康怡知识 一、保密测评网络组主要测什么
1、涉密信息系统保密测评是涉密信息系统投入运行前的一个重要检测评估环节,也是保密行政管理部门对涉密系统进行运行审批的重要依据。保密测评部门应当紧扣“刚柔并济”“明察秋毫”“严谨求实”和“巧借外力”四个关键词,着力提高测评质量,发挥好保密工作的服务保障作用。
2、前置审核“刚柔并济”
3、掌握政策、坚持原则,目光敏锐、责任心强,经验丰富、善于沟通,是一名合格测评人员应具备的基本素质。测评人员须在规定审核期限内对系统所处的物理环境、规模大小、软硬件配置以及“一票否决”基本项进行审核。一方面,测评人员要与被测单位沟通联系,就项目缺漏、描述语焉不详等问题进行了解核实,凡是触碰原则底线的“一票否决”项绝不让步,必须坚决整改到位。另一方面,要与被测单位建立良好的信任关系,使其明白保密测评不是“找茬挑刺”,而是帮助其发现“既往病史”,排除重大隐患,提高现场检测效率,节约行政成本,让其感受到大家拥有“共同的目标”,从而放下思想包袱,全力配合测评。
4、现场检测“明察秋毫”
5、保密测评的重点是现场检测,这是对涉密系统当前状态的一次全面体检。现场检测时间一般3至7天不等,时间短、任务重,好比完成一台手术,必须精准定位病灶,任何不起眼的蛛丝马迹都是不容错过的线索。这既考验测评人员计算机网络安全技术功底,又考验其明察秋毫的洞察力。因此,测评人员要有足够的耐心,从周边环境到室内场所,从硬件设备到应用软件,从系统日志到工作台账,都要进行全面细致的“CT扫描”,从每一个痕迹中锁定目标,不放过一个问题,也不妄下一个论断。对于发现的重大违规问题,必须立即采取措施切断物理连接,清除残余风险,举一反三,迅速整改。
6、报告撰写“严谨求实”
7、保密测评报告是审批系统是否可用的重要依据,具有一定专业性和权威性。一份高质量的测评报告需要处处体现客观严谨、实事求是。网络概况描述必须客观严谨。测评报告上的每一个字、每一个标点、每一个数据、每一张图表都要客观真实、准确无误,即使是图例也必须能够真实反映到每台设备上,既不能模棱两可,也不能张冠李戴。如果将产品的英文字母写错,或者将环境图上的指南针方向搞误、图例位置放错,甚至将IP地址、MAC地址的“或”与“和”的绑定关系搞错,都可能导致差之毫厘、谬以千里。
8、问题建议反馈必须实事求是。要有理有据,不夸大、不隐瞒、不粉饰,更不能无中生有、捏造事实。比如,对口令设置不规范问题的反馈,应告知被测单位具体是终端、应用系统还是网络设备、软件产品的口令设置不规范,是长度、复杂度还是更新周期、锁定次数不符合要求,并告知其按照保密法律法规应如何操作。又如,对电磁泄漏发射防护距离问题的反馈,要明确是哪个房间哪台设备,超出安全值多少,绝不能用个别或部分设备不符合要求等模糊表述来反馈问题。
9、专家评估“巧借外力”
10、他山之石,可以攻玉。为确保测评报告描述和判断客观公正,引入第三方专家评估是必不可少的环节。在专家遴选方面,要“巧选”。除选取本地专家外,还要将国内相关领域专家纳入专家库,使本地与外地专家各占一定比例,保持多元性。在报告评估方面,要“巧评”。每次随机抽取5至7名专家参与集体评估,从第三方视角客观审视,查漏补缺,避免受部门利益干扰,确保报告公正、权威。在成果应用方面,要“巧学”。安排专人跟进评估会,会后组织测评人员对专家意见进行总结研讨、解剖麻雀,最大限度弥补测评人员专业盲区。通过“练内功”与“请外援”双管齐下,不断提升测评队伍专业化、科学化水平,夯实保密测评根基,提升保密测评质量
二、保密科技测评中心靠谱吗
保密科技测评中心是由国家保密局决定并经过中央领导同志批准,再由中央机构编制委员会办公室批复成立的机构。该机构已经通过了中国合格评定国家认可委员会的实验室认可(No.L2511)和检查机构认可(No.I0059),这显示了其在技术和专业性上的权威性和科学性。
为了保持其技术上的先进性、权威性和科学性,国家保密局还成立了专家委员会,为测评中心提供技术咨询和指导。测评中心依据国家保密标准和规范,对用于涉密信息系统的安全保密产品进行检测。只有通过检测的产品,经过国家保密局的审核批准后,才会颁发《国家保密科技测评中心产品检测证书》,并列入国家保密局批准的在涉密信息系统中使用的产品目录。
以保密柜产品为例,这类产品需要经过严格的检测和评估,确保其具有足够的安全性和保密性能,才能被批准在涉密信息系统中使用。这种检测和认证的过程,对于保障涉密工作的顺利进行至关重要。
综上所述,保密科技测评中心在技术和专业性上具有高度的权威性和科学性,其检测和认证的过程严格遵循国家保密标准和规范,因此可以认为它是一个靠谱的机构。
