网站地图
等保评测咨询

大庆物联网等保测评—陆陆科技

陆陆科技 | 2023-11-02 10:30

大庆物联网等保测评流程:

1、定级

等保一共5级,1-5级,1级最低,5级最高,需要组织专家评审确定定级范围,非客户自己想定几级就定几级,专家评审后会输出专家评审报告。

2、备案

信息系统,要按照单位所在地址的(市级公安网监机关)进行备案。

隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。

3、整改

客户按照差距报告中的内容进行整改,涉及技术和管理两个层面,技术层面通过安全产品和修改程序代码、安全配置等解决,管理层面需要制定相关的安全制度、记录文件等满足等保的合规要求。

4、测评(验收测试、出具测评报告)

当客户完成合规整改能达到合格标准后,测评机构会组织一次验收测试,验收通过则会输出合格的测评报告给到客户,由客户提交给公安,公安收到确认没有问题的情况下,会给客户出具回执,完成当年的等保测评工作。

5、监督检查

公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。

物联网等保测评要求解读:

《信息安全技术 网络安全等级保护测评要求 第4部分:物联网安全扩展要求》解读

作为新兴的信息技术,物联网应用技术在国内外发展很快,相关产品种类多,应用广泛,已经形成了从低端到高端的产品系列,并已有相对比较成熟的物联网产业链。为规范和强化我国在物联网安全测评方面的工作,推动相关领域等级保护工作的开展,在相关主管部门统一部署下集合了多家具有物联网领域安全评估及相关经验的单位对物联网安全评估的指标、内容、方法和手段进行了充分的调研、分析与研究,并经过多次讨论修改与多轮次专家评审,形成了该等级保护系列扩展标准。

1、测评描述框架

物联网安全等级保护测评的概念性描述框架由两部分构成:单项测评和整体测评。

这与通用测评要求及其他部分测评要求基本保持一致,同样在使用时,该标准用于物联网信息系统测评时也需要同步使用GB/T22239.1和本标准;区别之处在于,由于定级对象不同,使用本标准时所选取的测评对象主要集中于物联网感知层相关设备设施。

2、测评内容体现物联网特色

本标准是配合《信息安全技术 网络安全等级保护基本要求 第4部分:物联网安全扩展要求》来使用的,在将安全要求落地到测评实践中时,需充分考虑从物联网系统角度去开展测评工作,如选取测评对象时,应以感知节点设备、网关节点设备(包括读卡器)、传感网入网访问控制设备等为主;再如对应用和数据安全测评时,对控制点测评内容的考虑也应体现物联网特点,在对“抗数据重放”测评时,测试内容是针对感知节点设备历史数据防重放,而非传统应用系统在应用层的数据防重放。

3、测试方法倾向核查测试

从本标准测评指标的分布来看,重点在于对物联网系统安全技术方面的测评。技术方面着重于感知层及相关设备的接入后,对其设备自身、设备所处环境及安全防护功能的测评。正是由于本标准重点在此,在阐述测评单元中的测评实施时,测试方法以配置核查和测试验证为主。应当注意的是,在对同一层面不同控制点进行测评时,对于可能对感知层设备、物联网系统安全有重要影响或需要重点确认的安全要求,必须通过测试手段去验证相关安全实现,如对异构网安全接入的前三项安全要求,在测评过程中,必须通过测试手段对异构网接入认证系统、拒绝恶意节点接入的能力、完整性和保密性保护措施等这三个方面进行验证。

4、测试工具趋向专用工具

由于物联网安全测评与其他系统安全测评最大的区别之处在于感知层设备及相关协议等方面的评估,故采用此标准开展测评时,测试工具除了传统系统测评的工具外,还需以感知层产品安全评估视角采用专用工具对其安全防护能力开展评估工作,如对感知层防功耗攻击措施的验证测试、对重要数据(指令控制数据、业务数据)的嗅探测试等,均需要专业化工具开展测评工作。

5、安全管理测评关注研发与设备安全运维

在运用本标准开展物联网信息系统的安全管理测评时,主要聚焦于两点:一是终端感知节点设备、网关节点设备等物联网感知层设备的软、硬件研发方面的安全控制,包括了自行研发和外包研发,评估要点在于对研发环境的安全控制、研发文档的安全管理的验证和确认,此外对于外包研发的评估还需重点评估外包质量交付情况和外包研发带来的安全隐患(如预置后门、恶意代码等);二是感知层设备的环境管理以及备份与恢复管理,此方面重点关注对设备的实地运维,特别是针对感知层设备的特殊性所可能采取的不同运维方式和方法,如除尘、充电、修理等,而这方面也是与传统信息系统安全运维管理方面最大的不同之处。

如需等保测评服务,可后台私信联系。陆陆信息科技,整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。