《安全可靠测评工作指南》试行

《安全可靠测评工作指南》试行一、适用范围本指南适用于党政机关、关键信息基础设施运营者（含金融、能源、交通、水利、卫生健康等领域）、安全可靠软硬件产品及服务提供商开展信息系统、软硬件产品的安全可靠测评工作，也可作为网信、公安、市场监管等主管部门开展安全可靠监管工作的参考依据。二、术语定义1.安全可靠测评：指依据国家法律法规、国家标准及行业规范，对信息系统、软硬件产品的安全性、可靠性、兼容性、可控性、可维护性等维度进行的综合性评估活动，旨在识别风险隐患，提出整改建议，提升安全防护能力。2.可信计算：指通过在信息系统中植入可信根，构建可信链传递机制，实现对系统软硬件的身份鉴别、完整性验证及访问控制的安全技术体系（依据GB/T36630-2018）。3.核心资产：指支撑信息系统核心业务运行的关键软硬件资源，包括核心服务器、数据库、网络设备、安全设备及业务应用系统等，其故障将导致核心业务中断≥4小时。三、测评工作基本原则1.客观公正原则：测评工作基于事实证据，不受任何单位或个人干预，测评结论如实反映测评对象的安全可靠状况。2.科学严谨原则：采用国家标准规定的测评方法，结合经CNAS认可的专业工具，确保测评过程可追溯、结果可复现。3.全面覆盖原则：覆盖测评对象的全部核心资产及关键业务流程，核心资产梳理率≥95%，关键业务流程测评覆盖率≥100%。4.风险导向原则：以识别和管控关键风险为核心，优先评估核心资产、高风险业务的安全可靠状况，重点排查可能导致业务中断或数据泄露的隐患。四、测评工作流程（一）前期准备阶段1.需求沟通与确认与被测方对接，明确测评核心需求，包括：（1）测评对象：区分软硬件产品测评或信息系统测评，明确测评边界（如信息系统需划定网络区域、业务范围）；（2）测评范围：列出具体资产清单，核心资产覆盖率≥95%、非核心资产覆盖率≥80%；（3）测评目标：如产品上市前的安全性验证、系统上线前的合规性评估、关键业务系统的年度风险排查；（4）测评依据：明确所遵循的国家标准（GB/T20271-2006、GB/T29003-2012、GB/T36630-2018）、行业规范（《关键信息基础设施安全保护条例》《党政机关安全可靠信息系统建设指南》）及被测方内部管理制度。2.资料收集与分析收集并分析被测方相关资料，包括：（1）产品类：技术说明书、源代码审计报告、兼容性测试报告、CC认证/等保认证证书；（2）系统类：拓扑图、资产清单、安全配置文档、等保2.0测评报告、应急预案、近3个月核心业务日志；（3）管理类：安全管理制度、人员培训记录、应急演练报告。识别潜在风险点，如系统拓扑是否存在单点故障、安全配置是否违反最小权限原则。3.测评团队组建组建不少于3人的测评团队，要求：（1）至少1名具备高级等保测评师或CISP-PTE资质的技术负责人，负责测评方案审核、技术把关；（2）其他成员需具备等保测评师、CISA或可信计算评估师资质，且每人每年参加专业培训≥40学时；（3）所有成员签订保密协议，承诺不泄露被测方敏感信息。4.测评对象边界确认与被测方共同确认边界细节：（1）网络边界：划定测评范围内的核心区、非核心区、DMZ区，梳理网络设备清单（防火墙、路由器等），数量准确率≥98%；（2）资产边界：梳理核心资产（服务器、终端、安全设备、数据库），核心资产梳理率≥95%；（3）业务边界：明确核心业务流程（如银行转账、电力调度），业务流程覆盖率≥100%。（二）测评方案制定阶段1.测评指标分解依据测评目标与依据，将安全可靠测评分解为5个一级指标、20个二级指标、80个三级指标，核心覆盖：（1）安全性：身份鉴别、访问控制、数据加密、漏洞防护、恶意代码防护（15个三级指标）；（2）可靠性：平均无故障时间、故障恢复能力、容错能力、负载能力（12个三级指标）；（3）兼容性：软硬件适配性、系统互操作性、跨平台支持（10个三级指标）；（4）可控性：知识产权可控、供应链可控、升级维护可控（13个三级指标）；（5）可维护性：故障诊断、升级便捷性、文档完整性（10个三级指标）。指标分解对核心特性的覆盖率≥98%。2.测评方法选择针对不同指标匹配科学方法：（1）文档审查：验证资料是否符合标准规范；（2）现场访谈：与技术/管理人员沟通，核实管理措施落实情况；（3）工具扫描：采用绿盟NSFOCUS、启明星辰天镜等CNAS认可漏扫工具，漏洞库≥100000条，更新频率≥每季度1次；（4）渗透测试：模拟真实攻击，高危漏洞发现率≥85%；（5）功能验证：测试身份鉴别、数据加密等安全功能的有效性；（6）性能测试：采用JMeter、LoadRunner工具，模拟核心业务最大并发量。3.测评计划编排制定时间明确的执行计划：（1）前期准备：3-5天；（2）方案制定：2-3天；（3）现场测评：核心资产≥50台的系统，测评时间≥5天；（4）报告编制：2-4天；（5）整改验证：7-15天；（6）归档总结：2天。4.测评方案评审组织内部专家评审，通过率≥80%方可执行：（1）指标分解是否全面覆盖核心特性；（2）测评方法是否科学可行；（3）风险管控措施是否完善。未通过方案需修改后重新评审。（三）现场测评阶段1.多维度测评实施（1）安全性测评：身份鉴别：验证双因素认证（口令+UKey）有效性，口令长度≥12位且含3类以上字符；验证失败次数≤5次，锁定时间≥15分钟；特权账号日志留存≥6个月。访问控制：检查最小权限配置，普通用户无核心数据库修改权限；访问审计日志留存≥6个月。数据加密：传输采用TLS1.2/SM4加密，存储采用SM4/AES-256加密，核心数据加密覆盖率≥90%。漏洞防护：高危漏洞修复率≥100%；IDS告警响应时间≤10分钟。恶意代码防护：终端杀毒软件覆盖率100%，病毒库日更；服务器部署HIPS，恶意代码拦截率≥95%。（2）可靠性测评：MTBF：服务器≥100000小时，核心业务系统≥8760小时；故障恢复：核心服务器故障转移时间≤30分钟，业务恢复率≥100%；容错能力：验证N+1冗余机制，单点故障不影响核心业务；负载能力：CPU利用率≤70%时，系统响应时间≤2秒，业务成功率≥99.99%。（3）兼容性测评：软硬件适配：支持鲲鹏/飞腾/龙芯CPU、麒麟/统信/欧拉OS、达梦/人大金仓数据库，适配率≥90%；互操作性：与现有系统数据交换成功率≥98%；跨平台支持：兼容Windows/Linux/Unix等，覆盖率≥85%。（4）可控性测评：知识产权：产品源代码自主率≥80%，核心算法具备自主发明专利；供应链：关键元器件国产化率≥90%，每年更新1次供应链风险评估报告；升级维护：厂商补丁发布周期≤14天，本地化支持团队响应时间≤4小时。（5）可维护性测评：故障诊断：系统自动告警准确率≥95%，日志分析工具可快速定位故障；升级便捷性：在线升级时间≤1小时，不影响核心业务；文档完整性：安装/配置/维护文档覆盖率≥90%。2.问题记录与风险分析（1）问题记录：采用标准化表格，记录问题描述、风险等级、影响范围，高危问题留存≥3份证据；（2）风险矩阵评估：高危（可能性≥60%且影响≥80%）、中危（可能性≥40%且影响≥50%）、低危（可能性<40%或影响<50%）；（3）高危风险24小时内告知被测方，提供临时处置建议。（四）报告编制阶段1.数据统计与结论判定（1）指标通过率：安全性、可靠性等单维度通过率=（通过三级指标数/对应总指标数）×100%；整体通过率=（总通过三级指标数/80）×100%；（2）结论划分：合格：核心二级指标全通过，整体通过率≥90%，无未整改高危风险；基本合格：核心二级指标通过率≥90%，整体通过率≥70%，高危风险全整改；不合格：核心二级指标通过率<90%或整体通过率<70%，或存在未整改高危风险。2.报告编制与审核编制《安全可靠测评报告》，含概述、测评过程、结果、风险分析、整改建议、附录；执行三级审核：测评师核实现场记录一致性、项目负责人审核逻辑客观性、技术负责人审核技术专业性，审核通过加盖公章后提交。（五）整改验证阶段1.整改方案审核：要求高危问题整改≤7天、中危≤15天、低危≤30天，措施具备针对性；2.整改监督：每3天跟踪进度，提供技术支持；3.复测验证：高危问题复测通过率100%、中危≥95%、低危≥90%；4.风险重评估：对未整改问题重新定级，制定替代管控措施。（六）归档总结阶段1.资料归档：所有过程资料（方案、记录、报告）归档保存≥10年，符合档案规范；2.工作总结：优化流程，如采用自动化工具提升资产梳理率至98%；3.成果应用：支撑等保备案、采购选型、安全运维、资质申请等场景。五、测评质量管控1.过程管控：各阶段质量检查，如前期准备资料完整性≥95%、现场问题记录准确率≥95%；2.工具管控：测评工具每年校准≥1次，漏扫工具漏洞库≥100000条