?有效的管理，對網(wǎng)絡安全等級保護工作的開展，其實是非常有必要的。

等級測評體系的建設主要包括測評機構(gòu)的建設和規(guī)范管理，以及測評人員和測評活動的規(guī)范和管理。測評機構(gòu)自然是由測評人員以一定組織形式，組成的一個機構(gòu)。對機構(gòu)的管理，一定程度上是對一個整體的管理，這個是針對法人的；而針對測評師的管理，則是具體到個人，這個是具體到每一個參與等級保護工作的自然人。自然人的不確定性，自然會引發(fā)法人的不確定性。若管理缺失或管理失當，則會引入新的風險。我個人曾經(jīng)感慨說，法律規(guī)則是防止人變壞，而道德責任鼓勵人變好。

測評機構(gòu)的業(yè)務范圍和工作要求

1．業(yè)務范圍

測評機構(gòu)除了從事等級測評活動，還可以從事網(wǎng)絡安全等級保護定級、等級保護安全建設整改、網(wǎng)絡安全等級保護宣傳教育等工作的技術(shù)支持，以及風險評估、網(wǎng)絡安全培訓、應急保障、安全運維、網(wǎng)絡安全咨詢和網(wǎng)絡安全工程監(jiān)理等工作。

從業(yè)務范圍內(nèi)，大家應該可以看到，網(wǎng)絡安全等級保護定級、等級保護安全建設整改、網(wǎng)絡安全等級保護教育等工作也是非常重要的，當然這也是獨立出來的服務。網(wǎng)絡安全是相對持續(xù)性的，沒有網(wǎng)絡安全就沒有國家安全，然而網(wǎng)絡安全是動態(tài)的，需要我們不斷跟進技術(shù)發(fā)展，提升防護能力。

2.工作要求

從事等級測評工作的機構(gòu)及其人員應當遵守國家有關(guān)法律法規(guī)，依據(jù)國家有關(guān)技術(shù)標準和《TRIMPS-SC13-001：2021 網(wǎng)絡安全等級測評與檢測評估機構(gòu)服務認證實施規(guī)則》的相關(guān)規(guī)定，開展客觀、公正、安全的測評服務，不得從事危害國家安全、社會秩序、公共利益及被測單位利益的活動。

測評機構(gòu)應當按照公安部統(tǒng)一制定的《網(wǎng)絡安全等級測評報告模版》規(guī)定的格式出具測評報告，根據(jù)網(wǎng)絡規(guī)模和所投入的成本合理收取測評服務費用。

測評機構(gòu)應嚴格按照網(wǎng)絡安全等級保護標準規(guī)范獨立開展等級測評工作，依據(jù)《網(wǎng)絡安全等級測評報告模版》出具網(wǎng)絡安全等級測評報告，確保測評質(zhì)量，全面、客觀地反映被測網(wǎng)絡的安全保護狀況。

測評機構(gòu)開展測評項目不受地域、行業(yè)限制。等級測評機構(gòu)應在測評項目合同簽訂及項目完成后5個工作日內(nèi)，向受理網(wǎng)絡備案的公安機關(guān)報告等級測評項目的有關(guān)情況。

測評項目實施過程中，等級測評機構(gòu)應接受等保辦的監(jiān)督、檢查和指導。測評項目完成后，等級測評機構(gòu)應請被測評網(wǎng)絡運營者對測評服務情況進行評價，評價情況由被測單位反饋至等保辦。等級測評機構(gòu)應定期向等保辦報送測評工作開展情況。根據(jù)測評實踐，于每年年底編制并報送網(wǎng)絡安全狀況分析報告。

其實做任何事都存在風險，特別是做的事情與安全相關(guān)，而網(wǎng)絡安全又具有一定的隱蔽性，所以在測評過程中，難免存在一定的不確定性的風險。風險存在是正常的事情，如何規(guī)避風險才是我們要做的事情。

今天這期內(nèi)容，對存在的風險進行一個梳理，以便我們了解。風險包括網(wǎng)絡敏感信息泄漏、驗證測試可能會對網(wǎng)絡運行造成影響、工具測試可能對網(wǎng)絡運行造成影響，特別是工控系統(tǒng)可用性要求更高。

了解風險也是為規(guī)避風險做準備，在了解風險的基礎上進行風險規(guī)避，其中包括簽署保密協(xié)議、簽署委托測評協(xié)議、現(xiàn)場測評工作風險的規(guī)避、規(guī)范化的實施過程、溝通與交流等都是規(guī)避風險的重要內(nèi)容。

存在的風險

等級測評過程中可能存在以下風險。

1．網(wǎng)絡敏感信息泄露

泄漏被檢測單位網(wǎng)絡狀態(tài)信息，例如網(wǎng)絡拓撲、IP地址、業(yè)務流程、安全機制、安全隱患和有關(guān)文檔信息。

2．驗證測試可能會對網(wǎng)絡運行造成影響

在現(xiàn)場進行測評時，需要對設備和網(wǎng)絡進行一定的驗證測試工作，部分測試內(nèi)容需要上機查看一些信息，這就可能對網(wǎng)絡的運行造成一定的影響，甚至存在誤操作的可能。

3．工具測試可能會對網(wǎng)絡運行造成影響

在現(xiàn)場測評時，會使用一些技術(shù)測試工具進行漏洞掃描測試、性能測試甚至抗?jié)B透能力測試。測試可能會對網(wǎng)絡的負載造成一定的影響，漏洞掃描測試和滲透測試可能會對服務器和網(wǎng)絡通信造成一定影響甚至傷害。

風險的規(guī)避

在等級測評過程中，可以采取以下措施規(guī)避風險。

1．簽署保密協(xié)議

測評雙方應簽署完善的、合乎法律規(guī)范的保密協(xié)議，以約束測評雙方現(xiàn)在和將來的行為。保密協(xié)議規(guī)定了測評雙方在保密方面的權(quán)利與義務。測評工作的成果由被測網(wǎng)絡的運營者所有，測評機構(gòu)對其的引用和公開應得到被測網(wǎng)絡的運營者的授權(quán)，否則被測網(wǎng)的運營者將按照保密協(xié)議的要求追究測評機構(gòu)的法律責任。

2．簽署委托測評協(xié)議

在測評工作正式開始之前，測評方和被測網(wǎng)絡的運營者需要以委托測評協(xié)議的方式明確測評工作的目標、范圍、人員組成、計劃安排、執(zhí)行步驟和要求及雙方的責任和義務等，使測評雙方對測評過程中的基本問題達成共識，并以此為基礎開展后續(xù)工作，避免在后續(xù)工作中出現(xiàn)大的分歧。

3．現(xiàn)場測評工作風險的規(guī)避

在進行驗證測試和工具測試時，測評機構(gòu)需要與測評委托單位充分協(xié)調(diào)，合理安排測試時間，盡量避開業(yè)務高峰期，例如在系統(tǒng)資源處于空閑狀態(tài)時進行，被測網(wǎng)絡的運營者需要對整個測試過程進行監(jiān)督。

在進行驗證測試和工具測試之前，需要對關(guān)鍵數(shù)據(jù)做好備份工作，并對可能出現(xiàn)的影響制定相應的處理方案。上機驗證測試原則上由被測系統(tǒng)網(wǎng)絡運營者的相應技術(shù)人員進行操作，測評人員根據(jù)情況提出需要操作的內(nèi)容并進行查看和驗證，避免由于測評人員對某些專用設備不熟悉造成誤操作。測評機構(gòu)應在使用測試工具前將相關(guān)信息告知被測網(wǎng)絡的運營者，詳細介紹這些工具的用途及可能對網(wǎng)絡造成的影響，并征得網(wǎng)絡運營者的同意。

4．規(guī)范化的實施過程

為保證按計劃、高質(zhì)量地完成測評工作，應當明確測評記錄和測評報告的要求，明確測評過程中每一階段需要產(chǎn)生的相關(guān)文檔，使測評有章可循。在委托測評協(xié)議、現(xiàn)場測評授權(quán)書和測評方案中，需要明確雙方的人員職責、測評對象、時間計劃、測評內(nèi)容要求等。

5．溝通與交流

為避免測評工作中可能出現(xiàn)的爭議，在測評開始前與測評過程中，雙方需要進行積極有效的溝通和交流，及時解決測評中出現(xiàn)的問題，這對保證測評的過程質(zhì)量和結(jié)果質(zhì)量有重要作用。

測評過程與運行的網(wǎng)絡系統(tǒng)打交道，自然也會引起網(wǎng)絡運營者重視與關(guān)注，在日常運行過程中，一個系統(tǒng)的可用性是放在極高的地位的，那么保證系統(tǒng)的可持續(xù)運行是網(wǎng)絡運營者工作中的最重要的一部分。測評過程中是否會引起風險，也是網(wǎng)絡運營者最關(guān)心的問題之一。所以，在測評過程中溝通與交流也變得非常重要。一方面，測評人員對自己的操作或要求客戶進行的操作，要有個清晰的認知，以及對操作過程中以及操作完成后，是否對系統(tǒng)產(chǎn)生影響，要有清晰的認知。只有自己思路清晰，能夠把控系統(tǒng)風險，才能避免風險，才能夠令網(wǎng)絡運營者放心。

在等級測評過程中，等保機構(gòu)包括現(xiàn)場測評的測評師應當遵循國家的有關(guān)法律法規(guī)，依據(jù)國家的技術(shù)標準和管理辦法進行開展工作，并提出規(guī)范了禁止行為，不得從事危害國家安全、社會秩序、公共利益及被測評單位利益的活動。國家、社會、公共利益方面大家常識中都理解，而被測評單位有時對自身的利益還是倍加關(guān)注，從這起講到的規(guī)范中，我們看到對保護被測評單位的利益上也是作出明確規(guī)定的。而我們的報告也不是隨意性的，是要遵循模板格式，作到保證測評質(zhì)量，做到客觀、公正、安全。

測評機構(gòu)，開展測評項目是不受地域、行業(yè)限制的。等保辦對我們的監(jiān)督、檢查、指導，也為等級測評的客觀公正提供了監(jiān)管保障。

等級保護制度是我國網(wǎng)絡安全領(lǐng)域的基本制度，等級保護制度的實行，是各方協(xié)作共同推進的一項事業(yè)。是我國網(wǎng)絡安全工作中的的主線，每一個環(huán)節(jié)都非常重要，做好網(wǎng)絡安全工作中的每一環(huán)，環(huán)環(huán)相扣才能把我國從網(wǎng)絡大國打造成為一個網(wǎng)絡強國。

各司其職，陳力就列，能者共進，為網(wǎng)絡安全等級保護制度的實行而努力！?