12月1日到來，公安部推出的信息安全等級保護(hù)2.0標(biāo)準(zhǔn)正式生效。如何在充分吸收利用1.0標(biāo)準(zhǔn)測評經(jīng)驗的基礎(chǔ)上，全面推進(jìn)落實2.0標(biāo)準(zhǔn)，是測評機構(gòu)必須面對，而且必須完善解決的問題。在此，筆者結(jié)合我單位在四川省內(nèi)外近10年的一線測評經(jīng)驗，談幾點看法。

1 2.0標(biāo)準(zhǔn)扎根于1.0標(biāo)準(zhǔn)，繼承1.0標(biāo)準(zhǔn)大量內(nèi)容

將2.0標(biāo)準(zhǔn)和1.0標(biāo)準(zhǔn)相比較可以發(fā)現(xiàn)，2.0標(biāo)準(zhǔn)大部分內(nèi)容均與1.0標(biāo)準(zhǔn)類似。2.0標(biāo)準(zhǔn)中的諸多新特性，在1.0標(biāo)準(zhǔn)當(dāng)中都能找到萌芽，將1.0標(biāo)準(zhǔn)當(dāng)中若干前瞻性指標(biāo)強化、高耦合指標(biāo)合并、嚴(yán)苛煩瑣指標(biāo)去除，就得到了2.0指標(biāo)。2.0標(biāo)準(zhǔn)并未違背1.0標(biāo)準(zhǔn)，而是1.0標(biāo)準(zhǔn)的進(jìn)化。這一點是前提和基礎(chǔ)。

2 管理方面，削減了部分過于細(xì)致的安全指標(biāo)，測評工作量削減約20%

1.0標(biāo)準(zhǔn)，管理層面存在大量安全指標(biāo)，要求比較嚴(yán)格。而真實情況是，被測評單位的安全管理狀況并不一樣，甚至大相徑庭。針對不同的測評單位，強制推行唯一的嚴(yán)格的管理指標(biāo)，沒有完全做到因地制宜。這種做法，給測評工作帶來了困難，但并未有效強化被測單位安全管理。2.0標(biāo)準(zhǔn)放寬管理方面的要求，在堅持基本內(nèi)容不放松的情況下，減少了一定數(shù)量的過于細(xì)致的安全指標(biāo)，工作量降低約20%，更易于測評工作推進(jìn)。

3 技術(shù)方面，新增三類測評對象，測評工作量增加約15%

2.0標(biāo)準(zhǔn)新增區(qū)域邊界和業(yè)務(wù)應(yīng)用平臺兩類測評對象，這兩類測評對象的測評指標(biāo)數(shù)量較多，專業(yè)性較強，工作量大。2.0標(biāo)準(zhǔn)同時將原屬于安全運維管理的安全管理中心劃分出來，獨立作為一類測評對象。該類測評對象包含大量技術(shù)細(xì)節(jié)，不適合管理類測評師測評，適合劃歸技術(shù)層面。綜合計算，技術(shù)層面測評工作量增加約15%。

4 網(wǎng)絡(luò)層面部分測評內(nèi)容與主機層面走向融合，誕生新的測評對象類

2.0標(biāo)準(zhǔn)將原屬于網(wǎng)絡(luò)層面的網(wǎng)絡(luò)設(shè)備、安全設(shè)備，原屬于主機層面的操作系統(tǒng)、中間件、數(shù)據(jù)庫等測評對象合并，定義為安全計算環(huán)境，作為新測評類。該測評類成分復(fù)雜，測評對象繁多，要求測評單位投入大量而且是不同種類的測評人力才能完成測評。

5 等保2.0測評團(tuán)隊組建、測評分工模型

鑒于2.0標(biāo)準(zhǔn)測評內(nèi)容和組織結(jié)構(gòu)的變化，原1.0標(biāo)準(zhǔn)的測評團(tuán)隊組建及分工方案，已經(jīng)不完全適合2.0標(biāo)準(zhǔn)，需要進(jìn)行調(diào)整。但前文已述明，2.0標(biāo)準(zhǔn)由1.0標(biāo)準(zhǔn)發(fā)展而來，兩者并不割裂，所以調(diào)整是有限地、良性地調(diào)整，而不是破壞性調(diào)整。下文羅列1.0標(biāo)準(zhǔn)的團(tuán)隊組建和分工方案。

考慮到技術(shù)類測評內(nèi)容的增加和測評內(nèi)容層面間的融合，建立網(wǎng)絡(luò)、安全計算環(huán)境、應(yīng)用系統(tǒng)聯(lián)合條線。該條線下分網(wǎng)絡(luò)子條線和應(yīng)用系統(tǒng)子條線，每個子條線配備一名測評師。子條線測評師必須具備安全計算環(huán)境類測評能力，并參與安全計算環(huán)境類測評對象的測評。考慮到管理類測評內(nèi)容的削減，管理類兩個條線合并成一個條線，命名為管理條線，由一名測評師負(fù)責(zé)測評。

6 等保2.0測評團(tuán)隊測評過程管理

網(wǎng)絡(luò)子條線、應(yīng)用系統(tǒng)子條線、管理條線之間沒有先后順序，可以同時開展，采用噴泉模型進(jìn)行過程管理，如圖3所示。

安全計算環(huán)境類測評是網(wǎng)絡(luò)子條線和應(yīng)用系統(tǒng)子條線共同的工作內(nèi)容，為了共同推進(jìn)該部分工作而不相互干擾，采用增量模型進(jìn)行過程管理，如圖4所示。

除了等保測評之外，滲透測試同樣是測評團(tuán)隊重要工作之一，是等保測評工作的重要補充和驗證手段。在此強調(diào)一點，滲透測試與等保測評指標(biāo)之間沒有直接關(guān)聯(lián)。因而與等保測評師之間也沒有必然關(guān)聯(lián)，團(tuán)隊可以另外聘請滲透測試工程師，也可以由具備滲透測試能力的測評師進(jìn)行滲透測試。滲透測試具備很強的開放性，沒有固定的方法和流程，需要結(jié)合客戶信息系統(tǒng)的真實情況，一邊了解分析，一邊操作，之后再深入了解分析，再操作。所以需要采用開放的迭代模型進(jìn)行過程管理。

7 總結(jié)

馬克思主義哲學(xué)教導(dǎo)我們，事物是普遍聯(lián)系的，運動變化的和持續(xù)發(fā)展的，我們要將1.0標(biāo)準(zhǔn)的實際測評經(jīng)驗和2.0標(biāo)準(zhǔn)的指標(biāo)結(jié)合起來，創(chuàng)造新一代等保測評團(tuán)隊組建、測評分工及測評過程管理方法，為信息國防事業(yè)貢獻(xiàn)力量。