中关村安全测评联盟与深信服联合发布五款产品测评指导书

首页 / 业界 / 资讯 /  正文
来源:安全419
发布于:10个月前
网络安全等级保护2.0国家系列标准于去年正式发布,新标准相比1.0系列范围更加广泛、对象更为丰富,一年来,广大等级测评机构依据新标准新要求开展了大量测评实践,获得了一大批成功案例和工作成果。

新标准提出了“一个中心、三重防护”的思想,落到实处则是架构、产品与应用等多层面、多对象安全要求的实现,从从事专业等级测评的机构视角看,面对形形色色的被测对象,必须首先清楚并掌握其安全功能对标2.0标准的适配性和有效性,因此,一套权威的技术指导性文件——测评指导书,是所有测评工作的基础。


从等级测评机构多年来实践经验来看,由产品提供者、检测检验者和测评机构共同合作参与,是等级测评指导书开发的最佳方式,为此,中关村信息安全测评联盟和深信服公司从2018年开始合作,尝试以其安全产品为基础编制一套基于标准合规的产品配置核查文档,同时,借此过程优化形成一套较为成熟的指导书开发、认定和发布流程,这一模式得到了各测评机构的积极支持和响应。

测评作业指导书有哪些内容?

深信服公司为此提供了其主流的五款安全类产品(下一代防火墙、全网行为管理、SSL VPN、安全感知平台、XSec集成安全平台),从“安全区域边界”、“安全计算环境”、“安全通信网络”、“安全管理中心”四个层面对安全产品功能进行了全要求项对标和详细配置映射。两年时间里,历经标准1.0到2.0升级,通过“技术标准解读(三方共同)”—>“产品对标应用说明编制(产品提供商)” —> “安全功能适用性分析(测评机构)”——“实验室条件下符合程度验证(产品检验检测机构)”——“技术文档编制完成(三方共同)”等多个步骤,最终形成该作业指导书系列。

测评作业指导书分为如下四个部分:

1、适用版本:明确适用本作业指导书的安全产品软件版本。
2、缺省参数:缺省的管理员账号及权限、登录接口和方式等。
3、安全计算环境作业指导书(第三级):安全产品自身需满足的安全基线符合程度(实验室验证结论)及现场测评作业指导建议。
4、安全通信网络、安全区域边界、安全管理中心作业指导书(第三级):安全产品对等级保护对象提供的安全能力符合程度(实验室验证结论)及现场作业指导建议。

期间,联盟组织邀请公安部信息安全等级保护评估中心、中国电子信息产业集团有限公司第六研究所、中国铁道科学研究院集团有限公司信息系统与信息安全评测中心、深圳市网安计算机安全检测技术有限公司、中国信息安全测评中心华中测评中心、山东新潮信息技术有限公司、辽宁浪潮创新信息技术有限公司、湖南省金盾信息安全等级保护评估中心有限公司、天津市兴先道科技有限公司、江西神舟信息安全评估中心有限公司、上海市信息安全测评认证中心、上海市网络技术综合应用研究所、浙江东安检测技术有限公司、固平信息安全技术有限公司等多家测评机构等多家机构参与,针对每款安全产品组织多轮次意见收集与处理,并全程委托国家网络与信息系统安全产品质量监督检测中心作为检验检测单位进行了实验室环境下的验证。

测评作业指导书的实际作用意义

测评作业指导书综合了标准解读、产品功能适用性、实验室条件下的符合程度判断、具体测评作业指导步骤等内容,理论结合实践,将安全产品在等级保护建设中的作用更加明确,不仅能让广大测评师快速找到相关功能配置并判断其符合程度,又可以使广大用户能够更清晰地甄别哪个安全产品能真正解决其安全问题,进而更准确、高效地落实等级保护制度。

这个系列是国内第一次由产品提供方、产品测试方和系统测评方共同合作、对标2.0标准形成的、基于最佳实践并取得广泛认可的技术文件,除用于等级测评活动技术指导外,对于网络运营者,可作为基于2.0标准的配置规程和运维手册,对于安全产品和服务提供者,则可作为产品合规研发和等级保护安全解决方案的重要参考,希望能给各界在等保2.0落地实施工作带来启发和帮助。

参考资料:
《测评联盟与深信服联合发布五款安全产品测评作业指导书》 安全测评联盟
《重磅 | 测评联盟与深信服联合发布五款安全产品测评作业指导书》 深信服科技