《安全可靠测评工作指南》试行

《安全可靠测评工作指南》试行1适用范围本指南适用于党政机关、关键信息基础设施运营者、涉及公共利益的企事业单位开展的基础软硬件产品、信息系统、服务体系、集成方案的安全可靠测评活动，同时作为第三方测评机构承接安全可靠测评项目、主管部门开展测评活动监督管理的依据。涉密场景下的安全可靠测评工作需同时符合国家保密管理相关规定。2基本原则2.1合规性原则测评活动需严格遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等上位法规，符合网络安全等级保护2.0系列标准、信创产品适配标准、行业安全规范要求，所有测评项需对应明确的合规依据，无依据的测评项不得纳入测评范围。2.2客观性原则测评实施过程不受委托方、被测方或其他利益相关方干预，所有测试数据需可追溯、可复现，测评过程全程留痕，原始记录留存期不少于5年。测评结果判定需严格执行预设的量化标准，不得通过自由裁量调整判定结论。2.3科学性原则测评方法需经过专家论证，指标权重分配符合被测对象的业务属性，核心指标权重占比不低于总权重的80%。测评样本量需符合统计显著性要求，单测评项重复测试次数不少于3次，测试结果一致方可判定最终结果。2.4最小影响原则测评活动需最大限度降低对被测方正常业务的影响，涉及生产环境的测试需安排在业务低峰期开展，提前制定业务回滚预案，测评过程中业务中断率需控制在0.1%以内，单次业务中断时长不得超过5分钟。2.5保密性原则测评参与各方需签订保密协议，对测评过程中获取的业务数据、技术文档、漏洞信息等敏感内容严格保密，不得向无关第三方泄露，涉密信息的处理需符合国家保密管理要求。3测评主体资质要求3.1委托方要求3.1.1需明确项目对接责任人，清晰界定测评需求边界，提供真实的业务场景参数、性能阈值要求、合规判定标准，不得隐瞒被测对象的已知风险。3.1.2不得授意或胁迫测评机构篡改测评数据、出具虚假测评报告，不得干预测评人员的独立判定。3.1.3需协调被测方配合测评工作开展，为测评活动提供必要的环境、权限、文档支撑。3.2测评实施方要求3.2.1需具备中国合格评定国家认可委员会（CNAS）认可的软件测评或网络安全测评资质，同时具备省级以上网信部门认可的安全可靠测评服务能力，近3年无虚假测评、违规泄露敏感信息等不良记录。3.2.2测评团队总人数不少于12人，其中持有注册信息安全专业人员（CISP）、信息安全保障人员认证（CISAW）、网络安全等级保护测评师资质的人员占比不低于70%，核心测评人员需具备3年以上信创领域测评经验，参与过不少于5个省部级以上安全可靠测评项目。3.2.3需具备独立的测试环境，可覆盖主流信创技术栈的适配测试需求，测试工具需经过国产化适配验证，不存在供应链安全风险。3.2.4需建立完善的质量管控体系，测评过程需经过初核、复核、专家审核三级校验，确保结果准确性。3.3被测方要求3.3.1需提供被测对象的全量技术文档，包括需求规格说明书、设计文档、接口说明、运维手册、漏洞修复记录、供应链溯源清单等，文档准确率需达到100%。3.3.2需配合搭建符合要求的测试环境，开放必要的测试权限，不得隐藏被测对象的已知漏洞、预留后门等风险点。3.3.3对测评过程中发现的问题需按要求及时整改，不得提供虚假的整改证明材料。4测评对象分类4.1基础软硬件产品：包括通用CPU、服务器/终端操作系统、数据库管理系统、中间件、办公软件、终端安全产品、存储设备、网络设备、工控基础组件等。4.2应用系统：包括政务服务系统、行业核心业务系统、公共服务系统、工业控制系统、移动应用程序、小程序等。4.3服务类：包括云计算服务、运维服务、数据处理服务、安全运营服务、集成实施服务等。4.4集成方案：包括信创全栈适配方案、数据迁移方案、灾备建设方案、跨系统互通方案等。5测评前置准备5.1需求调研测评机构需在项目启动后10个工作日内完成需求调研，输出《测评需求说明书》，明确被测对象的业务等级（网络安全等级保护等级、是否属于关键信息基础设施）、核心业务场景、性能阈值、兼容范围、安全合规要求，说明书需经委托方、被测方、测评机构三方签字确认后方可生效，需求变更需提交正式的变更申请，经三方确认后方可调整测评范围。5.2测试环境搭建5.2.1测试环境需与生产环境配置一致性达到95%以上，包括硬件型号、软件版本、网络拓扑、权限配置、数据量级，测试数据需覆盖生产数据的所有字段类型，数据量不低于生产环境峰值的1.2倍，敏感测试数据需经过脱敏处理，脱敏率达到100%，不得使用真实的国家秘密、工作秘密、个人敏感信息作为测试数据。5.2.2涉密场景下的测试环境需符合涉密信息系统分级保护要求，与互联网物理隔离，所有接入设备需经过保密检查。5.2.3测试环境搭建完成后需开展有效性校验，核心功能验证通过率100%、性能指标达到预期阈值的方可进入下一阶段，校验不合格的需重新调整环境。5.3测评方案编制测评机构需根据确认后的需求编制《测评实施方案》，明确测评项清单、测评方法、判定标准、时间节点、责任人员、风险预案，方案需经过3名以上行业专家评审，评审得分不低于80分（百分制）方可实施。方案中需明确测评过程中的风险应对措施，比如出现业务中断、数据损坏等情况时，需在5分钟内启动回滚机制，10分钟内恢复业务正常运行。6核心测评内容及量化指标6.1功能完备性测评6.1.1功能点覆盖率：对照需求规格说明书，功能点覆盖率需达到100%，其中核心业务功能点测试通过率100%，一般功能点测试通过率不低于98%。6.1.2异常场景容错性：异常场景测试覆盖率不低于90%，包括极端输入、断网、断电、硬件故障、流量突发等场景，异常场景下核心业务功能不失效，异常恢复时间不超过30秒，无数据丢失、数据错乱问题。6.1.3兼容性：与同生态下不少于3种主流同类型产品的适配通过率100%，跨版本升级后功能可用率100%，数据无损率100%，不存在升级后核心功能失效、数据丢失问题。6.1.4互联互通性：符合国家统一的接口标准，与上下游系统的接口调用成功率不低于99.99%，数据传输准确率100%。6.2性能效率测评6.2.1基准性能：服务器端系统在并发用户数达到设计峰值的1.5倍时，平均响应时间不超过2秒，交易成功率不低于99.99%，CPU占用率不超过70%，内存占用率不超过75%，磁盘IO使用率不超过80%；终端类产品冷启动时间不超过10秒，热启动时间不超过3秒，常规操作响应时间不超过1秒，idle状态下CPU占用率不超过5%，内存占用率不超过200MB；网络设备吞吐量达到设计峰值的1.2倍时，丢包率不超过0.01%。6.2.2稳定性压力测试：持续72小时满负荷压力测试下，被测对象无崩溃、无内存泄漏、无数据丢失，性能衰减率不超过5%。6.2.3峰值突发测试：突发流量达到设计峰值的3倍时，系统无宕机、无核心业务失效，流量恢复后1分钟内性能恢复到正常水平。6.2.4扩展性测试：集群节点扩展到设计最大规模的1.2倍时，系统性能损耗率不超过10%，支持线性扩展。6.3安全合规性测评6.3.1网络安全等级保护合规：符合对应等级的网络安全等级保护2.0标准要求，测评得分不低于90分，高危漏洞清零，中危漏洞修复率不低于95%，低危漏洞修复率不低于80%，不存在可被公开利用的POC/EXP的未修复漏洞。6.3.2数据安全：数据分类分级符合国家及行业标准，敏感数据存储加密率100%，传输加密率100%，加密算法符合国家密码管理局认可的国密标准，数据导出、修改、删除操作全审计，审计日志留存不少于6个月，数据销毁符合GB/T38251《信息安全技术数据销毁指南》要求，销毁后不可恢复。6.3.3供应链安全：核心组件自主可控率符合业务场景要求，关键信息基础设施场景下核心软硬件自主可控率100%，所有组件的供应商、版本、许可证信息可溯源，溯源覆盖率100%，不存在境外厂商预留后门、非法收集数据的风险。6.3.4个人信息保护：符合《个人信息保护法》要求，个人信息采集遵循最小必要原则，采集范围与业务需求匹配度100%，用户授权机制覆盖率100%，不存在超范围收集、违规共享、过度索权等问题。6.3.5漏洞响应能力：被测方建立完善的漏洞响应机制，漏洞接收渠道畅通，高危漏洞响应时间不超过24小时，修复时间不超过72小时，中危漏洞修复时间不超过7天，低危漏洞修复时间不超过30天。6.4可靠性测评6.4.1平均无故障时间（MTBF）：服务器类产品MTBF不低于100000小时，终端类产品MTBF不低于50000小时，网络设备MTBF不低于200000小时，工控设备MTBF不低于300000小时。6.4.2灾备能力：恢复点目标（RPO）、恢复时间目标（RTO）符合业务要求，核心业务系统RPO不超过5分钟，RTO不超过30分钟，灾备切换成功率100%，切换后数据一致性100%，核心业务无中断。6.4.3容错能力：集群中单节点故障时，系统自动切换时间不超过10秒，核心业务无中断；集群节点故障数量不超过总节点数的1/2时，核心业务可用率不低于99.9%。6.4.4环境适应性：在温度0℃-45℃、湿度20%-80%的常规运行环境下，设备运行正常，抗电磁干扰符合GB/T17626《电磁兼容试验和测量技术》系列标准要求，不会因电磁干扰出现数据错误、宕机等问题。6.5易用性测评6.5.1操作便捷性：核心业务操作路径不超过3步的占比不低于90%，无冗余操作环节。6.5.2培训成本：普通业务人员经过不超过8小时的培训即可熟练完成核心业务操作，运维人员经过不超过40小时的培训即可独立开展日常运维工作。6.5.3运维便捷性：故障告警准确率不低于98%，告警信息附带解决建议的覆盖率100%，常规运维操作自动化率不低于70%。6.6可维护性测评6.6.1技术文档完备率100%，接口文档准确率100%，源代码注释率不低于20%，符合GB/T13702《软件文档管理指南》要求。6.6.2故障平均定位时间不超过1小时，平均修复时间不超过4小时。6.6.3版本迭代回滚成功率100%，回滚时间不超过10分钟，回滚后无数据丢失、功能失效问题。7测评实施流程7.1预测试正式测评前开展预测试，对核心功能、核心性能指标进行初步验证，预测试通过率达到95%以上方可进入正式测评阶段，预测试发现的问题需被测方完成整改后再启动正式测评，预测试周期不超过总测评周期的10%。7.2正式测评严格按照测评实施方案开展测试，每个测评项重复测试不少于3次，结果一致方可判定为该项合格。测评过程全程录像，所有测试数据、操作日志、截图、配置信息完整留存，可追溯率达到100%。测评过程中如发现高危漏洞、核心功能失效等严重问题，需立即暂停测评，通知委托方和被测方，待问题整改完成后重新启动测评。7.3回归测试被测方对测评发现的问题整改完成后，测评机构需对整改项及关联功能开展全量回归测试，回归测试覆盖率100%，整改后问题全部清零方可判定为整改合格。同一问题最多允许2次整改，超过2次仍未达标的，直接判定该测评项不合格。7.4结果核验测评工作完成后，测评机构质量管控部门对所有测试数据、过程文档、判定结果进行三级核验，首先由测评组长初核，再由质量专员复核，最后邀请2名以上外部专家终审，核验通过率100%方可出具正式测评报告。8测评判定规则8.1合格判定条件同时满足以下所有条件的被测对象判定为合格：（1）所有核心测评项（核心功能项、核心性能项、安全高危漏洞、核心可靠性指标）通过率100%；（2）一般测评项通过率不低于98%；（3）综合测评得分不低于90分（百分制，权重分配为：安全合规35%、可靠性25%、性能效率20%、功能完备性15%、易用性2.5%、可维护性2.5%）。8.2不合格判定条件存在以下任意一种情况的，直接判定为不合格：（1）核心测评项存在未通过的；（2）存在未整改的高危漏洞；（3）被测方提供虚假材料、干扰测评过程的；（4）综合得分低于90分的；（5）问题整改超过2次仍未达到合格要求的。8.3异议处理委托方或被测方对测评结果有异议的，需在收到测评报告后15个工作日内提出书面异议申请，并提交相关证明材料。测评机构需在10个工作日内完成复核，出具复核结果。对复核结果仍有异议的，可向省级以上网信部门申请仲裁，仲裁结果为最终结论。9测评报告管理9.1报告内容正式测评报告需包含以下内容：测评基本信息（委托方、被测方、测评机构、测评时间、测评对象）、测评范围、测评方法、测评项明细、测试原始数据、问题清单、整改建议、判定结果、测评人员签字、测评机构公章。涉密测评报告需标注密级，按涉密载体管理要求流转。9.2报告效力测评报告有效期为1年，有效期内如被测对象发生核心组件升级、架构调整、业务场景变化超过30%等重大变更的，需重新开展安全可靠测评。报告在全国范围内通用，各级主管部门不得重复要求开展相同范围的测评。9.3留存要求测评机构需留存测评报告、过程文档、原始测试数据不少于5年，委托方需留存测评报告不少于3年，任何单位和个人不得篡改、伪造测评报告，违规者依法追究相关责任。10测评安全管理10.1人员安全所有参与测评的人员需签订保密协议，涉密场景下需持有对应等级的涉密人员资格证，不得私自记录、拷贝、传输测评过程中获取的敏感信息，