11月6日,中關村信息安全測評聯盟聯合深信服發布基于等級保護2.0標準的五款安全產品測評作業指導書。
本次發布的測評作業指導書究竟是什么?
本次測評作業指導書系列歷時近2年,歷經標準1.0到2.0升級,通過技術標準解讀——產品對標應用說明編制——安全功能適用性分析——實驗室條件下符合程度驗證——直至技術文檔編制完成等多個步驟,最終形成該作業指導書系列。從“安全區域邊界”、“安全計算環境”和“安全通信網絡”、“安全管理中心”四個層面對五款安全類產品(下一代防火墻、全網行為管理、SSL VPN、安全感知平臺、XSec集成安全平臺)功能進行了全要求項對標和詳細配置映射。
測評作業指導書分為如下四個部分:
- 適用版本:
明確適用本作業指導書的安全產品軟件版本。
- 缺省參數:
缺省的管理員賬號及權限、登錄接口和方式等。
- 安全計算環境作業指導書(第三級):
安全產品自身需滿足的安全基線符合程度(實驗室驗證結論)及現場測評作業指導建議。
- 安全通信網絡、安全區域邊界、安全管理中心作業指導書(第三級):
安全產品對等級保護對象提供的安全能力符合程度(實驗室驗證結論)及現場作業指導建議。
為什么要發布測評作業指導書?
測評作業指導書綜合了標準解讀、產品功能適用性、實驗室條件下的符合程度判斷、具體測評作業指導步驟等內容,理論結合實踐,將安全產品在等級保護建設中的作用更加明確,不僅能讓廣大測評師快速找到相關功能配置并判斷其符合程度,又可以使廣大用戶能夠更清晰地甄別哪個安全產品能真正解決其安全問題,進而更準確、高效地落實等級保護制度。
該測評指導書也是國內第一次由產品提供方、產品測試方和系統測評方共同合作、對標等級保護2.0標準形成的、基于最佳實踐并取得廣泛認可技術文件。除用于等級測評活動技術指導外,對于網絡運營者,可作為基于等級保護2.0標準的配置規程和運維手冊。對于安全產品和服務提供者,可作為產品合規研發和等級保護系統安全解決方案的重要參考。
未來,深信服也將繼續承擔起網絡安全企業責任,圍繞如何貫徹落實網絡安全等級保護制度和建立關鍵信息基礎設施保護制度進行更為深度的思考和行動,將等保和關保工作落到實處,為用戶提供專業、高效的網絡安全產品及服務。
以下內容轉自:安全測評聯盟公眾號
網絡安全等級保護2.0國家系列標準于去年正式發布,新標準相比1.0系列范圍更加廣泛、對象更為豐富,一年來,廣大等級測評機構依據新標準新要求開展了大量測評實踐,獲得了一大批成功案例和工作成果。
新標準提出了“一個中心、三重防護”的思想,落到實處則是架構、產品與應用等多層面、多對象安全要求的實現,從從事專業等級測評的機構視角看,面對形形色色的被測對象,必須首先清楚并掌握其安全功能對標2.0標準的適配性和有效性,因此,一套權威的技術指導性文件——測評指導書,是所有測評工作的基礎。
從等級測評機構多年來實踐經驗來看,由產品提供者、檢測檢驗者和測評機構共同合作參與,是等級測評指導書開發的最佳方式,為此,測評聯盟和深信服公司從2018年開始合作,嘗試以其安全產品為基礎編制一套基于標準合規的產品配置核查文檔,同時,借此過程優化形成一套較為成熟的指導書開發、認定和發布流程,這一模式得到了各測評機構的積極支持和響應。
深信服公司為此提供了其主流的五款安全類產品(下一代防火墻、全網行為管理、SSL VPN、安全感知平臺、XSec集成安全平臺),從“安全區域邊界”、“安全計算環境”、“安全通信網絡”、“安全管理中心”四個層面對安全產品功能進行了全要求項對標和詳細配置映射。兩年時間里,歷經標準1.0到2.0升級,通過“技術標準解讀(三方共同)”—>“產品對標應用說明編制(產品提供商)” —> “安全功能適用性分析(測評機構)”——“實驗室條件下符合程度驗證(產品檢驗檢測機構)”——“技術文檔編制完成(三方共同)”等多個步驟,最終形成該作業指導書系列。
期間,聯盟組織邀請公安部信息安全等級保護評估中心、中國鐵道科學研究院集團有限公司信息系統與信息安全評測中心、深圳市網安計算機安全檢測技術有限公司、中國信息安全測評中心華中測評中心、山東新潮信息技術有限公司、遼寧浪潮創新信息技術有限公司、湖南省金盾信息安全等級保護評估中心有限公司、天津市興先道科技有限公司、江西神舟信息安全評估中心有限公司、上海市信息安全測評認證中心、上海市網絡技術綜合應用研究所、浙江東安檢測技術有限公司、固平信息安全技術有限公司等多家測評機構等多家機構參與,針對每款安全產品組織多輪次意見收集與處理,并全程委托國家網絡與信息系統安全產品質量監督檢測中心作為檢驗檢測單位進行了實驗室環境下的驗證。
這個系列是國內第一次由產品提供方、產品測試方和系統測評方共同合作、對標2.0標準形成的、基于最佳實踐并取得廣泛認可的技術文件,除用于等級測評活動技術指導外,對于網絡運營者,可作為基于2.0標準的配置規程和運維手冊,對于安全產品和服務提供者,則可作為產品合規研發和等級保護安全解決方案的重要參考,希望能給各界在等保2.0落地實施工作帶來啟發和幫助。
一直以來,測評聯盟根據部局要求,始終致力于支持和服務測評機構能力提升和測評體系建設發展,希望繼續發揮組織優勢,協調各方資源,為等級保護2.0標準實踐發揮重要作用。


