4.5 密评管理测评要求

词条

|

内容

—|—

层面

|

管理制度（包括6个测评单元）

单元-1

|

具备密码应用安全管理制度（1-4级）

|

测评指标：具备密码应用安全管理制度，包括人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度

测评对象：安全管理制度类文档

测评实施：核查各项安全管理制度文档是否包含人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度

结果判定：同上

单元-2

|

密钥管理规则（1-4级）

单元-3

|

建立操作规程（2-4级）

单元-4

|

定期修订阿暖管理制度（3-4级）

单元-5

|

明确管理制度发布流程（3-4级）

单元-6

|

制度执行过程记录留存（3-4级）

层面

|

人员管理（包括5个测评单元）

单元-1

|

了解并遵守密码相关法律法规和密码管理制度（1-4级）

单元-2

|

建立密码应用岗位责任制度（2-4级）

单元-3

|

建立上岗人员培训制度（2-4级）

单元-4

|

定期进行安全岗位人员考核（3-4级）

单元-5

|

建立关键岗位人员保密制度和调离制度（1-4级）

层面

|

建设运行（包括5个测评单元）

单元-1

|

制定密码应用方案（1-4级）

单元-2

|

制定密钥安全管理策略（1-4级）

单元-3

|

制定实施方案（1-4级）

单元-4

|

投入运行前进行密码应用安全性评估（1-4级 可宜应应）

单元-5

|

定期开展密码应用安全性评估及攻防对抗演习（3-4级）

层面

|

应急处置（包括3个测评单元）

单元-1

|

应急策略（1-4级）

单元-2

|

事件处置（3-4级）

单元-3

|

向有关主管部门上报处置情况（3-4级）

4.6 测评过程指南

词条

|

内容

—|—

密评时遵循原则

|

测评风险识别

|

测评风险规避

|

测评过程前

|

需要对被测信息系统的密码应用方安进行评估，通过评估的密码应用方案可以作为测评实施的依据。（信息系统没有密码应用方案或者密码应用方案没通过评估，如何处理？？）尽快补齐，如确无则测评指标需要逐条核查、评估。

4项基本测评活动

|

测评准备活动

|

（1）项目启动

|

输入：委托测评协议书、保密协议

动作：组建测评项目组，编制项目计划书：项目概述、工作依据、技术思路、工作内容和项目组织等，要求被测单位提供基本资料

输出：项目计划书

（2）信息收集和分析

|

输入：调查表格

动作：收集测评所需资料（系统总体描述文件、系统密码应用总体描述文件、网络安全等级保护定级报告、安全需求分析报告、安全总体方案、安全详细设计方案、密码应用方案、相关密码产品的用户操作指南、各种密码应用安全规章制度以及相关过程管理记录和配置管理文档等）；给被测单位送达调查表格协助并督促准确填写；分析调查表格（可以采信自查结果、上次网络等保测评报告或密评报告中的可信结果）；若调查表格中有不准确、不完善或存在相互矛盾的情况，现场核实沟通确认，确保调查信息的正确性和完整性。

输出：完成的调查表格，各种与被测信息系统相关的技术资料

（3）工具和表单准备

|

输入：完成的调查表格、各种与被测信息系统相关的技术资料

动作：校准本次测评过程中将用到的测评工具；若具备条件，可模拟搭建被测评环境，进行前期准备和验证；准备并打印表单（现场测评授权书、风险告知书、文档交接单、会议记录表单、会议签到表单等）。

输出：工具清单；打印的各类表单。

方案编制活动

|

（1）测评对象确定

|

输入：完成的调查表格、各种与被测信息系统相关的技术资料

动作：识别被测信息系统的基本情况；描述被测信息系统；确定测评对象；资产和威胁评估；描述测评对象。

输出：密评方案的测评对象部分

（2）测评指标确定

|

（根据被测信息系统定级结果，确定本次测评的测评指标）

输入：完成的调查表格、GM/T0115、通过评估的密码应用方案、相关行业标准规范

动作：根据定级结果，根据GM/T-115选择相应等级对应的测评指标；根据行业标准规范以及密码应用需求，确定特殊测评指标；进行逐项确认各项指标的适用性；确无密码应用方案的，对所有不适用项进行逐条核查、评估、详细论证。

输出：密评方案的测评指标部分

（3）测评检测点确定

|

（对一些关键安全点进行现场检测确认）

输入：被测信息系统详细网络结构、选用的密码算法、技术、产品和服务等详细信息、通过评估的密码应用方案和GM/T0115。

动作：关键设备检测，一般为承载核心资产流转、进行密钥管理的设备；使用工具进行测评时，采用图示的方式描述测评工具的接入点、测试目的、测试途径和测试对象等相关内容。（从系统边界外接入时，接在系统边界设备交换机上；内部不同网段时，接在与被测对象不在同一网段的核心交换机上；内部同网段时，接在同网段的交换机上；工具接入不成熟时，生成必要的离线数据）

输出：密评方案的测评检查点部分。

（4）测评内容确定

|

（确定现场测评的具体实施内容，即单元测评内容）

输入：完成的调查表格、密评方案的测评对象、测评指标、测评检查点部分、通过评估的密码应用方案和GM/T0115。

动作：测评指标和测评对象结合起来，测评对象与具体测评方法结合起来。现场单元测评实施通常以表格的形式给出，表格内容包括测评指标、测评内容描述等。

输出：密评方案的单元测评实施部分。

（5）密评方案编制

|

输入：委托测评协议书、项目计划书、完成的调查表格、通过评估的密码应用方案和GM/T0115、密评方案中测评对象、指标、检查点、测评内容等

动作：项目概述（注意被测系统与其他系统之间的连接情况）；明确相关的标准规范；估算现场工作量（配置检测的节点数量、工具接入点、测试内容等）；项目组成员分工，编制工作安排；编制具体测评实施计划，包括现场工作人员分工和时间安排（所需保障也应一并提出）；汇总形成密评方案，经评测方内部评审通过后，提交被测单位签字确认。

输出：经过评审和确认的密评方案文本。

现场测评活动

|

（1）现场测评准备

|

输入：现场测评授权书、风险告知书、经过评审和确认的密评方案

动作：测评现场首次会，进一步明确测评计划和内容，说明安排和可能存在的安全风险；确认所需的各种资源，包括被测单位的配合人员和需要提供的测评条件等，确认被测信息系统已备份过系统及相关数据；被测单位签署现场测评授权书和风险告知书；做可能的更新。

输出：会议记录、更新确认的密评方案、签署过的测评授权书和风险告知书

（2）现场测评和结果记录

|

输入：更新确认后的密评方案、测评结果记录表格、各种与被测信息系统相关的技术资料

动作：在约定的测评时间，与有关人员（个人群体）访谈、文档审查、实地查看以及在检查点进行配置检查和工具测试；对取得相应证书的密码产品主要进行符合性核验和配置检查；进行配置检查时，先确认实际部署的密码产品与声称情况的一致性，再查看配置的正确性，并记录相关证据；在配置检查无法提供有力证据情况下，应通过工具测试抓取并分析被测信息系统相关数据。

（1）重点采集被测信息系统与外界通信的数据，以及内部传输和存储的数据。在条件允许的情况下，可以重放采改传输的数据验证被测系统是否对传输数据进行完整性保护。

（2）采集密码产品和其调用者之间的通信数据。若无法接入测试工具（如密码产品是软件密码模块），且无法提供源代码时，可使用逆向分析。

（3）探测IPsec VPN和SSL VPN等密码协议所对应的特定端口服务是否开启，利用漏洞扫描、渗透测试等工具对被测信息系统进行分析，查看是否存在与密码相关的安全漏洞。

输出：各类测评结果记录。

（3）结果确认和资料归还

|

输入：测评结果记录、工具测试完成后的电子输出记录

动作：首先汇总现场测评记录，对遗漏和需要进一步验证的内容实施补充测评；测评现场结束会，对测评结果记录进行现场沟通和确认；归还所有文档，将环境恢复至测评前状态，并由被测单位文档资料提供者签字确认。

输出：经过被测单位确认的各类测评结果记录。

分析和报告编制活动

|

（1）单元测评

|

输入：经过被测单位确认的各类测评结果记录、GM/T0115

动作：针对各测评单元涉及的各个测评对象，得到每个测评对象对应的测评结果（符合、部分符合、不符合、不适用）；汇总各测评单元涉及的所有测评对象的测评实施结果，对各测评单元进行结果判定（符合、部分符合、不符合、不适用）

输出：密评报告的单元测评部分。

（2）整体测评

|

（针对测评结果为部分符合和不符合的测评对象，采取逐条判定的方法，给出整体测评的具体结果）

输入：密评报告的单元测评部分

动作：针对测评对象“部分符合”及“不符合”要求的单个测评项，分析与该测评项相关的其他单元/其他层面的测评对象能否和它发生关联关系、发生何种关联关系、是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。结合单元测评结果汇总和整体测评结果，将物理和环境安全、网络和通信安全、设备和计算安全测评结果再次汇总分析，统计符合情况。

输出：密评报告的单元测评结果修正部分。

（3）量化评估

|

输入：密评报告的单元测评的结果汇总及整体测评部分

动作：根据整体测评结果，计算修正后各测评指标的各测评对象的测评结果符合程度得分；计算各测评单元得分；计算各安全层面得分；计算整体得分；总体评价被测信息系统已采取的有效保护措施和存在的密码应用安全问题情况。

输出：密评报告中整体测评结果和量化评估部分，以及总体评价部分。

（4）风险分析

|

输入：完成的调查表格、密评报告的整体测评结果和量化评估部分、相关风险评估标准。

动作：根据威胁类型和威胁发生频率，判断测评结果中部分符合或不符合项所产生的安全问题被威胁利用的可能性（高、中、低）；根据资产价值的高低，分析安全问题被威胁利用后，影响程度取值（高、中、低）；综合前2步，对安全风险赋值（高、中、低）；对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险进行评价。注意多个中低风险的叠加可能导致高风险。

输出：密评报告的风险分析部分。

（5）评估结论形成

|

输入：密评报告中被测信息系统的综合得分和总体评价部分、风险分析部分。

动作：得到三种结论（符合-100分，基本符合-60分以上，无高等级风险，不符合-其他情况。）

输出：密评报告的评估结论部分。

（6）密评报告编制

|

输出密评报告，报告应符合信息系统密码应用安全性评估模板要求。

对每一个定级的被测信息系统应单独形成一份密评报告。

对存在的安全问题，提出相应改进建议。

采用列表方式，给出现场测评文档清单和测评记录。

对密评报告进行内部评审，由授权签字人进行签发，提交被测单位。

输出：经过评审和确认的密评报告

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！