网络安全等级保护测评质量现状及分析

引言

随着信息技术、网络技术的不断发展，网络安全已经居于非常重要的位置，2017 年 6 月 1 日正式实施的《中华人民共和国网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。网络安全等级保护不仅是规范安全防护的基本依据，也是提升网络安全意识和应对安全威胁的重要手段。网络安全等级保护测评机构需要按照网络安全相关标准检查被测对象采取的安全保护措施是否符合网络安全等级保护要求，出具安全等级测评的结论，指出存在的安全问题，提出相应的整改建议，为委托方进一步完善被评估系统安全管理策略、采取适当的安全保障措施提供依据。

1 测评质量中存在的主要问题

通过测评质量检查，总结的突出问题主要体现在以下几个方面：

1.1 能力建设方面存在的主要问题

（1）制度建设不完善。不少测评机构未按照《网络安全等级保护测评机构管理办法》的要求建立完善的管理制度。

（2）制度执行不到位。大多数测评机构的管理制度未能有效执行，机构员工对制度的理解认识不到位，绝大多数制度缺少能够支撑并证实的实施记录。

（3）管理体系未有效运行。绝大多数机构建立了管理体系，甚至获取了相关的认证认可，但管理体系未能有效运行也未能得到持续改进，体系文件和实际运行两张皮的现象比较严重。

（4）设备配置不到位。某些机构未能按照管理办法和测评标准的要求配备符合测评要求的测评工具，导致测评效率与质量受到严重影响。

（5）人员培训效果不佳。人员培训特别是机构自身组织的人员培训效果较差、培训记录不够详实，导致测评人员对制度、标准、法规的理解存在偏差。

1.2 报告及过程记录发现的主要问题

（1）测评标准的选择和使用不准确。部分机构未按照规定根据测评对象所属行业选取正确的测评标准。例如，在电力行业中仍使用通用标准，降低了测评要求；在云计算应用的测评中，混合使用不同标准，导致测评结果不准确。

（2）调查表填写不规范。大多数测评机构按照调查表的内容填写不规范。例如随意删减调查对象的相关内容，且不做任何说明；或者不能充分理解所填内容的要求，导致表格内容与实际要求不符。

（3）测评报告、测评方案中系统资产和被测对象的描述与调查表中不一致。部分测评未能严格按照调查表制定测评方案，并按照测评方案开展测评工作，。例如出现了由于特殊情况导致系统资产和被测对象选择结果发生变动，但未提供项目变更材料加以说明的现象。

1.3 现场复核发现的主要问题：

（1）前期调查不充分。不少测评机构前期调查不充分，对被测单位填写调查表的指导不到位，调查对象过于单一，为关键设备未被识别、核心安全管理制度未能收集、信息系统关键特点掌握不完整等问题埋下了隐患，严重影响了测评质量。

（2）测评方法选择不合理。现场复核中发现，部分机构测评过程重访谈而轻检查，访谈结束后忽视实际检查，直接将访谈结果作为测评结果，导致测评结果不严谨、不全面甚至存在严重错误。

（3）测评执行不严格。不少测评机构测评项目的检查结果描述成“具有某某设备，可以实现某某功能”，未对该设备是否正确配置和运行，该功能能否正常启用进行详细检查和记录，检查中发现不少被测单位采购了非常多的安全设备，但许多设备都处在闲置状态，而测评报告测评项目赋满分的情况；不少测评机构开展的安全管理测评中存在只管文档名称是否对应，不管文档内容是否符合要求，甚至将即时通讯工具中的聊天记录、未发布的电子文件等内容作为安全管理测评要求的符合依据。

2 原因分析

2.1 风险意识不强

测评机构在管理尤其是测评质量管理上投入的人力财力较少，管理停留在管

住人员考勤、工作量、业务进度等人力资源层面。受制于市场竞争，部分测评机构不敢摆正自身第三方测评的位置；受制于业务至上，部分测评机构在某些关键测评项目上含糊其辞、模棱两可；受制于人员，部分测评机构测评不够充分。

2.2 质量意识淡薄

绝大多数测评机构的质量管理体系没有得到有效的宣贯、执行和持续改进；绝大多数机构未能时刻保持测评报告、测评质量是测评机构生存根基的清醒认识；绝大多数机构未有效使用内部监督、三级审核等质量保障手段。

2.3 测评人员责任心不强

部分机构的测评人员测评过程不细致，测评结果经不起推敲，过分的强调“测评只对当时的系统、环境、情况负责”，以此推卸责任。

3 改进建议

3.1 强化监管机制

目前对网络安全等级保护测评机构的监管主要依赖于公安部每年组织的测评报告抽查，这种检查能够在一定程度上反映出测评机构测评质量的问题，有利于提升测评机构的质量意识，但是由于抽样的随机性和检查方式的单一性，可能出现发现的问题只是冰山一角，更多的更深层次的问题未能发掘出来的缺陷。针对此问题应采取如下措施：采取多元化的检查方式（如报告检查、现场复核等）对测评机构的测评质量进行常态化检查；从不同等级、不同行业测评对象着手，对有特殊要求的网络安全等级保护测评对象开展专项检查；对测评机构自身建设，尤其是测评机构质量体系的建设和运行重点检查。通过多种方式、多个维度的监督检查，进一步夯实测评机构的质量风险意识，提升测评技术水平，助力网络安全的良性发展。

3.2 推进测评标准化体系建设

网络安全等级保护测评还不够规范，急需引入标准化理念，稳步推进和完善测评标准化建设。推进实施服务标准体系对于提高测评机构标准化管理水平和市场竞争力、促进测评机构发展壮大具有重要作用，有利于测评机构实现良好的经济和社会效益。推进测评机构标准化体系建设需要从技术、管理、工作等多个方面出发，将现有规章制度提升凝练转化成为标准语言，查漏补缺，完善技术、管理、工作标准，实现测评机构在管理、质量、技术等多方面的提升；推进被测评单位网络安全标准化体系建设，按照网络安全等级保护的要求，结合被测评单位现有的技术、管理、工作等要求，搭建起被测评单位网络安全标准化体系，促进被测评单位网络安全意识、网络安全标准化水平的提升；加强网络安全标准化体系相关的培训和宣贯，使标准化意识、质量意识、风险意识贯穿到网络安全等级测评的全方面；同时鼓励相关测评机构开展标准化良好行为的审核，以形成长效机制。

4 结束语

随着信息技术的高速发展，云计算、物联网、移动互联、工业控制等领域的安全问题日益凸显，如何进一步提升网络安全的水平，一直是全社会关心的问题，网络安全等级保护作为一项国策，是国家网络安全的基础防线，网络安全等级保护测评机构应当加强质量意识、风险意识、责任意识，努力提升测评质量和服务意识，使得我国的网络安全水平稳步提升。

参考文献：

[1]田继红，蒋岱.浅谈信息安全等级保护的发展历程及现状[J].中国管理信息化，2017，20（2）：186-187.

[2]吴贤.信息安全等级保护和风险评估的关系研究[J].信息网络安全，2007，（08）：34-36.

[3]詹申平，陈建宏.等级保护下政府部门门户网站的安全管理措施的应用[J].科技创新与应用，2019，（3）：195-196.

[4]马忠.《网络安全法》中等级保护对互联网发展的意义[J].信息技术，2018，42（6）：142-146.

[5]夏侯振宇，潘敏，樊荣.信息安全等级保护技术测评常见问题的分析与对策[J].信息网络安全，2013，13(C1)：56-58.