网络安全等级保护测评是依据国家网络安全等级保护制度,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检验评估的活动,主要是对目标网络系统的安全技术状态及安全管理状况依据相应网络安全等级保护要求进行测试、评估与分析。

网络安全等级保护测评工作主要包含两大类十个层面,同时涉及五个新技术的扩展要求。每一类各包含五个层面,两大类分别是技术类和管理类。技术类包含的五个层面分别是安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;管理类包含的五个层面分别是安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理;五类扩展要求分别是云计算扩展要求、大数据扩展要求、物联网扩展要求、工业控制扩展要求、移动互联扩展要求。部分重要行业在国家标准基础之上进一步完善成行业标准,如金融、证券、航空、广电等行业,这些行业标准对于行业内的网络系统提出了更高的安全防护要求。

网络安全等级保护测评工作的核心在于人员,因涉及的知识面非常广泛,所以对于从业人员的各项能力就具有一定的要求。从业人员全称网络安全等级保护测评师,简称为测评师。测评师不仅要对各种类型的操作系统、数据库、各种型号的网络设备、各种不同安全功能的安全设备有一定的掌握,还要对网络架构、渗透技术、软件开发及各种新兴领域有一定的技术了解,同时还要对管理的流程、方式方法、制度执行等具备一定的理论知识,并且要有足够的文字功底用以编制最终交付的测评报告。

影响等保测评工作效率的原因

网络安全等级保护测评工作具有特定的流程和周期。开展等保测评工作可以视为一种项目,作为周期性项目,必然要讲究效率。而影响工作效率的原因,主要有以下几点。

1.测评师的综合能力

测评师是影响网络安全等级保护测评工作效率的核心,需要具备一定的现场测评实施能力,确保开展客观、公正、安全的测评服务。测评师通过行业考试后,取得相应级别的测评师证书。开展测评工作需要持证上岗,按照等级分为高级、中级、初级。不同级别的测评师需具备不同程度的技术能力和管理能力,需掌握不同的测评知识。一个等保测评项目,在现场实施的过程中,至少要满足一个中级测评师、两个初级测评师的人员组合要求。

网络安全等级保护测评工作讲究以人为本。根据以往的工作经验,对项目效率产生影响的因素主要分为两类:工作态度与基本业务能力。

在工作态度方面,测评师对网络安全行业的认可度越高,投入的精力越多, 充分调动积极性之后,完成项目的效率就越高。以初级测评师为例,态度积极的测评师在现场测评时会充分利用时间,积极寻找客户配合,保质保量,在最短时间内完成各层面的测评,并完善现场记录单,有问题会及时咨询或寻找解决办法,在项目周期内尽可能快速地交付项目。反之,测评师的工作态度一旦出现了问题,在测评时会得过且过,导致项目周期跨度延长,严重影响项目效率。

古人云:工欲善其事必先利其器。这句话用在测评师的基础能力方面十分恰当。不同级别的测评师需要掌握不同的技能,从初级到高级,需要不断地学习新技术、新知识,从而积累丰富的经验。等保测评的十个层面,对应着计算机领域的不同方向,几乎覆盖了整个计算机领域的专业方向。任何一个方向深入研究下去,如果达到精通的水准,都可以成为该方向的佼佼者。而作为一个合格的测评师,尤其是中级以上的测评师,需要对十个层面都要有所了解,或许不用精通,但绝不能有偏科。对于项目效率而言,测评师对条款理解的准确程度、对技术能力的掌握程度、对安全问题的风险分析等都会对项目效率产生很大的影响。在项目中,测评师对条款理解准确、技能掌握熟练,能够减少后续调整、改错、复查的时间,从而缩短项目周期。

2.客户方的配合因素

网络安全等级保护测评工作不是一个由测评师随意发挥的工作,而是一项严谨、客观、公正、安全的服务类工作。在现场测评时,需要由客户方的工作人员全程陪同,有部分工作需要通过访谈的方式得到答案,有部分工作需要客户方的工作人员登录到相关系统和设备进行展示验证,有部分工作需要去协调开发厂商、系统集成商、建设商等。所以客户方的配合,也是影响项目效率的重要因素,包括现场配合的时间段、配合人员的技术能力、问题整改的周期以及其他一些无法预估的情况。虽然这些因素不可控,却无法避免。

3.项目经验

这个因素单独摘取出来,而不是放在测评师的基础能力里,是因为项目经验对项目效率的影响具有一定的特殊性。经验与态度和能力无关,有足够项目经验的测评师,在面对相似项目的时候,能够更快地完成测评流程的各环节,从而达到提升效率的结果。但在做一些重难点项目尤其是新兴技术的项目时,由于经验欠缺,即使有足够项目经验的测评师,也需要深入理解条款,通过培训、查找资料、自我学习等方式提升自身能力,达到基本满足测评的要求。这个过程必然会导致项目周期延长。

4.沟通与表达

沟通很重要,有效的沟通,能够使项目评测事半功倍。良好的表达能力是沟通中很重要的一个因素,能够使配合人员清晰明了地知道测评师所表达的意思。因此,测评师除了具备基础能力和经验外,还要具备一定程度的沟通表达能力。而良好的沟通表达能力,又是建立在对自身综合技术能力和条款理解熟练掌握的基础之上。

以上四个因素虽然是独立的,但又是相互影响、相互关联的,避免任何一个因素的负面影响,都能够在一定程度上提升效率。反之,如果任何一个因素存在问题,都会在一定程度上降低效率。

提升等保测评工作效率的方法

对于各行各业而言,行业的精英都是对自身业务能够做到熟练掌握甚至是精通的人。对于等保测评而言,测评师的综合能力,就是从事该行业的利器。想要提升工作效率,必然要先提升测评师的综合能力。

在提升测评师工作积极性的层面,可以从公司角度完善薪酬制度、晋升制度、奖惩制度、绩效奖励等,公平公正地体现劳有所得、多劳多得,让测评师能够在保障物质基础之上,实现自身价值,从而提升测评师的工作积极性。再通过严格控制测评项目质量等手段,让测评师端正工作态度,这就可以在保证效率的同时,也可以保证质量。

在提升测评师的基础能力层面,从行业角度,测评联盟和龙头企业应定期开展业内培训,测评公司需要组织人员参加。从公司角度,可以成立单独的培训部门,定期对所有刚步入行业的新人开展基础能力的培训,包括条款理解、现场实战等;不定期对有能力提升需求的测评师开展专项培训,包括行业最新动态共享、与其他业内机构或厂商进行交流学习等。在公司原有效率不变的前提下,通过培养新人、定向提升等方法提高公司的整体效率。

结语

知识不是一天学会的,技能也不是一天掌握的。安全是一个永恒不变的话题。网络安全作为计算机安全领域的核心,未来的前景很光明,有足够的时间让从业人员去学习和成长。作为网络安全从业者,自身亦需要通过不断地学习,不断地累积项目经验,达到从量变到质变的飞跃,在提升项目效率的同时,不断提高个人的综合能力,达到个人成就行业、行业成就个人的双赢局面。

来源:《网络安全和信息化》

作者:赵铭嵩 傅宝启

(本文不涉密)

声明:本文来自网络安全和信息化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。