張穩(wěn)

摘要：在信息安全等級(jí)保護(hù)測評(píng)1.0標(biāo)準(zhǔn)的工作模型基礎(chǔ)上，將管理?xiàng)l線合并，將兩技術(shù)條線相同測評(píng)內(nèi)容歸一并劃分子條線，采用噴泉模型對(duì)測評(píng)工作宏觀建模，采用增量模型對(duì)技術(shù)子條線微觀建模，采用迭代模型對(duì)滲透測試全程建模，進(jìn)而形成2.0標(biāo)準(zhǔn)的團(tuán)隊(duì)組建、測評(píng)分工及測評(píng)過程管理模型。

關(guān)鍵詞：信息安全等級(jí)保護(hù)測評(píng);1.0標(biāo)準(zhǔn);2.0標(biāo)準(zhǔn);團(tuán)隊(duì)組建;測評(píng)分工;過程管理

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）11-0001-02

隨著2019年12月1日到來，公安部推出的信息安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)正式生效。如何在充分吸收利用1.0標(biāo)準(zhǔn)測評(píng)經(jīng)驗(yàn)的基礎(chǔ)上，全面推進(jìn)落實(shí)2.0標(biāo)準(zhǔn)，是測評(píng)機(jī)構(gòu)必須面對(duì)，而且必須完善解決的問題。在此，筆者結(jié)合我單位在四川省內(nèi)外近10年的一線測評(píng)經(jīng)驗(yàn)，談幾點(diǎn)看法。

1 2.0標(biāo)準(zhǔn)扎根于1.0標(biāo)準(zhǔn)，繼承1.0標(biāo)準(zhǔn)大量內(nèi)容

將2.0標(biāo)準(zhǔn)和1.0標(biāo)準(zhǔn)相比較可以發(fā)現(xiàn)，2.0標(biāo)準(zhǔn)大部分內(nèi)容均與1.0標(biāo)準(zhǔn)類似。2.0標(biāo)準(zhǔn)中的諸多新特性，在1.0標(biāo)準(zhǔn)當(dāng)中都能找到萌芽，將1.0標(biāo)準(zhǔn)當(dāng)中若干前瞻性指標(biāo)強(qiáng)化、高耦合指標(biāo)合并、嚴(yán)苛煩瑣指標(biāo)去除，就得到了2.0指標(biāo)。2.0標(biāo)準(zhǔn)并未違背1.0標(biāo)準(zhǔn)，而是1.0標(biāo)準(zhǔn)的進(jìn)化。這一點(diǎn)是前提和基礎(chǔ)。

2 管理方面，削減了部分過于細(xì)致的安全指標(biāo)，測評(píng)工作量削減約20%

1.0標(biāo)準(zhǔn)，管理層面存在大量安全指標(biāo)，要求比較嚴(yán)格。而真實(shí)情況是，被測評(píng)單位的安全管理狀況并不一樣，甚至大相徑庭。針對(duì)不同的測評(píng)單位，強(qiáng)制推行唯一的嚴(yán)格的管理指標(biāo)，沒有完全做到因地制宜。這種做法，給測評(píng)工作帶來了困難，但并未有效強(qiáng)化被測單位安全管理。2.0標(biāo)準(zhǔn)放寬管理方面的要求，在堅(jiān)持基本內(nèi)容不放松的情況下，減少了一定數(shù)量的過于細(xì)致的安全指標(biāo)，工作量降低約20%，更易于測評(píng)工作推進(jìn)。

3 技術(shù)方面，新增三類測評(píng)對(duì)象，測評(píng)工作量增加約15%

2.0標(biāo)準(zhǔn)新增區(qū)域邊界和業(yè)務(wù)應(yīng)用平臺(tái)兩類測評(píng)對(duì)象，這兩類測評(píng)對(duì)象的測評(píng)指標(biāo)數(shù)量較多，專業(yè)性較強(qiáng)，工作量大。2.0標(biāo)準(zhǔn)同時(shí)將原屬于安全運(yùn)維管理的安全管理中心劃分出來，獨(dú)立作為一類測評(píng)對(duì)象。該類測評(píng)對(duì)象包含大量技術(shù)細(xì)節(jié)，不適合管理類測評(píng)師測評(píng)，適合劃歸技術(shù)層面。綜合計(jì)算，技術(shù)層面測評(píng)工作量增加約15%。

4 網(wǎng)絡(luò)層面部分測評(píng)內(nèi)容與主機(jī)層面走向融合，誕生新的測評(píng)對(duì)象類

2.0標(biāo)準(zhǔn)將原屬于網(wǎng)絡(luò)層面的網(wǎng)絡(luò)設(shè)備、安全設(shè)備，原屬于主機(jī)層面的操作系統(tǒng)、中間件、數(shù)據(jù)庫等測評(píng)對(duì)象合并，定義為安全計(jì)算環(huán)境，作為新測評(píng)類。該測評(píng)類成分復(fù)雜，測評(píng)對(duì)象繁多，要求測評(píng)單位投入大量而且是不同種類的測評(píng)人力才能完成測評(píng)。

5 等保2.0測評(píng)團(tuán)隊(duì)組建、測評(píng)分工模型

鑒于2.0標(biāo)準(zhǔn)測評(píng)內(nèi)容和組織結(jié)構(gòu)的變化，原1.0標(biāo)準(zhǔn)的測評(píng)團(tuán)隊(duì)組建及分工方案，已經(jīng)不完全適合2.0標(biāo)準(zhǔn)，需要進(jìn)行調(diào)整。但前文已述明，2.0標(biāo)準(zhǔn)由1.0標(biāo)準(zhǔn)發(fā)展而來，兩者并不割裂，所以調(diào)整是有限地、良性地調(diào)整，而不是破壞性調(diào)整。下文羅列1.0標(biāo)準(zhǔn)的團(tuán)隊(duì)組建和分工方案。

考慮到技術(shù)類測評(píng)內(nèi)容的增加和測評(píng)內(nèi)容層面間的融合，建立網(wǎng)絡(luò)、安全計(jì)算環(huán)境、應(yīng)用系統(tǒng)聯(lián)合條線。該條線下分網(wǎng)絡(luò)子條線和應(yīng)用系統(tǒng)子條線，每個(gè)子條線配備一名測評(píng)師。子條線測評(píng)師必須具備安全計(jì)算環(huán)境類測評(píng)能力，并參與安全計(jì)算環(huán)境類測評(píng)對(duì)象的測評(píng)?？紤]到管理類測評(píng)內(nèi)容的削減，管理類兩個(gè)條線合并成一個(gè)條線，命名為管理?xiàng)l線，由一名測評(píng)師負(fù)責(zé)測評(píng)。

6 等保2.0測評(píng)團(tuán)隊(duì)測評(píng)過程管理

網(wǎng)絡(luò)子條線、應(yīng)用系統(tǒng)子條線、管理?xiàng)l線之間沒有先后順序，可以同時(shí)開展，采用噴泉模型進(jìn)行過程管理，如圖3所示。

安全計(jì)算環(huán)境類測評(píng)是網(wǎng)絡(luò)子條線和應(yīng)用系統(tǒng)子條線共同的工作內(nèi)容，為了共同推進(jìn)該部分工作而不相互干擾，采用增量模型進(jìn)行過程管理，如圖4所示。

除了等保測評(píng)之外，滲透測試同樣是測評(píng)團(tuán)隊(duì)重要工作之一，是等保測評(píng)工作的重要補(bǔ)充和驗(yàn)證手段。在此強(qiáng)調(diào)一點(diǎn)，滲透測試與等保測評(píng)指標(biāo)之間沒有直接關(guān)聯(lián)。因而與等保測評(píng)師之間也沒有必然關(guān)聯(lián)，團(tuán)隊(duì)可以另外聘請(qǐng)滲透測試工程師，也可以由具備滲透測試能力的測評(píng)師進(jìn)行滲透測試。滲透測試具備很強(qiáng)的開放性，沒有固定的方法和流程，需要結(jié)合客戶信息系統(tǒng)的真實(shí)情況，一邊了解分析，一邊操作，之后再深入了解分析，再操作。所以需要采用開放的迭代模型進(jìn)行過程管理。

7 總結(jié)

馬克思主義哲學(xué)教導(dǎo)我們，事物是普遍聯(lián)系的，運(yùn)動(dòng)變化的和持續(xù)發(fā)展的，我們要將1.0標(biāo)準(zhǔn)的實(shí)際測評(píng)經(jīng)驗(yàn)和2.0標(biāo)準(zhǔn)的指標(biāo)結(jié)合起來，創(chuàng)造新一代等保測評(píng)團(tuán)隊(duì)組建、測評(píng)分工及測評(píng)過程管理方法，為信息國防事業(yè)貢獻(xiàn)力量。