张稳

摘要：在信息安全等级保护测评1.0标准的工作模型基础上，将管理条线合并，将两技术条线相同测评内容归一并划分子条线，采用喷泉模型对测评工作宏观建模，采用增量模型对技术子条线微观建模，采用迭代模型对渗透测试全程建模，进而形成2.0標准的团队组建、测评分工及测评过程管理模型。

关键词：信息安全等级保护测评;1.0标准;2.0标准;团队组建;测评分工;过程管理

中图分类号：TP311 文献标识码：A

文章编号：1009-3044（2020）11-0001-02

随着2019年12月1日到来，公安部推出的信息安全等级保护2.0标准正式生效。如何在充分吸收利用1.0标准测评经验的基础上，全面推进落实2.0标准，是测评机构必须面对，而且必须完善解决的问题。在此，笔者结合我单位在四川省内外近10年的一线测评经验，谈几点看法。

1 2.0标准扎根于1.0标准，继承1.0标准大量内容

将2.0标准和1.0标准相比较可以发现，2.0标准大部分内容均与1.0标准类似。2.0标准中的诸多新特性，在1.0标准当中都能找到萌芽，将1.0标准当中若干前瞻性指标强化、高耦合指标合并、严苛烦琐指标去除，就得到了2.0指标。2.0标准并未违背1.0标准，而是1.0标准的进化。这一点是前提和基础。

2 管理方面，削减了部分过于细致的安全指标，测评工作量削减约20%

1.0标准，管理层面存在大量安全指标，要求比较严格。而真实情况是，被测评单位的安全管理状况并不一样，甚至大相径庭。针对不同的测评单位，强制推行唯一的严格的管理指标，没有完全做到因地制宜。这种做法，给测评工作带来了困难，但并未有效强化被测单位安全管理。2.0标准放宽管理方面的要求，在坚持基本内容不放松的情况下，减少了一定数量的过于细致的安全指标，工作量降低约20%，更易于测评工作推进。

3 技术方面，新增三类测评对象，测评工作量增加约15%

2.0标准新增区域边界和业务应用平台两类测评对象，这两类测评对象的测评指标数量较多，专业性较强，工作量大。2.0标准同时将原属于安全运维管理的安全管理中心划分出来，独立作为一类测评对象。该类测评对象包含大量技术细节，不适合管理类测评师测评，适合划归技术层面。综合计算，技术层面测评工作量增加约15%。

4 网络层面部分测评内容与主机层面走向融合，诞生新的测评对象类

2.0标准将原属于网络层面的网络设备、安全设备，原属于主机层面的操作系统、中间件、数据库等测评对象合并，定义为安全计算环境，作为新测评类。该测评类成分复杂，测评对象繁多，要求测评单位投入大量而且是不同种类的测评人力才能完成测评。

5 等保2.0测评团队组建、测评分工模型

鉴于2.0标准测评内容和组织结构的变化，原1.0标准的测评团队组建及分工方案，已经不完全适合2.0标准，需要进行调整。但前文已述明，2.0标准由1.0标准发展而来，两者并不割裂，所以调整是有限地、良性地调整，而不是破坏性调整。下文罗列1.0标准的团队组建和分工方案。

考虑到技术类测评内容的增加和测评内容层面间的融合，建立网络、安全计算环境、应用系统联合条线。该条线下分网络子条线和应用系统子条线，每个子条线配备一名测评师。子条线测评师必须具备安全计算环境类测评能力，并参与安全计算环境类测评对象的测评。考虑到管理类测评内容的削减，管理类两个条线合并成一个条线，命名为管理条线，由一名测评师负责测评。

6 等保2.0测评团队测评过程管理

网络子条线、应用系统子条线、管理条线之间没有先后顺序，可以同时开展，采用喷泉模型进行过程管理，如图3所示。

安全计算环境类测评是网络子条线和应用系统子条线共同的工作内容，为了共同推进该部分工作而不相互干扰，采用增量模型进行过程管理，如图4所示。

除了等保测评之外，渗透测试同样是测评团队重要工作之一，是等保测评工作的重要补充和验证手段。在此强调一点，渗透测试与等保测评指标之间没有直接关联。因而与等保测评师之间也没有必然关联，团队可以另外聘请渗透测试工程师，也可以由具备渗透测试能力的测评师进行渗透测试。渗透测试具备很强的开放性，没有固定的方法和流程，需要结合客户信息系统的真实情况，一边了解分析，一边操作，之后再深入了解分析，再操作。所以需要采用开放的迭代模型进行过程管理。

7 总结

马克思主义哲学教导我们，事物是普遍联系的，运动变化的和持续发展的，我们要将1.0标准的实际测评经验和2.0标准的指标结合起来，创造新一代等保测评团队组建、测评分工及测评过程管理方法，为信息国防事业贡献力量。