工作簡況任務來源2012年底，經中國國家標準化管理委員會批準，全國信息安全標準化技術委員會（SAC/TC260）主任辦公會討論通過，研究制定信息系統安全等級保護測試評估技術指南的國家標準。該項目由全國信息安全標準化技術委員會提出，全國信息安全標準化技術委員會歸口，由公安部信息安全產品檢測中心（公安部第三研究所）負責主辦。協作單位2013標準任務下達后，公安部信息安全產品檢測中心立即與相關測評機構和研究機構等進行聯系與溝通，最后確定由公安部信息安全等級保護評估中心、中國信息安全研究院有限公司、中國電子技術標準化研究所、國家信息技術安全研究中心等單位作為標準編制協作單位。主要工作過程1.3.1成立編制組標準編制組在申請標準前即已成立，編制組成員均具有較豐富的信息系統安全等級保護測評經驗和標準編制經驗，人員包括張艷、陸臻、顧健、沈亮、俞優、張笑笑、顧瑋、顧建新等；標準編制協作單位的高級技術人員共同參與標準的內容編制與研討。1.3.2制定工作計劃編制組制定了編制工作計劃和人員任務安排，并確定了編制組人員例會安排以便及時溝通交流工作情況。1.3.3參考資料該標準編制過程中，主要參考了：GB/T18336-2000信息技術信息技術安全性評估準則GB/T19716-2005信息技術信息安全管理實用規則GB/T

20269-2006信息安全技術信息系統安全管理要求GB/T

20270-2006

信息安全技術網絡基礎安全技術要求GB/T202282-2006信息安全技術信息系統安全工程管理要求GB/T22239-2008信息安全技術信息系統安全等級保護基本要求GB/T28448-2012信息安全技術信息系統安全等級保護測評要求GB/T28449-2012信息安全技術信息系統安全等級保護測評過程指南SpecialPublication800-115TechnicalGuidetoInformationSecurityTestingandAssessmentGB17859-1999計算機信息系統安全保護等級劃分準則GB/T20271-2006信息安全技術信息系統安全通用技術要求GB/T25069－2010信息安全技術術語1.3.4確定編制內容標準編制組以信息系統等級保護測評工作實踐為基礎，以GB/T22239-2008信息安全技術信息系統安全等級保護基本要求、GB/T28448-2012信息安全技術信息系統安全等級保護測評要求和SpecialPublication800-115TechnicalGuidetoInformationSecurityTestingandAssessment為主要參考依據，完成《信息安全技術網絡安全等級保護測試評估技術指南》（原立項時名為《信息安全技術信息系統安全等級保護測試評估技術指南》）標準的編制工作，對信息系統安全測評中的相關測評技術進行明確的分類和定義，并系統地歸納和闡述系統測評的技術方法。1.3.5編制工作簡要過程在申請信息安全技術信息系統安全等級保護測試評估技術指南國家標準制訂任務之前，標準工作組就已經開始了前期調研工作。編制組人員首先對所參閱的文獻、標準等資料進行查閱和理解，編寫標準編制提綱，并在對提綱進行修改完善的基礎上，開始具體的編制工作。1.3.5.1草稿（第一稿）編制組在2012年12月前完成了對信息系統安全等級保護測試評估技術的相關技術文檔和有關標準的前期調研。調研期間，主要對檢測中心信息系統等級保護測評的作業指導書、測評方法、報告以及相關技術文檔材料進行了分析和整理，對國內外相關測評技術的發展動向及標準進行了研究、分析和理解。2013年1月完成了標準草案的編制工作。以編制組人員收集的資料為基礎，在不斷的討論和研究中，完善內容，形成了本標準草稿（第一稿），并召開中心內部的標準研討會，結合會上檢測中心標準技術組的初步評審意見，對標準草稿（第一稿）進行了修改。1.3.5.2草稿（第二稿）2013年4月，編制組以郵件、電話等方式征求了公安部信息安全等級保護評估中心和中國電子信息安全研究院等標準編制協作單位的意見，并根據反饋意見進行了修改，形成標準草稿（第二稿）。1.3.5.3草稿（第三稿）2013年7月，編制組邀請WG5工作組專家對標準進行了研討和意見征詢，并根據專家意見進行了修改，形成標準草稿（第三稿）。1.3.5.4草稿（第四稿）2014年4月，WG5工作組召開標準檢查會，工作組專家對標準進行了研討并提出了相關意見，包括與等級保護基本要求的對應性，編制組根據專家意見進行了修改。2015年1月至2016年6月，編制組內部包括聯合編制單位進行了多次研討，并根據討論的意見進行了多次修改，形成標準草稿（第四稿）。2016年8月11日，編制組在北京組織召開了標準討論會，邀請WG1、WG5工作組的相關專家對標準進行了認真討論，提出了多方面的意見和建議，會后編制組根據討論的意見進行了梳理和修改，并且根據專家建議，將標準題目中的“信息系統安全”改為了“網絡安全”。1.3.5.6征求意見稿（第一稿）2016年8月25日，WG5工作組在北京組織召開了在研標準推進會，編制組匯報了標準編制背景、編制過程，并針對會前收集到來自WG5工作組的專家代表提出的意見進行了處理情況的匯報。會上通過了工作組代表的投票，并建議盡快形成征求意見稿。會后編制組對標準相關文本進行了進一步梳理和修改，形成征求意見稿。2016年9月5日，編制組正式向WG5工作組秘書處提交了標準名稱變更申請，由原名稱《信息安全技術信息系統安全等級保護測試評估技術指南》變更為《信息安全技術網絡安全等級保護測試評估技術指南》。1.3.6起草人及其工作標準編制組具體由張艷、陸臻、顧健、沈亮、俞優、張笑笑、顧瑋、顧建新等人組成。其中，張艷全面負責標準編制工作，包括制定工作計劃、確定編制內容提綱和整體進度、參編人員的任務安排；沈亮、張笑笑、顧瑋主要負責標準的前期調研、現狀分析，意見匯總的討論處理等工作；俞優、顧建新負責向廠商征求意見與反饋、標準校對審核、編制說明的編寫等工作；顧健、陸臻主要負責標準編制過程中的各項技術支持和整體指導。標準主要內容2.1編制原則為了使本標準的內容從一開始就與現有國家標準保持一致，本標準的編寫參考了其他國家有關標準，主要有GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》、GB/T28448-2012《信息安全技術信息系統安全等級保護測評要求》（以下簡稱《測評要求》）和GB/T28449-2012《信息安全技術信息系統安全等級保護測評過程指南》等。本標準符合我國的實際情況，遵從我國有關法律、法規的規定。具體原則與要求如下：1）實用性標準必須是可用的，才有實際意義。本標準在編寫過程中嚴格按照流程對信息系統等級保護測評技術的現狀、發展等進行系統全面的調研，注重與相關測評機構和單位的交流，廣泛了解并歸納了等保測評過程中的主要技術，并進行提煉和擴展，使得指南更貼近等級保護測評的實際情況，保證指南的可操作性。2）先進性標準是先進經驗的總結，同時也是技術的發展趨勢。系統安全測評技術種類繁多，要制定出先進的技術指南，必須參考國內外先進技術和標準，吸收其精華，才能制定出具有先進水平的標準。本標準的編寫始終遵循這一原則。3）兼容性本標準既要與國際接軌，更要與我國現有的政策、法規、標準、規范等相一致。編制組在對標準起草過程中始終遵循此原則，其內容符合我國已經發布的有關政策、法律和法規。2.3標準內容2.3.1標準結構本標準的編寫格式和方法依照GB/T1.1-2009標準化工作導則第一部分：標準的結構和編寫規則。本標準主要結構包括如下內容：范圍規范性引用文件術語和定義等級測評過程與方法概述等級測評技術概述等級測評技術實現附錄參考文獻2.3.2主要內容2.3.2.1范圍、規范性引用文件、術語和定義該部分定義了本標準適應的范圍，所引用的其它標準情況，及以何種方式引用，術語和定義部分明確了該標準所涉及的一些術語。在術語中明確了“網絡嗅探”、“規則集”等重要概念。2.3.2.2等級測評過程與方法概述等級測評過程通常分為四個基本測評階段：測評規劃、方案編制、現場測評、分析及報告編制。標準中分別對這4個基本階段進行了主要內容、作用進行了概述。等級測評執行階段，等級保護測試評估是確認評估對象（例如，主機、網絡、應用、數據等）滿足特定安全目標的有效性的過程。通常采用訪談、檢驗和測試三種測評方法：訪談是指測評人員通過與信息系統有關人員（個人/群體）進行交流、討論等活動，實現理解、釋明或獲得證據以證明信息系統安全等級保護措施是否有效的一種方法；檢驗是指測評人員通過對測評對象進行檢查、觀察、研究或分析等活動，使之便于理解、達到釋明或獲得證據以證明信息系統安全等級保護措施是否有效的一種方法；測試是指測評人員使用預定的方法/工具使測評對象產生特定的行為，通過查看、分析這些行為的結果，獲取證據以證明信息系統安全等級保護措施是否有效的一種方法。2.3.2.3等級測評技術概述目前有許多技術性安全測試和檢驗技術可用于信息系統安全等級保護評估，這些技術主要可分成以下三類：檢查技術：被動地檢查系統、應用軟件、網絡、策略和規程，并發現安全漏洞的檢驗技術。通常采用手動方式，主要包括文檔檢查，日志檢查，規則集檢查，系統配置檢查，網絡嗅探和文件完整性檢查等。目標識別和分析技術：主動識別系統、端口、服務以及潛在安全性漏洞的測試技術。這些技術可以手動執行，但一般使用自動化的工具，主要包括網絡發現、網絡端口和服務的識別、漏洞掃描、無線掃描和應用安全檢查等。目標漏洞驗證技術：驗證漏洞存在性的測試技術。這些技術可以手動執行或使用自動化的工具，主要包括口令破解、滲透測試、社會工程學和應用安全測試等。在選擇和確定用于等級測評活動的技術時，要考慮的因素主要包括評估目標，可以獲取信息以支持這些目標的技術種類，以及在每一個種類當中所使用的適當的技術，技術評估的角度（例如，內部與外部），以使得相應的技術可供選擇。此外，在選擇測試技術時也應充分考慮風險。因為滲透測試等一些技術，可能導致系統的可用性或敏感數據泄露。在某些情況下，應考慮是否對生產系統或相同配置的非生產系統進行測試，或在業余時間限制使用某些技術以盡量減少對操作的影響。2.3.2.4等級測評技術實現本標準將等級測評技術分為檢查技術、目標識別和分析技術、目標漏洞驗證技術三個大類。其中檢查技術包括文檔檢查、日志檢查、規則集檢查、系統配置檢查、文件完整性檢查等技術；目標識別和分析技術包括網絡發現、網絡端口和服務識別、漏洞掃描、無線掃描等技術；目標漏洞驗證技術包括口令破解、滲透測試、遠程訪問測試等。2.3.2.5附錄附錄部分描述滲透測試的有關概念介紹和說明等信息。2.4編制的背景和意義信息系統安全是關乎國家穩定，企業生存與發展的重大課題，如何通過信息系統安全測評工作，最大限度使組織結構預知存在的安全隱患，最大限度地保證國家重要基礎設施和重點行業的安全穩定運營,已經成為當前各國信息安全工作的重點。美國國家標準和技術學會(NIST)信息技術實驗室(ITL)通過對國家測量和標準體系提供技術指導而促進美國經濟和公共事業的發展。ITL通過開發測試、測試方法、參考數據、對概念的證明、以及技術分析來改善信息技術的開發和生產應用，其制定的NIST800系列報告及相關標準為信息安全領域的安全測評技術提供了指導和方針。另外，隨著國家等級保護制度的大力推進，經過定級備案階段，各重要信息系統已進入大規模測評和整改階段。目前，我國信息系統等級保護相關的測評標準主要有GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》、GB/T28448-2012《信息安全技術信息系統安全等級保護測評要求》（以下簡稱《測評要求》）和GB/T28449-2012《信息安全技術信息系統安全等級保護測評過程指南》（以下簡稱《測評過程指南》）等，但這些標準未涉及安全測評中具體的測試方法和技術，因此目前還缺少信息安全等級保護評估方面通用的基本技術指南性文件。本標準系統地歸納并闡述實施信息系統測評過程中涉及的技術性測試和檢驗的方法，可為信息系統的等級保護測評提供技術方法方面的參考。2.5編制的目的本標準的編制目的就是希望吸取國際、國內先進的信息安全測評經驗和相關技術內容，結合我國信息系統安全等級保護的特點，制定出具有指導意義的測評技術指南：（1）指導機構進行計劃、實施技術性信息系統安全測試評估，涉及的信息安全測試和檢驗技術可用來識別、驗證和評估技術性漏洞，有助于機構理解、改善其系統和網絡的安全態勢；（2）本標準面向計算機安全人員和程序管理員，系統和網絡管理員，及其他負責系統和網絡基礎設施的準備、操作與安全技術的技術人員。管理者也可以利用本標準提供的信息，促進與安全測試評估相關的技術決策過程；（3）本標準主要對技術性安全測試評估過程和程序的相關信息的設計、執行和維護提供了切實可行的建議，測評人員在實際測評時，可參考本標準指導并規范的系統測評的技術方法，進而高效地完成信息系統安全測評任務。主要驗證分析和技術經濟論證本標準是基于信息系統安全等級保護測試評估實踐提出的，相關技術已在等級保護測評應用中進行了實際驗證。本標準通過對等級保護系統測評過程中涉及的關鍵技術進行系統的歸納、闡述，概述技術性安全測試評估的關鍵要素、實現功能和使用原則，并提出建議供使用，適用于測評機構、信息系統的主管部門及運營使用單位對重要信息系統的安全等級測評，為信息系統的安全等級測評工作的技術規范性提供方法依據，在應用于系統等級保護測評時可作為對《信息安全技術信息系統安全等級保護測評要求》和《信息安全技術信息系統安全等級保護測評過程指南》的補充，為機構進行計劃、實施技術性的信息系統安全等級保護測試評估提供參考。系統的管理者也可以利用本標準提供的信息，促進與信息系統安全等級保護測試評估相關的技術決策過程。國內外標準對比情況目前，信息系統等級保護相關的測評標準主要有GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》、GB/T28448-2012《信息安全技術信息系統安全等級保護測評要求》（以下簡稱《測評要求》）和GB/T28449-2012《信息安全技術信息系統安全等級保護測評過程指南》（以下簡稱《測評過程指南》）等。其中GB/T22239-2008是系統等級保護測評的基礎性標準，GB/T28448-2012是針對GB/T22239-2008中的要求，提出了不同安全等級信息系統的測評要求；GB/T28449-2012主要規定了信息系統安全等級保護測評工作的測評過程。本標準與《測評要求》和《測評過程指南》的區別在于：《測評要求》主要描述了各級信息系統單元測評的具體測評要求和測評流程，《測評過程指南》則主要對等級測評的活動、工作任務以及每項任務的輸入/輸出產品等提出指導性建議，二者均未涉及安全測評中具體的測試方法和技術。本標準對信息系統安全測評中的相關測評技術進行明確的分類和定義，系統地歸納并闡述系統測評的技術方法，概述技術性安全測試和評估的關鍵要素，重點放在具體的技術及其優點和局限性，并提出建議供使用。因此該標準在應用于系統等級保護測評時可作為對《測評要求》和《測評過程指南》的補充。與有關的現行法律、法規和強制性國家標準的關系本標準不觸犯國家現行法律法規，不與其他強制性國標相沖突。重大分歧意見的處理經過和依據本標準編制過程中，如標準編制組內部出現重大意見分歧時，由標準編制組組長組織召開內部調解會解決；如標準編制單位之間出現重大意見分歧，由標準編制承擔單位公安部計算機信息系統安全產品質量監督檢驗中心組織召開參編單位調解會解決。如征求意見過程中，各廠家，特別是各部委意見與標